Tällä sivulla olemme esittäneet yhteenvedot vaihtoehdoista käyttäjille, jotka haluavat estää tietojen siirtämisen Yhdysvaltoihin sen jälkeen, kun unionin tuomioistuin antoi tuomion C-311/18 ("Schrems II") yksityisyyden suojasta ja vakiosopimuslausekkeista ("SCC"). ). Lisäksi lisäsimme muutaman usein kysytyn kysymyksen, jotka voivat auttaa sinua tunnistamaan tapaukset, joissa sinulla on oikeus pyytää tiedonsiirron lopettamista.
Mitä voin tehdä nyt?
GDPR antaa sinulle vahvat oikeudet saada tietojasi ja toimia - käytä niitä!
VAIHE 1: Kysy, siirretäänkö tietojasi EU: n ulkopuolelle
Voit kysyä tietojasi käsittelevältä organisaatiolta (yritys, julkinen laitos tai mikä tahansa muu taho), siirtävätkö ne tietojasi EU: n ulkopuolelle ja missä, kenelle ja millä perusteella ne siirtävät niitä. Tämä on osa oikeuttasi tutustua ja oikeutesi saada tietoa. Tällainen pyyntö voidaan osoittaa kyseiselle organisaatiolle sähköpostitse (yleensä ne lähettävät sähköpostin, johon voit lähettää tällaiset pyynnöt). Koska tämä vastaus ei vaadi organisaatiolta syvällistä analyysia ja koska unionin tuomioistuimen tuomio ei sisällä laittomien kansainvälisten siirtojen lisäaikaa, heidän pitäisi antaa sinulle vastaus melko nopeasti.
Voit kirjoittaa pyynnön seuraavan tekstin avulla:
Hyvä herra / rouva,
Olen yksi asiakkaistasi. Esitän seuraavat pyynnöt GDPR: n 12, 13, 14 ja 15 artiklan mukaisesti:
- Siirrätkö tietoja EU: n ulkopuolelle? Jos kyllä, mihin maihin?
- Mihin oikeusperustaan vedotaan jokaisen siirron yhteydessä (esim. Riittävyyspäätös, vakiomääräiset vakuussäännöt, BCR: t, poikkeukset ...)? Jos käytit SCC: tä tai BCR: ää, anna kopio SCC: stä tai BCR: stä, joita käytettiin jokaisessa siirrossa.
- Jos lähetät henkilötietoja Yhdysvaltoihin, kuuluuko joku kumppaneistasi Yhdysvaltain 50 §: n §1881a (”FISA 702”) tai toimittaako se tietoja Yhdysvaltain hallitukselle EO 12.333 -standardin mukaisesti?
- Jos lähetät henkilötietoja Yhdysvaltoihin, mitä teknisiä toimenpiteitä teet, jotta henkilötietojani ei altisteta Yhdysvaltain hallituksen kauttakulkulle?
Vastaa viikon kuluessa, koska GDPR edellyttää, että vastaat "ilman aiheetonta viivytystä". Tämä on yksinkertainen pyyntö, joka ei vaadi laajaa analyysiä. Sähköpostiosoitteeni ulkopuolinen tunnistaminen ei vaikuta tarpeelliselta, koska en vaadi kopiota henkilökohtaisista tiedoistani. Jos tarvitset lisätietoja, ota yhteyttä minuun.
Terveiset,
[Sinun nimesi]
Toivotamme, jos voit lähettää meille kopion vastauksista osoitteeseen info@noyb.eu
VAIHE 2: Pyydä, että tietojasi ei enää siirretä Yhdysvaltoihin
Jos yritys tai organisaatio kertoo, että tietosi lähetetään yhdysvaltalaiselle yritykselle, joka kuuluu yllä olevien joukkovalvontalakien soveltamisalaan, voit vaatia EU: n yritystä lopettamaan tällaisten tietojen siirron.
Voit kirjoittaa pyynnön seuraavan tekstin avulla:
Hyvä herra / rouva,
Olen yksi asiakkaistasi. Minulla on syytä uskoa, että siirrät henkilötietojani laittomasti Yhdysvaltoihin.
Jos siirrät henkilötietoja yhdysvaltalaiselle "sähköisen viestinnän palveluntarjoajalle", kuten 18 Yhdysvaltain koodeksin §1881 (4) (b) määritellään, tai jos luotat edelleen Privacy Shieldiin tällaisissa siirroissa, pyydän sinua lopettamaan henkilötietojeni siirtäminen välittömästi. Kerro minulle viikon kuluessa, milloin lopetat siirron. Ilmoitathan minulle viikon kuluessa päivästä, johon mennessä olet lopettanut tällaiset siirrot.
Jos tarvitset lisätietoja, ota yhteyttä minuun.
Ystävällisin terveisin,
[Sinun nimesi]
Toivotamme, jos voit lähettää meille kopion vastauksista osoitteeseen info@noyb.eu
VAIHE 1 + 2: Pyydä tietoja ja että tietojasi ei enää siirretä Yhdysvaltoihin
Voit myös yhdistää tietopyynnön ja tiedonsiirron lopettamista koskevan pyynnön:
Voit kirjoittaa pyynnön seuraavan tekstin avulla:
Hyvä herra / rouva,
Olen yksi asiakkaistasi. Esitän seuraavat pyynnöt GDPR: n 12, 13, 14 ja 15 artiklan mukaisesti:
- Siirrätkö tietoja EU: n ulkopuolelle? Jos kyllä, mihin maihin?
- Mihin oikeusperustaan vedotaan jokaisen siirron yhteydessä (esim. Riittävyyspäätös, vakiomääräiset vakuussäännöt, BCR: t, poikkeukset ...)? Jos käytit SCC: tä tai BCR: ää, anna kopio SCC: stä tai BCR: stä, joita käytettiin jokaisessa siirrossa.
- Jos lähetät henkilötietoja Yhdysvaltoihin, kuuluuko joku kumppaneistasi Yhdysvaltain 50 §: n §1881a (”FISA 702”) tai toimittaako se tietoja Yhdysvaltain hallitukselle EO 12.333 -standardin mukaisesti?
- Jos lähetät henkilötietoja Yhdysvaltoihin, mitä teknisiä toimenpiteitä teet, jotta henkilötietojani ei altisteta Yhdysvaltain hallituksen kauttakulkulle?
- Jos siirrät henkilötietoja yhdysvaltalaiselle "sähköisen viestinnän palveluntarjoajalle", kuten 18 Yhdysvaltain koodeksin §1881 (4) (b) määritellään, tai jos luotat edelleen Privacy Shieldiin tällaisessa siirrossa, pyydän sinua lopettamaan henkilötietojeni siirtäminen välittömästi.
Vastaa viikon kuluessa, koska GDPR edellyttää, että vastaat "ilman aiheetonta viivytystä". Tämä on yksinkertainen pyyntö, joka ei vaadi laajaa analyysiä. Sähköpostiosoitteeni ulkopuolinen tunnistaminen ei vaikuta tarpeelliselta, koska en vaadi kopiota henkilökohtaisista tiedoistani. Jos tarvitset lisätietoja, ota yhteyttä minuun.
Ystävällisin terveisin,
[Sinun nimesi]
Toivotamme, jos voit lähettää meille kopion vastauksista osoitteeseen info@noyb.eu
VAIHE 3: Tee valitus tietosuojaviranomaiselle lopettaaksesi siirron Yhdysvaltoihin
Jos yrityksesi ei lopeta tarpeettomia siirtoja Yhdysvaltoihin tai ei vastaa, voit aina tehdä valituksen paikalliselle tietosuojaviranomaiselle.
Löydät linkin paikalliseen tietosuojaviranomaiseen tältä sivulta: https://edpb.europa.eu/about-edpb/board/members_en . Tarkka valituksen tekemisen prosessi riippuu sen maan lainsäädännöstä, jossa valitus tehdään, mutta prosessi on yleensä melko epävirallinen. Suurin osa DPA: n verkkosivustoista tarjoaa valituslomakkeen, jossa voit selittää tilanteesi.
Ohjeena voit käyttää valituksen tekemistä seuraavalla tekstillä:
Voimme tarjota tarkempia tekstejä tulevaisuudessa. Älä unohda lisätä tähän tekstiin selitystä henkilökohtaisesta tilanteestasi.
Hyvä herra / rouva,
Olen [yrityksen nimi ja osoite] asiakas.
Tilini tiedot ovat [täytä täällä].
Uskon, että [yrityksen nimi] edelleen siirtää henkilötietojani laittomasti, koska [sisällytä mitään viitteitä, kuten heidän tietosuojakäytäntönsä tai vastauksensa, jonka he lähettivät sinulle]
Viittaan Euroopan unionin tuomioistuimen asiassa C-311/18 - Schrems II antamaan tuomioon. Ottaen huomioon, että [organisaation nimi] jatkaa henkilötietojeni siirtämistä Yhdysvaltoihin ilman asianmukaista oikeudellista perustaa, pyydän, että tutkit asian ja määrätät käsittelyn keskeyttämisen tai kiellon.
Ystävällisin terveisin,
[Sinun nimesi]
Toivotamme, jos voit lähettää meille kopion vastauksista osoitteeseen info@noyb.eu
Usein kysytyt kysymykset käyttäjille
Miksi tilintarkastustuomioistuin katsoi, että EU: n ja Yhdysvaltojen välisessä tiedonsiirrossa oli ongelmia?
EU: n lainsäädäntö antaa kaikille oikeuden yksityisyyteen, tietosuojaan ja muutoksenhakuun tuomioistuimessa. EU: n tuomioistuin vahvisti nämä oikeudet Yhdysvaltoihin tapahtuvaan tiedonsiirtoon antamassaan tuomiossa Privacy Shield ja SCC. Lyhyesti sanottuna tuomioistuin totesi, että joukkotarkkailu Yhdysvalloissa ja oikeudellisen suojan puute laitonta valvontaa vastaan usein (mutta ei aina) tekevät yrityksistä laitonta lähettää tietojasi Yhdysvaltoihin.
Mitkä tiedonsiirrot ovat edelleen laillisia?
Tietosuoja-asetuksen 49 artiklan mukaan jotkut "välttämättömät" siirrot ovat edelleen laillisia kaikissa olosuhteissa (esim. Kun varaat hotellin Yhdysvalloissa ja varaus lähetetään Yhdysvaltain hotelliin). Tietojen siirtäminen on edelleen laillista, kun sinulle ilmoitettiin Yhdysvaltain laeista ja olet nimenomaisesti ja vapaasti hyväksynyt sen. Sinun on voitava peruuttaa tämä suostumus milloin tahansa ilman kielteisiä seurauksia.
Voit myös aina lähettää omia tietojasi Yhdysvaltoihin (jos haluat käyttää suoraan palveluntarjoajaa, joka on vain Yhdysvalloissa).
Mitkä tiedonsiirrot ovat laittomia?
Siirrot yhdysvaltalaisille yrityksille, jotka kuuluvat Yhdysvaltain joukkovalvontalain alaisuuteen, kuten FISA 702 (kutsutaan myös nimellä 50 USC §1881a), ovat yleensä laittomia. Yritykset, jotka eivät voi luottaa niihin, ovat ns. Sähköisten viestintäpalvelujen tarjoajia. Tämä on Yhdysvaltojen lain mukaan laaja termi ja kattaa useimmat IT- ja pilvipalvelujen tarjoajat.
Esimerkkejä näistä palveluntarjoajista ovat AT&T , Amazon (AWS) , Apple , Cloudflare , Dropbox , Facebook , Google , Microsoft , Verizon Media (tunnetaan nimellä Oath & Yahoo) tai Verizon . Kunkin yrityksen linkit vievät sinut niiden läpinäkyvyysraportteihin, jotka kertovat sinulle, kuinka usein heihin kohdistettiin Yhdysvaltojen hallituksen tiedonsaantipyyntöjä.
Tämä tarkoittaa, että tyypilliset ulkoistamistilanteet (kun EU: n yritys välittää tietojasi yhdysvaltalaiselle yritykselle, joka puolestaan käsittelee tietojasi) ovat useimmissa tapauksissa laitonta.
Muista, että asuessasi EU: ssa sinulla on usein sopimus kyseisen yhdysvaltalaisen yrityksen EU: n tytäryhtiön kanssa (esim. Facebook-käyttäjillä on sopimus Facebook Irlannin kanssa). Jos he ulkoistavat tietojesi käsittelyn kokonaan tai osittain yhdysvaltalaiselle emoyhtiölle, siirto on yhtä laitonta.
Mikä on "Privacy Shield" ja mitkä ovat "vakiosopimuslausekkeet" tai "SCC: t"?
GDPR: n mukaan henkilötiedot eivät saa poistua EU: sta. Poikkeuksena tästä säännöstä yritykset voivat käyttää tiettyjä oikeudellisia välineitä siirtojen sallimiseksi. Kaksi yleisintä työkalua, joihin yritykset luottavat siirtämään tietojasi EU: sta Yhdysvaltoihin, ovat ”vakiosopimuslausekkeet” (SCC) ja ”yksityisyyden suoja”.
Unionin tuomioistuin mitätöi yksityisyyden suojan, joten sitä ei ole enää olemassa. Tietoja ei voida siirtää Yhdysvaltoihin Privacy Shield -sovelluksessa 16. heinäkuuta 2020 lähtien.
Lähes sama kielto koskee vakiokemikaalien käyttöä: Kaikki yritykset, jotka kuuluvat Yhdysvaltain joukkovalvontalain alaisuuteen, eivät voi enää käyttää polykarbonaatteja. Tämä johtuu siitä, että SCC: t eivät voi ohittaa Yhdysvaltojen lakia.
Mitä tämä tarkoittaa jokapäiväisessä elämässä?
Alla on joitain esimerkkejä yleisistä tapauksista, jotka todennäköisesti sisältävät henkilötietojesi siirtämisen Yhdysvaltoihin.
Tapaukset, joihin tuomio yleensä vaikuttaa:
Jos olet EU / ETA-yrityksen asiakas, joka:
- on integroitu tytäryhtiö yhdysvaltalaisen yrityksen (esim Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo ja samankaltaisia) tai
- luottaa varastointiin tai muuhun käsittelyyn Yhdysvalloissa (monet "keskimääräiset" EU-yritykset).
Tapaukset, joihin tuomio tyypillisesti ei vaikuta:
Tarvittavat edelleen lailliset siirrot, joitain esimerkkejä ovat seuraavat:
- Varata hotelli tai muu majoitus suoraan Yhdysvalloissa tai matkatoimiston kautta EU: ssa (esim. Huone San Franciscossa);
- Varata lento Yhdysvaltoihin;
- Vuokra-auton varaus Yhdysvalloissa;
- Tavaroiden tilaaminen yhdysvaltalaiselta yritykseltä verkossa;
- Yhdysvaltalaisen yrityksen (jolla ei ole toimipaikkaa EU: ssa) tarjoamien verkkopalvelujen käyttö;
- Sähköpostin lähettäminen Yhdysvaltoihin;
- Tietojesi lähettäminen lakimiehellesi Yhdysvalloissa oikeusjutun yhteydessä;
- Yhteydenotto Yhdysvalloissa sijaitsevaan Facebook-ystävään;
- Videopuhelut Yhdysvaltoihin.
