Forskellen på Kinas PIPL og Europas GDPR
Kinas PIPL trådte officielt i kraft den 1. november 2021, mens Europas GDPR startede den 25. maj 2018. Den seneste databeskyttelsesforordning (og den med potentielt størst rækkevidde) er Kinas lov om beskyttelse af personlige oplysninger. PIPL er relevant for jer, hvis I driver forretning i Kina. Konsekvenserne af ikke at kende til den kan omfatte høje bøder, sortlistning og begrænsning af aktiviteter fra regeringens side. Denne blog sammenligner PIPL med GDPR.
Hvor gælder PIPL?
Ud over at regulere organisationers og enkeltpersoners håndtering af personoplysninger, der tilhører fysiske personer inden for Kinas jurisdiktion, udvider PIPL’s artikel 3 det territoriale anvendelsesområde uden for Kinas grænser.
Databehandlingsaktiviteter, der er etableret uden for Kina, er også omfattet, hvis en af følgende omstændigheder er til stede:
Formålet er at levere varer eller tjenesteydelser til fysiske personer inden for Kinas grænser
Andre omstændigheder, der er fastsat i love eller administrative bestemmelser.
Gennemførelse af analyser eller vurderinger af fysiske personers aktiviteter inden for de indre grænser
Alle websteder, virksomheder og organisationer i verden bør derfor overholde PIPL, hvis de tilbyder varer eller tjenester til kinesiske borgere.
Dette gælder for GDPR: Beskytter personer i EU (uanset nationalitet) og regulerer organisationer, der er etableret i EU, samt organisationer, der er beliggende uden for EU, hvis organisationen:
Tilbyder varer eller tjenester til eller overvåger adfærden hos registrerede personer i EU.
Har et websted, der er tilgængeligt for alle, der bor i eller besøger EU.
Alle websteder, virksomheder og organisationer (dataansvarlige) i verden skal derfor overholde GDPR, hvis de tilbyder varer eller tjenester til enkeltpersoner i EU.
PIPL vs. GDPR: Hvis I tilbyde tjenester til, eller hvis jeres websted er tilgængeligt for kinesiske borgere/personer, der bor i eller besøger EU, bør I være forberedt på at overholde deres respektive regler.
Bøder ved overtrædelse af PIPL
Op til 5 % af en virksomheds årlige omsætning i det foregående år eller 50 mio. CNY (ca. 6,7 mio. EUR).
Dette gælder for GDPR: Op til 20 millioner euro eller 4 procent af den globale omsætning i det foregående regnskabsår, alt efter hvad der er højest.
PIPL vs. GDPR: PIPL’s øvre grænse for bøder er for “alvorlige” overtrædelser (et udefineret begreb). Selv om det ikke er så højt som EU’s maksimum, kan de kinesiske myndigheder også: suspendere de ulovlige forretningsaktiviteter, stoppe forretningsaktiviteterne helt, annullere administrative og forretningsmæssige licenser eller placere de ulovlige organisationer på en sortliste og begrænse eller forbyde dem at indsamle personoplysninger.
Håndhævelse af PIPL
Cyberspace Administration of China er det primære organ med ansvar for håndhævelse af databeskyttelse i henhold til PIPL, men der er flere andre ministerier i statsrådet, som også kan regulere PIPL og udstede gennemførelsesbestemmelser.
Dette gælder for GDPR: Den relevante tilsynsmyndighed er det håndhævende organ, der har en række administrative og undersøgelsesbeføjelser. De registrerede brugere har ret til administrative retsmidler, herunder ret til at indgive en klage til den relevante tilsynsmyndighed samt ret til et effektivt retsmiddel mod en registeransvarlig eller registerfører.
PIPL og typer af beskyttede data
Alle former for oplysninger, der registreres elektronisk eller på anden måde, og som vedrører identificerede eller identificerbare fysiske personer.
Dette gælder for GDPR: Enhver oplysning vedrørende en identificeret eller identificerbar fysisk person.
PIPL vs. GDPR: Det anvendte sprog giver de kinesiske og europæiske myndigheder mulighed for at anlægge en bred tilgang, når de fortolker, hvad der i praksis udgør personlige oplysninger. Begge forordninger udelukker anonymiserede data.
