A bajor adatvédelmi biztos felszólalt a Mailchimp és a Schremps II ítélet ellen az Egyesült Államokba történő adattovábbítással kapcsolatban.

Ez nem büntetés, nem is büntetés, hanem jogi precedens, amely a jövőben számos további indítékot eredményezhet európai kontextusban. De miről is van szó pontosan? És miért lehet olyan fontos ez az ítélet?

Beszélünk MailChimp, az egyik leghíresebb tömeges e-mail eszköz a piacon, pl személyes adatok Európán kívülre történő küldésérekonkrétan az Amerikai Egyesült Államokban. Illegitim eljárás akkor is, ha bizonyos szerződéses kikötéseken alapul – különösen, ha nem követik ezt további intézkedéseket. És éppen ezek a "további intézkedések", amelyeket soha nem részleteztek, vitákat váltanak ki.

Schrems II ítélet: mi történt?

La BayLDA, vagy a bajor adatvédelmi hatóság, a bajor adatvédelmi garancia a közelmúltban hozott ítéletet a Mailchimp ellen, mivel nem tartotta be a Schrems II-ítéletben az Amerikai Egyesült Államokba történő adattovábbításra vonatkozó jelzéseket.

A döntés nagyon fontos precedenst teremt a digitális jog területén. Bár nem volt pénzbüntetés vagy börtönbüntetés, ez az első Schrems II utáni eset, amelyre hivatalos határozatot hoztak a hatóságok. De menjünk sorban.

Mi az a Schrems II. ítélet, amely érvényteleníti az adatvédelmi pajzsot?

Az EUB (Európai Bíróság) 2015-ben Schrems aktivista ügyvéden keresztül adatvédelmi pontosítási kérelmet küldött. A cél az volt, hogy felkérje az ír adatvédelmi felügyelőt, hogy a szabványos szerződési feltételek alapján kényszerítse a Facebookot adatok továbbítására az EU-ból az Egyesült Államokba.

A GDPR megjelenése előtti időszakról és minden adatkezelési kitételről beszélünk. Az ítélet 16. július 2020-án született, és a Schrems II érvénytelenítette az adatvédelmi pajzsot, mint az EU-ból az Egyesült Államokba történő adatok továbbítására szolgáló mechanizmust, amely fontos útmutatást ad az amerikai vállalatok számára az Európából származó adatokkal kapcsolatban.

Röviden, az USA-ba való átutalás engedélyezéséhez szükség volt rá megfelelő szintű adatvédelmet biztosítani. Hogyan csinálod? A nagy cégek, mint például a Google és a Microsoft, a világ minden táján stratégiailag elhelyezkedő adatközpontokkal rendelkeznek. A személyes adatokra vonatkozó törvények azonban az Egyesült Államokban eltérnek az EU-tól. Más szóval: az NSA biztonsági ügynökség bármikor hozzáférhet.

Erre valók a GDPR alóli kivételek: kb az Európai Bizottság és a Felügyelet által jóváhagyott záradékok, amelyeket a társaság kérésére hagynak jóvá, és csak a rendeletben leírt tevékenységre van konkrét értékük. A különféle adatvédelmi gépek között ott van az SCC, vagyis a szabványos szerződési feltételek is. A gyakorlatban mind az európai, mind a külföldi cégnek meg kell állapodnia egy konkrét szerződés alkalmazásában, amelyet először az EU-nak jóvá kell hagynia. Ezután az SCC-t alá kell írni ahhoz, hogy az adatcsere hatályba léphessen.

A Schrems II-es ítélet azonban valahogy mégis megtette lecsökkentette a szokásos eljárásokat, és „további intézkedéseket” írt elő”. Ennek az ügynek a homályossága arra késztetett sok vállalatot, hogy elkerülje a csomót, egyszerűen megkerülve azt, hogy figyelmen kívül hagyja. A hatóságoknak azonban tenniük kell valamit, és talán a BayLDA döntésével új lépést lehet tenni a megállapodás felé.

Mi történt Bajorországban? Mi a helyzet a "további intézkedésekkel"?

Egy bajor állampolgár, miután levelezőlistát kapott egy helyi magazin nevében a Mailchimp-en keresztül, úgy döntött, hogy panaszt tesz az illetékes hatóságnál. Ez a hatóság feltette a kezét azzal, hogy az EU-s adatok USA-ba küldése nem mindig illegitim, azonban az van, ha nem tartják tiszteletben a GDPR Európai Bíróság által értelmezett előírásait. Röviden: a Mailchimp csinálta ezt, de nem mondják, hogy az USA-ba történő adattovábbítás csalás volt. Először is be kell mutatnia az alkalmazott átviteli módszerek elmélyítésével.

A Mailchimp amerikai cég hozta a magáét "kiegészítő intézkedések" értelmezése amiről korábban beszéltünk. Ebből azonban a Schrems II. végleges változata még nem jelent meg.

Bár a felügyeleti hatóság valamilyen módon támogatta a Mailchimp indítványát, a vállalatnak legalább az Egyesült Államok területére történő adatküldés problémájával foglalkoznia kellett volna, és legalább egy DPIA-t kellett volna végrehajtania a művelet kockázatának felmérésére. Mondanunk sem kell, ez az értékelés soha nem készült.

A Hatóság éppen azért döntött úgy, hogy nem szankcionálja a Mailchimpet, mert nem tették közzé ezeket a „kiegészítő intézkedéseket” teljes körűen. És az adatkezelő sem.

Miért olyan fontos döntés ez?

A Mailchimp döntése alapvető, mert ha első olvasatban a csalárdság temérdek cselekményének az előfutára tűnik, ez az első lépés a mostanáig porosodó Schrems II. mondat alkalmazása felé.

Milyen típusú bírságot alkalmaztak?

Mint mondtuk, a Mailchimp nem kapott semmiféle bírságot. A Hatóság azonban megállapította, hogy bár az adattovábbítás megengedhetetlen módszerekkel történt, az arra jogosultnak - azaz a szabad állampolgárnak - nem volt joga a szankció kérésére.

Egyszóval magánszemély nem tud példányt mozgatni olyan esetekben, mint a Mailchimp. Ez az ügy ugyanis nem az érdekelt jogait és szabadságát érinti, hanem célja a jogérvényesítéshez fűződő közérdek érvényesítése.

Mik ennek a döntésnek a lehetséges jövőbeli forgatókönyvei?

Nehéz megmondani, mi lesz ennek a mondatnak a tényleges következménye, amely egyelőre csak érvényes precedensnek tekinthető. Sőt, megtörténhet, hogy más hatóságok hajlanak olyan illegitim döntésekre, amelyeket nem kísérnek pénzügyi szankciók. Vagy megtörténhet ezeknek a „kiegészítő intézkedéseknek” a nagyon remélt fejlődése.

Az egyetlen biztos, hogy a bírságtól függetlenül a Mailchimp rossz benyomást keltett ügyfelei előtt, elvesztette imázsát.