Protegendo as informações pessoais dos funcionários na China: Pontos-chave para a gestão de RH

A Lei de Proteção de Informações Pessoais (“PIPL”) da China entrou em vigor em 1 de novembro de 2021. Acompanhando o PIPL, a Administração do Ciberespaço da China (“CAC”) também publicou um projeto de Medidas para a Avaliação de Segurança de Dados de Saída para consulta pública.

Na maioria dos casos, as empresas multinacionais com operações na China envolverão alguma comunicação entre a China e a sede no exterior. Essas empresas precisam coletar e processar informações de seus funcionários atuais e futuros, desde o processo de recrutamento até o término do contrato de trabalho. Portanto, é crucial estudar as disposições relevantes no PIPL que afetam a forma como os empregadores coletam e processam as informações pessoais dos funcionários. Podemos prever alguns cenários em que os empregadores devem ser extremamente cuidadosos:

  • A transmissão de informações entre subsidiárias da China e empresas relacionadas no exterior envolve informações pessoais de funcionários;
  • Os dados de ERP da Empresa, incluindo informações pessoais de funcionários da China, são hospedados ou em backup em um servidor no exterior;
  • Um provedor de serviços terceirizado está gerenciando o seguro de funcionários com base na China e outros benefícios fora da China;
  • A subsidiária será vendida ou adquirida, e o novo proprietário potencial está organizando a transação por meio de um terceiro no exterior;
  • Uma investigação interna está em andamento, exigindo acesso a equipamentos eletrônicos dos colaboradores.

Na prática, certamente existem casos mais complexos em que uma análise detalhada deve ser conduzida. Com base no desenvolvimento atual da estrutura de privacidade de dados, aconselhamos os empregadores a realizar as seguintes ações:

Notifique explicitamente os funcionários e obtenha seu consentimento por escrito sobre o processamento de suas informações pessoais

Já é comum que muitos empregadores obtenham “consentimento geral” dos empregados durante o processo de contratação e indução. A prática antiga pode envolver apenas uma declaração geral sobre os contratos do funcionário ou o manual do pessoal. No entanto, essas cláusulas não são mais válidas para cobrir todos os cenários. Avisos separados devem ser dados aos funcionários quando o empregador pretender divulgar informações do funcionário a terceiros, transferir para um local fora da China ou processar informações pessoais confidenciais. No consentimento por escrito, os empregadores devem notificar explicitamente os funcionários sobre itens específicos:

  • Nome e informações de contato do controlador de dados;
  • Os objetivos e métodos de processamento de informações pessoais;
  • Categorias e períodos de retenção de informações pessoais a serem processadas; e
  • Métodos e procedimentos para que os colaboradores exerçam os seus direitos consagrados no PIPL.

Embora o PIPL forneça fundamentos adicionais para processar dados de funcionários em certas circunstâncias, sem a necessidade de obter consentimento, o escopo preciso dessas exceções ainda não foi esclarecido. Portanto, a melhor política é que os empregadores sejam prudentes em todos os casos.

Realize uma avaliação de impacto de segurança antes de transmitir informações pessoais ao exterior

De acordo com o projeto de Medidas para a Avaliação de Segurança de Dados de Saída, antes que os empregadores forneçam as informações pessoais do funcionário no exterior, eles devem primeiro realizar autoavaliações de risco de exportação de dados, com foco na avaliação das seguintes questões:

  • Legalidade, adequação e necessidade da finalidade, escopo e métodos de exportação dos dados e do tratamento dos dados por destinatários estrangeiros;
  • Volume, escopo, tipos e sensibilidade dos dados exportados e riscos potenciais à segurança nacional, aos interesses públicos ou aos direitos e interesses legais de indivíduos e organizações que podem advir da exportação dos dados;
  • Medidas técnicas e de gerenciamento, e a capacidade dos manipuladores de dados de prevenir riscos como vazamentos e destruição de dados;
  • Responsabilidades e obrigações que o destinatário estrangeiro se comprometeu a assumir, bem como a sua gestão e medidas técnicas, e a capacidade para cumprir as responsabilidades e obrigações, e se podem garantir a segurança da transferência de dados de saída;
  • Riscos de vazamentos, danos, adulteração e abuso de dados depois que os dados são transmitidos para o exterior e posteriormente transferidos;
  • Se os indivíduos cujos dados são transmitidos ao exterior podem acessar facilmente os canais para manter seus direitos e interesses na proteção de informações pessoais; e
  • Se os acordos assinados com o destinatário no exterior especificam totalmente as responsabilidades e obrigações na proteção da segurança dos dados.

Além das autoavaliações, se a quantidade de informações pessoais ultrapassar um determinado limite de acordo com as Medidas para a Avaliação de Segurança de Dados de Saída, uma avaliação de impacto de segurança obrigatória através do nível provincial do CAC será acionada.

Assine acordos de transferência de dados internacionais com os destinatários de dados no exterior

A subsidiária da China deve assinar um acordo de transferência de dados internacional com cada um de seus destinatários de dados no exterior. O acordo deve fornecer as responsabilidades e obrigações para proteção de segurança de dados, incluindo:

  • Objetivos e métodos de transmissão de dados para o exterior e o escopo dos dados de saída;
  • Finalidades e métodos de processamento de dados pelo destinatário estrangeiro;
  • Localização e duração do armazenamento internacional dos dados;
  • Como lidar com os dados após o término do período de armazenamento, os termos acordados foram concluídos ou o contrato rescindido;
  • Cláusulas restritivas que restringem o destinatário estrangeiro de re-transferir os dados transmitidos no exterior para outras organizações ou indivíduos;
  • Medidas de segurança que devem ser tomadas em caso de qualquer alteração substancial no direito de controle real ou escopo de negócios do destinatário estrangeiro, ou qualquer mudança no ambiente legal do país ou região onde o destinatário estrangeiro está localizado, o que torna difícil garantir a segurança de dados;
  • Responsabilidade por violação da obrigação de proteção de segurança de dados e cláusulas de resolução de disputas vinculativas e exequíveis;
  • Cláusulas sobre a execução adequada de medidas de emergência em caso de vazamento de dados e outros riscos;
  • Cláusulas sobre como garantir canais regulares para que os indivíduos protejam seus direitos e interesses de informações pessoais.

Revise e atualize a política de backup e armazenamento de dados da empresa na China

Os gerentes de RH na China devem trabalhar com o departamento de TI para revisar a infraestrutura de TI atual sobre armazenamento de dados, proteção e política de backup. Preste atenção especial em avaliar se a empresa deve melhorar a política de backup de dados da China, o sistema de gerenciamento de banco de dados, o mascaramento de dados e o mecanismo de acesso remoto.

Para casos mais complexos, é recomendável realizar uma análise de risco para evitar responsabilidades. Os empregadores precisam repensar suas políticas e implementar correções para se alinhar com a estrutura de privacidade de dados da China. As alterações devem ser planejadas de acordo com a situação de cada empresa para reduzir a exposição a responsabilidades e gerar confiança com os funcionários.