Բավարիայի տվյալների պաշտպանության հանձնակատարը դեմ է արտահայտվել Mailchimp-ին և Schremps II-ին ԱՄՆ տվյալների փոխանցման վերաբերյալ վճիռին:

Սա տուգանք չէ, ոչ էլ պատիժ, այլ իրավական նախադեպ, որը կարող է ապագայում բազմաթիվ լծակներ առաջացնել եվրոպական համատեքստում հետագա միջնորդությունների համար։ Բայց կոնկրետ ինչի՞ մասին է խոսքը։ Իսկ ինչո՞ւ կարող է այս որոշումը այդքան կարևոր լինել։

Մենք խոսում ենք դրա մասին Mailchimp, շուկայում ամենահայտնի զանգվածային էլփոստի գործիքներից մեկը, էլ անձնական տվյալներ եվրոպական տարածքից դուրս ուղարկելու մասինմասնավորապես Ամերիկայի Միացյալ Նահանգներում: Անօրինական ընթացակարգ, նույնիսկ եթե հիմնված է որոշակի պայմանագրային դրույթների վրա, հատկապես, եթե դրանք չեն հետևվում. հետագա միջոցառումները։ Եվ հենց այս «հետագա միջոցառումներն» են, որոնք իրականում երբեք չեն հստակեցվել, քննարկման տեղիք են տալիս։

Շրեմս II վճիռ. ի՞նչ է պատահել:

La BayLDA, կամ Բավարիայի DPA-ն՝ Բավարիայի գաղտնիության երաշխավորը, վերջերս վճիռ է կայացրել Mailchimp-ի դեմ՝ Schrems II-ի դատավճռում նշված ցուցումներին չհամապատասխանելու պատճառով՝ կապված տվյալների Ամերիկայի Միացյալ Նահանգներ փոխանցման հետ:

Որոշումը շատ կարևոր նախադեպ է ստեղծում թվային իրավունքի ոլորտում։ Թեև դրամական կամ բանտային տույժեր չկային, սա Շրեմ II-ից հետո առաջին դեպքն է, որը ենթակա է պաշտոնական որոշման իշխանությունների կողմից: Բայց արի գնանք հերթականությամբ։

Ո՞րն է Schrems II-ի որոշումը, որն անվավեր է դարձնում գաղտնիության վահանը:

CJEU-ն (ԵՄ արդարադատության դատարանը) 2015-ին ակտիվիստ փաստաբան Շրեմսի միջոցով տվյալների պաշտպանության պարզաբանման հարցում ուղարկեց: Նպատակն էր խնդրել իռլանդական տվյալների պաշտպանության վերահսկիչին ստիպել Facebook-ին տվյալներ փոխանցել ԵՄ-ից ԱՄՆ՝ հիմնվելով Ստանդարտ պայմանագրային դրույթների վրա:

Խոսքը GDPR-ի հրապարակումից առաջ ընկած ժամանակահատվածի և տվյալների մշակման վերաբերյալ բոլոր կետերի մասին է։ Վճիռը կայացվել է 16 թվականի հուլիսի 2020-ին, և Schrems II-ը անվավեր է ճանաչել Գաղտնիության վահանը՝ որպես ԵՄ-ից ԱՄՆ տվյալների փոխանցման մեխանիզմ՝ ապահովելով կարևոր ուղեցույց ամերիկյան ընկերություններին Եվրոպայից ստացվող տվյալների վերաբերյալ:

Մի խոսքով, ԱՄՆ տեղափոխությունը տրամադրելու համար անհրաժեշտ էր ապահովել տվյալների պաշտպանության համապատասխան մակարդակ. Ողջույն? Խոշոր ընկերությունները, ինչպիսիք են Google-ը և Microsoft-ը, ունեն տվյալների կենտրոններ, որոնք ռազմավարականորեն տեղակայված են ամբողջ աշխարհում: Այնուամենայնիվ, ԱՄՆ-ում անձնական տվյալների մասին օրենքները տարբերվում են ԵՄ օրենքներից։ Այլ կերպ ասած՝ NSA անվտանգության գործակալությունը ցանկացած պահի կարող է մուտք գործել դրան:

Դրա համար են GDPR-ից բացառությունները. դրանք վերաբերում են Եվրոպական հանձնաժողովի և Վերահսկիչ մարմնի կողմից հաստատված կետերը, որոնք հաստատվում են ընկերության խնդրանքովև հատուկ արժեք ունեն միայն կանոնադրության մեջ նկարագրված գործունեության համար: Տվյալների պաշտպանության տարբեր մեքենաների թվում կա նաև SCC-ը կամ ստանդարտ պայմանագրային դրույթները: Գործնականում և՛ Եվրոպայում գտնվող, և՛ արտասահմանյան ընկերությունը պետք է համաձայնեն օգտագործել կոնկրետ պայմանագիր, որը նախ պետք է հաստատի ԵՄ-ն։ Այնուհետև SCC-ը պետք է ստորագրվի, որպեսզի տվյալների փոխանակումն ուժի մեջ մտնի:

