act legal covers most of the largest European business centres
AmsterdamBratislavaBucharestBudapestFrankfurtMilanParisPragueSofiaViennaWarsaw

Защита на личните данни по пекински

От първи ноември тази година в Китай е в сила Законът за защита на личната информация (Personal Information Protection Law, PIPL). Базиран до голяма степен на GDPR, китайският прочит на регламента съдържа и редица различния.

Тъй като за момента не разполагаме с официален превод на документа на английски (а за български да не говорим), за този анализ е използван превода на английски на DigiChina, колаборативният проект на Stanford University за оценка и анализ на дигиталните политики на Китай.

Въпреки че PIPL има редица сходства с GDPR, далеч не липсват и различия между двата документа:

  • От по-злободневните – размерът на финансовата санкция се изчислява по-различно. Доколкото при GDPR правилото е по-голямата сума между 20 милиона евро и 4% от световния годишен оборот на компанията – нарушител, то китайският закон предвижда по-голямата сума между около 7 милиона евро (50 милиона китайски юана) и 5% от годишния оборот на компанията. Липсва правилото за това оборотът да е глобален, така че най-вероятно става дума за оборот единствено в Китай (чл. 66).

  • Наблюдават се различия в терминологията – администраторите и обработващите данните са наречени personal information handlers и, съответно entrusted parties. Като неофициален превод на неофициалния английски превод може да използвате лица, работещи с лична информация и доверени партньори. Не се наблюдават фундаментални разлики с европейските им прототипи (чл. 73).

  • Очаквано, правилата за трансфер на данни са строги (Глава III). Чисто формалните изисквания са три – допълнително изрично съгласие, оценка на въздействието и възприемане на една от предвидените в PIPL мерки. Мерките, от своя страна, са четири възможни – външно оценяване, сертификация, сключване на стандартен договор и спазване на допълнителни изисквания, предвидени в закон, административен акт или правила, изготвени от Администрацията за управление на киберпространството на Китай. Администрацията е централизираният регулатор на интернет пространството, достъпно в Китай и основният орган, ангажиран с налагането на цензура онлайн. Правилата на Администрацията можете да прочетете (в неофициален превод) тук. Неизненадващо, част от тях са крайно рестриктивни и предвиждат допълнителна оценка на риска за националната сигурност.

  • Правило, което със сигурност липсва в GDPR, е възможността за въвеждане на „реципрочни мерки“ спрямо държави и региони, наложили дискриминативни мерки срещу Китай (чл. 43).

  • Финансовите данни спадат към категорията на чувствителните лични данни както и всички лични данни на лица под 14-годишна възраст и данните за локализиране на лицата. Нужно е изрично съгласие на лицето за всеки случай на обработка на чувствителни данни. За лицата под 14-годишна възраст – съгласието на родителя или настойника - интересно как ще се изпълнява това изискване онлайн (Глава II).

  • Държавните органи, отговорни за прилагането на PIPL са няколко – Администрацията за управление на киберпространството на Китай, различни отдели от Държавния съвет (като например Министерството на обществената сигурност, Държавната администрация за регулиране на пазара, Народната банка на Китай и Националната здравна комисия), както и определени институции на регионално и местно ниво (Глава VI).

  • Една от най-интересните разлики е това, че при смърт на субекта на данните, правата му могат да се упражняват от негови близки роднини. Било и само във връзка с упражняването на права на преживелия роднина, такова правило, за добро или за лошо, липсва в GDPR (чл. 49).

  • Легитимният интерес отсъства като основание за обработка. Това най-вероятно ще е една от разликите от най-голямо практическо значение (чл. 13).

  • Друг специфичен момент е възможността за завеждане на дело от обществен интерес от Народната прокуратура на Китай, сдруженията на потребителите и други, определени за целта организации при нарушения, засягащи особено голям кръг от лица (чл. 70).

Следим с интерес тенденциите в развитието на защитата на личните данни в световен план. Ако имате въпроси по темата GDPR и лични данни, то ни пишете на office@kdbmlaw.com.

Published on Nov 11, 2021

Filled under Publications