Ustawa o ochronie danych osobowych (angielska nazwa Personal Information Protection Law of the People’s Republic of China), która zacznie obowiązywać w Chinach od 1 listopada 2021 roku ma też znaczenie dla Polaków kupujących w chińskim internecie.

W swych założeniach, ale także rozwiązaniach, chiński rząd przy jej tworzeniu skorzystał m.in. z unijnego modelu RODO, który reguluje ogólne rozporządzenie o ochronie danych (General Data Protection Regulation). Chińska ustawa nie jest jednak jego kopią, choć wiele konstrukcji prawnych jest bardzo podobnych. Polskie przedsiębiorstwa operujące na chińskim rynku, jeśli ich klientami są osoby fizyczne i gromadzą ich dane, to od pierwszego listopada br. są również zobowiązane do wdrożenia i przestrzegania jej zapisów, także jeśli działają z Polski.

W Chinach dane zbiera się na potęgę

Ta ustawa to prawdziwa rewolucja w Chinach, a dokładniej w chińskim biznesie. Eksperci oraz chińskie media nazywają ją „bezpieczną blokadą” mającą zapobiec niekontrolowanemu gromadzeniu danych przez biznes, głównie chiński, ale również i zagraniczny.

Obecnie zbieranie danych osobach w Chinach ma wymiar masowy i głęboki. Dane takie zbiera i przetwarza państwo, a dokładniej jego rozmaite służby. Przykładowo, gdy ktoś wchodzi do restauracji w Pekinie to już na wejściu, z mocy prawa, skanowany jest jego kod zdrowotny (health code) zapisany w smartfonie, który w związku z pandemią SARS-Cov-2 chiński rząd wprowadził w kwietniu 2020 roku, a w którym to zawarte są szczegółowe dane osobowe oraz lokalizacyjne. Do tych danych mają dostęp tylko służby państwowe.

Z braku regulacji prawnych również biznes agreguje i wykorzystuje dane osobowe. Obrót nimi jest złotodajną działalnością. Również bardzo zyskowne jest profilowanie. Dość powszechną praktyką w Państwie Środka jest to, że wielu właścicieli restauracji wprowadziło wymóg dla klientów, by w chwili składania zamówienia podawali oni swoje dane, jak: imię i nazwisko, datę urodzenia, adres zamieszkania, numer telefonu komórkowego, adres e-mail.

Czytaj więcej

Stoisko Mlekovity na targach Anuga w Kolonii w 2021 r.
Światowi producenci żywności zagubieni na wiodących targach, ale polscy nie

Ponadto, plagą w Chinach jest narzucanie klientom restauracji, sklepów, firm świadczących usługi itd. obowiązku pobierania na smartfon ich aplikacji, gdzie należy wpisać swoje szczegółowe dane osobowe, które w rzeczywistości służą jedynie gromadzeniu danych i profilowaniu lub ich odsprzedaży.

Był to już problem przed pandemią koronawirusa. Obecnie to, co się dzieje, nazywane jest przez ekspertów i w chińskich mediach patologią oraz wywołuje społeczne niezadowolenie, bo niekontrolowana praktyka gromadzenia danych prowadzona jest przez firmy pod pozorem zachowania bezpieczeństwa zdrowotnego. Przykładów nadużyć nieuczciwych praktyk w zakresie danych osobowych w Chinach są tysiące. Chińscy prawnicy od dawna zgłaszali potrzebę stworzenia jednolitego systemu zasad gromadzenia danych osobowych oraz ich przetwarzania obowiązkowego dla wszystkich bez względu na wielkość przedsiębiorstwa oraz kraj pochodzenia. Co ważne przyjęto także zasadę ochrony eksterytorialnej.

Autopromocja
FORUM ESG

Co warto wiedzieć o ESG? Jej znaczenie dla firm i gospodarki.

CZYTAJ WIĘCEJ

Platformy biznesowo-handlowe trzeba dostosować

Ustawa nie jest obszerna. Ma jedynie 74 artykuły, które szczegółowo określają prawa i obowiązki Chińczyków (a także cudzoziemców) oraz prawa i obowiązki podmiotów pozyskujących dane. Od 1 listopada 2021 roku podstawowym warunkiem współpracy z klientem jest uzyskanie uprzednio jego zgody oraz podanie skutków jej udzielenia, co należy przed jej odebraniem wyjaśnić. To rozwiązanie jest podobne do tego jakie obowiązuje w całej Unii Europejskiej.

Ustawa nakazuje, aby zbieranie danych osobowych w celu ich przetwarzania było ograniczone do jak najmniejszego zakresu. W przypadku danych wrażliwych (np. rasa, religia, zdrowie, dane biometryczne, biologiczne, finanse i stan majątkowy, miejsce pobytu, dane osobowe nieletnich) wymagane jest podawanie dodatkowych ostrzeżeń, chroniących prawa ich właściciela. Poza tym musi być podana informacja o możliwości wycofania zgody i podany opis jak to zrobić. Ustawa przewiduje, że dla pewnych zdarzeń zgoda będzie musiała być wyrażona na piśmie.

W przypadku zmiany istotnych kwestii związanych z przetwarzaniem danych osobowych należy powiadomić o tym osobę i ponownie uzyskać jej zgodę.

Czytaj więcej

Rynki pozaeuropejskie szansą na dywersyfikację eksportu

W przypadku kontaktów biznesowych realizowanych na poziomie internetu, w tym także w modelu crossborder, należy pamiętać, że obowiązki z tej ustawy trzeba wypełnić ściśle w związku z inną ustawą. Chodzi o ustawę o bezpieczeństwie danych, która weszła w życie 1 września 2021 r. Nakaz dotyczy m.in. tzw. ciasteczek, regulaminów i formularzy na stronie internetowej przedsiębiorstwa, sklepu internetowego i systemu transakcyjnego itd. W praktyce więc polscy przedsiębiorcy operujący biznesowo na chińskim rynku muszą dostosować swoje systemy platformy biznesowo-handlowe do wymogów prawa chińskiego.

Wszystkie podmioty, które działają w Chinach, nawet zdalnie, ale świadczą usługi lub sprzedają produkty w chińskim systemie jurysdykcji prawnej, są zobowiązane do opracowania nowej klauzuli o przetwarzaniu danych osobowych i jej obowiązkowemu udostępnianiu (publikacji). Musi być ona prosta i zrozumiała. Nie może budzić żadnych wątpliwości, co do treści.

„Zgoda” opiekuna

Jeśli klientem polskich firm w Chinach są już lub będą osoby nieletnie (poniżej 14 roku życia), to zgodnie z chińską ustawą o ochronie danych na przetwarzanie informacji o nieletnim należy uzyskać zgodę rodzica lub opiekuna. To nie wszystko. Ustawa nakłada obowiązek opracowania specjalnego, oddzielnego systemu przetwarzania danych osobowych, jeśli przetwarzanie dotyczy osób nieletnich. Ten obowiązek dotyczy np. polskiej szkoły językowej, która np. prowadzi kurs języka angielskiego dla chińskich dzieci.

Zakupy w chińskim internecie

W interesie prawnym Polaków kupujących na chińskich platformach handlowych lub korzystających online z rozmaitych usług różnych chińskich firm (np. kupno biletów lotniczych, rezerwacje hoteli, kupowanie wycieczek) jest zapoznanie się z obiema ustawami. Prawna ochrona na gruncie tych ustaw należy się także cudzoziemcom, jeśli wchodzą lub są w obszarze chińskiej jurysdykcji. Ciąży na nich także obowiązek podania danych w określonych sytuacjach, a które z pewnością będą przetwarzane.  

Chińska ustawa nie nakłada na osoby fizyczne bezwzględnego obowiązku podawania wszystkich danych każdemu. Dlatego znajomość wiedzy o prawach w chwili dokonywania transakcji kupno-sprzedaż na chińskiej platformie handlowej jest konieczna, aby podać tylko te, które są potrzebne do jej realizacji i odmówić podania tych, które mogą być przedmiotem dalszego obiegu, co do którego nie będziemy mieć faktycznie kontroli.

Czytaj więcej

Polski pawilon na EXPO 2020 w Dubaju widziany z zewnątrz.
Polski pawilon na EXPO 2020 w Dubaju otwarty

W rozumieniu chińskiego prawa chiński internet podlega chińskiej jurysdykcji. Przykładowo jeśli polskie biuro podróży organizuje wycieczki do Chin (a także Hongkongu i Makao) to na gruncie chińskiej ustawy o ochronie danych osobowych jest zobowiązane, pomimo posiadania chińskiego partnera  w Państwie Środka, do udzielenia informacji swoim klientom Polakom (lub klientom będących mieszkańcami jednego z państw członkowskich UE albo innego kraju) o zasadach zbierania i przetwarzania danych osobowych w Państwie Środka w związku z rejestracją dla nich np. hotelu w Kantonie lub innych miejscach realizacji programu wycieczki lub innego wyjazdu. Taki sam obowiązek informacyjny będzie ciążył np. na polskich organizatorach targów, konferencji lub innych wydarzeń w Chinach.