01/10/2021

Nieuwe Data Protection Act (PIPL) in China: ons Chinees partnerkantoor licht toe

Leesduur: 5 minuten

Sinds 10 juni 2021 heeft China een eigen gegevensbeschermingswet, PIPL.  Op het eerste zicht lijkt die aardig op onze eigen GDPR, maar er zijn wel enkele verschillen.

Horizons, ons Chinees partnerkantoor bij Consulegis, adviseert al jarenlang Chinese en buitenlandse cliënten met commerciële belangen in China. Aangezien we elke maand met hen overleggen over internationale gegevensbescherming in de IT & Data Protection Practice Group van ons internationale netwerk Consulegis, hebben we hen gevraagd om in dit artikel een kort overzicht van de PIPL in China te geven.

 

Scope van de nieuwe wet

PIPL is van toepassing op de verwerking van “elk bestand met informatie in elektronische of andere vormen”.

Gegevensverwerking heeft betrekking op het verzamelen, opslaan, gebruiken, verwerken, verzenden, verstrekken en openbaar maken van gegevens.

Gegevensbeveiliging verwijst naar het vermogen om ervoor te zorgen dat gegevens effectief worden beschermd, rechtmatig worden gebruikt en in een veilige staat worden bewaard door de nodige maatregelen te nemen.

In de praktijk richt PIPL zich op gegevensbeveiliging, elektronische en niet-elektronische formulieren en gegevensverwerkingsactiviteiten. De op 1 juni 2017 aangenomen Cybersecuritywet richt zich op het toezicht op en het beheer van informatie- en netwerksystemen. Daarom is de reikwijdte van de gegevensbeveiligingswet breder en heeft deze gevolgen voor alle bedrijven die online en offline gegevens verwerken.

 

Gegevensclassificatie

De wet wijst de staat aan om een ​​gegevensclassificatie- en classificatiemechanisme in te stellen op basis van twee aspecten:

  • de impact op economische en sociale ontwikkeling.
  • de potentiële schade aan de nationale veiligheid, openbare belangen, organisaties waar met de gegevens wordt geknoeid, deze worden vernietigd, gelekt of illegaal wordt verkregen of gebruikt.

Voor gegevens die als belangrijke gegevens worden aangemerkt, wordt door elke regio en afdeling een specifieke catalogus opgesteld. De regio en de afdeling bepalen en beoordelen belangrijke gegevens dienovereenkomstig aan de relevante industrie en gebieden en stellen strengere verplichtingen op het gebied van gegevensbescherming vast. Evenzo zullen nationale veiligheidsgegevens, de levensaders van de nationale economie, het belangrijkste levensonderhoud van mensen en grote openbare belangen worden geclassificeerd als kerngegevens en onderworpen aan een strenger beheersysteem.

Bedrijven moeten daarom anticiperen op strengere verplichtingen op het gebied van gegevensbeheer. Specifiek voor multinationals die betrokken zijn bij grensoverschrijdende gegevensoverdracht, kunnen belangrijke of nationale gegevens worden gedefinieerd als gecontroleerde categorieën en onderworpen aan exportcontroles.

 

Verplichtingen inzake gegevensbescherming

De verplichtingen die de wet oplegt zijn afhankelijk van het type gegevens dat wordt verwerkt. Bij Horizons raden we bedrijven aan specifiek personeel of management aan te stellen om toezicht te houden op het gegevensbeheer en ervoor te zorgen dat het beleid correct wordt geïmplementeerd. Bovendien bepaalt PIPL voor alle bedrijven die gegevensverwerkingsactiviteiten uitvoeren de volgende verplichtingen:

 

  • opzetten en perfectioneren van een beheersysteem voor gegevensbeveiliging voor de hele workflow;
  • wettige en juiste methoden toepassen bij het verzamelen van gegevens en het verkrijgen van gegevens op illegale wijze is verboden;
  • organiseren en geven van voorlichting en training op het gebied van gegevensbeveiliging;
  • de bijbehorende technische maatregelen en andere noodzakelijke maatregelen nemen om de gegevensbeveiliging te waarborgen; en
  • onmiddellijke verwijderingsmaatregelen nemen, gebruikers waar nodig op de hoogte stellen en de kwestie melden aan de relevante bevoegde afdeling.

 

Voor bedrijven die gegevens verwerken die als “belangrijke data” zijn geclassificeerd, zijn de volgende verplichtingen van toepassing:

  • specificeer verantwoordelijk personeel en beheersorganen voor gegevensbeveiliging;
  • de verantwoordelijkheden op het gebied van gegevensbeveiliging volledig implementeren;
  • periodiek risicobeoordelingen uitvoeren voor hun gegevensverwerkingsactiviteiten;
  • periodiek een risicobeoordelingsrapport indienen bij de bevoegde afdeling
  • de risicobeoordeling omvat de categorieën en hoeveelheden van de belangrijke gegevens die door de organisatie worden verwerkt, hoe met gegevens wordt omgegaan, eventueel opgetreden gegevensbeveiligingsrisico’s en tegenmaatregelen

Bovendien zijn organisaties en individuen verplicht om mee te werken met openbare veiligheid en nationale veiligheidsorganen die hun gegevens nodig hebben voor nationale veiligheid of strafrechtelijk onderzoek. In de praktijk moet het gegevensprivacybeleid dienovereenkomstig worden herzien. Waar gegevensbeschermingswetten van andere jurisdicties, zoals de GDPR, en PIPL elkaar kruisen, kan de gecombineerde toepassing van beide een uitdaging zijn en moet gespecialiseerd advies worden ingewonnen.

 

Extraterritoriale toepassing

Hoewel de gegevensbeveiligingswet van toepassing is op gegevensverwerking in China, kan de gerelateerde gegevensverwerking buiten China worden onderzocht. Met name in artikel 2, wanneer gegevensverwerking buiten China de nationale veiligheid, openbare belangen of legitieme rechten en belangen van burgers of organisaties van de pc schaadt, wordt de wettelijke aansprakelijkheid onderzocht. Hoewel specifieke aansprakelijkheden niet worden genoemd, zijn overtredingen van PIPL onderworpen aan civiele, openbare veiligheidsdiensten en strafrechtelijke sancties. Daarom moeten bedrijven buiten China die gerelateerde Chinese gegevens verwerken, nog steeds China-specifiek gegevensnalevingsbeleid implementeren om onbedoelde schendingen te migreren en toekomstige aansprakelijkheden te riskeren.

Overtredingen van PIPL kunnen worden bestraft met boetes tot omgerekend 260.000 euro, en bedrijven kunnen tegelijkertijd worden bevolen om relevante zaken op te schorten of bedrijfslicenties in te trekken. De bescherming van gegevensbeveiliging is dan ook belangrijk en mag niet lichtvaardig worden opgevat.

De wet op gegevensbeveiliging effent de belangrijke rol van de staat bij de ontwikkeling en bescherming van gegevens, terwijl China de digitale economie bevordert. Verkeerd beheer van gegevens, met name degenen die belangrijke gegevens verwerken, kan aanzienlijke aansprakelijkheid oplopen voor zowel het bedrijf als het individu.

Heb je een vraag over internationale gegevensbescherming , doe je zaken in China of onderzoek je de mogelijkheden daarvoor? Wij maken graag tijd vrij of brengen je graag in contact met onze Chinese partner. Aarzel niet om ons te contacteren. Bel of mail gerust Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516. 

Boek hier een gratis online meeting met Bart.

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een andere manier aan recht te gaan doen.  Anders, directer, persoonlijker, betaalbaar en met 100% focus op de digitale economie.