LexDigital

Chiny publikują standardową umowę o transgranicznym przekazywaniu danych osobowych

24 lutego 2023 r. Administracja Cyberprzestrzeni Chin (CAC) opublikowała ostateczną wersję środków dotyczących standardowej umowy o transgranicznym przekazywaniu danych osobowych wraz ze standardową umową jako harmonogramem. Środki wejdą w życie 1 czerwca 2023 r. i zapewnią sześciomiesięczny okres karencji.

Chiny publikują standardową umowę o transgranicznym przekazywaniu danych osobowych

Chiny wchodzą w nowy etap, w którym transgraniczne transfery będą ściślej regulowane, a działania egzekucyjne będą bardziej prawdopodobne w przypadku niezgodności. Jeśli Twoja firma współpracuje z przedstawicielami Chin, to te zmiany dotkną również Ciebie. 

Co wiemy o ochronie danych osobowych w Chinach?

Chińskie RODO, czyli PIPL – Personal Information Protection Law – wskazuje trzy mechanizmy prawne, w oparciu o które organizacje, prowadzące działalność w Chinach mogą przekazywać dane osobowe poza Chiny. Są to:

  1. uzyskanie pozytywnego wyniku audytu, przeprowadzanego przez CAC;
  2. zawarcie standardowej umowy z odbiorcą spoza Chin;  
  3. uzyskanie certyfikatu organizacji zawodowej uznanej przez CAC.

Organizacje, które przekazują „ważne dane” lub są określane jako Krytyczna Infrastruktura Informacyjna („CII”) lub w inny sposób przetwarzają, lub przesyłają określone progowe ilości danych osobowych, muszą złożyć wniosek o ocenę bezpieczeństwa administrowaną przez CAC. 

Kto może polegać na standardowej umowie?

Podobnie jak “administrator danych” w obszarze stosowania RODO, tak podmiot zajmujący się przetwarzaniem danych osobowych w Chinach może być stroną w standardowej umowie przekazania danych poza Chińską Republikę Ludową. 

Taki podmiot musi spełniać poniższe wymagania: 

  • nie być operatorem krytycznej infrastruktury informatycznej;
  • przetwarzać dane osobowe mniej niż miliona osób; 
  • nie przekroczyć limitu w przekazywaniu danych za granicę od 1 stycznia poprzedniego roku, który wynosi: - dane osobowe 100 000 osób lub więcej oraz - dane wrażliwe 10 000 osób lub więcej.

Jeśli liczba danych osobowych przekracza te progi, konieczne jest przejście oceny bezpieczeństwa przeprowadzonej przez CAC, a podmioty przetwarzające dane nie mogą obchodzić tej oceny poprzez dzielenie ilości danych osobowych.

Jakie kroki należy podjąć, powołując się na standardową umowę?

Podpisanie standardowej umowy wymaga przeprowadzenia "oceny wpływu na ochronę danych osobowych" (PIA) oraz złożenia podpisanej umowy wraz z raportem PIA do CAC właściwej prowincji w ciągu 10 dni roboczych po rozpoczęciu obowiązywania umowy. 

Podmioty przetwarzające dane osobowe są również zobowiązane do ponownej PIA, uzupełnienia lub podpisania nowej umowy oraz złożenia nowego zgłoszenia w przypadku jakiejkolwiek zmiany w celu przetwarzania, sposobach przekazywania lub miejscu przechowywania przekazywanych danych osobowych, a także w przypadku zmian w zasadach ochrony danych osobowych lub przepisach jurysdykcji, w której znajduje się zagraniczny odbiorca.

Jakie są kluczowe warunki standardowej umowy?

Kluczowe warunki standardowej umowy koncentrują się na obowiązkach administratora danych osobowych, takich jak:

  • powiadamianie osób, których dane dotyczą, o szczegółach transgranicznego przekazywania, 
  • uzyskanie odrębnej zgody (w przypadku gdy przekazanie transgraniczne opiera się na zgodzie jako podstawie prawnej), 
  • powiadomienie osób fizycznych, że są beneficjentami zewnętrznymi umowy standardowej oraz 
  • podejmowanie uzasadnionych starań w celu zapewnienia, że zagraniczni odbiorcy podejmą techniczne i organizacyjne środki bezpieczeństwa. 

Obowiązki zagranicznego odbiorcy obejmują przetwarzanie danych osobowych wyłącznie w ramach standardowej umowy, usuwanie danych po zakończeniu określonego okresu przechowywania oraz powiadomienie o jakimkolwiek naruszeniu danych osobowych.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk