В понеделник Върховният съд на САЩ постанови по делото „Тръмп срещу Слотър“, че Федералната търговска комисия на САЩ („FTC“) може вече да не е независима. От 2000 г. насам ЕС разчита на „независимата“ FTC като орган, отговарящ за прилагането на споразуменията между ЕС и САЩ относно личните данни. Съгласно договорното право на ЕС такъв надзор трябва да бъде независим. В настоящото споразумение между ЕС и САЩ Европейската комисия се позовава на независимата FTC 259 (!) пъти. Макс Шремс: „Предвид факта, че в САЩ вече няма независими органи, призоваваме Европейската комисия да оттегли по надлежен ред решението за адекватност по отношение на САЩ.“
- Решение за изпълнение на Комисията ЕС 2023/1795 относно рамката за защита на личните данни между ЕС и САЩ (EUR-Lex)
- Решение на Върховния съд на САЩ по делото „Тръмп срещу Слотър“
- noyb Писмо до Европейската комисия
Рамката за защита на личните данни между ЕС и САЩ. От 1995 г. насам ЕС по принцип забранява износа на лични данни към трети държави, за да гарантира, че правилата на ЕС за защита на личните данни не могат да бъдат заобиколени просто чрез изпращане на данни в чужбина. Въпреки че има изключения за необходими трансфери, вариращи от нещо като резервация на хотел до сложни транзакции, много компании от ЕС просто възлагаха обработката на лични данни на американски доставчици на облачни услуги. От 2000 г. насам Европейската комисия многократно е признавала САЩ за „адекватна“ държава по отношение на защитата на личните данни – което позволява свободното движение на данни между ЕС и САЩ. Съдът на Европейския съюз (СЕС) отмени двете предишни решения на Комисията в т.нар. „„Schrems I““ (което сложи край на „Safe Harbour“) и „Schrems II“ (което отмени „Privacy Shield“), поради законите за наблюдение в САЩ и липсата на съдебни средства за защита в САЩ. Въпреки това Европейската комисия сключи трето споразумение между ЕС и САЩ през 2023 г., наречено „Рамка за защита на личните данни между ЕС и САЩ“, която до голяма степен беше копие на предишните анулирани споразумения.
Изискване на ЕС за независим орган за защита на данните.Договорното правона ЕС(т.е. „конституционната“ рамка на ЕС), а именно член 16, параграф 2 от ДФЕС и член 8, параграф 3 от Хартата на основните права, изискват надзорът по въпросите на защитата на данните да се осъществява от „независим“ орган. Тъй като третите държави трябва да разполагат с „по същество равностойни“ мерки за защита, е необходимо всяка трета държава, която желае да се ползва от свободното движение на лични данни от ЕС, също да осигурява такива мерки за защита. Досега САЩ са определили „независимата“ Федерална търговска комисия (FTC) за регулатор по въпросите на личните данни, за да отговорят на изискването на ЕС за независим надзор. От своя страна ЕС се е позовал на FTC цели 259 (!) пъти в своето решение относно потока на данни между ЕС и САЩ.
Макс Шремс: „От решаващо значение е, че конституционната рамка на ЕС изисква независим надзор. Единственият начин да се промени това би бил единодушно гласуване от всички държави-членки на ЕС за промяна на договорите на ЕС.“
Изискването за независим съд. Освен товаСъдът на Европейския съюз подчерта, че САЩ ще трябва да осигурят независим механизъм за правна защита по въпроси, свързани с правителственото наблюдение. Тъй като САЩ не успяха да приемат съответното законодателство, администрацията на Байдън създаде „Съд за преразглеждане на защитата на данните“. Въпреки че се нарича „съд“, всъщност той е изпълнителен орган в рамките на Министерството на правосъдието на САЩ. Той е „независим“ единствено чрез изпълнителна заповед (EO) на бившия президент Байдън, която може да бъде променена от Тръмп по всяко време и не е задължителна за президента.
Решението по делото „Слотер“: Единна (Тръмп) изпълнителна власт. Впълна промяна на съдебната практика консервативното мнозинство във Върховния съд на САЩ реши, че независимостта на Федералната търговска комисия (FTC) е неконституционна. Това следва „единната“ теория, според която президентът на САЩ трябва да има власт над всички изпълнителни органи в САЩ и обяви за неконституционни всички американски закони, които дават независимост на различни агенции. Като се има предвид, че ЕС в почти всички случаи разчиташе на „независимостта“ на Федералната търговска комисия като орган за защита на личните данни, цялата структура на Рамката за защита на личните данни между ЕС и САЩ току-що се срути.
Макс Шремс: „Дори според логиката на Европейската комисия основата за всяко споразумение за трансфер на данни между ЕС и САЩ е мъртва. Призоваваме Комисията да започне плавно изтегляне от американския облак – което не е лесно, но за съжаление е неизбежно. Комисията изгради правна къща от карти под натиска на индустрията, а сега, когато тя очевидно се срива, трябва да поеме отговорност.“
Въздействието не е неограничено. Дориако цялата основа на решението на ЕС е изчезнала, решението на Европейската комисия формално остава в сила, докато Европейската комисия не го отмени или Съдът на Европейския съюз не го обяви за невалидно. Следователно няма незабавен ефект. Общият регламент за защита на данните (GDPR) регулираше само прехвърлянето на лични данни. Неличните данни могат да се прехвърлят свободно. Освен това, член 49 от Общия регламент за защита на данните (GDPR) позволява необходимите трансфери на данни към всяка трета държава. Той обаче не позволява структурно изнасяне на данни извън ЕС, ако това не е строго необходимо.
Засегнати са и стандартните договорни клаузи (SCC) и обвързващите корпоративни правила (BCR). Макар че някои компании може да не разчитат пряко на Рамковото споразумение ЕС-САЩ и вместо това формално да използват стандартните договорни клаузи и обвързващите корпоративни правила, те обикновено разчитат и на „оценка на въздействието“, която от своя страна се основава на предишни независими изпълнителни органи в САЩ, като PCLOB или Съда за преразглеждане на защитата на данните. Поради това решението на Върховния съд обикновено засяга и тях, дори ако те не се позовават на Федералната търговска комисия (FTC). С изключение на администраторите, които се позовават на официално решение на Комисията, те трябва незабавно да актуализират своята оценка – и логично да стигнат до заключението, че преносът на данни вече не е законен.
Следващи стъпки: Комисията трябва да отмени споразумението между ЕС и САЩ. noyb изпрати официално писмо до Европейската комисия , в което призовава Комисията да предприеме необходимите стъпки за отмяна на споразумението за данни между ЕС и САЩ по подреден начин. От политическа гледна точка много държави-членки на ЕС вече са поели по пътя на „цифровия суверенитет“ и са заявили, че ще прекъснат връзките си с американските доставчици на услуги. Някои американски доставчици на услуги също предприемат стъпки към отделна обработка на данни за ЕС. Въпреки това, като се има предвид, че САЩ все още оказват огромен натиск върху ЕС да поддържат потока от лични данни, noyb ще заведе съдебен иск в следващите седмици с цел Съдът на Европейския съюз да отмени настоящото споразумение. Обикновено обаче подобен съдебен процес отнема 2–3 години, докато се стигне до окончателно решение.
