バイエルン州のデータ保護コミッショナーは、Mailchimp と、米国へのデータ転送に関する Schremps II の判決に反対しています。

これはペナルティではありません、罰でもありませんが、将来、ヨーロッパの文脈でさらなる動きのための多くのレバーを引き起こす可能性のある判例です. しかし、それは正確には何についてですか？ そして、なぜこの裁定はそれほど重要なのでしょうか?

我々は話をしている Mailchimp、市場で最も有名な一括メール ツールの XNUMX つです。 欧州域外への個人データの送信特にアメリカ合衆国で。 特定の契約条項に基づいていたとしても、違法な手順 – 特に同じ条項がフォローアップされていない場合 さらなる対策。 そして、議論を引き起こしているのは、実際には特定されていない、まさにこれらの「さらなる措置」です。

Schrems II 判決: 何が起こったのか?

La ベイLDA、またはバイエルンのプライバシー保証者であるバイエルンのDPAは、最近、アメリカ合衆国へのデータ転送に関するSchrems IIの判決で見つかった指示に従わなかったため、Mailchimpに不利な判決を下しました.

決定 非常に重要な前例を作る デジタル法の分野で。 金銭的または懲役刑はありませんでしたが、これは当局による正式な決定の対象となったシュレムス II 後の最初のケースです。 しかし、順番に行きましょう。

プライバシーシールドを無効にする判決、Schrems IIとは？

CJEU (EU 司法裁判所) は、2015 年に活動家の弁護士 Schrems を通じて、データ保護に関する明確化を求める要求を送信しました。その目的は、アイルランドのデータ保護監督者に、Facebook に EU から米国へのデータ転送を強制するよう求めることでした。標準契約条項。

GDPRのリリース前の期間とデータ処理に関するすべての条項について話しています。 判決は 16 年 2020 月 XNUMX 日に下され、Schrems II は、EU から米国へのデータ転送のメカニズムとしてのプライバシー シールドを無効にし、米国のデータに関する重要なガイダンスを米国企業に提供しました。

つまり、米国への移籍を許可するためには、 適切なレベルのデータ保護を確保する. ごきげんよう？ Google や Microsoft などの大企業は、戦略的に世界中にデータ センターを配置しています。 ただし、米国の個人データに関する法律は、EU の法律とは異なります。 つまり、NSA セキュリティ機関はいつでもアクセスできます。

それが GDPR の例外の目的です。 欧州委員会および監督当局によって承認され、会社の要求に応じて承認された条項であり、条例に記載された活動に対してのみ特定の価値を有する。 データ保護のためのさまざまな機械の中には、SCC (標準契約条項) の機械もあります。 実際には、ヨーロッパに所在する会社と外国の会社の両方が、最初に EU によって承認されなければならない特定の契約を使用することに同意する必要があります。 データ交換を有効にするには、SCC に署名する必要があります。

しかし、シュレムス II 判決はどういうわけか 通常使用される標準的な手順を縮小し、「追加の措置を課す」」。 この問題が曖昧であるため、多くの企業が結び目を回避し、単純に無視してしまいました。 しかし、当局は何かをしなければならず、おそらく、BayLDA の裁定により、合意に向けた新たな一歩を踏み出すことができます。

バイエルンで何が起きた？ 「更なる対策」は？

Mailchimp を介して地元の雑誌に代わってメーリング リストを受け取ったバイエルン市民は、管轄当局に苦情を申し立てることにしました。 この当局は、EU のデータを米国に送信することは必ずしも違法ではないが、欧州司法裁判所によって解釈された GDPR の指示が尊重されない場合には違法であると述べて手を差し伸べています。 要するに、Mailchimp はこのようなことを行いましたが、米国へのデータ転送が不正だったとは言われていません。 まず、使用される転送方法を深めることによって、それを実証する必要があります。

アメリカの会社であるMailchimpは、独自の 「追加措置」の解釈 先ほどお話ししたことです。 ただし、シュレムス II からは、 最終版はまだ公開されていません。

監督当局は何らかの形で Mailchimp の申し立てを支持しましたが、同社は少なくともデータを米国領土に送信する問題に対処し、運用のリスクの程度を評価するために少なくとも XNUMX つの DPIA を実行する必要がありました。 言うまでもなく、この評価は行われたことがありません。

当局がMailchimpを認可しないことを決定したのは、まさにこれらの「追加措置」を完全に公開できなかったからです. また、データ管理者もそうではありません。

なぜこれが重要な決定なのですか？

Mailchimp の決定は基本的なものです。最初に読んだ場合、大量の不正行為の前兆のように見えるかもしれませんが、それは代わりに、今までほこりを集め続けてきた Schrems II 文の適用への第一歩であるためです。

どのような種類の罰金が適用されましたか?

前述のとおり、Mailchimp はいかなる種類の罰金も受け取っていません。 しかし、当局は、データが容認できない方法で転送されたにもかかわらず、許可された個人、つまり自由市民には制裁を要求する権限がないことを確認しました。

要するに私人 Mailchimp のようなケースではインスタンスを移動できません. 結局のところ、この事件は利害関係者の権利と自由に関係するものではなく、法律を執行することで公共の利益を主張することを目的としています。

この決定の潜在的な将来のシナリオは何ですか?

この文の実際の結果がどうなるかを言うのは難しいですが、現時点では有効な前例と見なすことができます. 実際、他の当局が、金銭的制裁を伴わない違法性の決定に傾倒する可能性があります。 または、待望のこれらの「追加措置」の開発が行われる可能性があります。

唯一確かなことは、罰金に関係なく、Mailchimp は顧客の前で悪い印象を与え、イメージを失ったことです。