Прежде чем соберёшься в другую страну на длительный период, ознакомься в первую очередь с её законами – Портал PRC.TODAY.
Цель и необходимость законодательства для защиты личной информации просты и понятны, то есть мы как частные лица имеем право на защиту нашей личной информации и конфиденциальности, особенно с учётом быстро развивающегося электронного мира с широко используемыми сетями. Тем не менее, законы, защищающие личную информацию, непросто усвоить; вы можете согласиться со сложностью, если вы просмотрели или изучили, например, «Общие правила защиты данных» (GDPR) Европейского Союза.
Еще больше усложняет ситуацию тот факт, что защита личной информации требует, во-первых, законодательного акта со стороны правительства, за которым должен следовать набор регулирующих механизмов, а также создание и принятие практических и полезных технических мер обработчиками личной информации. Более того, эти механизмы и технические меры не могут быть «разовыми» действиями; вместо этого они должны поддерживаться и управляться непрерывно в течение длительного времени, чтобы соблюдать требования закона. Например, быстрое реагирование при поступлении каких-либо запросов от физических лиц на проверку, исправление или удаление их личных данных; своевременное действие при истечении срока хранения; и т.п.
Проект Закона КНР «О защите личной информации» был выпущен 21 октября 2020 года («Проект PIPL») для получения комментариев от общественности. Хотя объём проекта PIPL намного короче, чем GDPR (английская версия проекта PIPL занимает около 11 страниц, тогда как GDPR занимает 88 страниц), статьи проекта PIPL охватывают большую часть основного содержания согласно GDPR.
Чтобы упростить ситуацию, эта статья направлена на то, чтобы помочь вам понять основные требования проекта PIPL с точки зрения работодателя в форме вопросов и ответов (при условии, что «мы» – корпоративный работодатель с руководящими сотрудниками).
Чью информацию и какую информацию мы обрабатываем?
Мы обрабатываем личную информацию наших сотрудников. Личная информация («PI»), которая называется «личная информация, позволяющая установить личность» (PII) в США или «личные данные» в ЕС, означает различные виды информации, относящейся к любым идентифицированным или идентифицируемым физическим лицам, зарегистрированным электронным или другим способом и означает, например, полное имя нашего сотрудника, дату рождения, пол, адрес, резюме, отпечаток пальца, идентификационный номер и т.д. В качестве исключения информация, обрабатываемая анонимно, не считается PI.
(Соответствующая статья в проекте PIPL: статья 4)
Что означает «процесс»/«обработка» в контексте защиты PI?
Обработка состоит из типов поведения по отношению к PI, включая сбор, хранение, использование, модификацию, передачу, предоставление и публикацию и т.д.
Например, когда мы просим наших новых сотрудников заполнить регистрационную форму, указав свои имена, номер телефона, контактный адрес, контактное лицо в экстренных случаях и т.д, мы «собираем» их личные данные. Когда мы вводим информацию о сотрудниках в наши системы управления персоналом для эффективного администрирования, мы «храним» их PI. Когда мы предоставляем их информацию страховой компании с целью приобретения группового страхования для наших сотрудников, мы «используем» и «передаем» их PI. От сбора до удаления это можно рассматривать как «жизненный цикл» ИП. Все эти этапы жизненного цикла в совокупности называются «обработкой» PI.
Регулируются ли мы PIPL, если мы компания, зарегистрированная за пределами Китая?
Это зависит от того, обрабатываем ли мы ИП лиц, находящихся на территории Китая, и с какой целью.
Если мы обрабатываем PI физических лиц, находящихся на территории Китая, для любой из следующих целей, PIPL будет применяться к нам, даже если мы зарегистрированы и физически за пределами Китая:
i) для предоставления продуктов или услуг лицам в Китае; и
ii) анализировать и оценивать деятельность отдельных лиц внутри Китая. Это положение похоже на «длинную юрисдикцию» согласно GDPR.
