Prawo o ochronie danych osobowych Chińskiej Republiki Ludowej

National Emblem of the People's Republic of China (2).svg
Ustawa o ochronie danych osobowych Chińskiego
Narodowego Kongresu Ludowego
  • Prawo o ochronie danych osobowych Chińskiej Republiki Ludowej
Zasięg terytorialny Chińska Republika Ludowa z wyłączeniem specjalnych regionów administracyjnych Chin
Uchwalona przez XIII Ogólnopolski Kongres Ludowy
uchwalone 20 sierpnia 2021 r
Rozpoczęty 1 listopada 2021 r
Powiązane ustawodawstwo
Prawo Chińskiej Republiki Ludowej dotyczące cyberbezpieczeństwa Prawo Chińskiej Republiki Ludowej dotyczące bezpieczeństwa danych
Podsumowanie
Prawo to zostało sformułowane w celu ochrony praw i interesów danych osobowych, regulowania działań związanych z przetwarzaniem danych osobowych oraz promowania racjonalnego wykorzystywania danych osobowych.
Słowa kluczowe
Kodeks cywilny
Status: Obowiązuje

Ustawa o ochronie danych osobowych Chińskiej Republiki Ludowej (chiński:中华人民共和国个人信息保护法; pinyin: Zhōnghuá rénmín gònghéguó gèrén xìnxī bǎohù fǎ ) zwana Ustawą o ochronie danych osobowych lub („ PIPL ”) ) ochrony praw i interesów dotyczących danych osobowych , standaryzacji działań związanych z przetwarzaniem danych osobowych oraz promowania racjonalnego wykorzystywania danych osobowych. Dotyczy to również przekazywania danych osobowych poza Chiny.

PIPL została przyjęta 20 sierpnia 2021 r. i wchodzi w życie 1 listopada 2021 r. Jest powiązana i oparta zarówno na chińskiej ustawie o cyberbezpieczeństwie („CSL”), jak i chińskiej ustawie o bezpieczeństwie danych („DSL”). PIPL jest podobny i częściowo oparty na RODO Unii Europejskiej .

Oficjalna angielska wersja wyłącznie w celach informacyjnych została opublikowana 29 grudnia 2021 r.

Historia

W dniu 20 sierpnia 2021 r. Komisja Stała XIII Ogólnopolskiego Zjazdu Przedstawicieli Przedstawicieli Ludowych uchwaliła ustawę o Ochronie Informacji Prywatnych ("PIPL"). Ustawa, która weszła w życie 1 listopada 2021 r., dotyczy czynności związanych z przetwarzaniem danych osobowych osób fizycznych w granicach Chin.

Zaprowiantowanie

Zakres

PIPL ogólnie obejmuje wszystkie organizacje działające w Chinach przetwarzające dane osobowe.

Jurysdykcja Długiej Ręki

Niektóre postanowienia obejmują również długoramienną jurysdykcję nad gromadzeniem danych i procesami organizacji poza Chinami. Mają one zastosowanie, gdy:

  1. Celem jest dostarczanie produktów lub usług osobom fizycznym wewnątrz granic;
  2. Analizowanie lub ocena działań osób fizycznych wewnątrz granic;
  3. Inne okoliczności przewidziane przepisami prawa lub przepisami administracyjnymi.

Przypuszczalnie dotyczy to zagranicznych lub międzynarodowych firm z chińskimi klientami w Chinach, na przykład Amazon , który może wysyłać towary do chińskiego nabywcy lub Apple , który może mieć chińskich użytkowników w amerykańskim App Store .

Wszystkie takie podmioty są zobowiązane do ustanowienia specjalnego podmiotu lub wyznaczenia przedstawiciela w Chinach.

Wyjątki

Istnieje kilka wyjątków, ale jedno, które zostało dodane na późnym etapie redagowania, stanowi podstawę prawną braku zgody na przetwarzanie danych pracowników, chociaż zgoda pracownika jest nadal wymagana w przypadku przeniesienia za granicę, na przykład do globalnej firmy macierzystej.

