Баварський регулятор із захисту даних виступив проти Mailchimp і щодо рішення Schremps II щодо передачі даних до США.

Це не санкція, не покарання, а правовий прецедент, який у майбутньому може спричинити численні тригери для подальших позовів на європейському рівні. Але що це таке? І чому це рішення може бути таким важливим?

Ми говоримо про це Mailchimp, один із найвідоміших інструментів масової розсилки електронної пошти на ринку, і надсилання персональних даних за межі європейської території, якщо бути точним у Сполучених Штатах Америки. Нелегітимна процедура, навіть якщо вона базується на певних договірних положеннях, особливо якщо вони не дотримуються подальші заходи. І саме ці «подальші заходи», ніколи не конкретизовані, викликають дискусію.

Постанова Шремса II: що сталося?

La BayLDA, або Bavarian DPA, баварський гарант конфіденційності, нещодавно виніс рішення проти Mailchimp через його невиконання ознак, виявлених у рішенні Schrems II щодо передачі даних до Сполучених Штатів Америки.

Рішення створює дуже важливий прецедент у сфері цифрового права. Хоча не було жодних грошових санкцій або санкцій у вигляді позбавлення волі, це перша справа після Шремса II, щодо якої влада винесла офіційне рішення. Але давайте по порядку.

Що таке Schrems II, постанова, яка скасовує щит конфіденційності?

CJEU (Суд правосуддя ЄС) надіслав запит на роз’яснення щодо захисту даних через адвоката-активіста Шремса в 2015 році. Мета полягала в тому, щоб попросити Ірландський інспектор із захисту даних змусити Facebook передати дані з ЄС до США , на основі Стандартних договірних положень.

Мова йде про період до виходу GDPR і всіх пунктів щодо обробки даних. Рішення було прийнято 16 липня 2020 року, і Шремс II визнав недійсним Privacy Shield як механізм передачі даних із ЄС до Сполучених Штатів, надаючи важливі вказівки для американських компаній щодо даних з ЄС. «Європа.

Одним словом, для того, щоб надати трансфер до США, це було необхідно забезпечити належний рівень захисту даних. Як справи? Великі компанії, такі як Google і Microsoft, мають центри збору даних, стратегічно розташовані по всьому світу. Проте правила щодо персональних даних у США відрізняються від тих, що діють у ЄС. Іншими словами: агентство безпеки NSA може отримати доступ до нього в будь-який час.

Винятки з GDPR стосуються саме цього: вони приблизно положення, затверджені Європейською комісією та наглядовим органом, які затверджуються на запит компанії, і мають конкретне значення лише для діяльності, описаної в постанові. Серед різних механізмів захисту даних є також SCC, або Стандартні договірні положення. На практиці як компанія, що знаходиться в Європі, так і іноземна, повинні погодитися на використання конкретного контракту, який, однак, спочатку має бути схвалений ЄС. Потім SCC потрібно буде підписати, щоб обмін даними набув чинності.

Проте рішення у справі Шремса II має до цього відношення зменшив стандартні процедури, які зазвичай використовуються, запровадивши «додаткові заходи”. Нечіткість цього питання спонукала багато компаній уникати проблеми, просто обходячи її, вдаючи, що нічого не сталося. Однак влада повинна щось зробити, і, можливо, завдяки постанові BayLDA можна буде досягти нового кроку на шляху до угоди.

Що сталося в Баварії? А як щодо «подальших заходів»?

Громадянин Баварії, отримавши через Mailchimp список розсилки від імені місцевого журналу, вирішив подати скаргу до компетентного органу. Цей орган виступив, заявивши, що надсилання даних ЄС до США не завжди є нелегітимним, однак це відбувається, якщо не дотримуються вимоги GDPR, як їх тлумачить Європейський суд. Коротко: Mailchimp зробив це, але це не означає, що передача даних до США була шахрайською. Спочатку нам потрібно продемонструвати це, вивчивши використані методи передачі.

Свою принесла американська компанія Mailchimp тлумачення «подальших заходів» про які ми говорили раніше. З яких, однак, у Шремса II, остаточна версія ще не опублікована.

Незважаючи на те, що наглядовий орган певним чином підтримав прохання Mailchimp, компанія повинна була принаймні вирішити питання надсилання даних на територію США, провівши принаймні DPIA для оцінки ступеня ризику операції. Зайве говорити, що такої оцінки ніколи не було.

Саме через нездатність повністю опублікувати ці «подальші заходи» Адміністрація вирішила не накладати санкцій на Mailchimp. І навіть не контролер даних.

Чому це таке важливе рішення?

Рішення Mailchimp є принциповим, оскільки, якщо на перший погляд може здатися, що воно відкриває шлях для маси шахрайських дій, натомість воно є першим кроком до застосування рішення Schrems II, яке досі припадало пилом.

Який вид санкції застосовано?

Як ми вже говорили, Mailchimp не отримав жодних штрафів. Однак Управління встановило, що, хоча дані були передані з використанням неприпустимих методів, уповноважена особа – тобто вільний громадянин – не мала права вимагати санкцію.

Словом, приватна особа не може подати запит у випадку, подібному до Mailchimp. Крім того, ця справа не стосується прав і свобод зацікавленої сторони, а має на меті відстоювання суспільних інтересів у виконанні закону.

Які потенційні майбутні сценарії цього рішення?

Важко сказати, якими будуть фактичні наслідки цього вироку, який поки що можна вважати дійсним прецедентом. Насправді може статися так, що інші органи влади схиляються до нелегітимних рішень, які не супроводжуються грошовими санкціями. Або може статися довгоочікуваний розвиток цих «подальших заходів».

Єдине, що можна сказати напевно, що незважаючи на штраф, Mailchimp справив погане враження на своїх клієнтів, втративши свій імідж.