При подготовката на представянето на необвързващото консултативно становище на генералния адвокат на 19 декември около 9:45 в Люксембург, ние съставихме следния документ за подготовка. Делото е висящо 6,5 години, разглежда сложни закони на ЕС за поверителност и наблюдение на САЩ и е било обект на четири съдебни заседания пред различни съдилища. Следователно е много сложен.
I. Контекст на делото
Надзор на САЩ. Както потвърди разкритията на Едуард Сноудън, много големи американски интернет компании (в случая Facebook) попадат под задължението да позволят на правителството на САЩ масово достъп до европейските потребителски данни за целите на „външното разузнаване“ (включително борба с тероризма и шпионажа) ). Подобно използване на данните на европейците може да е в противоречие с националния интерес на ЕС и неговите държави-членки (например при налагане на санкции на САЩ срещу компании от ЕС или при шпиониране на граждани и правителства на ЕС).
Делото от 2015 г. „Безопасно пристанище“. Въз основа на тези факти, г-н Schrems подаде жалба срещу Facebook до ирландския комисар за защита на данните („DPC“) през 2013 г. DPC първо отхвърли жалбата като „ несериозна и досадна “. Г-н Schrems обжалва DPC и в крайна сметка спечели: В този случай C ‑ 362/14 Schrems , Съдът на ЕС („Съд на Европейския съюз“, върховен съд на ЕС) потвърди неговото становище и постанови, че масовото наблюдение нарушава европейските основни права. Съдът на ЕС отмени предишната система „Безопасно пристанище“, която улесни преноса на данни между ЕС и САЩ. Тази система бе спешно заменена със системата „Privacy Shield” през 2016 г. Schrems: „ Privacy Shield е актуализирана версия на незаконната„ Safe Harbor ”. Нищо в американския закон за надзора не е променено или фиксирано . "
Стандартни договорни клаузи („SCCs“). След първото решение на Съда на ЕС относно „Безопасно пристанище“, Facebook заяви, че няма да използва „Щит за поверителност“, а така наречените „ Стандартни договорни клаузи “ (SCC).
SCC са договор между компания от ЕС (тук Facebook Ireland) и компания извън ЕС (тук Facebook Inc, Калифорния), в която чуждестранната компания се ангажира да зачита поверителността на европейците. Законът приема, че такива договори защитават в достатъчна степен европейските данни при прехвърляне в чужбина.
Основен проблем: Законът за поверителност на ЕС се сблъсква със закона за наблюдение на САЩ. Съгласно законодателството на ЕС за поверителност („GDPR“) и SCC, „ износът на данни “ в трета държава е легален само ако компанията износител (в случая Facebook Ireland Ltd) може да осигури „адекватна защита“ в САЩ. На практика това се оказа невъзможно, тъй като американските закони за наблюдение (като FISA 702 и EO 12.333) водят до „ масова обработка “ на правителството на САЩ на лични данни за целите на наблюдението. Шремс: „ С прости думи: законодателството на ЕС изисква поверителност, докато американското законодателство изисква масово наблюдение. Въпросът е какво се случва, когато компания от ЕС следва САЩ, а не законодателството на ЕС? ”
Заявление на г-н Schrems & Reaction от ирландския DPC. Предвид горната ситуация и решението на СЕС по делото „Безопасно пристанище“, г-н Schrems впоследствие поиска от ирландския DPC през 2015 г. да използва член 4 от SCC, който позволява на DPC да нареди на Facebook да „преустанови“ прехвърлянето на данни в отделни случаи. Въпреки че DPC сега се съгласи с г-н Schrems, че американските закони за наблюдение нарушават законодателството на ЕС, те не предприеха директни действия. Шремс: „ Поискахме целенасочено решение, само за компании, които попадат в обхвата на тези закони за наблюдение. DPC можеше да издаде такова решение в рамките на един ден . "
Ирландският DPC иска да обезсили SCC. DPC обаче не последва искането на г-н Schrems, а вместо това заведе дело срещу Facebook и г-н Schrems пред ирландския Върховен съд, с цел да върне делото на Съда на ЕС - този път относно валидността на SCC. Върховният съд на Ирландия изпълни искането на DPC и отправи единадесет въпроса до Съда на ЕС, въпреки съпротивата на г-н Schrems и Facebook (които и двамата се противопоставиха на препращането по различни причини). Джерард Ръдън (от ARQ Solicitors , представляващ г-н Шремс): „ Моят клиент поиска целенасочено решение за компании, които попадат в обхвата на американските закони за масово наблюдение. DPC отдавна можеше да издаде такова решение . Вместо това, след 7 години и две сезиране на СЕС, все още нямаме официално решение от DPC. ”
noyb.eu & Юридически екип Г-н Schrems заведе случая про-боно и се подкрепя от екип от адвокати от Ирландия, САЩ и Люксембург. Делото се подкрепя и от европейската организация с нестопанска цел noyb.eu , на която той е и почетен председател. Г-н Schrems се представлява от Eoin McCullhan, инструктиран от Ahern Rudden Quigley Solicitors. Проф. Хервиг Хофман подкрепи делото по въпросите на европейското право. Ашли Горски от Американския съюз за граждански свободи ( ACLU.org ) е съдействала като експерт по американското законодателство за надзор.
II. Възможни резултати
Разлика между мнението на AG и окончателното решение е много вероятно Случаят повдигна единадесет частично взаимосвързани въпроса с много допълнителни въпроси, които идват с всеки въпрос. За разлика от много други случаи, не може да се очаква двоичен отговор. Мнението и окончателното решение могат да разширят някои въпроси по-нататък и да мълчат по други въпроси. Шремс: „ Този случай има единадесет взаимосвързани въпроса. Много е малко вероятно да получим еднозначен отговор „да или не“ от генералния адвокат. Предвид многото възможности е още по-малко вероятно съдиите да подхождат към тези единадесет въпроса по същия начин в окончателното си решение “.
Освен многото различни варианти по това дело, устното изслушване на делото би могло да е показател за малко по-различни виждания между AG и съдиите. Шремс: „ По време на съдебното заседание генералният адвокат задава въпроси в съвсем различна посока от съдиите. Съдиите изглеждаха много по-критични към американското законодателство и оценката на Европейската комисия, отколкото генералният адвокат. Затова очаквам, че окончателното решение може да осигури по-строга защита на поверителността от становището в четвъртък. "
Необходимо е дългосрочно решение. В дългосрочен план основният сблъсък между законите на ЕС за неприкосновеност на личния живот и законите за надзор на САЩ в този случай няма да бъде разрешен. Шремс: „ Ако САЩ искат да обработят данните на чужденците, те ще трябва да предоставят на чужденците поне същата основна защита на поверителността. В момента САЩ се държат малко, сякаш Швейцария би казала „съхранявайте цялото си злато при нас, но всъщност нямате права, щом е тук“. Ако това е ситуацията, кой по света ще се довери на САЩ с неговите данни? "
III. Позиция на страните по „главния спор”
След като органът за защита на данните е на мнение, че получателят на данните има законови задължения в трета държава, която не спазва правото на ЕС (както в случая), възниква въпросът как да се реши тази дилема. Трите страни в процедурата предложиха три различни отговора:
Ирландски DPC | Макс Шремс | ||
Американското наблюдение не нарушава законодателството на ЕС („Няма проблем за решаване“) | Не | Не | Да |
Член 4 SCCs позволява да се спре („ целенасочено решение “ за FISA компании) | Не | Да | Да, ако би имало проблем |
SCC са невалидни в световен мащаб („Радикално решение“) | Да | Не | Не |
- Facebook е на мнение, че предпоставката на въпроса е погрешна, тъй като наблюдението на САЩ е в съответствие със законодателството на ЕС (по различни причини) и случаят не се урежда от законодателството на ЕС.
- Г-н Schrems е на мнение, че член 4 от SCCs позволява на DPC да спира потоците от данни в отделни случаи, но DPC не използва това „целенасочено решение“ съгласно закона.
- DPC вижда „систематичен“ проблем, който би трябвало да доведе до обезсилване на SCCs в световен мащаб и не би следвало DPC да действа във всеки отделен случай.
IV. Често задавани въпроси и често срещани недоразумения
- Не се ли опита г-н Шремс да премахне стандартните договорни клаузи?
Г-н Schrems никога не е твърдял, че SCCs могат да бъдат невалидни. От всички страни и всички интервенции в СЕС само DPC е на мнение, че ВКС трябва да бъдат обезсилени. Всички (институции на ЕС, държави-членки, лобистки групи, Facebook и г-н Schrems) са на мнение, че ВКС не са невалидни.
- Нали ЕС просто блокира свободната търговия?
Има два закона, които водят до този сблъсък на юрисдикции: (1) американските закони за наблюдение, които позволяват масово наблюдение на чужденци и шпионаж без индивидуално одобрение от съда и (2) европейското основно право на неприкосновеност на личния живот. Рационално е да се забрани потоците от данни към чужда територия, ако тези данни могат да бъдат злоупотребени. САЩ имат подобни опасения по отношение на приложения като „TikTok“ или 5G хардуер на Huawei.
- Не означава ли този случай, че вече не можете да изпращате имейли до САЩ?
С прости думи, GDPR говори за два вида потоци от данни: (1) Необходими потоци от данни (като имейли или резервация на хотел в чужбина), за които има дерогации в член 49 от GDPR и (2) случаи на „възлагане на данни на външни изпълнители“ обработка в трета държава, които не са строго необходими. Дори ако ВКС биха били обезсилени, това би имало последици само за втората категория дела, в които не се прилага „дерогация“.
За имейли това би означавало, че пощенската кутия на Gmail като цяло може вече да не бъде възложена на външни изпълнители в САЩ, но индивидуални имейли, които отиват до американски приятел или колега, все пак ще бъдат доставяни (точно както имейлите се изпращат до Китай, Русия или дори Северна Корея днес).
- Този случай отнася ли се до всички потоци от данни към САЩ?
Според аргументите на г-н Schrems основният въпрос е ограничен до компании, които попадат в обхвата на специален закон за наблюдение, наречен „FISA 702“. Този закон се прилага само за „ доставчици на електронни комуникационни услуги “ (като Facebook, Google или Microsoft), но не се прилага за „традиционни бизнеси“ като авиокомпании, хотели, търговия, финанси и други подобни.
Има още един проблем около разрешението за наблюдение, наречено „EO 12.333“, което позволява на САЩ да провеждат наблюдение във всеки бизнес сектор, включително трансатлантически кабели извън Съединените щати. Това е от основно значение за оценката „Щит за поверителност“.
Като цяло спирането на прехвърлянето на данни съгласно SCC е необходимо само за компании, които попадат в обхвата на FISA 702, въведен през 2007 г. Проблемът може да бъде решен чрез фиксиране на този закон в САЩ.
- Г-н Шремс съди ли Facebook два пъти?
Докато г-н Schrems е подал първоначалната жалба до DPC през 2013 г., DPC е спрял тази процедура и е завел дело срещу Facebook и г-н Schrems. Те са обвиняеми и не са започнали това (второ) позоваване на СЕС. Всъщност г-н Schrems и Facebook се противопоставиха на позоваването на Съда по различни причини.
- Какво общо има този случай с „Щитът за поверителност“?
Facebook повдигна „Щита за поверителност“ по случая, тъй като те твърдят, че Европейската комисия е одобрила законите за наблюдение на САЩ в Щита за поверителност и тази оценка също трябва да бъде обвързваща, когато законите за наблюдение на САЩ се оценяват съгласно SCC. Г-н Schrems твърди, че тази оценка е фактически неправилна и следователно Щитът за поверителност е невалиден.
Не е ясно дали генералният адвокат ще разгледа нито един от аргументите, въпреки че съдиите усилено разпитваха Европейската комисия относно Щита за поверителност по време на устното изслушване.
- Защо казвате, че SCC са добре, но Privacy Shield не е така?
SCC е родово средство за около 200 страни в света. Той не се занимава със законите за надзор на САЩ. Ако има противоречив закон, член 4 от SCC позволява на DPC да спре прехвърлянето на данни. Следователно ВКС имат отговор за проблема пред Съда. В решението на Щита за поверителност Европейската комисия изрично е приела, че законът за наблюдение на САЩ е в съответствие със законодателството на ЕС, с което ние по принцип не сме съгласни.
- Какво според вас трябваше да направи DPC?
Съгласно член 4 от SCC, всеки орган за защита на данните (като DPC) може да спре трансферите на данни, ако SCCs не са спазени фактически. Facebook Ireland е бил наясно с наблюдението на NSA поне от 2013 г., но не е предприел никакви мерки за спиране или ограничаване на преноса на данни. В такива случаи регулаторът трябва да се намеси и да предприеме действия.
- Как компаниите могат да се съобразят с благоприятно решение?
Първо, те ще трябва да идентифицират дали някоя от техните данни отива при американски „ доставчик на електронни съобщителни услуги “, който попада в обхвата на FISA 702. Повечето традиционни индустрии не попадат в обхвата на тези закони за наблюдение, но големи технологични компании, които много от нас използват (като Facebook, Google, Amazon или Microsoft).
Дори ако данните отиват при един от тези доставчици, най-важните трансфери на данни (напр. Изпращане на имейли, директни съобщения или данни за резервации) все още могат да бъдат прехвърлени съгласно така наречените „дерогации“ в GDPR. В случаите на просто „аутсорсинг“ обаче европейските компании може да се наложи да намерят алтернативи извън САЩ.
