LexDigital

Swobodny przepływ danych z Chin już za chwilę – Chińska Administracja Cyberprzestrzeni publikuje projekt ułatwień w transgranicznym przepływie danych

Chiny wprowadzają złagodzenie przepisów dla międzynarodowych korporacji w zakresie eksportu danych z Chin. 28 września 2023 r. Chińska Administracja Cyberprzestrzeni (CAC) opublikowała projekt przepisów dotyczący regulacji i ułatwień w transgranicznym przepływie danych.

Swobodny przepływ danych z Chin już za chwilę – Chińska Administracja Cyberprzestrzeni publikuje projekt ułatwień w transgranicznym przepływie danych

W projekcie CAC zezwala  na: (i) eksport niektórych rutynowych danych na potrzeby codziennej działalności biznesowej lub wewnętrznego zarządzania zasobami ludzkimi; oraz (ii) eksport niewielkiej ilości nieistotnych danych, które mają być zwolnione z trzech podstawowych mechanizmów zgodności w zakresie eksportu danych. 

Obecnie, zgodnie z ustawą o ochronie danych osobowych (PIPL) (obowiązującą od 1 listopada 2021 r.), przedsiębiorstwa międzynarodowe muszą przejść przez jeden z trzech podstawowych mechanizmów zgodności eksportu danych dla przekazania danych osobowych poza Chiny, chyba że przepisy ustawowe, administracyjne lub CAC zezwalają inaczej. 

Pierwszym z trzech mechanizmów jest "ocena bezpieczeństwa" przeprowadzana przez CAC. W ramach takiego systemu niektóre rodzaje administratorów danych osobowych muszą angażować się w transgraniczny transfer danych tylko wtedy, gdy mogą przejść ocenę bezpieczeństwa CAC.

Drugi mechanizm polega na otrzymaniu certyfikatu ochrony danych osobowych od licencjonowanej organizacji zgodnie z przepisami CAC. 

Trzeci mechanizm to zawarcie przez administratora danych, który chce eksportować dane osobowe z Chin, i zagranicznego odbiorcę danych standardowej umowy sformułowanej przez CAC (China SCC) oraz złożeniu w CAC wykonanej China SCC i odpowiedniego raportu z oceny skutków dla ochrony danych osobowych (PIA). Aby uzyskać więcej informacji, zobacz nasz alert dla klientów dotyczący China SCC.

Każdy z tych trzech mechanizmów może być czasochłonny i uciążliwy dla międzynarodowych korporacji, które muszą eksportować z Chin dane wymagane do codziennej działalności biznesowej. Najczęściej taka działalność jest związana z indywidualnymi klientami lub wewnętrznym zarządzaniem zasobami ludzkimi. 

Projekt przepisów, jako nowy mechanizm określony przez CAC w ramach PIPL, gdy stanie się prawem, znacznie ułatwi rutynowe przekazywanie danych i znacznie zmniejszy obciążenie związane z przestrzeganiem przepisów przez korporacje poprzez wprowadzenie "bezpiecznych portów".


Bezpieczne Porty

Bezpieczne porty zgodnie z projektem przepisów miałyby zastosowanie zgodnie z następującymi standardami.

Niezbędny eksport danych

Eksport danych, które są niezbędne do prowadzenia rutynowych operacji biznesowych w odniesieniu do klientów indywidualnych, wewnętrznego zarządzania zasobami ludzkimi lub sytuacji awaryjnych, są zwolnione z przechodzenia przez trzy mechanizmy. W tym eksport danych osobowych: 

  • generowanych w ramach handlu międzynarodowego, współpracy akademickiej, wielonarodowej działalności produkcyjnej i marketingowej, które nie obejmują danych osobowych lub ważnych danych skategoryzowanych jako pierwsze, a następnie zgłoszonych lub ogłoszonych przez organy regulacyjne (art. 1);
  • w celu zawarcia lub wykonania umowy, której stroną jest osoba fizyczna, dla przedsiębiorstw transgranicznych, takich jak zakupy transgraniczne, płatności transgraniczne, rezerwacje lotów i hoteli oraz przetwarzanie wiz (art. 4); 
  • pracowników przedsiębiorstwa w Chinach w celu zarządzania zasobami ludzkimi na podstawie prawnie ustanowionej polityki zarządzania zasobami ludzkimi lub prawnie zawartej umowy zbiorowej (art. 4); oraz
  • w sytuacjach nadzwyczajnych, gdy konieczne jest przekazanie danych osobowych w celu ochrony życia, zdrowia i mienia ludzi (art. 4). 


Ilość danych

Wyłączenia ze stosowania mechanizmów zgodności eksportu danych poza Chiny ze względu na ilość danych (dotyczy danych przekazywanych rocznie). W przypadku eksportu danych osobowych:

  • dotyczących mniej niż 10 000 osób fizycznych będą one zwolnione ze wszystkich trzech mechanizmów (art. 5); 
  • obejmujących mniej niż 10 000 osób będą one zwolnione ze wszystkich trzech mechanizmów (art. 5); 
  • od 10 000 do 1 miliona osób można odstąpić od oceny CAC (art. 6); oraz
  • powyżej 1 miliona osób, są zwolnione z licencjonowanej certyfikacji chińskiej SCC, ale ocena CAC będzie nadal wymagana.

Strefy wolnego handlu

Dane eksportowane z pilotażowych stref wolnego handlu (FTZ) są zwolnione z trzech mechanizmów, o ile nie znajdują się na "liście negatywnej", która zostanie opublikowana przez FTZ (art. 7).

Dane gromadzone w innych jurysdykcjach

Dane osobowe, które nie są gromadzone w Chinach, są wyłączone z trzech mechanizmów (art. 3).

