Na tej stronie podsumowaliśmy opcje dla użytkowników, którzy chcą zaprzestać przekazywania swoich danych do Stanów Zjednoczonych po wyroku TSUE w sprawie C-311/18 ("Schrems II") dotyczącej ochrony prywatności i standardowych klauzul umownych ("SCC"). Ponadto dodaliśmy kilka często zadawanych pytań, które mogą pomóc w identyfikacji przypadków, w których użytkownik ma prawo zażądać zaprzestania przekazywania danych.
Co mogę teraz zrobić?
GDPR daje Ci silne prawo do uzyskania informacji o Twoich danych i podjęcia działań - wykorzystaj je!
KROK 1: Zapytaj, czy Twoje dane są przekazywane poza UE
Możesz zapytać organizację przetwarzającą Twoje dane (firmę, instytucję publiczną lub inny podmiot), czy i gdzie, komu i na jakiej podstawie przekazują Twoje dane poza UE. Jest to część twojego prawa dostępu i prawa do informacji. Taki wniosek można skierować do danej organizacji za pośrednictwem poczty elektronicznej (zazwyczaj jest to e-mail, na który można wysłać taki wniosek). Ponieważ odpowiedź ta nie wymaga dogłębnej analizy ze strony organizacji, a także biorąc pod uwagę, że wyrok TSUE nie przewiduje okresu karencji w przypadku nielegalnych transferów międzynarodowych, powinni oni dość szybko udzielić odpowiedzi
Możesz użyć następującego tekstu, aby napisać swoje żądanie:
Szanowna Pani/Panie,
Jestem jednym z Państwa klientów. Zgodnie z art. 12, 13, 14 i 15 PKBR, składam następującą prośbę:
- Czy przekazują Państwo dane poza UE? Jeśli tak, to do jakich krajów?
- Jaka jest podstawa prawna, na której opiera się każde przekazanie (np. decyzja o odpowiedniej ochronie danych, SCC, BCR, odstępstwa...)? Jeżeli korzystaliście Państwo z SCC lub BCR, prosimy o dostarczenie kopii SCC lub BCR używanych przy każdym transferze.
- Czy w przypadku przesyłania danych osobowych do USA, którykolwiek z partnerów jest objęty zakresem 50 USC §1881a ("FISA 702") lub dostarcza dane rządowi USA zgodnie z EO 12.333?
- Jeżeli wysyłają Państwo dane osobowe do USA, jakie środki techniczne podejmują Państwo, aby moje dane osobowe nie były narażone na przechwycenie przez rząd USA w tranzycie?
Proszę odpowiedzieć w ciągu jednego tygodnia, ponieważ PKBR wymaga od Państwa odpowiedzi "bez zbędnej zwłoki". Jest to prosty wniosek, który nie wymaga obszernej analizy. Dalsza identyfikacja poza moim adresem e-mail nie wydaje się konieczna, ponieważ nie żądam kopii moich danych osobowych. Jeżeli potrzebują Państwo dalszych informacji, proszę się ze mną skontaktować.
Uwagi,
[Twoje imię]
KROK 2: Wniosek o zaprzestanie przekazywania danych do USA
Jeżeli firma lub organizacja poinformuje Cię, że Twoje dane są wysyłane do firmy amerykańskiej, która podlega powyższym przepisom o masowym nadzorze, możesz zażądać, aby firma z UE zaprzestała wysyłania takich danych.
Możesz użyć poniższego tekstu, aby napisać swoją prośbę:
Szanowna Pani/Panie,
Jestem jednym z twoich klientów. Mam powody sądzić, że nielegalnie przekazujecie moje dane osobowe do Stanów Zjednoczonych.
W przypadku przekazania danych osobowych do "dostawcy usług komunikacji elektronicznej" z siedzibą w USA, zgodnie z definicją zawartą w 18 US Code §1881(4)(b), lub w przypadku, gdy nadal polegają Państwo na Osłonie Prywatności przy takich transferach, proszę o natychmiastowe zaprzestanie przekazywania moich danych osobowych. Proszę o poinformowanie mnie w ciągu jednego tygodnia, do kiedy zaprzestaniecie Państwo przekazywania danych. Proszę o poinformowanie mnie w ciągu tygodnia od daty, do której zaprzestaniecie Państwo przekazywania danych
Jeśli potrzebują Państwo dalszych informacji, proszę się ze mną skontaktować.
