Ma, noyb gDPR-panaszt nyújtott be a TikTok, az AliExpress, a SHEIN, a Temu, a WeChat és a Xiaomi ellen a Kínába történő jogellenes adattovábbítás miatt. Míg négyen közülük nyíltan elismerik, hogy európaiak személyes adatait küldik Kínába, a másik kettő azt állítja, hogy nem nyilvános "harmadik országokba" továbbítanak adatokat. Mivel egyik vállalat sem válaszolt megfelelően a panaszosok hozzáférési kérelmeire, feltételeznünk kell, hogy ez Kínára is vonatkozik. Az uniós jog azonban egyértelmű: az EU-n kívüli adattovábbítás csak akkor engedélyezett, ha a célország nem ássa alá az adatok védelmét. Tekintettel arra, hogy Kína egy autoriter felügyeleti állam, a vállalatok nem tudják reálisan megvédeni az uniós felhasználók adatait a kínai kormány hozzáférésétől. Az amerikai kormányzati hozzáféréssel kapcsolatos problémák után a kínai alkalmazások térnyerése új frontot nyit az uniós adatvédelmi jog előtt.
- Panasz a TikTok ellen Görögországban
- Panasz a Xiaomi ellen Görögországban
- Panasz a SHEIN ellen Olaszországban
- Panasz az AliExpress ellen Belgiumban
- Panasz a WeChat ellen Hollandiában
- Panasz Temu ellen Ausztriában
Háttér: az EU-n kívüli adattovábbítás csak kivételesen. A vállalatok elvileg nem továbbíthatják az európaiak adatait az EU-n kívülre. Ha valamilyen okból mégis szükségük van erre, a vállalatok számos kivételre ("eltérésre") hivatkozhatnak. Ha azonban a vállalatok csak kényelemből adnak ki adatokat, akkor szigorú követelményeknek kell megfelelniük a személyes adatok biztonságának garantálása érdekében. Az olyan országok esetében, mint Kína, a vállalatok általában a "szabványos szerződési záradékokra" (SCC) támaszkodnak. Az SCC-k olyan szerződések, amelyekben a kínai címzett vállalja, hogy az uniós védelmet követi - még Kínában is. Ennek engedélyezéséhez a vállalatoknak hatásvizsgálatot kell végezniük annak ellenőrzésére, hogy az európaiak adatai biztonságban vannak-e a célországban, és hogy az SCC-k nem ütköznek-e az adatokhoz való hozzáférést előíró nemzeti jogszabályokkal. Tekintettel arra, hogy Kína egy autoriter felügyeleti állam, nincs megfelelőségi határozat, és egyetlen vállalat sem tud ilyen garanciát nyújtani. A kínai adatvédelmi törvények semmilyen módon nem korlátozzák a hatóságok hozzáférését.
Kleanthi Sardeli, adatvédelmi jogász a noyb: "Tekintettel arra, hogy Kína egy autoriter felügyeleti állam, kristálytisztán látszik, hogy Kína nem nyújt ugyanolyan szintű adatvédelmet, mint az EU. Az európaiak személyes adatainak továbbítása egyértelműen jogellenes - és azonnal meg kell szüntetni."
Nagy a kockázata annak, hogy a hatóságok hozzáférnek az adatokhoz. A Xiaomi átláthatósági jelentései megerősítik ezt a kockázatot, hogy a kínai hatóságok a gyakorlatban is (korlátlan) hozzáférést kérnek és kapnak a személyes adatokhoz. E dokumentumok szerint a hatóságok igen nagy számban kérnek hozzáférést a személyes adatokhoz, míg ugyanezen időszak alatt az EU/EGT-hatóságok csak néhány megkeresést kaptak. Emellett a Xiaomi szinte mindig eleget tesz (vagy eleget kell tennie) a kínai hatóságok kéréseinek. Ráadásul a külföldi felhasználók számára szinte lehetetlen a kínai adatvédelmi jogszabályok szerinti jogaik gyakorlása. Az országnak nincs külön erre a célra létrehozott és független adatvédelmi hatósága vagy más bírósága a kormányzati megfigyeléssel kapcsolatos kérdések felvetésére, és a törvények hatálya és alkalmazása nem egyértelmű.
A felhasználók hozzáférési kérelmére nem érkezik válasz. Ezért még fontosabb, hogy megtudjuk, mit tesznek a kínai technológiai vállalatok az európaiak személyes adataival. A panaszosok ezért a GDPR 15. cikke alapján hozzáférési kérelmet nyújtottak be a fent említett vállalatokhoz, hogy megtudják, az adataikat Kínába vagy más, az EU-n kívüli országokba küldték-e. Sajnos egyik vállalat sem adta meg a jogszabályban előírt tájékoztatást az adattovábbításról. Továbbra is tudjuk, hogy az adatvédelmi szabályzatuk szerint az AliExpress, a SHEIN, a TikTok és a Xiaomi adatokat továbbít Kínába. A Temu és a WeChat harmadik országokba történő adattovábbítást említ. A Temu és a WeChat vállalati struktúrája alapján ez valószínűleg Kínát is magában foglalja.
Kleanthi Sardeli, az adatvédelemmel foglalkozó jogász, a noyb: "A kínai vállalatoknak nincs más választásuk, mint eleget tenni az adatokhoz való hozzáférésre vonatkozó kormányzati kéréseknek. Ez azt jelenti, hogy az európai felhasználók adatai veszélyben vannak, amíg azokat külföldre küldik. Az illetékes hatóságoknak gyorsan kell cselekedniük az érintettek alapvető jogainak védelme érdekében"."
Öt országban benyújtott panaszok. noyb immár 6 GDPR-panaszt nyújtott be 5 európai országban, és kéri az adatvédelmi hatóságokat, hogy az 58. cikk (2) bekezdésének j) pontja alapján haladéktalanul rendeljék el a Kínába történő adattovábbítás felfüggesztését, mivel az ország nem biztosít lényegében egyenértékű adatvédelmi szintet a GDPR 44. és 46. cikke alapján. noyb arra is felszólítja a vállalatokat, hogy adatkezelésüket hozzák összhangba a GDPR-rel. Végül, de nem utolsósorban, noyb kéri az adatvédelmi hatóságokat, hogy szabjanak ki közigazgatási bírságot a hasonló jogsértések jövőbeni megelőzése érdekében. Az ilyen bírság elérheti a globális bevétel 4%-át, ami például 147 millió eurót jelenthet (3,68 milliárd EUR éves bevétel) az AliExpress esetében vagy 1,35 milliárd euróra (33,84 milliárd eurós éves bevétel) a Temu esetében.
