Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > A kínai személyes adatok védelméről szóló törvény: Mi az? A létrehozás hátterétől a japán vállalatok által alkalmazandó intézkedésekig

A kínai személyes adatok védelméről szóló törvény: Mi az? A létrehozás hátterétől a japán vállalatok által alkalmazandó intézkedésekig

General Corporate

A kínai személyes adatok védelméről szóló törvény: Mi az? A létrehozás hátterétől a japán vállalatok által alkalmazandó intézkedésekig

Azok között, akik Kínában tervezik vállalkozásuk kiterjesztését, vagy már megvalósították azt, a jogi ügyekért felelős szakemberek gyakran szembesülhetnek a kínai személyes adatvédelemmel kapcsolatos kérdésekkel és kihívásokkal.

Ebben a cikkben átfogóan bemutatjuk azokat a jogszabályokat, amelyeket ismerni érdemes, ha Kínában szeretnénk üzleti tevékenységet folytatni. Emellett világosan elmagyarázzuk a megfelelő reakciókat és azokat a pontokat, amelyekre a japán vállalatoknak különös figyelmet kell fordítaniuk. Használja ezt a cikket referenciaként, hogy megérthesse a kínai személyes adatvédelmi törvényt, és kezdje meg a szükséges intézkedések megtételét.

A kínai személyes adatok védelméről szóló törvény létrejöttének háttere és célja

Kínai zászló

Eddig Kínában nem létezett olyan törvény, amely átfogóan szabályozta volna a személyes adatok védelmét, mint a Japán személyes adatok védelméről szóló törvény. Azonban már korábban is voltak kezdeményezések egy ilyen törvény megalkotására, és 2021. november 1-jén (Reiwa 3) lépett életbe a ‘Kínai személyes adatok védelméről szóló törvény’, amely Kínában először határoz meg átfogóan személyes adatvédelmi szabályokat.

Különösen a ‘Kiberbiztonsági törvény’ és a ‘Adatbiztonsági törvény’ olyan jogszabályok, amelyek erősen hangsúlyozzák a nemzetbiztonsági elemeket, de a Kínai személyes adatok védelméről szóló törvény a személyek jogainak védelmére összpontosít.

A Kínai személyes adatok védelméről szóló törvény szerkezete nagyban befolyásolva van az Európai Unió Általános Adatvédelmi Rendeletének (GDPR) és más, a közelmúltban elfogadott külföldi jogszabályoknak. Azonban a jogosság alapjait és a személyek jogait illetően sajátos tartalommal rendelkezik, ezért egyedi megközelítést igényel.

A kínai személyes adatvédelmi törvény szabályozási hatálya

Célpont

Ebben a fejezetben a kínai személyes adatvédelmi törvény szabályozási hatályát ismertetjük.
Amennyiben az alábbi feltételek valamelyike teljesül, a szabályozás hatálya alá esik, ezért különös figyelmet érdemel.

  • Ha a cél az, hogy termékeket vagy szolgáltatásokat nyújtsanak Kína területén belüli személyek számára
  • Ha a cél Kína területén belüli személyek tevékenységének elemzése vagy értékelése
  • Egyéb, törvény által meghatározott esetek

A kínai személyes adatvédelmi törvény esetenként nem csak Kína területén belül, hanem külföldön is érvényesülhet. Továbbá, ha a tevékenység külföldön zajlik, de Kínában tartózkodó ‘személyek’ értékesítési tevékenységére vagy viselkedésének elemzésére irányul, akkor is alkalmazni kell a törvényt, ezért különös figyelmet érdemel.

A kínai személyes adatvédelmi törvény megértésének kulcsfontosságú pontjai

Ebben a fejezetben a kínai személyes adatvédelem megértéséhez nyolc kulcsfontosságú pontot tárgyalunk részletesen.

A jogszerűség alapjai

A vállalatok csak akkor kezelhetik a személyes adatokat, ha azok megfelelnek a Kínai Személyes Adatvédelmi Törvény (Chinese Personal Information Protection Law) által meghatározott jogszerűség valamely alapjának.

