Bedrijven mogen niet zeggen hoe zij zich voegen naar arrest HvJEU

Sep 25, 2020

De doos van Pandora wordt geopend Bedrijven mogen niet zeggen hoe ze zich houden aan arrest HvJEU

Naar aanleiding van het arrest van het Hof in zaak-C-311/18 ("Schrems II") over het Privacy Shield en de Standard Contractual Clauses, hebben het noyb-team en een aantal van onze leden 33 bedrijven en diensten die zij op persoonlijke basis gebruiken, benaderd om hen te vragen hoe zij internationale gegevensoverdrachten aanpakken. De antwoorden die we kregen, liepen uiteen van goed tot slecht en schokkend. We hebben nu een openbaar verslag opgesteld waarin deze antwoorden in detail worden besproken.

  • Blader door de verzamelde antwoorden van bedrijven in dit 45 pagina's tellende verslag(PDF), van Airbnb tot Zoom
  • Bekijk het persbericht(PDF)

Nadat het HJEU zich voor de tweede keer heeft uitgesproken over gegevensoverdrachten tussen de EU en de VS (na het einde van "Safe Harbor" in 2015), vroegen wij ons af of bedrijven nu beter zijn toegerust om om te gaan met de GDPR-regels inzake internationale gegevensoverdrachten. Gebruikers hebben het recht om gedetailleerde informatie te krijgen over waar hun gegevens naartoe zijn gestuurd. Daarom werd tussen juli en september 2020 aan elk bedrijf de volgende tekst voorgelegd:

"Geachte heer/mevrouw,

Ik ben een van uw klanten. In overeenstemming met de artikelen 12, 13, 14 en 15 van de GDPR doe ik de volgende verzoeken:

  • Draagt u gegevens over buiten de EU? Zo ja, naar welke landen?
  • Wat is de rechtsgrondslag waarop u zich voor elke doorgifte beroept (bv. besluit inzake adequaatheid, SCC's, BCR's, afwijkingen ...)? Indien u SCC's of BCR's hebt gebruikt, gelieve een kopie te verstrekken van de SCC's of BCR's die voor elke doorgifte zijn gebruikt.
  • Als u persoonsgegevens naar de VS verstuurt, vallen sommige van uw partners dan onder 50 USC §1881a ("FISA 702") of verstrekken zij gegevens aan de Amerikaanse overheid krachtens EO 12.333?
  • Indien u persoonsgegevens naar de VS verstuurt, welke technische maatregelen neemt u dan om te voorkomen dat mijn persoonsgegevens tijdens het vervoer worden onderschept door de Amerikaanse overheid?

Antwoord alstublieft binnen een week, aangezien de GDPR vereist dat u "zonder onnodige vertraging" antwoordt. Dit is een eenvoudig verzoek dat geen uitgebreide analyse vereist. Verdere identificatie behalve mijn e-mail lijkt niet nodig, aangezien ik geen kopie van mijn persoonsgegevens vraag. Mocht u meer informatie nodig hebben, aarzel dan niet om contact met mij op te nemen.

Met vriendelijke groeten, Naam"

Verbazingwekkende antwoorden - of helemaal geen antwoord. De antwoorden waren over het algemeen verbazingwekkend. Sommige bedrijven, zoals Airbnb, Netflix en WhatsApp, reageerden helemaal niet op onze verzoeken om informatie, terwijl andere bedrijven ons gewoon doorverwezen naar hun privacybeleid, waarin meer gedetailleerde uitleg ontbrak

Weer andere verstrekten informatie die niet echt tot meer zekerheid leidt: Slack (een zeer populaire software voor interne communicatie in bedrijven) verklaarde bijvoorbeeld dat zij "nietvrijwillig " overheden toegang tot gegevens verschaffen, wat geen antwoord geeft op de vraag of zij hiertoe gedwongen zijn op grond van surveillancewetten zoals FISA702.

Andere bedrijven deden het beter met hun antwoorden, zoals Microsoft, dat op elke gestelde vraag een antwoord gaf, of Virgin Media, dat ons een kopie van zijn standaardcontractbepalingen toestuurde. Tegelijkertijd beweert Microsoft nog steeds dat zij persoonsgegevens aan de VS mogen doorgeven(link naar de blog van Microsoft), ondanks het feit dat zij een van de bedrijven is die expliciet genoemd worden in de documenten die door Edward Snowden openbaar zijn gemaakt en de FISA702-verzoeken van de Amerikaanse overheid het ontvangen en beantwoordde.

Over het algemeen waren we verbaasd over hoeveel bedrijven niet in staat waren om iets meer dan een boilerplate antwoord te geven. Het lijkt erop dat het grootste deel van de industrie nog steeds geen plan heeft over hoe verder te gaan.

Wilt u een soortgelijk verzoek indienen bij de bedrijven en diensten waarmee u te maken hebt? Voel je vrij om een van onze sjablonen op deze pagina te gebruiken hier!