Deep Dive: Jak ignorovat rozhodnutí Soudního dvora EU ve třech krocích. Vysvětlení posouzení dopadů přenosu společnosti Facebook.
Pro fajnšmekry v oblasti ochrany soukromí, kteří chtějí vědět víc než to, co jsme shrnuli v našem 4. adventním čtení, nabízíme na této stránce hlubší ponor do čtyř prvků "posouzení dopadu přenosu" (TIA) společnosti Facebook.
Náš přístup k těmto zveřejněním. Abychom se vyhnuli drahým žalobám "SLAPP", nejsou některé prvky v některých jurisdikcích dostupné, a proto jsme se rozhodli shrnout dokumenty ve videu namísto jejich přímého zveřejnění. Tam, kde je podstata dokumentu důležitější, ji vysvětlujeme podrobněji a citujeme její prvky. Na každý dokument připadá jedno video. Podrobnosti o tom, proč můžeme dokument legálně použít, si můžete přečíst na konci stránky.
Dokument 1: Osnova dokumentu
Rámcový dokument v podstatě odkazuje na další tři dokumenty, o nichž je pojednáno níže. Má 7 stran a je poněkud zajímavý, protože se zdá, že je "shrnutím" ostatních dokumentů a poskytuje přehled. Klíčovou částí TIA je jednoznačně "Posouzení rovnocennosti", kde Facebook zcela ignoruje rozsudky Soudního dvora EU a dochází k závěru, že právo EU a USA jsou "rovnocenné". Další dva dokumenty jsou prezentovány pouze jako doplňkové zdroje. "Posouzení faktorů" popisuje především to, že údaje jsou zasílány do USA a o jaké údaje se jedná, a také skutečnost, že existuje přístup vlády USA podle zákona FISA 702. "Záznam o zárukách" obsahuje také údajná "doplňující opatření", i když žádné opatření se jasně netýká zákonů USA o sledování nebo rozsudku Soudního dvora EU. V konečném důsledku se jedná pouze o seznam standardních průmyslových postupů.
Souhrnně řečeno, argument, že právní předpisy EU a USA jsou "rovnocenné", je páteří a jediným pilířem přístupu společnosti Facebook.
Dokument 2: Posouzení rovnocennosti zákonů USA
"Posouzení rovnocennosti" ("EA") je 58stránkový dokument, který výslovně schválily právní firmy Mason Hayes & Curran LLP a Perkins Coie LLP (bod 1.4 EA). Dokument je nejlépe shrnut slovy společnosti Facebook (strana 7 dokumentu Outline):
Facebook tvrdí, že Soudní dvůr EU neměl k dispozici všechny relevantní skutečnosti, aby mohl dospět k závěru, přestože Facebook v řízení předložil přibližně 45 000 stránek. Společnost Facebook dále tvrdí, že SDEU pouze odmítl posouzení Evropské komise v rámci "štítu na ochranu soukromí", ale podrobně se nezabýval posouzením společnosti Facebook. Proto by podle názoru společnosti Facebook SDEU nikdy nerozhodl o předání společnosti Facebook v rámci SCC. To je ve skutečnosti nesprávné, neboť SDEU v bodě 168 rozsudku nastínil, že vycházel z obav irského Nejvyššího soudu a ze Štítu na ochranu soukromí Komise. K těmto otázkám byly před Soudním dvorem EU předloženy podstatné připomínky ze strany společnosti Facebook a vlády USA. Nicméně SDEU jasně rozhodl, že právo USA nejenže není "rovnocenné", ale je v rozporu s články 7, 8 a 47 Listiny základních práv.
Společnost Facebook dále znevažuje právo EU především tím, že zaměňuje rozsudky Evropského soudu pro lidská práva (ESLP) ve Štrasburku (součást Rady Evropy se 47 členskými státy, včetně Turecka a Ruska) podle nízkého standardu článku 6 a 8 Evropské úmluvy o lidských právech (EÚLP) s rozsudky Soudního dvora Evropské unie (SDEU) a jeho mnohem vyšším standardem podle Listiny základních práv Evropské unie (LZPS).
Na rozdíl od přístupu k právu EU Facebook "zveličuje" ochranu podle práva USA, kterou již nesčetněkrát uplatnil u irského Nejvyššího soudu a Soudního dvora EU v soudním sporu "Schrems II". Všechny byly zamítnuty. Nicméně Facebook se o tyto prvky opět opírá, aby dospěl k závěru, že právo USA by poskytovalo ochranu osobám, které nejsou občany USA.
Tato kombinace úplného odmítnutí rozhodnutí Soudního dvora EU, zlehčování práva EU a zveličování práva USA nějakým způsobem ospravedlňuje nezákonné předávání údajů mezi EU a USA.
Dokument 3: Posouzení faktorů
V sedmistránkovém"posouzení faktorů" Facebook ve skutečnosti netvrdí, že některé faktory nějak omezují dopad předávání údajů mezi EU a USA.
Místo toho v úvodu vysvětluje, že v rámci "Posouzení rovnocennosti" Facebook dochází k závěru, že právo EU a USA jsou rovnocenné (v rozporu s rozsudky Soudního dvora EU). Facebook proto uvádí, že Posouzení faktorů je spíše popisem "případ od případu" jejich předávání údajů mezi EU a USA, než že by se skutečně jednalo o faktory, které omezují dohled.
Omezené faktory, které by podle Facebooku ukazovaly na menší zásah do základních práv EU, jsou např. počet žádostí vlády USA podle vlastní zprávy o transparentnosti Facebooku. Ostatní "faktory" jednoduše popisují skutečnosti, jako že příjemcem je společnost Facebook Inc. nebo že společnost Facebook Inc. skutečně dostává žádosti FISA od vlády USA (strana 7 "Posouzení faktorů"):
Není jasné, jak tyto "faktory" mohou pomoci k legálnosti převodu. Ve skutečnosti se zdá, že společnost Facebook se na tyto "faktory" ve skutečnosti nespoléhá, aby odůvodnila, že převod bude legální, ale spíše tento dokument koncipovala jako pouhý faktický popis. Hlavním argumentem nadále zůstává, že SDEU se mýlí a že právo EU a USA je ve skutečnosti rovnocenné.
Dokument 4: Záznam o ochranných opatřeních, včetně doplňkových opatření
Nakonec Facebook vytvořil dokument o 14 stranách nazvaný"Záznam o bezpečnostních opatřeních", který je především dlouhou tabulkou "opatření", včetně "organizačních opatření" a "technických opatření". Ve skutečnosti se jedná o všechna základní opatření, která jsou vyžadována například podle článku 32 GDPR, jako je "správa mobilních zařízení" nebo existence interní politiky o tom, jak reagovat na žádosti vlády.
Zajímavé je, že Facebook zaměstnává pouze 130 osob, které reagují na všechny vládní žádosti na celém světě. To by znamenalo, že zákonná žádost je prověřována v průměru asi 10-15 minut. Jako opatření na ochranu před falešnými vládními žádostmi Facebook zdůrazňuje především to, že ověřuje, zda e-mailová adresa nepochází z vládní domény. Není jasné, zda Facebook přezkoumává, zda má konkrétní vládní subjekt právo vznášet požadavky na osobní údaje majitelů účtů. žádné z uvedených opatření zřejmě nemá přímou souvislost s americkými zákony o sledování.
Jediný prvek, který zmiňuje FISA 702 a EO 12.333, zdůrazňuje, že Facebook používápři přenosu standardní šifrovací algoritmy a protokoly, těmito standardy jsou šifrování TLS (jako je obvyklé u každé webové stránky) a šifrování AES (jako u každého chytrého telefonu). Facebook uznává, že ne všechna data jsou šifrována, protože zmiňuje, že pouze téměř veškerý provoz na Facebooku je šifrován pomocí TLS. Ve skutečnosti neexistuje žádné opatření, které by jakkoli chránilo před příkazem podle FISA 702 PRISM / DOWNSTREAM (tedy sledování přímo na Facebooku), ale jsou pouze napojeny na "UPSTREAM" (tedy sledování přes páteřní síť internetu). Vzhledem k tomu, že Facebook vlastní všechny šifrovací klíče a má přístup ke všem údajům v čistém režimu, není možné, aby TLS a AES byly relevantní ochranou:
Facebook dokument uzavírá "proaktivními" opatřeními, jako je lobbování a přispívání k vývoji amerického práva, a tím, že má více informací pro uživatele v často kladených dotazech.
Na "Záznam o ochranných opatřeních" jsme se zeptali Alana Butlera z epic.org:
Právní základ pro zveřejnění. Jak bylo uvedeno v našem prvním adventním čtení, čtyři adventní čtení noyb jsou protestem proti nezákonnému odstranění noyb ze strany DPC v probíhajícím řízení. Všechny dokumenty byly poskytnuty prostřednictvím stížnostního řízení pana Schremse, které probíhá již 8,5 roku u irské DPC.
V systému nastíněném právníky pana Schremse a akceptovaném DPC může pan Schrems volně používat dokumenty z řízení v případech, kdy má Facebook zákonnou povinnost tyto dokumenty poskytnout, což je zjevně tento případ:
Podle čl. 5 odst. 1 písm. a) GDPR musí být společnost Facebook transparentní. Ustanovení čl. 13 odst. 1 písm. f) vyžaduje, aby společnost Facebook informovala uživatele o tom, jak získat kopii opatření, která odůvodňují mezinárodní předání, a čl. 15 odst. 2 GDPR výslovně stanoví právo získat jejich kopii. Uživatelé totiž nemohou zpochybnit předání údajů, pokud nejsou informováni o existujících ochranných opatřeních. Samotné SCC předpokládají podobná ustanovení, neboť uživatelům dávají právo vymáhat SCC (body 3, 8.9 a 14 SCC). Zdá se, že každá společnost, která využívá Facebook jako zpracovatele nebo společného správce, by musela být rovněž vybavena ZOS.
Nicméně stanovisko společnosti Facebook a irského DPC je takové, že GDPR a SCCs neumožňují uživatelům získat kopii TIA společnosti Facebook, ale jsou k dispozici pouze příslušnému dozorovému úřadu (tedy v tomto případě pouze DPC).
Dokumenty ani neobsahují obchodně nebo technicky citlivé informace a nejsou chráněny žádným příslušným zákonem.