Az alapok a következő hét pontban foglalhatók össze:

  • Az érintett hozzájárulása
  • Szerződés teljesítése
  • Jogszabályi kötelezettség teljesítése
  • Közegészségügy
  • A köz javára
  • Nyilvánosságra hozott személyes adatok kezelése
  • Egyéb, jogszabályban meghatározott körülmények

Mint látható, az Európai Általános Adatvédelmi Rendeletben (General Data Protection Regulation, GDPR) szereplő “jogos érdek” nem szerepel ezek között. Ezért feltételezhető, hogy a GDPR-hoz képest több esetben lesz szükség az érintett hozzájárulására a személyes adatok kezeléséhez.

Továbbá, a hozzájárulásnak olyan formában kell lennie, amelyet az érintett “bármikor könnyedén visszavonhat”. Szükséges lehet a felhasználói felületet úgy kialakítani, hogy a visszavonás egyszerűen megvalósítható legyen, valamint a visszavonás módját érthetően és tömören leírni.

Információszolgáltatás

A vállalatoknak, mielőtt személyes adatokat kezelnek, a Kínai Személyes Adatvédelmi Törvény (Chinese Personal Information Protection Law) által előírt követelményeket világos és érthető nyelven kell közölniük az érintettel.

Ezenfelül nem csak a kezelés célját kell ismertetni, hanem a feldolgozás módját, a személyes adatok típusát, a tárolás időtartamát, valamint az érintett jogainak gyakorlásának módját és eljárását is részletesen tájékoztatni kell.

Megállapodás az alvállalkozóval

Amennyiben személyes adatok kezelését kívánjuk alvállalkozóra bízni, szükséges előzetesen megállapodnunk az alvállalkozóval a feldolgozás céljáról, határidejéről, módszeréről és a védelmi intézkedésekről egy alvállalkozói szerződés keretében.

Ezzel egyidejűleg fel kell vállalnunk a felügyeleti felelősséget is az alvállalkozói feldolgozással kapcsolatban. Ha más vállalatokkal közösen kezelünk személyes adatokat, akkor az alvállalkozói megbízás esetéhez hasonlóan előzetesen egyeztessünk a személyes adatok kezelésének céljáról és módszeréről, valamint a felek jogairól és kötelezettségeiről.

Határokon átnyúló adatátvitel szabályozása

Amikor Kínában gyűjtött személyes adatokat harmadik országbeli feleknek kívánjuk átadni, a következő két lépést kell megtennünk.

Az első lépés, hogy tájékoztatjuk az adatok címzettjét a nevéről, elérhetőségéről, az adatok feldolgozásának céljáról, módszeréről, a személyes adatok típusáról, valamint arról, hogy az érintett személyek hogyan gyakorolhatják jogosultságaikat a címzettel szemben, és milyen eljárásokat kell követniük. Ezenkívül az érintett személyek egyedi hozzájárulását is szükséges beszereznünk.

A második lépés, hogy a következő négy intézkedés közül legalább egyet meg kell valósítanunk:

  • Nemzeti biztonsági értékelésen való sikeres átmenet
  • Személyes adatvédelmi szakértői szervezet által kiadott tanúsítvány megszerzése
  • Standard szerződések alapján szerződés kötése a külföldi adatcímzettel
  • A nemzeti internetinformációs hivatal által meghatározott egyéb feltételek teljesítése

Az átadandó személyes adatok tartalmától függően a nemzeti biztonsági értékelés kötelező lehet. Ezért a “Data Cross-Border Transfer Security Assessment Procedures” (Adatok nemzetközi átadásának biztonsági értékelési eljárásai) előírásai szerint ellenőrizzük a nemzeti biztonsági értékelés szükségességét, és ez alapján válasszuk ki a megfelelő intézkedéseket.

Jogokról

A Kínai Személyes Adatvédelmi Törvény (中国個人情報保護法) az érintettek számára többek között a következő jogokat ismeri el: a tájékoztatáshoz való jog, a megtekintés joga, a másolási jog, a visszavonási jog, az adathordozhatóság, a helyesbítés joga és a törlés joga.

Ezenfelül elismer egy olyan jogot is, amelyet az GDPR nem ismer el, nevezetesen a “halottak jogait”. A “halottak jogai” azt jelentik, hogy ha az érintett meghal, a közeli hozzátartozók gyakorolhatják a halott jogait helyette. Ezért fontos figyelembe venni a halottak személyes adatainak védelmét is.

Incidenst jelentési kötelezettsége

A személyes adatok szivárgásának megelőzése érdekében a vállalatoknak az ISMS (Információbiztonsági Irányítási Rendszer) által követelt intézkedésekhez hasonlóan kell eljárniuk.

