Компаниите не могат да кажат как спазват решението на Съда на ЕС

Sep 25, 2020

Отваряне на кутията на Пандора Дружествата не могат да кажат как спазват решението на Съда на ЕС

След решението на Съда по дело C-311/18 ("Schrems II") относно Щита за личните данни и стандартните договорни клаузи екипът на noyb и някои от нашите членове на се обърнаха към 33 компании и услуги, които използват в личен план, за да ги попитат как подхождат към международното предаване на данни . Отговорите, които получихме, варираха в целия спектър: от добри, през лоши, до шокиращи. Сега сме изготвили доклад за обществеността, в който подробно са описани тези отговори.

  • Прегледайте събраните отговори от компаниите в този доклад от 45 страници(PDF), обхващащ от Airbnb до Zoom
  • Вижте съобщението за пресата(PDF)

След като Съдът на Европейския съюз се произнесе за втори път относно предаването на данни между ЕС и САЩ (след края на "Safe Harbor" през 2015 г.), се зачудихме дали компаниите вече са по-добре подготвени да се справят с правилата на GDPR за международното предаване на данни. Потребителите имат право да получат подробна информация за това къде са изпратени техните данни. В съответствие с това между юли и септември 2020 г. до всяка компания беше изпратен следният текст:

"Уважаеми господине/госпожо,

Аз съм един от вашите клиенти. В съответствие с членове 12, 13, 14 и 15 от ОРЗД отправям следните искания:

  • Прехвърляте ли данни извън ЕС? Ако да, към кои държави?
  • Какво е правното основание, на което се основава всяко предаване (напр. решение за адекватност, SCC, BCR, дерогации...)? Ако сте използвали SCC или BCR, моля, предоставете копие от SCC или BCR, използвани за всяко предаване.
  • Ако изпращате лични данни в САЩ, попада ли някой от вашите партньори в обхвата на 50 USC §1881a ("FISA 702") или предоставя ли данни на правителството на САЩ съгласно EO 12.333?
  • Ако изпращате лични данни до САЩ, какви технически мерки предприемате, за да не бъдат моите лични данни изложени на прихващане от правителството на САЩ по време на преноса?

Моля, отговорете в рамките на една седмица, тъй като ОРЗД изисква да отговорите "без неоправдано забавяне". Това е просто искане, което не изисква задълбочен анализ. Допълнителна идентификация извън електронната ми поща не изглежда необходима, като се има предвид, че не изисквам копие на личните си данни. Ако се нуждаете от допълнителна информация, моля, не се колебайте да се свържете с мен.

С уважение, Име"

Удивителни отговори - или никакъв отговор. Като цяло отговорите бяха изумителни. Някои компании като Airbnb, Netflix и WhatsApp изобщо не отговориха на исканията ни за информация, а други компании просто ни препратиха към своите политики за поверителност, в които липсваха по-подробни обяснения

Други пък предоставиха информация, която всъщност не води до повече сигурност: Например Slack (много популярен софтуер за вътрешна комуникация в предприятията) заяви, че не предоставя "доброволно " на правителствата достъп до данни , което не дава отговор на въпроса дали са принудени да го правят съгласно законите за наблюдение като FISA702.

Други компании се справиха по-добре с отговорите си, като например Microsoft, които предоставиха отговор на всеки зададен въпрос, или Virgin Media, които ни изпратиха копие от своите стандартни договорни клаузи. В същото време Microsoft все още твърди, че може да предава лични данни на САЩ(връзка към блога на Microsoft), въпреки че е една от компаниите, изрично посочени в документите, разкрити от Едуард Сноудън, и публично номерира исканията на FISA702 от правителството на САЩ то получени и отговори.

Като цяло бяхме учудени от това колко много компании не бяха в състояние да предоставят нещо повече от шаблонни отговори. Изглежда, че по-голямата част от индустрията все още няма план как да продължи напред.

Искате ли да изпратите подобно запитване до компаниите и услугите, с които си взаимодействате? Не се колебайте да използвате един от нашите шаблони на тази страница тук!