Ezen az oldalon összefoglaltuk, hogy milyen lehetőségeik vannak azoknak a felhasználóknak, akik az Európai Unió Bíróságának az adatvédelmi pajzsról és az általános szerződési feltételekről szóló C-311/18-as ("Schrems II") ítéletét követően meg akarják akadályozni adataik továbbítását az Egyesült Államokba. Ezen kívül hozzáadtunk néhány GYIK-et, amelyek segíthetnek Önnek azonosítani azokat az eseteket, amikor joga van kérni az adattovábbítás leállítását.
Mit tehetek most?
A GDPR erős jogokat biztosít Önnek ahhoz, hogy tájékoztatást kapjon az adatairól és lépéseket tegyen - éljen ezekkel!
1. LÉPÉS: Kérdezze meg, hogy az Ön adatait továbbítják-e az EU-n kívülre
Megkérdezheti az adatait kezelő szervezetet (vállalkozás, közintézmény vagy bármely más szervezet), hogy továbbítja-e az Ön adatait az EU-n kívülre, valamint azt, hogy hová, kinek és milyen alapon továbbítja azokat. Ez a hozzáféréshez és a tájékoztatáshoz való jogának részét képezi. Az ilyen kérelmet e-mailben lehet az érintett szervezethez intézni (általában megadnak egy e-mail címet, ahová az ilyen kérelmeket elküldheti). Mivel ez a válasz nem igényel mélyreható elemzést a szervezettől, és figyelembe véve, hogy az EUB ítélete nem ír elő türelmi időt a jogellenes nemzetközi adattovábbításokra, elég gyorsan választ kell kapnia.
Kérelme megírásához az alábbi szöveget használhatja:
Tisztelt Uram/Hölgyem!
Az Ön egyik ügyfele vagyok. A GDPR 12., 13., 14. és 15. cikkével összhangban a következő kéréssel fordulok Önhöz:
- Továbbít-e adatokat az EU-n kívülre? Ha igen, mely országokba?
- Mi az egyes adattovábbítások jogalapja (pl. megfelelőségi határozat, SCC-k, BCR-ek, eltérések...)? Ha SCC-ket vagy BCR-eket használt, kérjük, adja meg az egyes adattovábbításokhoz használt SCC-k vagy BCR-ek másolatát.
- Ha személyes adatokat továbbít az Egyesült Államokba, az Ön partnerei közül bármelyik az 50 USC §1881a ("FISA 702") hatálya alá tartozik-e, vagy a 12.333 EO alapján szolgáltat-e adatokat az Egyesült Államok kormányának?
- Ha Ön személyes adatokat küld az USA-ba, milyen technikai intézkedéseket tesz annak érdekében, hogy a személyes adataim ne legyenek kitéve annak, hogy az USA kormánya a szállítás során lehallgatja őket?
Kérjük, egy héten belül válaszoljon, mivel a GDPR előírja, hogy "indokolatlan késedelem nélkül" válaszoljon. Ez egy egyszerű kérés, amely nem igényel kiterjedt elemzést igényel. Az e-mail címemen túl további azonosítás nem tűnik szükségesnek, mivel nem kérek másolatot a személyes adataimról. Amennyiben további információra van szüksége, kérem, forduljon hozzám bizalommal.
Üdvözlettel,
[Az Ön neve]
Örülnénk, ha a info@noyb.eu címre küldött válaszának másolatát elküldené nekünk
LÉPÉS: Kérje, hogy adatait ne továbbítsák az Egyesült Államokba
Ha a vállalat vagy szervezet közli Önnel, hogy adatait egy olyan amerikai vállalatnak küldik, amely a fenti tömeges megfigyelésre vonatkozó törvények hatálya alá tartozik, követelheti, hogy az uniós vállalat állítsa le az ilyen adatok továbbítását.
Kérelme megírásához az alábbi szöveget használhatja:
Tisztelt Uram/Hölgyem!
Az Ön egyik ügyfele vagyok. Okom van feltételezni, hogy Ön jogellenesen továbbítja személyes adataimat az Egyesült Államokba.
Ha Ön személyes adatokat továbbít egy amerikai székhelyű "elektronikus hírközlési szolgáltatónak" a 18 U.S. Code §1881(4)(b) meghatározása szerint, vagy ha még mindig az Adatvédelmi Pajzsra támaszkodik az ilyen adattovábbítások esetében, kérem, hogy azonnal állítsa le a személyes adataim továbbítását. Kérem, hogy egy héten belül tájékoztasson arról, hogy mikor állítja le az adattovábbítást. Kérem, egy héten belül tájékoztasson arról, hogy mikorra állítja le az ilyen adattovábbítást.
Amennyiben további információra van szüksége, kérem, forduljon hozzám bizalommal.
