Transfer danych osobowych pracowników za granicę

dnia

Gdy współpracujemy z kontrahentami z zagranicy, często dochodzi do przekazywania danych osobowych pracowników za granicę. Jak przekazywać dane pracowników, żeby było to zgodne z RODO? Temat jest dosyć obszerny i w zasadzie odpowiedź zależy od tego, gdzie dane naszych pracowników mają finalnie „wylądować”.

Transfer danych w obrębie Europejskiego Obszaru Gospodarczego

Tutaj sprawa jest prosta. Jeśli dane pracowników są przekazywane do państw w obrębie EOG, wtedy nie mamy do czynienia z transferem do państwa trzeciego, a zatem można dane przekazywać w taki sam sposób, jak czynimy to w Polsce. Oczywiście nie można zapomnieć o obowiązku informacyjnym w stosunku do pracowników i wskazaniu w tym obowiązków m.in. odpowiedniej kategorii odbiorców danych, którym dane zostaną przekazane. Co więcej, należy poczynić odpowiedni wpis w rejestrze czynności przetwarzania. Pozostałe obowiązki wynikają ze standardowego stosowania się do przepisów RODO, tj. np. ocena ryzyka, przestrzeganie zasad z art. 5, dobranie odpowiedniej podstawy prawnej przetwarzania.

Transfer danych poza Europejski Obszar Gospodarczy

Tutaj zaczynają się schody. Przygotowanie transferu poza Europejski Obszar Gospodarczy zależy od tego, z jakim państwem mamy do czynienia.

Jeśli dane mają zostać przekazane do państwa wobec, którego Komisja Europejska wydała decyzję o odpowiednim stopniu ochrony, stosujemy art. 45 RODO i w zasadzie „jesteśmy w domu”. Decyzje Komisji co do zasady skutkują tym, że dane państwo – choć nie jest członkiem EOG – traktujemy tak samo, jakby tym członkiem było. Przekazania danych osobowych do takiego państwa należy dokonywać tak samo, jakby przekazanie nastąpiło w ramach EOG.

Nie jest jednak tak łatwo. Każdorazowo należy sprawdzić, czego dokładnie dotyczy dana decyzja Komisji. Dla przykładu: pierwsza z decyzji Komisji dotyczyła Szwajcarii (zobacz także: „Jak można przekazywać dane osobowe do Szwajcarii?”). Decyzja ta ma charakter całościowy czyli dotyczy całego terytorium Szwajcarii oraz wszystkich branż. Można zatem powiedzieć, że istota decyzji Komisji w stosunku do Szwajcarii ma charakter terytorialny. Inaczej jest jeśli chodzi np. o USA. Obecnie obowiązuje system tzw. Tarczy Prywatności, który polega na samocertyfikowaniu się poszczególnych organizacji w USA pod kątem możliwości przekazywania danych osobowych do tej organizacji. O Tarczy Prywatności pisaliśmy już w artykule „Co to jest Tarcza Prywatności?”. Oznacza to, że całego terytorium USA nie można uznać za państwo adekwatne pod kątem ochrony, a jedynie dotyczy to poszczególnych organizacji, które posiadają ważny i aktualny certyfikat. Certyfikat można sprawdzić na stronie http://www.privacyshield.gov.  To jednak nie wszystko. Dane osobowe na rozumieniu tarczy prywatności dzieli się na dane HR i dane NON-HR. Zgodnie z treścią załącznika nr 2 do Tarczy Prywatności, przez dane HR rozumie się „dane osobowe swoich pracowników (byłych lub obecnych) gromadzone w ramach stosunku pracy”. Dane takie są przekazywane następnie dominującemu, powiązanemu lub niepowiązanemu dostawcy usług w Stanach Zjednoczonych (pkt III 9 lit. a Załącznika nr 2 do Tarczy Prywatności). Dane NON-HR to wszelkie pozostałe dane. Jeżeli zatem zamierzamy przekazywać dane osobowe naszych pracowników innemu podmiotowi, co będzie skutkować transferem danych do USA, należy konieczne sprawdzić czy certyfikat tego podmiotu w ramach Tarczy Prywatności obejmuje dane HR. Jeśli certyfikat ogranicza się tylko do danych NON – HR w zasadzie nie powinniśmy przekazywać danych pracowników temu podmiotowi, gdyż nie ma adekwatnego stopnia ochrony dla danych pracowniczych.

