Bavarian Data Authority zabrania wydawcom korzystania z Mailchimp w USA
Bawarski urząd ochrony danych polecił, aby żaden niemiecki wydawca nie mógł przekazywać adresów e-mail do MailChimp w USA w celu wysyłania biuletynów. To orzeczenie wyraźnie ilustruje przeszkody, z jakimi borykają się zagraniczni marketerzy w ramach RODO. Jedną z głównych obaw jest to, że dostęp do danych mają amerykańskie agencje wywiadowcze.
Urażona strona złożyła protest do organu (BDPA) w sprawie przekazywania danych, co zaowocowało oficjalnym dochodzeniem i werdyktem. Nazwa niemieckiej firmy, która wniosła sprawę do BDPA, nie została ujawniona, ale potwierdzono, że rzadko korzystała z MailChimp i od tego czasu przestała działać. Nie ma również doniesień o jakichkolwiek działaniach prawnych lub grzywnach przeciwko firmie.
BDPA powiedział 15 marca:
„Mamy na myśli skargę dotyczącą ochrony danych przeciwko …. dotyczące używania „ Mailchimp ". W wyniku naszej interwencji firma poinformowała nas, że dwukrotnie korzystała z Mailchimp do wysyłania newsletterów. W wyniku naszej interwencji firma poinformowała nas, że nie będzie już korzystać z Mailchimp ze skutkiem natychmiastowym.
Firma poinformowała nas również, że przesłała adresy e-mail do Mailchimp tylko w kontekście wyżej wymienionego wykorzystania. Wspomniał również, że zalecenia Europejskiej Rady Ochrony Danych dotyczące tzw. środków uzupełniających dotyczących przekazywania danych osobowych do państw trzecich nie są jeszcze dostępne w ostatecznej wersji, ale nadal podlegają konsultacjom społecznym; to jest poprawne.
Według naszej oceny, korzystanie z Mailchimp przez …. w dwóch wymienionych przypadkach – a tym samym również przekazanie Twojego adresu e-mail do Mailchimp, którego dotyczy Twoja skarga – było niezgodne z prawem w świetle przepisów o ochronie danych, ponieważ…. nie zbadał, czy oprócz standardowych klauzul ochrony danych UE (które były stosowane) „dodatkowe środki” w rozumieniu orzeczenia ETS „Schrems II” (ETS, wyrok z 16.7.2020, C-311/18) były niezbędne, aby transfer był zgodny z wymogami ochrony danych, a w niniejszej sprawie istniały przynajmniej przesłanki, że Mailchimp może co do zasady podlegać dostępowi do danych ze strony wywiadu USAusługi oparte na amerykańskim przepisie prawnym FISA 702 (50 USC § 1881) jako ewentualny tzw. dostawca usług łączności elektronicznej, a zatem transfer mógłby być zgodny z prawem tylko wtedy, gdyby zostały podjęte takie dodatkowe środki (jeśli to możliwe i wystarczające do zaradzenia problemowi)”
Organ doszedł do wniosku, że transfer, który odbył się zgodnie ze standardowymi klauzulami umownymi UE (SCC), złamał porozumienia, które zostały zawarte we wcześniejszym orzeczeniu Schrems II dotyczącym prywatności w UE.
„Ten rodzaj interpretacji Schrems II jest dokładnie wynikiem, którego obawiało się wiele międzynarodowych firm, gdy Schrems II podtrzymał stosowanie SCC, ale rzucił podejrzenia co do skuteczności SCC jako narzędzia do przenoszenia danych do Stanów Zjednoczonych ” – komentuje Lexology.
Werdykt dalej stwierdza: „Istniały oznaki, że MailChimp został uznany za dostawcę usług komunikacyjnych działającego pod jurysdykcją USA. W związku z tym zagrożenie w postaci dostępu do tych adresów e-mail przez amerykańskie agencje wywiadowcze czai się w nieskończoność. MailChimp również nie przedstawił żadnych komentarzy na temat werdyktu. Chociaż nazwa niemieckiej firmy nigdy nie została ujawniona, podobno jest to magazyn modowy.
Według Lexology firmy korzystające z podmiotów przetwarzających dane znajdujące się poza UE powinny wziąć pod uwagę lokalizacje tych podmiotów przetwarzających oraz różne jurysdykcje, które mają do nich zastosowanie. Jest to konieczne, aby zapewnić, że dane osobowe i informacje nie są dostępne ani dostępne dla żadnego podmiotu rządowego.