Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Kinas personlige oplysningsbeskyttelseslov: Hvad er det? En forklaring på baggrunden for vedtagelsen og de foranstaltninger, japanske virksomheder bør træffe

Kinas personlige oplysningsbeskyttelseslov: Hvad er det? En forklaring på baggrunden for vedtagelsen og de foranstaltninger, japanske virksomheder bør træffe

General Corporate

Kinas personlige oplysningsbeskyttelseslov: Hvad er det? En forklaring på baggrunden for vedtagelsen og de foranstaltninger, japanske virksomheder bør træffe

Er du juridisk ansvarlig i en virksomhed, der planlægger at udvide forretningen til Kina, eller som allerede har etableret sig der? Så har du sandsynligvis stødt på udfordringer vedrørende beskyttelse af personlige oplysninger i Kina.

I denne artikel vil vi omfattende introducere de juridiske regulativer, som er gode at kende, når man udvider sin forretning til Kina. Vi vil også klart forklare metoder til at håndtere disse regulativer og de punkter, som japanske virksomheder bør være opmærksomme på. Brug denne artikel som en reference til at forstå den kinesiske lov om beskyttelse af personlige oplysninger og begynd at forberede dine strategier.

Baggrunden og formålet med Kinas lov om beskyttelse af personoplysninger

Kinas flag

Indtil nu har der i Kina ikke eksisteret en lov, der omfattende definerede beskyttelsen af personoplysninger, som den japanske lov om beskyttelse af personoplysninger gør. Der har dog længe været bevægelser i retning af at udforme en sådan lov, og den 1. november 2021 (Reiwa 3) blev “Kinas lov om beskyttelse af personoplysninger” indført som den første lov i Kina, der omfattende regulerer beskyttelsen af personoplysninger.

Især “Cybersikkerhedsloven” og “Datalovgivningen” er love med et stærkt element af national sikkerhed, men Kinas lov om beskyttelse af personoplysninger fokuserer mere på beskyttelsen af individets rettigheder.

Strukturen i Kinas lov om beskyttelse af personoplysninger synes at være stærkt påvirket af de seneste års lovgivning i forskellige lande, såsom EU’s generelle databeskyttelsesforordning (GDPR). Dog er de punkter, der anerkendes som lovlige grunde, og detaljerne omkring individets rettigheder unikke, hvilket betyder, at der kræves specifikke tilpasninger.

Reguleringens målgruppe under den kinesiske lov om beskyttelse af personoplysninger

Målgruppe

I dette kapitel vil vi forklare, hvem der er reguleret af den kinesiske lov om beskyttelse af personoplysninger.
Hvis følgende betingelser er opfyldt, vil man være underlagt regulering, så det er vigtigt at være opmærksom herpå.

  • Hvis formålet er at tilbyde varer eller tjenester til personer inden for Kina
  • Hvis formålet er at analysere eller evaluere adfærden hos personer inden for Kina
  • I andre tilfælde som fastsat ved lov

Den kinesiske lov om beskyttelse af personoplysninger kan i visse tilfælde have effekt ikke kun inden for Kinas grænser, men også internationalt. Desuden, selv uden for Kina, hvis man målretter salgsaktiviteter eller adfærdsanalyser mod ‘personer’ i Kina, vil loven være gældende, så det er vigtigt at være opmærksom på dette.

Forståelse af den kinesiske lov om beskyttelse af personoplysninger: Nøglepunkter

I dette afsnit vil vi forklare otte nøglepunkter for at forstå beskyttelsen af personoplysninger i Kina.

Lovlighedens grundlag

Virksomheder kan kun behandle personoplysninger, hvis de opfylder mindst ét af de lovlighedsgrundlag, der er fastsat i den Kinesiske Lov om Beskyttelse af Personoplysninger.

