Data compliance i Kina

Har ni dotterbolag i Kina? Skickar ni persondata eller data från Kina till annat land? Omedelbara åtgärder krävs!  

Som ni eventuellt känner till har det skett flera betydande förändringar inom dataskydds- och cybersäkerhetslagstiftningar i Kina under de senaste åren. Många nya lagar har införts eller ändrats. De viktigaste är Personal Information Protection Law (PIPL), Cyber Security Law (CSL) och Data Security Law (DSL). Vi anser att samtliga dessa lagar är relevanta för alla bolag som har verksamhet i Kina.

När det gäller PIPL trädde några nya lagstiftningar om export och överföring av personuppgifter till andra länder i kraft den 1 juni 2023. Kinesiska företag har nu sex månader på sig, d.v.s. fram till den 1 december 2023, att vidta nödvändiga åtgärder för att uppfylla lagkrav. Åtgärderna kan inkludera, men är inte begränsade till, att bedöma hur personuppgifter påverkas av dessa överföringar, att ingå standardavtal liknande SCC (Standard Contractual Clauses) enligt GDPR samt att anmäla till relevanta kinesiska myndigheter. Har ni dotterbolag i Kina utgår vi ifrån att ni i vart fall överför mer eller mindre personuppgifter mellan era kinesiska dotterbolag och svenska moderbolag för bl.a. administrativa ändamål. Eftersom dessa åtgärder är nödvändiga och måste ha genomförts senast den 1 december 2023 för kinesiska företag att kunna fortsätta överföra persondata utanför Kina rekommenderar vi att ni bör agera snarast möjligt och vidta nödvändiga åtgärder för att hinna med deadline.

DSL innehåller ett liknande krav avseende export av s.k. ”important data.” Om ”important data” överförs till ett annat land, t.ex. Sverige, måste man ha genomfört en s.k. Data Export Security Assessment och erhållit godkännande av kinesisk myndighet innan sådan data kan överföras utomlands. Det finns definitionen av ”important data” och allmänna kriterier som man kan utgå ifrån för att göra bedömningen. Kinas nationella, lokala och industriella myndigheter kommer även att publicera kataloger för ”important data”. Vi rekommenderar därför att ni redan nu börjar sortera och utreda vilka data ni hanterar i era Kina-verksamheter och vilka data (utöver persondata) ni överför från Kina till annat land. Det finns några generella regler avseende vad som utgör ”important data” inom fordonsindustrin.

När det gäller CSL är efterlevnaden av Multiple Level Protection System (MLPS) mycket viktig och brådskande. Kinesiska företag arbetar just nu aktivt och intensivt med att uppfylla dessa regler eftersom kinesiska tillsynsmyndigheter vid utövande av allmän tillsyn gör en rutin-check på bolags implementation av MLPS. Dessa tillsynsmyndigheter utför även slumpmässiga specialkontroller av olika verksamheters efterlevnad av MLPS. MLPS kräver att varje ”network operator” (inklusive de som enbart har interna nätverk) i Kina ska bedöma och klassificera sina informationssystem på olika nivåer från 1-5. Från och med nivå 2 krävs anmälan till allmän säkerhetsmyndighet (d.v.s. the Public Security Authority). Högre nivåer (d.v.s. 3-5) medför mer omfattande krav och skyldigheter. I praktiken kan nästan inget företag komma undan tillämpningen av CSL på grund av lagens breda definition av nätverk och ”network operator”. Det finns vissa certifierade företag i Kina som kan hjälpa till med att utföra en sådan klassificering och att bistå i anmälan, compliance gap analysis osv. Tillsammans kan vi snabbt hjälpa er implementera lagkrav avseende MLPS-regelverket.

Avslutningsvis är det mycket viktigt att notera att företag som inte uppfyller lagkraven enligt PIPL, CSL (inklusive MLPS) och DSL riskerar höga böter, återkallelse av företagslicens att bedriva verksamhet i Kina. Personligt ansvar för företags överträdelser kan också bli aktuellt för direkt ansvariga personer hos företag. I vissa fall kan även straffansvar aktualiseras.

Vi hjälper gärna er att orientera i alla dess lagkrav och prioritera de mest brådskande åtgärderna samt att i slutändan hjälpa er med efterlevnaden av PIPL, CSL, DSL. Eftersom det är väldigt brådskande bör ni påbörja arbetet snarast möjligt. Många bolag har redan drabbats av allvarliga konsekvenser p.g.a. non-compliance.

Tveka inte att höra av er om ni har några frågor eller vill ha ett förutsättningslöst möte för att diskutera detta.