„Co to jest chińska „Ustawa o ochronie danych osobowych”? Wyjaśnienie od podstaw do środków, które powinny podjąć japońskie przedsiębiorstwa”
Wśród osób odpowiedzialnych za sprawy prawne w firmach, które planują lub już prowadzą działalność biznesową w Chinach, często pojawiają się wątpliwości dotyczące ochrony danych osobowych w tym kraju.
W niniejszym artykule przedstawimy kompleksowo regulacje prawne, które warto znać, rozwijając działalność w Chinach. Wyjaśnimy również metody postępowania oraz punkty, na które japońskie firmy powinny zwrócić szczególną uwagę. Zachęcamy do zapoznania się z treścią artykułu, aby lepiej zrozumieć chińskie prawo ochrony danych osobowych i rozpocząć stosowanie odpowiednich środków ochrony.
Tło i cele ustanowienia chińskiej ustawy o ochronie danych osobowych
Do tej pory w Chinach nie istniało prawo, które by kompleksowo regulowało ochronę danych osobowych, podobnie do japońskiej ustawy o ochronie danych osobowych. Jednakże, ruchy mające na celu stworzenie takiego prawa istniały od dawna, i w końcu 1 listopada 2021 roku (Reiwa 3) została wprowadzona w życie „Chińska ustawa o ochronie danych osobowych”, która po raz pierwszy w Chinach kompleksowo reguluje ochronę danych osobowych.
Chociaż takie prawa jak „Ustawa o cyberbezpieczeństwie” czy „Ustawa o bezpieczeństwie danych” mają silny związek z bezpieczeństwem narodowym, chińska ustawa o ochronie danych osobowych skupia się przede wszystkim na ochronie praw jednostki.
Struktura chińskiej ustawy o ochronie danych osobowych wydaje się być w dużym stopniu inspirowana przez takie regulacje jak „Ogólne Rozporządzenie o Ochronie Danych (GDPR)” Unii Europejskiej oraz inne niedawne przepisy prawne z różnych krajów. Jednakże, ze względu na unikalne aspekty dotyczące podstaw prawnych zgodności oraz szczegółów praw podmiotu danych, wymagane są indywidualne strategie dostosowawcze.
Regulacje dotyczące ochrony danych osobowych w Chinach
W tym rozdziale wyjaśniamy, jakie podmioty podlegają regulacjom ochrony danych osobowych w Chinach.
Regulacje te dotyczą podmiotów, które spełniają poniższe warunki, dlatego należy zwrócić na nie szczególną uwagę.
- Jeśli celem jest oferowanie towarów lub usług osobom fizycznym w Chinach
- Jeśli celem jest analiza lub ocena zachowań osób fizycznych w Chinach
- Inne przypadki określone przez prawo
Chińska ustawa o ochronie danych osobowych może mieć zastosowanie nie tylko w Chinach, ale w niektórych przypadkach również za granicą. Należy zwrócić uwagę, że nawet działalność prowadzona poza granicami Chin, ale skierowana na osoby znajdujące się w Chinach, takie jak sprzedaż towarów czy analiza zachowań, podlega tej ustawie.
Kluczowe punkty w rozumieniu chińskiej ustawy o ochronie danych osobowych
W tym rozdziale omówimy osiem kluczowych punktów, które pomogą zrozumieć chińską ustawę o ochronie danych osobowych.
Podstawa prawna
Firmy mogą przetwarzać dane osobowe tylko wtedy, gdy odpowiadają one jednemu z podstaw prawnych określonych w chińskim ustawie o ochronie danych osobowych.
Oto siedem podstaw prawnych:
- Zgoda osoby, której dane dotyczą
- Wykonanie umowy
- Spełnienie obowiązku prawnego
- Ochrona zdrowia publicznego
- Interes publiczny
- Przetwarzanie danych osobowych, które zostały upublicznione
- Inne okoliczności określone w przepisach prawnych
Jak widać, nie zawiera to “uzasadnionego interesu”, który jest obecny w Rozporządzeniu Ogólnym o Ochronie Danych (RODO). W związku z tym można przewidywać, że w porównaniu z RODO, częściej będzie wymagana zgoda osoby, której dane dotyczą, jako podstawa do przetwarzania danych osobowych.
Ponadto, zgoda musi być zdefiniowana jako coś, co osoba może łatwo wycofać w dowolnym momencie. Wymaga to odpowiednich środków, takich jak zaprojektowanie interfejsu użytkownika, który umożliwia łatwe wycofanie zgody, oraz jasne i zwięzłe wskazanie sposobu wycofania zgody.
Informacja
Przed przetwarzaniem danych osobowych, firmy muszą poinformować osoby, których dane dotyczą, o wszystkich wymaganiach określonych w chińskim prawie o ochronie danych osobowych, używając jasnego i zrozumiałego języka.
