Mitä Kiinan henkilötietojen suojalaki on? Selitys lain säätämisen taustoista ja toimenpiteistä, joita japanilaisyritysten tulisi toteuttaa

Monet yritykset, jotka suunnittelevat liiketoimintansa laajentamista Kiinaan tai ovat jo laajentaneet sinne, saattavat kohdata haasteita Kiinan henkilötietojen suojaa koskevien säännösten kanssa.

Tässä artikkelissa esittelemme kattavasti ne säädökset, jotka on hyvä tietää liiketoimintaa Kiinassa harjoittaessa. Lisäksi selitämme selkeästi, miten niihin tulisi suhtautua ja mitä seikkoja japanilaisyritysten tulisi erityisesti ottaa huomioon. Käyttäkää tätä artikkelia hyväksenne ymmärtääksenne Kiinan henkilötietojen suojalainsäädäntöä ja aloittaaksenne tarvittavien toimenpiteiden suunnittelun.

Kiinan henkilötietojen suojalain tausta ja tavoitteet

Aiemmin Kiinassa ei ollut olemassa kattavaa henkilötietojen suojaa koskevaa lakia, kuten Japanin henkilötietojen suojalakia. Kuitenkin henkilötietojen suojalain kehittämiseen tähtääviä toimia oli havaittavissa jo aiemmin, ja 1. marraskuuta 2021 (Reiwa 3) astui voimaan ‘Kiinan henkilötietojen suojalaki’, joka on ensimmäinen Kiinassa henkilötietojen suojan kattavasti sääntelevä laki.

Erityisesti ‘Kyberturvallisuuslaki’ ja ‘Tietoturvallisuuslaki’ ovat lakeja, joissa korostuu kansallisen turvallisuuden näkökulma, mutta Kiinan henkilötietojen suojalaki keskittyy enemmän yksilön oikeuksien suojelemiseen.

Kiinan henkilötietojen suojalain runko näyttää saaneen suurta vaikutusta muista maista viime aikoina säädetyistä laeista, kuten ‘EU:n yleisestä tietosuoja-asetuksesta (GDPR)’. Kuitenkin laillisuuden perusteet ja henkilön oikeuksien kaltaiset yksityiskohdat ovat ainutlaatuisia, mikä edellyttää erityisiä toimenpiteitä.

Kiinan henkilötietojen suojalain sääntelyn kohteet

Tässä luvussa käsittelemme Kiinan henkilötietojen suojalain sääntelyn kohteita.
Mikäli seuraavat ehdot täyttyvät, toiminta kuuluu sääntelyn piiriin, joten on syytä olla tarkkana.

• Kun tarkoituksena on tarjota tuotteita tai palveluita Kiinan sisällä oleville henkilöille
• Kun tarkoituksena on analysoida tai arvioida Kiinan sisällä olevien henkilöiden toimintaa
• Muut laissa määritellyt tapaukset

Kiinan henkilötietojen suojalaki voi tietyissä tapauksissa ulottaa vaikutuksensa myös Kiinan ulkopuolelle. Lisäksi, vaikka toiminta tapahtuisi ulkomailla, jos se kohdistuu Kiinassa oleviin ‘henkilöihin’ myynnin tai käyttäytymisanalyysin muodossa, sovelletaan kyseistä lakia, joten on syytä olla tarkkana.

Kiinan henkilötietojen suojalain ymmärtämisen kannalta keskeiset seikat

Tässä luvussa käymme läpi kahdeksan keskeistä seikkaa, jotka auttavat ymmärtämään Kiinan henkilötietojen suojalakia.

Lainmukaisuuden perusteet

Yritykset voivat käsitellä henkilötietoja vain, jos ne täyttävät Kiinan henkilötietojen suojalain määrittelemät lainmukaisuuden perusteet.

Nämä perusteet ovat seuraavat seitsemän:

• Rekisteröidyn suostumus
• Sopimuksen täytäntöönpano
• Lakisääteisen velvoitteen noudattaminen
• Julkinen terveys
• Yleinen etu
• Julkistettujen henkilötietojen käsittely
• Lainsäädännössä määritellyt muut seikat

Kuten näkyy, GDPR:ssä mainittua “oikeutettua etua” ei sisällytetä. Tämän vuoksi voidaan olettaa, että tilanteita, joissa henkilötietoja on käsiteltävä rekisteröidyn suostumuksen perusteella, on GDPR:ään verrattuna enemmän.

Lisäksi suostumuksen on oltava sellainen, että “rekisteröity voi milloin tahansa helposti peruuttaa sen”. Tämä edellyttää huolellisuutta, kuten käyttöliittymän suunnittelua, joka mahdollistaa suostumuksen helpon peruuttamisen, ja peruuttamismenettelyn selkeää ja ymmärrettävää kuvausta.

Tiedonanto

Ennen henkilötietojen käsittelyn aloittamista yritysten on ilmoitettava selkeästi ja ymmärrettävästi henkilölle Kiinan henkilötietojen suojalain (Chinese Personal Information Protection Law) vaatimat seikat.

