Що таке Китайський закон про захист персональних даних? Від обставин прийняття до заходів, які повинні вжити японські компанії
Серед юристів компаній, які планують або вже розгортають свою діяльність у Китаї, часто виникають питання щодо захисту персональних даних у Китаї.
У цій статті ми всебічно представляємо правові регуляції, які необхідно знати при веденні бізнесу в Китаї. Також ми надаємо інформацію про методи вирішення проблем та пояснюємо, на що японським компаніям слід звернути увагу. Будь ласка, використовуйте цю інформацію як довідник для розуміння законодавства Китаю про захист персональних даних та починайте розробляти відповідні заходи.
Контекст та мета прийняття Закону про захист персональних даних у Китаї
До цього часу в Китаї не існувало закону, який би комплексно регулював захист персональних даних, подібно до Японського закону про захист персональних даних. Однак, існували спроби розробити такий закон, і 1 листопада 2021 року було введено в дію «Китайський закон про захист персональних даних», який вперше в Китаї встановив комплексні правила захисту персональних даних.
Зокрема, «Закон про кібербезпеку» та «Закон про безпеку даних» мають сильний акцент на національну безпеку, проте Китайський закон про захист персональних даних зосереджений на захисті прав особистості.
Структура Китайського закону про захист персональних даних значною мірою відображає вплив сучасних законодавчих регулювань інших країн, таких як загальне регулювання захисту даних ЄС (GDPR). Однак, точки, які визнаються як законні підстави, та деталі, що стосуються прав суб’єктів даних, мають унікальний характер, тому потребують індивідуального підходу.
Регулювання захисту персональних даних у Китаї
У цьому розділі ми розглянемо об’єкти регулювання захисту персональних даних у Китаї.
Зверніть увагу, що регулювання стосується вас, якщо ви відповідаєте наступним умовам.
- Якщо ваша мета полягає у наданні товарів або послуг особам, що перебувають у Китаї
- Якщо ви маєте на меті аналізувати чи оцінювати поведінку осіб, що перебувають у Китаї
- Інші випадки, визначені законодавством
Закон про захист персональних даних у Китаї може мати юрисдикцію не тільки в межах країни, але й за її межами. Також, навіть за межами Китаю, якщо ваша діяльність спрямована на осіб, які перебувають у Китаї, наприклад, продаж товарів або аналіз поведінки, на вас буде поширюватися цей закон, тому будьте уважні.
Ключові аспекти розуміння Закону про захист персональних даних Китаю
У цьому розділі ми розглянемо вісім ключових аспектів, які допоможуть зрозуміти законодавство Китаю щодо захисту персональних даних.
Підстави законності
Компанії можуть обробляти персональні дані лише у випадку, якщо вони відповідають хоча б одній з підстав законності, визначених Китайським законом про захист персональних даних.
Ось сім підстав:
- Згода суб’єкта даних
- Виконання контракту
- Виконання законодавчих обов’язків
- Громадське здоров’я
- Інтереси суспільства
- Обробка опублікованих персональних даних
- Інші обставини, визначені законодавством та іншими нормативними актами
Як можна побачити, в цьому переліку немає «легітимного інтересу», який є в GDPR. Тому можна припустити, що порівняно з GDPR, ситуацій, коли обробка персональних даних має базуватися на згоді особи, буде більше.
Крім того, згода має бути визначена як така, що «суб’єкт даних може легко відкликати в будь-який час». Тому необхідно звернути увагу на створення інтерфейсу користувача, який дозволяє легко відкликати згоду, та на чітке та зрозуміле викладення процедури відкликання.
Інформування
Компанії мають повідомляти особу зрозумілою мовою про всі аспекти, які вимагаються Китайським законом про захист персональних даних, перш ніж почати обробку її персональної інформації.
Крім того, вимагається надання детальної інформації не лише про цілі обробки, але й про методи обробки, типи персональних даних, терміни зберігання, способи та процедури здійснення прав.
Угода з підрядником
При делегуванні обробки персональних даних необхідно заздалегідь узгодити з підрядником цілі обробки, терміни, методи та заходи захисту в рамках договору про надання послуг.
Крім того, ви також берете на себе відповідальність за контроль за обробкою даних, яку ви доручили. При спільній роботі з іншими компаніями над обробкою персональних даних, так само як і в випадку делегування, необхідно заздалегідь домовитися про цілі та методи обробки даних, а також про права та обов’язки обох сторін.
Регулювання транскордонного перенесення
При передачі персональних даних, зібраних у Китаї, третій стороні за кордоном, необхідно вжити два наступні заходи.
Перший полягає в тому, що ви повинні повідомити назву та контактні дані одержувача персональних даних, мету обробки, методи обробки, типи персональних даних, способи, якими особа може здійснювати свої права щодо одержувача, та процедури. Також необхідно отримати згоду особи індивідуально.
Другий вимагає виконання одного з наступних чотирьох заходів:
- Пройшов національну оцінку безпеки
- Отримав сертифікацію захисту персональних даних від спеціалізованої установи
- Уклав договір з одержувачем за межами регіону на основі стандартного контракту
- Відповідає іншим умовам, визначеним національним відділом інтернет-інформації
Залежно від змісту персональних даних, які переносяться, може бути обов’язковою національна оцінка безпеки. Тому, відповідно до “Японського методу оцінки безпеки транскордонного перенесення даних”, спочатку перевірте, чи потрібна національна оцінка безпеки, а потім виберіть відповідні заходи.
Про права
Китайський закон про захист персональних даних надає особі такі права, як право знати, право перегляду, право на копіювання, право на відкликання, портабельність, право на виправлення та право на видалення.
Також, на відміну від GDPR, визнається “право померлих”. “Право померлих” дозволяє близьким родичам здійснювати ці права від імені померлої особи. Тому необхідно також звертати увагу на захист інформації померлих.
Обов’язок звітування про інциденти
Для запобігання витоку персональних даних компаніям необхідно дотримуватися заходів, подібних до тих, що вимагаються Інформаційною системою управління безпекою (ISMS).
Ось приклади відповідних заходів, які вимагаються:
- Розробка внутрішніх правил
- Класифікаційне управління відповідно до рівня конфіденційності
- Зашифрування за потреби
- Впровадження псевдонімізації та інших методів
- Проведення навчання співробітників
- Розробка процесу реагування на інциденти тощо
Оскільки заходи з управління безпекою також визначені в законах про кібербезпеку та про захист даних, рекомендується ретельно впорядкувати вимоги цих трьох законів та перевірити заходи.
Пов’язані статті: Що таке Китайський закон про кібербезпеку? Основні моменти, які потрібно дотримуватися[ja]
Пов’язані статті: Що таке Китайський закон про захист даних? Заходи, які повинні вжити японські компанії[ja]
Обов’язок призначення DPO та представника
Компанії зобов’язані призначати DPO (відповідального за захист даних), коли обсяг оброблюваної ними персональної інформації досягає певної кількості.
Також компанії, на які поширюється позатериторіальна юрисдикція, повинні встановити представника в Китаї, а також повідомити відповідальний орган про свою назву та контактні дані.
Обов’язок проведення оцінки впливу на захист персональних даних
Компанії мають здійснювати попередню оцінку ризиків та належно контролювати ці ризики, якщо вони відповідають хоча б одній з наступних п’яти умов:
Випадки, коли необхідно проводити оцінку впливу, включають:
- Обробка чутливої інформації
- Здійснення автоматизованого прийняття рішень
- Делегування обробки персональних даних третім особам або передача персональних даних третім особам
- Транскордонна передача персональних даних
- Дії, які можуть суттєво вплинути на права та інтереси осіб
Штрафи за порушення закону про захист персональних даних у Китаї
У разі порушення можуть бути застосовані значні санкції (до 50 мільйонів юанів або до 5% від обсягу продажів попереднього року). Оскільки закон застосовується і за межами країни, японським компаніям, що ведуть бізнес у Китаї, необхідно терміново вжити заходів.
