SurveyMonkey tarjoaa palveluitaan ympäri maailman yhdessä maailmanlaajuisten alikäsittelijöidensä kanssa. Kanssasi solmimassamme sopimuksessa sitoudumme noudattamaan sovellettavaa tietosuojalainsäädäntöä jokaisen meille saapuvan tiedonsiirron yhteydessä. Siirrämme henkilötietoja ainoastaan sellaisille alikäsittelijöille, jotka suojaavat henkilötietojasi vähintään yhtä tiukoin suojaustoimin kuin me hallussamme olevien henkilötietojen osalta.

Suorittamamme lisätoimenpiteet ovat lisäksi Euroopan unionin tuomioistuimen (”CJEU”) 16 päivänä heinäkuuta 2020 asiassa C-311/18, tietosuojavaltuutettu vastaan Facebook Ireland Limited ja Maximilian Schrems (”Schrems II”) antaman ratkaisun sekä Euroopan tietosuojaneuvoston (”EDPB”) lisätoimenpiteitä koskevan ohjeistuksen mukaisia. Lisätietoja on seuraavassa.

Lisätietoja henkilötietojen käsittelystä yleisesti on tietosuojailmoituksessamme.

Osa I: siirrot SurveyMonkeylle

Osa II: jatkosiirrot alihankkijoina toimiville käsittelijöille

Jos olet yhdysvaltalainen asiakas, sopimukseesi sisältyy tietosuojaa koskeva lisäys (Data Protection Addendum, ”DPA”) SurveyMonkeyn Yhdysvaltojen yksikön SurveyMonkey Inc:n kanssa. Jos olet Enterprise-asiakas ja sinulla on käyttäjiä Euroopan talousalueella (”ETA”), Yhdistyneessä kuningaskunnassa (”UK”) tai Sveitsissä ja tarvitset siksi käyttäjätietojen siirtomekanismin SurveyMonkeylle, voit pyytää meitä lisäämään asianmukaiset siirtomekanismit. Jos olet itsepalveluasiakas, verkossa oleva DPA sisältää nämä siirtomekanismit automaattisesti.

Mallisopimuslausekkeiden (”SCC:t”) lisäksi SurveyMonkey Inc. suorittaa myös itsesertifiointia EU:n ja Yhdysvaltain välisen Data Privacy Framework ‑järjestelyn, sitä koskevan Yhdistyneen kuningaskunnan laajennuksen sekä Sveitsin ja Yhdysvaltain välisen Data Privacy Framework ‑järjestelyn periaatteiden puitteissa. Tämä tarkoittaa, että Euroopan, Ison-Britannian ja Sveitsin tietosuojaviranomaiset ovat todenneet käsittelymme ”riittäväksi” yleisen tietosuoja-asetuksen artiklan 45(3) (sekä sitä vastaavan kansallisen lainsäädännön) mukaisesti.

Jos olet ETA:lla, Yhdistyneessä kuningaskunnassa tai Sveitsissä sijaitseva asiakas, sopimukseesi sisältyy tietosuojaa koskeva lisäys (Data Protection Addendum, ”DPA”) SurveyMonkeyn Irlannin yksikön SurveyMonkey Europe UC:n kanssa. Koska siirto sinulta SurveyMonkeylle on eurooppalaisten toimijoiden välinen siirto (tai sellaisten toimijoiden välinen siirto, jotka ovat tunnustaneet toistensa käytäntöjen riittävyyden), muita siirtomekanismeja ei tarvita.

Jos olet Yhdysvaltojen, ETA:n, Yhdistyneen kuningaskunnan tai Sveitsin ulkopuolella sijaitseva asiakas, mutta sinulla on käyttäjiä ETA:lla, Yhdistyneessä kuningaskunnassa tai Sveitsissä ja sinun on varmistettava, että eteenpäin siirtoa varten on olemassa siirtomekanismi, sopimuksesi sisältää DPA:n SurveyMonkeyn Irlannin yksikön SurveyMonkey Europe UC:n kanssa. Jos olet Enterprise-asiakas, voit pyytää meitä lisäämään asianmukaisen siirtomekanismin. Jos olet itsepalveluasiakas, verkossa oleva DPA sisältää nämä siirtomekanismit automaattisesti.

Siirrät henkilötietoja SurveyMonkeylle, jotta voimme käsitellä tietoja seuraaviin tarkoituksiin:

Sinun tulee arvioida siirrätkö tietoja muihin tarkoituksiin.

SurveyMonkeylle siirretyt asiakkaiden henkilötiedot sisältävät niin paljon henkilötietoja kuin haluat kerätä kyselytutkimusten, lomakkeiden ja kyselyiden kysymyksissä. Alustan luonteesta johtuen oletamme, että keräät paljon erilaisia henkilötietoja, mukaan lukien mahdollisia erityistietoja. 

Keräämämme tiedot on määritelty tietosuojailmoituksen kohdassa 2.

Kuten edellä mainittiin, solmit sopimuksen joko Yhdysvalloissa tai Irlannissa sijaitsevan SurveyMonkeyn yksikön kanssa sijainnistasi riippuen. Uskomme tietosuojaan ja SurveyMonkeya sitoviin lakeihin erikoistuneen ulkopuolisen neuvonantajan ohjeiden mukaisesti siihen, että Yhdysvaltojen oikeudelliseen järjestelmään liittyvät riskit ovat vähäisiä ja siihen, että Irlannin oikeudelliseen järjestelmään liittyvät riskit eivät aiheuta rekisteröityneille oleellista riskiä. Katso erityisesti Yhdysvaltojen lakia koskevia lisätietoja jäljempänä kohdasta "Lisätoimenpiteet: organisatoriset".

Vaikka kohdemaan oikeudellinen järjestelmä muodostaa vähäisen tai olemattoman riskin, SurveyMonkey käyttää lisätoimenpiteitä henkilötietojen suojaamiseksi edelleen. Lisätoimenpiteet on jaettu kolmeen luokkaan: (i) sopimukselliset, (ii) organisatoriset ja (iii) tekniset suojaustoimet. 

Kuten edellä on kuvattu, SurveyMonkey suostuu käyttämään mallisopimuslausekkeita asiakkaiden kanssa. Schrems II ‑päätös määrää, että osapuolet voivat käyttää mallisopimuslausekkeita ja (soveltuvissa tilanteissa) lisäsuojaustoimenpiteitä henkilötietojen siirrossa Yhdistyneestä kuningaskunnasta, Sveitsistä ja Euroopan talousalueelta (”eurooppalaiset tiedot”) Yhdysvaltoihin. Jos olet solminut SurveyMonkeyn kanssa sopimuksen tai hankit SurveyMonkeylta muutoin palveluita, jotka edellyttävät eurooppalaisten rekisteröityjen henkilötietojen käsittelyä SurveyMonkeyn taholta, SurveyMonkey suorittaa seuraavaa (soveltuvin osin riippuen siitä, minkä SurveyMonkey-yksikön kanssa olet solminut sopimuksen): 

Katso lisätietoja sitoumuksestamme noudattaa mallisopimuslausekkeita käyttöehdoista (itsepalveluasiakkaat), sovellettavasta palvelusopimuksesta (SurveyMonkey Enterprise- tai GetFeedback Digital ‑asiakkaat) tai muusta sopimuksesta, jonka olet neuvotellut SurveyMonkeyn kanssa.

Euroopan unionin tuomioistuimen huoli Yhdysvaltoihin suuntautuvasta tiedonsiirrosta perustui Yhdysvaltain hallituksen suorittamaan tietojen keräämiseen presidentin asetuksen 12333 (”EO 12333”) sekä ulkomaantiedustelun valvontaa koskevan lain 702 §:n (”FISA § 702”) puitteissa ja erityisesti FISA-lain 702 §:n puitteissa tapahtuvaan ”paluusuuntaiseen” valvontaan.  Näiden Yhdysvaltojen oikeudellisten säännösten aiheuttamat riskit joko eivät koske ollenkaan SurveyMonkeyn suorittamaa henkilötietojen käsittelyä tai niitä voidaan vähentää riittävästi SurveyMonkeyn tarjoamien organisatoristen suojakeinojen avulla.

Euroopan komissio on lisäksi tehnyt 10 päivänä heinäkuuta 2023 päätöksen EU:n ja Yhdysvaltain välisen Data Privacy Framework ‑järjestelyn riittävyydestä. Päätöksessä todetaan, että Yhdysvallat varmistaa EU:hun verrattuna riittävän suojauksen tason henkilötiedoille, joita siirretään EU:sta yhdysvaltalaisille EU:n ja Yhdysvaltain väliseen Data Privacy Framework ‑järjestelyyn osallistuville yrityksille.

Riittävyyttä koskeva päätös seuraa Yhdysvalloissa hyväksyttyä Yhdysvaltain signaalitiedustelutoiminnan suojausta parantavaa presidentin asetusta, joka sisältää uusia sitovia suojaustoimia vastauksena Euroopan unionin tuomioistuimen heinäkuussa 2020 antamassa Schrems II ‑päätöksessä esittämiin näkökohtiin. Uusilla velvoitteilla pyrittiin erityisesti varmistamaan, että Yhdysvaltojen tiedustelupalveluilla on käytettävissään tietoja vain siinä määrin kuin on tarpeen ja oikeasuhteista, ja niillä pyrittiin luomaan riippumaton ja puolueeton oikeussuojamekanismi, jolla käsitellään ja ratkaistaan eurooppalaisten esittämiä kansallisen turvallisuuden tarkoituksia varten kerättyjä tietoja koskevia valituksia (katso: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752).

SurveyMonkey ei voi saada ”paluusuunnassa” tapahtuvaa valvontaa tai joukkovalvontaa koskevia käskyjä FISA-lain 702 §:n puitteissa. SurveyMonkey Inc. toimii osaksi elektronisena viestintäpalveluna (”ECS”) ja mahdollisesti etäkäyttöpalveluna (”RCS”) (kuten on määritetty Title 18 USC ‑lain kohdissa 2510 ja 2711) tiettyjen asiakkaille tarjoamiemme palveluiden tai tuoteominaisuuksien osalta.  SurveyMonkey Inc. on näin ollen osa suurta yritysjoukkoa, jolle Yhdysvaltain hallitus voisi kohdentaa määräyksen FISA-lain 702 §:n puitteissa.  Yhdysvaltain hallitus on kuitenkin tulkinnut ja soveltanut FISA-lain 702 §:ää siten, että SurveyMonkey ei voi saada sellaisia määräyksiä, joista Euroopan unionin tuomioistuin oli huolissaan Schrems II ‑päätöksen osalta – eli FISA-lain 702 §:n puitteissa annettuja ”paluusuunnassa” tapahtuvaa valvontaa koskevia määräyksiä.  Yhdysvaltain hallitus on soveltanut FISA-lain 702 §:ää siten, että se käyttää paluusuuntaan kohdistuvia määräyksiä vain internetin perusinfrastruktuurin kautta kulkevien tietojen osalta, koskien siis palveluntarjoajia, jotka kuljettavat tietoliikennettä kolmansien osapuolten puolesta (esim. televiestinnän harjoittajat).  Katso esimerkiksi tietosuojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (Privacy and Civil Liberties Oversight Board) raportti Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (2. heinäkuuta 2014), s. 35–40, saatavilla osoitteessa https://fas.org/irp/offdocs/pclob-702.pdf.  SurveyMonkey ei tarjoa tällaisia Internetin perusinfrastruktuuripalveluita, sillä se siirtää ainoastaan omien asiakkaidensa tietoja.  Emme näin ollen voi saada määräyksiä, jotka katsottiin ongelmallisiksi Schrems II ‑päätöksessä.

SurveyMonkey ei ole saanut mitään määräyksiä FISA-lain 702 §:n nojalla eikä todennäköisesti tule sellaisia saamaankaan. Tämän ilmoituksen päivämäärään mennessä SurveyMonkey ei ole vastaanottanut yhtään FISA-lain 702 §:n puitteissa annettua määräystä, eikä usko, että tällaisia määräyksiä tullaan SurveyMonkeylle lähettämään.  SurveyMonkeyn asiakkaidensa puolesta käsittelemät henkilötiedot – eli palautetiedot – eivät todennäköisesti ole tärkeitä sellaisille ulkomaantiedustelua koskeville toimille, joita hallinnoidaan FISA-lain 702 §:llä.  Jos tällaiset henkilötiedot olisivatkin oleellisia tällaiselle tutkinnalle, hallitus todennäköisesti hankkisi kyseiset tiedot muita oikeustoimia (kuten tuomarin myöntämää etsintälupaa) käyttäen, jotka puolestaan täyttävät Schrems II ‑päätöksessä kuvatut korkeat vaatimukset, joita sovelletaan hallitusten oikeuteen päästä käsiksi tietoihin.  Tämä johtuu siitä, että hallitukselle olisi paljon helpompaa ja nopeampaa hakea lupaa tai määräystä jonkin muun pykälän kuin FISA-lain 702 §:n perusteella sen sijaan, että se asettaisi sellaiset mekanismit, joita edellytetään, jotta SurveyMonkeylle voidaan lähettää määräyksiä FISA-lain 702 §:n perusteella.

SurveyMonkey ei avusta Yhdysvaltain viranomaisia niiden presidentin asetuksen 12333 nojalla tapahtuvassa tietojen keräämisessä, eikä sitä voida myöskään määrätä niitä avustamaan. SurveyMonkey ei tarjoa eikä tule tarjoamaan mitään apua Yhdysvaltain viranomaisille, jotka suorittavat valvontaa EO 12333:n puitteissa.  EO 12333 ei anna Yhdysvaltain hallinnolle mahdollisuutta pakottaa yrityksiä avustamaan tällaisissa toimissa, eikä SurveyMonkey tule näin tekemään vapaaehtoisesti.  Tästä johtuen SurveyMonkey ei ryhdy mihinkään toimiin, jotka voisivat edistää EO 12333:n puitteissa tapahtuvaa sellaista massavalvontaa, joka todettiin ongelmalliseksi Schrems II ‑päätöksessä, eikä sitä voida määrätä ryhtymään tällaisiin toimiin.

SurveyMonkeylla on käytössään erinäisiä teknisiä toimenpiteitä, joilla entisestään paikataan edellä viitattuja Schrems II ‑päätöksessä mainittuja puutteita (massavalvonta FISA-lain 702 §:n puitteissa ja suuren mittakaavan tietojen kaappaus EO 12333:n puitteissa).  

SurveyMonkey salaa kaikki liikkumattomat tiedot datakeskuksissamme käyttämällä AES 256 ‑perusteista salausta. Lisäksi SurveyMonkey salaa kaikki tiedot siirron aikana käyttämällä (i) RSA:ta ja 2048 bitin pituisiin salausavaimiin perustuvia sertifikaatteja, jotka ovat julkisen sertifikaattiviranomaisen kautta luotuja, viestintään SurveyMonkeyn datakeskusten ulkopuolella olevien kokonaisuuksien kanssa, ja (ii) sisäisen sertifikaattiviranomaisen kautta luoduilla RSA 256 ‑sertifikaateilla koskien kaikkea datakeskuksessa olevaa tietoa.  Näillä salaustoimilla pyritään estämään tietojen luvaton haltuunotto luettavassa muodossa sekä luvaton kuuntelu tai tietojen muokkaus silloin, kun tieto liikkuu kahden päätepisteen välillä. 

Joidenkin SurveyMonkeyn asiakkaiden (esimerkiksi GetFeedback Digital ‑asiakkaiden) tietoja säilytetään yksinomaan Euroopan unionin alueella. Näissä tapauksissa tietoja ei säilytetä Yhdysvalloissa ja tietoja käytetään Yhdysvalloissa vain vähän rajoitetuissa tarkoituksissa (esimerkiksi tarjoamaan asiakaspalvelua pyynnöstä, seuraamaan turvallisuuden tukipalveluita ja/tai suorittamaan rajoitettua teknistä resursointia teknisten ongelmien/virheiden poistamiseksi tai järjestelmien rakentamiseksi).

SurveyMonkey ylläpitää myös tiukkoja hallinnollisia, teknisiä ja fyysisiä toimia, joilla suojataan sen palvelimilla olevia tietoja. Pääsyä henkilötietoihin on rajoitettu sisäänkirjautumistietojen avulla niihin henkilöihin, joiden on työnsä puolesta päästävä tietoihin käsiksi. SurveyMonkeylla on käytössään tietojen minimointitekniikoita, joilla rajoitetaan EU:lta kolmansien osapuolten toimialueille lähetettävien tietojen määrää, mukaan lukien nimien muutokset tai tietojen tunnistettavuuden poistot soveltuvin osin. Tämän lisäksi SurveyMonkey käyttää pääsynvalvontakeinoja, joita ovat moninkertainen tunnistautuminen, kertakirjautuminen, tarpeeseen perustuva tietojen käyttö, vahvat salasanat sekä järjestelmänvalvojatilien rajoitettu käyttö.  

SurveyMonkey on myös ECS-/RCS-tyyppisenä toimijana Yhdysvaltain sähköisen viestinnän tietosuojaa koskevan lain (Electronic Communications Privacy Act (”ECPA”), 18 USC. § 2701 jne.) alainen.  Tällä lailla säädellään SurveyMonkeyn asiakkaita koskevaa suojausta.  ECPA estää esimerkiksi hallinnollisia tahoja hakemasta tietoja SurveyMonkeyn kaltaisten palveluiden asiakkaista ilman asiaankuuluvaa oikeudellista menettelyä, mukaan lukien muita kuin tilaajien perustietoja koskevat oikeuden määräykset ja tietojenhankintaluvat.  Samoin sekä FISA että ECPA tarjoavat SurveyMonkeyn asiakkaille oikeussuojakeinoja Yhdysvaltain hallitusta vastaan (mukaan lukien rahalliset korvaukset tai kurinpitotoimet soveltuvaa valtiollista toimijaa vastaan), jos nämä hankkivat heistä tietoja epäsopivalla tavalla (katso 18 USC. 2712 §).

SurveyMonkeyn pitkäaikainen oikeudellinen neuvonantaja on lisäksi kokenut Yhdysvaltain hallinnon lähettämiin tietopyyntöihin vastaaja, mukaan lukien kansallista turvallisuutta koskevat pyynnöt FISA-lain 702 §:n puitteissa.  SurveyMonkeyn käytäntönä on eskaloida tällaiset pyynnöt SurveyMonkeyn omalle sisäiselle vaatimustenmukaisuustiimille ja tarvittaessa kyseiselle neuvonantajalle arviointia varten.  SurveyMonkeyn aikomus on käyttää saatavilla olevia oikeudellisia mekanismeja haastamaan FISA-lain 702 §:n nojalla tehdyt pyynnöt päästä käsiksi tietoihin (mukaan lukien niihin liittyvät mahdolliset vaitiolosäännökset tai -määräykset) siinä epätodennäköisessä tapauksessa, että SurveyMonkeylle tällainen pyyntö lähetetään.  Kyseinen vaatimus siirtyisi tällöin yhdysvaltalaisen tuomioistuimen (FISA Court -tuomioistuimen) arvioitavaksi. 

SurveyMonkey ymmärtää myös, että FISA-lain 702 §:n puitteissa annettu määräys luovuttaa tietoja edellyttäisi, että SurveyMonkeyn tulisi ilmoittaa asiakkailleen ettei se voi enää noudattaa mallisopimuslausekkeita, jolloin heillä olisi mahdollisuus irtisanoa kanssamme tekemänsä sopimukset ja keskeyttää meille suuntautuvat tiedonsiirrot.  Tällaista ilmoitusta meidän ei ole koskaan tarvinnut tehdä.

Ottaen huomioon edeltävän analyysin, uskomme, että rekisteröityneeseen kohdistuvan haitan riski on mitätön.

Alla olevassa taulukossa on esitetty siirron vaikutustenarvioinnin yhteenveto.

”Olematon riski” tarkoittaa, että henkilötietoja siirretään Euroopan talousalueella (ETA) sijaitsevien toimijoiden välillä.

”Matala riski” tarkoittaa, että tietojen lähtö- tai kohdemaa sijaitsee ETA:n ulkopuolella, mutta siirto tapahtuu yleisen tietosuoja-asetuksen mukaisen mekanismin puitteissa ja lisätoimenpiteitä on toteutettu. TIA:ssa tunnistetut mahdolliset jäännösriskit ovat hallinnassa.

”Kohtalainen riski” tarkoittaa, että tietojen lähtö- tai kohdemaa sijaitsee ETA:n ulkopuolella, mutta siirto tapahtuu yleisen tietosuoja-asetuksen mukaisen mekanismin puitteissa ja lisätoimenpiteitä on toteutettu. Joitakin TIA:ssa tunnistettuja jäännösriskejä on olemassa.

”Korkea riski” tarkoittaa, että tietojen lähtö- tai kohdemaa sijaitsee ETA:n ulkopuolella, mutta siirto tapahtuu yleisen tietosuoja-asetuksen mukaisen mekanismin puitteissa ja lisätoimenpiteitä on toteutettu. Merkittäviä TIA:ssa tunnistettuja jäännösriskejä on olemassa.

Alikäsittelijät ovat SurveyMonkeyn alihankkijoita, jotka käsittelevät käyttäjiesi henkilötietoja auttaakseen SurveyMonkeya toimittamaan palvelua. Sopimus velvoittaa kaikkia SurveyMonkeyn alikäsittelijöitä suojaamaan henkilötietoja turvatoimin, jotka ovat vähintään yhtä tasokkaita kuin itse käsittelemiimme henkilötietoihin sovellettavat toimet.

Kun SurveyMonkey siirtää henkilötietoja alikäsittelijöille, suoritetaan siirron vaikutustenarviointi (Transfer Impact Assessment, ”TIA”) edellä mainittuja vaiheita vastaavasti. Teemme tämän, jotta voimme varmistua siitä, että henkilötietojasi suojataan joka vaiheessa tietosuojalainsäädännön ja kanssasi solmimamme sopimuksen mukaisesti. Jäljempänä on yhteenveto kunkin alikäsittelijän TIA:n merkittävistä seikoista.

Huomaa, että kaikkia alikäsittelijöitä ei käytetä kaikissa palveluissamme. Alikäsittelijäluettelo on jaoteltu tiettyjen SurveyMonkeyn palveluiden mukaisesti. 

Jos haluat saada sähköposti-ilmoituksia alikäsittelijäluettelomme päivityksistä, tilaa ilmoitukset täällä.

Lataa tämänhetkisten alikäsittelijöiden luettelo PDF-muodossa täältä.