Повечето трансфери на данни между ЕС и САЩ се основават на "Трансатлантическата рамка за защита на личните данни" (TAFPF) или на така наречените "стандартни договорни клаузи" (SCC). И двата инструмента разчитат на крехки американски закони, необвързващи разпоредби и съдебна практика, които са подложени на атаки - и вероятно ще бъдат взривени през следващите месеци. Тъй като нестабилността в американската правна система става неоспорима и САЩ показват открити признаци на враждебност към ЕС, е време да преразгледаме накъде текат нашите данни - и колко дълго ще издържи правната "къщичка от карти", която ЕС е изградил.
Публикация в блога от Макс Шремс
Пластовете на законодателството на САЩ и ЕС. "Мостът", който Европейската комисия и предишните демократични администрации на САЩ изградиха, за да позволят обработката на лични данни от ЕС в САЩ, не се основава на просто и стабилно американско законодателство за защита на личните данни. Вместо това ЕС и САЩ разчитат на дива мозайка от тонове вътрешни насоки и разпоредби, съдебна практика на Върховния съд, американски фактически "практики" или изпълнителни заповеди.
В опита си да свържат двата края, тези пластове не се подкрепят взаимно, а са подредени така, че да създадат възможно най-тънката връзка между правото на ЕС и САЩ - което означава, че неуспехът на просто на един от многото правни елементи вероятно ще направи повечето трансфери на данни между ЕС и САЩ незабавно незаконни. Подобно на къща от карти, нестабилността на всяка отделна карта ще доведе до срутване на къщата.
Като се има предвид изключително разрушителният подход на администрацията на Тръмп, много елементи на трансфера между ЕС и САЩ са подложени на атака - често пъти не поради някакви преки намерения. Вместо това сегашната американска администрация просто широко атакува правната система и конституционната структура на САЩ (с помощта на силно политизиран Върховен съд) - с много потенциални последици за потоците от данни между ЕС и САЩ.
първа вероятна точка на провал: Независимост на ФТК. През изминалия понеделник Върховният съд на САЩ разгледа дело за независимостта на Федералната търговска комисия (FTC). Още от времето на едно дело през 1935 г. (Изпълнителят на Хъмфри), Върховният съд на САЩ приема, че законодателят на САЩ може да създава "независими" органи в рамките на изпълнителната власт, която е донякъде изолирана от президента на САЩ.
Една доскоро маргинална теория, според която съгласно Конституцията на САЩ всички правомощия на изпълнителната власт трябва да принадлежат само на едно лице (президента), вече е придобила популярност сред американските консервативни юристи. Тази така наречена "теорията за унитарната изпълнителна власт" би направила всеки независим орган, като например FTC, обикновено противоконституционен. Всички правомощия трябва да бъдат съсредоточени в президента.
В Trump v. Slaughter, Върховният съд на САЩ сега изслуша аргументите на комисар на FTC, който е бил отстранен от Тръмп въпреки всички гаранции за независимост в 15 U.S.C. § 41. Въз основа на коментарите и въпросите на съдиите, широко разпространено е мнението (вж. напр. The Guardian, CNN или Блога на SCOTUS), че консервативното мнозинство във Върховния съд на САЩ ще застане на страната на Тръмп и (в една или друга степен) ще последва "теорията за унитарната изпълнителна власт", отменяйки независимостта на FTC.
В комбинация с решенията на Върховния съд на САЩ по абсолютния имунитет на президента, по този начин САЩ все повече ще се придвижват към система, в която президентът е абсолютен "крал" - поне за четири години.
От европейска гледна точка независимостта на ФТК е ключов елемент, тъй като член 8, параграф 3 от Хартата на основните права на ЕС (ХОП) изисква обработката на лични данни да се наблюдава и прилага от "независим" орган. В рамките на TADPF (а преди това и в системите "Safe Harbor" и "Privacy Shield") ЕС и САЩ се споразумяха да предоставят тези правомощия на FTC в САЩ - като такъв "независим" орган. Раздел 2.3.4. от Решение на Европейската комисия относно TADPF се подчертава, че ролята на ФТК е свързана с правоприлагането. Съображение 61 и бележка под линия 92 изрично се отнасят до 15 U.S.C. § 41 като основание за необходимите гаранции за независимост в САЩ.
