Прехвърляне на данни между ЕС и САЩ

От 2013 г. това дело за масово наблюдение в САЩ и компании от ЕС, които се захранват с него, е висящо. Той е бил два пъти пред ирландския Върховен съд и Европейския съд (CJEU) и дори е направил кратко посещение във Върховния съд на Ирландия. Историята на този случай е в май аспекти уникални.

Заден план

В основата си този случай е за конфликт на закона между американските закони за надзор, които изискват наблюдение, и законите на ЕС за защита на данните, които изискват поверителност.

Проблем: американските закони за надзор

През 2013 г. Едуард Сноудън публично разкри, че разузнавателните агенции на САЩ имат достъп до личните данни на европейските потребители с помощта на програми за наблюдение като PRISM. Този достъп е улеснен от американски закон, за който не е известно, че се използва за разрешаване на такова широкообхватно наблюдение, наречено 50 USC §1881a (или FISA 702). FISA 702 беше приет през 2008 г. и разшири основно възможностите за наблюдение и достъп до данни за американските власти. Едновременно с това разширяване, все повече и повече лични данни се събират от американските доставчици на електронни комуникационни услуги (като Apple, Microsoft, Facebook, Google и Yahoo). В комбинация това води до все по-вредно въздействие върху неприкосновеността на личния живот на европейските потребители.

Съгласно FISA 702, американските "доставчици на електронни съобщителни услуги" (както е определено в 50 USC §1881 (4) ) могат да бъдат принудени да предоставят на американските органи за сигурност достъп до личните данни на "лица извън САЩ", които са определени като всеки, който не е гражданин на САЩ или постоянно пребиваващ в САЩ. Разпорежданията за надзор съгласно този закон не се изискват да бъдат специфични за отделна цел, а по-скоро позволяват цялостна програма за наблюдение като PRISM или Upstream. Няма индивидуално съдебно одобрение за лица извън САЩ. FISA 702 също така позволява наблюдение за доста широки цели, като например „информация, която ... се отнася до ... поведението на външните работи на Съединените щати“ ( вж. 50 USC §1801 (д) ).

Съществуват и правомощия за наблюдение на САЩ, основаващи се на „присъщата власт на президента на САЩ“ и допълнително определени в изпълнителна заповед ( EO 12.333 ), докато други елементи са описани в Директивата за президентската политика 28 ( PPD-28 ). И двете са вътрешни заповеди в рамките на изпълнителната власт, които не създават никакви задължения или права за частни субекти, но позволяват наблюдение на лица извън САЩ.

Документите, разкрити от Едуард Сноудън, изброяват редица американски компании, които предоставят данни на правителството на САЩ за програми за наблюдение като PRISM или Upstream съгласно тези разпоредби, включително Apple, Microsoft, Facebook, Google и Yahoo.

Реакция: GDPR ограничава прехвърлянето на данни

Европейските закони за поверителност (преди Директива 95/46, а сега GDPR) се основават на концепцията за свободен поток от лични данни, но само в сфера, която защитава поверителността на потребителите. Ако личните данни бяха защитени само в рамките на Европейския съюз, но можеха да бъдат прехвърлени извън юрисдикцията на ЕС без никакви ограничения, високото ниво на защита на личните данни, необходимо в ЕС, би могло лесно да бъде подкопано.

Законодателството на ЕС обаче винаги е предвиждало едновременно изключения от този принцип за ограничаване на прехвърлянията, като например когато личните данни задължително трябва да бъдат прехвърлени (например при резервиране на услуга в чужбина или при изпращане на имейл) или когато потребителят свободно се съгласи на прехвърляне. Тези дерогации за неструктурни трансфери понастоящем са кодифицирани в член 49 от ОРЗД .

Освен това законодателството на ЕС признава, че може да има ситуации, при които дружества извън ЕС предоставят еквивалентно ниво на защита на личните данни. В някои държави националното законодателство е подобно на правото на ЕС (напр. Швейцария, Израел, Канада или Япония), а в други държави компаниите могат доброволно да се ангажират с принципите на ЕС, като подпишат договори за гражданско право, като Стандартни договорни клаузи (SCC), Обвързващи корпоративни правила или Щитът за поверителност между ЕС и САЩ. Тези последни правни основания могат да бъдат намерени в членове 46 до 48 от ОРЗД и се използват до голяма степен за ситуации, най-добре описани като „възлагане на външни изпълнители“ на обработката на лични данни от компании в страни извън ЕС.

Тъй като САЩ нямат омнибус или федерален закон за неприкосновеност на личния живот, американските компании трябва да разчитат на една от тези договорни опции в членове 46 до 48 GDPR за възлагане на външни изпълнители. За компаниите, които попадат в обхвата на американското законодателство за наблюдение, използването на тези договорни опции е невъзможен на практика, тъй като законодателството на САЩ изисква от тях да нарушат задълженията си съгласно законодателството на ЕС. Този проблем е в основата на всички дела между г-н Schrems, ирландския комисар за защита на данните (DPC) и Facebook, тъй като Facebook очевидно попада под американските закони за наблюдение и участва в програми като PRISM, като същевременно противоречиво подписва SCC, Safe Harbor и сега Щит за поверителност (решението за трансфер на данни между ЕС и САЩ, заменящо Safe Harbor).

Първо позоваване на СЕС през 2013-2015 г. („Безопасно пристанище“)

Процедура пред ирландския комисар за защита на данните (DPC)

След разкритията на Сноудън, г-н Schrems (тогава австрийски студент по право) подаде жалба срещу Facebook Ireland Ltd пред ирландския комисар за защита на данните (DPC). В жалбата се твърди, че съгласно Решение 2000/520 / EО за безопасно пристанище между ЕС и САЩ (изпълнително решение, взето от Европейската комисия през 2000 г.) личните данни на г-н Schrems не трябва да се изпращат от Facebook Ireland Ltd (обслужващи потребители на Facebook извън САЩ) и Канада) на Facebook Inc. (американската компания майка), като се има предвид, че Facebook трябва да предостави на Агенцията за национална сигурност на САЩ достъп до такива данни.

Ирландският DPC отхвърли жалбата на г-н Schrems като "несериозна и раздразнителна" с аргумента, че Facebook разчита на Решението за безопасното пристанище за извършване на техните трансфери на данни към САЩ. Според DPC Европейската комисия е приела, че законодателството на САЩ е адекватно в решението от 2000 г. (8 години преди приемането на 50 USC § 1881a) и че DPC е абсолютно обвързан от решението на Комисията.

Съдебен контрол срещу DPC

През октомври 2013 г. г-н Schrems подаде молба за съдебен контрол на решението на DPC с аргумента, че DPC може да използва „клауза за спешни случаи“ в решението за Safe Harbor, за да спре прехвърлянето на данни и че при всички случаи решението за Safe Harbor е невалидно. В решение от 18.6.2014 г. [2014] IEHC 310, ирландският Върховен съд спря процедурата и отнесе делото до Съда на Европейския съюз (СЕС). Върховният съд на Ирландия до голяма степен се съгласи с факта, че съгласно американското законодателство съществува „масово наблюдение“, но прие, че не може да вземе окончателно решение по делото на г-н Шремс, без първо да определи валидността на решението за безопасното пристанище. Съгласно правото на ЕС само Съдът на ЕС може да взема решения относно валидността на актове на ЕС като Решението за безопасното пристанище, което означава, че ирландският Върховен съд трябва да отнесе случая до Съда на ЕС.

Решение на СЕС от 6 октомври 2015 г. (C-362/14)

В новаторско решение (C-362/14 Schrems ) Съдът на Европейските общности обяви решението за безопасното пристанище за невалидно, до голяма степен следвайки аргументите на г-н Schrems. Съдът постанови, че трета държава като САЩ трябва да осигури "по същество еквивалентно " ниво на защита на това, което се предоставя от правото на ЕС, и че " законодателството, позволяващо на публичните власти да имат достъп на генерализирана основа ", нарушава същността на основните принципи на ЕС право на неприкосновеност на личния живот съгласно член 7 от Хартата на основните права на ЕС (CFR). По същия начин липсата на каквато и да било правна защита в САЩ за лица извън САЩ нарушава основното право на съдебна защита съгласно член 47 от CFR.

След решението на СЕС, ирландският Върховен съд приключи процедурата в ирландските съдилища, тъй като DPC пое ангажимент за бързо изпълнение на решението на СЕС.

Второ позоваване на СЕС през 2015-20 г. (SCCs & Privacy Shield)

Информация, че Facebook действително разчита на SCC

За голяма изненада на г-н Schrems, през ноември 2015 г. DPC го информира, че решението на Съда на Европейските общности по решението „Безопасно пристанище“ е без значение за първоначалната му жалба, тъй като Facebook всъщност винаги е разчитал на така наречените „Стандартни договорни клаузи“ (SCC), за да извършват своите трансфери на данни. DPC не е разкрил тази информация на г-н Schrems, което го е накарало да вярва, че Facebook е разчитал на Safe Harbor, въпреки че е получил тази информация от Facebook вече в имейл отговор на жалбата през 2013 г.

