Anleitung und RegulierungSchutz von personenbezogenen DatenPrüfungen der Einhaltung der VorschriftenAktivitäten, in Übereinstimmung mit demGesetz zum Schutz persönlicher DatenDas State Internet Information Office (SIIO) hat den Entwurf der Verwaltungsmaßnahmen für die Prüfung der Einhaltung des Schutzes personenbezogener Daten (Exposure Draft) erstellt, der nun der Öffentlichkeit zur Stellungnahme offensteht. Die Öffentlichkeit kann über die folgenden Wege und Mittel Feedback geben:
Melden Sie sich beim Justizministerium der Volksrepublik China, China Government Legal Information Network (www.moj.gov.cn, www.chinalaw.gov.cn), an und gehen Sie zum Hauptmenü der Homepage, Abschnitt "Collection of Legislative Opinions", um Stellungnahmen einzureichen.
2. per E-Mail an shujuju@cac.gov.cn.
3. senden Sie Kommentare per Brief an: Network Data Management Bureau, State Internet Information Office, No. 15 Fucheng Road, Haidian District, Beijing, 100048, und geben Sie auf dem Umschlag "Personal Information Protection Compliance Audit Management Measures for Comments" an.
Die Frist für die Rückmeldung endet am 2. September 2023.
Anhang: Management der Konformitätsprüfung des Schutzes personenbezogener Daten (Entwurf zur Kommentierung)
Staatliches Internet-Informationsbüro (SIIO)
Schreiben vom 3. August 2023 des Ständigen Vertreters von
Audit-Management-Methode zur Einhaltung des Schutzes personenbezogener Daten
(Expositionsentwurf)
Artikel 1 Die Maßnahmen werden in Übereinstimmung mit dem Gesetz der Volksrepublik China zum Schutz personenbezogener Daten und anderen Gesetzen, Verwaltungsvorschriften und einschlägigen staatlichen Verordnungen formuliert, um die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten anzuleiten und zu standardisieren, das Niveau der Einhaltung der Vorschriften im Umgang mit personenbezogenen Daten zu verbessern und die Rechte und Interessen an personenbezogenen Daten zu schützen.
Artikel 2 Diese Maßnahme gilt für Verarbeiter personenbezogener Daten, die regelmäßig Prüfungen der Einhaltung der Vorschriften zum Schutz personenbezogener Daten durchführen oder die professionelle Organisationen mit der Durchführung von Prüfungen der Einhaltung der Vorschriften zur Verarbeitung personenbezogener Daten gemäß den Anforderungen der für die Durchführung des Schutzes personenbezogener Daten zuständigen Behörden beauftragen, sowie für die Überwachung und Verwaltung der Tätigkeiten zur Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten.
Artikel 3 Die in diesen Maßnahmen genannte Prüfung der Einhaltung des Schutzes personenbezogener Daten ist eine Aufsichtstätigkeit, bei der geprüft und bewertet wird, ob die Tätigkeiten der für die Verarbeitung personenbezogener Daten Verantwortlichen mit den Gesetzen und Verwaltungsvorschriften übereinstimmen.
Artikel 4 Verarbeiter personenbezogener Daten, die personenbezogene Daten von mehr als einer Million Personen verarbeiten, führen mindestens einmal jährlich eine Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch; andere Verarbeiter personenbezogener Daten führen mindestens einmal alle zwei Jahre eine Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch.
Artikel 5 Die für die Verarbeitung personenbezogener Daten Verantwortlichen führen selbst Audits zur Überprüfung der Einhaltung der Datenschutzbestimmungen durch, die je nach Sachlage von internen Organisationen der Organisation durchgeführt oder an professionelle Organisationen gemäß den Anforderungen dieser Maßnahmen übertragen werden können.
Artikel 6 Stellen die für den Schutz personenbezogener Daten zuständigen Dienststellen bei der Erfüllung ihrer Aufgaben fest, dass bei der Verarbeitung personenbezogener Daten ein erhöhtes Risiko besteht oder dass ein personenbezogener Schaden vorliegt, so können sie dies im Rahmen ihrer Befugnisse feststellen.InformationssicherheitIm Falle eines Vorfalls kann von dem Verarbeiter personenbezogener Daten verlangt werden, dass er eine professionelle Organisation mit der Durchführung eines Compliance-Audits seiner Verarbeitungsaktivitäten für personenbezogene Daten beauftragt.
Artikel 7 Ein Verarbeiter personenbezogener Daten, der verpflichtet ist, eine Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten in Übereinstimmung mit der Abteilung, die Aufgaben zum Schutz personenbezogener Daten wahrnimmt, durchzuführen, wählt eine professionelle Organisation aus, die eine Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten in Übereinstimmung mit den Anforderungen so schnell wie möglich nach Erhalt der Mitteilung durchführt.
Artikel 8 Beauftragt ein Verarbeiter personenbezogener Daten eine Berufsorganisation mit der Durchführung einer Konformitätsprüfung zum Schutz personenbezogener Daten gemäß den Anforderungen der Abteilung, die die Aufgaben zum Schutz personenbezogener Daten wahrnimmt, so stellt er sicher, dass die Berufsorganisation in der Lage ist, die folgenden Befugnisse ordnungsgemäß auszuüben:
(i) Beantragung oder Erleichterung des Zugangs zu einschlägigen Dokumenten oder Informationen;
(ii) Zugang zu Orten, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen;
(iii) Beobachtung von Tätigkeiten zur Verarbeitung personenbezogener Daten in den Räumlichkeiten;
(iv) Untersuchung der relevanten Geschäftsaktivitäten und der Informationssysteme, von denen sie abhängen;
(v) Inspektion und Prüfung von Geräten und Einrichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten;
(vi) Zugang zu Daten oder Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten;
(vii) Befragung von Personen, die mit der Verarbeitung personenbezogener Daten befasst sind;
(viii) Untersuchung, Befragung und Beweisaufnahme zu relevanten Fragen;
(ix) alle sonstigen für die Durchführung von Konformitätsprüfungen erforderlichen Behörden.
Artikel 9 Die für die Verarbeitung personenbezogener Daten zuständigen Stellen, die eine professionelle Organisation mit der Durchführung von Prüfungen der Einhaltung der Vorschriften zum Schutz personenbezogener Daten betrauen, schließen die Prüfungen der Einhaltung der Vorschriften zum Schutz personenbezogener Daten innerhalb von 90 Arbeitstagen ab; im Falle einer komplexen Situation kann die Frist nach Genehmigung durch die für die Durchführung des Schutzes personenbezogener Daten zuständige Stelle angemessen verlängert werden.
