November 1-jén lép hatályba Kínában a személyes adatok védelméről szóló törvény, a  Personal Information Protection Law (PIPL). A Taylor Wessing ügyvédi iroda szakértői szerint a törvény kétségkívül komoly hatással lesz valamennyi, Kínával üzleti kapcsolatban álló nemzetközi cégre.

A PIPL – a GDPR-hoz hasonlóan – határon átnyúló hatállyal rendelkezik, így annak szabályai kötelezők valamennyi olyan Kínán kívüli adatkezelőre nézve is, akiknél az adatkezelés célja a kínai polgárok részére áruk és szolgáltatások nyújtása vagy természetes személyek Kínán belüli tevékenységének az elemzése, profilozása.

Kapcsolódó

Ugyanakkor a PIPL sajátos kínai színezetet ölt: egy sejtelmes tartalmú további kiegészítéssel a PIPL hatálya tovább is nyúlhat egyes törvényben, közigazgatási rendelkezésekben rögzített „egyéb körülmények” esetén is. Ez megteremti a lehetőségét annak, hogy Kína önkényesen további esetkörökre is kiterjeszthesse a PIPL alkalmazását, amely bizonytalan környezetet eredményez a Kínával nemzetközi kapcsolatokat ápoló külföldi cégek részére - írta közleményében az ügyvédi iroda.

Hasonlóképpen aggasztó, hogy a GDPR eleve rendkívül magas bírságolási rátáját is felülmúlja a kínai rezsim. Míg a GDPR az előző évi árbevétel 2, illetve 4 százalék mértékű bírságolási mértékkel operál, addig a PIPL a vállalat előző évi forgalmának 5 százalékáig terjedő adatvédelmi bírság kiszabására ad lehetőséget

– figyelmeztet Kopasz János adatvédelmi szakértő.

A Kínával kapcsolatban álló európai adatkezelőkre komoly terhet róhat, hogy a GDPR-ból ismert hatásvizsgálatok dokumentálása és a megfelelő szervezeti technikai intézkedések kiépítése mellett további többletkötelezettségként jelenik meg, hogy adatkezeléseiket rendszeresen auditáltatni kell a kínai adatvédelmi hatósággal.

Az állami szerveknek kötelező a személyes adatokat Kínán belül tárolniuk és csak rendkívül kivételes körülmények között, külön engedéllyel kerülhet sor az adatok exportálására az állami felügyeleti szervek közreműködésével végzett biztonsági kockázatértékelést követően. A nem állami szervek esetén is szigorú korlátok közé szorították az adattovábbításokat.

A GDPR-ból ismert elven túlmenően, miszerint a Kínán kívülre történő adatokat ugyanolyan védelemben kell részesíteni, mint a Kínán belül megvalósuló adatkezelések során, az adattovábbítás előtt az érintetteket külön tájékoztatni kell az adattovábbításról és be kell kérni a hozzájárulásukat. „Az adattovábbítások kapcsán további adalék, hogy a kínai polgárok jogait és érdekeit sértő vagy Kína nemzetbiztonságát vagy közérdekét veszélyeztető módon adatkezelést végző külföldi szervezetek egy nyilvánosan elérhető „feketelistára” kerülhetnek. A lista szereplői Kínából exportált adatok fogadásában nem vehetnek részt” – teszi hozzá Kopasz.

Egy olyan magyar vállalkozásnak, amely Európán kívül folytat tevékenységet, a GDPR alapján eleve alaposan meg kell vizsgálnia, hogy milyen jogalapon továbbíthat harmadik országba adatokat.

A GDPR szerinti adattovábbítás értékelésén túlmenően azonban már a PIPL szabályai közötti magabiztos eligazodás is nélkülözhetetlenné válik 2021. november 1-től a Kínába történő adattovábbítások során.

Egy globális vállalat tehát könnyen határokon átnyúló adatvédelmi jogszabályok kereszttüzében találhatja magát. Ilyen esetben komoly felkészültséget igényel annak biztosítása, hogy adatkezelései és adatvédelmi dokumentumai megfeleljenek például a CCPA, GDPR, PIPL rendelkezéseinek - írták a Taylor Wessing szakértői.