Ủy viên bảo vệ dữ liệu của Bavaria đã lên tiếng chống lại phán quyết của Mailchimp và Schremps II liên quan đến việc chuyển dữ liệu sang Hoa Kỳ.

Đây không phải là một hình phạt, không phải là một hình phạt, mà là một tiền lệ pháp lý có thể tạo ra nhiều đòn bẩy cho các chuyển động tiếp theo trong bối cảnh châu Âu trong tương lai. Nhưng chính xác nó là về cái gì? Và tại sao phán quyết này có thể rất quan trọng?

Chúng ta đang nói về Mailchimp, một trong những công cụ gửi email hàng loạt nổi tiếng nhất trên thị trường, e gửi dữ liệu cá nhân bên ngoài lãnh thổ châu Âucụ thể là ở Hợp chủng quốc Hoa Kỳ. Một thủ tục bất hợp pháp ngay cả khi dựa trên các điều khoản hợp đồng nhất định - đặc biệt nếu các điều khoản đó không được tuân thủ các biện pháp tiếp theo. Và chính những "biện pháp tiếp theo" này, chưa bao giờ thực sự được chỉ định, đang gây ra cuộc thảo luận.

Bản án Schrems II: chuyện gì đã xảy ra?

La vịnhLDA, hoặc Bavarian DPA, cơ quan bảo đảm quyền riêng tư của Bavaria, gần đây đã đưa ra phán quyết chống lại Mailchimp do không tuân thủ các chỉ dẫn trong phán quyết của Schrems II về việc chuyển dữ liệu sang Hợp chủng quốc Hoa Kỳ.

Quyết định đặt ra một tiền lệ rất quan trọng trong lĩnh vực luật kỹ thuật số. Mặc dù không có hình phạt bằng tiền hoặc phạt tù, nhưng đây là trường hợp đầu tiên sau Schrems II phải chịu quyết định chính thức của chính quyền. Nhưng chúng ta hãy đi theo thứ tự.

Schrems II là gì, phán quyết làm mất hiệu lực lá chắn bảo mật?

CJEU (Tòa án Công lý của EU) đã gửi yêu cầu làm rõ về bảo vệ dữ liệu thông qua luật sư hoạt động Schrems, vào năm 2015. Mục đích là yêu cầu cơ quan giám sát bảo vệ dữ liệu Ireland buộc Facebook chuyển dữ liệu từ EU sang Mỹ, dựa trên Các điều khoản hợp đồng tiêu chuẩn.

Chúng ta đang nói về khoảng thời gian trước khi phát hành GDPR và tất cả các điều khoản về xử lý dữ liệu. Phán quyết được đưa ra vào ngày 16 tháng 2020 năm XNUMX và Schrems II đã vô hiệu hóa Privacy Shield với tư cách là một cơ chế truyền dữ liệu từ Liên minh Châu Âu sang Hoa Kỳ, cung cấp hướng dẫn quan trọng cho các công ty Hoa Kỳ về dữ liệu của Hoa Kỳ 'Châu Âu.

Nói tóm lại, để cấp phép chuyển sang Hoa Kỳ, cần phải đảm bảo mức độ bảo vệ dữ liệu phù hợp. Xin chào? Các công ty lớn, chẳng hạn như Google và Microsoft, có các trung tâm dữ liệu được đặt ở vị trí chiến lược trên khắp thế giới. Tuy nhiên, luật về dữ liệu cá nhân ở Hoa Kỳ khác với luật ở EU. Nói cách khác: cơ quan an ninh NSA có thể truy cập bất cứ lúc nào.

Đó là những ngoại lệ đối với GDPR dành cho: chúng là về các điều khoản được Ủy ban Châu Âu và Cơ quan giám sát phê duyệt được phê duyệt theo yêu cầu của công tyvà chỉ có giá trị cụ thể đối với hoạt động được mô tả trong sắc lệnh. Trong số các máy khác nhau để bảo vệ dữ liệu, còn có máy của SCC, hoặc Các điều khoản hợp đồng tiêu chuẩn. Trên thực tế, cả công ty ở Châu Âu và công ty nước ngoài phải đồng ý sử dụng một hợp đồng cụ thể mà trước tiên phải được EU chấp thuận. Sau đó, SCC sẽ cần phải được ký để việc trao đổi dữ liệu có hiệu lực.

