Ο Βαυαρός Επίτροπος Προστασίας Δεδομένων τάχθηκε κατά του Mailchimp και της απόφασης Schremps II σχετικά με τη μεταφορά δεδομένων στις ΗΠΑ.

Αυτό δεν είναι πέναλτι, ούτε τιμωρία, αλλά νομικό προηγούμενο που θα μπορούσε να προκαλέσει, στο μέλλον, πολυάριθμους μοχλούς για περαιτέρω προτάσεις στο ευρωπαϊκό πλαίσιο. Αλλά για τι ακριβώς πρόκειται; Και γιατί μπορεί αυτή η απόφαση να είναι τόσο σημαντική;

Μιλάμε MailChimp, ένα από τα πιο διάσημα εργαλεία μαζικής αλληλογραφίας στην αγορά, π.χ αποστολή προσωπικών δεδομένων εκτός της ευρωπαϊκής επικράτειαςσυγκεκριμένα στις Ηνωμένες Πολιτείες Αμερικής. Μια παράνομη διαδικασία, ακόμη και αν βασίζεται σε ορισμένες συμβατικές ρήτρες – ειδικά αν οι ίδιες δεν ακολουθούνται περαιτέρω μέτρα. Και είναι ακριβώς αυτά τα «περαιτέρω μέτρα», που ποτέ δεν προσδιορίστηκαν πραγματικά, που προκαλούν συζήτηση.

Κρίση Schrems II: τι συνέβη;

La BayLDA, ή η βαυαρική DPA, η Βαυαρική εγγυήτρια της ιδιωτικής ζωής, πρόσφατα αποφάνθηκε κατά της Mailchimp λόγω μη συμμόρφωσης με τις ενδείξεις που βρέθηκαν στην απόφαση Schrems II σχετικά με τη μεταφορά δεδομένων στις Ηνωμένες Πολιτείες της Αμερικής.

Η απόφαση δημιουργεί ένα πολύ σημαντικό προηγούμενο στον τομέα του ψηφιακού δικαίου. Αν και δεν υπήρχαν χρηματικές ποινές ή ποινές φυλάκισης, αυτή είναι η πρώτη υπόθεση μετά το Schrems II που υπόκειται σε επίσημη απόφαση από τις αρχές. Πάμε όμως με τη σειρά.

Τι είναι το Schrems II, η απόφαση που ακυρώνει την ασπίδα προστασίας της ιδιωτικής ζωής;

Το ΔΕΕ (Δικαστήριο της ΕΕ) έστειλε ένα αίτημα διευκρίνισης για την προστασία δεδομένων μέσω του ακτιβιστή δικηγόρου Schrems το 2015. Στόχος ήταν να ζητηθεί από τον Ιρλανδό επόπτη προστασίας δεδομένων να αναγκάσει το Facebook να μεταφέρει δεδομένα από την ΕΕ στις ΗΠΑ με βάση τις Τυπικές Συμβατικές Ρήτρες.

Μιλάμε για την περίοδο πριν από την έκδοση του GDPR και όλες τις ρήτρες για την επεξεργασία δεδομένων. Η απόφαση ήρθε στις 16 Ιουλίου 2020 και ο Schrems II ακύρωσε την Ασπίδα Απορρήτου ως μηχανισμό για τη μεταφορά δεδομένων από την ΕΕ στις ΗΠΑ, παρέχοντας σημαντική καθοδήγηση για τις αμερικανικές εταιρείες σχετικά με δεδομένα από την Ευρώπη.

Εν ολίγοις, για να χορηγηθεί η μεταφορά στις ΗΠΑ χρειάστηκε εξασφαλίζουν επαρκές επίπεδο προστασίας δεδομένων. Τι κάνεις? Μεγάλες εταιρείες, όπως η Google και η Microsoft, διαθέτουν κέντρα δεδομένων σε στρατηγική τοποθεσία σε όλο τον κόσμο. Ωστόσο, οι νόμοι για τα προσωπικά δεδομένα στις ΗΠΑ είναι διαφορετικοί από εκείνους της ΕΕ. Με άλλα λόγια: η υπηρεσία ασφαλείας της NSA μπορεί να έχει πρόσβαση σε αυτό ανά πάσα στιγμή.

Γι' αυτό είναι οι εξαιρέσεις από τον GDPR: αφορούν ρήτρες εγκεκριμένες από την Ευρωπαϊκή Επιτροπή και από την Εποπτική Αρχή οι οποίες εγκρίνονται κατόπιν αιτήματος της εταιρείας, και έχουν συγκεκριμένη αξία μόνο για τη δραστηριότητα που περιγράφεται στο διάταγμα. Ανάμεσα στα διάφορα μηχανήματα για την προστασία δεδομένων υπάρχει και αυτό του SCC, ή οι Τυπικές Συμβατικές Ρήτρες. Στην πράξη, τόσο η εταιρεία που βρίσκεται στην Ευρώπη όσο και η ξένη πρέπει να συμφωνήσουν να χρησιμοποιήσουν μια συγκεκριμένη σύμβαση η οποία πρέπει πρώτα να εγκριθεί από την Ε.Ε. Στη συνέχεια, το SCC θα πρέπει να υπογραφεί για να τεθεί σε ισχύ η ανταλλαγή δεδομένων.

Ωστόσο, η απόφαση Schrems II έχει κατά κάποιο τρόπο μείωσε τις τυπικές διαδικασίες που χρησιμοποιούνται συνήθως, επιβάλλοντας «πρόσθετα μέτρα". Η ασάφεια αυτού του θέματος έχει οδηγήσει πολλές εταιρείες να αποφύγουν τον κόμπο, απλώς παρακάμπτοντάς τον για να τον αγνοήσουν. Ωστόσο, οι αρχές πρέπει να κάνουν κάτι και ίσως, με την απόφαση του BayLDA, να γίνει ένα νέο βήμα προς τη συμφωνία.

Τι συνέβη στη Βαυαρία; Τι γίνεται με τα «περαιτέρω μέτρα»;

Βαυαρός πολίτης, έχοντας λάβει μια λίστα αλληλογραφίας για λογαριασμό τοπικού περιοδικού μέσω του Mailchimp, αποφάσισε να υποβάλει καταγγελία στην αρμόδια αρχή. Αυτή η αρχή έβαλε τα χέρια της μπροστά λέγοντας ότι η αποστολή δεδομένων της ΕΕ στις ΗΠΑ δεν είναι πάντα παράνομη, ωστόσο είναι αν δεν τηρούνται οι επιταγές του GDPR όπως ερμηνεύεται από το Ευρωπαϊκό Δικαστήριο. Εν ολίγοις: η Mailchimp έκανε αυτό το πράγμα, αλλά δεν λέγεται ότι η μεταφορά δεδομένων στις ΗΠΑ ήταν δόλια. Πρώτα πρέπει να το αποδείξετε, μελετώντας τις μεθόδους μεταφοράς που χρησιμοποιούνται.

Η Mailchimp, μια αμερικανική εταιρεία, έφερε τη δική της ερμηνεία των «πρόσθετων μέτρων» για το οποίο μιλήσαμε νωρίτερα. Εκ των οποίων, ωστόσο, από το Schrems II, τελική έκδοση δεν έχει ακόμη δημοσιευθεί.

Αν και η εποπτική αρχή έχει κατά κάποιο τρόπο επικυρώσει την πρόταση της Mailchimp, η εταιρεία θα έπρεπε τουλάχιστον να είχε αντιμετωπίσει το πρόβλημα της αποστολής δεδομένων στην επικράτεια των ΗΠΑ, πραγματοποιώντας τουλάχιστον μία DPIA για να εκτιμήσει τον βαθμό κινδύνου της επιχείρησης. Περιττό να πούμε ότι αυτή η εκτίμηση δεν έγινε ποτέ.

Ακριβώς λόγω της μη πλήρης δημοσίευσης αυτών των "πρόσθετων μέτρων" η Αρχή αποφάσισε να μην επιβάλει κυρώσεις στο Mailchimp. Και ούτε ο υπεύθυνος επεξεργασίας δεδομένων.

Γιατί είναι αυτή μια τόσο σημαντική απόφαση;

Η απόφαση του Mailchimp είναι θεμελιώδης γιατί, αν σε πρώτη ανάγνωση μπορεί να φαίνεται ως ο προάγγελος για έναν τόνο δόλιων ενεργειών, είναι αντίθετα ένα πρώτο βήμα προς την εφαρμογή της ποινής Schrems II, η οποία μέχρι τώρα συγκεντρώνει σκόνη.

Τι είδους πρόστιμο επιβλήθηκε;

Όπως είπαμε, η Mailchimp δεν έχει λάβει κανενός είδους πρόστιμο. Ωστόσο, η Αρχή διαπίστωσε ότι, αν και τα δεδομένα είχαν διαβιβαστεί με απαράδεκτες μεθόδους, το εξουσιοδοτημένο άτομο –δηλαδή ο ελεύθερος πολίτης– δεν είχε την εξουσία να ζητήσει την κύρωση.

Με λίγα λόγια, ιδιώτης δεν μπορεί να μετακινήσει παράδειγμα σε περίπτωση όπως το Mailchimp. Άλλωστε, η υπόθεση αυτή δεν αφορά τα δικαιώματα και την ελευθερία του ενδιαφερομένου, αλλά έχει ως στόχο της τη διεκδίκηση του δημοσίου συμφέροντος για την επιβολή του νόμου.

Ποια είναι τα πιθανά μελλοντικά σενάρια αυτής της απόφασης;

Είναι δύσκολο να πούμε ποιες θα είναι οι πραγματικές συνέπειες αυτής της ποινής, που μόνο, προς το παρόν, μπορεί να θεωρηθεί έγκυρο προηγούμενο. Στην πραγματικότητα, θα μπορούσε να συμβεί άλλες αρχές να κλίνουν προς αποφάσεις παρανομίας που δεν συνοδεύονται από χρηματικές κυρώσεις. Ή θα μπορούσε να συμβεί η πολυπόθητη ανάπτυξη αυτών των «πρόσθετων μέτρων».

Το μόνο σίγουρο είναι ότι ανεξάρτητα από το πρόστιμο, η Mailchimp έχει κάνει κακή εντύπωση μπροστά στους πελάτες της, χάνοντας την εικόνα της.