Hvordan overholder man PIPL?

Kinas databeskyttelseslov, PIPL (Personal Information Protection Law), trådte i kraft den 1. november 2021 – omtrent tre år efter GDPR’s indførelse i Europa. PIPL betragtes allerede som en af verdens mest omfattende datalove og har betydning for alle virksomheder, der arbejder med persondata om kinesiske borgere, uanset hvor i verden virksomheden er placeret. Hvis jeres virksomhed har aktiviteter eller kunder i Kina, er det vigtigt at kende reglerne. Manglende overholdelse kan føre til høje bøder, sortlistning og alvorlige restriktioner fra de kinesiske myndigheders side. I denne artikel får I overblik over, hvad PIPL betyder, og hvordan I sikrer, at jeres virksomhed efterlever datalovgivningen.

PIPL gælder ikke kun inden for Kinas egne grænser – loven har også betydning for virksomheder uden for Kina. Hvis jeres virksomhed tilbyder produkter eller services til personer bosat i Kina, eller hvis I overvåger eller analyserer adfærd blandt kinesiske borgere, skal I overholde PIPL-reglerne. Det gælder uanset, hvor i verden jeres virksomhed er placeret. Derfor bør enhver virksomhed med kinesiske kunder eller besøgende være opmærksom på PIPL for at undgå juridiske konsekvenser.

Hvis jeres virksomhed overtræder PIPL, kan konsekvenserne være alvorlige. Bøderne kan løbe op i hele 5 % af virksomhedens årlige omsætning fra året før eller op til 50 millioner kinesiske yuan (cirka 6,7 millioner euro). Dette gælder især ved grove overtrædelser, selvom præcis hvad “grov” betyder endnu ikke er klart defineret i loven.

Ud over økonomiske sanktioner har den kinesiske myndighed Cyberspace Administration of China (CAC), som er det primære organ med ansvar for håndhævelse af databeskyttelse i henhold til PIPL, mulighed for at sætte jeres aktiviteter på pause eller lukke dem helt ned. De kan også trække jeres forretnings- og administrative licenser tilbage eller placere jer på en offentlig ”sortliste”, hvilket vil forhindre eller begrænse jer i at indsamle og behandle personoplysninger fremover.

PIPL beskytter alle oplysninger, der kan bruges til at identificere en person, uanset om de behandles digitalt eller på anden vis. Det gælder ikke kun almindelige personoplysninger, men også såkaldt følsomme data. Følsomme data defineres bredt som oplysninger, der kan forårsage alvorlig skade, hvis de misbruges eller deles uden tilladelse. Eksempler er biometriske data, religiøs overbevisning, sundhedsoplysninger, finansielle data, individuel lokation og oplysninger om børn under 14 år.

PIPL lægger vægt på følgende principper for behandling af data:

• Lovlighed
• Hensigtsmæssighed
• Nødvendighed og god tro
• Klart og rimeligt formål (omfatter dataminimering)
• Åbenhed og gennemsigtighed
• Kvalitetssikring og ansvarlighed (omfatter nøjagtighed og sikkerhed)

PIPL kræver et “klart og rimeligt formål” for behandling af data, og at indsamlingen af personlige oplysninger minimeres og ikke overdrevent, sammen med sikkerheden af personlige oplysninger. PIPL kræver, at virksomheder etablerer politikker og procedurer for beskyttelse af personoplysninger, implementerer teknologiske løsninger for at sikre datasikkerhed og udfører risikovurderinger, før de deltager i visse behandlingsaktiviteter.

Når I behandler følsomme data, stiller PIPL særligt strenge krav. I skal altid have eksplicit og separat samtykke fra den registrerede. Samtykke er faktisk det primære juridiske grundlag under PIPL, og modsat GDPR kan virksomheder ikke anvende ”legitime interesser” som behandlingsgrundlag. Det betyder, at I skal være særligt opmærksomme på altid at indhente klart, frivilligt og informeret samtykke – især når I behandler eller overfører følsomme oplysninger.

