Az ügy lényege a felügyeletet előíró amerikai megfigyelési törvények és a magánélet védelmét előíró uniós adatvédelmi törvények közötti jogi kollízió.
Az amerikai tömeges megfigyeléssel és az azt támogató uniós vállalatokkal kapcsolatos ügy 2013 óta folyamatban van. Az ügy kétszer került az ír Legfelsőbb Bíróság és az Európai Bíróság (EUB) elé, és még az ír Legfelsőbb Bíróságon is tett egy rövid látogatást. Ennek az ügynek a története sok szempontból egyedülálló.
Háttér
Az ügy lényege a megfigyelést előíró amerikai megfigyelési jogszabályok és a magánélet védelmét előíró uniós adatvédelmi jogszabályok közötti jogi kollízió.
Probléma: az amerikai megfigyelési törvények
2013-ban Edward Snowden nyilvánosan nyilvánosságra hozta, hogy az amerikai hírszerző ügynökségek hozzáférnek az európai felhasználók személyes adataihoz olyan megfigyelési programok segítségével, mint a PRISM. Ezt a hozzáférést egy olyan amerikai törvény tette lehetővé, amelyről nem ismert, hogy ilyen széles körű megfigyelést engedélyezne, az 50 U.S.C. §1881a (vagy FISA 702). A FISA 702-t 2008-ban fogadták el, és alapvetően kibővítette az amerikai hatóságok megfigyelési és adathozzáférési lehetőségeit. Ezzel a kiterjesztéssel egyidejűleg egyre több személyes adatot gyűjtöttek az amerikai elektronikus hírközlési szolgáltatók (például az Apple, a Microsoft, a Facebook, a Google és a Yahoo). Mindez együttesen az európai felhasználók magánéletére gyakorolt egyre károsabb hatást gyakorolt.
A FISA 702 értelmében az amerikai "elektronikus hírközlési szolgáltatók" (az 50 U.S.C. §1881(4) meghatározása szerint) arra kényszeríthetők, hogy az amerikai biztonsági hatóságoknak hozzáférést biztosítsanak a "nem amerikai személyek" személyes adataihoz, akiket úgy határoznak meg, mint bárki, aki nem amerikai állampolgár vagy állandó amerikai lakos. Az e törvény szerinti megfigyelési utasításoknak nem kell konkrétan egy adott célpontra vonatkozniuk, hanem lehetővé teszik az olyan teljes körű megfigyelési programokat, mint a PRISM vagy az Upstream. A nem amerikai személyek esetében nincs egyedi bírói jóváhagyás. A FISA 702. cikke lehetővé teszi a megfigyelést meglehetősen tág célokra is, például "olyan információkra, amelyek ... az Egyesült Államok külügyeinek irányítására vonatkoznak"(lásd 50 U.S.C. §1801(e)).
Vannak olyan amerikai megfigyelési hatáskörök is, amelyek "az amerikai elnök eredendő hatalmán" alapulnak, és amelyeket egy végrehajtási rendelet(EO 12.333) határoz meg részletesebben, míg más elemeket a 28. elnöki politikai irányelv(PPD-28) ír le. Mindkettő a végrehajtó hatalom belső utasítása, amely nem teremt kötelezettségeket vagy jogokat a magánszervezetek számára, de lehetővé teszi a nem amerikai személyek megfigyelését.
Az Edward Snowden által nyilvánosságra hozott dokumentumok számos olyan amerikai vállalatot soroltak fel, amelyek e rendelkezések alapján adatokat szolgáltatnak az amerikai kormánynak olyan megfigyelési programokhoz, mint a PRISM vagy az Upstream, köztük az Apple, a Microsoft, a Facebook, a Google és a Yahoo.
Reakció: A Snowward-ügynökségek és a Snowboard-ügynökségek által közzétett adatok a következőek: "A Snowward-ügynökségek és a Snowboard-ügynökségek által közzétett adatok a következőek: GDPR korlátozza az adattovábbítást
Az európai adatvédelmi jogszabályok (korábban a 95/46/EK irányelv, most pedig a GDPR) a személyes adatok szabad áramlásának koncepcióján alapulnak, de csak a felhasználók magánéletét védő keretek között . Ha a személyes adatok csak az Európai Unión belül élveznének védelmet, de az EU joghatóságán kívülre korlátozás nélkül továbbíthatók lennének, akkor a személyes adatoknak az EU-n belül szükséges magas szintű védelme könnyen aláásható lenne.