Artikel 10 Der Auftragsverarbeiter personenbezogener Daten beauftragt eine Berufsorganisation mit der Durchführung einer Ordnungsmäßigkeitsprüfung zum Schutz personenbezogener Daten gemäß den Anforderungen der für die Umsetzung des Schutzes personenbezogener Daten zuständigen Abteilung, organisiert und führt die Ordnungsmäßigkeitsprüfung zum Schutz personenbezogener Daten gemäß den Anforderungen dieser Maßnahmen durch und legt der für die Umsetzung des Schutzes personenbezogener Daten zuständigen Abteilung nach Durchführung der erforderlichen Verfahren zur Ordnungsmäßigkeitsprüfung unverzüglich den von der Berufsorganisation erstellten Bericht zur Ordnungsmäßigkeitsprüfung zum Schutz personenbezogener Daten vor. Der Bericht über die Ordnungsmäßigkeitsprüfung zum Schutz personenbezogener Daten wird von der für die Ordnungsmäßigkeitsprüfung verantwortlichen Person und der verantwortlichen Person der Berufsorganisation unterzeichnet und mit dem offiziellen Siegel der Berufsorganisation versehen.
Artikel 11 Beauftragt ein Verarbeiter personenbezogener Daten eine Berufsorganisation mit der Durchführung einer Prüfung der Einhaltung des Schutzes personenbezogener Daten gemäß den Anforderungen der für die Umsetzung des Schutzes personenbezogener Daten zuständigen Stelle, so führt er die Berichtigung gemäß den von der Berufsorganisation gegebenen Berichtigungsvorschlägen durch und meldet der für die Umsetzung des Schutzes personenbezogener Daten zuständigen Stelle nach Prüfung durch die Berufsorganisation den Berichtigungsstand.
Artikel 12 Die Berufsorganisation, die die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten durchführt, muss ihre Unabhängigkeit und Objektivität wahren und darf nicht mehr als drei aufeinander folgende Prüfungen der Einhaltung der Vorschriften zum Schutz personenbezogener Daten für dieselbe geprüfte Stelle durchführen.
Artikel 13 Die staatliche Internet-Informationsabteilung erstellt in Zusammenarbeit mit den Organen für öffentliche Sicherheit und anderen relevanten Abteilungen des Staatsrats nach dem Prinzip der integrierten Planung, der rationellen Gestaltung und der Empfehlung von Spitzenleistungen einen empfohlenen Katalog von professionellen Einrichtungen für die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten, organisiert und führt jährlich die Bewertung und Evaluierung professioneller Einrichtungen für die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch und passt den empfohlenen Katalog professioneller Einrichtungen für die Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten auf der Grundlage der Bewertungs- und Evaluierungssituation dynamisch an.
Ermutigung der Verarbeiter personenbezogener Daten, bei der Prüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten den im empfohlenen Katalog aufgeführten Berufsverbänden den Vorzug zu geben.
Artikel 14 Ein Berufsverband muss bei der Durchführung von Konformitätsprüfungen zum Schutz personenbezogener Daten ehrlich und aufrichtig sein und die Konformitätsprüfung in fairer und objektiver Weise beurteilen.
Berufsverbände dürfen Dritte nicht mit der Durchführung eines Audits zur Einhaltung der Vorschriften zum Schutz personenbezogener Daten beauftragen.
Informationen, die ein Berufsverband bei der Durchführung von Prüfungen der Einhaltung der Vorschriften zum Schutz personenbezogener Daten erhält, dürfen nur für die Erfordernisse von Prüfungen der Einhaltung der Vorschriften zum Schutz personenbezogener Daten und nicht für andere Zwecke verwendet werden; der Berufsverband ist für die Vertraulichkeit der erhaltenen Informationen verantwortlich; der Berufsverband ergreift geeignete technische Maßnahmen und andere notwendige Maßnahmen zur Wahrung der Vertraulichkeit der erhaltenen Informationen.Datensicherheit.
Berufsverbände dürfen bei der Durchführung von Konformitätsprüfungen zum Schutz personenbezogener Daten nicht böswillig in die normalen Geschäftstätigkeiten der Auftragsverarbeiter eingreifen.
Falls eine Berufsorganisation einen falschen oder ungenauen Bericht oder andere Unregelmäßigkeiten ausstellt, können der Verarbeiter personenbezogener Daten und die mit ihm verbundenen Parteien eine Beschwerde bei der für den Schutz personenbezogener Daten zuständigen Stelle einreichen. Wird diese Beschwerde von der für den Schutz personenbezogener Daten zuständigen Stelle geprüft, wird die Berufsorganisation dauerhaft von der Aufnahme in den empfohlenen Katalog der Berufsorganisationen für Konformitätsprüfungen zum Schutz personenbezogener Daten ausgeschlossen.
Artikel XV: Verstöße gegen die Bestimmungen dieser Maßnahmen stellen in Übereinstimmung mit dem "Gesetz der Volksrepublik China zum Schutz personenbezogener Daten" und anderen Gesetzen und Vorschriften eine Straftat dar, die strafrechtlich verfolgt wird.
Artikel XVI dieses Konzepts durch das Staatliche Internet-Informationsbüro ist für die Auslegung der Jahresmonate verantwortlich in Kraft treten.
Anhang: Anhaltspunkte für Audits zur Einhaltung des Schutzes personenbezogener Daten
Referenzpunkte für die Prüfung der Einhaltung des Schutzes personenbezogener Daten
Artikel 1 Dieser Punkt wurde in Übereinstimmung mit den zwingenden Anforderungen des Gesetzes der Volksrepublik China über den Schutz personenbezogener Daten und anderen Gesetzen, Verwaltungsvorschriften und nationalen Normen formuliert und stellt eine Referenz für die Durchführung von Konformitätsprüfungen zum Schutz personenbezogener Daten dar.
Artikel 2 Bei der Prüfung der Einhaltung der Vorschriften über den Schutz personenbezogener Daten werden zunächst die Bedingungen für die Rechtmäßigkeit des Umgangs mit personenbezogenen Daten geprüft, wobei der Schwerpunkt auf den folgenden Punkten liegt:
(i) ob die Zustimmung der Person zur Verarbeitung personenbezogener Daten eingeholt wurde und ob diese Zustimmung freiwillig und ausdrücklich und in voller Kenntnis der betroffenen Person erteilt wurde;
(ii) ob die Einwilligung einer Person erneut eingeholt werden muss, wenn der Zweck des Umgangs mit personenbezogenen Daten, die Art und Weise des Umgangs mit personenbezogenen Daten und die Art der zu verarbeitenden personenbezogenen Daten aufgrund der Einwilligung der Person in den Umgang mit personenbezogenen Daten geändert werden;
(iii) ob die Verarbeitung personenbezogener Daten auf der Grundlage der Einwilligung einer Person der Person eine bequeme Möglichkeit bietet, ihre Einwilligung zu widerrufen;
(d) ob der Umgang mit personenbezogenen Daten auf der Grundlage der Zustimmung des Betroffenen aufgezeichnet wird;
(e) ob die Bereitstellung von Produkten oder Dienstleistungen auf der Grundlage der Zustimmung einer Person zur Verarbeitung ihrer personenbezogenen Daten oder des Widerrufs der Zustimmung verweigert wird, es sei denn, die Verarbeitung personenbezogener Daten ist für die Bereitstellung von Produkten oder Dienstleistungen erforderlich;
(vi) Ob die Verarbeitung personenbezogener Daten ohne Einholung der Zustimmung des Einzelnen ein Fall ist, in dem die Zustimmung des Einzelnen nach den Rechts- und Verwaltungsvorschriften nicht erforderlich ist.
