Čínsky PIPL a GDPR: rozdielne body



20. augusta prijala Čína Personal Information Protection Law (PIPL), ktorý sa týka ochrany osobných údajov. V predchádzajúcom článku sme sa pozreli na zhodné body GDPR a PIPL. Teraz sa pozrieme na jeho niektoré rozdiely s GDPR.


Definícia „prevádzkovateľa“: GDPR vymedzuje niektoré základné pojmy v súvislosti so spracúvaním osobných údajov, napr. pojem osobný údaj, spracúvanie, informačný systém, súhlas dotknutej osoby, prevádzkovateľ, sprostredkovateľ, príjemca a pod. PIPL neobsahuje definície týchto pojmov, napr. ani definíciu prevádzkovateľa osobných údajov. PIPL na rozdiel od GDPR neobsahuje rozdelenie subjektov, ktorí spracúvajú osobné údaje na prevádzkovateľov a sprostredkovateľov. Koncepcia PIPL nepočíta so sprostredkovateľom ako ho chápe GDPR.


Právne základy spracúvania: GDPR obsahuje 6 právnych základov spracúvania:


- súhlas,

- plnenie zmluvy,

- zákonná povinnosť,

- životný záujem,

- verejný záujem,

- oprávnený záujem.


PIPL obsahuje obdobne ako GDPR súhlas, plnenie zmluvy, zákonnú povinnosť a životný záujem, ale neobsahuje právny základ verejného záujmu a oprávneného záujmu. PIPL celkovo obsahuje 7 právnych základov.


PIPL obsahuje na rozdiel od GDPR nasledovné právne základy:


- ak je to nevyhnutné na zavedenie riadenia ľudských zdrojov v súlade s pracovnoprávnymi reguláciami a kolektívnymi zmluvami;

- ak spracúvanie osobných údajov v primeranom rozsahu slúži na vykonávanie takej činnosti ako spravodajstvo a dohľad na verejnými názormi vo verejnom záujme;

- ak osobné údaje poskytujú samotné dotknuté osoby alebo iné legálne poskytnuté osobné údaje sú spracúvané v primeranom rozsahu v súlade s ustanoveniami PIPL;

- ak spracúvanie odôvodňujú iné okolnosti upravené zákonmi a správnymi predpismi.


Citlivé osobné údaje: PIPL na rozdiel od GDPR obsahuje rozdielnu koncepciu spracúvania tzv. citlivých osobných údajov. Podľa PIPL citlivé osobné údaje sú osobné údaje, ktoré môžu po úniku alebo nezákonnom použití ľahko viesť k narušeniu osobnej dôstojnosti fyzických osôb alebo k poškodeniu osobnej alebo majetkovej bezpečnosti, vrátane údajov ako sú:


- biometrické údaje,

- náboženské presvedčenie,

- špecifické identity,

- údaje o zdraví,

- finančné údaje,

- lokalizačné údaje

- a údaje týkajúce sa maloletých do 14 rokov.


Prevádzkovatelia môžu podľa PIPL spracúvať osobné údaje iba, keď majú konkrétny účel, dostatočnú nevyhnutnosť a prijaté prísne ochranné opatrenia.


V tomto blogu sme sa v stručnom a obmedzenom rozsahu pozreli na rozdielne body GDPR a PIPL, čím zakončujeme náš seriál článkov o novom zákone o ochrane osobných údajov v Číne.


Zdroj: China’s Personal Information Protection Law was Passed and will Come into Effect on 1 November 2021

The PRC Personal Information Protection Law (Final): A Full Translation