Dana 30. lipnja, kako bi se regulirale aktivnosti prekograničnog prijenosa podataka (u daljnjem tekstu ” CBDT aktivnosti “) te se zaštitio i olakšao slobodan protok osobnih podataka, sve u sigurnom okruženju, Kineska tijela koja brinu o sigurnosti kibernetičkog prostora (u daljnjem tekstu “CAC” ) objavila su dugo očekivana Pravila standardnih ugovornih klauzula (u daljnjem tekstu ” CAC SCC pravila “) i prateće standardne ugovorne klauzule (u daljnjem tekstu ” CAC SCC “) za javno savjetovanje.
Navedenim se provodi u praksi članak 38. Zakona o zaštiti osobnih podataka (u daljnjem tekstu „ PIPL “), CAC SCC Pravila su u skladu s prethodno objavljenim nacrtom Mjere sigurnosne procjene prekograničnog prijenosa podataka (u daljnjem tekstu ” Mjere sigurnosne procjene “), nacrtom Administrativne uredbe o sigurnosti mrežnih podataka (u daljnjem tekstu ” Uredba o mrežnim podacima “) i drugim propisima koji se odnose na upravljanje CBDT aktivnostima, poboljšavajući provedivost članka 38. PIPL.
S obzirom na to da aktivnosti CBDT-a obično uključuju međusobno djelovanje između zahtjeva za zaštitu podataka u više jurisdikcija, u ovom članku namjeravamo preliminarno analizirati sličnosti i glavne razlike između CAC SCC i standardnih ugovornih klauzula prema Općoj uredbi o zaštiti podataka (u daljnjem tekstu ” GDPR SCC “), što bi moglo biti od interesa za multinacionalne tvrtke.
I. Pregled CAC SCC pravila
Kako bi se osigurao mehanizam cijelog ciklusa za primjenu CAC SCC-a, CAC SCC pravila utvrđuju primjenjivost CAC SCC-a, zahtjev za provođenjem procjene utjecaja osobnih podataka (u daljnjem tekstu ” PIIA “), obvezu registracije ax ante kod pokrajinskog CAC ureda, ali i druge zahtjeve.
(i) Primjenjivost CAC SCC
Članak 4. Pravila CAC SCC određuje primjenjivost CAC SCC i to ukoliko voditelj obrade osobnim podacima (u daljnjem tekstu ” PI voditelj “) zadovoljava sve sljedeće uvjete i koristi CAC SCC kao pravnu osnovu za obavljanje CBDT aktivnosti:
1) Nije operater s kritičnom informacijskom infrastrukturom;
2) Obrađuje manje od milijun osobnih podataka pojedinaca;
3) Nije kumulativno prenio 100.000 osobnih podataka pojedinaca u inozemstvo od prošle fiskalne godine;
4) Nije kumulativno prenio osjetljive osobne podatke 10. 000 pojedinaca u inozemstvo od prošle fiskalne godine.
Gornja primjenjivost u skladu je s mjerama sigurnosne procjene. Stoga se voditelji obrade osobnim podacima koji ne ispunjavaju gore navedene zahtjeve vjerojatno moraju osloniti na drugu pravnu osnovu navedenu u članku 38. PIPL-a, kao što je prolazak kroz sigurnosnu procjenu ili dobivanje certifikata o zaštiti osobnih podataka.
(ii) Zahtjevi PIIA-e
Sukladno članku 55. PIPL-a, prilikom provođenja aktivnosti CBDT-a, predmetni voditelj PI-a moraju prethodno provesti PIIA u vezi s aspektima kao što su svrha i sredstva aktivnosti CBDT-a; jesu li zadovoljena načela zakonitosti, legitimnosti i nužnosti; koji su utjecaji na prava i interese dotičnih pojedinaca; te jesu li usvojene mjere zakonite, učinkovite i mogu li na odgovarajući način identificirati rizike.
Slično tome, Pravila CAC SCC ne samo da razrađuju obvezu PIIA-e koju zahtijeva PIPL, već također zahtijevaju od voditelja PI-a da podnesu izvješće o PIIA-i prilikom podnošenja izvršenog CAC SCC-a pokrajinskom CAC uredu.
(iii) Obveza registracije pokrajinskom CAC uredu
Članak 7. Pravila CAC SCC zahtijeva od voditelja PI da registriraju izvršeni CAC SCC kod pokrajinskog CAC ureda u roku od 10 dana od njegovog stupanja na snagu. Shvaćamo da je ova obveza registracije tipično sredstvo ax ante nadzora za nadležna tijela s ciljem postizanja agilnog nadzora nad aktivnostima CBDT-a i brzim rješavanjem sigurnosnih rizika podataka koji se mogu pojaviti. Međutim, vrijedno je spomenuti da se čini da obveza registracije neće izravno utjecati na napredak aktivnosti CBDT-a. Drugim riječima, relevantne aktivnosti CBDT-a temelje se samo na učinkovitosti CAC SCC-a, ali ne i na napretku registracije. Osim toga, s obzirom na to da bi moglo doći do promjena u tekućem radu CAC SCC-a, članak 8. CAC SCC Pravila dalje ukazuje na situacije u kojima će CAC SCC biti ponovno potpisan i ponovno registriran, kao što su promjene 1) svrhe, opsega, kategorija osobnih podataka i tako dalje uključenih u aktivnosti CBDT-a ili 2) zakoni i politike koji se tiču zaštite podataka u zemlji uvoznici podataka.
U isto vrijeme, članak 9. zahtijeva od nadležnih tijela da poštuju obvezu povjerljivosti, kako bi se spriječilo nezakonito otkrivanje i zlouporaba privatnosti, osobnih podataka, poslovne tajne i drugih povjerljivih informacija uključenih tijekom registracije.
(iv) Glavni aspekti CAC SCC
Prema članku 6. Pravila CAC SCC-a, CAC SCC propisuje odredbe kao što su osnovne informacije ugovornih strana i pojedinosti o aktivnostima CBDT-a; tehničke i organizacijske mjere poduzete za rješavanje sigurnosnih rizika; utjecaj relevantnih politika i propisa destinacije na izvedbu CAC SCC; metode zaštite ispitanika (u daljnjem tekstu „ ispitanik PI “); kao i druge standardizirane uvjete ugovora kao što su pravni lijekovi, raskid, odgovornost i rješavanje sporova, itd. Prethodno navedene odredbe također su u skladu s Mjerama sigurnosne procjene.
Što se tiče posebnih klauzula CAC SCC-a, u skladu s člankom 6. CAC SCC pravila, postoji 9 klauzula koje određuju prava i obveze za PI voditeja, inozemnog primatelja i ispitanika PI-a.
S obzirom na PI voditelja, SCC CAC određuje zakonske obveze koje nameće PIPL za aktivnosti CBDT-a, uključujući, ali ne ograničavajući se na obavještavanje ispitanika PI-a o osnovnim informacijama inozemnog primatelja i pojedinostima o aktivnostima CBDT-a, dobivanje zasebnog pristanka kao pravnog osnova, osiguravanje da inozemni primatelj ispunjava zahtjeve zaštite podataka prema PIPL-u itd.
S obzirom na inozemnog primatelja, CAC SCC ne razlikuje specifične uloge u obradi podataka, ali općenito zahtijeva od inozemnih primatelja ispunjavanje obveza kao što je obrada osobnih podataka strogo u skladu s ugovorom, poduzimanje učinkovitih sigurnosnih mjera, obavještavanje PI ispitanika i nadzornika kada dođe do curenja podataka, te suradnju s PI voditeljem u ispunjavanju njegovih obveza prema relevantnim zakonima i sl.
Štoviše, u pogledu PI ispitanika, CAC SCC im pruža zaštitne mjere uvođenjem mehanizma “korisnika treće strane”, koji omogućuje PI ispitanicima da se pozivaju i provode CAC SCC klauzule protiv PI voditelja i inozemnog primatelja, te ukida na određeni način prava dodijeljena od strane PIPL, itd.
II. Usporedba između CAC SCC i GDPR SCC
Sa stajališta komparativno pravne analize, GDPR SCC koji je izdao Europski odbor za zaštitu podataka od značajne je reference za ovu temu. Prema članku 46. GDPR-a, izvršavanje i sklapanje standardnih klauzula o zaštiti podataka koje su usvojila nadzorna tijela smatra se ( u većini slučajeva) odgovarajućom zaštitom za zakoniti prijenos osobnih podataka izvan Europskog gospodarskog prostora. Na temelju toga, donošenjem Provedbene odluke Komisije od 4. lipnja 2021. (u daljnjem tekstu: Odluka”), Europska komisija izdala je ažurirane modernizirane standardne ugovorne klauzule. Ova posljednja verzija GDPR SCC-a podijeljena je u 4 modula i 18 klauzula, obraćajući pažnju na aspekte kao što su korisnici treće strane, mjere zaštite podataka, zaštita prava ispitanika, korištenje podizvršitelja obrade, prava i odgovornosti ispitanika itd.
(i) Sličnosti između CAC SCC i GDPR SCC
a. Mehanizam korisnika treće strane
Aktivnosti CBDT-a odnose se na temeljna prava ispitanika kao što su privatnost i zaštita osobnih podataka. Kao rezultat toga, i CAC SCC i GDPR SCC uspostavili su mehanizam za korisnika treće strane kako bi se osiguralo da interesi ispitanika neće biti ugroženi tijekom prijenosa. Specifični sadržaji uspoređuju se na sljedeći način:
b. Podložno dugoj nadležnosti kroz ugovorne obveze
Kao što smo preliminarno shvatili, ni GDPR ni PIPL ne pružaju izričite odredbe o tome jesu li uvoznik podataka u trećoj zemlji i inozemni primatelji izravno podložni propisima GDPR-a ili PIPL-a prema scenariju CBDT-aktivnosti.
U praksi se u velikoj mjeri raspravljalo o izvanteritorijalnoj primjenjivosti GDPR-a i PIPL-a. Ipak, i GDPR SCC i CAC SCC bacaju svjetlo na ovo pitanje, tj . uvoznik podataka u trećoj zemlji ili inozemni primatelj obvezat će se podvrgnuti jurisdikciji EU-a ili Kine potpisivanjem standardnog ugovora.
Što se tiče prakse u CAC SCC-u, jasno je da je to odgovor Kine na slične zahtjeve izvanteritorijalnih jurisdikcija. Pojedinosti se uspoređuju kako slijedi.
c. Procijenite utjecaj lokalnih zakona i prakse na poštivanje ugovora
Temeljna svrha CAC SCC i GDPR SCC je osigurati odgovarajuću zaštitu, tako obje ugovorne strane moraju osigurati da sigurnost osobnih podataka neće biti narušena tijekom CBDT aktivnosti. Kao rezultat toga, CAC SCC i GDPR SCC posebno nameću obvezu procjene utjecaja zakona i prakse odredišne zemlje na sposobnost poštivanja ugovora. Pojedinosti se uspoređuju kako slijedi.
(ii) Glavne razlike između CAC SCC i GDPR SCC
a. Razlikovne osnove za utvrđivanje prava i obveza ugovornih strana
GDPR SCC kombinira opće klauzule s modularnim pristupom kako bi zadovoljio različite scenarije prijenosa i složenost modernih lanaca obrade. Osim općih klauzula, voditelj obrade podataka i izvršitelj obrade podataka uključeni u aktivnosti CBDT-a trebali bi odabrati modul primjenjiv na njihovu situaciju, kako bi prilagodili svoja prava i obveze prema SCC-u u odnosu na njihov odnos s obzirom na obradu podataka.
Sveukupno, postoje četiri modula dostupna za usvajanje, naime: 1) “CC modul” za prijenos s voditelj obrade na voditelja obrade; 2) “CP modul” za voditelja obrade-izvršitelj obrade (uvoznik/izvoznik); 3) “PP modul” za prijenos s izvršitelja obrade na izvršitelja obrade; i 4) “PC modul” za prijenos s izvršitelja obrade na voditelja obrade.
Nasuprot tome, CAC SCC trenutno usvaja jedinstveni pristup istom pitanju. Ukratko, CAC SCC ne nudi različite module koji bi se mogli usvojiti u različitim situacijama obrade podataka. Umjesto toga, pretpostavlja se da će PI voditelj djelovati kao izvoznik osobnih podataka i preuzeti gotovo sve zahtjeve prema PIPL-u u vezi s aktivnostima CBDT-a. Inozemni primatelj, kao uvoznik osobnih podataka, u većini slučajeva ima iste obveze bez obzira na vrste i svrhe obrade, kao što je obrada unutar dogovorenog opsega, donošenje sigurnosnih mjera, obavještavanje izvoznika i nadzornika u slučaju sigurnosnih incidenata itd. Međutim, postoji jedno izuzeće za inozemnog primatelja koji djeluje kao izvršitelj: izuzet je od izravnog slanja obavijesti ispitanicima PI u slučaju sigurnosnih incidenata.
b. Prepoznatljiv pristup provođenju prethodnog nadzora
Prema Odluci, ugovorne strane GDPR SCC-a slobodne su uključiti klauzule iz njega u drugi, detaljniji ugovor te dodati druge klauzule ili dodatne zaštitne mjere, pod uvjetom da nisu u suprotnosti, izravno ili neizravno, s GDPR SCC-om ili ne dovode u pitanje temeljna prava ili slobode ispitanika. Također, mora se prethodno dobiti prethodno odobrenje od tijela za zaštitu podataka. U praksi se takav prilagođeni GDPR SCC naziva ” ad hoc “.ugovornim klauzulama.” Danas su kompanije poput Microsofta, Amazon Web Services i Googlea, već bile pioniri dobivanja odobrenja nadležnih tijela za zaštitu podataka za vlastite verzije ugovora o prijenosu podataka. Prednost ovog pristupa je u tome što tvrtke mogu uživati veću fleksibilnost u načinu na koji se ugovorom obvezuju na zaštitu osobnih podataka, što im omogućuje da usvoje realnije ugovorne obveze za koje je manja vjerojatnost da će ih prekršiti.
Nasuprot tome, Pravila CAC SCC-a šute o tome je li takvo fleksibilno rješenje na CAC SCC-u dopušteno, niti specificiraju proceduru za dobivanje odobrenja za tailed-made klauzule. Umjesto toga, postavlja se zahtjev da se svi CAC SCC registriraju u pokrajinskom CAC uredu nakon što stupe na snagu u roku od 10 radnih dana.
Na temelju ovog opažanja prvenstveno razumijemo da će se, u usporedbi s mehanizmom prethodnog odobrenja usvojenim GDPR-om za ad hoc ugovore, zahtjev za predregistraciju koji se provodi CAC SCC Pravilima smatrati samo oblikom mehanizma revizije, koji utvrđuje temelj za upravljanje aktivnostima CBDT-a u kasnijoj fazi. Međutim, to ne ukazuje, izravno ili neizravno, da je CAC SCC dopušteno revidirati, niti predstavlja da je mehanizam prethodnog odobrenja za ugovore po mjeri uspostavljeni u Kini.
c. Posebne strategije prema zahtjevima vlasti u zemljama odredišta (izvoza) podataka
Sukladno članku 15. GDPR SCC-a, tijekom tekućeg izvršavanja ugovora, u slučaju primitka bilo kakvog pravno obvezujućeg zahtjeva od tijela javne vlasti, uključujući pravosudna tijela, uvoznik podataka dužan je odmah (osim iznimno) obavijestiti izvoznika podataka i ispitanike, pregledati zakonitost zahtjeva i poštivati načela minimizacije podataka pri otkrivanju osobnih podataka.
