Закон о защите персональных данных (PIPL), вступающий в силу с 1 ноября 2021 года, регулирует сбор и обработку персональных данных. Компаниям, обрабатывающим данные сотрудников, необходимо интегрировать в ИТ-инфраструктуру надежную систему защиты данных, соответствующую требованиям PIPL.

Хотя PIPL в значительной степени затрагивает компании, обрабатывающие данные потребителей, работодатели не застрахованы от PIPL и должны полностью соблюдать его требования для снижения рисков. В частности, Гражданский кодекс Китайской Народной Республики, изменённый в 2020 году, определяет персональную информацию следующим образом.

«Персональная информация относится к любой информации, записанной в электронном виде или иным образом, которая может быть использована как отдельно, так и в сочетании с другой информацией для идентификации конкретного физического лица, включая имя, дату рождения, номер документа, удостоверяющего личность, биометрическую информацию, адрес, номер телефона, адрес электронной почты, информацию о состоянии здоровья или местонахождении физического лица» (статья 1032).

Поэтому работодателям следует укреплять внутренние системы управления данными сотрудников для обеспечения их безопасности. В Horizons мы консультируем компании по разработке механизмов обеспечения соответствия требованиям. Ниже мы описываем основные правила и рекомендации по обработке данных сотрудников, основанные на нашем опыте.

Внедрите систему управления классификацией

Компаниям следует проверять имеющуюся персональную информацию сотрудников и классифицировать её в соответствии с уровнем конфиденциальности. Согласно Закону о персональном обеспечении и регулировании труда (PIPL), работодатели не обязаны получать согласие сотрудников, если это необходимо для управления персоналом в соответствии с законно установленной политикой занятости или коллективным договором (статья 13). Однако для обработки информации, не включённой в политику занятости или трудовые договоры, требуется отдельное согласие. В частности, компании, обрабатывающие конфиденциальную информацию, не включённую в систему управления персоналом (включая религиозные убеждения, биометрические данные, идентификационные данные, медицинскую и финансовую отчётность, местонахождение и другую информацию о физическом лице), должны будут получать отдельное согласие, а к конфиденциальной персональной информации будут применяться более строгие меры.

Мы предлагаем компаниям использовать систему классификации хранящейся персональной информации и разработать надежную политику обработки данных в соответствии с PIPL.

Не пренебрегайте техническими мерами безопасности

Компании должны уже внедрить меры кибербезопасности в соответствии с Законом о кибербезопасности (CSL), вступившим в силу с 2017 года. В частности, сетевая система должна быть защищена от кибератак и утечек. Регулярный анализ ИТ-системы и обновление оборудования и программного обеспечения крайне важны для защиты компаний от новых видов кибератак.

Аналогичным образом, передача обработки персональных данных третьим лицам может быть уязвимым местом. Мы рекомендуем компаниям проверять соответствующие договоры/соглашения, чтобы убедиться, что третьи лица не нарушают права на неприкосновенность частной жизни. При необходимости следует пересмотреть положения в соответствии с PIPL и CSL.

Оцените контроль и запланируйте регулярное обучение

Компании могут передавать персональные данные за пределы материкового Китая только при соблюдении одного из условий, указанных в статье 38 PIPL.

  • Если оценка безопасности, организованная национальным органом по киберпространству, была пройдена в соответствии с
  • статья 40 настоящего Закона;
  • Если сертификация защиты персональных данных была выдана профессиональным учреждением в соответствии с
  • с правилами национального органа по киберпространству;
  • Если с зарубежным получателем заключен договор, соответствующий стандартному договору, предоставленному национальным органом по киберпространству, устанавливающий права и обязанности обеих сторон; или
  • Если существует любое другое условие, предписанное законом, административными правилами или национальным органом по киберпространству
  • из.
  • Если существует какое-либо условие об условии или любое другое условие предоставления персональной информации
  • получатель за пределами территории Китайской Народной Республики в любом международном договоре или соглашении, заключенном или
  • к которому присоединилась Китайская Народная Республика, такое положение может применяться.

Хотя национальный орган по киберпространству еще не выпустил вышеупомянутые материалы, компаниям необходимо разработать механизм контроля и регулярно проводить обучение соответствующего ответственного персонала, чтобы гарантировать, что международная передача данных соответствует PIPL и будущим правилам.

Не пренебрегайте планом реагирования на чрезвычайные ситуации

В изменённом Гражданском кодексе рассматриваются вопросы защиты персональных данных и права на неприкосновенность частной жизни. В Гражданском кодексе конфиденциальность определяется следующим образом:

Частная жизнь физического лица не подлежит вмешательству, равно как и любое личное пространство, частная деятельность или частная информация физического лица, которые оно не желает раскрывать другим лицам. [И] ни одна организация или физическое лицо не могут посредством шпионажа, вторжения, раскрытия, раскрытия или иным образом нарушать право другого лица на неприкосновенность частной жизни. (Статья 1032)

Другими словами, работодатели обязаны защищать персональные данные сотрудников и их право на неприкосновенность частной жизни при работе с их данными. В связи с этим компаниям следует обязательно внедрять план реагирования на чрезвычайные ситуации, чтобы продемонстрировать свою приверженность защите персональных данных. Компания может руководствоваться положениями плана реагирования на чрезвычайные ситуации, предусмотренными CSL.

Как измененный Гражданский кодекс, так и Закон о защите персональных данных (PIPL) требуют от работодателей строгого регулирования обработки персональных данных сотрудников. В частности, необходимо создать комплексную систему внутреннего управления для переноса штрафных санкций. Неисполнение обязательств в соответствии с PIPL может повлечь за собой штраф в размере 1 миллиона юаней для нарушителя. Любое ответственное лицо или другое лицо, непосредственно причастное к нарушению, будет оштрафовано на сумму от 100 000 до 1 миллиона юаней. Данное лицо также будет отстранено от должности директора, руководителя, старшего должностного лица или лица, ответственного за защиту персональных данных, на определенный срок.

Следовательно, строгие наказания требуют от работодателей немедленных действий и серьезного отношения к обязательствам PIPL.