Główne tematy

Indywidualna prywatność , kontrola i zgoda to spójne tematy w całym prawie, które określa kluczowe zasady, w tym:

  • Dane osobowe — definiowanie danych osobowych, w tym informacji wrażliwych;
  • Podstawa prawna — wszelkie gromadzenie danych musi mieć podstawę prawną do ich gromadzenia. Istnieje kilka podstaw, ale w przeciwieństwie do RODO nie ma podstawy prawnie uzasadnionego interesu;
  • Zgoda – kluczową podstawą prawną jest zgoda, którą w przeciwieństwie do RODO należy uzyskać na każdy rodzaj czynności przetwarzania danych, w szczególności na przekazanie danych osoby fizycznej za granicę. Zgoda musi być również „poinformowana” różnymi rodzajami powiadomień i wymaganymi treściami określonymi w przepisach prawa;
  • Dane wrażliwe — niektóre rodzaje danych osobowych są wrażliwe, a prawo zawiera otwartą listę przykładów (w przeciwieństwie do specyficznej listy „kategorii specjalnych” zawartej w RODO), w tym dane biometryczne, religię, specjalny status, zdrowie medyczne, konta finansowe i śledzenie lokalizacji;
  • Ochrona dzieci — Wszystkie dane osobowe osób nieletnich w wieku poniżej 14 lat są wrażliwe, a ich przetwarzanie wymaga wyraźnej zgody rodziców. Jest to znacznie bardziej rygorystyczne niż w RODO;
  • Prawa jednostki — PIPL przyznaje osobom fizycznym kilka kluczowych praw w stosunku do ich danych, takich jak prawo do poprawiania, usuwania, przeglądania lub przenoszenia zebranych na ich temat danych.
  • Obowiązki — kilka artykułów określa różne obowiązki różnych stron zbierających, przekazujących i przetwarzających dane osobowe;
  • Wykorzystywanie danych osobowych przez rząd — PIPL określa, kiedy iw jaki sposób agencje rządowe mogą gromadzić i przetwarzać dane dotyczące osób fizycznych, w tym do celów związanych z bezpieczeństwem narodowym , sytuacjami wyjątkowymi i innymi;
  • Transfery zagraniczne — szczególne ograniczenia dotyczące przekazywania danych osobowych poza Chiny;
  • Egzekwowanie - Surowe kary za naruszenia.

Definicje

Ustawa określa, co następuje:

  • Dane osobowe — wszelkie informacje, które identyfikują lub mogą zidentyfikować osoby fizyczne, zapisane elektronicznie lub w inny sposób, ale nie obejmują informacji anonimowych.
  • Wrażliwe dane osobowe — dane osobowe, które po wycieku lub nielegalnie wykorzystane mogą łatwo spowodować ingerencję osób fizycznych w ich godność lub szkody dla ich osób lub mienia; w tym informacje takie jak dane biometryczne (w tym rozpoznawanie twarzy), wyznanie, szczególna tożsamość, opieka medyczna i zdrowie, status finansowy i śledzenie lokalizacji, a także dane osobowe nieletnich poniżej 14 roku życia.
  • Osoby fizyczne — Osoby, których dane są gromadzone w celu ich przetwarzania (podobnie jak podmiot danych RODO ).
  • Osoby zajmujące się przetwarzaniem danych osobowych: - Organizacje lub osoby, które niezależnie podejmują decyzje dotyczące celów i metod przetwarzania danych osobowych w działaniach związanych z przetwarzaniem danych osobowych.
  • Osoby Powierzone - Podmioty zewnętrzne, którym Administratorzy Informacji powierzają przetwarzanie danych osobowych, zasadniczo osoby trzecie.
  • Duże podmioty przetwarzające — firmy, które przetwarzają duże ilości danych, zgodnie z definicją w artykule 40, w tym operatorzy krytycznej infrastruktury informacyjnej („CIIO”) z chińskich przepisów dotyczących infrastruktury krytycznej.
  • Przetwarzanie danych osobowych: Przetwarzanie danych osobowych obejmuje gromadzenie, przechowywanie, wykorzystywanie, przetwarzanie, przesyłanie, udostępnianie, ujawnianie, usuwanie itp.
  • Zautomatyzowane podejmowanie decyzji: korzystanie z programów komputerowych do automatycznej analizy, oceny i podejmowania decyzji dotyczących danych osobowych dotyczących nawyków zachowania, hobby lub sytuacji ekonomicznej, zdrowotnej, kredytowej i tak dalej.
  • Deidentyfikacja: proces przetwarzania danych osobowych w celu uniemożliwienia identyfikacji konkretnej osoby fizycznej bez pomocy dodatkowych informacji.
  • Anonimizacja: Proces, w którym dane osobowe są przetwarzane w taki sposób, że nie można ich użyć do zidentyfikowania konkretnej osoby fizycznej i nie można ich przywrócić po takim przetwarzaniu.

