Öppnande av Pandoras ask: Företag kan inte säga hur de följer EU-domstolens dom
Efter EU-domstolens dom i mål C-311/18 ("Schrems II") om Privacy Shield och standardavtalsklausuler kontaktade noyb-teamet och några av våra medlemmar 33 företag och tjänster som de använder på personlig basis för att fråga dem hur de hanterar internationella dataöverföringar. Svaren som vi fick varierade över hela spektrumet: från bra, till dåligt, till chockerande. Vi har nu sammanställt en rapport för allmänheten som beskriver dessa svar i detalj.
- Bläddra igenom de samlade svaren från företag i denna 45-sidiga rapport(PDF) som sträcker sig från Airbnb till Zoom
- Kolla in pressmeddelandet (PDF)
Efter att EU-domstolen för andra gången (efter att "Safe Harbor" upphörde 2015) avgjort frågan om dataöverföringar mellan EU och USA undrar vi om företagen nu är bättre rustade för att hantera GDPR:s regler om internationella dataöverföringar. Användarna har rätt att få detaljerad information om vart deras uppgifter har skickats. Därför skickades följande text till varje företag mellan juli och september 2020:
"Kära herr/dam,
Jag är en av era kunder. I enlighet med artiklarna 12, 13, 14 och 15 i dataskyddsförordningen vill jag framföra följande önskemål:
- Överför ni uppgifter utanför EU? Om ja, till vilka länder?
- Vilken rättslig grund åberopas för varje överföring (t.ex. beslut om adekvat skyddsnivå, SCC, BCR, undantag ...)? Om ni har använt SCC eller BCR, vänligen bifoga en kopia av de SCC eller BCR som har använts för varje överföring.
- Om ni skickar personuppgifter till USA, omfattas då någon av era partner av 50 USC §1881a ("FISA 702") eller tillhandahåller uppgifter till den amerikanska regeringen enligt EO 12.333?
- Om ni skickar personuppgifter till USA, vilka tekniska åtgärder vidtar ni för att mina personuppgifter inte ska utsättas för avlyssning av den amerikanska regeringen under transporten?
Vänligen svara inom en vecka eftersom GDPR kräver att ni svarar "utan onödigt dröjsmål". Detta är en enkel begäran som inte kräver någon omfattande analys. Ytterligare identifiering utöver min e-postadress verkar inte nödvändig med tanke på att jag inte kräver en kopia av mina personuppgifter. Om ni behöver ytterligare information, tveka inte att kontakta mig.
Med vänlig hälsning, Namn"
Häpnadsväckandesvar - eller inget svar alls. Svaren var överlag häpnadsväckande. Vissa företag som Airbnb, Netflix och WhatsApp svarade inte alls på våra förfrågningar om information, medan andra företag helt enkelt omdirigerade oss till sina integritetspolicyer, som saknade mer detaljerad förklaring.
Andra gav information som egentligen inte leder till någon större säkerhet: Slack (en mycket populär programvara för intern kommunikation i företag) uppgav till exempel att de inte "frivilligt" ger myndigheter tillgång till data, vilket inte svarar på frågan om de är tvungna att göra det enligt övervakningslagar som FISA702.
Andra företag lyckades bättre med sina svar, till exempel Microsoft, som gav svar på alla frågor som ställdes, eller Virgin Media, som skickade oss en kopia av sina standardavtalsklausuler. Samtidigt hävdar Microsoft fortfarande att de kan överföra personuppgifter till USA(länk till Microsofts blogg), trots att de är ett av de företag som uttryckligen namnges i de dokument som Edward Snowden avslöjade och trots att de offentligt numrerat de FISA702-förfrågningar från den amerikanska regeringen som de mottagit och besvarat.
Överlag blev vi förvånade över hur många företag som inte kunde ge mer än ett standardiserat svar. Det verkar som om större delen av branschen fortfarande inte har någon plan för hur man ska gå vidare.
Skulle du vilja skicka en liknande förfrågan till de företag och tjänster som du interagerar med? Använd gärna en av våra mallar på den här sidan här!
