Internationell dataöverföring
Vad är SCCS?
Standard Contractual Clauses (SCCs) är allmänna villkor som måste finnas på plats mellan organisationer inom EU som skickar personuppgifter och de organisationer utanför EU som de skickar uppgifterna till.
Dessa villkor är publicerade av den Europeiska Kommissionen och samma villkor gäller därför för samtliga organisationer.
Cision har dessa SCCs på plats med såväl kunder som leverantörer.
Den fjärde juni 2021 publicerades en ny upplaga av SCCs av den Europeiska Kommissionen.
Dessa nya villkor möjliggör för redan existerande SCCs att fortsätta användas för “ny” dataöverföring under en övergångsperiod i tre månaders tid för att ge organisationer chansen att läsa på och genomföra nödvändiga förändringar för att säkerställa enlighet med de nya villkoren innan de implementeras i praktiken.
Vi planerar att undersöka vilka kompletterande tekniska säkerhetsåtgärder som krävs för våra olika databehandlingar. När dessa beslut är fattade kommer de att redovisas här.
Av samma anledning kommer existerande SCCs kunna användas även för existerande dataöverföring i upp till 18 månader framöver och därmed ge organisationer en tidsfrist fram till början på år 2023.
FAQ – Cisions internationella dataöverföring
Vi har skapat denna FAQ för att hjälpa våra kunder och influencers med frågor om hur Cision överför personuppgifter utanför EES. Framför allt behandlas frågor angående:
- EU-domstolens beslut i det så kallade Schrems II-målet i juli 2020 (läs här: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=12312155);
- EU:s nya standardavtalsklausuler (SCC) (utkast) (läs här: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries; och
- Brexit.
Lagen är under utveckling. Cisions tillvägagångssätt kommer att ses över, i synnerhet med hänsyn till riktlinjer från Europeiska dataskyddsstyrelsen (EDPB) och alla tillämpliga nationella dataskyddsmyndigheter samt beslut från relevanta domstolar. Cision åtar sig att samarbeta med sina kunder och leverantörer för att säkerställa tillräckliga skyddsnivåer för de personuppgifter vi hanterar.
1. Vad går beslutet i Schrems II-målet ut på?
Enligt europeisk och brittisk dataskyddslagstiftning (GDPR/brittiska GDPR) får personuppgifter inte överföras utanför EES om inte exportören använder en godkänd mekanism som gör överföringen laglig. Privacy Shield (endast för överföringar till USA) och EU:s standardavtalsklausuler (SCC) (för överföringar utanför EES) var två sådana överföringsmekanismer.
Integritetsaktivisten Max Schrems stämde Facebook Ireland i irländsk domstol, som i sin tur framförde ett antal frågor som avgjordes i EU-domstolen. EU-domstolens beslut omfattar möjligheten (även när godkända mekanismer används) för myndigheter och underrättelsetjänst i USA att få tillgång till personuppgifter som överförs till USA, och vad EU-domstolen ansåg vara brist på en tillräcklig skyddsnivå i USA för EU-medborgare som är oroliga för sådan användning av deras personuppgifter.
EU-domstolen beslutade att Privacy Shield inte längre är en giltig mekanism, men att andra överföringsmekanismer (inklusive SCC) förblir giltiga. Vad beträffar SCC beslutade EU-domstolen att dataexportörerna själva är skyldiga att bedöma om kompletterande skyddsåtgärder (utöver SCC) är nödvändiga för att säkerställa en tillräcklig skyddsnivå för personuppgifter som överförs utanför EES.
2. Överför ni personuppgifter utanför Europa och då i synnerhet till USA?
Ja, vi överför personuppgifter utanför EES, däribland till USA.
3. Vilken typ av personuppgifter överför ni?
De personuppgifter vi överför anges i relevanta integritetspolicyer på .
Vi överför fyra olika typer av personuppgifter:
- Cisions influenceruppgifter: Personuppgifter om influencers som samlats in av Cision och som finns i våra databaser (inklusive Cisions Mediedatabas och TKIM). Huvuddelen av dessa uppgifter är tillgängliga för alla och har inhämtats från profiler på sociala medier, webbplatser, publicerade artiklar och annan allmän information. Annan information kan ha lämnats ut av influencers själva eller av deras arbetsgivare.
- Influenceruppgifter från kunder: Personuppgifter om influencers som våra kunder lägger in i egna listor i våra system. Denna typ av uppgifter liknar Cision Influencer Data. Uppgifterna kan innehålla kommentarer från våra kunder.
- Kunduppgifter: Personuppgifter som behövs för att hantera kundrelationen och uppfylla vår del av avtalet mellan oss och vår kund. Det handlar främst om kontaktuppgifter för företag och jobbtitlar.