Definition af følsomme data ifølge PIPL
Personoplysninger, der, når de videregives eller anvendes ulovligt, let kan forårsage alvorlig skade på fysiske personers værdighed, personlige sikkerhed eller ejendomssikkerhed, herunder oplysninger om biometriske kendetegn, religiøs overbevisning, særlig udpeget status, medicinsk helbred, finansielle konti, individuel lokaliseringssporing osv. samt personoplysninger om mindreårige under 14 år. I artikel 29 hedder det, at der skal indhentes et særskilt samtykke fra den enkelte for at behandle følsomme personoplysninger. Det er uklart, om det særskilte samtykke i denne bestemmelse er den eneste forudsætning for behandling af følsomme personoplysninger, eller om det andet retsgrundlag i artikel 13 også kan anvendes. Visse kategorier af følsomme personoplysninger, såsom medicinske sundhedsdata og finansielle konti, er specifikt reguleret i andre love og forordninger, og virksomhederne bør klassificere forskellige typer af personoplysninger i overensstemmelse hermed.
Dette gælder for GDPR: Personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning eller medlemskab af en fagforening, og behandling af genetiske data, biometriske data med henblik på entydig identifikation af en fysisk person, data vedrørende sundhed eller data vedrørende en fysisk persons seksuelle liv eller seksuelle orientering er forbudt.
PIPL vs. GDPR: PIPL har en åben liste, der beskriver følsomme data, som “let kan forårsage alvorlig skade”, mens GDPR har en lukket liste, der fokuserer på specifikke kategorier, hvilket gør det muligt for PIPL at betragte visse data som følsomme, som GDPR måske ikke gør.
Samtykke og lovligt grundlag for behandling i PIPL
Det mest almindelige retsgrundlag er samtykke, som skal være informeret, frivilligt og udtrykkeligt. (artikel 13 indeholder en liste over andre retsgrundlag). Hvis formålet med behandlingen, behandlingsmetoden og typen af de behandlede personoplysninger ændres, skal den enkeltes samtykke indhentes på ny.
Dette gælder for GDPR: Samtykket skal være frit givet, specifikt, informeret og en utvetydig angivelse af den registreredes ønsker. (artikel 6 indeholder en liste over andre retsgrundlag).
PIPL vs. GDPR: PIPL anerkender ikke “den dataansvarliges legitime interesser” som et retsgrundlag for behandling af personoplysninger. Dette og andre aspekter af PIPL lægger ekstra vægt på, at der altid skal indhentes samtykke.
Meddelelser om beskyttelse af personlige oplysninger for PIPL
Virksomhederne skal give forbrugerne en omfattende beskrivelse af deres online- og offlinepraksis vedrørende indsamling, brug, videregivelse og salg af personoplysninger og datarettigheder i et klart og letforståeligt sprog.
Dette gælder for GDPR: Organisationer skal give en række oplysninger til de registrerede forud for behandlingen af deres personoplysninger, uanset om personoplysningerne indsamles direkte fra de registrerede eller ej. Alle meddelelser om beskyttelse af personlige oplysninger skal være:
Kortfattet
Let tilgængelig
I et klart og tydeligt sprog
Principper for forarbejdning
Lovlighed, hensigtsmæssighed, nødvendighed og god tro, klart og rimeligt formål (herunder dataminimering), åbenhed og gennemsigtighed, kvalitetssikring og ansvarlighed (herunder nøjagtighed og sikkerhed).
Dette gælder for GDPR: Lovlighed og nødvendighed, formålsbegrænsning, begrænsning af indsamling, åbenhed og gennemsigtighed, nøjagtighed, ansvarlighed og sikkerhed
PIPL vs. GDPR: PIPL kræver et “klart og rimeligt formål” med behandlingen af data, og at indsamlingen af personlige oplysninger skal være minimeret og ikke overdreven, samt at sikkerheden af personlige oplysninger skal være sikret. PIPL kræver, at PIPE’er skal udarbejde politikker og procedurer for beskyttelse af personoplysninger, implementere teknologiske løsninger til at sikre datasikkerhed og foretage risikovurderinger, før de indleder visse behandlingsaktiviteter.
