Žltá karta pre používateľov MailChimp-u
Koncom marca 2021 vydal Úrad pre ochranu osobných údajov nemeckého Bavorska rozhodnutie, že použitie MailChimpu (= online nástroja na zasielanie newslettrov) prevádzkovaného americkou spoločnosťou The Rocket Science Group LLC, nebolo zákonné a odporovalo podmienkam uvedeným v GDPR.
V prejednávanom prípade namietal sťažovateľ prenos e-mailových adries európskych odberateľov newslettra do USA a porušenie čl. 44 a nasl. GDPR.
Rozhodnutie bavorského úradu nadväzuje na rozhodnutie Európskeho súdneho dvora z júla 2020 vo veci Schrems II, v ktorom súd varoval, že pred použitím štandardných zmluvných doložiek musia spoločnosti určiť, či budú mať záruky podľa právnych predpisov prijímajúcej krajiny (USA) rovnakú úroveň ochrany, ako poskytuje právo EÚ. Ak nie, musia sa zaviesť ďalšie „doplňujúce opatrenia“.
Práve v uvedenom prípade sa síce prenos uskutočnil na základe štandardných zmluvných doložiek, bavorský úrad sa však domnieval, že takýto prenos nedostatočne chránil práva dotknutej osoby v EÚ a kontrolovaný subjekt neurobil žiadne posúdenie doplňujúcich opatrení.
Prečo práve v tomto prípade neboli štandardné doložky dostatočné?
Dôvodom pre tento záver bola skutočnosť, že Mailchimp môže byť kvalifikovaný ako „poskytovateľ služby elektronickej komunikácie“ podľa zákonov USA zameraných na sledovanie (Foreign Intelligence Surveillance Act FISA 702). Existuje teda nebezpečenstvo, že tajné služby USA môžu získať prístup k informáciám, ktoré má MailChimp. Európskym jednotlivcom sa neposkytuje „ochrana“ pred takýmto prístupom , čím sa v konečnom dôsledku neposkytuje rovnaká úroveň ochrany, ako keby dáta zostali v EÚ.
Úrad neuviedol, aké konkrétne opatrenia popri štandardných doložkách mali byť prijaté. Avšak , podľa odporúčania EDPB, ak sa na dovozcu údajov vzťahuje zákon ako je FISA 702, jediný spôsob, ako by mohol byť prenos podľa právnych predpisov EÚ o ochrane údajov zákonný, je šifrovanie. Komplexné usmernenie EDPB však k dátumu tohto článku ešte neexistuje.
Pretože kontrolovaný subjekt prestal používať MailChimp, citlivosť údajov (vo forme e-mailových adries) bola nízka a usmernenie EDPB ešte nebolo sfinalizované, úrad dospel k záveru, že porušenie bolo mierne a neuložil žiadnu pokutu.
Čo teda uviesť do praxe?
Je potrebné si pamätať, že pri zasielaní osobných údajov z EÚ do USA pomocou štandardných zmluvných doložiek musia spoločnosti vykonať hodnotenie, či iba štandardné zmluvné doložky poskytujú rovnakú úroveň ochrany údajov ako podľa práva EÚ. Ak nie, mali by zvážiť, či sa môžu uplatniť ďalšie bezpečnostné opatrenia. Opatrne je potrebné postupovať najmä v prípadoch, v ktorých sa na „dovozcu“ údajov v USA vzťahujú zákony o sledovaní (už spomínaná FISA) a ak sa o takéhoto dovozcu jedná, zaviesť doplňujúce opatrenia na zabránenie prístupu sledovacích agentúr k osobným údajom. Spoločnosti musia byť schopné preukázať, že toto posúdenie vykonali. Ak dodávateľ v USA nie je schopný alebo ochotný poskytnúť informácie podstatné pre posúdenie potenciálnych rizík, bude sa musieť táto spoločnosť rozhodnúť, či je vhodné pokračovať v používaní príslušnej služby, pričom by mala mať pripravené rozumné dôvody, prečo sa nepoužíva ekvivalentná alternatíva (napr. náklady a pod.).
Inou realizovateľnou alternatívou je použitie dodávateľa usadeného v EÚ, ktorý neprenáša údaje do USA alebo iných štátov mimo EÚ.
ZDROJ:
Tento článok má iba všeobecný a informatívny charakter a závery, názory či odporúčania tu uvedené sa nemusia vzťahovať na konkrétnu situáciu. Článok nie je právnym poradenstvom ani ho nenahrádza. Pri riešení konkrétneho problému alebo konkrétnej situácie odporúčame vždy poradiť sa s advokátom.