Типовой договор о международной передаче персональных данных утвержден и вступает в силу 1 июня 2023 года.

24 февраля 2023 года Администрация киберпространства Китая («CAC») опубликовала «Меры по стандартному договору об исходящей трансграничной передаче персональных данных» («Меры»). Эти меры, прежде всего, закрепляют стандартный договор между получателем и отправителем, являющийся одним из ключевых компонентов трансграничной передачи персональных данных. Они также дополняют основополагающий закон «О защите персональных данных», регулирующий персональные данные. Эти меры способствуют реализации положений, усиливая управление и защиту трансграничной передачи данных.

Кроме того, Меры требуют, чтобы подписанный Типовой договор был подан в местный областной отдел сетевой информации в течение 10 рабочих дней с даты его вступления в силу.

Таким образом, до 1 июня международные дочерние компании в Китае должны подготовиться к корректировке процедур взаимодействия с головными офисами и соответствующими третьими лицами для обеспечения соблюдения юридических обязательств. Что касается срока, то Меры предоставляют компаниям шестимесячный льготный период с 1 июня 2023 года (даты вступления в силу) для исправления своей деятельности и соблюдения требований Мер.

Ниже мы подробно описываем меры, которые необходимо предпринять компаниям для приведения их в соответствие с предстоящими правовыми обязательствами.

Область применения

Типовой договор применяется к компаниям, зарегистрированным в Китае, которые предоставляют персональные данные получателям за пределами территории Китайской Народной Республики через оператора персональных данных. Договор соответствует всем следующим условиям (если иное не предусмотрено другими законами и нормативными актами):

  • не является оператором критической информационной инфраструктуры (CIIO);
  • обрабатывает персональные данные менее одного миллиона человек;
  • предоставляет зарубежным получателям персональные данные менее чем 100 000 лиц в совокупности с 1 января предыдущего года; и
  • предоставляет конфиденциальную персональную информацию менее чем 10 000 лиц в совокупности любым зарубежным получателям с 1 января предыдущего года.

CIIO определяются соответствующими административными и надзорными органами (далее — «органы») по отраслям. Идентифицированные операторы должны быть уведомлены органами власти. Поэтому компании, не получившие уведомления, могут считать себя не определёнными как CIIO.

Важно отметить, что компании не могут обойти обязательства

  • разделение объема персональных данных, подлежащих передаче за границу; или
  • использование Стандартного договора в качестве альтернативного варианта для персональных данных, подлежащих оценке безопасности.

Стандартная форма договора

Комиссия по вопросам конкуренции (CAC) опубликовала Стандартную форму договора (далее – «Форма») в дополнение к Мерам. Содержание Формы должно строго соблюдаться. Кроме того, если компании желают добавить в форму дополнительные пункты, эти пункты не должны противоречить Форме.

Пункты формы включают в себя:

  • Определения;
  • Обязанности обработчика персональных данных;
  • Обязанности иностранного получателя;
  • Влияние местной политики и правил;
  • Права субъекта персональных данных;
  • Действия по экспорту включают цель обработки данных, метод обработки, масштаб и тип исходящей персональной информации, тип конфиденциальной персональной информации, стороннего получателя (если таковой имеется), метод передачи, период хранения, место хранения и т. д.
  • Меры по устранению инцидентов;
  • расторжение договора;
  • Нарушение договорных обязательств.

Равным образом должны соблюдаться обязательства, предусмотренные соответствующими контрактами, законами и нормативными актами.

Обязательства по подаче документов

Типовой договор должен быть подан в местные органы власти в течение 10 рабочих дней. Кроме того, компании должны подать Отчёт об оценке воздействия на защиту персональных данных . вместе со Типовым договором

Кроме того, Меры требуют повторного подписания Типового договора и его подачи в соответствии с любым из следующих изменений:

  • корректировка содержания Стандартного контракта;
  • изменения в местной политике и правилах; или
  • иные обстоятельства, которые могут повлиять на права и интересы субъекта персональных данных,

Штрафы

Нарушения влекут за собой санкции, предусмотренные Законом о защите персональных данных, и включают административную, гражданско-правовую ответственность, а в случаях нарушения уголовного законодательства может наступать уголовная ответственность в зависимости от серьезности нарушения.

Административные санкции могут включать предупреждения, предписания об устранении нарушений, штрафы, конфискацию незаконно полученных доходов, приостановление или аннулирование соответствующих лицензий или разрешений и даже административное задержание ответственных лиц.

Также в гражданско-правовом порядке нарушитель обязан возместить убытки, возникшие в результате неисполнения обязательств, а также ущерб, причиненный персональным данным или субъекту персональных данных.

В рамках подготовки к дате вступления в силу компаниям, особенно международным, следует оценить трансграничную передачу персональных данных и внедрить Стандартный договор, чтобы уложиться в установленный срок.

Связаться с нами

Если у вас возникли вопросы или опасения относительно личной информации или других связанных с этим вопросов, свяжитесь с Horizons по телефону +86 21 5356 3400 или по электронной почте talktous@horizons-advisory.com.