Vidjeli smo mnogo promjena u okviru prijenosa osobnih podataka tijekom posljednjih nekoliko godina: ukidanje EU-US Privacy Shielda u odluci CJEU Schrems II, smjernice EDPB-a o tome kako pružiti dodatnu zaštitu osobnim podacima izvoza, nove standardne ugovorne klauzule u EU-u i, zahvaljujući Brexitu, novi međunarodni sporazum o prijenosu podataka UK-a, da ne spominjemo odluku o primjerenosti EU-UK.
Uz potencijalnu zamjenu za Privacy Shield na horizontu i britanske planove za reformu propisa o zaštiti podataka koji će se uskoro kristalizirati, pravo je vrijeme za pregled dostupnih opcija za prijenose podataka HR-a.
Pitanje
Prema GDPR-u, osobni podaci ne mogu se izvoziti u zemlje izvan EGP-a osim ako pružaju razinu zaštite podataka jednaku onoj u EGP-u. Zemlje za koje se smatra da pružaju odgovarajuću zaštitu mogu imati koristi od odluke EU-a o primjerenosti u kojem slučaju podaci mogu slobodno teći iz EGP-a.
Za odredišta koja nemaju koristi od odluke EU-a o primjerenosti, prijenosi se mogu odvijati samo prema odobrenom mehanizmu prijenosa ili ako se primjenjuje odstupanje za posebne situacije. Slična se zabrana primjenjuje prema GDPR-u UK-a na izvoz podataka iz UK-a.
Ako ste dio multinacionalne tvrtke koja prenosi podatke o ljudskim resursima u urede izvan EGP-a/UK-a iz vaše tvrtke EGP-a/UK-a, ili ako ste tvrtka iz EGP-a/UK-a koja ugošćuje baze podataka ljudskih resursa koje sadrže EU/UK podatke u trećoj zemlji koja nema koristi od odluke o primjerenosti, morat ćete upotrijebiti ovlašteni mehanizam prijenosa.
Utjecaj Schremsa II
Prijenosi podataka u treće zemlje poput SAD-a postali su problematičniji nakon odluke CJEU Schrems II iz srpnja 2020 . Time je prekinut EU-US Privacy Shield koji je dopuštao izravne prijenose podataka u SAD. Također , nakon donošenja predmetne odluke postavili su se daljnji zahtjevi za osiguranje odgovarajuće zaštite podataka koji se prenose u zemlje, uključujući SAD, gdje su podaci u opasnosti zbog razine pristupa vladinih agencija koja se ne smatra proporcionalnim i gdje nema dovoljno dostupnih pravnih sredstava za građane EU. Kako je Ujedinjeno Kraljevstvo bilo dio EU-a u vrijeme donošenja odluke, to se također primjenjuje u UK-u.
CJEU je rekao da je na voditeljima obrade da procijene od slučaja do slučaja hoće li podaci koji se izvoze dobiti jednaku razinu zaštite kao ona u EU-u te da moraju upotrijebiti dodatne mjere za njihovu zaštitu. Ako te dodatne mjere i dalje ne bi uspjele osigurati odgovarajuću zaštitu, prijenos se ne bi mogao dogoditi. U studenom 2020. EDPB je objavio preporuke o koracima za procjenu i ublažavanje rizika povezanih s prijenosima u treće zemlje, postavljajući postupak od šest faza i moguće dopunske tehničke i organizacijske mjere zaštite.
Proces procjene uključuje provođenje onoga što je danas poznato kao TIA (Transfer Impact Assessment). Ovo se primjenjuje bez obzira na mehanizam prijenosa koji se koristi.
Enkripcija je ključna za HR podatke
Postoji određena rasprava o tome mogu li bilo kakve dodatne mjere učinkovito zaštititi osobne podatke koji se prenose u SAD i zemlje sa sličnim režimima.
Francuski regulator, CNIL, nedavno je rekao da prijenos Google Analytics podataka u SAD može biti zakonit samo u vrlo ograničenim okolnostima – kada su podaci šifrirani prije nego što napuste EEA, od strane EU (ili odgovarajuće zemlje) nadzornika podataka s ekskluzivnim pristupom ključevima za šifriranje ili gdje se koristi proxy poslužitelj.
Nevažno je hoće li podacima koji se prenose vjerojatno pristupiti vladine agencije trećih zemalja. U širem smislu, ovo se razmišljanje također može primijeniti na podatke iz baza podataka o zaposlenicima odnosno iz ljudskih resursa.
Zapravo, EDPB je dao dva primjera situacija u kojima neće biti odgovarajućih tehničkih zaštitnih mjera: nekriptirana obrada (obrada u čistom obliku) od strane pružatelja usluga u oblaku te daljinski pristup i korištenje nekriptiranih podataka od strane uvoznika iz treće zemlje u poslovne svrhe uključujući obrada ljudskih resursa. To će biti slučaj čak i kada se koriste enkripcija prijenosa i enkripcija podataka u mirovanju ako uvoznik drži ključeve enkripcije.
Pronalaženje najboljeg rješenja
Niz mehanizama prijenosa dostupan je prema (UK) GDPR-u, ali nijedan od njih nije bez nedostataka, osobito nakon Schrems II .
Standardne ugovorne klauzule
Standardne ugovorne klauzule EZ-a (SCC) jedan su od ključnih mehanizama za legitimiranje prekograničnih prijenosa podataka u treće zemlje iz EGP-a. Pokazali su se popularnima tijekom godina, osobito nakon pada američkog režima Safe Harbor i Privacy Shielda. Međutim, kao i kod svih metoda prijenosa podataka, ni one nisu bez ograničenja.
S pozitivne strane, EK je 27. lipnja odobrila nove i poboljšane SCC- ove. Oni odražavaju GDPR i modularni su, pokrivajući širok raspon procesa obrade i odnosa. Oni također uključuju klauzulu o spajanju koja omogućuje novim strankama da se pridruže postojećim SCC-ovima. To znači da su SCC-ovi fleksibilni u strukturi, ali su kruti u smislu propisanog sadržaja i zahtjeva. Novi SCC-ovi su poboljšanje starih, ali tvrtke imaju malo prostora za izmjenu svojih uvjeta izvan onoga što je potrebno da bi se odrazila priroda prijenosa koji se odvija.
Grupne tvrtke koje prenose podatke o ljudskim resursima u treću zemlju iz EGP-a i UK-a morat će zadovoljiti zahtjeve UK-a i EGP-a. Ujedinjeno Kraljevstvo ima svoj vlastiti Međunarodni sporazum o prijenosu podataka koji je sličan SCC-ovima, međutim, najvjerojatnije je da će tvrtke koristiti Dodatak IDTA-i koji je osmišljen kako bi uključio SCC-ove EU-a, čime se lagano pojednostavljuje postupak.
Dok će novi SCC-ovi često biti najbolji mehanizam za prijenos podataka za ljudske resurse, postali su složeniji nakon odluke Suda Europske unije Schrems II i sada zahtijevaju TIA i potencijalno dodatne mjere (imajući na umu ograničenja EDPB-a za ljudske resurse podaci).
Obvezujuća korporativna pravila
Obvezujuća korporativna pravila osmišljena su za prijenose unutar grupe i mogu se individualno prilagoditi poslovanju (pod uvjetom da su u skladu s GDPR-om). To sugerira da su idealni za prijenos HR podataka.
Nakon raspada EU-US Privacy Shield-a, mnogi su očekivali da će BCR-ovi doći na svoje, međutim, treba ih odobriti glavni regulator izvoznika, a za to je potrebno. Daljnja je komplikacija to što će nakon Brexita nekim tvrtkama možda trebati dva skupa BCR-ova kako bi se omogućili prijenosi iz EGP-a i UK-a. To bi uključivalo dva različita procesa odobravanja koji bi se odvijali u različitim vremenskim okvirima. To ne znači da bi BCR-ove trebalo isključiti, ali znači da bi drugi mehanizam poput SCC-a bio potreban do odobrenja BCR-ova, što bi dodatno povećalo vrijeme i troškove.
