4. czytanie adwentowe: Facebook's "Transfer Impact Assessment" w pełni ignoruje orzeczenia Trybunału Sprawiedliwości
W ostatnim "Czytaniu Adwentowym" w proteście przeciwko usunięciu noyb z procedury przez irlandzką DPC, omówimy odrzucenie przez Facebooka orzeczeń Europejskiego Trybunału Sprawiedliwości (TSUE) w sprawie przekazywania danych UE-USA, w rzekomo "poufnej" 86-stronicowej "Ocenie Wpływu Transferu". Od 2013 roku przed irlandzką Komisją Ochrony Danych ("DPC") toczy się sprawa współpracy Facebooka z amerykańskimi agencjami rządowymi w zakresie masowej inwigilacji. Pierwsza decyzja irlandzkiego DPC nie jest nawet w zasięgu wzroku - 8,5 roku po pierwszej skardze i 1,5 roku po drugim wyjaśnieniu TSUE. Schrems:"Facebook w pełni ignoruje Trybunał Sprawiedliwości, mimo dwóch wyraźnych orzeczeń"
- O dokumencie donosi POLITICO: "Najwyższy sąd Europy mówi, że Waszyngton gra szybko i luźno z europejskimi danymi. Facebook się nie zgadza."
- Deep Dive: Szczegółowy opis i czytanie adwentu z czterech dokumentów (45 minut)
"TIA": Ignorancja TSUE przez Facebooka w trzech krokach. Po jednoznacznych orzeczeniach w "Schrems I" i "Schrems II", Facebook musiałby natychmiast zaprzestać przekazywania danych z UE do USA, ponieważ dwukrotnie uznano je za nielegalne. Dziś (1,5 roku później) Facebook nie podjął żadnych kroków w celu ograniczenia transferu danych. Zamiast tego przygotował 86-stronnicową "Ocenę Wpływu Transferu" ("TIA") na podstawie klauzuli 14 nowo wprowadzonych Standardowych Klauzul Umownych ("SCC"), dochodząc do zaskakującego wniosku, że wyrok TSUE nie będzie miał zastosowania do Facebooka i transfery mogą być kontynuowane w dotychczasowej formie. Zgodnie z otrzymanymi przez nas dokumentami, Facebook nie podjął żadnych nowych lub istotnych działań w związku z wyrokiem TSUE z dnia 16.6.2020.
Max Schrems, przewodniczący noyb.eu:"Facebook już od 8,5 roku ignoruje prawo UE. Nowo ujawnione dokumenty pokazują, że po prostu uważają, że Trybunał Sprawiedliwości nie ma racji - a Facebook ma rację. Jest to niewiarygodna ignorancja praworządności, poparta brakiem działań egzekucyjnych ze strony irlandzkiego DPC. Nic dziwnego, że Facebook chce utrzymać ten dokument w tajemnicy. Pokazuje on jednak również, że Facebook nie ma żadnej poważnej obrony legealnej, gdy kontynuuje wysyłanie danych Europejczyków do USA."
Cztery dokumenty. noyb czyni treść czterech istotnych dokumentów przejrzystymi. Dokument "Overview Document" wyjaśnia, że Facebook podejmuje trzy kroki, aby dojść do wniosku, że może nadal przesyłać dane do Stanów Zjednoczonych, pomimo dwóch wyroków TSUE: Po pierwsze, bezpośrednio zaprzecza dwóm wyrokom Trybunału Sprawiedliwości, w których stwierdzono, że amerykańskie przepisy dotyczące nadzoru naruszają prawa podstawowe UE. Zamiast tego Facebook w swojej "Ocenie równoważności" wyraża pogląd, że przepisy UE i USA są w rzeczywistości równoważne. Po drugie, w "Ocenie czynników" Facebook stwierdza, że ryzyko dla użytkowników jest minimalne - ponownie w bezpośredniej sprzeczności z wyrokiem Trybunału Sprawiedliwości. Po trzecie, w "Wykazie zabezpieczeń" Facebook wspomina o różnych środkach, które miałyby stanowić przeciwwagę dla wszelkich naruszeń prawa UE. W rzeczywistości, żaden z tych środków są rzeczywiście istotne dla Sekcji 702 FISA nadzoru. Jest to lista minimalnych standardów branżowych w zakresie bezpieczeństwa (zgodnie z art. 32 GDPR), które obowiązują niezależnie od amerykańskich przepisów dotyczących nadzoru.
