PIPL v praxi: Čo vlastne musia robiť zahraničné firmy

Produktový manažér v Berlíne presadzuje aktualizáciu funkcií. Rastový tím v Londýne vedie kampaň prostredníctvom šanghajskej agentúry. Poskytovateľ SaaS v Singapure ticho ukladá prepisy zákazníckej podpory, ktoré obsahujú mená, telefónne čísla a fragmenty ID používateľov v Chengdu. Žiadny z týchto tímov si o sebe nemyslí, že pôsobí v Číne. Všetci sú na účely zákona o ochrane osobných údajov spracovateľmi čínskych osobných údajov – a všetci spadajú do rozsahu pôsobnosti.

Tri roky po nadobudnutí účinnosti zákona o ochrane osobných údajov sa regulačný obraz ustálil natoľko, že „čakáme, ako sa otrasie“ už nie je obhajiteľný postoj. Čínsky úrad pre kyberpriestor vydal vykonávacie opatrenia, zrevidoval ich a objasnil prahové hodnoty. Zahraničné podniky majú teraz dostatok signálov na vybudovanie fungujúcej základnej línie dodržiavania predpisov. Tento článok popisuje, ako táto základná línia vyzerá v praxi.

Extrateritoriálny spúšťač, ktorý väčšina tímov podceňuje

PIPL sa vzťahuje na spracovanie v Číne a – kriticky – na spracovanie mimo Číny, ktoré sa zameriava na jednotlivcov v Číne za účelom poskytovania produktov alebo služieb alebo analýzy ich správania. Návrh je široký a zámerný. Spotrebiteľská aplikácia dostupná v mandarínčine v globálnom obchode s aplikáciami, webová stránka B2C, ktorá sa dodáva na pevninské adresy, analytický kanál, ktorý segmentuje používateľov podľa čínskeho mesta: každý z nich je hodnoverným spúšťačom.

Praktickým dôsledkom je, že rozsah je len zriedka čisté áno alebo nie. Ide o to, ktoré produktové rady, ktoré kohorty používateľov a ktoré súbory údajov sú v dosahu zákona. Prvou úlohou dodržiavania súladu preto nie je vypracovanie oznámenia o ochrane osobných údajov. Ide o mapovanie údajov: identifikuje miesta, kde čínske osobné informácie vstupujú do vašich systémov, kde sú uložené, kto sa ich dotýka a odkiaľ odchádzajú. Kým táto mapa nebude existovať, každá následná kontrola je len dohadovanie.

Súhlas: zákonný základ, nie začiarkavacie políčko

PIPL je často popisovaný ako režim riadený súhlasom a v zahraničných zasadacích miestnostiach sa to prekladá ako „pridať zaškrtávacie políčko“. To podceňuje povinnosť. PIPL uznáva niekoľko zákonných základov – zmluvnú nevyhnutnosť, zákonnú povinnosť, správu ľudských zdrojov, verejný záujem a iné – ale súhlas zostáva pracantom a zákon stanovuje vysoký štandard toho, čo sa počíta.

Súhlas podľa PIPL musí byť informovaný, dobrovoľný a výslovný. Ak sa spracúvanie týka citlivých osobných informácií (finančné účty, zdravie, biometrické údaje, osobné údaje maloletých do 14 rokov, sledovanie polohy a podobné kategórie) alebo cezhraničný prenos, vyžaduje sa samostatný súhlas. „Samostatný“ znamená presne to: samostatný, špecifický akt dohody, nie odsek skrytý v akceptácii všeobecných podmienok.

Funkčná architektúra súhlasu pre zahraničné firmy vo všeobecnosti zahŕňa:

1. Vrstvené oznámenie, v ktorom sa v obyčajnej čínštine uvádza totožnosť spracovateľa, kategórie osobných údajov, účely, doba uchovávania a práva používateľa.
2. Granulárne prepínače pre citlivé kategórie spracovania a marketing, oddelené od súhlasu so základnou službou.
3. Odlišný cezhraničný tok súhlasu, ktorý uvádza zámorského príjemcu, cieľovú jurisdikciu a účel prevodu.
4. Mechanizmus odvolania, ktorý sa používa rovnako jednoducho ako pôvodný postup súhlasu, bez tmavých vzorov.
5. Audítorský denník, v ktorom sa u každého používateľa zaznamenáva, s čím bol súhlas, kedy a proti ktorej verzii upozornenia.

Na poslednom bode záleží viac, ako tímy očakávajú. Regulačné orgány a protistrany čoraz častejšie žiadajú dôkazy, nie tvrdenia.

Cezhraničný transfer: tri trasy, jedno rozhodnutie

Presúvanie čínskych osobných informácií do zahraničia je oblasť, kde zahraničné firmy najčastejšie zisťujú, že ich existujúca architektúra nie je v súlade. PIPL poskytuje tri hlavné mechanizmy, vylepšené následnými opatreniami CAC:- Posúdenie bezpečnosti CAC. Povinné pre prevádzkovateľov kritickej informačnej infraštruktúry, pre spracovateľov, ktorí narábajú s osobnými informáciami nad predpísané limity objemu a pre prenosy „dôležitých údajov“. Ide o kontrolu pod vedením vlády, nie o samocertifikáciu.

• Štandardné zmluvné doložky (Čína SCC). Vzor zmluvy medzi čínskym vývozcom a zámorským príjemcom, uložený na provinčnom CAC spolu s posúdením vplyvu na ochranu osobných údajov. Vhodné na prevody stredného objemu pod hranicou hodnotenia.
• Osvedčenie o ochrane osobných údajov. Vydané orgánmi akreditovanými CAC. V praxi je táto cesta najužitočnejšia pre vnútroskupinové prevody v rámci nadnárodných spoločností.

Uvoľnením z roku 2024 sa zaviedli výnimky pre určité prevody v malom objeme, prevody potrebné na plnenie zmluvy s jednotlivcom (cezhraničný elektronický obchod, cestovné rezervácie, žiadosti o víza) a prevody ľudských zdrojov potrebné na riadenie cezhraničného zamestnávania. Tieto výnimky sú skutočné, ale úzke. Zapínajú sa na počty objemov, na povahu zmluvnej nevyhnutnosti a na to, či ide o citlivé osobné informácie. Zaobchádzanie s výnimkou ako s trvalou polohou bez pravidelnej kontroly je bežnou chybou.

Bez ohľadu na to, ktorá cesta sa použije, každý cezhraničný prenos si vyžaduje posúdenie vplyvu na ochranu osobných údajov – zdokumentované, uchovávané najmenej tri roky a aktualizované, keď sa spracovanie podstatne zmení.

Reálny základ dodržiavania pravidiel

Pre zahraničnú firmu strednej veľkosti, ktorá narába s údajmi čínskych používateľov, vyzerá obhájiteľný základ približne takto:

• Mapa údajov pokrývajúca všetky čínske toky osobných informácií, obnovovaná aspoň raz ročne. – Oznámenie o ochrane osobných údajov v čínskom jazyku a architektúra súhlasu, ktorá rozlišuje všeobecný, citlivý a cezhraničný súhlas.
• Určený zástupca alebo subjekt v Číne, ak je to potrebné, so zverejnenými kontaktnými údajmi.
• Zvolený mechanizmus cezhraničného prenosu – hodnotenie, SCC alebo certifikácia – so základným hodnotením vplyvu v spise.
• Starostlivosť o dodávateľa zahŕňajúca akéhokoľvek ďalšieho spracovateľa, ktorý sa dotýka údajov, vrátane poskytovateľov cloudu a analytiky.
• Postup reakcie na incident, ktorý spĺňa očakávania spoločnosti PIPL týkajúce sa oznamovania regulačným orgánom aj dotknutým jednotlivcom.
• Interné školenie pre produktové, inžinierske a marketingové tímy o tom, čo spúšťa nové hodnotenie vplyvu.

Nič z toho nie je exotické. Ide vo všeobecnosti o rovnakú disciplínu, akú už praktizuje vyspelý program GDPR, s prekrytím špecifickým pre čínštinu týkajúcu sa podrobnosti súhlasu, cezhraničných podaní a jazyka.

Kde sa zahraničné tímy zvyčajne mýlia

Opakujú sa tri vzory. Po prvé, považovať PIPL za preklad oznámenia GDPR – tieto dva režimy sa prekrývajú, ale líšia sa v súhlase, v cezhraničnej mechanike a v úlohe štátu. Po druhé, za predpokladu, že keďže údaje sú hosťované mimo Číny, PIPL sa neuplatňuje; extrateritorialita je pravidlom, nie výnimkou. Po tretie, ponechať cezhraničné podanie, kým o to nepožiada regulačný orgán alebo čínska komerčná protistrana, v tomto okamihu už nebudete mať časovú os pod kontrolou.

Najmä cesta hodnotenia bezpečnosti CAC nie je proces, ktorý odmeňuje prípravu na poslednú chvíľu. Podania SCC sú rýchlejšie, ale stále si vyžadujú riadne preukázané posúdenie vplyvu.

Súlad s ochranou osobných údajov v Číne je v konečnom dôsledku skôr otázkou operačnej zrelosti než právnej šikovnosti. Pravidlá sú známe. Náklady na ich ignorovanie – opatrenia na presadzovanie práva, zablokované prevody, stratené obchodné dohody s čínskymi partnermi, ktorí si teraz kladú otázky sami – sú čoraz konkrétnejšie.

Pre zahraničné tímy, ktoré potrebujú poradenstvo kvalifikované pre ČĽR v súvislosti s konkrétnou štruktúrou prevodu, tokom súhlasu alebo podaním, vás služba Serene Jade čínsky právnik spojí s advokátskym zástupcom pre pevninu a Hongkong.

Časté otázky

Potrebujeme čínsky subjekt len na podávanie SCC? Nie nevyhnutne. Čínsky vývozca podľa SCC je ten, kto má v Číne osobné údaje – môže to byť vaša miestna dcérska spoločnosť, partner v spoločnom podniku alebo čínska platforma, prostredníctvom ktorej pôsobíte. Ak nie ste vôbec prítomní, vyvstáva otázka, či by ste mali vymenovať určeného zástupcu podľa článku 53 PIPL.Počíta sa odosielanie údajov do Hongkongu ako cezhraničný prenos? áno. Na účely PIPL sa s Hongkongom zaobchádza ako s mimozemskou Čínou, takže transfery tam vyžadujú jeden z troch mechanizmov alebo platnú výnimku na rovnakom základe ako transfery do Londýna alebo Frankfurtu.

Môžeme sa spoľahnúť na výnimku zo zmluvnej nevyhnutnosti pre naše zákaznícke údaje SaaS? Iba vtedy, ak je prevod skutočne potrebný na splnenie zmluvy, ktorú jednotlivec uzavrel – napríklad na splnenie objednávky, ktorú zadal. Prenosy B2B SaaS údajov o koncových používateľoch, analytiky a väčšiny prípadov marketingového použitia nespadajú do tejto oblasti a vyžadujú si SCC, certifikáciu alebo hodnotenie.