L’impatto sulla gestione delle risorse umane in Cina
La legge sulla protezione delle informazioni personali (“PIPL”) è entrata in vigore il 1 ° novembre 2021 e tutte le entità che gestiscono le informazioni personali di persone fisiche devono rispettarla. La violazione del PIPL può comportare multe, ordini correttivi, risarcimenti, responsabilità amministrative o persino penali.
Tutte le aziende che trattano le informazioni personali a diversi livelli, a partire da quelle dei propri dipendenti devono adeguarsi alla nuova normativa. Questo articolo si concentrerà sull’impatto del PIPL sulla prospettiva delle risorse umane per fornire alcune informazioni utili alle imprese operanti in Cina.
Definizione di Informazioni personali
Le informazioni personali si riferiscono a informazioni registrate con mezzi elettronici o di altro tipo (ad es. copia cartacea), relative a persone fisiche identificate o identificabili, a meno che non siano rese anonime (art. 4). Tra i dati, PIPL stabilisce anche una categoria di informazioni personali sensibili, il che significa informazioni sulle caratteristiche biometriche (ad es. impronte digitali), credenze religiose, status appositamente designato, conti finanziari, dati medici, tracciamento individuale della posizione, ecc. (art. 28).
Raccolta & Conservazione
In generale, PIPL fornisce sette basi legali per il trattamento delle informazioni personali (Art. 13), incluso il consenso individuale, adempimento di obblighi contrattuali o statutari, gestione delle risorse umane, salute pubblica, segnalazione di notizie e informazioni personali divulgate volontariamente o legalmente.
In particolare, nel rapporto di lavoro, la base giuridica per il trattamento dei dati personali potrebbe essere coperta da varie basi tra cui il consenso, adempimento di obblighi contrattuali o di legge o ai fini della gestione delle risorse umane. Pertanto, il datore di lavoro deve comunicare con il proprio consulente legale per trovare la migliore base giuridica per il trattamento dei dati dei propri lavoratori. Vale la pena notare che nel caso in cui il datore di lavoro utilizzi una base giuridica diversa dal consenso al trattamento dei dati dei dipendenti, questo processo deve essere strettamente e necessariamente correlato a tale base giuridica: in altre parole, l’utilizzo delle informazioni personali dei dipendenti per scopi di marketing, ad esempio, non è coperto dalla base giuridica della gestione delle risorse umane.
Trasferimento Dati
Se le aziende hanno bisogno di trasferire le informazioni personali dei dipendenti a terzi per un’ulteriore elaborazione a causa dello scopo delle risorse umane, le aziende devono:
- concludere un accordo di affidamento che stabilisca lo scopo del trattamento affidato, il termine, il metodo di trattamento, le categorie di informazioni personali, le misure di protezione, ecc.;
- condurre in anticipo una valutazione d’impatto sulla protezione delle informazioni personali e monitorare continuamente le attività di gestione;
- comunicazione agli individui del nome, modalità di contatto del destinatario, finalità di trattamento, modalità di trattamento e ottenere il consenso;
- ottenere il consenso separato in caso di modifica dello scopo, del metodo e della portata delle informazioni personali del trattamento.
Gestione informazioni personali interno
Le società devono istituire e mantenere un sistema interno di gestione delle informazioni personali, che include:
- strutture di gestione interne;
- gestione categorizzata delle informazioni personali;
- Regolare formazione interna;
- piano di risposta agli incidenti di sicurezza delle informazioni personali;
Eliminazione delle informazioni personali
L’articolo 47 del PIPL stabilisce che nelle seguenti cinque circostanze, il gestore delle informazioni personali deve cancellare le informazioni personali:
- Lo scopo del trattamento è stato raggiunto, è impossibile da raggiungere o le informazioni personali non sono più necessarie per raggiungere lo scopo del trattamento;
- Il periodo di conservazione è scaduto;
- Gli individui revocano il consenso;
- I gestori gestiscono le informazioni personali in violazione di leggi, regolamenti amministrativi o accordi ;
- Il contratto di affidamento scade o termina.
Nel rapporto di lavoro, considerando che il datore di lavoro potrebbe aver bisogno delle informazioni personali dei dipendenti per potenziali cause legali di controversia di lavoro e la limitazione legale per la controversia di lavoro è di 1 anno alla cessazione del rapporto di lavoro, sarebbe ragionevole per i datori di lavoro conservare le informazioni personali del dipendente per almeno 1 anno dopo la risoluzione o la scadenza del contratto di lavoro.
Sanzioni
Tenendo conto della gravità della violazione, PIPL stabilisce misure di pubblicazione diversificate, tra cui ordine di avvertimento, ordine correttivo, confisca di redditi illegali, revoca della licenza commerciale, multe fino a 50.000.000 di RMB o il 5% del fatturato della società nell’anno precedente e altre misure (art. 66). Inoltre, qualsiasi violazione di PIPL sarà registrata sul sistema di credito aziendale e tale record sarà pubblicizzato.
In particolare, la persona direttamente responsabile e altro personale direttamente responsabile devono essere multati tra RMB 10.000 e RMB 100.000 (Art 66). Sanzioni amministrative e responsabilità penali saranno imposte nel caso in cui gli atti illeciti costituiscano una violazione della gestione della pubblica sicurezza o del diritto penale.
Per l’azienda del datore di lavoro che gestisce le informazioni personali dei dipendenti, l’ordine di avvertimento, l’ordine correttivo, la multa diretta imposta alla società o direttamente al personale responsabile possono essere le responsabilità più possibili.
Con l’implementazione formale del PIPL, aumenta gli standard di protezione delle informazioni personali per i datori di lavoro e la conformità aziendale. Le imprese dovranno quindi rimodellare il proprio sistema di conformità interno e il sistema di gestione, autocontrollare e auto-correggere il proprio livello di conformità in base ai requisiti delle leggi e adottare contromisure precoci alla luce dei rischi delle proprie attività di elaborazione dei dati.
Noi di Wang Jing & GH Law Firm abbiamo una lunga e solida esperienza nella consulenza ai nostri clienti locali e stranieri sulla protezione dei dati e sulla legge sulla sicurezza in Cina, nell’UE (GDPR) e negli Stati Uniti, ponendoci come leader nel settore. Pertanto, in caso di domande non esitate a contattarci.
