Augusztus 20-án elfogadásra került az új adatvédelmi törvény Kínában (Personal Information Protection Law; PIPL), amely november 1-én lép hatályba (nem hivatalos angol fordítás elérhető itt). A jogszabály az első átfogó adatvédelmi szabályozás Kínában és a korábban elfogadott kiberbiztonsági törvénnyel (amely 2017 júniusa óta hatályos) és adatbiztonsági törvénnyel (2021. szeptember 1-től hatályos) együtt ad egy szabályozási kereteket az adatok kezelése kapcsán.
Az új jogszabály (PIPL) több ponton is hasonlóságot mutat a GDPR-ral, ugyanakkor vannak nem elhanyagolható különbségek is. Az alábbiakban az új törvény néhány főbb rendelkezését foglalom össze.
1. Személyes adatok és adatkezelés
A személyes adat fogalma alá tartozik bármely, elektronikusan vagy más módon rögzített adat, amely meghatározott vagy meghatározható természetes személyre vonatkozik. Anonimizálást követően az adat nem tartozik a továbbiakban a személyes adatok körébe. (PIPL 4. cikk) Az anonimizálás fogalmát is meghatározza a jogszabály, miszerint olyan eljárást értünk ez alatt, amelynek köszönhetően az egyén többé már nem határozható meg az adat alapján és többé az adat személyes adat jellege már nem is állítható helyre (PIPL 73. cikk, 4. pont). (Megjelenik a GDPR álnevesítés fogalmához hasonló intézmény is; lásd a PIPL 73. cikk, 3. pontját.)
Adatkezelési műveleten széles értelemben a személyes adaton végzett műveletek értendők (PIPL 4. cikk, 2. mondat).
Az érzékeny (különleges) adatok fogalma magában foglalja az olyan adatokat, amelyek hozzáférhetővé válás (kiszivárgása), illetve jogellenes felhasználás esetén a természetes személy emberi méltóságát sérthetik, illetve a személyes vagy vagyoni biztonságot jelentősen károsíthatják. Többek között az alábbi adatok tartozhatnak ebbe a körbe:
- biometrikus adatok,
- vallási meggyőződésre vonatkozó adatok,
- egészségi állapotra vonatkozó adatok,
- pénzügyi helyzetre vonatkozó adatok,
- egyéni helymeghatározási adatok,
- a 14. év alatti gyermekek adatai, stb.
Az érzékeny (különleges) adatok köre tehát szélesebb, mint a GDPR alapján.
A PIPL-ben is megjelenik az adatkezelőhöz hasonló fogalom (lásd PIPL 73. cikk, 1. pont), illetve az adatfeldolgozó koncepciója is (lásd PIPL 21. cikk).
2. Területi hatály
A jogszabály a Kínán belüli adatkezelés mellet kiterjed azon Kínán kívüli adatkezelésekre is, amikor Kínán belüli természetes személy adatait kezelik és az alábbiak közül legalább az egyik feltétel megvalósul:
- az adatkezelés célja, hogy Kína területén belül termékeket vagy szolgáltatásokat nyújtsanak természetes személyek részére,
- természetes személyek Kína területén belüli tevékenységének elemzése vagy értékelése,
- jogszabályban meghatározott egyéb feltételek esetén.
A GDPR extraterritoriális hatályához hasonló megoldással találkozhatunk tehát a PIPL-ben is.
3. Adatkezelési jogalapok
Az adatkezelés jogszerűségéhez szükséges, hogy az adatkezelő megfelelő jogalappal rendelkezzen (PIPL 13. cikk), amely lehet
- hozzájárulás,
- szerződés teljesítése (ha a természetes személy a szerződő fél), illetve ha ez HR tevékenységhez szükséges,
- jogi kötelezettség teljesítése,
- közegészségügyi vészhelyzet vagy a természetes személy egészségének vagy vagyonának veszélyhelyzetben való a védelme érdekében szükséges,
- a szükséges mértékben, újságírás, illetve médiaszolgáltatások kapcsán közérdekből,
- az érintett természetes személy által közzétett, illetve egyébként jogszerűen nyilvánosságra hozott személyes adatok tekintetében, a PIPL-ben foglaltakkal összhangban,
- egyéb jogszabályban meghatározott jogalapon.
