The Personal Information Protection Law, czyli ochrona danych osobowych w Chinach – porównanie z RODO

pexels-markus-spiske-1089438
Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Spis treści

Planowane od dawna zmiany w przepisach dotyczących ochrony danych osobowych w Chinach wchodzą w końcu w życie. 20 sierpnia 2021r. Chiński Narodowy Kongres Ludowy uchwalił odpowiednik europejskiego RODO – The Personal Information Protection Law (PIPL). Nowe przepisy wejdą w życie lada chwila bo już 1 listopada 2021r.

Nie jest tajemnicą, że chiński odpowiednik RODO mocno wzoruje się na swym europejskim starszym koledze. Poniżej przedstawiamy syntetyczną analizę różnic i podobieństw RODO i jego chińskiego odpowiednika PIPL.

Nasze artykuły o prawie chińskim:

  1. Prawo Chińskie – niezbędne wprowadzenie
  2. Umowa o zachowaniu poufności NDA/NNN z partnerem chińskim
  3. Ochrona marki w Chinach – znak towarowy
  4. Odmowa rejestracji znaku towarowego w Chinach – co zrobić?

1. Cele regulacji

Podobnie jak w europejskim RODO podstawowym celem chińskiej ustawy o ochronie danych osobowych jest ochrona praw i interesów osób fizycznych w zakresie danych osobowych, regulowanie czynności ich przetwarzania oraz uregulowanie przepływu danych osobowych. Nic zaskakującego oczywiście. 

2. Ochrona interesów państwowych

PIPL, inaczej niż znane dotychczasowe światowe regulacji w zakresie ochrony danych osobowych, dotyka również materii z zakresu bezpieczeństwa narodowego.

Ustawa potwierdza zdecydowaną postawę Chin wobec ich cyfrowej suwerenności, przewiduje stworzenie niechlubnej listy podmiotów, które zagrażają bezpieczeństwu narodowemu lub naruszają prawa w zakresie danych osobowych obywateli Chińskiej Republiki Ludowej. Transfer danych chińskich obywateli do podmiotów znajdujących się na tej liście będzie ograniczony lub nawet zabroniony. Kraje lub regiony, które podejmą się działań niezgodnych z chińskimi regulacjami będą narażone na chińskie działania odwetowe. 

PIPL jasno deklaruje aktywny udział Chin w ustalaniu światowych standardów z zakresu ochrony danych osobowych, czego przejawem jest również bardzo wyraźne wzorowanie chińskiej regulacji na europejskim RODO. 

3. Definicja danych osobowych

Definicja danych osobowych w PIPL jest w swym wydźwięku bardzo podobna do szeroko rozumianej definicji RODO. Według PIPL dane osobowe to ,,wszystkie rodzaje elektronicznych lub w inny sposób zarejestrowanych informacji dotyczących zidentyfikowanej lub mogącej być zidentyfikowaną osoby fizycznej, z wyłączeniem informacji zanonimizowanych.”

4. Zgoda na przetwarzanie danych

Zasadniczo PIPL wskazuje, że bez wyraźnej wyrażonej wprost zgody przetwarzanie danych osobowych nie jest możliwe. 

Odmiennie niż w RODO uregulowane zostały wyjątki w zakresie wyrażania zgody na przetwarzanie danych osobowych. Te wyjątki to są cele związane z przetwarzaniem danych w zakresie ustawowych zadań i obowiązków, niezbędnych do ochrony życia, zdrowia a także mienia i w rozsądnym zakresie przetwarzanie danych przez dziennikarzy i media dla dobra publicznego. 

5. Lista poufnych i wrażliwych danych

Różnica między PIPL a RODO uwidacznia się w kontekście definicji danych wrażliwych oraz ich katalogu.

W RODO lista danych wrażliwych jest zamkniętym katalogiem (at. 9 RODO) zaś PIPL posiada otwarty katalog danych osobowych, które po ujawnieniu lub nielegalnie wykorzystane mogą powodować dyskryminację lub szkodę dla bezpieczeństwa osoby lub jej mienia.

Art. 28 PIPL zawiera otwartą listę danych wrażliwych m.in. to informacje o rasie, pochodzeniu, religii, biometria, stan zdrowia, finansach, śledzenie lokalizacji. Dla tych danych PIPL wprowadza obowiązek posiadania zgody wyrażonej wprost na ich przetwarzanie. 

6. Przetwarzanie danych

Rozwiązania zawarte w PIPL w zakresie procesu przetwarzania są bardzo podobne do europejskiego RODO.

Art. 4 w swej treści informuje, że obsługa informacji osobowych to ,,zbieranie, przechowywanie, wykorzystywanie, przetwarzanie, przesyłanie, dostarczanie, publikowanie i inne tego typu czynności” na danych osobowych.

Dalej PIPL informuje, że przed zebraniem danych muszą istnieć zgodne z prawem podstawy ich przetwarzania.

7. Administratorzy, współadministratorzy i podmioty przetwarzające

Jeśli podmiot zajmuje się przetwarzaniem danych osobowych i samodzielnie określa cele i środki obsługi danych osobowych staje się administratorem. Obowiązki, zadania i prawa administratorów, współadministratorów oraz relacje administrator – podmiot przetwarzający, w PIPL określone są bardzo podobnie do europejskiego RODO. 

