Na tejto stránke sme zhrnuli možnosti pre používateľov, ktorí chcú zastaviť prenos svojich údajov do Spojených štátov po rozsudku Súdneho dvora EÚ vo veci C-311/18 ("Schrems II") o štíte na ochranu súkromia a štandardných zmluvných doložkách ("SCC"). Okrem toho sme pridali niekoľko často kladených otázok, ktoré vám môžu pomôcť identifikovať prípady, keď máte právo požiadať o zastavenie prenosu údajov.
Čo môžem urobiť teraz?
GDPR vám dáva silné práva na získanie informácií o vašich údajoch a na podniknutie krokov - využite ich!
KROK 1: Opýtajte sa, či sa vaše údaje prenášajú mimo EÚ
Organizácie, ktorá spracúva vaše údaje (podnik, verejná inštitúcia alebo akýkoľvek iný subjekt), sa môžete opýtať, či vaše údaje prenáša mimo EÚ a kam, komu a na akom základe ich prenáša. Je to súčasť vášho práva na prístup a práva na informácie. Takúto žiadosť môžete adresovať príslušnej organizácii prostredníctvom e-mailu (zvyčajne poskytujú e-mail, na ktorý môžete takéto žiadosti posielať). Keďže si táto odpoveď nevyžaduje od organizácie hĺbkovú analýzu a vzhľadom na to, že rozsudok SDEÚ nestanovuje odkladnú lehotu pre nezákonné medzinárodné prenosy, mali by vám odpovedať pomerne rýchlo.
Na napísanie žiadosti môžete použiť nasledujúci text:
Vážený pán/paní,
Som jedným z vašich zákazníkov. V súlade s článkami 12, 13, 14 a 15 všeobecného nariadenia o ochrane údajov podávam nasledujúce žiadosti:
- Odovzdávate údaje mimo EÚ? Ak áno, do ktorých krajín?
- O aký právny základ sa každý prenos opiera (napr. rozhodnutie o primeranosti, SCC, BCR, výnimky...)? Ak ste použili SCC alebo BCR, poskytnite kópiu SCC alebo BCR použitých pre každý prenos.
- Ak posielate osobné údaje do USA, spadá niektorý z vašich partnerov pod § 1881a 50 USC ("FISA 702") alebo poskytuje údaje vláde USA podľa EO 12.333?
- Ak posielate osobné údaje do USA, aké technické opatrenia prijímate, aby moje osobné údaje neboli počas prenosu vystavené zachyteniu vládou USA?
Prosím, odpovedzte do jedného týždňa, pretože podľa GDPR musíte odpovedať "bez zbytočného odkladu". Ide o jednoduchú žiadosť, ktorá si nevyžaduje rozsiahlu analýzu. Ďalšia identifikácia okrem môjho e-mailu sa nezdá byť potrebná vzhľadom na to, že nepožadujem kópiu svojich osobných údajov. Ak budete potrebovať ďalšie informácie, neváhajte ma kontaktovať.
S pozdravom,
[Vaše meno]
Uvítali by sme, keby ste nám mohli zaslať kópiu akejkoľvek odpovede na adresu info@noyb.eu
KROK 2: Žiadosť o ukončenie prenosu vašich údajov do USA
Ak vám spoločnosť alebo organizácia oznámi, že vaše údaje sa posielajú spoločnosti v USA, na ktorú sa vzťahujú vyššie uvedené zákony o hromadnom sledovaní, môžete požadovať, aby spoločnosť v EÚ zastavila prenos takýchto údajov.
Na napísanie žiadosti môžete použiť nasledujúci text:
Vážený pán/paní,
Som jedným z vašich zákazníkov. Mám dôvod domnievať sa, že nezákonne prenášate moje osobné údaje do Spojených štátov.
Ak prenášate osobné údaje "poskytovateľovi elektronických komunikačných služieb" so sídlom v USA, ako je definovaný v 18 U.S. Code §1881(4)(b), alebo ak sa pri takýchto prenosoch stále spoliehate na Štít na ochranu súkromia, žiadam Vás, aby ste okamžite zastavili prenos mojich osobných údajov. Prosím, informujte ma do jedného týždňa, dokedy prenos zastavíte. Prosím, informujte ma do jedného týždňa o dátume, ku ktorému zastavíte všetky takéto prenosy.
V prípade potreby ďalších informácií ma neváhajte kontaktovať.
