På den här sidan har vi sammanfattat alternativen för användare som vill stoppa överföringen av sina uppgifter till USA efter EU-domstolens dom i C-311/18 ("Schrems II") om Privacy Shield och standardavtalsklausuler (SCC). Dessutom har vi lagt till ett par vanliga frågor som kan hjälpa dig att identifiera fall där du har rätt att begära att överföringen av uppgifter stoppas.
Vad kan jag göra nu?
GDPR ger dig starka rättigheter att få information om dina uppgifter och vidta åtgärder - använd dem!
STEG 1: Fråga om dina uppgifter överförs till länder utanför EU
Du kan fråga den organisation som behandlar dina uppgifter (ett företag, en offentlig institution eller någon annan enhet) om de överför dina uppgifter utanför EU, och i så fall var, till vem och på vilken grund de överför dem. Detta är en del av din rätt till tillgång och din rätt att bli informerad. En sådan begäran kan riktas till organisationen i fråga via e-post (vanligtvis tillhandahåller de en e-postadress dit du kan skicka sådana förfrågningar). Eftersom detta svar inte kräver någon djupare analys från organisationens sida, och med tanke på att EU-domstolens dom inte föreskriver någon respitperiod för olagliga internationella överföringar, bör de kunna ge dig ett svar ganska snabbt.
Du kan använda följande text för att skriva din begäran:
Kära herr/dam,
Jag är en av era kunder. I enlighet med artiklarna 12, 13, 14 och 15 i GDPR vill jag framföra följande önskemål:
- Överför ni uppgifter utanför EU? Om ja, till vilka länder?
- Vilken rättslig grund åberopas för varje överföring (t.ex. beslut om adekvat skyddsnivå, SCC, BCR, undantag ...)? Om ni har använt SCC eller BCR, vänligen bifoga en kopia av de SCC eller BCR som har använts för varje överföring.
- Om ni skickar personuppgifter till USA, omfattas då någon av era partner av 50 USC §1881a ("FISA 702") eller tillhandahåller uppgifter till den amerikanska regeringen enligt EO 12.333?
- Om ni skickar personuppgifter till USA, vilka tekniska åtgärder vidtar ni för att mina personuppgifter inte ska utsättas för avlyssning av den amerikanska regeringen under transporten?
Vänligen svara inom en vecka eftersom GDPR kräver att ni svarar "utan onödigt dröjsmål". Detta är en enkel begäran som inte kräver omfattande analys. Ytterligare identifiering utöver min e-postadress verkar inte nödvändig med tanke på att jag inte kräver en kopia av mina personuppgifter. Om ni behöver ytterligare information, tveka inte att kontakta mig.
Med vänlig hälsning,
[Ditt namn]
Vi skulle välkomna om du kan skicka oss en kopia av eventuella svar till info@noyb.eu
STEG 2: Begär att dina uppgifter inte längre överförs till USA
Om företaget eller organisationen berättar för dig att dina uppgifter skickas till ett amerikanskt företag som omfattas av massövervakningslagarna ovan kan du kräva att EU-företaget stoppar överföringen av sådana uppgifter.
Du kan använda följande text för att skriva din begäran:
Kära herr/dam,
Jag är en av era kunder. Jag har anledning att tro att ni olagligen överför mina personuppgifter till USA.
Om ni överför personuppgifter till en USA-baserad "leverantör av elektroniska kommunikationstjänster" enligt definitionen i 18 U.S. Code §1881(4)(b), eller om ni fortfarande förlitar er på Privacy Shield för sådana överföringar, begär jag att ni omedelbart stoppar överföringen av mina personuppgifter. Vänligen meddela mig inom en vecka när ni kommer att upphöra med överföringen. Vänligen informera mig inom en vecka om det datum då ni kommer att ha stoppat alla sådana överföringar.
Om ni behöver ytterligare information, tveka inte att kontakta mig.
