Kiinan uusi tietosuojalaki (Personal Information Protection Law, PIPL) astui voimaan marraskuussa 2021. Laki asettaa uusia velvoitteita kansainvälisille yrityksille, jotka keräävät ja käsittelevät henkilötietoja Kiinassa. GDPR-vaatimusten noudattaminen ei riitä.
Kiinan ensimmäinen nimenomaan henkilötietoja koskeva laki (Personal Information Protection Law, PIPL) astui voimaan 1.11.2021. PIPL on yhtä tärkeä kuin kyberturvallisuuslaki (Cybersecurity Law, CSL) ja tietoturvalaki (Data Security Law, DSL), jotka ovat kaksi pääasiallista tietoverkkoihin liittyvää säädöstä Kiinassa.
“PIPL on joukko sääntöjä ja ohjeita, joilla suojataan henkilötietoja. Alkuvuodesta 2020 laadittu ja kommentoitavaksi annettu laki on osoitus siitä, miten lainsäädäntöä nopeutetaan vastaamaan jatkuvasti muuttuviin, dokumentteja, henkilötietoja ja kyberturvallisuutta koskeviin tietoturvakysymyksiin”, sanoo Susan Ning, Head of Compliance, King & Wood Mallesons -lakitoimistosta.
PIPL:n oikeusvaikutukset voivat ulottua myös Kiinan ulkopuolelle, jos henkilötietojen käsittelyn tavoitteena on tarjota tuotteita tai palveluita yksityishenkilöille Kiinassa tai analysoida tai arvioida heidän käyttäytymistään. Laki koskee myös henkilötietojen muita käyttötarkoituksia, joita tullaan määrittelemään laeissa tai asetuksissa.
“Vaikka PIPL ja GDPR ovat tavoitteiltaan samankaltaisia, erojakin säännöksistä löytyy. PIPL on Kiinan kansallinen säädös, jota tulkitaan ja sovelletaan kansallisten viranomaisten toimesta, ja jo siitäkin syystä se asettaa tiettyjä lisäedellytyksiä toimijoille. Siksi kehotamme yrityksiä kiinnittämään huomiota PIPL:n vaatimuksiin, vaikka ne jo noudattaisivatkin GDPR:n sääntöjä.”
PIPL:n mukaan henkilötietojen käsittelyn perustetta mietittäessä vahvana pääsääntönä on henkilön suostumus. Henkilötietojen keräämiseen ja käsittelyyn annetun suostumuksen tulee olla harkittu, selvä ja pakottamaton. Toisin kuin GDPR:ssä, rekisterinpitäjän ”oikeutettu etu” ei ole mukana henkilötietojen keräämisen ja käsittelyn perusteiden luettelossa.
“PIPL asettaa GDPR:n tapaan haasteita suostumuksen hallintamenettelyille. GDPR:n alla oikeutettu etu voi perustua esimerkiksi asiakas- tai palvelusuhteeseen, vaikka sopimussuhdetta käsittelyn kohteisiin ei olisi. PIPL:ssä tätä vaihtoehtoa ei suoraan ole, jos rekisteröidyn henkilön kanssa ei ole sopimussuhdetta. Tulkintakäytännöt ovat tosin vielä melko lailla auki, koska PIPL on vasta tullut voimaan”, sanoo Kolsterin Associate Partner, Legal Counsel Hannes Kankaanpää.
Toinen merkille pantava ero on PIPL:n vaatima erillinen suostumus esimerkiksi henkilötietojen jakamiselle muiden tietoja käsittelevien tahojen kanssa tai niiden siirrolle Kiinan ulkopuolelle.
Yhteiskunnan kannalta kriittistä tietoa käsittelevien toimijoiden (Critical Information Infrastructures, CIIO) ja suuria henkilötietomääriä käsittelevien tahojen on käsiteltävä ja tallennettava aineistot paikallisesti Kiinassa.
“Kriittistä tietoa käsittelevät rahoituksen, terveydenhuollon ja ydinvoiman kaltaiset toimialat sekä yritykset, jotka liiketoimintansa takia käsittelevät säännöllisesti suuria aineisto- ja tietomääriä, joutuvat todennäköisesti ankaran valvonnan alaisiksi ja niiden on tehtävä riskianalyysejä sekä raportoitava määräajoin viranomaisille osoittaakseen ymmärtävänsä tiedonsiirron riskit. Myös pakollista ulkopuolisen tahon tekemää vaatimustenmukaisuuden tarkastusta voidaan edellyttää”, sanoo Ning.
Mikä tahansa toimija, joka säännöllisesti käsittelee henkilötietoja ja lähettää niitä rajan yli voi joutua noudattamaan tiukennettuja riskianalyysin ja raportoinnin sääntöjä, jos aineiston määrä tai tärkeys saavuttaa tietyn tason.
“Tätä tiettyä rajaa ei paikallinen valtion tietoverkkohallinto ole vielä määrännyt. Eräässä vaiheessa rajan arvioitiin olevan 500 000 henkilön tietojen käsittely. Lisäksi esitettiin käsitellyn datan kokoon kytkeytyvää rajaa”, sanoo Kankaanpää.
PIPL edellyttää Kiinassa olevan edustajan nimeämistä henkilötietosuojaan liittyvissä asioissa sekä tämän nimen ja yhteystietojen ilmoittamista asianomaisille viranomaisille.
“Toisin kuin GDPR:ssä, poikkeuksia ei vaikuttaisi olevan sen varalta, että käsittely on satunnaista, ei sisällä tiettyjä henkilötietoluokkia eikä todennäköisesti aiheuta riskiä rekisteröityjen henkilöiden oikeuksille tai vapaudelle”, sanoo Kankaanpää.
Myös PIPL:n mukainen henkilötietojen vaikutusten arviointi eroaa GDPR:stä. Arvioinnissa esitetään luettelo korkean riskin skenaarioista ja suunnitelma oikeasuhteisista suojatoimenpiteistä eli kerrottava, miten tiedot on suojattu erilaisissa riskialttiissa skenaarioissa.
Vaikka sakkojen määräämisessä varsin paljon jätetään viranomaisten soveltamiskäytännön varaan, PIPL:n rikkomisesta aiheutuvia seuraamuksia ei kannata jättää huomiotta.
“Olemme jo nähneet joitain euromääräisesti varsin suuria GDPR:n nojalla annettuja sakkoja: seuraamukset ovat maksimissaan kymmenen miljoonaa euroa tai kaksi prosenttia globaalista liikevaihdosta. PIPL:n rikkominen johtaa maksimissaan seuraamukseen, joka on viisi prosenttia vuotuisesta liikevaihdosta. Vielä ei ole täysin selvää, koskeeko tämä Kiinan vai globaalia liikevaihtoa”, Kankaanpää sanoo.
Lisäksi PIPL:ssä on viranomaisten käytössä laaja kirjo eriluonteisia seuraamuksia, jotka vaihtelevat sosiaalisen luottoluokitusjärjestelmän pisteytyksestä ja siihen liittyvistä seuraamuksista, toimilupien peruuttamiseen ja vahingonkorvausvastuuseen eli tietoturvarikkomuksesta aiheutuneiden vahinkojen korvaamiseen.
“Aika ja soveltamiskäytäntö tulevat näyttämään, miten koko järjestelmää sovelletaan ja millaisiksi seuraamustasot muodostuvat.”
Toimiiko yrityksesi Kiinassa ja haluat varmistaa, että IPR-asianne ovat kunnossa? Varaa verkkosivuiltamme maksuton konsultaatio – se voi olla yrityksesi tärkein puolituntinen.
Lataa PIPL-pikaoppaamme tästä
Lisätietoja:
Hannes Kankaanpää
Associate Partner, Counsel Technology & IP Law
040 920 8702
Hannes.kankaanpaa@kolster.com