Soudní dvůr Evropské unie v červenci loňského roku prohlásil úroveň ochrany osobních údajů poskytovanou štítem EU-USA na ochranu soukromí za nedostatečnou. Podle rozhodnutí soudu nevyhovuje štít požadavkům GDPR. Mnoho amerických společností zpracovávajících údaje evropských uživatelů (např. Mailchimp, Active Campaign, Campaign Monitor a ostatní poskytovatelé marketingového softwaru s předním postavením na trhu, např. Sendgrid, SMTP.com a Mailgun, stejně jako ostatní profesionální SMTP služby) založilo svůj obchodní model na tomto štítu na ochranu soukromí. Tyto společnosti očekávaly nízkou úroveň certifikace vyžadující prosté prohlášení k přijetí adekvátních opatření na ochranu údajů. Po zrušení této dohody mezi USA a EU se zdá, že americké společnosti zde mohou nadále působit pouze po přesunutí svého sídla do Evropy. Rozhodnutí soudu znamená, že koncový uživatel by měl hledat evropskou alternativu služby Mailchimp, která mu zajistí ochranu osobních údajů v souladu s GDPR.
Pravidla ochrany soukromí EU pro mimoevropské společnosti
Důvodem rozhodnutí Soudního dvora Evropské unie v neprospěch štítu mezi EU-USA bylo neposkytnutí dostatečných záruk právních předpisů USA pro ochranu údajů. Smluvní doložky o osobních údajích používané americkými společnostmi jsou považovány za platné pouze pokud jsou podpořeny dalšími zárukami, které vyhoví požadavkům GDPR.
V každém případě musí všichni uživatelé využívající službu Mailchimp nebo ostatní americké služby k zasílání e-mailů informovat příjemce o možných rizicích přenosu údajů mimo EU a zajistit jejich výslovný souhlas s tímto přenosem.
Rozhodnutí soudu v zásadě znamená, že úroveň ochrany údajů (tj. veškeré přiměřené záruky, vymahatelná práva a účinné opravné prostředky) požadovaná pro přenos údajů z Evropy do třetích zemí by měla být adekvátní ochraně, kterou zaručuje Evropská unie. Z tohoto důvodu, a protože i přes platnost těchto ustanovení nemusí existovat skutečná rovnocennost kvůli různým právním systémům, vzdálenosti a jazykům, nemusí mnoho evropských společností důvěřovat přenosu svých údajů americkým společnostem poskytujícím e-mailové marketingové služby.
GDPR a e-mailový marketing po zrušení štítu na ochranu soukromí
V rámci e-mailových marketingových platforem dochází k přenosu na serverech ve Spojených státech. Zpracování údajů podléhá interním americkým předpisům. Pro americkou společnost je tedy obtížné zaručit stejné standardy ochrany údajů v souladu s GDPR, jaké může garantovat evropská společnost. Právní systémy platné v evropských státech se výraznou měrou liší od právních systémů platných ve Spojených státech. V rámci ochrany soukromí, stejně jako jinde, vždy převažují vnitrostátní právní předpisy.
Rozhodnutí Soudního dvora Evropské unie podává pomocnou ruku evropským společnostem, které byly vždy zastíněny americkými firmami, jako je např. Mailchimp, které působí v EU bez nutnosti dodržovat místní daňové předpisy.
Závěry
Bavorský úřad pro ochranu osobních údajů nedávno rozhodl v neprospěch společnosti Mailchimp, protože jí poskytované záruky pro přenos údajů do Spojených států považoval za nedostatečné. Americké společnosti nebyla uložena žádná finanční pokuta, ale pouze jednoduché varování, které nicméně představuje precedens. Přenos údajů do zemí mimo EU by měl být ve skutečnosti považován za nelegitimní, pokud smluvní ustanovení nejsou doprovázena dalšími opatřeními, která umožňují úplné dodržování GDPR.