Üdvözlettel,
[Az Ön neve]
Örömmel vennénk, ha elküldené nekünk a info@noyb.eu címre küldött válaszának másolatát
1+2. LÉPÉS: Tájékoztatás kérése és annak biztosítása, hogy adatait többé ne továbbítsák az Egyesült Államokba
A tájékoztatás iránti kérelmet kombinálhatja az adattovábbítás leállítására irányuló kérelemmel is:
A következő szöveget használhatja kérelme megírásához:
Tisztelt Uram/Hölgyem!
Az Ön egyik ügyfele vagyok. A GDPR 12., 13., 14. és 15. cikkével összhangban a következő kérést teszem:
- Továbbít-e adatokat az EU-n kívülre? Ha igen, mely országokba?
- Mi az egyes adattovábbítások jogalapja (pl. megfelelőségi határozat, SCC-k, BCR-ek, eltérések...)? Ha SCC-ket vagy BCR-eket használt, kérjük, adja meg az egyes adattovábbításokhoz használt SCC-k vagy BCR-ek másolatát.
- Ha személyes adatokat továbbít az Egyesült Államokba, az Ön partnerei közül bármelyik az 50 USC §1881a ("FISA 702") hatálya alá tartozik-e, vagy a 12.333 EO alapján szolgáltat-e adatokat az Egyesült Államok kormányának?
- Ha Ön személyes adatokat küld az USA-ba, milyen technikai intézkedéseket tesz annak érdekében, hogy a személyes adataim ne legyenek kitéve az USA kormánya általi lehallgatásnak a szállítás során?
- Ha Ön személyes adatokat továbbít az Egyesült Államokban székhellyel rendelkező, a 18 U.S. Code §1881(4)(b) meghatározása szerinti "elektronikus hírközlési szolgáltatónak", vagy ha még mindig az Adatvédelmi Pajzsra támaszkodik az ilyen továbbítás során, kérem, hogy azonnal állítsa le személyes adataim továbbítását.
Kérem, hogy egy héten belül válaszoljon, mivel a GDPR előírja, hogy "indokolatlan késedelem nélkül" válaszoljon. Ez egy egyszerű kérés, amely nem igényel kiterjedt elemzést igényel. Az e-mail címemen túl további azonosítás nem tűnik szükségesnek, mivel nem kérek másolatot a személyes adataimról. Amennyiben további információra van szüksége, kérem, forduljon hozzám bizalommal.
Üdvözlettel,
[Az Ön neve]
Örülnénk, ha elküldené nekünk a info@noyb.eu címre küldött válaszának másolatát
LÉPÉS: Panaszt tesz az adatvédelmi hatóságnál az USA-ba történő továbbítás leállítása érdekében
Ha a vállalat nem állítja le a szükségtelen adattovábbítást az Egyesült Államokba, vagy nem válaszol, akkor bármikor panaszt nyújthat be a helyi adatvédelmi hatóságnál.
A helyi adatvédelmi hatóság linkjét ezen az oldalon találja: https://edpb.europa.eu/about-edpb/board/members_en. A panasz benyújtásának pontos folyamata az adott ország törvényeitől függ, de az eljárás általában meglehetősen informális. A legtöbb adatvédelmi hatóság honlapján található egy panasztételi űrlap, amelyen elmagyarázhatja helyzetét.
Útmutatásként a következő szöveget használhatja a panasz benyújtásához:
A jövőben esetleg konkrétabb szövegeket kínálunk majd. Kérjük, ne felejtsen el magyarázatot fűzni személyes helyzetéhez.
Tisztelt Uram/Hölgyem!
A [a vállalat neve és címe] ügyfele vagyok.
Számlaadataim a következők: [itt töltse ki].
Úgy vélem, hogy [a vállalat neve] továbbra is jogellenesen továbbítja a személyes adataimat, mert [írjon bele bármilyen jelzést, például az adatvédelmi szabályzatukat vagy az Önnek küldött válaszukat]
Hivatkozom az EUB C-311/18 - Schrems II. ügyben hozott ítéletére. Tekintettel arra, hogy [a szervezet neve] továbbra is megfelelő jogalap nélkül továbbítja személyes adataimat az Egyesült Államokba, kérem, hogy vizsgálja ki az ügyet, és rendelje el az adatkezelés felfüggesztését vagy betiltását.
Üdvözlettel,
[Az Ön neve]
Örömmel vennénk, ha a info@noyb.eu címre küldött válasz másolatát elküldené nekünk
GYIK a felhasználók számára
Miért gondolta a Számvevőszék, hogy az EU-USA adattovábbítással problémák vannak?
Az uniós jog mindenkinek biztosítja a magánélethez, az adatvédelemhez és a bíróság előtti jogorvoslathoz való jogot. Az EU Bírósága az adatvédelmi pajzsról és az SCC-kről szóló ítéletében megerősítette ezeket a jogokat az USA-ba irányuló adattovábbításokkal kapcsolatban. Röviden összefoglalva a Bíróság kimondta, hogy az Egyesült Államokban folyó tömeges megfigyelés és a jogellenes megfigyeléssel szembeni jogi védelem hiánya gyakran (de nem mindig) jogellenessé teszi, hogy a vállalatok az Ön adatait az Egyesült Államokba küldjék.
Mely adattovábbítások még legálisak?
A GDPR 49. cikke szerint egyes "szükséges" adattovábbítások még minden körülmények között jogszerűek (pl. amikor Ön szállodát foglal az Egyesült Államokban, és a foglalást elküldik az amerikai szállodának). Továbbra is jogszerű az adattovábbítás, ha Önt tájékoztatták az amerikai törvényekről, és ehhez Ön kifejezetten és szabadon hozzájárult. Ezt a hozzájárulást bármikor vissza kell tudnia vonni, negatív következmények nélkül.
Saját adatait is bármikor elküldheti az USA-ba (ha közvetlenül olyan szolgáltatót kíván igénybe venni, amely csak az USA-ban van).
Mely adattovábbítások jogellenesek?
Az olyan amerikai vállalatoknak történő adattovábbítások, amelyek az USA "tömeges megfigyelésre" vonatkozó törvényei, például a FISA 702 (más néven 50 USC §1881a) hatálya alá tartoznak, általában illegálisak. Azok a vállalatok, amelyek nem hivatkozhatnak rájuk, az úgynevezett "elektronikus hírközlési szolgáltatók". Ez egy tág fogalom az amerikai jog szerint, és a legtöbb IT- és felhőszolgáltatóra vonatkozik.
Ilyen szolgáltatók például a következők AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (Oath & Yahoo néven ismert) vagy Verizon. Az egyes vállalatok linkjei az átláthatósági jelentéseikhez vezetnek, amelyekből megtudhatja, hogy milyen gyakran fordultak hozzájuk az amerikai kormányzat adathozzáférési kérelmei.
Ez azt jelenti, hogy a tipikus "kiszervezési" helyzetek (amikor egy uniós vállalkozás továbbítja az Ön adatait egy amerikai vállalatnak, amely viszont feldolgozza az Ön adatait) a legtöbb esetben illegálisak.
Ne feledje, hogy ha az EU-ban lakik, gyakran az adott amerikai vállalat uniós leányvállalatával áll szerződésben (pl. a Facebook-felhasználóknak a Facebook Irelanddel van szerződésük). Ha az Ön adatainak feldolgozását részben vagy egészben kiszervezik az amerikai anyavállalathoz, az adattovábbítás ugyanúgy jogellenes.
Mi az "adatvédelmi pajzs", és mi az a "szabványos szerződési záradék" vagy "SCC"?
A GDPR értelmében a személyes adatok nem hagyhatják el az EU-t. E szabály alól kivételként a vállalatok bizonyos jogi eszközökkel engedélyezhetik az adattovábbítást. A két leggyakoribb eszköz, amelyre a vállalatok az Ön adatainak az EU-ból az Egyesült Államokba történő továbbítása során támaszkodnak, a "szabványos szerződési feltételek" (Standard Contractual Clauses, "SCC-k") és az "adatvédelmi pajzs".
Az adatvédelmi pajzsot a Bíróság érvénytelenítette, így az már nem létezik. Az Adatvédelmi Pajzs keretében 2020. július 16-tól nem lehet adatokat továbbítani az USA-ba.
Szinte ugyanez a tilalom vonatkozik az SCC-k használatára is: Minden olyan vállalat, amely az USA "tömeges megfigyelésre" vonatkozó törvényének hatálya alá tartozik, nem használhatja többé az SCC-ket . Ennek oka, hogy az SCC-k nem írhatják felül az amerikai törvényeket.
Mit jelent ez a mindennapi életben?
Az alábbiakban talál néhány példát olyan gyakori esetekre, amelyek valószínűleg az Ön személyes adatainak az Egyesült Államokba történő továbbítását tartalmazzák.
Az ítélet által jellemzően érintett ügyek:
Ha Ön egy olyan EU-/EGT-vállalat ügyfele, amely:
- egy amerikai vállalat integrált leányvállalata (pl. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo és hasonlók) vagy
- az Egyesült Államokban történő tárolásra vagy más típusú feldolgozásra támaszkodik (sok "átlagos" uniós vállalkozás).
Az ítélet által jellemzően nem érintett ügyek:
Szükséges adattovábbítások, amelyek továbbra is jogszerűek, néhány példa a következőkre:
- Szálloda vagy egyéb szálláshely foglalása közvetlenül az USA-ban vagy egy utazási irodán keresztül az EU-ban (pl. szoba San Franciscóban);
- Repülőjegy foglalása az Egyesült Államokba;
- Bérelt autó foglalása az Egyesült Államokban;
- Online árubeszerzés egy amerikai székhelyű cégtől;
- Egy amerikai székhelyű (az EU-ban nem letelepedett) vállalat által nyújtott online szolgáltatások igénybevétele;
- E-mail küldése az Egyesült Államokba;
- Adatainak elküldése az Egyesült Államokban működő ügyvédjének egy peres eljárás keretében;
- Kapcsolatfelvétel egy olyan Facebook-barátjával, aki az Egyesült Államokban található;
- Videohívás az Egyesült Államokba.