De syv grundlag er som følger:

  • Den registreredes samtykke
  • Opfyldelse af en kontrakt
  • Opfyldelse af en juridisk forpligtelse
  • Offentlig sundhed
  • Offentlig interesse
  • Behandling af offentliggjorte personoplysninger
  • Andre omstændigheder fastsat ved lov eller anden regulering

Som det fremgår, er “legitime interesser”, som findes i GDPR, ikke inkluderet. Derfor kan det forventes, at der vil være flere situationer, hvor det er nødvendigt at behandle personoplysninger baseret på den registreredes samtykke sammenlignet med GDPR.

Desuden er det defineret, at samtykket skal være noget, “som den registrerede til enhver tid nemt kan trække tilbage”. Det kræver omhyggelig overvejelse at designe en brugergrænseflade, der gør det nemt at trække samtykke tilbage, og at forklare metoden til tilbagetrækning på en klar og forståelig måde.

Oplysning

Virksomheder skal, før de håndterer personoplysninger, klart og forståeligt informere den registrerede om de forhold, der kræves i henhold til den kinesiske lov om beskyttelse af personoplysninger (Chinese Personal Information Protection Law).

Desuden kræves det, at virksomhederne ikke kun oplyser om formålet med håndteringen, men også om metoderne for behandling, typerne af personoplysninger, opbevaringsperioden, samt hvordan og hvilke procedurer der er for at udøve rettigheder.

Aftale med underleverandører

Når personoplysninger outsources til behandling, er det nødvendigt at blive enige med underleverandøren om behandlingsformålet, tidsfristen, metoderne og beskyttelsesforanstaltningerne gennem en outsourcingkontrakt eller lignende.

Samtidig påtager man sig også ansvaret for at overvåge behandlingen. Når personoplysninger håndteres i fællesskab med andre virksomheder, bør man, ligesom ved outsourcing, på forhånd blive enige om formålet med og metoderne for behandlingen af personoplysningerne samt begge parters rettigheder og forpligtelser.

Regulering af grænseoverskridende overførsler

Når personlige oplysninger indsamlet i Kina skal udleveres til tredjeparter uden for landet, kræves følgende to tiltag.

Det første er at informere om navnet og kontaktoplysningerne på modtageren af de personlige oplysninger, formålet med behandlingen, metoderne for behandling, typerne af personlige oplysninger, og hvordan den enkelte kan udøve sine rettigheder over for modtageren, herunder procedurerne herfor. Derudover skal man indhente individuelt samtykke fra den pågældende person.

Det andet tiltag er at implementere en af følgende fire foranstaltninger:

  • Bestået en national sikkerhedsvurdering
  • Opnået certificering for beskyttelse af personlige oplysninger fra en specialiseret institution
  • Indgået en kontrakt med modtageren uden for regionen baseret på standardkontrakter
  • Opfyldt andre betingelser fastsat af det nationale internetinformationskontor

Afhængigt af indholdet af de personlige oplysninger, der overføres, kan en national sikkerhedsvurdering være obligatorisk. Derfor bør man i overensstemmelse med ‘Japanese Data Overseas Transfer Security Assessment Procedures’ bekræfte, om en national sikkerhedsvurdering er nødvendig, før man vælger den passende foranstaltning.

Om rettigheder

Den kinesiske lov om beskyttelse af personoplysninger (Chinese Personal Information Protection Law) giver den registrerede rettigheder såsom retten til at kende, retten til at gennemse, retten til at kopiere, retten til at trække samtykke tilbage, dataoverførbarhed, retten til at rette og retten til at slette oplysninger.

Desuden anerkender loven også “rettigheder for afdøde”, hvilket ikke er anerkendt under GDPR. “Rettigheder for afdøde” refererer til, at nære slægtninge kan udøve rettighederne på vegne af den afdøde. Derfor bør man også være opmærksom på beskyttelsen af afdødes oplysninger.

Pligt til at rapportere hændelser

For at forhindre lækage af personlige oplysninger, forventes virksomheder at træffe foranstaltninger svarende til dem, der kræves af et ISMS (Information Security Management System).

