Irlandzki organ ds. ochrony danych osobowych (Data Protection Commission – DPC) wszczął postępowanie dotyczące transferu danych do Chin przez operatora platformy SHEIN. W ramach prowadzonego postępowania, zbadana ma zostać zgodność transferu zarówno z przepisami rozdziału V RODO, jak i z innymi regulacjami, np. dotyczącymi transparentności. Jak poinformowali przedstawiciele DPC, organ zamierza zwrócić swoje zainteresowanie w kierunku właśnie transferów danych do Chin.
Problem transferu danych do Chin
Transfery danych osobowych do Chin należą do dość problematycznych kwestii związanych z ochroną danych osobowych. W stosunku do Chin nie została bowiem wydana decyzja stwierdzająca adekwatny poziom ochrony, a poziom praworządności w tym kraju może budzić pewne obawy. Oznacza to, że ciężar zagwarantowania i wykazania odpowiednich standardów ochrony danych spoczywa w niemal całości na administratorze.
Chiny planują zaostrzyć kary za naruszenia cyberbezpieczeństwa
Jedna z najwyższych kar w historii stosowania RODO – ok 530 milionów euro – została nałożona na właściciela aplikacji TikTok w związku z transferem danych obywateli UE do Chin i niewystarczającym zabezpieczeniem ich przed dostępem chińskiego rządu. Chiny, jako państwo dysponujące zaawansowanym systemem inwigilacji i bardzo silną pozycją rządu w obszarze dostępu do danych przetwarzanych przez chińskie firmy, są jedną z najtrudniejszych jurysdykcji pod względem bezpiecznego zorganizowania transferu danych.
DPC wszczyna postępowanie
Irlandzki organ ds. ochrony danych osobowych wszczął formalne postępowanie wobec SHEIN Ireland (Infinite Styles Services Co. Ltd.). Celem postępowania jest właśnie zbadanie zgodności z RODO transferów danych użytkowników z UE, do Chin. Analizie poddana zostanie przede wszystkim legalność przekazywania danych w świetle rozdziału V RODO, w tym spełnienie obowiązków dotyczących odpowiednich zabezpieczeń oraz transparentności przetwarzania. Organ zamierza zbadać również, czy użytkownicy SHEIN byli właściwie informowani o zakresie i celach transferu do państw trzecich.
To nie jest pierwsze postępowanie dotyczące prawidłowości przetwarzania danych osobowych przez SHEIN w Europie. We wrześniu ubiegłego roku na firmę została nałożona kara w wysokości ok. 150 milionów euro za nieprawidłowości związane z wykorzystaniem plików cookie. Karę została nałożona prze francuskiego regulatora (CNIL).
Problem transferu do państw trzecich
Transfery danych poza obszar EOG (Europejski Obszar Gospodarczy) to jeden z trudniejszych problemów związanych ze stosowaniem RODO. Wobec wielu państw trzecich, często niezwykle istotnych z punktu widzenia obrotu gospodarczego, nie zostały wydane przez Komisję Europejską decyzje stwierdzające odpowiedni poziom ochrony w tych państwach. Oznacza to, że w tych przypadkach podmioty przekazujące dane osobowe poza EOG muszą dołożyć więcej starań, aby zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym wdrożyć odpowiednie środki bezpieczeństwa. Wówczas jedną z kluczowych kwestii jest zapewnienie legalności transferu danych, poprzez wykorzystanie jednego z dostępnych instrumentów prawnych, np. standardowych klauzul umownych przyjętych przez KE, czy też wykonania oceny takiego transferu (tzw. TIA Transfer Impact Assessment).
Transfer danych do krajów trzecich – czyli dokąd i jak to zrobić?
Coraz częściej zwraca się jednak uwagę, że same środki formalne nie wystarczą, jeśli nie są w stanie zapewnić rzeczywistego bezpieczeństwa danych. Przepisy lokalne państwa trzeciego mogą bowiem czynić takie klauzule de facto nieskutecznymi i niemożliwymi do zastosowania. Takie podejście zwiększa obciążenia administratorów i podmiotów przetwarzających, którzy powinni stosować nie tylko środki umowne, ale też dodatkowo środki techniczne i organizacyjne, w celu zapewnienia bezpieczeństwa transferowanych danych.
Źródło:
