Den bayerske databeskyttelseskommissæren har uttalt seg mot Mailchimp og Schremps II-dommen angående overføring av data til USA.

Dette er ikke en straff, og heller ikke en straff, men en rettslig presedens som i fremtiden kan føre til mange grep for ytterligere forslag i europeisk sammenheng. Men hva handler det om, egentlig? Og hvorfor kan denne kjennelsen være så viktig?

Vi snakker om MailChimp, et av de mest kjente verktøyene for massee-post på markedet, f å sende personopplysninger utenfor det europeiske territorietspesielt i USA. En illegitim prosedyre selv om den er basert på visse kontraktsmessige klausuler - spesielt hvis de samme ikke følges opp med ytterligere tiltak. Og det er nettopp disse «ytterligere tiltakene», som egentlig aldri er spesifisert, som skaper diskusjon.

Schrems II-dommen: hva skjedde?

La BayLDA, eller Bavarian DPA, den bayerske personverngarantisten, har nylig dømt mot Mailchimp på grunn av manglende overholdelse av indikasjonene som finnes i Schrems II-dommen angående overføring av data til USA.

Avgjørelsen skaper en svært viktig presedens innen digital rett. Selv om det ikke var noen penge- eller fengselsstraff, er dette den første saken etter Schrems II underlagt en formell avgjørelse fra myndighetene. Men la oss gå i rekkefølge.

Hva er Schrems II, kjennelsen som ugyldiggjør personvernskjoldet?

CJEU (Court of Justice of EU) sendte en forespørsel om databeskyttelsesavklaring gjennom aktivistadvokaten Schrems i 2015. Målet var å be den irske databeskyttelsestilsynet om å tvinge Facebook til å overføre data fra EU til USA basert på Standard Contractual Clauses.

Vi snakker om perioden før utgivelsen av GDPR og alle klausulene om databehandling. Kjennelsen kom 16. juli 2020, og Schrems II ugyldiggjorde Privacy Shield som en mekanisme for dataoverføringer fra EU til USA, og ga viktig veiledning for amerikanske selskaper angående data fra Europa.

Kort sagt, for å gi overføringen til USA, var det nødvendig sikre et tilstrekkelig nivå av databeskyttelse. Hvordan går det? Store selskaper, som Google og Microsoft, har datasentre strategisk plassert over hele verden. Lovene om personopplysninger i USA er imidlertid annerledes enn i EU. Med andre ord: NSAs sikkerhetsbyrå kan få tilgang til den når som helst.

Det er det unntakene fra GDPR er for: de handler om klausuler godkjent av EU-kommisjonen og av tilsynsmyndigheten som er godkjent på forespørsel fra selskapet, og har spesifikk verdi bare for aktiviteten beskrevet i forordningen. Blant de forskjellige maskinene for databeskyttelse er det også SCC, eller standardkontraktsklausulene. I praksis må både selskapet lokalisert i Europa og det utenlandske samtykke til å bruke en spesifikk kontrakt som først må godkjennes av EU. SCC må da signeres for at datautvekslingen skal tre i kraft.

Likevel har Schrems II-dommen på en eller annen måte reduserte standardprosedyrene som vanligvis brukes, og innførte «ytterligere tiltak". Uklarheten i denne saken har ført til at mange bedrifter har unngått knuten, bare forbigått den for å ignorere den. Myndighetene må imidlertid gjøre noe, og kanskje, med BayLDA-dommen, kan et nytt skritt mot avtalen nås.

Hva skjedde i Bayern? Hva med "ytterligere tiltak"?

En bayersk statsborger, etter å ha mottatt en e-postliste på vegne av et lokalt magasin via Mailchimp, bestemte seg for å sende inn en klage til den kompetente myndigheten. Denne myndigheten har lagt hendene frem ved å si at sending av EU-data til USA ikke alltid er illegitim, men det er det hvis diktatene fra GDPR slik den tolkes av EU-domstolen ikke respekteres. Kort sagt: Mailchimp gjorde dette, men det sies ikke at dataoverføringen til USA var uredelig. Først må du demonstrere det ved å utdype overføringsmetodene som brukes.

Mailchimp, et amerikansk selskap, har tatt med sin egen tolkning av "ytterligere tiltak" som vi snakket om tidligere. Hvorav imidlertid fra Schrems II, en endelig versjon er ennå ikke publisert.

Selv om tilsynsmyndigheten på en eller annen måte har sluttet seg til Mailchimps forslag, burde selskapet i det minste ha tatt opp problemet med å sende data til amerikansk territorium, og ha gjennomført minst én DPIA for å vurdere graden av risiko ved operasjonen. Det er unødvendig å si at denne vurderingen aldri har blitt gjort.

Det er nettopp i kraft av manglende offentliggjøring av disse «tilleggstiltakene» i sin helhet at tilsynet har besluttet ikke å sanksjonere Mailchimp. Og det er den behandlingsansvarlige heller ikke.

Hvorfor er dette en så viktig avgjørelse?

Mailchimps avgjørelse er grunnleggende fordi, hvis den ved første lesing kan virke som forløperen for massevis av uredelige handlinger, er det i stedet et første skritt mot anvendelsen av Schrems II-setningen, som har holdt på å samle støv til nå.

Hvilken type bot ble ilagt?

Som vi sa, har ikke Mailchimp fått noen form for bot. Tilsynet konstaterte imidlertid at selv om dataene ble overført ved bruk av uakseptable metoder, hadde den autoriserte personen - det vil si den frie borgeren - ingen makt til å be om sanksjonen.

Kort sagt en privatperson den kan ikke flytte instans i en sak som Mailchimp. Denne saken gjelder tross alt ikke den berørte parts rettigheter og frihet, men har som mål å hevde allmennhetens interesse i å håndheve loven.

Hva er de potensielle fremtidige scenariene for denne beslutningen?

Det er vanskelig å si hva de faktiske konsekvensene av denne dommen vil være, som bare foreløpig kan anses som en gyldig presedens. Faktisk kan det skje at andre myndigheter lener seg mot beslutninger om illegitimitet som ikke er ledsaget av monetære sanksjoner. Eller den mye håpede utviklingen av disse "ekstra tiltakene" kan oppstå.

Det eneste sikre er at uavhengig av boten har Mailchimp gjort et dårlig inntrykk foran kundene sine, og mistet imaget.