Site Search Site Search

Loading Results

Lovgivning om personoplysninger i Kina (PIPL) stiller krav ud over GDPR til danske virksomheder

20/09/22

PIPL stiller krav til virksomheder og andre dataansvarliges behandling af personoplysninger om fysiske personer i Kina, uanset om der er tale om kinesiske statsborgere eller udlændinge, og uanset om virksomhederne er lokaliseret i Kina. 

Den 1. november 2021 trådte en ny kinesisk persondatalovgivning, ”Personal Information Protection Law” (PIPL), i kraft. De nye regler komplementerer og præciserer de eksisterende cyber- og databeskyttelsesregler i Kina i form af ”the Cybersecurity Law of the People’s Republic of China” (CSL) og ”the Data Security Law of the People’s Republic of China” (DSL). CSL-reglerne er i september 2022 blevet ændret på en række områder, bl.a. med en udvidelse af tilsynsmyndighedernes sanktionsbeføjelser ved manglende overholdelse af reglerne. 

Reglerne har flere lighedspunkter med GDPR, men der er forskelle, som virksomheder, der er omfattet af begge regelsæt, skal være opmærksomme på. Vi dykker her ned i de nye kinesiske regler og uddyber nogle af de forhold, din virksomhed skal være opmærksom på, hvis virksomheden har aktiviteter i Kina. 

Hvem er omfattet af PIPL?

Ligesom med GDPR har de nye kinesiske regler til formål at værne om beskyttelsen af personoplysninger og sikre ansvarlig anvendelse af data. Reglerne gælder for behandling af personoplysninger om fysiske personer i Kina, uanset om den dataansvarlige eller databehandleren fysisk er etableret i Kina, og uanset om oplysningerne vedrører kinesiske statsborgere eller udlændinge, der befinder sig i Kina. Oplysninger, der er anonymiserede, er ikke omfattet af reglerne. 

Hvis din virksomhed behandler personoplysninger om kinesiske statsborgere eller udlændinge, der befinder sig Kina – fx i forbindelse med levering af varer eller services eller med henblik på at analysere fysiske personers adfærd – vil virksomheden være omfattet af PIPL. 

Udfordringer for virksomheder med aktiviteter i Kina

Virksomheder, der har produktion eller leverer services i Kina, skal ifølge den nye lovgivning, PIPL, i videst muligt omfang opbevare data lokalt i Kina. Dette betyder, at hvis din virksomhed påtænker at eksportere data ud af Kinas grænser, skal dette godkendes af de kinesiske myndigheder. 

Der gælder i den forbindelse forskellige compliance-krav, som din virksomhed skal være i stand til at påvise overholdelse af. Fx skal virksomheden bestå en sikkerhedstest fra den primære tilsynsmyndighed, Cyberspace Administration of China (CAC). Virksomheden skal også tilvejebringe et overførselsgrundlag for de oplysninger, der ønskes overført, og indhente et særskilt samtykke fra den eller de personer, der overføres oplysninger om.

Herudover skal virksomheder, der i “stort omfang” behandler personoplysninger, etablere en lokal afdeling i Kina og udpege en ”Personal Information Protection Officer” (PIPO), som svarer til GDPR’s krav om at udpege en databeskyttelsesrådgiver (DPO).

Manglende overholdelse af reglerne kan i yderste konsekvens betyde, at virksomheder mister muligheden for at drive virksomhed i Kina. Derudover er bøder og fængselsstraf andre mulige sanktioner ved manglende overholdelse af reglerne.

Ligheder mellem GDPR og PIPL

Overordnet set er der mange ligheder mellem GDPR og PIPL, idet begge regelsæt centrerer sig om behandling af oplysninger, der kan henføres til en identificeret eller identificerbar fysisk person. 

Lighederne mellem reglerne viser sig også i kravene til dataansvarlige om at identificere de risici, der er forbundet med behandling af personoplysninger, og på den baggrund indføre passende sikkerhedsforanstaltninger.

Derudover skal dataansvarlige – på samme måde som efter GDPR – have et lovligt grundlag for at behandle personoplysninger. Behandling kan fx lade sig gøre, hvis virksomheden har indhentet samtykke til behandlingen, hvis behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt med en kunde, eller hvis behandlingen er nødvendig for, at din virksomhed kan overholde forpligtelser i anden lovgivning. 

Hvis din virksomhed har indrettet sin forretning og organisation efter GDPR, vil virksomheden stå fornuftigt i forhold til at overholde reglerne i PIPL. Dog er der nogle forskelle mellem reglerne, som dataansvarlige med virksomhed i Kina skal være opmærksomme på. I nedenstående tabel har vi udvalgt og oplistet relevante punkter, hvor reglerne adskiller sig fra hinanden.

Relevante forskelle mellem PIPL og GDPR

Emne

GDPR

PIPL

Bødeniveau

4 % af en virksomheds samlede globale omsætning

5 % af en virksomheds årlige omsætning eller op til USD 7,8 mio.

Ansvarssubjekt 

Altovervejende hovedregel er, at organisationen er dataansvarlig.

Fysiske personer kan være ansvarssubjekter, fx en virksomheds CEO eller DPO.

Anmeldelse af sikkerhedsbrud 

72 timer efter konstatering af et sikkerhedsbrud

Som udgangspunkt 72 timer efter konstatering af sikkerhedsbrud og i særlige tilfælde inden for otte timer. 

