СЕС разглежда делото относно трансферите на данни между ЕС и САЩ (Стандартни договорни клаузи и Щит за поверителност)

Jul 08, 2019

Изтегляне: Съобщение за пресата

Поради редица искания обобщихме ключовите факти по делото пред Съда на Европейския съюз (СЕС) относно трансферите на данни между ЕС и САЩ и масовото наблюдение от правителството на САЩ. Делото ще се гледа утре (9:00, вторник, 9 юли) пред Голямата камара на Съда.

Чести недоразумения по случая

  • Случаят ли е за всички трансфери на данни между ЕС и САЩ? Не, става въпрос само за трансфери в САЩ, които са обект на „масово наблюдение“. В повечето ситуации има прости начини за избягване на масово наблюдение и много индустриални сектори (например банки, авиокомпании, търговия и банково дело) не попадат в обхвата на такъв закон за масово наблюдение. Оплакването от г-н Schrems е насочено само към Facebook, който е посочен в документа на Snowden като подпомагащ NSA с масово наблюдение под „PRISM“.
  • Това за всички международни трансфери на данни в ЕС? От страните в процедурата само ирландският комисар за защита на данните счита, че „стандартните договорни клаузи“ (SCC) са невалидни. Г-н Schrems счита, че (ако правилно се прилага и прилага от DPC) SCC предлагат подходящо решение. Никоя друга страна в ирландската процедура освен DPC не повдигна никакви проблеми с валидността.
  • Проблемни ли са всички прехвърляния на данни към САЩ? Не. Законите за надзор като FISA 702 се прилагат само за „доставчици на електронни съобщителни услуги“. Европейското законодателство също прави разлика между необходимите трансфери (вслушайте се в дерогациите) и ненужното „възлагане на външни изпълнители“ на обработката. В комбинация проблемът възниква главно при доставчиците на облачни услуги и комуникация, които попадат в обхвата на законите за наблюдение (напр. Facebook, Google, Apple, Amazon Web Services), но не и в който и да е друг сектор на индустрията или „необходимите“ трансфери на данни (например имейли, резервации и по същия начин).
  • Г-н Шремс твърди ли, че обезсилва ВКС? Не. Г-н Schrems твърди, че SCC позволяват на ирландския комисар за защита на данните да спре отделни трансфери на данни, като този на Facebook. Тъй като има очевидно решение на проблема, според него няма въпрос за валидност.
  • „Щитът за поверителност“ е на масата? Да. Facebook разчита на оценката на Европейската комисия за американското законодателство в „Щит за поверителност“ и твърди, че тази оценка трябва да се прилага и за „Стандартните договорни клаузи“. Г-н Schrems от своя страна изтъкна, че тази оценка от Комисията е погрешна. Тъй като Щитът за поверителност се основава на невярна интерпретация на американското законодателство, той трябва да бъде обезсилен.
  • Все още ли ще можете да изпращате имейли до САЩ или да резервирате полет? Да. Член 49 от GDPR предвижда „дерогации“, които позволяват всички трансфери на данни, ако те са например „необходими за предоставяне на договор“ или когато потребителят изрично е дал съгласието си. Например: Необходимо е да изпратите имейл до САЩ, ако получателят е там, но не е необходимо да изпращате имейли през САЩ, ако подателят и получателят са в Европа.
  • Какъв тип прехвърляния може да се наложи да спрат тогава? По принцип „възлагане на външни изпълнители“ на обработка на данни, което може да се извърши и в Европа или други страни, които предоставят подходящи стандарти за защита на данните.

История на делото

Делото се фокусира върху жалба на адвокат за поверителност Макс Шремс срещу Facebook през 2013 г. ( връзка към жалбата ). Преди повече от шест години Едуард Сноудън разкри, че Facebook позволява на американските разузнавателни служби достъп до лични данни на европейци по програми за наблюдение като „PRISM“ (вж. Уикипедия ). С жалбата се цели спиране на трансфера на данни между ЕС и САЩ на Facebook. Досега ирландският DPC не е предприел конкретни действия за това.

Първо отхвърляне и решение на Съда на ЕС относно безопасното пристанище

Делото беше отхвърлено за първи път от ирландския комисар за защита на данните (DPC) през 2013 г., след което подлежи на съдебен контрол в Ирландия и препращане към Съда на Европейския съюз (CJEU). Съдът на ЕС постанови през 2015 г., че така нареченото споразумение „Безопасно пристанище“, което позволява трансфер на данни между ЕС и САЩ, е невалидно ( връзка към решение в C ‑ 362/14 ) и че ирландският DPC трябва да разследва случая, който първоначално отказа да направи.

Информация за използването на „Стандартни договорни клаузи“

Изненадващо, DPC информира г-н Schrems в края на 2015 г., че Facebook всъщност никога не е разчитал на вече обезсиленото споразумение „Safe Harbor”, а вместо това разчита още през 2013 г. на „Стандартни договорни клаузи” (друг механизъм за прехвърляне на данни от ЕС към САЩ). DPC не успя да разкрие този факт и вместо това предположи, че Safe Harbor ги блокира за продължаване на делото. Това „отклонение“ направи първото решение на Съда на ЕС без значение за случая.

