Authors
Dániel Ódor

Dániel Ódor, MRICS

Partner

Read More
János Kopasz

János Kopasz, CIPP/E

Senior associate

Read More
Authors
Dániel Ódor

Dániel Ódor, MRICS

Partner

Read More
János Kopasz

János Kopasz, CIPP/E

Senior associate

Read More

8 October 2021

China’s own GDPR to enter into force soon - Hungarian companies may also be affected

  • Briefing

On 1 November, the Personal Information Protection Law (PIPL) comes into force in China. The law will undoubtedly have a major impact on all international companies doing business with China.


Hamarosan életbe lép a kínai GDPR – Magyar cégeket is érinthet

November 1-jén lép hatályba Kínában a személyes adatok védelméről szóló törvény (jellemző angol rövidítéssel PIPL – Personal Information Protection Law). Bár a törvény első pillantásra a GDPR kínai megfelelőjének tűnhet, mégsem szabad elfelejtenünk azokat a koncepcionális különbségeket, amelyek az európai és kínai adatvédelmi megközelítés között feszülnek. Ezekre hívják fel a figyelmet a többek között pekingi, sanghaji és budapesti irodával is rendelkező Taylor Wessing nemzetközi ügyvédi iroda szakértői, akik szerint a törvény kétségkívül komoly hatással lesz valamennyi Kínával üzleti kapcsolatban álló nemzetközi cégre.

Korunk kétséget kizáróan legmodernebb és legmeghatározóbb adatvédelmi jogszabálya a GDPR. Ennek fényében nem meglepő, hogy a világ számos tech óriását és a világ népességének meghatározó százalékát magáénak tudó Kína a GDPR szabályozási koncepcióját vette alapul első átfogó adatvédelmi törvényének megalkotásakor.

A GDPR rendelkezéseire emlékeztető PIPL szabályok mögül ugyanakkor felsejlik a Kínai állam nemzetbiztonsági és adatlokalizációs igényének fölénye az európai megközelítésben primátust élvező természetes személyek adatainak védelmével szemben.

Fontos kiemelni, hogy a PIPL a GDPR-hoz hasonlóan extraterritoriális (határon átnyúló) hatállyal rendelkezik, így annak szabályai kötelezőek valamennyi olyan Kínán kívüli adatkezelőre nézve is, akiknél az adatkezelés célja a kínai polgárok részére áruk és szolgáltatások nyújtása vagy természetes személyek Kínán belüli tevékenységének az elemzése, profilozása. Ugyanakkor a PIPL szabályozási megoldása sajátos kínai színezetet ölt: egy sejtelmes tartalmú további kiegészítéssel a PIPL hatálya tovább is nyúlhat egyes törvényben/közigazgatási rendelkezésekben rögzített „egyéb körülmények” esetén is. Ez megteremti a lehetőségét annak, hogy a Kínai állam adott esetben önkényesen további esetkörökre is kiterjeszthesse a PIPL alkalmazását, amely bizonytalan környezetet eredményez a Kínával nemzetközi kapcsolatokat ápoló külföldi cégek részére.

Hasonlóképpen aggasztó, hogy a GDPR eleve rendkívül magas bírságolási rátáját is felülmúlja a kínai rezsim. Míg a GDPR az előző évi éves árbevétel 2%, illetve 4% mértékű bírságolási mértékkel operál, addig a PIPL 50.000.000 kínai jüanig (kb. 7.700.000 dollár) vagy a vállalat előző évi forgalmának 5%-áig terjedő adatvédelmi bírság kiszabására ad lehetőséget”

– figyelmeztet Dr. Kopasz János, a Taylor Wessing adatvédelmi szakértője.

Nem egyszerűsíti az adatkezelők helyzetét az a körülmény sem, hogy az adatkezelés jogalapjainál a hozzájárulás dominál. Míg a GDPR a korábbi hozzájárulás központúság helyett egyre inkább a több, alternatív jogalap, így például a jogos érdek alkalmazhatósága irányába mozdult el, addig a kínai PIPL nem is ismeri a jogos érdeken alapuló adatkezelés fogalmát.

A Kínával kapcsolatban álló európai adatkezelőkre komoly terhet róhat, hogy a GDPR-ból ismert hatásvizsgálatok dokumentálása és a megfelelő szervezeti technikai intézkedések kiépítése mellett további többletkötelezettségként jelenik meg, hogy adatkezeléseiket rendszeresen auditáltatni kell a kínai adatvédelmi hatósággal.

A kínai nemzetbiztonsági törekvés jól tükröződik a PIPL adatlokalizációs rendelkezéséiben is. Az állami szerveknek kötelező a személyes adatokat Kínán belül tárolniuk és csak rendkívül kivételes körülmények között, külön engedéllyel kerülhet sor az adatok exportálására az állami felügyeleti szervek közreműködésével végzett biztonsági kockázatértékelést követően. A nem állami szervek esetén is szigorú korlátok közé szorították az adattovábbításokat. A GDPR-ból ismert elven túlmenően, miszerint a Kínán kívülre történő adatokat ugyanolyan védelemben kell részesíteni, mint a Kínán belül megvalósuló adatkezelések során (ami analóg mintája az európai adattovábbítási mechanizmusoknak), az adattovábbítás előtt az érintetteket külön tájékoztatni kell az adattovábbításról és be kell kérni a hozzájárulásukat.

Az adattovábbítások kapcsán további adalék, hogy a kínai polgárok jogait és érdekeit sértő vagy Kína nemzetbiztonságát vagy közérdekét veszélyeztető módon adatkezelést végző külföldi szervezetek egy nyilvánosan elérhető „feketelistára” kerülhetnek. A lista szereplői Kínából exportált adatok fogadásában nem vehetnek részt”

– teszi hozzá Dr. Ódor Dániel, a Taylor Wessing budapesti adatvédelmi csapatának vezetője.

A fentiek alapján látható, hogy igen alapos felkészülést igényel valamennyi Kínával gazdasági kapcsolatot ápoló cég számára, hogy a világ különböző adatvédelmi rezsimjeinek egyszerre meg tudjon felelni. Egy olyan magyar vállalkozásnak, amely Európán kívül folytat tevékenységet, a GDPR alapján eleve alaposan meg kell vizsgálnia, hogy milyen jogalapon továbbíthat harmadik országba adatokat. A Schrems II ítélet óta ez az Amerikába történő adattovábbítások esetén például különös elővigyázatosságot és előzetes adattovábbítási hatásvizsgálatot igényel. A GDPR szerinti adattovábbítás értékelésén túlmenően azonban már a PIPL szabályai közötti magabiztos eligazodás is nélkülözhetetlenné válik 2021. november 1-től a Kínába történő adattovábbítások során.

Egy globális vállalat tehát könnyen határokon átnyúló adatvédelmi jogszabályok kereszttüzében találhatja magát. Ilyen esetben komoly felkészültséget igényel annak biztosítása, hogy adatkezelései és adatvédelmi dokumentumai megfeleljenek például a CCPA, GDPR, PIPL rendelkezéseinek. Átfedések nyilvánvalóan adottak, de az eltérő részletszabályok tükrében külön-külön kell vizsgálni egy globális adatkezelést. Ennek támogatásához szinte elengedhetetlen egy olyan jogi tanácsadó, aki az érintett kontinenseken partner irodával és szakértelemmel rendelkezik”

– zárja gondoldatait Dr. Ódor Dániel.

Call To Action Arrow Image

Latest insights in your inbox

Subscribe to newsletters on topics relevant to you.

Subscribe
Subscribe

Related Insights

multi coloured computer wafer macrophotography
Information technology

Champagne vs pezsgő (sparkling wine) - What is the exact difference?

Available in Hungarian

22 October 2021
Briefing

by János Kopasz, CIPP/E

Click here to find out more
Interior of data centre
Data protection & cyber

Standard Contractual Clauses: GDPR all over again?

Available in Hungarian

4 June 2021
Briefing

by Dániel Ódor, MRICS and János Kopasz, CIPP/E

Click here to find out more
working data centre
Data protection & cyber

Can employers ask to see COVID-19 Immunity Certificates?

19 May 2021
Briefing

by Dániel Ódor, MRICS and Kinga Harza

Click here to find out more