Podczas gdy obszerne 86 stron stara się sprawiać wrażenie wyrafinowanej analizy, podstawowy element oceny Facebooka jest podsumowany w konkluzji TIA Facebooka:
Innymi słowy: Facebook po prostu mówi, że prawo amerykańskie jest "równoważne" z prawem UE, pomimo dwóch decyzji Trybunału Sprawiedliwości na odwrót.
Deeper Dive:noyb wykonane cztery filmy czytając streszczenia wszystkich czterech dokumentów w ramach "głębokiego nurkowania" do tych dokumentów, które również wyjaśnia zawartość tych dokumentów w sposób bardziej szczegółowy. Kliknij tutaj dla głębokiego nurkowania. Biorąc pod uwagę ryzyko Facebook i irlandzki DPC używając frywolnego postępowania sądowego do odwetu przeciwko noyb przez "SLAPP garnitur", zdecydowaliśmy się przeczytać i opisać dokumenty w szczegółach, to pozwoli każdemu uzyskać dobre zrozumienie dokumentów, przy jednoczesnym zminimalizowaniu ryzyka frywolnych pozwów przez Facebook lub DPC.
Brak decyzji ze strony irlandzkiego DPC pomimo prawnego obowiązku. Skarga jest rozpatrywana od 2013 roku i była przedmiotem pięciu irlandzkich postępowań oraz dwóch postępowań przed Trybunałem Sprawiedliwości, których koszt wyniósł ponad 10 milionów euro. Ogólny zarys sprawy można znaleźć na poniższej grafice. W 2020 r. TSUE ponownie jednoznacznie orzekł, że DPC "ma obowiązek zawiesić lub zakazać przekazywania danych" (pkt 121). Podobnie, w ostatniej ugodzie między DPC a p. Schremsem obiecano szybką decyzję w dniu 12.1.2021 r. 8,5 roku po złożeniu pierwszej skargi nadal nie ma żadnej decyzji - mimo że DPC wielokrotnie "z zadowoleniem" przyjmował wyjaśnienia, które były dostarczane przez każdą przegraną sprawę w sądzie. Nawet jeśli pierwsza decyzja DPC zostałaby wydana, podlegałaby ona wielu poziomom odwołań w Irlandii. Niemniej jednak, dokumenty pokazują, że Facebook w rzeczywistości nie ma wiarygodnej podstawy prawnej do przekazywania danych Europejczyków do USA - co grozi ogromnymi karami i reorganizacją całego biznesu.
Aktualizacja SCC Komisji Europejskiej nadużyta przez Facebooka? Podstawą do sporządzenia przez Facebooka "Oceny Skutków Transferu" jest Klauzula 14 nowych "Standardowych Klauzul Umownych" przyjętych przez Komisję Europejską. Ten nowy zestaw przepisów zaczął obowiązywać, ponieważ DPC nie podjął decyzji w tej sprawie w rozsądnym terminie. Do dziś Facebook stale zmieniał podstawy prawne przekazywania danych (najpierw "Safe Harbor", potem "Privacy Shield" i stare SCC, a teraz nowe SCC). Oprócz tych wielu podstaw do przekazywania danych, Facebook ostatnio podniósł również "konieczność umowną" i "zgodę" na wszystkie transfery danych na mocy art. 49 ust. 1 GDPR. Jak dotąd nie wydaje się, by DPC w ogóle zbadał te nowe argumenty.
Schrems:" Irlandzkie DPC jest niezwykle powolne i nie panuje nad tymi procedurami. Facebook ciągle przechodzi do innego argumentu, podczas gdy DPC nie podjął nawet decyzji w sprawie decyzji z 2013 roku. Facebook dominuje w tej procedurze - zamiast DPC"
Potencjalny "SLAPP suit" ze strony DPC i Facebooka. Biorąc pod uwagę liczne groźby pomimo wyraźnej podstawy prawnej dla tych publikacji, noyb spodziewa się teraz bezpodstawnych "SLAPP suits" (zobacz świetne podsumowanie Johna Olivera, niestety tylko na YouTube) ze strony DPC i/lub Facebook Ireland Limited. Nie jest mało prawdopodobne, że Facebook lub DPC będzie próbował wnieść sprawę do Irlandii lub Wielkiej Brytanii, ponieważ te systemy prawne są bardzo drogie i idealne jurysdykcje do zrujnowania organizacji pozarządowej. W związku z tym zablokowaliśmy geoblokadę odpowiednich dokumentów w tych jurysdykcjach.