Podstawa prawna

Wszelkie gromadzenie i przetwarzanie danych osobowych musi opierać się na jednej z następujących podstaw prawnych:

  1. Uzyskanie zgody osób fizycznych;
  2. Gdy jest to konieczne do zawarcia lub wykonania umowy, w której dana osoba jest zainteresowaną stroną, lub gdy jest to konieczne do zarządzania zasobami ludzkimi zgodnie z prawnie sformułowanymi zasadami i strukturami pracy oraz zgodnie z prawem zawartymi umowami zbiorowymi;
  3. Tam, gdzie jest to konieczne do wypełnienia ustawowych obowiązków i obowiązków lub obowiązków ustawowych;
  4. W razie potrzeby w celu reagowania na nagłe zdarzenia związane ze zdrowiem publicznym lub ochrony życia i zdrowia osób fizycznych lub bezpieczeństwa ich mienia w sytuacjach nadzwyczajnych;
  5. Przetwarzanie danych osobowych w rozsądnym zakresie w celu realizacji relacji informacyjnych, kontroli opinii publicznej i innych podobnych działań w interesie publicznym;
  6. Podczas przetwarzania danych osobowych ujawnionych przez same osoby lub w inny sposób już ujawnionych zgodnie z prawem, w rozsądnym zakresie zgodnie z postanowieniami niniejszej ustawy.
  7. Inne okoliczności przewidziane przepisami prawa i przepisami administracyjnymi.

Inaczej niż w RODO , nie ma podstawy prawnie uzasadnionego interesu. W związku z tym większość konsumentów będzie prawdopodobnie objęta udzieleniem bezpośredniej zgody (np. w przypadku plików cookie, biuletynów itp.) lub wykonaniem umowy (np. wysyłką do nich towarów lub świadczeniem usług).

Zgoda

Zgoda jest głównym przedmiotem zainteresowania PIPL i kluczową podstawą prawną, na podstawie której administratorzy mogą przetwarzać dane osobowe.

Jeżeli nie ma innej podstawy prawnej do przetwarzania danych, osoby zajmujące się przetwarzaniem danych muszą uzyskać zgodę na gromadzenie i przetwarzanie danych, a zgoda ta może zostać odwołana przez każdą osobę w dowolnym momencie. Administratorzy nie mogą odmówić dostarczenia produktów lub usług, jeśli osoba fizyczna wstrzymuje lub cofa swoją zgodę na przetwarzanie, które nie jest niezbędne.

Oddzielna zgoda jest również wymagana w wielu sytuacjach:

  • Przekazywanie danych osobowych przez administratorów danych podmiotom trzecim (art. 23);
  • Publikacja danych osobowych (art. 25);
  • publikowanie lub udostępnianie danych osobowych gromadzonych przez urządzenia zainstalowane w miejscach publicznych dla celów bezpieczeństwa, takich jak wizerunek (art. 26);
  • Przetwarzanie wrażliwych danych osobowych (art. 29); I
  • Transgraniczne przekazywanie danych osobowych (art. 39).