Az uniós jog azonban mindig is rendelkezett az adattovábbítás korlátozásának elve alóli kivételekről, például amikor a személyes adatokat szükségszerűen továbbítani kell (pl. egy szolgáltatás külföldi megrendelése vagy egy e-mail küldése esetén), vagy amikor a felhasználó szabadon hozzájárul az adattovábbításhoz. Ezeket a nem strukturális adattovábbításokra vonatkozó eltéréseket jelenleg a GDPR 49. cikke tartalmazza.
Ezen túlmenően az uniós jog elismeri, hogy lehetnek olyan helyzetek, amikor nem uniós vállalatok egyenértékű védelmi szintet biztosítanak a személyes adatok számára. Egyes országokban a nemzeti jog hasonló az uniós joghoz (pl. Svájc, Izrael, Kanada vagy Japán), más országokban pedig a vállalatok önkéntesen elkötelezhetik magukat az uniós elvek mellett az olyan polgári jogi megállapodások aláírásával, mint a standard szerződési feltételek, a kötelező erejű vállalati szabályok vagy az EU-USA adatvédelmi pajzs. Ez utóbbi jogalapok a GDPR 46-48. cikkében találhatók, és nagyrészt olyan helyzetekben alkalmazzák őket, amelyeket leginkább a személyes adatok feldolgozásának a vállalatok által nem uniós országokba történő "kiszervezéseként" lehet jellemezni.
Mivel az USA nem rendelkezik sem gyűjtő, sem szövetségi adatvédelmi törvénnyel, az amerikai vállalatoknak a GDPR 46-48. cikkében foglalt e szerződéses lehetőségek egyikére kell támaszkodniuk a kiszervezés során. Az amerikai felügyeleti törvények hatálya alá tartozó vállalatok számára azonban ezeknek a szerződéses lehetőségeknek az alkalmazása a gyakorlatban lehetetlen , mivel az amerikai jog az uniós jog szerinti kötelezettségeik megszegését követeli meg tőlük. Ez a probléma áll a Schrems úr, az ír adatvédelmi biztos (DPC) és a Facebook közötti összes ügy középpontjában, mivel a Facebook egyértelműen az amerikai felügyeleti jogszabályok hatálya alá tartozik, és részt vett olyan programokban, mint a PRISM, miközben ellentmondásosan aláírta az SCC-ket, a Safe Harbort és most a Privacy Shieldet (a Safe Harbort felváltó EU-USA adattovábbításról szóló határozat).
Első hivatkozás az EUB előtt 2013-2015-ben ("Safe Harbor")
Az ír adatvédelmi biztos előtti eljárás (DPC)
A Snowden-nyilatkozatok után Schrems úr (akkor osztrák joghallgató) panaszt nyújtott be a Facebook Ireland Ltd. ellen az ír adatvédelmi biztoshoz (DPC). A panasz azzal érvelt, hogy a EU-USA 2000/520/EK "biztonságos kikötő"-határozat alapján (az Európai Bizottság 2000-ben hozott végrehajtási határozata) alapján Schrems úr személyes adatait nem szabadna továbbítani a Facebook Ireland Ltd. (amely az Egyesült Államokon és Kanadán kívüli Facebook-felhasználókat szolgálja ki) a Facebook Inc. (az amerikai anyavállalat) részére, mivel a Facebooknak hozzáférést kell biztosítania az Egyesült Államok Nemzetbiztonsági Ügynökségének az ilyen adatokhoz.
Az ír DPC elutasította Schrems úr panaszát, mint "komolytalant és bosszantó", azzal érvelve, hogy a Facebook a Safe Harbor határozatra támaszkodva hajtotta végre az USA-ba irányuló adattovábbítást. A DPC véleménye szerint az Európai Bizottság elfogadta, hogy az amerikai jog megfelelő a 2000-es határozatban (8 évvel az 50 U.S.C. § 1881a elfogadása előtt), és hogy a DPC-t abszolút köti a Bizottság határozata.
Bírósági felülvizsgálat a DPC ellen
2013 októberében Schrems úr bírósági felülvizsgálatot kért a DPC határozatával szemben, azzal érvelve, hogy a DPC a biztonságos kikötőről szóló határozatban szereplő "vészhelyzeti záradékot" használhatta fel az adattovábbítás felfüggesztésére, és hogy a biztonságos kikötőről szóló határozat mindenesetre érvénytelen. A 18. 6. 2014. évi [2014] IEHC 310. számú ítéletében az ír legfelsőbb bíróság szüneteltette az eljárást, és az ügyet az Európai Unió Bírósága (EUB) elé utalta. Az ír Legfelsőbb Bíróság nagyrészt egyetértett azzal, hogy az amerikai jog szerint "tömeges megfigyelés" áll fenn, de úgy vélte, hogy nem hozhat végleges döntést Schrems úr ügyében anélkül, hogy előbb a biztonságos kikötőről szóló határozat érvényességét megállapítaná. Az uniós jog szerint csak az EUB dönthet az olyan uniós jogi aktusok érvényességéről, mint a biztonságos kikötőről szóló határozat, ami azt jelentette, hogy az ír legfelsőbb bíróságnak az ügyet az EUB elé kellett utalnia.
Az EUB 2015. október 6-i ítélete (C-362/14)
A úttörő jelentőségű ítéletben (C-362/14 Schrems) az EUB - nagyrészt Schrems úr érvelését követve - érvénytelennek nyilvánította a biztonságos kikötőről szóló határozatot. A Bíróság megállapította, hogy egy olyan harmadik országnak, mint az Egyesült Államok, az uniós jog által biztosított védelemmel"lényegében egyenértékű" védelmi szintet kell biztosítania, és hogy"a hatóságok általánosságban történő hozzáférését lehetővé tevő jogszabály" sérti az EU Alapjogi Chartájának (CFR) 7. cikke szerinti magánélethez való uniós alapjog lényegét. Hasonlóképpen, az USA-ban a nem amerikai személyek számára biztosított jogorvoslat hiánya sérti a CFR 47. cikke szerinti bírósági jogorvoslathoz való alapvető jogot.
Az EUB ítéletét követően az ír legfelsőbb bíróság lezárta az ír bíróságokon folyó eljárást, mivel a DPC ígéretet tett az EUB határozatának gyors végrehajtására.
Az EUB elé terjesztett második hivatkozás 2015-20-ban (SCC-k és adatvédelmi pajzs)
Információ arról, hogy a Facebook ténylegesen az SCC-kre támaszkodott
Schrems úr nagy meglepetésére 2015 novemberében a DPC arról tájékoztatta őt, hogy az EUB Safe Harbor-határozatról szóló ítélete az eredeti panasza szempontjából irreleváns, mivel a Facebook valójában mindig is az úgynevezett "általános szerződési feltételekre" (SCC-k ) támaszkodott adattovábbításai során. A DPC nem közölte ezt az információt Schrems úrral, ami arra engedte következtetni, hogy a Facebook a Safe Harborra támaszkodott, annak ellenére, hogy a Facebook már 2013-ban megkapta ezt az információt a panaszra adott e-mailes válaszában.
Schrems úr ennek megfelelően átfogalmazta panaszát, hogy az most már tartalmazza az SCC-ket és az adattovábbítás bármely más jogalapját, amelyre a Facebook hivatkozhatott, és 2015. december 1-jén frissített panaszt nyújtott be a DPC-nek. Schrems úr azzal érvelt, hogy a DPC-nek az SCC-határozat 4. cikkét kellene alkalmaznia az adattovábbítás felfüggesztésére, mivel a 4. cikk lehetővé teszi a DPC számára az adattovábbítás felfüggesztését, ha a felhasználók alapvető jogai sérülnek.
A DPC keresete a Facebook és Schrems úr ellen
Ahelyett, hogy gyorsan döntött volna az ügyben, a DPC meglepő módon pert indított a Facebook Ireland Ltd. és Schrems úr ellen, nem sokkal azután, hogy megkezdte a két felet érintő, újrafogalmazott panasz "vizsgálatát". A DPC álláspontja szerint a két fél volt a "természetes alperes" ebben az ügyben, és a DPC kénytelen volt a High Courtot arra felszólítani, hogy nyújtson be újabb kérdést az Európai Unió Bíróságához. Schrems úr megtámadta az ügyet, azzal érvelve, hogy a DPC csak akkor fordulhat másodszor is az EUB-hoz, ha már minden tényt és kérdést kivizsgáltak.
Az ügyhöz több fél is kérte, hogy amicus (a bíróság semleges segítője) legyen; az amerikai kormány, az EPIC.org és két ipari lobbicsoport csatlakozott az ügyhöz.
