Баварийн мэдээлэл хамгаалах комиссар Mailchimp болон Schremps II-ийн АНУ руу өгөгдөл дамжуулахтай холбоотой шийдвэрийн эсрэг байр сууриа илэрхийлэв.

Энэ бол торгууль биш, шийтгэл ч биш, харин ирээдүйд Европын нөхцөлд цаашдын хөдөлгөөнийг бий болгох олон хөшүүргийг үүсгэж болзошгүй хууль эрх зүйн урьдчилсан нөхцөл юм. Гэхдээ яг юуны тухай юм бэ? Мөн энэ шийдвэр яагаад ийм чухал байж болох вэ?

Бид ярьж байна MailChimp, зах зээл дээрх хамгийн алдартай бөөнөөр нь имэйл илгээх хэрэгслүүдийн нэг, e Европын нутаг дэвсгэрээс гадуур хувийн мэдээллийг илгээхялангуяа Америкийн Нэгдсэн Улсад. Гэрээний тодорхой заалтууд дээр үндэслэсэн ч хууль бус журам - ялангуяа үүнийг дагаж мөрдөөгүй тохиолдолд цаашдын арга хэмжээ. Чухамдаа эдгээр "цаашдын арга хэмжээ" нь хэзээ ч тодорхойлогдоогүй нь хэлэлцүүлгийг үүсгэж байна.

Schrems II-ийн шүүлт: юу болсон бэ?

La BayLDA, эсвэл Баварийн хувийн нууцлалын батлан ​​даагч Баварийн DPA саяхан Америкийн Нэгдсэн Улс руу өгөгдөл дамжуулахтай холбоотой Schrems II-ийн шийдвэрт заасан заалтуудыг дагаж мөрдөөгүйн улмаас Mailchimp-ийн эсрэг шийдвэр гаргасан.

Шийдвэр маш чухал жишиг тогтоодог дижитал хуулийн чиглэлээр. Мөнгөний болон шоронгийн шийтгэл ногдуулаагүй ч энэ нь эрх баригчдын албан ёсны шийдвэрт хамаарах Schrems II-ийн дараах анхны хэрэг юм. Гэхдээ дарааллаар нь явцгаая.

Шремс II нь нууцлалын хамгаалалтыг хүчингүй болгосон шийдвэр гэж юу вэ?

CJEU (ЕХ-ны Шүүх) 2015 онд идэвхтэн хуульч Шремсээр дамжуулан мэдээлэл хамгаалах тодруулга авах хүсэлтийг илгээсэн. Зорилго нь Ирландын мэдээлэл хамгаалах хянагчаас Гэрээний стандарт заалтуудыг үндэслэн ЕХ-ноос АНУ руу өгөгдөл дамжуулахыг Facebook-ийг албадахыг хүссэн юм.

Бид GDPR-ийг гаргахаас өмнөх үе, өгөгдөл боловсруулах бүх заалтуудын талаар ярьж байна. Энэхүү шийдвэр нь 16 оны 2020-р сарын XNUMX-нд гарсан бөгөөд Schrems II нь ЕХ-ноос АНУ руу өгөгдөл дамжуулах механизм болох Нууцлалын хамгаалалтыг хүчингүй болгож, АНУ-ын компаниудад Европоос ирсэн мэдээллийн талаар чухал удирдамж өгсөн.

Товчхондоо, АНУ руу шилжүүлгийг зөвшөөрөхийн тулд зайлшгүй шаардлагатай байсан өгөгдөл хамгаалах зохих түвшинг хангах. Та яаж байна? Google, Microsoft зэрэг томоохон компаниуд дэлхийн өнцөг булан бүрт стратегийн байрлалтай дата төвтэй. Гэсэн хэдий ч АНУ-ын хувийн мэдээллийн тухай хууль нь ЕХ-ныхоос өөр юм. Өөрөөр хэлбэл, NSA аюулгүй байдлын агентлаг хүссэн үедээ хандах боломжтой.

GDPR-ийн үл хамаарах зүйлүүд нь үүнд зориулагдсан юм: тэдгээр нь тухай юм Европын Комисс болон Хяналтын байгууллагаас баталсан заалтууд нь компанийн хүсэлтээр батлагдсан, мөн зөвхөн захирамжид тодорхойлсон үйл ажиллагааны хувьд тодорхой утгатай байна. Мэдээллийг хамгаалах төрөл бүрийн машинуудын дунд ХЗХ буюу гэрээний стандарт заалтууд бас байдаг. Бодит байдал дээр Европт байрладаг компани болон гадаадын аль аль нь ЕХ-ноос зөвшөөрөл авах ёстой тодорхой гэрээг ашиглахаар тохиролцсон байх ёстой. Дараа нь өгөгдөл солилцоо хүчин төгөлдөр болохын тулд ХЗХ-нд гарын үсэг зурах шаардлагатай.

