Sådan overholder man PIPL

Kinas PIPL trådte officielt i kraft den 1. november 2021, mens Europas GDPR startede den 25. maj 2018. Den seneste databeskyttelsesforordning (og den med potentielt størst rækkevidde) er Kinas lov om beskyttelse af personlige oplysninger. PIPL er relevant for jer, hvis I driver forretning i Kina. Konsekvenserne af ikke at kende til den kan omfatte høje bøder, sortlistning og begrænsning af aktiviteter fra regeringens side. Denne blog kigger nærmere på Kinas PIPL og hvordan man som virksomhed kan overholde den kinesiske dataforordning.

Ud over at regulere organisationers og enkeltpersoners håndtering af personoplysninger, der tilhører fysiske personer inden for Kinas jurisdiktion, er PIPL en datalovgivning, der udvider det territoriale område ud over Kinas grænser. Databehandlingsaktiviteter, der er etableret uden for Kina, er også omfattet, hvis en af følgende omstændigheder er til stede:

• Formålet er at levere varer eller tjenesteydelser til fysiske personer inden for Kinas grænser
• Andre omstændigheder, der er fastsat i love eller administrative bestemmelser.
• Gennemførelse af analyser eller vurderinger af fysiske personers aktiviteter inden for de indre grænser

Alle websteder, virksomheder og organisationer i verden bør derfor overholde PIPL, hvis de tilbyder varer eller tjenester til kinesiske borgere.

Op til 5 % af en virksomheds årlige omsætning i det foregående år eller 50 mio. CNY (ca. 6,7 mio. EUR). PIPLs øvre grænse for bøder er for “alvorlige” overtrædelser (et udefineret udtryk). Kinesiske myndigheder kan også: suspendere krænkende forretningsaktiviteter, stoppe forretningsaktiviteter helt, annullere administrative licenser og forretningslicenser eller placere krænkende organisationer på en rød liste og begrænse eller forbyde dem at indsamle personlige data.

Cyberspace Administration of China er det primære organ med ansvar for håndhævelse af databeskyttelse i henhold til PIPL, men der er flere andre ministerier i statsrådet, som også kan regulere PIPL og udstede gennemførelsesbestemmelser.

PIPL beskytter alle former for information, uanset om den er registreret elektronisk eller på anden måde, der vedrører identificerede eller identificerbare fysiske personer (undtagen anonymiserede data). Sproget giver kinesiske myndigheder mulighed for at anlægge en bred tilgang, når de skal fortolke, hvad der er personlige oplysninger i praksis.

PIPL giver særlig beskyttelse til personlige oplysninger, der, hvis man skulle videregive dem eller bruge dem ulovligt, let kan forårsage alvorlig skade på fysiske personers værdighed, personlige eller ejendomsmæssige sikkerhed. Dette inkluderer, men er ikke begrænset til:

• Biometriske egenskaber
• Religiøse overbevisninger
• Specielt udpeget status, medicinsk sundhed
• Finansielle konti
• Individuel lokationssporing
• Personoplysninger om mindreårige under 14 år

Denne åbne liste beskriver følsomme data, der “let kan forårsage alvorlig skade”. På denne måde giver det PIPL mulighed for at betragte nogle data som følsomme, som GDPR måske ikke. For at behandle denne type følsomme personoplysninger, skal man indhente en individuel særskilt samtykke.

Det mest almindelige retsgrundlag er samtykke, som skal være informeret, frivilligt og udtrykkeligt. (artikel 13 indeholder en liste over andre retsgrundlag). Hvis formålet med behandlingen, behandlingsmetoden og typen af de behandlede personoplysninger ændres, skal den enkeltes samtykke indhentes på ny. I modsætning til GDPR anerkender PIPL ikke “legitime interesser forfulgt af den dataansvarlige” som et juridisk grundlag for behandling af personoplysninger. Dette og andre aspekter af PIPL lægger ekstra vægt på altid at indhente samtykke.

Virksomhederne skal give forbrugerne en omfattende beskrivelse af deres online- og offlinepraksis vedrørende indsamling, brug, videregivelse og salg af personoplysninger og datarettigheder i et klart og letforståeligt sprog.

PIPL lægger vægt på følgende principper for behandling af data:

• Lovlighed
• Hensigtsmæssighed
• Nødvendighed og god tro
• Klart og rimeligt formål (omfatter dataminimering)
• Åbenhed og gennemsigtighed
• Kvalitetssikring og ansvarlighed (omfatter nøjagtighed og sikkerhed)

PIPL kræver et “klart og rimeligt formål” for behandling af data, og at indsamlingen af personlige oplysninger minimeres og ikke overdrevent, sammen med sikkerheden af personlige oplysninger. PIPL kræver, at virksomheder etablerer politikker og procedurer for beskyttelse af personoplysninger, implementerer teknologiske løsninger for at sikre datasikkerhed og udfører risikovurderinger, før de deltager i visse behandlingsaktiviteter.

