PIPL – Čínsky zákon o ochrane osobných údajov
Dňa 20. augusta 2021 prijala Čína prelomový zákon o ochrane osobných údajov – Personal Information Protection Law (PIPL). Po prijatí tohto zákona ostáva otvorenou otázka, či prijatie tohto zákona bude mať za následok vydanie rozhodnutia o tom, že Čína sa bude považovať za krajinu, ktorá poskytuje adekvátnu alebo primeranú úroveň ochrany osobných údajov v zmysle článku 45 GDPR.
Úvodom je nutné si spomenúť, že nariadenie GDPR prísne reguluje prenos osobných údajov do tretích krajín. Takáto regulácia sa teda týka aj Číny. Jedným zo spôsobov, ktorý by mohol zjednodušiť postup prenosu osobných údajov do tretích krajín, je prijatie rozhodnutia o primeranosti ochrany osobných údajov podľa článku 45 nariadenia GDPR. Prijatie takéhoto rozhodnutia v podstate znamená, že dotknutá krajina chráni osobné údaje minimálne v takom rozsahu, v akom ich chráni nariadenie GDPR. Efektom tejto ochrany je to, že osobné údaje môžu byť do takejto krajiny zasielané, keďže ich ochrana tam bude zaručená.
Môže sa zdať, že prijatím zákona PIPL smeruje k vydaniu rozhodnutiu o primeranosti ochrany osobných údajov aj Čína. Po preštudovaní zákona je zrejmé, že cieľom je jednoznačne ochrana osobných údajov. Pokiaľ by rozhodnutie o primeranosti vyplývalo výslovne len zo zákona, reálne by existovala možnosť, že Čína by bola považovaná za krajinu poskytujúcu primerané záruky za ochranu osobných údajov.
Tu je však nutné uvedomiť si to, že samotná legislatíva nepostačuje na to, aby bola krajina považovaná za primeranú z pohľadu ochrany osobných údajov. Do hodnotenia krajiny totižto vstupujú aj ďalšie faktory, ktoré môžu takéto rozhodnutie podstatným spôsobom ovplyvniť.
Z nášho pohľadu je nesporné, že aj keď prijala Čína zákon na ochranu osobných údajov, krajina ako taká a predovšetkým jej právny režim nezaručuje to, že ochrana osobných údajov bude skutočne v tejto krajine aj zabezpečená. Rovnako nie je garantované to, že s osobnými údajmi nebude vzhľadom na režim riadenia tejto krajiny nakladané v rozpore s týmto zákonom. Tieto okolnosti podľa nášho názoru v súčasnej situácii neumožňujú vydať pre Činu rozhodnutie o primeranosti podľa nariadenia GDPR.
Na uvedenom príklade je zrejmé, že ani prijatie na pohľad kvalitného zákona nemusí mať za následok automaticky vydanie rozhodnutia o primeranosti. Vzhľadom na uvedené je pri styku s Čínou naďalej potrebné postupovať v súlade s nariadením GDPR a považovať Čínu za krajinu, ktorá nezaručuje primeranosť ochrany osobných údajov. Na účel prenosu osobných údajov tak spoločnosti budú musieť využiť záväzné vnútropodnikové pravidlá a štandardné zmluvné doložky v zmysle nariadenia GDPR.