Отворено писмо относно бъдещето на трансфера на данни между ЕС и САЩ

May 23, 2022

Отворено писмо относно бъдещето на трансфера на данни между ЕС и САЩ

Въпреки че много подробности все още не са ясни, се появяват все повече подробности за планираното споразумение между ЕС и САЩ за предаване на данни. Тези подробности изглежда повдигат повече въпроси относно стабилността на всяко ново споразумение за адекватност от страна на Европейската комисия. В светлината на тези тревожни събития водещият ищец по делата "Schrems I" и "Schrems II" изпрати следното отворено писмо (PDF) до съответните заинтересовани страни:


Уважаеми комисар Дидие Рейндерс,

Уважаема госпожо министър Джина Раймондо,

Уважаема Полин Дюбари,

Уважаема госпожо Председател на EDPB Андреа Йелинек,

Уважаеми председателю на LIBE Хуан Фернандо Лопес Агилар,

Приемаме за сведение обявяването на принципно споразумение за нова трансатлантическа рамка за защита на личните данни. Разбираме, че бъдещото споразумение, "договорено по принцип", се основава главно на политическо споразумение между председателя на Комисията фон дер Лайен и президента на САЩ Джо Байдън, но не е резултат от съществени промени в законодателството на САЩ в отговор на решението на Съда на ЕС. Този подход изглежда повтаря споразумението "Щит за защита на личните данни" и е дълбоко обезпокоителен.

Наясно сме, че съобщението очертава само груби идеи и заглавия, но че окончателният текст все още трябва да бъде договорен. Ето защо следните предварителни наблюдения се основават на ограниченото политическо съобщение и на допълнителни подробности, които бяха неофициално споделени със заинтересованите страни в различни публични или полупублични формати от ЕС и САЩ.

Въз основа на тези изявления разбираме, че САЩ са отхвърлили всякакви съществени защити за лица извън САЩ и продължават да дискриминират лица извън САЩ, като отказват базови защити, като например съдебно одобрение на индивидуални мерки за наблюдение

Разбираме, че предвидената сделка ще се основава до голяма степен на изпълнителни заповеди на САЩ. След като работихме по този въпрос с американски експерти и адвокат по въпросите на наблюдението, такива изпълнителни заповеди изглеждат структурно недостатъчни, за да отговорят на изискванията на Съда на ЕС.

Въз основа на известните крайъгълни камъни предупреждаваме преговарящите от двете страни на Атлантическия океан, Съвета на ЕС, ЕДПБ и Комисията по граждански свободи, правосъдие и вътрешни работи на Европейския парламент, че обявената рамка рискува да сподели същата съдба като двете си предшественички пред Съда на ЕС, освен ако в САЩ не бъдат проведени съществени (законодателни) реформи

Призоваваме преговарящите да продължат да работят за дългосрочно решение, запазващо неприкосновеността на личния живот, за трансатлантическите потоци, за да се избегне решението "Шремс III". Сегашният подход може да доведе до допълнителна правна несигурност за гражданите и предприятията за години напред - опасение, което беше изразено и от представители на индустрията в отговор на "принципното споразумение".

Напълно осъзнаваме, че това е всичко друго, но не и лесна задача, но инвестицията в правилното й решаване не само ще гарантира решаването на този въпрос в дългосрочен план, но и ще бъде от полза за гражданите и икономиката на двете страни.

За да постигнем тази цел, представяме следните по-подробни наблюдения и препоръки:

(1) Прилагане на правилен тест за пропорционалност на американското законодателство за наблюдение съгласно член 8 от CFR

Разбираме, че преговарящите от САЩ не планират да търсят изменения на законовата уредба на САЩ във връзка с материалното наблюдение, а планират по същество да заменят Президентска политическа директива 28 (PPD-28) относно дейностите по разузнаване на сигнали с нова изпълнителна заповед, която ще включва думите "необходимо и пропорционално"

Изглежда, че Европейската комисия цели да установи, че тези думи в изпълнителната заповед на САЩ следва да се разглеждат като еквивалентни на теста за пропорционалност на ЕС в член 52 от Хартатаер на основните права (ОПП)

Трудно е обаче да се разбере как съществуващото наблюдение в САЩ може да бъде "необходимо и пропорционално"съгласно европейското право, ако Съдът на ЕС изрично е установил обратното в две решения

Този подход изглежда недостатъчен поне по следните причини:

