Újra akcióba lendült Max Schrems, a híres osztrák adatvédelmi aktivista (nevéhez fűzödik többek között a transzatlanti adatáramlás "felkavarása" is). Pontosabban a Schrems által alapított NOYB (None of Your Business – azaz semmi közöd hozzá) nonprofit szervezet, amely az USA-ban éppen alaposan megszorongatott TikTok mellett az AliExpress, a Shein, a Temu, a WeChat és a Xiaomi üzleti gyakorlata ellen is panaszt emelt különböző európai adatvédelmi hatóságoknál.

A csoport szerint ezek a kínai tulajdonú vállalatok az Európai Unióban érvényes általános adatvédelmi rendelet, azaz a GDPR paragrafusait megsértve Kínába továbbítják európai felhasználóik személyes adatait. A NOYB közleménye kiemeli, hogy az érintett féltucat cég közül négynél az adatvédelmi szabályzatokban foglaltak alapján nyíltan felvállalták, hogy európaiak személyes adatait továbbítják Kínába, míg a Temu és a WeChat esetében közelebbről meg nem nevezett "harmadik országokba" küldik ugyanezeket az információkat. Utóbbiról a szervezet jó eséllyel feltételezi, hogy ugyancsak Kínát jelenti.

A GDPR alapvetően nem engedélyezi az európai polgárok személyes adatainak régión túli továbbítását. Ilyesmit csak alapos indokkal és külön garanciális feltételekkel lehet végezni. A NOYB álláspontja viszont az, hogy Kína mint autoriter állam nem képes európai szintű garanciákat nyújtani a személyes adatok megfelelő védelmére. Már csak azért sem, mert a kínai adatvédelmi törvények semmilyen módon nem korlátozzák a hatóságok hozzáférését.

A jogellenesnek vélt gyakorlat felszámolására a csoport öt országban, Ausztriában, Belgiumban, Görögországban, Hollandiában és Olaszországban nyújtott be panaszt a helyi nemzeti adatvédelmi hivatalokhoz. Az adatok továbbításának megakadályozása mellett a hatóságokat a jogsértéssel arányos bírság kiszabására is kérik.

Repkednek a milliárdok

A büntetési tétel az európai szabályozás értelmében akár az érintett cég globális éves árbevételének a 4 százalékát is elérheti. Ez a plafon a közel 34 milliárd eurós forgalmat bonyolító Temu esetében 1,35 milliárd eurót jelentene, míg a Xiaominál akár 1,75 milliárdig is felszaladhat a számláló.

A kínai vállalatok számára rossz előjel, hogy egy tavaly ilyenkor készült összesítés szerint az európai adatvédelmi hatóságok nem félnek élni bírságolási jogkörükkel. A GDPR 2018 májusában történt éles hatályba lépése óta 2024 januárjáig összesen 4,6 milliárd eurónyi büntetést szabtak ki különböző adatvédelmi kihágások miatt. A trend ráadásul azt mutatja, hogy a büntetési volumen évről évre emelkedik.