Bei der Prüfung der Vorschriften über den Umgang mit personenbezogenen Daten konzentriert sich Artikel 3 auf die folgenden Punkte:
(i) ob der Name oder der Name und die Kontaktdaten des Verarbeiters personenbezogener Daten wahrheitsgemäß, genau und vollständig angegeben werden;
(ii) ob die erhobenen personenbezogenen Daten sowie der Zweck, die Art und der Umfang ihrer Verarbeitung in Form einer Liste aufgeführt sind;
(c) ob die Dauer der Speicherung personenbezogener Daten oder die Methode zur Festlegung der Dauer der Speicherung, die Art der Bearbeitung nach Ablauf der Dauer und der Mindestzeitraum, der erforderlich ist, um sicherzustellen, dass die Dauer der Speicherung für die Erfüllung des Zwecks der Bearbeitung erforderlich ist, geklärt sind;
(d) ob die Mittel und Wege geklärt sind, mit denen Einzelpersonen Zugang zu personenbezogenen Daten erhalten, diese kopieren, verarbeiten, übertragen, berichtigen, ergänzen, löschen, offenlegen und deren Verarbeitung einschränken sowie ihre Konten löschen und ihre Zustimmung zurückziehen können;
(e) Falls personenbezogene Daten an Dritte weitergegeben werden, ob die betroffene Person eindeutig über den oder die Namen des Empfängers, die Kontaktinformationen, den Zweck der Verarbeitung, die Art der Verarbeitung und die Art der personenbezogenen Daten informiert wird und ob die gesonderte Zustimmung der betroffenen Person eingeholt wird;
(vi) Sonstige durch Gesetze und Verwaltungsvorschriften vorgeschriebene Angelegenheiten.
Artikel 4 Personenbezogene Datenverarbeiter, die personenbezogene Daten verarbeiten, müssen der Informationspflicht nachkommen, und die Prüfung muss sich auf die Überprüfung der folgenden Punkte konzentrieren
(i) ob der Verarbeiter personenbezogener Daten die Person vor der Verarbeitung der personenbezogenen Daten in auffälliger Weise und in klarer und verständlicher Sprache, die wahrheitsgemäß, genau und vollständig ist, über die Regeln für die Verarbeitung personenbezogener Daten informiert;
(ii) ob Größe, Schriftart und Farbe des Textes der Informationen so beschaffen sind, dass die Person die Informationen in ihrer Gesamtheit lesen kann;
(c) ob die Offline-Benachrichtigung die Verpflichtung zur Benachrichtigung des Einzelnen durch verschiedene Mittel wie Kennzeichnung und Anweisungen erfüllt;
(iv) Online-Meldung, ob Textinformationen verfügbar sind oder ob die Verpflichtung zur Benachrichtigung von Einzelpersonen durch geeignete Mittel erfüllt wird;
(e) im Falle einer Änderung der Regeln für den Umgang mit personenbezogenen Daten, ob die Person rechtzeitig über die Änderung informiert wird.
Artikel 5: Ist ein Verarbeiter personenbezogener Daten an der gemeinsamen Verarbeitung personenbezogener Daten mit anderen beteiligt, sind insbesondere folgende Punkte zu prüfen:
(i) ob die jeweiligen Rechte und Pflichten vereinbart worden sind;
(ii) Maßnahmen der Parteien zum Schutz personenbezogener Daten;
(iii) Mechanismen zum Schutz der Rechte und Interessen an personenbezogenen Daten;
(iv) Mechanismus zur Meldung von Sicherheitsvorfällen bei personenbezogenen Daten;
(e) Haftung der Parteien für Schäden, die durch die Verletzung der Rechte und Interessen an personenbezogenen Daten verursacht werden;
(vi) Sonstige Rechte und Pflichten, die aufgrund von Gesetzen und Verwaltungsvorschriften zu vereinbaren sind.
Artikel 6: Wird ein Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten betraut, muss er sich auf die Überprüfung der folgenden Punkte konzentrieren
(i) ob ein Verarbeiter personenbezogener Daten eine Datenschutz-Folgenabschätzung durchführt, bevor er die Verarbeitung personenbezogener Daten in Auftrag gibt;
(b) ob der zwischen dem Verarbeiter personenbezogener Daten und dem Treuhänder geschlossene Vertrag den Zweck, die Dauer, die Art und Weise und den Typ der dem Verarbeiter anzuvertrauenden personenbezogenen Daten, die vom Treuhänder zu treffenden technischen und verwaltungstechnischen Maßnahmen sowie die Rechte und Pflichten beider Parteien festlegt;
(c) ob der Verarbeiter personenbezogener Daten Methoden wie regelmäßige Inspektionen zur Überwachung der Verarbeitung personenbezogener Daten durch den Treuhänder anwendet, um sicherzustellen, dass die mit der Verarbeitung personenbezogener Daten betrauten Tätigkeiten im Einklang mit dem Gesetz stehen;
(d) ob der Treuhänder personenbezogene Daten strikt in Übereinstimmung mit der Vereinbarung im Betrauungsvertrag behandelt und ob es Fälle gibt, in denen personenbezogene Daten über den vereinbarten Zweck und die vereinbarte Art der Behandlung hinaus behandelt werden;
(e) ob der Treuhänder die personenbezogenen Daten an den Auftragsverarbeiter zurückgibt oder sie löscht, wenn der Betrauungsvertrag nicht gültig, ungültig, aufgehoben oder beendet ist;
(vi) ob der Treuhänder die Verarbeitung personenbezogener Daten weiter delegiert hat und ob die Zustimmung der Person, die die personenbezogenen Daten verarbeitet, eingeholt wurde.
Artikel 7 Muss ein Verarbeiter personenbezogener Daten aufgrund einer Fusion, Umstrukturierung, Trennung, Auflösung, Konkurserklärung oder aus anderen Gründen personenbezogene Daten übermitteln, so hat er sich auf folgende Punkte zu konzentrieren:
(i) ob der Verarbeiter personenbezogener Daten die Person über den Namen oder die Namen und Kontaktdaten des Empfängers informiert;
(ii) ob der Empfänger weiterhin seinen Verpflichtungen als Verarbeiter personenbezogener Daten nachkommt;
(c) Wenn die empfangende Partei den ursprünglichen Zweck oder die Methode der Behandlung ändert, ob sie die Zustimmung der betroffenen Person gemäß den einschlägigen Rechts- und Verwaltungsvorschriften erneut einholt.