Ponadto, wymagane jest dostarczenie szczegółowych informacji nie tylko o celu przetwarzania, ale również o metodach przetwarzania, rodzajach danych osobowych, okresie przechowywania, a także o sposobach i procedurach wykonywania praw przez osoby, których dane dotyczą.
Porozumienie z podmiotem zewnętrznym
W przypadku powierzenia przetwarzania danych osobowych zewnętrznemu podmiotowi, konieczne jest wcześniejsze uzgodnienie celu przetwarzania, terminu, metod oraz środków ochrony w ramach umowy powierzenia.
Jednocześnie należy pamiętać, że powierzając przetwarzanie danych, przejmujemy również odpowiedzialność za nadzór nad tym procesem. Gdy dane osobowe są przetwarzane wspólnie z inną firmą, podobnie jak w przypadku powierzenia, należy z góry uzgodnić cel i sposób przetwarzania danych oraz prawa i obowiązki obu stron.
Regulacje dotyczące transgranicznych transferów danych
Przy przekazywaniu zebranych w Chinach danych osobowych podmiotom trzecim za granicą, wymagane są następujące dwa działania.
Pierwsze z nich to poinformowanie o nazwie i danych kontaktowych odbiorcy danych osobowych, celu i sposobie przetwarzania, rodzajach przekazywanych danych osobowych, a także o sposobach i procedurach wykonywania przez osoby praw do tych danych. Następnie należy uzyskać indywidualną zgodę od osoby, której dane dotyczą.
Drugie działanie wymaga zastosowania jednej z poniższych czterech środków:
- Przejście pozytywnej oceny bezpieczeństwa narodowego
- Otrzymanie certyfikatu ochrony danych osobowych od specjalistycznej instytucji
- Zawarcie umowy z odbiorcą danych poza regionem na podstawie standardowych kontraktów
- Spełnienie innych warunków określonych przez krajowy departament informacji internetowej
W zależności od rodzaju przekazywanych danych osobowych, ocena bezpieczeństwa narodowego może być obowiązkowa. Dlatego zgodnie z “Japońską metodą oceny bezpieczeństwa transferu danych za granicę”, należy najpierw sprawdzić, czy ocena bezpieczeństwa narodowego jest wymagana, a następnie wybrać odpowiednie środki.
O prawach
Chińska Ustawa o Ochronie Danych Osobowych przyznaje osobom fizycznym różne prawa, takie jak prawo do bycia informowanym, prawo dostępu, prawo do kopiowania, prawo do wycofania zgody, prawo do przenoszenia danych, prawo do sprostowania oraz prawo do usunięcia danych.
Ponadto, w przeciwieństwie do GDPR, uznaje się również “prawa zmarłych”. “Prawa zmarłych” pozwalają bliskim krewnym wykonywać prawa osoby zmarłej w ich imieniu. Dlatego też warto zwrócić uwagę na ochronę informacji osób zmarłych.
Obowiązek raportowania incydentów
Aby zapobiec wyciekom danych osobowych, od firm wymaga się podejmowania działań podobnych do tych, które są wymagane przez ISMS (Japoński System Zarządzania Bezpieczeństwem Informacji).
Poniżej przedstawiono przykłady wymaganych działań:
- Stworzenie wewnętrznych procedur
- Zarządzanie klasyfikacją zgodnie z poziomem poufności
- Szyfrowanie w razie potrzeby
- Implementacja pseudonimizacji i innych metod
- Przeprowadzanie szkoleń dla pracowników
- Stworzenie procesu reagowania na incydenty itp.
Ze względu na to, że środki bezpieczeństwa są również określone w prawie dotyczącym cyberbezpieczeństwa oraz w prawie dotyczącym bezpieczeństwa danych, zaleca się dokładne uporządkowanie wymagań tych trzech ustaw i sprawdzenie środków zaradczych.
Powiązane artykuły: Co to jest chińskie prawo cyberbezpieczeństwa? Wyjaśnienie kluczowych punktów do przestrzegania[ja]
Powiązane artykuły: Co to jest chińskie prawo bezpieczeństwa danych? Wyjaśnienie środków, które powinny podjąć japońskie firmy[ja]
Obowiązek powołania DPO i przedstawiciela
Firmy, które przetwarzają dane osobowe w ilościach przekraczających określony próg, są zobowiązane do powołania DPO (Inspektora Ochrony Danych).
Ponadto, przedsiębiorstwa podlegające zastosowaniu przepisów poza terytorium kraju muszą ustanowić przedstawiciela na terenie Chin, a także zgłosić jego nazwę i dane kontaktowe do właściwego organu nadzorczego.
Obowiązek przeprowadzenia oceny wpływu na ochronę danych osobowych
Firmy muszą przeprowadzić wstępną ocenę ryzyka i odpowiednio zarządzać ryzykiem, jeśli znajdują się w jednej z poniższych pięciu sytuacji.
Przypadki, w których wymagane jest przeprowadzenie oceny, są następujące:
- Przetwarzanie wrażliwych danych osobowych
- Wykonywanie zautomatyzowanych decyzji
- Zlecanie przetwarzania danych osobowych lub udostępnianie ich osobom trzecim
- Transfer danych osobowych za granicę
- Sytuacje mające znaczący wpływ na prawa i interesy osób fizycznych
Kary za naruszenie przepisów o ochronie danych osobowych w Chinach
W przypadku naruszenia przepisów grożą wysokie sankcje finansowe (do 50 milionów juanów lub 5% rocznych przychodów ze sprzedaży). Ponieważ przepisy mają zastosowanie także poza granicami Chin, japońskie przedsiębiorstwa prowadzące działalność wobec Chin muszą podjąć szybkie działania.
Środki, które japońskie przedsiębiorstwa powinny podjąć w związku z ochroną danych osobowych
W tym rozdziale przedstawimy cztery środki, które japońskie przedsiębiorstwa powinny podjąć w celu ochrony danych osobowych.
Przegląd organizacji wewnętrznej
Na początek warto rozważyć przegląd organizacji wewnętrznej. Z uwagi na obowiązek ustanowienia przedstawiciela lub DPO (Inspektora Ochrony Danych), konieczne jest przemyślenie struktury wewnętrznej firmy.
Przykłady obejmują utworzenie specjalistycznych działów prawniczych i technicznych odpowiedzialnych za zgodność z przepisami dotyczącymi danych zawierających informacje osobiste, organizację przepływu pracy, a także przeprowadzenie szczegółowego mapowania danych.
Aktualizacja regulaminów i polityk
Aktualizacja regulaminów i polityk również jest kluczowa. Należy zaktualizować regulaminy i polityki, aby były zgodne z trzema chińskimi ustawami dotyczącymi danych.
Ponadto, nie wystarczy tylko opracować procedury odzwierciedlające wymogi prawne, ale również konieczne jest zapewnienie, aby wszyscy pracownicy mogli je skutecznie wdrażać.
Zrozumienie rzeczywistego funkcjonowania
Ponieważ japońska ustawa o ochronie danych osobowych została uchwalona 1 listopada 2021 roku (Reiwa 3), konieczne jest ciągłe podejmowanie działań w oparciu o zrozumienie rzeczywistego funkcjonowania. Pracownicy firm również muszą przestrzegać odpowiednich przepisów i zasad właściwego postępowania z danymi osobowymi.
Dlatego też przedsiębiorstwa powinny regularnie przeprowadzać szkolenia dla swoich pracowników, aby pogłębić ich świadomość aktualnych przepisów i procedur.
Budowanie współpracy z ekspertami
Budowanie i wzmacnianie współpracy z ekspertami również jest niezbędne. Współpracując z ekspertami znającymi chińskie regulacje prawne, można osiągnąć szybką reakcję. Ponadto, przedsiębiorstwa muszą regularnie monitorować i oceniać stan zgodności z przepisami o ochronie danych osobowych. Dlatego też budowanie współpracy z zewnętrznymi ekspertami jest nieodzowne.
Podsumowanie: Zrozumienie wielu regulacji prawnych i dokładne działanie
1 listopada 2021 roku w Chinach weszło w życie pierwsze kompleksowe prawo dotyczące ochrony danych osobowych, zwane „Chińską Ustawą o Ochronie Danych Osobowych”. Dla firm prowadzących działalność na skalę globalną, chińskie regulacje dotyczące danych (Chińska Ustawa o Cyberbezpieczeństwie, Ustawa o Bezpieczeństwie Danych oraz Ustawa o Ochronie Danych Osobowych) są nie do pominięcia ze względu na znaczenie rynku i rygorystyczność przepisów. W niektórych przypadkach warto skorzystać z pomocy specjalistów, aby zapewnić odpowiednią organizację pracy i przestrzeganie niezbędnych procedur.
Informacje o środkach zaradczych stosowanych przez naszą kancelarię
Kancelaria Prawna Monolith to firma z bogatym doświadczeniem w dziedzinie IT, a w szczególności w zakresie prawa internetowego. W ostatnich latach globalny biznes rozwija się w coraz szybszym tempie, co zwiększa potrzebę profesjonalnych przeglądów prawnych. Nasza kancelaria oferuje rozwiązania związane z międzynarodowymi usługami prawnymi.
Specjalizacje Kancelarii Prawnej Monolith: Międzynarodowe prawo biznesowe i zagraniczne przedsięwzięcia[ja]