Дайте этому маркетологу щит – Часть 2: Использование Mailchimp является нарушением GDPR
Posted: Mon Dec 09, 2024 5:45 am
[vc_row][vc_column][vc_single_image image="67490″ img_size="full"][vc_column_text]Еще в августе Европейский суд (ЕС) постановил, что Соглашение о правилах обмена конфиденциальной информацией между США и ЕС больше не действует , поскольку оно не обеспечивает достаточной защиты граждан ЕС и их данных.
Теперь суд в Германии постановил, что организация не должна использовать Mailchimp для отправки своих электронных писем, поскольку он незаконно передает адреса электронной почты за пределы ЕС.
На этот раз не помогли даже Стандартные Список телефонных номеров WhatsApp в Греции договорные положения; Стандартные договорные положения были тем законодательным актом, за который пользователи цеплялись в надежде, что они по-прежнему смогут пользоваться услугами американских провайдеров, таких как Mailchimp, даже несмотря на то, что Соглашение о защите конфиденциальности (Privacy Shield) было признано недействительным.
Интересно, что решение немецкого регулятора не было опубликовано, но было объявлено самим NOYB. В публикации от EDPB (зонтик европейских регуляторов конфиденциальности) немецкий регулятор объясняет, что произошло.
Жалоба NOYB касалась организации, которая является контролером использования инструмента электронной почты Mailchimp. Получив жалобу, надзорный орган запросил у контролера разъяснений и объяснил последствия постановления Schrems II. Затем организация объявила, что немедленно прекратила использование Mailchimp.
Организация является одним из самых известных активистов в области защиты частной жизни Макса Шремса, который также несет ответственность за постановления Европейского суда (CJEU) по делам Шремс I и Шремс II.
В этих случаях трафик данных в США был объявлен незаконным на основании положений Safe Harbor и Privacy Shield соответственно. На передачи были наложены далеко идущие предварительные условия на основе стандартных договорных положений (SCC).
Постановление баварского регулятора дает нам интересный взгляд на то, как эти постановления применяются на практике для запрета использования маркетинговых инструментов и облачных решений из-за пределов ЕС. В разделе Explained: Sharing data outside the EU вы можете прочитать больше о точных последствиях постановления Schrems II.
Защита
Организация выступила в свою защиту, объяснив, что она поделилась с Mailchimp только адресами электронной почты для отправки писем. Она также указала, что не применила рекомендации EDPB по дополнительным мерам безопасности поверх SCC (необходимым в странах, где уровень защиты слишком низок), поскольку эта рекомендация еще не окончательная. Она хотела бы дождаться окончательной версии.
Оценка
Регулятор с этим не согласился. Он указал, что имела место передача персональных данных за пределы ЕС. Поскольку это было сделано на основе типовых контрактов (SCC), организация должна была оценить, нужны ли дополнительные гарантии. Поскольку в данном случае речь шла о передаче данных в США, где, как известно, разведывательные службы имеют доступ к данным облачных сторонних организаций, для обеспечения законности передачи требовались дополнительные гарантии. По мнению регулятора, это означает, что возможен только один вывод: передача данных могла быть законной только в том случае, если ответственная организация обеспечила решение проблемы (доступ разведывательных служб) с помощью дополнительных гарантий.
Теперь суд в Германии постановил, что организация не должна использовать Mailchimp для отправки своих электронных писем, поскольку он незаконно передает адреса электронной почты за пределы ЕС.
На этот раз не помогли даже Стандартные Список телефонных номеров WhatsApp в Греции договорные положения; Стандартные договорные положения были тем законодательным актом, за который пользователи цеплялись в надежде, что они по-прежнему смогут пользоваться услугами американских провайдеров, таких как Mailchimp, даже несмотря на то, что Соглашение о защите конфиденциальности (Privacy Shield) было признано недействительным.
Интересно, что решение немецкого регулятора не было опубликовано, но было объявлено самим NOYB. В публикации от EDPB (зонтик европейских регуляторов конфиденциальности) немецкий регулятор объясняет, что произошло.
Жалоба NOYB касалась организации, которая является контролером использования инструмента электронной почты Mailchimp. Получив жалобу, надзорный орган запросил у контролера разъяснений и объяснил последствия постановления Schrems II. Затем организация объявила, что немедленно прекратила использование Mailchimp.
Организация является одним из самых известных активистов в области защиты частной жизни Макса Шремса, который также несет ответственность за постановления Европейского суда (CJEU) по делам Шремс I и Шремс II.
В этих случаях трафик данных в США был объявлен незаконным на основании положений Safe Harbor и Privacy Shield соответственно. На передачи были наложены далеко идущие предварительные условия на основе стандартных договорных положений (SCC).
Постановление баварского регулятора дает нам интересный взгляд на то, как эти постановления применяются на практике для запрета использования маркетинговых инструментов и облачных решений из-за пределов ЕС. В разделе Explained: Sharing data outside the EU вы можете прочитать больше о точных последствиях постановления Schrems II.
Защита
Организация выступила в свою защиту, объяснив, что она поделилась с Mailchimp только адресами электронной почты для отправки писем. Она также указала, что не применила рекомендации EDPB по дополнительным мерам безопасности поверх SCC (необходимым в странах, где уровень защиты слишком низок), поскольку эта рекомендация еще не окончательная. Она хотела бы дождаться окончательной версии.
Оценка
Регулятор с этим не согласился. Он указал, что имела место передача персональных данных за пределы ЕС. Поскольку это было сделано на основе типовых контрактов (SCC), организация должна была оценить, нужны ли дополнительные гарантии. Поскольку в данном случае речь шла о передаче данных в США, где, как известно, разведывательные службы имеют доступ к данным облачных сторонних организаций, для обеспечения законности передачи требовались дополнительные гарантии. По мнению регулятора, это означает, что возможен только один вывод: передача данных могла быть законной только в том случае, если ответственная организация обеспечила решение проблемы (доступ разведывательных служб) с помощью дополнительных гарантий.