爱尔兰数据保护委员会(DPC)周二宣布对快时尚电商公司希音爱尔兰 (Shein Ireland)展开调查,调查内容涉及该公司将欧盟境内用户的个人数据传输至中国的行为。
爱尔兰数据保护委员会(以下简称委员会)通过新闻稿表示,“此次调查涉及希音爱尔兰向中国传输欧盟/欧洲经济区数据主体的个人数据。委员会将审查和评估希音爱尔兰在多大程度上遵守了(欧盟)《通用数据保护条例》(GDPR)下与这些数据传输相关的义务,包括:GDPR第5条所载原则(涉及个人数据处理);GDPR第13条所载透明度义务;以及第五章关于向第三国传输个人数据的要求”。
委员会4月30日向希音爱尔兰发出了启动调查的决定。在宣布启动调查时,委员会副专员多伊尔(Graham Doyle) 表示,“当个人数据被传输到欧盟以外的国家/地区时, GDPR要求这些个人数据必须获得与在欧盟境内基本相同的保护”。
新闻稿指出,“近期,委员会所采取的监管行动,以及向其他欧洲监管机构提出的投诉,使得向中国传输数据的问题成为关注焦点。此次调查是委员会的一项重要战略优先事项,我们计划在调查过程中与欧洲其他监管机构密切合作”。
希音周二表示,公司“极其重视”其数据保护义务,并致力于遵守所有适用的法律。这是自2023年希音在都柏林设立其欧洲、中东和非洲总部以来,首次针对这家在线零售商展开隐私调查。
爱尔兰数据保护委员会是在欧盟运营的科技公司的主要监管机构,因为许多科技公司都在爱尔兰设有欧洲总部。自2020年以来,委员会已对违反GDPR的行为处以超过40亿欧元的罚款。
去年,委员会对中国短视频平台TikTok处以5.3亿欧元的罚款,原因是该平台在保护用户信息方面存在问题,并责令该平台暂停向中国传输数据,除非其数据处理符合规定。
爱尔兰一家法院即将就TikTok针对委员会关于其向中国传输数据的裁决提出的上诉作出裁决。在裁决结果公布前,暂停数据传输的命令已被搁置。
根据GDPR,如果组织拟将个人数据传输至欧盟/欧洲经济区以外的第三国,且欧盟与该第三国之间不存在充分性决定,则此类传输只有在满足GDPR(第五章)其他适用条款,例如标准合同条款的情况下才能进行。这些条款规定,组织有责任核实、保证并证明该第三国的法律和实践能够提供与欧盟内部基本相同的保护水平。
