В същността си това дело е свързано с конфликт на закони между американските закони за наблюдение, които изискват наблюдение, и законите на ЕС за защита на данните, които изискват неприкосновеност на личния живот.
От 2013 г. делото за масовото следене в САЩ и включването на компании от ЕС в него е висящо. То е било разглеждано два пъти от ирландския Върховен съд и Съда на Европейския съюз (СЕС) и дори е имало кратко посещение във Върховния съд на Ирландия. Историята на това дело е уникална в някои отношения.
Предистория
В основата си това дело е свързано с конфликт на закони между американските закони за наблюдение, които изискват наблюдение, и законите на ЕС за защита на данните, които изискват неприкосновеност на личния живот.
Проблем: американски закони за наблюдение
През 2013 г. Едуард Сноудън публично разкри, че разузнавателните служби на САЩ имат достъп до личните данни на европейските потребители с помощта на програми за наблюдение като PRISM. Този достъп е бил улеснен от закон на САЩ, за който не е известно да се използва за разрешаване на такова широкообхватно наблюдение, наречен 50 U.S.C. §1881a (или FISA 702). FISA 702 беше приет през 2008 г. и разшири основно възможностите за наблюдение и достъп до данни за органите на САЩ. Едновременно с това разширяване доставчиците на електронни комуникационни услуги в САЩ (като Apple, Microsoft, Facebook, Google и Yahoo) започнаха да събират все повече лични данни. В комбинация това доведе до все по-вредно въздействие върху неприкосновеността на личния живот на европейските потребители.
Съгласно FISA 702 американските "доставчици на електронни съобщителни услуги" (съгласно определението в 50 U.S.C. §1881(4)) могат да бъдат принудени да предоставят на американските органи за сигурност достъп до личните данни на "лица, които не са граждани на САЩ", които се определят като всички, които не са граждани на САЩ или постоянно пребиваващи в САЩ. Не се изисква заповедите за следене по този закон да са конкретни за отделна цел, а по-скоро позволяват цяла програма за всеобхватно следене като PRISM или Upstream. За лицата, които не са граждани на САЩ, не се изисква индивидуално съдебно одобрение. FISA 702 също така позволява наблюдение за доста широки цели, като например "информация, която ... се отнася до ... провеждането на външните работи на Съединените щати"(вж. 50 U.S.C. §1801(e)).
Съществуват и правомощия на САЩ за наблюдение, основани на "присъщите правомощия на президента на САЩ" и допълнително дефинирани в изпълнителна заповед(EO 12.333), а други елементи са описани в Президентска политическа директива 28(PPD-28). И двете са вътрешни заповеди в рамките на изпълнителната власт, които не създават никакви задължения или права за частни субекти, но позволяват наблюдение на лица, които не са граждани на САЩ.
В документите, разкрити от Едуард Сноудън, са изброени редица американски компании, които предоставят данни на правителството на САЩ за програми за наблюдение като PRISM или Upstream съгласно тези разпоредби, включително Apple, Microsoft, Facebook, Google и Yahoo.
Реакция: GDPR ограничава трансфера на данни
Европейските закони за защита на личните данни (преди Директива 95/46, а сега GDPR) се основават на концепцията за свободен поток от лични данни, но само в рамките на сфера, която защитава неприкосновеността на личния живот на потребителите. Ако личните данни са защитени само в рамките на Европейския съюз, но могат да бъдат прехвърляни извън юрисдикцията на ЕС без никакви ограничения, високото ниво на защита на личните данни, необходимо в рамките на ЕС, може лесно да бъде подкопано.
В правото на ЕС обаче винаги са били предвидени изключения от този принцип на ограничаване на предаването на данни, например когато личните данни трябва да бъдат предадени по необходимост (например при резервация на услуга в чужбина или при изпращане на електронно писмо) или когато потребителят доброволно се съгласи с предаването. Тези дерогации за неструктурни предавания понастоящем са кодифицирани в член 49 от ОРЗД.
Освен това в правото на ЕС се признава, че може да има ситуации, в които дружества извън ЕС осигуряват равностойно ниво на защита на личните данни. В някои държави националното право е сходно с правото на ЕС (например Швейцария, Израел, Канада или Япония), а в други държави дружествата могат доброволно да се ангажират с принципите на ЕС чрез подписване на гражданскоправни споразумения, като например стандартни договорни клаузи (СКК), обвързващи корпоративни правила или Щит за защита на личните данни между ЕС и САЩ. Тези последни правни основания могат да бъдат намерени в членове 46-48 от ОРЗД и се използват до голяма степен за ситуации, които най-добре се описват като "възлагане на външни изпълнители" на обработката на лични данни от дружества в държави извън ЕС.
Тъй като в САЩ няма общ или федерален закон за защита на личните данни, американските дружества трябва да разчитат на една от тези договорни възможности в членове 46-48 от ОРЗД за възлагане на дейности на външни изпълнители. За дружествата, които попадат в обхвата на американските закони за наблюдение, обаче използването на тези договорни опции е невъзможно на практика, тъй като американското законодателство изисква от тях да нарушат задълженията си по правото на ЕС. Този проблем е в основата на всички дела между г-н Шремс, ирландския комисар по защита на данните (КЗЛД) и Facebook, тъй като Facebook очевидно попада в обхвата на американските закони за наблюдение и участва в програми като PRISM, като същевременно противоречиво подписва SCC, Safe Harbor и сега Privacy Shield (решението за предаване на данни между ЕС и САЩ, което заменя Safe Harbor).
Първо сезиране на Съда на ЕС през 2013-2015 г. ("Safe Harbor")
Процедура пред ирландския комисар по защита на данните (КЗД)
След разкритията на Сноудън г-н Шремс (тогава австрийски студент по право) подава жалба срещу Facebook Ireland Ltd пред ирландския комисар по защита на данните (DPC). В жалбата се твърди, че съгласно Решение 2000/520/ЕО на ЕС и САЩ за "сигурно пристанище (изпълнително решение, взето от Европейската комисия през 2000 г.) личните данни на г-н Schrems не трябва да се изпращат от Facebook Ireland Ltd (обслужващо потребителите на Facebook извън САЩ и Канада) към Facebook Inc. (американското дружество майка), като се има предвид, че Facebook трябва да предостави на Агенцията за национална сигурност на САЩ достъп до тези данни.
Ирландският КЗД отхвърли жалбата на г-н Schrems като "неоснователна и досадна", като заяви, че Facebook се е позовал на решението за "Безопасно пристанище" при извършването на прехвърлянето на данни към САЩ. Според DPC Европейската комисия е приела, че американското законодателство е адекватно в решението от 2000 г. (8 години преди приемането на 50 U.S.C. § 1881a) и че DPC е абсолютно обвързан от решението на Комисията.
Съдебен контрол срещу DPC
През октомври 2013 г. г-н Schrems подава молба за съдебен контрол върху решението на КЗД, като твърди, че КЗД е могла да използва "клауза за извънредни ситуации" в решението "Safe Harbor", за да спре предаването на данни, и че във всеки случай решението "Safe Harbor" е невалидно. С решение от 18. 6. 2014 г. [2014] IEHC 310, Върховният съд на Ирландия спира процедурата и отнася делото до Съда на Европейския съюз (СЕС). Ирландският Върховен съд до голяма степен се съгласи с факта, че съгласно американското право е налице "масово наблюдение", но изрази мнение, че не може да вземе окончателно решение по делото на г-н Schrems, без първо да определи валидността на Решението "Safe Harbor". Съгласно правото на ЕС единствено Съдът на ЕС може да се произнася по валидността на актове на ЕС, като например решението "Безопасно пристанище", което означава, че ирландският Върховен съд е трябвало да отнесе делото до Съда на ЕС.
Решение на СЕС от 6 октомври 2015 г. (C-362/14)
В новаторско решение (C-362/14 Schrems) съдът на ЕС обяви за невалидно решението за "Безопасно пристанище", като до голяма степен се съобрази с аргументите на г-н Schrems. Съдът постанови, че трета държава като САЩ трябва да осигури ниво на защита,"по същество равностойно" на това, което се предоставя от правото на ЕС, и че"законодателството, позволяващо на публичните органи да имат достъп на общо основание", нарушава същността на основното право на ЕС на неприкосновеност на личния живот по член 7 от Хартата на основните права на ЕС (ХОПЕС). По същия начин липсата на каквато и да е правна защита в САЩ за лица, които не са граждани на САЩ, нарушава основното право на съдебна защита по член 47 от КПС.
След решението на Съда на ЕС ирландският Върховен съд прекрати процедурата в ирландските съдилища, тъй като КЗД се ангажира да изпълни бързо решението на Съда на ЕС.
Второ препращане към Съда на ЕС през 2015-20 г. (SCC и щит за защита на личните данни)
Информация, че Facebook действително се позовава на SCCs
За голяма изненада на г-н Schrems през ноември 2015 г. DPC го информира, че решението на CJEU относно решението за "Safe Harbor" е без значение за първоначалната му жалба, тъй като Facebook всъщност винаги е разчитал на така наречените "стандартни договорни клаузи" (SCCs), за да извършва предаването на данни. КЗД не е разкрила тази информация на г-н Шремс, което го е накарало да вярва, че Facebook е разчитал на Safe Harbor, въпреки че е получил тази информация от Facebook още през 2013 г. в отговор на жалбата по имейл.
Съответно г-н Шремс преформулира жалбата си, така че сега да включва SCC и всяко друго правно основание за предаване на данни, на което Facebook би могъл да разчита, и на 1 декември 2015 г. предостави на КЗД актуализирана жалба. Г-н Schrems твърди, че КЗД следва да използва член 4 от Решението за SCC, за да спре предаването на данни, тъй като член 4 позволява на КЗД да спре предаването на данни, ако са нарушени основните права на потребителите.
Иск на КЗД срещу Facebook и г-н Schrems
Вместо да вземе бързо решение по делото, ДКП изненадващо подаде съдебен иск срещу Facebook Ireland Ltd и г-н Schrems малко след като започна своето "разследване" на преформулираната жалба с участието на двете страни. Според DPC двете страни са "естествените ответници" по това дело и DPC е принуден да призове Върховния съд да отправи ново искане за преюдициално запитване до Съда на ЕС. Г-н Schrems оспорва делото, като твърди, че DPC може да сезира Съда на ЕС за втори път само след като всички факти и въпроси са били проучени.
Няколко страни са подали молба да бъдат присъединени като амикус (неутрални помощници на съда) към делото; към него са присъединени правителството на САЩ, EPIC.org и две индустриални лобистки групи.
В съдебния иск ДПК твърди, че не само ще се присъедини към възгледите на г-н Шремс в неговите опасения относно американското законодателство за наблюдение, но освен това има и сериозни опасения относно валидността на използваните от Facebook СКК. КЗД е на мнение, че споразуменията за контрол на данните не предвиждат законен механизъм за прехвърляне на данни, ако трета държава като САЩ е приела закони, които са в противоречие със споразуменията за контрол на данните. Фейсбук и г-н Шремс не възразиха срещу самите ДКП и се съгласиха, че в такъв случай член 4 от Решение (ЕС) 2010/87 за ДКП би позволил намирането на решение.
За разлика от г-н Schrems и ДКП, Facebook не вижда никакъв проблем със законите на САЩ за наблюдение и е на мнение, че ЕС няма юрисдикция по въпроси, свързани с "националната сигурност". Facebook се позоваваше и на Решение (ЕС) 2016/1250 на Европейската комисия относно Щита за личните данни, което замени обезсиленото решение за "Безопасно пристанище". В това решение Европейската комисия установи, че не съществува конфликт между американските закони за наблюдение и основните права на ЕС. Според Facebook тази констатация в решението относно Щита за личните данни трябва да се прилага и за предаването на данни по СКП. Г-н Шремс изрази мнението, че самото решение за Щит за личните данни е невалидно, тъй като в него основно се изопачават американските закони за наблюдение и следователно то не е орган за тълкуване на КТД.
След няколко процедурни стъпки и повече от пет седмици изслушвания с участието на множество експерти по американското законодателство за наблюдение Върховният съд на Ирландия призна съществуването на американски правителствени програми за масово наблюдение. В решение от 3 октомври 2017 г. [2017] IEHC 545 ирландският Върховен съд обобщи всички фактически констатации, като подчерта, че САЩ извършват "масова обработка" на лични данни, когато например филтрират целия интернет трафик, който преминава през части от интернет гръбнака. На 13 април 2018 г. той отправи единадесет въпроса за тълкуване към Съда на ЕС, за да се произнесе по тях. Въпросите до голяма степен бяха изготвени от КЗД.
След отправянето на преюдициалното запитване Facebook се обърна към Върховния съд на Ирландия в опит да спре преюдициалното запитване от страна на Върховния съд, но в крайна сметка жалбата беше отхвърлена на 31 май 2019 г.
Производство пред Съда на ЕС (C-311/18)
На 30 август 2018 г. страните трябваше да представят писмените си становища.
На 19 юли 2019 г. Съдът на ЕС разгледа делото в големия състав (най-големият състав на Съда, с 15 съдии), като изслуша трите страни, четирите амикуса, Европейската комисия, Европейския парламент, Европейския комитет по защита на данните (ЕКЗД) и голям брой правителства на държави - членки на ЕС. Въпросите на съдиите бяха насочени по-специално към въпроси, свързани със законите на САЩ за наблюдение и валидността на решението за Щит за защита на личните данни.
На 19 декември 2019 г. генералният адвокат (ГА) на Съда публикува своето необвързващо консултативно заключение по делото, като до голяма степен се присъедини към позицията на г-н Schrems. Според заключението американските закони за наблюдение са несъвместими с основните права на ЕС, но решението на несъвместимостта се състои в това, че ДКСИ разпорежда спиране на предаването на данни съгласно член 4 от решението за Щита за защита на личните данни. Макар че АГ изрично критикува Решението за Щит за неприкосновеност на личния живот, той е на мнение, че въпросът за неговата валидност не съставлява неразделна част от делото.
На 16 юли 2020 г. Съдът на ЕС постанови своето решение "Schrems II", с което изцяло застана на страната на позицията на жалбоподателя, обяви за невалидно решението "Щит за защита на личните данни", задължи ДКД да спре предаването на данни и постанови, че американските закони за наблюдение нарушават членове 7 (право на неприкосновеност на личния живот), 8 (право на защита на данните) и 47 (право на обезщетение) от Хартата на основните права на Европейския съюз.