Επόμενα Βήματα για χρήστες και Συχνές Ερωτήσεις

Ιουλ 24, 2020

Σε αυτήν τη σελίδα έχουμε συνοψίσει τις επιλογές για τους χρήστες που θέλουν να σταματήσουν τη μεταφορά των δεδομένων τους στις Ηνωμένες Πολιτείες μετά την απόφαση του ΔΕΕ στην υπόθεση C-311/18 (“Schrems II”) σχετικά με την Ασπίδα Ιδιωτικότητας (“Privacy Shield”) και τις Τυποποιημένες Συμβατικές Ρήτρες (“SCCs”). Επιπλέον, προσθέσαμε μερικές συχνές ερωτήσεις που μπορεί να σας βοηθήσουν να εντοπίσετε περιπτώσεις στις οποίες έχετε το δικαίωμα να ζητήσετε διακοπή της μεταφοράς δεδομένων.

 

Τι μπορώ να κάνω τώρα?

Ο GDPR σας παρέχει ισχυρά δικαιώματα για τη λήψη πληροφοριών σχετικά με τα δεδομένα σας και την ανάληψη δράσης - χρησιμοποιήστε τα!

ΒΗΜΑ 1: Ρωτήστε αν τα δεδομένα σας μεταφέρονται εκτός ΕΕ

Μπορείτε να ρωτήσετε τον οργανισμό που επεξεργάζεται τα δεδομένα σας (επιχείρηση, δημόσιο ίδρυμα ή οποιαδήποτε άλλη οντότητα) εάν μεταφέρει τα δεδομένα σας εκτός ΕΕ και πού, σε ποιον, και σε ποια βάση τα μεταφέρει. Αυτό είναι μέρος του δικαιώματός σας πρόσβασης και του δικαιώματος ενημέρωσης. Ένα τέτοιο αίτημα μπορεί να απευθύνεται στον εν λόγω οργανισμό μέσω email (συνήθως παρέχουν ένα email όπου μπορείτε να στείλετε τέτοια αιτήματα). Δεδομένου ότι αυτή η απάντηση δεν απαιτεί βαθιά ανάλυση από τον οργανισμό και λαμβάνοντας υπόψη ότι η απόφαση του ΔΕΕ δεν προβλέπει περίοδο χάριτος για παράνομες διεθνείς μεταφορές, θα πρέπει να σας δώσουν μια απάντηση πολύ γρήγορα.

Μπορείτε να χρησιμοποιήσετε το ακόλουθο κείμενο για να γράψετε το αίτημά σας:

Αγαπητέ κύριε, Αγαπητή κυρία,

Είμαι ένας από τους πελάτες σας. Σύμφωνα με τα άρθρα 12, 13, 14 και 15 του ΓΚΠΔ, υποβάλλω το ακόλουθο αίτημα:

  • Μεταφέρετε δεδομένα εκτός ΕΕ; Εάν ναι, σε ποιες χώρες;
  • Ποια είναι η νομική βάση για κάθε μεταφορά (π.χ. απόφαση επάρκειας, Τυποποιημένες Συμβατικές Ρήτρες, δεσμευτικοί εταιρικοί κανόνες, παρεκκλίσεις...); Εάν χρησιμοποιήσατε Τυποποιημένες Συμβατικές Ρήτρες ή Δεσμευτικούς Εταιρικούς Κανόνες, παρακαλώ όπως μου παράσχετε ένα αντίγραφο των Τυποποιημένων Συμβατικών Ρητρών ή των Δεσμευτικών Εταιρικών Κανόνων που χρησιμοποιήθηκαν για κάθε μεταφορά.
  • Εάν στέλνετε προσωπικά δεδομένα στις ΗΠΑ, εμπίπτει κάποιος από τους συνεργάτες σας στο 50 USC §1881a ("FISA 702") ή παρέχει δεδομένα στην κυβέρνηση των ΗΠΑ σύμφωνα με το EO 12.333;
  • Εάν στέλνετε προσωπικά δεδομένα στις ΗΠΑ, ποια τεχνικά μέτρα λαμβάνετε ώστε τα προσωπικά μου δεδομένα να μην εκτίθενται σε υποκλοπή από την κυβέρνηση των ΗΠΑ κατά τη μεταφορά;

Παρακαλώ όπως μου απαντήσετε εντός μίας εβδομάδας καθώς ο ΓΚΠΔ απαιτεί να απαντήσετε «χωρίς αδικαιολόγητη καθυστέρηση». Αυτό είναι ένα απλό αίτημα που δεν απαιτεί εκτεταμένη ανάλυση. Περαιτέρω ταυτοποίηση πέρα από το email μου δεν φαίνεται απαραίτητη δεδομένου ότι δεν απαιτώ αντίγραφο των προσωπικών μου δεδομένων. Εάν χρειάζεστε περισσότερες πληροφορίες, μην διστάσετε να επικοινωνήσετε μαζί μου.

Με εκτίμηση,

[Το όνομα σας]

ΒΗΜΑ 2: Ζητήστε να μην μεταφέρονται πλέον τα δεδομένα σας στις ΗΠΑ

Εάν η εταιρεία ή ο οργανισμός σας ενημερώσει ότι τα δεδομένα σας αποστέλλονται σε εταιρεία των ΗΠΑ που εμπίπτει στους παραπάνω νόμους μαζικής παρακολούθησης, μπορείτε να ζητήσετε από την εταιρεία της ΕΕ να σταματήσει τη μεταφορά αυτών των δεδομένων.

Μπορείτε να χρησιμοποιήσετε το ακόλουθο κείμενο για να γράψετε το αίτημά σας:

Αγαπητέ κύριε, Αγαπητή κυρία,

Είμαι ένας από τους πελάτες σας. Έχω λόγους να πιστεύω ότι μεταφέρετε παράνομα τα προσωπικά μου δεδομένα στις Ηνωμένες Πολιτείες.

Εάν μεταφέρετε προσωπικά δεδομένα σε "πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών" με έδρα τις ΗΠΑ, όπως ορίζεται στον 18 U.S. Code §1881 (4) (β), ή, εάν εξακολουθείτε να βασίζεστε στην Ασπίδα Ιδιωτικότητας για τέτοιες μεταφορές, σας ζητώ να σταματήσετε τη μεταφορά των προσωπικών μου δεδομένων αμέσως. Παρακαλώ όπως με ενημερώσετε εντός μιας εβδομάδας πότε θα σταματήσετε τη μεταφορά. Παρακαλώ ενημερώστε με εντός μιας εβδομάδας από την ημερομηνία κατά την οποία θα έχετε σταματήσει τέτοιες μεταφορές.

Εάν χρειάζεστε περαιτέρω πληροφορίες, μην διστάσετε να επικοινωνήσετε μαζί μου.

Με εκτίμηση,

[Το όνομα σας]

 

ΒΗΜΑ 1 + 2: Ζητήστε τα δεδομένα σας να μην μεταφέρονται πλέον στις ΗΠΑ

Μπορείτε επίσης να συνδυάσετε ένα αίτημα για πληροφορίες με ένα αίτημα για διακοπή της μεταφοράς δεδομένων:

Μπορείτε να χρησιμοποιήσετε το ακόλουθο κείμενο για να γράψετε το αίτημά σας:

Αγαπητέ κύριε, Αγαπητή κυρία,

Είμαι ένας από τους πελάτες σας. Σύμφωνα με τα άρθρα 12, 13, 14 και 15 του ΓΚΠΔ, υποβάλλω το ακόλουθο αίτημα:

  • Μεταφέρετε δεδομένα εκτός ΕΕ; Εάν ναι, σε ποιες χώρες;
  • Ποια είναι η νομική βάση για κάθε μεταφορά (π.χ. απόφαση επάρκειας, Τυποποιημένες Συμβατικές Ρήτρες, Δεσμευτικοί Εταιρικοί Κανόνες, παρεκκλίσεις...); Εάν χρησιμοποιήσατε Τυποποιημένες Συμβατικές Ρήτρες ή Δεσμευτικούς Εταιρικούς Κανόνες, παρακαλώ όπως μου παράσχετε ένα αντίγραφο των Τυποποιημένων Συμβατικών Ρητρών ή των Δεσμευτικών Εταιρικών Κανόνων που χρησιμοποιήθηκαν για κάθε μεταφορά.
  • Εάν στέλνετε προσωπικά δεδομένα στις ΗΠΑ, εμπίπτει κάποιος από τους συνεργάτες σας στο 50 USC §1881a ("FISA 702") ή παρέχει δεδομένα στην κυβέρνηση των ΗΠΑ σύμφωνα με το EO 12.333;
  • Εάν στέλνετε προσωπικά δεδομένα στις ΗΠΑ, ποια τεχνικά μέτρα λαμβάνετε ώστε τα προσωπικά μου δεδομένα να μην εκτίθενται σε υποκλοπή από την κυβέρνηση των ΗΠΑ κατά τη μεταφορά;
  • Εάν μεταφέρετε προσωπικά δεδομένα σε "πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών" με έδρα τις ΗΠΑ, όπως ορίζεται στον 18 U.S. Code §1881 (4) (β), ή, εάν εξακολουθείτε να βασίζεστε στην Ασπίδα Ιδιωτικότητας για τέτοιες μεταφορές, σας ζητώ να σταματήσετε τη μεταφορά των προσωπικών μου δεδομένων αμέσως.

Παρακαλώ όπως απαντήσετε εντός μίας εβδομάδας καθώς ο ΓΚΠΔ απαιτεί να απαντήσετε «χωρίς αδικαιολόγητη καθυστέρηση». Αυτό είναι ένα απλό αίτημα που δεν απαιτεί εκτεταμένη ανάλυση. Περαιτέρω ταυτοποίηση πέρα από το email μου δεν φαίνεται απαραίτητη δεδομένου ότι δεν απαιτώ αντίγραφο των προσωπικών μου δεδομένων. Εάν χρειάζεστε περισσότερες πληροφορίες, μη διστάσετε να επικοινωνήσετε μαζί μου

Με εκτίμηση,

[Το όνομα σας]

 

ΒΗΜΑ 3: Υποβάλετε καταγγελία στην Αρχή Προστασίας Δεδομένων για να σταματήσετε τη μεταφορά στις ΗΠΑ

Εάν η εταιρεία σας δεν σταματά τις μη αναγκαίες μεταφορές στις ΗΠΑ ή δεν ανταποκρίνεται, μπορείτε πάντα να υποβάλλετε καταγγελία στην τοπική Αρχή Προστασίας Δεδομένων.

Μπορείτε να βρείτε έναν σύνδεσμο για την τοπική Αρχή Προστασίας Δεδομένων (DPA) σε αυτήν τη σελίδα: https://edpb.europa.eu/about-edpb/board/members_en. Η ακριβής διαδικασία υποβολής καταγγελίας εξαρτάται από τη νομοθεσία της χώρας στην οποία την υποβάλλετε, αλλά η διαδικασία είναι γενικά μάλλον απλή. Οι περισσότεροι ιστότοποι των Αρχών Προστασίας Δεδομένων παρέχουν μια φόρμα καταγγελίας με την οποία μπορείτε να εξηγήσετε την κατάστασή σας.

Για καθοδήγηση, μπορείτε να χρησιμοποιήσετε το ακόλουθο κείμενο για να υποβάλετε καταγγελία:

Μπορεί να προσφέρουμε πιο συγκεκριμένα κείμενα στο μέλλον. Μην ξεχάσετε να προσθέσετε μια εξήγηση για την προσωπική σας κατάσταση σε αυτό το κείμενο.

Αγαπητέ κύριε, Αγαπητή κυρία,

Είμαι πελάτης του [όνομα και διεύθυνση της εταιρείας].

Τα στοιχεία του λογαριασμού μου είναι [συμπληρώστε εδώ].

Πιστεύω ότι [το όνομα της εταιρείας] συνεχίζει να μεταφέρει τα προσωπικά μου δεδομένα παράνομα επειδή [συμπεριλάβετε οποιαδήποτε ένδειξη, όπως την πολιτική απορρήτου τους ή την απάντηση που σας έστειλαν]

Αναφέρομαι στην απόφαση του ΔΕΕ στην υπόθεση C-311/18 - Schrems II. Δεδομένου ότι το [όνομα του οργανισμού] εξακολουθεί να μεταφέρει τα προσωπικά μου δεδομένα στις ΗΠΑ χωρίς κατάλληλη νομική βάση, ζητώ να διερευνήσετε το ζήτημα και να διατάξετε την αναστολή ή την απαγόρευση της επεξεργασίας.

