Управление по защите данных Баварии постановило, что любой немецкий издатель не может передавать адреса электронной почты MailChimp в США для отправки информационных бюллетеней. Это постановление ясно иллюстрирует препятствия, с которыми сталкиваются иностранные маркетологи в соответствии с GDPR. Одна из главных проблем заключается в том, что к данным могут получить доступ спецслужбы США.
Обиженная сторона подала протест властям (BDPA) по поводу передачи данных, в результате чего было проведено официальное расследование и вынесен вердикт. Название немецкой компании, которая подала иск в BDPA, не разглашается, но подтверждено, что она использовала MailChimp нечасто и с тех пор перестала. Сообщений о каких-либо судебных исках или штрафах в отношении компании также нет.
BDPA заявило 15 марта:
«Мы имеем в виду вашу жалобу на защиту данных против …. относительно использования «Mailchimp ». В результате нашего вмешательства компания сообщила нам, что дважды использовала Mailchimp для рассылки информационных бюллетеней. В результате нашего вмешательства компания сообщила нам, что больше не будет использовать Mailchimp с немедленным вступлением в силу.
Компания также сообщила нам, что она передавала адреса электронной почты Mailchimp только в контексте вышеупомянутого использования. Он также упомянул, что рекомендации Европейского совета по защите данных о так называемых дополнительных мерах по передаче персональных данных в третьи страны еще не доступны в окончательной версии, но все еще подлежат обсуждению с общественностью; это правильно.
По нашей оценке, использование Mailchimp …. в двух упомянутых случаях — и, следовательно, также передача вашего адреса электронной почты Mailchimp, который является предметом вашей жалобы, — была незаконной в соответствии с законом о защите данных, потому что …. не рассмотрел вопрос о том, были ли в дополнение к стандартным положениям ЕС о защите данных (которые были использованы) «дополнительные меры» по смыслу решения Европейского суда «Schrems II» (ЕС, решение от 16.07.2020, C-311/18) были необходимы для того, чтобы передача соответствовала требованиям защиты данных, и в данном случае были по крайней мере признаки того, что Mailchimp в принципе может иметь доступ к данным со стороны разведки США .услуги на основе положения законодательства США FISA 702 (50 USC § 1881) в качестве возможного так называемого поставщика услуг электронной связи, и, таким образом, передача может быть законной только в том случае, если такие дополнительные меры (если они возможны и достаточны для решения проблемы) были приняты».
Власти пришли к выводу, что передача, которая была осуществлена в соответствии со стандартными договорными положениями ЕС (SCC), нарушила соглашения, достигнутые в предыдущем решении о конфиденциальности Schrems II в ЕС.
«Этот тип интерпретации Schrems II является именно тем результатом, которого опасались многие многонациональные компании, когда Schrems II поддержал использование SCC, но поставил под сомнение эффективность SCC как инструмента для передачи данных в Соединенные Штаты », — комментирует Lexology.
Далее в приговоре говорится: «Были признаки того, что MailChimp был признан поставщиком услуг связи, работающим под юрисдикцией наблюдения США. Поэтому опасность в виде доступа спецслужб США к этим адресам электронной почты маячит бесконечно. MailChimp также не прокомментировал вердикт. Хотя название немецкой компании никогда не разглашается, ходят слухи, что это журнал моды.
Согласно Lexology, компании, которые используют процессоры данных, расположенные за пределами ЕС, должны учитывать местонахождение этих процессоров и различные юрисдикции, которые к ним применяются. Это необходимо для обеспечения того, чтобы личные данные и информация не были доступны или недоступны для какого-либо государственного органа.