- Cisions interna personuppgifter (t.ex. personaluppgifter). Dessa vanliga frågor omfattar inte den här typen av uppgifter.
4. Till vem överför ni personuppgifter?
Vi delar Cisions influenceruppgifter med våra kunder (inklusive kunder utanför EES) och med våra koncernföretag i USA, Kanada, Indien, Brasilien och Kina.
Våra kunder ger oss influenceruppgifter från kund och vi behandlar uppgifterna för deras räkning. Detta kan innebära överföring av denna information från EES till våra koncernföretag i USA där denna information lagras.
Vi kan dela kunduppgifter med våra koncernföretag i USA i samband med hantering av kundkonton.
Vi kan dela Cisions influenceruppgifter, influenceruppgifter från kund och kunduppgifter med tredje partsleverantörer/återförsäljare som vi arbetar med (t.ex. leverantörer av e-posttjänster) som behandlar uppgifterna för vår räkning.
5. Vilken godkänd mekanism använder ni för internationell överföring av uppgifter?
Europeiska kommissionen har fastställt att vissa länder (t.ex. Kanada) har adekvata dataskyddslagar och för dessa länder krävs inga kompletterande skyddsåtgärder.
Vi använder SCC i de länder som inte har adekvata dataskyddslagar.
Vi har aldrig använt Privacy Shield för överföringar inom Cision eller för överföringar till våra kunder.
Vi har utfört en granskning av våra leverantörer/återförsäljare för att ta reda på om de använder Privacy Shield vid behandling av uppgifter för vår räkning, och ingen av dem gör det.
6. Är er verksamhet föremål för USA:s övervakningslagar enligt sektion 702 FISA och EO 12333?
Cision är inte en teleoperatör enligt lagens definition.
Med hänsyn till de tjänster som Cision erbjuder (t.ex. e-posttjänster) kan företaget anses vara leverantör av elektroniska kommunikationstjänster. Till följd av detta kan Cision vara föremål för övervakning enligt sektion 702 FISA och EO 12333.
7. Känner Cision till om brottsbekämpande organ i USA eller andra länder har övervakat dess system och databaser?
Nej, Cision känner inte till någon övervakningsaktivitet av dess system och databaser.
8. Har Cision fått begäran om utlämnande av personuppgifter från brottsbekämpande organ?
Ja. Cision har tagit emot stämningsansökan och andra begäranden om utlämnande av personuppgifter.
9. Vad har Cision för inställning till att myndigheter begär tillgång till personuppgifter som innehas av Cision?
Cision uppfyller sin rättsliga förpliktelse.
Cision samarbetar inte frivilligt med övervakningsmyndigheter och lämnar inte ut personuppgifter om lagen inte kräver det.
Cision kommer att granska alla begäranden från brottsbekämpande organ och kommer bara att lämna ut personuppgifter om begäran har gjorts i rätt form och presenterats av en behörig myndighet, och kommer endast att lämna ut personuppgifter som faller inom ramen för en laglig begäran.
10. Uppger Cision det faktum att myndigheter har begärt tillgång till personuppgifter?
Cision kan på begäran yppa att en myndighet har gjort en begäran om det är tillåtet enligt gällande lag. Många (om inte huvuddelen) av begäranden från myndigheter är konfidentiella och Cision får inte uttala sig om dessa begäranden eller innehållet i dessa.
11. Hur ofta får Cision begäran från myndigheter om utlämnande av personuppgifter för Cisions kunder eller influencers på Cision-plattformen?
Cision får vanligtvis mindre än 15 begäranden per år för alla företagen inom koncernen. Dessa begäranden handlar om kundkonton och -aktivitet, och omfattar vanligtvis inte personuppgifter.
12. Vilken bedömning har ni gjort av era internationella överföringar av uppgifter?
Cision har gjort bedömningar av sina dataflöden inom Cision-koncernen, samt till våra leverantörer och kunder i USA. Vi kommer att göra liknande bedömningar i andra länder.
Våra huvudsakliga internationella överföringar av uppgifter sker från våra EU-kontor till vårt huvudkontor och andra anläggningar i USA samt till våra amerikanska kunder. Av den anledningen och eftersom frågorna som tas upp av EU-domstolen handlar om överföringen till USA, så har vi fokuserat på detta.
