MONOLITH LAW OFFICE+81-3-6262-3248Všední dny 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Co je čínský zákon o ochraně osobních údajů? Vysvětlení od důvodů jeho zavedení po opatření, která by japonské firmy měly přijmout

General Corporate

Co je čínský zákon o ochraně osobních údajů? Vysvětlení od důvodů jeho zavedení po opatření, která by japonské firmy měly přijmout

Mnoho právních zástupců firem, které plánují nebo již provádějí podnikání v Číně, se pravděpodobně potýká s otázkami týkajícími se ochrany osobních údajů v Číně.

V tomto článku představíme komplexní přehled právních předpisů, které byste měli znát při expanzi vašeho podnikání do Číny. Dále vysvětlíme metody řešení a body, na které by se měly zaměřit japonské společnosti. Tento článek vám pomůže porozumět čínskému zákonu o ochraně osobních údajů a začít s přípravou odpovídajících opatření.

Pozadí a účel zavedení čínského zákona o ochraně osobních údajů

Čínská vlajka

V Číně dosud neexistoval zákon, který by komplexně upravoval ochranu osobních údajů, podobně jako je tomu u japonského zákona o ochraně osobních údajů. Nicméně, již dříve byly snahy o vytvoření takového zákona a k 1. listopadu 2021 byl v Číně poprvé zaveden zákon o ochraně osobních údajů, který komplexně reguluje ochranu osobních informací.

Zvláště “Zákon o kybernetické bezpečnosti” a “Zákon o bezpečnosti dat” jsou zákony s výrazným důrazem na národní bezpečnost, avšak čínský zákon o ochraně osobních údajů klade hlavní důraz na ochranu práv jednotlivců.

Struktura čínského zákona o ochraně osobních údajů je výrazně ovlivněna nedávnými právními předpisy v jiných zemích, jako je například “Obecné nařízení EU o ochraně údajů (GDPR)”. Nicméně, základy pro zákonnost a detaily týkající se práv subjektů údajů mají své specifické rysy, což vyžaduje individuální přístup k řešení.

Regulační cíle čínského zákona o ochraně osobních údajů

Cílová skupina

V této kapitole vysvětlíme, na co se vztahuje regulace ochrany osobních údajů v Číně.
Pokud jsou splněny následující podmínky, stává se vaše činnost předmětem regulace, proto je třeba věnovat tomu pozornost.

  • Pokud je vaším cílem poskytovat zboží nebo služby osobám v Číně
  • Pokud je vaším cílem analyzovat nebo hodnotit chování osob v Číně
  • V jiných případech stanovených zákonem

Čínský zákon o ochraně osobních údajů může mít účinnost nejen v rámci Číny, ale v některých případech i v zahraničí. Navíc, i když působíte v zahraničí, ale zaměřujete se na “osoby” nacházející se v Číně pro vaše obchodní nebo analytické aktivity, může se na vás vztahovat tento zákon, proto je třeba být opatrný.

Klíčové body pro pochopení čínského zákona o ochraně osobních údajů

V této kapitole vám představíme osm klíčových bodů, které vám pomohou pochopit ochranu osobních údajů v Číně.

Právní základ pro zpracování

Podniky mohou zpracovávat osobní údaje pouze v případě, že se jedná o situace stanovené v Čínském zákoně o ochraně osobních údajů (Chinese Personal Information Protection Law), které poskytují právní základ pro takové zpracování.

Existuje sedm základních důvodů pro zpracování, které jsou následující:

  • Souhlas subjektu údajů
  • Plnění smlouvy
  • Plnění zákonných povinností
  • Veřejné zdraví
  • Veřejný zájem
  • Zpracování zveřejněných osobních údajů
  • Další okolnosti stanovené zákonem nebo jinými předpisy

Jak je vidět, koncept “legitimního zájmu”, který je součástí GDPR (General Data Protection Regulation), není zahrnut. To naznačuje, že ve srovnání s GDPR bude pravděpodobně častěji nutné získat souhlas subjektu údajů jako základ pro zpracování osobních údajů.

Dále je souhlas definován jako něco, co “musí být možné kdykoliv snadno odvolat”. Je třeba věnovat pozornost tomu, aby uživatelské rozhraní umožňovalo snadné odvolání souhlasu a aby byly metody odvolání jasně a stručně popsány.

