Momentive tillhandahåller sina produkter över hela världen och använder globala underentreprenörer för att hjälpa oss att tillhandahålla dessa produkter och tjänster. I vårt avtal med dig försäkrar vi att varje överföring av personuppgifter till oss är förenlig med dataskyddslagarna. Vi säkerställer också att när vi vidareöverför personuppgifter, skyddar mottagaren personuppgifterna med skyddsmekanismer som är minst lika stränga som den standard som vi tillämpar på personuppgifter som vi själva har kontroll över.

För att hjälpa dig att fastställa att det finns en adekvat skyddsnivå för personuppgifter som överförs till Momentive och vidare – med hänsyn till EU-domstolens (”EU-domstolen”) dom från den 16 juli 2020 i mål C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximilian Schrems (”Schrems II”) och Europeiska dataskyddsstyrelsens (”EDPB”) riktlinjer för kompletterande åtgärder – ger vi nedan lite information om hur din information skyddas när den skickas.

Mer information om hur vi behandlar personuppgifter i allmänhet finns i vårt sekretessmeddelande.

Del I: Överföringar till Momentive

Del II: Vidareöverföring till underentreprenörer

Om du är en amerikansk kund kommer ditt avtal att innehålla ett tillägg beträffande datahantering (”DPA”) med Momentives amerikanska enhet: Momentive Inc. Om du har användare i Europeiska ekonomiska samarbetsområdet (”EES”) eller Storbritannien (”Storbritannien”) och därför behöver en överföringsmekanism för användardata till Momentive, kan du begära att vi lägger till EU:s och/eller Storbritanniens standardavtalsklausuler (”SCC”).

Om du är en kund som är baserad i EES eller Storbritannien kommer ditt avtal att innehålla ett tillägg beträffande datahantering (”DPA”) med Momentives irländska enhet: Momentive Europe UC. Eftersom överföringen från dig till Momentive sker mellan europeiska enheter, för vilka det inte behövs någon överföringsmekanism (eller som har erkänt varandras tillräcklighetsstatus), behövs inga andra överföringsmekanismer.

Om du är en kund som är baserad utanför USA, EES eller Storbritannien – men du har användare inom EES eller Storbritannien och behöver se till att det finns en överföringsmekanism för vidareöverföring – kommer ditt avtal att innehålla ett dataskyddsavtal med Momentives irländska enhet, Momentive Europe UC, och du kan begära att vi lägger till SCC:er för EU och/eller Storbritannien.

Du överför personuppgifter till Momentive så att vi kan behandla personuppgifterna för följande ändamål:

Du bör utvärdera om du överför uppgifter för olika syften.

Kundpersonuppgifterna som överförs till Momentive kan innehålla så mycket eller så lite personuppgifter som du bestämmer dig för att lämna i dina frågor i undersökningar, enkäter och frågeformulär. Som plattform utgår vi från att du samlar in en mängd olika personuppgifter, inklusive potentiella uppgifter i särskilda kategorier. 

Information som vi samlar in specificeras i Avsnitt 2 i vårt sekretessmeddelande.

Som nämnts ovan kommer du att ingå avtal med en Momentive-enhet i USA eller Irland – beroende på var du befinner dig. Baserat på råd från externa juridiska rådgivare som är specialiserade på dataskydd och analys av de lagar som Momentive omfattas av, anser vi att risken som är förknippad med rättssystemet i USA är låg och att risken som är förknippad med rättssystemet i Irland inte innebär någon väsentlig risk för den registrerade. Se avsnittet ”Kompletterande åtgärder”: organisationsbaserade” nedan för ytterligare information specifikt om den amerikanska lagen.

Även när risken är låg eller obefintlig på grund av rättssystemet i destinationslandet har Momentive vidtagit kompletterande åtgärder för att ytterligare skydda personuppgifter. De kompletterande åtgärderna är indelade i tre kategorier: (i) avtalsmässiga; (ii) organisationsbaserade, och (iii) tekniska skyddsmekanismer. 

Som beskrivs ovan kommer Momentive att samtycka till att ingå SCC-avtal med kunderna. Domen i Schrems II indikerar att parterna kan använda standardavtalsklausuler och (i förekommande fall) ytterligare skyddsmekanismer vid överföring av personuppgifter från Storbritannien och Europeiska ekonomiska samarbetsområdet (”Europeiska uppgifter”) till USA. Om du har ingått ett avtal med Momentive eller på annat sätt erhåller tjänster från Momentive som kräver att Momentive behandlar personuppgifter om europeiska registrerade personer, kommer Momentive att (i förekommande fall beroende på vilket Momentive-företag du ingår avtal med): 

Mer information om vårt åtagande att bindas av standardavtalsklausulerna finns i Användarvillkor (för självbetjäningskunder), Huvudavtal för tjänster (för kunder hos SurveyMonkey Enterprise eller GetFeedback Digital) eller annat avtal som du kan ha förhandlat fram med Momentive.

