Efter Schrems II - företag kan inte svara på hur de följer GDPR

GDPR kräver att personuppgifter bara överförs till länder utanför EU ifall dessa länder erbjuder motsvarande dataskydd som EU har.

Tidigare byggde de flesta överföringar av personuppgifter från EU till USA på ett avtal mellan EU och USA – Privacy Shield – som innebar att USA betraktades som ett betrott tredje land, till vilket det är lagligt att föra över européers personuppgifter. EU-kommissionen hade därmed sagt att USA var att betrakta som ett europeiskt land, ur GDPR-hänseende.

I somras avgjorde EU-domstolen att detta avtal inte är giltigt längre, eftersom avtalet inte kan garantera att våra personuppgifter faktiskt skyddas i USA. Amerikanska massövervakningslagar (särskilt FISA702 och EO12333) medför en risk att personuppgifter överlämnas till amerikanska myndigheter utan att kraven GDPR ställer uppfylls.

I grunden var rättsprocessen en konflikt mellan amerikansk massövervakningspolitik och europeisk privatlivsjuridik, där den europeiska juridiken vann.

Det innebär att företag som vill överföra europeiska personuppgifter till USA nu måste visa hur deras överföringar följer regleringarna i GDPR. Därför har föreningen noyb.eu (None Of Your Business), ledd av Max Schrems, frågat 33 företag som hanterar européers personuppgifter hur de följer GDPR, mer specifikt ställde de frågorna:

  • Do you transfer data outside of the EU? If yes, to which countries?
  • What is the legal basis relied on for each transfer (e.g. adequacy decision, SCCs, BCRs, derogations…)? If you used SCCs or BCRs, please provide a copy of the SCCs or BCRs used for each transfer.
  • If you send personal data to the US, do any of your partners fall under 50 USC §1881a (“FISA 702”) or provide data to the US government under EO 12.333?
  • If you send personal data to the US, which technical measures are you taking so that my personal data is not exposed to interception by the US government in transit?

Svaren är häpnadsväckande

”The responses ranged from detailed explanations, to admissions that these companies have no clue what is happening, to shockingly aggressive denials of the law.”

Max Schrems

Företag som AirBnb, Netflix och WhatsApp svarade inte över huvud taget i tydligt brott mot GDPR. Andra företag hänvisade till integritetspolicydokument som inte innehöll svar på frågorna.

“Instead of providing the information as required under the GDPR, many companies have simply dodged the questions by referring to the privacy policy that does not contain the information or simply not answering the questions at all.”

Max Schrems

Åter andra företag erkänner mellan raderna att man inte vet/kan följa domen, till exempel Amazon (vår fetstil):

We are aware of the recent judgment of the Court of Justice of the European Union invalidating the EU–U.S. Privacy Shield, and are actively looking into its implications. We previously relied on a several legal mechanisms, including the U.S.-EU Privacy Shield,for our transfers of personal data out of the European Economic Area. However, even before the judgment, our primary mechanism for transfers to the US was not the Privacy Shield, but the Standard Contractual Clauses (SCCs)

We can assure you we continue to maintain all of our commitments under the U.S.-EU Privacy Shield with respect to data transferred under that mechanism. In addition, as stated in our Privacy Notice, whenever we transfer personal information to countries outside of the European Economic Area in the course of sharing information as set out above, we will ensure that the information is transferred in accordance with this Privacy Notice and as permitted by the applicable laws on data protection.

We also take a range of technical and organizational measures to keep your data secure, including when transferred. We work to protect the security of your information during transmission by using Secure Sockets Layer (SSL) software, which encrypts information you input. In addition, Amazon does not disclose customer information in response to government demands unless we’re required to do so to comply with a legally valid and binding order. Unless prohibited from doing so or there is clear indication of illegal conduct in connection with the use of Amazon products or services, Amazon notifies customers before disclosing content information.

Vid en första anblick låter Amazons svar som ett faktiskt svar, men om man gräver lite grann i texten inser man att de förnekar sina problem.

För det första påpekar Amazon att de förlitar sig på SCC (standardkontraktsklausuler) mer än på Privacy Shield, och att domen därför inte påverkar deras dataöverföringar nämnvärt. Men Schrems II upphävde inte bara Privacy Shield, utan ställde också upp villkor på SCC:

”the Court holds that the requirements laid down for such purposes by the GDPR concerning appropriate safeguards, enforceable rights and effective legal remedies must be interpreted as meaning that data subjects whose personal data are transferred to a third country pursuant to standard data protection clauses [= SCC] must be afforded a level of protection essentially equivalent to that guaranteed within the EU by the GDPR, read in the light of the Charter [of Fundamental Rights].

In those circumstances, the Court specifies that the assessment of that level of protection must take into consideration both the contractual clauses agreed between the data exporter established in the EU and the recipient of the transfer established in the third country concerned and, as regards any access by the public authorities of that third country to the data transferred, the relevant aspects of the legal system of that third country.
[…]
In that regard, the Court points out, in particular, that that decision imposes an obligation on a data exporter and the recipient of the data to verify, prior to any transfer, whether that level of protection is respected in the third country concerned and that the decision requires the recipient to inform the data exporter of any inability to comply with the standard data protection clauses, the latter then being, in turn, obliged to suspend the transfer of data and/or to terminate the contract with the former”

Schrems II (vår fetstil)

Amazon svarar alltså inte på hur de kan följa FISA702 och EO12333 och Schrems II, och därmed svarar de inte på noybs frågor.

Lite ironiskt är också att Amazon pekar ut sitt användande av SSL-kryptering som skydd för personuppgifter under överföringen, när NSA medvetet arbetat för att försämra säkerheten i SSL-överföringar genom att hemlighålla buggen Heartbleed i flera år.

Läs alla företagens svar på noybs frågor här.