Днес, ноиб подаде жалби по GDPR срещу TikTok, AliExpress, SHEIN, Temu, WeChat и Xiaomi за незаконно прехвърляне на данни в Китай. Докато четири от тях открито признават, че изпращат лични данни на европейци в Китай, другите две казват, че прехвърлят данни в неразкрити "трети държави". Тъй като нито една от компаниите не е отговорила адекватно на исканията за достъп на жалбоподателите, трябва да предположим, че това включва и Китай. Но правото на ЕС е ясно: предаването на данни извън ЕС е разрешено само ако държавата на местоназначение не подкопава защитата на данните. Като се има предвид, че Китай е авторитарна държава за наблюдение, дружествата не могат реално да защитят данните на потребителите от ЕС от достъпа на китайското правителство. След проблемите, свързани с достъпа на американското правителство, възходът на китайските приложения открива нов фронт пред законодателството на ЕС за защита на данните.
- Жалба срещу TikTok в Гърция
- Жалба срещу Xiaomi в Гърция
- Жалба срещу SHEIN в Италия
- Жалба срещу AliExpress в Белгия
- Жалба срещу WeChat в Нидерландия
- Жалба срещу Temu в Австрия
Контекст: предаването на данни извън ЕС е само по изключение. По принцип дружествата нямат право да прехвърлят данни на европейци извън ЕС. Ако по някаква причина все пак им се наложи да го направят, дружествата могат да разчитат на редица изключения ("дерогации"). Ако обаче дружествата просто изнасят данни от удобство, те трябва да спазват строги изисквания, за да гарантират сигурността на личните данни. За държави като Китай дружествата обикновено разчитат на "стандартни договорни клаузи" (SCC). SCCs представляват договор, в който китайският получател се задължава да спазва защитата на ЕС - дори в Китай. За да бъде разрешено това, компаниите трябва да извършат оценка на въздействието, за да проверят дали данните на европейците са сигурни в страната на местоназначение и дали SCCs не противоречат на националните закони, които изискват достъп до данните. Като се има предвид, че Китай е авторитарна държава за наблюдение, няма решение за адекватност и нито едно дружество не може да предостави такава гаранция. Китайските закони за защита на данните не ограничават по никакъв начин достъпа на органите.
Клеанти Сардели, адвокат по защита на данните в noyb: "Като се има предвид, че Китай е авторитарна държава на наблюдение, е пределно ясно, че Китай не предлага същото ниво на защита на данните като ЕС. Прехвърлянето на лични данни на европейци е очевидно незаконно - и трябва да бъде прекратено незабавно."
Висок риск от достъп до данните от страна на властите. Доклади за прозрачност на Xiaomi потвърждават този риск китайските органи да поискат и получат (неограничен) достъп до лични данни на практика. Според тези документи властите искат достъп до лични данни в много голям мащаб, докато за същия период от време властите на ЕС/ЕИП са имали само няколко искания. Освен това Xiaomi почти винаги се съобразява (или трябва да се съобразява) с тези искания на китайските органи. Освен това за чуждестранните потребители е почти невъзможно да упражнят правата си съгласно китайското законодателство за защита на данните. Страната не разполага със специален и независим орган за защита на данните или друг трибунал, който да повдига въпроси, свързани с правителственото наблюдение, а обхватът и прилагането на законите са неясни.
На искането за достъп на потребителите не е отговорено. Поради това е още по-важно да разберем какво правят китайските технологични компании с личните данни на европейците. Поради това жалбоподателите подадоха искания за достъп съгласно член 15 от ОРЗД до горепосочените дружества, за да видят дали техните данни са изпратени в Китай или други държави извън ЕС. За съжаление нито едно от дружествата не предостави изискваната от закона информация за предаването на данни. Все пак знаем, че според тяхната политика за поверителност AliExpress, SHEIN, TikTok и Xiaomi прехвърлят данни в Китай. Temu и WeChat споменават за прехвърляне на данни към трети държави. Според корпоративната структура на Temu и WeChat това най-вероятно включва Китай.
Клеанти Сардели, адвокат по защита на данните в noyb: "Китайските компании нямат друг избор, освен да изпълняват правителствените искания за достъп до данни. Това означава, че данните на европейските потребители са изложени на риск, докато се изпращат в чужбина. Компетентните органи трябва да действат бързо, за да защитят основните права на засегнатите лица."
Жалби са подадени в пет държави. noyb вече е подала 6 жалби по GDPR в 5 европейски държави и иска от органите за защита на данните незабавно да разпоредят спиране на предаването на данни към Китай съгласно член 58, параграф 2, буква й), тъй като страната не осигурява по същество равностойно ниво на защита на данните съгласно членове 44 и 46 от GDPR. noyb също така изисква от дружествата да приведат обработването на данни в съответствие с ОРЗД. Накрая, но не на последно място, noyb иска от органите за защита на данните да наложат административна глоба, за да се предотвратят подобни нарушения в бъдеще. Такава глоба може да достигне до 4% от глобалните приходи, което може да възлиза например на 147 млн. евро eUR (годишен приход от 3,68 млрд. EUR) за AliExpress или 1,35 милиарда евро (годишен приход от 33,84 млрд. евро) за Temu.
