Σήμερα, η noyb υπέβαλε καταγγελίες GDPR κατά των TikTok, AliExpress, SHEIN, Temu, WeChat και Xiaomi για παράνομες μεταφορές δεδομένων στην Κίνα. Ενώ τέσσερις από αυτούς παραδέχονται ανοιχτά ότι στέλνουν προσωπικά δεδομένα Ευρωπαίων στην Κίνα, οι άλλοι δύο λένε ότι μεταφέρουν δεδομένα σε άγνωστες «τρίτες χώρες». Καθώς καμία από τις εταιρείες δεν ανταποκρίθηκε επαρκώς στα αιτήματα πρόσβασης των καταγγελλόντων, πρέπει να υποθέσουμε ότι αυτό περιλαμβάνει την Κίνα. Ωστόσο, η νομοθεσία της ΕΕ είναι σαφής: οι διαβιβάσεις δεδομένων εκτός ΕΕ επιτρέπονται μόνο εάν η χώρα προορισμού δεν υπονομεύει την προστασία των δεδομένων. Δεδομένου ότι η Κίνα είναι ένα αυταρχικό κράτος παρακολούθησης, οι εταιρείες δεν μπορούν ρεαλιστικά να προστατεύσουν τα δεδομένα των χρηστών της ΕΕ από την πρόσβαση της κινεζικής κυβέρνησης. Μετά από ζητήματα σχετικά με την πρόσβαση της κυβέρνησης των ΗΠΑ, η άνοδος των κινεζικών εφαρμογών ανοίγει ένα νέο μέτωπο για τη νομοθεσία της ΕΕ για την προστασία δεδομένων.
- Καταγγελία κατά της TikTok στην Ελλάδα
- Καταγγελία κατά της Xiaomi στην Ελλάδα
- Καταγγελία κατά της SHEIN στην Ιταλία
- Καταγγελία κατά της AliExpress στο Βέλγιο
- Καταγγελία κατά του WeChat στην Ολλανδία
- Καταγγελία κατά του Temu στην Αυστρία
Ιστορικό: μεταφορές δεδομένων εκτός ΕΕ μόνο κατ' εξαίρεση. Κατ' αρχήν, οι εταιρείες δεν επιτρέπεται να μεταφέρουν δεδομένα Ευρωπαίων εκτός ΕΕ. Εάν, για οποιονδήποτε λόγο, εξακολουθούν να χρειάζεται να το κάνουν, οι εταιρείες μπορούν να βασίζονται σε ορισμένες εξαιρέσεις («παρεκκλίσεις»). Ωστόσο, εάν οι εταιρείες απλώς αναθέτουν δεδομένα σε εξωτερικούς συνεργάτες για λόγους ευκολίας, πρέπει να πληρούν αυστηρές απαιτήσεις για τη διασφάλιση της ασφάλειας των προσωπικών δεδομένων. Για χώρες όπως η Κίνα, οι εταιρείες συνήθως βασίζονται σε «Τυπικές συμβατικές ρήτρες» (SCCs). Τα SCC είναι μια σύμβαση στην οποία ο Κινέζος παραλήπτης δεσμεύεται να ακολουθεί τις προστασίες της ΕΕ – ακόμη και στην Κίνα. Για να επιτραπεί αυτό, οι εταιρείες πρέπει να διενεργήσουν εκτίμηση επιπτώσεων για να επαληθεύσουν ότι τα δεδομένα των Ευρωπαίων είναι ασφαλή στη χώρα προορισμού και ότι τα SCC δεν έρχονται σε αντίθεση με την εθνική νομοθεσία που απαιτεί πρόσβαση στα δεδομένα. Δεδομένου ότι η Κίνα είναι ένα αυταρχικό κράτος επιτήρησης, δεν υπάρχει απόφαση επάρκειας και καμία εταιρεία δεν μπορεί να παράσχει τέτοια εγγύηση. Οι κινεζικοί νόμοι προστασίας δεδομένων δεν περιορίζουν την πρόσβαση των αρχών με κανέναν τρόπο.
Κλεάνθη Σαρδέλη, δικηγόρος προστασίας δεδομένων στο noyb : «Δεδομένου ότι η Κίνα είναι ένα αυταρχικό κράτος παρακολούθησης, είναι ξεκάθαρο ότι η Κίνα δεν προσφέρει το ίδιο επίπεδο προστασίας δεδομένων με την ΕΕ. Η διαβίβαση προσωπικών δεδομένων Ευρωπαίων είναι σαφώς παράνομη – και πρέπει να τερματιστεί αμέσως».
Υψηλός κίνδυνος πρόσβασης στα δεδομένα από τις αρχές. Οι αναφορές διαφάνειας της Xiaomi επιβεβαιώνουν αυτόν τον κίνδυνο των κινεζικών αρχών να ζητήσουν και να αποκτήσουν (απεριόριστη) πρόσβαση σε προσωπικά δεδομένα στην πράξη. Σύμφωνα με αυτά τα έγγραφα, οι αρχές ζητούν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα σε πολύ μεγάλη κλίμακα, ενώ στο ίδιο χρονικό διάστημα, οι αρχές της ΕΕ/ΕΟΧ είχαν μόνο ελάχιστα αιτήματα. Επίσης, η Xiaomi σχεδόν πάντα συμμορφώνεται (ή πρέπει να συμμορφωθεί) με τα αιτήματα αυτών των κινεζικών αρχών. Επιπλέον, είναι σχεδόν αδύνατο για τους ξένους χρήστες να ασκήσουν τα δικαιώματά τους βάσει της κινεζικής νομοθεσίας περί προστασίας δεδομένων. Η χώρα δεν διαθέτει ειδική και ανεξάρτητη αρχή προστασίας δεδομένων ή άλλο δικαστήριο για να εγείρει ζητήματα κυβερνητικής επιτήρησης και το πεδίο εφαρμογής και η εφαρμογή των νόμων είναι ασαφή.
Το αίτημα πρόσβασης των χρηστών δεν απαντήθηκε. Αυτό καθιστά ακόμη πιο σημαντικό να μάθουμε τι κάνουν οι κινεζικές εταιρείες τεχνολογίας με τα προσωπικά δεδομένα των Ευρωπαίων. Ως εκ τούτου, οι καταγγέλλοντες υπέβαλαν αιτήματα πρόσβασης βάσει του άρθρου 15 του ΓΚΠΔ στις προαναφερόμενες εταιρείες για να δουν εάν τα δεδομένα τους στάλθηκαν στην Κίνα ή σε άλλες χώρες εκτός ΕΕ. Δυστυχώς, καμία από τις εταιρείες δεν παρείχε τις νομικά απαιτούμενες πληροφορίες σχετικά με τις μεταφορές δεδομένων. Εξακολουθούμε να γνωρίζουμε ότι, σύμφωνα με την πολιτική απορρήτου τους, οι AliExpress, SHEIN, TikTok και Xiaomi μεταφέρουν δεδομένα στην Κίνα. Το Temu και το WeChat αναφέρουν μεταφορές σε τρίτες χώρες. Σύμφωνα με την εταιρική δομή του Temu και του WeChat, αυτό πιθανότατα περιλαμβάνει την Κίνα.
Κλεάνθη Σαρδέλη, δικηγόρος προστασίας δεδομένων στο noyb : "Οι κινεζικές εταιρείες δεν έχουν άλλη επιλογή από το να συμμορφωθούν με τα κυβερνητικά αιτήματα για πρόσβαση σε δεδομένα. Αυτό σημαίνει ότι τα δεδομένα των ευρωπαίων χρηστών κινδυνεύουν όσο αποστέλλονται στο εξωτερικό. Οι αρμόδιες αρχές πρέπει να ενεργήσουν γρήγορα για να προστασία των θεμελιωδών δικαιωμάτων των ενδιαφερόμενων ανθρώπων».
Καταγγελίες που υποβλήθηκαν σε πέντε χώρες. Η noyb έχει υποβάλει τώρα 6 καταγγελίες GDPR σε 5 ευρωπαϊκές χώρες και ζητά από τις αρχές προστασίας δεδομένων να διατάξουν αμέσως την αναστολή των διαβιβάσεων δεδομένων στην Κίνα σύμφωνα με το άρθρο 58 παράγραφος 2 στοιχείο ι), καθώς η χώρα δεν παρέχει ουσιαστικά ισοδύναμο επίπεδο προστασίας δεδομένων σύμφωνα με Άρθρο 44 και 46 ΓΚΠΔ. Η noyb ζητά επίσης από τις εταιρείες να συμμορφώσουν την επεξεργασία τους με τον GDPR. Τελευταίο αλλά εξίσου σημαντικό, η noyb ζητά από τις ΑΠΔ να επιβάλουν διοικητικό πρόστιμο για να αποτρέψουν παρόμοιες παραβιάσεις στο μέλλον. Ένα τέτοιο πρόστιμο μπορεί να φτάσει έως και το 4% των παγκόσμιων εσόδων, το οποίο μπορεί π.χ. να ανέλθει σε 147 εκατ. ευρώ (ετήσια έσοδα 3,68 δισ. ευρώ) για το AliExpress ή 1,35 δισ. ευρώ (ετήσια έσοδα 33,84 δισ. ευρώ) για το Temu.
