MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

Hiina isikuandmete kaitse seadus – mis see on? Selgitame selle kehtestamise tausta ja meetmeid, mida Jaapani ettevõtted peaksid võtma

General Corporate

Hiina isikuandmete kaitse seadus – mis see on? Selgitame selle kehtestamise tausta ja meetmeid, mida Jaapani ettevõtted peaksid võtma

Ettevõtete juriidiliste küsimustega tegelevate spetsialistide seas, kes plaanivad laieneda Hiina turule või on juba seal äri laiendanud, võib sageli esineda muret Hiina isikuandmete kaitse pärast.

Käesolevas artiklis tutvustame kõikehõlmavalt õigusakte, mida peaks teadma Hiina turule sisenemisel. Samuti selgitame arusaadavalt, kuidas nendega toime tulla ja milliseid aspekte peaksid Jaapani ettevõtted eriliselt silmas pidama. Kasutage seda teavet kindlasti ära, et mõista Hiina isikuandmete kaitse seadust ja alustada vastumeetmete rakendamist.

Hiina isikuandmete kaitse seaduse loomise taust ja eesmärgid

Hiina riigilipp

Seni ei olnud Hiinas olemas ühtset seadust, mis käsitleks isikuandmete kaitset nii terviklikult nagu Jaapani isikuandmete kaitse seadus. Siiski on Hiinas juba mõnda aega olnud liikumine isikuandmete kaitse seaduse väljatöötamise suunas ja 2021. aasta 1. novembril (2021) jõustus Hiinas esmakordselt “Hiina isikuandmete kaitse seadus”, mis reguleerib isikuandmete kaitset kõikehõlmavalt.

Eriti “Küberturvalisuse seadus” ja “Andmeturvalisuse seadus” on seadused, mis sisaldavad tugevat rahvusliku julgeoleku elementi, kuid Hiina isikuandmete kaitse seadus keskendub eelkõige isiku õiguste kaitsmisele.

Hiina isikuandmete kaitse seaduse raamistik on suuresti mõjutatud viimaste aastate rahvusvaheliste regulatsioonide, nagu “EL-i üldine andmekaitse määrus (GDPR)”, poolt. Siiski on seaduse õiguspärasuse alused ja isiku õiguste detailid unikaalsed, mistõttu on vajalik välja töötada spetsiifilised vastumeetmed.

Hiina isikuandmete kaitse seaduse reguleerimisala

Sihtmärk

Selles peatükis selgitame Hiina isikuandmete kaitse seaduse reguleerimisala.
Kui on täidetud alljärgnevad tingimused, siis kuuluvad need reguleerimise alla ja on vajalik olla tähelepanelik.

  • Kui eesmärk on pakkuda kaupu või teenuseid Hiina territooriumil asuvatele isikutele
  • Kui eesmärk on analüüsida või hinnata Hiina territooriumil asuvate isikute käitumist
  • Muud seadusega ettenähtud juhud

Hiina isikuandmete kaitse seadus võib mõnel juhul kehtida mitte ainult Hiina territooriumil, vaid ka välismaal. Lisaks, kui välismaal viiakse läbi müügitegevust või käitumisanalüüsi, mis on suunatud Hiinas viibivatele isikutele, siis kohaldatakse samuti seda seadust, mistõttu on oluline olla ettevaatlik.

Hiina isikuandmete kaitse seaduse mõistmise võtmetähtsusega punktid

Selles peatükis selgitame kaheksat olulist punkti, mis aitavad mõista Hiina isikuandmete kaitse seadust.

Õiguspärasuse alus

Ettevõtted võivad isikuandmeid töödelda ainult juhul, kui see vastab Hiina isikuandmete kaitse seadusega (Chinese Personal Information Protection Law) määratletud õiguspärasuse alustele.

Need alused on järgmised seitse:

  • Isiku nõusolek
  • Lepingu täitmine
  • Seadusest tuleneva kohustuse täitmine
  • Avalik tervishoid
  • Avalik huvi
  • Avalikustatud isikuandmete töötlemine
  • Muud seadusega määratletud asjaolud

Nagu näha, ei sisalda see nimekiri “õigustatud huvi”, mis on osa GDPR-ist (General Data Protection Regulation). Seetõttu võib eeldada, et võrreldes GDPR-iga on rohkem olukordi, kus isikuandmete töötlemise aluseks peab olema isiku nõusolek.

Lisaks on nõusolek määratletud kui midagi, mida isik saab igal ajal hõlpsasti tagasi võtta. Seega on vajalik, et nõusoleku tagasivõtmiseks oleks lihtne kasutajaliides (UI) ja et tagasivõtmise meetod oleks selgelt ja arusaadavalt kirjeldatud.

