Tänään, noyb on tehnyt GDPR-valituksen TikTokia, AliExpressiä, SHEINiä, Temua, WeChatia ja Xiaomia vastaan laittomista tiedonsiirroista Kiinaan. Neljä niistä myöntää avoimesti lähettävänsä eurooppalaisten henkilötietoja Kiinaan, mutta kaksi muuta sanoo siirtävänsä tietoja ilmoittamattomiin "kolmansiin maihin". Koska yksikään näistä yrityksistä ei ole vastannut asianmukaisesti kantelijoiden pyyntöihin, on oletettavaa, että tämä koskee myös Kiinaa. EU:n lainsäädäntö on kuitenkin selkeä: tietojen siirto EU:n ulkopuolelle on sallittua vain, jos kohdemaa ei heikennä tietosuojaa. Koska Kiina on autoritaarinen valvontavaltio, yritykset eivät voi realistisesti suojata EU:n käyttäjien tietoja Kiinan hallituksen pääsyltä. Yhdysvaltain hallituksen pääsyyn liittyvien ongelmien jälkeen kiinalaisten sovellusten yleistyminen avaa uuden rintaman EU:n tietosuojalainsäädännölle.
- Valitus TikTokia vastaan Kreikassa
- Valitus Xiaomia vastaan Kreikassa
- Valitus SHEINiä vastaan Italiassa
- Valitus AliExpressiä vastaan Belgiassa
- Kantelu WeChatia vastaan Alankomaissa
- Valitus Temua vastaan Itävallassa
Taustaa: tietojen siirto EU:n ulkopuolelle vain poikkeustapauksissa. Periaatteessa yritykset eivät saa siirtää eurooppalaisten tietoja EU:n ulkopuolelle. Jos ne jostain syystä kuitenkin joutuvat tekemään niin, yritykset voivat vedota useisiin poikkeuksiin ("poikkeuksiin"). Jos yritykset kuitenkin ulkoistavat tietoja vain mukavuudenhalusta, niiden on täytettävä tiukat vaatimukset henkilötietojen turvallisuuden varmistamiseksi. Kiinan kaltaisissa maissa yritykset turvautuvat yleensä vakiosopimuslausekkeisiin. SCC-sopimukset ovat sopimus, jossa kiinalainen vastaanottaja sitoutuu noudattamaan EU:n suojaa - myös Kiinassa. Jotta tämä olisi sallittua, yritysten on tehtävä vaikutustenarviointi varmistaakseen, että eurooppalaisten tiedot ovat turvassa kohdemaassa ja että SCC-sopimukset eivät ole ristiriidassa sellaisten kansallisten lakien kanssa, jotka edellyttävät pääsyä tietoihin. Koska Kiina on autoritaarinen valvontavaltio, riittävyyspäätöstä ei ole tehty, eikä mikään yritys voi antaa tällaista takuuta. Kiinan tietosuojalainsäädäntö ei rajoita viranomaisten pääsyä tietoihin millään tavoin.
Kleanthi Sardeli, tietosuojalakimies osoitteessa noyb: "Koska Kiina on autoritaarinen valvontavaltio, on täysin selvää, että Kiina ei tarjoa samaa tietosuojan tasoa kuin EU. Eurooppalaisten henkilötietojen siirtäminen on selvästi lainvastaista - ja se on lopetettava välittömästi."
Suuri riski, että viranomaiset pääsevät käsiksi tietoihin. Xiaomin avoimuusraportit vahvistavat tämän riskin, että Kiinan viranomaiset pyytävät ja saavat käytännössä (rajoittamattoman) pääsyn henkilötietoihin. Näiden asiakirjojen mukaan viranomaiset pyytävät pääsyä henkilötietoihin hyvin laajamittaisesti, kun taas EU:n ja ETA:n viranomaisilla oli samana ajanjaksona vain kourallinen pyyntöjä. Lisäksi Xiaomi noudattaa (tai joutuu noudattamaan) lähes aina Kiinan viranomaisten pyyntöjä. Lisäksi ulkomaisten käyttäjien on lähes mahdotonta käyttää Kiinan tietosuojalainsäädännön mukaisia oikeuksiaan. Maassa ei ole erityistä ja riippumatonta tietosuojaviranomaista tai muuta tuomioistuinta, joka voisi nostaa esiin hallituksen valvontaan liittyviä kysymyksiä, ja lakien soveltamisala ja soveltaminen on epäselvää.
Käyttäjien käyttöoikeuspyyntöön ei ole vastattu. Tämän vuoksi on entistäkin tärkeämpää selvittää, mitä kiinalaiset teknologiayritykset tekevät eurooppalaisten henkilötiedoilla. Kantelijat jättivät siksi edellä mainituille yrityksille yleisen tietosuoja-asetuksen 15 artiklan mukaiset käyttöoikeuspyynnöt selvittääkseen, onko heidän tietojaan lähetetty Kiinaan tai muihin EU:n ulkopuolisiin maihin. Valitettavasti yksikään yhtiöistä ei toimittanut lakisääteisiä tietoja tiedonsiirroista. Tiedämme silti, että niiden tietosuojakäytäntöjen mukaan AliExpress, SHEIN, TikTok ja Xiaomi siirtävät tietoja Kiinaan. Temu ja WeChat mainitsevat siirrot kolmansiin maihin. Temun ja WeChatin yritysrakenteen mukaan tähän kuuluu todennäköisesti Kiina.
Kleanthi Sardeli, tietosuojalakimies osoitteessa noyb: "Kiinalaisilla yrityksillä ei ole muuta vaihtoehtoa kuin noudattaa viranomaisten pyyntöjä saada tietoja. Tämä tarkoittaa, että eurooppalaisten käyttäjien tiedot ovat vaarassa niin kauan kuin niitä lähetetään ulkomaille. Toimivaltaisten viranomaisten on toimittava nopeasti suojellakseen asianosaisten perusoikeuksia."
Viidessä maassa jätetyt valitukset. noyb on nyt jättänyt kuusi GDPR-kantelua viidessä Euroopan maassa ja pyytää tietosuojaviranomaisia määräämään välittömästi keskeyttämään tiedonsiirrot Kiinaan 58 artiklan 2 kohdan j alakohdan nojalla, koska maa ei tarjoa olennaisesti vastaavaa tietosuojan tasoa GDPR:n 44 ja 46 artiklan nojalla. noyb pyytää myös yrityksiä saattamaan tietojenkäsittelynsä yleisen tietosuoja-asetuksen mukaiseksi. Viimeisenä mutta ei vähäisimpänä, noyb pyytää tietosuojaviranomaisia määräämään hallinnollisen sakon vastaavien rikkomusten estämiseksi tulevaisuudessa. Tällainen sakko voi olla jopa 4 prosenttia maailmanlaajuisesta liikevaihdosta, mikä voi olla esimerkiksi 147 miljoonaa euroa (3,68 miljardin euron vuositulot) aliExpressin osalta tai 1,35 miljardia euroa (33,84 miljardin euron vuositulot) temun osalta.
