Aktywiści, którzy wymogli zmianę zasad przesyłania danych do USA, domagają się, by TikTok, Temu i inne platformy przestały przekazywać dane Europejczyków Państwu Środka.

Austriacka organizacja obrońców prywatności – NOYB – złożyła skargi na serwisy internetowe, które jej zdaniem dokonują niezgodnych z prawem Unii Europejskiej transferów danych osobowych do Chin.

Wysyłanie danych osobowych poza UE jest możliwe, jeśli w kraju docelowym zapewniony jest poziom ochrony równoważny z zasadami RODO. W przypadku transferu danych do krajów, z którymi UE nie zawarła w tej sprawie porozumienia, firmy opierają się zazwyczaj na standardowych klauzulach umownych (SCC). Przy ich podpisywaniu należy ocenić ryzyko – co wymaga sprawdzenia, czy w kraju, do którego trafią dane Europejczyków, obowiązuje odpowiednia ochrona.

– Ponieważ Chiny są autorytarnym państwem policyjnym, jest zupełnie jasne, że nie oferują takiego samego poziomu ochrony danych jak UE. Przekazywanie tam danych osobowych Europejczyków jest ewidentnie niezgodne z prawem – i musi zostać natychmiast zakończone – uważa Kleanthi Sardeli, prawniczka z NOYB.

Sześć skarg

Skargi na naruszenie RODO złożono do organów ochrony danych w pięciu krajach: na Temu w Austrii, na AliExpress w Belgii, na Shein we Włoszech, na TikToka i Xiaomi w Grecji, a na WeChat w Holandii. Pierwsze trzy to platformy handlu internetowego, TikTok jest serwisem społecznościowym, WeChat komunikatorem internetowym, a Xiaomi producentem smartfonów, tabletów, laptopów i innego sprzętu elektronicznego.

Żadna z firm nie udzieliła skarżącym informacji o transferach danych. O tym, że AliExpress, Shein, TikTok i Xiaomi przesyłają dane do Chin, wiadomo z ich polityk prywatności. Pozostali dwaj administratorzy danych – Temu i WeChat – wspominają zaś o transferach do „krajów trzecich”. Jak przypuszcza NOYB, zważywszy na strukturę korporacyjną obu firm, najprawdopodobniej obejmuje to Chiny.

Chińskie firmy nie mają innego wyboru, jak tylko spełnić rządowe żądania dostępu do danych – podkreśla Kleanthi Sardeli.

NOYB wskazuje, że o możliwości dostępu chińskich władz do danych osobowych użytkowników mówią m.in. raporty przejrzystości Xiaomi.

– Oznacza to, że dane europejskich użytkowników są zagrożone – stwierdza Kleanthi Sardeli. – Właściwe organy muszą działać szybko, aby chronić podstawowe prawa zainteresowanych osób – dodaje.

Oprócz natychmiastowego nakazania zawieszenia transferu danych do Chin NOYB domaga się też w skargach dostosowania przetwarzania danych do wymogów RODO. Chce również ukarania chińskich firm. Takie kary mogą sięgnąć 4 proc. globalnych przychodów – np. dla Temu byłoby to więc 1,35 mld euro (od 33,84 mld euro przychodów).

Drugi front dla unijnego prawa o ochronie danych osobowych

NOYB – założony przez prawnika i aktywistę Maxa Schremsa – podkreśla, że sprawa chińskich aplikacji „otwiera nowy front dla unijnego prawa o ochronie danych”, po problemach związanych z transferem danych przez platformy internetowe do Stanów Zjednoczonych.

Walka o odpowiednie standardyochrony danych wysyłanych do USA trwała wiele lat. Pierwszą podstawą prawną transferu za ocean była umowa ramowa − Bezpieczna Przystań. Zdaniem Maxa Schremsa nie zapewniała ona jednak ochrony danych obywateli UE na poziomie równorzędnym z RODO. Ostatecznie została unieważniona przez Trybunał Sprawiedliwości UE (wyrok w sprawie Schrems I z 2015 r.), a Bruksela i Waszyngton zawarły nową umowę − Tarczę prywatności. Spotkał ją jednak ten sam los (wyrok Schrems II z 2020 r.).

Od lipca 2023 r. obowiązuje trzecie porozumienie UE–USA w sprawie danych, tj. umowa ramowa – DPF (od angielskiej nazwy Data Privacy Framework).

– Wypracowanie porozumienia ze Stanami Zjednoczonymi i na tej podstawie decyzji Komisji nie było proste. Obawiam się, że w przypadku Chin byłoby jeszcze trudniej, bo to nie jest przewidywalny partner i w grę wchodzi polityka – mówi dr hab. Arwid Mednis, wykładowca Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, wspólnik w Kancelarii Kobylańska Lewoszewski Mednis i członek Społecznego Zespołu Ekspertów przy prezesie Urzędu Ochrony Danych Osobowych.

Transfer danych do Chin to poważny problem – dodaje Arwid Mednis. – W wielu przypadkach użytkownicy chińskich aplikacji i urządzeń nawet nie zdają sobie sprawy z tego, dokąd ich dane są wysyłane. Dobrze byłoby wypracować takie standardy ochrony jak w USA. Nie sądzę jednak, by Komisja Europejska lekką ręką wydała odpowiednią decyzję, biorąc pod uwagę to, co wiemy o dostępie chińskich władz do danych osobowych. W tej sytuacji jedyne, co można robić, to szukać innych podstaw prawnych transferu, bo w przeciwnym wypadku grożą kary wobec firm przesyłających dane – analizuje ekspert.

Jak podaje Reuters, rzecznik prasowy chińskiego ministerstwa spraw zagranicznych deklarował podczas cyklicznego briefingu, że Chiny przywiązują dużą wagę do prywatności i bezpieczeństwa danych oraz chronią je zgodnie z prawem. Guo Jiakun zapewniał, że chiński rząd nigdy nie prosił i nie będzie prosił przedsiębiorstw ani osób o gromadzenie lub dostarczanie mu danych z innych krajów w sposób naruszający lokalne prawa. Z kolei rzecznik Xiaomi powiedział, że firma bada zarzuty i będzie w pełni współpracować z właściwymi organami, jeśli zwrócą się do niej w sprawie skargi NOYB. ©℗

ikona lupy />
Miliony użytkowników w Polsce / Dziennik Gazeta Prawna - wydanie cyfrowe