Με εκτίμηση,

[Το όνομα σου]

 

Συχνές ερωτήσεις για χρήστες

Γιατί το Δικαστήριο θεώρησε ότι υπήρχαν προβλήματα με τη διαβίβαση δεδομένων μεταξύ ΕΕ-ΗΠΑ;

Η νομοθεσία της ΕΕ παρέχει σε όλους δικαίωμα προστασίας της ιδιωτικής ζωής, προστασίας δεδομένων και αποζημίωσης ενώπιον δικαστηρίου. Το Δικαστήριο της ΕΕ επιβεβαίωσε αυτά τα δικαιώματα σε σχέση με τη διαβίβαση δεδομένων στις ΗΠΑ με την απόφασή του σχετικά με το Ασπίδα Ιδιωτικότητας και τις Τυποποιημένες Συμβατικές Ρήτρες. Εν συντομία, το Δικαστήριο είπε ότι η μαζική επιτήρηση στις ΗΠΑ και η έλλειψη νομικής προστασίας κατά της παράνομης επιτήρησης συχνά (αλλά όχι πάντα) καθιστά παράνομο για τις εταιρείες να στέλνουν τα δεδομένα σας στις ΗΠΑ.

Ποιες μεταφορές δεδομένων εξακολουθούν να είναι νόμιμες;

Σύμφωνα με το Άρθρο 49 του ΓΚΠΔ, ορισμένες «απαραίτητες» μεταφορές εξακολουθούν να είναι νόμιμες σε κάθε περίπτωση (π.χ. όταν κάνετε κράτηση σε ξενοδοχείο στις ΗΠΑ και η κράτηση αποστέλλεται στο ξενοδοχείο των ΗΠΑ). Εξακολουθεί να είναι νόμιμο να μεταφέρετε δεδομένα εφόσον έχετε ενημερωθεί για τους νόμους των ΗΠΑ και έχετε συμφωνήσει ρητά και ελεύθερα. Πρέπει να μπορείτε να ανακαλέσετε αυτήν τη συγκατάθεση ανά πάσα στιγμή, χωρίς αρνητική συνέπεια.

Μπορείτε επίσης πάντα να στείλετε τα δικά σας δεδομένα στις ΗΠΑ (εάν θέλετε να χρησιμοποιήσετε απευθείας έναν πάροχο που είναι μόνο στις ΗΠΑ).

Ποιες μεταφορές δεδομένων είναι παράνομες;

Οι μεταφορές σε αμερικανικές εταιρείες που εμπίπτουν στο νόμο περί μαζικής επιτήρησης των ΗΠΑ όπως το FISA 702 (ονομάζεται επίσης 50 USC §1881a) είναι συνήθως παράνομες. Οι εταιρείες που δεν μπορούν να βασίζονται σε αυτές είναι οι λεγόμενοι «πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών». Πρόκειται για έναν ευρύ όρο σύμφωνα με τη νομοθεσία των ΗΠΑ και καλύπτει τους περισσότερους παρόχους πληροφορικής και cloud.

Παραδείγματα αυτών των παρόχων περιλαμβάνουν AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (γνωστό ως Oath & Yahoo) ή Verizon. Οι σύνδεσμοι για καθεμιά από τις εταιρείες θα σας μεταφέρουν στις αναφορές διαφάνειας που σας λένε πόσο συχνά υποβλήθηκαν σε αιτήματα πρόσβασης δεδομένων από την κυβέρνηση των ΗΠΑ.

Αυτό σημαίνει ότι οι τυπικές καταστάσεις «ανάθεσης σε τρίτους» (όταν μια επιχείρηση της ΕΕ προωθεί τα δεδομένα σας σε μια εταιρεία στις ΗΠΑ που με τη σειρά της επεξεργάζεται τα δεδομένα σας) είναι στις περισσότερες περιπτώσεις παράνομη.

Να θυμάστε ότι όταν διαμένετε στην ΕΕ, έχετε συχνά συμβόλαιο με θυγατρική αυτής της αμερικανικής εταιρείας στην ΕΕ (π.χ. οι χρήστες του Facebook έχουν σύμβαση με το Facebook Ireland). Εάν αναθέτουν πλήρως ή εν μέρει την επεξεργασία των δεδομένων σας στη μητρική εταιρεία των ΗΠΑ, η μεταφορά είναι εξίσου παράνομη.

Τι είναι η «Ασπίδα Ιδιωτικότητας» και οι «Τυποποιημένες Συμβατικές Ρήτρες»;

Σύμφωνα με τον ΓΚΠΔ, τα προσωπικά δεδομένα ενδέχεται να μην εγκαταλείψουν την ΕΕ. Ως εξαίρεση σε αυτόν τον κανόνα, οι εταιρείες μπορούν να χρησιμοποιήσουν ορισμένα νομικά εργαλεία για να επιτρέψουν τις μεταφορές. Δύο από τα πιο συχνά εργαλεία που βασίζονται οι εταιρείες για να μεταφέρουν τα δεδομένα σας από την ΕΕ στις ΗΠΑ είναι οι «Τυποποιημένες Συμβατικές Ρήτρες» (ή «SCC») και η «Ασπίδα Ιδιωτικότητας».

Η Ασπίδα Ιδιωτικότητας ακυρώθηκε από το Δικαστήριο, οπότε δεν υπάρχει πια. Τα δεδομένα δεν μπορούν να μεταφερθούν στις ΗΠΑ βάσει της Ασπίδα Ιδιωτικότητας από τις 16 Ιουλίου 2020.

Σχεδόν η ίδια απαγόρευση ισχύει για τη χρήση των Τυποποιημένων Συμβατικών Ρητρών. Όλες οι εταιρείες που εμπίπτουν στο νόμο περί μαζικής επιτήρησης των ΗΠΑ δεν μπορούν πλέον να χρησιμοποιούν τις Τυποποιημένες Συμβατικές Ρήτρες. Αυτό συμβαίνει επειδή οι Τυποποιημένες Συμβατικές Ρήτρες δεν μπορούν να παρακάμψουν το νόμο των ΗΠΑ.

Τι σημαίνει αυτό στην καθημερινή ζωή;

Παρακάτω μπορείτε να βρείτε μερικά παραδείγματα συχνών υποθέσεων που ενδέχεται να περιλαμβάνουν τη μεταφορά των προσωπικών σας δεδομένων στις ΗΠΑ.

Περιπτώσεις που επηρεάζονται συνήθως από την απόφαση:

Εάν είστε πελάτης εταιρείας ΕΕ/ΕΟΧ που:

  • είναι ενταγμένη θυγατρική εταιρείας των ΗΠΑ (π.χ. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo και άλλες παρόμοιες) ή
  • βασίζεται στην αποθήκευση ή σε άλλο είδος επεξεργασίας στις ΗΠΑ (πολλές «μέσες» επιχειρήσεις της ΕΕ).

Περιπτώσεις που συνήθως δεν επηρεάζονται από την απόφαση:

Ορισμένα παραδείγματα για απαραίτητες μεταφορές που εξακολουθούν να είναι νόμιμες περιλαμβάνουν τα εξής:

  • Κράτηση ξενοδοχείου ή άλλου καταλύματος απευθείας στις ΗΠΑ ή μέσω ταξιδιωτικού γραφείου στην ΕΕ (π.χ. δωμάτιο στο Σαν Φρανσίσκο).
  • Κράτηση πτήσης προς τις Η.Π.Α.
  • Κράτηση για ενοικίαση αυτοκινήτου στις Η.Π.Α.
  • Παραγγελία αγαθών μέσω διαδικτύου από εταιρεία που εδρεύει στις ΗΠΑ.
  • Χρήση διαδικτυακών υπηρεσιών που παρέχονται από εταιρεία με έδρα τις ΗΠΑ (χωρίς εγκατάσταση στην ΕΕ).  
  • Αποστολή email στις ΗΠΑ.
  • Αποστολή των δεδομένων σας στον δικηγόρο σας στις ΗΠΑ στο πλαίσιο αγωγής.
  • Επικοινωνία με έναν φίλο του Facebook που βρίσκεται στις ΗΠΑ.
  • Βιντεοκλήσεις προς τις ΗΠΑ.