Med vänliga hälsningar,
[Ditt namn]
Vi skulle uppskatta om ni kan skicka oss en kopia av ert eventuella svar till info@noyb.eu
STEG 1+2: Begär information och att dina uppgifter inte längre överförs till USA
Du kan också kombinera en begäran om information med en begäran om att stoppa överföringen av uppgifter:
Du kan använda följande text för att skriva din begäran:
Kära herr/dam,
Jag är en av era kunder. I enlighet med artiklarna 12, 13, 14 och 15 i dataskyddsförordningen vill jag framföra följande önskemål:
- Överför ni uppgifter utanför EU? Om ja, till vilka länder?
- Vilken rättslig grund åberopas för varje överföring (t.ex. beslut om adekvat skyddsnivå, SCC, BCR, undantag ...)? Om ni har använt SCC eller BCR, vänligen bifoga en kopia av de SCC eller BCR som har använts för varje överföring.
- Om ni skickar personuppgifter till USA, omfattas då någon av era partner av 50 USC §1881a ("FISA 702") eller tillhandahåller uppgifter till den amerikanska regeringen enligt EO 12.333?
- Om ni skickar personuppgifter till USA, vilka tekniska åtgärder vidtar ni för att mina personuppgifter inte ska utsättas för avlyssning av den amerikanska regeringen under transporten?
- Om ni överför personuppgifter till en USA-baserad "leverantör av elektroniska kommunikationstjänster" enligt definitionen i 18 U.S. Code §1881(4)(b), eller om ni fortfarande förlitar er på Privacy Shield för sådan överföring, begär jag att ni omedelbart stoppar överföringen av mina personuppgifter.
Vänligen svara inom en vecka eftersom GDPR kräver att ni svarar "utan onödigt dröjsmål". Detta är en enkel begäran som inte kräver omfattande analys. Ytterligare identifiering utöver min e-postadress verkar inte nödvändig med tanke på att jag inte kräver en kopia av mina personuppgifter. Om ni behöver ytterligare information är ni välkomna att kontakta mig.
Med vänliga hälsningar,
[Ditt namn]
Vi skulle välkomna om du kan skicka oss en kopia av eventuella svar till info@noyb.eu
STEG 3: Lämna in ett klagomål till din dataskyddsmyndighet för att stoppa överföringen till USA
Om ditt företag inte stoppar onödiga överföringar till USA eller inte svarar, kan du alltid lämna in ett klagomål till din lokala dataskyddsmyndighet.
Du hittar en länk till din lokala dataskyddsmyndighet (DPA) på den här sidan: https://edpb.europa.eu/about-edpb/board/members_en. Den exakta processen för att lämna in ett klagomål beror på lagarna i det land där du lämnar in det, men processen är i allmänhet ganska informell. På de flesta dataskyddsmyndigheters webbplatser finns ett klagomålsformulär där du kan förklara din situation.
Som vägledning kan du använda följande text för att lämna in ett klagomål:
Vi kan komma att erbjuda mer specifika texter i framtiden. Glöm inte att lägga till en förklaring av din personliga situation i denna text.
Kära herr/dam,
Jag är kund hos [företagets namn och adress].
Mina kontouppgifter är [fyll i här].
Jag anser att [företagets namn] fortsätter att överföra mina personuppgifter olagligt eftersom [ange eventuella uppgifter, t.ex. deras integritetspolicy eller svar som de har skickat till dig]
Jag hänvisar till EU-domstolens dom i mål C-311/18 - Schrems II. Med tanke på att [organisationens namn] fortsätter att överföra mina personuppgifter till USA utan lämplig rättslig grund, begär jag att ni utreder ärendet och beslutar om att behandlingen ska avbrytas eller förbjudas.
Med vänliga hälsningar,
[Ditt namn]
Vi skulle välkomna om du kan skicka oss en kopia av eventuella svar till info@noyb.eu
Vanliga frågor för användare
Varför ansåg revisionsrätten att det fanns problem med dataöverföringar mellan EU och USA?
EU-lagstiftningen ger alla rätt till integritet, dataskydd och prövning i domstol. EU-domstolen bekräftade dessa rättigheter i samband med uppgiftsöverföringar till USA i sin dom om Privacy Shield och SCC. I korthet sa domstolen att massövervakningen i USA och avsaknaden av rättsligt skydd mot olaglig övervakning ofta (men inte alltid) gör det olagligt för företag att skicka dina uppgifter till USA.
Vilka dataöverföringar är fortfarande lagliga?
Enligt artikel 49 i GDPR är vissa "nödvändiga" överföringar fortfarande lagliga under alla omständigheter (t.ex. när du bokar ett hotell i USA och bokningen skickas till det amerikanska hotellet). Det är fortfarande lagligt att överföra uppgifter när du har informerats om USA:s lagar och du uttryckligen och frivilligt har samtyckt till det. Du måste kunna återkalla detta samtycke när som helst, utan negativa konsekvenser.
Du kan också alltid skicka dina egna uppgifter till USA (om du direkt vill använda en leverantör som bara finns i USA).
Vilka dataöverföringar är olagliga?
Överföringar till amerikanska företag som omfattas av en amerikansk lag om "massövervakning" som FISA 702 (även kallad 50 USC §1881a) är vanligtvis olagliga. De företag som inte kan förlita sig på dem är de s.k. "leverantörerna av elektroniska kommunikationstjänster". Detta är en bred term enligt amerikansk lag och täcker de flesta IT- och molnleverantörer.
Exempel på dessa leverantörer är AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (känd som Oath & Yahoo) eller Verizon. Länkarna till vart och ett av företagen tar dig till deras öppenhetsrapporter som berättar hur ofta de var föremål för amerikanska myndigheters begäran om tillgång till uppgifter.
Detta innebär att typiska "outsourcing"-situationer (när ett EU-företag vidarebefordrar dina uppgifter till ett amerikanskt företag som i sin tur behandlar dina uppgifter) i de flesta fall är olagliga.
Kom ihåg att du som är bosatt i EU ofta har ett avtal med ett dotterbolag i EU till det amerikanska företaget (t.ex. har Facebook-användare ett avtal med Facebook Ireland). Om de lägger ut behandlingen av dina uppgifter helt eller delvis på det amerikanska moderbolaget är överföringen lika olaglig.
Vad är "Privacy Shield" och vad är "standardavtalsklausuler" eller "SCC"?
Enligt dataskyddsförordningen får personuppgifter inte lämna EU. Som ett undantag från denna regel kan företag använda vissa juridiska verktyg för att tillåta överföringarna. Två av de vanligaste verktygen som företag förlitar sig på för att överföra dina uppgifter från EU till USA är "standardavtalsklausuler" (eller "SCC") och "Privacy Shield".
Privacy Shield ogiltigförklarades av EU-domstolen och finns därför inte längre. Uppgifter får inte överföras till USA enligt Privacy Shield sedan den 16 juli 2020.
Nästan samma förbud gäller för användning av SCC: Alla företag som omfattas av en amerikansk lag om "massövervakning" får inte längre använda SCC. Detta beror på att SCC inte kan åsidosätta amerikansk lag.
Vad innebär detta i vardagen?
Nedan hittar du några exempel på vanliga fall som sannolikt kommer att omfatta överföring av dina personuppgifter till USA.
Fall som typiskt sett påverkas av domen:
Om du är kund hos ett EU/EES-bolag som:
- är ett integrerat dotterbolag till ett amerikanskt företag (t.ex. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo och liknande) eller
- förlitar sig på lagring eller annan typ av behandling i USA (många "genomsnittliga" EU-företag).
Fall som typiskt sett inte påverkas av domen:
Nödvändiga överföringar som fortfarande är lagliga, några exempel är följande:
- Bokning av hotell eller annat boende direkt i USA eller via en resebyrå i EU (t.ex. ett rum i San Francisco);
- Bokning av ett flyg till USA;
- Bokning av en hyrbil i USA;
- Beställning av varor online från ett USA-baserat företag;
- Använda onlinetjänster som tillhandahålls av ett USA-baserat företag (som inte är etablerat i EU);
- Skicka ett e-postmeddelande till USA;
- Skickar dina uppgifter till din advokat i USA i samband med en stämningsansökan;
- Kontakta en Facebook-vän som befinner sig i USA;
- Videosamtal till USA.
