רשות הגנת המידע האירית (DPC) הודיעה כי פתחה בחקירה נגד Infinite Styles Services Co. Ltd., המפעילה את SHEIN Ireland, ביחס להעברות מידע אישי של נושאי מידע מהאיחוד האירופי ומהאזור הכלכלי האירופי לסין.
החקירה נפתחה לפי סעיף 110 ל-Data Protection Act 2018, ותבחן את עמידת SHEIN Ireland בחובותיה לפי ה-GDPR בכל הנוגע להעברות מידע אלו. בין היתר, ה-DPC תבחן את עמידת החברה בעקרונות העיבוד הקבועים בסעיף 5 ל-GDPR, בחובות השקיפות לפי סעיף 13 ל-GDPR, וכן בדרישות פרק 5 ל-GDPR, המסדיר העברות מידע אישי למדינות שלישיות מחוץ לאזור הכלכלי האירופי.
בהודעתה הדגישה ה-DPC כי כאשר מידע אישי מועבר למדינה מחוץ לאיחוד האירופי, יש להבטיח כי תישמר לו רמת הגנה השקולה במהותה לזו החלה בתוך האיחוד. בהתאם לכך, כאשר לא קיימת החלטת נאותות (Adequacy Decision) של הנציבות האירופית ביחס למדינת היעד, העברת מידע אישי תתאפשר רק בכפוף לעמידה במנגנוני העברה חלופיים הקבועים בפרק 5 ל-GDPR, כגון SCCs. מנגנונים אלה מחייבים את הארגון לוודא, להבטיח ולהוכיח כי הדין והפרקטיקות במדינת היעד מאפשרים רמת הגנה שקולה לזו הקיימת באיחוד האירופי.
סין אינה נמנית כיום עם המדינות שלגביהן התקבלה החלטת נאותות של הנציבות האירופית. לפיכך, העברת מידע אישי של משתמשים אירופים לסין מחייבת בחינה קונקרטית של מנגנוני ההעברה, של הסיכונים הכרוכים בגישה למידע במדינת היעד, ושל האמצעים שננקטו כדי להבטיח את המשך ההגנה על המידע לאחר יציאתו מהאזור הכלכלי האירופי.
על רקע זה, הקושי בהעברת מידע אישי לסין מתעצם, בין היתר, מהחשש כי הדין והפרקטיקות במדינה מאפשרים לרשויות ציבוריות גישה נרחבת למידע, לרבות לצרכי ביטחון לאומי, אכיפה או פיקוח מדינתי, ללא מגבלות מידתיות או סעדים אפקטיביים לנושאי המידע. קושי זה מקבל משנה תוקף משום שמנגנוני העברה חוזיים, כגון SCCs, מחייבים את הצדדים להם בלבד, ואינם מחייבים את רשויות המדינה במדינת היעד. לפיכך, לפי פסיקת בית הדין לצדק של האיחוד האירופי והנחיות ה-EDPB, עצם החתימה על SCCs אינה מייתרת בחינה קונקרטית של הדין והפרקטיקות במדינת היעד, ונדרש לבחון אם ניתן להבטיח בפועל רמת הגנה השקולה במהותה לזו החלה באיחוד האירופי.
סגן הנציב האירי, גרהאם דויל, ציין כי פעולות אכיפה רגולטוריות מהעת האחרונה, לצד תלונות שהוגשו לרשויות פיקוח נוספות באירופה, הציבו את סוגיית העברות המידע לסין במוקד תשומת הלב. לדבריו, החקירה מהווה עדיפות אסטרטגית חשובה עבור ה-DPC, אשר צפויה לשתף פעולה עם רשויות פיקוח אירופיות נוספות במסגרת ההליך.
החקירה נגד SHEIN Ireland מצטרפת למגמה רחבה יותר של בחינה רגולטורית גוברת ביחס להעברות מידע אישי מחוץ לאירופה, ובפרט לסין. עבור חברות מסחר מקוון, פלטפורמות גלובליות וארגונים המעבדים מידע של משתמשים אירופיים, מדובר בתזכורת נוספת לכך שהעברת מידע מחוץ לאזור הכלכלי האירופי אינה מסתכמת בחתימה על מנגנון חוזי מתאים, אלא מחייבת בחינה ממשית ומתועדת של רמת ההגנה במדינת היעד ושל האמצעים הדרושים לצמצום הסיכונים.