Zgody na takie sytuacje nie można „łączyć” i dlatego należy ją uzyskać oddzielnie od danej osoby.

W przypadku zmiany celu przetwarzania danych osobowych, sposobu przetwarzania lub kategorii przetwarzanych danych osobowych należy ponownie uzyskać zgodę osoby fizycznej.

Indywidualne prawa

Osobom fizycznym przysługuje kilka szczególnych praw wynikających z PIPL – mogą:

  • Wiedz i decyduj — odmów i ogranicz sposób przetwarzania ich danych.
  • Uzyskaj dostęp i kopiuj — przeglądaj i kopiuj swoje dane.
  • Poprawne lub kompletne — Prośba o poprawienie niedokładnych danych.
  • Wymazanie — poproś o usunięcie swoich danych i/lub wycofaj zgodę.
  • Wyjaśnienie — osoby zajmujące się wnioskami wyjaśniają sposób postępowania z danymi osobowymi danej osoby.
  • Przenośność — poproś o przeniesienie ich danych do innego podmiotu obsługującego.

Zautomatyzowane podejmowanie decyzji

W PIPL istnieją określone zasady zautomatyzowanego podejmowania decyzji, w tym prawo osób fizycznych do rezygnacji, np. wyłączenia rekomendacji produktów.

Prawo w szczególności wymaga, aby „zagwarantowano przejrzystość procesu decyzyjnego oraz rzetelność i sprawiedliwość wyniku postępowania, a oni nie mogą angażować się w nieuzasadnione zróżnicowane traktowanie osób fizycznych w warunkach handlowych, takich jak cena handlowa itp.”.

W przypadku firm, które wymuszają dostawę lub sprzedaż komercyjną osobom fizycznym za pomocą zautomatyzowanych metod podejmowania decyzji, muszą jednocześnie zapewniać możliwość rezygnacji z kierowania się cechami danej osoby lub zapewniać danej osobie wygodną metodę odmowy.

Gdy korzystanie ze zautomatyzowanego procesu decyzyjnego skutkuje decyzjami mającymi duży wpływ na prawa i interesy danej osoby, mają oni prawo zażądać od podmiotów przetwarzających dane osobowe wyjaśnienia sprawy oraz mają prawo odmówić podmiotom przetwarzającym dane osobowe podejmowania decyzji wyłącznie za pomocą zautomatyzowanych metod podejmowania decyzji.

Zautomatyzowane podejmowanie decyzji jest zdefiniowane jako „odnosi się do czynności związanych z używaniem programów komputerowych do automatycznej analizy lub oceny osobistych zachowań, nawyków, zainteresowań lub hobby, statusu finansowego, zdrowotnego, kredytowego lub innego oraz podejmowania decyzji”.

Rozpoznawanie twarzy

PIPL w szczególności obejmuje korzystanie z rozpoznawania twarzy w przestrzeni publicznej, w tym, że może być używane wyłącznie ze względów bezpieczeństwa publicznego , chyba że każda osoba osobno wyrazi na to zgodę:

„Instalacja urządzeń do gromadzenia obrazów lub urządzeń do rozpoznawania tożsamości w miejscach publicznych odbywa się zgodnie z wymaganiami w celu ochrony bezpieczeństwa publicznego i przestrzegania odpowiednich przepisów państwowych, a także należy zainstalować wyraźne znaki wskazujące. Zebrane wizerunki osobiste i informacje umożliwiające identyfikację osób mogą być wykorzystywane wyłącznie w celu ochrony bezpieczeństwa publicznego; nie można ich wykorzystywać do innych celów, chyba że uzyskano odrębną zgodę osób fizycznych”.

