Kinas personvernlov: Hva er det? En forklaring på bakgrunnen for lovgivningen og tiltakene japanske selskaper bør ta
Mange juridiske ansvarlige i bedrifter som planlegger å utvide virksomheten til Kina, eller som allerede har gjort det, kan ofte støte på utfordringer knyttet til beskyttelse av personopplysninger i Kina.
I denne artikkelen vil vi gi en omfattende introduksjon til de juridiske reguleringene du bør kjenne til når du utvider virksomheten til Kina. Vi vil også forklare tilnærmingsmåter og punkter som japanske bedrifter bør håndtere på en forståelig måte. Bruk dette som en referanse for å forstå Kinas personvernlov og begynn å utarbeide tiltak.
Bakgrunnen og formålet med etableringen av Kinas lov om beskyttelse av personopplysninger
I Kina har det til nå ikke eksistert en lov som omfattende definerer beskyttelse av personopplysninger, slik som den japanske loven om beskyttelse av personopplysninger. Imidlertid har det vært bevegelser mot å utarbeide en slik lov, og den 1. november 2021 (Reiwa 3) ble “Kinas lov om beskyttelse av personopplysninger” implementert, som den første loven i Kina som omfattende regulerer beskyttelse av personopplysninger.
Spesielt “Cybersikkerhetsloven” og “Datalagringsloven” er lover med et sterkt element av nasjonal sikkerhet, men Kinas lov om beskyttelse av personopplysninger legger større vekt på beskyttelse av individets rettigheter.
Rammeverket for Kinas lov om beskyttelse av personopplysninger ser ut til å være sterkt påvirket av nylige internasjonale regelverk som “EUs generelle databeskyttelsesforordning (GDPR)”. Likevel, siden de punktene som anerkjennes som et juridisk grunnlag for lovlighet og detaljene om individets rettigheter har unikt innhold, kreves det spesifikke tiltak for å håndtere dem.
Reguleringens mål for Kinas lov om beskyttelse av personopplysninger
I dette kapittelet vil vi forklare hva som reguleres av Kinas lov om beskyttelse av personopplysninger. Vær oppmerksom på at følgende forhold vil være underlagt regulering:
- Når formålet er å tilby varer eller tjenester til personer i Kina
- Når formålet er å analysere eller evaluere atferden til personer i Kina
- I andre tilfeller som er fastsatt ved lov
Kinas lov om beskyttelse av personopplysninger kan i visse tilfeller ha effekt ikke bare innenfor Kinas grenser, men også internasjonalt. Vær også oppmerksom på at loven gjelder for virksomheter som selger til eller analyserer atferden til ‘personer’ i Kina, selv om disse aktivitetene skjer utenfor landet.
Nøkkelpunkter for å forstå den kinesiske loven om beskyttelse av personopplysninger
I dette kapittelet vil vi forklare åtte nøkkelpunkter for å forstå beskyttelsen av personopplysninger i Kina.
Grunnlag for lovlighet
Bedrifter kan kun håndtere personopplysninger når de oppfyller minst ett av de lovlige grunnlagene som er fastsatt i den kinesiske loven om beskyttelse av personopplysninger.
De syv grunnlagene er som følger:
- Samtykke fra den registrerte
- Utførelse av en kontrakt
- Oppfyllelse av en juridisk forpliktelse
- Offentlig helse
- Offentlig interesse
- Behandling av offentliggjorte personopplysninger
- Andre omstendigheter fastsatt i lover og forskrifter
Som det fremgår, inkluderer ikke dette “legitime interesser” som finnes i GDPR. Derfor kan man forvente at det vil være flere tilfeller hvor man må håndtere personopplysninger basert på den registrertes samtykke sammenlignet med GDPR.
I tillegg er samtykke definert som noe som “den registrerte når som helst enkelt skal kunne trekke tilbake”. Det krever nøye overveielser, som å lage en brukergrensesnitt (UI) som gjør det enkelt å trekke tilbake samtykke, og å beskrive tilbaketrekkingen på en klar og forståelig måte.
Informasjonsforsyning
Før bedrifter behandler personopplysninger, må de informere den registrerte på en klar og forståelig måte om de krav som stilles i henhold til den kinesiske loven om beskyttelse av personopplysninger (Chinese Personal Information Protection Law).
I tillegg til formålet med behandlingen, kreves det at bedriftene gir detaljert informasjon om behandlingsmetoder, typer personopplysninger som behandles, lagringsperioder, samt metoder og prosedyrer for å utøve rettigheter.
Avtale med underleverandører
Når man overlater behandlingen av personopplysninger til en underleverandør, er det nødvendig å på forhånd bli enige om behandlingsformål, tidsfrister, metoder og beskyttelsestiltak gjennom en tjenesteavtale.
I tillegg vil man påta seg ansvar for tilsyn med den delegerte behandlingen. Når man håndterer personopplysninger i samarbeid med andre selskaper, bør man på samme måte som ved delegasjon, på forhånd bli enige om formålet med og metoden for behandlingen av personopplysninger, samt begge parters rettigheter og plikter.
Reguleringer ved grenseoverskridende overføringer
Når personopplysninger samlet inn i Kina skal overføres til en tredjepart i utlandet, kreves det at man tar hensyn til følgende to tiltak.
Det første er å informere om navnet og kontaktdetaljene til mottakeren av personopplysningene, formålet med behandlingen, behandlingsmetoden, typen personopplysninger, og hvordan den registrerte kan utøve sine rettigheter overfor mottakeren, samt prosedyrene for dette. Videre må man innhente samtykke fra den enkelte personen separat.
Det andre er at man må implementere én av de følgende fire tiltakene:
- Bestå en nasjonal sikkerhetsvurdering
- Oppnå sertifisering for beskyttelse av personopplysninger fra en spesialisert institusjon
- Inngå en kontrakt med mottakeren utenfor regionen basert på standardkontrakter
- Oppfylle andre vilkår fastsatt av det nasjonale departementet for internettinformasjon
Avhengig av innholdet i de personopplysningene som skal overføres, kan en nasjonal sikkerhetsvurdering være obligatorisk. Derfor bør man i henhold til ‘Japanese Data Overseas Transfer Security Assessment Procedures’ bekrefte om det er nødvendig med en nasjonal sikkerhetsvurdering før man velger hvilke tiltak som skal tas.
Om rettigheter
Den kinesiske loven om beskyttelse av personopplysninger gir den registrerte rettigheter som retten til å bli informert, retten til innsyn, retten til kopiering, retten til å trekke tilbake samtykke, dataportabilitet, retten til rettelse og retten til sletting.
I tillegg anerkjenner den rettigheter for avdøde som ikke er anerkjent i GDPR. ‘Rettigheter for avdøde’ betyr at nærstående kan utøve rettighetene på vegne av den avdøde. Derfor er det viktig å også være oppmerksom på beskyttelsen av informasjon om avdøde personer.
Rapporteringsplikt ved hendelser
For å forhindre lekkasje av personopplysninger, kreves det at bedrifter tar tilsvarende tiltak som de som er forespurt i et ISMS (Information Security Management System).
Eksempler på tiltak som kreves er som følger:
- Utvikling av interne retningslinjer
- Klassifiseringsstyring basert på konfidensialitetsnivå
- Kryptering etter behov
- Gjennomføring av pseudonymisering og lignende tiltak
- Gjennomføring av opplæring for ansatte
- Utvikling av en hendelsesresponsprosess, osv.
Det er også spesifisert sikkerhetstiltak i lovgivningen om cybersikkerhet og datasekuritet, så det anbefales å nøye organisere kravene fra alle tre lovene og bekrefte tiltakene.
Relatert artikkel: Hva er den kinesiske loven om cybersikkerhet? En forklaring på viktige punkter for overholdelse[ja]
Relatert artikkel: Hva er den kinesiske datasekuritetsloven? En forklaring på tiltak som japanske bedrifter bør ta[ja]
Plikt til å utnevne en DPO og en representant
Når en bedrift håndterer et visst antall personopplysninger, blir det obligatorisk å utnevne en DPO (Data Protection Officer).
I tillegg må bedrifter som er underlagt ekstraterritoriell anvendelse etablere en representant i Kina, og registrere navn og kontaktinformasjon hos den relevante myndigheten.
Plikt til å gjennomføre vurdering av personvernkonsekvenser
Bedrifter må, dersom de faller inn under en av de følgende fem kategoriene, på forhånd utføre en risikovurdering og sørge for at risikoen kontrolleres på en passende måte.
