Ny kinesisk personvernlov – PIPL
Fire forhold du må være klar over hvis du driver forretninger i eller mot Kina.
Lesetid 2 minutter
Kina har vedtatt personvernlov – Personal Information Protection Law ("PIPL"). Denne artikkelen beskriver fire sentrale forhold med fokus på likheter og forskjeller fra den europeiske personvernforordningen ("GDPR") og noen mulige konsekvenser du må være klar over dersom du gjør forretninger i Kina.
Kort sagt: Hva er PIPL?
- PIPL er Kinas nye personvernlov, som er den første omfattende lovgivningen om behandling av personopplysninger om enkeltpersoner i Kina.
- PIPL forventes å tre i kraft 1. november 2021 og vil utgjøre et nytt juridisk rammeverk for datasikkerhet og personvern i Kina sammen med den kinesiske Data Security Law (2021) og Cybersecurity Law (2017).
- PIPL har mange likheter med GDPR og forventes å bli strengt håndhevet av myndighetene.
1. Lovens geografiske virkeområde: PIPL kan gjelde selv om du befinner deg utenfor Kina
Både GDPR og PIPL gjelder for behandling av personopplysninger om enkeltpersoner innenfor deres respektive territorier. Begge regelsettene kan imidlertid også gjelde for behandlingsansvarlige utenfor deres respektive territorier, det vil si at regelverket har et såkalt eksterritorialt virkeområde.
PIPL kan gjelde utenfor Kina hvis formålet med behandlingen av personopplysninger om enkeltpersoner i Kina er: (i) å levere produkter eller tjenester til enkeltpersoner i Kina, (ii) for å analysere eller vurdere oppførselen til enkeltpersoner i Kina eller (iii) for andre omstendigheter spesifisert av lover eller forskrifter.
PIPL kan gjelde for deg selv om ditt selskap er lokalisert i Norge, for eksempel hvis du behandler personopplysninger om enkeltpersoner i Kina for egne formål (behandlingsansvarlig).
2. Rettslig grunnlag: Du kan ikke behandle personopplysninger på grunnlag av berettigede interesser
GDPR og PIPL krever at den behandlingsansvarlige etablerer et rettslig grunnlag for å behandle personopplysninger. Begge regelsettene godtar behandlingsgrunnlag som samtykke, oppfyllelse av en kontrakt, vitale interesser, juridisk krav og offentlig interesse. For samtykke som grunnlag, oppstilles det dessuten krav om at personene må gi sitt samtykke frivillig og uttrykkelig før behandlingen, og at man gis muligheten til å trekke tilbake et samtykke når som helst.
PIPL legger sterkere vekt på samtykke som behandlingsgrunnlag enn GDPR. For eksempel er den enkeltes forhåndssamtykke alltid nødvendig hvis du ønsker å behandle sensitiv informasjon, for eksempel medisinske eller helsemessige data, økonomisk informasjon og stedssporing og lokasjonsdata.
PIPL åpner også for behandling av personopplysninger som er tilgjengeliggjort av den enkelte eller lovlig offentliggjort, og for behandling av personopplysninger for personalledelse og av hensyn til offentlige interesser osv.
I motsetning til GDPR oppstiller ikke PIPL prinsippet om berettigede interesser som behandlingsgrunnlag for behandling av personopplysninger.
Mange europeiske selskaper er vant til å behandle personopplysninger på grunnlag av berettigede interesser. Men siden berettigede interesser ikke eksisterer som et rettslig grunnlag under PIPL, må du vurdere å etablere andre behandlingsgrunnlag i samsvar med PIPL, for eksempel samtykke, inngåelse eller gjennomføring av kontrakt, personalledelse, offentlig interesse eller offentlig tilgjengelig informasjon osv. Dette er spesielt viktig hvis du behandler personopplysninger om ansatte og/eller forretningskontakter i Kina (for eksempel i kunderelasjonssystemene (CRS)).
3. Den enkeltes rettigheter: Du kan risikere søksmål hvis du avslår forespørsler fra enkeltpersoner om deres rettigheter
I likhet med GDPR gir PIPL enkeltindividene flere rettigheter de kan utøve mot den behandlingsansvarlige. Disse rettighetene inkluderer blant annet retten til informasjon, retten til å kreve begrenset eller nekte behandling av personopplysninger, å få tilgang til eller kopier av personopplysninger eller å kreve retting og be om sletting etc.