Այնուամենայնիվ, Schrems II-ի որոշումը ինչ-որ կերպ ունի նվազեցրեց սովորական կիրառվող ստանդարտ ընթացակարգերը՝ սահմանելով «հետագա միջոցներ»: Այս հարցի անորոշությունը ստիպել է շատ ընկերությունների խուսափել հանգույցից՝ պարզապես շրջանցելով այն՝ անտեսելով այն: Այնուամենայնիվ, իշխանությունները պետք է ինչ-որ բան անեն, և գուցե BayLDA-ի որոշմամբ նոր քայլ կատարվի դեպի համաձայնություն։

Ինչ է տեղի ունեցել Բավարիայում. Ինչ վերաբերում է «հետագա միջոցառումներին».

Բավարիայի մի քաղաքացի, Mailchimp-ի միջոցով տեղական ամսագրի անունից փոստային ցուցակ ստանալով, որոշել է բողոք ներկայացնել իրավասու մարմնին: Այս իշխանությունն առաջ է քաշել՝ ասելով, որ ԵՄ տվյալների ԱՄՆ ուղարկելը միշտ չէ, որ անօրինական է, սակայն դա այն դեպքում, եթե չհարգվեն GDPR-ի թելադրանքը, ինչպես մեկնաբանվում է Եվրոպական դատարանի կողմից։ Մի խոսքով, Mailchimp-ն արել է այս բանը, բայց չի ասվում, որ տվյալների փոխանցումը ԱՄՆ կեղծ է եղել։ Նախ անհրաժեշտ է դա ցույց տալ՝ ուսումնասիրելով կիրառվող փոխանցման մեթոդները։

Ամերիկյան Mailchimp ընկերությունը բերել է իր սեփականը «Լրացուցիչ միջոցների» մեկնաբանություն. որի մասին ավելի վաղ խոսեցինք։ Որից, սակայն, Շրեմս II-ից, վերջնական տարբերակը դեռ հրապարակված չէ։

Թեև վերահսկիչ մարմինը ինչ-որ կերպ հավանություն է տվել Mailchimp-ի միջնորդությանը, ընկերությունը պետք է գոնե անդրադառնար ԱՄՆ տարածք տվյալներ ուղարկելու խնդրին, իրականացնելով առնվազն մեկ DPIA՝ գնահատելու գործողության ռիսկայնության աստիճանը: Ավելորդ է ասել, որ այս գնահատականը երբեք չի տրվել։

Հենց այս «լրացուցիչ միջոցները» ամբողջությամբ չհրապարակելու պատճառով է, որ Իշխանությունը որոշել է չպատժել Mailchimp-ին: Եվ ոչ էլ տվյալների վերահսկիչը:

Ինչո՞ւ է սա այդքան կարևոր որոշում:

Mailchimp-ի որոշումը հիմնարար է, քանի որ, եթե առաջին ընթերցմամբ այն կարող է թվալ որպես մի տոննա խարդախ գործողությունների նախակարապետ, փոխարենը դա առաջին քայլն է Schrems II նախադասության կիրառման ուղղությամբ, որը մինչ այժմ փոշի է հավաքում:

Ինչ տեսակի տուգանք է կիրառվել.

Ինչպես ասացինք, Mailchimp-ը ոչ մի տուգանք չի ստացել։ Այնուամենայնիվ, Մարմինը պարզել է, որ թեև տվյալները փոխանցվել են անթույլատրելի մեթոդներով, սակայն լիազորված անձը, այսինքն՝ ազատ քաղաքացին, իրավունք չունի պահանջելու սանկցիան։

Մի խոսքով, մասնավոր անձ այն չի կարող օրինակ տեղափոխել Mailchimp-ի նման դեպքում. Ի վերջո, այս գործը չի վերաբերում շահագրգիռ կողմի իրավունքներին և ազատությանը, այլ իր նպատակն ունի օրենքի կիրառման հանրային շահի հաստատումը։

Որո՞նք են այս որոշման հնարավոր ապագա սցենարները:

Դժվար է ասել, թե իրականում ինչ հետեւանքներ կունենա այս նախադասությունը, որն առայժմ միայն վավերական նախադեպ կարելի է համարել։ Փաստորեն, կարող է պատահել, որ այլ իշխանությունները հակվեն ոչ լեգիտիմության որոշումներին, որոնք չեն ուղեկցվում դրամական պատժամիջոցներով։ Կամ այդ «լրացուցիչ միջոցառումների» այնքան սպասված զարգացումը կարող է տեղի ունենալ:

Միակ վստահությունն այն է, որ անկախ տուգանքից՝ Mailchimp-ը վատ տպավորություն է թողել իր հաճախորդների առջեւ՝ կորցնելով իր իմիջը։