Artikel 8 Verarbeiter personenbezogener Daten, die anderen Verarbeitern personenbezogener Daten, die sie verarbeiten, zur Verfügung stellen, müssen sich auf die folgenden Punkte konzentrieren
(i) ob die gesonderte Zustimmung der Person eingeholt wurde;
(ii) ob die Person über den Namen oder die Namen der Empfänger, die Kontaktinformationen, den Zweck der Verarbeitung, die Art der Verarbeitung und die Art der personenbezogenen Daten informiert wird;
(c) ob der Empfänger personenbezogene Daten im Rahmen des Zwecks der Verarbeitung, der Art der Verarbeitung und der Art der personenbezogenen Daten verarbeitet, die von beiden Parteien vereinbart wurden;
(d) Wenn der Zweck oder die Methode der Behandlung geändert wird, ob die Zustimmung der Person gemäß den Bestimmungen der Rechts- und Verwaltungsvorschriften erneut eingeholt wird;
(v) ob im Vorfeld eine Folgenabschätzung zum Schutz personenbezogener Daten durchgeführt wird oder nicht.
Verarbeiten Verarbeiter personenbezogener Daten gemäß Artikel 9 personenbezogene Daten im Wege der automatisierten Entscheidungsfindung, so konzentriert sich die Prüfung auf die Bewertung der Transparenz der automatisierten Entscheidungsfindung sowie der Fairness und Unparteilichkeit der Ergebnisse:
(i) ob die Betroffenen im Voraus proaktiv über die Art der personenbezogenen Daten, die im Rahmen einer automatisierten Entscheidungsfindung verarbeitet werden sollen, und die möglichen Auswirkungen informiert werden;
(ii) ob die algorithmischen Modelle im Vorfeld auf ihre Sicherheit geprüft und gemäß den einschlägigen nationalen Vorschriften hinterlegt werden, um Schwachstellen in den algorithmischen Modellen für die automatisierte Entscheidungsfindung zu minimieren, und ob die algorithmischen Modelle neu geprüft werden, wenn sich die Anwendungsszenarien und Hauptfunktionen ändern;
(iii) ob das algorithmische Modell zuvor auf wissenschaftliche und technologische Ethik geprüft wurde;
(d) ob im Vorfeld eine Folgenabschätzung zum Schutz personenbezogener Daten durchgeführt wird oder nicht;
(v) ob den Nutzern ein Schutzmechanismus zur Verfügung gestellt werden soll, damit sie sich auf einfache Weise weigern können, Entscheidungen, die ihre Rechte und Interessen erheblich beeinträchtigen, mittels automatisierter Entscheidungsfindung zu treffen, oder ob der Verarbeiter personenbezogener Daten verpflichtet werden soll, eine Erklärung über die Anwendung der automatisierten Entscheidungsfindung bei Entscheidungen, die die Rechte und Interessen der Person des Nutzers erheblich beeinträchtigen, abzugeben;
(vi) ob der Nutzer die Möglichkeit hat, Benutzerkennzeichnungen zu löschen oder zu ändern, die sich auf seine persönlichen Merkmale zur Verwendung in automatisierten Entscheidungsfindungsdiensten beziehen;
(vii) ob die erforderlichen Maßnahmen zum Schutz von Algorithmen und parametrischen Modellen getroffen wurden;
(viii) ob Aufzeichnungen über manuelle Vorgänge im automatisierten Entscheidungsfindungsprozess geführt werden, z. B. über die Verarbeitung personenbezogener Daten, die Verwaltung von Kennzeichnungen und die Schulung von Modellen, um böswillige menschliche Manipulationen von Informationen und Ergebnissen der automatisierten Entscheidungsfindung zu verhindern;
(ix) Wenn Informationen an Einzelpersonen weitergegeben werden und kommerzielles Marketing betrieben wird, ob auch die Möglichkeit besteht, einzelne Merkmale nicht zu berücksichtigen, oder ob eine bequeme Möglichkeit zur Ablehnung automatisierter Entscheidungsfindungsdienste angeboten wird;
(x) ob wirksame Maßnahmen ergriffen wurden, um zu verhindern, dass die automatisierte Entscheidungsfindung zu einer unangemessenen Ungleichbehandlung von Personen in Bezug auf die Handelsbedingungen führt, die auf Verbraucherpräferenzen, Handelsgewohnheiten usw. beruht;
(xi) Sonstige Aspekte, die die Transparenz der automatisierten Entscheidungsfindung sowie die Fairness und Unparteilichkeit der Ergebnisse beeinträchtigen können.
Artikel 10: Wenn ein Verarbeiter personenbezogener Daten die von ihm verarbeiteten personenbezogenen Daten offenlegt, muss er sich auf die Überprüfung der folgenden Punkte konzentrieren:
(i) ob ein Verarbeiter personenbezogener Daten vor der Weitergabe der von ihm verarbeiteten personenbezogenen Daten die gesonderte Zustimmung der Person einholt, ob die Genehmigung echt und gültig ist und ob es Fälle gibt, in denen personenbezogene Daten gegen den Willen der Person weitergegeben werden;
(ii) ob ein Verarbeiter personenbezogener Daten vor der Weitergabe personenbezogener Daten eine Datenschutz-Folgenabschätzung durchgeführt hat.
Artikel 11 persönliche Informationen Verarbeiter an öffentlichen Orten zu installieren Bilderfassung, persönliche Identifikation Ausrüstung, muss auf seine Installation von Bilderfassung, persönliche Identifikation Ausrüstung für die Legitimität der persönlichen Informationen und die Verwendung der gesammelten persönlichen Informationen für die Überprüfung konzentrieren. Die Überprüfung umfasst, ist aber nicht beschränkt auf:
(i) ob sie für die Aufrechterhaltung der öffentlichen Sicherheit erforderlich ist und ob es Fälle gibt, in denen die gesammelten Informationen zu kommerziellen Zwecken verarbeitet werden;
(ii) ob auffällige Warnschilder angebracht sind;
(c) ob die Zustimmung des Einzelnen eingeholt wird, wenn das persönliche Bild oder die Identifizierungsdaten, die vom Verarbeiter personenbezogener Daten gesammelt wurden, für andere Zwecke als die Aufrechterhaltung der öffentlichen Sicherheit verwendet werden oder nicht.
Artikel 12 Bearbeitet ein Auftragsverarbeiter personenbezogene Daten, die veröffentlicht worden sind, so konzentriert sich die Prüfung auf die Frage, ob der Auftragsverarbeiter einen der folgenden Verstöße begangen hat:
(i) Übermittlung von Informationen an E-Mail-Adressen, Mobiltelefonnummern usw., die in den offengelegten personenbezogenen Daten enthalten sind, ohne Bezug zum Zweck ihrer Offenlegung;
(ii) Ausübung von Gewalt im Internet unter Verwendung öffentlich zugänglicher personenbezogener Daten;
(iii) Verarbeitung offengelegter personenbezogener Daten, deren Verarbeitung die betroffene Person ausdrücklich ablehnt;
(d) Die Verarbeitung offengelegter personenbezogener Daten ohne Einholung der Zustimmung der betroffenen Person hat erhebliche Auswirkungen auf die Rechte und Interessen der betroffenen Person.
