Početna Blog Personal Information Protection Law (PIPL) – novi kineski zakon o zaštiti osobnih podataka

Personal Information Protection Law (PIPL) – novi kineski zakon o zaštiti osobnih podataka

Svi članci
31.08.2021.

Kineski Nacionalni Narodni Konges prošlog je tjedna odobrio novi zakon o zaštiti osobnih podataka: Personal Information Protection Law (PIPL), kojeg možemo usporediti s GDPR -om. Nova pravila pojašnjavaju kako međunarodna poduzeća mogu koristiti podatke kineskih državljana, kažu stručnjaci, no ostaje za vidjeti kako će ih kineske vlasti tumačiti i provoditi.

PIPL, koji će stupiti na snagu u studenom, treći je stup režima regulacije tehnologije koji Kina razvija dugi niz godina. Zakon o kibernetičkoj sigurnosti 2017. godine postavio je temelje za režim, ali je neka područja ostavio nejasnima. Ranije ove godine, Zakon o sigurnosti podataka definirao je novi sigurnosni okvir koji tvrtke moraju implementirati. PIPL, koji će stupiti na snagu u studenom, posebno pokriva uporabu osobnih podataka čime će Kina konačno imati gotovo sveobuhvatan zakon.

PIPL se uspoređuje s GDPR -om i zasigurno ima neke sličnosti. Na primjer, usredotočuje se na pristanak kao pravnu osnovu za korištenje osobnih podataka, oba se propisa primjenjuju "izvanteritorijalno", što znači da se primjenjuju na podatke svojih građana gdje god se oni obrađuju ili nalaze. To znači da će gotovo svakoj velikoj korporaciji u svijetu trebati strategija usklađenosti s kineskim PIPL-om.

Sličnosti s GDPR -om nisu slučajnost, budući da su se kineski zakonodavci inspirirali regulacijama EU -a i SAD-a u izradi PIPL -a. Navedeno je više motivirano efikasnošću negoli zajedničkim idealima. Kineska potreba da regulira uporabu osobnih podataka manje se odnosi na zaštitu prava pojedinaca na privatnost, kako se to shvaća na Zapadu, bitnije je da se time čuva nacionalna sigurnost i društveni poredak.

Iako se PIPL odnosi na državna tijela i na organizacije iz privatnog sektora, ostaje pitanje o tome u kojoj će se mjeri državni organi uistinu morati pridržavati odredbi tog zakona.

Istina je da se neka načela u PIPL-u mogu činiti sličnima obvezama usklađenosti prema GDPR -u i zakonima o podacima (privatnosti) u drugim dijelovima Azije; te da su kineske vlasti zasigurno proučavale zakone o zaštiti podataka iz cijelog svijeta pri izradi PIPL -a, međutim, u praksi će se obveze usklađenosti s PIPL-om vjerojatno tumačiti i provoditi drugačije od načela zaštite podataka drugdje u svijetu.

Tvrtke moraju razumjeti ne samo ono što kaže PIPL (i drugi zakoni i propisi o podacima u Kini), već i stavove kineskih vlasti, poduzeća i potrošača prema upotrebi i zaštiti podataka i prioritete lokalne provedbe pri procjeni rizika usklađenosti i razvoja programa usklađenosti.

 

Utjecaj kineskog PIPL-a na međunarodna poduzeća

Jedan od neposrednih utjecaja koje će PIPL imati na međunarodna poduzeća koja prikupljaju i obrađuju podatke kineskih građana jest to što od njih zahtijeva da imenuju predstavnika ili drugu osobu unutar zemlje kako bi osigurali i omogućili usklađenost. To će povećati troškove usklađenosti, posebno za mala i srednja poduzeća.

PIPL također uvodi nova pravila koja reguliraju prekogranični prijenos osobnih podataka. Zakon pojašnjava da se podaci građana mogu prenositi preko granice ako su ispunjeni određeni uvjeti. No ako se radi o većoj količini prenesenih podataka, tu ulaze stroža zakonska ograničenja.

 

Novi kineski PIPL sadrži neke jedinstvene zahtjeve za izvoz podataka iz Kine. Postoje ograničenja vezana za izvoz osobnih podataka iz Kine, a prije prijenosa podataka potrebna je procjena utjecaja na privatnost. Oba su zahtjeva jedinstvena na globalnoj razini, a usklađenost bi mogla biti opterećujuća za neke tvrtke.

