Na této stránce jsme shrnuli možnosti pro uživatele, kteří chtějí zastavit předávání svých údajů do Spojených států po rozsudku Soudního dvora EU ve věci C-311/18 ("Schrems II") o štítu na ochranu soukromí a standardních smluvních doložkách ("SCC"). Kromě toho jsme přidali několik často kladených otázek, které vám mohou pomoci identifikovat případy, kdy máte právo požadovat zastavení předávání údajů.
Co mohu nyní udělat?
GDPR vám dává silná práva na získání informací o vašich údajích a na přijetí opatření - využijte je!
KROK 1: Zeptejte se, zda jsou vaše údaje předávány mimo EU
Můžete se zeptat organizace, která vaše údaje zpracovává (podniku, veřejné instituce nebo jiného subjektu), zda vaše údaje předává mimo EU a kam, komu a na jakém základě je předává. To je součástí vašeho práva na přístup a práva na informace. Takovou žádost můžete adresovat dané organizaci prostřednictvím e-mailu (obvykle poskytují e-mail, na který můžete takové žádosti zasílat). Vzhledem k tomu, že tato odpověď nevyžaduje od organizace hlubokou analýzu, a vzhledem k tomu, že rozsudek Soudního dvora EU nestanoví odkladnou lhůtu pro nezákonné mezinárodní předávání, měla by vám odpověď poskytnout poměrně rychle.
Pro sepsání žádosti můžete použít následující text:
Vážený pane/paní,
Jsem jedním z Vašich zákazníků. V souladu s články 12, 13, 14 a 15 GDPR podávám následující žádost:
- Předáváte údaje mimo EU? Pokud ano, do kterých zemí?
- Na jakém právním základě je každé předání založeno (např. rozhodnutí o odpovídající ochraně, SCC, BCR, výjimky...)? Pokud jste použili SCC nebo BCR, poskytněte prosím kopii SCC nebo BCR použitých pro každé předání.
- Pokud zasíláte osobní údaje do USA, spadá některý z vašich partnerů pod § 1881a 50 USC ("FISA 702") nebo poskytuje údaje vládě USA podle EO 12.333?
- Pokud posíláte osobní údaje do USA, jaká technická opatření přijímáte, aby mé osobní údaje nebyly při přenosu vystaveny zachycení vládou USA?
Odpovězte prosím do jednoho týdne, protože GDPR vyžaduje, abyste odpověděli "bez zbytečného odkladu". Jedná se o jednoduchou žádost, která nevyžaduje rozsáhlý analýzu. Další identifikace nad rámec mého e-mailu se nezdá být nutná vzhledem k tomu, že nepožaduji kopii svých osobních údajů. Pokud budete potřebovat další informace, neváhejte mě kontaktovat.
S pozdravem,
[Vaše jméno]
Uvítáme, pokud nám zašlete kopii případné odpovědi na adresu info@noyb.eu
KROK 2: Žádost, aby vaše údaje již nebyly předávány do USA
Pokud vám společnost nebo organizace sdělí, že vaše údaje jsou zasílány americké společnosti, na kterou se vztahují výše uvedené zákony o hromadném sledování, můžete požadovat, aby společnost z EU přenos těchto údajů zastavila.
Pro sepsání žádosti můžete použít následující text:
: Vážený pane/paní,
Jsem jedním z vašich zákazníků. Mám důvod se domnívat, že nezákonně předáváte mé osobní údaje do Spojených států.
Pokud předáváte osobní údaje "poskytovateli služeb elektronických komunikací" se sídlem v USA, jak je definován v §1881 odst. 4 písm. b) zákoníku USA, nebo pokud se při takovém předávání stále spoléháte na štít na ochranu soukromí, žádám Vás, abyste předávání mých osobních údajů okamžitě zastavili. Do jednoho týdne mi prosím dejte vědět, do kdy předávání zastavíte. Prosím, informujte mě do jednoho týdne o datu, do kterého takové předávání zastavíte.
V případě potřeby dalších informací mě prosím neváhejte kontaktovat.
S laskavým pozdravem,
[Vaše jméno]
Uvítali bychom, kdybyste nám mohli zaslat kopii jakékoli odpovědi na adresu info@noyb.eu
KROK 1+2: Žádost o informace a o to, aby vaše údaje již nebyly předávány do USA
Žádost o informace můžete také spojit s žádostí o zastavení předávání údajů:
Pro napsání žádosti můžete použít následující text:
: Vážený pane/paní,
Jsem jedním z vašich zákazníků. V souladu s články 12, 13, 14 a 15 GDPR podávám následující žádost:
- Předáváte údaje mimo EU? Pokud ano, do kterých zemí?
- Na jakém právním základě je každé předání založeno (např. rozhodnutí o odpovídající ochraně, SCC, BCR, výjimky...)? Pokud jste použili SCC nebo BCR, poskytněte prosím kopii SCC nebo BCR použitých pro každé předání.
- Pokud zasíláte osobní údaje do USA, spadá některý z vašich partnerů pod § 1881a 50 USC ("FISA 702") nebo poskytuje údaje vládě USA podle EO 12.333?
- Pokud posíláte osobní údaje do USA, jaká technická opatření přijímáte, aby mé osobní údaje nebyly při přenosu vystaveny zachycení vládou USA?
- Pokud předáváte osobní údaje "poskytovateli služeb elektronických komunikací" se sídlem v USA, jak je definován v 18 U.S. Code §1881(4)(b), nebo pokud se při takovém předávání stále spoléháte na Privacy Shield, žádám, abyste předávání mých osobních údajů okamžitě zastavili.
Prosím o odpověď do jednoho týdne, neboť GDPR vyžaduje, abyste odpověděli "bez zbytečného odkladu". Jedná se o jednoduchou žádost, která nevyžaduje rozsáhlou analýzu. Další identifikace nad rámec mého e-mailu se nezdá být nutná vzhledem k tomu, že nepožaduji kopii svých osobních údajů. Pokud budete potřebovat další informace, neváhejte mě kontaktovat.
S laskavým pozdravem,
[Vaše jméno]
Uvítáme, pokud nám zašlete kopii případné odpovědi na adresu info@noyb.eu
KROK 3: Podejte stížnost u svého úřadu pro ochranu osobních údajů a zastavte předávání údajů do USA
Pokud vaše společnost nezastaví zbytečné předávání údajů do USA nebo na ně nereaguje, můžete vždy podat stížnost u místního úřadu pro ochranu osobních údajů.
Odkaz na místní Úřad pro ochranu osobních údajů (DPA) najdete na této stránce: https://edpb.europa.eu/about-edpb/board/members_en. Přesný postup podání stížnosti závisí na zákonech země, kde ji podáváte, ale obecně je tento proces spíše neformální. Na většině webových stránek úřadu DPA je k dispozici formulář stížnosti, kde můžete vysvětlit svou situaci.
Pro orientaci můžete pro podání stížnosti použít následující text:
V budoucnu můžeme nabídnout konkrétnější texty. Nezapomeňte k tomuto textu připojit vysvětlení vaší osobní situace.
Vážený pane/paní,
Jsem zákazníkem společnosti [název a adresa společnosti].
Údaje o mém účtu jsou [zde vyplňte].
Domnívám se, že [název společnosti] pokračuje v předávání mých osobních údajů nezákonně, protože [uveďte jakýkoli údaj, například jejich zásady ochrany osobních údajů nebo odpověď, kterou vám zaslali]
Odkazuji na rozsudek Soudního dvora EU ve věci C-311/18 - Schrems II. Vzhledem k tomu, že [název organizace] pokračuje v předávání mých osobních údajů do USA bez odpovídajícího právního základu, žádám, abyste věc prošetřili a nařídili pozastavení nebo zákaz zpracování.
S laskavým pozdravem,
[Vaše jméno]
Uvítáme, pokud nám zašlete kopii případné odpovědi na adresu info@noyb.eu
Často kladené otázky pro uživatele
Proč se Účetní dvůr domníval, že existují problémy s předáváním údajů mezi EU a USA?
Právo EU přiznává každému právo na soukromí, ochranu údajů a nápravu před soudem. Soudní dvůr EU tato práva v souvislosti s předáváním údajů do USA potvrdil ve svém rozsudku o štítu na ochranu soukromí a SCC. Soudní dvůr stručně řečeno uvedl, že masové sledování v USA a nedostatek právní ochrany proti nezákonnému sledování často (ale ne vždy) způsobuje, že společnosti nemohou posílat vaše údaje do USA.
Které přenosy údajů jsou stále legální?
Podle článku 49 GDPR jsou některá "nezbytná" předání údajů stále legální za všech okolností (např. když si rezervujete hotel v USA a rezervace je odeslána do hotelu v USA). Přenos údajů je stále legální, pokud jste byli informováni o zákonech USA a výslovně a svobodně jste s ním souhlasili. Tento souhlas musíte mít možnost kdykoli odvolat, a to bez negativních následků.
Do USA můžete také vždy odeslat své vlastní údaje (pokud si přejete přímo využít poskytovatele, který je pouze v USA).
Které přenosy dat jsou nezákonné?
Předávání údajů americkým společnostem, na které se vztahuje americký zákon o "hromadném sledování", jako je FISA 702 (také nazývaný 50 USC §1881a), je obvykle nezákonné. Společnosti, které se na ně nemohou spoléhat, jsou tzv. poskytovatelé služeb elektronických komunikací. To je podle amerického práva široký pojem, který zahrnuje většinu poskytovatelů IT a cloudových služeb.
Mezi tyto poskytovatele patří např AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (známá jako Oath & Yahoo) nebo Verizon. Odkazy na jednotlivé společnosti vás zavedou na jejich zprávy o transparentnosti, které vám sdělí, jak často byly předmětem žádostí o přístup k údajům ze strany vlády USA.
To znamená, že typické situace "outsourcingu" (kdy podnik z EU předává vaše údaje americké společnosti, která je následně zpracovává) jsou ve většině případů nezákonné.
Nezapomeňte, že pokud máte bydliště v EU, máte často smlouvu s dceřinou společností této americké společnosti v EU (např. uživatelé Facebooku mají smlouvu s Facebook Ireland). Pokud zpracování vašich údajů zcela nebo zčásti zadá mateřské společnosti v USA, je toto předání stejně nezákonné.
Co je to "štít na ochranu soukromí" a co jsou to "standardní smluvní doložky" neboli "SCC"?
Podle GDPR nesmí osobní údaje opustit EU. Jako výjimku z tohoto pravidla mohou společnosti využít určité právní nástroje, které předávání povolují. Dva z nejběžnějších nástrojů, na které se společnosti spoléhají při předávání údajů z EU do USA, jsou "Standardní smluvní doložky" (neboli "SCC") a "Štít na ochranu soukromí".
Štít na ochranu soukromí byl Soudním dvorem EU zrušen, takže již neexistuje. Od 16. července 2020 nelze údaje předávat do USA v rámci štítu na ochranu soukromí.
Téměř stejný zákaz platí i pro používání SCC: Všechny společnosti, které spadají pod americký zákon o "hromadném sledování", již nemohou SCC používat. Je to proto, že SCC nemohou mít přednost před zákony USA.
Co to znamená v každodenním životě?
Níže najdete několik příkladů běžných případů, které pravděpodobně zahrnují předávání vašich osobních údajů do USA.
Případy, kterých se rozsudek obvykle týká:
Pokud jste zákazníkem společnosti z EU/EHP, která:
- je integrovanou pobočkou americké společnosti (např. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo a podobně) nebo
- spoléhá na ukládání nebo jiný typ zpracování v USA (mnoho "průměrných" podniků v EU).
Případy, kterých se rozsudek obvykle netýká:
K některým příkladům patří následující: Nezbytné přenosy, které jsou stále legální:
- Rezervace hotelu nebo jiného ubytování přímo v USA nebo prostřednictvím cestovní kanceláře v EU (např. pokoj v San Franciscu);
- Rezervace letu do USA;
- Rezervace půjčeného auta v USA;
- Objednávka zboží online od společnosti se sídlem v USA;
- Využívání online služeb poskytovaných společností se sídlem v USA (bez provozovny v EU);
- Odeslání e-mailu do USA;
- Zasílání údajů svému právníkovi v USA v souvislosti se soudním sporem;
- Kontaktování přítele na Facebooku, který se nachází v USA;
- Videohovory do USA.
