Новата изпълнителна заповед на САЩ едва ли ще удовлетвори изискванията на правото на ЕС

This page has been translated automatically. Read the original or leave us a message if something is not right.
Data Transfers
 /  07 October 2022
Duct Taped Executive Order?

We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.

Първа реакция: Изпълнителната заповед за наблюдението в САЩ едва ли ще удовлетвори изискванията на правото на ЕС

Повече от шест месеца след "принципното споразумение" между ЕС и САЩ президентът на САЩ Джо Байдън подписа дългоочакваната изпълнителна заповед, която има за цел да спазва предишни решения на Съда на Европейския съюз (СЕС). С това се цели преодоляване на ограниченията при предаването на данни между ЕС и САЩ. СЕС изискваше (1) наблюдението от страна на САЩ да бъде пропорционално по смисъла на член 52 от Хартата на основните права (ХОП) и (2) да има достъп до съдебна защита, както се изисква съгласно член 47 от ХОП. Новата изпълнителна заповед на Байдън изглежда не отговаря и на двете изисквания. Съществува непрекъснато "масово наблюдение" и "съд", който не е действителен съд.

Изпълнителна заповед. Изпълнителната заповед е вътрешна директива на президента на САЩ в рамките на федералното правителство, но не е закон. Преди това въпросът е бил уреден със заповед на президента Обама от 2014 г., наречена PPD-28. Въпреки че е добре да видим, че нашите съдебни спорове сега водят до реакция от страна на президента на САЩ, тази вътрешна президентска заповед вероятно няма да реши проблема:

Proportionality

Масовото наблюдение продължава чрез два вида "пропорционалност". САЩ подчертават, че в новата изпълнителна заповед се използва формулировката от правото на ЕС ("необходимо" и"пропорционално", както е в член 52 от CFR) вместо предишния термин"възможно най-подходящо ", използван в раздел 1, буква г) от PPD-28. Това би могло да реши проблема, ако САЩ следват същото разбиране и също прилагат теста за пропорционалност на Съда на ЕС.

Въпреки промяната на тези думи обаче няма индикации, че масовото наблюдение в САЩ ще се промени на практика. Така нареченото "масово наблюдение" ще продължи да се прилага съгласно новата изпълнителна заповед (вж. раздел 2, буква в), подточка ii)) и всички данни, изпратени до американски доставчици, ще продължат да попадат в програми като PRISM или Upstream, въпреки че Съдът на ЕС два пъти обяви американските закони и практики за наблюдение за"непропорционални" (съгласно европейското разбиране на думата).

Как е възможно това? Изглежда, ЕС и САЩ са се съгласили да копират думите"необходимо" и"пропорционално" в изпълнителната заповед, но не са се договорили, че те ще имат същото правно значение. Ако имаха едно и също значение, САЩ щеше да се наложи да ограничат из основи своите системи за масово наблюдение, за да се съобразят с разбирането на ЕС за "пропорционално" наблюдение.

Макс Шремс, председател на noyb.eu:"Сега ЕС и САЩ са съгласни с употребата на думата "пропорционално", но изглежда не са съгласни със значението й. В крайна сметка определението на Съда на ЕС ще надделее - вероятно убивайки отново всяко решение на ЕС. Европейската комисия отново си затваря очите пред законодателството на САЩ, за да позволи да продължи шпионирането на европейците."

CLPO

"Съдът" не е истински съд. Изпълнителната заповед има за цел да добави и правна защита. Сега ще има двустепенна процедура, като първата стъпка е служител при директора на националното разузнаване, а втората стъпка е "Съд за преразглеждане на защитата на данните". Това обаче няма да бъде "съд" в нормалния правен смисъл на член 47 от Хартата или Конституцията на САЩ, а орган в рамките на изпълнителната власт на правителството на САЩ. Новата система е усъвършенствана версия на предишната система на "омбудсмана", която вече беше отхвърлена от Съда на ЕС. Изглежда ясно, че този орган на изпълнителната власт няма да представлява "съдебна защита", както се изисква от Хартата на ЕС.

Произнасянето на решения от "Съда" вече е разписано в изпълнителния указ. Потребителите ще трябва да повдигат въпроси пред национален орган в ЕС, който на свой ред ще повдигне въпроса пред правителството на САЩ. Както и преди, правителството на САЩ нито ще потвърди, нито ще отрече, че потребителят е бил под наблюдение, и само ще информира потребителя, че или няма нарушение, или то е било поправено (вж. раздел 3, буква в), точка Д от Изпълнителния акт). Потребителят няма да знае повече. Това прави безполезна и възможността за обжалване, тъй като просто няма за какво да се обжалва, щом потребителят е получил този отговор с гумен печат. Раздел 3(i)(d)(H) дори стига дотам, че разписва какъв ще бъде отговорът на "Съда" - без значение от вашите аргументи или дело:"при прегледа или не са установени обхванати нарушения, или Съдът за защита на данните е издал определение, изискващо подходящи корективни мерки"

Макс Шремс, председател на noyb.eu:"Трябва да проучим подробно предложението, но от пръв поглед е ясно, че този "съд" просто не е съд. В Хартата има ясно изискване за "съдебна защита" - простото преименуване на някакъв орган за разглеждане на жалби в "съд" не го прави действителен съд. Подробностите на процедурата също ще бъдат от значение, за да се провери дали тя може да отговаря на правото на ЕС."

По-нататъшно проучване и евентуално оспорване .noyb и неговите партньори ще анализират документите по-подробно през следващите дни и ще публикуват подробен правен анализ през следващите дни и седмици. Ако решението на Комисията не е в съответствие с правото на ЕС и съответните решения на Съда на ЕС, noyb вероятно ще подаде ново възражение пред Съда на ЕС. Междувременно Конгресът на САЩ ще трябва да утвърди отново FISA 702 през 2023 г., което евентуално ще позволи на американския законодател да въведе значими ограничения, зачитащи правото на неприкосновеност на личния живот на лица извън САЩ.

Макс Шремс:"Ще анализираме подробно този пакет, което ще отнеме няколко дни. На пръв поглед изглежда, че основните въпроси не са решени и рано или късно ще се върнат в Съда на ЕС."

Държави със сходна защита на личните данни не могат да постигнат стабилна сделка? Не изглежда логично две демократични държави, които са съгласни с основните правни принципи на неприкосновеността на личния живот, да произведат вероятно третата поред несъвършена сделка:

Четвъртата поправка на Конституцията на САЩ закрепва правото на неприкосновеност на личния живот и изисква наличието на вероятна причина и съдебно одобрение за всяко подслушване. Също така Съдът на ЕС изисква наблюдението да бъде целенасочено и да има съдебно одобрение или преразглеждане съгласно Хартата на основните права на ЕС.

Единствената разлика изглежда е, че докато ЕС разглежда неприкосновеността на личния живот като човешко право, което се отнася за всеки човек, Четвъртата поправка се отнася само за гражданите на САЩ или за постоянно пребиваващите в страната. Според САЩ европейците нямат право на неприкосновеност на личния живот. FISA 702 използва тази разлика в американското право и позволява наблюдение, което е незаконно съгласно Четвъртата поправка - стига да не са засегнати американци.

Макс Шремс:"Удивително е, че ЕС и САЩ всъщност са съгласни, че подслушването се нуждае от вероятна причина и съдебно одобрение. САЩ обаче са на мнение, че чужденците нямат право на неприкосновеност на личния живот. Съмнявам се, че САЩ имат бъдеще като световен доставчик на облачни услуги, ако лицата, които не са граждани на САЩ, нямат права съгласно техните закони. За мен е противоречиво, че Европейската комисия работи по споразумение, което приема, че европейците са граждани "втора категория" и не заслужават същите права на неприкосновеност на личния живот като гражданите на САЩ."

Предприятията от САЩ не трябва да спазват изискванията на GDPR. Това, което прави впечатление, е, че Европейската комисия не е поискала така наречените "Принципи на щита за поверителност" да бъдат приведени в съответствие с GDPR, който е в сила от 2018 г. Принципите до голяма степен съвпадат с предишните принципи на "Safe Harbor", които бяха изготвени през 2000 г. и ще продължат да се използват в новата рамка. Това означава, че американските предприятия могат да продължат да обработват европейски данни, без да спазват GDPR. Например, те дори не се нуждаят от правно основание за обработване, като например съгласие. В рамките на Щита за защита на личните данни американските дружества трябва да предлагат на потребителите само опция за отказ. Това е така, въпреки че Съдът на ЕС подчертава, че в САЩ трябва да има "по същество еквивалентни" защити.

Следващи стъпки. Сега, когато САЩ са издали своята изпълнителна заповед, Европейската комисия ще трябва да изготви така нареченото "решение за адекватност" съгласно член 45 от ОРЗД. След издаването на проекторешението Комисията трябва да изслуша Европейския комитет по защита на данните (ЕКЗД), но не е обвързана с неговите констатации. Освен това европейските държави членки трябва да бъдат ръководители и могат да блокират сделката. Този процес може да отнеме няколко месеца. Въпреки това дори отрицателните становища на EDPB и на държавите-членки не са задължителни за Комисията. След като решението бъде публикувано, дружествата могат да се позовават на него при изпращане на данни към САЩ, а потребителите могат да го оспорят чрез националните и европейските съдилища. Това не се очаква преди пролетта на 2023 г., въпреки че първоначално беше предвидено за есента на 2022 г.