Problem s pristankom
Postoji niz dostupnih odstupanja od opće zabrane prijenosa podataka. Ono što se najčešće gleda je gdje se podaci prenose uz privolu pojedinca. Postoje problem ukoliko se sagleda ovo rješenje, valjani pristanak vrlo je teško dobiti u kontekstu zaposlenja zbog neravnoteže moći između poslodavca i zaposlenika. Smjernice ICO-a daju jedan primjer kada se pristanak može upotrijebiti – gdje se od zaposlenika traži pristanak da se njegova fotografija pojavi u promotivnom materijalu, pod uvjetom da nema pritiska da pristane, a pojedinac može slobodno odbiti bez pretrpljene štete. U toj bi se situaciji privolom mogao opravdati prijenos podataka.
Drugi ovlašteni mehanizmi
EDPB je nedavno odobrio smjernice o certificiranju kao alatu za prijenos podataka. Međutim, to se još nije razvilo u potpuno rješenje.
Napravite korak unatrag – trebate li stvarno prenijeti sve ove podatke?
Tvrtke koje prenose ili razmatraju prijenos svojih podataka u treće zemlje, posebice u SAD, trebale bi napraviti korak unatrag i zapitati se je li i u kojoj mjeri prijenos potreban. Vrijedno je razmotriti mogu li se podaci hostirati lokalno. Ako ne, trebaju li poduzeću stvarno svi podaci koji se izvoze ili se mogu koristiti manji skupovi podataka? Ako podatke treba izvesti, koje bi se dodatne zaštite mogle koristiti u skladu sa smjernicama EDPB-a? To može uključivati anonimizaciju i enkripciju prije prijenosa (pod uvjetom da uvoznik ne posjeduje ključeve enkripcije).
Napravi korak naprijed
Gledajući u budućnost, EU i SAD najavili su načelni dogovor o Transatlantskom okviru za privatnost podataka, o čijim se detaljima pregovara. Ovo bi trebalo zamijeniti Privacy Shield, ali postoje pokazatelji da bi mogao biti osjetljiv na pravno osporavanje ako iza sheme ne stoje zakonske promjene.
Moguće je da nova shema može 'kupiti nekoliko godina' lakog prijenosa podataka EEA-US, ali nema jamstva da će se pokazati dugotrajnim. Poduzeća koja ga žele koristiti morat će to imati na umu.
Još jedan čimbenik koji treba uzeti u obzir pri odabiru prikladnog mehanizma prijenosa podataka o ljudskim resursima je da će Ujedinjeno Kraljevstvo reformirati svoj režim zaštite podataka i dalo je prioritet proširenju vlastitog režima adekvatnosti. Iako je vlada Ujedinjenog Kraljevstva prepoznala potrebu za očuvanjem primjerenosti EU-UK u svom odgovoru na savjetovanje o svojim prijedlozima, postoje naznake da bi moglo brže od EU-a nastaviti s priznavanjem daljnjih režima trećih zemalja kao onih koji pružaju odgovarajuću zaštitu podataka. Naime, vlada namjerava reformirati ovlast državnog tajnika za donošenje odluka o primjerenosti, uključujući dopuštanje da se donose u korist skupina zemalja ili regija, te stvoriti novu ovlast za službeno priznavanje alternativnih mehanizama prijenosa.
Što to znači?
Prijenosi podataka HR-a u treće zemlje, posebno u SAD i druge zemlje koje dopuštaju slične razine vladinog pristupa osobnim podacima, nastavit će se odvijati u skladu s promjenjivim regulatornim okvirom u doglednoj budućnosti.
Nije samo pitanje odabira najprikladnijeg ovlaštenog mehanizma prijenosa za podatke ljudskih resursa, bitno je da tvrtke procijene koje podatke stvarno treba izvesti, procijeniti rizik povezan sa zemljom uvozom i poduzeti korake za ublažavanje rizika za prava i slobode pojedinaca provođenjem TIA-e i usvajanjem odgovarajućih dopunskih mjera ako je potrebno. Čak i tada, može postojati određeni rizik od neusklađenosti povezan s prijenosom i tvrtke bi trebale shvatiti da ga možda neće biti moguće u potpunosti eliminirati. Zbog toga je još važnije učiniti što je više moguće kako bi se zakonski zahtjevi uskladili s poslovnim potrebama.
