Otvorenie Pandorinej skrinky: Spoločnosti nemôžu povedať, ako dodržiavajú rozhodnutie Súdneho dvora EÚ
V nadväznosti na rozsudok Súdneho dvora vo veci C-311/18 ("Schrems II") týkajúci sa štítu na ochranu súkromia a štandardných zmluvných doložiek tím noyb a niektorí z našich členov oslovili 33 spoločností a služieb, ktoré používajú na osobnom základe, aby sa ich opýtali, ako pristupujú k medzinárodným prenosom údajov . Odpovede, ktoré sme dostali, sa pohybovali v celom spektre: od dobrých, cez zlé až po šokujúce. Teraz sme pre verejnosť zostavili správu, ktorá tieto odpovede podrobne opisuje.
- V tejto 45-stranovej správe(PDF) si môžete prelistovať zozbierané odpovede spoločností od Airbnb po Zoom
- Pozrite si tlačovú správu(PDF)
Po tom, čo Súdny dvor EÚ druhýkrát rozhodol o prenose údajov medzi EÚ a USA (po skončení platnosti "bezpečného prístavu" v roku 2015), nás zaujímalo, či sú teraz spoločnosti lepšie pripravené na pravidlá GDPR týkajúce sa medzinárodného prenosu údajov. Používatelia majú právo získať podrobné informácie, kam boli ich údaje odoslané. V súlade s tým bol v období od júla do septembra 2020 každej spoločnosti zaslaný nasledujúci text:
"Vážený pán/pani,
Som jedným z vašich zákazníkov. V súlade s článkami 12, 13, 14 a 15 nariadenia GDPR predkladám nasledujúce žiadosti:
- Odovzdávate údaje mimo EÚ? Ak áno, do ktorých krajín?
- O aký právny základ sa každý prenos opiera (napr. rozhodnutie o primeranosti, SCC, BCR, výnimky...)? Ak ste použili SCC alebo BCR, poskytnite kópiu SCC alebo BCR použitých pre každý prenos.
- Ak posielate osobné údaje do USA, spadá niektorý z vašich partnerov pod § 1881a 50 USC ("FISA 702") alebo poskytuje údaje vláde USA podľa EO 12.333?
- Ak posielate osobné údaje do USA, aké technické opatrenia prijímate, aby moje osobné údaje neboli počas prenosu vystavené zachyteniu vládou USA?
Prosím, odpovedzte do jedného týždňa, pretože podľa GDPR musíte odpovedať "bez zbytočného odkladu". Ide o jednoduchú žiadosť, ktorá si nevyžaduje rozsiahlu analýzu. Ďalšia identifikácia okrem môjho e-mailu sa nezdá byť potrebná vzhľadom na to, že nepožadujem kópiu svojich osobných údajov. Ak budete potrebovať ďalšie informácie, neváhajte ma kontaktovať.
S úctou, Meno"
Prekvapujúce odpovede - alebo žiadna odpoveď. Odpovede boli celkovo prekvapujúce. Niektoré spoločnosti ako Airbnb, Netflix a WhatsApp na naše žiadosti o informácie vôbec neodpovedali, zatiaľ čo iné spoločnosti nás jednoducho presmerovali na svoje zásady ochrany osobných údajov, v ktorých chýbalo podrobnejšie vysvetlenie.
Iné poskytli informácie, ktoré v skutočnosti nevedú k väčšej istote: Napríklad spoločnosť Slack (veľmi populárny softvér na internú komunikáciu vo firmách) uviedla, že "dobrovoľne" neposkytuje vládam prístup k údajom , čo neodpovedá na otázku, či sú k tomu nútené na základe zákonov o sledovaní, ako je napríklad FISA702.
Iné spoločnosti boli na tom s odpoveďami lepšie, napríklad spoločnosť Microsoft, ktorá poskytla odpoveď na každú položenú otázku, alebo spoločnosť Virgin Media, ktorá nám poslala kópiu svojich štandardných zmluvných doložiek. Spoločnosť Microsoft zároveň stále tvrdí, že môže prenášať osobné údaje do USA(odkaz na blog spoločnosti Microsoft), a to napriek tomu, že je jednou zo spoločností, ktoré sú výslovne uvedené v dokumentoch zverejnených Edwardom Snowdenom a verejne číslujú žiadosti vlády USA FISA702 to dostala a odpovedala na ne.
Celkovo nás prekvapilo, koľko spoločností nebolo schopných poskytnúť viac než len šablónovitú odpoveď. Zdá sa, že väčšina odvetvia stále nemá plán, ako postupovať ďalej.
Chceli by ste predložiť podobnú žiadosť spoločnostiam a službám, s ktorými komunikujete? Neváhajte použiť jednu z našich šablón na tejto stránke tu!
