Nederlands English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_nl/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > De Chinese Wet op de Bescherming van Persoonsgegevens: Wat is het? Een uitleg van de achtergrond tot de maatregelen die Japanse bedrijven moeten nemen

De Chinese Wet op de Bescherming van Persoonsgegevens: Wat is het? Een uitleg van de achtergrond tot de maatregelen die Japanse bedrijven moeten nemen

General Corporate

De Chinese Wet op de Bescherming van Persoonsgegevens: Wat is het? Een uitleg van de achtergrond tot de maatregelen die Japanse bedrijven moeten nemen

Wellicht worstelen juridische medewerkers van bedrijven die van plan zijn uit te breiden naar China, of die daar al actief zijn, vaak met de bescherming van persoonsgegevens in China.

In dit artikel bieden we een uitgebreid overzicht van de regelgeving die u moet kennen wanneer u uw bedrijf in China uitbreidt. We zullen ook de aanpak en de punten waar Japanse bedrijven op moeten letten duidelijk uitleggen. Gebruik dit artikel als referentie om de Chinese wetgeving inzake de bescherming van persoonsgegevens te begrijpen en begin met het treffen van de juiste maatregelen.

Achtergrond en doelstellingen van de Chinese Wet op de Bescherming van Persoonsgegevens

Chinese vlag

In China bestond er tot voor kort geen wet die, zoals de Japanse Wet op de Bescherming van Persoonsgegevens, de bescherming van persoonlijke informatie op een alomvattende manier regelde. Er waren echter al bewegingen om een dergelijke wet te formuleren en op 1 november 2021 (Reiwa 3) werd de ‘Chinese Wet op de Bescherming van Persoonsgegevens’ van kracht, als de eerste wet in China die de bescherming van persoonlijke informatie omvattend regelt.

Hoewel wetten zoals de ‘Cybersecuritywet’ en de ‘Data Securitywet’ een sterke nadruk leggen op nationale veiligheid, focust de Chinese Wet op de Bescherming van Persoonsgegevens vooral op de bescherming van individuele rechten.

Het raamwerk van de Chinese Wet op de Bescherming van Persoonsgegevens lijkt sterk beïnvloed door recente wetgeving in andere landen, zoals de ‘Algemene Verordening Gegevensbescherming (AVG)’ van de EU. Echter, de punten die als wettelijke basis voor rechtmatigheid worden erkend en de details betreffende de rechten van de betrokkene, hebben een uniek karakter, wat vraagt om specifieke maatregelen.

Regulering van de Chinese Wet op de Bescherming van Persoonsgegevens

Doelwit

In dit hoofdstuk bespreken we de regelgeving van de Chinese Wet op de Bescherming van Persoonsgegevens. Let op de volgende voorwaarden, want als deze van toepassing zijn, valt u onder de regelgeving:

  • Als het doel is om goederen of diensten aan te bieden aan personen binnen China
  • Als het doel is om het gedrag van personen binnen China te analyseren of te beoordelen
  • In andere door de wet bepaalde gevallen

De Chinese Wet op de Bescherming van Persoonsgegevens kan in sommige gevallen niet alleen binnen China maar ook in het buitenland van kracht zijn. Ook als u zich buiten China bevindt, maar wel verkoopactiviteiten uitvoert of gedragsanalyses doet gericht op ‘personen’ die zich in China bevinden, is deze wet van toepassing. Het is dus belangrijk hier aandacht aan te besteden.

Belangrijke punten voor het begrijpen van de Chinese Wet op de Bescherming van Persoonsgegevens

In dit hoofdstuk bespreken we acht belangrijke punten om de Chinese Wet op de Bescherming van Persoonsgegevens te begrijpen.

Rechtsgrondslag voor rechtmatigheid

Bedrijven mogen persoonsgegevens alleen verwerken als zij voldoen aan een van de rechtsgronden voor rechtmatigheid die zijn vastgesteld in de Chinese Personal Information Protection Law.

