О разработке в Китае мер по аудиту и контролю деятельности операторов персональных данных
Восток – дело тонкое. Китай или 中国, будучи одним из лидеров в области цифровых инноваций, не стоит в стороне от проблемы защиты персональных данных. Разберемся подробнее.
Администрация киберпространства Китая представила проект «Меры по аудиту и контролю соблюдения требований по защите персональных данных». Регулярные аудиторские проверки соблюдения необходимых требований позволяют определить и контролировать компании, которые имеют доступ к персональной информации граждан. Это шаг вперед в сторону прозрачности и ответственности в сфере обработки персональных данных.
Выбрать раздел:
Правила защиты ПД
«Меры по аудиту и контролю соблюдения требований по защите персональных данных» разработаны в соответствии с «Законом КНР о защите персональных данных» и другими национальными нормативно-правовыми актами, соответствующими административными постановлениями и имеют целью регламентирование и стандартизацию деятельности по аудиту соблюдения требований по защите персональных данных (ПД).
Обязанности операторов ПД
В соответствии с документом операторы персональных данных (ОПД) должны проводить регулярные аудиты на предмет соответствия их деятельности требованиям защиты ПД или привлекать к такого рода проверкам профильные компании.
Тенденции в области сотрудничества лидеров бизнеса и кибербезопасности описаны в нашем полном переводе в Telegram отчета Всемирного экономического форума. В сообществе представлены разные точки зрения научного сообщества, тематические переводы и актуальные новости — подписывайтесь.
Субъекты, которые обрабатывают ПД более одного миллиона человек, а также осуществляют их передачу за границу, должны будут проводить проверку не реже одного раза в год, другие ОПД – не реже одного раза в два года.
В зависимости от складывающейся ситуации операторы ПД могут самостоятельно инициировать дополнительные проверки как силами своих структурных подразделений, так и с привлечением профильных компаний.
Требования к организациям
В случае привлечения к аудиту сторонней организации ОПД должны будут обеспечить:
- Доступ к соответствующим документам, информации и рабочим местам, на которых осуществляется обработка личной информации;
- Возможность изучения деятельности ОПД и используемых для этого процедур и информационных систем;
- Проверку и тестирование оборудования и технических средств, применяемых для обработки ПД;
- Извлечение необходимых данных, опрос лиц, привлекаемых к работе с ПД, а также проведение расследований и сбор доказательств.
В целях обеспечения надлежащей деятельности ОПД по проведению аудита Администрацией киберпространства Китая совместно с органами общественной безопасности и другими соответствующими департаментами Государственного Совета КНР будет разработан перечень рекомендуемых организаций, осуществляющих аудит, а также будет проводиться ежегодный анализ и оценка их работы. ОПД рекомендуется отдавать предпочтение профильным учреждениям, включенным в указанный перечень.
Информация, получаемая при проведении аудита, должна быть использована только для процесса верификации данных. Кроме того, учреждения, осуществляющие аудит, не должны злонамеренно вмешиваться в повседневную деятельность операторов персональных данных.
Требования к аудиту интернет-платформ
Документом предусматриваются дополнительные требования к проведению аудита операторов крупных интернет-платформ. В частности при контроле таких компаний предписывается оценивать:
- Надзорную роль независимых органов, создаваемых в соответствии с «Законом КНР о защите персональных данных», а также выполнение ими своих функций;
- Соответствие норм и правил интернет-платформ требованиям национальных нормативно-правовых актов о защите ПД;
- Полноту и достоверность ежегодного отчета компании о социальной ответственности за защиту ПД;
- Осуществление должного надзора за деятельностью поставщиков продуктов или услуг обрабатывающих ПД на их платформах.
Ответственность за нарушение
В случае нарушения положений этих «Мер» виновники будут привлекаться к ответственности, вплоть до уголовной, в соответствии с «Законом КНР о защите персональных данных» и другими нормативно-правовыми актами.