Teabe esitamine

Enne isikuandmete töötlemist peavad ettevõtted teavitama isikut selgelt ja arusaadavalt Hiina isikuandmete kaitse seadusega (Chinese Personal Information Protection Law) nõutavatest aspektidest.

Lisaks töötlemise eesmärgile on nõutav ka üksikasjalik teave töötlemisviisi, isikuandmete liikide, säilitamisperioodi, õiguste kasutamise viisi ja protseduuri kohta.

Koostööpartneriga kokkuleppimine

Kui delegeerite isikuandmete töötlemise, on vajalik eelnevalt sõlmida töövõtuleping või muu kokkulepe, milles lepitakse kokku töötlemise eesmärgid, tähtajad, meetodid ja kaitsemeetmed.

Lisaks tuleb teil võtta endale vastutus delegeeritud töötlemise järelevalve eest. Kui te töötlete isikuandmeid koos teise ettevõttega, leppige samuti eelnevalt kokku isikuandmete töötlemise eesmärgid ja meetodid ning mõlema poole õigused ja kohustused, nagu teeksite seda delegeerimise korral.

Rahvusvahelise ümberpaigutamise reguleerimine

Kui Hiinas kogutud isikuandmeid jagatakse välismaal asuvate kolmandate osapooltega, on nõutav järgmiste kahe toimingute sooritamine.

Esiteks tuleb teavitada isikuandmete saaja nime, kontaktandmeid, töötlemise eesmärki, meetodeid, isikuandmete liike ning viise ja protseduure, kuidas isikud saavad oma õigusi saaja suhtes kasutada. Lisaks tuleb saada iga üksiku isiku nõusolek.

Teiseks tuleb rakendada ühte järgnevast neljast meetmest:

  • Riikliku turvahinnangu läbimine
  • Isikuandmete kaitse sertifikaadi saamine asjakohaselt asutuselt
  • Standardlepingu sõlmimine väljaspool asuva saajaga
  • Muude riikliku internetiinfo osakonna kehtestatud tingimuste täitmine

Üle kantavate isikuandmete sisu põhjal võib riiklik turvahinnang olla kohustuslik. Seetõttu tuleks “Andmete rahvusvahelise ümberpaigutamise turvahinnangu protseduuride” alusel kontrollida riikliku turvahinnangu vajadust enne sobivate meetmete valimist.

Õiguste kohta

Hiina isikuandmete kaitse seadus (Chinese Personal Information Protection Law) annab isikule õigused, nagu õigus teada, õigus vaadata, õigus koopiat saada, õigus tagasi võtta, andmete ülekandmise õigus, õigus parandada ja õigus kustutada.

Lisaks on selles seaduses tunnustatud “surnud isiku õigused”, mida GDPR ei tunnusta. “Surnud isiku õigused” tähendavad, et kui isik on surnud, võivad lähisugulased tema eest neid õigusi kasutada. Seetõttu peaksime olema teadlikud ka lahkunute teabe kaitsest.

Incidentide raporteerimise kohustus

Isikuandmete lekke vältimiseks on ettevõtetel nõutav rakendada meetmeid, mis on sarnased ISMS-i (Information Security Management System ehk infoturbe juhtimissüsteemi) poolt nõutavatega.

Allpool on toodud nõutavad meetmed:

  • Sisemiste eeskirjade väljatöötamine
  • Konfidentsiaalsuse tasemest lähtuv klassifitseerimine
  • Vajadusel krüpteerimine
  • Pseudonüümimise rakendamine
  • Töötajate koolitamine
  • Incidentidele reageerimise protsessi väljatöötamine jms

Turvalisuse juhtimise meetmete kohta on sätestatud nõuded ka küberjulgeoleku seaduses ja andmeturbe seaduses, seega on soovitatav hoolikalt korraldada kõigi kolme seaduse nõuded ja kinnitada vastumeetmed.

Seotud artikkel: Mis on Hiina küberjulgeoleku seadus? Järgimise põhipunktid selgitatud[ja]

Seotud artikkel: Mis on Hiina andmeturbe seadus? Jaapani ettevõtetele vajalikud meetmed selgitatud[ja]

DPO ja esindaja määramise kohustus

Ettevõtted, kes käitlevad isikuandmeid teatud mahus, on kohustatud määrama DPO (andmekaitseametniku).

Lisaks peavad ettevõtted, kes kuuluvad väljaspool piirkonda kohaldatava regulatsiooni alla, seadma sisse esindaja Hiina territooriumil ning teavitama pädevat asutust esindaja nime ja kontaktandmetest.

Isikuandmete kaitse mõju hindamise kohustuslik läbiviimine

Ettevõtted peavad enne tegevuse alustamist läbi viima riskihindamise ja tagama riskide nõuetekohase kontrolli, kui nad vastavad järgmistest viiest tingimusest mõnele.

Kohustusliku läbiviimise juhtumid on järgmised:

  • Kui käideldakse tundlikke isikuandmeid
  • Kui tehakse automatiseeritud otsuseid
  • Kui isikuandmete töötlemine on delegeeritud või isikuandmeid edastatakse kolmandatele osapooltele
  • Kui isikuandmeid kantakse üle välisriiki
  • Kui tegevus avaldab olulist mõju isikute õigustele ja huvidele

Hiina isikuandmete kaitse seaduse sanktsioonid

Tähelepanu

Rikkumise korral võib ettevõtet oodata kõrge trahv (kuni 50 miljonit jüaani või eelneva aasta käibe 5%). Kuna seadus kehtib ka väljaspool Hiina territooriumi, peavad Hiinas tegutsevad Jaapani ettevõtted kiiresti reageerima.

Jaapani ettevõtetele vajalikud isikuandmete kaitse meetmed

Kontroll

Käesolevas peatükis tutvustame nelja meedet, mida Jaapani ettevõtted peaksid isikuandmete kaitseks rakendama.

Vaadake üle ettevõtte sisesed protsessid

Alustuseks tuleks üle vaadata ettevõtte sisesed protsessid. Kuna on olemas kohustus määrata esindaja või andmekaitseametnik (DPO), on vajalik ettevõtte struktuuri ülevaatamine.

Näiteks võib see hõlmata õigus- ja tehnikaspetsialistide osakonna loomist, kes vastutavad andmete, sealhulgas isikuandmete, üldise vastavuse eest, töövoogude korraldamist ja detailset andmemäppimist.

Uuendage reegleid ja poliitikaid

Samuti on oluline uuendada reegleid ja poliitikaid. On vaja uuendada reegleid ja poliitikaid, mis vastavad Hiina andmeseadustele.

Lisaks ei piisa ainult seadusnõuetele vastavate eeskirjade koostamisest, vaid on vaja luua ka kõigile töötajatele rakendatavad toimimisjuhised.

Mõistke tegelikke toiminguid

Kuna isikuandmete kaitse seadus võeti vastu hiljuti, 2021. aasta 1. novembril (Reiwa 3), on vajalik tegelike toimingute mõistmine ja pidevate meetmete rakendamine. Samuti on ettevõtte töötajatele kehtestatud nõue käsitleda isikuandmeid korrektselt ja järgida seadusi.

Seetõttu peaksid ettevõtted korraldama töötajatele regulaarseid koolitusi, et suurendada teadlikkust uusimatest seadustest ja protseduuridest.

Loo koostöövõrgustik ekspertidega

Koostöövõrgustiku loomine ja tugevdamine ekspertidega on samuti hädavajalik. Koostöö Hiina õigusnormide tundjatega võimaldab kiiret reageerimist. Lisaks peavad ettevõtted regulaarselt jälgima ja hindama isikuandmete kaitse vastavust. Seega on väliste ekspertidega koostöövõrgustiku loomine hädavajalik.

Kokkuvõte: Mõistke mitmeid õigusakte ja reageerige täpselt

Dokumendi selgitus

2021. aasta (Reiwa 3) 1. novembril jõustus Hiinas esmakordselt isikuandmete kaitset käsitlev kõikehõlmav seadus, mida nimetatakse “Hiina isikuandmete kaitse seaduseks”. Ettevõtetele, mis tegutsevad globaalselt, on Hiina andmeseadusandlus (küberjulgeoleku seadus, andmeside turvalisuse seadus ja isikuandmete kaitse seadus) turu olulisuse ja regulatsioonide ranguse tõttu möödapääsmatud õigusaktid. Vajadusel tuleks kasutada spetsialistide abi, et tagada vajalike toimingute nõuetekohane täitmine.

Meie büroo poolt pakutavad meetmed

Monolith õigusbüroo on IT ja eriti interneti ning õiguse valdkonnas rikkaliku kogemusega õigusbüroo. Viimastel aastatel on globaalne äri jätkuvalt laienenud ja professionaalse õigusliku kontrolli vajadus on üha suurenenud. Meie büroo pakub lahendusi rahvusvahelise õiguse valdkonnas.

Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigus ja välisäri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top