Hongkongs Verordnung zum Schutz personenbezogener Daten (PDPO)

Table of Contents

Die 1995 verabschiedete Verordnung über personenbezogene Daten (Datenschutz) in Hongkong (PDPO) ist eines der etabliertesten Datenschutzgesetze Asiens.

PDPO wurde als Reaktion auf einen Bericht der Gesetzesreformkommission von 1994 geschaffen, in dem vorgeschlagen wurde, dass Hongkong ein aktualisiertes Datenschutzgesetz im Einklang mit den OECD-Richtlinien einführen sollte, um Hongkong das Datenschutzniveau zu bieten, das erforderlich ist, um die Bedeutung der Region als internationales Handelszentrum aufrechtzuerhalten.

Seit seiner Gründung hat die PDPO eine Reihe bedeutender Änderungen erfahren , um der expandierenden digitalen Landschaft gerecht zu werden. Im Jahr 2012 wurden Bestimmungen für Direktmarketing eingeführt, um die Bedenken der Öffentlichkeit hinsichtlich des Online-Datenschutzes auszuräumen, und im Jahr 2021 wurden eine Reihe wichtiger Änderungen hinzugefügt, um Doxxing-Praktiken zu bekämpfen – die Veröffentlichung der privaten Daten einer Person im Internet.

Nach der Doxxing-Änderung hat jeder, der die personenbezogenen Daten einer anderen Person ohne die ausdrückliche Zustimmung dieser Person offenlegt oder sich dazu verschwört, sei es fahrlässig oder mit der spezifischen Absicht, Schaden anzurichten, eine Straftat begangen, die mit Geld- oder Freiheitsstrafen geahndet wird. Mit diesen Befugnissen, die dem Datenschutzbeauftragten die Möglichkeit geben, strafrechtliche Ermittlungen durchzuführen, ist die PDPO stark gegen Praktiken zur Verletzung der Privatsphäre vorgegangen.

Grundsätze des Datenschutzes

Das Herzstück des Gesetzes ist eine Reihe von Datenschutzgrundsätzen (DPPs), die Einzelpersonen und Organisationen einen Rahmen bieten, der beschreibt, wie personenbezogene Daten erhoben, gehandhabt, offengelegt und verwendet werden können. Das Office of the Privacy Commissioner for Personal Data (PCPD) ist für die Durchsetzung der PDPO-Grundsätze in Hongkong verantwortlich und fungiert als Compliance-Leitfaden.

Die wichtigsten Definitionen, die auf das Gesetz anwendbar sind, lauten wie folgt:

Personenbezogene Daten

Dies ist definiert als alle Daten, die für eine lebende Person relevant sind und zur Identifizierung dieser Person verwendet werden können. Diese Daten sollten in einer Form vorliegen, die einen praktischen Zugriff und eine praktische Verarbeitung ermöglicht.

Betroffene Person

Die Person, die Gegenstand der personenbezogenen Daten ist.

Datennutzer

Jede natürliche oder juristische Person, die die Kontrolle, Erhebung, Speicherung, Verarbeitung oder Nutzung personenbezogener Daten verwaltet – entweder allein oder in Zusammenarbeit mit anderen natürlichen oder juristischen Personen.

Datenverarbeiter

Jede Person, Organisation oder Organisation, die personenbezogene Daten im Auftrag eines anderen Datennutzers verarbeitet, anstatt Daten für ihre eigenen Zwecke zu verarbeiten. Obwohl Datenverarbeiter technisch gesehen nicht durch die PDPO geregelt werden, müssen Datennutzer garantieren, dass ihre Datenverarbeiter die PDPO-Vorschriften entweder vertraglich oder auf andere Weise einhalten.

Einwilligen

Sofern die erhobenen personenbezogenen Daten nicht für Direktmarketing oder einen neu definierten Prozess verwendet werden, ist eine Einwilligung nicht erforderlich. Ist dies der Fall, ist die Einwilligung definiert als freiwillige Zustimmungsbekundung.

PDPO-Rechte

Die Datenschutzgrundsätze der PDPO gewähren den betroffenen Personen das Recht, Zugang zu ihren personenbezogenen Daten zu erhalten und deren Änderung zu verlangen.

Für den Fall, dass ein Datennutzer sich weigert, der betroffenen Person Zugang zu ihren personenbezogenen Daten zu gewähren, müssen triftige Gründe für die Verweigerung angegeben werden. Darüber hinaus haben die betroffenen Personen das Recht, von den Datennutzern informiert zu werden, wenn personenbezogene Daten über sie gespeichert sind.

