巴伐利亞數據保護專員公開反對 Mailchimp 和 Schremps II 關於將數據傳輸到美國的判決。

這不是懲罰，也不是懲罰，而是一個法律先例，未來可能會在歐洲背景下引發進一步動議的許多槓桿。 但它到底是關於什麼的呢？ 為什麼這項裁決如此重要？

我們正在談論 Mailchimp，市場上最著名的批量電子郵件工具之一，e 將個人數據發送到歐洲境外特別是在美國。 即使基於某些合同條款，程序也是非法的 - 特別是如果沒有遵循相同的條款 進一步措施。 正是這些從未真正具體說明的“進一步措施”引起了討論。

施雷姆斯二號判斷：發生了什麼？

La 灣LDA，或巴伐利亞隱私擔保人巴伐利亞 DPA 最近對 Mailchimp 作出了不利於 Mailchimp 的裁決，因為該公司未能遵守 Schrems II 判決中發現的有關將數據傳輸到美利堅合眾國的指示。

決定 開創了一個非常重要的先例 在數字法領域。 雖然沒有金錢或監禁處罰，但這是施雷姆斯二號事件後第一起由當局正式決定的案件。 但我們還是按順序來吧。

Schrems II 是什麼，使隱私護盾無效的裁決？

2015 年，CJEU（歐盟法院）通過維權律師施雷姆斯發出了一份關於數據保護問題的澄清請求。目的是要求愛爾蘭數據保護監管機構強制 Facebook 將數據從歐盟轉移到美國。標準合同條款。

我們談論的是GDPR發布之前的時期以及所有有關數據處理的條款。 該裁決於 16 年 2020 月 XNUMX 日作出，施雷姆斯 II 宣布隱私盾作為從歐盟到美國的數據傳輸機制無效，為美國公司有關美國數據的問題提供了重要指導。

簡而言之，為了允許轉移到美國，有必要 確保足夠的數據保護水平。 你好嗎？ 谷歌和微軟等大公司的數據中心戰略性地分佈在世界各地。 然而，美國有關個人數據的法律與歐盟不同。 換句話說：NSA安全機構可以隨時訪問它。

這就是 GDPR 的例外情況：它們是關於 應公司要求批准的經歐盟委員會和監管機構批准的條款，並且僅對法令中描述的活動具有特定價值。 在各種數據保護機制中，還有 SCC（即標準合同條款）。 在實踐中，位於歐洲的公司和外國公司都必須同意使用特定的合同，該合同必須首先得到歐盟的批准。 然後需要簽署 SCC 才能使數據交換生效。

然而施雷姆斯二世的裁決卻在某種程度上 縮減通常使用的標準程序，實施“進一步措施””。 這件事情的模糊性導致很多企業都迴避這個結，乾脆繞過它不予理睬。 然而，當局必須採取一些行動，也許隨著 BayLDA 的裁決，可以朝著達成協議邁出新的一步。

巴伐利亞發生了什麼？ 那麼“進一步措施”呢？

一名巴伐利亞公民通過 Mailchimp 收到代表當地一家雜誌的郵件列表後，決定向主管當局提出投訴。 該機構表示，向美國發送歐盟數據並不總是非法的，但如果不尊重歐洲法院解釋的 GDPR 的規定，那就是非法的。 簡而言之：Mailchimp 做了這件事，但並沒有說向美國傳輸數據是欺詐性的。 首先，您需要通過深化所使用的傳輸方法來演示它。

Mailchimp是一家美國公司，推出了自己的 “附加措施”的解釋 我們之前談到過。 然而，其中，來自施雷姆斯二世， 最終版本尚未發布。

儘管監管機構在某種程度上認可了 Mailchimp 的動議，但該公司至少應該解決向美國境內發送數據的問題，至少進行一項 DPIA 來評估該操作的風險程度。 不用說，這種評估從未被做出過。

正是由於未能完整公佈這些“附加措施”，管理局決定不制裁 Mailchimp。 數據控制者也不是。

為什麼這是一個如此重要的決定？

Mailchimp 的決定具有根本性，因為乍一看，它似乎是大量欺詐行為的先兆，但它實際上是應用 Schrems II 判決的第一步，該判決至今仍積滿灰塵。

施加了什麼類型的罰款？

正如我們所說，Mailchimp 尚未收到任何形式的罰款。 然而，管理局查明，儘管數據是使用不可接受的方法傳輸的，但授權個人（即自由公民）無權請求制裁。

簡而言之，一個私人 它無法在 Mailchimp 等情況下移動實例。 畢竟，本案並不涉及當事人的權利和自由，而是以維護公共利益為執法目的。

該決定未來可能出現哪些情況？

很難說這句話的實際後果是什麼，目前只能被認為是一個有效的先例。 事實上，其他當局可能會傾向於做出不合法的決定，但不附帶貨幣制裁。 或者，人們期待已久的這些“額外措施”的發展也可能會發生。

唯一確定的是，無論罰款如何，Mailchimp 在客戶面前留下了不好的印象，失去了形象。