Følgende er eksempler på de forventede foranstaltninger:

  • Udarbejdelse af interne regler
  • Klassificeringsstyring baseret på fortrolighedsniveau
  • Kryptering efter behov
  • Gennemførelse af pseudonymisering
  • Uddannelse af medarbejdere
  • Udarbejdelse af en incident response-proces

Da foranstaltninger for sikkerhedsstyring også er fastlagt i både Cybersecurity-loven og Datasikkerhedsloven, anbefales det at organisere kravene fra alle tre love omhyggeligt og bekræfte dine foranstaltninger.

Relateret artikel: Hvad er den kinesiske Cybersecurity-lov? En forklaring på de vigtigste punkter for overholdelse[ja]

Relateret artikel: Hvad er den kinesiske Datasikkerhedslov? En forklaring på de foranstaltninger, japanske virksomheder bør tage[ja]

Pligt til at udpege en DPO og en repræsentant

Virksomheder er forpligtede til at udpege en DPO (Data Protection Officer), når antallet af personoplysninger, de håndterer, når et bestemt omfang.

Desuden skal virksomheder, der er underlagt ekstraterritorial anvendelse, etablere en repræsentant inden for Kinas grænser og indberette navn og kontaktoplysninger til de relevante myndigheder.

Pligt til at udføre vurdering af databeskyttelseskonsekvenser

Virksomheder skal, hvis de falder ind under en af de følgende fem kategorier, foretage en risikovurdering på forhånd og sikre en passende risikostyring.

Pligten til at udføre en vurdering er nødvendig i følgende tilfælde:

  • Når der håndteres følsomme oplysninger
  • Når der træffes automatiserede beslutninger
  • Når behandlingen af personoplysninger uddelegeres eller personoplysninger videregives til tredjeparter
  • Når personoplysninger overføres til udlandet
  • Når det har en væsentlig indvirkning på enkeltpersoners rettigheder og interesser

Straffesanktioner i den kinesiske lov om beskyttelse af personoplysninger

Advarsel

Ved overtrædelse risikerer man høje sanktioner (op til 50 millioner yuan eller 5% af den årlige omsætning fra det foregående år i bøder). Da loven også gælder uden for Kinas grænser, er det nødvendigt, at japanske virksomheder, der driver forretning i Kina, handler hurtigt.

Foranstaltninger vedrørende persondata-beskyttelsesloven som japanske virksomheder bør træffe

Check

I dette kapitel introducerer vi fire foranstaltninger, som japanske virksomheder bør træffe i forhold til beskyttelse af persondata.

Revidér interne systemer

Først og fremmest bør man overveje at revidere de interne systemer. Der er krav om at have en repræsentant eller en DPO (Data Protection Officer), så det er nødvendigt at gennemgå de interne systemer.

Eksempler på dette kunne være etablering af specialiserede juridiske og tekniske afdelinger, der håndterer compliance for data, der indeholder personlige oplysninger, organisering af arbejdsprocesser og gennemførelse af detaljeret data mapping.

Opdater regler og politikker

Det er også vigtigt at opdatere regler og politikker. Det er nødvendigt at opdatere regler og politikker, så de overholder de tre kinesiske data love.

Desuden er det ikke nok blot at udarbejde regler, der afspejler lovgivningsmæssige krav; det er også nødvendigt at etablere procedurer, som alle medarbejdere kan udføre.

Forstå den faktiske drift

Da persondata-beskyttelsesloven blev vedtaget den 1. november 2021 (Reiwa 3), og det ikke er længe siden, er det nødvendigt at forstå den faktiske drift og konstant træffe foranstaltninger. Desuden er alle medarbejdere i virksomheden pålagt at håndtere oplysninger korrekt og overholde lovgivningen som en regel.