Uprzejme pozdrowienia,
[Twoje imię]
KROK 2+3: Żądanie, aby dane nie były już przekazywane do USA
Możesz również połączyć prośbę o informacje z prośbą o zaprzestanie transferu danych:
Możesz użyć następującego tekstu, aby napisać swoje żądanie:
Szanowna Pani/Panie,
Jestem jednym z twoich klientów. Zgodnie z artykułami 12, 13, 14 i 15 PKBR, składam następujący wniosek:
- Czy przekazują Państwo dane poza UE? Jeśli tak, do jakich krajów?
- Jaka jest podstawa prawna, na której opiera się każde przekazanie (np. decyzja o odpowiedniej ochronie, SCC, BCR, odstępstwa...)? Jeżeli korzystaliście Państwo z SCC lub BCR, prosimy o dostarczenie kopii SCC lub BCR używanych przy każdym transferze.
- Jeśli wysyłają Państwo dane osobowe do USA, czy któryś z Państwa partnerów jest objęty zakresem 50 USC §1881a ("FISA 702") lub dostarcza dane rządowi USA zgodnie z EO 12.333?
- Jeżeli przesyłają Państwo dane osobowe do USA, jakie środki techniczne podejmują Państwo, aby moje dane osobowe nie były narażone na przechwycenie przez rząd USA podczas tranzytu?
- W przypadku przekazania danych osobowych do "dostawcy usług łączności elektronicznej" z siedzibą w Stanach Zjednoczonych, zgodnie z definicją zawartą w 18 US Code §1881(4)(b), lub w przypadku, gdy nadal polegają Państwo na Osłonie Prywatności przy takim przekazie, proszę o natychmiastowe zaprzestanie przekazywania moich danych osobowych
Proszę odpowiedzieć w ciągu jednego tygodnia, ponieważ GDPR wymaga od Państwa odpowiedzi "bez zbędnej zwłoki". Jest to prosty wniosek, który nie wymaga dogłębnej analizy. Dalsza identyfikacja poza moim adresem e-mail nie wydaje się konieczna, ponieważ nie wymagam kopii moich danych osobowych. Jeżeli potrzebują Państwo dalszych informacji, proszę się ze mną skontaktować
Kind Regards,
[Twoje imię i nazwisko]
KROK 3: Złożenie skargi w Urzędzie Ochrony Danych Osobowych w celu wstrzymania transferu do USA
Jeśli Twoja firma nie zaprzestanie zbędnych transferów do USA lub nie udzieli odpowiedzi, zawsze możesz złożyć skargę w lokalnym Urzędzie Ochrony Danych
Na tej stronie można znaleźć link do lokalnego organu ochrony danych osobowych (DPA) https://edpb.europa.eu/about-edpb/board/members_en. Dokładny proces składania skargi zależy od prawa kraju, w którym ją składasz, ale na ogół jest to proces raczej nieformalny. Większość stron internetowych OOD udostępnia formularz skargi, w którym można wyjaśnić swoją sytuację.
W celu uzyskania wskazówek można skorzystać z poniższego tekstu, aby złożyć skargę:
W przyszłości możemy oferować bardziej szczegółowe teksty. Prosimy nie zapomnieć o dodaniu do tego tekstu wyjaśnienia swojej sytuacji osobistej.
Szanowna Pani/Panie,
Jestem klientem [nazwa i adres firmy]
Moje dane konta są [wypełniaj tutaj].
Uważam, że [nazwa firmy] nadal przekazuje moje dane osobowe niezgodnie z prawem, ponieważ [zawiera wszelkie wskazówki, takie jak polityka prywatności lub odpowiedź, którą do Państwa wysłali]
Odsyłam do wyroku TSUE w sprawie C-311/18 - Schrems II. Biorąc pod uwagę, że [nazwa organizacji] nadal przekazuje moje dane osobowe do USA bez odpowiedniej podstawy prawnej, proszę o zbadanie sprawy i nakazanie zawieszenia lub zakazu przetwarzania
Uprzejme względy,
[Twoje imię i nazwisko]
FAQ dla użytkowników
Dlaczego Trybunał uznał, że istnieją problemy z przekazywaniem danych do UE-USA?
Prawo UE przyznaje każdemu prawo do prywatności, ochrony danych i zadośćuczynienia przed sądem. Trybunał Sprawiedliwości UE podtrzymał te prawa w odniesieniu do przekazywania danych do USA w swoim wyroku w sprawie "Privacy Shield" i SCC. Krótko mówiąc, Trybunał stwierdził, że masowa inwigilacja w USA oraz brak ochrony prawnej przed nielegalną inwigilacją często (ale nie zawsze) sprawia, że przesyłanie danych przez przedsiębiorstwa do USA jest nielegalne
Które transfery danych są nadal legalne?
