Компаниите не могат да кажат как се съобразяват с решението на СЕС

Sep 25, 2020

Отваряне на кутията на Пандора: Компаниите не могат да кажат как спазват решението на СЕС

След решението на Съда по дело-C-311/18 („Schrems II“) относно Щита за поверителност и стандартните договорни клаузи, екипът на noyb и някои от нашите членове са достигнали до 33 фирми и услуги, които те използват на лична основа, за да ги попитам как са били приближава международните трансфери на данни. Отговорите, които получихме, варираха в целия спектър: от добри, лоши и шокиращи. Сега сме съставили доклад за обществеността, който подробно описва тези отговори.

  • Прегледайте събраните отговори от компании в този доклад от 45 страници ( PDF ), обхващащ от Airbnb до Zoom
  • Вижте съобщението за пресата ( PDF )

След като СЕС се произнесе за трансфери на данни между ЕС и САЩ за втори път (след края на „Safe Harbor“ през 2015 г.), се чудехме дали компаниите вече са по-добре подготвени да се справят с правилата на GDPR относно международните трансфери на данни. Потребителите имат право да получат подробна информация, където техните данни са изпратени. Съответно следният текст беше представен на всяка компания между юли и септември 2020 г .:

Уважаеми господине / госпожо,

Аз съм един от вашите клиенти. В съответствие с членове 12, 13, 14 и 15 от ОРЗД отправям следните искания:

  • Прехвърляте ли данни извън ЕС? Ако да, към кои държави?
  • На какво правно основание се разчита при всяко прехвърляне (например решение за адекватност, SCC, BCR, дерогации ...)? Ако сте използвали SCC или BCR, моля, предоставете копие на SCC или BCR, използвани за всяко прехвърляне.
  • Ако изпращате лични данни до САЩ, някой от вашите партньори попада ли под 50 USC §1881a („FISA 702“) или предоставя данни на правителството на САЩ съгласно EO 12.333?
  • Ако изпращате лични данни до САЩ, кои технически мерки предприемате, така че личните ми данни да не бъдат изложени на прихващане от правителството на САЩ при транзит?

Моля, отговорете в рамките на една седмица, тъй като GDPR изисква да отговорите „без ненужно забавяне“. Това е проста заявка, която не изисква обширен анализ. По-нататъшно идентифициране извън моя имейл не изглежда необходимо, тъй като не изисквам копие от личните си данни. Ако имате нужда от допълнителна информация, моля не се колебайте да се свържете с мен.

Поздрави, име ”

Удивителни отговори - или никакъв отговор . Отговорите като цяло бяха изумителни. Някои компании като Airbnb, Netflix и WhatsApp изобщо не отговориха на нашите искания за информация, докато други компании просто ни пренасочиха към своите политики за поверителност, на които липсваше по-подробно обяснение.

Други предоставиха информация, която всъщност не води до по-голяма сигурност: например Slack (много популярен софтуер за вътрешна комуникация в бизнеса) заяви, че те не са предоставили „ доброволно “ на правителствата достъп до данни, което не отговаря на въпроса дали те са принудени да го правят съгласно законите за наблюдение като FISA702 .

Други компании се справиха по-добре с отговорите си, като Microsoft, която даде отговор на всеки зададен въпрос, или Virgin Media, която ни изпрати копие от своите стандартни договорни клаузи. В същото време Microsoft все още твърди, че те могат да прехвърлят лични данни в САЩ ( връзка към блога на Microsoft ), въпреки че е една от компаниите, изрично посочени от документите, разкрити от Едуард Сноудън и номериращи публично заявките FISA702 от правителството на САЩ получи и отговори.

Като цяло бяхме изненадани от това колко компании не успяха да предоставят нещо повече от шаблонния отговор. Изглежда, че по-голямата част от индустрията все още няма план как да продължи напред.

Искате ли да подадете подобна заявка до компаниите и услугите, с които взаимодействате? Чувствайте се свободни да използвате един от нашите шаблони на тази страница тук !