Polski English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_pl/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > „Co to jest chińska „Ustawa o ochronie danych osobowych”? Wyjaśnienie od podstaw do środków, które powinny podjąć japońskie przedsiębiorstwa”

„Co to jest chińska „Ustawa o ochronie danych osobowych”? Wyjaśnienie od podstaw do środków, które powinny podjąć japońskie przedsiębiorstwa”

General Corporate

„Co to jest chińska „Ustawa o ochronie danych osobowych”? Wyjaśnienie od podstaw do środków, które powinny podjąć japońskie przedsiębiorstwa”

Wśród osób odpowiedzialnych za sprawy prawne w firmach, które planują lub już prowadzą działalność biznesową w Chinach, często pojawiają się wątpliwości dotyczące ochrony danych osobowych w tym kraju.

W niniejszym artykule przedstawimy kompleksowo regulacje prawne, które warto znać, rozwijając działalność w Chinach. Wyjaśnimy również metody postępowania oraz punkty, na które japońskie firmy powinny zwrócić szczególną uwagę. Zachęcamy do zapoznania się z treścią artykułu, aby lepiej zrozumieć chińskie prawo ochrony danych osobowych i rozpocząć stosowanie odpowiednich środków ochrony.

Tło i cele ustanowienia chińskiej ustawy o ochronie danych osobowych

Chińska flaga

Do tej pory w Chinach nie istniało prawo, które by kompleksowo regulowało ochronę danych osobowych, podobnie do japońskiej ustawy o ochronie danych osobowych. Jednakże, ruchy mające na celu stworzenie takiego prawa istniały od dawna, i w końcu 1 listopada 2021 roku (Reiwa 3) została wprowadzona w życie „Chińska ustawa o ochronie danych osobowych”, która po raz pierwszy w Chinach kompleksowo reguluje ochronę danych osobowych.

Chociaż takie prawa jak „Ustawa o cyberbezpieczeństwie” czy „Ustawa o bezpieczeństwie danych” mają silny związek z bezpieczeństwem narodowym, chińska ustawa o ochronie danych osobowych skupia się przede wszystkim na ochronie praw jednostki.

Struktura chińskiej ustawy o ochronie danych osobowych wydaje się być w dużym stopniu inspirowana przez takie regulacje jak „Ogólne Rozporządzenie o Ochronie Danych (GDPR)” Unii Europejskiej oraz inne niedawne przepisy prawne z różnych krajów. Jednakże, ze względu na unikalne aspekty dotyczące podstaw prawnych zgodności oraz szczegółów praw podmiotu danych, wymagane są indywidualne strategie dostosowawcze.

Regulacje dotyczące ochrony danych osobowych w Chinach

Cel

W tym rozdziale wyjaśniamy, jakie podmioty podlegają regulacjom ochrony danych osobowych w Chinach.
Regulacje te dotyczą podmiotów, które spełniają poniższe warunki, dlatego należy zwrócić na nie szczególną uwagę.

  • Jeśli celem jest oferowanie towarów lub usług osobom fizycznym w Chinach
  • Jeśli celem jest analiza lub ocena zachowań osób fizycznych w Chinach
  • Inne przypadki określone przez prawo

Chińska ustawa o ochronie danych osobowych może mieć zastosowanie nie tylko w Chinach, ale w niektórych przypadkach również za granicą. Należy zwrócić uwagę, że nawet działalność prowadzona poza granicami Chin, ale skierowana na osoby znajdujące się w Chinach, takie jak sprzedaż towarów czy analiza zachowań, podlega tej ustawie.

Kluczowe punkty w rozumieniu chińskiej ustawy o ochronie danych osobowych

W tym rozdziale omówimy osiem kluczowych punktów, które pomogą zrozumieć chińską ustawę o ochronie danych osobowych.

Podstawa prawna

Firmy mogą przetwarzać dane osobowe tylko wtedy, gdy odpowiadają one jednemu z podstaw prawnych określonych w chińskim ustawie o ochronie danych osobowych.

