Klanten
staan centraal
40+ jaar
juridisch expert
Nationaal
en internationaal
Neem contact op

China’s wet op de bescherming van persoonsgegevens: Nieuwe regels voor grensoverschrijdende informatieverwerkers en -verstrekkers

Met de voortdurende integratie van informatie en economie is de bescherming van persoonsgegevens, die in China op grote schaal worden verzameld en gebruikt, een veelbesproken onderwerp geworden.

Ondanks de verbeterde bescherming van persoonsgegevens in China in de afgelopen jaren, verzamelen, raadplegen, gebruiken en verhandelen sommige bedrijven en personen persoonsgegevens nog steeds illegaal voor zakelijke doeleinden, wat in de praktijk een enorme invloed heeft op het dagelijks leven en zelfs inbreuk maakt op eigendomsrechten van individuen. Door het ontbreken van bescherming van persoonsgegevens in de wetgeving in China, heeft het Permanent Comité van de Dertiende Commissie op 20 augustus 2021, gestemd vóór de goedkeuring van de Wet op de bescherming van persoonsgegevens van de Volksrepubliek China (in het Chinees: “中华人民共和国个人信息保护法”, hierna “de wet”). De wet is op 1 november 2021 in werking getreden.

De nieuwe wetgeving omvat acht hoofdstukken en 74 wetsartikelen, waaronder regels over de verwerking van persoonsgegevens, regels over grensoverschrijdende doorgifte, de rechten van individuen bij de verwerking van persoonsgegevens, de verplichtingen van verwerkers, de plichten van autoriteiten en de aansprakelijkheid. Om inzicht te verschaffen in de wijze waarop de wet van invloed zal zijn op buitenlandse ondernemingen die gegevens verkrijgen in verband met hun investeringen in China of hun samenwerking met Chinese bedrijven, wordt in dit artikel meer informatie verstrekt over het toepassingsgebied van de wet en de relevante vereisten en verplichtingen bij de verwerking of overdracht van persoonsgegevens buiten China.

Toepassingsgebied

Om de bepalingen van de wet te verduidelijken, wordt “persoonlijke informatie” in artikel 4 van de wet gedefinieerd als informatie die betrekking heeft op de identificatie van natuurlijke personen, met uitzondering van geanonimiseerde informatie. De informatie die kan worden geïdentificeerd of kan worden toegewezen aan een specifiek persoon, kan over het algemeen worden ingedeeld in twee soorten: (i) persoonlijke basisinformatie (zoals naam, huisadres, identificatienummer, telefoonnummer) en (ii) gevoelige persoonlijke informatie (waaronder begrepen gegevens met betrekking tot biometrische identificatie, religieuze overtuigingen, specifieke identiteit, gezondheidszorg, financiële rekeningen, persoonlijke verblijfplaats, en persoonlijke informatie van minderjarigen onder de veertien jaar). Onder ” verwerking van persoonsgegevens” wordt verstaan het verzamelen, opslaan, gebruiken, verwerken, doorgeven, verstrekken, bekendmaken en wissen van persoonsgegevens.

De wet is niet alleen van toepassing op het verstrekken van persoonlijke informatie aan een partij die niet uit China komt, maar ook op het verwerken van informatie buiten het grondgebied van China indien dat gebeurt:

  • met het oog op de levering van producten en diensten aan personen in China; of
  • het analyseren of beoordelen van het gedrag van personen in China; of
  • andere door de wet geregelde omstandigheden.

Verwerking van persoonlijke informatie buiten China

Persoonsgegevens kunnen alleen worden verwerkt wanneer (i) de toestemming van de betrokkene is verkregen wanneer deze toestemming verplicht is indien de verwerker de gegevens openbaar wil maken of wanneer deze bestaan uit gevoelige persoonsgegevens; (ii) het noodzakelijk is om de overeenkomst of wettelijke verplichtingen uit te voeren; (iii) het noodzakelijk is om te reageren op noodsituaties of redelijk is om te reageren op nieuws en opinies op basis van het openbaar belang; (iv) de gegevens wettelijk openbaar zijn gemaakt; (v) andere situaties waarin de wet voorziet.

