Warszawa, 21 października 2021 r.
Opinia Głównego Eksperta ZPP ds. gospodarki cyfrowej na temat Personal Information Protection Law
Z początkiem listopada w życie wejdzie Personal Information Protection Law (PIPL), czyli chiński odpowiednik europejskiego rozporządzenia o ochronie danych osobowych (RODO). PILP w wielu aspektach przypomina RODO. Natomiast znajdziemy w nim również szereg istotnych różnic, które pokazują, że cele chińskiej ustawy są szersze niż tylko ochrona danych osobowych.
PIPL reguluje zasady zbierania i przetwarzania danych osobowych przez firmy. Zarówno RODO jak i PIPL w podobny sposób definiują podstawowe pojęcia takie jak „dane osobowe” czy „przetwarzanie danych osobowych”. Po wejściu w życie chińskiej ustawy, przetwarzanie danych będzie dozwolone jedynie gdy będzie ono miało jasny i uzasadniony cel oraz będzie ograniczone do “minimalnego zakresu niezbędnego do osiągnięcia celów przetwarzania” danych. UżytkQownik będzie musiał wyrazić zgodę na przetwarzanie danych. Zgoda ta będzie mogła być w każdym momencie wycofana, a przedsiębiorstwa nie będą miały prawa odmówić świadczenia usług z tego powodu. W odróżnieniu od RODO, w PIPL nie ma mowy o uzasadnionych interesach administratora, jednak PILP stanowi, że dane będą mogły być zbierane bez uzyskania zgody w określonych przypadkach takich jak wypełnianie obowiązku nałożonego przez prawo czy w zakresie, w jakim jest to konieczne do wykonania umowy zawartej z użytkownikiem etc.
RODO jak również PILP stosuje się ekstraterytorialnie, tj. ma zastosowanie do przetwarzania danych osobowych, które ma miejsce poza granicami odpowiednio UE czy Chin. Należy jednak zauważyć, zakres ekstrateryrialnego stosowania się PILP jest szerszy niż RODO. Przy określeniu zakresu terytorialnego RODO należy wziąć pod uwagę lokalizację geograficzną administratora lub podmiotu przetwarzającego, a dokładnie czy ma on siedzibę w UE lub czy prowadzi aktywność biznesową na terenie UE. Prowadzenie aktywności biznesowej w UE można określić na podstawie oferowania usług w jednym z państw członkowskich. Dostępność strony internetowej czy wykorzystywanie języka, który jest również powszechnie wykorzystywanym językiem w danym państwie trzecim, nie wystarczy by spełnić ten test. Z drugiej zaś strony umożliwienie zamówienia w walucie jednego z państw członkowskich może spełnić przesłankę ofertowania usług.
Tymczasem PILP będzie miał zastosowanie do przetwarzania danych osobowych poza granicami Chinami, pod warunkiem, że celem przetwarzania jest dostarczanie produktów lub usług osobom fizycznym w Chinach lub “analizowanie” zachowania osób fizycznych w Chinach. Inne cele mogą zostać dodane w drodze rozporządzenia. To pokazuje, że PILP zarzuca znacznie „szerszą sieć” niż RODO.
W związku ze stosowaniem PILP, zagraniczne podmioty będą zobowiązane do ustanowienia biura lub wyznaczenia przedstawiciela w Chinach do celów ochrony danych oraz kontroli z organami chińskiej administracji. Wymóg ten w dużym stopniu odzwierciedla znanego z RODO przedstawiciela podmiotu spoza UE.
Nowe przepisy wprowadzą również ograniczenia dla transgranicznego przekazywania danych osobowych. Niektóre postanowienia przypominają te z RODO, lecz PILP zawiera również szereg dodatkowych wymogów, w szczególności jeśli eksporter danych jest operatorem krytycznej infrastruktury informatycznej lub przetwarza ilość danych osobowych, która wymaga pozwolenia Administracji Cyberprzestrzeni Chin.
Po pierwsze, administrator danych, który planuje przesłać dane osobowe podmiotom spoza Chin, jest zobowiązany do:
- uzyskania odrębnej zgody użytkowników;
- powzięcia niezbędnych środków w celu zagwarantowania, że zagraniczni odbiorcy danych mogą zapewnić poziom ochrony wymagany przez PIPL;
- przeprowadzenia oceny skutków w zakresie ochrony danych osobowych.
Po drugie, operatorzy infrastruktury krytycznej lub podmioty przetwarzające dużą ilość danych, będą musiały przechowywać dane osobowe lokalnie. Jeśli przekazanie danych za granicę okaże się konieczne, administrator będzie musiał przejść audyt bezpieczeństwa prowadzony przez Administrację Cyberprzestrzeni Chin. Powyższe postanowienia dadzą chińskiemu regulatorowi szerokie możliwości ingerowania w praktyki biznesowe firm, oraz obrony chińskich interesów publicznych.
Ostatecznie, PILP daje Chinom możliwość przyjęcia środków zaradczych wobec krajów, które:
- działały w sposób dyskryminujący wobec Chin w kwestii ochrony informacji osobowych;
- naruszyły interesy obywateli Chin, których dotyczą dane;
- naruszyły bezpieczeństwo narodowe i interes publiczny Chin.
Podsumowując, PILP na wzór RODO ustanawia wysokie standardy ochrony danych osobowych. Z jednej strony można powiedzieć, że potwierdza to normatywną siłę UE w relacjach międzynarodowych oraz stanowi przykład osiągnięcia jednego z celi strategicznych Komisji Europejskiej, jakim jest swoisty eksport norm. Jeśli weźmiemy jednak pod uwagę fakt, że PILP, w odróżnieniu od RODO, ma zwiększyć kontrolę centralnego aparatu państwowego nad gospodarką i umocnić międzynarodową pozycję Chin względem podmiotów z innych państw, to zobaczymy, że wysokie standardy wyznaczone przez UE zostają wykorzystane przeciwko niej samej. Dzieje się tak przede wszystkim, ponieważ PILP w większym stopniu niż RODO obejmie zagraniczne firmy oraz ograniczy transgraniczne przesyłanie danych. Ostatecznie PILP pokazuje jak w gospodarce polegającej w coraz większym stopniu na danych, regulacja cyberprzestrzeni staje się nowym obszarem geopolityki.
Kamila Sotomska
Główny Ekspert ZPP ds. gospodarki cyfrowej