De zeven rechtsgronden zijn als volgt:

  • Toestemming van de betrokkene
  • Nakoming van een contract
  • Naleving van een wettelijke verplichting
  • Volksgezondheid
  • Belang van het publiek
  • Verwerking van openbaar gemaakte persoonsgegevens
  • Andere omstandigheden zoals bepaald door wetten en regelgeving

Zoals u kunt zien, is ‘gerechtvaardigd belang’, zoals opgenomen in de GDPR, hier niet inbegrepen. Daarom kan worden verwacht dat er, in vergelijking met de GDPR, vaker situaties zullen zijn waarin de toestemming van de betrokkene vereist is om persoonsgegevens te verwerken.

Bovendien moet de toestemming zelf gedefinieerd zijn als iets dat ‘de betrokkene op elk moment gemakkelijk kan intrekken’. Het is noodzakelijk om rekening te houden met een gebruikersinterface die het eenvoudig maakt om toestemming in te trekken en om de methode voor intrekking duidelijk en begrijpelijk te beschrijven.

Informatieverstrekking

Voordat bedrijven persoonsgegevens verwerken, moeten zij de betrokkene duidelijk en in begrijpelijke taal informeren over de zaken die vereist zijn volgens de Chinese Wet op de Bescherming van Persoonsgegevens (Chinese Personal Information Protection Law).

Bovendien wordt niet alleen gevraagd om het doel van de verwerking te communiceren, maar ook om gedetailleerde informatie te verstrekken over de wijze van verwerking, de soorten persoonsgegevens, de bewaartermijnen, en de manieren en procedures om rechten uit te oefenen.

Overeenstemming met de opdrachtnemer

Wanneer u de verwerking van persoonsgegevens uitbesteedt, is het noodzakelijk om vooraf overeenstemming te bereiken met de opdrachtnemer over zaken zoals het doel van de verwerking, de termijn, de methode en de beschermingsmaatregelen, bijvoorbeeld via een verwerkingscontract.

Tegelijkertijd neemt u ook de verantwoordelijkheid op u voor het toezicht op de verwerking. Wanneer u samen met andere bedrijven persoonsgegevens behandelt, is het net als bij uitbesteding belangrijk om vooraf overeenstemming te bereiken over het doel en de methode van de gegevensverwerking, evenals de rechten en plichten van beide partijen.

Regulering van grensoverschrijdende overdrachten

Wanneer persoonlijke informatie, verzameld binnen China, aan een derde partij buiten het land wordt verstrekt, zijn de volgende twee maatregelen vereist:

De eerste maatregel is het informeren over de naam en contactgegevens van de ontvanger, het doel van de verwerking, de verwerkingsmethoden, de soorten persoonlijke informatie, en de wijze en procedure waarop de persoon zijn rechten bij de ontvanger kan uitoefenen. Vervolgens moet individuele toestemming van de betrokkene worden verkregen.

De tweede maatregel vereist dat één van de volgende vier acties wordt ondernomen:

  • Geslaagd zijn voor een nationale veiligheidsbeoordeling
  • Een certificering voor de bescherming van persoonlijke informatie verkregen hebben van een gespecialiseerde instantie
  • Een contract hebben afgesloten met de ontvanger buiten de regio op basis van standaardcontracten
  • Voldoen aan andere voorwaarden die zijn vastgesteld door de nationale afdeling voor internetinformatie

Afhankelijk van de inhoud van de over te dragen persoonlijke informatie kan een nationale veiligheidsbeoordeling verplicht zijn. Daarom is het raadzaam om, in overeenstemming met de ‘Japanese Data Overseas Transfer Security Assessment Procedures’, eerst te controleren of een nationale veiligheidsbeoordeling noodzakelijk is, alvorens de te nemen maatregelen te kiezen.

Over Rechten

De Chinese Wet op de Bescherming van Persoonsgegevens erkent verschillende rechten voor de betrokkene, waaronder het recht om te weten, het recht op inzage, het recht op kopieën, het recht op intrekking, portabiliteit, het recht op correctie en het recht op verwijdering.

Daarnaast erkent deze wet ook ‘rechten van overledenen’, een recht dat niet wordt erkend onder de GDPR. ‘Rechten van overledenen’ houdt in dat naasten van de overledene de rechten van de overledene kunnen uitoefenen na diens overlijden. Het is dus belangrijk om ook rekening te houden met de bescherming van informatie van overledenen.

Meldplicht Incidenten

Om het lekken van persoonsgegevens te voorkomen, wordt van bedrijven verwacht dat zij maatregelen treffen die vergelijkbaar zijn met de eisen gesteld door het ISMS (Information Security Management System).

Hieronder volgen enkele voorbeelden van de verwachte maatregelen:

  • Opstellen van interne regelgeving
  • Classificatiebeheer op basis van vertrouwelijkheid
  • Versleuteling waar nodig
  • Implementatie van pseudonimisering en dergelijke
  • Uitvoeren van werknemerstrainingen
  • Ontwikkelen van een incidentresponsproces, enzovoort

Wat betreft maatregelen voor veiligheidsbeheer, deze zijn ook vastgelegd in de Cybersecuritywet en de Data Securitywet, dus het is aan te raden om de vereisten van deze drie wetten zorgvuldig te ordenen en uw maatregelen te controleren.

Gerelateerd artikel: Wat is de Chinese Cybersecuritywet? Uitleg van de belangrijkste punten voor naleving[ja]

Gerelateerd artikel: Wat is de Chinese Data Securitywet? Uitleg van de maatregelen die Japanse bedrijven moeten nemen[ja]

Verplichting tot het aanstellen van een DPO en een vertegenwoordiger

Bedrijven zijn verplicht een DPO (Data Protection Officer) aan te stellen wanneer het aantal verwerkte persoonsgegevens een bepaalde hoeveelheid bereikt.

Daarnaast moeten bedrijven die onder de extraterritoriale toepassing vallen, een vertegenwoordiger in China aanstellen en informatie zoals de naam en contactgegevens bij de bevoegde autoriteiten registreren.

Verplichting tot het uitvoeren van een Privacy Impact Assessment (PIA)

Bedrijven zijn verplicht om vooraf een risicobeoordeling uit te voeren en risico’s adequaat te beheersen als zij zich in een van de volgende vijf situaties bevinden:

De gevallen waarin een verplichting tot uitvoering nodig is, zijn als volgt:

  • Wanneer gevoelige informatie wordt verwerkt
  • Wanneer geautomatiseerde besluitvorming plaatsvindt
  • Wanneer de verwerking van persoonsgegevens wordt uitbesteed of persoonsgegevens aan derden worden verstrekt
  • Wanneer persoonsgegevens naar het buitenland worden overgedragen
  • Wanneer de rechten en belangen van personen significant beïnvloed kunnen worden

Sancties onder de Chinese Wet op de Bescherming van Persoonsgegevens

Let op

Bij overtreding lopen bedrijven het risico op hoge sancties (tot maximaal 50 miljoen yuan of 5% van de omzet van het voorgaande jaar). Aangezien de wet ook buiten China van toepassing is, moeten Japanse bedrijven die zaken doen met China snel handelen om aan de eisen te voldoen.

Maatregelen die Japanse bedrijven moeten nemen voor de bescherming van persoonsgegevens

Check

In dit hoofdstuk introduceren we vier maatregelen die Japanse bedrijven moeten nemen voor de bescherming van persoonsgegevens.

Herziening van de interne organisatie

Allereerst is het belangrijk om de interne organisatie te herzien. Vanwege de verplichting om een vertegenwoordiger of een Data Protection Officer (DPO) aan te stellen, is het noodzakelijk om de interne structuur te heroverwegen.

Voorbeelden hiervan zijn het opzetten van gespecialiseerde afdelingen voor juridische en technische zaken die verantwoordelijk zijn voor compliance met betrekking tot alle gegevens die persoonlijke informatie bevatten, het organiseren van werkstromen en het uitvoeren van gedetailleerde datamapping.

Regelgeving en beleid bijwerken

Het bijwerken van regelgeving en beleid is ook van cruciaal belang. Het is noodzakelijk om regelgeving en beleid bij te werken in overeenstemming met de drie Chinese datawetten.

Bovendien is het niet alleen een kwestie van het opstellen van regels die de wettelijke vereisten weerspiegelen, maar ook van het inrichten van operationele procedures die door alle werknemers uitvoerbaar zijn.

De realiteit van de operaties begrijpen

Omdat de Wet op de Bescherming van Persoonsgegevens pas op 1 november 2021 (Reiwa 3) is ingevoerd, is het noodzakelijk om de operationele realiteit te begrijpen en voortdurend maatregelen te nemen. Ook voor werknemers van een bedrijf zijn er regels vastgesteld voor de juiste behandeling en strikte naleving van de wetgeving.

Daarom moeten bedrijven regelmatig trainingen voor hun werknemers organiseren om hun bewustzijn van de nieuwste wetgeving en procedures te vergroten.

Een samenwerkingsverband met experts opbouwen

Het opbouwen of versterken van een samenwerkingsverband met experts is essentieel. Door een samenwerkingsverband te vormen met experts die bekend zijn met de Chinese regelgeving, kunt u snel reageren. Bovendien moeten bedrijven de compliance-status met betrekking tot de bescherming van persoonsgegevens regelmatig monitoren en evalueren. Daarom kan gezegd worden dat het opbouwen van een samenwerkingsverband met externe experts onmisbaar is.

Samenvatting: Begrijp meerdere regelgevingen en handel nauwkeurig

Documentatie uitleg

Op 1 november 2021 is in China de eerste allesomvattende ‘Chinese Wet op de Bescherming van Persoonsgegevens’ in werking getreden. Voor bedrijven die wereldwijd opereren, zijn de Chinese gegevensgerelateerde regelgevingen (Cybersecuritywet, Wet op Gegevensbeveiliging, Wet op de Bescherming van Persoonsgegevens) vanwege het belang van de markt en de striktheid van de regelgeving, wetten die niet over het hoofd gezien kunnen worden. Afhankelijk van de situatie is het verstandig om een systeem op te zetten dat, met de hulp van specialisten, de noodzakelijke praktische werkzaamheden kan uitvoeren.

Maatregelen van ons kantoor

Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in IT, en in het bijzonder op het gebied van internet en recht. In de recente jaren is het globale bedrijfsleven steeds verder uitgebreid, en de noodzaak voor juridische controle door experts neemt toe. Ons kantoor biedt oplossingen op het gebied van internationaal juridische zaken.

Expertisegebieden van Monolith Advocatenkantoor: Internationaal recht en buitenlandse zaken[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Groeiend gebruik van e-learning materiaal: Waar moet je op letten volgens de Japanse Auteursrechtwet?

Groeiend gebruik van e-learning materiaal: Waar moet je op letten volgens de Japanse Auteursrech.

General Corporate

Hoe ver is het toegestaan om adressen en echte namen te gebruiken? Over de reikwijdte van de verslaggeving en inbreuk op de privacy

Hoe ver is het toegestaan om adressen en echte namen te gebruiken? Over de reikwijdte van de ver.

General Corporate

Hoe ver kunnen producten op het internet gaan? Uitleg over regulering volgens de Japanse 'Wet op de Aanduiding van Prijzen'.

Hoe ver kunnen producten op het internet gaan? Uitleg over regulering volgens de Japanse 'Wet op.

General Corporate

Wanneer zelf uitgegeven punten vallen onder de 'Japanse Wet op Betalingen vooraf'

Wanneer zelf uitgegeven punten vallen onder de 'Japanse Wet op Betalingen vooraf'

General Corporate

Wat gebeurt er als je de Japanse Wet op de Aanduiding van Premiums (Premium Aanduidingswet) overtreedt? Uitleg over het systeem van administratieve boetes

Wat gebeurt er als je de Japanse Wet op de Aanduiding van Premiums (Premium Aanduidingswet) over.

General Corporate

Wat is een 'Beperkte Aansprakelijkheidscontract voor Externe Bestuurders'? De Procedure en Aandachtspunten bij het Opstellen van een Contract

Wat is een 'Beperkte Aansprakelijkheidscontract voor Externe Bestuurders'? De Procedure en Aanda.

General Corporate

Lessen in Crisisbeheer en de Rol van Advocaten uit het Informatielek bij Capcom

Lessen in Crisisbeheer en de Rol van Advocaten uit het Informatielek bij Capcom

General Corporate

Wat is de Gemiddelde Benodigde Tijd voor Tijdgebaseerde Advocatendiensten zoals het Opstellen van Contracten?

Wat is de Gemiddelde Benodigde Tijd voor Tijdgebaseerde Advocatendiensten zoals het Opstellen va.

General Corporate

Waar moet je op letten bij een samenwerkingsovereenkomst voor de implementatie van een API? Uitleg per clausule

Waar moet je op letten bij een samenwerkingsovereenkomst voor de implementatie van een API? Uitl.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Terug naar boven