De Chinese Wet op de Bescherming van Persoonsgegevens: Wat is het? Een uitleg van de achtergrond tot de maatregelen die Japanse bedrijven moeten nemen
Wellicht worstelen juridische medewerkers van bedrijven die van plan zijn uit te breiden naar China, of die daar al actief zijn, vaak met de bescherming van persoonsgegevens in China.
In dit artikel bieden we een uitgebreid overzicht van de regelgeving die u moet kennen wanneer u uw bedrijf in China uitbreidt. We zullen ook de aanpak en de punten waar Japanse bedrijven op moeten letten duidelijk uitleggen. Gebruik dit artikel als referentie om de Chinese wetgeving inzake de bescherming van persoonsgegevens te begrijpen en begin met het treffen van de juiste maatregelen.
Achtergrond en doelstellingen van de Chinese Wet op de Bescherming van Persoonsgegevens
In China bestond er tot voor kort geen wet die, zoals de Japanse Wet op de Bescherming van Persoonsgegevens, de bescherming van persoonlijke informatie op een alomvattende manier regelde. Er waren echter al bewegingen om een dergelijke wet te formuleren en op 1 november 2021 (Reiwa 3) werd de ‘Chinese Wet op de Bescherming van Persoonsgegevens’ van kracht, als de eerste wet in China die de bescherming van persoonlijke informatie omvattend regelt.
Hoewel wetten zoals de ‘Cybersecuritywet’ en de ‘Data Securitywet’ een sterke nadruk leggen op nationale veiligheid, focust de Chinese Wet op de Bescherming van Persoonsgegevens vooral op de bescherming van individuele rechten.
Het raamwerk van de Chinese Wet op de Bescherming van Persoonsgegevens lijkt sterk beïnvloed door recente wetgeving in andere landen, zoals de ‘Algemene Verordening Gegevensbescherming (AVG)’ van de EU. Echter, de punten die als wettelijke basis voor rechtmatigheid worden erkend en de details betreffende de rechten van de betrokkene, hebben een uniek karakter, wat vraagt om specifieke maatregelen.
Regulering van de Chinese Wet op de Bescherming van Persoonsgegevens
In dit hoofdstuk bespreken we de regelgeving van de Chinese Wet op de Bescherming van Persoonsgegevens. Let op de volgende voorwaarden, want als deze van toepassing zijn, valt u onder de regelgeving:
- Als het doel is om goederen of diensten aan te bieden aan personen binnen China
- Als het doel is om het gedrag van personen binnen China te analyseren of te beoordelen
- In andere door de wet bepaalde gevallen
De Chinese Wet op de Bescherming van Persoonsgegevens kan in sommige gevallen niet alleen binnen China maar ook in het buitenland van kracht zijn. Ook als u zich buiten China bevindt, maar wel verkoopactiviteiten uitvoert of gedragsanalyses doet gericht op ‘personen’ die zich in China bevinden, is deze wet van toepassing. Het is dus belangrijk hier aandacht aan te besteden.
Belangrijke punten voor het begrijpen van de Chinese Wet op de Bescherming van Persoonsgegevens
In dit hoofdstuk bespreken we acht belangrijke punten om de Chinese Wet op de Bescherming van Persoonsgegevens te begrijpen.
Rechtsgrondslag voor rechtmatigheid
Bedrijven mogen persoonsgegevens alleen verwerken als zij voldoen aan een van de rechtsgronden voor rechtmatigheid die zijn vastgesteld in de Chinese Personal Information Protection Law.
De zeven rechtsgronden zijn als volgt:
- Toestemming van de betrokkene
- Nakoming van een contract
- Naleving van een wettelijke verplichting
- Volksgezondheid
- Belang van het publiek
- Verwerking van openbaar gemaakte persoonsgegevens
- Andere omstandigheden zoals bepaald door wetten en regelgeving
Zoals u kunt zien, is ‘gerechtvaardigd belang’, zoals opgenomen in de GDPR, hier niet inbegrepen. Daarom kan worden verwacht dat er, in vergelijking met de GDPR, vaker situaties zullen zijn waarin de toestemming van de betrokkene vereist is om persoonsgegevens te verwerken.
Bovendien moet de toestemming zelf gedefinieerd zijn als iets dat ‘de betrokkene op elk moment gemakkelijk kan intrekken’. Het is noodzakelijk om rekening te houden met een gebruikersinterface die het eenvoudig maakt om toestemming in te trekken en om de methode voor intrekking duidelijk en begrijpelijk te beschrijven.
Informatieverstrekking
Voordat bedrijven persoonsgegevens verwerken, moeten zij de betrokkene duidelijk en in begrijpelijke taal informeren over de zaken die vereist zijn volgens de Chinese Wet op de Bescherming van Persoonsgegevens (Chinese Personal Information Protection Law).
Bovendien wordt niet alleen gevraagd om het doel van de verwerking te communiceren, maar ook om gedetailleerde informatie te verstrekken over de wijze van verwerking, de soorten persoonsgegevens, de bewaartermijnen, en de manieren en procedures om rechten uit te oefenen.
Overeenstemming met de opdrachtnemer
Wanneer u de verwerking van persoonsgegevens uitbesteedt, is het noodzakelijk om vooraf overeenstemming te bereiken met de opdrachtnemer over zaken zoals het doel van de verwerking, de termijn, de methode en de beschermingsmaatregelen, bijvoorbeeld via een verwerkingscontract.
Tegelijkertijd neemt u ook de verantwoordelijkheid op u voor het toezicht op de verwerking. Wanneer u samen met andere bedrijven persoonsgegevens behandelt, is het net als bij uitbesteding belangrijk om vooraf overeenstemming te bereiken over het doel en de methode van de gegevensverwerking, evenals de rechten en plichten van beide partijen.
Regulering van grensoverschrijdende overdrachten
Wanneer persoonlijke informatie, verzameld binnen China, aan een derde partij buiten het land wordt verstrekt, zijn de volgende twee maatregelen vereist:
De eerste maatregel is het informeren over de naam en contactgegevens van de ontvanger, het doel van de verwerking, de verwerkingsmethoden, de soorten persoonlijke informatie, en de wijze en procedure waarop de persoon zijn rechten bij de ontvanger kan uitoefenen. Vervolgens moet individuele toestemming van de betrokkene worden verkregen.
De tweede maatregel vereist dat één van de volgende vier acties wordt ondernomen:
- Geslaagd zijn voor een nationale veiligheidsbeoordeling
- Een certificering voor de bescherming van persoonlijke informatie verkregen hebben van een gespecialiseerde instantie
- Een contract hebben afgesloten met de ontvanger buiten de regio op basis van standaardcontracten
- Voldoen aan andere voorwaarden die zijn vastgesteld door de nationale afdeling voor internetinformatie
Afhankelijk van de inhoud van de over te dragen persoonlijke informatie kan een nationale veiligheidsbeoordeling verplicht zijn. Daarom is het raadzaam om, in overeenstemming met de ‘Japanese Data Overseas Transfer Security Assessment Procedures’, eerst te controleren of een nationale veiligheidsbeoordeling noodzakelijk is, alvorens de te nemen maatregelen te kiezen.
Over Rechten
De Chinese Wet op de Bescherming van Persoonsgegevens erkent verschillende rechten voor de betrokkene, waaronder het recht om te weten, het recht op inzage, het recht op kopieën, het recht op intrekking, portabiliteit, het recht op correctie en het recht op verwijdering.
Daarnaast erkent deze wet ook ‘rechten van overledenen’, een recht dat niet wordt erkend onder de GDPR. ‘Rechten van overledenen’ houdt in dat naasten van de overledene de rechten van de overledene kunnen uitoefenen na diens overlijden. Het is dus belangrijk om ook rekening te houden met de bescherming van informatie van overledenen.
Meldplicht Incidenten
Om het lekken van persoonsgegevens te voorkomen, wordt van bedrijven verwacht dat zij maatregelen treffen die vergelijkbaar zijn met de eisen gesteld door het ISMS (Information Security Management System).
Hieronder volgen enkele voorbeelden van de verwachte maatregelen:
- Opstellen van interne regelgeving
- Classificatiebeheer op basis van vertrouwelijkheid
- Versleuteling waar nodig
- Implementatie van pseudonimisering en dergelijke
- Uitvoeren van werknemerstrainingen
- Ontwikkelen van een incidentresponsproces, enzovoort
Wat betreft maatregelen voor veiligheidsbeheer, deze zijn ook vastgelegd in de Cybersecuritywet en de Data Securitywet, dus het is aan te raden om de vereisten van deze drie wetten zorgvuldig te ordenen en uw maatregelen te controleren.
Gerelateerd artikel: Wat is de Chinese Cybersecuritywet? Uitleg van de belangrijkste punten voor naleving[ja]
Gerelateerd artikel: Wat is de Chinese Data Securitywet? Uitleg van de maatregelen die Japanse bedrijven moeten nemen[ja]
Verplichting tot het aanstellen van een DPO en een vertegenwoordiger
Bedrijven zijn verplicht een DPO (Data Protection Officer) aan te stellen wanneer het aantal verwerkte persoonsgegevens een bepaalde hoeveelheid bereikt.
Daarnaast moeten bedrijven die onder de extraterritoriale toepassing vallen, een vertegenwoordiger in China aanstellen en informatie zoals de naam en contactgegevens bij de bevoegde autoriteiten registreren.
Verplichting tot het uitvoeren van een Privacy Impact Assessment (PIA)
Bedrijven zijn verplicht om vooraf een risicobeoordeling uit te voeren en risico’s adequaat te beheersen als zij zich in een van de volgende vijf situaties bevinden:
De gevallen waarin een verplichting tot uitvoering nodig is, zijn als volgt:
- Wanneer gevoelige informatie wordt verwerkt
- Wanneer geautomatiseerde besluitvorming plaatsvindt
- Wanneer de verwerking van persoonsgegevens wordt uitbesteed of persoonsgegevens aan derden worden verstrekt
- Wanneer persoonsgegevens naar het buitenland worden overgedragen
- Wanneer de rechten en belangen van personen significant beïnvloed kunnen worden
Sancties onder de Chinese Wet op de Bescherming van Persoonsgegevens
Bij overtreding lopen bedrijven het risico op hoge sancties (tot maximaal 50 miljoen yuan of 5% van de omzet van het voorgaande jaar). Aangezien de wet ook buiten China van toepassing is, moeten Japanse bedrijven die zaken doen met China snel handelen om aan de eisen te voldoen.
Maatregelen die Japanse bedrijven moeten nemen voor de bescherming van persoonsgegevens
In dit hoofdstuk introduceren we vier maatregelen die Japanse bedrijven moeten nemen voor de bescherming van persoonsgegevens.
Herziening van de interne organisatie
Allereerst is het belangrijk om de interne organisatie te herzien. Vanwege de verplichting om een vertegenwoordiger of een Data Protection Officer (DPO) aan te stellen, is het noodzakelijk om de interne structuur te heroverwegen.
Voorbeelden hiervan zijn het opzetten van gespecialiseerde afdelingen voor juridische en technische zaken die verantwoordelijk zijn voor compliance met betrekking tot alle gegevens die persoonlijke informatie bevatten, het organiseren van werkstromen en het uitvoeren van gedetailleerde datamapping.
Regelgeving en beleid bijwerken
Het bijwerken van regelgeving en beleid is ook van cruciaal belang. Het is noodzakelijk om regelgeving en beleid bij te werken in overeenstemming met de drie Chinese datawetten.
Bovendien is het niet alleen een kwestie van het opstellen van regels die de wettelijke vereisten weerspiegelen, maar ook van het inrichten van operationele procedures die door alle werknemers uitvoerbaar zijn.
De realiteit van de operaties begrijpen
Omdat de Wet op de Bescherming van Persoonsgegevens pas op 1 november 2021 (Reiwa 3) is ingevoerd, is het noodzakelijk om de operationele realiteit te begrijpen en voortdurend maatregelen te nemen. Ook voor werknemers van een bedrijf zijn er regels vastgesteld voor de juiste behandeling en strikte naleving van de wetgeving.
Daarom moeten bedrijven regelmatig trainingen voor hun werknemers organiseren om hun bewustzijn van de nieuwste wetgeving en procedures te vergroten.
Een samenwerkingsverband met experts opbouwen
Het opbouwen of versterken van een samenwerkingsverband met experts is essentieel. Door een samenwerkingsverband te vormen met experts die bekend zijn met de Chinese regelgeving, kunt u snel reageren. Bovendien moeten bedrijven de compliance-status met betrekking tot de bescherming van persoonsgegevens regelmatig monitoren en evalueren. Daarom kan gezegd worden dat het opbouwen van een samenwerkingsverband met externe experts onmisbaar is.
Samenvatting: Begrijp meerdere regelgevingen en handel nauwkeurig
Op 1 november 2021 is in China de eerste allesomvattende ‘Chinese Wet op de Bescherming van Persoonsgegevens’ in werking getreden. Voor bedrijven die wereldwijd opereren, zijn de Chinese gegevensgerelateerde regelgevingen (Cybersecuritywet, Wet op Gegevensbeveiliging, Wet op de Bescherming van Persoonsgegevens) vanwege het belang van de markt en de striktheid van de regelgeving, wetten die niet over het hoofd gezien kunnen worden. Afhankelijk van de situatie is het verstandig om een systeem op te zetten dat, met de hulp van specialisten, de noodzakelijke praktische werkzaamheden kan uitvoeren.
Maatregelen van ons kantoor
Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in IT, en in het bijzonder op het gebied van internet en recht. In de recente jaren is het globale bedrijfsleven steeds verder uitgebreid, en de noodzaak voor juridische controle door experts neemt toe. Ons kantoor biedt oplossingen op het gebied van internationaal juridische zaken.
Expertisegebieden van Monolith Advocatenkantoor: Internationaal recht en buitenlandse zaken[ja]