Bavariya ma'lumotlarini himoya qilish bo'yicha komissari Mailchimp va Shremps IIning ma'lumotlarning AQShga uzatilishi haqidagi qaroriga qarshi chiqdi.

Bu penalti emas, na jazo, balki huquqiy pretsedent bo'lib, kelajakda Evropa kontekstida keyingi harakatlar uchun ko'plab vositalarni keltirib chiqarishi mumkin. Lekin gap aynan nima haqida? Va nega bu qaror juda muhim bo'lishi mumkin?

Biz gaplashamiz MailChimp, bozordagi eng mashhur ommaviy elektron pochta vositalaridan biri, e shaxsiy ma'lumotlarni Evropa hududidan tashqariga yuborishxususan Amerika Qo'shma Shtatlarida. Shartnomaning ma'lum bandlariga asoslangan bo'lsa ham, noqonuniy protsedura - ayniqsa, xuddi shunday bajarilmasa qo'shimcha chora-tadbirlar. Va aynan mana shu "qo'shimcha chora-tadbirlar", hech qachon aniq aytilmagan, muhokamaga sabab bo'lmoqda.

Schrems II hukmi: nima bo'ldi?

La BayLDA, yoki Bavariya DPA, Bavariya maxfiylik kafolati, yaqinda Mailchimpga qarshi qaror chiqardi, chunki Schrems II qarorida ma'lumotlarni Amerika Qo'shma Shtatlariga o'tkazish bo'yicha topilgan ko'rsatmalarga rioya qilmaslik.

Qaror juda muhim pretsedent yaratadi raqamli huquq sohasida. Hech qanday pul yoki qamoq jazosi bo'lmasa-da, bu Shrems IIdan keyingi birinchi ish bo'lib, rasmiylar tomonidan rasmiy qaror qabul qilingan. Ammo keling, tartibda boraylik.

Shrems II, maxfiylik qalqoni bekor qiladigan qaror nima?

2015-yilda Yevropa Ittifoqi Adliya Sudi faol huquqshunos Shrems orqali maʼlumotlarni himoya qilish boʻyicha tushuntirish soʻrovini yubordi. Maqsad Irlandiyalik maʼlumotlarni himoya qilish boʻyicha boʻlim boshligʻidan standart shartnoma bandlari asosida Facebook’ni Yevropa Ittifoqidan maʼlumotlarni AQShga oʻtkazishga majburlashni soʻrash edi.

Biz GDPR chiqarilishidan oldingi davr va ma'lumotlarni qayta ishlash bo'yicha barcha bandlar haqida gapiramiz. Qaror 16-yil 2020-iyulda chiqdi va Shrems II Yevropa Ittifoqidan AQShga maʼlumotlarni uzatish mexanizmi sifatida Maxfiylik qalqoni ni bekor qildi va bu AQSh kompaniyalari uchun Yevropadan maʼlumotlar boʻyicha muhim koʻrsatmalar berdi.

Muxtasar qilib aytganda, AQShga transferni amalga oshirish uchun zarur edi ma'lumotlarni himoya qilishning etarli darajasini ta'minlash. Ishlaringiz yaxshimi? Google va Microsoft kabi yirik kompaniyalar butun dunyo bo'ylab strategik jihatdan joylashgan ma'lumotlar markazlariga ega. Biroq, AQShda shaxsiy ma'lumotlarga oid qonunlar Evropa Ittifoqidagi qonunlardan farq qiladi. Boshqacha qilib aytganda: NSA xavfsizlik agentligi istalgan vaqtda unga kirishi mumkin.

GDPRdan istisnolar aynan mana shu: ular haqida Evropa Komissiyasi va Nazorat organi tomonidan tasdiqlangan qoidalar kompaniyaning iltimosiga binoan, va faqat qarorda tasvirlangan faoliyat uchun o'ziga xos qiymatga ega. Ma'lumotlarni himoya qilish uchun turli xil mashinalar orasida SCC yoki Standart shartnoma bandlari ham bor. Amalda, Evropada joylashgan kompaniya ham, xorijiy kompaniya ham birinchi navbatda EI tomonidan tasdiqlanishi kerak bo'lgan muayyan shartnomadan foydalanishga rozi bo'lishi kerak. Keyin ma'lumotlar almashinuvi kuchga kirishi uchun SCC imzolanishi kerak bo'ladi.