Det er specifikt fastsat, at organisationer skal etablere en mekanisme til at modtage og behandle anmodninger om enkeltpersoners rettigheder. Der er ingen specifikke krav til tidsfrister eller forlængelsesperioder. Hvis en persons anmodning om udøvelse af sine rettigheder afvises, skal der også gives en begrundelse herfor. Enkeltpersoner kan til gengæld anlægge sag ved en folkedomstol i henhold til loven for at anfægte afslaget på deres anmodninger om DSR.

Enkeltpersoner har “ret til at vide og ret til at beslutte”, når det drejer sig om deres personlige oplysninger, og sagsbehandlere skal forklare deres regler for håndtering. PIPL indeholder et yderligere krav om, at behandlere af personoplysninger skal underrette enkeltpersoner om den modtagende parts navn/personlige navn og kontaktmetode, når de deler deres data med tredjeparter.

Enkeltpersoner har ret til at få adgang til og kopiere deres personlige oplysninger fra de registeransvarlige. Følgende er nogle få undtagelser fra denne ret:

• Når statslige organer behandler personoplysninger med henblik på at opfylde lovbestemte opgaver og ansvar
• Når det i love eller administrative bestemmelser er fastsat, at fortroligheden af personoplysninger skal bevares

Et unikt kendetegn ved PIPL er, at alle datarettigheder strækker sig ud over en persons død og kan udøves af nære slægtninge til afdøde, medmindre andet aftales af den afdøde i løbet af deres levetid.

Enkeltpersoner har ret til sletning og kræver, at en dataansvarlig proaktivt sletter personlige oplysninger, når en af følgende omstændigheder indtræffer; hvis den personoplysningsansvarlige ikke har slettet deres oplysninger under disse omstændigheder, har enkeltpersoner ret til at anmode om sletning, når:

• Behandlingsformålet er nået, er umuligt at nå, eller de personlige oplysninger er ikke længere nødvendige for at nå behandlingsformålet
• De dataansvarlige ophører med at levere produkter eller tjenester, eller opbevaringsperioden er udløbet
• Den pågældende trækker sit samtykke tilbage
• Den dataansvarlige har behandlet personoplysningerne i strid med love, administrative bestemmelser eller aftaler
• Andre omstændigheder, der er fastsat i love eller administrative bestemmelser

Hvis den opbevaringsperiode, der er fastsat i love eller administrative bestemmelser, ikke er udløbet, eller hvis det er teknisk vanskeligt at slette personoplysninger, skal de registeransvarlige ophøre med at behandle personoplysninger undtagen til opbevaring og træffe de nødvendige sikkerhedsbeskyttelsesforanstaltninger. PIPL giver også enkeltpersoner ret til at begrænse eller nægte andres behandling af deres personlige oplysninger, medmindre andet er fastsat i love eller administrative bestemmelser.

Enkeltpersoner har ret til at anmode behandlere af personlige oplysninger om at rette eller supplere deres personlige oplysninger. Når enkeltpersoner anmoder om at få rettet eller suppleret deres personoplysninger, skal de registeransvarlige kontrollere personoplysningerne og rette eller supplere dem rettidigt.

Enkeltpersoner har ret til at anmode en dataansvarlig om at overføre deres personlige oplysninger til en anden dataansvarlig. De specifikke betingelser for flytning af data vil dog blive fastlagt af statens cybersikkerheds- og informationsafdelinger.

I PIPL har enkeltpersoner ret til at trække samtykke tilbage. PIPL anfører dog, at tilbagekaldelse af en persons samtykke ikke påvirker effektiviteten af de personoplysninger, der er udført på baggrund af den enkeltes samtykke før tilbagetrækningen.

PIPL indeholder ikke en udtrykkelig ret til at gøre indsigelse mod automatiserede afgørelser. Den kræver dog, at hvis den dataansvarlige foretager informationsudvidelser eller kommercielt salg til enkeltpersoner ved hjælp af automatiserede beslutningsmetoder, skal den dataansvarlige give mulighed for ikke at målrette en persons karakteristika eller give den pågældende en praktisk metode til at nægte den automatiserede beslutningstagning.

Organisationer bør foretage risikovurderinger og registrere dem, før de udfører “specifikke aktiviteter til behandling af personoplysninger”, som har en betydelig indvirkning på enkeltpersoner, såsom behandling af følsomme PI, automatisk beslutningstagning, overdragelse af behandlere, levering af PI til tredjeparter osv. Selv når sikkerhedsstandarden ikke er opfyldt, er det stadig fornuftigt at gennemføre en DPIA for at minimere ansvar og sikre, at bedste praksis for datasikkerhed følges i jeres organisation.

PIPL indeholder ikke et udtrykkeligt krav om at føre en fortegnelse over databehandlingsaktiviteter. PIPL pålægger imidlertid de registeransvarlige forpligtelser til regelmæssigt at foretage revisioner af deres aktiviteter vedrørende personoplysninger og overholdelse af love og administrative bestemmelser. Den kræver også, at rapporter om konsekvensanalyser vedrørende beskyttelse af personoplysninger og statusoptegnelser over behandlingen skal opbevares i mindst tre år.

Offshore-organisationer, der behandler oplysninger om kinesiske borgere, skal oprette et særligt kontor eller udpege en repræsentant i Kina, som skal være ansvarlig for beskyttelsen af personoplysninger i Kina.

I PIPL indsamles kun de oplysninger, der er nødvendige for at nå det angivne formål, vedtager strenge beskyttelsesforanstaltninger og indhenter separat, specifikt samtykke ved behandling af følsomme oplysninger. I skal også informere enkeltpersoner om nødvendigheden af og virkningen på deres rettigheder og interesser af behandlingen af deres følsomme personoplysninger.

Overførsel af personoplysninger uden for Kinas område bør opfylde tre nødvendige betingelser: 1) indhentning af den registrerede persons særskilte og informerede samtykke, 2) gennemførelse af en konsekvensanalyse af beskyttelsen af personoplysninger og registrering heraf og 3) vedtagelse af en af de foranstaltninger, der er fastsat i PIPL, for at sikre, at der er tilstrækkelige garantier i forbindelse med overførslen.

PIPL pålægger også eksportører af personoplysninger en forpligtelse til at sikre, at databeskyttelses-standarderne overholdes efter overførslen. PIPL fastsætter, at uden godkendelse fra den kinesiske tilsynsmyndighed må personlige oplysninger, der er lagret i Kina, ikke videregives til retslige eller retshåndhævende myndigheder uden for Kina. Denne bestemmelse er i overensstemmelse med den nyligt vedtagne kinesiske lov om datasikkerhed.

De registeransvarlige skal udpege databeskyttelsesansvarlige i specifikke situationer, afhængigt af mængden af personoplysninger, de behandler, til at udpege databeskyttelsesansvarlige. Kinas statslige cybersikkerheds- og informationsafdeling vil skabe klarhed om volumengrænsen. De registeransvarlige skal også oplyse, hvordan de kan kontakte de databeskyttelsesansvarlige for personoplysninger og oplyse navnene på de ansvarlige og kontaktmetoderne til de afdelinger, der varetager opgaver og ansvar for beskyttelse af personoplysninger.

Den dataansvarlige skal have en intern forvaltningsstruktur og driftsregler, rammer for behandlingsgrænser og tekniske sikkerhedsforanstaltninger som f.eks. kryptering og pseudonymisering. De registeransvarlige bør også have en mekanisme til kategoriseret forvaltning af personoplysninger. De registeransvarlige bør foretage revisioner af deres behandlingsaktiviteter og overholdelse af andre love, gennemføre sikkerhedsuddannelse af deres ansatte og gennemføre yderligere sikkerhedsforanstaltninger for følsomme personoplysninger og behandling.

Ved et brud på datasikkerheden under PIPL skal I straks reagere og kontakte Cyberspace Administration of China samt informere de personer, der er berørt af hændelsen. Hvis I hurtigt får kontrol over situationen og effektivt sikrer, at bruddet ikke medfører skade for de berørte personer, behøver I dog ikke informere dem individuelt.

I Safe Online laver vi værktøjer, der er overholder internationale dataforordninger som bl.a. PIPL.

• Ultimate Guide to PIPL Compliance: Navigating China’s Personal Information Protection Law