RODO (ochrona danych osobowych) w Chinach? Ciekawy projekt, który wymusi wiele zmian.
Unijne rozporządzenie o ochronie danych osobowych, potocznie znane jako RODO lub GDPR, jest niewątpliwie popularnym aktem prawnym. Istnieje na jego temat wiele opinii, często negatywnych ze względu na ilość zmian, które nagle dotknęły niemalże każdego. Nie można jednak odmówić temu rozporządzeniu pozycji jednego z najnowocześniejszych ustawodawstw dotyczących prywatności danych na świecie.
Jak wygląda ochrona danych osobowych w Chinach?
W październiku 2020 roku Chińska Republika Ludowa przedstawiła swój projekt ustawy, poddając go pod publiczną dyskusję. Środowisko prawnicze zdaje się zgodne w opinii, że jest to gigantyczny skok dla tego, co w Chinach było możliwe dotychczas. Mając w głowie, ile dodatkowych obowiązków RODO wytworzyło każdemu przedsiębiorcy, warto zapoznać się z podstawowymi regulacjami nowej chińskiej ustawy i nie narażać się na zbędne kary w Chińskiej Republice Ludowej, zwłaszcza że propozycja aktu jest do samego RODO bardzo podobna.
Dotychczasowa chińska regulacja kwestii ochrony danych osobowych istniała jako luźny koncept czasami odnajdujący potwierdzenie w prawie. Prawo do prywatności nie wynika wprost z chińskiej konstytucji (np. w przeciwieństwie do konstytucji polskiej), a jedynie może być to domniemywane z art. 38, 39 i 40. Pewnym przełomem jest nowy kodeks cywilny, który w artykule 110 wyraża takie prawo wprost. Pozostaje jednak pytanie, jak takowe egzekwować.
Pochylić należy się więc nad zaproponowanym projektem. Akt nazywa się 中华人民共和国个人信息保护法(草案)[Zhōnghuá rénmín gònghéguó gèrén xìnxī bǎohù fǎ (cǎo’àn)], czyli Ustawa o ochronie danych osobowych Chińskiej Republiki Ludowej (projekt), a na angielski tłumaczy się jako „Personal Information Protection Law (draft)” – czyli w skrócie PIPL.
Z co ciekawszych elementów chińskiej ustawy regulującej zasady ochrony prywatności warto zanotować następujące.
Zgodnie z art. 4 PIPL, definicja danych osobowych określa je jako: zapisane elektronicznie, bądź w inny sposób informacje dotyczące zidentyfikowanej lub identyfikowalnej osoby fizycznej, z wyłączeniem informacji zanonimizowanych. W terminie „przetwarzanie danych osobowych” zawiera się zbieranie, przechowywanie, wykorzystywanie, przetwarzanie, przesyłanie, oferowanie oraz publikowanie tychże.
Warto zwrócić uwagę, że jest to definicja danych osobowych całkiem zbliżona do tej, którą odnajdziemy w naszej europejskiej regulacji. Nie stosuje się jednak znanego z RODO podziału na administratora danych i przetwarzającego danych. Zamiast tego przypisuje się odpowiedzialność i wymogi zgodności jedynie „podmiotowi przetwarzającemu dane osobowe”, co odnosi się do organizacji lub osób fizycznych, które samodzielnie określają cel, zakres i sposoby przetwarzania danych osobowych. Można jednak zaryzykować stwierdzenie, że podmiot przetwarzający dane osobowe w PIPL jest podobny do administratora danych w RODO.
Co do zasady przetwarzanie danych osobowych bez zgody wyrażonej wprost jest niemożliwe, jednak ustawa bezpośrednio przewiduje pewne wyjątki. Znajduje się wśród nich m.in. przetwarzanie danych niezbędne do wykonywania ustawowych zadań i obowiązków, danych niezbędnych do ochrony życia, zdrowia i mienia osób w sytuacjach nagłych, a także w rozsądnym zakresie przetwarzanie danych przez dziennikarzy i media dla dobra publicznego interesu.
