Bavarian Data Authority забороняє видавцям використовувати Mailchimp у США

Останнє оновлення Чер 20, 2023

Управління із захисту даних Баварії встановило, що жоден німецький видавець не може передавати електронні адреси MailChimp у США для надсилання інформаційних бюлетенів. Це рішення чітко ілюструє перешкоди, з якими стикаються іноземні маркетологи відповідно до GDPR. Однією з головних проблем є те, що розвідувальні служби США можуть отримати доступ до даних .

Ображена сторона подала протест до органу влади (БДПА) щодо передачі даних, що призвело до офіційного розслідування та винесення вироку. Назва німецької компанії, яка подала справу до BDPA, не розголошується, але підтверджується, що вона нечасто використовувала MailChimp і з тих пір припинила. Повідомлень про будь-які судові позови чи штрафи проти компанії також немає.

BDPA заявила 15 березня:

«Ми маємо на увазі вашу скаргу щодо захисту даних проти…. щодо використання «Mailchimp ». У результаті нашого втручання компанія повідомила нам, що двічі використовувала Mailchimp для розсилки інформаційних бюлетенів. В результаті нашого втручання компанія повідомила нам, що більше не буде використовувати Mailchimp з негайним ефектом.

Компанія також повідомила нам, що передала електронні адреси Mailchimp лише в контексті вищезгаданого використання. У ньому також зазначалося, що рекомендації Європейської ради із захисту даних щодо так званих додаткових заходів щодо передачі персональних даних третім країнам ще не доступні в остаточній версії, але все ще підлягають громадським консультаціям; це правильно.

За нашою оцінкою, використання Mailchimp …. у двох згаданих випадках – і, таким чином, також передача вашої адреси електронної пошти до Mailchimp, яка є предметом вашої скарги – була незаконна відповідно до законодавства про захист даних, тому що…. не перевірив, чи є, на додаток до стандартних положень ЄС про захист даних (які були використані), «додатковими заходами» у розумінні рішення Європейського суду «Schrems II» (Рішення Суду ЄС від 16.07.2020, C-311/18) були необхідні, щоб передача відповідала вимогам захисту даних, і в даному випадку були принаймні ознаки того, що Mailchimp в принципі може бути об'єктом доступу до даних з боку розвідки СШАпослуги, засновані на законодавчому положенні США FISA 702 (50 USC § 1881) як можливий так званий постачальник послуг електронних комунікацій, і, таким чином, передача може бути законною лише за умови вжиття таких додаткових заходів (якщо можливі та достатні для усунення проблеми)».

Орган влади дійшов висновку, що передача, яка була здійснена відповідно до стандартних договірних положень ЄС (SCC), порушила домовленості, які були досягнуті в попередньому рішенні щодо конфіденційності Schrems II в ЄС.

«Такий тип інтерпретації Schrems II є саме результатом, якого боялися багато транснаціональних компаній, коли Schrems II підтримував використання SCC, але викликав підозру щодо ефективності SCC як інструменту для передачі даних до Сполучених Штатів », — коментує Lexology.

Далі у вироку зазначено: «Були ознаки того, що MailChimp було визнано постачальником комунікацій, що працює під юрисдикцією США. Таким чином, небезпека доступу американських спецслужб до цих адрес електронної пошти існує на невизначений термін. MailChimp також не прокоментував вирок. Хоча назва німецької компанії так і не була розкрита, ходять чутки, що це журнал af ashion.

Згідно з Lexology, компанії, які використовують обробники даних, розташовані за межами ЄС, повинні враховувати місцезнаходження цих процесорів і різні юрисдикції, які до них застосовуються. Це необхідно для того, щоб особисті дані та інформація не були доступні будь-якій державній установі.