Používate na posielanie newslettrov nástroj Mailchimp? Tento týždeň vydal Úrad na ochranu osobných údajov („Úrad“) v Nemeckej spolkovej republike Bavorsko rozhodnutie[1], v zmysle ktorého je používanie tohto nástroja v rozpore so zákonom.
Na Úrad sa obrátil sťažovateľ, ktorý tvrdil, že emailové adresy všetkých odberateľov newslettra, ktorý posielala Bavorská spoločnosť prostredníctvom nástroja Mailchimp, sú prenášané do USA spoločnosti The Rocket Science Group LLC prevádzkujúcej nástroj Mailchimp.
Táto spoločnosť má byť kvalifikovaná (podľa právnych predpisov USA zaoberajúcich sa sledovaním osôb) ako „poskytovateľ služieb elektronickej komunikácie“ a existuje dôvodné podozrenie, že všetky emailové adresy, ktoré spoločnosť získala prostredníctvom nástroja Mailchimp, môžu byť spracúvané americkou tajnou službou.
Prenos osobných údajov z jednotlivých štátov Európskej únie (EÚ) do USA bolo donedávna možné uskutočniť na základe tzv. Privacy Shield, ktoré predstavovalo právny rámec umožňujúci prenos osobných údajov medzi krajinami EÚ a USA bez potreby prijatia akýchkoľvek dodatočných podmienok v súvislosti so spracúvaním osobných údajov.
Tento inštitút bol v roku 2020 Súdnym dvorom EÚ rozsudkom Schremes II zrušený z dôvodu, že ochrana osobných údajov v USA nie je rovnocenná úrovni ochrany v EÚ. Od tohto momentu je v zmysle Nariadenia[2] prenos do USA možný len na základe štandardných zmluvných doložiek alebo záväzných vnútropodnikových pravidiel. Štandardné zmluvné doložky boli aj v tomto konkrétnom prípade použité Bavorskou spoločnosťou.
Ako však vyplýva aj z rozsudku Schrems II, samotné štandardné zmluvné doložky k prenosu osobných údajov do USA nestačia. Štandardné zmluvné doložky alebo záväzné vnútropodnikové pravidlá musia byť doplnené o ďalšie časti, ktoré zabezpečujú bezpečnosť dát. V tomto prípade prevádzkovateľ (Bavorská spoločnosť) porušil Nariadenie, tým že dostatočným spôsobom neriešil otázku zabezpečenia a kontroly bezpečnostných mechanizmov pri spracovaní osobných údajov spoločnosťou The Rocket Science Group LLC.
Viktória Poliaková, Zuzana Krajčovičová
[2] NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)