Kao odgovor na raniji nacrt zakona, projekt DigiChina (više informacija pronađite ovdje: https://www.newamerica.org/cybersecurity-initiative/digichina/blog/personal-data-global-effects-chinas-draft-privacy-law-in-the-international-context/ identificirao je tri rizika usklađenosti koje PIPL predstavlja za međunarodne tvrtke.

Prvi, uloge koje su utvrđene u zakonu.

"Nacrt PIPL -a koristi drugačiji, ali preklapajući rječnik [prema GDPR -u], pozivajući se na ono što je kineska praksa ranije nazivala voditeljima obrade osobnih podataka kao „chǔlǐzhě“.  Ne samo da se izraz promijenio, već se izraz „chǔlǐzhě“ inače na kineskom koristio kao "izvršitelji obrade" u smislu GDPR -a. "

Drugo, za razliku od GDPR -a, PIPL ne uspostavlja neovisno tijelo za provedbu pravila. Kineska uprava za kibernetički prostor (CAC) "provodi, a ujedno stvara i politike".

I treće, određene mjere u PIPL -u otvaraju vrata "recipročnim mjerama protiv bilo koje zemlje koja usvoji diskriminatorne mjere prema Kini, pružajući pravnu osnovu za gušenje konkurenata", upozorio je DigiChina. Međunarodne tvrtke koje koriste podatke kineskih državljana stoga bi mogle postati "mete" u geopolitičkim borbama.

No, nisu sve loše vijesti.

PIPL pruža korisne smjernice međunarodnim tvrtkama pojašnjavajući pravnu osnovu prema kojoj mogu koristiti osobne podatke. U većini slučajeva, tvrtke moraju dobiti pristanak ispitanika prije korištenja njihovih podataka i obavijestiti ih kako će se koristiti. Postoje neke iznimke, kao što su hitni slučajevi ili ispunjavanje ugovornih obveza.

Ovo pojašnjenje pomoći će tvrtkama da odluče u kojoj mjeri mogu, na primjer, ponovno koristiti postojeće obavijesti o privatnosti.

PIPL također nudi priliku globalnim tvrtkama da pokažu svoju predanost zaštiti podataka. Usklađenost će kineskim potrošačima pokazati da su tvrtke odgovorne za način na koji prikupljaju i koriste podatke ispitanika, pa je to koristan način za izgradnju povjerenja kupaca i konkurentske prednosti.

Kako će Kina provoditi PIPL?

Ostaje za vidjeti koliko će brzo CAC primijeniti nova pravila i koji će mu biti prioriteti. Hoće li već u studenom provjeriti obavijest o privatnosti svake web stranice? Ili će pregledati svaki ugovor koji imate s inozemnim primateljima kada šaljete osobne podatke?

Ne očekuje da će sve tvrtke biti u potpunosti usklađene do početka primjene pravila 1. studenog. Ostaje nejasno kako bi se neke odredbe mogle provesti, s obzirom na nedostatak detalja u nekim područjima - kao što je ono što čini veliku količinu podataka na koju se odnose stroža ograničenja. Tvrtke bi trebale nastojati implementirati ​​zakon što je prije moguće, ali i pripremiti se na nove prilagodbe ovisno o tome kako će se u praksi tumači pojedine odredbe.

Bez obzira na to kako će se provoditi, očekuje se da će PIPL imati značajan utjecaj na prakse zaštite podataka u Aziji. Iako se ne predviđa da će druge jurisdikcije u Aziji žuriti ažurirati svoje zakone o privatnosti podataka kako bi se uskladile s PIPL-om. Predviđa se da će Kina imati važniju ulogu u pitanjima zaštite podataka u azijsko-pacifičkoj regiji, djelomično zato što je kineski okvir zaštite podataka - i kulturni stav prema osobnim podacima u Kini - više usklađen s onima diljem Azije, te zato što PIPL predstavlja obvezu poštivanja privatnosti podataka u regiji, a sve češće se vidi kako organizacije usvajaju regionalni pristup usklađenosti podataka.

Što se tiče prava ispitanika, u nastavku možete vidjeti usporedbu GDPR-a i PIPL-a.

Više informacija pronađite ovdje!

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.