Нито един друг елемент на TADPF не разполага с необходимите правомощия за разследване и независимост. Съществуват и частни арбитражи, но те нямат никакви правомощия за разследване или съответни правомощия за изпълнение. Следователно всеки участник в TADPF трябва да бъде управляван или от независимата FTC, или от DoT (за транспортните организации).
Тръмп срещу Слотър е планирано да бъде решено най-късно през юни или юли 2026 г., но може да бъде решено и по-рано. Така че е време да "закопчаете коланите" по този въпрос и да се подготвите.
Един от пътищата би могъл да бъде преминаването към SCC или BCR, тъй като те не изискват независим американски орган за изпълнение, но също така позволяват споразумението да бъде подчинено на орган на ЕС за защита на данните. Съществуват обаче и огромни въпроси за това как вече прехвърлените данни могат да бъдат върнати "обратно" в някоя одобрена от ЕС система или дори да бъдат върнати "обратно" в ЕС като цяло. Освен това SCC и BRC могат да бъдат засегнати и от мащабни промени в законодателството на САЩ (вж. по-долу).
2-ра вероятна точка на провал: Съд за преразглеждане на защитата на данните. Пряко във връзка с Тръмп срещу Слотър, която се занимава с надзора в частния сектор, паралелно възниква въпросът как на така наречения "Съд за контрол на защитата на данните" (СКОД) все още може да се разчита като на някаква форма на реалистична защита срещу наблюдението от страна на правителството на САЩ.
DPRC има много правни проблеми (с тези проблеми лесно може да се запълни докторска дисертация), но от решаващо значение DPRC е не е истински съд на САЩ - също и защото не е създаден със закон. Всъщност това е група от хора в рамките на изпълнителната власт, която е създадена единствено с изпълнителна заповед на Байдън (EO 14.086, вж. подробности по-долу). Тази група от хора в най-добрия случай може да се нарече "трибунал" от гледна точка на член 6 от ЕКПЧ, но дори това твърдение вероятно е преувеличено.
Същественото е, че по отношение на Тръмп срещу Слотър, "независимостта" на този така наречен "съд" дори не е установена със закон (както 15 USC § 41 за FTC), а от EO 14.086, така че е просто вътрешна президентска заповед, която може да бъде променена по всяко време.
Логично, ако Върховният съд в Trump v. Slaughter постанови, че независимите органи на изпълнителната власт са противоконституционни, може да се окаже, че всякакви претенции за независимост в самото EO 14.086 също са (логично) противоконституционни. Това до голяма степен зависи от линията на аргументите, които Върховният съд ще използва в Trump v. Slaughter, но е много вероятно да видим това като пряка последица от всяко по-широкообхватно решение.
Този проблем би се разпрострял далеч отвъд рамките на TADPF, тъй като други системи за прехвърляне (SCCs или BCRs) разчитат на така наречените "оценки на въздействието на прехвърлянето" (TIAs), които на свой ред обикновено сочат EO 14.086 и ДОПК като основание, поради което всеки администратор от ЕС е стигнал до заключението, че правото на САЩ не може да отменя SCCs или BCRs извън това, което е допустимо съгласно членове 7, 8 и 47 от Хартата.
Ако тези елементи отпаднат, оставаме до член 49 от ОРЗД за "необходими" прехвърляния (например изпращане на електронно писмо до САЩ, подаване на поръчка или резервация на хотел или полет), но всяко "възлагане на дейности" на американски доставчици на облачни услуги или доставчици на SaaS обикновено вече няма да има никакво жизнеспособно правно основание.
трета вероятна точка на провал: EO 14.086. Освен промените в конституционното право на САЩ, като основен рисков фактор се явява и самият Тръмп. Както беше обяснено по-горе, по принцип всички форми на предаване на данни между ЕС и САЩ се основават на изпълнителна заповед на Байдън (EO 14.086). Тръмп многократно е заплашвал да отмени тази заповед. Още в деня на встъпването му в длъжност медиите съобщиха, че той ще отмени сляпо всички заповеди на Байдън. В крайна сметка той подписа УКАЗ 14.148, което отменя само 68 разпореждания на Байдън и 11 президентски меморандума на Байдън - но не и разпореждане 14.086.
УКАЗ 14.148 изисква всички EOs, свързани с "националната сигурност", да бъдат преразгледани в рамките на 45 дни от съветника по националната сигурност - това е трябвало да стане до 06.03.2025 г. Нямаше съобщения за последващи промени. Това не означава, че EO 14.086 не е бил (частично) отменен междувременно, тъй като Президентът на САЩ може да издаде "тайни" Които променят публикуваното разпореждане 14.086. Като се имат предвид непостоянните действия на Тръмп, това не е малко вероятен сценарий.
В неотдавнашния си изблик по отношение на използването от Байдън на т.нар. аутопен, Тръмп обяви всички ЕЗ на Байдън, подписани с аутопен, за невалидни чрез Публикация в социалната мрежа Truth. Напълно неясно е дали EO 14.086 е такъв "autopen" EO и дали публикациите на Тръмп в социалните мрежи са равнозначни на официална отмяна на тези EO. В същото време трябва да се запитаме дали някой служител на АНС вече се чувства прекалено обвързан с тях. Също така не е изключено публикацията на Истината в социалните мрежи да бъде последвана от официално ЕЗ, отменящо тези ЕЗ на Байдън.
Друга индикация, че EO 14.086 може да е на линия, е програмата "Проект 2025" за консервативно превземане на правителството на САЩ. На страница 225авторът се нахвърля срещу EO 14.086, ЕС и предполагаемото несправедливо третиране на САЩ - така че EO 14.086 очевидно е на дневен ред. За да стане всичко още по-абсурдно, авторът (Дъстин Кармак) е сега е новият "републикански" лобист на Мета - компания, която разчита на EO 14.086, за да оправдае прехвърлянето на данни между ЕС и САЩ, което беше оспорено в Schrems I и Schrems II.
Като цяло EO 14.086 може да падне всеки момент - а с него и TADPF, а с него и почти всички TIAS и повечето SCC, BCR.
Много други възможности. Макар че това излиза извън рамките на тази публикация в блога, има много допълнителни въпроси по отношение на много други елементи, използвани в TADPF.
Очевидно е, че все още съществуват основните въпроси за това дали TADPF някога е постигнал "съществена еквивалентност". Например:
- Защитите в EO 14.086 до голяма степен бяха 1:1 копие на EO на Обама, наречен PPD-28, който беше отхвърлен от Съда на ЕС в Schrems II.
- Изключително високата тежест за обжалване или липсата на реално право на изслушване пред КЗПЧОС са на километри от член 47 от Хартата.
- Принципите за защита на търговските данни на TADPF дори не изискват правно основание (както се изисква в член 8, параграф 2 от Хартата и член 6, параграф 1 от ОРЗД), а изискват единствено да се даде възможност за отказ.
Освен това бяха повдигнати въпроси относно независимостта на ППЗЛД или силното разчитане от страна на ЕС на (неписаните) "Практики на САЩ" - когато Тръмп показа, че той и неговата администрация не зачитат дори законите, да не говорим за предишните "практики".
Какво можем да направим? Според мен правителствата и администраторите на данни в ЕС трябва (повече от всякога) спешно да се подготвят за много вероятните удари по трансфера на данни между ЕС и САЩ през следващите месеци. На Стратегията за национална сигурност на САЩ ясно показа, че администрацията на Тръмп гледа на Европа по-скоро като на враг, отколкото като на партньор, и че европейското цифрово законодателство е основна точка на вероятната агресия на САЩ.
Единственото дългосрочно решение е (за съжаление) да се ограничат всякакви трансфери на данни към доставчици от САЩ, доколкото те имат "притежават, съхраняват или контролират" на европейски лични данни. Възможно е да има още предложения, при които всякакъв фактически достъп от САЩ е технически невъзможен - засега обаче единствената реалистична защита, която е налична на пазара, е да се премине към Европейски доставчици.
