Granskningen retter seg mot Sheins irske selskap, Infinite Styles Services Co. Ltd, og ble formelt igangsatt den 30. april. DPC vil vurdere om selskapet oppfyller kravene i GDPR angående transparens, personopplysningsbehandling og spesifikt regelverket rundt overføring av personopplysninger til tredjeland. Ifølge GDPR må personopplysninger som sendes utenfor EU gis et vern som er tilsvarende det som gjelder innenfor unionen.
Når en persons personopplysninger overføres til et land utenfor EU, krever GDPR at disse gis i det vesentlige samme vern som de ville hatt innenfor EU, sier Graham Doyle, assisterende kommissær i DPC.
Han forklarer videre bakgrunnen for myndighetens prioritering:
Tidligere tilsynstiltak fra DPC, sammen med klager til andre europeiske tilsynsmyndigheter, har satt spesielt fokus på dataoverføringer nettopp til Kina.
DPC fungerer som ansvarlig EU-regulator for Shein fordi selskapet etablerte sitt hovedkontor for EMEA-regionen (Europa, Midtøsten og Afrika) i Dublin i 2023. Dette er den første personvernundersøkelsen av selskapet siden etableringen. DPC har fullmakt til å utstede sanksjonsavgifter og bøtela i fjor TikTok med 530 millioner euro for lignende brudd knyttet til nettopp dataoverføring til Kina.
Shein opplyser via en talsperson at de samarbeider med den irske myndigheten.
Vi tar våre forpliktelser angående datasikkerhet svært alvorlig og er fullt engasjert i å overholde GDPR og alle gjeldende databeskyttelseslover, sier selskapets talsperson og fortsetter:
Vi har ført en aktiv dialog med DPC de siste månedene angående vår tilnærming til datasikkerhet. Vi ser frem til å presentere det arbeidet som en del av denne prosessen.
DPC opplyser at de har til hensikt å samarbeide med andre europeiske tilsynsmyndigheter i løpet av undersøkelsen.