I henhold til PIPL kan individene – i tillegg til de andre rettighetene – be om at du forklarer (ikke bare informerer om) reglene for behandling av personopplysninger til dem. Videre har personene rett til å reise søksmål mot deg hvis du avslår deres forespørsel om å utøve sine rettigheter.
PIPL krever at du etablerer en tilgjengelig prosedyre for å beskytte individets rettigheter. Siden du kan risikere søksmål fra enkeltpersoner ved manglende overholdelse, er det viktig å etabler og implementere tilstrekkelige rutiner og systemer for å imøtegå forespørsler fra enkeltpersoner. I tillegg kan tilsynsmyndighetene også pålegge revisjon av selskaper basert på klager fra enkeltpersoner.
4. Overføringer av personopplysninger mellom EU/EØS og Kina: Du må vite hvor personopplysningene dine er lagret (og hvem som har tilgang til disse)
I likhet med GDPR har PIPL svært strenge krav til overføring av personopplysninger, der sistnevnte regulerer overføring av personopplysninger med opprinnelse i Kina ut av Kina. Overføring av personopplysninger i denne sammenheng innebærer å faktisk overføre, gi tilgang til eller gjøre personlig informasjon tilgjengelig for parter utenfor Kina, for eksempel lagring av data, hendelseshåndtering eller fjerntilgang.
Overføring av personopplysninger til aktører utenfor Kina er underlagt strenge krav: Du må (i) innhente samtykke fra enkeltpersoner og informere dem om overføringene, (ii) foreta en vurdering av personvernkonsekvenser før overføringene (som skal lagres i minst tre år), (iii) opprette et spesialorgan eller utnevne en ansvarlig representant lokalisert i Kina; og (iv) innhente en gyldig overføringsmekanisme fra offentlige myndigheter (f.eks. sikkerhetsvurdering, sertifisering eller standardkontrakt) og ellers gjøre nødvendige tiltak for å overholde beskyttelsesstandardene under PIPL.
Overføring av personopplysninger er underlagt strenge krav i henhold til både GDPR og PIPL. Dette betyr at du må være oppmerksom på eventuelle personopplysninger som krysser grensene til både EU/EØS og Kina. Du må sørge for at du vet hvor personopplysningene dine befinner seg, og hvor de kan være tilgjengelige – også hvem som har fjerntilgang. Dette er spesielt viktig hvis du bruker skytjenester eller IT-leverandører generelt. I noen tilfeller blir statseide foretak (SOE) – som tolkes vidt – i Kina tvunget til å oppbevare data knyttet til lokale kunder og operasjoner i Kina ved å migrere data fra skytjenester til en digital infrastruktur kontrollert av det statseide Assets Supervision and Administration Commission of the State Council (SASAC).
Sanksjoner
Brudd på PIPL kan sanksjoneres med bøter opp til 50 millioner RMB eller 5 % av den behandlingsansvarliges omsetning det siste året. Andre sanksjoner inkluderer de typiske kinesiske sanksjonene slik som tilbakekall av forretningslisenser og tillatelser, utbedringer, inndragninger av profitt, samt det å holde nøkkelpersonell ansvarlige.
Oppsummering
Med kunngjøringen av PIPL tar Kina nok et viktig skritt mot økt beskyttelse av personopplysninger. Selskaper som etterlever GDPR og behandler personopplysninger om enkeltpersoner fysisk i Kina, vil sannsynligvis bare trenge å gjøre mindre endringer i driften for å etterleve PIPL. Selskaper bør foreta vurderinger av om eksisterende praksis og prosedyrer må endres, samt følge med på den juridiske utviklingen i Kina ettersom ytterligere detaljer, retningslinjer og forskrifter forventes å bli kunngjort i fremtiden.
Nøkkelbegreper | |
---|---|
Vilkår i PIPL | Lignende eller tilsvarende vilkår i GDPR |
Personal information | Personopplysninger |
Sensitive personal information | Spesielle kategorier av personopplysninger og/eller personopplysninger knyttet til straffedommer og lovovertredelser |
Individual | Registrert |
Personal information processor | Behandlingsansvarlig |
Contracted party | Databehandler |
Wikborg Rein har vært på plass i Kina i mange år, og vi har både lokal kompetanse og EU/EØS-kompetanse på personvern. Ta kontakt med Gry Hvidsten, Therese Trulsen, Sherry Qiu eller Wegard Kyoo Bergli hvis du trenger hjelp til å manøvrere i dette komplekse internasjonale databeskyttelseslandskapet.