Artikel 13 Verarbeiter personenbezogener Daten, die mit sensiblen personenbezogenen Daten umgehen, müssen sich bei ihren Prüfungen auf folgende Punkte konzentrieren:
(i) ob für die Verarbeitung sensibler personenbezogener Daten wie biometrische Daten, religiöse Überzeugungen, bestimmte Identitäten, medizinische und gesundheitliche Versorgung, Finanzkonten, Aufenthaltsort und Flugrouten im Voraus die gesonderte Zustimmung des Einzelnen eingeholt wird;
(b) ob die Zustimmung der Eltern oder anderer Erziehungsberechtigter von Minderjährigen unter 14 Jahren für den Umgang mit personenbezogenen Daten von Minderjährigen unter 14 Jahren im Voraus eingeholt wurde;
(c) ob der Zweck und die Art und Weise der Verarbeitung sensibler personenbezogener Daten rechtmäßig, legitim und notwendig sind;
(d) ob die Verarbeitung sensibler personenbezogener Daten in engem Zusammenhang mit der Bereitstellung von Waren oder Dienstleistungen, der Erfüllung gesetzlicher Aufgaben oder rechtlicher Verpflichtungen und anderen spezifischen Zwecken steht und ob der Grundsatz der Nichtverarbeitung auf dem Grundsatz der Nicht-Wesentlichkeit beruht;
(v) ob im Vorfeld eine Bewertung der Auswirkungen des Schutzes personenbezogener Daten vorgenommen wird und ob die Betroffenen über die Notwendigkeit des Umgangs mit sensiblen personenbezogenen Daten und die Auswirkungen auf ihre Rechte und Interessen informiert werden;
(vi) Ob eine schriftliche Zustimmung eingeholt wurde, wenn die Rechts- und Verwaltungsvorschriften die Einholung einer schriftlichen Zustimmung vorsehen;
(vii) ob der Prozess des Umgangs mit sensiblen personenbezogenen Daten dokumentiert ist, um sicherzustellen, dass der Prozess des Umgangs mit sensiblen personenbezogenen Daten rechtskonform ist.
Artikel 14: Bezieht sich die Tätigkeit eines Verarbeiters personenbezogener Daten auf den Umgang mit personenbezogenen Daten von Minderjährigen unter 14 Jahren, so konzentriert sich die Prüfung auf folgende Punkte:
(i) ob besondere Regeln für den Umgang mit personenbezogenen Daten von Minderjährigen festgelegt wurden;
(b) ob Minderjährige und ihre Erziehungsberechtigten über den Zweck des Umgangs mit personenbezogenen Daten von Minderjährigen, die Art und Weise des Umgangs mit diesen Daten, die Notwendigkeit des Umgangs mit ihnen, die Art der verarbeiteten personenbezogenen Daten und die getroffenen Schutzmaßnahmen informiert werden;
(c) ob Minderjährige oder deren Erziehungsberechtigte gezwungen werden, in die Verarbeitung personenbezogener Daten einzuwilligen, die nicht notwendig ist.
Artikel 15: Stellt ein Auftragsverarbeiter personenbezogene Daten außerhalb des Landes zur Verfügung, so konzentriert er sich auf die Überprüfung der folgenden Punkte:
(i) ob die Betreiber kritischer Informationsinfrastrukturen und die Verarbeiter personenbezogener Daten, die personenbezogene Daten von mehr als einer Million Personen verarbeiten, die personenbezogene Daten außerhalb des Landes zur Verfügung stellen, einer von der nationalen Abteilung für Internet-Informationen organisierten Sicherheitsbewertung unterzogen wurden;
(ii) ob ein Verarbeiter personenbezogener Daten, der seit dem 1. Januar des Vorjahres kumulativ 100.000 personenbezogene Daten oder 10.000 sensible personenbezogene Daten außerhalb des Landes bereitgestellt hat, einer von der nationalen Internet-Informationsabteilung organisierten Sicherheitsbewertung für die Bereitstellung personenbezogener Daten außerhalb des Landes unterzogen wurde;
(c) ob im Hoheitsgebiet der Volksrepublik China gespeicherte personenbezogene Daten an ausländische Justiz- oder Strafverfolgungsbehörden weitergegeben wurden, und, falls ja, ob eine solche Weitergabe von den zuständigen Behörden der Volksrepublik China genehmigt wurde;
(d) ob internationale Verträge und Abkommen, die die Volksrepublik China abgeschlossen hat oder denen sie beigetreten ist, im Einklang mit den Bestimmungen dieser Verträge und Abkommen umgesetzt werden, die die Bedingungen für die Bereitstellung personenbezogener Daten außerhalb des Hoheitsgebiets der Volksrepublik China festlegen;
(e) ob er von einem Berufsverband für den Schutz personenbezogener Daten gemäß den Bestimmungen des staatlichen Internet-Informationsdienstes zertifiziert wurde oder ob er einen Vertrag mit einem ausländischen Empfänger gemäß dem vom staatlichen Internet-Informationsdienst formulierten Standardvertrag abgeschlossen hat oder ob er die sonstigen in den Gesetzen, Verwaltungsvorschriften und Bestimmungen des staatlichen Internet-Informationsdienstes festgelegten Bedingungen erfüllt;
(vi) ob er die Richtlinien und Vorschriften zum Schutz personenbezogener Daten des Landes oder der Region kennt, in dem/der sich der Empfänger im Ausland befindet.NetzwerksicherheitUmweltauswirkungen auf ausgehende personenbezogene Daten;
(vii) Ob ein Verstoß gegen die Bereitstellung personenbezogener Daten an Organisationen und Personen vorliegt, die in der Liste der Organisationen und Personen aufgeführt sind, an die die Bereitstellung personenbezogener Daten eingeschränkt oder verboten ist.
Artikel 16 Ein Verarbeiter personenbezogener Daten, der personenbezogene Daten außerhalb Chinas bereitstellt, hat die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass die Aktivitäten des ausländischen Empfängers im Umgang mit personenbezogenen Daten den im Gesetz der Volksrepublik China zum Schutz personenbezogener Daten festgelegten Standards entsprechen. Die Prüfung konzentriert sich auf die Wirksamkeit der vom Verarbeiter personenbezogener Daten gegenüber dem Empfänger im Ausland getroffenen Überwachungsmaßnahmen, einschließlich, aber nicht beschränkt auf:
(i) ob sie die Situation des Offshore-Empfängers kennt und versteht, insbesondere, ob der Empfänger über die erforderliche Fähigkeit zum Schutz personenbezogener Daten verfügt;
(ii) ob die Empfänger im Ausland über die Anforderungen an den Schutz personenbezogener Daten gemäß den chinesischen Rechts- und Verwaltungsvorschriften informiert sind und ob die Empfänger im Ausland verpflichtet sind, entsprechende Schutzmaßnahmen zu ergreifen;
(c) ob Vereinbarungen unterzeichnet und regelmäßige Überprüfungen durchgeführt werden, um die Empfänger in Übersee zu drängen, ihren Verpflichtungen zum Schutz personenbezogener Daten tatsächlich nachzukommen.
