November 1-jén lép hatályba Kínában a személyes adatok védelméről szóló törvény, a Personal Information Protection Law (PIPL). A Taylor Wessing ügyvédi iroda szakértői szerint a törvény kétségkívül komoly hatással lesz valamennyi, Kínával üzleti kapcsolatban álló nemzetközi cégre.
A PIPL – a GDPR-hoz hasonlóan – határon átnyúló hatállyal rendelkezik, így annak szabályai kötelezők valamennyi olyan Kínán kívüli adatkezelőre nézve is, akiknél az adatkezelés célja a kínai polgárok részére áruk és szolgáltatások nyújtása vagy természetes személyek Kínán belüli tevékenységének az elemzése, profilozása.
Ugyanakkor a PIPL sajátos kínai színezetet ölt: egy sejtelmes tartalmú további kiegészítéssel a PIPL hatálya tovább is nyúlhat egyes törvényben, közigazgatási rendelkezésekben rögzített „egyéb körülmények” esetén is. Ez megteremti a lehetőségét annak, hogy Kína önkényesen további esetkörökre is kiterjeszthesse a PIPL alkalmazását, amely bizonytalan környezetet eredményez a Kínával nemzetközi kapcsolatokat ápoló külföldi cégek részére - írta közleményében az ügyvédi iroda.
Hasonlóképpen aggasztó, hogy a GDPR eleve rendkívül magas bírságolási rátáját is felülmúlja a kínai rezsim. Míg a GDPR az előző évi árbevétel 2, illetve 4 százalék mértékű bírságolási mértékkel operál, addig a PIPL a vállalat előző évi forgalmának 5 százalékáig terjedő adatvédelmi bírság kiszabására ad lehetőséget
– figyelmeztet Kopasz János adatvédelmi szakértő.
A Kínával kapcsolatban álló európai adatkezelőkre komoly terhet róhat, hogy a GDPR-ból ismert hatásvizsgálatok dokumentálása és a megfelelő szervezeti technikai intézkedések kiépítése mellett további többletkötelezettségként jelenik meg, hogy adatkezeléseiket rendszeresen auditáltatni kell a kínai adatvédelmi hatósággal.
Az állami szerveknek kötelező a személyes adatokat Kínán belül tárolniuk és csak rendkívül kivételes körülmények között, külön engedéllyel kerülhet sor az adatok exportálására az állami felügyeleti szervek közreműködésével végzett biztonsági kockázatértékelést követően. A nem állami szervek esetén is szigorú korlátok közé szorították az adattovábbításokat.
A GDPR-ból ismert elven túlmenően, miszerint a Kínán kívülre történő adatokat ugyanolyan védelemben kell részesíteni, mint a Kínán belül megvalósuló adatkezelések során, az adattovábbítás előtt az érintetteket külön tájékoztatni kell az adattovábbításról és be kell kérni a hozzájárulásukat. „Az adattovábbítások kapcsán további adalék, hogy a kínai polgárok jogait és érdekeit sértő vagy Kína nemzetbiztonságát vagy közérdekét veszélyeztető módon adatkezelést végző külföldi szervezetek egy nyilvánosan elérhető „feketelistára” kerülhetnek. A lista szereplői Kínából exportált adatok fogadásában nem vehetnek részt” – teszi hozzá Kopasz.
A GDPR szerinti adattovábbítás értékelésén túlmenően azonban már a PIPL szabályai közötti magabiztos eligazodás is nélkülözhetetlenné válik 2021. november 1-től a Kínába történő adattovábbítások során.
Egy globális vállalat tehát könnyen határokon átnyúló adatvédelmi jogszabályok kereszttüzében találhatja magát. Ilyen esetben komoly felkészültséget igényel annak biztosítása, hogy adatkezelései és adatvédelmi dokumentumai megfeleljenek például a CCPA, GDPR, PIPL rendelkezéseinek - írták a Taylor Wessing szakértői.