Czy w takiej sytuacji jesteśmy bez szans? Można wyróżnić dwie koncepcje: jedna zakładająca, że jeśli certyfikacja nie rozciąga się na dane HR, nie ma mowy o transferze danych pracowniczych. Według drugiej, łagodniejszej, można założyć, że w takim wypadku nie można zastosować art. 45 RODO, a zatem należy sięgnąć do pozostałych podstaw uzasadniających transfer danych np. standardowych klauzul umownych czy też wiążących reguł korporacyjnych. Osobiście opowiadamy się za drugą koncepcją, gdyż zasadą jest, że jeśli nie ma wydanej stosownej decyzji Komisji lub dotyczy ona jedynie jakiejś części danego państwa lub jakiejś branży, można skorzystać z dalszych podstaw transferowych.

Brak decyzji Komisji

Załóżmy dalszą ewentualność – brak decyzji Komisji stwierdzającej odpowiedni stopień ochrony. W takim przypadku – podobnie jak przy każdym innym transferze danych, powinniśmy rozważyć pozostałe przesłanki uzasadniające transfer danych do państwa trzeciego. Dalsze przesłanki zostały zgrupowane w art. 46 RODO i należą do nich przede wszystkim: standardowe klauzule umowne oraz wiążące reguły korporacyjne (BCR). Te podstawy transferowe, w przypadku braku stosownej decyzji Komisji, należą do najpewniejszych i najczęściej stosowanych podstaw prawnych transferu danych.

Brak podstaw z art. 46 RODO – szczególne sytuacje

Jeśli nie ma ani decyzji Komisji ani nie można skorzystać z podstaw z art. 46 RODO, w tym standardowych klauzul umownych lub wiążących reguł korporacyjnych (choć brak możliwości stosowania w tych instrumentów należy udokumentować!), należy poszukiwać podstaw w art. 49 RODO. Oczywiście w tym artykule nie chcemy szczegółowo omawiać każdej podstawy, a jedynie rozważyć te, które być może mogłoby mieć zastosowanie do transferu danych pracowników.

Pierwszą z taki podstaw jest zgoda pracownika na transfer. Nie może być to jednak zwykła zgoda z art. 6 ust. 1 lit. a RODO, a zgoda, dla której przewidziano szczególne wymagania. Przede wszystkim musi być ona wyraźna, a zatem nie może zostać udzielona w sposób domyślny. Zaleca się odbieranie takich zgód w formie oświadczenia, choć niekonieczne pisemnego (może być to np. oświadczenie w formie mailowej lub sms). Zgoda w swojej treści powinna zawierać oświadczenie, że pracownik został poinformowany o ewentualnym ryzyku, z którym może wiązać się przekazanie danych do państwa trzeciego. Co więcej, zgoda na transfer powinna wskazywać konkretne państwo trzecie, a także konkretną okoliczność, z którą wiąże się transfer. Nie można bowiem za pomocą jednej zgody przekazywać danych poza EOG dla wielu różnych sytuacji w przyszłości. Zgoda nie może być także odebrana ewentualnie, „na wszelki wypadek”, ale musi być skonkretyzowana. Dopiero wtedy będzie spełniała rodowski wymóg konkretności zgody.

Zgoda nie jest jednak solidną podstawą transferu. Pracownik w każdej chwili może ją wycofać bez ponoszenia jakichkolwiek negatywnych konsekwencji. Dlatego zgody należy unikać i raczej próbować szukać innych podstaw transferu.

Kolejną podstawą mogłaby być niezbędność do wykonania umowy między pracownikiem (osobą, której dane dotyczą) a pracodawcą (administratorem) czyli umowy o pracę. Przede wszystkim przekazanie danych musi być niezbędne do realizacji tej umowy. Tę niezbędność należy traktować dosyć rygorystycznie. Wykonanie umowy o pracę nie mogłoby zatem zastąpić przez przekazania danych do państwa trzeciego. Takie sytuacje w relacjach pracowniczych będą należeć do rzadkości. Jeżeli zakres obowiązków pracownika dotyczy jedynie pracy poza EOG i bez transferu danych po prostu nie ma możliwości wykonania umowy o pracę, to w takiej sytuacji można ewentualnie wyobrazić sobie uzasadnienie transferu w oparciu o tę podstawę.

