LR NEWS 1898 DAILY

China veröffentlicht Entwurf eines Gesetzes zum Schutz personenbezogener Daten

Am 21. Oktober 2020 veröffentlichte China einen Entwurf des Gesetzes zum Schutz personenbezogener Daten („Entwurf PIPL“) für öffentliche Kommentare. Mit dem PIPL-Entwurf wird ein umfassendes System zum Schutz personenbezogener Daten in China eingeführt.

Chinas Cybersicherheitsgesetz, das Datenschutzgesetz (Entwurf) und der Entwurf des PIPL bilden drei grundlegende Gesetze zur Cybersicherheit und zum Datenschutz. Der PIPL-Entwurf enthält Bestimmungen zu Fragen, die durch neue Technologien und Anwendungen aufgeworfen werden, und lässt einige Fragen offen für künftige Rechtsvorschriften oder unverbindliche Richtlinien.

Der Entwurf des PIPL besteht aus acht Kapiteln und 70 Artikeln, die folgende Themen behandeln: (1) Verarbeitung personenbezogener Daten, (2) grenzüberschreitende Weitergabe personenbezogener Daten, (3) Rechte der betroffenen Personen in Bezug auf die Datenverarbeitung, 4) Pflichten der Datenverarbeiter, (5) die für personenbezogene Daten zuständige Behörde und (6) rechtliche Verpflichtungen.

Persönliche Informationen beziehen sich auf die verschiedenen Arten von Informationen, die in elektrischen oder anderen Formaten aufgezeichnet wurden und sich auf identifizierte und identifizierbare Personen beziehen. Die Definition enthält Informationen, die betroffene Personen identifizieren können, sowie Informationen, die sich auf betroffene Personen beziehen.

Im Folgenden sind einige wichtige Bestimmungen des PIPL-Entwurfs zusammengefasst.

Abteilungen, die den Schutz personenbezogener Daten ausüben

Zu den für den Schutz personenbezogener Daten zuständigen Abteilungen („Abteilungen“) gehören die Cyberspace Administration of China („CAC“), die zuständige Abteilung des Staatsrates und die zuständige Abteilung der Kommunalverwaltung auf Kreisebene oder darüber.

Geltungsbereich

Der PIPL-Entwurf könnte außerhalb Chinas anwendbar sein, soweit dies zum Schutz der Interessen der betroffenen Personen in China erforderlich ist. In Fällen, in denen der Zweck der Datenverarbeitung außerhalb Chinas darin besteht, Personen in China Produkte oder Dienstleistungen bereitzustellen oder das Verhalten von Personen in China zu analysieren und zu bewerten, werden diese Datenverarbeitungsaktivitäten durch den Entwurf des PIPL geregelt.

Darüber hinaus müssen Datenverarbeiter außerhalb Chinas, die jedoch dem PIPL-Entwurf unterliegen, Einrichtungen einrichten oder Vertreter ernennen, die für den Schutz personenbezogener Daten zuständig sind. Der Name des Unternehmens oder der Name und die Kontaktinformationen des Vertreters sind bei der zuständigen Abteilung einzureichen.

Der PIPL-Entwurf würde nicht für eine Person gelten, die ihre eigenen Daten oder die Daten ihrer Familie verarbeitet.

Sieben Prinzipien für die Datenverarbeitung

Der PIPL-Entwurf enthält sieben Datenschutzgrundsätze, darunter Rechtmäßigkeit, ausdrücklicher Zweck, Mindestnotwendigkeit, Transparenz, Genauigkeit, Rechenschaftspflicht und Datensicherheit. Dies ist das erste Mal, dass Genauigkeit in Bezug auf die Verarbeitung persönlicher Informationen in Betracht gezogen wird.