Lokal repræsentant i PIPL
Offshore-organisationer, der behandler oplysninger om kinesiske borgere, skal oprette et særligt kontor eller udpege en repræsentant i Kina, som skal være ansvarlig for beskyttelsen af personoplysninger i Kina.
I PIPL indsamles kun de oplysninger, der er nødvendige for at nå det angivne formål, vedtager strenge beskyttelsesforanstaltninger og indhenter separat, specifikt samtykke ved behandling af følsomme oplysninger. Du skal også informere enkeltpersoner om nødvendigheden af og virkningen på deres rettigheder og interesser af behandlingen af deres følsomme personoplysninger.
Dette gælder for GDPR: En EU-repræsentant er også påkrævet for offshore-organisationer. Krav til behandling af følsomme personlige oplysninger. I GDPR behandlse følsomme personoplysninger med den registreredes udtrykkelige samtykke (nogle undtagelser).
PIPL vs. GDPR: PIPL har en risikobaseret tilgang og pålægger skærpede overensstemmelsesforpligtelser i bestemte højrisikoscenarier, f.eks. internetplatforme med et stort antal brugere, store datamængder og følsomme data.
PIPL og opfyldelse af de registreredes rettigheder
Det er specifikt fastsat, at organisationer skal etablere en mekanisme til at modtage og behandle anmodninger om enkeltpersoners rettigheder. Der er ingen specifikke krav til tidsfrister eller forlængelsesperioder. Hvis en persons anmodning om udøvelse af sine rettigheder afvises, skal der også gives en begrundelse herfor. Enkeltpersoner kan til gengæld anlægge sag ved en folkedomstol i henhold til loven for at anfægte afslaget på deres anmodninger om DSR.
Dette gælder for GDPR: De dataansvarlige skal besvare anmodninger om registreredes rettigheder “uden unødig forsinkelse” og normalt inden for en måned efter modtagelsen af anmodningen. Svartiden kan forlænges til yderligere to måneder i tilfælde af komplekse anmodninger.
PIPL vs. GDPR: PIPL har ikke fastsat en tidsfrist for besvarelse af anmodninger, mens der er en frist på 30 dage for GDPR-forespørgsler.
PIPL og Ret til at vide og beslutte/blive informeret
Enkeltpersoner har “ret til at vide og ret til at beslutte”, når det drejer sig om deres personlige oplysninger, og sagsbehandlere skal forklare deres regler for håndtering.
Dette gælder for GDPR: Retten til at blive informeret kræver, at de registeransvarlige skal give den registrerede visse oplysninger, når personoplysninger indsamles. Alle relevante oplysninger i forbindelse med databehandlingen skal gives i en kortfattet, gennemsigtig, forståelig og lettilgængelig form og i et klart og tydeligt sprog til den registrerede.
PIPL vs. GDPR: PIPL indeholder et yderligere krav om, at personer, der behandler personoplysninger, skal underrette enkeltpersoner om navn/personnavn og kontaktmetode for den modtagende part, når de deler deres oplysninger med tredjeparter. GDPR kræver kun, at den dataansvarlige skal underrette de registrerede om, hvilken type tredjepartsmodtager der er tale om.
PIPL og Ret til adgang
Enkeltpersoner har ret til at få adgang til og kopiere deres personlige oplysninger fra de registeransvarlige. Følgende er nogle få undtagelser fra denne ret:
Når statslige organer behandler personoplysninger med henblik på at opfylde lovbestemte opgaver og ansvar.
Når det i love eller administrative bestemmelser er fastsat, at fortroligheden af personoplysninger skal bevares.
Dette gælder for GDPR: I henhold til GDPR omfatter retten til indsigt retten til at få en bekræftelse fra den dataansvarlige om, hvorvidt personoplysninger behandles eller ej, adgang til personoplysningerne og mere.
PIPL og Ret til sletning/blokering/begrænsning
Enkeltpersoner har ret til sletning og kræver, at en dataansvarlig proaktivt sletter personlige oplysninger, når en af følgende omstændigheder indtræffer; hvis den personoplysningsansvarlige ikke har slettet deres oplysninger under disse omstændigheder, har enkeltpersoner ret til at anmode om sletning, når:
Behandlingsformålet er nået, er umuligt at nå, eller de personlige oplysninger er ikke længere nødvendige for at nå behandlingsformålet.
De dataansvarlige ophører med at levere produkter eller tjenester, eller opbevaringsperioden er udløbet.
Den pågældende trækker sit samtykke tilbage.
Den dataansvarlige har behandlet personoplysningerne i strid med love, administrative bestemmelser eller aftaler.
Andre omstændigheder, der er fastsat i love eller administrative bestemmelser.
Hvis den opbevaringsperiode, der er fastsat i love eller administrative bestemmelser, ikke er udløbet, eller hvis det er teknisk vanskeligt at slette personoplysninger, skal de registeransvarlige ophøre med at behandle personoplysninger undtagen til opbevaring og træffe de nødvendige sikkerhedsbeskyttelsesforanstaltninger. PIPL giver også enkeltpersoner ret til at begrænse eller nægte andres behandling af deres personlige oplysninger, medmindre andet er fastsat i love eller administrative bestemmelser.
Dette gælder for GDPR: Retten til sletning af personoplysninger gælder i følgende tilfælde: GDPR: Retten til sletning af personoplysninger gælder i følgende tilfælde:
Når personoplysningerne ikke længere er nødvendige til de formål, hvortil de blev indsamlet.
Når den registrerede trækker sit samtykke tilbage.
Når den registrerede gør indsigelse mod databehandling på grundlag af legitim interesse.
Når den registrerede gør indsigelse mod, at oplysninger behandles med henblik på direkte markedsføring.
Når personoplysningerne behandles ulovligt.
Når personoplysninger skal slettes for at overholde en retlig forpligtelse.
Når et barn ønsker at slette oplysninger i forbindelse med levering af informationssamfundstjenester til et barn.
Retten til at begrænse behandlingen finder anvendelse, når den registrerede anfægter oplysningernes nøjagtighed, når behandlingen er ulovlig, og når den registrerede modsætter sig sletning og anmoder om begrænsning. Den registeransvarlige skal underrette de registrerede, inden en sådan begrænsning ophæves.
Få en GRATIS licens til ShareSimple i dag!
PIPL og Ret til at rette og ændre
Enkeltpersoner har ret til at anmode behandlere af personlige oplysninger om at rette eller supplere deres personlige oplysninger. Når enkeltpersoner anmoder om at få rettet eller suppleret deres personoplysninger, skal de registeransvarlige kontrollere personoplysningerne og rette eller supplere dem rettidigt.
Dette gælder for GDPR: De registrerede har ret til at få den dataansvarlige til at berigtige urigtige personoplysninger og til at få ufuldstændige personoplysninger suppleret. Denne rettighed er tæt forbundet med princippet om nøjagtighed i GDPR (artikel 5, stk. 1, litra d)), som kræver, at de registeransvarlige skal holde personoplysninger korrekte.
PIPL og Ret til dataportabilitet
Enkeltpersoner har ret til at anmode en dataansvarlig om at overføre deres personlige oplysninger til en anden dataansvarlig. De specifikke betingelser for flytning af data vil dog blive fastlagt af statens cybersikkerheds- og informationsafdelinger.
Dette gælder for GDPR: Retten til dataportabilitet defineres som retten til at modtage dataene i et struktureret, almindeligt anvendt og maskinlæsbart format og til at overføre dataene til en anden dataansvarlig uden hindringer, når det er teknisk muligt at gøre det. GDPR begrænser udøvelsen af retten til dataportabilitet, hvis det har en negativ indvirkning på andres rettigheder og frihedsrettigheder.
PIPL og Ret til at gøre indsigelse
Ikke udtrykkeligt behandlet.
Dette gælder for GDPR: GDPR giver registrerede personer ret til at gøre indsigelse og tilbagekalde deres samtykke til behandling af personoplysninger. De registrerede har ret til at gøre indsigelse mod behandlingen af deres personoplysninger, hvis behandlingen er baseret på legitime interesser, offentlige interesser eller den registreredes samtykke. Som følge af en gyldig indsigelse må den registeransvarlige ikke længere behandle den registreredes personoplysninger, medmindre den registeransvarlige kan påvise tvingende, legitime grunde til behandlingen. Disse grunde skal være tilstrækkeligt tvingende til at tilsidesætte den registreredes interesser, rettigheder og frihedsrettigheder. De registrerede har også ret til at gøre indsigelse mod, at deres oplysninger behandles til direkte markedsføringsformål.
PIPL og Ret til at tilbagekalde samtykke
Enkeltpersoner har ret til at trække deres samtykke tilbage.
Dette gælder for GDPR: Ingen, men retten til at gøre indsigelse kan dog bruges på denne måde.
Bemærk: PIPL fastslår, at tilbagetrækning af en persons samtykke ikke påvirker effektiviteten af de aktiviteter til behandling af personoplysninger, der er blevet udført på grundlag af den pågældendes samtykke før tilbagetrækningen.
PIPL og Ret til at gøre indsigelse mod automatiseret beslutningstagning
PIPL indeholder ikke en udtrykkelig ret til at gøre indsigelse mod automatiserede afgørelser. Den kræver dog, at hvis den dataansvarlige foretager informationsudvidelser eller kommercielt salg til enkeltpersoner ved hjælp af automatiserede beslutningsmetoder, skal den dataansvarlige give mulighed for ikke at målrette en persons karakteristika eller give den pågældende en praktisk metode til at nægte den automatiserede beslutningstagning.
Dette gælder for GDPR: GDPR giver registrerede personer ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, og som har retsvirkninger eller på lignende måde påvirker dem væsentligt. Forbuddet mod automatiseret beslutningstagning gælder ikke, hvis behandlingen er tilladt ved lov, er nødvendig for at forberede og gennemføre en kontrakt eller sker med den registreredes udtrykkelige samtykke. I sådanne situationer kræver GDPR, at de dataansvarlige gennemfører passende foranstaltninger til at beskytte den registreredes rettigheder, frihedsrettigheder og legitime interesser, som minimum retten til at få menneskelig indgriben fra den dataansvarliges side, til at give udtryk for sit synspunkt og til at anfægte beslutningen.
PIPL og krav til konsekvensanalyser vedrørende databeskyttelse (DPIA)
Organisationer bør foretage risikovurderinger og registrere dem, før de udfører “specifikke aktiviteter til behandling af personoplysninger”, som har en betydelig indvirkning på enkeltpersoner, såsom behandling af følsomme PI, automatisk beslutningstagning, overdragelse af behandlere, levering af PI til tredjeparter osv.
Dette gælder for GDPR: En konsekvensanalyse af databeskyttelse (DPIA) er påkrævet i henhold til GDPR, hver gang I påbegynder et nyt projekt, der sandsynligvis vil indebære “en høj risiko” for andre personers personlige oplysninger.
Vidste I? En af de vigtigste måder at vise myndighederne, at jeres organisation overholder PIPL og GDPR på, er at udarbejde en DPIA for hver af jeres databehandlingsaktiviteter med høj risiko. Selv når højrisikostandarden ikke er opfyldt, er det stadig klogt at gennemføre en DPIA for at minimere ansvar og sikre, at bedste praksis for datasikkerhed og privatlivets fred følges i jeres organisation.
Krav om grænseoverskridende dataoverførsel for PIPL
Overførsel af personoplysninger uden for Kinas område bør opfylde tre nødvendige betingelser: 1) indhentning af den registrerede persons særskilte og informerede samtykke, 2) gennemførelse af en konsekvensanalyse af beskyttelsen af personoplysninger og registrering heraf og 3) vedtagelse af en af de foranstaltninger, der er fastsat i PIPL, for at sikre, at der er tilstrækkelige garantier i forbindelse med overførslen.
PIPL pålægger også eksportører af personoplysninger en forpligtelse til at sikre, at databeskyttelsesstandarderne overholdes efter overførslen. PIPL fastsætter, at uden godkendelse fra den kinesiske tilsynsmyndighed må personlige oplysninger, der er lagret i Kina, ikke videregives til retslige eller retshåndhævende myndigheder uden for Kina. Denne bestemmelse er i overensstemmelse med den nyligt vedtagne kinesiske lov om datasikkerhed.
Dette gælder for GDPR: De registeransvarlige skal informere den registrerede om deres hensigt om overførsel af oplysninger til et tredjeland på det tidspunkt, hvor personoplysningerne indsamles fra den registrerede, herunder oplysninger om, at der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet fra Kommissionen, eller i tilfælde af overførsler baseret på passende garantier, hvordan man kan få en kopi af dem.
I henhold til GDPR må personoplysninger kun overføres til et tredjeland eller en international organisation, hvis der er sikret et tilstrækkeligt beskyttelsesniveau (som skal fastlægges af EU-Kommissionen), eller hvis der er indført garantier for at sikre, at beskyttelsesniveauet i det væsentlige svarer til det niveau, der i øjeblikket er sikret i EU.
Lad os antage, at der ikke er truffet nogen afgørelse om et passende beskyttelsesniveau. I så fald er en overførsel kun tilladt, hvis den registeransvarlige eller databehandleren giver passende garantier, der sikrer de registreredes rettigheder.
Passende sikkerhedsforanstaltninger omfatter:
Bindende virksomhedsregler med specifikke krav (f.eks. et retsgrundlag for behandling, en opbevaringsperiode og klageprocedurer)
Standarddatabeskyttelsesklausuler, der er vedtaget af en tilsynsmyndighed og godkendt af EU-Kommissionen)
En godkendt adfærdskodeks
En godkendt certificeringsmekanisme
Juridisk bindende instrumenter for grænseoverskridende overførsler mellem offentlige myndigheder
Sikkerhedsforanstaltninger
Den dataansvarlige skal have en intern forvaltningsstruktur og driftsregler, rammer for behandlingsgrænser og tekniske sikkerhedsforanstaltninger som f.eks. kryptering og afidentificering. De registeransvarlige bør også have en mekanisme til kategoriseret forvaltning af personoplysninger. De registeransvarlige bør foretage revisioner af deres behandlingsaktiviteter og overholdelse af andre love, gennemføre sikkerhedsuddannelse af deres ansatte og gennemføre yderligere sikkerhedsforanstaltninger for følsomme personoplysninger og behandling.
Dette gælder for GDPR: kræver, at organisationer skal vedtage passende tekniske og organisatoriske foranstaltninger for at sikre sikkerheden i forbindelse med behandling af personoplysninger. Disse foranstaltninger kan omfatte følgende:
Kryptering og pseudonymisering af personoplysninger
Sikring af integritet, fortrolighed og tilgængelighed af behandlingssystemet
Hurtig genoprettelse af tilgængeligheden af og adgangen til personoplysninger
Vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.
Tip: Vis jeres forpligtelse til at beskytte forbrugernes privatliv ved at bruge avanceret sikkerheds- og overensstemmelsessoftware og ved at nævne det i politikker og kontrakter.
I tilfælde af brud på datasikkerheden
I skal straks træffe foranstaltninger og underrette det relevante organ og de berørte personer. Når de trufne foranstaltninger effektivt kan undgå skader på personoplysninger, behøver I ikke at underrette enkeltpersoner.
Dette gælder for GDPR: I skal underrette tilsynsmyndighederne om ethvert brud på persondatasikkerheden, der sandsynligvis vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder, uden unødig forsinkelse og senest 72 timer efter, at I har fået kendskab til bruddet.
PIPL vs. GDPR: PIPL fastsætter ikke en nøjagtig frist for underretning af tilsynsmyndighederne om databrud, mens GDPR giver 72 timer.
Tredjeparts forarbejdningsvirksomheder
Hvis de registeransvarlige inddrager betroede parter til behandling af personoplysninger, skal de indgå en aftale med de betroede parter om formålet med den betroede behandling, tidsfristen, behandlingsmetoden, kategorierne af personoplysninger, beskyttelsesforanstaltninger samt begge parters rettigheder og pligter osv. og føre tilsyn med den betroede persons behandling af personoplysninger.
De betroede parter skal behandle personoplysninger i overensstemmelse med aftalen og skal træffe de nødvendige foranstaltninger til at beskytte sikkerheden af de personoplysninger, de behandler, og bistå de registeransvarlige med at opfylde forpligtelserne i PIPL.
Dette gælder for GDPR: Dataansvarlige må kun samarbejde med de databehandlere, der giver tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger og beskytte registreredes rettigheder i henhold til kravene i GDPR. Databehandlere er forpligtet til kun at behandle personoplysninger efter dokumenterede instrukser fra de registeransvarlige.
Krav om databeskyttelsesansvarlig (DPO)
De registeransvarlige skal udpege databeskyttelsesansvarlige i specifikke situationer, afhængigt af mængden af personoplysninger, de behandler, til at udpege databeskyttelsesansvarlige. Kinas statslige cybersikkerheds- og informationsafdeling vil skabe klarhed om volumengrænsen. De registeransvarlige skal også oplyse, hvordan de kan kontakte de databeskyttelsesansvarlige for personoplysninger og oplyse navnene på de ansvarlige og kontaktmetoderne til de afdelinger, der varetager opgaver og ansvar for beskyttelse af personoplysninger.
Dette gælder for GDPR: I henhold til GDPR skal organisationer udpege en databeskyttelsesrådgiver, hvis databehandlingsaktiviteterne udføres af en offentlig myndighed (undtagen domstole i deres egenskab af domstole), hvis organisationens kerneaktiviteter består af regelmæssig og systematisk overvågning i stor skala, eller hvis organisationens kerneaktiviteter består af følsomme personoplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. Organisationer skal offentliggøre kontaktoplysningerne for den databeskyttelsesansvarlige og videregive dem til tilsynsmyndigheden.
PIPL vs. GDPR: Begge kræver, at der udpeges en databeskyttelsesansvarlig.
Forpligtelser vedrørende internetplatformstjenester
Dataansvarlige, der leverer internetplatformstjenester til et stort (udefineret) antal brugere og har komplekse forretningsmodeller, skal:
Etablering og gennemførelse af strukturer til overholdelse af reglerne for beskyttelse af personoplysninger
Oprettelse af et uafhængigt organ til at føre tilsyn med håndteringen af personlige oplysninger
Følger principperne om åbenhed, fairness og retfærdighed
straks ophøre med deres tjenesteudbud, hvis de er i alvorlig overtrædelse af loven
regelmæssigt offentliggøre rapporter om det sociale ansvar i forbindelse med håndtering af personoplysninger.
Dette gælder for GDPR: Internetplatforme behandles ikke særskilt.
PIPL vs. GDPR: PIPL indeholder yderligere forpligtelser for organisationer, der beskæftiger sig med internetplatformstjenester, mens GDPR ikke særskilt definerer eller indeholder forpligtelser for udbydere af internetplatformstjenester.
Registreringer og dokumentation
PIPL indeholder ikke et udtrykkeligt krav om at føre en fortegnelse over databehandlingsaktiviteter. PIPL pålægger imidlertid de registeransvarlige forpligtelser til regelmæssigt at foretage revisioner af deres aktiviteter vedrørende personoplysninger og overholdelse af love og administrative bestemmelser. Den kræver også, at rapporter om konsekvensanalyser vedrørende beskyttelse af personoplysninger og statusoptegnelser over behandlingen skal opbevares i mindst tre år.
Dette gælder for GDPR: Dataansvarlige er forpligtet til at føre en fortegnelse over behandlingsaktiviteter. Denne forpligtelse gælder ikke for organisationer med færre end 250 personer, medmindre behandlingen sandsynligvis vil medføre en risiko for de registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser. Med henblik på at påvise overholdelse af reglerne skal de registeransvarlige også dokumentere brud på persondatasikkerheden og erklæringer om samtykke, når databehandlingen er baseret på de registreredes samtykke.
PIPL vs. GDPR: GDPR kræver specifikke registreringer af databehandlingsaktiviteter, hvilket ikke er tilfældet i PIPL. Men begge holder jer ansvarlig for overholdelse. Dokumentation viser, at kravene er opfyldt.
Overhold PIPL på en smartere måde
I Safe Online laver vi værktøjer, der er overholder internationale dataforordninger som bl.a. PIPL.
Find jeres persondata med DataMapper
Håndter hvert trin i dataanmodningsprocessen med RequestManager
Del data sikkert på e-mail med ShareSimple
Mere information
Sebastian Allerelli
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →