SurveyMonkey tillhandahåller sina tjänster över hela världen via globala underentreprenörer. I vårt avtal med dig försäkrar vi att varje överföring av personuppgifter till oss är förenlig med tillämplig dataskyddslagstiftning. Vi överför endast personuppgifter vidare till underleverantörer som skyddar dina personuppgifter med skyddsåtgärder som är lika omfattande som de skyddsåtgärder vi tillämpar på de personuppgifter som vi själva kontrollerar.

Dessutom är de kompletterande åtgärder vi har vidtagit i linje med EU-domstolens ("CJEU") dom från den 16 juli 2020 i mål C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximilian Schrems (“Schrems II”) samt riktlinjerna för kompletterande åtgärder från Europeiska dataskyddsstyrelsen (“EDPB”). Detaljerad information ges nedan.

Mer information om hur vi behandlar personuppgifter i allmänhet finns i vårt sekretessmeddelande.

Del I: Överföringar till SurveyMonkey

Del II: Vidareöverföring till underentreprenörer

Om du är en amerikansk Kund kommer ditt avtal att innehålla ett Tillägg beträffande datahantering (”DPA”) för SurveyMonkeys amerikanska enhet: SurveyMonkey Inc. Om du är Enterprise-kund och har användare i Europeiska ekonomiska samarbetsområdet (”EES”), Storbritannien (”Storbritannien”) eller Schweiz och därför behöver en överföringsmekanism för användardata till SurveyMonkey, kan du begära att vi lägger till relevanta överföringsmekanismer. Om du är en självbetjäningskund innehåller vår DPA online automatiskt dessa överföringsmekanismer.

Utöver Standardavtalsklausulerna ("SCC:erna") självcertifierar SurveyMonkey Inc. även sin efterlevnad av ramen för dataskydd mellan EU och USA, Utvidgning till Storbritannien av ramen för dataskydd mellan EU och USA samt DPF-principerna mellan Schweiz och USA. Detta innebär att europeiska, brittiska och schweiziska dataskyddsmyndigheter har bedömt vår behandling som ”tillräcklig” enligt artikel 45(3) i den allmänna skyddsförordningen (och motsvarande nationell lagstiftning).

Om du är en Kund baserad i EES, Storbritannien eller Schweiz kommer ditt avtal att innehålla ett tillägg beträffande datahantering (”DPA”) med SurveyMonkeys irländska enhet: SurveyMonkey Europe UC. Eftersom överföringen från dig till SurveyMonkey sker mellan europeiska enheter (eller mellan enheter som har erkänt varandras tillräcklighetsstatus), behövs inga andra överföringsmekanismer.

Om du är en Kund som är baserad utanför USA, EES, Storbritannien eller Schweiz – men du har användare inom EES, Storbritannien eller Schweiz och behöver se till att det finns en överföringsmekanism för vidareöverföring – kommer ditt avtal att innehålla ett DPA med SurveyMonkeys irländska enhet, SurveyMonkey Europe UC. Om du är en Enterprise-kund kan du begära att vi lägger till den relevanta överföringsmekanismen. Om du är en självbetjäningskund innehåller vår DPA online automatiskt dessa överföringsmekanismer.

Du överför personuppgifter till SurveyMonkey så att vi kan behandla personuppgifterna för följande ändamål:

Du bör utvärdera om du överför uppgifter för olika syften.

Kundpersonuppgifterna som överförs till SurveyMonkey kan innehålla så mycket eller så lite personuppgifter som du bestämmer dig för att samla in i dina frågor i undersökningar, enkäter och frågeformulär.Med hänsyn till plattformens karaktär utgår vi från att du samlar in en mängd olika personuppgifter, inklusive potentiella uppgifter i särskilda kategorier. 

Information som vi samlar in specificeras i Avsnitt 2 i vårt sekretessmeddelande.

Som nämnts ovan kommer du att ingå avtal med en SurveyMonkey-enhet i USA eller Irland – beroende på var du befinner dig. Baserat på råd från externa juridiska rådgivare som är specialiserade på dataskydd och analys av de lagar som SurveyMonkey omfattas av, anser vi att risken som är förknippad med rättssystemet i USA är låg och att risken som är förknippad med rättssystemet i Irland inte innebär någon väsentlig risk för den registrerade. Se avsnittet ”Kompletterande åtgärder: organisationsbaserade” nedan för ytterligare information specifikt om den amerikanska lagen.

Även när risken är låg eller obefintlig på grund av rättssystemet i destinationslandet har SurveyMonkey vidtagit kompletterande åtgärder för att ytterligare skydda personuppgifter. De kompletterande åtgärderna är indelade i tre kategorier: (i) avtalsmässiga; (ii) organisationsbaserade, och (iii) tekniska skyddsmekanismer. 

Som beskrivs ovan kommer SurveyMonkey att samtycka till att ingå SCC:er med Kunderna. Domen i Schrems II indikerar att parterna kan använda SCC:er och (i förekommande fall) ytterligare skyddsmekanismer vid överföring av personuppgifter från Storbritannien, Schweiz och Europeiska ekonomiska samarbetsområdet (”Europeiska uppgifter”) till USA. Om du har ingått ett avtal med SurveyMonkey eller på annat sätt erhåller tjänster från SurveyMonkey som kräver att SurveyMonkey behandlar personuppgifter om europeiska registrerade personer, kommer SurveyMonkey att (i förekommande fall beroende på vilket SurveyMonkey-företag du ingår avtal med): 

Mer information om vårt åtagande att bindas av Standardavtalsklausulerna finns i Användarvillkor (för självbetjäningskunder), Huvudavtal för tjänster (för kunder hos SurveyMonkey Enterprise eller GetFeedback Digital) eller annat avtal som du kan ha förhandlat fram med SurveyMonkey.

EU-domstolens farhågor beträffande överföring av uppgifter till USA grundade sig på amerikanska myndigheters insamling av uppgifter enligt US Executive Order 12333 (”EO 12333”) och enligt Section 702 i Foreign Intelligence Surveillance Act (”FISA § 702”), särskilt s.k. ”uppströms” övervakning under FISA § 702.  Riskerna som dessa amerikanska lagbestämmelser medför är antingen inte tillämpliga på SurveyMonkeys behandling av personuppgifter eller så kan de minskas tillräckligt genom de organisatoriska skyddsåtgärder som SurveyMonkey erbjuder.

Dessutom antog Europeiska kommissionen den 10 juli 2023 sitt beslut om tillräcklig skyddsnivå för ramen för dataskydd mellan EU och USA. I beslutet om tillräcklig skyddsnivå dras slutsatsen att USA säkerställer en tillräcklig skyddsnivå – jämfört med EU:s – för personuppgifter som överförs från EU till amerikanska företag som deltar i ramen för dataskydd mellan EU och USA.

Beslutet om tillräcklig skyddsnivå följer på USA:s undertecknande av en Executive Order om ”Förbättrade garantier för Förenta staternas signalspaningsverksamhet”, som införde nya bindande skyddsåtgärder för att ta itu med de punkter som Europeiska unionens domstol tog upp i sitt Schrems II-beslut i juli 2020. De nya skyldigheterna var framför allt inriktade på att säkerställa att amerikanska underrättelsetjänster endast kan få tillgång till uppgifter i den utsträckning som är nödvändig och proportionerlig, och att inrätta en oberoende och opartisk mekanism för att hantera och lösa klagomål från européer om insamling av deras uppgifter för nationella säkerhetsändamål (se: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey är inte berättigat att ta emot order om övervakning ”uppströms” eller massövervakningsorder under FISA § 702. SurveyMonkey Inc. fungerar delvis som en elektronisk kommunikationstjänst (”ECS”, electronic communications service) och potentiellt även som en fjärrdatatjänst (”RCS”, remote computing service) (enligt definitionen i Avsnitt 2510 respektive 2711 i Title 18 USC.) i samband med vissa tjänster eller produktfunktioner som vi tillhandahåller kunderna.  SurveyMonkey Inc. hör således till den stora grupp företag som amerikanska myndigheter skulle kunna ge ett riktat direktiv till enligt FISA § 702.  Som amerikanska myndigheterna tolkat och tillämpat FISA § 702 är SurveyMonkey emellertid inte behörigt att få den typen av order som främst intresserade EU-domstolen i beslutet i Schrems II – dvs. en FISA § 702-order beträffande ”uppströms”-övervakning.  I amerikanska myndigheters tillämpning av FISA § 702, används en uppströmsorder endast för att övervaka trafik som flödar genom leverantörer av stamnät som transporterar Internettrafik för tredje part (dvs. telekommunikationsföretag).  Se till exempel rapporten från Privacy and Civil Liberties Oversight Board, ”Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act ” (2 juli 2014), sid. 35–40, tillgänglig på https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey tillhandahåller inga sådana stamnätstjänster, eftersom vi endast transporterar trafik som rör våra egna kunder.  Därför är vi inte berättigade till den typ av order som huvudsakligen tas upp och betraktas som problematisk i Schrems II -beslutet.

SurveyMonkey har inte fått något direktiv enligt FISA § 702, och det är osannolikt att vi kommer att få något sådant. Vid tidpunkten för detta meddelande har SurveyMonkey inte fått något direktiv enligt FISA § 702 och har ingen anledning att tro att ett sådant direktiv skulle komma att ges till SurveyMonkey.  Det är högst osannolikt att de personuppgifter som SurveyMonkey behandlar för våra kunder – feedbackdata – är relevanta för den utländska underrättelseverksamhet som regleras av FISA § 702.  Om sådana personuppgifter skulle vara relevanta för en sådan utredning är det dessutom mer sannolikt att myndigheterna söker sådana uppgifter genom andra former av rättsliga förfaranden (t.ex. en husrannsakan som har godkänts av en domare) som uppfyller de höga krav på myndigheternas tillgång till uppgifter som beskrivs i Schrems II -beslutet.  Detta beror på att det skulle gå mycket snabbare och enklare för myndigheterna att begära en order eller fullmakt enligt något annat än FISA § 702 än att införa de mekanismer som krävs för att myndigheterna ska kunna delge direktiv till SurveyMonkey enligt FISA § 702.

SurveyMonkey hjälper inte – och kan inte beordras att hjälpa – amerikanska myndigheter i deras insamling av information enligt Executive Order 12333. SurveyMonkey ger inte och kommer inte att ge någon hjälp till amerikanska myndigheter som utför övervakning enligt EO 12333.  EO 12333 ger inte amerikanska myndigheter förmågan att tvinga företag att bistå dessa aktiviteter, och SurveyMonkey kommer inte att göra detta frivilligt.  Därför vidtar SurveyMonkey inga åtgärder för att underlätta den typ av massövervakning enligt EO 12333 som i Schrems II-beslutet ansågs problematisk, och kan heller inte beordras att göra det.

SurveyMonkey tillhandahåller en rad tekniska funktioner som ytterligare motverkar de centrala brister som nämns i Schrems II-beslutet ovan (massövervakning enligt FISA § 702 och massavlyssning enligt EO 12333).  

SurveyMonkey krypterar alla vilande data i våra datacenter med hjälp av AES 256-baserad kryptering. SurveyMonkey krypterar också alla data i rörelse med hjälp av (i) RSA med certifikat baserade på 2048 bitars nyckellängd genererade via en offentlig certifikatutfärdare, för kommunikation med enheter utanför SurveyMonkeys datacenter, och (ii) RSA 256-certifikat genererade via intern certifikatutfärdare, för alla data inom datacentret.  Dessa krypteringsinsatser syftar till att förhindra obehörigt förvärv av uppgifter i begriplig form och förhindra obehörig avlyssning/manipulering när uppgifter överförs mellan två slutpunkter. 

Vissa SurveyMonkey-kunder (t.ex. Kunder till GetFeedback Digital) har sina uppgifter lagrade enbart i Europeiska unionen. I dessa fall lagras uppgifterna inte i USA och endast ytterst liten åtkomst till dessa uppgifter sker i USA för begränsade ändamål (t.ex. för att tillhandahålla kundsupport på begäran, för att följa upp säkerhetssupport och/eller begränsad resurstilldelning till ingenjörer för att lösa tekniska problem/buggar eller bygga ut system).

SurveyMonkey tillämpar också strikta administrativa, tekniska och fysiska förfaranden för att skydda information som lagras på dess servrar. Tillgången till personlig information begränsas genom inloggningsuppgifter till de anställda som behöver den för att utföra sina arbetsuppgifter. SurveyMonkey tillämpar tekniker för dataminimering för att begränsa mängden personuppgifter som överförs från EU till tredjepartsjurisdiktioner och inkluderar, där så är lämpligt, pseudonymisering eller avidentifiering av uppgifter. SurveyMonkey använder dessutom åtkomstkontroller som t.ex. flerfaktorsautentisering, enkel inloggning, åtkomst efter behov, starka lösenordskontroller och begränsad åtkomst till administrativa konton.  

Som ECS/RCS är SurveyMonkey dessutom föremål för amerikanska lagen om integritetsskydd vid elektronisk kommunikation, Electronic Communications Privacy Act, 18 USC. § 2701, et seq.  (”ECPA”), som skyddar SurveyMonkeys Kunder.  ECPA förbjuder t.ex. statliga myndigheter att söka information om kunder till tjänster som SurveyMonkey om inte sådana statliga myndigheter först får ett lämpligt rättsligt förfarande, inklusive ett domstolsbeslut eller en husrannsakan för annan information än grundläggande abonnentinformation.  På samma sätt ger både FISA och ECPA SurveyMonkeys kunder möjlighet till gottgörelse mot amerikanska myndigheter (inklusive skadestånd eller disciplinära åtgärder mot de relevanta statliga myndigheterna) om myndigheterna på ett otillbörligt sätt erhåller information om dem (se 18 USC. § 2712).

SurveyMonkeys externa juridiska rådgivare har lång erfarenhet av att svara på amerikanska myndigheters förfrågningar om användardata, inklusive amerikanska framställningar som berör nationell säkerhet enligt FISA § 702.  Det är SurveyMonkeys policy att eskalera sådana förfrågningar till SurveyMonkeys egen interna complianceteam och, vid behov, till externa juridiska rådgivare för granskning.  SurveyMonkey har för avsikt att vid behov använda tillgängliga rättsliga mekanismer för att bestrida krav på tillgång till uppgifter med hjälp av FISA § 702 (inklusive alla bestämmelser eller order om tystnadsplikt som är knutna till detta) i det osannolika fallet att SurveyMonkey skulle få ett sådant krav.  Kravet skulle sedan granskas av en amerikansk domstol (FISA-domstolen). 

SurveyMonkey inser också att ett beslut om att ge tillgång till uppgifter enligt FISA § 702 skulle medföra att SurveyMonkey måste meddela våra Kunder att vi inte längre kan uppfylla Standardavtalsklausulerna, vilket skulle göra det möjligt för dem att säga upp sitt avtal med oss och avbryta dataflödet till oss.  Vi har aldrig behövt utfärda ett sådant meddelande.

Med hänsyn till ovanstående analys anser vi att risken för skada för den registrerade personen inte är väsentlig.

I tabellen nedan sammanfattas vår slutsats av bedömningen av konsekvenserna av överföringen.

”Icke-väsentlig risk” innebär att personuppgifter överförs mellan enheter som båda är belägna inom Europeiska ekonomiska samarbetsområdet (EES).

”Låg risk” innebär att importörs-/destinationslandet ligger utanför EES, men överföringen sker med en GDPR-godkänd mekanism och kompletterande åtgärder har vidtagits. Eventuella kvarstående risker som identifierats i en TIA har reducerats.

”Medelhög risk” innebär att importörs-/destinationslandet ligger utanför EES, men överföringen sker med en GDPR-godkänd mekanism och kompletterande åtgärder har vidtagits. Vissa kvarstående risker som identifierats i en TIA kvarstår.

”Hög risk” innebär att importörs-/destinationslandet ligger utanför EES, men överföringen sker med en GDPR-godkänd mekanism och kompletterande åtgärder har vidtagits. Betydande kvarstående risker som identifierats i en TIA kvarstår.

Underentreprenörer är SurveyMonkey-leverantörer som behandlar dina användares personuppgifter för att hjälpa SurveyMonkey att tillhandahålla tjänsten till dig. Alla underentreprenörer till SurveyMonkey är enligt avtal skyldiga att skydda personuppgifter med skyddsmekanismer som är minst lika stränga som den standard som vi tillämpar på personuppgifter som vi själva har kontroll över.

När SurveyMonkey överför personuppgifter till underentreprenörer genomför vi en bedömning av konsekvenserna av överföringen (en s.k. ”TIA”, Transfer Impact Assessment) som liknar de steg som beskrivs ovan. Vi gör detta för att se till att dina personuppgifter skyddas i varje steg, i enlighet med dataskyddslagstiftningen och vårt avtal med dig. Nedan följer en sammanfattning av de viktigaste punkterna i TIA för varje underentreprenör.

Observera att inte alla underentreprenörer används vid tillhandahållandet av alla våra tjänster. Vår lista över underentreprenörer är indelad i specifika SurveyMonkey-tjänster. 

Om du vill få e-postaviseringar om uppdateringar av vår lista över underentreprenörer kan du registrera dig här.

Ladda ner en PDF med vår aktuella underleverantörslista här.