Minęło już klika miesięcy od momentu wejścia w życie nowych, chińskich przepisów o ochronie danych osobowych. Ustawa o bezpieczeństwie danych (The Data Security Law, DSL) zaczęła obowiązywać w Chinach 1 września 2021 r. Ustawa o ochronie danych osobowych (The Personal Information Protection Law, PIPL) dwa miesiące później – 1 listopada 2021 r. (pisaliśmy szerzej na ten tematu TUTAJ – https://gdpr.pl/chiny-z-kompleksowa-regulacja-ochrony-danych-osobowych).
Pomimo funkcjonowania nowych – w założeniu kompleksowych – regulacji prawnych, przedsiębiorcy oraz inne podmioty działające na chińskim rynku wciąż zgłaszają swoje wątpliwości co do właściwego stosowania nowych przepisów. Problemów przysparza im m.in. wiele odwołań do innych aktów prawnych.
Pojawiające się problemy próbuje – przynajmniej częściowo – rozwiązać chińska administracja cyberprzestrzeni (The Cyberspace Administration of China, CAC). 14 listopada 2021 r. przekazała ona do konsultacji społecznych projekt przepisów dotyczący zarządzania bezpieczeństwem danych sieciowych (Network Data Security Management Regulations, Projekt). Wydaje się, że w wielu aspektach konkretyzuje on obowiązki administratorów, m.in. w zakresie terminów na wykonanie poszczególnych obowiązków. Ciężko jednak nie ulec wrażeniu, że nakłada on na podmioty przetwarzające dane osobowe dalsze obowiązki, którym będą one musiały sprostać.
Brak terminu na zgłoszenie naruszenia
Zarówno DSL, jak i PIPL zobowiązują administratorów do zgłaszania naruszeń ochrony danych osobowych. Co ciekawe, nie wskazują one jednak terminów, w których muszą oni wykonać ten obowiązek. W Projekcie wskazano, że podmiot przetwarzający dane osobowe powinien w pierwszej kolejności wdrożyć odpowiednie mechanizmy zarządzania bezpieczeństwem i sytuacjami awaryjnymi, co w założeniu ma zminimalizować ewentualne negatywne skutki naruszenia ochrony danych osobowych.
Z Projektu wynikają również różne dalsze obowiązki administratorów. W sytuacji, gdy naruszenie zagraża konkretnej osobie lub organizacji, zobowiązani są oni w terminie 3 dni roboczych powiadomić o naruszeniu osoby, których ono dotyczy. Mogą przy tym wykorzystać w tym celu np. zwykłe wiadomości tekstowe, komunikatory lub pocztę internetową. Administrator musi jednocześnie wskazać w takiej wiadomości m.in. przyczyny naruszenia, kategorie danych osobowych, które zostały zagrożone, ewentualne negatywne konsekwencje dla wskazanych podmiotów danych, jak również środki, które zostały podjęte w celu zminimalizowania ryzyka wystąpienia negatywnych konsekwencji naruszenia dla osób, których ono dotyczy.
Zgodnie z Projektem, termin 3 dni roboczych ulega skróceniu do 8 godzin w przypadku, gdy konkretne naruszenie dotyczy tzw. danych ważnych (important data) lub dotyczy więcej niż 100 000 osób. Wówczas administrator zobowiązany jest zgłosić naruszenie do lokalnego oddziału CAC (na poziomie gminy), a także do organu nadzoru. Co ciekawe, o sprawie należy także zawiadomić policję.
To jednak nie koniec obowiązków administratora związanych z dostrzeżonym naruszeniem. Musi on bowiem przygotować raport – w terminie 5 dni roboczych od zakończenia sprawy – w którym przedstawi on przyczyny naruszenia, negatywne konsekwencje dla podmiotów danych, osoby pociągnięte do odpowiedzialności oraz podjęte działania naprawcze.
15 dni na usunięcie danych
Zgodnie z Projektem, administrator zobowiązany jest w terminie 15 dni roboczych do usunięcia lub anonimizacji danych osobowych, gdy cel przetwarzania został osiągnięty lub upłynął określony okres ich przechowywania. Ten sam termin ma zastosowanie do sytuacji, gdy zostanie rozwiązana umowa, na podstawie której dany podmiot przetwarzał dane osobowe, gdy podmiot danych usunie konto na portalu internetowym lub przedłoży stosowny wniosek do administratora.
Jeżeli administrator będzie miał trudności (techniczne lub biznesowe) ze spełnieniem tych obowiązków w zastrzeżonym terminie, zobowiązany jest do ograniczenia dalszego przetwarzania przedmiotowych danych osobowych, wdrożenia niezbędnych środków bezpieczeństwa, jak również przekazania zainteresowanym stosownych wyjaśnień w tym zakresie.
Również inne ważne terminy
Co ciekawe, Projekt nakłada na administratora obowiązek poinformowania lokalnego CAC (na poziomie gminy) o gromadzeniu tzw. ważnych danych (important data). Termin w tym przypadku to również 15 dni roboczych. Zgłoszenie obejmować ma m.in. informacje o celu przetwarzania, skali, stosowanych metodach, kategorii danych oraz okresu ich przechowywania. Administrator musi dokonywać nowych zgłoszeń, jeżeli określony proces przetwarzania danych osobowych ulegnie zmianie w jakimkolwiek zakresie, np. odnośnie celu przetwarzania.
Zgodnie z projektowaną regulacją, administrator zobowiązany jest również do przechowywania przez 5 lat określonych informacji o danym procesie przetwarzania danych osobowych. Dotyczy to przypadków, gdy udostępnia on dane osobowe innym podmiotom, w tym m.in. w związku z ich sprzedażą. Obowiązek ten obejmować ma m.in. rejestr zgód na przetwarzanie danych osobowych lub ich udostępnianie innym podmiotom, jak również rejestr powierzenia tzw. ważnych danych.
Bezpieczeństwo narodowe przede wszystkim
Twórcy Projektu przewidzieli szereg dodatkowych obowiązków dla administratorów, którzy przetwarzają dane osobowe ponad 1 miliona osób. Zobowiązani oni są do poinformowania lokalnego CAC (na poziomie gminy) o wszelkich zmianach w przedsiębiorstwie, w tym np. restrukturyzacji. Muszą oni również stosować wszelkie wymogi ustawowe przewidziane dla podmiotu, który przetwarza tzw. dane ważne. Obejmuje to np. dokonanie przez CAC oceny bezpieczeństwa w razie zamiaru dokonywania transferu danych osobowych za granicę.
Wskazany administrator może także spodziewać się kontroli właściwego organu nadzoru pod kątem cyberbezpieczeństwa. W ocenie chińskiego ustawodawcy związane jest to z troską o bezpieczeństwo narodowe, w tym w przypadku wejścia danej spółki na giełdę na zagranicznym rynku kapitałowym. Regulacja ta pokazuje jak dużą wagę Chińska Republika Ludowa przypisuje do kwestii bezpieczeństwa narodowego. Podejście to znacznie różni się od RODO, które koncentruje się w pierwszej kolejności na zapewnieniu ochrony prywatności i danych osobowych jednostki.