Oto siedem podstaw prawnych:

  • Zgoda osoby, której dane dotyczą
  • Wykonanie umowy
  • Spełnienie obowiązku prawnego
  • Ochrona zdrowia publicznego
  • Interes publiczny
  • Przetwarzanie danych osobowych, które zostały upublicznione
  • Inne okoliczności określone w przepisach prawnych

Jak widać, nie zawiera to “uzasadnionego interesu”, który jest obecny w Rozporządzeniu Ogólnym o Ochronie Danych (RODO). W związku z tym można przewidywać, że w porównaniu z RODO, częściej będzie wymagana zgoda osoby, której dane dotyczą, jako podstawa do przetwarzania danych osobowych.

Ponadto, zgoda musi być zdefiniowana jako coś, co osoba może łatwo wycofać w dowolnym momencie. Wymaga to odpowiednich środków, takich jak zaprojektowanie interfejsu użytkownika, który umożliwia łatwe wycofanie zgody, oraz jasne i zwięzłe wskazanie sposobu wycofania zgody.

Informacja

Przed przetwarzaniem danych osobowych, firmy muszą poinformować osoby, których dane dotyczą, o wszystkich wymaganiach określonych w chińskim prawie o ochronie danych osobowych, używając jasnego i zrozumiałego języka.

Ponadto, wymagane jest dostarczenie szczegółowych informacji nie tylko o celu przetwarzania, ale również o metodach przetwarzania, rodzajach danych osobowych, okresie przechowywania, a także o sposobach i procedurach wykonywania praw przez osoby, których dane dotyczą.

Porozumienie z podmiotem zewnętrznym

W przypadku powierzenia przetwarzania danych osobowych zewnętrznemu podmiotowi, konieczne jest wcześniejsze uzgodnienie celu przetwarzania, terminu, metod oraz środków ochrony w ramach umowy powierzenia.

Jednocześnie należy pamiętać, że powierzając przetwarzanie danych, przejmujemy również odpowiedzialność za nadzór nad tym procesem. Gdy dane osobowe są przetwarzane wspólnie z inną firmą, podobnie jak w przypadku powierzenia, należy z góry uzgodnić cel i sposób przetwarzania danych oraz prawa i obowiązki obu stron.

Regulacje dotyczące transgranicznych transferów danych

Przy przekazywaniu zebranych w Chinach danych osobowych podmiotom trzecim za granicą, wymagane są następujące dwa działania.

Pierwsze z nich to poinformowanie o nazwie i danych kontaktowych odbiorcy danych osobowych, celu i sposobie przetwarzania, rodzajach przekazywanych danych osobowych, a także o sposobach i procedurach wykonywania przez osoby praw do tych danych. Następnie należy uzyskać indywidualną zgodę od osoby, której dane dotyczą.

Drugie działanie wymaga zastosowania jednej z poniższych czterech środków:

  • Przejście pozytywnej oceny bezpieczeństwa narodowego
  • Otrzymanie certyfikatu ochrony danych osobowych od specjalistycznej instytucji
  • Zawarcie umowy z odbiorcą danych poza regionem na podstawie standardowych kontraktów
  • Spełnienie innych warunków określonych przez krajowy departament informacji internetowej

W zależności od rodzaju przekazywanych danych osobowych, ocena bezpieczeństwa narodowego może być obowiązkowa. Dlatego zgodnie z “Japońską metodą oceny bezpieczeństwa transferu danych za granicę”, należy najpierw sprawdzić, czy ocena bezpieczeństwa narodowego jest wymagana, a następnie wybrać odpowiednie środki.

O prawach

Chińska Ustawa o Ochronie Danych Osobowych przyznaje osobom fizycznym różne prawa, takie jak prawo do bycia informowanym, prawo dostępu, prawo do kopiowania, prawo do wycofania zgody, prawo do przenoszenia danych, prawo do sprostowania oraz prawo do usunięcia danych.

Ponadto, w przeciwieństwie do GDPR, uznaje się również “prawa zmarłych”. “Prawa zmarłych” pozwalają bliskim krewnym wykonywać prawa osoby zmarłej w ich imieniu. Dlatego też warto zwrócić uwagę na ochronę informacji osób zmarłych.

Obowiązek raportowania incydentów

Aby zapobiec wyciekom danych osobowych, od firm wymaga się podejmowania działań podobnych do tych, które są wymagane przez ISMS (Japoński System Zarządzania Bezpieczeństwem Informacji).

Poniżej przedstawiono przykłady wymaganych działań:

  • Stworzenie wewnętrznych procedur
  • Zarządzanie klasyfikacją zgodnie z poziomem poufności
  • Szyfrowanie w razie potrzeby
  • Implementacja pseudonimizacji i innych metod
  • Przeprowadzanie szkoleń dla pracowników
  • Stworzenie procesu reagowania na incydenty itp.