Artikel 17 der Prüfung des Schutzes des Rechts auf Löschung personenbezogener Daten, konzentriert sich auf die Überprüfung der folgenden Umstände personenbezogener Daten Löschung:
(i) Der Zweck der Verarbeitung personenbezogener Daten ist erfüllt, kann nicht erfüllt werden oder ist nicht mehr erforderlich, um den Zweck der Verarbeitung zu erfüllen;
(ii) Einstellung der Bereitstellung von Produkten oder Dienstleistungen oder Kündigung von Konten durch Einzelpersonen;
(iii) Erreichen der mit der Person vereinbarten Aufbewahrungsfrist;
(iv) Rücknahme der Zustimmung durch die Person;
(e) Die Erhebung nicht wesentlicher personenbezogener Daten oder personenbezogener Daten, die nicht auf Zustimmung beruhen, kann aufgrund des Einsatzes automatisierter Erhebungsverfahren usw. nicht vermieden werden;
(vi) Verarbeitung personenbezogener Daten durch einen Verarbeiter personenbezogener Daten unter Verletzung von Gesetzen oder Verwaltungsvorschriften oder unter Verstoß gegen eine Vereinbarung.
Ist die durch Rechts- oder Verwaltungsvorschriften vorgeschriebene Aufbewahrungsfrist noch nicht abgelaufen oder ist die Löschung personenbezogener Daten technisch schwierig zu bewerkstelligen, so stellt der Verarbeiter personenbezogener Daten die Verarbeitung mit Ausnahme der Speicherung und der Ergreifung der erforderlichen Sicherheitsmaßnahmen ein.
Artikel 18 Die Auftragsverarbeiter für personenbezogene Daten müssen die Rechte natürlicher Personen zur Wahrnehmung ihrer Rechte und Interessen an personenbezogenen Daten schützen, und die Prüfungen müssen sich auf die folgenden Punkte konzentrieren
(i) Ob ein Mechanismus zur Entgegennahme von Anträgen von Einzelpersonen zur Wahrnehmung ihrer Rechte eingerichtet wurde;
(ii) ob Einzelpersonen bequeme Methoden zur Verfügung stehen, um auf personenbezogene Daten zuzugreifen, sie zu kopieren, zu übertragen, zu korrigieren, zu ergänzen und zu löschen;
(c) ob sie rechtzeitig auf den Antrag einer Person auf Ausübung ihrer Rechte reagiert und ob sie sie rechtzeitig, vollständig und genau über die Stellungnahmen zur Behandlung der Angelegenheit oder die Ergebnisse der Umsetzung unterrichtet.
Artikel 19 Die für die Verarbeitung personenbezogener Daten Verantwortlichen antworten auf die einzelnen Anträge und erläutern ihre Regeln für die Verarbeitung personenbezogener Daten; die Prüfung konzentriert sich auf die Bewertung der folgenden Punkte
(i) ob der Verarbeiter personenbezogener Daten bequeme Mittel und Wege bereitstellt, um individuelle Anträge auf Erläuterung der Regeln für die Verarbeitung personenbezogener Daten entgegenzunehmen und zu bearbeiten;
(ii) ob der Verarbeiter personenbezogener Daten auf Anfrage einer Person innerhalb einer angemessenen Frist und in leicht verständlicher Sprache eine Erläuterung seiner Vorschriften für die Verarbeitung personenbezogener Daten bereitstellt.
Artikel 20 Die Hauptverantwortung für den Schutz personenbezogener Daten liegt bei den Verarbeitern personenbezogener Daten, und die Prüfung konzentriert sich auf die Bewertung der Erfüllung der Hauptverantwortung der Verarbeiter personenbezogener Daten, einschließlich, aber nicht beschränkt auf die folgenden Punkte:
(i) die Anpassungsfähigkeit der Entwicklung des Systems zum Schutz personenbezogener Daten, der Organisationsstruktur und der Verwaltungsverfahren an die Art, den Umfang, die Komplexität und das Risikoniveau des Umgangs mit personenbezogenen Daten;
(ii) ob die Aufteilung der Zuständigkeiten für den Schutz personenbezogener Daten angemessen ist, ob die Zuständigkeiten klar definiert sind und ob die Berichtsbeziehungen eindeutig sind;
(c) die Vereinbarkeit der personellen, finanziellen und materiellen Sicherheitsvorkehrungen, die der Auftragsverarbeiter zum Schutz personenbezogener Daten trifft, mit dem Umfang der Geschäftstätigkeit des Unternehmens, seinem Betriebsplan und dem Risikomanagement für die Einhaltung der Vorschriften über personenbezogene Daten.
Artikel 21 Ein Auftragsverarbeiter für personenbezogene Daten hat in Übereinstimmung mit den Bestimmungen der Rechts- und Verwaltungsvorschriften ein internes Managementsystem und Betriebsverfahren zu formulieren, die Organisationsstruktur und die Aufgabenverteilung zu klären, Arbeitsabläufe festzulegen, das interne Kontrollsystem zu verbessern und die Einhaltung der Vorschriften und die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Bei der Prüfung konzentriert sie sich auf die Überprüfung des internen Managementsystems und der Betriebsverfahren für den Schutz personenbezogener Daten von Verarbeitern personenbezogener Daten, einschließlich, aber nicht beschränkt auf:
(a) ob die Leitlinien, Ziele und Grundsätze für den Schutz personenbezogener Daten im Einklang mit den Rechts- und Verwaltungsvorschriften stehen;
(ii) ob die Organisationsstruktur, die Personalausstattung, der Verhaltenskodex und die Verantwortlichkeiten des Managements für den Schutz personenbezogener Daten der Verantwortung für den Schutz personenbezogener Daten, die erfüllt werden sollte, angemessen sind;
(c) ob personenbezogene Daten nach Art, Quelle, Empfindlichkeit und Verwendung kategorisiert werden und ob gezielte Verwaltungs- oder sicherheitstechnische Maßnahmen getroffen werden;
(d) ob ein Notfallmechanismus für Sicherheitsvorfälle bei personenbezogenen Daten eingerichtet werden soll;
(v) ob ein System zur Bewertung der Auswirkungen des Schutzes personenbezogener Daten und zur Prüfung der Einhaltung der Vorschriften eingerichtet wurde;
(vi) ob ein reibungsloses Verfahren für die Entgegennahme von Beschwerden und Berichten über den Schutz personenbezogener Daten eingerichtet werden soll;
(vii) Ob sie Ausbildungs- und Schulungsprogramme zum Schutz personenbezogener Daten ausgearbeitet und durchgeführt hat;
(viii) ob ein System zur Bewertung der Leistung der für den Schutz personenbezogener Daten verantwortlichen Person und des damit verbundenen Personals eingerichtet wurde oder nicht;
(ix) ob ein System der Verantwortlichkeit für den Umgang mit Verstößen gegen personenbezogene Daten für das an der Verarbeitung personenbezogener Daten beteiligte Personal eingerichtet und wirksam umgesetzt werden soll;
(x) Andere durch Gesetze und Verwaltungsvorschriften vorgeschriebene Inhalte.
