Баварияның деректерді қорғау жөніндегі комиссары Mailchimp және Schremps II-нің АҚШ-қа деректерді беру туралы үкіміне қарсы шықты.

Бұл пенальти емес, не жаза емес, бірақ болашақта еуропалық контексте одан әрі қозғалыстар үшін көптеген рычагтарды тудыруы мүмкін заңды прецедент. Бірақ бұл нақты не туралы? Неліктен бұл шешім соншалықты маңызды болуы мүмкін?

Біз туралы MailChimp, нарықтағы ең танымал жаппай электрондық пошта құралдарының бірі, е Еуропалық аумақтан тыс жеке деректерді жіберуәсіресе Америка Құрама Штаттарында. Белгілі бір келісім-шарттық баптарға негізделген болса да, заңсыз процедура - әсіресе егер олар орындалмаса қосымша шаралар. Дәл осы «бұдан әрі шаралар» ешқашан нақты көрсетілмеген, пікірталас тудыруда.

Шремс II шешімі: не болды?

La BayLDA, немесе Бавариялық DPA, Баварияның құпиялылық кепілі, жақында Америка Құрама Штаттарына деректерді тасымалдауға қатысты Schrems II үкімінде табылған нұсқауларды орындамауына байланысты Mailchimp-ке қарсы шешім шығарды.

Шешім өте маңызды прецедент орнатады цифрлық құқық саласында. Ақшалай немесе түрме жазасы болмағанымен, бұл биліктің ресми шешімімен Schrems II-ден кейінгі алғашқы іс. Бірақ ретімен барайық.

Шремс II деген не, құпиялылық қалқанын жарамсыз деп санайтын шешім?

Еуропалық сот (ЕО соты) 2015 жылы белсенді заңгер Шремс арқылы деректерді қорғау бойынша түсініктеме беру туралы сұрау жіберді. Мақсат ирландиялық деректерді қорғау жөніндегі супервайзерден Facebook-ті ЕО-дан АҚШ-қа деректерді тасымалдауға мәжбүрлеуді сұрау болды. Стандартты шарттық баптар.

Біз GDPR шығарылғанға дейінгі кезең және деректерді өңдеу туралы барлық тармақтар туралы айтып отырмыз. Шешім 16 жылдың 2020 шілдесінде шықты және Schrems II АҚШ компаниялары үшін АҚШ деректеріне қатысты маңызды нұсқаулар беретін ЕО-дан АҚШ-қа деректерді тасымалдау механизмі ретінде Құпиялылық қалқанын жарамсыз деп тапты. 'Еуропа.

Қысқасы, АҚШ-қа трансферт беру үшін қажет болды деректерді қорғаудың тиісті деңгейін қамтамасыз ету. Сәлеметсіз бе? Google және Microsoft сияқты ірі компаниялардың бүкіл әлемде стратегиялық орналасқан деректер орталықтары бар. Дегенмен, АҚШ-тағы жеке деректер туралы заңдар ЕО-дағы заңдардан өзгеше. Басқаша айтқанда: NSA қауіпсіздік агенттігі оған кез келген уақытта қол жеткізе алады.

GDPR-дан ерекшеліктер осыған арналған: олар туралы Еуропалық комиссия және компанияның сұрауы бойынша бекітілген Қадағалау органы бекіткен ережелер, және тек жарлықта сипатталған әрекет үшін арнайы мәнге ие болады. Деректерді қорғауға арналған әртүрлі машиналар арасында SCC немесе Стандартты шарттық баптар да бар. Іс жүзінде Еуропада орналасқан компания да, шетелдік компания да алдымен ЕО мақұлдауы керек нақты келісімшартты қолдануға келісуі керек. Содан кейін деректер алмасу күшіне енуі үшін SCC-ге қол қою қажет.

Шремс II шешімі қандай да бір түрде бар әдетте қолданылатын стандартты процедураларды қысқартып, «бұдан әрі шаралар». Бұл мәселенің анық еместігі көптеген компанияларды түйіннен аулақ болуға, оны елемеу үшін жай ғана айналып өтуге әкелді. Дегенмен, билік бірдеңе істеуі керек және мүмкін, BayLDA шешімімен келісімге жаңа қадам жасалуы мүмкін.

Баварияда не болды? «Ары қарайғы шаралар» туралы не деуге болады?

Bavariya азаматы Mailchimp арқылы жергілікті журналдың атынан жіберу парағын алып, құзырлы органға шағым түсіруді ұйғарды. Бұл билік АҚШ-қа ЕО деректерін жіберу әрқашан заңсыз емес екенін айтып, қолдарын алға тартты, бірақ Еуропалық Сот түсіндіргендей GDPR ережелері сақталмаса. Қысқасы: Mailchimp бұл әрекетті жасады, бірақ АҚШ-қа деректерді беру алаяқтық болды деп айтылмайды. Алдымен сіз оны көрсетуіңіз керек, қолданылатын тасымалдау әдістерін тереңдету арқылы.

Mailchimp американдық компания өзі әкелді «қосымша шараларды» түсіндіру бұл туралы біз бұрын айтқанбыз. Соның ішінде Шремс II-ден, соңғы нұсқасы әлі жарияланған жоқ.

Қадағалау органы қандай да бір түрде Mailchimp-тің ұсынысын мақұлдағанымен, компания операцияның тәуекел дәрежесін бағалау үшін кем дегенде бір DPIA жүргізіп, АҚШ аумағына деректерді жіберу мәселесін шешуі керек еді. Айта кету керек, мұндай баға ешқашан жасалмаған.

Дәл осы «қосымша шаралар» толық жарияланбағандықтан, билік Mailchimp-ке санкция бермеу туралы шешім қабылдады. Деректер контроллері де емес.

Неліктен бұл маңызды шешім?

Mailchimp-тің шешімі іргелі болып табылады, өйткені егер бірінші оқылғанда бұл көптеген алаяқтық әрекеттердің бастаушысы болып көрінетін болса, бұл оның орнына осы уақытқа дейін шаң жинап келген Шремс II үкімін қолданудың алғашқы қадамы болып табылады.

Қандай айыппұл түрі қолданылды?

Біз айтқанымыздай, Mailchimp ешқандай айыппұл алған жоқ. Дегенмен, Уәкілетті орган деректер рұқсат етілмейтін әдістермен берілгенімен, уәкілетті тұлғаның, яғни еркін азаматтың санкцияны сұрауға құқығы жоқ екенін анықтады.

Қысқасы, жеке тұлға ол Mailchimp сияқты жағдайда дананы жылжыта алмайды. Өйткені, бұл іс мүдделі тұлғаның құқықтары мен бостандықтарына қатысты емес, оның мақсаты заңның орындалуын қамтамасыз етуде қоғамдық мүддені қорғау болып табылады.

Бұл шешімнің болашақтағы ықтимал сценарийлері қандай?

Бұл сөйлемнің нақты салдары қандай болатынын айту қиын, оны тек әзірше жарамды прецедент деп санауға болады. Шындығында, басқа органдардың ақшалай санкциялармен қатар жүрмейтін заңсыздық шешімдеріне бейім болуы мүмкін. Немесе осы «қосымша шаралардың» көптен күткен дамуы орын алуы мүмкін.

Жалғыз сенімді нәрсе, айыппұлға қарамастан, Mailchimp өз имиджін жоғалтып, тұтынушыларының алдында жағымсыз әсер қалдырды.