Indonesia English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_id/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Apakah Undang-Undang Perlindungan Data Pribadi China? Penjelasan dari Latar Belakang Pembentukannya hingga Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang

Apakah Undang-Undang Perlindungan Data Pribadi China? Penjelasan dari Latar Belakang Pembentukannya hingga Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang

General Corporate

Apakah Undang-Undang Perlindungan Data Pribadi China? Penjelasan dari Latar Belakang Pembentukannya hingga Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang

Bagi para praktisi hukum di perusahaan yang berencana atau sudah mengembangkan bisnisnya di Tiongkok, mungkin sering menghadapi kebingungan mengenai perlindungan data pribadi di Tiongkok.

Artikel ini akan menyajikan secara komprehensif regulasi-regulasi yang perlu diketahui saat mengembangkan bisnis di Tiongkok. Kami juga akan menjelaskan metode penanganan dan poin-poin yang harus diperhatikan oleh perusahaan Jepang dengan cara yang mudah dipahami. Silakan gunakan artikel ini sebagai referensi untuk memahami undang-undang perlindungan data pribadi Tiongkok dan memulai pengambilan langkah-langkah perlindungan.

Latar Belakang dan Tujuan Ditetapkannya Undang-Undang Perlindungan Data Pribadi di China

Bendera China

Selama ini di China, tidak ada undang-undang yang secara komprehensif menetapkan perlindungan data pribadi seperti Undang-Undang Perlindungan Data Pribadi Jepang. Namun, telah ada upaya untuk merancang undang-undang perlindungan data pribadi sejak lama, dan pada tanggal 1 November 2021, ‘Undang-Undang Perlindungan Data Pribadi China’ diberlakukan sebagai undang-undang pertama di China yang secara komprehensif mengatur perlindungan data pribadi.

Khususnya, ‘Undang-Undang Keamanan Siber’ dan ‘Undang-Undang Keamanan Data’ adalah undang-undang yang memiliki unsur keamanan nasional yang kuat, namun Undang-Undang Perlindungan Data Pribadi China lebih menekankan pada perlindungan hak-hak individu.

Kerangka kerja Undang-Undang Perlindungan Data Pribadi China tampaknya sangat dipengaruhi oleh regulasi hukum negara-negara lain belakangan ini, seperti ‘Regulasi Perlindungan Data Umum Uni Eropa (GDPR)’. Namun, karena ada poin-poin yang diakui sebagai dasar keabsahan dan detail-detail mengenai hak-hak subjek data yang bersifat unik, diperlukan strategi penanganan yang spesifik.

Subjek Regulasi Undang-Undang Perlindungan Data Pribadi Tiongkok

Target

Pada bab ini, kami akan menjelaskan subjek regulasi dari Undang-Undang Perlindungan Data Pribadi Tiongkok.
Perhatikan bahwa subjek berikut ini akan menjadi sasaran regulasi:

  • Kasus di mana tujuannya adalah untuk menyediakan barang atau jasa kepada individu di dalam negeri Tiongkok
  • Kasus di mana tujuannya adalah untuk menganalisis atau mengevaluasi perilaku individu di dalam negeri Tiongkok
  • Kasus lain yang ditentukan oleh peraturan perundang-undangan

Undang-Undang Perlindungan Data Pribadi Tiongkok dalam beberapa kasus dapat berlaku tidak hanya di dalam negeri Tiongkok tetapi juga di luar negeri. Selain itu, meskipun berada di luar negeri, jika Anda melakukan kegiatan penjualan atau analisis perilaku yang ditujukan kepada ‘individu’ yang berada di Tiongkok, maka undang-undang tersebut akan diterapkan, sehingga penting untuk berhati-hati.

Poin-Poin Penting dalam Memahami Undang-Undang Perlindungan Data Pribadi Tiongkok

Dalam bab ini, kami akan menjelaskan delapan poin penting untuk memahami perlindungan data pribadi di Tiongkok.

Dasar Hukum Keabsahan

Perusahaan hanya dapat menangani informasi pribadi jika memenuhi salah satu dasar keabsahan yang ditetapkan oleh Undang-Undang Perlindungan Informasi Pribadi Tiongkok.

