Jotform GDPR: Question regarding Data Transfer Impact Assessment

  • Carsten Hanke
    Gefragt am 26. Februar 2024 um 10:19

    Liebes Jotform-Team,

    wir haben uns ihr Tool angeschaut und sind begeistert von den Möglichkeiten. Leider haben wir von unseren Datenschutzbeauftragten einen Hinweis darauf erhalten, dass wohl eine kostenaufwändige "Risikoabwägung (eines „Transfer Impact Assessments“ kurz TIA) gemacht werden müsste, wo überprüft wird, ob der Empfänger personenbezogener Daten (Jotform) durch das in den USA geltende Recht gezwungen sein könnte gegen die Regelungsinhalte der Standardvertragsklauseln zu verstoßen. Damit sollen die Risiken für Rechte und Freiheiten der Betroffenen (z.B. Teilnehmer der Umfragen) bewertet und das Prüfvorgehen + Ergebnisse dokumentiert werden. Aufsichtsbehörden überprüfen die Legitimation von Drittstaatentransfers u.a. anhand der TIA.

    Dabei handelt es sich wohl um ein recht umfangreiches, mehrstufiges und kostspieliges Unterfangen.

    Dieses würden wir natürlich gerne vermeiden. Können Sie uns hier ggf. nochmal aufklären bzw. Ihre Sichtweise schildern.

    Freue mich über Ihr Feedback.

    Viele Grüße

    Carsten Hanke

  • Victorino_S Jotform Support
    Geantwortet am 26. Februar 2024 um 12:39

    Hi Carsten,

    Thanks for reaching out to Jotform Support. Unfortunately, our German Support agents are busy helping other Jotform users at the moment. I'll try to help you in English using Google Translate, but you can reply in whichever language you feel comfortable using. Or, if you'd rather have support in German, let us know, and we can have them do that. But keep in mind that you'd have to wait until they're available again.

    Now, let me help you with your question. In connection with providing our customers with the Service, Jotform usually stores personal data associated with a customer account in the US, but where agreed upon with a customer, that data may be stored in the UK or EU (not in the US), or in any other country where our sub-processors allow for storage. A list of our data sub-processors can be found here.

    I recommend reviewing the content on this page for specific details regarding our platform requirements for a Data Transfer Impact Assessment and the most up-to-date information on data protection requirements. You can also check our GDPR and Security page for more related information.

    Let us know if you need any more help.