Κατά την προετοιμασία της παράδοσης της μη δεσμευτικής συμβουλευτικής γνώμης του γενικού εισαγγελέα στις 19 Δεκεμβρίου στις 9:45 περίπου στο Λουξεμβούργο, έχουμε συντάξει το ακόλουθο έγγραφο προετοιμασίας. Η υπόθεση εκκρεμεί για 6,5 χρόνια, ασχολείται με περίπλοκους νόμους περί προστασίας της ιδιωτικής ζωής της ΕΕ και των ΗΠΑ και υπόκειται σε τέσσερις ακροάσεις ενώπιον διαφορετικών δικαστηρίων. Είναι επομένως πολύ περίπλοκο.
I. Ιστορικό της υπόθεσης
Επιτήρηση ΗΠΑ. Όπως επιβεβαίωσαν οι γνωστοποιήσεις του Edward Snowden, πολλές μεγάλες εταιρείες Διαδικτύου των ΗΠΑ (σε αυτήν την περίπτωση το Facebook) εμπίπτουν στο καθήκον να επιτρέψουν στην αμερικανική κυβέρνηση να έχει πρόσβαση σε ευρωπαϊκά δεδομένα χρηστών σε μαζική κλίμακα για σκοπούς «ξένης νοημοσύνης» (συμπεριλαμβανομένης της καταπολέμησης της τρομοκρατίας και της κατασκοπείας) ). Αυτή η χρήση των δεδομένων των Ευρωπαίων ενδέχεται να είναι αντίθετη προς το εθνικό συμφέρον της ΕΕ και των κρατών μελών της (για παράδειγμα κατά την επιβολή κυρώσεων στις ΗΠΑ κατά εταιρειών της ΕΕ ή κατά την κατασκοπεία πολιτών και κυβερνήσεων της ΕΕ).
Η υπόθεση "Safe Harbour" του 2015. Με βάση αυτά τα γεγονότα, ο κ. Schrems υπέβαλε καταγγελία εναντίον του Facebook στον Ιρλανδό Επίτροπο Προστασίας Δεδομένων ("DPC") το 2013. Το DPC απέρριψε για πρώτη φορά την καταγγελία ως " επιπόλαια και ενοχλητική ". Ο κ. Schrems άσκησε έφεση κατά του DPC και τελικά κέρδισε: Στην περίπτωση αυτή, το C ‑ 362/14 Schrems , το CJEU («Δικαστήριο της Ευρωπαϊκής Ένωσης», το ανώτατο δικαστήριο της ΕΕ) επιβεβαίωσε την άποψή του και έκρινε ότι η μαζική επιτήρηση παραβιάζει τα ευρωπαϊκά θεμελιώδη δικαιώματα. Το CJEU κατέστρεψε το προηγούμενο σύστημα «Safe Harbor» που διευκόλυνε τη μεταφορά δεδομένων ΕΕ-ΗΠΑ. Αυτό το σύστημα αντικαταστάθηκε επειγόντως με το σύστημα "Privacy Shield" το 2016. Σχέδια: "Το Privacy Shield είναι μια ενημερωμένη έκδοση του παράνομου" Safe Harbor ". Τίποτα στον νόμο επιτήρησης των ΗΠΑ δεν άλλαξε ούτε διορθώθηκε . "
Πρότυπες συμβατικές ρήτρες ("SCC"). Μετά την πρώτη απόφαση του CJEU για το "Safe Harbour", το Facebook ισχυρίστηκε ότι δεν θα χρησιμοποιούσε το "Privacy Shield" αλλά τις λεγόμενες " Standard συμβατικές ρήτρες " (SCC).
Τα SCC είναι μια σύμβαση μεταξύ μιας εταιρείας της ΕΕ (εδώ Facebook Ireland) και μιας εταιρείας εκτός ΕΕ (εδώ Facebook Inc, στην Καλιφόρνια) στην οποία η ξένη εταιρεία δεσμεύεται να σεβαστεί το απόρρητο των Ευρωπαίων. Ο νόμος αποδέχεται ότι τέτοιες συμβάσεις προστατεύουν επαρκώς τα ευρωπαϊκά δεδομένα όταν μεταφέρονται στο εξωτερικό.
Βασικό πρόβλημα: ο νόμος της ΕΕ για την προστασία της ιδιωτικής ζωής έρχεται σε σύγκρουση με τον νόμο περί επιτήρησης των ΗΠΑ. Σύμφωνα με τους νόμους περί απορρήτου της ΕΕ («GDPR») και τα SCC, η « εξαγωγή δεδομένων » σε τρίτη χώρα είναι νόμιμη μόνο εάν η εταιρεία εξαγωγής (στην περίπτωση αυτή Facebook Ireland Ltd) μπορεί να διασφαλίσει «επαρκή προστασία» στις ΗΠΑ. Στην πράξη, αυτό αποδείχθηκε αδύνατο, επειδή οι νόμοι επιτήρησης των ΗΠΑ (όπως οι FISA 702 και EO 12.333) έχουν ως αποτέλεσμα τη « μαζική επεξεργασία » της κυβέρνησης των ΗΠΑ προσωπικών δεδομένων για σκοπούς επιτήρησης. Σχέδια: « Με απλά λόγια: Η νομοθεσία της ΕΕ απαιτεί προστασία της ιδιωτικής ζωής, ενώ η νομοθεσία των ΗΠΑ απαιτεί μαζική παρακολούθηση. Το ερώτημα είναι, τι συμβαίνει όταν μια εταιρεία της ΕΕ ακολουθεί τις ΗΠΑ παρά το δίκαιο της ΕΕ; "
Εφαρμογή του κ. Schrems & Reaction από το Ιρλανδικό DPC. Δεδομένης της παραπάνω κατάστασης και της απόφασης του CJEU στην υπόθεση «Safe Harbor», ο κ. Schrems ζήτησε κατά συνέπεια από το Ιρλανδικό DPC το 2015 να χρησιμοποιήσει το άρθρο 4 των SCC, το οποίο επιτρέπει στο DPC να διατάξει το Facebook να «αναστείλει» τη μεταφορά δεδομένων στο μεμονωμένες περιπτώσεις. Ενώ το DPC συμφώνησε τώρα με τον κ. Schrems ότι οι νόμοι επιτήρησης των ΗΠΑ παραβιάζουν τη νομοθεσία της ΕΕ, δεν ανέλαβαν άμεση δράση. Schrems: « Ζητήσαμε μια στοχευμένη λύση, μόνο για εταιρείες που εμπίπτουν σε αυτούς τους νόμους επιτήρησης. Το DPC θα μπορούσε να είχε εκδώσει μια τέτοια απόφαση εντός μίας ημέρας . "
Το ιρλανδικό DPC θέλει να ακυρώσει τα SCC. Ωστόσο, η DPC δεν ακολούθησε το αίτημα του κ. Schrems, αλλά υπέβαλε αγωγή εναντίον του Facebook και του κ. Schrems ενώπιον του ιρλανδικού ανώτατου δικαστηρίου, με σκοπό να παραπέμψει την υπόθεση στο CJEU - αυτή τη φορά σχετικά με την εγκυρότητα των SCC. Το Ιρλανδικό Ανώτατο Δικαστήριο συμμορφώθηκε με το αίτημα της DPC και υπέβαλε έντεκα ερωτήσεις στο CJEU, παρά την αντίσταση του κ. Schrems και του Facebook (που αμφότεροι αντιτάχθηκαν στην αναφορά για διαφορετικούς λόγους). Gerard Rudden (της ARQ Solicitors , που εκπροσωπεί τον κ. Schrems): « Ο πελάτης μου ζήτησε μια στοχευμένη λύση για εταιρείες που εμπίπτουν στους νόμους μαζικής παρακολούθησης των ΗΠΑ. Το DPC θα μπορούσε να είχε εκδώσει μια τέτοια απόφαση εδώ και πολύ καιρό . Αντ 'αυτού, μετά από 7 χρόνια και δύο παραπομπές στο CJEU, δεν έχουμε ακόμη επίσημη απόφαση από το DPC. "
noyb.eu & Legal Team Ο κ. Schrems έθεσε υπόθεση pro-bono και υποστηρίζεται από μια ομάδα δικηγόρων από την Ιρλανδία, τις ΗΠΑ και το Λουξεμβούργο. Η υπόθεση υποστηρίζεται επίσης από τον ευρωπαϊκό μη κερδοσκοπικό οργανισμό noyb.eu , του οποίου είναι επίσης ο επίτιμος πρόεδρος. Ο κ. Schrems εκπροσωπείται από τον Eoin McCullhan, υπό την καθοδήγηση του Ahern Rudden Quigley Solicitors. Ο καθηγητής Herwig Hofmann υποστήριξε την υπόθεση για θέματα ευρωπαϊκού δικαίου. Ο Άσλεϊ Γκόρσκι της Αμερικανικής Ένωσης Πολιτικών Ελευθεριών ( ACLU.org ) έχει βοηθήσει ως ειδικός μάρτυρας του νόμου περί επιτήρησης των ΗΠΑ.
ΙΙ. Πιθανά αποτελέσματα
Είναι πολύ πιθανή η διαφορά μεταξύ της γνωμοδότησης AG και της τελικής κρίσης. Η υπόθεση έθεσε έντεκα εν μέρει αλληλοσυνδεόμενες ερωτήσεις με πολλά επιπλέον ζητήματα που συνοδεύουν κάθε ερώτηση. Σε αντίθεση με πολλές άλλες περιπτώσεις, δεν υπάρχει δυαδική απάντηση . Η γνώμη και η τελική κρίση μπορούν και οι δύο να επεκταθούν σε ορισμένα θέματα περαιτέρω και να παραμείνουν σιωπηλές σε άλλα σημεία. Schrems: « Αυτή η υπόθεση έχει έντεκα αλληλοσυνδεόμενες ερωτήσεις. Είναι πολύ απίθανο να λάβουμε μια σαφή απάντηση «ναι ή όχι» από τον γενικό εισαγγελέα. Δεδομένων των πολλών επιλογών, είναι ακόμη λιγότερο πιθανό οι δικαστές να προσεγγίσουν αυτά τα έντεκα ερωτήματα με τον ίδιο τρόπο στην τελική τους κρίση. "
Πέρα από τις πολλές διαφορετικές επιλογές σε αυτήν την υπόθεση, η προφορική ακρόαση της υπόθεσης θα μπορούσε να ήταν ένας δείκτης κάπως διαφορετικών απόψεων μεταξύ της AG και των δικαστών. Schrems: « Κατά τη διάρκεια της ακρόασης του δικαστηρίου, ο γενικός εισαγγελέας υπέβαλε ερωτήσεις σε πολύ διαφορετική κατεύθυνση από τους δικαστές. Οι δικαστές φάνηκαν να είναι πολύ πιο επικριτικοί για το αμερικανικό δίκαιο και την αξιολόγηση από την Ευρωπαϊκή Επιτροπή από τον γενικό εισαγγελέα. Επομένως, αναμένω ότι η τελική απόφαση μπορεί να παρέχει αυστηρότερες προστασίες προστασίας της ιδιωτικής ζωής από τη γνώμη της Πέμπτης. "
Απαιτείται μακροπρόθεσμη λύση. Μακροπρόθεσμα, η θεμελιώδης σύγκρουση μεταξύ των νόμων περί απορρήτου της ΕΕ και των νόμων εποπτείας των ΗΠΑ πιθανότατα δεν θα επιλυθεί σε αυτήν την περίπτωση. Schrems: « Εάν οι ΗΠΑ θέλουν να επεξεργαστούν τα δεδομένα των αλλοδαπών, θα πρέπει να δώσουν στους αλλοδαπούς τουλάχιστον την ίδια βασική προστασία της ιδιωτικής ζωής. Αυτήν τη στιγμή, οι ΗΠΑ συμπεριφέρονται λίγο σαν να έλεγε η Ελβετία «αποθηκεύστε όλο το χρυσό σας μαζί μας, αλλά στην πραγματικότητα δεν έχετε δικαιώματα όταν είναι εδώ». Εάν αυτή είναι η κατάσταση, ποιος στον κόσμο θα εμπιστευτεί τις ΗΠΑ με τα δεδομένα του; "
III. Θέση των μερών σχετικά με την «κύρια διαφορά»