A perben a DPC azzal érvelt, hogy nem csak az amerikai megfigyelési joggal kapcsolatos aggályaiban csatlakozik Schrems úr nézeteihez, hanem ezen túlmenően komoly aggályai vannak a Facebook által használt SCC-k érvényességével kapcsolatban is. A DPC úgy vélte, hogy az SCC-k nem biztosítanak jogszerű mechanizmust az adattovábbításra, ha egy harmadik ország, például az USA olyan törvényeket fogad el, amelyek ellentétesek az SCC-kkel. A Facebook és Schrems úr nem vitatta magukat az SCC-ket, és egyetértettek abban, hogy ilyen esetben az SCC-kről szóló (EU) 2010/87 határozat 4. cikke lehetővé tenné a megoldást.
Schrems úrral és a DPC-vel ellentétben a Facebook nem látott problémát az amerikai megfigyelési törvényekkel, és úgy vélte, hogy az EU nem rendelkezik joghatósággal a "nemzetbiztonsági" kérdésekben. A Facebook az Európai Bizottság (EU) 2016/1250 számú adatvédelmi pajzshatározatára is hivatkozott, amely az érvénytelenített Safe Harbor-határozat helyébe lépett. Ebben a határozatban az Európai Bizottság megállapította, hogy az amerikai megfigyelési törvények és az uniós alapjogok között nincs konfliktus. A Facebook szerint a Privacy Shield-határozat e megállapításának az SCC-k szerinti adattovábbításokra is vonatkoznia kell. Schrems úr úgy vélte, hogy maga a Privacy Shield határozat érvénytelen, mivel alapvetően tévesen mutatja be az USA felügyeleti jogszabályait, és ezért nem tekintély az SCC-k értelmezésére.
Több eljárási lépés és több mint öt hetes meghallgatás után, amelyen több szakértő tanú is részt vett az amerikai megfigyelési joggal kapcsolatban, az ír legfelsőbb bíróság elismerte az amerikai kormány tömeges megfigyelési programjainak létezését. A 2017. október 3-án hozott ítéletében [2017] IEHC 545 az ír legfelsőbb bíróság összefoglalta az összes ténymegállapítást, kiemelve, hogy az Egyesült Államok személyes adatok "tömeges feldolgozását" végzi, amikor például az internetes gerinchálózat egyes részein keresztülhaladó teljes internetes forgalmat szűri. 2018. április 13-án tizenegy értelmezési kérdést terjesztett az EUB elé eldöntésre. A kérdéseket nagyrészt a DPC fogalmazta meg.
Az előzetes döntéshozatalra utalást követően a Facebook az ír Legfelsőbb Bírósághoz fordult, hogy megpróbálja megakadályozni a Legfelsőbb Bíróság előzetes döntéshozatalra utalását, de a fellebbezést végül 2019. május 31-én elutasították.
Az EUB előtti eljárás (C-311/18)
A feleknek 2018. augusztus 30-án kellett benyújtaniuk írásbeli észrevételeiket.
2019. július 19-én az EUB a nagytanács (a Bíróság legnagyobb létszámú, 15 bíróból álló összetétele) előtt tárgyalta az ügyet, meghallgatva a három felet, a négy amicust, az Európai Bizottságot, az Európai Parlamentet, az Európai Adatvédelmi Testületet (EDPB) és számos uniós tagállam kormányát. A bírák kérdései elsősorban az amerikai megfigyelési törvényekkel kapcsolatos kérdésekre és az adatvédelmi pajzsról szóló határozat érvényességére összpontosítottak.
2019. december 19-én a Bíróság főtanácsnoka (AG) kiadta nem kötelező erejű tanácsadói indítványát az ügyben, amelyben nagyrészt csatlakozott Schrems úr álláspontjához. Az indítvány szerint az amerikai megfigyelési törvények összeegyeztethetetlenek az uniós alapjogokkal, de az összeegyeztethetetlenség megoldása abban rejlik, hogy a DPC elrendeli az adattovábbítás felfüggesztését az SCC határozat 4. cikke alapján. Bár a főtanácsnok kifejezetten bírálta a Privacy Shield határozatot, úgy vélte, hogy annak érvényességének kérdése nem képezi az ügy szerves részét.
A Bíróság 2020. július 16-án hozta meg "Schrems II" határozatát, amelyben teljes mértékben a panaszos álláspontjának adott igazat, érvénytelenítette a "Privacy Shield" határozatot, előírta, hogy a DPC-nek le kell állítania az adattovábbításokat, és megállapította, hogy az USA megfigyelési törvényei sértik az Európai Alapjogi Charta 7. cikkét (magánélethez való jog), 8. cikkét (adatvédelemhez való jog) és 47. cikkét (jogorvoslathoz való jog).