Látszik, hogy a GDPR-hoz hasonlóan több jogalap is megjelenik, részben bővítve a GDPR-ban meglévő jogalapok körét, ugyanakkor más tekintetben szűkítve, hiszen a jogos érdek koncepciója hiányzik a fentiek közül.
A hozzájárulással kapcsolatban további részletszabályokat is meghatároz a PIPL (14. és 15. cikkek), beleértve - szintén a GDPR-hoz hasonlóan a hozzájárulás visszavonásának a jogát is. Egyes esetekben külön hozzájárulás beszerzése is szükséges (pl. másik adatkezelőhöz való továbbítás esetén, érzékeny (különleges) adat kezelésekor, illetve külföldi adattovábbításhoz, lásd 25. cikk, 29. cikk, illetve 39. cikk).
4. Érintetti jogok
Az érintetti jogok köre nagyon hasonlít a GDPR-ból ismert érintetti jogokhoz, ugyanakkor az egyes jogok gyakorlásának részletes szabályai nem rendezettek a jogszabályban, így az kérdéses, hogy miként érvényesülnek majd a gyakorlatban.
(Egy jó áttekintő ábra szerepel a PIPL-ben és a GDPR-ban szereplő érintetti jogokról ebben a cikkben.)
5. Nemzetközi adattovábbítások
Az elmúlt időszak egyik EU-s slágertémája kapcsán (vö. Schrems II. ítélet és annak utóélete) különösen érdekes, hogy miként rendezi ezt a kérdést a PIPL.
A kérdést a PIPL is szabályozza (lásd a jogszabály 3. fejezetét). Abban az esetben, ha adatok Kínán kívülre történő továbbítása szükséges, akkor az alábbi négy mechanizmus egyikének alkalmazására van szükség (38. cikk):
- bizonyos esetekben (PIPL 40. cikk; kritikus információs infrastruktúra üzemeltetők és nagymértékű adatkezelések esetén) a Kínai Kiberbiztonsági Hivatal (Cyberspace Administration of China) biztonsági értékelése,
- a fogadó féllel ("adatimportőr") kötött, a megfelelő hatóság által kibocsátott általános szerződési feltételeken alapuló megállapodás megkötése alapján,
- tanúsítási mechanizmus alapján,
- egyéb jogszabályokban meghatározott feltételek szerint.
Nemzetközi szerződésekben meghatározottak szerint is sor kerülhet adattovábbításra.
A fenti négy feltétel valamelyikének való megfelelésen túl, biztosítani szükséges, hogy az adatokat az adatimportőr (fogadó fél) a PIPL-nek megfelelően kezelje, a természetes személyek megfelelő tájékoztatást kapjanak és külön hozzájárulást adjanak a továbbításhoz (lásd PIPL 39. cikk).
(A nemzetközi adattovábbítások rövidebb angol nyelvű ismertetése elérhető itt, míg részletesebb összefoglalása ebben az angol nyelvű cikkben megtalálható.)
6. Automatizált döntéshozatal
A jogszabály meghatározza az automatizált döntéshozatal fogalmát (lásd 73. cikk, 2. pont) és megállapít néhány követelményt az automatizált döntéshozatalra vonatkozóan (24. cikk). Ezek a követelmények egyrészt magukban foglalják, hogy ilyen esetben is transzparens és tisztességes eljárást kell biztosítani, beleértve azt is, hogy az ilyen megoldás alkalmazása nem vezethet ésszerűtlen különbségtételhez (pl. a kínált ára tekintetében), továbbá az érintettek - amennyiben a döntés jelentős hatással lehet rájuk - tájékoztatást kérhetnek a döntéshozatal kapcsán, és visszautasíthatják az ilyen eljárás kizárólagos alkalmazását rájuk. Abban az esetben, ha célzott marketing üzenetekhez kapcsolódóan kerül alkalmazásra a megoldás, akkor a megoldást alkalmazó szervezeteknek biztosítaniuk kell megoldást arra, hogy a személyes jellemzőket figyelembe nem vevő ajánlatot is elérhetővé tegyék vagy az érinettek elutasíthassák a személyre szabott ajánlat készítésének a lehetőségét. Automatizált döntéshozatal esetében hatásvizsgálatot is kell végezni (55.cikk).
