Hong Kongs Personal Data (Privacy) Ordinance (PDPO) blev vedtaget i 1995 og er en af Asiens mest etablerede databeskyttelseslove.
PDPO blev oprettet som svar på en rapport fra 1994 Law Reform Commission, som foreslog, at Hongkong etablerede en opdateret lov om privatlivets fred i overensstemmelse med OECD’s retningslinjer, og blev indført for at give Hongkong de niveauer af databeskyttelse, der kræves for at opretholde regionens fremtrædende plads som et internationalt handelscenter.
Siden oprettelsen har PDPO gennemgået en række væsentlige ændringer i et forsøg på at betjene det ekspanderende digitale landskab. I 2012 blev der indført bestemmelser om direkte markedsføring for at imødekomme offentlighedens bekymringer vedrørende privatlivets fred online, og i 2021 blev der tilføjet en række større ændringer for at bekæmpe doxxing-praksis — frigivelse af en persons private data online.
I henhold til doxxing-ændringen har enhver, der afslører eller konspirerer om at videregive en anden persons personoplysninger uden denne persons udtrykkelige samtykke, enten ved uagtsomhed eller med den specifikke hensigt at forårsage skade, begået en strafbar handling, der straffes med bøder eller fængsel. Med disse beføjelser, der giver Privacy Commissioner mulighed for at forfølge strafferetlige efterforskninger, har PDPO slået hårdt ned på praksis for krænkelse af privatlivets fred.
Principper for databeskyttelse
Kernen i loven ligger et sæt databeskyttelsesprincipper (DPP’er), som giver enkeltpersoner og organisationer en ramme, der beskriver, hvordan personoplysninger kan indsamles, håndteres, videregives og bruges. Office of the Privacy Commissioner for Personal Data (PCPD) er ansvarlig for at håndhæve PDPO-principperne i Hongkong samt fungere som en overholdelsesvejledning.
Den centrale definition, der finder anvendelse på loven, er som følger:
Persondata
Dette defineres som alle data, der er relevante for et levende individ, der kan bruges til at identificere denne person. Disse data bør foreligge i en form, der giver praktisk adgang til og behandling.
Den registrerede
Den person, der er genstand for personoplysningerne.
Databruger
Enhver person eller enhed, der administrerer kontrol, indsamling, opbevaring, behandling eller brug af personoplysninger – enten alene eller i samarbejde med andre personer eller enheder.
Databehandler
Enhver person, organisation eller enhed, der behandler personoplysninger på vegne af en anden databruger i modsætning til at behandle data til egne formål. Selvom databehandlere ikke er teknisk underlagt PDPO, er databrugere forpligtet til at garantere, at deres databehandlere overholder PDPO-reglerne enten ved kontrakt eller anden metode.
Samtykke
Medmindre de indsamlede personoplysninger bruges til direkte markedsføring eller en nyligt defineret proces, kræves der ikke samtykke. I tilfælde af at det er tilfældet, defineres samtykke som det frivillige udtryk for godkendelse.
PDPO-rettigheder
PDPO’s databeskyttelsesprincipper giver registrerede ret til at få adgang til og anmode om ændring af deres personlige oplysninger.
I tilfælde af at en databruger nægter at give den registrerede individuel adgang til deres personlige oplysninger, skal der gives gyldige grunde til afvisningen. Derudover har registrerede ret til at blive informeret af databrugere, hvis der opbevares personlige oplysninger om dem.
Mens PDPO ikke giver registrerede nogen endelig ret til at slette oplysninger, kan registrerede anmode om, at oplysninger, der opbevares om dem, slettes, hvis det anses for ikke længere nødvendigt for behandling.
Fra en databrugers synspunkt forbyder forordningen dem at opbevare personoplysninger længere, end det anses for absolut nødvendigt. Som følge heraf har registrerede ret til at fjerne sig selv fra direkte markedsføringskampagner.
PDPO-overholdelse
PDPO-styring gælder for enhver privat eller offentlig organisation, der indsamler, behandler, opbevarer eller bruger personoplysninger. Selvom PDPO-regler dækker databehandling, uanset hvor denne behandling måtte være placeret, gælder reglerne kun for databrugere, der er baseret i Hong Kong.
Når det er sagt, er der en række undtagelser fra PDPO-reglerne. Afgørelserne gælder muligvis ikke for dig, hvis…
- Databehandlingen er i offentlighedens eller juridiske interesse.
- Dataene er til husholdningsbrug eller rekreativ brug.
- Dataene er til ansættelsesformål.
Selvom PDPO ikke specifikt skitserer de specifikke mekanismer, hvormed enkeltpersoner og organisationer skal styre deres databeskyttelse, foreslår de, at alle enheder, der er involveret i databehandling, indfører systemer, der resulterer i PDPO-overholdelse. Med henblik herpå anbefaler de, at der ansættes databeskyttelsesansvarlige, og at der foretages en regelmæssig vurdering af systemerne til beskyttelse af privatlivets fred.
Bekendtgørelsens databeskyttelsesprincipper opfordrer databrugere til at opretholde gennemsigtighed med hensyn til deres datapraksis, hvilke personoplysninger de har og hvorfor. De er også forpligtet til at tage alle nødvendige skridt for at sikre, at de personoplysninger, de har, er beskyttet mod uautoriseret adgang, behandling, tab eller brug.
I tilfælde af et databrud er der intet juridisk krav under PDPO for databrugere om at gøre dette brud offentligt kendt, men det anbefales stærkt, at PCPD og eventuelle registrerede, der er involveret i bruddet, informeres.
Sanktioner for manglende overholdelse
Selv om manglende overholdelse af PDPO ikke er en lovovertrædelse i sig selv, medfører de specifikke bestemmelser i bekendtgørelsen alvorlige bøder og fængselsstraffe, hvis de ikke opfyldes.
Nogle af de mere relevante bestemmelser og sanktioner er som følger:
- I tilfælde af at Privacy Commissioner udsteder en håndhævelsesmeddelelse, kan manglende overholdelse af denne meddelelse resultere i bøder på op til HK $ 50.000 og to års fængsel. Eventuelle domme derefter kan resultere i en bøde på HK $ 100.000 og yderligere fængsel.
- Databrugere, der undlader at slette unødvendige data, kan straffes med en bøde på op til HK $ 10.000.
- Registrerede har ret til at søge kompensation fra databrugere i tilfælde af, at emnerne lider som følge af PDPO’s manglende overholdelse.
Tjek denne omfattende liste, der beskriver alle PCPD-sanktionerne.
For at sikre, at din hjemmeside indsamler data i overensstemmelse med PDPO-reglerne, skal du kontakte CookieHub. CookieHub er en effektiv dataløsning, der leverer alle de værktøjer, der er nødvendige for at sikre regional overholdelse, uanset hvor du befinder dig.