Baieri andmeamet keelab väljaandjatel USA-s Mailchimpi kasutada

Viimati uuendatud juuni 20, 2023

Baieri andmekaitseamet on otsustanud, et ükski Saksa väljaandja ei tohi uudiskirjade saatmiseks e-posti aadresse USA -sse MailChimpile edastada. See otsus illustreerib selgelt takistusi, millega välismaised turundajad GDPR -i alusel silmitsi seisavad. Üks peamisi murekohti on see, et andmetele pääsevad ligi USA luureagentuurid.

Solvunud pool esitas ametiasutusele (BDPA) andmeedastuse kohta protesti, mille tulemuseks oli ametlik järelepärimine ja kohtuotsus. Saksa ettevõtte nime, kes juhtumi BDPA-le tõi, ei ole avalikustatud, kuid kinnitatakse, et see oli MailChimpi harva kasutanud ja on sellest ajast peale lõpetanud. Samuti ei ole teateid ettevõtte vastu suunatud juriidiliste meetmete või trahvide kohta.

BDPA ütles 15. märtsil:

"Me viitame teie andmekaitsekaebusele … vastu. " Mailchimpi " kasutamise kohta. Meie sekkumise tulemusena teatas ettevõte meile, et kasutas Mailchimpi kaks korda uudiskirjade saatmiseks. Meie sekkumise tulemusena teatas ettevõte meile, et ta ei kasuta enam Mailchimpi koheselt.

Ettevõte teatas meile ka, et edastas Mailchimpile e-posti aadresse ainult ülalnimetatud kasutamise kontekstis. Samuti mainiti selles, et Euroopa Andmekaitsenõukogu soovitused nn täiendavate meetmete kohta isikuandmete edastamiseks kolmandatesse riikidesse ei ole veel lõplikus versioonis kättesaadavad, kuid need on endiselt avalikus arutelus; see on õige.

Meie hinnangul on Mailchimpi kasutamine …. kahel mainitud juhul – ja seega ka teie e-posti aadressi edastamine Mailchimpile, mis on teie kaebuse objektiks – oli andmekaitseseaduse kohaselt ebaseaduslik, kuna …. ei olnud uurinud, kas lisaks EL-i standardsetele andmekaitseklauslitele (mida kasutati) on "lisameetmeid" Euroopa Kohtu otsuse "Schrems II" tähenduses (Euroopa Kohtu otsus 16.7.2020, C-311/18) olid vajalikud, et muuta ülekanne andmekaitsenõuetele vastavaks, ja käesoleval juhul oli vähemalt viiteid sellele, et Mailchimp võib põhimõtteliselt alluda USA luureandmetele juurdepääsule.teenused, mis põhinevad USA õigussättel FISA 702 (50 USC § 1881) kui võimalik nn elektroonilise side teenusepakkuja ja seega saaks üleandmine olla seaduslik ainult siis, kui võetakse kasutusele sellised lisameetmed (kui see on võimalik ja piisav probleemi lahendamiseks).

Ametiasutus jõudis järeldusele, et üleandmine, mis viidi läbi EL-i lepingu tüüpklauslite (SCC) alusel, rikkus kokkuleppeid, mis saavutati varasemas Schrems II eraelu puutumatuse kohtuotsuses ELis.

" Schrems II seda tüüpi tõlgendus on just tulemus, mida paljud rahvusvahelised ettevõtted kartsid, kui Schrems II toetas SCC -de kasutamist, kuid heitis kahtluse alla SCC -de tõhususe vahendina andmete edastamiseks Ameerika Ühendriikidesse ," kommenteerib Lexology.

Kohtuotsuses öeldakse veel: „Oli märke, et MailChimpi tunnistati USA järelevalve jurisdiktsiooni all töötava sideteenuse pakkujana. Seetõttu ähvardab lõputult oht, et USA luureagentuurid pääsevad neile e-posti aadressidele juurde. Ka MailChimp ei avaldanud kohtuotsuse kohta ühtegi kommentaari. Kuigi Saksa ettevõtte nime kunagi ei avalikustatud, on kuulujuttude järgi tegemist ajakirjaga af ashion.

Lexology sõnul peaksid väljaspool EL – i asuvaid andmetöötlejaid kasutavad ettevõtted arvestama nende töötlejate asukohta ja nende suhtes kohaldatavaid erinevaid jurisdiktsioone. See on vajalik tagamaks, et isikuandmed ja teave ei ole kättesaadavad või neile ei pääse juurde ükski valitsusasutus.