Представьте, что мы – компания, зарегистрированная в Сингапуре и имеющая только представительство в Китае, мы нанимаем китайских сотрудников в Китае косвенно через диспетчерское агентство и используем перфоратор для контроля посещаемости сотрудников – такие действия буквально соответствуют описанию «анализировать и оценивать деятельность отдельных лиц внутри Китая» в проекте PIPL. В таком случае мы (сингапурская компания) будем регулироваться в соответствии с PIPL, если иное не будет противопоставлено дальнейшему толкованию положения закона.
(Соответствующая статья в проекте PIPL: статья 3)
Какова наша роль как работодателя?
Согласно проекту PIPL, мы являемся «обработчиком», потому что мы, как работодатель, самостоятельно определяем цель, метод обработки и т.д PI наших сотрудников.
Согласно проекту PIPL, обработчик PI относится к любой организации или физическому лицу, которые независимо определяют цель и метод обработки и другие вопросы обработки PI. Эта концепция аналогична «контроллеру данных» согласно GDPR.
(Соответствующая статья в проекте PIPL: статья 69)
Каковы наши основные обязанности и ответственность?
Выполняя роль процессора PI, мы несём ответственность за своё поведение перед PI. Поэтому мы должны принять необходимые меры для обеспечения безопасности PI на протяжении всего его «жизненного цикла», чтобы минимизировать наш риск.
Чтобы быть конкретным, наши основные обязательства можно условно разделить на два аспекта: один – организационный, а другой – технический; некоторые обязательства могут потребовать как организационной, так и технической поддержки одновременно (как показано ниже):
(Соответствующие статьи в проекте PIPL: статья 9, статьи с 50 по 55)
Что нам делать, когда мы собираем и используем ИП сотрудников?
Мы кратко объясняем соответствующие основания для сбора и использования личной информации сотрудников.
- Правовые основания
Перед сбором или любым другим этапом обработки у нас должно быть законное основание для этого. Правовое основание в основном относится к любому из следующего:
- Человек соглашается.
(Например, сотрудник соглашается предоставить нам адрес своего родного города, хотя это не его нынешний частый адрес.)
- Это необходимо для заключения или исполнения договора с физическим лицом.
(Например, для выполнения трудового договора между сотрудником и нами они должны предоставить номер своего банковского счёта, чтобы мы могли выплачивать им зарплату.)
- Это необходимо для выполнения установленных законом обязанностей/обязательств.
(Например, наш сотрудник должен предоставить нам свой идентификационный номер, поскольку у нас есть законная обязанность удерживать и уплачивать за них индивидуальный подоходный налог, как того требует налоговое бюро.)
- Это необходимо для ликвидации последствий чрезвычайных ситуаций или для защиты жизни, здоровья и имущественной безопасности физического лица.
(Например, если сотрудник получит травму и упадёт в обморок, когда мы отправим его в больницу, мы должны предоставить его личную информацию в больницу без его согласия.)
- Осуществлять в разумных пределах такие виды деятельности, как освещение новостей и надзор со стороны общественного мнения в общественных интересах.
(Например, наш сотрудник, отвечающий за маркетинг, выступил с презентацией на публичном мероприятии, позже мы публикуем эту новость с его фотографией на мероприятии на нашем веб-сайте.)
Минимум информации для цели
При сборе PI мы должны убедиться, что собираемые PI ограничены минимальным объёмом для достижения цели с применимым правовым основанием. Мы не должны собирать PI, который не нужен или выходит за рамки цели. Например, когда сотрудник принят на работу, его полное имя, идентификационный номер, контактные данные, номер банковского счёта, контактное лицо в экстренных случаях и отчёт о базовом медицинском осмотре могут быть достаточными для целей заключения и выполнения трудового договора; нет необходимости собирать нерелевантную информацию, такую как имена членов его семьи, если только у нас нет дополнительных целей и юридических оснований для сбора этих личных данных.