Zgodnie z art. 49 PKBR niektóre "niezbędne" transfery są nadal legalne w każdych okolicznościach (np. gdy rezerwujesz hotel w USA, a rezerwacja jest wysyłana do hotelu w USA). Przekazywanie danych jest w dalszym ciągu legalne, gdy użytkownik został poinformowany o przepisach amerykańskich i wyraził na to wyraźną i dobrowolną zgodę. Musisz mieć możliwość wycofania tej zgody w każdej chwili, bez negatywnych konsekwencji
Zawsze możesz również wysłać swoje dane do USA (jeśli chcesz bezpośrednio skorzystać z usług dostawcy, który jest tylko w USA).
Jakie transfery danych są nielegalne?
Przekazy do firm amerykańskich, które podlegają amerykańskiej ustawie o "masowym nadzorze", takiej jak FISA 702 (zwanej również 50 USC §1881a), są zazwyczaj nielegalne. Firmy, które nie mogą na nich polegać, to tak zwani "dostawcy usług komunikacji elektronicznej". Jest to szerokie pojęcie w prawie amerykańskim i obejmuje większość dostawców usług informatycznych i usług w chmurze.
Przykładami takich dostawców są AT&T, Amazonka (AWS), Jabłko, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (znany jako "Przysięga i Yahoo") lub Verizon. Powiązania każdej z tych firm prowadzą do ich sprawozdań dotyczących przejrzystości, które informują o tym, jak często były one przedmiotem wniosków o dostęp do danych ze strony rządu USA.
Oznacza to, że typowe sytuacje "outsourcingu" (gdy przedsiębiorstwo z UE przekazuje Twoje dane firmie amerykańskiej, która z kolei przetwarza Twoje dane) są w większości przypadków nielegalne.
Pamiętaj, że mieszkając w UE, często masz umowę z filią tej amerykańskiej firmy w UE (np. użytkownicy Facebooka mają umowę z Facebook Ireland). Jeżeli zlecają oni przetwarzanie Twoich danych w całości lub w części amerykańskiej spółce dominującej, przekazanie ich jest równie nielegalne.
Co to jest "Osłona prywatności", a co to są "Standardowe klauzule umowne" lub "SCC"?
Zgodnie z PKBR, dane osobowe nie mogą opuścić UE. W drodze wyjątku od tej zasady przedsiębiorstwa mogą korzystać z pewnych narzędzi prawnych, aby zezwolić na przekazywanie danych. Dwa z najczęstszych narzędzi, na których opierają się przedsiębiorstwa przy przekazywaniu danych osobowych z UE do USA, to "Standardowe klauzule umowne" (lub "SCC") oraz "Osłona prywatności".
Tarcza prywatności została unieważniona przez Trybunał Sprawiedliwości, więc już nie istnieje. Dane nie mogą być przekazywane do USA w ramach Osłony prywatności od 16 lipca 2020 roku
Prawie ten sam zakaz dotyczy korzystania z SCC: Wszystkie przedsiębiorstwa, które podlegają amerykańskiej ustawie o "masowym nadzorze", nie mogą już korzystać z SCC. Wynika to z faktu, że SCC nie mogą uchylać prawa amerykańskiego.
Co to oznacza w codziennym życiu?
Poniżej znajdą Państwo kilka przykładów typowych przypadków, które mogą obejmować przekazanie Państwa danych osobowych do USA
Sprawy, na które zazwyczaj ma wpływ wyrok:
Jeśli jesteś klientem firmy z UE/EOG, że:
- jest zintegrowanym oddziałem amerykańskiej firmy (np. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo i podobne) lub
- opiera się na przechowywaniu lub innym rodzaju przetwarzania w USA (wiele "przeciętnych" przedsiębiorstw w UE).
Sprawy, które zazwyczaj nie są objęte wyrokiem:
Niezbędne transfery, które są nadal legalne, niektóre przykłady obejmują następujące:
- Rezerwacja hotelu lub innego zakwaterowania bezpośrednio w USA lub za pośrednictwem biura podróży w UE (np. pokój w San Francisco);
- Rezerwacja lotu do USA;
- Rezerwacja na wynajem samochodu w USA;
- Zamawianie towarów przez Internet w firmie z siedzibą w USA;
- Korzystanie z usług online świadczonych przez firmę z siedzibą w USA (nieposiadającą siedziby w UE);
- Wysłanie e-maila do USA;
- Wysyłanie danych do prawnika w USA w ramach postępowania sądowego;
- Skontaktowanie się ze znajomym z Facebooka, który znajduje się w USA;
- Wideo wezwania do USA.