Гэсэн хэдий ч Schrems II-ийн шийдвэр ямар нэгэн байдлаар гарсан ердийн хэрэглэгдэж байсан стандарт журмыг цомхотгож, “цаашдын арга хэмжээ”. Энэ асуудлын тодорхой бус байдал нь олон компаниудыг зангилаанаас зайлсхийхэд хүргэсэн бөгөөд зүгээр л үүнийг үл тоомсорлодог. Гэсэн хэдий ч эрх баригчид ямар нэгэн зүйл хийх ёстой бөгөөд магадгүй BayLDA-ийн шийдвэрээр тохиролцоонд хүрэх шинэ алхам хийх боломжтой.

Баварт юу болсон бэ? "Цаашид авах арга хэмжээний" талаар юу хэлэх вэ?

Баварийн иргэн Mailchimp-ээр дамжуулан орон нутгийн сэтгүүлийн нэрийн өмнөөс захидлын хуудсыг хүлээн авснаар эрх бүхий байгууллагад гомдол гаргахаар шийджээ. Энэ эрх мэдэл нь АНУ-д ЕХ-ны мэдээллийг илгээх нь үргэлж хууль бус зүйл биш гэж мэдэгдэж, Европын Шүүхийн тайлбарласнаар GDPR-ийн зааврыг үл хүндэтгэдэг гэж мэдэгдэв. Товчхондоо: Mailchimp үүнийг хийсэн боловч АНУ руу өгөгдөл дамжуулах нь хуурамч биш байж магадгүй юм. Эхлээд та ашигласан шилжүүлэх аргуудыг судлах замаар үүнийг харуулах хэрэгтэй.

Америкийн Mailchimp компани өөрийн "нэмэлт арга хэмжээ" -ийн тайлбар бидний өмнө нь ярьсан. Үүний дотроос II Schrems-ээс эцсийн хувилбар хараахан хэвлэгдээгүй байна.

Хэдийгээр хяналтын байгууллага ямар нэгэн байдлаар Mailchimp-ийн саналыг дэмжсэн ч компани нь ядаж АНУ-ын нутаг дэвсгэрт мэдээлэл илгээх асуудлыг шийдэж, үйл ажиллагааны эрсдэлийн түвшинг үнэлэхийн тулд дор хаяж нэг DPIA хийх ёстой байсан. Ийм үнэлгээ хэзээ ч хийгээгүй гэдгийг хэлэх нь илүүц биз.

Эдгээр "нэмэлт арга хэмжээг" бүрэн эхээр нь нийтлээгүйн улмаас тус байгууллага Mailchimp-д хориг тавихгүй байхаар шийдсэн. Мэдээллийн хянагч ч биш.

Энэ яагаад ийм чухал шийдвэр вэ?

Mailchimp-ийн шийдвэр нь маш чухал, учир нь хэрэв энэ нь анх уншихад луйврын олон үйлдлийн анхдагч мэт санагдаж болох юм бол энэ нь өнөөг хүртэл тоос шороотой хэвээр байгаа Schrems II ялыг хэрэгжүүлэх эхний алхам болно.

Ямар төрлийн торгууль ногдуулсан бэ?

Бидний хэлсэнчлэн Mailchimp ямар ч торгууль аваагүй. Гэсэн хэдий ч, мэдээллийг хүлээн зөвшөөрөх боломжгүй аргуудыг ашиглан шилжүүлсэн ч эрх бүхий хүн, өөрөөр хэлбэл, эрх чөлөөтэй иргэн хориг арга хэмжээ авахыг хүсэх эрхгүй болохыг тус газраас тогтоожээ.

Товчхондоо хувь хүн энэ нь Mailchimp шиг тохиолдлын жишээг зөөж чадахгүй. Эцсийн эцэст энэ хэрэг нь сонирхогч этгээдийн эрх, эрх чөлөөнд хамаарахгүй, харин хууль хэрэгжүүлэх олон нийтийн эрх ашгийг хамгаалах зорилготой юм.

Энэ шийдвэрийн ирээдүйн боломжит хувилбарууд юу вэ?

Энэ өгүүлбэрийн бодит үр дагавар нь юу болохыг хэлэхэд хэцүү бөгөөд үүнийг зөвхөн одоогийн байдлаар хүчинтэй жишиг гэж үзэж болно. Үнэн хэрэгтээ бусад эрх баригчид мөнгөний хориг арга хэмжээ аваагүй хууль бус шийдвэр гаргахад чиглэж магадгүй юм. Эсвэл эдгээр "нэмэлт арга хэмжээ" -ийг боловсруулахад ихээхэн найдаж байсан зүйл тохиолдож болно.

Цорын ганц тодорхой зүйл бол торгууль ногдуулахаас үл хамааран Mailchimp нь үйлчлүүлэгчдийнхээ өмнө муу сэтгэгдэл төрүүлж, өөрийн нэр хүндээ алдсан явдал юм.