Zustimmung und Ausnahmen für die Zustimmung

Nach dem Entwurf des PIPL ist die Verarbeitung personenbezogener Daten nicht nur darauf beschränkt, wo die Zustimmung gemäß dem Cybersicherheitsgesetz eingeholt wird. Nach dem PIPL kann ein Datenverarbeiter personenbezogene Daten verarbeiten, basierend auf: (1) Zustimmung der betroffenen Person; (2) die Notwendigkeit, einen Vertrag auszuführen oder auszuführen; (3) die Notwendigkeit der Erfüllung einer gesetzlichen Verpflichtung oder einer gesetzlichen Pflicht; (4) eine Reaktion auf ein sich abzeichnendes Ereignis im Bereich der öffentlichen Gesundheit oder die Notwendigkeit, die Sicherheit des Lebens und des Eigentums eines Einzelnen zu schützen; oder (5) die Veröffentlichung von Nachrichten und die Überwachung durch die öffentliche Meinung im öffentlichen Interesse in angemessenem Umfang.

Ein Datenverarbeiter darf die Bereitstellung von Produkten oder Dienstleistungen nicht mit der Begründung verweigern, dass eine Person der Verarbeitung ihrer persönlichen Daten nicht zustimmt oder ihre Zustimmung widerruft, es sei denn, die Verarbeitung personenbezogener Daten ist für die Bereitstellung der Produkte wesentlich oder Dienstleistungen.

Gemeinsame Datenverarbeitung und Datenverarbeitung durch Vertrauen

Wenn Datenverarbeiter personenbezogene Daten gemeinsam verarbeiten, haften die Mitverarbeiter bei Verletzung persönlicher Interessen gesamtschuldnerisch.

Wenn ein Datenverarbeiter einen Dritten mit der Verarbeitung personenbezogener Daten beauftragt, müssen beide Parteien eine Vereinbarung treffen, die den Zweck der Datenverarbeitung, den Verarbeitungsmodus, die Art der verarbeiteten personenbezogenen Daten, Schutzmaßnahmen sowie die Rechte und Pflichten beider Parteien umfasst. In diesen Fällen muss der Datenverarbeiter die Datenverarbeitungsaktivitäten überwachen. Der PIPL-Entwurf listet keine spezifischen Überwachungsmethoden auf. Nach Abschluss der Vertragserfüllung oder Beendigung der Beauftragung werden personenbezogene Daten zurückgegeben oder gelöscht.

Weitergabe personenbezogener Daten an Dritte

Bei der Weitergabe personenbezogener Daten an Dritte muss ein Datenverarbeiter die betroffene Person über die Identität und die Kontaktinformationen des Dritten, den Zweck der Datenverarbeitung, den Verarbeitungsmodus und die Art der erfassten personenbezogenen Daten informieren sowie gesonderte Informationen einholen Zustimmung der betroffenen Person.

Automatisierte Entscheidungsfindung

In Bezug auf die automatisierte Entscheidungsfindung müssen die Datenverarbeiter die Transparenz der Entscheidung und die Fairness des Ergebnisses sicherstellen. Für den Fall, dass betroffene Personen der Ansicht sind, dass die automatisierte Entscheidungsfindung einen erheblichen Einfluss auf ihre Interessen hat, können die betroffenen Personen vom Datenverarbeiter eine Erklärung verlangen, und die betroffene Person kann es ablehnen, dem Verarbeiter eine Entscheidung zu erlauben ausschließlich automatisiert. Wenn der Datenverarbeiter eine automatisierte Entscheidungsfindung zur Durchführung von Marketing- und Push-Nachrichten anwendet, kann die betroffene Person auch festlegen, dass der Verarbeiter keine Marketing- und Push-Nachrichten durchführt, die auf die persönlichen Merkmale einer Person abzielen.

Sensible persönliche Informationen

Der PIPL-Entwurf sieht weitere Einschränkungen für die Verarbeitung sensibler personenbezogener Daten vor. Sensible persönliche Informationen sind Informationen, die nach dem Durchsickern oder Missbrauch den persönlichen Ruf schädigen oder die Sicherheit von Personen und Eigentum ernsthaft gefährden können. Dazu gehören Rasse, Nationalität, Religion, biometrische Informationen, Gesundheit, Finanzkonto, persönlicher Aufenthaltsort und andere Informationen. Nur wenn der personenbezogene Datenverarbeiter einen bestimmten Zweck und eine ausreichende Notwendigkeit hat und eine gesonderte oder schriftliche Zustimmung der betroffenen Personen einholt, ist die Verarbeitung sensibler personenbezogener Daten zulässig.

