Σήμερα, η noyb υπέβαλε καταγγελίες GDPR κατά των TikTok, AliExpress, SHEIN, Temu, WeChat και Xiaomi για παράνομες μεταφορές δεδομένων στην Κίνα. Ενώ τέσσερις από αυτές παραδέχονται ανοιχτά ότι στέλνουν προσωπικά δεδομένα Ευρωπαίων στην Κίνα, οι άλλες δύο λένε ότι μεταφέρουν δεδομένα σε μη αποκαλυφθείσες «τρίτες χώρες». Καθώς καμία από τις εταιρείες δεν ανταποκρίθηκε επαρκώς στα αιτήματα πρόσβασης των καταγγελλόντων, πρέπει να υποθέσουμε ότι αυτό περιλαμβάνει την Κίνα. Αλλά η νομοθεσία της ΕΕ είναι σαφής: οι μεταφορές δεδομένων εκτός ΕΕ επιτρέπονται μόνο εάν η χώρα προορισμού δεν υπονομεύει την προστασία των δεδομένων. Δεδομένου ότι η Κίνα είναι ένα αυταρχικό κράτος επιτήρησης, οι εταιρείες δεν μπορούν ρεαλιστικά να προστατεύσουν τα δεδομένα των χρηστών της ΕΕ από την πρόσβαση της κινεζικής κυβέρνησης. Μετά από ζητήματα σχετικά με την πρόσβαση της κυβέρνησης των ΗΠΑ, η άνοδος των κινεζικών εφαρμογών ανοίγει ένα νέο μέτωπο για τον νόμο περί προστασίας δεδομένων της ΕΕ.
- Καταγγελία κατά του TikTok στην Ελλάδα
- Καταγγελία κατά της Xiaomi στην Ελλάδα
- Καταγγελία κατά της SHEIN στην Ιταλία
- Καταγγελία κατά του AliExpress στο Βέλγιο
- Καταγγελία κατά του WeChat στην Ολλανδία
- Καταγγελία κατά της Temu στην Αυστρία
Ιστορικό: οι μεταφορές δεδομένων εκτός ΕΕ γίνονται μόνο κατ' εξαίρεση. Κατ' αρχήν, οι εταιρείες δεν επιτρέπεται να μεταφέρουν δεδομένα Ευρωπαίων εκτός ΕΕ. Εάν, για οποιονδήποτε λόγο, εξακολουθεί να χρειάζεται να το πράξουν, οι εταιρείες μπορούν να βασίζονται σε μια σειρά νομικών βάσεων. Μεταξύ άλλων, αυτό περιλαμβάνει τις «Τυποποιημένες Συμβατικές Ρήτρες» (ΤΣΡ). Για χώρες όπως η Κίνα, οι εταιρείες συνήθως βασίζονται σε τέτοιες ΤΣΡ . Πρόκειται για μια σύμβαση στην οποία ο Κινέζος παραλήπτης δεσμεύεται να τηρεί τις προστασίες της ΕΕ - ακόμη και στην Κίνα. Για να επιτραπεί αυτό, οι εταιρείες πρέπει να διενεργήσουν εκτίμηση επιπτώσεων για να επαληθεύσουν ότι τα δεδομένα των Ευρωπαίων είναι ασφαλή στη χώρα προορισμού και ότι οι ΤΣΡ δεν έρχονται σε αντίθεση με τους εθνικούς νόμους που απαιτούν πρόσβαση σε δεδομένα. Δεδομένου ότι η Κίνα είναι ένα αυταρχικό κράτος επιτήρησης, δεν υπάρχει απόφαση επάρκειας και καμία εταιρεία δεν μπορεί να παράσχει τέτοια εγγύηση. Οι κινεζικοί νόμοι περί προστασίας δεδομένων δεν περιορίζουν την πρόσβαση των αρχών με κανέναν τρόπο.
Κλεάνθη Σαρδέλη, δικηγόρος προστασίας δεδομένων στην noyb : «Δεδομένου ότι η Κίνα είναι ένα αυταρχικό κράτος επιτήρησης, είναι απολύτως σαφές ότι η Κίνα δεν προσφέρει το ίδιο επίπεδο προστασίας δεδομένων με την ΕΕ. Η μεταφορά προσωπικών δεδομένων Ευρωπαίων είναι σαφώς παράνομη - και πρέπει να τερματιστεί αμέσως».
