Cina: TC260 pubblica la bozza della specifica sul trattamento transfrontaliero della certificazione delle informazioni personali
Repubblica popolare cinese: Linee guida pratiche sugli standard di sicurezza della rete
View 10.2K
word 1.1K read time 5 minutes, 15 Seconds
Il National Information Security Standardization Technical Committee of China ("TC260") ha pubblicato, il 29 aprile 2022, Practice Guidelines for Cybersecurity Standards – Technical Specification for the Certification of Cross-Border Processing of Personal Information e ha richiesto commenti pubblici sulle stesse. In particolare, TC260 ha confermato che le linee guida pratiche si basano sui requisiti politici e normativi pertinenti al fine di attuare l'articolo 38 della legge sulla protezione dei dati personali ("PIPL"), fornendo la base di un sistema di certificazione per le attività di trattamento transfrontaliero e per regolare tali attività. Più in particolare, la bozza chiarisce che la guida pratica si applica alle attività di trattamento transfrontaliero di informazioni personali all'interno di una società multinazionale o della stessa entità economica o imprenditoriale, nonché alle attività di responsabili del trattamento di dati personali stranieri, come previsto dall'articolo 3, paragrafo 2 ) del PIPL, nel trattamento di informazioni personali di persone fisiche nel territorio al di fuori della Cina.
A questo proposito, la bozza delinea i requisiti di base che le parti interessate dovrebbero seguire, inclusi i vincoli legali, le misure organizzative, le regole per il trattamento transfrontaliero e i requisiti per condurre una valutazione dell'impatto sulla protezione dei dati ("DPIA"), tra le altre cose.
In relazione alle responsabilità degli interessati, il progetto prevede che gli interessati debbano, tra l'altro:
- comunicare all'interessato tramite e-mail, messaggistica istantanea, lettera, fax, ecc. le informazioni di base sui soggetti coinvolti nel trattamento transfrontaliero, nonché le informazioni sullo scopo, il tipo e la durata delle informazioni, e ottenere il consenso dell'individuo;
- gestire la fornitura transfrontaliera di informazioni personali in conformità con documenti legalmente vincolanti firmati;
- fornire agli interessati l'accesso ai propri dati personali, e qualora richiedano l'accesso, la copia, la rettifica, l'integrazione o la cancellazione dei propri dati personali, rispondono tempestivamente in caso di rigetto della richiesta, indicando le ragioni e le modalità di rimedio;
- interrompere il trattamento quando è difficile garantire la sicurezza delle informazioni personali transfrontaliere; e
- per quanto riguarda le attività di trattamento transfrontaliero soggette a valutazioni di sicurezza condotte da un'organizzazione governativa, presentare domanda alla Cybersecurity Administration of China.
Le "Linee guida pratiche" espongono requisiti in termini di principi di base, i requisiti che le parti interessate dovrebbero seguire nelle attività di trattamento #transfrontaliero e la protezione dei diritti e degli interessi degli interessati. Fornisce una base di certificazione per le agenzie di certificazione per implementare la certificazione delle attività di trattamento transfrontaliero delle informazioni personali e fornisce anche una base per le persone I responsabili del trattamento delle informazioni forniscono riferimenti per regolamentare il trattamento transfrontaliero delle informazioni personali .
Le "Linee guida pratiche", come requisiti di base per gli organismi di certificazione per condurre la certificazione sulla protezione delle informazioni personali per le attività di trattamento transfrontaliero di informazioni personali, sono applicabili alle seguenti situazioni:
1. Trattamento transfrontaliero di dati personali all'interno di una società multinazionale o all'interno della stessa entità economica o imprenditoriale;
2. I responsabili del trattamento dei dati personali all'estero previsti dall'articolo 3, paragrafo 2, della "Legge sulla protezione dei dati personali della Repubblica popolare cinese " conducono attività per il trattamento dei dati personali delle persone fisiche nazionali all'estero. In conformità con le disposizioni di legge, regolamenti amministrativi e regole dipartimentali in materia, le attività di trattamento transfrontaliero di informazioni personali che devono superare la valutazione della sicurezza organizzata dal dipartimento nazionale per la sicurezza informatica e l'informatizzazione devono riferire la valutazione della sicurezza alla sicurezza informatica nazionale e dell'informatizzazione Dipartimento.
Le "Linee guida pratiche" sottolineano che i seguenti principi di base dovrebbero essere seguiti quando si tratta di informazioni personali transfrontaliere:
1. I principi di legalità, legittimità, necessità e buona fede. Le informazioni personali sono direttamente correlate alla dignità personale dell'interessato.Il trattamento transfrontaliero delle informazioni personali dovrebbe soddisfare le disposizioni di leggi e regolamenti, trattare le informazioni personali in stretta conformità con le finalità legali e adottare un metodo che abbia il minor impatto sulle informazioni personali diritti e interessi e attenersi rigorosamente a contratti, accordi e altri documenti legalmente validi.L'accordo e l'impegno in materia di informazioni personali non devono essere violati a volontà e l'impegno non deve ledere i diritti e gli interessi legittimi dell'interessato.
2. Il principio di apertura e trasparenza. Il trattamento transfrontaliero delle informazioni personali dovrebbe soddisfare i requisiti di divulgazione delle regole di trattamento e trasparenza del processo di trattamento, informare tempestivamente l'interessato dello scopo, dell'ambito e del metodo di trattamento della fornitura transfrontaliera di informazioni personali e garantire che il l'interessato comprende l'intero processo di elaborazione delle proprie informazioni personali.
3. Il principio della qualità dell'informazione. Le parti interessate coinvolte nel trattamento transfrontaliero delle informazioni personali garantiscono l'accuratezza e la completezza delle informazioni personali transfrontaliere ed evitano deviazioni nelle attività di trattamento delle informazioni personali che incidono negativamente sui diritti e gli interessi degli interessati.
4. Il principio della parità di protezione. Le parti interessate coinvolte nel trattamento transfrontaliero dei dati personali adottano le misure necessarie per garantire che il trattamento transfrontaliero dei dati personali soddisfi gli standard di protezione dei dati personali stabiliti dalle leggi e dai regolamenti pertinenti della Repubblica popolare cinese sulla protezione dei dati personali.
5. Il principio della chiara responsabilità. Le parti interessate coinvolte nel trattamento transfrontaliero delle informazioni personali adottano le misure necessarie per proteggere la sicurezza delle informazioni personali che trattano, tutelare i diritti e gli interessi dell'interessato e designare uno o più soggetti o istituzioni nazionali costituiti in Cina da parte di parti correlate all'estero per assumersi la responsabilità legale.
6. Il principio della certificazione volontaria. La certificazione delle attività di trattamento delle informazioni personali transfrontaliere è una certificazione volontaria raccomandata dallo Stato. Le parti idonee coinvolte nelle attività di trattamento delle informazioni personali transfrontaliere sono incoraggiate a richiedere volontariamente la certificazione delle attività di trattamento delle informazioni personali transfrontaliere. L'effetto dell'efficienza del trattamento .
Allegato: "Guida pratica agli standard di sicurezza della rete - Specifiche tecniche per la certificazione del trattamento transfrontaliero di informazioni personali (bozza per commenti)"
PDF in lingua Cinese : www.tc260.org.cn/f...%A8%BF%EF%BC%89.pdf
