Дългоочакваните китайски стандартни договорни клаузи (SCCs) бяха най-накрая приети от надзорния орган по защита на личните данни на Китай на 24 февруари 2023г. и влизат в сила от 1 юни 2023г. Същите са изготвени и приети на основание чл.38 от китайския закон за защита на личните данни и са валиден инструмент за прехвърляне на данни извън Китай. При констатиране на нарушение от компетентния надзорен орган се предвиждат максимални санкции до 50 милиона RMB (приблизително 7,8 милиона USD, или 5% от оборота за изминалата година, в зависимост коя от двете суми е по-висока.
За разлика от SCCs на Общия регламент на ЕС за защита на данните, които обхващат четири различни варианта, а именно: прехвърляне на данни между администратор към администратор, от администратор към обработващ лични данни, от обработващ към администратор и между двама обработващи лични данни, китайските SCCs имат само един универсален шаблон, независимо от качеството на страните. Страните по споразумението нямат правото да извършват промени в SCCs, но могат да добавят допълнителни гаранции, стига същите да не противоречат пряко или непряко на стандартните клаузи.
Изисквания към износителя на данни:
- Износителят на данни не трябва да притежава качеството на оператор на критична информационна инфраструктура — дейност, която обхваща субекти във финансови, енергийни, телекомуникационни, комунални услуги, здравеопазване, транспорт, електронно правителство и др.
- Износителят на данни не трябва да обработва лични данни на над 1 милион лица.
- Износителят на данни не трябва сумарно да е извършил трансфери на данните на повече от 100 000 лица от 1 януари на предходната година.
- Износителят на данни не трябва да е извършвал трансфери на чувствителни лични данни на над 10 000 лица от 1 януари на предходната година.
Задължилна оценка на въздействието
Преди да сключи споразумение за трансгранично предаване на данни, износителят на данни е длъжен да извърши оценка на въздействието и да подготви доклад за оценка на въздействието, като вземе предвид множество фактори, включително:
- Валидност, необходимост и целесъобразност за трансграничен трансфер на данни.
- Обхват, категория, обем и чувствителност на прехвърляните данни.
- Задължения, които трябва да поеме чуждестранният получател на данни.
- Какви технически и организационни мерки трябва да бъдат предприети от чуждестранния получател.
- Потенциален риск от нарушаване, изтичане или повреда на лични данни след прехвърлянето и какви канали за защита са на разположение на субектите на данни.
- Закони и политики за защита на данните на чуждестранните държави.
- Други аспекти, които могат да повлияят на трансграничния трансфер на данни.
От страните се изисква да повтарят оценката на въздействието, да преразглеждат и при необходимост да актуализират сключените споразумение за трансфер на лични данни, включително да уведомяват и представят пред компетентния надзорен орган необходимите документи, в случай на удължаване на периода на съхранение на данните, промените в целта, обхвата, категорията, обема, място за съхранение и чувствителност на личните данни, които ще бъдат обработвани извън Китай, промени в законите и политиките за защита на личните данни в страните на чуждестранна получател, засягащи правата и интересите на субектите на данни, както и при всяка друга ситуация, при която има риск от засягане на субектите на данни.
Вижте приетите договорни клаузи тук.