Der Datenverarbeiter informiert die betroffene Person auch über die Notwendigkeit der Verarbeitung sensibler personenbezogener Daten und die Auswirkungen auf die betroffene Person.

Persönliches Bild, das von den öffentlich installierten Geräten gesammelt wurde

Ein persönliches Bild und persönlich identifizierbare Informationen, die von einem in der Öffentlichkeit installierten Bildaufnahme- und Identifikationsgerät gesammelt wurden, dürfen nur zum Zwecke der Wahrung der öffentlichen Sicherheit verwendet und nicht an Dritte weitergegeben oder weitergegeben werden, es sei denn, die Zustimmung des Einzelnen wird eingeholt oder anderweitig von bereitgestellt relevante Gesetze und Vorschriften.

Offengelegte Informationen

In Bezug auf offengelegte personenbezogene Daten muss die Datenverarbeitung den Zwecken entsprechen, für die die personenbezogenen Daten offengelegt werden. Bei Datenverarbeitungen, die den angemessenen Rahmen dieses Zwecks überschreiten, müssen die Datenverarbeiter die betroffenen Personen informieren und vor der Verarbeitung ihre Zustimmung einholen.

Wenn der Zweck bei der Offenlegung personenbezogener Daten nicht klar ist, müssen die Datenverarbeiter die personenbezogenen Daten auf angemessene und umsichtige Weise verarbeiten. Für den Fall, dass die Verarbeitung der offengelegten personenbezogenen Daten erhebliche Auswirkungen auf die betroffenen Personen haben kann, müssen die Datenverarbeiter die betroffenen Personen informieren und die Zustimmung einholen.

Grenzüberschreitende Weitergabe personenbezogener Daten

Der Entwurf des PIPL bietet drei Methoden für die grenzüberschreitende Übermittlung personenbezogener Daten. Im Allgemeinen müssen grenzüberschreitende Übermittlungen personenbezogener Daten von anerkannten Institutionen zertifiziert werden, oder der Datenverarbeiter muss mit dem Empfänger außerhalb Chinas eine grenzüberschreitende Übermittlungsvereinbarung abschließen und sicherstellen, dass die Verarbeitung dem im PIPL-Entwurf festgelegten Schutzstandard entspricht . Wenn der Datenverarbeiter als Betreiber einer kritischen Informationsinfrastruktur („CII“) eingestuft ist oder das vom Datenverarbeiter verarbeitete Datenvolumen das vom CAC festgelegte Niveau überschreitet, muss die grenzüberschreitende Übertragung personenbezogener Daten eine Sicherheitsbewertung bestehen, die von durchgeführt wird das CAC.

Bei grenzüberschreitender Übermittlung personenbezogener Daten informiert der Datenverarbeiter die betroffenen Personen über die Identität und die Kontaktinformationen der überseeischen empfangenden Partei, den Zweck der Datenverarbeitung, den Verarbeitungsmodus, die Art der zu verarbeitenden personenbezogenen Daten und die Art und Weise, wie betroffene Personen ihre im Rahmen des PIPL-Entwurfs vorgesehenen Rechte ausüben und die gesonderte Zustimmung der betroffenen Personen einholen können.

In Bezug auf die grenzüberschreitende Übermittlung personenbezogener Daten zum Zwecke der Bereitstellung internationaler Rechtshilfe und Strafverfolgungshilfe muss die Übermittlung von einer zuständigen Behörde genehmigt werden.

Nach dem PIPL-Entwurf kann das CAC bestimmte Gegenmaßnahmen gegen die Nation oder Region ergreifen, wenn eine Einrichtung oder Einzelperson die Interessen personenbezogener Daten chinesischer Staatsbürger verletzt oder wenn eine Nation oder Region unangemessene Maßnahmen gegenüber China in Bezug auf den Schutz personenbezogener Daten ergreift.

Lokalisierung

Zusätzlich zu der Genehmigungspflicht für die grenzüberschreitende Übermittlung personenbezogener Daten an CII-Betreiber und Datenverarbeiter, die Daten verarbeiten, die ein bestimmtes Volumen überschreiten, müssen diese Datenverarbeiter personenbezogene Daten in China speichern.

Rechte der betroffenen Personen in Bezug auf die Datenverarbeitung

Die betroffenen Personen haben das Recht zu wissen, zu entscheiden und die Verarbeitung ihrer persönlichen Daten durch andere zu beschränken oder zu beanstanden. Die betroffenen Personen haben auch das Recht, auf ihre persönlichen Daten von Datenverarbeitern zuzugreifen und diese zu kopieren, und das Recht, von den Datenverarbeitern zu verlangen, dass sie ihre persönlichen Daten korrigieren oder vervollständigen. Unter bestimmten Umständen haben betroffene Personen das Recht, die Löschung ihrer persönlichen Daten, das Recht auf Widerruf der Einwilligung und das Recht zu verlangen, dass der Datenverarbeiter die Verarbeitungsregeln erläutert.

Der Datenverarbeiter legt den Mechanismus fest, nach dem die betroffene Person ihre Rechte ausüben kann.

Pflichten des Datenverarbeiters

Der PIPL-Entwurf enthält die Verpflichtungen der Datenverarbeiter in Bezug auf die Datenverarbeitung in einem unabhängigen Kapitel. Die Verpflichtungen umfassen die Festlegung interner Verwaltungsrichtlinien und Betriebsverfahren, die Implementierung der klassifizierten und hierarchischen Verwaltung personenbezogener Daten, angemessene Feststellungen hinsichtlich der Erlaubnis zur Datenverarbeitung, die Durchführung regelmäßiger Schulungen und Schulungen, die Erstellung und Umsetzung von Notfallplänen, die Annahme technischer Sicherheitsmaßnahmen und die Durchführung regelmäßiger Audits von Aktivitäten zur Verarbeitung persönlicher Informationen.

Datenschutzbeauftragter

Wenn das Volumen der verarbeiteten personenbezogenen Daten das vom CAC festgelegte Niveau erreicht, ernennt der Datenverarbeiter einen Datenschutzbeauftragten („DPO“), der für die Verarbeitung personenbezogener Daten verantwortlich ist. Der Name und die Kontaktinformationen des Datenschutzbeauftragten werden veröffentlicht und bei der zuständigen Abteilung eingereicht.

Erweiterte Risikobewertung

Der Datenverarbeiter führt vor der Verarbeitung sensibler personenbezogener Daten, der grenzüberschreitenden Übermittlung personenbezogener Daten, der Durchführung automatisierter Entscheidungen über personenbezogene Daten, der Verarbeitung personenbezogener Daten durch Dritte und der Weitergabe personenbezogener Daten an Dritte eine Risikobewertung durch Partei und Offenlegung persönlicher Informationen. Der Bewertungsbericht und die Entsorgungsbedingungen sind drei Jahre lang aufzubewahren.

Datenleck

Im Falle eines Datenschutzverstoßes ergreift der Datenverarbeiter unverzüglich Abhilfemaßnahmen und benachrichtigt die zuständige Abteilung und die betroffenen Personen. Der Entwurf der PIPL enthält spezifische Inhalte, die in die Benachrichtigung aufgenommen werden sollen. Der PIPL-Entwurf sieht jedoch eine Ausnahme von der Benachrichtigung betroffener Personen vor. Wenn die vom Datenverarbeiter ergriffenen Maßnahmen Schäden durch die Offenlegung personenbezogener Daten wirksam vermeiden könnten, muss der Datenverarbeiter die betroffenen Personen nicht benachrichtigen, es sei denn, die zuständige Abteilung stellt fest, dass die Offenlegung zu Schäden führen kann.

Rechtliche Verpflichtungen

Der PIPL-Entwurf erweitert das Spektrum der Strafen über die im Cybersicherheitsgesetz vorgesehenen hinaus. Neben der Berichtigung, Beschlagnahme illegaler Gewinne, Verwarnungen, Strafen unter 1 Million RMB, Geschäftsunterbrechungen, Unterbrechungen der Berichtigung und dem Widerruf einschlägiger Genehmigungen oder Geschäftslizenzen nach dem Cybersicherheitsgesetz sieht der Entwurf des PIPL auch vor, dass in schwerwiegenden Fällen Daten vorliegen Verarbeiter werden außerdem mit Geldbußen unter 50 Millionen RMB oder unter 5% des Vorjahresumsatzes belegt.

Comments are closed.