Τα newsletters μέσω Mailchimp και τι πρέπει να προσέξουν οι εταιρείες
- Πέμπτη, 29th Απρίλιος, 2021
- 12:42μμ
Δεν είναι πολλές οι περιπτώσεις όπου δικαστήριο έχει υποχρεώσει εταιρεία να σταματήσει να χρησιμοποιεί λογισμικό επειδή η χρήση του παραβιάζει τον GDPR.
Σε πρόσφατη κρίση της, η εποπτική αρχή προστασίας δεδομένων της Βαυαρίας εξέδωσε μια απόφαση που ξενίζει πολλούς: απαγόρευσε τη χρήση software για την αποστολή newsletter της αμερικανικής εταιρείας Mailchimp από Γερμανική εταιρεία, έπειτα από προσφυγή πολίτη. Η αφορμή; Επειδή η Mailchimp έχει την έδρα της στις ΗΠΑ.
Με την πρώτη ματιά είναι δύσκολο να γίνει κατανοητό το γιατί. Πώς είναι δυνατό να απαγορεύεται η χρήση λογισμικού newsletters απλά και μόνο επειδή ανήκει σε εταιρεία με έδρα στις ΗΠΑ; Βρισκόμαστε σε κάποιου είδους «εμπορικό πόλεμο» μεταξύ ΕΕ και ΗΠΑ;
Πάμε λίγους μήνες πίσω, στις 16 Ιουλίου 2020, όπου μετά από προσφυγή του Αυστριακού Max Schrems (noyb), το Ευρωπαϊκό Δικαστήριο αποφασίζει ότι το πλαίσιο στο οποίο στηριζόταν μέχρι τότε η μεταφορά δεδομένων προσωπικού χαρακτήρα από την Ευρώπη στις ΗΠΑ δεν είναι συμβατό με τον GDPR και, ως εκ τούτου, καταργείται.
Αυτό σήμαινε ότι ο μόνος μηχανισμός μεταφοράς προσωπικών δεδομένων μεταξύ ΕΕ – ΗΠΑ πλέον ήταν οι Τυποποιημένες Συμβατικές Ρήτρες (Standard Contractual Clauses – SCCs), ένα σύνολο «δεσμεύσεων» για την επεξεργασία προσωπικών δεδομένων που διασφαλίζει ένα ελάχιστο ικανοποιητικό επίπεδο ασφάλειας για τέτοιου είδους επεξεργασίες.
Όμως, τόσο οι SCCs όσο και οι Δεσμευτικοί Εταιρικοί Κανόνες (Binding Corporate Rules – BCRs) δεν αρκούν από μόνοι τους για τη διασυνοριακή μεταφορά δεδομένων, σύμφωνα με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Θα πρέπει να λαμβάνονται επιπλέον μέτρα τα οποία θα εγγυώνται το απαιτούμενο επίπεδο ασφάλειας.
Υπάρχει, όμως, ένα ανυπέρβλητο εμπόδιο: ο FISA702, ή αλλιώς ο νόμος των ΗΠΑ ο οποίος υποχρεώνει κάθε εταιρεία με έδρα στις ΗΠΑ να παραδίδει στην Κυβέρνηση των ΗΠΑ ή σε Φορείς της τα στοιχεία που ζητούνται και αφορούν επικοινωνίες, δεδομένα, και άλλα. Η Mailchimp επιβεβαιώνει ότι λειτουργεί στα πλαίσια του FISA.
Εδώ και σχεδόν ένα χρόνο οι εταιρείες τεχνολογίας, κυρίως, με έδρα τις ΗΠΑ προσπαθούν να βρουν αξιόπιστη και βιώσιμη λύση για τη νόμιμη μεταφορά δεδομένων, προκειμένου να μην είναι ασύμβατη με τον GDPR. Παρά τις «φιλότιμες» προσπάθειες, τέτοια λύση δεν έχει βρεθεί ακόμη.
Ακόμη και πριν την απόφαση που προαναφέραμε, γνωστή επίσης και με το όνομα Schrems 2, υπήρχαν επιφυλάξεις από Ευρωπαϊκά κράτη ως προς τη νομιμότητα των διαβιβάσεων υπερατλαντικά. Η Γερμανία είχε απαγορεύσει τη χρήση του Office 365 της Microsoft στο Δημόσιο ενώ στη Γαλλία αμφισβητείται έντονα από την CNIL (Γαλλική εποπτική αρχή) η νομιμότητα της φιλοξενίας του Health Data Hub της χώρας στην Cloud πλατφόρμα της Microsoft, το Azure.
Ποια είναι η καινοτομία στην περίπτωσή μας; Η καινοτομία είναι διπλή, καθώς α) έχουμε πλέον απόφαση δικαστηρίου και β) αυτή αφορά ιδιωτική εταιρεία, όχι δημόσιο φορέα.
Τι σημαίνει αυτό; Πολύ απλά, πως κάθε μεταφορά προσωπικών δεδομένων στις ΗΠΑ από την Ευρώπη, από τις 16 Ιουλίου 2020 και μετά, δεν είναι νόμιμη αν δεν το αποδεικνύει σαφώς. Για να το πούμε ακριβέστερα, πρέπει να αποδείξει ότι είναι νόμιμη, εφόσον αποδείξει ότι έχει λάβει επαρκή μέτρα που δε θα επιτρέψουν στα δεδομένα φυσικών προσώπων να διαβιβασθούν στην Κυβέρνηση των ΗΠΑ.
Και αυτό με τη σειρά του σημαίνει πως κάθε τέτοια μεταφορά μάλλον είναι παράνομη, όπως επιβεβαιώνει το Γερμανικό δικαστήριο.
Στο φως αυτής της απόφασης αναμένονται και άλλες προσφυγές που θα αφορούν εταιρείες με έδρα στις ΗΠΑ. Η έκταση που θα λάβει το φαινόμενο αυτό δεν μπορεί να προβλεφθεί, είναι όμως σχεδόν σίγουρο ότι θα προκαλέσει επιτάχυνση των νέων συνομιλιών μεταξύ ΗΠΑ και ΕΕ για μια νέα συμφωνία που θα λύνει το πρόβλημα των διαβιβάσεων στα πλαίσια του GDPR.
Από την άλλη, είναι σαφές πως πρόκειται για εξέλιξη με οικονομικά αποτελέσματα και επιρροή στην αγορά τέτοιων υπηρεσιών. Είναι αναμενόμενο λύσεις Ευρωπαϊκών εταιρειών με ισχυρότερο προφίλ προστασίας δεδομένων να κερδίσουν έδαφος σε σχέση με τις ανταγωνίστριες από την άλλη πλευρά του Ατλαντικού.
Σε κάθε περίπτωση, μετά και τη δικαστική απόφαση οι πολίτες έχουν ένα λόγο παραπάνω να θέτουν ερωτήματα σχετικά με το λογισμικό που χρησιμοποιούν οι ίδιοι ή οι εταιρείες που διαχειρίζονται προσωπικά τους δεδομένα.