Die Cyberspace Administration of China (CAC) hat im August die Verwaltungsmaßnahmen für die Auditierung der Einhaltung des Schutzes personenbezogener Daten für Kommentareveröffentlicht. Das Ziel ist, das regelmäßige Compliance-Audit für Verarbeiter personenbezogener Informationen gemäß Artikel 54 und 64 des Personal Information Protection Law (PIPL) zu operationalisieren.
Die Verwaltungsmaßnahmen konkretisieren die Pflicht zum regelmäßigen Compliance-Audit in Bezug auf die Häufigkeit und unterscheiden dabei zwischen zwei Arten von Subjekten: Ein Verarbeiter, der mehr als eine Million persönliche Informationen verarbeitet, muss mindestens einmal im Jahr ein Audit durchführen, während ein Verarbeiter, der persönliche Informationen verarbeitet, dies mindestens alle zwei Jahre durchführen muss. Die Methode umfasst die Durchführung des Compliance-Audits durch das Unternehmen selbst oder die Beauftragung einer von CAC anerkannten Fachinstitution. Es ist jedoch zu beachten, dass ein identischer Auditor für dasselbe Objekt keine persönlichen Datenschutz-Compliance-Audits mehr als dreimal hintereinander durchführen darf.
Wenn Aufsichtsbehörden ein erhebliches Risiko bei der Verarbeitung persönlicher Informationen feststellen oder sich personenbezogene Datenschutzvorfälle ereignen, können sie von den Verarbeitern verlangen, externe Fachinstitutionen mit der Durchführung eines speziellen Compliance-Audits ihrer Aktivitäten zur Verarbeitung persönlicher Informationen zu beauftragen.
Die Prüfpunkte des Audits spiegeln die Anforderungen des PIPL und der nationalen Standards wider und umfassen Regelungen zur Verarbeitung persönlicher Informationen, zur grenzüberschreitenden Bereitstellung persönlicher Informationen, zum Schutz der Rechte der Subjekte persönlicher Informationen, zu den Pflichten der Verarbeiter persönlicher Informationen und zu den besonderen Verantwortlichkeiten großer Internetplattformen. Sobald die Verwaltungsmaßnahmen in Kraft treten, werden sie für alle Unternehmen, die personenbezogene Informationen verarbeiten, verbindlich sein.
Das neue Audit ist ein weiterer Baustein im chinesischen Datenschutz-Regime. China will durch strenge Regulatorien erreichen, dass alle in China ansässigen Unternehmen über ein ausreichendes Maß an Datenschutz verfügen. Wir empfehlen Unternehmen, bereits jetzt ein Data Mapping und eine Datenflussanalyse personenbezogener Daten durchzuführen und ihre IT-Compliance entsprechend anzupassen.
Bild>Unsplash
China Intellectual Property Blog 