FAQ – Cisions internationella dataöverföring

Vi har tagit fram denna FAQ för att underlätta för våra kunder och influencers gällande frågor om EU-domstolens beslut ”Schrems II” i Juli 2020. Beslutet berör användandet av Privacy Shield och standardavtalsklausulerna som legal grund för överföring av personuppgifter utanför EES och då i synnerhet till USA. Domstolen var i synnerhet bekymrad över USAs underrättelsetjänsts möjligheter att komma åt personuppgifter som överförs till USA och EU-invånares bristande möjligheter att begränsa vad som händer med deras personuppgifter i USA.

Med anledning av detta beslut så har Cision granskat vår överföring och detta dokument summerar vår position.

Detta är en tillfällig statusrapport som beskriver Cisions nuvarande position. Denna kommer löpande granskas, i synnerhet baserat på eventuella ytterligare regulatoriska råd eller guidelines från Europeiska Dataskyddsstyrelsen och lokala dataskyddsmyndigheter samt de nära förestående uppdaterade standardavtalsklausulerna, vilka väntas i september/oktober 2020.

Cision arbetar hängivet med våra kunder och leverantörer för att säkerställa en acceptabel säkerhetsnivå för de personuppgifter vi behandlar.

1. Överför ni personuppgifter utanför EES och då i synnerhet till USA?

Ja vi överför data utanför EES och till USA.

2. Vad har ni för laglig grund för denna överföring?

Vi förlitar oss på EUs standardavtalsklausuler som laglig grund för överföring av data utanför EES

Vi har inte förlitat oss på Privacy Shield för överföring mellan Cisionbolagen och inte heller för överföring från kunder till Cision. Vi genomför en granskning av våra leverantörer för att utreda huruvida någon av våra leverantörer har baserat sin överföring på Privacy Shield när de ageras personuppgiftsbiträde på ert uppdrag.

3. Vad för typ av data överför ni och till vem?

De uppgifter vi överför preciseras i respektive integritetspolicy på https://gdpr.cision.se/. Kortfattat så överför vi tre typer av personuppgifter:

· Cision Influencer data: Personuppgifter om influencers insamlade av Cision och lagrade i våra olika databaser (inklusive Cisions mediedatabas och TKIM). Den största andelen av denna data består av publika uppgifter hämtade från sociala medieprofiler, publicerade artiklar och annan publik information. Vissa uppgifter kan ha lämnats av influencern själv eller deras arbetsgivare.

· Customer Influencer data: personuppgifter om influencers som våra kunder lägger in i egna listor i våra system. Denna typ av uppgifter liknar Cision influencer data till sin natur. Uppgifterna kan dock innehålla ytterligare noteringar gjorda av kunden.

· Kunduppgifter: personuppgifter som behövs för att hantera kundrelationen och uppfylla vår del av avtalet mellan oss och vår kund. Det handlar I första hand om affärskontakter och detaljer samt jobtitel.

Vi delar Cision- och Customer Influencer data mellan våra företag inom gruppen, t ex i USA, Kanada, Indien, Brasilien och Kina. Vi delar även dessa uppgifter med våra kunder där de befinner sig, inklusive kunder utanför EES.

Vi kan i visa fall dela kunduppgifter med företag inom gruppen baserade i USA för hantering av internationella kunder.

Vi kan anlita underleverantörer (t ex e-postleverantörer) baserade i USA vilka kan komma att behandla personuppgifter för Cisions räkning. Sådana underleverantörer preciseras i våra integritetsdeklarationer.

4. Är er verksamhet föremål för övervakningslagarna i USA (dvs. under sektion 702 FISA och EO 12333)?

· Cision är inte en teleoperatör så som definieras i lagstiftningen.

· Cision tillhandahåller elektroniska kommunikationslösningar genom e-postlösningar som vi tillhandahåller till våra kunder. Som ett resultat av detta så skulle Cision i princip kunna falla under sektion 702 FISA och EO 12333. I praktiken så är vi dock omedvetna om någon som helst övervakning i relation till våra system och databaser.

5. Samarbetar ni frivilligt med övervakningsmyndigheter som begär access till personuppgifter vilka behandlas av Cision?

Cision samarbetar inte frivilligt med övervakningsmyndigheter men kommer uppfylla våra lagliga skyldigheter.

6. Vilka ytterligare åtgärder kommer ni vidta för att säkerställa en tillräcklig skyddsnivå vid överföring av personuppgifter utanför EES?

Vi genomför just nu en grundlig granskning av all dataöverföring inom Cisiongruppen och till våra kunder och leverantörer utanför EES.

Vår huvudsakliga internationella överföring sker mellan våra EU-kontor och vårt huvudkontor och andra enheter i USA. Av den anledningen och givet frågorna som adresseras av EU-domstolen så har fokus så här långt legat på överföringen till USA.

Vår nuvarande bedömning är att de skyddsåtgärder som vi har på plats ger en tillräcklig skyddsnivå för personuppgifterna i fråga. Givet personuppgifternas natur, mottagarna av uppgifterna och Cisions verksamhet så ser vi inte att en överföring av Cision- och Customer influencer data utanför EES skulle utgöra någon ytterligare risk utöver vad som redan existerar som ett resultat av att dessa uppgifter redan offentliggjorts av den registrerade i fråga (influencers) innan insamling, behandling och överföring av Cision. Två viktiga faktorer ligger till grund för denna slutsats: (a) en klar majoritet av uppgifterna som överförs är allmänt kända och utgör allmängods (tillgängliga t ex genom sociala medier dör uppgifterna offentliggjorts av de registrerade själva); och (b) uppgiftsöverföringens natur är av låg risk och risken att USAs övervakningsmekanism appliceras på Cision är låg. När det kommer till kunduppgifter så anser vi att risken är mycket låg.

Cision har uppdaterat sin integritetsdeklaration för att underrätta influencers om Schrems II och dess följder och för att påminna dem om möjligheterna att begära ändringar och borttagning av personuppgifter.

7. Bör Cisions kunder vara bekymrade över personuppgifter i private listor som Cision behandlar för deras räkning?

Kunder bör själva granska huruvida personuppgifter som de lämnar till Cision kan vara av särskilt känslig natur och, om så är fallet, överväga att ta bort dessa uppgifter från t ex privata listor.

8. Vilka åtgärder kan influencers vidta för att skydda sina uppgifter om de är oroliga för att deras uppgifter ska lämna EES?

Influencers uppmanas att ta del av en uppdatering av Cisions integritetsdeklaration som lyder:

”Som du kanske är medveten om så klubbade EU-domstolen igenom en dom, känd som ”Schrems II”, den 16 juli 2020 vilken påverkar överföring av personuppgifter till USA och andra länder utanför EU. Målet grundar sig i en oro att myndigheter i USA skulle kunna komma åt data som överförs till USA och att berörda personer inte skulle ha tillräckliga möjligheter att neka tillgång eller användande av egna personuppgifter. Domen påverkar två modeller som används för att skydda data vid överföring; (a) Privacy Shield och (b) standardavtalsklausulerna. EU-domstolen konstaterade att Privacy Shield inte längre utgör laglig grund för överföring av personuppgifter. Standardavtalsklausulerna är dock fortsatt giltiga men dataexportörer, som Cision som lutar sig mot standardavtalsklausulerna, måste vidta ytterligare säkerhetsåtgärder för att säkerställa en tillräcklig skyddsnivå. Cision baserar inte sin överföring på Privacy Shield. Gällande standardavtalsklausulerna så har Cision noga granskat de överföringar som sker och kommit till slutsatsen att tillräckliga säkerhetsåtgärder finns på plats, i synnerhet givet att den största delen av uppgifterna som behandlas av Cision är allmäns kända och givet tjänsternas natur. Om du ändå skulle vara bekymrad över möjligheten att dina personuppgifter skulle kunna komma att bli tillgängliga för myndigheter i USA eller andra länder så är du välkommen att höra av dig på privacy@cision.com så kan vi antingen justera din profil eller radera valda uppgifter från vår databas.”

EES-baserade influencers kan se över deras profiler för att se om där finns några uppgifter som de inte önskar ska lämna EES. Influencers kan kontakta Cision på privacy@cision.com för att ta del av en kopia av deras profil.

Cision kommer ändra profiler på begäran och vi kommer plocka bort influencers helt från våra databaser om de inte längre vill vara inkluderade.

9. Har ni tekniska och organisatoriska säkerhetsåtgärder på plats för att skydda personuppgifter som överförs utanför EES?

Våra tekniska och organisatoriska åtgärder återfinns i våra säkerhetsrutiner https://gdpr.cision.se/Tekniska-och-organisatoriska-atgarder

I de fall då vi anlitar biträden som behandlar uppgifter för vår räkning så säkerställer vi att även de har vidtagit lämpliga säkerhetsåtgärder.

10. Genomför ni några ändringar i standardavtalsklausulerna som ett resultat av beslutet I EU-domstolen?

Vi har för avsikt att genomföra vissa ändringar i standardavtalsklausulerna för att följa rekommendationer utfärdade av en av de tyska dataskyddsmyndigheterna. Vi kommer hålla standardavtalsklausulerna under uppsikt avgöra hur vi ska agera baserat på kommande regulatorisk vägledning samt den väntade uppdateringen av standardavtalsklausulerna i september/oktober 2020.

11. Hur kommer ni hantera överföring utanför EES till andra länder än USA?

Cision kan i dagsläget inte analysera och dra några slutsatser gällande övervakning, myndigheter och lagstiftning i alla territorier till vilka vi kan komma att överföra personuppgifter. Det är dock Cisions åsikt att även om dessa regimer skulle tillåta tillgång till uppgifter liknande den som tillåts USAs övervakningsmyndigheter och även om de registrerades rättigheter begränsas på samma sätt som i USA så skulle personuppgifternas natur var ointressanta för myndigheterna vilket resulterar i att risken involverad i överföring till dessa länder är låg. Som ett resultat av detta så förväntar sig Cision att slutsatserna om huruvida ytterligare säkerhetsåtgärder krävs med största sannolikhet kommer vara liknande. Vi kommer noggrant övervaka eventuell ytterligare vägledning från Europeiska Dataskyddsstyrelsen, lokala dataskyddsmyndigheter samt best practice och rekommendationer. Detta är ett löpande och kontinuerligt pågående arbete.

SEPTEMBER 2020

Advanced Search