Persónuverndarfulltrúi Bæjaralands hefur talað gegn Mailchimp og Schremps II dómnum varðandi gagnaflutning til Bandaríkjanna.

Þetta er ekki víti, né refsing, heldur lagalegt fordæmi sem gæti valdið, í framtíðinni, mörgum lyftistöngum fyrir frekari tillögur í evrópsku samhengi. En um hvað snýst þetta nákvæmlega? Og hvers vegna gæti þessi úrskurður verið svona mikilvægur?

Við erum að tala um MailChimp, eitt frægasta magnpóstverkfæri á markaðnum, e að senda persónuupplýsingar út fyrir landsvæði Evrópusérstaklega í Bandaríkjunum. Ólögmæt málsmeðferð jafnvel þótt byggð sé á ákveðnum samningsákvæðum - sérstaklega ef því sama er ekki fylgt eftir með frekari ráðstafanir. Og það eru einmitt þessar „frekari ráðstafanir“, sem aldrei eru í raun tilgreindar, sem valda umræðu.

Schrems II dómur: hvað gerðist?

La BayLDA, eða Bavarian DPA, Bavarian persónuverndarábyrgðaraðili, hefur nýlega dæmt Mailchimp gegn því að hafa ekki farið að vísbendingum sem finnast í Schrems II dómnum um flutning gagna til Bandaríkjanna.

Ákvörðunin setur mjög mikilvægt fordæmi á sviði stafræns laga. Þó að ekki hafi verið um peninga- eða fangelsisrefsingar að ræða, er þetta fyrsta málið eftir Schrems II, háð formlegri ákvörðun yfirvalda. En förum í röð.

Hvað er Schrems II, úrskurðurinn sem ógildir persónuverndarskjöldinn?

CJEU (dómstóll ESB) sendi beiðni um skýringar á gagnavernd í gegnum aðgerðasinna lögfræðinginn Schrems árið 2015. Markmiðið var að biðja írska gagnaverndareftirlitsmanninn um að þvinga Facebook til að flytja gögn frá ESB til Bandaríkjanna á grundvelli staðlaðra samningsákvæða.

Við erum að tala um tímabilið fyrir útgáfu GDPR og öll ákvæði um gagnavinnslu. Úrskurðurinn féll 16. júlí 2020 og Schrems II ógilti persónuverndarskjöldinn sem kerfi fyrir gagnaflutning frá ESB til Bandaríkjanna, sem veitti bandarískum fyrirtækjum mikilvægar leiðbeiningar varðandi gögn frá Evrópu.

Í stuttu máli, til að veita flutning til Bandaríkjanna, var það nauðsynlegt tryggja fullnægjandi gagnavernd. Hvernig hefurðu það? Stór fyrirtæki, eins og Google og Microsoft, eru með gagnaver sem eru beitt staðsett um allan heim. Hins vegar eru lögin um persónuupplýsingar í Bandaríkjunum önnur en í ESB. Með öðrum orðum: NSA öryggisstofnunin getur nálgast það hvenær sem er.

Til þess eru undantekningarnar frá GDPR: þær snúast um ákvæði samþykktar af framkvæmdastjórn Evrópusambandsins og eftirlitsstofnuninni sem eru samþykktar að beiðni félagsins, og hafa aðeins sérstakt gildi fyrir þá starfsemi sem lýst er í reglugerðinni. Meðal hinna ýmsu véla til gagnaverndar er einnig SCC, eða staðlaða samningsákvæðin. Í reynd verða bæði fyrirtæki í Evrópu og það erlenda að samþykkja að nota sérstakan samning sem þarf fyrst að vera samþykktur af ESB. Þá þarf að undirrita SCC til að gagnaskiptin taki gildi.

Samt hefur Schrems II úrskurðurinn einhvern veginn minnkað staðlaðar verklagsreglur sem venjulega eru notaðar og kveðið á um „viðbótarráðstafanir“. Óljóst í þessu máli hefur leitt til þess að mörg fyrirtæki hafa forðast hnútinn, einfaldlega framhjá honum til að hunsa hann. Hins vegar verða stjórnvöld að gera eitthvað og ef til vill má, með úrskurði BayLDA, taka nýtt skref í átt að samkomulaginu.

Hvað gerðist í Bæjaralandi? Hvað með „frekari ráðstafanir“?

Bæverskur ríkisborgari, eftir að hafa fengið póstlista fyrir hönd staðbundins tímarits í gegnum Mailchimp, ákvað að leggja fram kvörtun til lögbærs yfirvalds. Þessi heimild hefur lagt fram hönd sína með því að segja að sendingar ESB gagna til Bandaríkjanna séu ekki alltaf ólögmætar, hvernig sem það er ef fyrirmæli GDPR eins og hún er túlkuð af Evrópudómstólnum eru ekki virt. Í stuttu máli: Mailchimp gerði þetta, en það er ekki sagt að gagnaflutningurinn til Bandaríkjanna hafi verið sviksamlegur. Fyrst þarftu að sýna fram á það með því að dýpka flutningsaðferðirnar sem notaðar eru.

Mailchimp, bandarískt fyrirtæki, hefur komið með sína eigin túlkun á „viðbótarráðstöfunum“ sem við ræddum áðan. Þar af þó frá Schrems II, endanleg útgáfa hefur ekki enn verið birt.

Þrátt fyrir að eftirlitið hafi á einhvern hátt samþykkt tillögu Mailchimp, hefði fyrirtækið að minnsta kosti átt að taka á vandamálinu við að senda gögn til bandarísks yfirráðasvæðis, framkvæma að minnsta kosti eina DPIA til að meta áhættustig aðgerðarinnar. Það þarf ekki að taka það fram að þetta mat hefur aldrei verið gert.

Það er einmitt vegna þess að ekki tókst að birta þessar „viðbótarráðstafanir“ að fullu sem eftirlitið hefur ákveðið að refsa ekki Mailchimp. Og ekki heldur ábyrgðaraðili gagna.

Af hverju er þetta svona mikilvæg ákvörðun?

Ákvörðun Mailchimp er grundvallaratriði vegna þess að ef hún kann að virðast við fyrstu lestur vera forveri fjölda sviksamlegra aðgerða, þá er hún í staðinn fyrsta skrefið í átt að beitingu Schrems II setningarinnar, sem hefur haldið áfram að safna ryki fram að þessu.

Hvers konar sekt var beitt?

Eins og við sögðum hefur Mailchimp ekki fengið neina sekt. Eftirlitsstofnunin gekkst hins vegar úr skugga um að þrátt fyrir að gögnin væru flutt með óviðunandi aðferðum hefði hinn viðurkenndi einstaklingur - þ.e. frjáls borgari - ekkert vald til að fara fram á viðurlögin.

Í stuttu máli, einkaaðili það getur ekki fært tilvik í tilviki eins og Mailchimp. Enda varðar þetta mál ekki réttindi og frelsi hagsmunaaðila heldur hefur það að markmiði að gæta almannahagsmuna af framfylgd laganna.

Hverjar eru hugsanlegar framtíðarsviðsmyndir þessarar ákvörðunar?

Erfitt er að segja til um hverjar raunverulegar afleiðingar þessarar setningar verða, sem getur aðeins í augnablikinu talist gilt fordæmi. Raunar gæti það gerst að önnur stjórnvöld halli sér að ólögmætisákvörðunum sem ekki fylgja peningalegum viðurlögum. Eða mikil von um þróun þessara „viðbótarráðstafana“ gæti átt sér stað.

Það eina sem er öruggt er að burtséð frá sektinni hefur Mailchimp haft slæm áhrif fyrir framan viðskiptavini sína og glatað ímynd sinni.