Ada tujuh dasar keabsahan sebagai berikut:

  • Persetujuan dari individu yang bersangkutan
  • Pelaksanaan kontrak
  • Pemenuhan kewajiban hukum
  • Kesehatan masyarakat
  • Kepentingan umum
  • Pengolahan informasi pribadi yang dipublikasikan
  • Keadaan lain yang ditetapkan oleh peraturan dan sebagainya

Seperti yang dapat kita lihat, ‘kepentingan yang sah’ yang ada dalam GDPR tidak termasuk di dalamnya. Oleh karena itu, dibandingkan dengan GDPR, dapat diantisipasi bahwa akan ada lebih banyak situasi di mana persetujuan individu diperlukan sebagai dasar untuk menangani informasi pribadi.

Selain itu, persetujuan itu sendiri harus didefinisikan sebagai sesuatu yang ‘dapat dengan mudah ditarik kembali oleh individu kapan saja’. Oleh karena itu, diperlukan perhatian khusus, seperti membuat antarmuka pengguna (UI) yang memudahkan penarikan persetujuan dan menyajikan metode penarikan secara singkat dan jelas.

Informasi Penyediaan

Sebelum mengelola data pribadi, perusahaan harus memberitahukan kepada individu terkait dengan menggunakan bahasa yang jelas dan mudah dipahami mengenai hal-hal yang diwajibkan oleh Undang-Undang Perlindungan Data Pribadi Tiongkok.

Selain itu, perusahaan juga diwajibkan untuk memberikan informasi rinci, tidak hanya tujuan pengelolaan, tetapi juga metode pemrosesan, jenis data pribadi yang dikumpulkan, periode penyimpanan, serta cara dan prosedur untuk melaksanakan hak-hak individu tersebut.

Kesepakatan dengan Pihak yang Diberi Tugas

Ketika menyerahkan penanganan informasi pribadi kepada pihak lain, Anda perlu menyetujui tujuan pengolahan, batas waktu, metode, dan tindakan perlindungan melalui kontrak penugasan atau sejenisnya.

Di samping itu, Anda juga akan bertanggung jawab atas pengawasan terhadap proses penugasan tersebut. Saat menangani informasi pribadi bersama dengan perusahaan lain, pastikan untuk menyepakati tujuan dan metode penanganan informasi pribadi serta hak dan kewajiban kedua belah pihak terlebih dahulu, sama seperti dalam kasus penugasan.

Regulasi Transfer Data Lintas Negara

Ketika menyediakan informasi pribadi yang dikumpulkan di dalam negeri China kepada pihak ketiga di luar negeri, ada dua tindakan yang diperlukan.

Pertama, Anda harus memberitahukan nama dan kontak dari penerima informasi pribadi, tujuan pengolahan, metode pengolahan, jenis informasi pribadi, serta cara dan prosedur yang dapat dilakukan oleh individu untuk mengeksekusi hak mereka terhadap penerima. Selanjutnya, Anda harus memperoleh persetujuan individu secara terpisah.

Kedua, Anda harus melaksanakan salah satu dari empat tindakan berikut:

  • Lulus evaluasi keamanan nasional
  • Mendapatkan sertifikasi perlindungan informasi pribadi dari lembaga profesional
  • Mengadakan kontrak dengan penerima di luar wilayah berdasarkan kontrak standar
  • Memenuhi kondisi lain yang ditetapkan oleh departemen informasi internet nasional

Bergantung pada konten informasi pribadi yang akan ditransfer, evaluasi keamanan nasional mungkin diperlukan. Oleh karena itu, sesuai dengan ‘Metode Evaluasi Keamanan Transfer Data Luar Negeri’, periksa apakah evaluasi keamanan nasional diperlukan sebelum memilih tindakan yang harus diambil.

Tentang Hak

Undang-Undang Perlindungan Data Pribadi Tiongkok memberikan berbagai hak kepada individu, termasuk hak untuk mengetahui, hak untuk mengakses, hak untuk menyalin, hak untuk menarik kembali, portabilitas, hak untuk memperbaiki, dan hak untuk menghapus data mereka.

Selain itu, Undang-Undang ini juga mengakui ‘hak orang yang telah meninggal’, yang tidak diakui oleh GDPR. ‘Hak orang yang telah meninggal’ memungkinkan kerabat dekat untuk menggunakan hak-hak tersebut atas nama orang yang telah meninggal. Oleh karena itu, penting untuk memperhatikan perlindungan informasi orang yang telah meninggal.

Kewajiban Melaporkan Insiden

Untuk mencegah kebocoran informasi pribadi, perusahaan diharuskan untuk mengambil tindakan yang serupa dengan yang diminta oleh ISMS (Information Security Management System).

