Tillbaka till bloggens startsida

Kinas svar på GDPR

22 juli 2021

I takt med ökade dataattacker genom internet har kraven på dataskydd ökat i hela världen. GDPR (dataskyddsförordningen) träder i kraft i EU i maj 2018, men vissa länder har redan hunnit före. Kina införde den 1 juni 2017 en ny dataskyddslag, och likt GDPR innebär lagen en hel del förändringar för företagen. När det gäller den kinesiska lagen har däremot många klagomål väckts. En av anledningarna är att lagen är så vag att företag omöjligt kan säkerställa att de följer lagen och på så vis undvika böterna, som kan ligga på 1 miljon yuan, vilket motsvarar ungefär 1.2 miljoner SEK. En annan anledning är att lagen gör det svårare för internationella företag att bedriva näringsverksamhet i Kina.

 

Lagen har bl.a. fokuserat på hanteringen av personuppgifter, likt GDPR. I den nya lagen definieras personuppgifter som uppgifter som ensamma eller tillsammans med annan information kan användas för att identifiera en fysisk person; namn, födelsedatum, fingeravtryck, m.m. Lagen slutar gälla om uppgifterna avidentifieras.

Vad är de nya kraven?

  • Insamlingen och användningen av personuppgifter ska vara lagliga, korrekta och nödvändiga.
  • Nätoperatörer måste klargöra syftet, metoden och räckvidden av insamlingen och användningen, och dessutom inhämta samtycke innan personuppgifterna samlas in.
  • Nätoperatörer ska inte avslöja, ändra eller förstöra personuppgifter utan att ha inhämtat samtycke.
  • Vid en incident, måste nätoperatörer vidta avhjälpande åtgärder, samt informera de registrerade och rapportera till tillsynsmyndigheten.
  • Vid otillåten insamling eller användning av personuppgifter, bör de registrerade kunna få be att få sina uppgifter raderade. Om uppgifterna är inkorrekta, kan den registrerade begära rättelse.
  • Viktig eller känslig information (exempelvis information om invånarna i Kina eller uppgifter som berör nationell säkerhet) måste förvaras inom Kina. Dessa uppgifter får bara överföras till ett annat land – efter en säkerhetsbedömning – på grund av äkta affärsbehov.

Särskilt det sista kravet har lett till oro inom många multinationella företag, då företag tvingas förvara en stor del av sina uppgifter innanför Kinas landsgränser. Det råder däremot fortfarande oklarheter över exakt vilka uppgifter som anses vara viktiga eller känsliga.

Vilka gäller kraven för?

Kraven gäller som sagt för nätoperatörer, men vilka omfattas i denna kategori? Begreppet är väldigt omfattande, och inkluderar bl. a. ägare av nätverk och administratörer för nätverk. Som nätverk räknas datorer samt annan utrustning (DTE) som samlar, förvarar, överför, utbyter och behandlar information. Om du misstänker att du är en nätoperatör, så är du antagligen det.

 

Nicole Chen

info@gdprhero.se

046-2731717

 

Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Andra relevanta blogginlägg

Få notifikation direkt när nya inlägg publiceras

Prenumerera på bloggnotis
Vi behandlar endast din e-postadress för att skicka notiser. Integritetspolicy.