A következők példák a vállalatoktól elvárt intézkedésekre:

  • Belső szabályzatok kidolgozása
  • A bizalmas információk besorolása és kezelése
  • Szükség esetén titkosítás
  • Pseudonimizáció és hasonló intézkedések végrehajtása
  • Dolgozók oktatása
  • Incidensreagálási folyamatok kidolgozása

A biztonsági intézkedésekkel kapcsolatban a japán kiberbiztonsági törvény és az adatbiztonsági törvény is rendelkezéseket tartalmaz, ezért ajánlott a három törvény követelményeit alaposan áttekinteni és a megfelelő intézkedéseket ellenőrizni.

Kapcsolódó cikkek: Mi a kínai kiberbiztonsági törvény? A betartásának kulcsfontosságú pontjai[ja]

Kapcsolódó cikkek: Mi a kínai adatbiztonsági törvény? A japán vállalatok által alkalmazandó intézkedések[ja]

Adatvédelmi Tisztviselő (DPO) és képviselő kinevezésének kötelezettsége

Amennyiben egy vállalat által kezelt személyes adatok száma eléri egy meghatározott mennyiséget, kötelezővé válik egy Adatvédelmi Tisztviselő (DPO) kinevezése.

Továbbá, azok a vállalatok, amelyekre kiterjed a határokon átnyúló alkalmazás, kötelesek képviselőt állítani Kínában, és a képviselő nevét, elérhetőségét be kell jelenteniük a felelős hatóságnak.

A személyes adatok védelmének hatásvizsgálatának elvégzésére vonatkozó kötelezettség

A vállalatoknak, amennyiben az alábbi öt eset egyikébe tartoznak, előzetesen kockázatértékelést kell végezniük, és megfelelően kell kezelniük a kockázatokat.

A hatásvizsgálat elvégzésének kötelező esetei a következők:

  • Érzékeny információk kezelése esetén
  • Automatizált döntéshozatali folyamatok alkalmazása esetén
  • Személyes adatok kezelésének megbízásakor vagy harmadik félnek történő átadásakor
  • Személyes adatok külföldre történő átadása esetén
  • Amennyiben az intézkedés jelentős hatással van az egyének jogaira és érdekeire

A személyes adatok védelméről szóló kínai törvény büntetései

Figyelem

Amennyiben megszegik a törvényt, magas pénzbírságok kiszabásának kockázata áll fenn (akár 50 millió jüanig, vagy az előző évi árbevétel 5%-a). Mivel a törvény hatályát kiterjesztik a határokon túlra is, a Kínában üzleti tevékenységet folytató japán vállalatoknak sürgősen kell intézkedéseket hozniuk.

A japán vállalatok által megvalósítandó személyes adatok védelmére vonatkozó intézkedések

Ellenőrzés

Ebben a fejezetben négy olyan intézkedést mutatunk be, amelyeket a japán vállalatoknak meg kell valósítaniuk a személyes adatok védelme érdekében.

A vállalati struktúra felülvizsgálata

Először is fontos átgondolni a vállalati struktúrát. Mivel kötelező a képviselő vagy az adatvédelmi tisztviselő (DPO) kinevezése, szükséges lehet a vállalati struktúra felülvizsgálata.

Példaként említhető a személyes adatokat tartalmazó adatok általános megfelelőségi feladatait ellátó jogi és technikai szakosztályok létrehozása, a munkafolyamatok rendszerezése, részletes adattérképezés végrehajtása és egyéb hasonló tevékenységek.

Szabályzatok és irányelvek frissítése

A szabályzatok és irányelvek frissítése is kulcsfontosságú. Frissíteni kell a szabályzatokat és irányelveket a kínai adatvédelmi törvényeknek megfelelően.

Ezenkívül nem elég csak a jogszabályi követelményeket tükröző szabályzatokat kidolgozni, hanem olyan működési rendszert kell kialakítani, amelyet minden alkalmazott képes végrehajtani.

A működés valós állapotának megismerése

Mivel a személyes adatok védelméről szóló törvény (2021) november 1-jén lépett életbe, folyamatosan szükséges a működés valós állapotának megismerése és az intézkedések megtétele. A vállalatok alkalmazottaira is vonatkoznak a megfelelő kezelés és a jogszabályok szigorú betartásának szabályai.

