Bawarski komisarz ochrony danych wypowiedział się przeciwko Mailchimpowi i wyrokowi Schremps II dotyczącemu przekazywania danych do USA.

To nie jest kara, ani kara, ale precedens prawny, który w przyszłości może wywołać wiele bodźców dla dalszych wniosków w kontekście europejskim. Ale o co właściwie chodzi? I dlaczego to orzeczenie może być tak ważne?

Mówimy o MailChimp, jedno z najbardziej znanych narzędzi do masowej poczty e-mail na rynku, np przesyłania danych osobowych poza terytorium Europykonkretnie w Stanach Zjednoczonych Ameryki. Nielegalna procedura, nawet jeśli opiera się na określonych klauzulach umownych - zwłaszcza jeśli nie są one przestrzegane dalsze środki. I to właśnie te „dalsze środki”, nigdy tak naprawdę nie określone, są powodem dyskusji.

Wyrok Schrems II: co się stało?

La BayLDA, czyli bawarski DPA, bawarski gwarant prywatności, wydał niedawno wyrok na Mailchimp z powodu niezastosowania się do wskazań zawartych w wyroku Schrems II w sprawie przekazywania danych do Stanów Zjednoczonych Ameryki.

Decyzja ustanawia bardzo ważny precedens w dziedzinie prawa cyfrowego. Chociaż nie było kar pieniężnych ani kar więzienia, jest to pierwsza sprawa po Schrems II podlegająca formalnej decyzji władz. Ale chodźmy po kolei.

Co to jest Schrems II, orzeczenie, które unieważnia Tarczę Prywatności?

W 2015 r. TSUE (Trybunał Sprawiedliwości UE) zwrócił się z wnioskiem o wyjaśnienie kwestii ochrony danych za pośrednictwem prawnika-aktywisty Schremsa. Celem było zwrócenie się do irlandzkiego inspektora ochrony danych o zmuszenie Facebooka do przekazywania danych z UE do USA w oparciu o Standardowe klauzule umowne.

Mówimy o okresie przed wydaniem RODO i wszystkich klauzul dotyczących przetwarzania danych. Wyrok zapadł 16 lipca 2020 r., a Schrems II unieważnił Tarczę Prywatności jako mechanizm przekazywania danych z UE do USA, zapewniając ważne wytyczne dla amerykańskich firm dotyczące danych z USA.

Krótko mówiąc, aby wykonać przelew do USA, było to konieczne zapewnić odpowiedni poziom ochrony danych. Jak się masz? Duże firmy, takie jak Google i Microsoft, mają centra danych rozmieszczone strategicznie na całym świecie. Jednak przepisy dotyczące danych osobowych w USA różnią się od tych w UE. Innymi słowy: agencja bezpieczeństwa NSA ma do niej dostęp w każdej chwili.

Właśnie po to są wyjątki od RODO: o to chodzi klauzule zatwierdzone przez Komisję Europejską i Organ Nadzorczy, które są zatwierdzane na wniosek spółkii mają określoną wartość tylko dla czynności opisanej w rozporządzeniu. Wśród różnych maszyn do ochrony danych jest również SCC, czyli Standardowe Klauzule Umowne. W praktyce zarówno firma zlokalizowana w Europie, jak i zagraniczna muszą zgodzić się na skorzystanie z konkretnej umowy, która musi zostać najpierw zatwierdzona przez UE. Następnie SCC będzie musiało zostać podpisane, aby wymiana danych zaczęła obowiązywać.

Jednak orzeczenie Schrems II w jakiś sposób ma ograniczyła zwykle stosowane standardowe procedury, nakładając „dalsze środki”.”. Niejasność tej sprawy doprowadziła wiele firm do unikania węzła, po prostu go omijając, aby go zignorować. Jednak władze muszą coś zrobić i być może dzięki orzeczeniu BayLDA można osiągnąć nowy krok w kierunku porozumienia.

Co się stało w Bawarii? A co z „dalszymi środkami”?

Obywatel Bawarii, po otrzymaniu listy mailingowej w imieniu lokalnego magazynu za pośrednictwem Mailchimp, zdecydował się złożyć skargę do właściwego organu. Organ ten wyciągnął ręce, mówiąc, że przesyłanie danych z UE do USA nie zawsze jest nielegalne, ale dzieje się tak, jeśli nie przestrzega się nakazów RODO w interpretacji Europejskiego Trybunału Sprawiedliwości. W skrócie: Mailchimp to zrobił, ale nie jest powiedziane, że transfer danych do USA był sfałszowany. Najpierw trzeba to zademonstrować, pogłębiając stosowane metody przenoszenia.

Mailchimp, amerykańska firma, przyniosła własne interpretacja „dodatkowych środków” o którym mówiliśmy wcześniej. Z których jednak ze Schrems II, ostateczna wersja nie została jeszcze opublikowana.

Choć organ nadzorczy w jakiś sposób przychylił się do wniosku Mailchimp, firma powinna przynajmniej zająć się problemem przesyłania danych na terytorium USA, przeprowadzając przynajmniej jedną DPIA, aby ocenić stopień ryzyka operacji. Nie trzeba dodawać, że taka ocena nigdy nie została dokonana.

Właśnie z powodu nieopublikowania w całości tych „dodatkowych środków” Urząd postanowił nie nakładać sankcji na Mailchimp. Administrator danych też nie.

Dlaczego jest to tak ważna decyzja?

Decyzja Mailchimp ma fundamentalne znaczenie, ponieważ, jeśli przy pierwszym czytaniu może wydawać się zwiastunem tony oszukańczych działań, jest to zamiast tego pierwszy krok w kierunku zastosowania wyroku Schrems II, który do tej pory zbierał kurz.

Jaki rodzaj kary został zastosowany?

Jak powiedzieliśmy, Mailchimp nie otrzymał żadnej grzywny. Urząd ustalił jednak, że choć dane zostały przekazane niedopuszczalnymi metodami, to osoba uprawniona – czyli wolny obywatel – nie ma uprawnień do wnioskowania o nałożenie sankcji.

Krótko mówiąc, osoba prywatna nie może przenieść instancji w przypadku takim jak Mailchimp. Sprawa ta nie dotyczy przecież praw i wolności zainteresowanego, ale ma na celu dochodzenie interesu publicznego w egzekwowaniu prawa.

Jakie są potencjalne dalsze scenariusze tej decyzji?

Trudno powiedzieć, jakie będą rzeczywiste konsekwencje tego wyroku, który na razie można uznać jedynie za ważny precedens. W rzeczywistości może się zdarzyć, że inne władze skłaniają się ku decyzjom bezprawnym, którym nie towarzyszą sankcje pieniężne. Lub może nastąpić tak bardzo oczekiwany rozwój tych „dodatkowych środków”.

Pewne jest tylko to, że niezależnie od kary, Mailchimp zrobił złe wrażenie na klientach, tracąc swój wizerunek.