Idag är det noyb har lämnat in GDPR-klagomål mot TikTok, AliExpress, SHEIN, Temu, WeChat och Xiaomi för olagliga dataöverföringar till Kina. Medan fyra av dem öppet erkänner att de skickar européers personuppgifter till Kina, säger de andra två att de överför uppgifter till hemliga "tredjeländer". Eftersom inget av företagen har svarat på de klagandes begäran om tillgång till uppgifter, måste vi anta att detta inkluderar Kina. Men EU-lagstiftningen är tydlig: dataöverföringar utanför EU är endast tillåtna om destinationslandet inte undergräver dataskyddet. Med tanke på att Kina är en auktoritär övervakningsstat kan företag inte på ett realistiskt sätt skydda EU-användares uppgifter från den kinesiska regeringens åtkomst. Efter problemen med amerikanska myndigheters tillgång öppnar de kinesiska apparnas framväxt en ny front för EU:s dataskyddslagstiftning.

- Klagomål mot TikTok i Grekland
- Klagomål mot Xiaomi i Grekland
- Klagomål mot SHEIN i Italien
- Klagomål mot AliExpress i Belgien
- Klagomål mot WeChat i Nederländerna
- Klagomål mot Temu i Österrike
Bakgrund: dataöverföringar ut ur EU endast i undantagsfall. I princip får företag inte överföra européers uppgifter till länder utanför EU. Om de av någon anledning ändå måste göra det kan företagen åberopa ett antal undantag ("avvikelser"). Om företag bara lägger ut uppgifter av bekvämlighetsskäl måste de dock uppfylla strikta krav för att garantera säkerheten för personuppgifter. I länder som Kina förlitar sig företagen vanligtvis på "standardavtalsklausuler" (SCC). SCC är ett avtal där den kinesiska mottagaren lovar att följa EU:s skydd - även i Kina. För att detta ska vara tillåtet måste företagen genomföra en konsekvensbedömning för att verifiera att européernas data är säkra i destinationslandet och att SCC:erna inte strider mot nationella lagar som kräver tillgång till data. Med tanke på att Kina är en auktoritär övervakningsstat finns det inget beslut om adekvat skyddsnivå och inget företag kan ge en sådan garanti. De kinesiska dataskyddslagarna begränsar inte myndigheternas tillgång på något sätt.
Kleanthi Sardeli, dataskyddsjurist på noyb: "Med tanke på att Kina är en auktoritär övervakningsstat är det kristallklart att Kina inte erbjuder samma nivå av dataskydd som EU. Att överföra européers personuppgifter är helt klart olagligt - och måste upphöra omedelbart."
Hög risk för att myndigheter får tillgång till data. Xiaomis transparensrapporter bekräftar denna risk för att kinesiska myndigheter begär och får (obegränsad) tillgång till personuppgifter i praktiken. Enligt dessa dokument begär myndigheter tillgång till personuppgifter i mycket stor skala, medan EU/EES-myndigheter under samma tidsperiod endast hade en handfull förfrågningar. Xiaomi efterkommer (eller måste efterkomma) nästan alltid dessa kinesiska myndigheters förfrågningar. Utöver detta är det nästan omöjligt för utländska användare att utöva sina rättigheter enligt kinesisk dataskyddslagstiftning. Landet har ingen särskild och oberoende dataskyddsmyndighet eller annan domstol som kan ta upp frågor om statlig övervakning och lagarnas omfattning och tillämpning är oklar.
Användarnas begäran om tillgång besvaras inte. Detta gör det ännu viktigare att ta reda på vad kinesiska teknikföretag gör med européernas personuppgifter. De klagande lämnade därför in en begäran om tillgång enligt artikel 15 i GDPR till de ovannämnda företagen för att se om deras uppgifter skickats till Kina eller andra länder utanför EU. Tyvärr lämnade inget av företagen den information om dataöverföringar som krävs enligt lag. Vi vet fortfarande att AliExpress, SHEIN, TikTok och Xiaomi, enligt sin integritetspolicy, överför data till Kina. Temu och WeChat nämner överföringar till tredje land. Enligt Temus och WeChats företagsstruktur inkluderar detta troligen Kina.
Kleanthi Sardeli, dataskyddsjurist på noyb: "Kinesiska företag har inget annat val än att följa myndigheternas begäran om tillgång till data. Det innebär att europeiska användares uppgifter är i riskzonen så länge de skickas utomlands. De behöriga myndigheterna måste agera snabbt för att skydda de berörda personernas grundläggande rättigheter."
Klagomål har lämnats in i fem länder. noyb har nu lämnat in 6 GDPR-klagomål i 5 europeiska länder och begär att dataskyddsmyndigheterna omedelbart ska beordra att dataöverföringar till Kina avbryts enligt artikel 58.2 j, eftersom landet inte tillhandahåller en väsentligen likvärdig nivå av dataskydd enligt artiklarna 44 och 46 i GDPR. noyb begär också att företagen ska se till att deras behandling överensstämmer med GDPR. Sist men inte minst, noyb begär noyb att dataskyddsmyndigheterna ska utdöma en administrativ sanktionsavgift för att förhindra liknande överträdelser i framtiden. Sådana böter kan uppgå till 4% av den globala omsättningen, vilket t.ex. kan uppgå till 147 miljoner euro (årlig intäkt på 3,68 miljarder euro) för AliExpress eller 1,35 miljarder euro (årlig omsättning på 33,84 miljarder euro) för Temu.