Άνοιγμα του κουτιού της Πανδώρας: Οι εταιρείες δεν μπορούν να πουν πώς συμμορφώνονται με την απόφαση του ΔΕΕ
Μετά την απόφαση του Δικαστηρίου στην υπόθεση-C-311/18 («Schrems II») σχετικά με την ασπίδα απορρήτου και τις τυπικές συμβατικές ρήτρες, η ομάδα noyb και ορισμένοι τα μέλη μας να φθάσει σε 33 εταιρείες και υπηρεσίες που χρησιμοποιούν σε προσωπική βάση για να τους ρωτήσω πώς θα πλησίαζαν τις διεθνείς διαβιβάσεις δεδομένων. Οι απαντήσεις που λάβαμε κυμαίνονταν σε όλο το φάσμα: από καλές έως κακές έως σοκαριστικές. Τώρα έχουμε συντάξει μια αναφορά για το κοινό που περιγράφει λεπτομερώς αυτές τις απαντήσεις.
- Μετακινηθείτε στις συλλεγμένες απαντήσεις από εταιρείες σε αυτήν την αναφορά 45 σελίδων ( PDF ) που εκτείνεται από το Airbnb στο Zoom
- Δείτε το δελτίο τύπου ( PDF )
Αφού το ΔΕΕ αποφάσισε για τη μεταφορά δεδομένων ΕΕ-ΗΠΑ για δεύτερη φορά (μετά το τέλος του "Safe Harbor" το 2015), αναρωτιόμασταν αν οι εταιρείες είναι τώρα καλύτερα εξοπλισμένες για να αντιμετωπίσουν τους κανόνες του GDPR για διεθνείς μεταφορές δεδομένων. Οι χρήστες έχουν το δικαίωμα να λαμβάνουν λεπτομερείς πληροφορίες, όπου στάλθηκαν τα δεδομένα τους. Συνεπώς, το ακόλουθο κείμενο υποβλήθηκε σε κάθε εταιρεία μεταξύ Ιουλίου και Σεπτεμβρίου 2020:
« Αγαπητέ κύριε/κυρία,
Είμαι ένας από τους πελάτες σας. Σύμφωνα με τα άρθρα 12, 13, 14 και 15 του ΓΚΠΔ, υποβάλλω τα ακόλουθα αιτήματα:
- Μεταφέρετε δεδομένα εκτός ΕΕ; Εάν ναι, σε ποιες χώρες;
- Σε ποια βάση βασίζεται η νομική βάση για κάθε μεταφορά (π.χ. απόφαση επάρκειας, SCC, BCR, παρεκκλίσεις ...); Εάν χρησιμοποιήσατε SCC ή BCR, δώστε ένα αντίγραφο των SCC ή BCR που χρησιμοποιούνται για κάθε μεταφορά.
- Εάν στέλνετε προσωπικά δεδομένα στις ΗΠΑ, κάποιος από τους συνεργάτες σας υπάγεται σε 50 USC §1881a («FISA 702») ή παρέχει δεδομένα στην αμερικανική κυβέρνηση σύμφωνα με το EO 12.333;
- Εάν στέλνετε προσωπικά δεδομένα στις ΗΠΑ, ποια τεχνικά μέτρα λαμβάνετε ώστε τα προσωπικά μου δεδομένα να μην εκτεθούν σε υποκλοπές από την αμερικανική κυβέρνηση κατά τη διαμετακόμιση;
Παρακαλούμε απαντήστε μέσα σε μία εβδομάδα καθώς ο ΓΚΠΔ απαιτεί να απαντήσετε «χωρίς αδικαιολόγητη καθυστέρηση». Αυτό είναι ένα απλό αίτημα που δεν απαιτεί εκτενή ανάλυση. Περαιτέρω ταυτοποίηση πέρα από το email μου δεν φαίνεται απαραίτητη δεδομένου ότι δεν απαιτώ αντίγραφο των προσωπικών μου δεδομένων. Εάν χρειάζεστε περισσότερες πληροφορίες, μη διστάσετε να επικοινωνήσετε μαζί μου.
Με εκτίμηση, όνομα »
Εκπληκτικές απαντήσεις - ή καθόλου απάντηση . Οι απαντήσεις ήταν συνολικά εκπληκτικές. Ορισμένες εταιρείες όπως η Airbnb, η Netflix και η WhatsApp δεν απάντησαν καθόλου στα αιτήματά μας για πληροφορίες, ενώ άλλες εταιρείες απλώς μας ανακατευθύνουν στις πολιτικές απορρήτου τους, οι οποίες στερούνται λεπτομερέστερης εξήγησης.
Άλλοι έδωσαν πληροφορίες που δεν οδηγούν πραγματικά σε περισσότερη βεβαιότητα: Για παράδειγμα, το Slack (ένα πολύ δημοφιλές λογισμικό για εσωτερική επικοινωνία στις επιχειρήσεις) δήλωσε ότι δεν "παρείχε εθελοντικά " πρόσβαση στις κυβερνήσεις σε δεδομένα, κάτι που δεν απαντά στο ερώτημα αν αναγκάζονται να το πράξουν σύμφωνα με νόμους επιτήρησης όπως το FISA702 .
Άλλες εταιρείες απέδωσαν καλύτερα με τις απαντήσεις τους, όπως η Microsoft, η οποία έδωσε μια απάντηση σε κάθε ερώτηση ή η Virgin Media, η οποία μας έστειλε ένα αντίγραφο των τυπικών συμβατικών ρητρών τους. Ταυτόχρονα, η Microsoft εξακολουθεί να ισχυρίζεται ότι μπορεί να μεταφέρει προσωπικά δεδομένα στις ΗΠΑ ( σύνδεσμος στο ιστολόγιο της Microsoft ), παρά το γεγονός ότι είναι μία από τις εταιρείες που κατονομάζονται ρητά από τα έγγραφα που αποκάλυψε ο Έντουαρντ Σνόουντεν και αριθμούν δημόσια τα αιτήματα FISA702 από την αμερικανική κυβέρνηση. έλαβε και απάντησε.
Συνολικά, ήμασταν έκπληκτοι από το πόσες εταιρείες δεν μπόρεσαν να δώσουν λίγο περισσότερο από μια απάντηση σε λέβητα. Φαίνεται ότι το μεγαλύτερο μέρος της βιομηχανίας δεν έχει ακόμη σχέδιο για το πώς να προχωρήσει.
Θα θέλατε να υποβάλετε ένα παρόμοιο αίτημα στις εταιρείες και τις υπηρεσίες με τις οποίες αλληλεπιδράτε; Μη διστάσετε να χρησιμοποιήσετε ένα από τα πρότυπά μας σε αυτήν τη σελίδα εδώ !