Offshore-organisationer, der behandler oplysninger om kinesiske borgere, skal oprette et særligt kontor eller udpege en repræsentant i Kina, som skal være ansvarlig for beskyttelsen af personoplysninger i Kina.

I PIPL indsamles kun de oplysninger, der er nødvendige for at nå det angivne formål, vedtager strenge beskyttelsesforanstaltninger og indhenter separat, specifikt samtykke ved behandling af følsomme oplysninger. I skal også informere enkeltpersoner om nødvendigheden af og virkningen på deres rettigheder og interesser af behandlingen af deres følsomme personoplysninger.

Det er specifikt fastsat, at organisationer skal etablere en mekanisme til at modtage og behandle anmodninger om enkeltpersoners rettigheder. Der er ingen specifikke krav til tidsfrister eller forlængelsesperioder. Hvis en persons anmodning om udøvelse af sine rettigheder afvises, skal der også gives en begrundelse herfor. Enkeltpersoner kan til gengæld anlægge sag ved en folkedomstol i henhold til loven for at anfægte afslaget på deres anmodninger om DSR.

Enkeltpersoner har “ret til at vide og ret til at beslutte”, når det drejer sig om deres personlige oplysninger, og sagsbehandlere skal forklare deres regler for håndtering. PIPL indeholder et yderligere krav om, at behandlere af personoplysninger skal underrette enkeltpersoner om den modtagende parts navn/personlige navn og kontaktmetode, når de deler deres data med tredjeparter.

Enkeltpersoner har ret til at få adgang til og kopiere deres personlige oplysninger fra de registeransvarlige. Følgende er nogle få undtagelser fra denne ret:

• Når statslige organer behandler personoplysninger med henblik på at opfylde lovbestemte opgaver og ansvar
• Når det i love eller administrative bestemmelser er fastsat, at fortroligheden af personoplysninger skal bevares

Et unikt kendetegn ved PIPL er, at alle datarettigheder strækker sig ud over en persons død og kan udøves af nære slægtninge til afdøde, medmindre andet aftales af den afdøde i løbet af deres levetid.

Enkeltpersoner har ret til sletning og kræver, at en dataansvarlig proaktivt sletter personlige oplysninger, når en af følgende omstændigheder indtræffer; hvis den personoplysningsansvarlige ikke har slettet deres oplysninger under disse omstændigheder, har enkeltpersoner ret til at anmode om sletning, når:

• Behandlingsformålet er nået, er umuligt at nå, eller de personlige oplysninger er ikke længere nødvendige for at nå behandlingsformålet
• De dataansvarlige ophører med at levere produkter eller tjenester, eller opbevaringsperioden er udløbet
• Den pågældende trækker sit samtykke tilbage
• Den dataansvarlige har behandlet personoplysningerne i strid med love, administrative bestemmelser eller aftaler
• Andre omstændigheder, der er fastsat i love eller administrative bestemmelser

Hvis den opbevaringsperiode, der er fastsat i love eller administrative bestemmelser, ikke er udløbet, eller hvis det er teknisk vanskeligt at slette personoplysninger, skal de registeransvarlige ophøre med at behandle personoplysninger undtagen til opbevaring og træffe de nødvendige sikkerhedsbeskyttelsesforanstaltninger. PIPL giver også enkeltpersoner ret til at begrænse eller nægte andres behandling af deres personlige oplysninger, medmindre andet er fastsat i love eller administrative bestemmelser.

Enkeltpersoner har ret til at anmode behandlere af personlige oplysninger om at rette eller supplere deres personlige oplysninger. Når enkeltpersoner anmoder om at få rettet eller suppleret deres personoplysninger, skal de registeransvarlige kontrollere personoplysningerne og rette eller supplere dem rettidigt.

Enkeltpersoner har ret til at anmode en dataansvarlig om at overføre deres personlige oplysninger til en anden dataansvarlig. De specifikke betingelser for flytning af data vil dog blive fastlagt af statens cybersikkerheds- og informationsafdelinger.

I PIPL har enkeltpersoner ret til at trække samtykke tilbage. PIPL anfører dog, at tilbagekaldelse af en persons samtykke ikke påvirker effektiviteten af de personoplysninger, der er udført på baggrund af den enkeltes samtykke før tilbagetrækningen.

PIPL indeholder ikke en udtrykkelig ret til at gøre indsigelse mod automatiserede afgørelser. Den kræver dog, at hvis den dataansvarlige foretager informationsudvidelser eller kommercielt salg til enkeltpersoner ved hjælp af automatiserede beslutningsmetoder, skal den dataansvarlige give mulighed for ikke at målrette en persons karakteristika eller give den pågældende en praktisk metode til at nægte den automatiserede beslutningstagning.

Organisationer bør foretage risikovurderinger og registrere dem, før de udfører “specifikke aktiviteter til behandling af personoplysninger”, som har en betydelig indvirkning på enkeltpersoner, såsom behandling af følsomme PI, automatisk beslutningstagning, overdragelse af behandlere, levering af PI til tredjeparter osv. Selv når sikkerhedsstandarden ikke er opfyldt, er det stadig fornuftigt at gennemføre en DPIA for at minimere ansvar og sikre, at bedste praksis for datasikkerhed følges i jeres organisation.

Overførsel af personoplysninger uden for Kinas område bør opfylde tre nødvendige betingelser: 1) indhentning af den registrerede persons særskilte og informerede samtykke, 2) gennemførelse af en konsekvensanalyse af beskyttelsen af personoplysninger og registrering heraf og 3) vedtagelse af en af de foranstaltninger, der er fastsat i PIPL, for at sikre, at der er tilstrækkelige garantier i forbindelse med overførslen.

PIPL pålægger også eksportører af personoplysninger en forpligtelse til at sikre, at databeskyttelses-standarderne overholdes efter overførslen. PIPL fastsætter, at uden godkendelse fra den kinesiske tilsynsmyndighed må personlige oplysninger, der er lagret i Kina, ikke videregives til retslige eller retshåndhævende myndigheder uden for Kina. Denne bestemmelse er i overensstemmelse med den nyligt vedtagne kinesiske lov om datasikkerhed.

Den dataansvarlige skal have en intern forvaltningsstruktur og driftsregler, rammer for behandlingsgrænser og tekniske sikkerhedsforanstaltninger som f.eks. kryptering og pseudonymisering. De registeransvarlige bør også have en mekanisme til kategoriseret forvaltning af personoplysninger. De registeransvarlige bør foretage revisioner af deres behandlingsaktiviteter og overholdelse af andre love, gennemføre sikkerhedsuddannelse af deres ansatte og gennemføre yderligere sikkerhedsforanstaltninger for følsomme personoplysninger og behandling.

I skal straks træffe foranstaltninger og underrette det relevante organ og de berørte personer. Når de trufne foranstaltninger effektivt kan undgå skader på personoplysninger, behøver I ikke at underrette enkeltpersoner.

Når du engagerer tredjeparter til at behandle folks personlige oplysninger, skal du indgå en aftale, der specificerer:

• Formålet med behandlingen
• Frist for tredjemand til at opbevare dataene
• Datahåndteringsmetoder
• Kategorier af data, de vil få adgang til
• Databeskyttelsesforanstaltninger
• Parters rettigheder og pligter

Yderligere bør I overvåge den betroede part for at sikre, at de håndterer data korrekt. Den betroede part skal til gengæld håndtere personoplysninger i henhold til aftalen. De bør også træffe foranstaltninger for at beskytte sikkerheden af de personlige oplysninger, de håndterer, og hjælpe jer med at opfylde jeres PIPL-forpligtelser.

De registeransvarlige skal udpege databeskyttelsesansvarlige i specifikke situationer, afhængigt af mængden af personoplysninger, de behandler, til at udpege databeskyttelsesansvarlige. Kinas statslige cybersikkerheds- og informationsafdeling vil skabe klarhed om volumengrænsen. De registeransvarlige skal også oplyse, hvordan de kan kontakte de databeskyttelsesansvarlige for personoplysninger og oplyse navnene på de ansvarlige og kontaktmetoderne til de afdelinger, der varetager opgaver og ansvar for beskyttelse af personoplysninger.

Dataansvarlige, der leverer internetplatformstjenester til et stort (udefineret) antal brugere og har komplekse forretningsmodeller, skal:

• Etablering og gennemførelse af strukturer til overholdelse af reglerne for beskyttelse af personoplysninger
• Oprettelse af et uafhængigt organ til at føre tilsyn med håndteringen af personlige oplysninger
• Følger principperne om åbenhed, fairness og retfærdighed
• Straks ophøre med deres tjenesteudbud, hvis de er i alvorlig overtrædelse af loven
• Regelmæssigt offentliggøre rapporter om det sociale ansvar i forbindelse med håndtering af personoplysninger

PIPL indeholder ikke et udtrykkeligt krav om at føre en fortegnelse over databehandlingsaktiviteter. PIPL pålægger imidlertid de registeransvarlige forpligtelser til regelmæssigt at foretage revisioner af deres aktiviteter vedrørende personoplysninger og overholdelse af love og administrative bestemmelser. Den kræver også, at rapporter om konsekvensanalyser vedrørende beskyttelse af personoplysninger og statusoptegnelser over behandlingen skal opbevares i mindst tre år.

I Safe Online laver vi værktøjer, der er overholder internationale dataforordninger som bl.a. PIPL.