Bavariyanın məlumatların qorunması üzrə komissarı, məlumatların ABŞ-a ötürülməsi ilə bağlı Mailchimp və Schremps II qərarlarına qarşı çıxış etdi.

Bu penalti deyil, nə də cəza, lakin gələcəkdə Avropa kontekstində gələcək hərəkətlər üçün çoxsaylı rıçaqlara səbəb ola biləcək hüquqi presedent. Amma tam olaraq nə ilə bağlıdır? Və bu hökm niyə bu qədər vacib ola bilər?

Söhbət edirik MailChimp, bazarda ən məşhur toplu e-poçt vasitələrindən biri, e şəxsi məlumatların Avropa ərazisindən kənara göndərilməsixüsusilə Amerika Birləşmiş Ştatlarında. Müəyyən müqavilə müddəalarına əsaslansa belə, qeyri-qanuni prosedur - xüsusən də buna əməl edilmədikdə əlavə tədbirlər. Məhz bu "əlavə tədbirlər" heç vaxt dəqiqləşdirilməmiş müzakirələrə səbəb olur.

Schrems II hökmü: nə oldu?

La BayLDA, ya da Bavariyanın məxfiliyin təminatçısı olan Bavariya DPA, məlumatların Amerika Birləşmiş Ştatlarına ötürülməsi ilə bağlı Schrems II qərarında tapılan göstərişlərə əməl etmədiyi üçün bu yaxınlarda Mailchimp-ə qarşı qərar verdi.

Qərar çox mühüm presedent yaradır rəqəmsal hüquq sahəsində. Heç bir pul və ya həbs cəzası olmasa da, bu, hakimiyyət orqanlarının rəsmi qərarına tabe olan Schrems II-dən sonrakı ilk işdir. Amma gəlin qaydada gedək.

Şrems II, məxfilik qorumasını etibarsız edən hökm nədir?

CJEU (Aİ-nin Ədalət Məhkəməsi) 2015-ci ildə fəal hüquqşünas Şrems vasitəsilə məlumatların qorunması ilə bağlı aydınlıq gətirmək üçün sorğu göndərdi. Məqsəd İrlandiya məlumatların mühafizəsi üzrə nəzarətçidən Facebook-u AB-dən ABŞ-a məlumat ötürməyə məcbur etməyi xahiş etmək idi. Standart Müqavilə Müddəaları.

Söhbət GDPR-nin buraxılmasından əvvəlki dövrdən və məlumatların işlənməsi ilə bağlı bütün müddəalardan gedir. Qərar 16 iyul 2020-ci ildə çıxdı və Schrems II AB-dən ABŞ-a məlumat ötürülməsi mexanizmi kimi Məxfilik Qalxanını etibarsız etdi və ABŞ şirkətləri üçün ABŞ məlumatları ilə bağlı mühüm təlimat verdi. 'Avropa.

Bir sözlə, transferin ABŞ-a verilməsi üçün lazım idi məlumatların mühafizəsinin adekvat səviyyəsini təmin etmək. Necəsiniz? Google və Microsoft kimi böyük şirkətlərin bütün dünyada strateji yerləşmiş məlumat mərkəzləri var. Bununla belə, ABŞ-da fərdi məlumatlar haqqında qanunlar Aİ-dəki qanunlardan fərqlidir. Başqa sözlə: NSA təhlükəsizlik agentliyi istənilən vaxt ona daxil ola bilər.

GDPR üçün istisnalar budur: onlar haqqında şirkətin tələbi ilə təsdiqlənən Avropa Komissiyası və Nəzarət Orqanları tərəfindən təsdiq edilmiş müddəalar, və yalnız sərəncamda təsvir olunan fəaliyyət üçün xüsusi dəyərə malikdir. Məlumatların qorunması üçün müxtəlif maşınlar arasında SCC və ya Standart Müqavilə Müddəaları da var. Praktikada həm Avropada yerləşən şirkət, həm də xarici şirkət əvvəlcə Aİ tərəfindən təsdiq edilməli olan xüsusi müqavilədən istifadə etməyə razılıq verməlidir. Daha sonra məlumat mübadiləsinin qüvvəyə minməsi üçün DGK imzalanmalıdır.