Lepiej jednak oprzeć się na podstawie niezbędności przekazania danych do zawarcia lub wykonania umowy w interesie osoby, której dane dotyczą czyli w interesie pracownika. W tej przesłance pojawia się inna osoba czyli podmiot trzeci, z którym administrator zawiera umowę „w interesie pracownika”. Najczęściej będzie tutaj chodziło o sytuacje, w których pracodawca zawiera umowę z kontrahentem z państwa trzeciego dotyczącą np. świadczenia usług, a pracownik będzie delegowany do tego państwa celem realizacji tych usług z polecenia pracodawcy. Z pewnością wykonanie polecenia pracodawcy i otrzymanie wynagrodzenia za realizację umowy o pracę jest działaniem w interesie pracownika, a co z tym idzie – przekazanie danych do państwa trzeciego jest niezbędne do realizacji tego interesu i umowy między pracodawcą a jego kontrahentem. Oczywiście w takiej sytuacji nie można zapominać o odpowiedniej modyfikacji treści umowy o pracę w zakresie możliwości oddelegowania pracownika za granicę lub odpowiedniego określenia miejsca świadczenia pracy.

Ostatnia przesłanka, z której mógłby skorzystać pracodawca dla transferu danych pracowników do państwa trzeciego opiera się na ważnych prawnie uzasadnionych interesach pracodawcy. Niestety, możliwość jej spełnienia jest uzależniona od wyważenia interesów pracownika i pracodawcy, a także szczegółowego udokumentowania, że nie można było skorzystać z żadnych wcześniejszych przesłanek. Ponadto przekazanie może mieć jedynie charakter okazjonalny i dotyczyć ograniczonej liczby osób. Pracodawca musi zapewnić odpowiednie zabezpieczenia (choć RODO nie wskazuje, co przez nie rozumie), a także powiadomić organ nadzorczy. Ta przesłanka jest zatem dla pracodawcy „ostatnią deską ratunku” i to na tyle uciążliwą, że korzystanie z niej powinno należeć do rzadkości.

To, że ostatnia przesłanka jest bardzo trudna do realizacji, nie oznacza, że przesłanki „szczególnych sytuacji” są również łatwe do skorzystania. W motywie 111 RODO wskazano, że wyjątki dotyczące „umowy” lub „roszczeń” należy ograniczyć do sporadycznych przekazań. Takie ograniczenie nie występuje jednak w przypadku wyraźnej zgody. Jeżeli zatem pracodawca chciałby oprzeć się na realizacji umowy o pracę lub realizacji umowy zawartej w interesie pracownika jako podstawie transferu danych, to takie przekazanie może mieć jedynie charakter sporadyczny, a nie systematyczny lub powtarzalny. Wyraźnie zwraca na to uwagę Europejska Rada Ochrony Danych w wytycznych 2/2018 w sprawie wyjątków określonych w art. 49 RODO. Jaki z tego wniosek? Z pewnością żadna z przesłanek dotyczących umowy nie może dotyczyć np. umieszczenia danych pracownika w chmurze, które to umieszczenie będzie skutkować transferem danych na serwery poza EOG. Podobnie przekazanie „na stałe” danych do systemu informatycznego kontrahenta, które to dane będą tam regularnie przetwarzane, także nie powinno następować o tę przesłankę. W takiej sytuacji bezpiecznej jest skorzystać ze zgody.

Podsumowując, należy pamiętać o „gradacji” podstaw transferu danych do państw trzecich. Dotyczy to także przekazywania danych pracowników. Nie można tracić z pola widzenia tego, że odpowiedni wybór podstawy transferu danych nie oznacza, że administrator jest zwolniony z przestrzegania innych reguł przetwarzania danych osobowych. Przede wszystkim transfer danych najczęściej powoduje wzrost ryzyka przy przetwarzaniu danych, co zdecydowanie może wpłynąć na wyniki oceny ryzyka i ewentualną konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA). W przypadku pracowników szczególną wagę należy przywiązać do zasady legalności i minimalizacji, które wyrażają się między innymi przez przestrzeganie zakresu danych, które należy odebrać od pracownika. Zakres tych danych przewiduje przede wszystkim Kodeks pracy.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s