Υψηλός κίνδυνος πρόσβασης των αρχών σε δεδομένα. Οι εκθέσεις διαφάνειας της Xiaomi επιβεβαιώνουν αυτόν τον κίνδυνο οι κινεζικές αρχές να ζητούν και να αποκτούν (απεριόριστη) πρόσβαση σε προσωπικά δεδομένα στην πράξη. Σύμφωνα με αυτά τα έγγραφα, οι αρχές ζητούν πρόσβαση σε προσωπικά δεδομένα σε πολύ μεγάλη κλίμακα, ενώ στο ίδιο χρονικό διάστημα, οι αρχές της ΕΕ/ΕΟΧ είχαν μόνο μια χούφτα αιτήματα. Επίσης, η Xiaomi σχεδόν πάντα συμμορφώνεται (ή πρέπει να συμμορφώνεται) με αυτά τα αιτήματα των κινεζικών αρχών. Επιπλέον, είναι σχεδόν αδύνατο για τους ξένους χρήστες να ασκήσουν τα δικαιώματά τους βάσει της κινεζικής νομοθεσίας περί προστασίας δεδομένων. Η χώρα δεν διαθέτει ειδική και ανεξάρτητη αρχή προστασίας δεδομένων ή άλλο δικαστήριο για να εγείρει ζητήματα κυβερνητικής επιτήρησης και το πεδίο εφαρμογής και η εφαρμογή των νόμων είναι ασαφή.
Το αίτημα πρόσβασης των χρηστών δεν απαντήθηκε. Αυτό καθιστά ακόμη πιο σημαντικό να διαπιστωθεί τι κάνουν οι κινεζικές εταιρείες τεχνολογίας με τα προσωπικά δεδομένα των Ευρωπαίων. Ως εκ τούτου, οι καταγγέλλοντες υπέβαλαν αιτήματα πρόσβασης βάσει του άρθρου 15 του ΓΚΠΔ στις προαναφερθείσες εταιρείες για να δουν εάν τα δεδομένα τους στάλθηκαν στην Κίνα ή σε άλλες χώρες εκτός ΕΕ. Δυστυχώς, καμία από τις εταιρείες δεν παρείχε τις νόμιμα απαιτούμενες πληροφορίες σχετικά με τις μεταφορές δεδομένων. Γνωρίζουμε ακόμη ότι, σύμφωνα με την πολιτική απορρήτου τους, οι AliExpress, SHEIN, TikTok και Xiaomi μεταφέρουν δεδομένα στην Κίνα. Οι Temu και WeChat αναφέρουν μεταφορές σε τρίτες χώρες. Σύμφωνα με την εταιρική δομή των Temu και WeChat, αυτό πιθανότατα περιλαμβάνει την Κίνα.
Η Κλεάνθη Σαρδέλη, δικηγόρος προστασίας δεδομένων στην noyb : «Οι κινεζικές εταιρείες δεν έχουν άλλη επιλογή από το να συμμορφώνονται με τα κυβερνητικά αιτήματα για πρόσβαση σε δεδομένα. Αυτό σημαίνει ότι τα δεδομένα των Ευρωπαίων χρηστών διατρέχουν κίνδυνο εφόσον αποστέλλονται στο εξωτερικό. Οι αρμόδιες αρχές πρέπει να ενεργήσουν γρήγορα για να προστατεύσουν τα θεμελιώδη δικαιώματα των ενδιαφερομένων».
Καταγγελίες υποβλήθηκαν σε πέντε χώρες. Η noyb έχει υποβάλει πλέον 6 καταγγελίες βάσει του GDPR σε 5 ευρωπαϊκές χώρες και ζητά από τις αρχές προστασίας δεδομένων να διατάξουν αμέσως την αναστολή των μεταφορών δεδομένων στην Κίνα βάσει του άρθρου 58(2)(j), καθώς η χώρα δεν παρέχει ουσιαστικά ισοδύναμο επίπεδο προστασίας δεδομένων βάσει των άρθρων 44 και 46 του GDPR. Η noyb ζητά επίσης από τις εταιρείες να συμμορφώσουν την επεξεργασία τους με τον GDPR. Τέλος, αλλά εξίσου σημαντικό, η noyb ζητά από τις Αρχές Προστασίας Δεδομένων (DPA) να επιβάλουν διοικητικό πρόστιμο για την αποτροπή παρόμοιων παραβιάσεων στο μέλλον. Ένα τέτοιο πρόστιμο μπορεί να φτάσει έως και το 4% των συνολικών εσόδων, τα οποία μπορούν π.χ. να ανέλθουν σε 147 εκατομμύρια ευρώ (ετήσια έσοδα 3,68 δισεκατομμύρια ευρώ) για την AliExpress ή σε 1,35 δισεκατομμύρια ευρώ (ετήσια έσοδα 33,84 δισεκατομμύρια ευρώ) για την Temu.
