Vandaag, noyb gDPR-klachten ingediend tegen TikTok, AliExpress, SHEIN, Temu, WeChat en Xiaomi wegens het onrechtmatig doorsturen van gegevens naar China. Terwijl vier van hen openlijk toegeven dat ze persoonlijke gegevens van Europeanen naar China sturen, zeggen de andere twee dat ze gegevens naar niet nader genoemde "derde landen" sturen. Aangezien geen van de bedrijven adequaat heeft gereageerd op de toegangsverzoeken van de klagers, moeten we aannemen dat dit ook China omvat. Maar de EU-wetgeving is duidelijk: gegevensoverdracht buiten de EU is alleen toegestaan als het land van bestemming de bescherming van gegevens niet ondermijnt. Aangezien China een autoritaire controlestaat is, is het voor bedrijven niet realistisch om de gegevens van EU-gebruikers af te schermen tegen toegang door de Chinese overheid. Na problemen met toegang door de Amerikaanse overheid, opent de opkomst van Chinese apps een nieuw front voor de EU-wetgeving voor gegevensbescherming.
- Klacht tegen TikTok in Griekenland
- Klacht tegen Xiaomi in Griekenland
- Klacht tegen SHEIN in Italië
- Klacht tegen AliExpress in België
- Klacht tegen WeChat in Nederland
- Klacht tegen Temu in Oostenrijk
Achtergrond: gegevensoverdracht buiten de EU is slechts bij uitzondering toegestaan. In principe mogen bedrijven geen gegevens van Europeanen doorgeven buiten de EU. Als ze dat om wat voor reden dan ook toch moeten doen, kunnen bedrijven een beroep doen op een aantal uitzonderingen ("derogaties"). Als bedrijven echter gegevens uitbesteden uit gemakzucht, moeten ze voldoen aan strenge eisen om de veiligheid van persoonlijke gegevens te waarborgen. Voor landen als China vertrouwen bedrijven meestal op "standaard contractuele clausules" (SCC's). SCC's zijn een contract waarin de Chinese ontvanger belooft de EU-bescherming te volgen - zelfs in China. Om dit toe te staan, moeten bedrijven een effectbeoordeling uitvoeren om te controleren of de gegevens van Europeanen veilig zijn in het land van bestemming en of de SCC's niet in strijd zijn met nationale wetten die toegang tot gegevens vereisen. Aangezien China een autoritaire toezichtsstaat is, is er geen adequaatheidsbesluit en kan geen enkel bedrijf een dergelijke garantie bieden. De Chinese wetten voor gegevensbescherming beperken de toegang door autoriteiten op geen enkele manier.
Kleanthi Sardeli, advocaat gegevensbescherming bij noyb: "Aangezien China een autoritaire controlestaat is, is het glashelder dat China niet hetzelfde niveau van gegevensbescherming biedt als de EU. Het doorgeven van persoonlijke gegevens van Europeanen is duidelijk onwettig - en moet onmiddellijk worden beëindigd."
Hoog risico op toegang tot gegevens door autoriteiten. Xiaomi's transparantierapporten bevestigen dit risico dat Chinese autoriteiten in de praktijk (onbeperkt) toegang vragen en krijgen tot persoonlijke gegevens. Volgens deze documenten vragen autoriteiten op zeer grote schaal om toegang tot persoonsgegevens, terwijl de EU/EEA-autoriteiten in dezelfde tijdspanne slechts een handvol verzoeken hadden. Bovendien voldoet Xiaomi bijna altijd (of moet voldoen) aan de verzoeken van deze Chinese autoriteiten. Bovendien is het voor buitenlandse gebruikers bijna onmogelijk om hun rechten uit te oefenen onder de Chinese wet op gegevensbescherming. Het land heeft geen speciale en onafhankelijke gegevensbeschermingsautoriteit of een ander tribunaal om kwesties rond overheidssurveillance aan te kaarten en de reikwijdte en toepassing van de wetten zijn onduidelijk.
Toegangsverzoeken van gebruikers worden niet beantwoord. Dit maakt het des te belangrijker om uit te zoeken wat Chinese techbedrijven doen met de persoonlijke gegevens van Europeanen. De klagers dienden daarom toegangsverzoeken onder Artikel 15 GDPR in bij de bovengenoemde bedrijven om te zien of hun gegevens naar China of andere landen buiten de EU werden gestuurd. Helaas verstrekte geen van de bedrijven de wettelijk vereiste informatie over gegevensoverdrachten. We weten nog steeds dat AliExpress, SHEIN, TikTok en Xiaomi volgens hun privacybeleid gegevens doorgeven aan China. Temu en WeChat maken melding van gegevensoverdracht naar derde landen. Volgens de bedrijfsstructuur van Temu en WeChat omvat dit hoogstwaarschijnlijk China.
Kleanthi Sardeli, advocaat gegevensbescherming bij noyb: "Chinese bedrijven hebben geen andere keuze dan te voldoen aan verzoeken van de overheid om toegang te krijgen tot gegevens. Dit betekent dat de gegevens van Europese gebruikers in gevaar zijn zolang ze naar het buitenland worden verstuurd. De bevoegde autoriteiten moeten snel handelen om de grondrechten van de betrokkenen te beschermen."
Klachten ingediend in vijf landen. noyb heeft nu 6 GDPR-klachten ingediend in 5 Europese landen en verzoekt de gegevensbeschermingsautoriteiten onmiddellijk de opschorting van gegevensoverdrachten naar China te bevelen op grond van artikel 58, lid 2, onder j), omdat het land geen in wezen gelijkwaardig niveau van gegevensbescherming biedt op grond van artikel 44 en 46 GDPR. noyb verzoekt de bedrijven ook om hun verwerking in overeenstemming te brengen met de GDPR. Last but not least, noyb de gegevensbeschermingsautoriteiten om een administratieve boete om soortgelijke overtredingen in de toekomst te voorkomen. Een dergelijke boete kan oplopen tot 4% van de wereldwijde omzet, wat bijvoorbeeld kan oplopen tot 147 miljoen euro (jaarlijkse omzet van €3,68 miljard) voor AliExpress of €1,35 miljard (jaarlijkse omzet van €33,84 miljard) voor Temu.
