האם לחברה שלכם יש לקוחות בשוק הסיני? האם אתם מעסיקים עובדים מקומיים או מקיימים קשרים עסקיים עם צדדים שלישיים בסין? האם אתם שומרים מידע על אנשי קשר סיניים במערכת ה- CRM שלכם? אם כן, כדאי שתכירו את חוק הגנת הפרטיות הסיני (Personal Information Protection Law) או בקיצור PIPL. בהשראת המגמה העולמית החותרת להגנה על מידע ופרטיות, וכן לאור תקנות הגנת המידע האירופאיות (GDPR), חוק הגנת הפרטיות הסיני הוא החוק הראשון במדינה שמתייחס באופן מפורש להגנה על מידע אישי. החוק נכנס לתוקף באופן רשמי באחד בנובמבר 2021 לאחר תהליך מזורז, מה שמעיד על החשיבות הרבה שהממשלה הסינית מקדישה לנושא.
תקציר עיקרי החוק
חוק הגנת הפרטיות הסיני שואף להפוך את תהליכי ונהלי עיבוד המידע לשקופים הרבה יותר, מתוך רצון למנוע מצבים של ניצול או שימוש לא הולם במידע (למשל הדלפות, הונאות או סחר לא חוקי במידע בין חברות).
הלכה למעשה, חברות האוספות מידע חייבות להודיע למי שנאסף עליו מידע, שמידע אודותיו נאסף ונאגר. עליהן להסביר במפורש ובאופן גלוי את המטרה הספציפית לשמה המידע נאסף, וכן לוודא שהמידע נשמר במערכות החברה רק לתקופת הזמן ההכרחית. חברות מורשות לאסוף את המידע רק בתנאי שהתקבלה הסכמה מהצד השני, ומשתמשי הקצה אף רשאים לסרב למסור מידע או לבקש למחוק אותו בעתיד.
הדרישות מאוספי המידע לא מסתכמות בקבלת הסכמה. בנוסף, חברות נדרשות להטמיע מנגנוני פיקוח פנימיים, שנועדו להבטיח הגנה על המידע האישי בכל אחד משלבי עיבוד המידע: איסוף, אחסון, שימוש, העברה ומחיקה.
על אף שהחוק רלוונטי בעיקר להתנהלות עסקית בתוך סין, הוא נושא גם סמכות משפטית מעבר לים, ולפיכך הוא רלוונטי גם לחברות וארגונים בינלאומיים שמספקים מוצרים ושירותים בסין (בין אם רשמו חברה בסין או לא). חוק הגנת הפרטיות מתיר העברת מידע ליעדים מחוץ לסין רק לצרכים מסוימים, כשיש הסכמי סחר בינלאומיים תקפים וכל עוד המידע המועבר לא יכול להיות מזוהה עם אף אדם פרטי. כמו כן, יצואני המידע מחויבים להבטיח שהגנת פרטיות המידע נשמרת לאורך כל הדרך, בסין ומחוצה לה.
הנחיות למנהלי עסקים בסין
כמו עם חוקים אחרים בסין, העיקרון שחברות בינלאומיות בדרך כלל מתקשות לתפוס הוא, שיישום החוק עשוי להשתנות בין מחוזות שונים בסין, ולפעמים אפילו בין ערים באותו המחוז. במילים אחרות, חברות ישראליות בסין חייבות לוודא שהן עומדות גם בתקנות החוק הלאומי וגם בתקנות המקומיות ברשות שבה הן רשומות. הדבר מקשה במיוחד על חברות שמקיימות קשרי מסחר עם שותפים במספר מחוזות, כמו חברות אינטרנט למשל, הנדרשות לציית לחוקים המקומיים בכל אחד מן המחוזות שבהן יש להן שותפים. כדאי לזכור שאי ציות לתקנות אלה גורר עונשים כבדים, ומעניין לציין שהקנסות על הפרת חוק הגנת הפרטיות הם מהגבוהים בסין. עוד חשוב להדגיש, שמי שנושא באחריות המשפטית ובהשלכות על הפרת החוק הוא הנציג המשפטי של החברה בסין (במקרה שאין אחראי אבטחת מידע בחברה).