Obowiązki obsługi

Osoby zajmujące się przetwarzaniem danych osobowych mają kilka szczególnych obowiązków:

  1. Formułowanie wewnętrznych struktur zarządczych i zasad działania;
  2. Wdrażanie skategoryzowanego zarządzania danymi osobowymi;
  3. Przyjęcie odpowiednich technicznych środków bezpieczeństwa, takich jak szyfrowanie, deidentyfikacja itp.;
  4. Rozsądne określanie limitów operacyjnych dotyczących przetwarzania danych osobowych oraz regularne przeprowadzanie szkoleń i szkoleń dla pracowników w zakresie bezpieczeństwa;
  5. Formułowanie i organizowanie realizacji planów reagowania na incydenty związane z bezpieczeństwem danych osobowych;
  6. Inne środki przewidziane w przepisach ustawowych lub administracyjnych.

Wszystkie osoby zajmujące się obsługą muszą „regularnie angażować się w audyty postępowania z danymi osobowymi i zgodności z przepisami prawa i przepisami administracyjnymi”.

Inspektorzy Ochrony Danych Osobowych

Ponadto, w określonej (jeszcze nie zdefiniowanej) skali obsługi danych, osoby zajmujące się przetwarzaniem danych muszą wyznaczyć „inspektorów ochrony danych osobowych, odpowiedzialnych za nadzorowanie czynności związanych z przetwarzaniem danych osobowych, a także przyjętych środków ochrony itp.”

Ocena wpływu

W następujących okolicznościach osoby zajmujące się obsługą muszą przeprowadzić ocenę wpływu na ochronę danych osobowych i zgłosić wyniki:

  1. Postępowanie z wrażliwymi danymi osobowymi;
  2. Wykorzystywanie danych osobowych do zautomatyzowanego podejmowania decyzji;
  3. Powierzanie przetwarzania danych osobowych, udostępnianie danych osobowych innym podmiotom przetwarzającym dane osobowe lub ujawnianie danych osobowych;
  4. Udostępnianie danych osobowych za granicą;
  5. Inne działania związane z przetwarzaniem danych osobowych, które mają duży wpływ na osoby fizyczne.

Takie oceny muszą obejmować:

  1. czy cel przetwarzania danych osobowych, metoda przetwarzania itp. są zgodne z prawem, uzasadnione i konieczne;
  2. Wpływ na prawa i interesy jednostek oraz zagrożenia dla bezpieczeństwa;
  3. Czy podjęte środki ochronne są zgodne z prawem, skuteczne i adekwatne do stopnia zagrożenia.

Lokalizacja danych

PIPL ma określone wymagania dotyczące lokalizacji danych , przechowywania i przetwarzania danych osobowych w Chinach.

Ochrona danych

Osoby zajmujące się informacjami mają kilka obowiązków, w tym przyjęcie następujących środków w celu zapewnienia, że ​​przetwarzanie danych osobowych jest zgodne z przepisami prawa i przepisami administracyjnymi oraz zapobieganie nieautoryzowanemu dostępowi, a także wyciekom, zniekształceniu lub utracie danych osobowych :

  1. Formułowanie wewnętrznych struktur zarządczych i zasad działania;
  2. Wdrażanie skategoryzowanego zarządzania danymi osobowymi;
  3. Przyjęcie odpowiednich technicznych środków bezpieczeństwa, takich jak szyfrowanie, deidentyfikacja itp.;
  4. Rozsądne określanie limitów operacyjnych dotyczących przetwarzania danych osobowych oraz regularne przeprowadzanie szkoleń i szkoleń dla pracowników w zakresie bezpieczeństwa;
  5. Formułowanie i organizowanie realizacji planów reagowania na incydenty związane z bezpieczeństwem danych osobowych;
  6. Inne środki przewidziane w przepisach ustawowych lub administracyjnych.

Oceny skutków

Oceny skutków są wymagane w wielu sytuacjach, w tym:

  1. Postępowanie z wrażliwymi danymi osobowymi;
  2. Wykorzystywanie danych osobowych do zautomatyzowanego podejmowania decyzji;
  3. Powierzanie przetwarzania danych osobowych, udostępnianie danych osobowych innym podmiotom przetwarzającym dane osobowe lub ujawnianie danych osobowych;
  4. Udostępnianie danych osobowych za granicą;
  5. Inne działania związane z przetwarzaniem danych osobowych, które mają duży wpływ na osoby fizyczne.

