November 1-jén lép hatályba Kínában a személyes adatok védelméről szóló törvény (jellemző angol rövidítéssel PIPL – Personal Information Protection Law). Bár a törvény első pillantásra a GDPR kínai megfelelőjének tűnhet, mégsem szabad elfelejtenünk azokat a koncepcionális különbségeket, amelyek az európai és kínai adatvédelmi megközelítés között feszülnek. Ezekre hívják fel a figyelmet a Taylor Wessing nemzetközi ügyvédi iroda szakértői, akik szerint a törvény kétségkívül komoly hatással lesz valamennyi Kínával üzleti kapcsolatban álló nemzetközi cégre.
Korunk kétséget kizáróan legmodernebb és legmeghatározóbb adatvédelmi jogszabálya a GDPR. Ennek fényében nem meglepő, hogy a világ számos tech óriását és a világ népességének meghatározó százalékát magáénak tudó Kína a GDPR szabályozási koncepcióját vette alapul első átfogó adatvédelmi törvényének megalkotásakor.
A GDPR rendelkezéseire emlékeztető PIPL szabályok mögül ugyanakkor felsejlik a Kínai állam nemzetbiztonsági és adatlokalizációs igényének fölénye az európai megközelítésben primátust élvező természetes személyek adatainak védelmével szemben.
Fontos kiemelni, hogy a PIPL a GDPR-hoz hasonlóan extraterritoriális (határon átnyúló) hatállyal rendelkezik, így
szabályai kötelezőek valamennyi olyan Kínán kívüli adatkezelőre nézve is, akiknél az adatkezelés célja a kínai polgárok részére áruk és szolgáltatások nyújtása vagy természetes személyek Kínán belüli tevékenységének az elemzése, profilozása.
Ugyanakkor a PIPL szabályozási megoldása sajátos kínai színezetet ölt: egy sejtelmes tartalmú további kiegészítéssel a PIPL hatálya tovább is nyúlhat egyes törvényben/közigazgatási rendelkezésekben rögzített „egyéb körülmények” esetén is. Ez megteremti a lehetőségét annak, hogy
a Kínai állam adott esetben önkényesen további esetkörökre is kiterjeszthesse a PIPL alkalmazását, amely bizonytalan környezetet eredményez a Kínával nemzetközi kapcsolatokat ápoló külföldi cégek részére.
„Hasonlóképpen aggasztó, hogy a GDPR eleve rendkívül magas bírságolási rátáját is felülmúlja a kínai rezsim. Míg a GDPR az előző évi árbevétel 2%, illetve 4% mértékű bírságolási mértékkel operál, addig a PIPL 50.000.000 kínai jüanig (kb. 7.700.000 dollár) vagy a vállalat előző évi forgalmának 5%-áig terjedő adatvédelmi bírság kiszabására ad lehetőséget”
– figyelmeztet Kopasz János, a Taylor Wessing adatvédelmi szakértője.
Nem egyszerűsíti az adatkezelők helyzetét az a körülmény sem, hogy az adatkezelés jogalapjainál a hozzájárulás dominál. Míg a GDPR a korábbi hozzájárulás központúság helyett egyre inkább a több, alternatív jogalap, így például a jogos érdek alkalmazhatósága irányába mozdult el, addig a kínai PIPL nem is ismeri a jogos érdeken alapuló adatkezelés fogalmát.
A Kínával kapcsolatban álló európai adatkezelőkre komoly terhet róhat, hogy a GDPR-ból ismert hatásvizsgálatok dokumentálása és a megfelelő szervezeti technikai intézkedések kiépítése mellett további többletkötelezettségként jelenik meg, hogy adatkezeléseiket rendszeresen auditáltatni kell a kínai adatvédelmi hatósággal.
A kínai nemzetbiztonsági törekvés jól tükröződik a PIPL adatlokalizációs rendelkezéséiben is. Az állami szerveknek kötelező a személyes adatokat Kínán belül tárolniuk és csak rendkívül kivételes körülmények között, külön engedéllyel kerülhet sor az adatok exportálására az állami felügyeleti szervek közreműködésével végzett biztonsági kockázatértékelést követően. A nem állami szervek esetén is szigorú korlátok közé szorították az adattovábbításokat. A GDPR-ból ismert elven túlmenően, miszerint a Kínán kívülre történő adatokat ugyanolyan védelemben kell részesíteni, mint a Kínán belül megvalósuló adatkezelések során (ami analóg mintája az európai adattovábbítási mechanizmusoknak), az adattovábbítás előtt az érintetteket külön tájékoztatni kell az adattovábbításról és be kell kérni a hozzájárulásukat.
„Az adattovábbítások kapcsán további adalék, hogy a kínai polgárok jogait és érdekeit sértő vagy Kína nemzetbiztonságát vagy közérdekét veszélyeztető módon adatkezelést végző külföldi szervezetek egy nyilvánosan elérhető „feketelistára” kerülhetnek. A lista szereplői Kínából exportált adatok fogadásában nem vehetnek részt”
– teszi hozzá Kopasz János.
A fentiek alapján látható, hogy igen alapos felkészülést igényel valamennyi Kínával gazdasági kapcsolatot ápoló cég számára, hogy a világ különböző adatvédelmi rezsimjeinek egyszerre meg tudjon felelni. Egy olyan magyar vállalkozásnak, amely Európán kívül folytat tevékenységet, a GDPR alapján eleve alaposan meg kell vizsgálnia, hogy milyen jogalapon továbbíthat harmadik országba adatokat. A Schrems II ítélet óta ez az Amerikába történő adattovábbítások esetén például különös elővigyázatosságot és előzetes adattovábbítási hatásvizsgálatot igényel. A GDPR szerinti adattovábbítás értékelésén túlmenően azonban már a PIPL szabályai közötti magabiztos eligazodás is nélkülözhetetlenné válik 2021. november 1-től a Kínába történő adattovábbítások során.
„Egy globális vállalat tehát könnyen határokon átnyúló adatvédelmi jogszabályok kereszttüzében találhatja magát. Ilyen esetben komoly felkészültséget igényel annak biztosítása, hogy adatkezelései és adatvédelmi dokumentumai megfeleljenek például a CCPA, GDPR, PIPL rendelkezéseinek. Átfedések nyilvánvalóan adottak, de az eltérő részletszabályok tükrében külön-külön kell vizsgálni egy globális adatkezelést. Ennek támogatásához szinte elengedhetetlen egy olyan jogi tanácsadó, aki az érintett kontinenseken partner irodával és szakértelemmel rendelkezik” – zárja gondoldatait Ódor Dániel, a Taylor Wessing budapesti adatvédelmi csapatának vezetője.