S láskavým pozdravom,
[Vaše meno]
Uvítali by sme, keby ste nám mohli zaslať kópiu akejkoľvek odpovede na adresu info@noyb.eu
KROK 1+2: Žiadosť o informácie a o to, aby sa vaše údaje už neprenášali do USA
Žiadosť o informácie môžete spojiť aj so žiadosťou o zastavenie prenosu údajov:
Na napísanie žiadosti môžete použiť nasledujúci text:
Vážený pán/pani,
Som jedným z vašich zákazníkov. V súlade s článkami 12, 13, 14 a 15 nariadenia GDPR predkladám nasledujúce žiadosti:
- Prenášate údaje mimo EÚ? Ak áno, do ktorých krajín?
- O aký právny základ sa každý prenos opiera (napr. rozhodnutie o primeranosti, SCC, BCR, výnimky...)? Ak ste použili SCC alebo BCR, poskytnite kópiu SCC alebo BCR použitých pre každý prenos.
- Ak posielate osobné údaje do USA, spadá niektorý z vašich partnerov pod § 1881a 50 USC ("FISA 702") alebo poskytuje údaje vláde USA podľa EO 12.333?
- Ak posielate osobné údaje do USA, aké technické opatrenia prijímate, aby moje osobné údaje neboli počas prenosu vystavené zachyteniu vládou USA?
- Ak prenášate osobné údaje "poskytovateľovi elektronických komunikačných služieb" so sídlom v USA, ako je definovaný v 18 U.S. Code §1881(4)(b), alebo ak sa pri takomto prenose stále spoliehate na Privacy Shield, žiadam, aby ste okamžite zastavili prenos mojich osobných údajov.
Prosím, odpovedzte do jedného týždňa, keďže podľa nariadenia GDPR musíte odpovedať "bez zbytočného odkladu". Ide o jednoduchú žiadosť, ktorá si nevyžaduje rozsiahlu analýzu. Ďalšia identifikácia nad rámec môjho e-mailu sa nezdá byť potrebná vzhľadom na to, že nepožadujem kópiu svojich osobných údajov. Ak budete potrebovať ďalšie informácie, neváhajte ma kontaktovať.
S láskavým pozdravom,
[Vaše meno]
Uvítali by sme, keby ste nám mohli zaslať kópiu akejkoľvek odpovede na adresu info@noyb.eu
KROK 3: Podajte sťažnosť na váš orgán na ochranu údajov s cieľom zastaviť prenos do USA
Ak vaša spoločnosť nezastaví zbytočné prenosy do USA alebo na ne nereaguje, vždy môžete podať sťažnosť na miestny úrad na ochranu údajov.
Odkaz na miestny úrad na ochranu údajov (DPA) nájdete na tejto stránke: https://edpb.europa.eu/about-edpb/board/members_en. Presný postup podania sťažnosti závisí od zákonov krajiny, v ktorej ju podávate, ale proces je vo všeobecnosti skôr neformálny. Väčšina webových stránok orgánu DPA poskytuje formulár sťažnosti, kde môžete vysvetliť svoju situáciu.
Ako návod na podanie sťažnosti môžete použiť nasledujúci text:
V budúcnosti môžeme ponúknuť konkrétnejšie texty. Nezabudnite k tomuto textu pridať vysvetlenie vašej osobnej situácie.
Vážený pán/pani,
Som zákazníkom spoločnosti [názov a adresa spoločnosti].
Údaje o mojom účte sú [vyplňte tu].
Domnievam sa, že [názov spoločnosti] pokračuje v nezákonnom prenose mojich osobných údajov, pretože [uveďte akýkoľvek údaj, napríklad ich zásady ochrany osobných údajov alebo odpoveď, ktorú vám zaslali]
Odvolávam sa na rozsudok SDEÚ vo veci C-311/18 - Schrems II. Vzhľadom na to, že [názov organizácie] pokračuje v prenose mojich osobných údajov do USA bez príslušného právneho základu, žiadam, aby ste túto záležitosť prešetrili a nariadili pozastavenie alebo zákaz spracúvania.
S láskavým pozdravom,
[Vaše meno]
Uvítame, ak nám zašlete kópiu akejkoľvek odpovede na adresu info@noyb.eu
Často kladené otázky pre používateľov
Prečo sa Súdny dvor domnieval, že pri prenose údajov medzi EÚ a USA existujú problémy?
Právo EÚ poskytuje každému právo na súkromie, ochranu údajov a nápravu pred súdom. Súdny dvor EÚ potvrdil tieto práva v súvislosti s prenosmi údajov do USA vo svojom rozsudku o štíte na ochranu súkromia a SCC. Súdny dvor v krátkosti uviedol, že masový dohľad v USA a nedostatočná právna ochrana pred nezákonným sledovaním často (ale nie vždy) spôsobuje, že spoločnosti posielajú vaše údaje do USA nezákonne.