Lisäksi on tarpeen antaa yksityiskohtaisia tietoja paitsi käsittelyn tarkoituksesta, myös menetelmistä, henkilötietojen tyypeistä, säilytysajoista sekä oikeuksien käyttämisen tavoista ja menettelyistä.

Yhteistyökumppanin kanssa tehtävä sopimus

Kun ulkoistat henkilötietojen käsittelyn, on tärkeää sopia yhteistyökumppanin kanssa etukäteen käsittelyn tarkoituksesta, aikataulusta, menetelmistä ja suojatoimista esimerkiksi ulkoistussopimuksen avulla.

Samalla otat vastuun ulkoistetun käsittelyn valvonnasta. Kun käsittelet henkilötietoja yhdessä toisen yrityksen kanssa, on yhtä tärkeää sopia etukäteen henkilötietojen käsittelyn tarkoituksesta ja menetelmistä sekä molempien osapuolten oikeuksista ja velvollisuuksista, kuten ulkoistettaessa.

Rajat ylittävän tiedonsiirron sääntely

Kun Kiinassa kerättyjä henkilötietoja luovutetaan ulkomaisille kolmansille osapuolille, vaaditaan seuraavia kahta toimenpidettä.

Ensimmäinen toimenpide on ilmoittaa henkilötietojen vastaanottajan nimi, yhteystiedot, käsittelyn tarkoitus, käsittelymenetelmät, henkilötietojen tyypit sekä se, miten henkilö voi käyttää oikeuksiaan vastaanottajaa kohtaan, ja menettelyt. Lisäksi on hankittava henkilön suostumus erikseen.

Toinen toimenpide on toteuttaa jokin seuraavista neljästä toimesta:

• Kansallisen turvallisuusarvioinnin läpäiseminen
• Asiantuntijaorganisaation myöntämä henkilötietojen suojelun sertifiointi
• Sopimusten tekeminen standardisopimuksen perusteella alueen ulkopuolisten vastaanottajien kanssa
• Muiden kansallisen internet-tieto-osaston määrittelemien ehtojen täyttäminen

Tiedonsiirrettävien henkilötietojen sisällöstä riippuen kansallinen turvallisuusarviointi voi olla pakollinen. Siksi on tärkeää tarkistaa ‘Data Transfer Security Assessment Measures’ (データ国外移転安全評価弁法) (Japanese Data Transfer Security Assessment Measures) mukaisesti kansallisen turvallisuusarvioinnin tarve ennen kuin valitset toteutettavan toimenpiteen.

Oikeuksista

Kiinan henkilötietojen suojalaki (Chinese Personal Information Protection Law) myöntää henkilölle erilaisia oikeuksia, kuten oikeuden tietää, tarkastusoikeuden, jäljennösoikeuden, peruuttamisoikeuden, siirrettävyysoikeuden, oikaisuoikeuden ja poisto-oikeuden.

Lisäksi laissa tunnustetaan GDPR:ssä (General Data Protection Regulation) tunnustamaton “kuolleen henkilön oikeudet”. “Kuolleen henkilön oikeudet” tarkoittavat sitä, että jos henkilö kuolee, hänen lähisukulaisensa voivat käyttää kuolleen henkilön oikeuksia hänen puolestaan. Tästä syystä on tärkeää kiinnittää huomiota myös edesmenneiden henkilötietojen suojaamiseen.

Ilmoitusvelvollisuus tapahtumista

Henkilötietojen vuotojen estämiseksi yrityksiltä vaaditaan toimenpiteitä, jotka ovat samankaltaisia kuin ISMS:ssä (Information Security Management System) eli tietoturvallisuuden johtamisjärjestelmässä vaaditut.

Alla on esimerkkejä vaadituista toimenpiteistä:

• Sisäisten sääntöjen laatiminen
• Luottamuksellisuuden mukaan luokittelun hallinta
• Tarvittaessa salauksen käyttö
• Pseudonymisoinnin toteuttaminen
• Koulutuksen järjestäminen työntekijöille
• Incident response -prosessin kehittäminen

Tietoturvan hallintatoimenpiteistä säädetään myös kyberturvallisuuslaissa ja tietoturvallisuuslaissa, joten on suositeltavaa, että yritykset järjestävät ja tarkistavat toimenpiteensä huolellisesti näiden kolmen lain vaatimusten mukaisesti.

Liittyvä artikkeli: Mikä on Kiinan kyberturvallisuuslaki? Selitys noudatettavista keskeisistä kohdista[ja]

Liittyvä artikkeli: Mikä on Kiinan tietoturvallisuuslaki? Selitys Japanin yritysten toteuttamista toimenpiteistä[ja]

DPO:n ja edustajan nimittämisen velvollisuus

Yritysten on nimettävä DPO (tietosuojavastaava), kun käsiteltävän henkilötiedon määrä saavuttaa tietyn rajan.

Lisäksi alueen ulkopuolella toimivien yritysten, jotka kuuluvat Kiinan ulkomaan soveltamisalan piiriin, on perustettava edustaja Kiinaan ja ilmoitettava tämän nimi ja yhteystiedot vastuulliselle viranomaiselle.

