AVG. Gemaakt in Europa. Geëxporteerd naar China.

Data Protection
Geschreven door Kris Seyen

Sinds de invoering van de AVG in 2016 heeft Europa de toon gezet op het gebied van bescherming van persoonsgegevens. Geopolitieke overwegingen terzijde, het valt niet te ontkennen dat het oude continent, althans op het gebied van privacy, probeert zijn culturele visie te pushen.

Slaagt Europa in dit privacy-imperialisme? Dat lijkt het wel, nu China ingrijpt.

Na Europa eerst de Verenigde Staten en Canada

Ondanks de grote belangstelling voor het controleren van de persoonsgegevens van Amerikaanse consumenten, hebben de Verenigde Staten zich nog niet bij de EU aangesloten om nationale wetgeving aan te nemen die rekening houdt met de technologische impact op het dagelijks leven.

Bij gebrek aan federale actie heeft Californië echter een belangrijke eerste stap gezet naar een betere privacybescherming met de goedkeuring van de California Consumer Privacy Act (CCPA), die sinds 1 januari 2020 van kracht is. De CCPA is een keerpunt in de Amerikaanse privacywetgeving en was de eerste wet in de Verenigde Staten die rechten omvatte die duidelijk zijn geïnspireerd door de AVG.

In concurrentie met Europa en Californië werd datzelfde jaar in Canada een voorgestelde Consumer Privacy Protection Act (CPPA) gelanceerd. Terwijl Canadese wetgevers wijzigingen en voorstellen in deze CPPA overwegen om deze af te stemmen op de AVG, lijkt het zeer waarschijnlijk dat bedrijven ook te maken krijgen met nieuwe of uitgebreide consumentenrechten en aanvullende verplichtingen met betrekking tot de manier waarop persoonlijke informatie mag worden verwerkt. AVG next level, om het zo maar te zeggen.

De diffuse realiteit van China

Privacyactivisten zijn geschokt door China: 1,4 miljard mensen die allemaal worden gemonitord vanuit de controlekamer van de ene partij die het beleid maakt. Dit is toch zeker niet in overeenstemming met onze Europese normen?

Wie China een beetje kent, moet een paar observaties maken. Voor de buitenwereld lijkt China vaak een monoliet, met edicten uit Beijing die genadeloos worden uitgevoerd door de rest van het systeem. Dat is ook het beeld dat de Chinese overheid graag presenteert.

Het dagelijks leven toont echter een veel rommeligere realiteit. Hoewel China over hulpmiddelen beschikt die veel andere regeringen normaal gesproken niet tot hun beschikking hebben, is het vermogen van de staat om toegang te krijgen tot persoonlijke gegevens soms beperkt. Coördinatie tussen verschillende delen van de publieke sector is vaak sporadisch en ontsierd door bureaucratische rivaliteit. Veel bedrijven in de private sector zijn voorzichtig met het vervreemden van klanten uit de middenklasse, wier leven nu draait om een ​​reeks apps op hun smartphones. Grote spelers als Alibaba en Tencent zijn daarom terughoudend met het overhandigen van gegevens.

Ontwerp van de “Wet ter bescherming van persoonlijke informatie” in China

Toch is privacy wel degelijk een zorg binnen de Chinese samenleving, hoewel de Chinezen er cultureel gezien misschien iets anders tegenaan kijken dan wij in het Westen.

Een aantal oudere kleine initiatieven hebben er uiteindelijk toe geleid dat op 21 oktober 2020 het ontwerp van de Wet bescherming persoonsgegevens van de Volksrepubliek China is gepubliceerd. Het ontwerp staat nu gepland voor verdere beraadslaging in de vergaderingen van de vaste commissie van 2021, zodat het zo snel mogelijk kan worden afgekondigd (lees hier de originele versielees hier een Nederlandse vertaling).

Extraterritoriale toepassing

Artikel 3 van het ontwerp bepaalt uitdrukkelijk dat het ontwerp niet alleen van toepassing is op de verwerking van persoonsgegevens van natuurlijke personen binnen China, maar ook op de verwerking van persoonsgegevens van natuurlijke personen buiten China indien:

  • dergelijke activiteiten zijn gericht op het leveren van producten of diensten aan natuurlijke personen in China;

  • dergelijke activiteiten zijn handelingen die worden uitgevoerd met het doel natuurlijke personen in China te analyseren of te beoordelen; of

  • er zijn andere juridische omstandigheden.

Het ontwerp sluit daarmee nauw aan bij de ruime reikwijdte van de AVG en kent daarmee een brede extraterritoriale toepassing toe aan de bescherming van persoonsgegevens.

