Planowane od dawna zmiany w przepisach dotyczących ochrony danych osobowych w Chinach wchodzą w końcu w życie. 20 sierpnia 2021r. Chiński Narodowy Kongres Ludowy uchwalił odpowiednik europejskiego RODO – The Personal Information Protection Law (PIPL). Nowe przepisy wejdą w życie lada chwila bo już 1 listopada 2021r.
Nie jest tajemnicą, że chiński odpowiednik RODO mocno wzoruje się na swym europejskim starszym koledze. Poniżej przedstawiamy syntetyczną analizę różnic i podobieństw RODO i jego chińskiego odpowiednika PIPL.
Nasze artykuły o prawie chińskim:
- Prawo Chińskie – niezbędne wprowadzenie
- Umowa o zachowaniu poufności NDA/NNN z partnerem chińskim
- Ochrona marki w Chinach – znak towarowy
- Odmowa rejestracji znaku towarowego w Chinach – co zrobić?
1. Cele regulacji
Podobnie jak w europejskim RODO podstawowym celem chińskiej ustawy o ochronie danych osobowych jest ochrona praw i interesów osób fizycznych w zakresie danych osobowych, regulowanie czynności ich przetwarzania oraz uregulowanie przepływu danych osobowych. Nic zaskakującego oczywiście.
2. Ochrona interesów państwowych
PIPL, inaczej niż znane dotychczasowe światowe regulacji w zakresie ochrony danych osobowych, dotyka również materii z zakresu bezpieczeństwa narodowego.
Ustawa potwierdza zdecydowaną postawę Chin wobec ich cyfrowej suwerenności, przewiduje stworzenie niechlubnej listy podmiotów, które zagrażają bezpieczeństwu narodowemu lub naruszają prawa w zakresie danych osobowych obywateli Chińskiej Republiki Ludowej. Transfer danych chińskich obywateli do podmiotów znajdujących się na tej liście będzie ograniczony lub nawet zabroniony. Kraje lub regiony, które podejmą się działań niezgodnych z chińskimi regulacjami będą narażone na chińskie działania odwetowe.
PIPL jasno deklaruje aktywny udział Chin w ustalaniu światowych standardów z zakresu ochrony danych osobowych, czego przejawem jest również bardzo wyraźne wzorowanie chińskiej regulacji na europejskim RODO.
3. Definicja danych osobowych
Definicja danych osobowych w PIPL jest w swym wydźwięku bardzo podobna do szeroko rozumianej definicji RODO. Według PIPL dane osobowe to ,,wszystkie rodzaje elektronicznych lub w inny sposób zarejestrowanych informacji dotyczących zidentyfikowanej lub mogącej być zidentyfikowaną osoby fizycznej, z wyłączeniem informacji zanonimizowanych.”
4. Zgoda na przetwarzanie danych
Zasadniczo PIPL wskazuje, że bez wyraźnej wyrażonej wprost zgody przetwarzanie danych osobowych nie jest możliwe.
Odmiennie niż w RODO uregulowane zostały wyjątki w zakresie wyrażania zgody na przetwarzanie danych osobowych. Te wyjątki to są cele związane z przetwarzaniem danych w zakresie ustawowych zadań i obowiązków, niezbędnych do ochrony życia, zdrowia a także mienia i w rozsądnym zakresie przetwarzanie danych przez dziennikarzy i media dla dobra publicznego.
5. Lista poufnych i wrażliwych danych
Różnica między PIPL a RODO uwidacznia się w kontekście definicji danych wrażliwych oraz ich katalogu.
W RODO lista danych wrażliwych jest zamkniętym katalogiem (at. 9 RODO) zaś PIPL posiada otwarty katalog danych osobowych, które po ujawnieniu lub nielegalnie wykorzystane mogą powodować dyskryminację lub szkodę dla bezpieczeństwa osoby lub jej mienia.
Art. 28 PIPL zawiera otwartą listę danych wrażliwych m.in. to informacje o rasie, pochodzeniu, religii, biometria, stan zdrowia, finansach, śledzenie lokalizacji. Dla tych danych PIPL wprowadza obowiązek posiadania zgody wyrażonej wprost na ich przetwarzanie.
6. Przetwarzanie danych
Rozwiązania zawarte w PIPL w zakresie procesu przetwarzania są bardzo podobne do europejskiego RODO.
Art. 4 w swej treści informuje, że obsługa informacji osobowych to ,,zbieranie, przechowywanie, wykorzystywanie, przetwarzanie, przesyłanie, dostarczanie, publikowanie i inne tego typu czynności” na danych osobowych.
Dalej PIPL informuje, że przed zebraniem danych muszą istnieć zgodne z prawem podstawy ich przetwarzania.
