Zakon o varstvu osebnih podatkov po kitajsko

Zakon o varstvu osebnih podatkov (PIPL) je Kitajska sicer sprejela že avgusta, v veljavo pa je stopil s 1. novembrom. Velja za vsa podjetja, ki želijo poslovati na Kitajskem, ne glede na to, ali imajo sedež v državi ali ne. Kitajska sicer o tovrstnem zakonu govori že vsaj od leta 2015, vendar bo sedanji PIPL nekoliko bolj vključeval vse osebne podatke in, kar je še pomembneje, zdaj bo obvezen.

GDPR skozi kitajsko prizmo

Na prvi pogled PIPL povzema številne enake predpise, ki jih je prinesla Splošna uredba EU o varstvu podatkov (GDPR), ki je začela veljati maja 2018. PIPL prav tako vključuje enaka načela in strukturo delovanja kot GDPR, vključno z upravljavci, obdelovalci, pravno podlago za obdelavo, varnostnimi ukrepi, organizacijskimi ukrepi, obveščanjem o kršitvah in drugo.

Kitajska brez usmiljenja nad tehnološke velikane

Razlika je v tem, da v primeru Kitajske ne bo neodvisnih organizacij za nadzor, je v sodelovanju s soavtorjem na spletni strani VentureBeat navedla Isabelle Hajjar, vodja oddelka za kibernetsko varnost in zasebnost v podjetju TekID, ki se ukvarja z digitalnimi tveganji in varnostjo.

Foto: Getty Images

Če PIPL določa nadzorne organe, ti niso neodvisni od države, pojasnjuje Hajjarova. V tem pogledu je PIPL skladen s prejšnjimi zakoni, kot je kitajski zakon o kibernetski varnosti. Podobno kot GDPR bodo morale organizacije, ki obdelujejo več kot določen obseg osebnih podatkov, zaposliti pooblaščeno osebo za varstvo podatkov za nadzor nad varstvom podatkov. Zanje bodo veljale strožje obveznosti v zvezi z nekaterimi dejavnostmi, med drugim s čezmejnimi prenosi osebnih podatkov.

Čeprav Kitajska še ni objavila, kakšen bo prag za obvezno zaposlitev pooblaščene osebe za varstvo podatkov, osnutek ukrepov za varnostno oceno čezmejnih podatkov, ki ga je 29. oktobra objavila kitajska uprava za kibernetski prostor (CAC), daje nekaj vpogleda.

Praznični nakupi rešujejo kitajsko gospodarstvo

Ti ukrepi bodo namreč med drugim vsakemu čezmejnemu upravljavcu, ki kumulativno obdeluje osebne podatke več kot 100.000 kitajskih prebivalcev ali občutljive osebne podatke več kot 10.000 kitajskih prebivalcev, naložili, da kitajskim organom v odobritev predloži samooceno varnosti takega čezmejnega prenosa podatkov. Z drugimi besedami; prag je precej nizek, zato bodo čezmejni prenosi osebnih podatkov pod strogim nadzorom.

Kitajci so pri uveljavljanju zakonov strogi

Mnogim podjetjem je do zdaj v bistvu že uspelo, da so skladna z uredbo GDPR. Po navedbah strokovnjakov pa je veliko manj verjetno, da bo Kitajska tolerirala podjetja, ki bodo zaobšla pravila ali pa bodo vložila le minimalno zahtevo, posledice pa bi lahko bile precej hude. Poleg astronomsko visokih glob lahko neskladnim organizacijam začasno odvzamejo poslovno dovoljenje ali pa v celoti zaprejo podjetje. »Posledice na Kitajskem in po vsem svetu bodo velike,« piše Hajjarova.

Kitajski predsednik Xi Jinping, Peking, Kitajska, 11. november 2021. Foto: Carlos Garcia Rawlins / Reuters

Kitajski organi bodo pri uveljavljanju tega zakona, glede na dosedanje izkušnje, verjetno strogi. Poleg tega smo priča krepitvi uveljavljanja vseh zakonov, povezanih s kibernetsko varnostjo, varnostjo podatkov in obdelavo podatkov. Kitajska vlada namreč želi, da bi jo dojemali kot zelo zaščitniško do osebnih podatkov.

Podjetja, ki so že skladna z uredbo GDPR, bodo občutila manjši vpliv kot druga, vendar bo to vseeno imelo velik vpliv na našo vse bolj globalno družbo. »Če se katerikoli del vašega poslovanja kakorkoli dotika Kitajske, morate upoštevati ta zakon,« pravi Hajjarova. Vsaka kršitev zakona PIPL lahko povzroči upravno kazen v višini do sedem milijonov evrov ali pet odstotkov prometa obdelovalca v preteklem letu.

Litva poziva državljane, naj zavržejo Xiaomi telefone

Ena posebna določba zakona poziva tuje vlade k posebni obravnavi: »Če [tuje države] sprejmejo ukrepe proti Kitajski na področju osebnih podatkov, lahko Kitajska sprejme povračilne ukrepe.« Takšne določbe so lahko neposreden odgovor na Trumpovo trgovinsko vojno s Kitajsko. Gre za vseobsegajočo določbo, ki drugim državam omogoča le malo vpogleda ali nadzora nad tem, kaj Kitajska šteje za »diskriminatorno«. Na koncu bi to lahko vplivalo na pretok informacij, ki so ključnega pomena pri mednarodnem poslovanju.

Hajjarova pravi, da se zakon PIPL pripravlja že dolgo in zagotovo ne bo zadnji digitalni predpis, ki smo mu priča na Kitajskem. Za vse organizacije je izjemno pomembno, da se uskladijo s pravili takšnih novih predpisov.