Информирование
Помимо наличия юридических оснований, мы также должны чётко информировать наших сотрудников о цели, типе обрабатываемых PI, способах обработки, сроке хранения и других аспектах обработки их PI. Такое информирование перед обработкой является обязательным, за исключением случаев, когда существует обязательство по соблюдению конфиденциальности или чрезвычайные обстоятельства. Чтобы соответствовать этому положению, мы можем включить такие детали информирования в трудовой договор с общей точки зрения, чтобы избежать периодического информирования в будущем (если конкретное информирование не требуется в обязательном порядке по закону).
(Соответствующие статьи в проекте PIPL: статьи 13-19)
Что нам делать с ИП, находящимся в нашем распоряжении?
Имейте в виду следующие соображения:
- Минимальный срок хранения
- Срок хранения ИП должен быть минимальным, насколько это необходимо для достижения цели.
- Реакция на запрос наших сотрудников
Проект PIPL предоставляет физическим лицам права в отношении их PI, то есть права знать об обработке, права на согласие или отклонение обработки; права на просмотр, копирование своих ИП; права требовать исправления, дополнения к своим неточным ИП; права требовать удаления своих ИП; право запрашивать разъяснения относительно правил обработки; и т.д. Как обработчик PI, мы должны создать и поддерживать механизм для приёма запросов наших сотрудников и оперативно реагировать на их запросы.
(Соответствующие статьи в проекте PIPL: статья 20, статьи с 44 по 49)
Что нам делать, если мы должны отправить ИП наших сотрудников в нашу штаб-квартиру за пределами Китая?
Он должен как минимум соответствовать любому из следующих условий:
- Трансграничное предоставление ИП прошло оценку безопасности, организованную Государственной администрацией киберпространства.
- Защита PI сертифицирована профессиональным учреждением в соответствии с правилами Государственного управления киберпространством.
- Заключен договор с зарубежным получателем, в котором указаны права и обязанности обеих сторон; и обработка PI получателем за рубежом должна контролироваться для обеспечения того, чтобы его деятельность по обработке соответствовала стандартам защиты PI, как это предусмотрено в проекте PIPL.
- Трансграничное предоставление PI удовлетворяет другим условиям, установленным законами, административными постановлениями или государственной администрацией киберпространства.
Кроме того, мы проинформируем нашего сотрудника, чье ИП предоставляется за границу, информацию, касающуюся личности иностранного получателя, контактные данные, цель и метод обработки, тип ИП и способ осуществления человеком своих прав, и мы получим его конкретное согласие.
(Соответствующие статьи в проекте PIPL: статья 38)
Что нам делать, если нам больше не нужен PI?
Теоретически, когда согласованный период хранения истёк или цель обработки PI была достигнута, мы должны заранее удалить PI. Однако, как мы можем предвидеть и основываясь на опыте, нам, возможно, придётся сохранить некоторых ИП наших сотрудников в течение некоторого времени даже после того, как их трудовые отношения с нами прекратятся, по нескольким причинам. Например, для выдачи или перевыпуска свидетельства об увольнении бывшего сотрудника, для обеспечения проверки биографических данных по запросу нового работодателя бывшего сотрудника, для подготовки к потенциальному трудовому спору и т.д. Для всего этого возможного хранения PI после увольнения мы можем захотеть указать их как исключения в соответствующих документах PI. Например, уведомление, в котором мы информируем наших сотрудников об обработке нами их PI в самом начале, в идеале с их согласия.
(Соответствующие статьи в проекте PIPL: статья 47)
Нам может быть легче понять закон с точки зрения работодателя, поскольку большинству компаний необходимо управлять персоналом, прежде чем управлять отношениями и транзакциями с клиентами и/или поставщиками. После того, как мы поняли требования закона к работодателям, мы можем легко применить понимание и обоснование при работе с индивидуальной информацией наших клиентов и/или поставщиков и/или других партнёров по сотрудничеству.
Статья о необходимости работодателям в Китае подготовиться к ожиданиям соответствия в соответствии с проектом PIPL, подготовлена по материалам сотрудника агентства China Briefing – Donfil Huang.
Если вам понравилась статья или появились вопросы, оставьте ваш комментарий или обсудите эту статью на форуме.
