Komisioneri bavarez për mbrojtjen e të dhënave është shprehur kundër Mailchimp dhe gjykimit Schremps II në lidhje me transferimin e të dhënave në SHBA.

Ky nuk është një penallti, as një dënim, por një precedent ligjor që mund të shkaktojë, në të ardhmen, leva të shumta për mocione të mëtejshme në kontekstin evropian. Por për çfarë bëhet fjalë saktësisht? Dhe pse mund të jetë kaq i rëndësishëm ky vendim?

Ne po flasim për Mailchimp, një nga mjetet më të famshme të postës elektronike me shumicë në treg, p.sh të dërgimit të të dhënave personale jashtë territorit evropiankonkretisht në Shtetet e Bashkuara të Amerikës. Një procedurë jolegjitime edhe nëse bazohet në disa klauzola kontraktuale - veçanërisht nëse të njëjtat nuk ndiqen me masat e mëtejshme. Dhe janë pikërisht këto “masa të mëtejshme”, asnjëherë të specifikuara realisht, që po shkaktojnë diskutim.

Gjykimi i Schrems II: çfarë ndodhi?

La BayLDA, ose DPA bavareze, garantuesi i privatësisë bavareze, ka vendosur së fundmi kundër Mailchimp për shkak të mospërputhjes me indikacionet e gjetura në vendimin Schrems II në lidhje me transferimin e të dhënave në Shtetet e Bashkuara të Amerikës.

Vendimi krijon një precedent shumë të rëndësishëm në fushën e së drejtës dixhitale. Ndërkohë që nuk kishte dënime monetare ose me burg, ky është rasti i parë pas Schrems II që i nënshtrohet një vendimi zyrtar nga autoritetet. Por le të shkojmë me radhë.

Cili është Schrems II, vendimi që zhvlerëson mburojën e privatësisë?

GJED-ja (Gjykata e Drejtësisë së BE-së) dërgoi një kërkesë për sqarim mbi mbrojtjen e të dhënave përmes avokatit aktivist Schrems, në vitin 2015. Qëllimi ishte t'i kërkonte mbikëqyrësit irlandez të mbrojtjes së të dhënave të detyronte Facebook-un të transferonte të dhëna nga BE-ja në SHBA, bazuar në Klauzola standarde kontraktuale.

Bëhet fjalë për periudhën para daljes së GDPR dhe të gjitha klauzolat për përpunimin e të dhënave. Vendimi erdhi më 16 korrik 2020 dhe Schrems II e zhvlerësoi Mburojën e Privatësisë si një mekanizëm për transferimin e të dhënave nga BE-ja në SHBA, duke ofruar udhëzime të rëndësishme për kompanitë amerikane në lidhje me të dhënat e SHBA. 'Evropa.

Me pak fjalë, për të dhënë transferimin në SHBA, ishte e nevojshme të sigurojë një nivel adekuat të mbrojtjes së të dhënave. Ç'kemi? Kompanitë e mëdha, si Google dhe Microsoft, kanë qendra të të dhënave të vendosura në mënyrë strategjike në të gjithë botën. Megjithatë, ligjet për të dhënat personale në SHBA janë të ndryshme nga ato në BE. Me fjalë të tjera: agjencia e sigurisë NSA mund të hyjë në të në çdo kohë.

Për këtë janë përjashtimet nga GDPR: ato kanë të bëjnë klauzola të miratuara nga Komisioni Evropian dhe nga Autoriteti Mbikëqyrës të cilat miratohen me kërkesë të shoqërisë, dhe kanë vlerë specifike vetëm për aktivitetin e përshkruar në urdhëresë. Midis makinerive të ndryshme për mbrojtjen e të dhënave është edhe ajo e SCC, ose Klauzolat Standarde Kontraktore. Në praktikë, si kompania e vendosur në Evropë, ashtu edhe ajo e huaja duhet të bien dakord të përdorin një kontratë specifike e cila duhet të miratohet më parë nga BE-ja. Më pas, SCC do të duhet të nënshkruhet në mënyrë që shkëmbimi i të dhënave të hyjë në fuqi.