  • И в двете решения на СЕС ("Schrems I"и "Schrems II") Съдът ясно постановява, че законите и практиките на САЩ за наблюдение нарушават членове 7, 8 и 47 от Хартата на основните права. Съдът на ЕС дори изрично е установил, че тези закони и практики не са "необходими и пропорционални"
  • Решението по делото "Schrems II" е постановено, като е взета предвид PPD28 (като съответната изпълнителна директива по това време). Както Европейската комисия и правителството на САЩ твърдят пред CJEU, PPD-28 вече включва формулировката "колкото евъзможно по-приспособена", която Комисията тълкува като еквивалентна на пропорционалност съгласно член 52 от CFR. Съдът на ЕС отхвърли тази идея. Не виждаме как закони и практики, за които СЕС изрично е установил, че не са "необходими и пропорционални", биха могли изведнъж да убедят СЕС, ако бъдат преформулирани като "необходими и пропорционални" вместо като "съобразени, доколкото е възможно".
  • Разбираме, че макар САЩ да приемат тези думи, те не са се съгласили да ограничат по какъвто и да е съществен начиннаблюдението на субекти на данни извън САЩ. По-конкретно, САЩ не са обявили никакво намерение да ограничат или преразгледат практиките за наблюдение, извършвани съгласно законите и програмите (FISA 702, EO 12 333, "PRISM" и "Upstream"), които са конкретно посочени от Съда на ЕС в неговото решение. САЩ също така не са посочили, че ще извършат някакви промени, за да сложат край на практиките си за масово наблюдение. Изглежда, че програмите за наблюдение продължават да се изпълняват в сегашния си вид. Съдът на ЕС извърши тест за пропорционалност съгласно член 52 от ДФЕС и стигна до заключението, че практиките на САЩ за наблюдение не са преминали този тест. Ако САЩ трябва да интегрират концепцията за"необходимост и пропорционалност", това би означавало да спрат или силно да ограничат тези практики за наблюдение. Преговарящите са категорични, че това не е предвидено.
  • Следователно изглежда, че преговарящите просто копират думите на CFR и съдебната практика на СЕС в изпълнителната заповед на САЩ, но вероятно ще приложат различен смисъл от този на СЕС, тъй като в противен случай това би трябвало да доведе до спиране на програмите Upstream и Downstream (преди това "PRISM") съгласно член 702 от Закона за наблюдение на външното разузнаване (FISA) и до прекратяване на масовото наблюдение съгласно изпълнителна заповед 12 333.
  • Освен това сме загрижени, че изпълнителните заповеди обикновено не предоставят права на трети страни. Изглежда, че дори ако в дадена изпълнителна заповед бъде въведен тест за "необходимост и пропорционалност" в съответствие с член 52 от CFR, всеки субект на данни може да не е в състояние да наложи такива ограничения в съда.

В обобщение, този подход изглежда просто задоволява политическите, дипломатическите и PR изискванията на двете страни, но изглежда не отчита факта, че Съдът на ЕС вече е установил, че наблюдението от страна на САЩ не е "необходимо и пропорционално" и САЩ ще продължат тези практики.

(2) Създаване на смислена съдебна защита съгласно член 47 от КПС

Разбираме, че преговарящите от страна на САЩ не планират да изменят законодателството на САЩ, за да създадат възможности за съдебна защита за субектите на данни от ЕС

Вместо това изпълнителната власт на САЩ следва да създаде нов "орган" в рамките на изпълнителната власт (подобен на предишния "омбудсман", но под ръководството на генералния адвокат), който ще се занимава с потенциални нарушения на законодателството на САЩ и изпълнителните заповеди. Този орган, наречен "Съд за контрол на защитата на данните", - противно на наименованието - няма да бъде "съд", а орган на изпълнителната власт. Той ще бъде част от изпълнителната власт, с ограничена независимост

Разбираме, че субектите на данни от ЕС няма да могат да получат достъп до информация за потенциалните операции по наблюдение, които ги засягат, по време на производството и няма да могат да обжалват решенията на този "съд" пред напълно независим съдебен орган, създаден съгласно член 3 от Конституцията на САЩ

Изглежда, че този подход нарушава съдебната практика на Съда на ЕС поне в следния аспект:

