바이에른 데이터 보호 커미셔너는 데이터를 미국으로 이전하는 것에 관한 Mailchimp 및 Schremps II 판결에 반대하는 목소리를 냈습니다.

이것은 패널티가 아니다., 처벌이 아니라 향후 유럽 맥락에서 추가 조치를 위한 많은 지렛대를 유발할 수 있는 법적 선례입니다. 하지만 정확히 무엇에 관한 것입니까? 그리고 이 판결이 그토록 중요한 이유는 무엇입니까?

우리는 이야기하고있다. Mailchimp, 시장에서 가장 유명한 대량 이메일 도구 중 하나인 e 유럽 ​​영토 외부로 개인 데이터 전송특히 미국에서. 특정 계약 조항에 근거하더라도 불법적인 절차 - 특히 동일한 내용이 후속 조치되지 않는 경우 추가 조치. 그리고 논의를 불러일으키는 것은 바로 이러한 "추가 조치"입니다.

Schrems II 판결: 무슨 일이 있었나요?

La 베이LDA, 또는 Bavarian 개인정보 보호 보증인인 Bavarian DPA는 최근 미국으로의 데이터 전송에 관한 Schrems II 판결에서 발견된 표시를 준수하지 않았기 때문에 Mailchimp에 대해 판결을 내렸습니다.

결정 매우 중요한 선례를 설정 디지털 법 분야에서. 금전적 처벌이나 징역형은 없었지만 Schrems II 이후 당국의 공식 결정을 받은 첫 번째 사례입니다. 하지만 순서대로 갑시다.

프라이버시 실드를 무효화하는 판결, Schrems II란?

CJEU(EU 사법 재판소)는 2015년 활동가 변호사 Schrems를 통해 데이터 보호에 대한 설명을 요청했습니다. 목표는 아일랜드 데이터 보호 감독관에게 Facebook이 EU에서 미국으로 데이터를 전송하도록 강제하는 것이었습니다. 표준 계약 조항.

우리는 GDPR 및 데이터 처리에 관한 모든 조항이 발표되기 전의 기간에 대해 이야기하고 있습니다. 이 판결은 16년 2020월 XNUMX일에 내려졌으며 Schrems II는 EU에서 미국으로 데이터를 전송하는 메커니즘으로 프라이버시 실드를 무효화하여 미국 데이터와 관련하여 미국 기업에 중요한 지침을 제공했습니다.

요컨대, 미국으로의 이전을 승인하기 위해서는 다음이 필요했습니다. 적절한 수준의 데이터 보호 보장. 어떻게 지내? Google 및 Microsoft와 같은 대기업은 전 세계에 전략적으로 위치한 데이터 센터를 보유하고 있습니다. 그러나 미국의 개인 데이터에 관한 법률은 EU의 법률과 다릅니다. 즉, NSA 보안 기관은 언제든지 액세스할 수 있습니다.

그것이 GDPR의 예외 사항입니다. 회사의 요청에 따라 승인된 유럽 위원회 및 감독 기관에서 승인한 조항, 그리고 조례에 명시된 활동에 대해서만 특정 가치가 있습니다. 데이터 보호를 위한 다양한 기계 중에는 SCC 또는 표준 계약 조항도 있습니다. 실제로 유럽에 위치한 회사와 외국 회사는 먼저 EU의 승인을 받아야 하는 특정 계약을 사용하는 데 동의해야 합니다. 그런 다음 데이터 교환을 적용하려면 SCC에 서명해야 합니다.

그러나 Schrems II 판결은 어떻게든 일반적으로 사용되는 표준 절차를 축소하여 "추가 조치"를 부과했습니다.". 이 문제의 모호함 때문에 많은 기업들이 매듭을 피하고 무시하기 위해 우회했습니다. 그러나 당국은 무언가를 해야 하며 아마도 BayLDA 판결을 통해 합의를 향한 새로운 단계에 도달할 수 있을 것입니다.

바이에른에서 무슨 일이 있었나요? "추가 조치"는 어떻습니까?

Mailchimp를 통해 지역 잡지를 대신하여 메일링 리스트를 받은 바이에른 시민은 관할 당국에 불만을 제기하기로 결정했습니다. 이 당국은 EU 데이터를 미국으로 보내는 것이 항상 불법적인 것은 아니지만 유럽 사법 재판소에서 해석한 GDPR의 지시가 존중되지 않는 경우라고 말하면서 손을 내밀었습니다. 요컨대: Mailchimp가 이 일을 했지만 미국으로의 데이터 전송이 사기였다는 말은 없습니다. 먼저 사용된 전송 방법을 심화하여 이를 시연해야 합니다.

미국 회사인 Mailchimp는 자체적으로 “추가 조치”의 해석 우리가 이전에 이야기했습니다. 그러나 Schrems II에서 최종 버전은 아직 게시되지 않았습니다.

감독 당국이 어떤 식으로든 Mailchimp의 제안을 승인했지만 회사는 최소한 데이터를 미국 영토로 전송하는 문제를 해결하고 작업의 위험 정도를 평가하기 위해 최소한 하나의 DPIA를 수행해야 했습니다. 말할 필요도 없이, 이 평가는 결코 이루어지지 않았습니다.

당국이 Mailchimp를 제재하지 않기로 결정한 것은 바로 이러한 "추가 조치"를 완전히 게시하지 않았기 때문입니다. 데이터 컨트롤러도 마찬가지입니다.

이것이 왜 그렇게 중요한 결정입니까?

Mailchimp의 결정은 근본적입니다. 처음 읽을 때 수많은 사기 행위의 선구자처럼 보일 수 있지만, 대신 지금까지 먼지를 모으고 있는 Schrems II 문장의 적용을 향한 첫 번째 단계이기 때문입니다.

어떤 종류의 벌금이 부과되었습니까?

우리가 말했듯이 Mailchimp는 어떤 종류의 벌금도 받지 않았습니다. 그러나 당국은 데이터가 허용되지 않는 방법을 사용하여 전송되었지만 승인된 개인, 즉 자유 시민이 제재를 요청할 권한이 없음을 확인했습니다.

한마디로 개인사업자 Mailchimp와 같은 경우 인스턴스를 이동할 수 없습니다.. 결국 이 사건은 이해관계자의 권리와 자유에 관한 것이 아니라 법 집행에 있어서 공익을 주장하는 것을 목적으로 한다.

이 결정의 잠재적인 미래 시나리오는 무엇입니까?

이 판결의 실제 결과가 무엇인지 말하기는 어렵습니다. 이는 당분간 유효한 선례로 간주될 수 있습니다. 사실, 다른 당국이 금전적 제재를 수반하지 않는 불법적인 결정에 기대는 일이 일어날 수 있습니다. 또는 이러한 "추가 조치"의 개발이 발생할 수 있습니다.

다만 확실한 것은 벌금 여부와 상관없이 메일침프가 고객들에게 좋지 않은 인상을 심어 이미지를 실추시켰다는 점이다.