Communicatie

Wat is PIPL? Dit moet je weten over de nieuwe AVG-wet van China

0

China’s tweede ontwerp van een nieuwe wet voor bescherming van persoonlijke informatie is eind april gepubliceerd. Deze zal naar verwachting later dit jaar in werking treden en raakt ook verschillende Nederlandse bedrijven. Wat is de impact van deze wet op de verwerking van persoonsgegevens? Wat betekent dit voor internationale organisaties? En wat betekent dit eventueel voor jou?

Is China’s nieuwe wet vergelijkbaar met de AVG?

China’s nieuwe wet voor bescherming van persoonlijke informatie is een wet over gegevensbescherming die de verwerking en het gebruik van persoonlijke informatie regelt. Dit omvat het verzamelen, gebruiken, opslaan, overdragen, verstrekken en openbaar maken van persoonlijke informatie, dus alle informatie over geïdentificeerde of identificeerbare natuurlijke personen.

De nieuwe wet zal naar verwachting later dit jaar in werking treden. Zij volgt een wereldwijde trend van regeringen die wetten opleggen voor gegevensbescherming en gegevensprivacy, met name de Algemene Verordening Gegevensbescherming (AVG) ofwel de GDPR van de Europese Unie die in 2016 van kracht werd.

Internationaal wordt de wet aangeduid als de Personal Information Protection Law, afgekort PIPL. De wet vertoont sterke gelijkenissen met de AVG, maar er zijn ook verschillen tussen beide. Een Engelse vertaling van de originele tekst vind je hier.

Welke organisaties moeten aan de PIPL voldoen?

Natuurlijk zal elke organisatie die binnen de grenzen van de Volksrepubliek China met persoonsgegevens van natuurlijke personen omgaat aan de wet moeten voldoen.

Maar niet alleen lokale organisaties. Ook internationale organisaties buiten China die producten of diensten leveren aan personen die woonachtig zijn in China, of die analyseren en evalueren, zullen aan de PIPL moeten voldoen.

Dat betreft ieder bedrijf dat persoonsgegevens van Chinese ingezetenen verwerkt. Een kleine webshop uit Nederland die incidenteel aan inwoners van China verkoopt zal hier niet direct last van ondervinden, de kans op een boete is klein, maar moet er volgens de wet wel aan voldoen.

Vooral voor grotere Nederlandse merken en organisaties die actief zijn in China is het urgent. Nederlandse merken die veel verkopen in China, bijvoorbeeld via e-commerce platform T-Mall, verwerken bij de verkoop persoonsgegevens en gebruiken die mogelijk ook weer voor remarketing of personalisatie.

Ook veel toeristische attracties in Nederland doen actief aan online marketing en adverteren in China, en verkopen daarnaast tickets online waarbij (mogelijk) persoonsgegevens verwerkt worden.

Maar ook business-to-business zoals import en export van producten, diensten en technologie of bedrijven die werknemers uit China inhuren. Waar er persoonsgegevens verwerkt worden moet je net als bij de AVG aan de wet voldoen.

Wat zijn de belangrijkste beginselen van PIPL?

Net als bij de AVG hebben personen het recht om kennis te nemen van en beslissingen te nemen over de verwerking van hun persoonsgegevens. Zij hebben het recht om hun gegevens in te trekken of te weigeren, en om correctie of verwijdering te verzoeken.

Voor het verzamelen van informatie is een rechtsgrondslag nodig, waarvan de meest voorkomende de toestemming van de betrokkene is. De andere grondslagen zijn contractuele verplichtingen, wettelijke verplichtingen, noodsituaties over de volksgezondheid, en andere omstandigheden die in andere wetten en administratieve voorschriften zijn vastgelegd.

Anders dan in de AVG is een gerechtvaardigd belang geen rechtsgrondslag voor organisaties om gegevens te verzamelen en te verwerken onder de PIPL.

Andere belangrijke beginselen zijn onder meer:

  • Doelbinding: dit betekent dat de persoonsgegevens alleen voor dat doel mogen worden gebruikt.
  • Minimale gegevensverwerking: dit betekent dat gegevens niet mogen worden bewaard als ze niet nodig zijn, of niet aan het uitdrukkelijke doel beantwoorden. Ze mogen niet langer worden bewaard dan nodig is.
  • Transparantie: dit betekent dat de betrokkene op de hoogte moet zijn van de manier waarop zijn gegevens worden behandeld, opgeslagen, verwerkt en wie er toegang toe heeft.

Wat zijn de gevolgen van een overtreding van de PIPL?

In 2020 stegen GDPR-gerelateerde boetes met bijna 40% en bedroegen in totaal €158,5 miljoen. Kledingretailer H&M kreeg een boete van 35 miljoen euro, de op één na grootste GDPR-boete ooit opgelegd. Het laat zien dat er ernstige gevolgen kunnen zijn voor het overtreden van wetten als de GDPR, en wat er in de toekomst van PIPL verwacht kan worden.

Bij overtreding van de PIPL kunnen de autoriteiten van de organisatie, eisen de verwerking aan te passen. Oftewel de overtreding te corrigeren, beslag leggen op illegale inkomsten, waarschuwingen geven en boetes opleggen tot 1 miljoen yuan (ongeveer honderdduizend euro). In ernstige gevallen tot 50 miljoen yuan of 5 procent van de omzet van het voorgaande jaar. De autoriteiten kunnen ook de vergunning van een bedrijf dat weigert correcties toe te passen schorsen of intrekken.

Wat verschilt van de AVG is dat de direct verantwoordelijke, zoals managers en functionarissen voor gegevensbescherming, ook een boete kunnen krijgen tot honderdduizend yuan of in ernstige gevallen tot wel 1 miljoen yuan. Er kan zelfs strafrechtelijke aansprakelijkheid zijn, wat niet het geval is onder de AVG.

privacy

Wat is het effect van PIPL op marketing?

Het huidige ontwerp laat veel open voor interpretatie, dus er is nog onduidelijkheid over hoe PIPL marketing precies beïnvloedt. Net als bij de AVG zullen marketeers speciale aandacht moeten besteden aan cookies voor profilering of het opslaan van persoonlijke informatie, contactformulieren, nieuwsbrieven, leadgeneratiecampagnes, CRM en analysetools.

Daarnaast moet zorgvuldig worden gekeken naar het gebruik van algoritmen, locatie-tracking en hoe om te gaan met gegevens van derden en de verwerking van gegevens buiten de grenzen van China.

Algoritmen

Organisaties die algoritmen gebruiken, zijn verplicht de transparantie van het besluitvormingsproces te waarborgen. Individuen hebben het recht om uitleg te vragen over waarom het algoritme een bepaald resultaat heeft opgeleverd, en kunnen weigeren dat geautomatiseerde besluitvorming überhaupt wordt gebruikt.

Marketeers die gebruikmaken van automatische of programmatische besluitvorming op basis van de analyse van persoonlijke informatie, zoals personalisering van websites, gepersonaliseerde aanbiedingen en adverteren, moeten zich ervan bewust zijn dat individuele toestemming een eerste vereiste zal zijn.

Traceren van locaties

Binnen de PIPL zal het traceren van de locatie van personen als gevoelige persoonsgegevens worden beschouwd en strikt worden beperkt. Dit zal organisaties beperken om bijvoorbeeld offline winkelbezoeken te traceren voor gebruik in remarketing- en retargetingcampagnes.

Derden

Marketeers maken graag gebruik van de mogelijkheden die platformen van techgiganten bieden, en hun enorme verzameling van klantgegevens in te zetten om content en advertenties te personaliseren. Maar zij zullen het delen van gegevens met deze partijen, het gebruik van gegevens van derden en de rechtsgrondslag onder PIPL opnieuw moeten beoordelen.

Ook zullen dataverstrekkers, platformen en advertentienetwerken van derden kritisch worden gevolgd wat betreft de manier waarop ze persoonsgegevens verkrijgen en verwerken.

Grensoverschrijdend

Organisaties die buiten de grenzen van China persoonsgegevens verwerken, moeten een speciale entiteit of vertegenwoordiger in China aanwijzen, en een contract voor grensoverschrijdende overdracht ondertekenen. Ook kunnen zij worden onderworpen aan veiligheidsbeoordelingen of certificeringsvereisten van de Cyberspace Administration of China (CAC).

Hoe wordt je PIPL-compliant

Als jouw organisatie al aan de AVG voldoet, zijn er waarschijnlijk enkele maatregelen genomen. Er zijn echter meerdere verschillen tussen de PIPL en de AVG waar je rekening mee moet houden.

Net als bij de AVG is de implementatie maatwerk, omdat ieder bedrijf op een andere manier persoonsgegevens verwerkt en of welke bepalingen van toepassing zijn.

Zoek daarom een gespecialiseerd juridisch adviseur of advocatenkantoor om de PIPL en de precieze gevolgen ervan voor jouw organisatie te begrijpen.

Stel een intern team samen en bekijk alle persoonsgegevens die in de organisatie worden verwerkt, door de huidige processen en software van de organisatie in kaart te brengen.

Werk samen met IT, HR, marketing, sales en alle andere afdelingen die met persoonsgegevens omgaan, om beleid en procedures in te voeren volgens de PIPL-beginselen. Als er externe bureaus of derde partijen bij betrokken zijn, zoals reclamebureaus, software as a service, een externe klantendienst, platformen, enzovoort, teken dan de benodigde overeenkomsten.

Werk de privacyverklaring, de cookiemeldingen en de algemene voorwaarden bij en breng alle contactpersonen hiervan op de hoogte. Als er niet eerder uitdrukkelijke toestemming is verkregen, informeer deze personen dan en vraag deze alsnog, voor elk doel van het beoogde gebruik.

Informeer en train alle werknemers die met persoonsgegevens omgaan, hoe zij dit op de juiste manier moeten doen. Zorg ervoor dat toegangsrechten en fysieke beveiligingsmaatregelen op een juiste omgang zijn afgestemd.

Documenteer alle inspanningen, beleidsmaatregelen en procedures die worden ingevoerd. Maak een plan om ze regelmatig te controleren en te herzien.

Onderneem nu actie

Om aan de PIPL te voldoen, zijn tijd en middelen nodig om de nodige veranderingen door te voeren. Momenteel is niet bekend of er een respijtperiode zal zijn en voor hoe lang. Bij de invoering van de AVG hadden veel organisaties moeite om de deadline te halen en sommige voldoen vandaag de dag nog steeds niet aan de eisen. Organisaties die zich nog niet voorbereiden op de PIPL moeten daarom nu actie ondernemen.


Disclaimer

Dit artikel is geen juridisch advies. Indien je juridisch advies wenst over deze zaken, gelieve dan de hulp in te roepen van een professioneel juridisch adviseur.