Verwerkers dienen personen bovendien te informeren over hun naam, contactgegevens, doeleinden, methoden, categorieën, bewaring, procedures en eventuele wijzigingen van deze gegevens. Na het verzamelen of verwerken van de gegevens moeten wel veiligheidsmaatregelen worden genomen om te voorkomen dat persoonsgegevens uitlekken, worden gemanipuleerd of verloren gaan. Daarnaast moeten er interne beheers- en bedrijfsvoorschriften, rubricering, encryptie, desidentificatie, regelmatige opleiding van werknemers en noodplannen worden ingevoerd. Ook moet regelmatig worden gecontroleerd of de voorschriften worden nageleefd.

Bovendien hebben grensoverschrijdende verwerkers van persoonlijke informatie, bijvoorbeeld een Nederlands bedrijf dat persoonlijke informatie van zijn consumenten of werknemers in China kan verzamelen en verwerken, de speciale verplichting om in China speciale instellingen op te richten of vertegenwoordigers aan te wijzen om zaken in verband met de bescherming van persoonlijke informatie af te handelen, en de desbetreffende namen en contactgegevens moeten aan de overeenkomstige autoriteiten in China worden voorgelegd.

Overdracht van persoonlijke informatie buiten China

Indien persoonlijke informatie wegens zakelijke behoeften aan een partij buiten China wordt verstrekt, bijvoorbeeld in het geval dat een Chinees filiaal of dochteronderneming persoonlijke informatie van zijn werknemers of consumenten aan het Nederlandse hoofdkantoor moet overdragen, dan dient het aan ten minste één van de volgende eisen te voldoen:

  • slagen voor de veiligheidsbeoordeling van de nationale cyberspace-administratie, waarbij een dergelijke beoordeling verplicht is indien de verwerkte hoeveelheid informatie een bepaalde hoeveelheid bereikt (er wordt geen specifiek aantal genoemd in de wet, maar in overeenstemming met de maatregelen inzake veiligheidsbeoordeling van de grensoverschrijdende overdracht van persoonsgegevens en belangrijke gegevens (ontwerp voor commentaar) (in het Chinees “个人信息和重要数据出境安全评估办法(征求意见稿)”), het aantal persoonlijke gegevens is meer dan 500.000);
  • certificering door een gespecialiseerde instelling;
  • het sluiten van het modelcontract met de overzeese ontvanger, waarbij de informatieverstrekker de nodige maatregelen neemt om ervoor te zorgen dat de overzeese ontvanger voldoet aan de normen van de wet; en
  • andere bij wet of internationale verdragen vastgestelde voorwaarden.

Bovendien is de verstrekking van persoonsgegevens in het buitenland streng gereguleerd door het opleggen van kennisgevingsverplichtingen, hetgeen betekent dat de informatieverwerker individuen in kennis moet stellen van de naam en contactgegevens van de ontvanger in het buitenland, de doeleinden en methoden van de verwerking, de categorieën persoonsgegevens die worden doorgegeven, de methoden en procedures voor de uitoefening door individuen van de rechten waarin deze wet ten aanzien van de ontvanger in het buitenland voorziet, en de afzonderlijke toestemming van de individuen moet verkrijgen. Ook moet de verwerker een beoordeling uitvoeren van de gevolgen voor de bescherming van persoonsgegevens en de verwerkingsgegevens vastleggen voordat hij deze aan ontvangers in het buitenland verstrekt. Een overzeese organisatie of persoon die de openbare veiligheid en het algemeen belang van China in gevaar brengt of de belangen en rechten van Chinese burgers schendt, kan door de nationale cyberspace-administratie op een beperkte of verboden lijst worden geplaatst.

Gevolgen van de wet

Om aan de verplichtingen van de wet en aan de nalevingsvereisten te voldoen, moeten bedrijven of personen die informatie buiten China verwerken en overdragen, de in de wet vermelde gegevens controleren en bevestigen om te voorkomen dat zij op de bovengenoemde lijst worden geplaatst.

Meer informatie

Dit artikel is geschreven door Job Bezemer en Peiying Li. Mocht u vragen hebben over de Chinese Wet Bescherming Persoonsgegevens, neem dan contact op met onze China Practice: