Austriacka organizacja obrońców prywatności – NOYB – złożyła skargi na serwisy internetowe, które jej zdaniem dokonują niezgodnych z prawem Unii Europejskiej transferów danych osobowych do Chin.
Wysyłanie danych osobowych poza UE jest możliwe, jeśli w kraju docelowym zapewniony jest poziom ochrony równoważny z zasadami RODO. W przypadku transferu danych do krajów, z którymi UE nie zawarła w tej sprawie porozumienia, firmy opierają się zazwyczaj na standardowych klauzulach umownych (SCC). Przy ich podpisywaniu należy ocenić ryzyko – co wymaga sprawdzenia, czy w kraju, do którego trafią dane Europejczyków, obowiązuje odpowiednia ochrona.
– Ponieważ Chiny są autorytarnym państwem policyjnym, jest zupełnie jasne, że nie oferują takiego samego poziomu ochrony danych jak UE. Przekazywanie tam danych osobowych Europejczyków jest ewidentnie niezgodne z prawem – i musi zostać natychmiast zakończone – uważa Kleanthi Sardeli, prawniczka z NOYB.
Sześć skarg
Skargi na naruszenie RODO złożono do organów ochrony danych w pięciu krajach: na Temu w Austrii, na AliExpress w Belgii, na Shein we Włoszech, na TikToka i Xiaomi w Grecji, a na WeChat w Holandii. Pierwsze trzy to platformy handlu internetowego, TikTok jest serwisem społecznościowym, WeChat komunikatorem internetowym, a Xiaomi producentem smartfonów, tabletów, laptopów i innego sprzętu elektronicznego.
Żadna z firm nie udzieliła skarżącym informacji o transferach danych. O tym, że AliExpress, Shein, TikTok i Xiaomi przesyłają dane do Chin, wiadomo z ich polityk prywatności. Pozostali dwaj administratorzy danych – Temu i WeChat – wspominają zaś o transferach do „krajów trzecich”. Jak przypuszcza NOYB, zważywszy na strukturę korporacyjną obu firm, najprawdopodobniej obejmuje to Chiny.
– Chińskie firmy nie mają innego wyboru, jak tylko spełnić rządowe żądania dostępu do danych – podkreśla Kleanthi Sardeli.
NOYB wskazuje, że o możliwości dostępu chińskich władz do danych osobowych użytkowników mówią m.in. raporty przejrzystości Xiaomi.
– Oznacza to, że dane europejskich użytkowników są zagrożone – stwierdza Kleanthi Sardeli. – Właściwe organy muszą działać szybko, aby chronić podstawowe prawa zainteresowanych osób – dodaje.
Oprócz natychmiastowego nakazania zawieszenia transferu danych do Chin NOYB domaga się też w skargach dostosowania przetwarzania danych do wymogów RODO. Chce również ukarania chińskich firm. Takie kary mogą sięgnąć 4 proc. globalnych przychodów – np. dla Temu byłoby to więc 1,35 mld euro (od 33,84 mld euro przychodów).
Drugi front dla unijnego prawa o ochronie danych osobowych
NOYB – założony przez prawnika i aktywistę Maxa Schremsa – podkreśla, że sprawa chińskich aplikacji „otwiera nowy front dla unijnego prawa o ochronie danych”, po problemach związanych z transferem danych przez platformy internetowe do Stanów Zjednoczonych.
Walka o odpowiednie standardyochrony danych wysyłanych do USA trwała wiele lat. Pierwszą podstawą prawną transferu za ocean była umowa ramowa − Bezpieczna Przystań. Zdaniem Maxa Schremsa nie zapewniała ona jednak ochrony danych obywateli UE na poziomie równorzędnym z RODO. Ostatecznie została unieważniona przez Trybunał Sprawiedliwości UE (wyrok w sprawie Schrems I z 2015 r.), a Bruksela i Waszyngton zawarły nową umowę − Tarczę prywatności. Spotkał ją jednak ten sam los (wyrok Schrems II z 2020 r.).
Od lipca 2023 r. obowiązuje trzecie porozumienie UE–USA w sprawie danych, tj. umowa ramowa – DPF (od angielskiej nazwy Data Privacy Framework).
– Wypracowanie porozumienia ze Stanami Zjednoczonymi i na tej podstawie decyzji Komisji nie było proste. Obawiam się, że w przypadku Chin byłoby jeszcze trudniej, bo to nie jest przewidywalny partner i w grę wchodzi polityka – mówi dr hab. Arwid Mednis, wykładowca Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, wspólnik w Kancelarii Kobylańska Lewoszewski Mednis i członek Społecznego Zespołu Ekspertów przy prezesie Urzędu Ochrony Danych Osobowych.
– Transfer danych do Chin to poważny problem – dodaje Arwid Mednis. – W wielu przypadkach użytkownicy chińskich aplikacji i urządzeń nawet nie zdają sobie sprawy z tego, dokąd ich dane są wysyłane. Dobrze byłoby wypracować takie standardy ochrony jak w USA. Nie sądzę jednak, by Komisja Europejska lekką ręką wydała odpowiednią decyzję, biorąc pod uwagę to, co wiemy o dostępie chińskich władz do danych osobowych. W tej sytuacji jedyne, co można robić, to szukać innych podstaw prawnych transferu, bo w przeciwnym wypadku grożą kary wobec firm przesyłających dane – analizuje ekspert.
Jak podaje Reuters, rzecznik prasowy chińskiego ministerstwa spraw zagranicznych deklarował podczas cyklicznego briefingu, że Chiny przywiązują dużą wagę do prywatności i bezpieczeństwa danych oraz chronią je zgodnie z prawem. Guo Jiakun zapewniał, że chiński rząd nigdy nie prosił i nie będzie prosił przedsiębiorstw ani osób o gromadzenie lub dostarczanie mu danych z innych krajów w sposób naruszający lokalne prawa. Z kolei rzecznik Xiaomi powiedział, że firma bada zarzuty i będzie w pełni współpracować z właściwymi organami, jeśli zwrócą się do niej w sprawie skargi NOYB. ©℗