Ezért a vállalatoknak rendszeresen kell képzéseket tartaniuk az alkalmazottak számára, hogy naprakészek legyenek a legújabb jogszabályokkal és eljárásokkal kapcsolatban.

Együttműködési rendszer kiépítése szakértőkkel

A szakértőkkel való együttműködési rendszer kiépítése vagy megerősítése is elengedhetetlen. A kínai jogszabályokat jól ismerő szakértőkkel való együttműködés révén gyorsan lehet reagálni. Ezenkívül a vállalatoknak rendszeresen kell felügyelniük és értékelniük kell a személyes adatok védelmének megfelelőségi helyzetét. Ezért elmondható, hogy a külső szakértőkkel való együttműködési rendszer kiépítése nélkülözhetetlen.

Összefoglalás: Több jogszabály megértése és pontos megfelelés

Dokumentáció leírása

2021. november 1-jén (Reiwa 3) lépett életbe Kínában az első átfogó ‘Kínai Személyes Adatvédelmi Törvény’. A globálisan működő vállalatok számára a kínai adatvédelmi szabályozások (kiberbiztonsági törvény, adatbiztonsági törvény és személyes adatvédelmi törvény) elengedhetetlenek, figyelembe véve a piac jelentőségét és a szabályozások szigorúságát. Szükség esetén szakértők bevonásával biztosítsuk, hogy a szükséges gyakorlati feladatokat hatékonyan tudjuk végrehajtani.

Intézkedéseink bemutatása a Monolith Ügyvédi Irodánál

A Monolith Ügyvédi Iroda az IT területén, különösen az internet és a jogi szolgáltatások terén rendelkezik gazdag tapasztalattal. A globális üzleti tevékenységek az utóbbi években egyre inkább terjednek, és a szakértői jogi ellenőrzés szükségessége egyre növekszik. Irodánk nemzetközi jogi ügyekben nyújt megoldásokat.

A Monolith Ügyvédi Iroda által kezelt területek: Nemzetközi jogi ügyek és külföldi vállalkozások[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Mire érdemes figyelni az ügyfélbevezető típusú ügynökségi szerződéseknél?

Mire érdemes figyelni az ügyfélbevezető típusú ügynökségi szerződéseknél?

General Corporate

Cégek, amelyek e-sportokat támogatnak: Milyen jogi kérdésekre kell figyelniük? A várható szerződési tételek ismertetése

Cégek, amelyek e-sportokat támogatnak: Milyen jogi kérdésekre kell figyelniük? A várható szerződ.

General Corporate

A UI, menük és egyéb designok lopása szerzői jogi megsértésnek számít-e?

A UI, menük és egyéb designok lopása szerzői jogi megsértésnek számít-e?

General Corporate

A jogszabályok a stéma és egyéb hirdetési és promóciós tevékenységekre vonatkozóan az élelmiszeriparban

A jogszabályok a stéma és egyéb hirdetési és promóciós tevékenységekre vonatkozóan az élelmiszer.

General Corporate

'Személyes használatra OK' és egyéb korlátozott felhasználású ingyenes anyagok használatának figyelembe veendő szempontjai

'Személyes használatra OK' és egyéb korlátozott felhasználású ingyenes anyagok használatának fig.

General Corporate

Mire kell figyelni a DX támogató projektek szerződéseinek elkészítésekor?

Mire kell figyelni a DX támogató projektek szerződéseinek elkészítésekor?

General Corporate

Ne hibázzunk!

Ne hibázzunk! "Személyes M&A" - Amit tudnunk kell a jogról

General Corporate

Letartóztatnak, ha megsérti a 'Japán Gyógyszerészeti és Orvosi Eszközök Törvényét'? Magyarázat a 'Japán Gyógyszerészeti és Orvosi Eszközök Törvényének' megsértésének büntetésére

Letartóztatnak, ha megsérti a 'Japán Gyógyszerészeti és Orvosi Eszközök Törvényét'? Magyarázat a.

General Corporate

A letartóztatási előzmények és a büntető előélet tényleges nevéről szóló híradások jogi problémái ~ Nem sérti-e a becsület rongálását és a személyes adatok védelmét?

A letartóztatási előzmények és a büntető előélet tényleges nevéről szóló híradások jogi problémá.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére