Otwarcie puszki Pandory: Firmy nie mogą powiedzieć, w jaki sposób stosują się do orzeczenia TSUE

wrz 25, 2020

Otwarcie puszki Pandory Firmy nie mogą powiedzieć, w jaki sposób stosują się do orzeczenia TSUE

W następstwie wyroku Trybunału w sprawie C-311/18 ("Schrems II") w sprawie Tarcza prywatności i standardowe klauzule umowne, zespół noyb i niektórzy z naszych członków skontaktowali się z 33 firmami i usługami, z których korzystają na zasadzie osobistej, aby zapytać ich o sposób podejścia do międzynarodowych transferów danych. Odpowiedzi, które otrzymaliśmy, obejmowały całe spektrum: od dobrych, przez złe, do szokujących. Opracowaliśmy teraz raport dla opinii publicznej, który zawiera te odpowiedzi.

  • Przejrzyj zebrane odpowiedzi od firm w tym 45-stronicowym raporcie (PDF), obejmującym zakres od Airbnb do Zoom
  • Zapoznaj się z informacją prasową (PDF)

Po tym, jak TSUE po raz drugi orzekł o przekazywaniu danych między UE a USA (po zakończeniu "Safe Harbor" w 2015 r.), zastanawialiśmy się, czy przedsiębiorstwa są obecnie lepiej przygotowane do radzenia sobie z przepisami GDPR dotyczącymi międzynarodowego przekazywania danych. Użytkownicy mają prawo do uzyskania szczegółowych informacji na temat miejsca, do którego ich dane zostały przesłane. W związku z tym w okresie od lipca do września 2020 r. każdemu przedsiębiorstwu przedłożono następujący tekst:

"Szanowna pani,

Jestem jednym z waszych klientów. Zgodnie z art. 12, 13, 14 i 15 PKBR, składam następujące wnioski:

  • Czy przekazują Państwo dane poza UE? Jeśli tak, to do jakich krajów?
  • Jaka jest podstawa prawna, na której opiera się każdy transfer (np. decyzja o adekwatności, SCC, BCR, odstępstwa...)? Jeżeli korzystaliście Państwo z SCC lub BCR, prosimy o dostarczenie kopii SCC lub BCR używanych przy każdym transferze.
  • Jeśli wysyłają Państwo dane osobowe do USA, czy któryś z Państwa partnerów jest objęty zakresem 50 USC §1881a ("FISA 702") lub dostarcza dane rządowi USA zgodnie z EO 12.333?
  • Jeżeli wysyłacie Państwo dane osobowe do USA, jakie środki techniczne podejmujecie, aby moje dane osobowe nie były narażone na przechwycenie przez rząd USA w tranzycie?

Proszę odpowiedzieć w ciągu jednego tygodnia, ponieważ PKBR wymaga od Państwa odpowiedzi "bez zbędnej zwłoki". Jest to prosty wniosek, który nie wymaga obszernej analizy. Dalsza identyfikacja poza moim adresem e-mail nie wydaje się konieczna, ponieważ nie wymagam kopii moich danych osobowych. Jeśli potrzebują Państwo dalszych informacji, proszę się ze mną skontaktować.

Uwagi, Nazwisko"

Zdumiewające odpowiedzi - lub brak odpowiedzi w ogóle. Odpowiedzi były ogólnie zdumiewające. Niektóre firmy, takie jak Airbnb, Netflix i WhatsApp, w ogóle nie odpowiedziały na nasze prośby o informacje, podczas gdy inne po prostu przekierowały nas do swoich polityk prywatności, którym brakowało bardziej szczegółowego wyjaśnienia

Inne przedsiębiorstwa przekazały informacje, które tak naprawdę nie dają większej pewności: Na przykład Slack (bardzo popularne oprogramowanie do komunikacji wewnętrznej w przedsiębiorstwach) stwierdził, że nie zapewniają one rządom "dobrowolnego" dostępu do danych, co nie odpowiada na pytanie, czy są do tego zmuszone na mocy przepisów dotyczących nadzoru, takich jak FISA702.

Inne firmy lepiej poradziły sobie ze swoimi odpowiedziami, takie jak Microsoft, który udzielał odpowiedzi na każde zadane pytanie, czy Virgin Media, która przesłała nam kopię swoich standardowych klauzul umownych. Jednocześnie Microsoft nadal twierdzi, że może przekazywać dane osobowe do USA (link do bloga Microsoftu), mimo że jest jedną z firm wyraźnie wymienionych w dokumentach ujawnionych przez Edwarda Snowdena i publicznie numerowanych na prośbę FISA702 przez rząd USA otrzymany i odpowiedział.

Ogólnie rzecz biorąc, byliśmy zdumieni tym, jak wiele firm nie było w stanie udzielić niewiele więcej niż odpowiedzi na pytanie dotyczące płyty kotłowej. Wydaje się, że większość branży nadal nie ma planu, jak iść do przodu.

Czy chcieliby Państwo złożyć podobny wniosek do firm i usług, z którymi mają Państwo kontakt? Zachęcamy do skorzystania z jednego z naszych szablonów na tej stronie tutaj !