EU-domstolens farhågor beträffande överföring av uppgifter till USA grundade sig på amerikanska myndigheters insamling av uppgifter enligt US Executive Order 12333 (”EO 12333”) och enligt Section 702 i Foreign Intelligence Surveillance Act (”FISA § 702”), särskilt s.k. ”uppströms” övervakning under FISA § 702.  Riskerna som dessa amerikanska lagbestämmelser medför är antingen inte tillämpliga på Momentives behandling av personuppgifter eller så kan de minskas tillräckligt genom de organisatoriska skyddsåtgärder som Momentive erbjuder.

Momentive är inte berättigat att ta emot order om övervakning ”uppströms” eller massövervakningsorder under FISA § 702. Momentive Inc. fungerar delvis som en elektronisk kommunikationstjänst (”ECS”, electronic communications service) och potentiellt även som en fjärrdatatjänst (”RCS”, remote computing service) (enligt definitionen i avsnitt 2510 respektive 2711 i Title 18 USC.) i samband med vissa tjänster eller produktfunktioner som vi tillhandahåller kunderna.  Momentive Inc. hör således till den stora grupp företag som amerikanska myndigheter skulle kunna ge ett riktat direktiv till enligt FISA § 702.  Som amerikanska myndigheterna tolkat och tillämpat FISA § 702 är Momentive emellertid inte behörigt att få den typen av order som främst intresserade EU-domstolen i beslutet i Schrems II – dvs. en FISA § 702-order beträffande ”uppströms”-övervakning.  I amerikanska myndigheters tillämpning av FISA § 702, används en uppströmsorder endast för att övervaka trafik som flödar genom leverantörer av stamnät som transporterar Internettrafik för tredje part (dvs. telekommunikationsföretag).  Se till exempel rapporten från Privacy and Civil Liberties Oversight Board, ”Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act ” (2 juli 2014), sid. 35–40, tillgänglig på https://fas.org/irp/offdocs/pclob-702.pdf.  Momentive tillhandahåller inga sådana stamnätstjänster, eftersom vi endast transporterar trafik som rör våra egna kunder.  Därför är vi inte berättigade till den typ av order som huvudsakligen tas upp och betraktas som problematisk i Schrems II-beslutet.

Momentive har inte fått något direktiv enligt FISA § 702, och det är osannolikt att vi kommer att få något sådant. Vid tidpunkten för detta meddelande har Momentive inte fått något direktiv enligt FISA § 702 och har ingen anledning att tro att ett sådant direktiv skulle komma att ges till Momentive.  Det är högst osannolikt att de personuppgifter som Momentive behandlar för våra kunder – feedbackdata – är relevanta för den utländska underrättelseverksamhet som regleras av FISA § 702.  Om sådana personuppgifter skulle vara relevanta för en sådan utredning är det dessutom mer sannolikt att myndigheterna söker sådana uppgifter genom andra former av rättsliga förfaranden (t.ex. en husrannsakan som har godkänts av en domare) som uppfyller de höga krav på myndigheternas tillgång till uppgifter som beskrivs i Schrems II-beslutet.  Detta beror på att det skulle gå mycket snabbare och enklare för myndigheterna att begära en order eller fullmakt enligt något annat än FISA § 702 än att införa de mekanismer som krävs för att myndigheterna ska kunna delge direktiv till Momentive enligt FISA § 702.

Momentive hjälper inte – och kan inte beordras att hjälpa – amerikanska myndigheter i deras insamling av information enligt Executive Order 12333. Momentive ger inte och kommer inte att ge någon hjälp till amerikanska myndigheter som utför övervakning enligt EO 12333.  EO 12333 ger inte amerikanska myndigheter förmågan att tvinga företag att bistå dessa aktiviteter, och Momentive kommer inte att göra detta frivilligt.  Därför vidtar Momentive inga åtgärder för att underlätta den typ av massövervakning enligt EO 12333 som i Schrems II-beslutet ansågs problematisk, och kan heller inte beordras att göra det.

Momentive tillhandahåller en rad tekniska funktioner som ytterligare motverkar de centrala brister som nämns i Schrems II-beslutet ovan (massövervakning enligt FISA § 702 och massavlyssning enligt EO 12333).  

Momentive krypterar alla vilande data i våra datacenter med hjälp av AES 256-baserad kryptering. Momentive krypterar också alla data i rörelse med hjälp av (i) RSA med certifikat baserade på 2048 bitars nyckellängd genererade via en offentlig certifikatutfärdare, för kommunikation med enheter utanför Momentives datacenter, och (ii) RSA 256-certifikat genererade via intern certifikatutfärdare, för alla data inom datacentret.  Dessa krypteringsinsatser syftar till att förhindra obehörigt förvärv av uppgifter i begriplig form och förhindra obehörig avlyssning/manipulering när uppgifter överförs mellan två slutpunkter. 

Vissa Momentive-kunder (t.ex. kunder till GetFeedback Digital) har sina uppgifter lagrade enbart i Europeiska unionen. I dessa fall lagras uppgifterna inte i USA och endast ytterst liten åtkomst till dessa uppgifter sker i USA för begränsade ändamål (t.ex. för att tillhandahålla kundsupport på begäran, för att följa upp säkerhetssupport och/eller begränsad resurstilldelning till ingenjörer för att lösa tekniska problem/buggar eller bygga ut system).