Informace o poskytování informací

Před zpracováním osobních údajů musí společnosti informovat subjekt údajů jasně a srozumitelně o všech aspektech, které vyžaduje Čínský zákon o ochraně osobních údajů (Chinese Personal Information Protection Law).

Kromě účelu zpracování je také vyžadováno poskytnout podrobné informace o metodě zpracování, typech osobních údajů, době uchování, způsobech a postupech výkonu práv.

Dohoda s pověřeným zpracovatelem

Při pověření zpracování osobních údajů je nutné se předem dohodnout s pověřeným zpracovatelem na účelu zpracování, lhůtách, metodách zpracování a ochranných opatřeních prostřednictvím smlouvy o zpracování.

Zároveň přebíráte odpovědnost za dohled nad zpracováním, které jste pověřili. Pokud se podílíte na zpracování osobních údajů společně s jinou společností, je třeba se stejně jako v případě pověření předem dohodnout na účelu zpracování osobních údajů, metodách a vzájemných právech a povinnostech.

Regulace přeshraničního převodu

Při poskytování osobních údajů shromážděných v Číně třetí straně mimo zemi je vyžadováno dodržení následujících dvou kroků.

Prvním krokem je informovat o názvu a kontaktních údajích příjemce osobních informací, účelu zpracování, metodě zpracování, typech osobních údajů a o způsobech, jakými mohou jednotlivci uplatňovat svá práva vůči příjemci, včetně postupů. Dále je nutné získat souhlas dotčené osoby individuálně.

Druhým krokem je realizace jedné ze čtyř následujících opatření:

  • Úspěšné absolvování státního bezpečnostního hodnocení
  • Získání certifikace ochrany osobních údajů od specializované instituce
  • Uzavření smlouvy s příjemcem mimo region na základě standardních smluvních podmínek
  • Splnění dalších podmínek stanovených národním oddělením pro internetové informace

V závislosti na obsahu převáděných osobních údajů může být státní bezpečnostní hodnocení povinné. Proto byste měli podle “Zákona o hodnocení bezpečnosti přeshraničního převodu dat” (Japanese Data Overseas Transfer Security Assessment Regulation) ověřit, zda je státní bezpečnostní hodnocení vyžadováno, a poté si vybrat vhodná opatření.

O právech

Čínský zákon o ochraně osobních údajů (Chinese Personal Information Protection Law) uznává jednotlivci práva jako právo být informován, právo na přístup, právo na kopii, právo na odvolání, právo na přenositelnost, právo na opravu a právo na vymazání.

Kromě toho uznává i “práva zemřelých”, která nejsou uznána v GDPR. “Práva zemřelých” umožňují blízkým příbuzným vykonávat práva zemřelé osoby po její smrti. Proto bychom měli být opatrní i při ochraně informací o zesnulých.

Povinnost hlásit incidenty

Pro prevenci úniku osobních údajů se od společností vyžaduje, aby přijaly opatření podobná těm, která jsou požadována v rámci ISMS (Informačního systému pro řízení bezpečnosti).

Následují příklady požadovaných opatření:

  • Vytvoření interních předpisů
  • Klasifikace správy podle stupně důvěrnosti
  • Zašifrování podle potřeby
  • Implementace pseudonymizace a podobných opatření
  • Provádění školení zaměstnanců
  • Vytvoření procesu reakce na incidenty a další

Protože opatření pro správu bezpečnosti jsou stanovena také v zákonech o kybernetické bezpečnosti a o ochraně dat, doporučuje se pečlivě uspořádat požadavky těchto tří zákonů a zkontrolovat přijatá opatření.

Související článek: Co je čínský zákon o kybernetické bezpečnosti? Vysvětlení klíčových bodů pro dodržování[ja]

Související článek: Co je čínský zákon o ochraně dat? Vysvětlení opatření, která by japonské společnosti měly přijmout[ja]

Povinnost jmenování DPO a zástupce

Podniky, které zpracovávají osobní údaje v určitém množství, jsou povinny jmenovat DPO (Data Protection Officer – Odpovědnou osobu za ochranu dat).

Kromě toho musí společnosti, na které se vztahuje extrateritoriální aplikace, zřídit zástupce v Číně a nahlásit jeho jméno a kontaktní údaje příslušnému dozorovému úřadu.

Povinnost provádět hodnocení dopadu na ochranu osobních údajů

Podniky jsou povinny předem provést hodnocení rizik a řádně kontrolovat rizika, pokud se jedná o některý z následujících pěti případů:

Povinnost provádění hodnocení je nutná v následujících případech:

  • Při zpracování citlivých informací
  • Při provádění automatizovaného rozhodování
  • Při pověření zpracování osobních údajů třetí straně nebo při poskytování osobních údajů třetím stranám
  • Při přenosu osobních údajů do zahraničí
  • V případech, kdy může dojít k významnému ovlivnění práv a zájmů jednotlivců

Sankce za porušení zákona o ochraně osobních údajů v Číně

Pozor

V případě porušení hrozí vysoké sankce (až 50 milionů jüanů, nebo 5 % z obratu předchozího roku). Protože se zákon vztahuje i mimo území Číny, je pro japonské společnosti podnikající v Číně nezbytné rychle reagovat.

Opatření, která by japonské firmy měly podniknout v oblasti ochrany osobních údajů

Kontrola

V této kapitole představíme čtyři opatření pro ochranu osobních údajů, která by měly japonské firmy zavést.

Přezkoumání vnitrofiremních struktur

Nejprve byste měli zvážit přezkoumání vnitrofiremních struktur. Vzhledem k povinnosti jmenování zástupce nebo DPO (Data Protection Officer) je nutné přehodnotit vnitrofiremní uspořádání.

Jako příklady lze uvést zřízení specializovaných oddělení pro právní a technické záležitosti, které se zabývají compliance dat obsahujících osobní informace, organizaci pracovních procesů nebo provádění podrobného mapování dat.

Aktualizace předpisů a politik

Aktualizace předpisů a politik je také klíčová. Je třeba aktualizovat předpisy a politiky v souladu se třemi zákony o datech v Číně.

Kromě toho není dostatečné pouze vytvořit předpisy odrážející právní požadavky, ale je také nezbytné zavést provozní postupy, které mohou všichni zaměstnanci skutečně dodržovat.

Porozumění skutečnému provozu

Protože zákon o ochraně osobních údajů byl zaveden teprve 1. listopadu 2021, je nezbytné pochopit skutečný provoz a neustále přijímat opatření. Zaměstnanci společnosti jsou také povinni dodržovat příslušné zákony a pravidla pro správné zacházení s informacemi.

Společnosti by proto měly pravidelně provádět školení zaměstnanců a upevňovat jejich povědomí o nejnovějších právních předpisech a postupech.

Vytvoření spolupráce s odborníky

Vytvoření a posílení spolupráce s odborníky je nezbytné. Spolupráce s odborníky, kteří mají znalosti o čínských právních předpisech, umožní rychlou reakci. Firmy by také měly pravidelně monitorovat a hodnotit stav compliance v oblasti ochrany osobních údajů. Proto je vytvoření spolupráce s externími odborníky nezbytné.

Shrnutí: Porozumění více právním předpisům a přesná reakce

Popis dokumentu

Dne 1. listopadu 2021 byl v Číně poprvé zaveden komplexní ‘Čínský zákon o ochraně osobních údajů’. Pro společnosti působící na globální úrovni jsou čínské právní předpisy související s daty (zákon o kybernetické bezpečnosti, zákon o bezpečnosti dat, zákon o ochraně osobních údajů) nesmírně důležité, a to jak z hlediska významu trhu, tak z hlediska přísnosti regulací. V některých případech je vhodné získat pomoc odborníků a pečlivě si připravit systém, který umožní provádět potřebné pracovní postupy.

Představení opatření naší kanceláře

Právní kancelář Monolith má bohaté zkušenosti v oblasti IT, zejména internetu a práva. V posledních letech se globální podnikání neustále rozšiřuje a potřeba právní kontroly odborníky stále roste. Naše kancelář poskytuje řešení v oblasti mezinárodního práva.

Oblasti působnosti právní kanceláře Monolith: Mezinárodní právo a zahraniční podnikání[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zpět na začátek