Den 22 februari 2023 utfärdade Cyberspace Administration of China (CAC) den "Åtgärder för standardkontrakt för export av personlig information" (nedan kallade "åtgärder", 个人信息出境标准合同办法) och "Standardkontrakt för export av personlig information" (nedan kallat "Standardkontrakt"両惯凐僐凐僐凐僁
I enlighet med artikel 38 i lagen om skydd av personuppgifter, när en personuppgiftsbehandlare överför personuppgifter utomlands, ska den anta någon av följande tre tillvägagångssätt: a) att klara säkerhetsbedömningen; b) för att erhålla skyddsautentiseringen; eller c) att underteckna ett standardkontrakt.
Åtgärderna är avsedda för tillvägagångssättet c "att underteckna ett standardavtal". Specifikt:
- Personuppgiftsbehandlaren kan komma överens om andra villkor med den utländska mottagaren, förutsatt att sådana villkor inte strider mot standardavtalet.
- Exporten av personuppgifter ska inte genomföras förrän Standardavtalet träder i kraft.
- Personuppgiftsbiträdet ska lämna in en ansökan till den lokala provinsadministrationen inom cyberrymden inom 10 arbetsdagar från ikraftträdandet av standardavtalet.
CAC:s standardavtal inkluderar huvudsakligen definitionen och de grundläggande delarna av kontraktet, de avtalsenliga skyldigheterna för personuppgiftsbehandlaren och den utomeuropeiska mottagaren, inverkan av policyer och förordningar på skyddet av personuppgifter i den utomeuropeiska mottagarens land eller region på resultatet av avtalet, rättigheterna för personuppgiftssubjektet och relaterade rättsmedel, samt hävning av kontraktet, ansvar för avtalsbrott, tvistlösning och andra frågor. Standardavtalet innehåller dessutom två bilagor inklusive instruktionerna för export av personlig information och andra villkor som båda parter kommit överens om.
Omslagsfoto av volc xia på Unsplash
Medverkande: CJO Team för medarbetare