Cision och influenceruppgifter från kunder
Med hänsyn till de registrerades natur, de personuppgifter vi behandlar, mottagarna av uppgifterna och Cisions verksamhet så anser vi inte att överföring av Cisions och kunders influenceruppgifter utanför EES skulle skapa eller utgöra en väsentlig risk utöver de risker som redan existerar eftersom dessa uppgifter redan offentliggjorts av de registrerade i fråga (influencers) innan insamling, behandling och överföring av Cision. Två viktiga faktorer ligger till grund för denna slutsats: (a) en huvuddel av uppgifterna som överförs är allmänt kända (tillgängliga t.ex. på sociala medier där uppgifterna offentliggjorts av de registrerade själva); och (b) uppgiftsöverföringens natur är av låg risk. Om en myndighet vill få tillgång till personuppgifter för influencers kan den göra det genom att använda samma offentliga källor som har använts av Cision. Vi anser att risken för att USA:s övervakningsmekanism appliceras på Cision är låg och om det skulle hända skulle det handla om uppgifter som redan är allmänt tillgängliga.
Kunduppgifter
Kunduppgifter är vanligtvis begränsade till personlig kontaktinformation för våra kundansvariga och aktivitet på kundkonton. Vi anser att även denna information är av låg risk.
Trots ovanstående medger Cision att myndigheter i USA teoretiskt sett kan få tillgång till personuppgifter som Cision innehar. Av denna anledning kommer Cision att införa kompletterande skyddsåtgärder för att skydda de personuppgifter vi överför utanför EES, enligt nedan.
13. Vidtar ni några tekniska åtgärder för att säkerställa att de personuppgifter som överförs utanför EES är tillräckligt skyddade, och i så fall vilka?
Cision har vidtagit hållbara tekniska och organisatoriska säkerhetsåtgärder för att säkerställa att personuppgifter har en tillräcklig skyddsnivå. En sammanfattning av dessa åtgärder finns i våra IT-säkerhetspolicyer som finns här: .
Cision använder kryptering både vid överföring (TLS) och i vila och arbetar ständigt för att förbättra vår förmåga att kryptera personuppgifter.
Där vi anlitar personuppgiftsbiträden som jobbar för vår räkning, säkerställer vi att de har lämpliga säkerhetsåtgärder.
14. Vidtar ni kompletterande åtgärder för att säkerställa att de personuppgifter som överförs utanför EES är tillräckligt skyddade, och i så fall vilka?
Trots vår syn på riskerna kommer Cision att genomföra vissa avtalsmässiga ändringar för att ta itu med de farhågor som EDPB har tagit upp. Dessa ändringar kommer att implementeras i uppdateringar av vårt ramavtal och med nya SCC när de slutliga versionerna har publicerats. Dessa ändringar träder i kraft vid förnyelse av befintliga kundavtal och vid genomförande av nya avtal.
Nya SCC kommer att implementeras inom den tidsram som anges av EU, dvs. tolv månader från publiceringsdatumet för SCC.
15. Kan ni tillhandahålla tjänster utan internationell överföring av kunduppgifter?
För närvarande lagras alla Cisions influenceruppgifter och influenceruppgifter från kunder på servrar i USA. Vi har inga planer på att ändra detta. Därför är det inte möjligt att Cision tillhandahåller tjänster till våra kunder utan att överföra EU-medborgares personuppgifter till USA.
16. Vilken kontroll har kunden över de uppgifter som överförs?
Kunder kan vara oroliga över kunduppgifter och influenceruppgifter från kunder.
Det är nödvändigt för Cisions internationella företag (särskilt Cision US Inc.) att ha tillgång till kunduppgifter för att hantera kundkonton.
Kunden har full kontroll över de influenceruppgifter från kund som lämnas ut till Cision. Om en kund känner oro över internationell överföring av influenceruppgifter från kunder så borde kunden inte lämna ut dessa uppgifter till Cision eller ta upp dessa frågor med Cision.
17. Borde Cisions kunder vara oroliga över de personuppgifter som kan finnas på privata listor som Cision behandlar för vår räkning?
Kunder bör göra egna bedömningar om de personuppgifter som de lämnar ut till Cision (influenceruppgifter från kund eller kunduppgifter) kan vara känsliga och, om så är fallet, överväga om de borde neka tillgång till eller radera dessa uppgifter från t.ex. privata listor.
18. Kommer ni att göra ändringar av SCC?
Beslutet i Schrems II kräver inga ändringar av SCC.
Vi har infört 2021 års SCC via vårt avtal om behandling av kunduppgifter som nya kunder kommer att underteckna tillsammans med befintliga kunder som så önskar. 2010 års SCC kan användas fram till januari 2023.
19. Hur ska ni hantera överföringar till andra länder än USA?
Cision överväger bedömning av internationella överföringar av personuppgifter till andra länder än USA.
Cision anser att även om dessa regeringar ger tillgång till brottsbekämpande organ på liknande sätt som sker i USA, och även om den skyddsnivå som ges till de registrerade har samma brister som enligt EU-domstolen förekommer i USA, är uppgifterna av sådan natur att de inte utgör något intresse för brottsbekämpningen, vilket innebär att riskerna vid överföringar till dessa länder är låga.