Elementy umowne

Umowy są wymagane, gdy administrator powierza przekazanie danych osobowych innemu administratorowi. Niektóre kancelarie sugerowały, że będzie to skutkowało określonymi standardowymi klauzulami umownymi („SCC”), podobnymi do RODO .

Powiadomienie o naruszeniu

Wszystkie wycieki danych muszą być zgłaszane wewnętrznie, a jeśli „mogła powstać szkoda”, mogą być zobowiązani do powiadomienia osób, których to dotyczy. Szczegóły powiadomienia muszą zawierać:

  1. Kategorie informacji, przyczyny i możliwe szkody spowodowane wyciekiem, zniekształceniem lub utratą, które miały miejsce lub mogły wystąpić;
  2. Środki zaradcze podjęte przez podmiot przetwarzający dane osobowe oraz środki, które osoby fizyczne mogą zastosować w celu złagodzenia szkód;
  3. Metoda kontaktu osoby zajmującej się przetwarzaniem danych osobowych.

Duże uchwyty

Podmioty obsługujące na dużą skalę, takie jak te „dostarczające ważne usługi platform internetowych, które mają dużą liczbę użytkowników i których modele biznesowe są złożone”, mają również obowiązki:

  1. Ustanowić i uzupełnić systemy i struktury zgodności w zakresie ochrony danych osobowych zgodnie z przepisami państwowymi oraz ustanowić niezależny organ składający się głównie z członków zewnętrznych w celu nadzorowania okoliczności związanych z ochroną danych osobowych;
  2. Przestrzegać zasad otwartości, uczciwości i sprawiedliwości; sformułować zasady platformy; oraz doprecyzować standardy postępowania z danymi osobowymi przez dostawców produktów lub usług wewnątrz platformy oraz ich obowiązki w zakresie ochrony danych osobowych;
  3. zaprzestania świadczenia usług na platformie dostawcom produktów lub usług, którzy poważnie naruszają przepisy prawa lub przepisy administracyjne w zakresie przetwarzania danych osobowych;
  4. Regularnie publikuj raporty dotyczące odpowiedzialności społecznej w zakresie ochrony danych osobowych i akceptuj nadzór społeczeństwa.

Transfery Zagraniczne

Przenoszenie danych osobowych poza Chiny jest dozwolone tylko wtedy, gdy spełniony jest jeden z poniższych warunków:

  1. Przejście oceny bezpieczeństwa zorganizowanej przez państwowy departament ds. cyberbezpieczeństwa i informacji zgodnie z art. 40 niniejszej ustawy;
  2. Przechodzenie certyfikacji ochrony danych osobowych prowadzonej przez wyspecjalizowany organ zgodnie z przepisami Departamentu Cyberbezpieczeństwa i Informacji Państwa;
  3. Zawarcie umowy z zagraniczną stroną przyjmującą zgodnie ze standardową umową opracowaną przez państwowy departament ds. cyberprzestrzeni i informacji, uzgadniając prawa i obowiązki obu stron;
  4. Inne warunki określone w przepisach prawa lub przepisach administracyjnych lub przez Departament Cyberbezpieczeństwa i Informacji Państwa.

Wszystkie takie transfery wymagają oddzielnej zgody każdej osoby i powiadomienia o „nazwisku lub nazwisku zagranicznej strony otrzymującej, metodzie kontaktu, celu obsługi, metodach obsługi i kategoriach danych osobowych, a także sposobach lub procedurach korzystania przez osoby fizyczne z praw przewidzianych w tej ustawie z zagraniczną stroną otrzymującą i innych podobnych sprawach”.

Udostępnianie danych zagranicznym rządom

Osobom zajmującym się przetwarzaniem informacji zabrania się udostępniania jakichkolwiek danych osobowych zagranicznym organom sądowym lub organom ścigania za zgodą.

Wzbudziło to obawy firm prawniczych co do tego, jak międzynarodowe korporacje będą lub mogłyby odpowiadać na dochodzenia sądowe w innych krajach, takie jak nakaz wydania danych dotyczących obywatela Chin przechowywanych w tych krajach.

Departamenty rządowe

PIPL zawiera podstawę prawną, w jaki sposób rząd („organy państwowe”) mogą gromadzić i przetwarzać dane. Ogólnie rzecz biorąc, rząd musi przestrzegać tych samych zasad, co podmioty pozarządowe, w tym powiadomień. Istnieją pewne wyjątki, na przykład gdy „utrudnia to organom państwowym wykonywanie ich ustawowych obowiązków i zadań”.

Egzekwowanie

PIPL dysponuje kilkoma mechanizmami egzekucyjnymi, w tym ostrzeżeniami, nakazami zaprzestania nielegalnej działalności, karami pieniężnymi i konfiskatą nielegalnego dochodu. Nielegalne działania mogą być również rejestrowane w chińskim systemie kredytu społecznego . Ponadto osoby fizyczne mogą również pozwać opiekunów za naruszenie ich praw.

Reakcje

Pierwszą reakcją były głównie liczne kancelarie prawne, które publikowały ogłoszenia i oficjalne dokumenty przedstawiające nowe prawo, jego kluczowe przepisy i zalecane wstępne działania w celu przygotowania się do zgodności.

Artykuły ustawy

PIPL ma osiem rozdziałów i 73 artykuły dotyczące zasad przetwarzania, danych wrażliwych, wykorzystywania danych rządowych, transferów transgranicznych, praw osób fizycznych, obowiązków procesora, odpowiedzialności prawnej i różnych przepisów uzupełniających.

Rozdział 1 - Postanowienia ogólne

  • Artykuł 1 - Cel
  • Artykuł 2 - Ochrona prawna danych osobowych
  • Artykuł 3 – Zakres ogólny
  • Artykuł 4 – Dane osobowe i definicja postępowania
  • Artykuł 5 - Zasady legalności, przyzwoitości, konieczności i uczciwości
  • Artykuł 6 – Jasny i rozsądny cel
  • Artykuł 7 - Otwartość i przejrzystość
  • Artykuł 8 - Jakość danych osobowych
  • Artykuł 9 - Osoby zajmujące się danymi osobowymi ponoszą odpowiedzialność
  • Artykuł 10 - Zakaz nielegalnego gromadzenia, wykorzystywania, przetwarzania lub przekazywania danych osobowych
  • Artykuł 11 - Struktura ochrony danych osobowych
  • Artykuł 12 - Międzynarodowe zasady i normy ochrony danych osobowych

Rozdział 2 - Zasady postępowania z danymi osobowymi

Sekcja 1: Przepisy zwykłe

  • Artykuł 13 - Podstawa prawna przetwarzania
  • Artykuł 14 - Zgoda i powiadomienie
  • Artykuł 15 - Zgoda i odwołanie
  • Artykuł 16 - Brak odmowy usługi w przypadku cofnięcia zgody
  • Artykuł 17 - Powiadomienia
  • Artykuł 18 - Wyłączenia powiadomień
  • Artykuł 19 - Okresy przechowywania informacji
  • Artykuł 20 - Wspólne postępowanie
  • Artykuł 21 - Powierzona obsługa
  • Artykuł 22 - Obsługa przelewów
  • Artykuł 23 - Przekazywanie informacji innym opiekunom
  • Artykuł 24 - Zautomatyzowane podejmowanie decyzji
  • Artykuł 25 - Zakaz ujawniania informacji
  • Artykuł 26 - Limity rozpoznawania twarzy
  • Artykuł 27 - Postępowanie z informacją publiczną