Όταν μια αρχή προστασίας δεδομένων είναι της άποψης ότι ένας παραλήπτης δεδομένων έχει νομικές υποχρεώσεις σε τρίτη χώρα που δεν συμμορφώνεται με το δίκαιο της ΕΕ (όπως στην παρούσα περίπτωση), τίθεται το ερώτημα πώς να επιλυθεί αυτό το δίλημμα. Τα τρία μέρη στη διαδικασία πρότειναν τρεις διαφορετικές απαντήσεις:
Ιρλανδικό DPC | Μέγιστα Σχέδια | ||
Η επιτήρηση των ΗΠΑ δεν παραβιάζει τη νομοθεσία της ΕΕ («Κανένα πρόβλημα για επίλυση») | Οχι | Οχι | Ναί |
Το άρθρο 4 SCC επιτρέπει την αναστολή (« στοχευμένη λύση » για εταιρείες FISA) | Οχι | Ναί | Ναι, αν θα υπήρχε πρόβλημα |
Τα SCC δεν είναι έγκυρα παγκοσμίως («Ριζική λύση») | Ναί | Οχι | Οχι |
- Το Facebook είναι της άποψης ότι η υπόθεση της ερώτησης είναι λανθασμένη, επειδή η επιτήρηση των ΗΠΑ συμμορφώνεται με το δίκαιο της ΕΕ (για διάφορους λόγους) και η υπόθεση δεν διέπεται από το δίκαιο της ΕΕ.
- Ο κ. Schrems είναι της άποψης ότι το άρθρο 4 των SCC επιτρέπει στο DPC να αναστείλει τη ροή δεδομένων σε μεμονωμένες περιπτώσεις, αλλά το DPC δεν κάνει χρήση αυτής της «στοχευμένης λύσης» βάσει του νόμου.
- Το DPC βλέπει ένα «συστηματικό» πρόβλημα που θα πρέπει να οδηγήσει στην ακύρωση των SCC παγκοσμίως και δεν θα πρέπει το DPC να ενεργεί σε κάθε περίπτωση ξεχωριστά.
IV. Συχνές ερωτήσεις και κοινές παρανοήσεις
- Δεν προσπάθησε ο κ. Schrems να καταργήσει τις τυπικές συμβατικές ρήτρες;
Ο κ. Schrems δεν υποστήριξε ποτέ ότι τα SCC ενδέχεται να είναι άκυρα. Από όλα τα μέρη και όλες τις παρεμβάσεις στο CJEU μόνο το DPC έκρινε ότι τα SCCs θα έπρεπε να ακυρωθούν. Όλοι (θεσμικά όργανα της ΕΕ, κράτη μέλη, ομάδες λόμπι, Facebook και κ. Schrems) είναι της άποψης ότι τα SCC δεν είναι άκυρα.
- Δεν εμποδίζει η ΕΕ απλώς το ελεύθερο εμπόριο;
Υπάρχουν δύο νόμοι που οδηγούν σε αυτήν τη σύγκρουση δικαιοδοσιών: (1) νόμοι επιτήρησης των ΗΠΑ που επιτρέπουν μαζική παρακολούθηση αλλοδαπών και κατασκοπείας χωρίς μεμονωμένη δικαστική έγκριση και (2) το ευρωπαϊκό θεμελιώδες δικαίωμα στην ιδιωτική ζωή. Είναι πολύ λογικό να απαγορεύεται η ροή δεδομένων σε ξένη επικράτεια, εάν αυτά τα δεδομένα ενδέχεται να χρησιμοποιηθούν κατάχρηση. Οι ΗΠΑ έχουν παρόμοιες ανησυχίες σχετικά με εφαρμογές όπως το "TikTok" ή το υλικό 5G από την Huawei.
- Αυτό δεν σημαίνει ότι δεν μπορείτε πλέον να στέλνετε μηνύματα ηλεκτρονικού ταχυδρομείου στις ΗΠΑ;
Με απλά λόγια, ο GDPR μιλά σε δύο τύπους ροών δεδομένων: (1) Απαραίτητες ροές δεδομένων (όπως email ή κράτηση ξενοδοχείου στο εξωτερικό), για τις οποίες υπάρχουν παρεκκλίσεις στο άρθρο 49 του GDPR και (2) περιπτώσεις "εξωτερικής ανάθεσης" δεδομένων επεξεργασία σε τρίτη χώρα, οι οποίες δεν είναι απολύτως απαραίτητες. Ακόμη και αν τα SCC ακυρωθούν, αυτό θα είχε συνέπειες μόνο για τη δεύτερη κατηγορία περιπτώσεων, στις οποίες δεν ισχύει «παρέκκλιση».
Για μηνύματα ηλεκτρονικού ταχυδρομείου αυτό θα σήμαινε ότι ένα γραμματοκιβώτιο Gmail στο σύνολό του ενδέχεται να μην έχει πλέον εξωτερική ανάθεση στις ΗΠΑ, αλλά μεμονωμένα μηνύματα ηλεκτρονικού ταχυδρομείου που πηγαίνουν σε έναν φίλο ή συνάδελφο των ΗΠΑ θα εξακολουθούν να παραδίδονται (όπως τα μηνύματα που αποστέλλονται στην Κίνα, τη Ρωσία ή ακόμη και τη Βόρεια Κορέα σήμερα).
- Η υπόθεση αφορά όλες τις ροές δεδομένων προς τις ΗΠΑ;
Σύμφωνα με τα επιχειρήματα του κ. Schrems, το βασικό ζήτημα περιορίζεται σε εταιρείες που εμπίπτουν σε έναν ειδικό νόμο εποπτείας που ονομάζεται «FISA 702». Αυτός ο νόμος ισχύει μόνο για « παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών » (όπως Facebook, Google ή Microsoft), αλλά δεν ισχύει για «παραδοσιακές επιχειρήσεις» όπως αεροπορικές εταιρείες, ξενοδοχεία, εμπόριο, οικονομικά και παρόμοια.
Υπάρχει ένα άλλο ζήτημα σχετικά με μια εξουσιοδότηση παρακολούθησης που ονομάζεται «EO 12.333», η οποία επιτρέπει στις ΗΠΑ να πραγματοποιούν επιτήρηση σε οποιονδήποτε επιχειρηματικό τομέα, συμπεριλαμβανομένων των διατλαντικών καλωδίων εκτός των Ηνωμένων Πολιτειών. Αυτό σχετίζεται κυρίως με την αξιολόγηση της «Ασπίδας προστασίας προσωπικών δεδομένων».
Συνολικά, η αναστολή της μεταφοράς δεδομένων βάσει των SCC είναι απαραίτητη μόνο για εταιρείες που εμπίπτουν στο FISA 702, η οποία θεσπίστηκε το 2007. Το πρόβλημα μπορεί να λυθεί με τον καθορισμό αυτού του νόμου στις ΗΠΑ.
- Ο κ. Schrems μήνυσε δύο φορές το Facebook;
Ενώ ο κ. Schrems υπέβαλε την αρχική καταγγελία στο DPC το 2013, το DPC έχει θέσει σε παύση αυτήν τη διαδικασία και υπέβαλε αγωγή εναντίον του Facebook και του κ. Schrems. Είναι κατηγορούμενοι και δεν έχουν ξεκινήσει αυτήν τη (δεύτερη) αναφορά στο CJEU. Στην πραγματικότητα, ο κ. Schrems και το Facebook αμφισβήτησαν την αναφορά στο CJEU για διαφορετικούς λόγους.