Tilfellene der det er nødvendig å gjennomføre en slik vurdering er som følger:
- Når man håndterer sensitiv informasjon
- Når man utfører automatiserte beslutningsprosesser
- Når man setter ut behandling av personopplysninger til en tredjepart eller overfører personopplysninger til en tredjepart
- Når personopplysninger overføres til utlandet
- Når det kan ha en betydelig innvirkning på enkeltpersoners rettigheter og interesser
Straffebestemmelser i den kinesiske loven om beskyttelse av personopplysninger
Ved brudd på loven kan det pålegges høye sanksjoner (opp til 50 millioner yuan eller 5% av fjorårets omsetning i bøter). Loven gjelder også utenfor Kinas grenser, så japanske selskaper som driver virksomhet i Kina må handle raskt for å overholde reglene.
Tiltak for personvernlovgivning som japanske selskaper bør iverksette
I dette kapittelet vil vi introdusere fire tiltak for personvern som japanske selskaper bør iverksette.
Revidere interne systemer
Først bør man vurdere å revidere de interne systemene. Det er nødvendig å gjøre dette fordi det finnes krav om å utpeke en representant eller en databeskyttelsesansvarlig (DPO).
Eksempler på dette kan være å etablere spesialiserte juridiske og tekniske avdelinger som håndterer compliance for all data som inneholder personopplysninger, organisere arbeidsflyter og gjennomføre detaljert datakartlegging.
Oppdatere regelverk og policyer
Det er også viktig å oppdatere regelverk og policyer. Det er nødvendig å oppdatere disse i samsvar med de tre kinesiske datalovene.
I tillegg til å utarbeide regelverk som reflekterer lovmessige krav, er det også nødvendig å etablere prosedyrer som alle ansatte kan utføre.
Forstå den faktiske driften
Personvernloven ble vedtatt 1. november 2021 (Reiwa 3), og det er fortsatt tidlig, så det er nødvendig å kontinuerlig iverksette tiltak mens man forstår den faktiske driften. Det er også fastsatt regler for at alle ansatte i et selskap skal håndtere personopplysninger på en passende måte og strengt overholde loven.
Derfor bør selskaper regelmessig gjennomføre opplæring for sine ansatte for å øke bevisstheten om de nyeste lovene og prosedyrene.
Bygge et samarbeidssystem med eksperter
Det er også avgjørende å bygge og styrke et samarbeidssystem med eksperter. Ved å etablere et samarbeid med eksperter som er kjent med kinesisk lovgivning, kan man reagere raskt. I tillegg må selskaper regelmessig overvåke og evaluere sin compliance-status når det gjelder personvern. Derfor kan det sies at det er essensielt å bygge et samarbeidssystem med eksterne eksperter.
Oppsummering: Forstå flere regulatoriske krav og sikre nøyaktig etterlevelse
Den 1. november 2021 (Reiwa 3) ble ‘Kinesisk lov om beskyttelse av personopplysninger’ implementert i Kina, som for første gang omfattende regulerte beskyttelsen av personopplysninger. For bedrifter som opererer globalt, er kinesisk datalovgivning (Cybersikkerhetsloven, Datalovgivningen og Lov om beskyttelse av personopplysninger) umulig å overse gitt markedets betydning og regelverkets strenghet. I noen tilfeller bør man sørge for å ha et system på plass som kan utføre nødvendige praktiske oppgaver med hjelp fra eksperter.
Veiledning om tiltak fra vår advokatfirma
Monolith Advokatfirma har rik erfaring med IT, spesielt internett og juss. I de senere årene har global business vokst stadig mer, og behovet for juridisk sjekk av eksperter har økt tilsvarende. Vårt firma tilbyr løsninger relatert til internasjonal juridisk service.
Monolith Advokatfirmas tjenesteområder: Internasjonal juridisk service og utenlandske forretninger[ja]
Related Articles
Hva er statusen og utsiktene for AI-reguleringsloven i EU? En forklaring på effekten på japanske.
General Corporate
Hva er viktige punkter å merke seg ved formidling av investeringsinformasjon? En forklaring på r.
General Corporate
Juridisk ansvar for operatører av internett shopping sentre for varemerkeinfringement av utstill.
General Corporate
Hva er vurderingen av gyldigheten av disiplinær oppsigelse basert på privat e-postbruk på jobben.
General Corporate
Er det lovlig å kjøpe kundeinformasjon? En forklaring av den japanske personopplysningsloven
General Corporate
