Китайский GDPR: обзор проекта по приватности PDPL
21 октября в Китае представили проект закона о защите персональных данных. Несмотря на то, что это только проект, он дает общее понимание развития законодательства для всех компаний, которые работают на китайском рынке и с китайским потребителем.
Давайте рассмотрим его детальней.
Проект состоит из 70 статей и являет собой первый консолидированный закон о защите персональных данных в Китае. Стоит отметить, что закон о кибербезопасности в Китае приняли еще в 2017 году. Но сфера его регулирования отличная от нового проекта. Закон о кибербезопасности применяется к информационным сетям, которые создаются, эксплуатируются, обслуживаются и используются на территории Китайской Народной Республики, а также к практикам надзора и управления в отношении сетевой безопасности.
Общность с GDPR
Принципы
PDPL же как и GDPR охватывает защиту персональных данных не только в сети, а в целом.
PDPL предусматривает принципы прозрачности, справедливости, ограничения сбора в соответствии с целью, минимизации информации, ограниченного срока хранения, релевантности персональной информации и подотчетности (accountability). Эти же принципы перечислены в статье 5 GDPR.
Территориальное действие
PDPL также имеет экстерриториальное действие. То есть он применяется ко всем лицам, в независимости от места пребывания, которые собирают и обрабатывают данные китайских граждан. Также в нем выделены цели такого сбора и обработки: (i) оказание услуг или предоставление товаров, (ii) анализ и оценка поведения субъекта данных и (iii) другие условия, которые предусмотрены законодательством Китая. как мы видим, PDPL имеет достаточной широкий спектр действия и требует ознакомления с другими нормативными китайскими актами, для того чтобы понять, а нужно ли соблюдать его нормы. Эти положения также отображают статью 3 GDPR.
Определения
В PDPL также, как и в статье 4 GDPR имеется определение «персональных данных», «обработки», «процессора» и другие. Сфера персональных данных в PDPL охватывает аналогичный объем данных, как и GDPR. Тоже применимо и к обработке. Таким образом, масштаб и сфера распространения PDPL есть аналогичной к GDPR, а значит практически всем крупным и средним бизнесам, работающим на китайского покупателя, стоит уже пытаться внедрять в свои процессы требования GDPR.
Отличия от GDPR
Несмотря на значительное количество сходства с GDPR, PDPL имеет свои особенности и новизну.
Роли в PDPL
В GDPR данные собираются и используются контроллером и процессором. Первый указывает, что с ними делать, второй исполняет эти указания. В PDPL такого разделения нету. Вся ответственность за сбор и обработку ложится на процессора персональных данных, которые являет собой юридическое или физическое лицо, что самостоятельно определяет цели, масштаб и средства обработки. По сути, процессор исполняет функции контроллера в GDPR и понятие последнего отсутствует в PDPL. Отношения между процессором, в понимании PDPL, и стороной, которая обрабатывает данные за указанием первого, регулируются DPA (Data Processing Agreement). PDPL устанавливает, что в DPA необходимо указать права, обязанности и ответственность сторон. Нерешенным вопросом остается наличие и применение стандартных положений, таких как SCC.
Основания для обработки
PDPL выделяет как и GDPR 6 законных оснований для сбора и обработки персональных данных:
- Согласие субъекта персональных данных.
- Необходимость исполнения условий контракта, стороной которого, есть субъекта персональных данных.
- Необходимость исполнения установленной законом обязанности.
- Необходимость с целью защиты жизни, здоровья и собственности субъекта персональных данных или других лиц в экстренных случаях.
- Для информационного или медийного контроля в разумных рамках.
- В других случаях, предусмотренных китайским законодательством.
Также PDPL объясняет в каких именно случаях необходимо отдельное согласие субъекта персональных данных, а именно:
Для обработки чувствительных данных, которые не ограничиваются расовой, этничной принадлежностью, религиозными убеждениями, биометрическими, информацией про здоровье, финансовое положение и месторасположение.
Также как и GDPR, PDPL требует получения согласия родителей на обработку данных детей. Однако отсутствует ранжирование возраста, он четко установлен-14 лет. Что касается способа получения «отдельного согласия», то есть его механизма, PDPL пока не объясняет.
Размер штрафов
В GDPR штрафы достаточно существенные- до 4% годового оборота или же до 20 миллионов Евро. Стоит отметить, что PDPL не уступает по масштабности штрафов.
За незаконную обработку PDPL предусматривает до 5% годового оборота за предыдущий год или до 7.4 миллионов долларов США. Однако, PDPL молчит о том, как они будут высчитываться: из мирового объема оборота или только полученного на китайском ринке. Также, PDPL предусматривает личную ответственность за нарушение его правил до 152 тыс. долларов США.
Таким образом, PDPL продолжает мировую тенденцию развития права защити персональных данных. Его появление будет требовать внесения значительных изменений в работу как гигантов, так и маленьких компаний. Поэтому, если вы планируете или уже работаете с персональными данными китайских граждан, то стоит уже начинать внедрять требования PDPL в рабочие процессы.
Клименко Анастасия
Junior IT lawyer