- Τι σχέση έχει αυτή η υπόθεση με το "Privacy Shield";
Το Facebook έθεσε το «Privacy Shield» στην υπόθεση, καθώς υποστηρίζουν ότι η Ευρωπαϊκή Επιτροπή ενέκρινε τους νόμους εποπτείας των ΗΠΑ στο Privacy Shield και αυτή η εκτίμηση θα πρέπει επίσης να είναι δεσμευτική όταν οι νόμοι εποπτείας των ΗΠΑ αξιολογούνται βάσει των SCC. Ο κ. Schrems ισχυρίστηκε ότι αυτή η εκτίμηση είναι πραγματικά εσφαλμένη και, ως εκ τούτου, η Ασπίδα προστασίας προσωπικών δεδομένων είναι άκυρη.
Δεν είναι σαφές εάν ο γενικός εισαγγελέας θα αντιμετωπίσει οποιοδήποτε από τα δύο επιχειρήματα, αν και οι δικαστές ρωτούσαν εντατικά την Ευρωπαϊκή Επιτροπή σχετικά με την ασπίδα προστασίας της ιδιωτικής ζωής κατά την προφορική ακρόαση.
- Γιατί λέτε ότι τα SCC είναι εντάξει, αλλά το Privacy Shield δεν είναι;
Το SCC είναι ένα γενικό εργαλείο για περίπου 200 χώρες στον κόσμο. Δεν ασχολείται με τους νόμους επιτήρησης των ΗΠΑ. Εάν υπάρχει αντίθετος νόμος, το άρθρο 4 των SCC επιτρέπει στο DPC να σταματήσει τη μεταφορά δεδομένων. Επομένως, οι SCC έχουν απάντηση στο πρόβλημα ενώπιον του Δικαστηρίου. Με την απόφαση Privacy Shield, η Ευρωπαϊκή Επιτροπή έκρινε ρητά ότι ο νόμος περί επιτήρησης των ΗΠΑ συμμορφώνεται με το δίκαιο της ΕΕ, με τον οποίο διαφωνούμε ουσιαστικά.
- Τι νομίζετε ότι θα έπρεπε να είχε κάνει το DPC;
Σύμφωνα με το άρθρο 4 των SCC, οποιαδήποτε αρχή προστασίας δεδομένων (όπως το DPC) μπορεί να σταματήσει τη μεταφορά δεδομένων, εάν δεν τηρούνται πραγματικά τα SCC. Το Facebook Ireland γνώριζε την επιτήρηση της NSA τουλάχιστον από το 2013, αλλά δεν έχει λάβει μέτρα για να σταματήσει ή να περιορίσει τη μεταφορά δεδομένων. Σε τέτοιες περιπτώσεις, ο ρυθμιστής πρέπει να μπαίνει και να αναλαμβάνει δράση.
- Πώς μπορούν οι εταιρείες να συμμορφωθούν με μια ευνοϊκή απόφαση;
Πρώτον, θα πρέπει να προσδιορίσουν εάν κάποιο από τα δεδομένα τους πηγαίνει σε έναν « πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών » των ΗΠΑ που υπάγεται στο FISA 702. Οι περισσότερες παραδοσιακές βιομηχανίες δεν εμπίπτουν σε αυτούς τους νόμους επιτήρησης, αλλά μεγάλες εταιρείες τεχνολογίας που χρησιμοποιούν πολλοί από εμάς (όπως Facebook, Google, Amazon ή Microsoft).
Ακόμα κι αν τα δεδομένα πηγαίνουν σε έναν από αυτούς τους παρόχους, οι περισσότερες βασικές μεταφορές δεδομένων (π.χ. αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου, άμεσα μηνύματα ή δεδομένα κράτησης) εξακολουθούν να μπορούν να μεταφερθούν με τις λεγόμενες «παρεκκλίσεις» στο GDPR. Ωστόσο, σε περιπτώσεις απλής «εξωτερικής ανάθεσης», οι ευρωπαϊκές εταιρείες ενδέχεται να πρέπει να βρουν εναλλακτικές λύσεις εκτός των ΗΠΑ.
