Sinds de lancering in 2016 van de GDPR, heeft Europa de toon gezet inzake bescherming van persoonsgegevens. Geopolitieke beschouwingen terzijde, het kan niet ontkend worden dat het oude continent minstens inzake privacy haar culturele zienswijze probeert door te duwen. Slaagt Europa in dit privacy-imperialisme? Nu China overstag gaat, lijkt dit wel zo te zijn.

Na Europa, eerst de Verenigde Staten en Canada

Ondanks de grote belangstelling voor de controle over persoonsgegevens van Amerikaanse consumenten, hebben de Verenigde Staten zich nog niet aangesloten bij de EU door nationale wetgeving aan te nemen die rekening houdt met de technologische impact op het dagelijkse leven.

Bij gebrek aan federale actie heeft Californië echter een belangrijke eerste stap gezet in de richting van meer privacybescherming met de goedkeuring van de California Consumer Privacy Act (CCPA), die sinds 1 januari 2020 in werking is. De CCPA is een keerpunt in de Amerikaanse privacywetgeving en was de eerste wet in de Verenigde Staten die rechten bevatte die duidelijk geïnspireerd zijn op de GDPR.

Vanuit een rivaliteit met Europa en California, werd datzelfde jaar in Canada een voorstel gelanceerd tot Consumer Privacy Protection Act (CPPA). Nu Canadese wetgevers in deze CPPA wijzigingen en voorstellen overwegen om zich aan te passen aan de GDPR, lijkt het er sterk op dat bedrijven bovendien te maken zullen krijgen met nieuwe of uitgebreidere consumentenrechten en extra verplichtingen met betrekking tot de manier waarop persoonlijke informatie mag worden verwerkt. GDPR next level zeg maar.

De diffuse realiteit van China

Privacy-activisten gruwen van China: 1,4 miljard individuen die allemaal in de gaten gehouden worden vanuit de controlekamer van die ene partij die het beleid maakt – dit stuit toch tegen onze Europese borst?

Wie China een beetje kent, moet daar toch een aantal kanttekeningen bij maken. Voor de buitenwereld lijkt China vaak een monoliet, met edicten uit Beijing die meedogenloos worden uitgevoerd door de rest van het systeem. Dat is overigens ook het beeld dat de Chinese overheid zelf graag voorhoudt.

Het dagelijkse leven laat echter een veel rommeliger realiteit zien. Hoewel China over instrumenten beschikt die veel andere regeringen gewoonlijk niet zouden kunnen inzetten, is het vermogen van de staat om toegang te krijgen tot persoonlijke gegevens soms beperkt. De coördinatie tussen de verschillende onderdelen van de overheidssector is vaak sporadisch en wordt ontsierd door bureaucratische rivaliteiten. Veel bedrijven in de particuliere sector zijn behoedzaam om klanten uit de middenklasse, wier leven nu om een reeks apps op hun smartphones draait, van zich te vervreemden. Grote spelers zoals Alibaba en Tencent staan dan ook huiverig tegenover het overhandigen van gegevens.

Ontwerp “Personal Information Protection Law” in China

Privacy is wel degelijk een bezorgdheid binnen de Chinese maatschappij – al bekijken de Chinezen het wellicht cultureel iets anders dan wij in het Westen.

Een aantal oudere losse initiatieven hebben dan uiteindelijk ook geleid tot de publicatie op 21 oktober 2020 van het ontwerp van Wet Bescherming Persoonsgegevens van de Volksrepubliek China. Het ontwerp is nu ingepland voor verdere beraadslagingen in de vergaderingen van het Permanent Comité in 2021, zodat het zo spoedig mogelijk kan worden afgekondigd (lees hier de originele versielees hier een Nederlandse vertaling).

Extraterritoriale toepassing

Artikel 3 van het ontwerp bepaalt uitdrukkelijk dat het ontwerp niet alleen van toepassing is op de verwerking van persoonsgegevens van natuurlijke personen binnen China, maar ook op de verwerking van persoonsgegevens van persoonsgegevens van natuurlijke personen daarbuiten wanneer:

  • dergelijke activiteiten gericht zijn op het leveren van producten of diensten te leveren aan natuurlijke personen binnen China;
  • dergelijke activiteiten handelingen zijn die worden verricht om natuurlijke personen te analyseren of te beoordelen binnen China; of
  • er andere wettelijke omstandigheden zijn.

Het ontwerp lijkt hiermee sterk op de grote draagwijdte van de GDPR en geeft dus een ruime extraterritoriale toepassing aan de bescherming van persoonsgegevens.

Aanscherping van de regels voor de verwerking van persoonsgegevens

In het ontwerp worden zes beginselen gespecificeerd die in acht moeten worden genomen bij de verwerking van persoonsgegevens:

  • het beginsel van goede trouw (artikel 5),
  • het beginsel van duidelijke en redelijke doelstellingen (artikel 6),
  • het beginsel van de minimale noodzaak (artikel 6),
  • het beginsel van openheid en transparantie (artikel 7),
  • het beginsel van juiste informatie (artikel 8), en
  • het beginsel van toerekenbaarheid van informatieverwerking (artikel 9).

