Европейската комисия дава трети ход на трансфера на данни между ЕС и САЩ пред Съда на ЕС

Новата трансатлантическа рамка за защита на личните данни до голяма степен е копие на "Щит за защита на личните данни". noyb ще оспори решението.

Третият опит на Европейската комисия да постигне стабилно споразумение за предаването на данни между ЕС и САЩ вероятно ще се върне в Съда на Европейския съюз (СЕС) след няколко месеца. Предполагаемата "нова" Трансатлантическа рамка за защита на личните данни до голяма степен е копие на провалилия се "Щит за защита на личните данни". Въпреки усилията на Европейската комисия в областта на връзките с обществеността, в законодателството на САЩ или в подхода на ЕС няма особена промяна. Основният проблем с FISA 702 не беше разгледан от САЩ, тъй като САЩ все още са на мнение, че само американските лица са достойни за конституционни права.

• Сравнение на промяната в законодателството на САЩ от 2014 г. насам:
  • "Стар" ППД-28 (2014 г.)
  • "Нов" Указ 14086, който заменя ППД-28 (2022 г.)
• Сравнение с предишните усилия за връзки с обществеността:
  • "Възстановяване на доверието в потоците от данни между ЕС и САЩ" и "Чадърът" от 2013 г
  • Изявление за медиите относно "Щит за защита на личните данни" от 2016 г
  • Често задавани въпроси на медиите относно "Щита за защита на личните данни" от 2016 г
  • "Принципно споразумение" на една страница между Байдън и фон дер Лайен от 2022 г
• Проект за решение на Европейската комисия относно адекватността (декември 2022 г.)

Контекст. През 2013 г. Едуард Сноудън разкри, че правителството на САЩ използва "големи технологични" компании и програми като"PRISM" или"Upstream" съгласно FISA 702 и EO 12.333, за да шпионира останалата част от света без необходимост от вероятна причина или съдебно одобрение. Това не се ограничаваше само до престъпността или тероризма, а включваше и шпионаж на "партньори" на САЩ. От закона на ЕС от 1995 г. личните данни по принцип не могат да се изпращат извън ЕС, освен ако в страната на местоназначението не е налице "по същество еквивалентна" защита. Американската индустрия до голяма степен разчиташе на решението на Европейската комисия, наречено "Safe Harbor", което през 2000 г. обяви САЩ за "по същество еквивалентни". През 2015 г. Съдът на Европейския съюз отмени решението на Комисията по дело C-362/14 ("Schrems I "), като се има предвид вазето законодателство на САЩ за наблюдение. През 2016 г. Европейската комисия отново прие до голяма степен същото решение относно предаването на данни между ЕС и САЩ, под новото име "Щит за защита на личните данни", което беше отменено от Съда на ЕС с решение C-311/18 ("Schrems II" ) през 2020 г. до голяма степен на същите основания.

"Вълшебните" трикове на Урсула и Джо. След отмяната на "Щита за защита на личните данни" в преговорите между ЕС и САЩ не бе отбелязан голям напредък. САЩ настояваха, че данните от ЕС ще продължат да бъдат обект на масово наблюдение от страна на САЩ, а "неамериканските" лица няма да имат същата защита като лицата от САЩ. След като в продължение на повече от 1,5 години нямаше почти никакво движение, САЩ, както се съобщава, използваха войната в Украйна, за да окажат натиск върху ЕС относно обмена на лични данни. Скоро след това Джо Байдън и Урсула фон дер Лайен се срещнаха на 25 март 2022 г. Същия ден двамата изведнъж "решиха" това, което адвокатите не бяха в състояние да решат, и представиха"принципно споразумение" - един пейджър, който по същество съдържаше два "трика", които трябваше да успокоят обществеността:

• Първо, Съдът на ЕС установи, че масовото наблюдение FISA 702 не е "пропорционално" по смисъла на член 52 от Хартата на основните права на ЕС (ХОП). "Новата" Изпълнителна заповед на САЩ № 14086 (която до голяма степен е еквивалентна на PPD-28 от 2014 г.) вече ще включва думата "пропорционално". "Трикът" тук: САЩ ще припишат на думата "пропорционален" друго значение, отколкото СЕС. EO 14086 обявява масовото наблюдение по FISA 702 за "пропорционално" съгласно неразкритото "американско разбиране" на думата и в противоречие с двете заключения на Съда на ЕС. По този начин ЕС и САЩ успяха да заявят, че са постигнали съгласие по една и съща дума ("пропорционално") - дори когато няма съгласие по значението на думата.
• На второ място, СЕС установи, че обезщетението чрез "омбудсмана" на Щита за защита на личните данни дори отдалечено не съответства на член 47 от ОРЗД - дори когато омбудсманът беше приветстван от Комисията за връзки с обществеността през 2016 г. като "независима" форма на "обезщетение в областта на националната сигурност". "Трикът" за правна защита: механизмът на омбудсмана беше преименуван и разделен на служител по защита на гражданските свободи (CLPO) и така наречения "съд" (който не е съд, а частично независим изпълнителен орган). Въпреки че има някои незначителни подобрения в сравнение с омбудсмана, физическото лице няма да има никакво пряко взаимодействие с новите органи (ще трябва да изпрати жалба до орган на ЕС за защита на данните, а не да бъде изслушано от САЩ) и те ще дадат абсолютно същия отговор като предишния "омбудсман". Съгласно EO 14086 CLPO и Съдът във всички случаи трябва да отговорят, като кажат:"Без да потвърждава или отрича, че жалбоподателят е бил обект на дейности на разузнаването за сигнали на Съединените щати, прегледът или не е установил никакви обхванати нарушения, или Съдът за защита на данните е издал определение, изискващо подходящи корективни мерки" (вж. тук). Следователно "решението" на този "Съд" е известно още преди завеждането на дело. Механизмът има много допълнителни проблеми, които до голяма степен ще гарантират, че жалбите дори няма да бъдат допускани до разглеждане. Изглежда немислимо Съдът на ЕС да приеме това като "съдебна защита" по смисъла на чл. 47 КПС.
• И накрая, САЩ отказаха да реформират FISA 702, така че да предоставят на лицата извън САЩ разумна защита на личния живот. И от двете страни на Атлантическия океан има съгласие, че FISA 702 и EO 12.333 нарушават основните права съгласно четвъртата поправка в САЩ и членове 7, 8 и 47 CFR в ЕС - но САЩ продължават да настояват, че лицата, които не са граждани на САЩ, нямат конституционни права в САЩ - следователно нарушението на правото им на неприкосновеност на личния живот не е обхванато от четвъртата поправка.
• Срокът на действие на FISA 702 ще трябва да бъде удължен до края на 2023 г., тъй като в американското законодателство има клауза за изтичане на срока на действие. Това щеше да бъде идеалната възможност за подобряване на американското законодателство, но предвид новото споразумение с ЕС, САЩ няма да имат особена причина да реформират FISA 702.

Като цяло новата "Трансатлантическа рамка за защита на личните данни" е копие на "Щит за защита на личните данни" (от 2016 г.), който на свой ред беше копие на "Safe Harbor" (от 2000 г.). Като се има предвид, че този подход вече два пъти се е провалял, нямаше никакво правно основание за промяната на курса - единствената логика да има сделка беше политическа.

Макс Шремс, председател на noyb:"Казват, че определението за лудост е да правиш едно и също нещо отново и отново и да очакваш различен резултат. Точно както "Щит за защита на личните данни", последната сделка не се основава на съществени промени, а на политически интереси. За пореден път сегашната Комисия изглежда смята, че бъркотията ще бъде проблем на следващата Комисия. Тази година САЩ трябва да удължат срока на действие на FISA 702, но с обявяването на новата сделка ЕС загуби всякаква власт, за да постигне реформа на FISA 702."

Три пъти ме заблуди? Още след разкритията на Сноудън през 2013 г. Европейската комисия обяви, че ще "възстанови" доверието и ще"направи Safe Harbor по-сигурно" и ще излезе с"чадърно споразумение". През 2016 г. на журналистите беше съобщено, че "Щитът за защита на личните данни" ще означава, че "за първи път САЩ са дали на ЕС писмено уверение", че ще има "ясни ограничения, гаранции и механизми за надзор" и дори "няма да има безразборно масово наблюдение" . Нито едно от тези твърдения и системи не е доказало своята устойчивост, когато е било представено пред Съда на ЕС. В настоящата версия на усилията на Комисията за връзки с обществеността се използват едни и същи (постоянно повтарящи се) твърдения.

Макс Шремс:"Вече имахме "пристанища", "чадъри", "щитове" и "рамки" - но никаква съществена промяна в американското законодателство за наблюдение. Днешните изявления за пресата са почти буквално копие на някогашните от последните 23 години. Само обявяването, че нещо е "ново", "стабилно" или "ефективно", не е достатъчно пред Съда на Европейските общности. За да се осъществи това, ще са необходими промени в американското законодателство за наблюдение - а ние просто нямаме такива."

Оспорването пред Съда на ЕС е готово за подаване. Всеки, чиито лични данни ще бъдат прехвърлени по новото споразумение, може да подаде възражение пред органите за защита на данните или съдилищата. noyb е подготвил различни процедурни варианти за връщане на новото споразумение пред Съда на ЕС. Очакваме новата система да бъде въведена от първите дружества през следващите месеци, което ще отвори пътя към оспорване от лице, чиито данни се предават по новия инструмент. Не е изключено оспорването да стигне до Съда на ЕС до края на 2023 г. или началото на 2024 г. Тогава Съдът на ЕС ще има възможност дори да спре действието на "Рамката" за времето на процедурата. Окончателното решение на СЕС ще бъде взето вероятно до 2024 или 2025 г. Без значение дали подобно оспорване ще бъде успешно, това ще внесе яснота в "Трансатлантическата рамка за защита на личните данни" в рамките на около две години.

Макс Шремс: "Вече имаме различни варианти за оспорване в чекмеджето, въпреки че сме уморени от този правен пинг-понг. В момента очакваме това да се върне в Съда на ЕС до началото на следващата година. Тогава Съдът на ЕС би могъл дори да спре действието на новото споразумение, докато го разглежда по същество. В името на правната сигурност и върховенството на закона тогава ще получим отговор дали малките подобрения на Комисията са били достатъчни или не. През последните 23 години всички сделки между ЕС и САЩ бяха обявявани за невалидни със задна дата, което правеше незаконни всички предишни трансфери на данни от страна на бизнеса - изглежда, че сега просто добавяме още две години от този пинг-понг."

Комисията на ЕС не проявява особена загриженост за върховенството на закона и неприкосновеността на личния живот на гражданите. Този трети опит за приемане на до голяма степен същото незаконно решение повдига и въпроси относно по-голямата роля на Европейската комисия като пазител на договорите на ЕС. Вместо да поддържа "върховенството на закона", Комисията просто приема отново и отново невалидно решение, въпреки ясните решения на Съда на ЕС. Въпреки голямото възмущение след разкритията на Сноудън в ЕС и многократните призиви на Европейския парламент да предприеме действия, Комисията изглежда дава приоритет на дипломатическите отношения със САЩ и на бизнес натиска от двете страни на Атлантическия океан пред правата на европейците и изискванията на правото на ЕС.

Макс Шремс:"Комисията е призвана да бъде "пазител на договорите" и защитник на "върховенството на закона". Тя обича тази роля, когато става въпрос за държави членки, които нарушават правото на ЕС. Сега самата Комисия просто игнорира Съда на ЕС за трети път"