Shunga qaramay, Shrems II qarorida qandaydir tarzda bor odatda qo‘llaniladigan standart tartib-qoidalarni qisqartirib, “qo‘shimcha chora-tadbirlar” kiritdi”. Bu masalaning noaniqligi ko'plab kompaniyalarni tugunni chetlab o'tishga, shunchaki unga e'tibor bermaslikka olib keldi. Biroq, rasmiylar biror narsa qilishlari kerak va, ehtimol, BayLDA qarori bilan kelishuvga yangi qadam qo'yilishi mumkin.

Bavariyada nima bo'ldi? "Qo'shimcha chora-tadbirlar" haqida nima deyish mumkin?

Mailchimp orqali mahalliy jurnal nomidan pochta ro'yxatini olgan Bavariya fuqarosi vakolatli organga shikoyat qilishga qaror qildi. Ushbu hokimiyat AQShga Evropa Ittifoqi ma'lumotlarini yuborish har doim ham noqonuniy emasligini ta'kidlab, o'z qo'llarini ilgari surdi, ammo agar Evropa Sudi tomonidan talqin qilingan GDPR buyruqlari hurmat qilinmasa. Qisqasi: Mailchimp bu ishni qildi, ammo AQShga ma'lumotlarni uzatish firibgarlik bilan amalga oshirilgani aytilmagan. Avval siz qo'llaniladigan uzatish usullarini chuqurlashtirish orqali uni namoyish qilishingiz kerak.

Mailchimp, Amerika kompaniyasi o'zini olib keldi "qo'shimcha chora-tadbirlar" talqini bu haqda avvalroq gaplashdik. Shulardan, Shrems II dan, yakuniy versiyasi hali nashr etilmagan.

Garchi nazorat organi qaysidir ma'noda Mailchimpning taklifini ma'qullagan bo'lsa-da, kompaniya hech bo'lmaganda AQSh hududiga ma'lumotlarni jo'natish muammosini hal qilishi va operatsiyaning xavf darajasini baholash uchun kamida bitta DPIA o'tkazishi kerak edi. Aytish kerakki, bunday baholash hech qachon amalga oshirilmagan.

Aynan ushbu "qo'shimcha choralar" to'liq nashr etilmagani uchun hokimiyat Mailchimpni sanktsiya qilmaslikka qaror qildi. Va ma'lumotlar boshqaruvchisi ham emas.

Nega bu juda muhim qaror?

Mailchimpning qarori juda muhim, chunki agar birinchi o'qishda bu ko'plab firibgarlik harakatlarining peshqadami bo'lib tuyulsa, bu Shrems II hukmini qo'llash yo'lidagi birinchi qadam bo'lib, shu paytgacha chang to'plashda davom etmoqda.

Qanday turdagi jarima qo'llanilgan?

Aytganimizdek, Mailchimp hech qanday jarima olmagan. Biroq, Vakolat, ma'lumotlar ruxsat etilmaydigan usullardan foydalangan holda uzatilgan bo'lsa-da, vakolatli shaxs - ya'ni erkin fuqaro - sanktsiyani talab qilish huquqiga ega emasligini aniqladi.

Qisqasi, xususiy shaxs u Mailchimp kabi holatda misolni ko'chira olmaydi. Zero, bu ish manfaatdor shaxsning huquq va erkinliklariga taalluqli emas, balki qonun ijrosini ta’minlashda jamoat manfaatlarini ta’minlashdan maqsad qilib qo‘ygan.

Ushbu qarorning kelajakdagi potentsial stsenariylari qanday?

Ushbu hukmning haqiqiy oqibatlari qanday bo'lishini aytish qiyin, buni hozircha haqiqiy pretsedent deb hisoblash mumkin. Aslida, boshqa hokimiyat organlari pul sanktsiyalari bilan birga bo'lmagan noqonuniy qarorlarga moyil bo'lishi mumkin. Yoki ushbu "qo'shimcha chora-tadbirlar" ning rivojlanishi kutilgan bo'lishi mumkin.

Faqatgina ishonchli narsa shundaki, jarimadan qat'i nazar, Mailchimp o'z mijozlari oldida yomon taassurot qoldirib, o'z imijini yo'qotdi.