Tuy nhiên, phán quyết của Schrems II bằng cách nào đó thu nhỏ các thủ tục tiêu chuẩn thường được sử dụng, áp đặt “các biện pháp bổ sung”. Sự mập mờ của vấn đề này đã khiến nhiều công ty né tránh nút thắt, chỉ đơn giản là lách qua để bỏ qua nó. Tuy nhiên, các nhà chức trách phải làm điều gì đó và có lẽ, với phán quyết của BayLDA, có thể đạt được một bước tiến mới trong thỏa thuận.

Chuyện gì đã xảy ra ở Bavaria? Còn "các biện pháp tiếp theo" thì sao?

Một công dân Bavarian nhận được danh sách gửi thư thay mặt cho một tạp chí địa phương thông qua Mailchimp, đã quyết định gửi đơn khiếu nại lên cơ quan có thẩm quyền. Cơ quan này đã ra tay bằng cách nói rằng việc gửi dữ liệu của EU đến Hoa Kỳ không phải lúc nào cũng là bất hợp pháp, tuy nhiên, đó là nếu các quy định của GDPR như được giải thích bởi Tòa án Công lý Châu Âu không được tôn trọng. Tóm lại: Mailchimp làm được việc này nhưng không có chuyện chuyển dữ liệu sang USA là lừa đảo. Trước tiên, bạn cần chứng minh điều đó, bằng cách đào sâu các phương thức chuyển giao được sử dụng.

Mailchimp, một công ty của Mỹ, đã đưa ra Giải thích về “các biện pháp bổ sung” mà chúng ta đã nói về trước đó. Tuy nhiên, trong số đó, từ Schrems II, một phiên bản cuối cùng vẫn chưa được xuất bản.

Mặc dù cơ quan giám sát theo một cách nào đó đã tán thành chuyển động của Mailchimp, nhưng công ty ít nhất phải giải quyết vấn đề gửi dữ liệu đến lãnh thổ Hoa Kỳ, thực hiện ít nhất một DPIA để đánh giá mức độ rủi ro của hoạt động. Không cần phải nói, đánh giá này chưa bao giờ được thực hiện.

Chính vì không công bố đầy đủ các "biện pháp bổ sung" này mà Cơ quan đã quyết định không xử phạt Mailchimp. Và bộ điều khiển dữ liệu cũng vậy.

Tại sao đây là một quyết định quan trọng như vậy?

Quyết định của Mailchimp là cơ bản bởi vì, nếu thoạt đọc, nó có vẻ như là điềm báo trước cho rất nhiều hành động gian lận, thì thay vào đó, đó là bước đầu tiên hướng tới việc áp dụng bản án Schrems II, cho đến nay vẫn còn phủ đầy bụi.

Loại tiền phạt nào đã được áp dụng?

Như chúng tôi đã nói, Mailchimp chưa nhận được bất kỳ hình thức phạt nào. Tuy nhiên, Cơ quan xác định chắc chắn rằng, mặc dù dữ liệu được truyền bằng các phương pháp không được chấp nhận, nhưng cá nhân được ủy quyền - tức là công dân tự do - không có quyền yêu cầu xử phạt.

Tóm lại, một cá nhân nó không thể di chuyển cá thể trong trường hợp như Mailchimp. Xét cho cùng, trường hợp này không liên quan đến các quyền và tự do của bên quan tâm, mà có mục tiêu là khẳng định lợi ích công cộng trong việc thực thi luật.

Các kịch bản tiềm năng trong tương lai của quyết định này là gì?

Thật khó để nói hậu quả thực sự của bản án này là gì, mà hiện tại chỉ có thể được coi là một tiền lệ hợp lệ. Trên thực tế, có thể xảy ra trường hợp các cơ quan chức năng khác nghiêng về các quyết định bất hợp pháp mà không kèm theo các biện pháp trừng phạt tiền tệ. Hoặc sự phát triển nhiều hy vọng của những “biện pháp bổ sung” này có thể xảy ra.

Điều chắc chắn duy nhất là bất chấp số tiền phạt, Mailchimp đã tạo ấn tượng xấu trước khách hàng, làm mất đi hình ảnh của mình.