Slično tome, CAC SCC također obraća pozornost ovome pitanju u praksi. Stoga, klauzula 4.5 CAC SCC-a propisuje da, ako inozemni primatelj nije u stanju ispuniti svoje obveze prema CAC SCC-u zbog promjena u lokalnim politikama ili propisima koji se odnose na zaštitu podataka u zemlji u kojoj se nalazi (uključujući promjenu zakona), u radnjama za provođenje zakona ili koje poduzima), mora odmah obavijestiti voditelja obrade osobnih podataka o takvim promjenama. S naše točke gledišta, to je posljedica neizvršenja, a ne sama radnje obrade podataka. Drugim riječima, inozemni primatelj prema CAC SCC-u nije dužan komunicirati s PI voditeljem kada primi obvezujući zahtjev od lokalnih vlasti, osim ako takav zahtjev ne bi doveo do neispunjenja ugovora.
Vrijedno je spomenuti da, u smislu mehanizma odgovora na izvanteritorijalne radnje provedbe zakona, članak 41. PIPL-a propisuje da, bez odobrenja nadležnih tijela, voditelj obrade ne smije dati osobne podatke pohranjene na teritoriju Narodne Republike Kine stranim pravosudnim tijelima ili tijelima za provođenje zakona. Međutim, ovaj se zahtjev, kada se tumači doslovno, odnosi samo na PI voditelja. Kao rezultat toga, razumno je pretpostaviti da, ako je inozemni primatelj uključen u radnje provedbe koje su poduzele lokalne vlasti u odredištu, voditelju obrade u Kini je teško biti svjestan takvih radnji i zatim odmah procijeniti učinak o aktivnostima CBDT-a koje su proizašle iz toga.
d. Različiti stavovi prema izvanteritorijalnom mjerodavnom pravu i nadležnosti
S obzirom na mjerodavno pravo i jurisdikciju, GDPR SCC uvjetno dopuštaju ugovornim stranama usvajanje mjerodavnog prava i jurisdikcije u trećim zemljama. Unatoč tome, klauzula 9.2 CAC SCC-a ograničava se samo na zakone i propise Narodne Republike Kine. Štoviše, kada se pojave sporovi između PI voditelja i inozemnog primatelja, oni mogu riješiti spor samo kroz arbitražu ili parnicu koja se vodi u Kini, kao što je propisano klauzulom 9.5.
Nadalje, u skladu s člankom 4. Tumačenja Vrhovnog narodnog suda o nekoliko pitanja koja se odnose na primjenu zakona Narodne Republike Kine o primjeni zakona na građanske odnose povezane s inozemstvom, gdje zakoni Narodne Republike Kine nisu izričito predvidjeli da dotične strane mogu izabrati zakone primjenjive na građanske odnose povezane s inozemstvom, a dotične strane odaberu primjenjive zakone, Narodni sud će utvrditi da je takav izbor prava nevažeći.
U ovom slučaju, budući da PIPL i drugi primjenjivi zakoni ne predviđaju takve odredbe, tada kao dopunska uredba PIPL-a, CAC SCC Pravila se u skladu s tim ograničavaju na mjerodavno pravo u Kini i predstavljaju strogi stav prema eksteritorijalnoj nadležnosti.
III. Zaključak
Tehnološki razvoj olakšava aktivnosti CBDT-a, koje su neophodne za širenje međunarodne trgovine i suradnje. Ključno je uspostaviti mehanizam administrativnog nadzora kako bi se osiguralo da suverenitet podataka i temeljna prava ispitanika neće biti potkopani tijekom ovog postupka.
Objavljivanjem CAC SCC pravila, u Kini je predložen model sustavnog nadzora nad aktivnostima CBDT-a. Unatoč tome, tijekom razdoblja javnih konzultacija vidjet ćemo što bi moglo dodatno obogatiti i upotpuniti upravljanje CBDT aktivnostima u Kini.