Съдът на ЕС разглежда дело относно предаването на данни между ЕС и САЩ (стандартни договорни клаузи и щит за поверителност)

Изтегляне: Съобщение за медиите

Във връзка с редица запитвания обобщихме основните факти по делото пред Съда на Европейския съюз (СЕС) относно предаването на данни между ЕС и САЩ и масовото наблюдение от страна на правителството на САЩ. Делото ще бъде разгледано утре (9:00 ч., вторник, 9 юли) пред Големия състав на Съда на ЕС.

Често срещани недоразумения по делото

• Дали това дело се отнася за всички случаи на предаване на данни между ЕС и САЩ? Не, то е само за предаването на данни към САЩ, които са обект на "масово наблюдение". В повечето ситуации има прости начини да се избегне масовото наблюдение и много промишлени сектори (напр. банки, авиокомпании, търговия и банково дело) не попадат в обхвата на такъв закон за масово наблюдение. Жалбата на г-н Шремс е насочена само срещу Facebook, който е посочен в документа на Сноудън като подпомагащ АНС при масовото наблюдение в рамките на "PRISM".

• Дали това дело се отнася за всички международни трансфери на данни в ЕС? От страните в процедурата само ирландският комисар по защита на данните е на мнение, че "стандартните договорни клаузи" (SCCs) са невалидни. Г-н Шремс е на мнение, че (ако се прилагат правилно и се изпълняват от ДКД) КТД осигуряват правилно решение. Никоя друга страна в ирландската процедура, освен DPC, не повдига въпроси относно валидността.

• Проблематично ли е всяко предаване на данни към САЩ? Не. законите за наблюдение като FISA 702 се прилагат само за "доставчици на електронни съобщителни услуги". Европейското право също така прави разграничение между необходимото предаване (слушайте в дерогациите) и ненужното "възлагане" на обработката на външни изпълнители. В комбинация с това проблемът възниква главно при доставчиците на облачни услуги и комуникации, които попадат в обхвата на законите за наблюдение (напр. Facebook, Google, Apple, Amazon Web Services), но не и при други сектори на индустрията или "необходими" трансфери на данни (напр. имейли, резервации и други подобни).

• Дали г-н Шремс твърди, че е необходимо да се обявят за невалидни ССЗ? Не. Г-н Schrems твърди, че ЗЗД позволява на ирландския комисар по защита на данните да спира отделни предавания на данни, като това на Facebook. Тъй като проблемът има очевидно решение, според него няма въпрос за валидността.
• Предстои ли обсъждане на "Щит за защита на личните данни"? Да. Facebook се позовава на оценката на Европейската комисия на американското право в "Щита за защита на личните данни" и твърди, че тази оценка следва да се прилага и за "Стандартните договорни клаузи". Г-н Шремс на свой ред твърди, че тази оценка на Комисията е погрешна. Тъй като "Щитът за защита на личните данни" се основава на погрешно тълкуване на правото на САЩ, той следва да бъде обявен за недействителен.

• Ще можете ли все още да изпращате имейли в САЩ или да резервирате полет? Да. В член 49 от ОРЗД са предвидени "дерогации", които разрешават всички предавания на данни, ако те са например "необходими за предоставяне на договор" или когато потребителят е дал изричното си съгласие. Например: Необходимо е да се изпрати имейл до САЩ, ако получателят е там, но не е необходимо да се изпращат имейли през САЩ, ако подателят и получателят са в Европа.

• Какъв вид прехвърляния може да се наложи да бъдат спрени тогава? По принцип "аутсорсинг" на обработката на данни, която може да се извърши и в Европа или други държави, които осигуряват подходящи стандарти за защита на данните.

История на делото

В центъра на делото е жалба на адвоката по защита на личните данни Макс Шремс срещу Facebook през 2013 г.(връзка към жалбата). Преди повече от шест години Едуард Сноудън разкри, че Facebook позволява на американските разузнавателни служби достъп до лични данни на европейци в рамките на програми за наблюдение като "PRISM" (вж. Wikipedia). Жалбата има за цел да спре предаването на данни на Facebook между ЕС и САЩ. Досега ирландският ДКП не е предприел никакви конкретни действия в тази насока.

Първо отхвърляне и решение на Съда на ЕС относно "Safe Harbor

Делото е отхвърлено за първи път от ирландския комисар по защита на данните (DPC) през 2013 г., след което е предмет на съдебен контрол в Ирландия и сезиране на Съда на Европейския съюз (СЕС). През 2015 г. Съдът на ЕС постанови, че така нареченото споразумение "Safe Harbor", което позволява предаването на данни между ЕС и САЩ, е невалидно(връзка към решението по дело C-362/14) и че ирландският DPC трябва да разследва случая, което първоначално отказа да направи.

Информация относно използването на "стандартни договорни клаузи"

Изненадващо, в края на 2015 г. ДКП информира г-н Шремс, че Facebook всъщност никога не е разчитал на вече невалидното споразумение "Safe Harbor", а вместо това още през 2013 г. е разчитал на "Стандартни договорни клаузи" (друг механизъм за прехвърляне на данни от ЕС към САЩ). КЗД не е разкрила този факт и вместо това е предположила, че "Safe Harbor" ги блокира за продължаване на делото. Това "заобикаляне" е направило първото решение на СЕС без значение за делото.

Второ разследване и съдебен иск

Г-н Шремс адаптира жалбата си към трансферите, които се извършват по "стандартни договорни клаузи", и също така поиска прекратяване на трансферите на данни към Facebook САЩ въз основа на аргумента, че те предоставят данните на разположение на АНС. Разследването на КЗД продължи само няколко месеца - от декември 2015 г. до пролетта на 2016 г. Вместо да вземе решение по жалбата, през 2016 г. DPC подаде иск срещу Facebook и г-н Шремс (и двамата сега са ответници) във Върховния съд на Ирландия, за да отправи допълнителни въпроси към Съда на ЕС. След повече от шест седмици изслушвания, проведени основно през 2017 г., ирландският Върховен съд установи, че правителството на САЩ участва в "масово обработване" на европейски лични данни, и през 2018 г. отправи единадесет въпроса към Съда на ЕС за втори път(връзка към решението).

Следващи стъпки

Съдът на ЕС е включил делото в списъка под номер C-311/18 и ще го разгледа за втори път на 9 юли 2019 г. - около шест години след подаването на първоначалната жалба. Очаква се решението да бъде постановено преди края на годината. След решението на СЕС ДКП ще трябва окончателно да се произнесе по жалбата за първи път. Решението отново може да бъде предмет на обжалване от страна на Facebook или г-н Шремс.

Основни аргументи на страните

• Ирландският комисар по защита на данните се присъединява към мнението на г-н Schrems, че американските закони за наблюдение нарушават основните права на личен живот, защита на данните и обезщетение съгласно европейското право. КЗЛД обаче заявява, че тя няма правомощия да реши въпроса. Тъй като механизмът за предаване на данни, който Facebook използва (стандартни договорни клаузи), не предвижда такава ситуация, самите клаузи трябва да бъдат обявени за невалидни. Това би означавало, че предаването на данни към всяка държава извън ЕС по силата на този инструмент ще трябва да бъде спряно.
• Facebook е на мнение, че правото на САЩ не надхвърля това, което е законно съгласно правото на ЕС. Facebook също така поставя под въпрос дали ЕС има юрисдикция по дела, свързани с "националната сигурност". В обобщение Facebook не вижда проблем да продължи да предава данни на САЩ съгласно законите за масово наблюдение като FISA. Facebook разчита също така на оценката на Европейската комисия на американското законодателство в така нареченото решение за "Щит за защита на личните данни", в което се казва, че американските закони за наблюдение са в съответствие с изискванията на ЕС.
• Шремс е съгласен с ДКП по отношение на проблема, но предлага по-премерено решение. Законът (чл. 4 от КЗЛД) позволява на ДКП да спира отделни предавания на данни (като това на Facebook). Г-н Шремс казва, че ирландската ДКП е длъжна да действа, вместо да връща случая в Съда на ЕС. Относно позоваването на Facebook на "Щита за защита на личните данни", г-н Schrems е на мнение, че Решението на Европейската комисия за "Щит за защита на личните данни" не описва адекватно американските закони за наблюдение, не е в състояние дори отдалечено да осигури адекватна защита на личните данни и следователно трябва да бъде обявено за невалидно.
• Европейска комисия: Очаква се Европейската комисия да защити и двете си решения: Стандартните договорни клаузи и Щита за защита на личните данни. Тя вероятно ще застане на страната на Съединените щати и Facebook по отношение на становището, че няма нарушение на основните права в Съединените щати, но също така ще признае, че КЗД има правомощията да реши въпроса сама, ако Съдът на ЕС види нарушение на основните права в САЩ.

Изявление на г-н Schrems

Макс Шремс, председател на noyb: "Ние предлагаме премерено решение: Ирландският КЗД трябва просто да приложи правилно правилата, вместо да връща делото отново и отново в Люксембург. Това дело е висящо от шест години. През тези шест години ДКП е взела решение само по 2-3 % от делата, които са били заведени пред нея. Нямаме проблем със "стандартните договорни клаузи", имаме проблем с изпълнението."

noyb

noyb е нова европейска организация с нестопанска цел, която налага правото на неприкосновеност на личния живот чрез съдебни дела. Тя подкрепя това дело, а самата тя е подкрепена от повече от 3500 даряващи членове.

Ключови цифри

Страните пред съда са ирландският комисар по защита на данните, Facebook Ireland Ltd и Max Schrems. Ирландският съд е разрешил и на четирима "amicus curiae" (неутрални помощници на съда) да се присъединят към делото, а именно правителството на САЩ, Electronic Privacy Information Center (epic.org) и две индустриални лобистки организации.

Всички държави - членки на ЕС, Европейската комисия, Европейският парламент и Европейският комитет по защита на данните (ЕКЗД) имаха възможност да представят становища.