Apakah Undang-Undang Perlindungan Data Pribadi China? Penjelasan dari Latar Belakang Pembentukannya hingga Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang
Bagi para praktisi hukum di perusahaan yang berencana atau sudah mengembangkan bisnisnya di Tiongkok, mungkin sering menghadapi kebingungan mengenai perlindungan data pribadi di Tiongkok.
Artikel ini akan menyajikan secara komprehensif regulasi-regulasi yang perlu diketahui saat mengembangkan bisnis di Tiongkok. Kami juga akan menjelaskan metode penanganan dan poin-poin yang harus diperhatikan oleh perusahaan Jepang dengan cara yang mudah dipahami. Silakan gunakan artikel ini sebagai referensi untuk memahami undang-undang perlindungan data pribadi Tiongkok dan memulai pengambilan langkah-langkah perlindungan.
Latar Belakang dan Tujuan Ditetapkannya Undang-Undang Perlindungan Data Pribadi di China
Selama ini di China, tidak ada undang-undang yang secara komprehensif menetapkan perlindungan data pribadi seperti Undang-Undang Perlindungan Data Pribadi Jepang. Namun, telah ada upaya untuk merancang undang-undang perlindungan data pribadi sejak lama, dan pada tanggal 1 November 2021, ‘Undang-Undang Perlindungan Data Pribadi China’ diberlakukan sebagai undang-undang pertama di China yang secara komprehensif mengatur perlindungan data pribadi.
Khususnya, ‘Undang-Undang Keamanan Siber’ dan ‘Undang-Undang Keamanan Data’ adalah undang-undang yang memiliki unsur keamanan nasional yang kuat, namun Undang-Undang Perlindungan Data Pribadi China lebih menekankan pada perlindungan hak-hak individu.
Kerangka kerja Undang-Undang Perlindungan Data Pribadi China tampaknya sangat dipengaruhi oleh regulasi hukum negara-negara lain belakangan ini, seperti ‘Regulasi Perlindungan Data Umum Uni Eropa (GDPR)’. Namun, karena ada poin-poin yang diakui sebagai dasar keabsahan dan detail-detail mengenai hak-hak subjek data yang bersifat unik, diperlukan strategi penanganan yang spesifik.
Subjek Regulasi Undang-Undang Perlindungan Data Pribadi Tiongkok
Pada bab ini, kami akan menjelaskan subjek regulasi dari Undang-Undang Perlindungan Data Pribadi Tiongkok.
Perhatikan bahwa subjek berikut ini akan menjadi sasaran regulasi:
- Kasus di mana tujuannya adalah untuk menyediakan barang atau jasa kepada individu di dalam negeri Tiongkok
- Kasus di mana tujuannya adalah untuk menganalisis atau mengevaluasi perilaku individu di dalam negeri Tiongkok
- Kasus lain yang ditentukan oleh peraturan perundang-undangan
Undang-Undang Perlindungan Data Pribadi Tiongkok dalam beberapa kasus dapat berlaku tidak hanya di dalam negeri Tiongkok tetapi juga di luar negeri. Selain itu, meskipun berada di luar negeri, jika Anda melakukan kegiatan penjualan atau analisis perilaku yang ditujukan kepada ‘individu’ yang berada di Tiongkok, maka undang-undang tersebut akan diterapkan, sehingga penting untuk berhati-hati.
Poin-Poin Penting dalam Memahami Undang-Undang Perlindungan Data Pribadi Tiongkok
Dalam bab ini, kami akan menjelaskan delapan poin penting untuk memahami perlindungan data pribadi di Tiongkok.
Dasar Hukum Keabsahan
Perusahaan hanya dapat menangani informasi pribadi jika memenuhi salah satu dasar keabsahan yang ditetapkan oleh Undang-Undang Perlindungan Informasi Pribadi Tiongkok.
Ada tujuh dasar keabsahan sebagai berikut:
- Persetujuan dari individu yang bersangkutan
- Pelaksanaan kontrak
- Pemenuhan kewajiban hukum
- Kesehatan masyarakat
- Kepentingan umum
- Pengolahan informasi pribadi yang dipublikasikan
- Keadaan lain yang ditetapkan oleh peraturan dan sebagainya
Seperti yang dapat kita lihat, ‘kepentingan yang sah’ yang ada dalam GDPR tidak termasuk di dalamnya. Oleh karena itu, dibandingkan dengan GDPR, dapat diantisipasi bahwa akan ada lebih banyak situasi di mana persetujuan individu diperlukan sebagai dasar untuk menangani informasi pribadi.
Selain itu, persetujuan itu sendiri harus didefinisikan sebagai sesuatu yang ‘dapat dengan mudah ditarik kembali oleh individu kapan saja’. Oleh karena itu, diperlukan perhatian khusus, seperti membuat antarmuka pengguna (UI) yang memudahkan penarikan persetujuan dan menyajikan metode penarikan secara singkat dan jelas.
Informasi Penyediaan
Sebelum mengelola data pribadi, perusahaan harus memberitahukan kepada individu terkait dengan menggunakan bahasa yang jelas dan mudah dipahami mengenai hal-hal yang diwajibkan oleh Undang-Undang Perlindungan Data Pribadi Tiongkok.
Selain itu, perusahaan juga diwajibkan untuk memberikan informasi rinci, tidak hanya tujuan pengelolaan, tetapi juga metode pemrosesan, jenis data pribadi yang dikumpulkan, periode penyimpanan, serta cara dan prosedur untuk melaksanakan hak-hak individu tersebut.
Kesepakatan dengan Pihak yang Diberi Tugas
Ketika menyerahkan penanganan informasi pribadi kepada pihak lain, Anda perlu menyetujui tujuan pengolahan, batas waktu, metode, dan tindakan perlindungan melalui kontrak penugasan atau sejenisnya.
Di samping itu, Anda juga akan bertanggung jawab atas pengawasan terhadap proses penugasan tersebut. Saat menangani informasi pribadi bersama dengan perusahaan lain, pastikan untuk menyepakati tujuan dan metode penanganan informasi pribadi serta hak dan kewajiban kedua belah pihak terlebih dahulu, sama seperti dalam kasus penugasan.
Regulasi Transfer Data Lintas Negara
Ketika menyediakan informasi pribadi yang dikumpulkan di dalam negeri China kepada pihak ketiga di luar negeri, ada dua tindakan yang diperlukan.
Pertama, Anda harus memberitahukan nama dan kontak dari penerima informasi pribadi, tujuan pengolahan, metode pengolahan, jenis informasi pribadi, serta cara dan prosedur yang dapat dilakukan oleh individu untuk mengeksekusi hak mereka terhadap penerima. Selanjutnya, Anda harus memperoleh persetujuan individu secara terpisah.
Kedua, Anda harus melaksanakan salah satu dari empat tindakan berikut:
- Lulus evaluasi keamanan nasional
- Mendapatkan sertifikasi perlindungan informasi pribadi dari lembaga profesional
- Mengadakan kontrak dengan penerima di luar wilayah berdasarkan kontrak standar
- Memenuhi kondisi lain yang ditetapkan oleh departemen informasi internet nasional
Bergantung pada konten informasi pribadi yang akan ditransfer, evaluasi keamanan nasional mungkin diperlukan. Oleh karena itu, sesuai dengan ‘Metode Evaluasi Keamanan Transfer Data Luar Negeri’, periksa apakah evaluasi keamanan nasional diperlukan sebelum memilih tindakan yang harus diambil.
Tentang Hak
Undang-Undang Perlindungan Data Pribadi Tiongkok memberikan berbagai hak kepada individu, termasuk hak untuk mengetahui, hak untuk mengakses, hak untuk menyalin, hak untuk menarik kembali, portabilitas, hak untuk memperbaiki, dan hak untuk menghapus data mereka.
Selain itu, Undang-Undang ini juga mengakui ‘hak orang yang telah meninggal’, yang tidak diakui oleh GDPR. ‘Hak orang yang telah meninggal’ memungkinkan kerabat dekat untuk menggunakan hak-hak tersebut atas nama orang yang telah meninggal. Oleh karena itu, penting untuk memperhatikan perlindungan informasi orang yang telah meninggal.
Kewajiban Melaporkan Insiden
Untuk mencegah kebocoran informasi pribadi, perusahaan diharuskan untuk mengambil tindakan yang serupa dengan yang diminta oleh ISMS (Information Security Management System).
Berikut adalah contoh tindakan yang diharuskan:
- Penyusunan peraturan internal
- Manajemen klasifikasi sesuai dengan tingkat kerahasiaan
- Enkripsi sesuai kebutuhan
- Implementasi pseudonimisasi dan lainnya
- Pelaksanaan pendidikan bagi karyawan
- Penyusunan proses respons insiden, dan lain-lain
Langkah-langkah manajemen keamanan juga diatur dalam Undang-Undang Keamanan Siber Jepang dan Undang-Undang Keamanan Data Jepang, sehingga disarankan untuk mengatur dan memeriksa langkah-langkah yang sesuai dengan persyaratan ketiga undang-undang tersebut.
Artikel terkait: Apa itu Undang-Undang Keamanan Siber China? Poin-poin Penting untuk Kepatuhan[ja]
Artikel terkait: Apa itu Undang-Undang Keamanan Data China? Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang[ja]
Kewajiban Penunjukan DPO dan Perwakilan
Perusahaan diwajibkan untuk menunjuk seorang DPO (Data Protection Officer) ketika jumlah informasi pribadi yang mereka tangani mencapai jumlah tertentu.
Selain itu, perusahaan yang menjadi subjek penerapan ekstrateritorial harus menetapkan perwakilan di dalam negeri China, dan melaporkan nama serta kontak perwakilan tersebut kepada otoritas yang berwenang.