Momentive tillämpar också strikta administrativa, tekniska och fysiska förfaranden för att skydda information som lagras på dess servrar. Tillgången till personlig information begränsas genom inloggningsuppgifter till de anställda som behöver den för att utföra sina arbetsuppgifter. Momentive tillämpar tekniker för dataminimering för att begränsa mängden personuppgifter som överförs från EU till tredjepartsjurisdiktioner och inkluderar, där så är lämpligt, pseudonymisering eller avidentifiering av uppgifter. Momentive använder dessutom åtkomstkontroller som t.ex. flerfaktorsautentisering, enkel inloggning, åtkomst efter behov, starka lösenordskontroller och begränsad åtkomst till administrativa konton.  

Som ECS/RCS är Momentive dessutom föremål för amerikanska lagen om integritetsskydd vid elektronisk kommunikation, Electronic Communications Privacy Act, 18 USC. § 2701, et seq.  (”ECPA”), som skyddar Momentives kunder.  ECPA förbjuder t.ex. statliga myndigheter att söka information om kunder till tjänster som Momentive om inte sådana statliga myndigheter först får ett lämpligt rättsligt förfarande, inklusive ett domstolsbeslut eller en husrannsakan för annan information än grundläggande abonnentinformation.  På samma sätt ger både FISA och ECPA Momentives kunder möjlighet till gottgörelse mot amerikanska myndigheter (inklusive skadestånd eller disciplinära åtgärder mot de relevanta statliga myndigheterna) om myndigheterna på ett otillbörligt sätt erhåller information om dem (se 18 USC. § 2712).

Momentives externa juridiska rådgivare har lång erfarenhet av att svara på amerikanska myndigheters förfrågningar om användardata, inklusive amerikanska framställningar som berör nationell säkerhet enligt FISA § 702.  Det är Momentives policy att eskalera sådana förfrågningar till Momentives egen interna complianceteam och, vid behov, till externa juridiska rådgivare för granskning.  Momentive har för avsikt att vid behov använda tillgängliga rättsliga mekanismer för att bestrida krav på tillgång till uppgifter med hjälp av FISA § 702 (inklusive alla bestämmelser eller order om tystnadsplikt som är knutna till detta) i det osannolika fallet att Momentive skulle få ett sådant krav.  Kravet skulle sedan granskas av en amerikansk domstol (FISA-domstolen). 

Momentive inser också att ett beslut om att ge tillgång till uppgifter enligt FISA § 702 skulle medföra att Momentive måste meddela våra kunder att vi inte längre kan uppfylla standardavtalsklausulerna, vilket skulle göra det möjligt för dem att säga upp sitt avtal med oss och avbryta dataflödet till oss.  Vi har aldrig behövt utfärda ett sådant meddelande.

Med hänsyn till ovanstående analys anser vi att risken för skada för den registrerade personen inte är väsentlig.

I tabellen nedan sammanfattas vår slutsats av bedömningen av konsekvenserna av överföringen.

”Icke-väsentlig” risk innebär att personuppgifter överförs till en jurisdiktion som bedöms vara adekvat av Europeiska kommissionen (vilket innebär att det rättsliga skyddet är likvärdigt med det rättsliga skyddet i Europa) och att det finns avtalsmässiga, tekniska och organisationsbaserade mekanismer på plats för att ytterligare skydda uppgifterna.

”Låg” risk innebär att personuppgifter överförs till en jurisdiktion med en mekanism enligt kapitel V i dataskyddsförordningen som inte är adekvat. Även om det rättsliga skyddet inte nödvändigtvis är likvärdigt med det rättsliga skyddet i Europa, är överföringen fortfarande laglig och stöds av avtalsmässiga, tekniska och organisationsbaserade åtgärder för att ytterligare skydda uppgifterna.

Underentreprenörer är Momentive-leverantörer som behandlar dina användares personuppgifter för att hjälpa Momentive att tillhandahålla tjänsten till dig. Alla underentreprenörer till Momentive är enligt avtal skyldiga att skydda personuppgifter med skyddsmekanismer som är minst lika stränga som den standard som vi tillämpar på personuppgifter som vi själva har kontroll över.

När Momentive överför personuppgifter till underentreprenörer genomför vi en bedömning av konsekvenserna av överföringen (en s.k. ”TIA”, Transfer Impact Assessment) som liknar de steg som beskrivs ovan. Vi gör detta för att se till att dina personuppgifter skyddas i varje steg, i enlighet med dataskyddslagstiftningen och vårt avtal med dig. Nedan följer en sammanfattning av de viktigaste punkterna i TIA för varje underentreprenör.

Observera att inte alla underentreprenörer används vid tillhandahållandet av alla våra tjänster. Vår lista över underentreprenörer är indelad i specifika Momentive-tjänster. 

Om du vill få e-postaviseringar om uppdateringar av vår lista över underentreprenörer kan du registrera dig här.

Campaign Monitor, Turbine Room Ltd (FirstOfficer.io) och Salesloft, Inc., före detta underentreprenörer för GetFeedback Direct, har avlägsnats från den här listan.