Wyjątki 

Powyższe bezpieczne porty nie mają zastosowania do eksportu następujących danych: 

  • dane osobowe i ważne dane przekazywane przez agencje rządowe i operatorów krytycznej infrastruktury informatycznej w Chinach; oraz 
  • wrażliwe informacje i wrażliwe dane osobowe związane z Komunistyczną Partią Chin, rządem, wojskiem, organizacjami i podmiotami, które mają dostęp do niejawnych tajemnic państwowych w Chinach. (art. 8). 

W kontekście istotnych danych, projekt przepisów precyzuje, że w przypadku braku powiadomienia organów regulacyjnych dla administratorów danych lub braku publicznego ogłoszenia o charakterze ważnych danych, nie ma obowiązku przedstawienia oceny CAC podczas eksportu danych. W rezultacie międzynarodowe korporacje nie są zobligowane do indywidualnej oceny, co jest uznawane za istotne dane zgodnie z założeniami projektu przepisów.

Projekt przepisów ma ułatwić swobodny przepływ danych z Chin w normalnym toku działalności gospodarczej. Dzięki mniej rygorystycznym wymogom dotyczącym przekazywania danych, obciążenia administracyjne i koszty związane z przekazywaniem danych przez korporacje zostaną znacznie zmniejszone, a współpraca między podmiotami w różnych jurysdykcjach będzie łatwiejsza. Ponadto jasne wytyczne dotyczące transgranicznego transferu danych mogą pomóc korporacjom w skuteczniejszym zarządzaniu ryzykiem, związanym z przestrzeganiem przepisów dotyczących danych, ponieważ będą one lepiej rozumieć, co jest dozwolone, a co nie. 


Jak projekt przepisów ma się do sytuacji ogólnej?

Międzynarodowe firmy często przesyłają informacje o pracownikach z różnych krajów, aby skonsolidować zarządzanie personelem poza Chinami. Aby uniknąć trzech mechanizmów, trzeba mieć oficjalnie ustaloną politykę zarządzania personelem lub prawnie wiążącą umowę zbiorową. To stanowi podstawę prawną dla przesyłania danych osobowych pracowników w kontekście zarządzania personelem. Dlatego firmy muszą zrewidować swoją politykę prywatności pracowników, dostosować ją do chińskich wymogów i wypełnić niezbędne formalności prawne, takie jak konsultacje z pracownikami, aby zapewnić istnienie prawnie ustanowionej polityki zarządzania personelem.

Przedsiębiorstwa wielonarodowe powinny stworzyć skuteczny proces śledzenia i identyfikacji, które dane są uznawane przez organy regulacyjne za "ważne dane". Proces ten powinien również szczegółowo rejestrować, skąd pochodzą dane, zwłaszcza te zebrane poza Chinami.

Warto zauważyć, że nawet jeśli przekazywanie danych osobowych poza Chiny spełnia zasady bezpiecznego portu i nie wymaga żadnego z trzech mechanizmów, przedsiębiorstwo przesyłające dane z Chin wciąż musi ocenić skutki dla ochrony danych osobowych przed transferem, zgodnie z przepisami PIPL. Dlatego administratorzy danych, czyli firmy, nadal muszą stosować ocenę skutków dla ochrony danych jako środek zgodności.

Projekt przepisów podkreśla, że zgoda osoby, której dane dotyczą, jest nadal niezbędna do przekazywania danych poza Chiny, nawet jeśli nie używa się żadnego z trzech mechanizmów. Jest to wynikiem ogólnego wymogu powiadomienia i zgody w ramach PIPL, który wymaga odrębnej zgody od osób, których dane dotyczą, na transfer danych poza Chiny, zwłaszcza gdy gromadzenie takich danych opiera się na ich zgodzie. W związku z tym firmy powinny nadal dokładnie gromadzić i dokumentować odrębną zgodę osób, których dane dotyczą, w przypadku przekazywania danych za granicę.


Na co zwrócić uwagę przy transferze?

Jeżeli przekazujesz dane osobowe za granicę i jest to zwolnione z trzech mechanizmów zgodnie z zasadami "bezpiecznego portu", zaleca się, aby zarządzający danymi w Chinach i zagraniczny odbiorca danych podpisali umowę lub inny dokument prawny, na przykład zobowiązanie wewnątrzgrupowe. Taki dokument pomaga określić prawa i obowiązki obu stron w zakresie przekazywania danych, co stanowi środek kontroli ryzyka i zgodności.

Administrator danych, który przystąpił do oceny CAC lub złożył chiński SCC w dniu wejścia w życie projektu przepisów, ale może zostać zwolniony na podstawie którejkolwiek z zasad "bezpiecznego portu" zgodnie z projektem przepisów, może poczekać na dalsze wyjaśnienia CAC dotyczące tego, czy proces ten może zostać przerwany, gdy projekt przepisów stanie się prawem. 

Niektóre kluczowe kwestie praktyczne podlegające dalszemu wyjaśnieniu przez organy regulacyjne: (i) czy eksport wrażliwych danych osobowych, które nie mogą być wyłączone na mocy zasad "bezpiecznego portu", jest ograniczony do danych dotyczących Komunistycznej Partii Chin, rządu, wojska, organizacji i podmiotów, które mają dostęp do niejawnych tajemnic państwowych w Chinach, czy też obejmuje wszelkie wrażliwe dane osobowe dowolnego podmiotu; oraz (ii) jaki będzie wymóg w przypadku, gdy administrator danych przewiduje, że ilość danych osobowych, które mają zostać wyeksportowane, spełnia zasady "bezpiecznego portu", nie przekraczając limitu ilościowego, ale dane osobowe ostatecznie wyeksportowane przekraczają limit ilościowy.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk