Ирландският надзорен орган ще провери съответствието на компанията с чл. 5, чл. 13 и Глава V от GDPR при прехвърляне на данни на европейски граждани към трета държава
Ирландската Комисия за защита на данните (DPC) съобщи вчера, че е започнала разследване срещу Infinite Styles Services Co. Ltd. (SHEIN Ireland) съгласно раздел 110 от Data Protection Act 2018.
Разследването се отнася до „предаването на лични данни на субекти на данни от ЕС/ЕИП към Китай от страна на SHEIN Ireland.“
В сайта на Комисията по защита на данните пише, че надзорният орган ще разгледа и оцени степента, до която SHEIN Ireland спазва съответните си задължения съгласно GDPR във връзка с тези трансфери, включително принципите, съдържащи се в член 5 от GDPR (отнасящи се до обработката на лични данни). Ще провери доколко са изпълнени задълженията за прозрачност, съдържащи се в член 13 от GDPR, и изискванията на Глава V за предаване на лични данни към трети държави.1
Решението на DPC за започване на разследването е изпратено на SHEIN Ireland в четвъртък, 30 април 2026 г.
При обявяването на началото на разследването, заместник-комисар Греъм Дойл е цитиран да казва:
„Когато личните данни на дадено лице се прехвърлят в държава извън ЕС, GDPR изисква на тези лични данни да се предоставя по същество същата защита, каквато би била предоставена в рамките на ЕС.
Неотдавнашните регулаторни действия от страна на DPC, заедно с жалбите до други европейски надзорни органи, насочиха вниманието по-специално към трансфера на данни към Китай. Разследването е важен стратегически приоритет за DPC и ние възнамеряваме да си сътрудничим тясно с нашите колеги от европейски надзорни органи като част от разследването.“
1 GDPR осигурява високо ниво на защита на личните данни в цялото ЕИП и предоставя права за защита на данните на физическите лица. Когато личните данни се прехвърлят извън ЕИП, това може да възпрепятства способността на физическите лица да упражняват права и може да заобиколи това високо ниво на защита. Следователно е изключително важно нивото на защита, осигурено от GDPR, да не бъде застрашено в случай на такива предавания. Съответно, прехвърлянето на лични данни може да се извършва само ако са спазени условията, определени в Глава V от GDPR. Това гарантира, че високото ниво на защита, осигурено в рамките на Европейския съюз, продължава, когато личните данни се предават към трета държава.
Член 45(1) от GDPR предвижда, че прехвърлянето на лични данни към трета държава може да бъде разрешено с решение на Европейската комисия, с което се установява, че третата държава, територия или един или повече определени сектори в рамките на тази трета държава осигуряват адекватно ниво на защита („Решение за адекватност“).
Към днешна дата Европейската комисия е взела решения за адекватно ниво на защита по отношение на Андора, Аржентина, Бразилия, Канада, Фарьорските острови, Гърнси, Израел, остров Ман, Япония, Джърси, Нова Зеландия, Република Корея, Швейцария, Обединеното кралство, САЩ и Уругвай.
Съгласно GDPR, когато дадена организация възнамерява да прехвърли лични данни извън ЕС/ЕИП към трета държава и когато не съществува Решение за адекватно ниво на защита между ЕС и тази трета държава, такива предавания могат да се осъществят само ако са изпълнени други приложими разпоредби на GDPR (Глава V), като например Стандартните договорни клаузи. Тези разпоредби възлагат отговорността на организацията да провери, гарантира и докаже, че законодателството и практиките на тази държава гарантират ниво на защита, което по същество е еквивалентно на гарантираното в рамките на ЕС.