עד שממשלות מקומיות יפרסמו את ההנחיות שלהן, הנה כמה פעולות שכדאי למנהלי עסקים בסין להתחיל לתכנן/לבצע כבר בשלב זה:
למנות גורם אחראי
מנו אחראי אבטחת מידע בחברה (Data Security Officer), שתפקידו לעקוב אחר עדכון התקנות בנושא ברמה הלאומית, וחשוב לא פחות, ברמה המקומית. מומלץ שאותו גורם יהיה אחד מעובדי החברה המקומית בסין, על מנת שיוכל לעקוב מקרוב אחר ההתפתחויות ושניתן יהיה לפנות אליו אישית במידת הצורך. במקביל, מומלץ למנות גם גורם אחראי במטה החברה, שתפקידו לעמוד בקשר עם אחראי אבטחת המידע בסין ולאפשר זרימת עדכונים שוטפת בין הסניפים.
להטמיע תהליכי מיפוי מידע ואודיט דיגיטלי
חברות ישראליות המנהלות עסקים בסין חייבות לוודא שהן עומדות בכל דרישות החוק הסיני. תהליכי מיפוי מידע יאפשרו לכם לעשות בדק בית ולאשרר את התוקף של כל תהליכי עיבוד המידע שלכם: שיטות איסוף המידע, מערכות הגנת אחסון המידע, מדיניות מחיקת מידע וכו'. PTL Group מציעה שירות מיפוי דיגיטלי לחברות בינלאומיות בסין, אם אתם מעוניינים בפרטים נוספים צרו קשר.
השירותים המקצועיים שלנו מסייעים לחברות ישראליות ובינלאומיות בשוק הסיני. צרו קשרלהפריד ולנהל CRM ייעודי לסין
חברות ישראליות המנהלות פעילות בסין עשויות להידרש לנהל שני שרתי CRM נפרדים, אחד עבור סניף החברה המקומי בסין ואחד נפרד עבור פעילות החברה מחוץ לסין. מומלץ להתחיל לבדוק כבר עכשיו את התנאים ליישום הפרדה זו, כדי שתהיו מוכנים אם וכאשר הדבר יידרש על פי חוק.
להתוודע לנהלי העברת מידע מחוץ לסין
כאמור, העברות מידע בינלאומיות יהיו מעכשיו מפוקחות וכפופות לתקנות מחמירות. אם תרצו להעביר מידע אודות אזרחים סינים לגורמים זרים מחוץ לסין, תיאלצו:
- לעבור הערכת אבטחה
- להשיג את אישור המוסמך להגנה על מידע אישי
- לחתום על חוזה עם מקבל המידע מעבר לים, על פי נוסח אחיד המוכתב על ידי הרשויות בסין
לשקול קבלת הסכמה בתהליכי העסקה בסין
קבלת הסכמה לאיסוף מידע איננה נדרשת בחתימת חוזי העסקת עובדים בסין. עם זאת, ומתוך היכרות עם אופן ההתנהלות בסין, אנו ממליצים בכל זאת להחתים את העובדים על הסכמה לשמירת המידע האישי שלהם במערכת.
על אף שחוק הגנת הפרטיות כבר נאכף בסין, ממשלות מקומיות טרם פרסמו את התקנות הספציפיות הנדרשות מבתי עסק בשטח שיפוטן. עדיין לא ברור מתי זה יקרה, אך הצפי הוא שאחרי ראש השנה הסיני (בסביבות אמצע פברואר 2022), רשויות מקומיות יקדמו ביתר שאת את התקינה המקומית בתחומי השיפוט שלהן. באזורים מסוימים, שנגחאי למשל, גיבוש התקנות המקומיות כבר בשלב הטיוטה. בינתיים חשוב לזכור שחוק הגנת הפרטיות הוא נדבך נוסף במכלול הרגולציות העוסקות בהגנת מידע בסין. חוקים אחרים שנדונים לאחרונה בקרב קהילות בינלאומיות בסין הם חוק הסייבר וחוק אבטחת המידע. במצב כזה, כשהתקנות הופכות רבות ומסובכות יותר והאכיפה מתחזקת, מומלץ להיעזר בספק שירותים מקצועי ואמין בסין, שיסייע לכם לוודא שאתם מכוסים.