Sekcja II: Zasady postępowania z wrażliwymi danymi osobowymi

  • Artykuł 28 - Definicja informacji sensytywnych
  • Artykuł 29 - Odrębna zgoda na przetwarzanie informacji wrażliwych
  • Artykuł 30 - Zgłaszanie informacji wrażliwych
  • Artykuł 31 - Dane osobowe nieletnich
  • Artykuł 32 - Stosowanie innych ograniczeń dotyczących informacji wrażliwych

Sekcja III: Przepisy szczegółowe dotyczące organów państwowych przetwarzających dane osobowe

  • Artykuł 33 - Zgłoszenie do organów państwowych
  • Artykuł 34 - Wymagania organów państwowych
  • Artykuł 35 - Obowiązki powiadamiania
  • Artykuł 36 - Wymogi dotyczące przechowywania danych w Chinach
  • Artykuł 37 - Sprawy publiczne

Rozdział 3 — Transgraniczne udostępnianie danych osobowych

  • Artykuł 38 - Warunki transferów
  • Artykuł 39 - Powiadomienie i zgoda
  • Artykuł 40 - Wymogi dotyczące przetwórców na dużą skalę
  • Artykuł 41 - Wnioski zagranicznego organu sądowego lub organów ścigania
  • Artykuł 42 - Naruszenia i egzekwowanie
  • Artykuł 43 - Zakazy dyskryminacyjne dotyczące obcego kraju lub regionu

Rozdział 4 - Prawa jednostek

  • Artykuł 44 - Prawo do wiedzy, decydowania, ograniczania i odmowy
  • Artykuł 45 - Prawo do przeglądania, kopiowania i przekazywania informacji
  • Artykuł 46 - Prawo do poprawiania
  • Artykuł 47 - Prawo do usunięcia
  • Artykuł 48 - Prawo do żądania wyjaśnień
  • Artykuł 49 - Prawa zmarłego
  • Artykuł 50 – Wymogi dotyczące obsługi wniosków o prawa

Rozdział 5 — Obowiązki osób zajmujących się przetwarzaniem danych osobowych

  • Artykuł 51 - Program ochrony danych osobowych
  • Artykuł 52 - Wyznaczanie przedstawicieli
  • Artykuł 52 - Wyznaczanie przedstawicieli dla międzynarodowych handlarzy
  • Artykuł 54 - Audyt
  • Artykuł 55 - Kryteria oceny skutków
  • Artykuł 56 - Wymogi dotyczące oceny skutków
  • Artykuł 57 - Powiadomienie o naruszeniu danych
  • Artykuł 58 - Wymagania platformy internetowej
  • Artykuł 59 - Wymogi dotyczące osób, którym powierzono zadanie

Rozdział 6 - Działy wypełniające obowiązki i obowiązki w zakresie ochrony danych osobowych

  • Artykuł 60 - Określ role działów cyberbezpieczeństwa i informacji
  • Artykuł 61 - Role departamentu ochrony
  • Artykuł 62 - Wymogi dotyczące nadzoru
  • Artykuł 63 - Środki departamentu ochrony
  • Artykuł 64 - Egzekwowanie ochrony
  • Artykuł 65 - Skargi i sygnaliści

Rozdział 7 - Odpowiedzialność prawna

  • Artykuł 66 - Prawo do skargi
  • Artykuł 67 - Kary pieniężne
  • Artykuł 68 - Kary administracyjne i odpowiedzialność karna
  • Artykuł 69 - Odpowiedzialność za szkody
  • Artykuł 70 - Działania prawne
  • Artykuł 71 - Kara i odpowiedzialność karna

Rozdział 8 - Postanowienia uzupełniające

  • Artykuł 72 - Zwolnienie w sprawach osobistych lub rodzinnych
  • Artykuł 73 - Definicje
  • Artykuł 74 - Data rozpoczęcia

Zobacz też

Cytaty

Linki zewnętrzne

Pobrane z „ https://en.wikipedia.org/w/index.php?title=Personal_Information_Protection_Law_of_the_People%27s_Republic_of_China&oldid=1123389103