Ze względu na to, że środki bezpieczeństwa są również określone w prawie dotyczącym cyberbezpieczeństwa oraz w prawie dotyczącym bezpieczeństwa danych, zaleca się dokładne uporządkowanie wymagań tych trzech ustaw i sprawdzenie środków zaradczych.

Powiązane artykuły: Co to jest chińskie prawo cyberbezpieczeństwa? Wyjaśnienie kluczowych punktów do przestrzegania[ja]

Powiązane artykuły: Co to jest chińskie prawo bezpieczeństwa danych? Wyjaśnienie środków, które powinny podjąć japońskie firmy[ja]

Obowiązek powołania DPO i przedstawiciela

Firmy, które przetwarzają dane osobowe w ilościach przekraczających określony próg, są zobowiązane do powołania DPO (Inspektora Ochrony Danych).

Ponadto, przedsiębiorstwa podlegające zastosowaniu przepisów poza terytorium kraju muszą ustanowić przedstawiciela na terenie Chin, a także zgłosić jego nazwę i dane kontaktowe do właściwego organu nadzorczego.

Obowiązek przeprowadzenia oceny wpływu na ochronę danych osobowych

Firmy muszą przeprowadzić wstępną ocenę ryzyka i odpowiednio zarządzać ryzykiem, jeśli znajdują się w jednej z poniższych pięciu sytuacji.

Przypadki, w których wymagane jest przeprowadzenie oceny, są następujące:

  • Przetwarzanie wrażliwych danych osobowych
  • Wykonywanie zautomatyzowanych decyzji
  • Zlecanie przetwarzania danych osobowych lub udostępnianie ich osobom trzecim
  • Transfer danych osobowych za granicę
  • Sytuacje mające znaczący wpływ na prawa i interesy osób fizycznych

Kary za naruszenie przepisów o ochronie danych osobowych w Chinach

Uwaga

W przypadku naruszenia przepisów grożą wysokie sankcje finansowe (do 50 milionów juanów lub 5% rocznych przychodów ze sprzedaży). Ponieważ przepisy mają zastosowanie także poza granicami Chin, japońskie przedsiębiorstwa prowadzące działalność wobec Chin muszą podjąć szybkie działania.

Środki, które japońskie przedsiębiorstwa powinny podjąć w związku z ochroną danych osobowych

Checklist

W tym rozdziale przedstawimy cztery środki, które japońskie przedsiębiorstwa powinny podjąć w celu ochrony danych osobowych.

Przegląd organizacji wewnętrznej

Na początek warto rozważyć przegląd organizacji wewnętrznej. Z uwagi na obowiązek ustanowienia przedstawiciela lub DPO (Inspektora Ochrony Danych), konieczne jest przemyślenie struktury wewnętrznej firmy.

Przykłady obejmują utworzenie specjalistycznych działów prawniczych i technicznych odpowiedzialnych za zgodność z przepisami dotyczącymi danych zawierających informacje osobiste, organizację przepływu pracy, a także przeprowadzenie szczegółowego mapowania danych.

Aktualizacja regulaminów i polityk

Aktualizacja regulaminów i polityk również jest kluczowa. Należy zaktualizować regulaminy i polityki, aby były zgodne z trzema chińskimi ustawami dotyczącymi danych.

Ponadto, nie wystarczy tylko opracować procedury odzwierciedlające wymogi prawne, ale również konieczne jest zapewnienie, aby wszyscy pracownicy mogli je skutecznie wdrażać.

Zrozumienie rzeczywistego funkcjonowania

Ponieważ japońska ustawa o ochronie danych osobowych została uchwalona 1 listopada 2021 roku (Reiwa 3), konieczne jest ciągłe podejmowanie działań w oparciu o zrozumienie rzeczywistego funkcjonowania. Pracownicy firm również muszą przestrzegać odpowiednich przepisów i zasad właściwego postępowania z danymi osobowymi.

Dlatego też przedsiębiorstwa powinny regularnie przeprowadzać szkolenia dla swoich pracowników, aby pogłębić ich świadomość aktualnych przepisów i procedur.

Budowanie współpracy z ekspertami

Budowanie i wzmacnianie współpracy z ekspertami również jest niezbędne. Współpracując z ekspertami znającymi chińskie regulacje prawne, można osiągnąć szybką reakcję. Ponadto, przedsiębiorstwa muszą regularnie monitorować i oceniać stan zgodności z przepisami o ochronie danych osobowych. Dlatego też budowanie współpracy z zewnętrznymi ekspertami jest nieodzowne.

Podsumowanie: Zrozumienie wielu regulacji prawnych i dokładne działanie

Opis materiału

1 listopada 2021 roku w Chinach weszło w życie pierwsze kompleksowe prawo dotyczące ochrony danych osobowych, zwane „Chińską Ustawą o Ochronie Danych Osobowych”. Dla firm prowadzących działalność na skalę globalną, chińskie regulacje dotyczące danych (Chińska Ustawa o Cyberbezpieczeństwie, Ustawa o Bezpieczeństwie Danych oraz Ustawa o Ochronie Danych Osobowych) są nie do pominięcia ze względu na znaczenie rynku i rygorystyczność przepisów. W niektórych przypadkach warto skorzystać z pomocy specjalistów, aby zapewnić odpowiednią organizację pracy i przestrzeganie niezbędnych procedur.

Informacje o środkach zaradczych stosowanych przez naszą kancelarię

Kancelaria Prawna Monolith to firma z bogatym doświadczeniem w dziedzinie IT, a w szczególności w zakresie prawa internetowego. W ostatnich latach globalny biznes rozwija się w coraz szybszym tempie, co zwiększa potrzebę profesjonalnych przeglądów prawnych. Nasza kancelaria oferuje rozwiązania związane z międzynarodowymi usługami prawnymi.

Specjalizacje Kancelarii Prawnej Monolith: Międzynarodowe prawo biznesowe i zagraniczne przedsięwzięcia[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Czy kontrakt na rozwój oprogramowania AI to kontrakt o dzieło czy zlecenie? Wyjaśniamy kluczowe punkty, na które należy zwrócić uwagę w umowie

Czy kontrakt na rozwój oprogramowania AI to kontrakt o dzieło czy zlecenie? Wyjaśniamy kluczowe .

General Corporate

Czym są punkty kontrolne podczas zawierania umowy o dostarczanie danych?

Czym są punkty kontrolne podczas zawierania umowy o dostarczanie danych?

General Corporate

Czym jest limit kwoty nagrody w turniejach e-sportowych?

Czym jest limit kwoty nagrody w turniejach e-sportowych?

General Corporate

„Czy makijaż permanentny jest zabiegiem medycznym? Nowe wytyczne Ministerstwa Zdrowia, Pracy i Opieki Społecznej (Japanese Ministry of Health, Labour and Welfare), na które powinny zwrócić uwagę kliniki kosmetyczne”

„Czy makijaż permanentny jest zabiegiem medycznym? Nowe wytyczne Ministerstwa Zdrowia, Pracy i O.

General Corporate

Czym są regulacje prawne dotyczące reklamowania suplementów diety?

Czym są regulacje prawne dotyczące reklamowania suplementów diety?

General Corporate

Co to jest chińskie prawo cyberbezpieczeństwa? Wyjaśnienie kluczowych punktów dotyczących przestrzegania

Co to jest chińskie prawo cyberbezpieczeństwa? Wyjaśnienie kluczowych punktów dotyczących przest.

General Corporate

Co to jest system kar pieniężnych w ramach Japońskiej 'Ustawy o Urządzeniach Farmaceutycznych i Medycznych'? Wyjaśnienie działań objętych tym systemem oraz przypadków redukcji kary

Co to jest system kar pieniężnych w ramach Japońskiej 'Ustawy o Urządzeniach Farmaceutycznych i .

General Corporate

Jaki wpływ mają procesy sądowe na przegląd giełdowy?

Jaki wpływ mają procesy sądowe na przegląd giełdowy?

General Corporate

Co to jest umowa ubezpieczenia odpowiedzialności cywilnej dyrektorów i innych osób zarządzających? Wyjaśnienie procedur po nowelizacji japońskiej 'Ustawy o spółkach' oraz różnic między odszkodowaniem a rekompensatą spółki

Co to jest umowa ubezpieczenia odpowiedzialności cywilnej dyrektorów i innych osób zarządzającyc.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Wróć do góry