Kewajiban Melaksanakan Penilaian Dampak Perlindungan Data Pribadi
Perusahaan diwajibkan untuk melakukan penilaian risiko terlebih dahulu dan mengendalikan risiko dengan tepat jika memenuhi salah satu dari lima kondisi berikut.
Kasus-kasus yang memerlukan kewajiban pelaksanaan adalah sebagai berikut:
- Menangani informasi sensitif
- Melakukan pengambilan keputusan yang terautomasi
- Menyerahkan pengelolaan data pribadi kepada pihak ketiga atau menyediakan data pribadi kepada pihak ketiga
- Transfer data pribadi ke luar negeri
- Kasus yang memberikan dampak signifikan terhadap hak dan kepentingan individu
Sanksi Hukum Perlindungan Data Pribadi di Tiongkok
Apabila terjadi pelanggaran, risiko dikenakan sanksi yang tinggi sangat mungkin terjadi, dengan denda maksimal mencapai 50 juta yuan atau 5% dari omzet tahunan sebelumnya. Karena hukum ini juga berlaku di luar wilayah Tiongkok, perusahaan-perusahaan Jepang yang mengembangkan bisnisnya di Tiongkok harus segera mengambil langkah-langkah yang diperlukan.
Langkah-langkah yang Harus Dilakukan oleh Perusahaan Jepang dalam Menghadapi Undang-Undang Perlindungan Data Pribadi
Dalam bab ini, kami akan memperkenalkan empat langkah perlindungan data pribadi yang harus dilakukan oleh perusahaan Jepang.
Meninjau Struktur Organisasi Internal
Pertama-tama, pertimbangkan untuk meninjau struktur organisasi internal Anda. Karena ada kewajiban untuk menunjuk seorang perwakilan atau Data Protection Officer (DPO), perlu untuk meninjau kembali struktur organisasi perusahaan.
Sebagai contoh, ada berbagai langkah yang dapat diambil, seperti mendirikan departemen khusus yang bertanggung jawab atas kepatuhan data yang mencakup informasi pribadi, mengatur alur kerja, dan melaksanakan pemetaan data yang rinci.
Memperbarui Regulasi dan Kebijakan
Memperbarui regulasi dan kebijakan juga sangat penting. Perlu untuk memperbarui regulasi dan kebijakan agar sesuai dengan tiga undang-undang data China.
Selain itu, tidak hanya menciptakan regulasi yang mencerminkan persyaratan hukum, tetapi juga penting untuk menyiapkan operasional yang dapat dijalankan oleh semua karyawan.
Memahami Realitas Operasional
Karena Undang-Undang Perlindungan Data Pribadi baru diberlakukan pada tanggal 1 November 2021, perlu untuk terus-menerus mengambil langkah-langkah sambil memahami realitas operasional. Selain itu, semua karyawan yang tergabung dalam perusahaan juga diwajibkan untuk menangani informasi dengan tepat dan mematuhi hukum secara ketat.
Oleh karena itu, perusahaan harus secara rutin menyelenggarakan pelatihan untuk karyawan dan meningkatkan kesadaran mereka tentang peraturan dan prosedur terbaru.
Membangun Kerjasama dengan Para Ahli
Membangun dan memperkuat kerjasama dengan para ahli juga sangat penting. Dengan membangun kerjasama dengan ahli yang menguasai regulasi hukum China, Anda dapat merespons dengan cepat. Selain itu, perusahaan perlu secara rutin memantau dan mengevaluasi keadaan kepatuhan perlindungan data pribadi. Oleh karena itu, pembangunan kerjasama dengan ahli eksternal adalah hal yang esensial.
Kesimpulan: Memahami Berbagai Regulasi Hukum dan Melakukan Tindakan yang Tepat
Pada tanggal 1 November 2021, ‘Undang-Undang Perlindungan Data Pribadi Tiongkok’ yang pertama kali secara komprehensif mengatur perlindungan data pribadi telah diberlakukan di Tiongkok. Bagi perusahaan yang mengembangkan bisnis secara global, regulasi terkait data Tiongkok (Undang-Undang Keamanan Siber, Undang-Undang Keamanan Data, dan Undang-Undang Perlindungan Data Pribadi) merupakan peraturan yang tidak bisa diabaikan, mengingat pentingnya pasar dan ketatnya regulasi. Dalam beberapa kasus, Anda mungkin perlu meminta bantuan dari para ahli sambil mempersiapkan sistem yang memadai untuk melaksanakan praktik yang diperlukan.
Panduan Tindakan dari Kantor Kami
Kantor Hukum Monolith adalah firma hukum yang memiliki pengalaman kaya dalam IT, khususnya internet dan hukum. Dalam beberapa tahun terakhir, bisnis global semakin berkembang, dan kebutuhan akan pemeriksaan hukum oleh para ahli pun semakin meningkat. Kantor kami menyediakan solusi terkait hukum internasional.
Bidang layanan Kantor Hukum Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]