Samenvatting

Het Permanente Comité van het Nationaal Volkscongres heeft de laatste maanden twee belangrijke nieuwe wetten met betrekking tot (persoons)gegevensbescherming afgekondigd.

Ten eerste werd er midden juni de “Data Security Law” (DSL) afgekondigd. Samengevat legt deze wet, die al in werking zou treden op 1 september 2021, (bijkomende) beveiligingsverplichtingen op met betrekking tot belangrijke of essentiële staatsgegevens. Daarbij gaat het over alle soorten gegevens, niet enkel persoonsgegevens. Wel wordt het onderscheid tussen ‘belangrijke gegevens’ en ‘essentiële staatsgegevens’ (“Core State Data”) geïntroduceerd, dat rekening houdt met het belang van gegevens voor de Chinese economie en de nationale veiligheid. Dit onderscheid heeft een impact op de na te leven verplichtingen, die strenger zijn voor de ‘essentiële staatsgegevens’ (i.e. gegevens die verband houden met bv. nationale veiligheid of zwaarwichtige openbare belangen). Welke gegevens als ‘belangrijk’ worden beschouwd, zal nog worden bepaald door de Chinese overheid waarbij dergelijke gegevens ook kunnen onderworpen worden aan regionale of sectorale ‘belangrijke gegevenscatalogi’. Verder wordt de internationale doorgifte van ‘belangrijke gegevens’ onderworpen aan bepaalde voorwaarden en een voorafgaande veiligheidsbeoordeling. De DSL is nauw verbonden met de bestaande Cybersecurity Law en vult deze op verschillende punten verder aan. Het wordt verwacht dat de Chinese overheid in de komende maanden nog bijkomende richtlijnen en regelgeving zal publiceren ter verduidelijking van de DSL.

Ten tweede werd eind augustus ook de “Personal Information Protection Law” (PIPL) afgekondigd die in werking zal treden op 1 november 2021. Deze ‘Chinese GDPR’ legt aan commerciële bedrijven verplichtingen op in verband met de verwerking van persoonsgegevens. (De Europese GDPR/AVG is echter nog omvattender.) Er wordt vanuit gegaan dat deze wet niet (of nauwelijks) van toepassing zal zijn op de Chinese overheid zelf. De PIPL omvat o.a. een verplichting tot doelbinding en minimale gegevensverwerking en om in (zo goed als alle) gevallen toestemming te verkrijgen voorafgaand aan de verwerking (bv. ook met oog op (algoritmische) gepersonaliseerde aanbevelingen/marketing of voor de verwerking van biometrische gegevens). Verder moet er ook een gegevensbeschermingsverantwoordelijke worden aangeduid in bepaalde gevallen, worden organisaties verwacht regelmatig audits te doen om zich ervan te verzekeren dat ze de verplichtingen naleven en worden er voorwaarden opgelegd aan de internationale doorgifte van persoonsgegevens. Ook hier wordt verwacht dat de Chinese overheid in de komende maanden nog bijkomende richtlijnen en regelgeving zal publiceren ter verduidelijking van de PIPL.

Voor een meer gedetailleerde bespreking van de PIPL, zie bijvoorbeeld hier.