達文西個資即時快報

盤點全球最新焦點

 

文章整理：林舒涵律師

審閱：孔德澔律師

 

 

 

▶ 監理動態 ◀

一、CNIL強化2026監管強度，AI履歷篩選、選舉名冊與體育產業資安成焦點。  

     法國國家資訊與自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）於2026年4月3日公布年度優先查核主題，延續其「風險導向與主題式監管」策略，三大查核重點包括：首先，在「招募」領域，CNIL將檢視企業於招聘過程中蒐集與使用求職者個資的合規性，重點涵蓋資訊告知義務、資料保存期間、是否過度蒐集，以及是否導入AI或自動化決策進行履歷篩選；此舉亦係對2023年相關指引發布後的實質執法延伸，並預示未來與《AI Act》接軌的監管方向。其次，在「全國統一選舉名冊」方面，將聚焦集中化選民資料庫之管理與使用，確保資料正確性、更新機制及存取權限控管，以避免涉及民主制度之敏感個資遭不當利用。最後，在「體育聯盟」領域，鑑於近年資安事件頻傳，且相關組織通常處理大量甚至包含健康等敏感資料，CNIL將強化對其資安措施、資料處理流程及第三方服務使用之檢視。
      整體而言，2026年優先查核主題顯示CNIL已由過去以發布指引為主，逐步轉向強化實際查核與執法，並聚焦高風險資料處理場景及AI應用，同時預示未來在資料安全與自動化決策領域之監管將持續加強。

• 資料來源：https://www.cnil.fr/fr/controles-prioritaires-2026

二、GDPR與集體協約之權衡：西班牙最高法院判決 EasyJet 應發布含姓名之職員名冊

1.事實：      

     本案起因於工會組織USO-STA主張根據其與EasyJet航空公司簽署的《第二號集體協約》第12條規定，資方每年應於公司內部網（Intranet）發布包含機艙服務員姓名、姓氏、年資及職級等資訊的職員編制名冊。然而，EasyJet公司在2024年4月及12月發布名冊時，僅提供假名化的資訊，將員工的姓名與姓氏隱匿，改以一組12位數代碼替代，並主張此舉是為遵循《歐盟一般資料保護規則》（GDPR）中的「資料最小化」原則以保護隱私。工會隨後向國家法院提起訴訟，但國家法院原審判決認為，由於資方在審理前夕已發布了（代碼化）名冊，且雙方對條文內容無異議，僅對發布形式有爭執，故認定工會「缺乏訴之利益」而駁回起訴。工會不服，進而向最高法院提起上訴。

2.爭點：

      集體協約要求發布包含「姓名」之名冊，是否違反 GDPR 或西班牙 LOPDGDD？資方是否可以隱私保護為由，改以代碼形式發布？

3.法院判決理由

      依據GDPR第6.1(c)條規定，為履行法律義務而進行的資料處理是合法的。員工有權知悉名冊中其他人的真實身分，以驗證其在晉升、轉調等競爭程序中的排名是否正確，這對保障勞工權益至關重要。工會及勞方代表亦需此資訊以履行法律賦予的監督職責。
      法院認定姓名、年資等屬於一般勞動個資，不涉及GDPR第9條的特殊類別資料，對個人生活影響較小。「資料最小化」不應成為資方拒絕履行契約義務的藉口，而是應透過技術手段來限制存取。法院判定工會勝訴，判決EasyJet必須在公司內部網發布包含員工姓名與姓氏的完整名冊。資方應採取技術限制，確保該完整名冊僅限於機艙服務員、勞方代表以及能證明具有合法利益的人員存取，而非對所有人開放。

• 資料來源：https://www.poderjudicial.es/search/sentencias/contrato%20de%20trabajo/1/AN

▶ 新聞動態 ◀

• 本週無重大新聞動態

 

▶ 司法動態 ◀

• 本週無重大新聞動態