7. Szankciók, bírság
Az előírások megsértése esetére jelentős szankciókat helyez kilátásba a jogszabály, amelyek körébe a bírság mellet olyan intézkedések is beletartoznak, mint a szolgáltatás felfüggesztése vagy a jogellenesen szerzett bevétel elkobzása. A bírság felső határa súlyos jogsértés esetén 50 millió jüan vagy az előző év árbevételének 5%-ig terjedő összeg. A jogellenes adatkezelést végző szervezeten túl a jogsértésért felelős személyek is bírságolhatók (100.000 és 1 millió jüan közötti összegben).
Jogsértés esetén kártérítési igények is előterjeszthetők, nagy számú érintett esetén közérdekű kereset is indítható az adatot kezelő szervezettel szemben.
8. A magyar cégeknek kell foglalkozniuk a PIPL-nek való megfeleléssel?
Tekintettel arra, hogy a PIPL - a GDPR-hoz hasonlóan - extraterritoriális hatállyal rendelkezik (lásd a fenti 2. pontban), így azon magyar társaságok esetében, amelyek Kína területére nyújtanak szolgáltatást vagy értékesítenek árut vagy természetes személyek Kína területén belüli tevékenységének elemzését vagy értékelését végzik, felmerül a PIPL-nek való megfelelés szükségessége. Ezen társaságok esetében mindenképpen indokolt a PIPL rendelkezéseinek való megfelelés alapos vizsgálata. Fontos, hogy a Kínán kívül letelepedett entitások, amennyiben a PIPL vonatkozik rájuk, képviseletet kell létrehozniuk Kínában vagy egy Kínában letelepedett képviselőt kell kijelölniük (PIPL 53. cikk).
Kapcsolatba kerülhetnek a PIPL alkalmazásával olyan magyar társaságok is, amelyek kínai adatkezelőktől "fogadnak" adatokat a PIPL alapján, hiszen ebben az esetben a PIPL nemzetközi adattovábbításra vonatkozó szabályaira tekintettel lehet szükséges bizonyos megfelelőségi intézkedések megtétele.
A fentiek mellett közvetett hatásként a kínai társaságoknak közvetlenül vagy akár közvetett módon beszállító vagy szolgáltatást nyújtó társaságok felé is megjelenhetnek olyan követelmények, amelyek a PIPL-nek (illetve esetleg a kínai kiberbiztonsági vagy adatbiztonsági törvényeknek) való megfelelés felé terelik ezen társaságokat, függetlenül attól, hogy hol működnek.
9. További hasznos források
- Translation: Personal Information Protection Law of the People's Republic of China (Rogier Creemers and Graham Webster, Stanford DigiChina)
- CHINA’S NEW COMPREHENSIVE DATA PROTECTION LAW: CONTEXT, STATED OBJECTIVES, KEY PROVISIONS (Hunter Dorwart, Gabriela Zanfir-Fortuna, Clarisse Girot, Future of Privacy Forum),
- Analyzing China's PIPL and how it compares to the EU's GDPR (Xu Ke, Vicky Liu, Yan Luo, Zhijing Yu, IAPP)
- China adopts national privacy law (Jedidiah Bracy, IAPP)
- International Data Transfers Under China’s Personal Information Protection Law (PIPL) (Robert Bateman, GRC World Forums)