Dzisiaj, noyb złożył skargi GDPR przeciwko TikTok, AliExpress, SHEIN, Temu, WeChat i Xiaomi za niezgodne z prawem przekazywanie danych do Chin. Podczas gdy cztery z nich otwarcie przyznają się do wysyłania danych osobowych Europejczyków do Chin, pozostałe dwie twierdzą, że przekazują dane do nieujawnionych "krajów trzecich". Ponieważ żadna z firm nie odpowiedziała odpowiednio na wnioski skarżących o dostęp, musimy założyć, że obejmuje to Chiny. Prawo UE jest jednak jasne: przekazywanie danych poza UE jest dozwolone tylko wtedy, gdy kraj docelowy nie narusza ochrony danych. Biorąc pod uwagę, że Chiny są autorytarnym państwem nadzoru, firmy nie mogą realistycznie chronić danych użytkowników z UE przed dostępem chińskiego rządu. Po kwestiach związanych z dostępem rządu USA, rozwój chińskich aplikacji otwiera nowy front dla unijnego prawa ochrony danych.
- Skarga przeciwko TikTok w Grecji
- Skarga przeciwko Xiaomi w Grecji
- Skarga przeciwko SHEIN we Włoszech
- Skarga przeciwko AliExpress w Belgii
- Skarga przeciwko WeChat w Holandii
- Skarga przeciwko Temu w Austrii
Kontekst: przekazywanie danych poza UE tylko w drodze wyjątku. Zasadniczo firmy nie mogą przekazywać danych Europejczyków poza UE. Jeśli z jakiegokolwiek powodu nadal muszą to robić, firmy mogą polegać na szeregu wyjątków ("odstępstw"). Jeśli jednak firmy po prostu zlecają outsourcing danych z wygody, muszą spełnić surowe wymogi w celu zapewnienia bezpieczeństwa danych osobowych. W przypadku krajów takich jak Chiny, firmy zazwyczaj polegają na "standardowych klauzulach umownych" (SCC). SCC to umowa, w której chiński odbiorca zobowiązuje się do przestrzegania ochrony UE - nawet w Chinach. Aby było to dozwolone, firmy muszą przeprowadzić ocenę wpływu, aby sprawdzić, czy dane Europejczyków są bezpieczne w kraju docelowym i czy SCC nie są sprzeczne z przepisami krajowymi, które wymagają dostępu do danych. Biorąc pod uwagę, że Chiny są autorytarnym państwem nadzoru, nie ma decyzji o adekwatności, a żadna firma nie może zapewnić takiej gwarancji. Chińskie przepisy o ochronie danych w żaden sposób nie ograniczają dostępu władz.
Kleanthi Sardeli, prawnik zajmujący się ochroną danych w noyb: "Biorąc pod uwagę, że Chiny są autorytarnym państwem nadzoru, jest rzeczą oczywistą, że Chiny nie oferują takiego samego poziomu ochrony danych jak UE. Przekazywanie danych osobowych Europejczyków jest wyraźnie niezgodne z prawem - i musi zostać natychmiast zakończone"
Wysokie ryzyko dostępu do danych przez władze. Raporty przejrzystości Xiaomi potwierdzają to ryzyko żądania i uzyskiwania przez chińskie władze (nieograniczonego) dostępu do danych osobowych w praktyce. Zgodnie z tymi dokumentami, władze żądają dostępu do danych osobowych na bardzo dużą skalę, podczas gdy w tym samym okresie władze UE/EOG miały tylko kilka wniosków. Ponadto Xiaomi prawie zawsze spełnia (lub musi spełniać) żądania chińskich władz. Co więcej, prawie niemożliwe jest, aby zagraniczni użytkownicy korzystali ze swoich praw wynikających z chińskiego prawa o ochronie danych. Kraj ten nie ma dedykowanego i niezależnego organu ochrony danych ani innego trybunału, który mógłby podnosić kwestie nadzoru rządowego, a zakres i zastosowanie przepisów są niejasne.
Prośby użytkowników o dostęp pozostały bez odpowiedzi. Tym ważniejsze jest, aby dowiedzieć się, co chińskie firmy technologiczne robią z danymi osobowymi Europejczyków. Skarżący złożyli zatem wnioski o dostęp na podstawie art. 15 RODO do wyżej wymienionych firm, aby sprawdzić, czy ich dane zostały przesłane do Chin lub innych krajów spoza UE. Niestety, żadna z firm nie dostarczyła wymaganych prawem informacji na temat transferu danych. Nadal wiemy, że zgodnie z polityką prywatności AliExpress, SHEIN, TikTok i Xiaomi przesyłają dane do Chin. Temu i WeChat wspominają o transferach do krajów trzecich. Zgodnie ze strukturą korporacyjną Temu i WeChat, najprawdopodobniej obejmuje to Chiny.
Kleanthi Sardeli, prawnik zajmujący się ochroną danych w noyb: "Chińskie firmy nie mają innego wyjścia, jak tylko zastosować się do rządowych wniosków o dostęp do danych. Oznacza to, że dane europejskich użytkowników są zagrożone tak długo, jak długo są wysyłane za granicę. Właściwe organy muszą działać szybko, aby chronić podstawowe prawa zainteresowanych osób"
Skargi złożono w pięciu krajach. noyb złożył obecnie 6 skarg GDPR w 5 krajach europejskich i zwraca się do organów ochrony danych o natychmiastowe nakazanie zawieszenia przekazywania danych do Chin na mocy art. 58 ust. 2 lit. j), ponieważ kraj ten nie zapewnia zasadniczo równoważnego poziomu ochrony danych na mocy art. 44 i 46 GDPR. noyb zwraca się również do firm o dostosowanie przetwarzania danych do GDPR. Last but not least, noyb zwraca się do organów ochrony danych o nałożenie grzywny administracyjnej w celu zapobieżenia podobnym naruszeniom w przyszłości. Taka grzywna może wynieść do 4% globalnego przychodu, co może np. wynieść 147 mln euro (roczny przychód w wysokości 3,68 mld euro) dla AliExpress lub 1,35 mld euro (roczny przychód w wysokości 33,84 mld euro) dla Temu.
