Yritykset eivät voi sanoa, miten ne noudattavat Euroopan unionin tuomioistuimen päätöstä

Sep 25, 2020

Pandoran laatikon avaaminen: Yritykset eivät voi sanoa, kuinka ne noudattavat Euroopan unionin tuomioistuimen päätöstä

Kun yhteisöjen tuomioistuin antoi tuomion asiassa C-311/18 (”Schrems II”) yksityisyyden suojasta ja vakiosopimuslausekkeista, kukaan muu joukkue ja jotkut jäsenemme tavoittivat 33 yritystä ja palvelua, joita he käyttävät henkilökohtaisesti kysyäkseen heiltä, miten he lähestyvät kansainvälistä tiedonsiirtoa. Saamamme vastaukset vaihtelivat eri kirjoista: hyvistä pahoihin, järkyttäviin. Olemme nyt laatineet yleisölle raportin , joka sisältää yksityiskohtaiset vastaukset.

  • Selaa yritysten keräämiä vastauksia tässä 45-sivuisessa raportissa ( PDF ), joka ulottuu Airbnb: stä Zoomiin
  • Katso lehdistötiedote ( PDF )

Sen jälkeen kun unionin tuomioistuin oli päättänyt EU: n ja Yhdysvaltojen välisestä tiedonsiirrosta toisen kerran (vuoden 2015 "Safe Harbor" -toiminnan päättymisen jälkeen), mietimme, onko yrityksillä nyt paremmat valmiudet käsitellä GDPR: n kansainvälisiä tiedonsiirtosääntöjä. Käyttäjillä on oikeus saada yksityiskohtaisia tietoja siitä, mihin heidän tietonsa on lähetetty. Näin ollen seuraava teksti toimitettiin jokaiselle yritykselle heinä-syyskuun 2020 välisenä aikana:

" Arvoisa vastaanottaja,

Olen yksi asiakkaistasi. Esitän seuraavat pyynnöt GDPR: n 12, 13, 14 ja 15 artiklan mukaisesti:

  • Siirrätkö tietoja EU: n ulkopuolelle? Jos kyllä, mihin maihin?
  • Mihin oikeusperustaan vedotaan jokaisen siirron yhteydessä (esim. Riittävyyspäätös, vakiomääräiset vakuussäännöt, BCR: t, poikkeukset ...)? Jos käytit SCC: tä tai BCR: ää, anna kopio SCC: stä tai BCR: stä, joita käytettiin jokaisessa siirrossa.
  • Jos lähetät henkilötietoja Yhdysvaltoihin, kuuluuko joku kumppaneistasi Yhdysvaltain 50 §: n §1881a (”FISA 702”) tai toimittaako se tietoja Yhdysvaltain hallitukselle EO 12.333 -standardin mukaisesti?
  • Jos lähetät henkilötietoja Yhdysvaltoihin, mitä teknisiä toimenpiteitä teet, jotta henkilötietojani ei altisteta Yhdysvaltain hallituksen kauttakulkulle?

Vastaa viikon kuluessa, koska GDPR edellyttää, että vastaat "ilman aiheetonta viivytystä". Tämä on yksinkertainen pyyntö, joka ei vaadi laajaa analyysiä. Sähköpostiosoitteeni ulkopuolinen tunnistaminen ei vaikuta tarpeelliselta, koska en vaadi kopiota henkilötiedoistani. Jos tarvitset lisätietoja, ota yhteyttä minuun.

Terveisin, nimi ”

Hämmästyttäviä vastauksia - tai ei vastausta lainkaan . Vastaukset olivat kaiken kaikkiaan hämmästyttäviä. Jotkut yritykset, kuten Airbnb, Netflix ja WhatsApp, eivät vastanneet lainkaan tietopyyntöihimme, kun taas toiset yritykset vain ohjaavat meidät tietosuojakäytäntöihinsä, joista puuttui yksityiskohtaisempi selitys.

Toiset toimittivat tietoja, jotka eivät todellakaan lisää varmuutta: Esimerkiksi Slack (erittäin suosittu ohjelmisto yritysten sisäiseen viestintään) ilmoitti, etteivät ne antaneet "vapaaehtoisesti " hallituksille pääsyä tietoihin, mikä ei vastaa kysymykseen ne on pakko tehdä niin valvontalakien, kuten FISA702, nojalla .

Muut yritykset pärjäsivät paremmin vastauksillaan, kuten Microsoft, joka antoi vastauksen kaikkiin esitettyihin kysymyksiin, tai Virgin Media, joka lähetti meille kopion vakiosopimuslausekkeistaan. Samaan aikaan Microsoft väittää edelleen, että he voivat siirtää henkilötietoja Yhdysvaltoihin ( linkki Microsoftin blogiin ) huolimatta siitä, että he ovat yksi Edward Snowdenin julkistamissa asiakirjoissa nimenomaisesti mainituista yrityksistä ja numeroivat julkisesti Yhdysvaltojen hallituksen FISA702-pyynnöt. saanut ja vastannut.

Kaiken kaikkiaan hämmästyimme siitä, kuinka moni yritys ei kyennyt antamaan muuta kuin kattilavastausta. Näyttää siltä, että suurimmalla osalla teollisuudesta ei ole vielä suunnitelmaa siitä, miten edetä.

Haluatko lähettää samanlaisen pyynnön yrityksille ja palveluille, joiden kanssa olet tekemisissä? Voit vapaasti käyttää jotain tämän sivun malleista täällä !