Bununla belə, II Schrems hökmü bir şəkildə var normal istifadə olunan standart prosedurları ixtisar edərək, “əlavə tədbirlər” tətbiq etdi”. Bu məsələnin qeyri-müəyyənliyi bir çox şirkətləri düyündən qaçmağa, sadəcə onu görməməzliyə vurmağa vadar etdi. Bununla belə, hakimiyyət nəsə etməlidir və bəlkə də BayLDA-nın qərarı ilə razılaşma yolunda yeni bir addım atmaq olar.

Bavariyada nə baş verdi? "Əlavə tədbirlər" haqqında nə demək olar?

Mailchimp vasitəsilə yerli jurnal adından poçt siyahısı alan Bavariya vətəndaşı səlahiyyətli orqana şikayət etmək qərarına gəlib. Bu orqan, Aİ məlumatlarının ABŞ-a göndərilməsinin həmişə qeyri-qanuni olmadığını, lakin Avropa Ədalət Məhkəməsi tərəfindən şərh edilən GDPR-nin diktələrinə əməl edilməməsi halında olduğunu söyləyərək əllərini irəli sürdü. Qısacası: Mailchimp bunu etdi, lakin ABŞ-a məlumat ötürülməsinin saxta olduğu deyilmir. Əvvəlcə istifadə olunan köçürmə üsullarını öyrənməklə bunu nümayiş etdirməlisiniz.

Amerika şirkəti Mailchimp, özünün gətirdi “əlavə tədbirlər”in təfsiri daha əvvəl danışdığımız. Bununla belə, II Schrems-dən son versiya hələ dərc olunmayıb.

Nəzarət orqanı Mailchimp-in təklifini müəyyən mənada təsdiqləsə də, şirkət ən azı əməliyyatın risk dərəcəsini qiymətləndirmək üçün ən azı bir DPIA həyata keçirərək ABŞ ərazisinə məlumatların göndərilməsi problemini həll etməli idi. Söz yox ki, bu qiymətləndirmə heç vaxt aparılmayıb.

Məhz bu “əlavə tədbirləri” tam şəkildə dərc etmədiyinə görə Hakimiyyət Mailchimp-ə sanksiya verməmək qərarına gəlib. Məlumat nəzarətçisi də deyil.

Bu niyə belə vacib qərardır?

Mailchimp-in qərarı əsasdır, çünki ilk oxunuşda bir ton fırıldaqçı hərəkətlərin öncüsü kimi görünə bilərsə, bu, indiyə qədər toz toplamaqda davam edən Schrems II hökmünün tətbiqi istiqamətində ilk addımdır.

Hansı növ cərimə tətbiq edilib?

Dediyimiz kimi, Mailchimp heç bir cərimə almadı. Bununla belə, Səlahiyyətli orqan müəyyən edib ki, məlumatların yolverilməz üsullarla ötürülməsinə baxmayaraq, səlahiyyətli şəxsin, yəni azad vətəndaşın sanksiya tələb etmək səlahiyyəti yoxdur.

Bir sözlə, fərdi şəxs Mailchimp kimi bir halda nümunəni köçürə bilməz. Axı, bu iş maraqlı tərəfin hüquq və azadlıqlarına aid deyil, qanunun həyata keçirilməsində ictimai marağı müdafiə etmək məqsədi daşıyır.

Bu qərarın potensial gələcək ssenariləri hansılardır?

Bu cümlənin faktiki nəticələrinin nə olacağını söyləmək çətindir, yalnız bu an üçün etibarlı bir presedent hesab edilə bilər. Əslində, ola bilər ki, digər hakimiyyət orqanları pul sanksiyaları ilə müşayiət olunmayan qeyri-legitim qərarlara meyl edirlər. Yaxud bu “əlavə tədbirlər”in çoxdan gözlənilən inkişafı baş verə bilər.

Yeganə əmin olan odur ki, cərimədən asılı olmayaraq, Mailchimp öz imicini itirərək müştəriləri qarşısında pis təəssürat yaratdı.