Während die PDPO den betroffenen Personen kein endgültiges Recht auf Löschung von Informationen einräumt, können die betroffenen Personen verlangen, dass die über sie gespeicherten Informationen gelöscht werden, wenn sie für die Verarbeitung als nicht mehr erforderlich erachtet werden.

Aus Sicht eines Datennutzers verbietet ihm die Verordnung, personenbezogene Daten länger als unbedingt notwendig aufzubewahren. Infolgedessen haben die betroffenen Personen das Recht, sich selbst von Direktmarketingkampagnen zu entfernen.

PDPO-Konformität

Die PDPO-Governance gilt für alle Organisationen des privaten oder öffentlichen Sektors, die personenbezogene Daten sammeln, verarbeiten, speichern oder nutzen. Obwohl die PDPO-Vorschriften die Datenverarbeitung unabhängig davon abdecken, wo sich diese Verarbeitung befindet, gelten die Regeln nur für Datennutzer mit Sitz in Hongkong.

Es gibt jedoch eine Reihe von Ausnahmen von den PDPO-Vorschriften. Die Urteile gelten möglicherweise nicht für Sie, wenn…

  • Die Datenverarbeitung liegt im öffentlichen oder rechtlichen Interesse.
  • Die Daten sind für den häuslichen oder Freizeitgebrauch bestimmt.
  • Die Daten dienen Beschäftigungszwecken.

Obwohl die PDPO die spezifischen Mechanismen, mit denen Einzelpersonen und Organisationen ihren Datenschutz verwalten sollten, nicht ausdrücklich umreißt, schlagen sie vor, dass alle an der Datenverarbeitung beteiligten Unternehmen Systeme einführen, die zur Einhaltung der PDPO führen. Dazu empfehlen sie den Einsatz von Datenschutzbeauftragten und die regelmäßige Überprüfung der Datenschutzsysteme.

Die Datenschutzgrundsätze der Verordnung ermutigen die Datennutzer, Transparenz über ihre Datenpraktiken zu wahren, welche personenbezogenen Daten sie speichern und warum. Sie sind auch verpflichtet, alle erforderlichen Schritte zu unternehmen, um sicherzustellen, dass die von ihnen gespeicherten personenbezogenen Daten vor unbefugtem Zugriff, unbefugter Verarbeitung, Verlust oder Verwendung geschützt sind.

Im Falle einer Datenschutzverletzung gibt es gemäß PDPO keine gesetzliche Verpflichtung für Datennutzer, diese Verletzung öffentlich bekannt zu machen, es wird jedoch dringend empfohlen, dass die PCPD und alle an der Verletzung beteiligten betroffenen Personen informiert werden.

Strafen bei Nichteinhaltung

Obwohl die Nichteinhaltung der PDPO an sich keine Straftat darstellt, sehen die in der Verordnung festgelegten spezifischen Bestimmungen schwere Geld- und Freiheitsstrafen vor, wenn sie nicht eingehalten werden.

Einige der relevantesten Bestimmungen und Strafen lauten wie folgt:

  • Für den Fall, dass der Datenschutzbeauftragte einen Vollstreckungsbescheid erlässt, kann die Nichtbefolgung dieses Bescheids zu Geldstrafen von bis zu 50.000 HK$ und zwei Jahren Gefängnis führen. Jede spätere Verurteilung kann zu einer Geldstrafe von 100.000 HK$ und einer weiteren Freiheitsstrafe führen.
  • Datennutzer, die unnötige Daten nicht löschen, können mit einer Geldstrafe von bis zu 10.000 HK$ bestraft werden.
  • Die betroffenen Personen haben das Recht, von den Datennutzern eine Entschädigung zu verlangen, falls die betroffenen Personen unter der Nichteinhaltung des PDPO leiden.

Sehen Sie sich diese umfassende Liste an, in der alle PCPD-Strafen aufgeführt sind.

Um sicherzustellen, dass Ihre Website Daten in Übereinstimmung mit den PDPO-Vorschriften sammelt, wenden Sie sich an CookieHub. CookieHub ist eine effiziente Datenlösung und bietet alle Tools, die erforderlich sind, um die regionale Compliance zu gewährleisten, unabhängig davon, wo Sie ansässig sind.

Sales & Support