Ирландский регулятор по защите персональных данных начал проверку в отношении китайского онлайн-ритейлера Shein. Поводом стали возможные нарушения при передаче персональной информации пользователей из Европы в Китай. Соответствующее решение опубликовано на официальной странице Комиссии по защите данных Ирландии (Data Protection Commission, DPC).
Что именно проверит DPC
В рамках расследования ведомство намерено оценить, насколько компания, работающая в сегменте электронной коммерции, соблюдает требования Общего регламента по защите данных (GDPR) при трансграничной передаче данных. Под трансграничной передачей обычно понимают пересылку персональных данных за пределы Европейского экономического пространства — например, в страны, где находятся серверы или иные инфраструктурные элементы обработки информации.
Особое внимание будет уделено тому, как устроена деятельность Shein в регионе. Проверка затронет дублинскую штаб-квартиру компании, которая отвечает за операции Shein в Европе, на Ближнем Востоке и в Африке. Именно эту организационную структуру регулятор рассматривает как точку, через которую могут осуществляться соответствующие процедуры обработки и передачи данных.
Почему это стало предметом повышенного внимания
Регулятор подчеркивает, что тема передачи данных в Китай в последнее время оказалась в центре внимания надзорных органов. Это связано как с решениями, принятыми ранее, так и с поступающими жалобами со стороны пользователей и обращениями в другие структуры европейского надзора.
Заместитель комиссара DPC Грэм Дойл (Graham Doyle) отметил, что недавние меры регулятора, а также обращения в другие европейские надзорные органы, способствовали тому, что вопрос трансферов данных в Китай стал особенно актуальным.
По словам Дойла, проводимая проверка является одной из важных стратегических задач комиссии.
Предыстория: дело TikTok и сигнал для рынка
Контекстом для нынешней инициативы служит недавняя практика DPC в отношении крупных цифровых платформ. В прошлом году комиссия оштрафовала TikTok на 530 млн евро из-за опасений, связанных с защитой пользовательской информации. Одновременно регулятор потребовал приостановить передачу данных в Китай, если обработка персональных данных не будет соответствовать требованиям комплаенса и стандартам соблюдения GDPR.
Эта история стала для отрасли наглядным примером того, что европейские надзорные органы готовы не только назначать штрафы, но и требовать изменения фактических процессов передачи данных — вплоть до остановки трансграничных пересылок при несоответствии требованиям.
Что означает проверка для пользователей и компании
Для пользователей проверка может привести к дополнительным разъяснениям о том, где именно и на каких основаниях обрабатываются их данные, а также к потенциальным корректировкам договорных и технических механизмов передачи информации за пределы ЕС.
Для Shein расследование означает необходимость обосновать соответствие своей модели обработки и передачи данных нормам GDPR. Регулятор будет оценивать, обеспечиваются ли надлежащие гарантии при передаче персональной информации, и выполняются ли обязательства, которые GDPR возлагает на организации при работе с трансграничными потоками данных.