Dodatkowo w art. 29 PIPL istnieje osobna kategoria szczególnie wrażliwych danych osobowych, zawierająca otwarty katalog wskazujący na informacje, w których zawiera się rasa, pochodzenie, wyznanie, informacje biometryczne, informacje o zdrowiu, informacje o lokalizacji oraz informacje majątkowe, a także informacje, które mogą prowadzić do dyskryminowania albo poważnego naruszenia bezpieczeństwa osobistego lub majątkowego osoby w przypadku nielegalnego ujawnienia bądź wykorzystania. Dane takie wymagają osobnej formy zgody wyrażonej wprost.
Wstępny projekt PIPL gwarantuje podmiotom wiele praw związanych z ich danymi osobowymi. Są to m.in. prawa do informowania i wyjaśnienia, w jaki sposób dane są przetwarzane, do otrzymania wypisu przetwarzanych danych, do korekcji danych, a także do sprzeciwienia się przetwarzaniu, cofnięcia zgody i wykasowaniu swoich danych osobowych z systemu.
W przypadku PIPL mówi się o (rzadko stosowanej w chińskim porządku prawnym) zasadzie „długiego ramienia”, stanowiąc w art. 42, że organy regulacyjne mogą podejmować środki wobec podmiotów spoza Chin, które naruszają prawa i interesy obywateli Chin poprzez przetwarzanie danych w nieodpowiedni sposób. Zasada ta ponownie jest podobna do europejskiego RODO i rozszerza zastosowanie PIPL na wszystkie czynności przetwarzania danych osobowych prowadzone poza ChRL w zakresie np. dostarczania towarów i świadczenia usług osobom fizycznym z Chin. W praktyce oznacza to, że przedsiębiorca nie musi wcale przebywać ani nawet być zarejestrowanym w Chinach, żeby narazić się na odpowiedzialność w ChRL.
Podporządkowanie powyższym jest egzekwowane za pomocą odpowiednio wskazanych, raczej surowych kar. Zwrócić uwagę na to powinni zwłaszcza przedsiębiorcy dokonujący czynności w Chinach. Art. 62 PIPL przedstawia kary administracyjne w postaci od ostrzeżeń lub zajęcia nielegalnie uzyskanego przychodu, przez kary pieniężne od 10 000 do 1 000 000 RMB (~5800 zł do ~578,800 zł), do kar w najpoważniejszych sprawach do wysokości 50 000 000 RMB (~29 000 000 zł) lub 5% zysku podmiotu z poprzedzającego roku. Jednocześnie należy wspomnieć o odpowiedzialności kryminalnej i cywilnej, która może potoczyć się osobnym torem, nie konsumując się w postępowaniu administracyjnym.
Ochrona danych osobowych w Chinach — podsumowanie
Zerknięcie w ten nieobowiązujący jeszcze akt wystarczy na wysunięcie tezy, że regulacja w Chińskiej Republice Ludowej ochrony danych osobowych zbliża się bardzo do tych unijnych. Rozsądnym dla przedsiębiorców wydaje się poświęcenie temu nieco więcej skrupulatności i traktowanie spraw przetwarzania danych tak jak traktuje się je w Unii Europejskiej. Jednocześnie jest to jedynie projekt, który może ulegać zmianom. Obecnie nie jest znana data jego wejścia w życie ani czy w ogóle zachowa obecną formę. Można jednak bezpiecznie zakładać, że taka sytuacja może mieć miejsce na przestrzeni nadchodzącego roku lub dwóch. Obecnie obowiązujące przepisy dotyczące ochrony danych osobowych są zdecydowanie bardziej liberalne, co sprawia, że ich zmiana może wprowadzić więcej zamieszania, niż miało to miejsca w przypadku Polski. Mając na względzie kilka miesięcy paniki i dominowania dyskursu prawniczego przez tę tematykę w Polsce – może być rozsądnym przygotowanie się do takich zmian w Chinach.
Polecamy także inne artykuły na naszym blogu zawierającym ciekawostki o Chinach oraz informacje o prawie i zwyczajach w tym kraju, np.: jak sprawdzić firmę z Chin?, podatki w Chinach, cyfrowy juan, czyli koncepcja Elektronicznej Waluty Banku Centralnego albo testament Deng Xioaopinga.
Artykuł Karola Czekałowskiego