Undersøgelsen er rettet mod Sheins irske selskab, Infinite Styles Services Co. Ltd, og blev formelt indledt den 30. april. DPC vil vurdere, om virksomheden opfylder kravene i GDPR vedrørende gennemsigtighed, personoplysningers behandling og specifikt reglerne om overførsel af personoplysninger til tredjelande. Ifølge GDPR skal personoplysninger, der sendes uden for EU, have et beskyttelsesniveau, der svarer til det, der gælder inden for unionen.
Når en individs personoplysninger overføres til et land uden for EU, kræver GDPR, at disse i det væsentlige har samme beskyttelse, som de ville have inden for EU, siger Graham Doyle, assisterende kommissær hos DPC.
Han forklarer yderligere baggrunden for myndighedens prioritering:
Tidligere tilsynshandlinger fra DPC, sammen med klager til andre europæiske tilsynsmyndigheder, har sat særligt fokus på dataoverførsler netop til Kina.
DPC fungerer som ansvarlig EU-regulator for Shein, da virksomheden etablerede sit hovedkontor for EMEA-regionen (Europa, Mellemøsten og Afrika) i Dublin i 2023. Dette er den første integritetsundersøgelse af virksomheden siden etableringen. DPC har beføjelse til at udstede sanktionsafgifter og bødefældede sidste år Tiktok med 530 millioner euro for lignende overtrædelser vedrørende netop dataoverførsel til Kina.
Shein oplyser via en talsmand, at de samarbejder med den irske myndighed.
Vi tager vores forpligtelser vedrørende databeskyttelse meget alvorligt og er fuldt engagerede i at overholde GDPR og alle gældende databeskyttelseslove, siger virksomhedens talsmand og fortsætter:
Vi har ført en aktiv dialog med DPC i de seneste måneder omkring vores tilgang til databeskyttelse. Vi ser frem til at præsentere det arbejde som en del af denne proces.
DPC meddeler, at de agter at samarbejde med andre europæiske tilsynsmyndigheder under undersøgelsens gang.