Otevření Pandořiny skříňky: Společnosti nemohou říci, jak dodržují rozhodnutí Soudního dvora EU
V návaznosti na rozsudek Soudního dvora EU ve věci C-311/18 ("Schrems II") týkající se štítu na ochranu soukromí a standardních smluvních doložek oslovil tým noyb a někteří z našich členů 33 společností a služeb, které využívají na osobní bázi, aby se jich zeptali, jak přistupují k mezinárodnímu předávání údajů . Odpovědi, které jsme obdrželi, se pohybovaly napříč celým spektrem: od dobrých přes špatné až po šokující. Nyní jsme pro veřejnost sestavili zprávu, která tyto odpovědi podrobně popisuje.
- V této 45stránkové zprávě(PDF) si můžete projít shromážděné odpovědi společností od Airbnb po Zoom
- Podívejte se na tiskovou zprávu(PDF)
Poté, co Soudní dvůr EU podruhé rozhodl o předávání údajů mezi EU a USA (po skončení "bezpečného přístavu" v roce 2015), zajímalo nás, zda jsou nyní společnosti lépe připraveny vypořádat se s pravidly GDPR týkajícími se mezinárodního předávání údajů. Uživatelé mají právo získat podrobné informace, kam byly jejich údaje odeslány. V souladu s tím byl v období od července do září 2020 každé společnosti zaslán následující text:
"Vážený pane/paní,
Jsem jedním z vašich zákazníků. V souladu s články 12, 13, 14 a 15 nařízení GDPR podávám následující žádost:
- Předáváte údaje mimo EU? Pokud ano, do kterých zemí?
- Na jakém právním základě je každé předání založeno (např. rozhodnutí o odpovídající ochraně, SCC, BCR, výjimky...)? Pokud jste použili SCC nebo BCR, poskytněte prosím kopii SCC nebo BCR použitých pro každé předání.
- Pokud zasíláte osobní údaje do USA, spadá některý z vašich partnerů pod § 1881a 50 USC ("FISA 702") nebo poskytuje údaje vládě USA podle EO 12.333?
- Pokud posíláte osobní údaje do USA, jaká technická opatření přijímáte, aby mé osobní údaje nebyly při přenosu vystaveny zachycení vládou USA?
Odpovězte prosím do jednoho týdne, protože GDPR vyžaduje, abyste odpověděli "bez zbytečného odkladu". Jedná se o jednoduchou žádost, která nevyžaduje rozsáhlou analýzu. Další identifikace nad rámec mého e-mailu se nezdá být nutná vzhledem k tomu, že nepožaduji kopii svých osobních údajů. Pokud budete potřebovat další informace, neváhejte mě kontaktovat.
S pozdravem, Jméno"
Překvapivé odpovědi - nebo žádná odpověď. Odpovědi byly celkově překvapivé. Některé společnosti jako Airbnb, Netflix a WhatsApp na naše žádosti o informace neodpověděly vůbec, zatímco jiné společnosti nás jednoduše přesměrovaly na své zásady ochrany osobních údajů, které postrádaly podrobnější vysvětlení.
Jiné zase poskytly informace, které ve skutečnosti k větší jistotě nevedou: Například společnost Slack (velmi oblíbený software pro interní komunikaci ve firmách) uvedla, že "dobrovolně" neposkytuje vládám přístup k údajům , což neodpovídá na otázku, zda je k tomu nutí zákony o sledování, jako je FISA702.
Jiné společnosti na tom byly s odpověďmi lépe, například Microsoft, který poskytl odpověď na každou položenou otázku, nebo Virgin Media, která nám zaslala kopii svých standardních smluvních doložek. Společnost Microsoft zároveň stále tvrdí, že může předávat osobní údaje do USA(odkaz na blog společnosti Microsoft), přestože je jednou ze společností výslovně jmenovaných v dokumentech zveřejněných Edwardem Snowdenem a veřejně čísluje žádosti americké vlády FISA702 to obdržela a odpověděla na ně.
Celkově nás překvapilo, kolik společností nebylo schopno poskytnout o něco více než šablonovitou odpověď. Zdá se, že většina odvětví stále nemá plán, jak postupovat dál.
Chtěli byste předložit podobnou žádost společnostem a službám, se kterými přicházíte do styku? Neváhejte použít jednu z našich šablon na této stránce zde!