8. Dane wykorzystywane prywatnie i publicznie

Obie regulacje nie mają zastosowania do przetwarzania danych osobowych w sprawach osobistych i rodzinnych. 

Chińskie przepisy o ochronie danych osobowych podobnie jak RODO mają zastosowanie w sektorze publicznym, jak i prywatnym. 

Chińska administracja zobowiązana jest przestrzegać szczegółowo określone zasady i wytyczne określone w PIPL tj. uzyskiwanie zgody, powiadomienie o przetwarzaniu, przechowywaniu, przekazywaniu za granicę itd. Katalog obowiązków w zakresie ochrony danych osobowych dla podmiotów administracji publicznej jest bardzo podobny do regulacji RODO. 

Porozmawiaj z ekspertem

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.

Skorzystaj z formularza lub napisz bezpośrednio na mojego maila a.szczudlo@creativa.legal

Administratorem Twoich danych osobowych będzie kancelaria Creativa Legal sp.p. Przeczytaj więcej w naszej Polityce prywatności.

9. Dzieci w RODO i PIPL

Zarówno w europejskiej regulacji, jak i w chińskiej, szczególną uwagę poświęca się ochronie danych osobowych dzieci. Chiny w ostatnim czasie mocno skoncentrowały się nad ochroną młodszej części swojego społeczeństwa. Przejawem tego jest również PIPL i surowsze zasady dotyczące przetwarzania danych dzieci. Podmiot zajmujący się przetwarzaniem danych dzieci poniżej 14 roku życia musi uzyskać zgodę rodziców.

Prawodawca unijny odmiennie określa granicę wiekową wskazując, iż małoletni powyżej 16. roku życia uprawniony jest do samodzielnego decydowania o przetwarzaniu jego danych osobowych w związku z czym traktowany jest on niczym dorosły.

10. Dane osobowe a śmierć osoby – prawa osób fizycznych w zakresie danych osobowych. 

W przypadku RODO europejski prawodawca uznał, że śmierć osoby kończy możliwość naruszenia jego praw w zakresie danych osobowych. W art. 49 PIPL informuje, że prawa osób fizycznych w zakresie danych osobowych wykraczają poza śmierć osoby i mogą być wykonywane przez bliskich krewnych, chyba że zmarły postanowił inaczej. 

Pozostałe prawa kształtują się bardzo podobnie w obu regulacjach i obejmują prawo do poznania, decydowania, odmowy i ograniczenia przetwarzaniach. Ponadto osoby fizyczne posiadają prawo dostępu, kopiowania, poprawiania i uzupełniania danych w odpowiednim czasie. Oczywiście osoby te posiadają również prawo do usunięcia danych i wyjaśniania zasad postępowania z nimi. 

11. Kary i odszkodowania za naruszenia

Podobnie jak europejska regulacja PIPL przewiduje kary za naruszenia praw i zasad przetwarzania danych osobowych. Ustawa przewiduje konfiskatę nielegalnego dochodu, kary administracyjne, odpowiedzialność karną oraz zawiera mechanizm otrzymywania odszkodowania z tytułu naruszenia PIPL od podmiotów zajmujących się przetwarzaniem danych. 

W chińskiej regulacji (podobnie jak w europejskim RODO) wskazuje w art. 42, że organy regulacyjne mogą podejmować działania wobec podmiotów spoza Chin, które naruszają prawa chińskich obywateli. 

Podsumowując należy uznać, że chińska regulacja w zakresie ochrony danych osobowych mocno wzoruje się na rozwiązaniach unijnych, co myślę, że stanowi dobry początek na uregulowanie tej przestrzeni w Chinach. Oczywiście należy brać pod uwagę politykę oraz różnice kulturowe, nie mówiąc już o „ciężkim” stosowaniu prawa. 

Artykuł powstał przy współpracy zespołu kancelarii Creativa.

W czym mogę Ci pomóc?

Arkadiusz Szczudło

Jestem adwokatem, wspólnikiem w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym.

Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain.

Pomagam przedsiębiorcom m.in. w sporządzaniu umów i regulaminów ochronie danych osobowych i własności intelektualnej oraz prawie reklamy i mediów. Wspieram w zwalczaniu nieuczciwej konkurencji – w tym na rynku chińskim.

Chcesz porozmawiać o swoich bolączkach?
Napisz do mnie na a.szczudlo@creativa.legal lub skorzystaj z przycisku poniżej i wypełnij formularz. Sprawdź, czy możemy pomóc w rozwoju Twojego biznesu.

Subskrybuj newsletter
i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Nowe zmiany prawa dla e-commerce
od stycznia 2023!

Jeżeli prowadzisz lub zarządzasz sklepem internetowym, musisz być z nami. Weź udział w bezpłatnym szkoleniu, już 13 grudnia o 19:00!

Dowiedz się, jakie zmiany czekają na Ciebie – oraz jak się prosto, szybko i tanio do nich dostosować! Otrzymasz od nas gotowe rozwiązania!