Światowe media obiegła informacja, że 20 sierpnia br. chiński Narodowy Kongres Ludowy (China’s National People’s Congress) uchwalił ustawę o ochronie danych osobowych Chińskiej Republiki Ludowej (Personal Information Protection Law of the People’s Republic of China). Ciężko oprzeć się wrażeniu, że nowa regulacja wzorowana jest na europejskich rozwiązaniach, tj. RODO. Nie tylko ze względu na poszczególne uregulowania w zakresie przetwarzania danych osobowych osób fizycznych, ale również w kontekście surowych kar pieniężnych.
W założeniu, nowe prawo stanowić ma kolejny krok w celu zapewnienia spójnego systemu ochrony prywatności w Chinach. Choć zagraniczne media sugerują także, że celem tych przepisów ma być prawdopodobnie zaostrzenie uregulowań dotyczących danych i znaczne utrudnienie chińskim przedsiębiorcom technologicznym dostępu do danych konsumentów i ich wykorzystanie. Jak będzie w praktyce, dowiemy się po 1 listopada br., kiedy ustawa wejdzie w życie.
Podobieństwo regulacji
Chińska ustawa – podobnie jak RODO – wskazuje warunki, jakie muszą być spełnione, aby administrator mógł legalnie przetwarzać dane osobowe. Ustawodawca dużo uwagi poświęcił jednej z nich, tj. zgodzie na przetwarzanie danych osobowych. Zgodnie z nową chińską regulacją, zgoda podmiotu danych będzie musiała być w pełni świadoma, dobrowolna i wyraźna. Co ciekawe, wydaje się, że administrator będzie mógł pozyskiwać zgody na przetwarzanie danych osobowych już od dzieci w wieku 14 lat. W ustawie wskazane jest bowiem, że zgoda rodzica wymagana jest jedynie w odniesieniu do osób poniżej tego wieku. Co więcej, prawodawca zobowiązał podmioty przetwarzające dane osobowe do opracowania specjalnych zasad dotyczących przetwarzania danych osobowych osób małoletnich.
W chińskiej ustawie znaleźć można dużo rozwiązań bez wątpienia wzorowanych na przepisach RODO. Jako przykłady można wskazać chociażby kwestie praw osób, których dane dotyczą, obowiązków administratorów m.in. w tym zakresie, czy też np. transgranicznego przekazywania danych osobowych. Można jednak znaleźć w niej również konstrukcje obce RODO. Jako ciekawostkę wskazać można, że przepisy nowej chińskiej ustawy uprawniają określonych administratorów do przetwarzania danych osobowych w celu nadzoru nad opinią publiczną. W Polsce, czy też szerzej – Europie – takie uregulowania byłyby niedopuszczalne, m.in. ze względu na odmienny ustrój polityczny.
Surowe kary
Podobnie, jak RODO, chińska ustawa o ochronie danych osobowych przewiduje surowe kary finansowe za naruszenia stwierdzone przez uprawniony organ nadzorczy (rolę tę w Chinach pełnić będzie organ odpowiedzialny za kwestię cyberbezpieczeństwa). Prawodawca zdecydował, że za naruszenia nowego prawa administrator może liczyć się z karą finansową w wysokości do 50 000 000 juanów chińskich (ok. 6 570 000 euro) lub do 5% jego rocznych przychodów. Co ciekawe, organ nadzorczy może również ukarać bezpośrednio osobę, która przyczyniła się do zaistnienia naruszenia. Takiej osobie grozi kara do 1 000 000 juanów chińskich (ok. 130 000 euro).
Dla porównania warto przypomnieć, że zgodnie z RODO, organ nadzorczy może co do zasady nałożyć karę w wysokości do 20 000 000 euro – a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Źródła:
https://www.verdict.co.uk/china-data-protection-law/
Pełna treść uchwalonej ustawy (w języku chińskim):
http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
Pełna treść uchwalonej ustawy (w języku angielskim):