Кинески закон о заштити личних података ступио на снагу у понедељак

Усвојен у августу, Закон о заштити личних података ступио је на снагу 1. новембра. У њему се одређују правила о прикупљању, коришћењу и складиштењу података, као и шта међународне компаније морају да ураде када преносе податке ван земље. Кинески закон о заштити личних података (Personal Information Protection Law – PIPL) који је сада на снази, поставља основна правила о томе како се подаци прикупљају, користе и чувају. Такође, наводи захтеве за обраду података за компаније са седиштем ван Кине, укључујући пролазак безбедносне процене коју спроводе државни органи. Мултинационалне корпорације које преносе личне податке из земље такође ће морати да добију сертификат о заштити података од професионалних институција, како се наводи у новом закону.

Закон је усвојен у августу, након што је прошао кроз неколико ревизија од када је први пут представљен у октобру прошле године. Почевши од 1. новембра, нови закон је био неопходан да би се позабавио „хаосом“ који је настао при прикупљању података, чему су допринеле и онлајн платформе које претерано прикупљају личне податке, саопштила је кинеска влада. Лични подаци се дефинишу као све врсте података евидентираних било електронски или у другим облицима, а који се односе на идентификована лица или она које је могуће идентификовати. Дефиниција не обухвата податке који су прошли процес анонимизације.Закон се примењује и на иностране организације које обрађују личне податке у иностранству у сврху, између осталог, пружања производа и услуга кинеским потрошачима, као и анализе понашања кинеских потрошача. Они ће такође морати да оснују одређене агенције или да именују представнике са седиштем у Кини који ће преузети одговорност за питања у вези са заштитом личних података.

Нови закон обухвата поглавље које се посебно односи на прекогранични пренос података, у којем се наводи да компаније које треба да пренесу личне податке из Кине морају прво да изврше „процену утицаја на заштиту личних информација“, како се наводи у Канцеларији повереника за приватност личних података у Хонг Конгу. Осим тога, компаније ће морати да прибаве посебан пристанак појединаца да се њихови лични подаци пренесу, а уз то мораће да испуне један од неколико услова. Међу њима је и пристанак на склапање „стандардних уговора“ које издају власти које надгледају питања сајбер-простора, као и испуњавање услова наведених у другим законима и прописима које су утврдиле власти, саопштио је комесар.
Те мултинационалне компаније би такође морале да спроведу неопходне мере како би осигурале да се други инострани партнери укључени у обраду података придржавају стандарда за очување безбедности података прописаних нових законом.

Није јасно шта обухвата безбедносна процена

Лео Син, виши сарадник адвокатске фирме Pinsent Masons, описао је закон као „прекретницу“ у кинеском правном поступку за заштиту података и позвао мултинационалне компаније да обрате посебну пажњу на правила о прекограничном преносу података. Лео је у својој објави рекао: „Још увек постоје одређене области које остају нејасне и захтевају детаљна правила примене, као што је поступак безбедносне процене, како изгледају клаузуле модела за пренос података које је формулисала Кинеска администрација за сајбер-простор, какав ће бити поступак давања одобрења ако постоји захтев иностраних правосудних органа или агенција за спровођење закона за приступ личним подацима.“
Закон даље захтева да руковање личним подацима буде јасно, разумно и ограничено на „минимални обим који је неопходан“ да би се постигао циљ обраде информација.

Адвокат је препоручио да мултинационалне компаније почну да процењују потенцијални утицај новог закона на њихову ИТ инфраструктуру и активности обраде података. Према ставу Канцеларије комесара, нови закон такође обухвата обраду података помоћу „аутоматизованог доношења одлука“, у којој се ИТ системи користе за аутоматску анализу и доношење одлука о понашању потрошача, као и навикама, интересима, финансијама и здрављу потрошача. Компаније ће морати да обезбеде да такви процеси доношења одлука буду транспарентни и поштени. Потрошачима се такође мора пружити могућност да одустану од примања персонализованог садржаја. Морају се обавити процене утицаја на безбедност, а ти извештаји морају да се чувају најмање три године.

Компаније које крше правила прописана новим законом могу да добију налог или упозорење да своје поступке исправе. Кинеске власти такође могу да конфискују било који „незаконити приход“, наводи се у Канцеларији комесара. Сви они који не испоштују наредбе за отклањање пропуста биће кажњени новчаном казном до 1 милион јуана (150.000 долара), док особа одговорна за осигурање усклађености може бити кажњена од 10.000 јуана (1.500 долара) до 100.000 јуана (15.000 долара). За „тешке“ случајеве, кинеске власти такође изричу казне у износу до 50 милиона јуана (7,5 милиона долара) или 5 процената годишњег промета компаније за претходну фискалну годину. Поред тога, њено пословање може бити суспендовано или јој се могу одузети пословне дозволе и лиценце.

Администрација Пекинга је прошлог месеца обавестила локалне медије да ће предузети „циљане мере“ за решавање проблема за које сматра да и даље постоје у дигиталној економији, као што је лоше управљање подацима. Према South China Morning Postu, Министарство индустрије и ИТ је наставило са истраживањем интернет сектора у оквиру шестомесечне кампање која је почела у јулу. Министарство је недавно наложило да 43 апликације изврше исправке након што је утврђено да су обавиле незаконит трансфер корисничких података. Кинеска управа за сајбер-простор је у јулу наредила кинеској платформи за услуге такси превоза (слична је Уберу) да уклони своју апликацију из локалних продавница апликација, након што је прекршила прописе који регулишу прикупљање и коришћење личних података. Компанија је добила налог да отклони „постојеће проблеме“ и „ефикасно заштити“ личне податке корисника.

У мају је Управа опоменула 33 мобилне апликације због тога што су прикупљале више корисничких података него што се сматра потребним да би понудиле своје услуге. Тим компанијама, међу којима су Baidu и Tencent Holdings, наређено је да исправе пропусте.

6537-kineski-zakon-o-zastiti-licnih-podataka-stupio-na-snagu-u-ponedeljak