Άνοιγμα του κουτιού της Pandora: Οι εταιρείες δεν μπορούν να πουν πώς συμμορφώνονται με την απόφαση του CJEU

Σεπ 25, 2020

Άνοιγμα του κουτιού της Pandora: Οι εταιρείες δεν μπορούν να πουν πώς συμμορφώνονται με την απόφαση του CJEU

Μετά την απόφαση του Δικαστηρίου στην υπόθεση-C-311/18 («Schrems II») σχετικά με την Ασπίδα Προστασίας Προσωπικών Δεδομένων και τις Πρότυπες συμβατικές ρήτρες, η ομάδα noyb και ορισμένες τα μέλη μας να φθάσει σε 33 εταιρείες και υπηρεσίες που χρησιμοποιούν σε προσωπική βάση για να τους ρωτήσω πώς θα πλησίαζαν τις διεθνείς διαβιβάσεις δεδομένων. Οι απαντήσεις που λάβαμε κυμαίνονταν σε όλο το φάσμα: από καλό, κακό, έως σοκαριστικό. Τώρα συντάξαμε μια αναφορά για το κοινό που περιγράφει λεπτομερώς αυτές τις απαντήσεις.

  • Κάντε κύλιση στις συλλεγόμενες απαντήσεις από εταιρείες σε αυτήν την αναφορά 45 σελίδων ( PDF ) που εκτείνεται από την Airbnb έως το Zoom
  • Δείτε το δελτίο τύπου ( PDF )

Αφού το CJEU αποφάνθηκε για τη μεταφορά δεδομένων ΕΕ-ΗΠΑ για δεύτερη φορά (μετά το τέλος του "Safe Harbor" το 2015), αναρωτιόμασταν αν οι εταιρείες είναι πλέον καλύτερα εξοπλισμένες για να αντιμετωπίσουν τους κανόνες του GDPR για τις διεθνείς μεταφορές δεδομένων. Οι χρήστες έχουν το δικαίωμα να λάβουν λεπτομερείς πληροφορίες, όπου στάλθηκαν τα δεδομένα τους. Κατά συνέπεια, το ακόλουθο κείμενο υποβλήθηκε σε κάθε εταιρεία μεταξύ Ιουλίου και Σεπτεμβρίου 2020:

« Αγαπητέ κύριε / κυρία,

Είμαι ένας από τους πελάτες σας. Σύμφωνα με τα άρθρα 12, 13, 14 και 15 του GDPR, υποβάλλω τα ακόλουθα αιτήματα:

  • Μεταφέρετε δεδομένα εκτός ΕΕ; Εάν ναι, σε ποιες χώρες;
  • Σε ποια βάση βασίζεται η νομική βάση για κάθε μεταφορά (π.χ. απόφαση επάρκειας, SCC, BCR, παρεκκλίσεις ...); Εάν χρησιμοποιήσατε SCC ή BCR, δώστε ένα αντίγραφο των SCC ή BCR που χρησιμοποιήθηκαν για κάθε μεταφορά.
  • Εάν στείλετε προσωπικά δεδομένα στις ΗΠΑ, κάποιος από τους συνεργάτες σας εμπίπτει στα 50 USC §1881a ("FISA 702") ή παρέχει δεδομένα στην κυβέρνηση των ΗΠΑ σύμφωνα με το EO 12.333;
  • Εάν στείλετε προσωπικά δεδομένα στις ΗΠΑ, ποια τεχνικά μέτρα λαμβάνετε ώστε τα προσωπικά μου δεδομένα να μην εκτίθενται σε υποκλοπή από την κυβέρνηση των ΗΠΑ κατά τη μεταφορά;

Απαντήστε εντός μίας εβδομάδας, καθώς ο GDPR απαιτεί να απαντήσετε «χωρίς αδικαιολόγητη καθυστέρηση». Αυτό είναι ένα απλό αίτημα που δεν απαιτεί εκτεταμένη ανάλυση. Δεν φαίνεται απαραίτητη η περαιτέρω αναγνώριση πέρα από το email μου, δεδομένου ότι δεν απαιτώ αντίγραφο των προσωπικών μου δεδομένων. Εάν χρειάζεστε περισσότερες πληροφορίες, μην διστάσετε να επικοινωνήσετε μαζί μου.

Με εκτίμηση, όνομα "

Εκπληκτικές απαντήσεις - ή καθόλου απάντηση . Οι απαντήσεις ήταν συνολικά εκπληκτικές. Ορισμένες εταιρείες όπως η Airbnb, το Netflix και το WhatsApp δεν απάντησαν καθόλου στα αιτήματά μας για πληροφορίες, ενώ άλλες εταιρείες απλώς μας έκαναν ανακατεύθυνση στις πολιτικές απορρήτου τους, οι οποίες δεν είχαν πιο λεπτομερείς εξηγήσεις.

Άλλοι παρείχαν πληροφορίες που δεν οδηγούν πραγματικά σε περισσότερη βεβαιότητα: Για παράδειγμα, ο Slack (ένα πολύ δημοφιλές λογισμικό για εσωτερική επικοινωνία στις επιχειρήσεις) δήλωσε ότι δεν «παρείχε εθελοντικά » στις κυβερνήσεις πρόσβαση σε δεδομένα, τα οποία δεν απαντούν στο ερώτημα εάν υποχρεούνται να το πράξουν σύμφωνα με νόμους επιτήρησης όπως το FISA702 .

Άλλες εταιρείες τα πήγαν καλύτερα με τις απαντήσεις τους, όπως η Microsoft, η οποία παρείχε απάντηση σε κάθε ερώτηση που υποβλήθηκε, ή η Virgin Media, που μας έστειλε ένα αντίγραφο των τυπικών συμβατικών ρητρών τους. Ταυτόχρονα, η Microsoft εξακολουθεί να ισχυρίζεται ότι μπορεί να μεταφέρει προσωπικά δεδομένα στις ΗΠΑ ( σύνδεσμος προς το ιστολόγιο της Microsoft ), παρά το γεγονός ότι είναι μία από τις εταιρείες που κατονομάζονται ρητά από τα έγγραφα που αποκαλύπτονται από τον Edward Snowden και αριθμούν δημόσια τα αιτήματα FISA702 από την κυβέρνηση των ΗΠΑ, έλαβε και απάντησε.

Συνολικά, εκπλήξαμε από πόσες εταιρείες δεν μπόρεσαν να παράσχουν κάτι παραπάνω από μια απλή απάντηση. Φαίνεται ότι το μεγαλύτερο μέρος της βιομηχανίας δεν έχει ακόμα σχέδιο για το πώς να προχωρήσει.

Θα θέλατε να υποβάλετε παρόμοιο αίτημα στις εταιρείες και τις υπηρεσίες με τις οποίες αλληλεπιδράτε; Μη διστάσετε να χρησιμοποιήσετε ένα από τα πρότυπα μας σε αυτήν τη σελίδα εδώ !