Berikut adalah contoh tindakan yang diharuskan:

  • Penyusunan peraturan internal
  • Manajemen klasifikasi sesuai dengan tingkat kerahasiaan
  • Enkripsi sesuai kebutuhan
  • Implementasi pseudonimisasi dan lainnya
  • Pelaksanaan pendidikan bagi karyawan
  • Penyusunan proses respons insiden, dan lain-lain

Langkah-langkah manajemen keamanan juga diatur dalam Undang-Undang Keamanan Siber Jepang dan Undang-Undang Keamanan Data Jepang, sehingga disarankan untuk mengatur dan memeriksa langkah-langkah yang sesuai dengan persyaratan ketiga undang-undang tersebut.

Artikel terkait: Apa itu Undang-Undang Keamanan Siber China? Poin-poin Penting untuk Kepatuhan[ja]

Artikel terkait: Apa itu Undang-Undang Keamanan Data China? Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang[ja]

Kewajiban Penunjukan DPO dan Perwakilan

Perusahaan diwajibkan untuk menunjuk seorang DPO (Data Protection Officer) ketika jumlah informasi pribadi yang mereka tangani mencapai jumlah tertentu.

Selain itu, perusahaan yang menjadi subjek penerapan ekstrateritorial harus menetapkan perwakilan di dalam negeri China, dan melaporkan nama serta kontak perwakilan tersebut kepada otoritas yang berwenang.

Kewajiban Melaksanakan Penilaian Dampak Perlindungan Data Pribadi

Perusahaan diwajibkan untuk melakukan penilaian risiko terlebih dahulu dan mengendalikan risiko dengan tepat jika memenuhi salah satu dari lima kondisi berikut.

Kasus-kasus yang memerlukan kewajiban pelaksanaan adalah sebagai berikut:

  • Menangani informasi sensitif
  • Melakukan pengambilan keputusan yang terautomasi
  • Menyerahkan pengelolaan data pribadi kepada pihak ketiga atau menyediakan data pribadi kepada pihak ketiga
  • Transfer data pribadi ke luar negeri
  • Kasus yang memberikan dampak signifikan terhadap hak dan kepentingan individu

Sanksi Hukum Perlindungan Data Pribadi di Tiongkok

Perhatian

Apabila terjadi pelanggaran, risiko dikenakan sanksi yang tinggi sangat mungkin terjadi, dengan denda maksimal mencapai 50 juta yuan atau 5% dari omzet tahunan sebelumnya. Karena hukum ini juga berlaku di luar wilayah Tiongkok, perusahaan-perusahaan Jepang yang mengembangkan bisnisnya di Tiongkok harus segera mengambil langkah-langkah yang diperlukan.

Langkah-langkah yang Harus Dilakukan oleh Perusahaan Jepang dalam Menghadapi Undang-Undang Perlindungan Data Pribadi

チェック

Dalam bab ini, kami akan memperkenalkan empat langkah perlindungan data pribadi yang harus dilakukan oleh perusahaan Jepang.

Meninjau Struktur Organisasi Internal

Pertama-tama, pertimbangkan untuk meninjau struktur organisasi internal Anda. Karena ada kewajiban untuk menunjuk seorang perwakilan atau Data Protection Officer (DPO), perlu untuk meninjau kembali struktur organisasi perusahaan.

Sebagai contoh, ada berbagai langkah yang dapat diambil, seperti mendirikan departemen khusus yang bertanggung jawab atas kepatuhan data yang mencakup informasi pribadi, mengatur alur kerja, dan melaksanakan pemetaan data yang rinci.

Memperbarui Regulasi dan Kebijakan

Memperbarui regulasi dan kebijakan juga sangat penting. Perlu untuk memperbarui regulasi dan kebijakan agar sesuai dengan tiga undang-undang data China.

Selain itu, tidak hanya menciptakan regulasi yang mencerminkan persyaratan hukum, tetapi juga penting untuk menyiapkan operasional yang dapat dijalankan oleh semua karyawan.

Memahami Realitas Operasional

Karena Undang-Undang Perlindungan Data Pribadi baru diberlakukan pada tanggal 1 November 2021, perlu untuk terus-menerus mengambil langkah-langkah sambil memahami realitas operasional. Selain itu, semua karyawan yang tergabung dalam perusahaan juga diwajibkan untuk menangani informasi dengan tepat dan mematuhi hukum secara ketat.

