Deep Dive: Jak Facebook próbuje ignorować TSUE - mimo dwóch wyroków.

gru 19, 2021

Deep Dive: Jak w trzech krokach zignorować decyzje TSUE. Ocena Wpływu Transferu Facebooka wyjaśniona.

Dla maniaków prywatności, którzy chcą wiedzieć więcej niż to, co streściliśmy w naszej 4. lekturze adwentowej, zapewniamy głębsze zanurzenie na tej stronie na temat czterech elementów "Oceny Wpływu Przekazu" (TIA) Facebooka.

Nasze podejście do tych ujawnień. Aby uniknąć drogich pozwów "SLAPP" niektóre elementy nie są dostępne w niektórych jurysdykcjach i zdecydowaliśmy się podsumować dokumenty w wideo zamiast publikować je bezpośrednio. Tam, gdzie treść dokumentu jest bardziej istotna, wyjaśniamy ją bardziej szczegółowo i cytujemy jej elementy. Na każdy dokument przypada jedno nagranie wideo. Szczegóły na temat tego, dlaczego możemy legalnie korzystać z tego dokumentu, można przeczytać na dole strony.

Dokument 1: Dokument ogólny

Dokument Zarys zasadniczo odnosi się do pozostałych trzech dokumentów, omówionych poniżej. Ma on 7 stron i jest nieco interesujący, ponieważ wydaje się być "podsumowaniem" pozostałych dokumentów i daje ogólny obraz sytuacji. Kluczową częścią TIA jest oczywiście "Ocena równoważności", w której Facebook całkowicie ignoruje wyroki TSUE i dochodzi do wniosku, że prawo UE i USA są "równoważne". Pozostałe dwa dokumenty są przedstawione jedynie jako dodatkowe źródła. W "Factors Assessment" opisano głównie, że dane są wysyłane do USA i jakie to są dane, a także fakt, że rząd USA ma do nich dostęp na podstawie FISA 702. Rejestr zabezpieczeń" zawiera również rzekome "środki uzupełniające", nawet jeśli żaden środek nie odnosi się wyraźnie do amerykańskich przepisów dotyczących nadzoru lub wyroku TSUE. Ostatecznie jest to tylko wykaz standardowych praktyk branżowych.

Podsumowując, argument, że prawo UE i USA są "równoważne", stanowi trzon i jedyny filar podejścia Facebooka.

Dokument 2: Ocena równoważności przepisów amerykańskich

Ocena równoważności" ("EA") to 58-stronicowy dokument wyraźnie zatwierdzony przez kancelarie prawne Facebooka: Mason Hayes & Curran LLP oraz Perkins Coie LL P (pkt 1.4 EA). Dokument ten najlepiej podsumowują słowa Facebooka (str. 7 dokumentu Outline):

Aby osiągnąć ten wynik, Facebook argumentuje, że TSUE nie miał wszystkich istotnych faktów, aby dojść do konkluzji, mimo że Facebook przedstawił około 45.000 stron w postępowaniu. Facebook argumentuje ponadto, że TSUE odrzucił jedynie ocenę Komisji Europejskiej w sprawie "Tarczy Prywatności", ale nie odniósł się szczegółowo do oceny Facebooka. W związku z tym, zdaniem Facebooka, TSUE nigdy nie podjąłby decyzji w sprawie transferów dokonywanych przez Facebook w ramach SCC. W rzeczywistości jest to błędne, ponieważ TSUE podkreślił w pkt 168 wyroku, że oparł się na zastrzeżeniach irlandzkiego High Court i Tarczy Prywatności Komisji. W tych kwestiach Facebook i rząd USA przedstawili przed TSUE istotne uwagi. Niemniej jednak TSUE wyraźnie orzekł, że prawo amerykańskie nie tylko nie jest "równoważne", ale narusza art. 7, 8 i 47 Karty Praw Podstawowych.

Facebook dodatkowo dyskontuje prawo UE, myląc głównie wyroki Europejskiego Trybunału Praw Człowieka (ETPCz) w Strasburgu (część Rady Europy, z 47 państwami członkowskimi, w tym Turcją i Rosją) na podstawie niskiego standardu art. 6 i 8 Europejskiej Konwencji Praw Człowieka (EKPCz) z wyrokami Trybunału Sprawiedliwości Unii Europejskiej (TSUE) i jego znacznie wyższym standardem na podstawie Karty Praw Podstawowych Unii Europejskiej (KPP).

W przeciwieństwie do podejścia do prawa UE, Facebook "powiększa" ochronę wynikającą z prawa amerykańskiego, którą już niezliczoną ilość razy podnosił przed irlandzkim High Court i Trybunałem Sprawiedliwości w sporze "Schrems II". Wszystkie te argumenty zostały odrzucone. Mimo to Facebook ponownie powołuje się na te elementy, aby dojść do wniosku, że prawo amerykańskie zapewniałoby ochronę osobom niebędącym obywatelami USA.

To połączenie całkowitego odrzucenia orzeczenia TSUE, lekceważenia prawa UE i powiększania prawa USA w jakiś sposób uzasadnia nielegalne przekazywanie danych między UE a USA.

Dokument 3: Ocena czynników

W 7-stronicowej"Ocenie czynników" Facebook tak naprawdę nie argumentuje, że pewne czynniki w jakiś sposób ograniczają wpływ przekazywania danych między UE a USA.

Zamiast tego we wstępie wyjaśnia, że w ramach "Oceny równoważności" Facebook dochodzi do wniosku, że prawo UE i USA są równoważne (wbrew orzeczeniom TSUE). W związku z tym Facebook twierdzi, że ocena czynników jest raczej opisem "poszczególnych przypadków" przekazywania danych między UE a USA, a nie faktycznymi czynnikami, które ograniczają nadzór.

Ograniczonymi czynnikami, które zdaniem Facebooka wskazywałyby na mniejszą ingerencję w prawa podstawowe UE, są np. liczba wniosków rządu USA zgodnie z własnym raportem Facebooka dotyczącym przejrzystości. Pozostałe "czynniki" opisują po prostu fakty, takie jak to, że odbiorcą jest Facebook Inc. lub że Facebook Inc. otrzymuje wnioski FISA od rządu USA (strona 7 "Factor Assessment"):

Nie jest jasne, w jaki sposób te "czynniki" mogą pomóc uczynić transfer legalnym. W rzeczywistości Facebook nie wydaje się polegać na tych "czynnikach", aby uzasadnić, że transfer byłby legalny, ale raczej zaprojektował dokument jako zwykły opis faktów. Głównym argumentem jest nadal to, że TSUE nie ma racji i prawo UE i USA jest w rzeczywistości równoważne.

Dokument 4: Rejestr środków ochronnych, w tym środków uzupełniających

Wreszcie, Facebook stworzył 14-stronicowy dokument o nazwie"Rejestr zabezpieczeń", który jest głównie długą tabelą "środków", w tym "środków organizacyjnych", jak również "środków technicznych". Są to w rzeczywistości wszystkie podstawowe polityki, wymagane na przykład na mocy artykułu 32 GDPR, takie jak "zarządzanie urządzeniami mobilnymi" lub posiadanie wewnętrznej polityki dotyczącej reagowania na żądania rządowe.

Co ciekawe, Facebook zatrudnia tylko 130 osób, które mają odpowiadać na wszystkie wnioski rządowe na całym świecie. Oznaczałoby to, że legalny wniosek jest sprawdzany średnio przez około 10-15 minut. Jako środek ochrony przed fałszywymi żądaniami rządowymi, Facebook podkreśla głównie, że sprawdza, czy adres e-mail pochodzi z rządowej domeny. Nie jest jasne, czy Facebook sprawdza, czy konkretny podmiot rządowy ma prawo żądać danych osobowych właścicieli kont. Żaden z wymienionych środków nie wydaje się mieć bezpośredniego związku z amerykańskim prawem nadzoru.

Jedyny element, który wspomina FISA 702 i EO 12.333 podkreśla, że Facebook stosuje standardowe algorytmy i protokoły szyfrowania w tranzycie, te standardy to szyfrowanie TLS (jak zwykle dla każdej strony internetowej) i szyfrowanie AES (jak każdy smartfon robi). Facebook przyznaje, że nie wszystkie dane są szyfrowane, ponieważ wspomina, że tylko prawie cały ruch na Facebooku jest szyfrowany TLS. W rzeczywistości nie ma środka, który w jakikolwiek sposób chroniłby przed nakazem w ramach FISA 702 PRISM / DOWNSTREAM (więc nadzór bezpośrednio na Facebooku), ale są tylko podłączone do "UPSTREAM" (więc nadzór przez szkielet Internetu). Jak Facebook posiada wszystkie klucze szyfrujące i może uzyskać dostęp do wszystkich danych w jasny, nie ma mowy, że TLS i AES jest istotna ochrona:

Facebook zamyka dokument "proaktywnymi" środkami, takimi jak lobbing i przyczynianie się do rozwoju amerykańskiego prawa oraz posiadaniem większej ilości informacji dla użytkowników w FAQ.

Zapytaliśmy Alana Butlera z epic.org o "Record of Safeguards":

Podstawa prawna publikacji. Jak wskazano w naszym pierwszym czytaniu adwentowym, cztery czytania adwentowe noyb są w proteście przeciwko nielegalnemu usunięciu noyb przez DPC w toczącym się postępowaniu. Wszystkie dokumenty zostały dostarczone za pośrednictwem procedury skarg pana Schrems, w toku przez 8,5 roku przed irlandzkim DPC.

W systemie nakreślonym przez prawników pana Schremsa i zaakceptowanym przez DPC, pan Schrems może swobodnie korzystać z dokumentów z postępowania, w przypadkach, gdy Facebook ma prawny obowiązek dostarczenia tych dokumentów, co wyraźnie ma miejsce w tym przypadku:

Artykuł 5 ust. 1 lit. a) GDPR wymaga, aby Facebook był przejrzysty. Artykuł 13 ust. 1 lit. f) wymaga od Facebooka informowania użytkowników o sposobie uzyskania kopii środków uzasadniających przekazanie międzynarodowe, a art. 15 ust. 2 GDPR wyraźnie przewiduje prawo do uzyskania kopii tych środków. W rzeczywistości użytkownicy nie są w stanie zakwestionować przekazania danych, jeśli nie są poinformowani o istniejących środkach ochrony. Same SCC przewidują podobne przepisy, ponieważ dają użytkownikom prawo do egzekwowania SCC (klauzule 3, 8.9 i 14 SCC). Wydaje się, że każda firma, która wykorzystuje Facebooka jako podmiot przetwarzający lub współkontroler, również musiałaby otrzymać TIA.

Niemniej jednak Facebook i irlandzki DPC stoją na stanowisku, że GDPR i SCC nie pozwalają użytkownikom na uzyskanie kopii TIA Facebooka, ale są one dostępne tylko dla odpowiedniego organu nadzorczego (a więc w tym przypadku tylko dla DPC).

Dokumenty te nie zawierają nawet informacji wrażliwych pod względem handlowym lub technicznym i nie są chronione na mocy żadnego właściwego prawa.