Dnes, noyb podala sťažnosti na dodržiavanie GDPR proti spoločnostiam TikTok, AliExpress, SHEIN, Temu, WeChat a Xiaomi za nezákonné prenosy údajov do Číny. Zatiaľ čo štyri z nich otvorene priznávajú, že posielajú osobné údaje Európanov do Číny, zvyšné dve tvrdia, že údaje posielajú do nezverejnených "tretích krajín". Keďže žiadna zo spoločností na žiadosti sťažovateľov o prístup adekvátne nereagovala, musíme predpokladať, že ide o Čínu. Právo EÚ však hovorí jasne: prenosy údajov mimo EÚ sú povolené len vtedy, ak cieľová krajina neohrozuje ochranu údajov. Vzhľadom na to, že Čína je autoritárskym štátom dohľadu, spoločnosti nemôžu reálne chrániť údaje používateľov z EÚ pred prístupom čínskej vlády. Po problémoch týkajúcich sa prístupu vlády USA otvára nárast počtu čínskych aplikácií nový front pre právo EÚ v oblasti ochrany údajov.
- Sťažnosť na TikTok v Grécku
- Sťažnosť proti spoločnosti Xiaomi v Grécku
- Sťažnosť proti spoločnosti SHEIN v Taliansku
- Sťažnosť proti AliExpress v Belgicku
- Sťažnosť proti WeChat v Holandsku
- Sťažnosť proti Temu v Rakúsku
Súvislosti: prenosy údajov mimo EÚ len výnimočne. Spoločnosti v zásade nesmú prenášať údaje Európanov mimo EÚ. Ak to z nejakého dôvodu predsa len musia urobiť, spoločnosti sa môžu spoľahnúť na niekoľko výnimiek ("odchýlok"). Ak však spoločnosti prenášajú údaje len z pohodlnosti, musia splniť prísne požiadavky na zaistenie bezpečnosti osobných údajov. V prípade krajín, ako je Čína, sa spoločnosti zvyčajne spoliehajú na "štandardné zmluvné doložky" (SCC). SCC sú zmluvou, v ktorej sa čínsky príjemca zaväzuje dodržiavať ochranu EÚ - a to aj v Číne. Aby to bolo povolené, spoločnosti musia vykonať posúdenie vplyvu s cieľom overiť, či sú údaje Európanov v cieľovej krajine bezpečné a či SCC nie sú v rozpore s vnútroštátnymi zákonmi, ktoré vyžadujú prístup k údajom. Vzhľadom na to, že Čína je autoritárskym štátom dohľadu, neexistuje rozhodnutie o primeranosti a žiadna spoločnosť nemôže poskytnúť takúto záruku. Čínske zákony o ochrane údajov nijako neobmedzujú prístup orgánov.
Kleanthi Sardeli, právnička v oblasti ochrany údajov v noyb: "Vzhľadom na to, že Čína je autoritárskym štátom dohľadu, je úplne jasné, že Čína neposkytuje rovnakú úroveň ochrany údajov ako EÚ. Prenos osobných údajov Európanov je jednoznačne nezákonný - a musí byť okamžite ukončený."
Vysoké riziko prístupu úradov k údajom. Správy o transparentnosti spoločnosti Xiaomi potvrdzujú toto riziko, že čínske orgány požadujú a získavajú (neobmedzený) prístup k osobným údajom v praxi. Podľa týchto dokumentov orgány žiadajú o prístup k osobným údajom vo veľmi veľkom rozsahu, zatiaľ čo v rovnakom časovom rozpätí mali orgány EÚ/EHP len niekoľko žiadostí. Spoločnosť Xiaomi tiež takmer vždy vyhovie (alebo musí vyhovieť) týmto žiadostiam čínskych orgánov. Okrem toho je pre zahraničných používateľov takmer nemožné uplatniť svoje práva podľa čínskeho zákona o ochrane údajov. Krajina nemá špecializovaný a nezávislý orgán na ochranu údajov ani iný tribunál, ktorý by upozorňoval na otázky týkajúce sa vládneho dohľadu, a rozsah a uplatňovanie zákonov sú nejasné.
Žiadosti používateľov o prístup nie sú zodpovedané. O to dôležitejšie je zistiť, čo čínske technologické spoločnosti robia s osobnými údajmi Európanov. Sťažovatelia preto podali uvedeným spoločnostiam žiadosti o prístup podľa článku 15 GDPR, aby zistili, či boli ich údaje odoslané do Číny alebo iných krajín mimo EÚ. Žiaľ, žiadna zo spoločností neposkytla zákonom požadované informácie o prenose údajov. Napriek tomu vieme, že podľa svojich zásad ochrany osobných údajov spoločnosti AliExpress, SHEIN, TikTok a Xiaomi prenášajú údaje do Číny. Temu a WeChat uvádzajú prenosy do tretích krajín. Podľa podnikovej štruktúry spoločností Temu a WeChat to s najväčšou pravdepodobnosťou zahŕňa Čínu.
Kleanthi Sardeli, právnička pre ochranu údajov v spoločnosti noyb: "Čínske spoločnosti nemajú na výber a musia vyhovieť vládnym požiadavkám na prístup k údajom. To znamená, že údaje európskych používateľov sú v ohrození, pokiaľ sú odosielané do zahraničia. Príslušné orgány musia konať rýchlo, aby ochránili základné práva dotknutých osôb."
Sťažnosti podané v piatich krajinách. noyb teraz podala 6 sťažností na GDPR v 5 európskych krajinách a žiada orgány na ochranu údajov, aby okamžite nariadili pozastavenie prenosu údajov do Číny podľa článku 58 ods. 2 písm. j), keďže táto krajina neposkytuje v zásade rovnocennú úroveň ochrany údajov podľa článkov 44 a 46 GDPR. noyb tiež žiada spoločnosti, aby svoje spracúvanie údajov uviedli do súladu s GDPR. V neposlednom rade, noyb žiada orgány na ochranu údajov, aby uložili správnu pokutu s cieľom zabrániť podobným porušeniam v budúcnosti. Takáto pokuta môže dosiahnuť až 4 % celosvetových príjmov, čo môže predstavovať napr. 147 mil eUR (ročný príjem 3,68 mld. EUR) v prípade spoločnosti AliExpress alebo 1,35 mld eUR (ročný príjem 33,84 mld. EUR) v prípade Temu.
