Pandoran lippaan avaaminen Yritykset eivät voi kertoa, miten ne noudattavat EU:n tuomioistuimen päätöstä
C-311/18 ("Schrems II") yksityisyyden suojaa ja vakiosopimuslausekkeita koskevan tuomioistuimen tuomion jälkeen noyb-tiimi ja osa jäsenistämme otti yhteyttä 33 yritykseen ja palveluun, joita he käyttävät henkilökohtaisesti, kysyäkseen niiltä, miten ne suhtautuvat kansainvälisiin tiedonsiirtoihin. Saamamme vastaukset vaihtelivat laidasta laitaan: hyvistä huonoihin ja järkyttäviin. Olemme nyt laatineet yleisölle raportin , jossa kerrotaan yksityiskohtaisesti näistä vastauksista.
- Tutustu 45-sivuiseen raporttiin(PDF) kerättyihin yritysten vastauksiin Airbnb:stä Zoomiin
- Tutustu lehdistötiedotteeseen(PDF)
Sen jälkeen, kun EU:n tuomioistuin antoi toisen kerran päätöksen EU:n ja Yhdysvaltojen välisistä tiedonsiirroista (Safe Harborin päätyttyä vuonna 2015), mietimme, ovatko yritykset nyt paremmin varustautuneita käsittelemään GDPR:n kansainvälisiä tiedonsiirtoja koskevia sääntöjä. Käyttäjillä on oikeus saada yksityiskohtaiset tiedot siitä, minne heidän tietonsa on lähetetty. Näin ollen jokaiselle yritykselle toimitettiin heinäkuun ja syyskuun 2020 välisenä aikana seuraava teksti:
"Hyvä herra/rouva,
Olen yksi asiakkaistanne. Yleisen tietosuoja-asetuksen 12, 13, 14 ja 15 artiklan mukaisesti esitän seuraavat pyynnöt:
- Siirrättekö tietoja EU:n ulkopuolelle? Jos kyllä, mihin maihin?
- Mihin oikeusperustaan kukin siirto perustuu (esim. tietosuojan riittävyyttä koskeva päätös, SCC:t, BCR:t, poikkeukset...)? Jos käytitte SCC- tai BCR-lausuntoja, toimittakaa kopio SCC- tai BCR-lausunnoista, joita käytitte kussakin siirrossa.
- Jos lähetätte henkilötietoja Yhdysvaltoihin, kuuluuko jokin yhteistyökumppaneistanne 50 USC §1881a:n ("FISA 702") soveltamisalaan tai toimittaako se tietoja Yhdysvaltojen hallitukselle EO 12.333:n nojalla?
- Jos lähetätte henkilötietoja Yhdysvaltoihin, mihin teknisiin toimenpiteisiin ryhdytte, jotta Yhdysvaltojen hallitus ei voi salakuunnella henkilötietojani kuljetuksen aikana?
Pyydämme teitä vastaamaan viikon kuluessa, sillä tietosuoja-asetuksen mukaan teidän on vastattava "ilman aiheetonta viivytystä". Tämä on yksinkertainen pyyntö, joka ei vaadi laajaa analyysia. Sähköpostini lisäksi muita tunnistetietoja ei tarvita, koska en vaadi kopiota henkilötiedoistani. Jos tarvitsette lisätietoja, voitte ottaa minuun yhteyttä.
Ystävällisin terveisin, Nimi"
Hämmästyttäviä vastauksia - tai ei vastausta lainkaan. Vastaukset olivat kaiken kaikkiaan hämmästyttäviä. Jotkin yritykset, kuten Airbnb, Netflix ja WhatsApp, eivät vastanneet lainkaan tietopyyntöihimme, kun taas toiset yritykset vain ohjasivat meidät tietosuojaselosteisiinsa, joista puuttui yksityiskohtaisempi selitys
Toiset taas antoivat tietoja, jotka eivät oikeastaan johtaneet suurempaan varmuuteen: Esimerkiksi Slack (erittäin suosittu ohjelmisto yritysten sisäiseen viestintään) ilmoitti, että se ei "vapaaehtoisesti " anna hallituksille pääsyä tietoihin, mikä ei vastaa kysymykseen siitä, ovatko ne pakotettuja tekemään niin FISA:n kaltaisten valvontalakien702 nojalla.
Toiset yritykset vastasivat paremmin, kuten Microsoft, joka antoi vastauksen jokaiseen esitettyyn kysymykseen, tai Virgin Media, joka lähetti meille kopion vakiosopimuslausekkeistaan. Samaan aikaan Microsoft väittää edelleen, että se voi siirtää henkilötietoja Yhdysvaltoihin(linkki Microsoftin blogiin), vaikka se on yksi niistä yrityksistä, jotka on nimenomaisesti mainittu Edward Snowdenin paljastamissa asiakirjoissa ja jotka ovat julkisesti numeroineet Yhdysvaltain hallituksen FISA702-pyynnöt vastaanotettu ja vastasi.
Kaiken kaikkiaan olimme hämmästyneitä siitä, kuinka monet yritykset eivät kyenneet antamaan muuta kuin pelkkiä vastauksia. Näyttää siltä, että suurimmalla osalla alasta ei ole vieläkään suunnitelmaa siitä, miten edetä.
Haluaisitko sinä esittää samanlaisen pyynnön yrityksille ja palveluille, joiden kanssa olet tekemisissä? Voit vapaasti käyttää yhtä tällä sivulla olevista malleistamme täällä!
