Firmy nie mogą powiedzieć, w jaki sposób stosują się do orzeczenia TSUE

wrz 25, 2020

Otwarcie puszki Pandory Firmy nie mogą powiedzieć, jak stosują się do orzeczenia TSUE

Po wyroku Trybunału w sprawie Case-C-311/18 ("Schrems II") w sprawie Tarczy Prywatności i Standardowych Klauzul Umownych, zespół noyb i niektórzy z naszych członków dotarli do 33 firm i usług, z których korzystają osobiście, aby zapytać ich , jak podchodzą do międzynarodowych transferów danych. Odpowiedzi, które otrzymaliśmy były bardzo zróżnicowane: od dobrych, przez złe, po szokujące. Teraz opracowaliśmy raport dla opinii publicznej, który szczegółowo przedstawia te odpowiedzi.

  • Przejrzyj odpowiedzi firm w 45-stronicowym raporcie(PDF), obejmującym firmy od Airbnb po Zoom
  • Zapoznaj się z komunikatem prasowym(PDF)

Po tym, jak TSUE po raz drugi orzekł w sprawie przekazywania danych między UE a USA (po zakończeniu "Safe Harbor" w 2015 r.), zastanawialiśmy się, czy firmy są teraz lepiej przygotowane do radzenia sobie z przepisami GDPR dotyczącymi międzynarodowego przekazywania danych. Użytkownicy mają prawo do uzyskania szczegółowych informacji, gdzie zostały przesłane ich dane. W związku z tym w okresie od lipca do września 2020 r. do każdej firmy został przesłany następujący tekst:

"Szanowna Pani/Panie,

Jestem jednym z Państwa klientów. Zgodnie z art. 12, 13, 14 i 15 GDPR zwracam się z następującą prośbą:

  • Czy przekazują Państwo dane poza UE? Jeśli tak, to do jakich krajów?
  • Na jakiej podstawie prawnej opiera się każdy transfer (np. decyzja stwierdzająca odpowiedni poziom ochrony, SCC, BCR, odstępstwa...)? Jeżeli korzystali Państwo z SCC lub BCR, prosimy o dostarczenie kopii SCC lub BCR stosowanych przy każdym przekazie.
  • Jeśli wysyłasz dane osobowe do USA, czy któryś z Twoich partnerów podlega pod 50 USC §1881a ("FISA 702") lub dostarcza dane rządowi USA na mocy EO 12.333?
  • Jeśli wysyłacie dane osobowe do USA, jakie środki techniczne podejmujecie, aby moje dane osobowe nie były narażone na przechwycenie przez rząd USA podczas tranzytu?

Prosimy o odpowiedź w ciągu jednego tygodnia, ponieważ GDPR wymaga, aby odpowiedź została udzielona "bez zbędnej zwłoki". Jest to prosty wniosek, który nie wymaga szczegółowej analizy. Dalsza identyfikacja poza moim adresem e-mail nie wydaje się konieczna, biorąc pod uwagę, że nie żądam kopii moich danych osobowych. Jeśli potrzebuje Pan dalszych informacji, proszę się ze mną skontaktować.

Z poważaniem, Imię i nazwisko"

Zdumiewające odpowiedzi - lub brak odpowiedzi w ogóle. Odpowiedzi były ogólnie zdumiewające. Niektóre firmy, takie jak Airbnb, Netflix czy WhatsApp, w ogóle nie odpowiedziały na nasze prośby o informacje, podczas gdy inne firmy po prostu przekierowały nas do swoich polityk prywatności, w których brakowało bardziej szczegółowych wyjaśnień

Jeszcze inne podawały informacje, które tak naprawdę nie prowadzą do większej pewności: Na przykład Slack (bardzo popularne oprogramowanie do komunikacji wewnętrznej w firmach) stwierdził, że "dobrowolnie " nie udostępnia rządom danych, co nie odpowiada na pytanie, czy jest do tego zmuszony na mocy przepisów dotyczących inwigilacji, takich jak FISA702.

Inne firmy radziły sobie lepiej ze swoimi odpowiedziami, jak Microsoft, który dostarczył odpowiedzi na każde zadane pytanie, czy Virgin Media, które przesłało nam kopię swoich Standardowych Klauzul Umownych. Jednocześnie Microsoft nadal twierdzi, że może przekazywać dane osobowe do USA(link do bloga Microsoftu), mimo że jest jedną z firm wyraźnie wymienionych w dokumentach ujawnionych przez Edwarda Snowdena i publicznie numeruje wnioski FISA702 złożone przez rząd USA otrzymał i odpowiedział.

Ogólnie rzecz biorąc, byliśmy zaskoczeni, jak wiele firm nie było w stanie zapewnić niewiele więcej niż odpowiedzi kotleta. Wydaje się, że większość branży nadal nie ma planu, jak iść do przodu.

Czy chciałbyś złożyć podobną prośbę do firm i usług, z którymi współpracujesz? Zapraszamy do skorzystania z jednego z naszych szablonów na tej stronie tutaj!