Oleh karena itu, perusahaan harus secara rutin menyelenggarakan pelatihan untuk karyawan dan meningkatkan kesadaran mereka tentang peraturan dan prosedur terbaru.

Membangun Kerjasama dengan Para Ahli

Membangun dan memperkuat kerjasama dengan para ahli juga sangat penting. Dengan membangun kerjasama dengan ahli yang menguasai regulasi hukum China, Anda dapat merespons dengan cepat. Selain itu, perusahaan perlu secara rutin memantau dan mengevaluasi keadaan kepatuhan perlindungan data pribadi. Oleh karena itu, pembangunan kerjasama dengan ahli eksternal adalah hal yang esensial.

Kesimpulan: Memahami Berbagai Regulasi Hukum dan Melakukan Tindakan yang Tepat

Penjelasan Materi

Pada tanggal 1 November 2021, ‘Undang-Undang Perlindungan Data Pribadi Tiongkok’ yang pertama kali secara komprehensif mengatur perlindungan data pribadi telah diberlakukan di Tiongkok. Bagi perusahaan yang mengembangkan bisnis secara global, regulasi terkait data Tiongkok (Undang-Undang Keamanan Siber, Undang-Undang Keamanan Data, dan Undang-Undang Perlindungan Data Pribadi) merupakan peraturan yang tidak bisa diabaikan, mengingat pentingnya pasar dan ketatnya regulasi. Dalam beberapa kasus, Anda mungkin perlu meminta bantuan dari para ahli sambil mempersiapkan sistem yang memadai untuk melaksanakan praktik yang diperlukan.

Panduan Tindakan dari Kantor Kami

Kantor Hukum Monolith adalah firma hukum yang memiliki pengalaman kaya dalam IT, khususnya internet dan hukum. Dalam beberapa tahun terakhir, bisnis global semakin berkembang, dan kebutuhan akan pemeriksaan hukum oleh para ahli pun semakin meningkat. Kantor kami menyediakan solusi terkait hukum internasional.

Bidang layanan Kantor Hukum Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Apa itu Regulasi Iklan Produk CBD? Seorang Pengacara Menjelaskan Hubungannya dengan 'Undang-Undang Obat Jepang' dan Lainnya

Apa itu Regulasi Iklan Produk CBD? Seorang Pengacara Menjelaskan Hubungannya dengan 'Undang-Unda.

General Corporate

Apakah yang Dimaksud dengan Materi Iklan yang Diperbolehkan dalam Regulasi Iklan Kedokteran? Juga Menjelaskan Contoh yang Tidak Boleh karena Kekurangan Informasi

Apakah yang Dimaksud dengan Materi Iklan yang Diperbolehkan dalam Regulasi Iklan Kedokteran? Jug.

General Corporate

Apa itu Masa Berlaku Hak Paten? Penjelasan tentang Tujuan Hukum dan Pendaftaran Perpanjangan

Apa itu Masa Berlaku Hak Paten? Penjelasan tentang Tujuan Hukum dan Pendaftaran Perpanjangan

General Corporate

Poin-Poin Penting yang Harus Diperhatikan dalam Iklan Kosmetik dan Makanan Kesehatan

Poin-Poin Penting yang Harus Diperhatikan dalam Iklan Kosmetik dan Makanan Kesehatan

General Corporate

Term Sheet Kontrak Investasi Mengenai Penambahan Modal Melalui Alokasi Pihak Ketiga

Term Sheet Kontrak Investasi Mengenai Penambahan Modal Melalui Alokasi Pihak Ketiga

General Corporate

Menguraikan Poin Utama dari 'Undang-Undang Perlindungan Pelapor Kepentingan Publik Jepang yang Direvisi': Langkah apa yang harus diambil oleh Pengusaha?

Menguraikan Poin Utama dari 'Undang-Undang Perlindungan Pelapor Kepentingan Publik Jepang yang D.

General Corporate

Apa Saja Poin yang Harus Diperiksa dalam Kontrak Agen Iklan Internet?

Apa Saja Poin yang Harus Diperiksa dalam Kontrak Agen Iklan Internet?

General Corporate

Cara EXIT melalui IPO & M&A

Cara EXIT melalui IPO & M&A

General Corporate

Poin Penting dalam Kontrak yang Harus Diperhatikan dalam M&A Aplikasi

Poin Penting dalam Kontrak yang Harus Diperhatikan dalam M&A Aplikasi

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Kembali ke atas