Ktoré prenosy údajov sú stále legálne?
Podľa článku 49 GDPR sú niektoré "nevyhnutné" prenosy údajov stále legálne za akýchkoľvek okolností (napr. keď si rezervujete hotel v USA a rezervácia sa odošle do hotela v USA). Prenos údajov je stále legálny, ak ste boli informovaní o zákonoch USA a výslovne a slobodne ste s ním súhlasili. Tento súhlas musíte mať možnosť kedykoľvek odvolať bez negatívnych následkov.
Do USA môžete vždy poslať aj svoje vlastné údaje (ak chcete priamo využiť poskytovateľa, ktorý je len v USA).
Ktoré prenosy údajov sú nezákonné?
Prenosy do amerických spoločností, ktoré spadajú pod americký zákon o "hromadnom sledovaní", ako je FISA 702 (nazývaný aj 50 USC §1881a), sú zvyčajne nezákonné. Spoločnosti, ktoré sa na ne nemôžu spoliehať, sú tzv. Ide o široký pojem podľa práva USA, ktorý zahŕňa väčšinu poskytovateľov IT a cloudových služieb.
Medzi týchto poskytovateľov patria napr AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (známe ako Oath & Yahoo) alebo Verizon. Odkazy jednotlivých spoločností vás zavedú na ich správy o transparentnosti, v ktorých sa dozviete, ako často boli predmetom žiadostí o prístup k údajom zo strany vlády USA.
To znamená, že typické situácie "outsourcingu" (keď podnik z EÚ postupuje vaše údaje spoločnosti z USA, ktorá následne spracúva vaše údaje) sú vo väčšine prípadov nezákonné.
Nezabúdajte, že pri pobyte v EÚ máte často zmluvu s dcérskou spoločnosťou tejto americkej spoločnosti v EÚ (napr. používatelia Facebooku majú zmluvu s Facebook Ireland). Ak spracovanie vašich údajov úplne alebo čiastočne zadajú materskej spoločnosti v USA, je tento prenos rovnako nezákonný.
Čo je to "štít na ochranu súkromia" a čo sú "štandardné zmluvné doložky" alebo "SCC"?
Podľa nariadenia GDPR nesmú osobné údaje opustiť EÚ. Ako výnimku z tohto pravidla môžu spoločnosti použiť určité právne nástroje na povolenie prenosov. Dva z najbežnejších nástrojov, na ktoré sa spoločnosti spoliehajú pri prenose vašich údajov z EÚ do USA, sú "štandardné zmluvné doložky" (alebo "SCC") a "štít na ochranu osobných údajov".
Štít na ochranu súkromia bol Súdnym dvorom Európskej únie vyhlásený za neplatný, takže už neexistuje. Od 16. júla 2020 nie je možné prenášať údaje do USA na základe Štítu na ochranu súkromia.
Takmer rovnaký zákaz sa vzťahuje na používanie SCC: Všetky spoločnosti, na ktoré sa vzťahuje americký zákon o "masovom sledovaní", už nemôžu používať SCC. Je to preto, že SCC nemôžu mať prednosť pred právnymi predpismi USA.
Čo to znamená v každodennom živote?
Nižšie nájdete niekoľko príkladov bežných prípadov, ktoré pravdepodobne zahŕňajú prenos vašich osobných údajov do USA.
Prípady, ktorých sa rozsudok zvyčajne týka:
Ak ste zákazníkom spoločnosti z EÚ/EHP, ktorá:
- je integrovanou pobočkou americkej spoločnosti (napr. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo a podobne) alebo
- sa spolieha na ukladanie alebo iný typ spracovania údajov v USA (mnohé "priemerné" podniky v EÚ).
Prípady, ktorých sa rozsudok zvyčajne netýka:
Niektoré príklady zahŕňajú nasledujúce: Nevyhnutné prenosy, ktoré sú stále legálne:
- Rezervácia hotela alebo iného ubytovania priamo v USA alebo prostredníctvom cestovnej kancelárie v EÚ (napr. izba v San Franciscu);
- Rezervácia letu do USA;
- Rezervácia prenájmu auta v USA;
- Objednávanie tovaru online od spoločnosti so sídlom v USA;
- Používanie online služieb poskytovaných spoločnosťou so sídlom v USA (bez sídla v EÚ);
- Odoslanie e-mailu do USA;
- Odoslanie vašich údajov právnikovi v USA v súvislosti so súdnym sporom;
- Kontaktovanie priateľa na Facebooku, ktorý sa nachádza v USA;
- Videohovory do USA.
