Noua lege chinezǎ privind protecția informațiilor cu caracter personal (PIPL)

Article PIPL: Noua lege chineza privind protecția informațiilor cu caracter personal | Decalex

Obiectivele urmǎrite și aplicabilitatea teritorialǎ a PIPL

La 20 august 2021, Congresul Național al Poporului din China a adoptat legea privind protecția informațiilor cu caracter personal (PIPL), care a devenit aplicabilǎ de la 1 noiembrie 2021.

Obiectivele principale ale legii sunt de apǎrare a drepturilor și intereselor persoanelor, de reglementare a activitǎților de prelucrare a informațiilor cu caracter personal, de facilitare a utilizǎrii rezonabile a informațiilor cu caracter personal, de protejare a fluxului legal și organizat al datelor.

Pe lângǎ toate aceste obiective, reiese și atenția sporitǎ a Chinei de apǎrare a suveranitǎții digitale, astfel încât, cine încalcǎ drepturile cetǎțenilor chinezi sau pune în pericol securitatea naționalǎ sau interesele publice ale țǎrii, va fi evidențiat pe o listǎ neagrǎ și orice transfer de informații personale ale cetǎțenilor chinezi cǎtre entitǎțile care figureazǎpe aceastǎ listǎ, va fi supus restricționǎrii sau chiar interzis.

Legea se aplicǎ în principal entitǎților și persoanelor care prelucreazǎ informații cu caracter personal ale persoanelor fizice, aflate sub jurisdicția Chinei. Aplicarea teritorialǎ este extinsǎ pentru prelucrarea efectuatǎ de cǎtre entitǎțile situate în afara Chinei, în cazul în care poate fi identificatǎ una din urmǎtoarele situații:

(i)               pentru furnizarea unui produs sau a unui serviciu către persoane fizice situate în China;

(ii)             pentru analiza sau evaluarea comportamentului persoanelor fizice situate în China; 

(iii)             în orice altă situație prevăzută de lege sau de regulamente.

 

2. Obligațiile entitǎților care prelucreazǎ informații cu caracter personal

Legea stabilește un cadru de reglementare care impune o serie de obligații  entitǎților care prelucreazǎ informații cu caracter personal, și anume:

  • regelementarea de sisteme de management intern și proceduri de operare;
  • punerea în aplicare a gestionării clasificate a informațiilor cu caracter personal;
  • adoptarea unor mǎsuri tehnice de securitate corespunzǎtoare, precum criptarea;
  • stabilirea în mod rezonabil a autorizațiilor operaționale pentru informațiile cu caracter personal și asigurarea unei instruiri periodice în materie de securitate pentru personalul operațional;
  • elaborarea și punerea în aplicare a planurilor de răspuns pentru incidentele de securitate legate de informațiile cu caracter personal;
  • efectuarea de audituri periodice ale conformității; 
  • adoptarea altor măsuri de securitate prevăzute de legi si regulamente.

Cu privire la transferurile de informații cu caracter personal în afara Chinei, legea impune o serie de obligații în sarcina entitǎților exportatoare, printre acestea numǎrându-se realizarea unei analize cu privire la securitatea unui astfel de transfer.

De asemenea, este obligatorie numirea unui responsabil cu protecția datelor, în anumite situații, raportat la volumul de informații cu cracter personal.

3. Asemǎnǎri și deosebiri fațǎ de reglementǎrile din Regulamentul general privind protecția datelor 2016/679 (GDPR)

Definitia datǎ informațiilor cu caracter personal este una extrem de largǎ și are în vedere “toate tipurile de informații electronice sau informații înregistrate în alt mod, legate de o persoană fizică identificată sau identificabilă”. În ceea ce privește temeiurile prelucrǎrii, PIPL nu oferǎ posibilitatea utilizǎrii temeiului reprezentat de interesul legitim.

Legea precizează, de asemenea, că informațiile sensibile înseamnă informații cu caracter personal care, odată ce au fost utilizate ilegal, pot provoca discriminare împotriva persoanelor sau pot aduce prejudicii grave securității personale sau proprietății, inclusiv informații privind rasa, etnia, convingerile religioase, caracteristicile biometrice individuale, sănătatea medicală, conturile financiare, localizarea individuală etc.

Spre deosebire de GDPR, PIPL nu conține nicio dispoziție specifică privind prelucrarea informațiilor cu caracter personal în legătură cu condamnările penale și infracțiunile. Trebuie subliniat însǎ, faptul cǎ informațiile financiare și datele de localizare sunt incluse în categoria informațiilor sensibile iar prelucrarea acestora trebuie să fie realizatǎpe baza consimțământului specific al persoanei. Datele biometrice sunt incluse asemenea GDPR, în categoria datelor sensibile.

În ceea ce privește procesul de de-identificare din PIPL, acesta își gǎsește echivalentul în GDPR în  pseudonimizare iar anonimizarea este tratatǎ ca fiind procesul similar din GDPR.

Asemenea, GDPR, PIPL instituie reguli pentru situațiile în care datele sunt prelucrate în comun sau când prelucrarea se realizeazǎ prin persoane împuternicite, fiind reglementatǎ încheierea de acorduri similar celor prevǎzute de GDPR.

Prelucrarea informațiilor cu caracter personal ale copiilor cu vârsta sub 14 ani, trebuie sǎ aibǎ la bazǎ consimțǎmântul pǎrinților.

Legea cuprinde prevederi specifice cu privire la utilizarea procesului decizional automatizat și recunoașterii faciale. În cazul utilizǎrii unui proces decizional automatizat, este obligatorie efectuarea unei evaluǎri a impactului asupra protecției datelor.

În zonele publice, utilizarea echipamentelor de recunoaștere facialǎ are ca scop protejarea securitǎții publice și este singurul scop recunoscut din punct de vedere juridic și este însoțitǎ de obligația notificǎrii persoanelor vizare cu privire la colectarea informațiilor. Informațiile colectate nu pot fi publicate sau divulgate, cu excepția cazului în care se obține consimțământul specific al persoanelor sau în cazul în care legea prevede altfel.

Persoanelor ale cǎror informații cu caracter personal le sunt prelucrate, beneficiazǎ de o serie de drepturi similare drepturilor persoanei vizate conform GDPR, printre care dreptul de ștergere, dreptul de acces, dreptul la portabilitatea informațiilor, dreptul de a obține explicații cu privire la prelucrare.

Sancțiunile prevǎzute de PIPL, pot sǎ difere ca și în cazul celor stabilite de GDPR și pot consta în aplicarea de amenzi care pot ajunge pânǎla 5% din cifra de afaceri a unei companii sau pot lua forma unor sancțiuni administrative constând în ordine de încetare a prelucrǎrii sau confiscarea profitului obținut prin încǎlcarea dispozițiilor legale.

4. Obligațiile companiei dumneavoastrǎ

În cazul în care compania dumneavoastrǎ prelucreazǎ informații cu caracter personal ale persoanelor localizate în China, începând cu 1 noiembrie 2021, data de la care PIPL a devenit aplicabilǎ, este necesarǎ efectuarea unei inventarieri a datelor și a unui audit pentru a evalua necesitatea adaptǎrii politicilor companiei astfel încât sǎ fie respectate prevederile PIPL.

Pentru informații suplimentare privind regulile aplicabile în materia prelucrǎrii informațiilor cu caracter personal conform PIPL, ne puteți scrie la office@decalex.ro.

Share:
Anca Stîngă
Autor: Anca Stîngă

Senior Privacy & Data Protection Consultant

PUNE O INTREBARE