  • Предложеното решение не предвижда съдебно обжалване, а орган заобжалване в рамките на изпълнителната власт - подобно на омбудсмана, което Съдът на ЕС намира не само за непропорционално, но и за нарушение на същността на член 47 от КПС. Самото наименование на орган на изпълнителната власт "съд" не създава възможност за съдебна защита. Изглежда, че подходът е по-добре да бъде описан като "омбудсман плюс".
  • Трудно е да се види как този нов орган ще изпълни формалните изисквания за съд или трибунал по член 47 КПС, особено в сравнение с текущите дела и стандартите, прилагани в рамките на ЕС (например в Полша и Унгария). От Съда на ЕС ще се иска да прилага "висок" стандарт по член 47 КЗПЧОС в рамките на ЕС, но "нисък" стандарт по член 47 КЗПЧОС за американския "Съд за контрол на защитата на данните". Европейската комисия ще бъде тази, която ще трябва да убеди Съда на ЕС в тези различни стандарти по член 47 CFR.
  • Разбираме, чее новият "съд" ще продължи да работи като сегашния "омбудсман" и нито ще потвърди, нито ще отрече дали дадено лице е било обект на наблюдение и дали е имало нарушение на законодателството на САЩ. Разбираме, че субектът на данни няма да има пряка или косвена възможност да се запознае с доказателствата, да поиска разкриване на факти, да зададе въпроси на опонента или да получи мотивирано решение. Това ще я превърне в институция с "гумен печат", без практическо значение.
  • Този подход на "гумен печат" ще ограничи и възможностите за евентуално предвиденото обжалване пред вторичен орган: Ако "Съдът за контрол на защитата на данните" е длъжен да изпрати предписан стандартен отговор, не виждаме, че има място за каквото и да е информирано, смислено материално обжалване. Ако има само един възможен предварително определен резултат във всеки случай, изглежда, че почти няма случай, в който гражданинът да повдигне въпроса за грешка, тъй като изглежда, че има само един възможен отговор.
  • Съществуват фундаментални въпроси дали доктрини на САЩ като "държавна тайна" ще се прилагат за тези органи и допълнително ще ограничат всяка възможност за справедливо изслушване. Разбираме, че правителството на САЩ ще продължи да разчита на тези доктрини.

В обобщение, не виждаме как този нов "съд" ще бъде в съответствие с член 47 от КПС, особено в светлината на неотдавнашната практика на Съда на ЕС относно наблюдението от страна на САЩ, но също и в светлината на практиката на Съда на ЕС относно съдебната защита и върховенството на закона в държавите-членки на ЕС. Изглежда, че Съдът на ЕС ще трябва да разработи отделен тест по член 47 от КПС за САЩ, за да установи, че изпълнителен орган, който изготвя отговори с гумен печат, действително е форма на съдебна защита. Не виждаме как подобно развитие на съдебната практика на СЕС е далечно реалистично или дори желателно.

(3) Необходимост от актуализиране на защитата на търговската неприкосновеност на личния живот

В допълнение към недостатъците на обявеното принципно споразумение, свързани с липсата на реформи в областта на наблюдението в САЩ и закони, ние също така предупреждаваме преговарящите от ЕС за необходимостта от актуализиране на търговските задължения за защита на данните в рамките на всяко бъдещо споразумение.

Обезпокоени сме, че преговарящите от ЕС и САЩ изглежда не планират никакви актуализации на самите принципи на Щита за защита на личните данни. Разбираме, че принципите и сертификатите на Щита за защита на личните данни няма да бъдат засегнати или дори преименувани. Това е изключително проблематично, тъй като принципите до голяма степен се основават на принципите "Safe Harbor" от 2000 г., като през 2016 г. са направени само незначителни актуализации. Те не са в съответствие с изискванията на ОРЗД, които започнаха да се прилагат през 2018 г. Всъщност принципите на Щита за защита на личните данни дори се позовават на неприложимата от дълго време Директива 95/46/ЕО, а не на GDPR

Тук изтъкваме няколко примера за някои от многото недостатъци на принципите на Щита за личните данни и за това къде те се отклоняват от GDPR:

  • Принципите на Щита за личните данни нямат общо изискване за правно основание, както е съгласно член 6, параграф 1 от ОРЗД и член 8, параграф 2 от Диаграмана основните права. Всъщност съществува само така нареченият подход "уведомление и избор" с право на отказ (opt-out). Особено поради факта, че принципите обикновено се прилагат за подизпълнители, които нямат пряк контакт със субекта на данните, изглежда, че едва ли има реалистичен сценарий, при който субектът на данните дори да бъде уведомен за проблемно обработване.
  • Принципите на Щита за защита на личните данни не изискват обработването на данни да бъде "необходимо", както се изисква в член 5, параграф 1, буква в) от ОРЗД и член 52, параграф 1 от ДФЕС, а само "уместно".
  • Повечето елементи на правото на достъп съгласно член 15 от ОРЗД и член 8, параграф 2 от Споразумението за защита на личните даннина основните права не са отразени в принципите на Щита за личните данни.
  • Механизмът за обжалване пропредоставен съгласно принципите, се основава на частен арбитраж - система, която е забранена по отношение на потребителите в ЕС от Директива 93/13/ЕИО. Частните арбитражни услуги се заплащат от американското дружество и не разполагат с необходимите механизми за "надзор и разкриване" или правомощия, които дори отдалечено да наподобяват правомощията на надзорните органи на ЕС съгласно член 58 от ОРЗД. Съществуват множество стъпки, за да може всяко арбитражно решение да бъде действително изпълнимо съгласно законодателството на САЩ.

Съществуват още безброй примери, при които принципите на Щита за защита на личните данни не са "по същество еквивалентни" на GDPR и следователно позволяват на американските конкуренти да извършват дейност на европейския пазар, без да спазват правото на ЕС. Дори и да бъдат решени въпросите, свързани с наблюдението от страна на САЩ, всяко ново споразумение може да бъде обявено за недействително от Съда на ЕС въз основа на това, че принципите на Щита за личните данни изобщо не са "по същество еквивалентни" на ОРЗД.


Бъдещето на международното предаване на данни

Със съжаление констатираме, че преговарящите не са използвали тази възможност, за да гарантират, че правата на човека на неприкосновеност на личния живот и защита на данните са защитени от двете страни на Атлантическия океан и независимо от географското местоположение или гражданството. Дълбоко сме убедени, че глобалният интернет и свободното движение на лични данни са възможни само ако защитата не се основава на исторически и националистически концепции, като например гражданството. Докато ОРЗД и чл. 7, 8 и 47 CFR са права на човека и се прилагат за всеки потребител, независимо от националните връзки, FISA 702 и съответните изпълнителни заповеди в САЩ продължават да следват архаичната идея за "американски лица" и "неамерикански лица".

Това не само води до нарушаване на правата на човека, но и изглежда подкопава предполагаемите цели на тези закони за наблюдение: Знаем, че повечето настоящи опасности (като домашен тероризъм, шпионаж и други подобни) не се основават на гражданството на целта.

Призоваваме преговарящите и други заинтересовани страни, включително такива като американската технологична индустрия, да поставят под въпрос традиционните националистически концепции. Ако интернет не трябва да познава национални граници, нашите права на неприкосновеност на личния живот и закони за наблюдение трябва също така да преодолеят националистическите концепции. Един от вариантите са международните споразумения между демократичните държави.

Глава 5 от ОРЗД вече позволява свободен поток от данни - ако защитата е "по същество еквивалентна". Съжаляваме, че националните закони за наблюдение в САЩ и ЕС все още се придържат към понятия като гражданство и досега не разполагат с модерни клаузи за оперативна съвместимост.

Този конфликт на (оперативно съвместими) защити на неприкосновеността на личния живот и (националистически) закони за наблюдение възпрепятства международните потоци от данни, търговията и сближаването.

Реакция на всяко ново решение за адекватност

Тъй като нашите съдебни спорове винаги са насочени към осигуряване на трайно решение, което едновременно защитава данните на потребителите и позволява свободното движение на данни, ние ще бъдем първите, които ще приветстват всеки такъв резултат. Все още се надяваме, че всеки окончателен текст може да преодолее недостатъците, изтъкнати в настоящото писмо, и насърчаваме преговарящите от двете страни на Атлантическия океан да придвижат така необходимите реформи в законодателството на САЩ.

При липсата на тези законодателни промени сме загрижени, че всяко бъдещо споразумение (отново) ще се основава на политически надежди, а не на правни реалности. Особено сме загрижени, че Европейската комисия може съзнателно да приеме още едно незаконосъобразно решение за адекватност с цел да подкопае решенията на Съда на ЕС. Това често се нарича "купуване на още няколко години". Това може не само да доведе до безкраен пинг-понг между Брюксел и Люксембург, но и да застраши доверието във върховенството на закона и в СРС на европейско равнище.

В светлината на гореизложеното noyb е готов да оспори всяко окончателно решение за адекватност, което не би осигурило необходимата правна сигурност. В случай че такова съдебно производство наистина е необходимо, ние ще се съсредоточим най-вече върху бързия и ефикасен път към Съда на ЕС за постигане на бързо решение. Надяваме се, че това ще осигури по-кратък период на правна несигурност в случай на евентуално необмислено политическо споразумение

Такова оспорване може да включва искане към СЕС да спре прилагането на всяка трета версия на решението на САЩ за адекватност. Такава възможност е предвидена в член 278 от ДФЕС и би могла да гарантира, че Европейската комисия не подкопава работата на Съда на ЕС, като приема нови незаконосъобразни решения за адекватност в опит да изпревари прегледа на същите от страна на Съда на ЕС.

Надяваме се, че тези предварителни наблюдения са полезни за вас. На ваше разположение сме, в случай че имате въпроси или желаете да ни предоставите допълнителни разяснения по предвидената нова сделка.

С уважение,

Макс Шремс

Почетен председател, noyb

С уважение,

Макс Шремс

Почетен председател, noyb