Čínsky PIPL a GDPR: zhodné body



Národný ľudový kongres Čínskej republiky prijal dňa 20. augusta 2021 dlho očakávaný zákon Personal Information Protection Law (PIPL), ktorý sa týka ochrany osobných údajov. Zákon nadobudne účinnosť 1. novembra 2021. V tomto blogu sa pozrieme na jeho zhodné body s General Data Protection Regulation (GDPR).


Vymedzenie pojmu „osobný údaj“: GDPR sa vzťahuje na spracúvanie osobných údajov, pričom osobným údajom je akákoľvek informácia týkajúca sa identifikovanej a identifikovateľnej fyzickej osoby (dotknutá osoba). Neoficiálny preklad PIPL používa pojem „personal information“, ktorý je možné preložiť ako osobné údaje. Osobné údaje sú podľa PIPL rôzne druhy informácií, ktoré sa týkajú identifikovaných alebo identifikovateľných fyzických osôb zaznamenávaných elektronickými alebo inými prostriedkami s výnimkou informácii spracúvaných anonymne.


Z uvedeného vyplýva, že PIPL a GDPR sa rovnako vzťahujú na:


- spracúvanie osobných údajov identifikovaných a identifikovateľných osôb,

- spracúvanie prostredníctvom automatizovaných/elektronických a iných než automatizovaných/elektronických prostriedkov,

- a nevzťahujú sa na spracúvanie anonymných informácii.


Právne základy spracúvania: GDPR obsahuje 6 právnych základov spracúvania:


- súhlas,

- plnenie zmluvy,

- zákonná povinnosť,

- životný záujem,

- verejný záujem,

- oprávnený záujem.


Okrem verejného záujmu a oprávneného záujmu, tieto právne základy obsahuje aj PIPL. PIPL obsahuje ešte aj ďalšie právne základy. Textácia alebo formulácia týchto právnych základov nie je doslovne rovnaká ako v GDPR, ale dá sa povedať, že z obsahového hľadiska ide viac-menej o rovnaké právne základy.


Citlivé osobné údaje: GDPR upravuje prísnejšie podmienky spracúvania tzv. osobitnej kategórie osobných údajov. Obdobnú úpravu možno nájsť aj v PIPL, pričom PIPL podobne ako GDPR považuje za citlivé osobné údaje:


- biometrické údaje,

- údaje týkajúce sa náboženského presvedčenia,

- údaje týkajúce sa zdravia.


Práva dotknutých osôb: PIPL upravuje aj práva dotknutých osôb pri spracúvaní ich osobných údajov. PIPL podobne ako GDPR upravuje právo na obmedzenie spracúvania, právo na prístup k údajom, právo na opravu, právo na výmaz, právo na prenosnosť údajov, právo na rovnaké zaobchádzanie v prípade použitia automatizovaného rozhodovania.


PIPL tiež obsahuje obdobne ako GDPR povinnosť ustanoviť zodpovednú osobu (DPO), miestneho zástupcu v prípade extrateritoriálnej aplikácie zákona, vykonávať posúdenia vplyvu na ochranu osobných údajov (DPIA), audity súladnosti a oznamovať bezpečnostné incidenty (porušenia ochrany osobných údajov – data breach).


PIPL v poslednej kapitole obsahuje aj ustanovenie, ktoré je obdobné výnimke domácej a osobnej činnosti v zmysle GDPR. PIPL sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v rámci jej osobnej alebo rodinnej činnosti.


V tomto blogu sme sa v stručnom a obmedzenom rozsahu pozreli na podobné body GDPR a PIPL. V ďalšom článku sa pozrieme na rozdielne body oboch predpisov.

Zdroj: China’s Personal Information Protection Law was Passed and will Come into Effect on 1 November 2021

The PRC Personal Information Protection Law (Final): A Full Translation