Deep Dive: Как Facebook се опитва да игнорира Съда на ЕС - въпреки две решения.

Dec 19, 2021

Deep Dive: Как да игнорираме решенията на Съда на ЕС в три стъпки. Обяснение на оценката на въздействието на трансфера на Facebook.

За маниаците на тема защита на личните данни, които искат да знаят повече от това, което сме обобщили в нашето 4-о адвентно четиво, предоставяме на тази страница по-дълбоко вникване в четирите елемента на "Оценката на въздействието на прехвърлянето" (ОВП) на Facebook.

Нашият подход към тези оповестявания. За да избегнем скъпи "SLAPP" искове, някои елементи не са достъпни в някои юрисдикции и решихме да обобщим документите във видео, вместо да ги публикуваме директно. Там, където същността на документа е по-подходяща, го обясняваме по-подробно и цитираме елементи от него. За всеки документ има по едно видео. Подробностите за това защо можем да използваме този документ законно можете да прочетете в долната част на страницата.

Документ 1: Основен документ

Основният документ се отнася до другите три документа, разгледани по-долу. Той има 7 страници и е донякъде интересен, тъй като изглежда е "обобщение" на другите документи и дава общ поглед. Ключовата част на ОВЗД очевидно е "Оценката на еквивалентността", където Facebook напълно игнорира решенията на Съда на ЕС и стига до заключението, че правото на ЕС и САЩ са "еквивалентни". Другите два документа са представени само като допълнителни ресурси. В "Оценката на факторите" основно се описва, че данните се изпращат в САЩ и какви са те, както и фактът, че има достъп от страна на правителството на САЩ съгласно FISA 702. "Записът на предпазните мерки" съдържа и предполагаемите "допълнителни мерки", дори когато нито една мярка не е ясно насочена към законите на САЩ за наблюдение или към решението на Съда на ЕС. В крайна сметка това е просто списък със стандартни практики в индустрията.

В обобщение, аргументът, че законите на ЕС и САЩ са "еквивалентни", е гръбнакът и единствената опора на подхода на Facebook.

Документ 2: Оценка на еквивалентността на законите на САЩ

"Оценката на еквивалентността" ("ОЕ") е документ от 58 страници, изрично одобрен от адвокатските кантори на Facebook Mason Hayes & Curran LLP и Perkins Coie LLP (параграф 1.4 от ОЕ). Документът е най-добре обобщен със собствените думи на Facebook (стр. 7 от документа "Outline"):

За да стигне до този резултат, Facebook твърди, че Съдът на ЕС не е разполагал с всички релевантни факти, за да стигне до заключението си, въпреки че Facebook е представил около 45 000 страници в процедурата. Освен това Facebook твърди, че Съдът на ЕС само е отхвърлил оценката на Европейската комисия в "Щита за защита на личните данни", но не се е занимал подробно с оценката на Facebook. Поради това, според Facebook, Съдът на ЕС никога не би взел решение относно прехвърлянето на данни от Facebook в рамките на СКП. Това всъщност е неправилно, тъй като в точка 168 от решението СЕС е изтъкнал, че се е позовал на опасенията на ирландския Върховен съд и на "Щита за защита на личните данни" на Комисията. По тези въпроси бяха представени съществени становища от страна на Facebook и правителството на САЩ пред СЕС. Въпреки това СЕС ясно постанови, че американското законодателство не просто не е "равностойно", а е в нарушение на членове 7, 8 и 47 от Хартата на основните права.

Facebook допълнително омаловажава правото на ЕС, като основно бърка решенията на Европейския съд по правата на човека (ЕСПЧ) в Страсбург (част от Съвета на Европа, с 47 държави членки, включително Турция и Русия) по ниския стандарт в член 6 и 8 от Европейската конвенция за правата на човека (ЕКПЧ) с решенията на Съда на Европейския съюз (СЕС) и неговия много по-висок стандарт съгласно Хартата на основните права на Европейския съюз (ХОПЕС).

Противно на подхода по отношение на правото на ЕС, Facebook "увеличава" защитата по правото на САЩ, която вече е привеждала безброй пъти пред Върховния съд на Ирландия и Съда на ЕС в съдебния спор "Schrems II". Всички те бяха отхвърлени. Въпреки това Facebook отново се позовава на тези елементи, за да достигне до заключението си, че правото на САЩ би предоставило защита на лица, които не са граждани на САЩ.

Тази комбинация от пълно отхвърляне на решението на Съда на ЕС, омаловажаване на правото на ЕС и увеличаване на правото на САЩ по някакъв начин оправдава незаконното предаване на данни между ЕС и САЩ.

Документ 3: Оценка на факторите

В"Оценката на факторите" от 7 страници Facebook не твърди, че някои фактори по някакъв начин ограничават въздействието на предаването на данни между ЕС и САЩ.

Вместо това във въведението се обяснява, че в рамките на "Оценката на еквивалентността" Facebook стига до заключението, че правото на ЕС и правото на САЩ са еквивалентни (противно на решенията на Съда на ЕС). Поради това Facebook казва, че "Оценката на факторите" е по-скоро описание на "всеки отделен случай" на тяхното предаване на данни между ЕС и САЩ, а не действително фактори, които ограничават наблюдението.

Ограничените фактори, които според Facebook биха посочили по-малка намеса в основните права на ЕС, са например броят на исканията на правителството на САЩ според собствения доклад за прозрачност на Facebook. Другите "фактори" просто описват факти като това, че получателят е Facebook Inc. или че Facebook Inc. действително получава искания за FISA от правителството на САЩ (стр. 7 от "Оценката на факторите"):

Не е ясно как тези "фактори" могат да помогнат за законността на прехвърлянето. Всъщност изглежда, че Facebook всъщност не разчита на тези "фактори", за да обоснове, че прехвърлянето ще бъде законно, а по-скоро е разработил документа така, че да бъде просто фактическо описание. Основният аргумент продължава да бъде, че Съдът на ЕС греши и че правото на ЕС и САЩ всъщност е равностойно.

Документ 4: Регистър на предпазните мерки, включително допълнителните мерки

И накрая, Facebook изготви документ от 14 страници, наречен"Запис на защитните мерки", който представлява основно дълга таблица с "мерки", включително "организационни мерки" и "технически мерки". Всъщност всички те са базови политики, изисквани например съгласно член 32 от ОРЗД, като например "управление на мобилни устройства" или наличие на вътрешна политика за това как да се реагира на правителствени искания.

Интересно е, че във Facebook работят само 130 души, които да реагират на всички правителствени искания в световен мащаб. Това би означавало, че едно правно искане се проверява средно за около 10-15 минути. Като мярка за защита от фалшиви правителствени искания Facebook подчертава най-вече, че проверява дали имейл адресът идва от правителствен домейн. Не е ясно дали Facebook проверява дали конкретен правителствен орган има право да отправя искания за лични данни на притежателите на акаунти. нито една от изброените мерки изглежда няма пряка връзка със законите на САЩ за наблюдение.

Единственият елемент, в който се споменават FISA 702 и EO 12.333, подчертава, че Facebook използвастандартни за индустрията алгоритми и протоколи за криптиране при пренос, като тези стандарти са TLS криптиране (както е обичайно за всеки уебсайт) и AES криптиране (както прави всеки смартфон). Facebook признава, че не всички данни са криптирани, тъй като споменава, че само почти целият трафик на Facebook е криптиран чрез TLS. Всъщност няма мярка, която по някакъв начин да предпазва от заповед по FISA 702 PRISM / DOWNSTREAM (така че наблюдение директно във Facebook), а са свързани само с "UPSTREAM" (така че наблюдение чрез интернет гръбнака). Тъй като Facebook държи всички ключове за криптиране и може да получи достъп до всички данни в чист вид, няма как TLS и AES да са подходяща защита:

Facebook завършва документа с "проактивни" мерки, като лобиране и принос към развитието на законодателството на САЩ и с повече информация за потребителите в често задаваните въпроси.

Попитахме Алън Бътлър от epic.org за "Записа на защитите":

Правно основание за публикацията. Както беше посочено в първото ни адвентно четиво, четирите адвентни четива за нойб са в знак на протест срещу незаконното премахване на нойб от страна на ДКП в рамките на висяща процедура. Всички документи са предоставени чрез процедурата по жалби на г-н Шремс, висяща в продължение на 8,5 години пред ирландския ДКП.

В системата, очертана от адвокатите на г-н Шремс и приета от DPC, на г-н Шремс е позволено свободно да използва документите от процедурата, в случаите, когато Facebook има законово задължение да предостави тези документи, какъвто очевидно е настоящият случай:

Член 5, параграф 1, буква а) от ОРЗД изисква от Facebook да бъде прозрачен. Член 13, параграф 1, буква е) изисква от Facebook да информира потребителите за това как да получат копие от мерките, обосноваващи международното предаване, а член 15, параграф 2 от ОРЗД изрично предвижда правото да се получи копие от тях. Всъщност потребителите не могат да оспорят прехвърлянето на данни, ако не са информирани за съществуващите защити. Самите ДУУ предвиждат подобни разпоредби, тъй като дават на потребителите правото да прилагат ДУУ (клаузи 3, 8.9 и 14 от ДУУ). Изглежда, че всяко дружество, което използва Facebook като обработващ или съвместен администратор, също ще трябва да получи ОВЗД.

Въпреки това позицията на Facebook и ирландския ДКП е, че ОРЗД и ДКП не позволяват на потребителите да получат копие от ОВЗД на Facebook, а те са достъпни само за съответния надзорен орган (така че в този случай само за ДКП).

Документите дори не съдържат чувствителна търговска или техническа информация и не са защитени по силата на нито един съответен закон.