Artikel 22 Der Verarbeiter personenbezogener Daten trifft technische Sicherheitsmaßnahmen, die dem Umfang und der Art der verarbeiteten personenbezogenen Daten angemessen sind, und bewertet die Wirksamkeit der von ihm getroffenen technischen Maßnahmen; diese Bewertung umfasst unter anderem:
(a) ob die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten durch geeignete Sicherheits- und technische Maßnahmen unter Bezugnahme auf einschlägige nationale Normen oder technische Anforderungen gewährleistet ist;
(ii) ob sicherheitstechnische Maßnahmen wie Verschlüsselung und De-Identifizierung ergriffen werden, um zu gewährleisten, dass die Identifizierbarkeit personenbezogener Daten ohne die Hilfe zusätzlicher Informationen beseitigt oder verringert wird;
(c) ob die getroffenen sicherheitstechnischen Maßnahmen die operativen Befugnisse des betreffenden Personals für den Zugriff auf personenbezogene Daten, das Kopieren, die Übermittlung usw. in angemessener Weise festlegen und das Risiko eines unbefugten Zugriffs auf personenbezogene Daten und ihres Missbrauchs im Verlauf der Verarbeitung verringern können.
Bei der Prüfung der Entwicklung und Durchführung von Ausbildungs- und Schulungsprogrammen für Personen, die mit personenbezogenen Daten umgehen, konzentriert sich Artikel 23 auf die Bewertung der folgenden Punkte:
(a) ob eine angemessene Sicherheitsausbildung und -schulung für Manager, Techniker, Bediener und das gesamte Personal gemäß dem Plan durchgeführt wird und ob das Bewusstsein für den Schutz persönlicher Daten und die Fähigkeiten des entsprechenden Personals bewertet werden;
(ii) ob der Inhalt der Schulung, die Schulungsmethode, die Zielgruppe und die Häufigkeit der Schulungen den Erfordernissen des Schutzes personenbezogener Daten gerecht werden können.
Artikel 24 Ein Verarbeiter personenbezogener Daten, dessen Verarbeitung personenbezogener Daten die von der nationalen Abteilung für Internet-Informationen festgelegte Menge erreicht, benennt eine für den Schutz personenbezogener Daten verantwortliche Person, die für die Einhaltung der Vorschriften bei der Verarbeitung personenbezogener Daten verantwortlich ist. Bei der Prüfung konzentriert er sich auf die Überprüfung der folgenden Punkte:
(a) Ob die für den Schutz personenbezogener Daten zuständige Person über einschlägige Berufserfahrung und Fachkenntnisse verfügt und mit den Gesetzen und Verwaltungsvorschriften zum Schutz personenbezogener Daten vertraut ist;
(ii) ob die für den Schutz personenbezogener Daten zuständige Person klare und eindeutige Zuständigkeiten hat und ob sie über ausreichende Befugnisse verfügt, um die an der Verarbeitung personenbezogener Daten beteiligten Abteilungen und Mitarbeiter innerhalb der Organisation zu koordinieren;
(c) ob die für den Schutz personenbezogener Daten verantwortliche Person das Recht hat, die für den Schutz personenbezogener Daten verantwortliche Person zu benennen und eine reibungslose Kommunikation und Verbindung mit ihr aufrechtzuerhalten;
(d) ob die für den Schutz personenbezogener Daten zuständige Person das Recht hat, vor Entscheidungen über wichtige Fragen im Zusammenhang mit dem Umgang mit personenbezogenen Daten sachdienliche Stellungnahmen und Vorschläge abzugeben;
(v) ob die für den Schutz personenbezogener Daten verantwortliche Person befugt ist, nicht konforme Vorgänge bei der Verarbeitung personenbezogener Daten innerhalb der Organisation zu unterbinden und die erforderlichen Abhilfemaßnahmen zu treffen;
(f) ob ein Verarbeiter personenbezogener Daten die Kontaktinformationen des Verantwortlichen für den Schutz personenbezogener Daten offenlegt und den Namen und die Kontaktinformationen des Verantwortlichen für den Schutz personenbezogener Daten an die Dienststelle meldet, die die Aufgaben des Schutzes personenbezogener Daten wahrnimmt.
Bei der Prüfung der von einem Auftragsverarbeiter durchgeführten Folgenabschätzung zum Schutz personenbezogener Daten gemäß Artikel 25 liegt der Schwerpunkt auf der Überprüfung der Durchführung der Folgenabschätzung und des Inhalts der Abschätzung:
(a) ob in Übereinstimmung mit den Rechts- und Verwaltungsvorschriften eine Folgenabschätzung zum Schutz personenbezogener Daten durchgeführt wird, bevor personenbezogene Daten verarbeitet werden, die erhebliche Auswirkungen auf die Rechte und Interessen von Personen haben;
(ii) ob die Rechtmäßigkeit, Legitimität und Notwendigkeit der einzelnen Verarbeitungstätigkeiten analysiert und bewertet wurden und ob eine übermäßige Sammlung personenbezogener Daten vorliegt;
(iii) ob Sicherheitsrisiken wie die Einschränkung des Rechts der Person, autonome Entscheidungen zu treffen, die Auslösung einer unterschiedlichen Behandlung, die Schädigung des Ansehens oder der psychischen Belastung der Person oder die Beschädigung von persönlichem Eigentum analysiert und bewertet worden sind;
(iv) ob die Rechtmäßigkeit, Wirksamkeit und Anpassungsfähigkeit der getroffenen Schutzmaßnahmen analysiert und bewertet wurden;
(v) ob die Berichte über die Folgenabschätzung zum Schutz personenbezogener Daten und die Aufzeichnungen über die Verarbeitung mindestens drei Jahre lang aufbewahrt werden.
Artikel 26 Die Verarbeiter personenbezogener Daten erstellen Notfallpläne für Sicherheitsvorfälle mit personenbezogenen Daten. Zum Zeitpunkt der Prüfung wird eine Bewertung des Umfangs, der Wirksamkeit und der Durchsetzbarkeit des Notfallplans vorgenommen, die sich unter anderem auf Folgendes erstreckt
(i) ob eine systematische Bewertung und Vorhersage der Sicherheitsrisiken für personenbezogene Daten unter Berücksichtigung der betrieblichen Gegebenheiten vorgenommen wurde;
(ii) ob die Leitideologie, die grundlegende Strategie, die Organisationsstruktur, das Personal, die Technologie, die materielle Sicherheit und die Führungs- und Entsorgungsverfahren, die Notfallmaßnahmen und die Unterstützungsmaßnahmen ausreichen, um die prognostizierten Risiken zu bewältigen;
(c) ob das betreffende Personal im Notfallplan geschult ist und ob der Notfallplan regelmäßig geprobt wird.