7. Administratorzy, współadministratorzy i podmioty przetwarzające
Jeśli podmiot zajmuje się przetwarzaniem danych osobowych i samodzielnie określa cele i środki obsługi danych osobowych staje się administratorem. Obowiązki, zadania i prawa administratorów, współadministratorów oraz relacje administrator – podmiot przetwarzający, w PIPL określone są bardzo podobnie do europejskiego RODO.
8. Dane wykorzystywane prywatnie i publicznie
Obie regulacje nie mają zastosowania do przetwarzania danych osobowych w sprawach osobistych i rodzinnych.
Chińskie przepisy o ochronie danych osobowych podobnie jak RODO mają zastosowanie w sektorze publicznym, jak i prywatnym.
Chińska administracja zobowiązana jest przestrzegać szczegółowo określone zasady i wytyczne określone w PIPL tj. uzyskiwanie zgody, powiadomienie o przetwarzaniu, przechowywaniu, przekazywaniu za granicę itd. Katalog obowiązków w zakresie ochrony danych osobowych dla podmiotów administracji publicznej jest bardzo podobny do regulacji RODO.
Porozmawiaj z ekspertem
Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.
Napisz do mnie poprzez poniższy formularz i umów się na rozmowę.
Uzupełnij poniższy formularz, jeżeli np.:
- masz pytania z zakresu o którym pisałem w tym artykule,
- szukasz najlepszego rozwiązania dla swojego problemu,
- chcesz wiedzieć, jak wygląda współpraca z nami, terminy oraz koszty.
Pierwszy kontakt jest bezpłatny i ma on na celu ustalenie zakresu potencjalnej naszej pomocy oraz Twoich pytań i wątpliwości.
Po przesłaniu formularza skontaktujemy się z Tobą w ciągu 24h w celu ustalenia dalszych szczegółów.
Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.
9. Dzieci w RODO i PIPL
Zarówno w europejskiej regulacji, jak i w chińskiej, szczególną uwagę poświęca się ochronie danych osobowych dzieci. Chiny w ostatnim czasie mocno skoncentrowały się nad ochroną młodszej części swojego społeczeństwa. Przejawem tego jest również PIPL i surowsze zasady dotyczące przetwarzania danych dzieci. Podmiot zajmujący się przetwarzaniem danych dzieci poniżej 14 roku życia musi uzyskać zgodę rodziców.
Prawodawca unijny odmiennie określa granicę wiekową wskazując, iż małoletni powyżej 16. roku życia uprawniony jest do samodzielnego decydowania o przetwarzaniu jego danych osobowych w związku z czym traktowany jest on niczym dorosły.
10. Dane osobowe a śmierć osoby – prawa osób fizycznych w zakresie danych osobowych.
W przypadku RODO europejski prawodawca uznał, że śmierć osoby kończy możliwość naruszenia jego praw w zakresie danych osobowych. W art. 49 PIPL informuje, że prawa osób fizycznych w zakresie danych osobowych wykraczają poza śmierć osoby i mogą być wykonywane przez bliskich krewnych, chyba że zmarły postanowił inaczej.
Pozostałe prawa kształtują się bardzo podobnie w obu regulacjach i obejmują prawo do poznania, decydowania, odmowy i ograniczenia przetwarzaniach. Ponadto osoby fizyczne posiadają prawo dostępu, kopiowania, poprawiania i uzupełniania danych w odpowiednim czasie. Oczywiście osoby te posiadają również prawo do usunięcia danych i wyjaśniania zasad postępowania z nimi.
11. Kary i odszkodowania za naruszenia
Podobnie jak europejska regulacja PIPL przewiduje kary za naruszenia praw i zasad przetwarzania danych osobowych. Ustawa przewiduje konfiskatę nielegalnego dochodu, kary administracyjne, odpowiedzialność karną oraz zawiera mechanizm otrzymywania odszkodowania z tytułu naruszenia PIPL od podmiotów zajmujących się przetwarzaniem danych.
W chińskiej regulacji (podobnie jak w europejskim RODO) wskazuje w art. 42, że organy regulacyjne mogą podejmować działania wobec podmiotów spoza Chin, które naruszają prawa chińskich obywateli.
Podsumowując należy uznać, że chińska regulacja w zakresie ochrony danych osobowych mocno wzoruje się na rozwiązaniach unijnych, co myślę, że stanowi dobry początek na uregulowanie tej przestrzeni w Chinach. Oczywiście należy brać pod uwagę politykę oraz różnice kulturowe, nie mówiąc już o „ciężkim” stosowaniu prawa.
Artykuł powstał przy współpracy zespołu kancelarii Creativa.