Съответно г-н Шремс преформулира жалбата си, така че сега да включва SCCs и всяко друго правно основание за трансфери на данни, на които може да се разчита Facebook, и предостави на DPC актуализирана жалба на 1 декември 2015 г. Г-н Schrems аргументира, че DPC трябва да използва член 4 от Решението на SCC за спиране на прехвърлянето, тъй като член 4 позволява на DPC да спре прехвърлянето на данни, ако основните права на потребителите са нарушени.

Иск от DPC срещу Facebook и г-н Schrems

Вместо да вземе бързо решение по случая, DPC изненадващо заведе дело срещу Facebook Ireland Ltd и г-н Schrems малко след започването на "разследването" си по преформулираната жалба, включваща двете страни. Според DPC двете страни са били "естествените обвиняеми" по това дело и DPC е бил принуден да призове Висшия съд да издаде още една препратка към Съда на ЕС. Г-н Schrems оспорва случая с аргумента, че DPC може да сезира Съда за втори път само след като всички факти и въпроси бъдат разследвани.

Няколко страни подадоха молба за присъединяване към делото като амикуси (неутрални помощници на съда); към него бяха присъединени правителството на САЩ, EPIC.org и две лобистки групи.

В делото DPC аргументира, че не само ще се присъедини към възгледите на г-н Schrems в неговите опасения относно американския закон за наблюдение, но освен това има и сериозни опасения относно валидността на SCC, използвани от Facebook. DPC е на мнение, че ВКС не предвиждат законен механизъм за прехвърляне на данни, ако трета държава като САЩ е приела закони, които са в конфликт с ВКС. Facebook и г-н Schrems не се спориха със самите ВКС и се съгласиха, че в такъв случай член 4 от Решението (ЕС) 2010/87 на ВКС ще позволи решение.

Противно на г-н Шремс и DPC, Facebook не вижда никакъв проблем със законите за наблюдение на САЩ и счита, че ЕС няма юрисдикция по въпросите на "националната сигурност". Facebook разчита и на Решението на Щита за поверителност (ЕС) 2016/1250 от Европейската комисия, което замени обезсиленото решение за безопасното пристанище. В това решение Европейската комисия установи, че няма конфликт между законите за надзор на САЩ и основните права на ЕС. Според Facebook тази констатация в решението за защита на поверителността трябва да се отнася и за трансфери съгласно SCC. Г-н Шремс е на мнение, че самото решение за Щита за поверителност е невалидно, тъй като по същество невярно представя американските закони за надзор и следователно няма правомощия да тълкува ВКС.

След няколко процедурни стъпки и повече от пет седмици изслушвания с участието на множество експерти по американското законодателство за наблюдение, ирландският Върховен съд призна съществуването на програми за масово наблюдение на правителството на САЩ. В решение от 3 октомври 2017 г. [2017] IEHC 545 , ирландският Върховен съд обобщава всички фактически констатации, подчертавайки, че САЩ извършват „масово обработване“ на лични данни, когато например филтрират целия интернет трафик, който преминава през части от интернет гръбнак. На 13 април 2018 г. той отправи до Съда на ЕС единайсет тълкувателни въпроса за определяне. Въпросите бяха до голяма степен изготвени от DPC.

След препращането Facebook подаде молба до Върховния съд на Ирландия в опит да спре препращането от Върховния съд, но жалбата в крайна сметка беше отхвърлена на 31 май 2019 г.

Производство пред СЕС (C-311/18)

На 30 август 2018 г. страните трябваше да представят своите писмени становища.

На 19 юли 2019 г. СЕС разгледа делото пред Голямата камара (най-големият състав на Съда с 15 съдии) , като изслуша трите страни, четирите амикуси , Европейската комисия, Европейския парламент, Европейския съвет за защита на данните ( EDPB) и голям брой правителства на държавите-членки на ЕС. Въпросите на съдиите се съсредоточиха по-специално върху въпроси, свързани със законите за надзор на САЩ и валидността на решението за Щит за поверителност.

На 19 декември 2019 г. генералният адвокат (AG) на Съда издаде своето необвързващо консултативно становище по случая, като до голяма степен се присъедини към позицията на г-н Schrems. Според Становището американските закони за надзор са несъвместими с основните права на ЕС, но решението за несъвместимостта се крие в DPC, разпореждащо спиране на трансферите на данни съгласно член 4 от Решението на ВКС. Докато AG изрично критикува решението за защита на поверителността, той счита, че въпросът за неговата валидност не е неразделна част от делото.

Окончателното решение по тези въпроси от Съда на ЕС ще бъде постановено на 16 юли 2020 г. от приблизително 09:30 ч. CET.

Relevant articles