Aanscherping van de regels voor de verwerking van persoonsgegevens

In het ontwerp worden zes beginselen gespecificeerd die in acht moeten worden genomen bij de verwerking van persoonsgegevens:

  • het beginsel van de goede trouw (artikel 5),

  • het beginsel van duidelijke en redelijke doeleinden (artikel 6),

  • het beginsel van minimale noodzakelijkheid (artikel 6)

  • het beginsel van openheid en transparantie (artikel 7)

  • het beginsel van nauwkeurige informatie (artikel 8), en

  • het beginsel van verantwoordingsplicht voor de verwerking van informatie (artikel 9).

Verwerkingsgronden

Het ontwerp breidt de wettelijke basis voor de verwerking van persoonsgegevens uit. Op grond van artikel 13 van het ontwerp mogen persoonsgegevens worden verwerkt als aan een van de volgende voorwaarden is voldaan:

  • de toestemming van de betrokkene is verkregen

  • de verwerking noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst waarbij de betrokkene partij is;

  • de verwerking noodzakelijk is om te voldoen aan wettelijke verplichtingen;

  • de verwerking noodzakelijk is om te reageren op een noodsituatie op het gebied van de volksgezondheid of om het leven, de gezondheid of de eigendommen van een natuurlijke persoon in een noodsituatie te beschermen;

  • de persoonsgegevens worden binnen een redelijke termijn verwerkt voor de doeleinden van nieuwsverslaggeving, het monitoren van de publieke opinie en andere handelingen in het algemeen belang; of

  • er zijn andere juridische gronden.

Uitdrukkelijke toestemming

Bovendien worden er veel omstandigheden genoemd waarin afzonderlijke toestemming vereist is:

  • de doorgifte van persoonsgegevens aan derden (art. 24),

  • de openbaarmaking van persoonsgegevens (art. 26),

  • de verwerking van op openbare plaatsen verzameld beeldmateriaal voor andere doeleinden dan de openbare orde (art. 27),

  • de verwerking van gevoelige gegevens (art. 30), en

  • overdracht van persoonsgegevens buiten China (art. 39).

Rechten en plichten

Belangrijke verduidelijkingen over de rechten van betrokkenen zijn te vinden in Hoofdstuk IV van het ontwerp:

  • het recht om geïnformeerd te worden en te beslissen (art. 44)

  • het recht op toegang en op kopieën (artikel 45), het recht op rectificatie en aanvulling (artikel 46)

  • het recht op wissen (artikel 47)

  • het recht om uitleg en verduidelijking te vragen (artikel 48)

  • en het recht om gemotiveerde feedback van de verwerker te verkrijgen (artikel 49).

Hoofdstuk V van het ontwerp specificeert de verplichtingen van de verwerkingsverantwoordelijke, zoals een voorafgaande risicobeoordeling (artikel 54), technische en organisatorische maatregelen (artikel 50) en een procedure voor datalekken (artikel 55).

Strikte wettelijke aansprakelijkheid

Artikel 62 van het ontwerp bepaalt dat illegale verwerking van persoonsgegevens bestraft wordt met “een boete van maximaal 50 miljoen RMB of maximaal 5% van de inkomsten van het voorgaande jaar”. Bovendien kan de overtreder verplicht worden de betreffende activiteiten op te schorten en loopt hij het risico dat zijn bedrijfsvergunningen worden ingetrokken.

Hoewel het nominale plafondbedrag wellicht lager ligt dan wij in Europa gewend zijn, loopt de hardnekkige overtreder ook het risico vervolgd te worden.

Conclusie

Het is duidelijk dat de AVG wereldwijd de koers uitzet voor de bescherming van persoonsgegevens: de basisbeginselen van privacy die we in Europa kennen, worden op alle continenten overgenomen.

Dat China deze principes ook omarmt, is misschien wel een goede zaak. Critici zouden kunnen stellen dat het Chinese ontwerp, zoals het er nu voorstaat, voornamelijk privérelaties reguleert en geen oplossing biedt voor overheidstoezicht. Maar daarmee negeren ze het feit dat Chinese burgers op een heel andere – pragmatische – manier naar hun overheid kijken. Als Europeanen zien we de centrale overheid soms als een bedreiging en beperking van onze individuele rechten en vrijheden; Chinese burgers zien hun overheidssysteem meer als een kans voor snelle economische ontwikkeling en stabiliteit.

In ieder geval staat vast dat ook ondernemers die actief zijn op de Chinese markt zich grondig moeten voorbereiden en rekening moeten houden met het groeiende privacybewustzijn van de Chinese consument. Via ons netwerk kunnen wij u hierbij altijd bijstaan, u hoeft ons alleen maar te contacteren via hallo@consey.legal .

Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)

Kris Seyen
Vorige

Ligt web data voor het (sch)rapen?