Megjithatë, vendimi i Schrems II ka bërë disi zvogëloi procedurat standarde të përdorura normalisht, duke vendosur “masa shtesë“. Paqartësia e kësaj çështje ka bërë që shumë kompani të shmangin nyjen, thjesht duke e anashkaluar atë për ta injoruar. Megjithatë, autoritetet duhet të bëjnë diçka dhe ndoshta, me vendimin e BayLDA, mund të arrihet një hap i ri drejt marrëveshjes.

Çfarë ndodhi në Bavari? Po “masat e mëtejshme”?

Një shtetas bavarez, pasi kishte marrë një listë postare në emër të një reviste lokale nëpërmjet Mailchimp, vendosi të paraqesë një ankesë pranë autoritetit kompetent. Ky autoritet ka vënë duart përpara duke thënë se dërgimi i të dhënave të BE-së në SHBA nuk është gjithmonë i paligjshëm, por nëse nuk respektohen diktatet e GDPR të interpretuara nga Gjykata Evropiane e Drejtësisë. Me pak fjalë: Mailchimp e ka bërë këtë gjë, por nuk është e thënë që transferimi i të dhënave në SHBA të jetë mashtrues. Së pari ju duhet ta demonstroni atë, duke thelluar metodat e transferimit të përdorura.

Mailchimp, një kompani amerikane, ka sjellë të sajën interpretimi i "masave shtesë" për të cilën folëm më herët. Nga të cilat, megjithatë, nga Schrems II, një version përfundimtar nuk është publikuar ende.

Megjithëse autoriteti mbikëqyrës në një farë mënyre ka miratuar mocionin e Mailchimp, kompania duhet të paktën të kishte adresuar problemin e dërgimit të të dhënave në territorin e SHBA, duke kryer të paktën një DPIA për të vlerësuar shkallën e rrezikut të operacionit. Eshtë e panevojshme të thuhet se ky vlerësim nuk është bërë kurrë.

Është pikërisht për shkak të mospublikimit të plotë të këtyre "masave shtesë" që Autoriteti ka vendosur të mos sanksionojë Mailchimp. Dhe as kontrolluesi i të dhënave nuk është.

Pse është ky një vendim kaq i rëndësishëm?

Vendimi i Mailchimp është thelbësor sepse, nëse në leximin e parë mund të duket si pararendës për një ton veprimesh mashtruese, ai është një hap i parë drejt zbatimit të dënimit Schrems II, i cili ka mbetur duke mbledhur pluhur deri tani.

Çfarë lloj gjobe u aplikua?

Siç thamë, Mailchimp nuk ka marrë asnjë lloj gjobe. Megjithatë, Autoriteti konstatoi se, megjithëse të dhënat janë transferuar me metoda të papranueshme, individi i autorizuar - pra qytetari i lirë - nuk kishte fuqi të kërkonte sanksionin.

Me pak fjalë, një individ privat ai nuk mund të lëvizë shembull në një rast si Mailchimp. Në fund të fundit, kjo çështje nuk ka të bëjë me të drejtat dhe lirinë e të interesuarit, por ka si objektiv atë të pretendimit të interesit publik për zbatimin e ligjit.

Cilat janë skenarët e mundshëm të këtij vendimi në të ardhmen?

Është e vështirë të thuhet se cilat do të jenë pasojat reale të këtij dënimi, i cili për momentin mund të konsiderohet vetëm një precedent i vlefshëm. Në fakt, mund të ndodhë që autoritetet e tjera të anojnë drejt vendimeve të paligjshmërisë që nuk shoqërohen me sanksione monetare. Ose zhvillimi i shumëpritur i këtyre “masave shtesë” mund të ndodhte.

E vetmja gjë e sigurt është se pavarësisht gjobës, Mailchimp ka lënë përshtypje të keqe para klientëve të saj, duke humbur imazhin.