Bei der Bewertung der Notfallmaßnahmen bei Sicherheitsvorfällen mit personenbezogenen Daten durch die Auftragsverarbeiter werden in Artikel 27 die folgenden Faktoren berücksichtigt:
(a) ob sie in Übereinstimmung mit dem Notfallplan und den Betriebsverfahren unverzüglich die Auswirkungen, das Ausmaß und den möglichen Schaden des Sicherheitsvorfalls bei personenbezogenen Daten ermittelt, die Ursachen des Vorfalls analysiert und feststellt und ein Maßnahmenprogramm vorschlägt, um eine Ausweitung des Schadens zu verhindern;
(ii) ob ein Meldeweg eingerichtet wurde und ob die Stellen und Personen, die für den Schutz personenbezogener Daten zuständig sind, innerhalb von 72 Stunden nach dem Vorfall benachrichtigt werden können;
(c) ob geeignete Maßnahmen ergriffen wurden, um mögliche Verluste und Schadensrisiken, die sich aus Sicherheitsvorfällen mit personenbezogenen Daten ergeben können, zu minimieren.
Artikel 28 Die Betreiber großer Internetplattformen richten eine unabhängige Stelle ein, die sich hauptsächlich aus externen Mitgliedern zusammensetzt, um den Schutz personenbezogener Daten zu überwachen. Bei der Prüfung werden die Unabhängigkeit, die Fähigkeit zur Erfüllung ihrer Aufgaben und die Aufsichtsfunktion der unabhängigen Stelle bewertet.
(i) Bewertung der Unabhängigkeit der unabhängigen Stelle zur Überwachung des Schutzes personenbezogener Daten, wobei der Schwerpunkt auf dem Vorhandensein von Beziehungen zwischen externen Mitgliedern und den Verarbeitern personenbezogener Daten und ihren Hauptaktionären liegt, die sie daran hindern könnten, unabhängige und objektive Entscheidungen zu treffen;
(ii) Bewertung der Fähigkeit der externen Mitglieder, ihre Aufgaben zu erfüllen, wobei der Schwerpunkt darauf liegt, ob die externen Mitglieder über die entsprechenden beruflichen Kenntnisse, Fähigkeiten und Erfahrungen verfügen, um den Schutz personenbezogener Daten von Verarbeitern personenbezogener Daten zu beaufsichtigen und anzuleiten sowie objektive und unparteiische Stellungnahmen und Empfehlungen abzugeben;
(c) Bewertung der Aufsichtsfunktion der unabhängigen Stelle, wobei der Schwerpunkt auf der Überprüfung der Rolle liegt, die die unabhängige Stelle beim Aufbau eines Systems zur Einhaltung der Vorschriften für die Verarbeiter personenbezogener Daten, bei der Formulierung von Regeln für Plattformen, beim Umgang mit schwerwiegenden Vorfällen im Bereich der Sicherheit personenbezogener Daten und bei der Überwachung von Unternehmen bei der Wahrnehmung ihrer sozialen Verantwortung spielt.
Artikel 29 der Vorschriften für große Internetplattformen sollte sich auf die Prüfung der folgenden Punkte konzentrieren:
(i) Bewertung der Rechtskonformität der Regeln der Plattform und der Frage, ob sie im Widerspruch zu Gesetzen und Verwaltungsvorschriften stehen;
(ii) Bewertung der Fairness und Unparteilichkeit der Regeln der Plattform und der Frage, ob es Elemente gibt, die gegen den Grundsatz des fairen Wettbewerbs, den Grundsatz der Ehrlichkeit und des Vertrauens sowie gegen die öffentliche Ordnung und die guten Sitten verstoßen, z. B. solche, die in böser Absicht konkurrieren und die Rechte und Interessen der Verbraucher beeinträchtigen;
(c) Bewertung der Wirksamkeit der Bestimmungen zum Schutz personenbezogener Daten in den Plattformregeln, ob die Rechte und Pflichten der Plattform und der Anbieter von Produkten oder Diensten innerhalb der Plattform zum Schutz personenbezogener Daten angemessen definiert sind, ob das Verhalten der Plattformbetreiber im Umgang mit personenbezogenen Daten geregelt ist und ob die Pflichten der Plattformbetreiber zum Schutz personenbezogener Daten eindeutig sind;
(d) Kontrolle der Umsetzung der Regeln der Plattform und Überprüfung, auch durch Stichproben, ob die Regeln der Plattform tatsächlich umgesetzt werden.
Artikel 30 Die Betreiber großer Internetplattformen überwachen die Verarbeitung personenbezogener Daten durch Produkt- oder Dienstleistungsanbieter auf ihren Plattformen. Bei der Prüfung konzentrieren sie sich auf die Überprüfung der folgenden Punkte:
(a) ob sie regelmäßig die Rechtmäßigkeit und Angemessenheit der Regeln für den Umgang mit personenbezogenen Daten von Produkt- oder Dienstleistungsanbietern auf der Plattform überprüft;
(ii) ob sie den Umgang mit personenbezogenen Daten durch Produkt- oder Dienstleistungsanbieter auf der Plattform regelmäßig auf die Einhaltung von Gesetzen und Verwaltungsvorschriften hin überprüft;
(c) ob die Plattform die Erbringung von Dienstleistungen für Produkt- oder Dienstleistungsanbieter, die personenbezogene Daten unter schwerwiegender Verletzung von Gesetzen und Verwaltungsvorschriften verarbeiten, unverzüglich einstellt.
Artikel 31 Die Betreiber großer Internetplattformen veröffentlichen jährlich einen Bericht über die soziale Verantwortung für den Schutz personenbezogener Daten. Bei der Prüfung konzentrieren sie sich darauf, die Offenlegung der folgenden Inhalte des Berichts über die soziale Verantwortung zu überprüfen:
(i) Organisationsstruktur und interne Verwaltung des Schutzes personenbezogener Daten;
(ii) Aufbau von Kapazitäten für den Schutz personenbezogener Daten;
(iii) Maßnahmen zum Schutz personenbezogener Daten und deren Wirksamkeit;
(iv) Zulässigkeit von Anträgen auf Ausübung der individuellen Rechte;
(v) Leistung der unabhängigen Aufsichtsbehörde;
(vi) Umgang mit schwerwiegenden Sicherheitsvorfällen bei personenbezogenen Daten;
(vii) Andere durch Gesetze und Verwaltungsvorschriften festgelegte Fälle.
Originalartikel von Compliance Requirements, bei Vervielfältigung bitte angeben: https://cncso.com/de/schutz-personenbezogener-daten-compliance-audit-management-html