Verwerkingsgronden

Het ontwerp breidt de rechtsgrondslag voor de verwerking van persoonsgegevens uit. Krachtens artikel 13 van het ontwerp mogen persoonsgegevens verwerkt worden indien aan een van de volgende voorwaarden is voldaan:

  • de toestemming van de betrokkene is verkregen;
  • de verwerking is noodzakelijk voor de sluiting of de uitvoering van een overeenkomst waarbij de betrokkene partij is;
  • de verwerking is noodzakelijk om wettelijke verplichtingen te vervullen;
  • de verwerking is noodzakelijk om te reageren op een noodsituatie op het gebied van de volksgezondheid, of om het leven, de gezondheid en de eigendom van een natuurlijke persoon persoon in een noodsituatie te beschermen;
  • de persoonsgegevens worden verwerkt binnen een redelijke termijn voor nieuwsverslaggeving, publieke opinie toezicht en andere handelingen ten behoeve van het openbaar belang; of
  • er zijn andere wettelijke gronden.

Uitdrukkelijke toestemming

Bovendien worden heel wat omstandigheden gespecifieerd waarin afzonderlijke toestemming moet worden verkregen:

  • het doorgeven van persoonsgegevens aan derden (art. 24),
  • het openbaar maken van persoonsgegevens (art. 26),
  • de verwerking voor andere doelen dan openbare orde van beeldmateriaal dat op openbare locaties werd verzameld (art. 27),
  • de verwerking van gevoelige gegevens (art. 30), en
  • doorgifte van persoonsgegevens buiten China (art. 39).

Rechten en plichten

Belangrijke verduidelijkingen over de rechten van de betrokkenen vinden we in hoofdstuk IV van het ontwerp:

  • het recht om te worden geïnformeerd en te beslissen (artikel 44),
  • het recht van toegang en van afschrift (artikel 45), het recht op recht op correctie en aanvulling (artikel 46),
  • het recht op verwijdering (artikel 47)
  • het recht om toelichtingen en verduidelijkingen te vragen (artikel 48),
  • en het recht om van de verwerker gemotiveerde terugkoppeling te krijgen (artikel 49).

Hoofdstuk V van het ontwerp specificeert dan weer de verplichtingen van de verwerkingsverantwoordelijke, zoals de voorafgaande risicobeoordeling (artikel 54), technische en organisatorische maatregelen (artikel 50) en een procedure voor datalekken (artikel 55).

Strikte juridische aansprakelijkheid

Artikel 62 van het ontwerp bepaalt dat een illegale verwerking van persoonsgegevens wordt bestraft met “een boete van maximaal 50 miljoen RMB of tot 5% van de inkomsten van het voorgaande jaar”. Bovendien kan de overtreder verplicht worden de betrokken activiteiten op te schorten, en loopt hij het risico dat zijn bedrijfsvergunningen worden ingetrokken.

Het nominale plafond bedrag is dan misschien wel lager dan we in Europa gewoon zijn, de hardnekkige overtreder riskeert ook gerechtelijke vervolging.

Conclusie

Het is duidelijk dat de GDPR inzake bescherming van persoonsgegevens globaal de richting aangeeft: de basisprincipes rond privacy waarmee we inmiddels in Europa vertrouwd zijn, worden opgepikt in alle continenten.

Dat ook China deze beginselen omarmt, kan een goede zaak zijn. Critici kunnen opwerpen dat het Chinese ontwerp zoals het momenteel voorligt, vooral private verhoudingen regelt, en geen oplossing biedt voor de surveillance door de overheid. Zij gaan daarmee echter voorbij aan de vaststelling dat de Chinese burgers op een heel andere – pragmatische – manier naar hun overheid kijken. Als Europeanen zien wij het centrale gezag soms als een bedreiging en beknotting van onze individuele rechten en vrijheden; Chinese burgers zien in hun overheidssysteem eerder een opportuniteit tot razendsnelle economische ontwikkeling en stabiliteit.

Vast staat in elk geval dat ondernemers die op de Chinese markt actief zijn, zich ook terdege zullen moeten voorbereiden en rekening houden met het groeiende privacy-bewustzijn van de Chinese consument. Via ons netwerk kunnen wij jou hierbij steeds begeleiden – het volstaat ons te contacteren via hallo@dejuristen.be.

Geschreven door Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance

Onze website gebruikt cookies en verzamelt informatie over je bezoek om onze website te verbeteren. Bekijk onze  Cookie verklaring en maak hieronder een keuze.

Cookie settings

Hieronder kan je kiezen welke soorten cookies je toelaat op deze website. Klik op de  "Save cookie settings" knop om je voorkeuren op te slaan.

Functionele cookiesOnze website gebruikt functionele cookies. Deze cookies zijn noodzakelijk om de website te doen werken.

Analytische cookiesOnze website gebruikt analytische cookies om het gebruik van de website te analyzeren en te optimaliseren.

Social media cookiesOnze website plaatst sociale media cookies om 3rd party content to tonen. Deze cookies kunnen mogelijks je persoonlijke data tracken.

Advertentie cookiesOnze website plaatst advertentie cookies om je 3rd party advertenties te tonen op basis van je interesses.

Andere cookiesOnze website plaatste 3rd party cookies van andere 3rd party diensten die geen analytische, social media of advertentie cookies zijn.