Derfor bør virksomheder gennemføre regelmæssig træning for medarbejdere for at øge bevidstheden om de nyeste love og procedurer.

Opbyg et samarbejde med eksperter

Det er afgørende at opbygge og styrke et samarbejde med eksperter. Ved at opbygge et samarbejde med eksperter, der er fortrolige med kinesisk lovgivning, kan man reagere hurtigt. Virksomheder skal også regelmæssigt overvåge og evaluere compliance med hensyn til beskyttelse af persondata. Derfor kan det siges at være essentielt at opbygge et samarbejde med eksterne eksperter.

Opsummering: Forstå flere lovgivninger og håndter dem korrekt

Dokumentbeskrivelse

Den 1. november 2021 trådte ‘Kinesisk Lov om Beskyttelse af Personoplysninger’ i kraft i Kina, hvilket var den første omfattende lovgivning om beskyttelse af personoplysninger i landet. For virksomheder, der opererer globalt, er de kinesiske databeskyttelsesregulativer (Cybersikkerhedsloven, Datalovgivningen og Lov om Beskyttelse af Personoplysninger) umulige at ignorere, både på grund af markedets betydning og reguleringernes strenghed. I nogle tilfælde bør man sikre sig, at man har etableret en struktur, der kan håndtere de nødvendige praktiske opgaver, eventuelt med hjælp fra eksperter.

Vores foranstaltninger hos Monolith Advokatfirma

Monolith Advokatfirma har en rig erfaring inden for IT, især internet og jura. I de senere år er global forretning blevet stadig mere udbredt, og behovet for juridisk ekspertise og gennemgang er vokset tilsvarende. Vores firma tilbyder løsninger inden for international juridisk service.

Monolith Advokatfirmas ekspertiseområder: International jura og udenlandske forretninger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

En forklaring på 'Yderligere lukning' i investeringsaftaler: Hvad er den passende metode og kontraktindhold?

En forklaring på 'Yderligere lukning' i investeringsaftaler: Hvad er den passende metode og kont.

General Corporate

Hvordan etablerer man et selskab (virksomhed) i udlandet? En forklaring på typer og nøglepunkter

Hvordan etablerer man et selskab (virksomhed) i udlandet? En forklaring på typer og nøglepunkter

General Corporate

Kan man kræve erstatning for økonomisk tab forårsaget af ophør af handel eller fald i salget på grund af skade på omdømme?

Kan man kræve erstatning for økonomisk tab forårsaget af ophør af handel eller fald i salget på .

General Corporate

Hvad er en investeringsaftale? Nødvendigheden af kontraktindgåelse for virksomheder

Hvad er en investeringsaftale? Nødvendigheden af kontraktindgåelse for virksomheder

General Corporate

Juridiske problemer med faktisk rapportering af anholdelseshistorik og tidligere overbevisninger - Er det ikke en krænkelse af ære og privatlivets fred?

Juridiske problemer med faktisk rapportering af anholdelseshistorik og tidligere overbevisninger.

General Corporate

Metoder for ICO og grunden til at involvering af en advokat er nødvendig

Metoder for ICO og grunden til at involvering af en advokat er nødvendig

General Corporate

Analyse af Toshibas regnskabsføringsskandale: Hvad er krisehåndtering for at forhindre skade på brandimage?

Analyse af Toshibas regnskabsføringsskandale: Hvad er krisehåndtering for at forhindre skade på .

General Corporate

Forklaring af 'straf' i den reviderede 'Japanske Lov om Beskyttelse af Personlige Oplysninger' i Reiwa 4 år (2022)

Forklaring af 'straf' i den reviderede 'Japanske Lov om Beskyttelse af Personlige Oplysninger' i.

General Corporate

Hvor meget er tilladt med hensyn til adresse og rigtige navne? Om rækkevidden af rapportering og krænkelse af privatlivets fred

Hvor meget er tilladt med hensyn til adresse og rigtige navne? Om rækkevidden af rapportering og.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen