На тази страница обобщихме опциите за потребители, които искат да спрат прехвърлянето на техните данни в Съединените щати след решението на Съда на Европейските общности в C-311/18 ("Schrems II") относно Щита за поверителност и стандартните договорни клаузи ("SCCs" ). В допълнение добавихме няколко често задавани въпроси, които могат да ви помогнат да идентифицирате случаи, при които имате право да поискате спиране на трансферите на данни.
Какво мога да направя сега?
GDPR ви дава силни права да получавате информация за вашите данни и да предприемате действия - използвайте ги!
СТЪПКА 1: Попитайте дали вашите данни се прехвърлят извън ЕС
Можете да попитате организацията, обработваща вашите данни (бизнес, публична институция или друг субект) дали те прехвърлят вашите данни извън ЕС и къде, на кого и на каква основа ги прехвърлят. Това е част от правото ви на достъп и правото ви да бъдете информирани. Такова искане може да бъде адресирано до въпросната организация по имейл (обикновено те предоставят имейл, където можете да изпратите такива искания). Тъй като този отговор не изисква задълбочен анализ от организацията и като се има предвид, че решението на Съда на ЕС не предвижда гратисен период за незаконни международни трансфери, те трябва да ви дадат отговор доста бързо.
Можете да използвате следния текст, за да напишете вашата заявка:
Уважаеми господине / госпожо,
Аз съм един от вашите клиенти. В съответствие с членове 12, 13, 14 и 15 от ОРЗД отправям следните искания:
- Прехвърляте ли данни извън ЕС? Ако да, към кои държави?
- На какво правно основание се разчита при всяко прехвърляне (например решение за адекватност, SCC, BCR, дерогации ...)? Ако сте използвали SCC или BCR, моля, предоставете копие на SCC или BCR, използвани за всяко прехвърляне.
- Ако изпращате лични данни до САЩ, някой от вашите партньори попада ли под 50 USC §1881a („FISA 702“) или предоставя данни на правителството на САЩ съгласно EO 12.333?
- Ако изпращате лични данни до САЩ, кои технически мерки предприемате, така че личните ми данни да не бъдат изложени на прихващане от правителството на САЩ при транзит?
Моля, отговорете в рамките на една седмица, тъй като GDPR изисква да отговорите „без ненужно забавяне“. Това е проста заявка, която не изисква обширен анализ. По-нататъшно идентифициране извън моя имейл не изглежда необходимо, тъй като не изисквам копие от личните си данни. Ако имате нужда от допълнителна информация, моля не се колебайте да се свържете с мен.
За разбирането,
[Твоето име]
Ще се радваме, ако можете да ни изпратите копие от отговора на info@noyb.eu
СТЪПКА 2: Искайте данните ви да не се прехвърлят повече в САЩ
Ако компанията или организацията ви каже, че вашите данни се изпращат на американска компания, която попада в обхвата на законите за масово наблюдение по-горе, можете да поискате от европейската компания да спре прехвърлянето на такива данни.
Можете да използвате следния текст, за да напишете вашата заявка:
Уважаеми господине / госпожо,
Аз съм един от вашите клиенти. Имам основания да вярвам, че незаконно прехвърляте личните ми данни в Съединените щати.
Ако прехвърляте лични данни на базиран в САЩ „доставчик на електронни съобщителни услуги“, както е дефинирано в 18 Кодекс на САЩ §1881 (4) (b), или, ако все още разчитате на Щита за поверителност за такива трансфери, моля да спрете прехвърлянето на личните ми данни незабавно. Моля, уведомете ме в рамките на една седмица, когато ще спрете превода. Моля, информирайте ме в рамките на една седмица от датата, до която ще спрете подобни преводи.
Ако имате нужда от допълнителна информация, моля не се колебайте да се свържете с мен.
Поздрави,
[Твоето име]
Ще се радваме, ако можете да ни изпратите копие от отговора на info@noyb.eu
СТЪПКА 1 + 2: Поискайте информация и вашите данни вече не се прехвърлят в САЩ
Можете също така да комбинирате искане за информация с искане за спиране на преноса на данни:
Можете да използвате следния текст, за да напишете вашата заявка:
Уважаеми господине / госпожо,
Аз съм един от вашите клиенти. В съответствие с членове 12, 13, 14 и 15 от ОРЗД отправям следните искания:
- Прехвърляте ли данни извън ЕС? Ако да, към кои държави?
- На какво правно основание се разчита при всяко прехвърляне (например решение за адекватност, SCC, BCR, дерогации ...)? Ако сте използвали SCC или BCR, моля, предоставете копие на SCC или BCR, използвани за всяко прехвърляне.
- Ако изпращате лични данни до САЩ, някой от вашите партньори попада ли под 50 USC §1881a („FISA 702“) или предоставя данни на правителството на САЩ съгласно EO 12.333?
- Ако изпращате лични данни до САЩ, кои технически мерки предприемате, така че личните ми данни да не бъдат изложени на прихващане от правителството на САЩ при транзит?
- Ако прехвърляте лични данни на базиран в САЩ „доставчик на електронни съобщителни услуги“, както е дефинирано в 18 Кодекс на САЩ §1881 (4) (b), или, ако все още разчитате на Щита за поверителност за такъв трансфер, моля да спрете прехвърлянето на личните ми данни незабавно.
Моля, отговорете в рамките на една седмица, тъй като GDPR изисква да отговорите „без ненужно забавяне“. Това е проста заявка, която не изисква обширен анализ. По-нататъшно идентифициране извън моя имейл не изглежда необходимо, тъй като не изисквам копие от личните си данни. Ако имате нужда от допълнителна информация, моля не се колебайте да се свържете с мен.
Поздрави,
[Твоето име]
Ще се радваме, ако можете да ни изпратите копие от отговора на info@noyb.eu
СТЪПКА 3: Подайте жалба до вашия орган за защита на данните, за да спрете прехвърлянето към САЩ
Ако вашата компания не спре ненужни прехвърляния в САЩ или не отговори, винаги можете да подадете жалба до местния орган за защита на данните.
Можете да намерите връзка към местния орган за защита на данните (DPA) на тази страница: https://edpb.europa.eu/about-edpb/board/members_en . Точният процес за подаване на жалба зависи от законите на държавата, в която го подавате, но процесът обикновено е доста неформален. Повечето уебсайтове на DPA предоставят формуляр за жалба, където можете да обясните ситуацията си.
За насоки можете да използвате следния текст, за да подадете жалба:
Може да предлагаме по-конкретни текстове в бъдеще. Моля, не забравяйте да добавите обяснение за вашата лична ситуация към този текст.
Уважаеми господине / госпожо,
Клиент съм на [име и адрес на компанията].
Данните за моя акаунт са [попълнете тук].
Вярвам, че [име на компанията] продължава да предава незаконно личните ми данни, тъй като [включва всякакви указания, като тяхна политика за поверителност или отговор, които са ви изпратили]
Имам предвид решението на Съда на Европейските общности по дело C-311/18 - Schrems II. Като се има предвид, че [име на организацията] продължава да предава личните ми данни в САЩ без подходящо правно основание, моля да разследвате въпроса и да разпоредите спиране или забрана на обработката.
Поздрави,
[Твоето име]
Ще се радваме, ако можете да ни изпратите копие от отговора на info@noyb.eu
Често задавани въпроси за потребителите
Защо Палатата счете, че има проблеми с трансферите на данни между ЕС и САЩ?
Законът на ЕС предоставя на всеки право на неприкосновеност на личния живот, защита на данните и защита пред съда. Съдът на ЕС поддържа тези права във връзка с прехвърлянето на данни в САЩ в своето решение относно Щита за поверителност и SCC. Накратко, Съдът каза, че масовото наблюдение в САЩ и липсата на правна защита срещу незаконно наблюдение често (но не винаги) прави незаконно компаниите да изпращат вашите данни до САЩ.
Кои прехвърляния на данни все още са законни?
Съгласно член 49 от ОРЗД, някои „необходими“ трансфери все още са законни при всякакви обстоятелства (напр. Когато резервирате хотел в САЩ и резервацията се изпраща до американския хотел). Все още е законно да прехвърляте данни, когато сте били информирани за американското законодателство и сте изрично и свободно се съгласили с него. Трябва да можете да оттеглите това съгласие по всяко време, без негативни последици.
Също така винаги можете да изпращате свои собствени данни до САЩ (ако искате директно да използвате доставчик, който е само в САЩ).
Кои трансфери на данни са незаконни?
Трансферите към американски компании, които попадат в обхвата на американския закон за „масово наблюдение“ като FISA 702 (наричан още 50 USC §1881a), обикновено са незаконни. Компаниите, които не могат да разчитат на тях, са така наречените „доставчици на електронни комуникационни услуги“. Това е широк термин съгласно американското законодателство и обхваща повечето доставчици на IT и облак.
Примери за тези доставчици включват AT&T , Amazon (AWS) , Apple , Cloudflare , Dropbox , Facebook , Google , Microsoft , Verizon Media (известен като Oath & Yahoo) или Verizon . Връзките на всяка от компаниите ще ви отведат до техните доклади за прозрачност, които ви казват колко често са били обект на искания за достъп до данни на правителството на САЩ.
Това означава, че типичните ситуации на "възлагане на външни изпълнители" (когато бизнес от ЕС препраща вашите данни на американска компания, която от своя страна обработва данните ви) в повечето случаи са незаконни.
Не забравяйте, че когато пребивавате в ЕС, често имате договор с дъщерно дружество на ЕС на тази американска компания (например потребителите на Facebook имат договор с Facebook Ireland). Ако те възлагат обработката на вашите данни изцяло или частично на американската компания майка, прехвърлянето е също толкова незаконно.
Какво е „Щит за поверителност“ и какво са „Стандартни договорни клаузи“ или „SCC“?
Съгласно GDPR личните данни може да не напускат ЕС. Като изключение от това правило, компаниите могат да използват определени правни инструменти, за да разрешат трансферите. Две от най-често срещаните инструменти, на които компаниите разчитат, за да прехвърлят вашите данни от ЕС в САЩ, са „Стандартни договорни клаузи“ (или „SCCs“) и „Щит за поверителност“.
Щитът за поверителност е обезсилен от Съда, така че вече не съществува. Данните не могат да бъдат прехвърляни в САЩ съгласно Privacy Shield от 16 юли 2020 г.
Почти същата забрана се отнася за използването на SCC: Всички компании, които попадат в обхвата на американския закон за „масово наблюдение“, вече не могат да използват SCC. Това е така, защото ВКС не могат да отменят американското законодателство.
Какво означава това в ежедневието?
По-долу можете да намерите някои примери за често срещани случаи, които е вероятно да включват прехвърляне на личните ви данни в САЩ.
Случаи, които обикновено са засегнати от решението:
Ако сте клиент на компания от ЕС / ЕИП, която:
- е интегриран филиал на американска компания (например Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo и други подобни) или
- разчита на съхранение или друг вид обработка в САЩ (много „средни“ фирми в ЕС).
Случаи, които обикновено не са засегнати от решението:
Необходими преводи, които все още са законни, някои примери включват следното:
- Резервиране на хотел или друго настаняване директно в САЩ или чрез туристическа агенция в ЕС (напр. Стая в Сан Франциско);
- Резервиране на полет до САЩ;
- Резервация за кола под наем в САЩ;
- Поръчка на стоки онлайн от американска компания;
- Използване на онлайн услуги, предоставяни от американска компания (без установяване в ЕС);
- Изпращане на имейл до САЩ;
- Изпращане на вашите данни до вашия адвокат в САЩ в контекста на съдебно дело;
- Свързване с приятел на Facebook, който се намира в САЩ;
- Видеообаждания до САЩ.