Henkilötietojen suojan vaikutustenarvioinnin toteuttamisvelvollisuus

Yritysten on tarpeen suorittaa etukäteen riskien arviointi ja hallita riskejä asianmukaisesti, mikäli ne kuuluvat seuraavien viiden tilanteen johonkin:

Toteuttamisvelvollisuus on tarpeen seuraavissa tapauksissa:

• Arkaluonteisten tietojen käsittelyn yhteydessä
• Automaattisen päätöksenteon prosesseissa
• Kun henkilötietoja ulkoistetaan tai niitä jaetaan kolmansille osapuolille
• Kun henkilötietoja siirretään ulkomaille
• Kun toiminta voi merkittävästi vaikuttaa yksilön oikeuksiin ja etuihin

Kiinan henkilötietojen suojalain rangaistukset

Rikkomustapauksissa voidaan määrätä huomattavia sanktioita (jopa 50 miljoonaa juania tai edellisen vuoden liikevaihdon 5% sakkoja). Koska laki ulottuu myös Kiinan ulkopuolelle, Japanilaisen ~ yritysten, jotka harjoittavat liiketoimintaa Kiinassa, on ryhdyttävä pikaisiin toimenpiteisiin.

Toimenpiteet, joita japanilaisyritysten tulisi toteuttaa henkilötietojen suojalain (Japanese Personal Information Protection Law) mukaisesti

Tässä luvussa esittelemme neljä toimenpidettä, joita japanilaisyritysten tulisi toteuttaa henkilötietojen suojan varmistamiseksi.

Tarkista yrityksen sisäiset järjestelmät

Ensimmäisenä, harkitse yrityksen sisäisten järjestelmien tarkistamista. On tarpeen tarkistaa nämä järjestelmät, koska on olemassa velvollisuus nimittää edustaja tai tietosuojavastaava (DPO).

Esimerkkejä toimenpiteistä ovat henkilötietoja sisältävän datan compliance-toimintojen hoitavien oikeudellisten ja teknisten asiantuntijayksiköiden perustaminen, työprosessien järjestäminen ja yksityiskohtaisen datan kartografointi.

Päivitä säännöt ja politiikat

On myös tärkeää päivittää säännöt ja politiikat. Tarvitaan päivityksiä, jotka noudattavat Kiinan datakolmikkoa (Chinese Data Triad).

Lisäksi ei riitä, että luodaan vain lainsäädännön vaatimuksia heijastavia sääntöjä, vaan on myös kehitettävä käytäntöjä, joita kaikki työntekijät voivat toteuttaa.

Ymmärrä toiminnan todellisuus

Koska henkilötietojen suojalaki (Japanese Personal Information Protection Law) on säädetty vasta 2021 marraskuun 1. päivänä (Reiwa 3 (2021)), on tärkeää ymmärtää toiminnan todellisuus ja toteuttaa jatkuvia toimenpiteitä. Lisäksi yrityksen työntekijöille on asetettu sääntöjä asianmukaisesta käsittelystä ja lakien noudattamisesta.

Tästä syystä yritysten tulisi järjestää säännöllisiä koulutuksia työntekijöilleen ja varmistaa, että he ovat tietoisia uusimmista laeista ja menettelyistä.

Rakenna yhteistyöjärjestelmiä asiantuntijoiden kanssa

Yhteistyöjärjestelmien rakentaminen ja vahvistaminen asiantuntijoiden kanssa on myös välttämätöntä. Kiinan lainsäädäntöön perehtyneiden asiantuntijoiden kanssa rakennettu yhteistyöjärjestelmä mahdollistaa nopeat toimenpiteet. Lisäksi yritysten on säännöllisesti valvottava ja arvioitava henkilötietojen suojan compliance-tilannetta. Siksi ulkopuolisten asiantuntijoiden kanssa rakennettu yhteistyöjärjestelmä on välttämätön.

Yhteenveto: Ymmärrä useita lainsäädäntöjä ja toimi niiden mukaisesti

Kiinassa astui voimaan 1. marraskuuta 2021 ensimmäinen kattava ‘Kiinan henkilötietojen suojalaki’. Globaalisti toimiville yrityksille Kiinan tietosuojalainsäädäntö (kyberturvallisuuslaki, tietoturvallisuuslaki ja henkilötietojen suojalaki) on markkinoiden merkityksen ja sääntelyn tiukkuuden vuoksi lainsäädäntö, jota ei voi sivuuttaa. Tarvittaessa on tärkeää varmistaa, että yrityksellä on valmiudet suorittaa tarvittavat käytännön toimet ammattilaisten avulla.

Toimenpiteemme esittely

Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten palveluiden, rikkaan kokemuksen omaava lakitoimisto. Globalisaation myötä kansainvälinen liiketoiminta on kasvanut merkittävästi, ja asiantuntijoiden suorittaman oikeudellisen tarkastuksen tarve on lisääntynyt entisestään. Tarjoamme ratkaisuja kansainvälisiin oikeudellisiin kysymyksiin.

Monolith Lakitoimiston palvelualueet: Kansainvälinen oikeudellinen neuvonta ja ulkomaantoiminta[ja]