Kâr amacı gütmeyen gizlilik savunuculuğu grubu “Sizin İşiniz Değil” (noyb), Avrupalı kullanıcıların verilerini yasa dışı bir şekilde Çin’e aktarmak ve Avrupa Birliği’nin genel veri koruma düzenlemesini ihlal etmek nedeniyle TikTok, AliExpress, SHEIN, Temu, WeChat ve Xiaomi’ye karşı altı şikayette bulundu ( GDPR).
Avusturyalı gizlilik aktivisti Max Schrems tarafından kurulan NOYB, özellikle veri aktarımı, çevrimiçi izleme ve gözetim gibi alanlarda kullanıcıların gizlilik haklarını ihlal eden şirketlere karşı yasal işlem yoluyla çalışıyor.
Noyb, şikayetlerini aynı ülkelerdeki kullanıcılar adına Yunanistan, İtalya, Belçika, Hollanda ve Avusturya’daki veri koruma yetkililerine (DPA’lar) sundu.
Belgelerde kar amacı gütmeyen kuruluş, Çin’in vatandaş verilerini agresif bir şekilde topladığını ve bunları kısıtlama olmaksızın işlediğini, bunun da Avrupa Birliği’nin veri koruma yasasına aykırı olduğunu vurguluyor.
GDPR’ye göre, Avrupa alanı dışındaki veri aktarımlarına yalnızca istisna olarak izin verilmeli ve verilerin yetkisiz devlet (veya diğer) erişimine karşı sıkı bir şekilde korunduğuna dair kanıt sunulmalıdır.
Noyb’un veri koruma avukatı Kleanthi Sardeli, “Çin’in otoriter bir gözetim devleti olduğu göz önüne alındığında, Çin’in AB ile aynı seviyede veri koruma sağlamadığı çok açık” dedi.
Noyb’a göre Çinli şirketler, GDPR’nin V. Bölümünü, özellikle de 44. Maddesini (genel transfer ilkeleri), 46. Maddesini (koruma eksikliği) ve 46 (1) (yeterli etki değerlendirmelerinin yapılmaması) ihlal ediyor.
Avukat ayrıca şirketlerin, herhangi bir gerekçe göstermeksizin veya belirli koşullar altında arzı sınırlandırmadan Çin devlet otoritelerinden gelen veri erişim taleplerine uymak zorunda olduklarını belirtti.
Noyb, Xiaomi’nin daha önce kamuya açık şeffaflık raporları aracılığıyla Çin’deki yetkililerin kişisel kullanıcı verilerini “sınırsız” talep edip alabileceğini kabul ettiğinin altını çiziyor.
Bu riske ek olarak noyb, Avrupalı kullanıcıların veri erişim taleplerinin söz konusu şirketler tarafından göz ardı edildiğini ve bunun da GDPR Madde 15’in ihlali anlamına geldiğini belirtiyor.
Makale, insanlara, bu durumda altı Çinli firmanın denetleyicisinden, hangi kişisel verileri tuttukları ve bunların işlenme amaçları hakkında bilgi vermelerini isteme hakkı veriyor.
Yukarıdakiler göz önüne alındığında Noyb, beş Avrupa ülkesinde aşağıdaki GDPR şikayetlerini sundu:
Kuruluş, veri koruma yetkililerinden Çin’e veri aktarımlarının derhal askıya alınmasını talep etmelerini ve veri işleme uygulamalarını GDPR gerekliliklerine uygun hale getirmelerini talep ediyor.
Veri koruma yetkililerinin mevcut kanıtları incelerken bulabilecekleri GDPR ihlalleri için, söz konusu şirketlere küresel yıllık gelirlerinin %4’üne varan idari para cezaları ödemeleri istenebilir.
Xiaomi ve Temu için cezalar sırasıyla maksimum 1,75 ve 1,35 milyar dolara ulaşabilir.
BleepingComputer, noyb’un eylemi hakkında yorum yapmak için altı Çinli firmanın tamamıyla temasa geçti ve bir yanıt aldığımızda bu yazıyı güncelleyeceğiz.