Krav til udpegelse af DPO

1) Behandling af personoplysninger skal være en kerneaktivitet

2) Behandlingen skal ske i stort omfang.

3) Der skal være tale om regelmæssig og systematisk overvågning af personer, det skal eller vedrører oplysninger af følsom karakter eller om strafbare forhold. 


Alle tre betingelser skal være opfyldt.

1) Behandling af personoplysninger skal være en kerneaktivitet for en organisation på mere end 200 ansatte.

2) Organisationen behandler oplysninger om flere end én mio. fysiske personer eller er estimeret til at behandle oplysninger om flere end én mio. fysiske personer over en periode på 12 måneder.

3) Organisationen behandler personoplysninger af følsom karakter om flere end 100.000 fysiske personer. 


Én af betingelserne skal være opfyldt.

Behandlingsgrundlag

1. Samtykke

2. Opfyldelse af kontrakt

3. Retlig forpligtelse

4. Vital interesse

5. Offentlig myndighedsudøvelse eller i samfundets interesse

6. Interesseafvejning

7. Behandling af fx en stiftelse med politisk sigte uden gevinst for øje som led i en legitim aktivitet

8. Oplysninger, som tydeligvis er offentliggjort af den registrerede

9. Fastlæggelse af retskrav

10. Samfundsinteresser på folkesundhedsområdet

11. Arkivformål.

1. Samtykke

2. Opfyldelse af kontrakt

3. Retlig og/eller lovbestemt forpligtelse

4. Samfundsinteresser på folkesundhedsområdet eller til beskyttelse af et individs liv, sundhed eller ejendom

5. Nyhedsrapportering eller af offentlig interesse

6. Videregivet af personen selv 

7. Andre omstændigheder, som følger af anden lov.

Tilsynsmyndighed(er)

Èn tilsynsmyndighed i hver medlemsstat (i Danmark: Datatilsynet)

CAC er primær tilsynsmyndighed, men ministerier og andre statslige myndigheder er også ansvarlige for reglernes overholdelse. 

Oplysninger af følsom karakter

Art. 9, oplysninger om: 

  • race eller etnisk oprindelse

  • politisk, religiøs eller filosofisk overbevisning

  • fagforeningsmæssigt tilhørsforhold

  • genetiske data

  • biometriske data med henblik på entydig identifikation

  • helbredsoplysninger

  • oplysninger om seksuelle forhold eller orientering.

Art. 28, oplysninger om:

  • biometriske oplysninger

  • oplysninger om religiøs overbevisning

  • medicinsk sundhed

  • finansielle konti

  • tracking af lokationsdata

  • oplysninger om mindreårige under 14 år. 

Desuden oplysninger, der – efter at være blevet lækket eller brugt ulovligt potentielt – kan skade en fysisk person eller personlig ejendom.

Særligt i forhold til hvornår der skal ske anmeldelse af sikkerhedsbrud til et tilsyn, kan der være en forskel på, hvor hurtigt en virksomhed skal indberette bruddet. Hvor hurtigt der skal ske anmeldelse, afhænger af karakteren af det pågældende sikkerhedsbrud, idet PIPL lægger op til, at brud, der involverer ”important data” eller berører mere end 100.000 borgere, skal anmeldes inden for otte timer, efter at bruddet konstateres. 

Efter GDPR skal alle brud på persondatasikkerheden som udgangspunkt anmeldes til tilsynsmyndigheden inden for 72 timer, uanset bruddets omfang – medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, og i det tilfælde skal der ikke ske anmeldelse.

Det er derudover værd at bemærke, at PIPL (i modsætning til GDPR) ikke indeholder en hjemmel, der svarer til ”interesseafvejningsreglen”, som er en af de mest anvendte hjemler for private aktører til at behandle personoplysninger. 

Vi anbefaler

PwC anbefaler, at din virksomhed i første omgang har fokus på at overholde GDPR, idet begge regelsæt har beskyttelse af personoplysninger som sigte, og begge stiller krav til dataansvarliges behandling af personoplysninger, herunder dokumentationskrav.

Derudover kan din virksomhed overveje, om det er muligt at isolere den kinesiske del af forretningen, og genoverveje, om eksport af personoplysninger er nødvendig.

Endelig anbefaler PwC, at I sammenstiller de compliance-krav, som virksomheden er omfattet af fra forskellige lande, og etablerer et fælles niveau for beskyttelse af personoplysninger, som tilfredsstiller de strengeste krav.

Hvordan kan vi hjælpe dig?

Har du brug for hjælp, er du velkommen til at kontakte PwC’s Technology & Security-afdeling.

PwC’s Privacy & Data Protection (GDPR)-team er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – både juridisk, forretningsmæssig og teknisk.

Related Content

Kontakt os

Christian Kjær

Partner, Technology & Security, PwC Denmark

Tlf: 3945 3282

Linkedin Follow E-mail

Nikolaj Niss Rohde

Senior Associate, Security & Technology, PwC Denmark

Tlf: 5115 8954

E-mail

Aleksandar Predrag Piletich

Director, Technology & Security, PwC Denmark

Tlf: 2928 5743

E-mail
Følg PwC
Om os Kontorer Presse Kontakt os

© 2021 - 2025 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.