Baijerin tietoviranomainen kieltää julkaisijoita käyttämästä Mailchimpiä Yhdysvalloissa

Viimeisin päivitys kesä 20, 2023

Baijerin tietosuojaviranomainen on määrännyt, että mikään saksalainen julkaisija ei voi siirtää sähköpostiosoitteita MailChimpille Yhdysvalloissa uutiskirjeiden lähettämistä varten. Tämä päätös kuvaa selvästi esteitä, joita ulkomaiset markkinoijat kohtaavat GDPR :n alaisuudessa. Yksi suurimmista huolenaiheista on se, että Yhdysvaltain tiedusteluviranomaiset voivat käyttää tietoja .

Loukkaantunut osapuoli teki viranomaiselle (BDPA) vastalauseen tiedonsiirrosta, mikä johti viralliseen selvitykseen ja tuomioon. Asian BDPA:lle nostaneen saksalaisen yrityksen nimeä ei ole julkistettu, mutta vahvistetaan, että se oli käyttänyt MailChimpiä harvoin ja on sittemmin lopettanut. Yhtiötä vastaan ei myöskään ole raportoitu oikeustoimia tai sakkoja.

BDPA sanoi 15. maaliskuuta:

"Viittaamme tietosuojavalitukseenne …. " Mailchimp " -sovelluksen käytöstä. Väliintulomme seurauksena yritys on ilmoittanut meille käyttäneensä Mailchimpiä kahdesti uutiskirjeiden lähettämiseen. Väliintulomme seurauksena yritys on nyt ilmoittanut meille, että se ei enää käytä Mailchimpiä välittömästi.

Yritys ilmoitti meille myös, että se oli vain lähettänyt sähköpostiosoitteita Mailchimpille edellä mainitun käytön yhteydessä. Se mainitsi myös, että Euroopan tietosuojaneuvoston suositukset niin sanotuista täydentävistä toimenpiteistä henkilötietojen siirtämiseksi kolmansiin maihin eivät ole vielä saatavilla lopullisena versiona, mutta niistä käydään edelleen julkista kuulemista. tämä on oikein.

Arviomme mukaan Mailchimpin käyttö …. kahdessa mainitussa tapauksessa – ja siten myös sähköpostiosoitteesi siirto Mailchimpille, joka on valituksenne kohteena – oli tietosuojalainsäädännön mukaan laitonta, koska…. ei ollut tutkinut, oliko EU: n vakiomuotoisten tietosuojalausekkeiden (joita käytettiin) lisäksi "lisätoimenpiteitä" EY:n tuomioistuimen Schrems II -päätöksessä (EYJ, tuomio 16.7.2020, C-311/18) tarkoitettuja "lisätoimenpiteitä" olivat välttämättömiä, jotta siirto olisi tietosuojavaatimusten mukainen, ja tässä tapauksessa oli ainakin viitteitä siitä, että Mailchimp saattaa periaatteessa joutua Yhdysvaltojen tiedustelupalvelun tietoihin.USA: n FISA 702 -lain (50 USC § 1881) mukaiset palvelut mahdollisena ns. sähköisen viestinnän palveluntarjoajana ja siten siirto voisi olla laillista vain, jos tällaisiin lisätoimenpiteisiin (jos mahdollista ja riittävät ongelman korjaamiseen) ryhdytään.

Viranomainen totesi, että EU: n vakiosopimuslausekkeiden (SCC) mukaisesti tehty siirto rikkoi aiemmassa Schrems II -yksityisyyttä koskevassa tuomiossa EU: ssa tehtyjä sopimuksia .

"Tämän tyyppinen Schrems II :n tulkinta on juuri seuraus, jota monet monikansalliset yritykset pelkäsivät, kun Schrems II hyväksyi SCC:n käytön, mutta aiheutti epäilyksiä SCC:iden tehokkuudesta tietojen siirtämisessä Yhdysvaltoihin ", Lexology kommentoi.

Tuomiossa todetaan lisäksi: "Oli merkkejä siitä, että MailChimp tunnustettiin viestintäpalveluntarjoajaksi, joka toimii Yhdysvaltain valvontalainkäyttövallan alaisuudessa. Siksi vaara, että Yhdysvaltain tiedusteluviranomaiset pääsevät käsiksi näihin sähköpostiosoitteisiin, häämöttää loputtomiin. MailChimp ei myöskään kommentoinut tuomiota. Vaikka saksalaisen yrityksen nimeä ei koskaan paljastettu, sen huhutaan olevan af ashion -lehti.

Lexologyn mukaan yritysten, jotka käyttävät EU :n ulkopuolella sijaitsevia tietojenkäsittelijöitä, tulee ottaa huomioon näiden käsittelijöiden sijainti ja niihin sovellettavat eri lainkäyttöalueet. Tämä on tarpeen sen varmistamiseksi, että henkilötiedot eivät ole minkään valtion yksikön saatavilla tai saatavilla.