Vi kommer att följa nya riktlinjer från EDPB och nationella dataskyddsmyndigheter, samt rekommendationer om bästa praxis.
20. Vilka åtgärder vidtar ni för att säkerställa att era tredjepartsleverantörer/återförsäljare tillhandahåller en tillräcklig skyddsnivå för de uppgifter som de behandlar för Cisions räkning?
Vi utför granskningar av våra tredjepartsleverantörer och återförsäljare för att säkerställa att de tillhandahåller en tillräcklig skyddsnivå för de personuppgifter som behandlas för Cisions räkning.
21. Hur kommer Cision att hantera överföringar till och från Storbritannien med tanke på Brexit?
Storbritannien har införlivat GDPR i sin nationella lagstiftning som kallas brittiska GDPR. Lagen om internationell dataöverföring fortsätter att gälla för överföringar till och från Storbritannien, som nu anses vara ett tredje land vad gäller GDPR. Detta innebär att överföringar mellan EU och Storbritannien nu omfattas av samma restriktioner som överföringar från EES till andra länder, och överföringar från Storbritannien till länder utanför EES omfattas fortfarande av samma restriktioner.
Den brittiska regeringen har kommit överens om en provisorisk åtgärd med EU, enligt vilken Storbritannien anses vara en adekvat jurisdiktion för överföringar till Storbritannien fram till den 31 juni 2021. Detta innebär att överföringar från Storbritannien till EU under denna interimperiod inte kräver några kompletterande skyddsåtgärder. Det är oklart vad som kommer att hända efter denna interimperiod. Cision kommer att följa utvecklingen och uppdatera dessa vanliga frågor när ny information finns tillgänglig.
Storbritannien har gått med på att behandla EU som en ”adekvat” jurisdiktion för brittiska GDPR. Detta innebär att överföringar från Storbritannien till EU inte kräver några kompletterande skyddsåtgärder.
Enligt brittiska GDPR kommer överföringar från Storbritannien till länder utanför EES att omfattas av samma begränsningar som för närvarande. Cision kommer fortsätta att använda SCC i samband med dessa överföringar. Det återstår att se om Storbritannien kommer att anta EU:s nya SCC eller publicera en egen version. Cision kommer att följa utvecklingen och vidta lämpliga åtgärder vid behov.
22. Vilka åtgärder har Cision vidtagit för att berätta för influencers om dessa förändringar?
Cision har uppdaterat sin integritetsdeklaration för att informera influencers om Schrems II-beslutet och dess konsekvenser, och för att påminna dem om deras rätt till att begära ändring/borttagning av sina profiler.
23. Vilka åtgärder kan influencers vidta för att skydda sina personuppgifter om de är oroliga att uppgifterna överförs utanför EES?
Influencers kan se att Cisions integritetsdeklaration har uppdaterats där följande anges:
”Som du kanske är medveten om så klubbade EU-domstolen nyligen (juli 2020) igenom en dom, känd som ”Schrems II”, vilken påverkar överföring av personuppgifter till USA och andra länder utanför EU. Målet grundar sig i en oro att myndigheter i USA skulle kunna komma åt data som överförs till USA och att registrerade som du inte skulle ha tillräckliga möjligheter att neka tillgång eller användande av dina personuppgifter. Domen påverkar två mekanismer som används för att skydda dina uppgifter vid överföring; (a) Privacy Shield och (b) standardavtalsklausulerna (SCC). EU-domstolen konstaterade att Privacy Shield inte längre är giltig, men bekräftade att SSC är fortsatt giltiga och att dataexportörer (som Cision) som använder SSC måste vidta kompletterande skyddsåtgärder för att säkerställa en tillräcklig skyddsnivå. Cision använder inte Privacy Shield för internationell överföring av uppgifter. Gällande standardavtalsklausulerna så har Cision noga granskat de överföringar som sker och kommit till slutsatsen att tillräckliga skyddsåtgärder finns på plats, i synnerhet givet att den största delen av uppgifterna som behandlas av Cision är allmänt kända och givet tjänsternas natur. Om du ändå skulle vara bekymrad över möjligheten att dina personuppgifter skulle kunna bli tillgängliga för brottsbekämpande organ i USA (eller andra länder) så är du välkommen att höra av dig på privacy@cision.com så kan vi antingen radera valda uppgifter från din profil eller radera dig från vår databas.”
EES-baserade influencers kan se över sina profiler för att se om där finns några uppgifter som de inte önskar ska överföras utanför EES. Influencers kan kontakta Cision för att ta del av en kopia av sin profil på .
Cision kommer att ändra profiler på begäran och kommer att radera de influencers som inte längre vill ha sina uppgifter i Cisions databaser.
SENAST UPPDATERAD FEBRUARI 2021