Второ разследване и дело

Г-н Шремс адаптира жалбата си към прехвърлянията, извършвани съгласно „Стандартни договорни клаузи“ и също така поиска прекратяване на прехвърлянето на данни към Facebook USA, въз основа на аргумента, че те предоставят данните на NSA. Разследването на DPC продължи само няколко месеца от декември 2015 г. до пролетта на 2016 г. Вместо да се произнесе по жалбата, DPC заведе дело срещу Facebook и г-н Schrems (и двамата вече са подсъдими) през ирландския Върховен съд през 2016 г., за да да отнесе допълнителни въпроси към СЕС. След повече от шест седмици изслушвания, главно провеждащи се през 2017 г., Върховният съд на Ирландия установи, че правителството на САЩ се ангажира с „масово обработване“ на европейски лични данни и за втори път отправи единадесет въпроса до Съда на ЕС ( връзка към решението ) през 2018 г. .

Следващи стъпки

Съдът е изброил делото под C-311/18 и ще го разгледа за втори път на 9 юли 2019 г. - около шест години от подаването на първоначалната жалба. Съдебно решение се очаква преди края на годината. След решението на СЕС, DPC най-накрая ще трябва да вземе решение по жалбата за първи път. Решението отново може да бъде обжалвано от Facebook или г-н Schrems.

Основни аргументи на страните

  • Ирландският комисар за защита на данните се присъединява към г-н Schrems в неговото мнение, че американските закони за наблюдение нарушават основните права на неприкосновеност на личния живот, защита на данните и обезщетения съгласно европейското законодателство. DPC обаче казва, че тя няма правомощия да реши проблема. Тъй като механизмът за пренос на данни, който Facebook използва (Стандартни договорни клаузи) не предвижда подобна ситуация, самите клаузи трябва да бъдат обезсилени. Това би означавало, че преносът на данни към която и да е държава извън ЕС по този инструмент ще трябва да бъде спрян.
  • Facebook смята, че американското законодателство не надхвърля това, което е законно съгласно законодателството на ЕС. Facebook също така поставя под въпрос дали ЕС има юрисдикция по дела за „национална сигурност“. В обобщение Facebook не вижда проблем да продължи да прехвърля данни в САЩ съгласно законите за масово наблюдение като FISA. Facebook разчита и на оценката на Европейската комисия за американското законодателство в така нареченото решение „Щит за поверителност“, в което се казва, че американските закони за надзор са в съответствие с изискванията на ЕС.
  • Шремс е съгласен с DPC по проблема, но предлага по-премерено решение. Законът (член 4 SCC) позволява на DPC да спре отделни трансфери на данни (като тези на Facebook). Г-н Шремс казва, че ирландският DPC е длъжен да действа, вместо да върне делото обратно на СЕС. По отношение на зависимостта на Facebook от „Щита за поверителност“, г-н Шремс счита, че Решението на Щита за поверителност на Европейската комисия не описва адекватно американските закони за наблюдение, дори не е в състояние да осигури адекватна защита на поверителността и следователно трябва да бъде обезсилено.
  • Европейска комисия: Очаква се Европейската комисия да защити двете си решения: Стандартните договорни клаузи и Щитът за поверителност. Вероятно ще застане на страната на Съединените щати и Facebook, тъй като няма нарушение на основните права в Съединените щати, но също така признава, че DPC има правомощието да реши проблема сам, ако Съдът на Европейските общности види нарушение на основните права в Съединените Щати.

Изказване на г-н Шремс

Макс Шремс, председател на noyb : „Ние предлагаме премерено решение: Ирландският ДПК трябва просто да прилага правилата правилно, вместо да връща делото обратно в Люксембург отново и отново. Това дело е висящо от шест години. През тези шест години DPC всъщност е взел решение само в 2-3% от делата, които са били заведени пред него. Нямаме проблем със „Стандартни договорни клаузи“, имаме проблем с изпълнението. “

нойб

noyb е нова европейска организация с нестопанска цел, която налага правото на личен живот чрез съдебни спорове. Той подкрепя този случай и сам се подкрепя от повече от 3.500 дарители.

Ключови фигури

Страните пред съда са ирландският комисар за защита на данните, Facebook Ireland Ltd и Max Schrems. Ирландският съд също позволи на четирима „amicus curiae“ (неутрални помощници на съда) да се присъединят към делото, а именно правителството на САЩ, Електронният информационен център за поверителност (epic.org) и две лобистки организации в бранша.

Всички държави-членки на ЕС, Европейската комисия, Европейският парламент и Европейският съвет за защита на данните (EDPB) успяха да представят становища.

Uploads

MakePrivacyReal

Нашата работа е възможна от повече от 3.100 подкрепящи членове - някой може би вие?