Заходи, які японські компанії мають вжити щодо захисту персональних даних
У цьому розділі ми представимо чотири заходи, які японські компанії повинні вжити для захисту персональних даних.
Переглянути внутрішню структуру компанії
Перш за все, слід розглянути перегляд внутрішньої структури компанії. Через обов’язок призначення представника або DPO (Data Protection Officer), необхідно переглянути внутрішню структуру.
До прикладів можна віднести створення спеціалізованих відділів, відповідальних за дотримання правил обробки даних, що містять персональну інформацію, організацію робочих процесів, а також проведення детального мапінгу даних.
Оновити нормативні акти та політики
Також важливо оновити нормативні акти та політики. Необхідно оновити нормативні акти та політики, щоб вони відповідали законодавству про дані Китаю.
Крім того, не достатньо просто розробити положення, які відображають законодавчі вимоги, але також необхідно забезпечити, щоб усі співробітники могли виконувати ці положення в реальній практиці.
Зрозуміти реальність виконання
Оскільки Закон про захист персональних даних був прийнятий 1 листопада 2021 року і ще новий, необхідно постійно вживати заходів, розуміючи реальність його виконання. Також для всіх співробітників компанії встановлені правила щодо належного поводження з даними та суворого дотримання законодавства.
Тому компанії повинні регулярно проводити навчання для своїх співробітників, щоб підвищити обізнаність щодо останніх законів та процедур.
Побудувати співпрацю з експертами
Побудова та посилення співпраці з експертами також є невід’ємним. Співпраця з експертами, які добре обізнані з китайським законодавством, дозволить швидко реагувати на зміни. Крім того, компанії повинні регулярно моніторити та оцінювати стан дотримання правил захисту персональних даних. Тому можна сказати, що побудова співпраці з зовнішніми експертами є обов’язковою.
Підсумок: Розуміння численних правових регуляцій та здійснення точних дій
1 листопада 2021 року в Китаї вперше набув чинності «Китайський закон про захист персональних даних», який комплексно регулює захист персональної інформації. Для компаній, що ведуть глобальний бізнес, китайські законодавчі регуляції, пов’язані з даними (Закон про кібербезпеку, Закон про безпеку даних, Закон про захист персональних даних), є надзвичайно важливими через значимість ринку та строгість регулювання. Залежно від обставин, можливо, вам знадобиться звернутися за допомогою до фахівців, тому важливо належним чином налагодити систему, яка дозволить вам ефективно виконувати необхідні робочі процеси.
Інформація про заходи, що їх пропонує наша юридична фірма
Юридична фірма “Моноліт” спеціалізується на IT, зокрема на правових аспектах Інтернету, і має значний досвід у цих сферах. У зв’язку з тим, що глобальний бізнес розширюється з кожним роком, потреба у професійному юридичному аналізі також зростає. Наша фірма пропонує рішення у сфері міжнародного права.
Сфери діяльності юридичної фірми “Моноліт”: Міжнародне право та зарубіжний бізнес[ja]
Related Articles
Чи є фрілансери «працівниками»? Критерії визначення статусу працівника, які має знати відповідал.
General Corporate
Чи існують верхні межі сум для подарунків та призів? Роз'яснення категорій, визначених Законом п.
General Corporate
Детальний розгляд прикладів використання відгуків та фотографій до і після, які стають неприпуст.
General Corporate
Що таке система інвойсів? Просте пояснення ключових моментів, на які повинні звернути увагу підп.
General Corporate
Роль адвоката та управління кризами на прикладі витоку інформації в Університеті Кейо
General Corporate
Які процедури потрібні для обміну візитками онлайн? Пояснення щодо особливостей 'Японського Зако.
General Corporate
Що таке обов'язок адвоката зберігати таємницю? Обговорення меж, в яких обов'язок зберігати таємн.
General Corporate
