Pandora szelencéjének kinyitása: A vállalatok nem mondhatják meg, hogyan tesznek eleget az EUB-ítéletnek
A Bíróság C-311/18. sz. ügyben ("Schrems II.") az adatvédelmi pajzsról és a standard szerződési feltételekről hozott ítéletét követően a noyb csapata és néhány tagunk ( ) 33 olyan vállalatot és szolgáltatást keresett meg, amelyeket személyes alapon használnak, hogy megkérdezzék tőlük, hogyan viszonyulnak a nemzetközi adattovábbításhoz. A kapott válaszok széles skálán mozogtak: a jótól a rosszon át a megdöbbentőig. Most összeállítottunk egy jelentést a nyilvánosság számára, amely részletesen ismerteti ezeket a válaszokat.
- A 45 oldalas jelentésben(PDF) az Airbnb-től a Zoomig terjedő cégek válaszai között lapozhat
- Tekintse meg a sajtóközleményt(PDF)
Miután az EUB másodszor is döntött az EU-USA adattovábbításról (a "Safe Harbor" 2015-ös megszűnése után), kíváncsiak voltunk, hogy a vállalatok most már jobban felkészültek-e a GDPR nemzetközi adattovábbításra vonatkozó szabályaira. A felhasználóknak joguk van részletes tájékoztatást kapni arról, hogy hová küldték az adataikat. Ennek megfelelően az alábbi szöveget 2020 júliusa és szeptembere között minden egyes vállalathoz eljuttattuk:
"Tisztelt Uram/Hölgyem!
Az Ön egyik ügyfele vagyok. A GDPR 12., 13., 14. és 15. cikkével összhangban a következő kéréseket teszem:
- Továbbítanak-e adatokat az EU-n kívülre? Ha igen, mely országokba?
- Mi az egyes adattovábbítások jogalapja (pl. megfelelőségi határozat, SCC-k, BCR-ek, eltérések...)? Ha SCC-ket vagy BCR-eket használt, kérjük, adja meg az egyes adattovábbításokhoz használt SCC-k vagy BCR-ek másolatát.
- Ha személyes adatokat továbbít az Egyesült Államokba, az Ön partnerei közül bármelyik az 50 USC §1881a ("FISA 702") hatálya alá tartozik-e, vagy a 12.333 EO alapján szolgáltat-e adatokat az Egyesült Államok kormányának?
- Ha Ön személyes adatokat küld az USA-ba, milyen technikai intézkedéseket tesz annak érdekében, hogy a személyes adataim ne legyenek kitéve annak, hogy az USA kormánya a szállítás során lehallgatja őket?
Kérjük, egy héten belül válaszoljon, mivel a GDPR előírja, hogy "indokolatlan késedelem nélkül" válaszoljon. Ez egy egyszerű kérés, amely nem igényel átfogó elemzést. Az e-mail címemen túl további azonosítás nem tűnik szükségesnek, mivel nem kérek másolatot a személyes adataimról. Amennyiben további információra van szüksége, kérem, forduljon hozzám bizalommal.
Üdvözlettel, Név"
Meglepő válaszok - vagy egyáltalán nem válaszolnak. A válaszok összességében meghökkentőek voltak. Egyes cégek, például az Airbnb, a Netflix és a WhatsApp egyáltalán nem válaszoltak az információkérésünkre, míg más cégek egyszerűen átirányítottak minket az adatvédelmi szabályzatukhoz, amelyből hiányoztak a részletesebb magyarázatok.
Mások olyan információkat adtak, amelyek nem igazán vezettek nagyobb bizonyosságra: A Slack (a vállalkozások belső kommunikációjára szolgáló, igen népszerű szoftver)például kijelentette, hogy "önkéntesen" nem biztosítanak hozzáférést a kormányok számára az adatokhoz , ami nem ad választ arra a kérdésre, hogy a megfigyelési törvények - például a FISA702 - alapján kötelesek-e erre.
Más vállalatok jobban teljesítettek válaszaikkal, mint például a Microsoft, amely minden feltett kérdésre választ adott, vagy a Virgin Media, amely elküldte nekünk a szabványos szerződési feltételeinek egy példányát. Ugyanakkor a Microsoft továbbra is azt állítja, hogy személyes adatokat továbbíthat az USA-ba(link a Microsoft blogjára), annak ellenére, hogy az Edward Snowden által nyilvánosságra hozott dokumentumok által kifejezetten megnevezett vállalatok egyike, és nyilvánosan számon tartják az amerikai kormány FISA702 kéréseit kapott és válaszoltak.
Összességében megdöbbentett bennünket, hogy hány vállalat nem tudott egy egyszerű válasznál többet adni. Úgy tűnik, hogy az iparág nagy részének még mindig nincs terve arra, hogyan lépjen tovább.
Szeretne hasonló kérést intézni azokhoz a vállalatokhoz és szolgáltatásokhoz, amelyekkel kapcsolatba kerül? Használja bátran az ezen az oldalon található sablonok egyikét itt!
