Deep Dive: Ako ignorovať rozhodnutia SDEÚ v troch krokoch. Vysvetlenie posúdenia vplyvu prenosu spoločnosti Facebook.
Pre fajnšmekrov v oblasti ochrany osobných údajov, ktorí chcú vedieť viac, než sme zhrnuli v našom 4. adventnom čítaní, poskytujeme na tejto stránke hlbší ponor do štyroch prvkov "hodnotenia vplyvu prenosu" (TIA) spoločnosti Facebook.
Náš prístup k týmto zverejneniam. Aby sme sa vyhli drahým žalobám "SLAPP", niektoré prvky nie sú v niektorých jurisdikciách dostupné, a preto sme sa rozhodli namiesto priameho zverejnenia dokumentov ich zhrnúť vo videu. Tam, kde je podstata dokumentu dôležitejšia, vysvetľujeme ju podrobnejšie a citujeme jej prvky. Na každý dokument pripadá jedno video. Podrobnosti o tom, prečo môžeme tento dokument používať legálne, si môžete prečítať na konci stránky.
Dokument 1: Osnova dokumentu
Rámcový dokument v podstate odkazuje na ostatné tri dokumenty, ktoré sú uvedené nižšie. Má 7 strán a je trochu zaujímavý, pretože sa zdá, že je "zhrnutím" ostatných dokumentov a poskytuje prehľad. Kľúčovou časťou TIA je jednoznačne "Posúdenie rovnocennosti", kde spoločnosť Facebook úplne ignoruje rozsudky SDEÚ a dochádza k záveru, že právo EÚ a USA sú "rovnocenné". Ostatné dva dokumenty sú prezentované len ako dodatočné zdroje. V "Posúdení faktorov" sa opisuje najmä to, že údaje sa posielajú do USA a o aké údaje ide, ako aj skutočnosť, že existuje prístup vlády USA podľa zákona FISA 702. "Záznam o ochranných opatreniach" obsahuje aj údajné "dodatočné opatrenia", aj keď žiadne opatrenie sa jednoznačne netýka zákonov USA o sledovaní alebo rozsudku SDEÚ. V konečnom dôsledku je to len zoznam štandardných priemyselných postupov.
Súhrnne povedané, argument, že právne predpisy EÚ a USA sú "rovnocenné", je základom a jediným pilierom prístupu spoločnosti Facebook.
Dokument 2: Posúdenie rovnocennosti zákonov USA
"Posúdenie rovnocennosti" ("EA") je 58-stranový dokument, ktorý výslovne schválili právne kancelárie spoločnosti Facebook Mason Hayes & Curran LLP a Perkins Coie LLP (bod 1.4 EA). Dokument je najlepšie zhrnutý vlastnými slovami spoločnosti Facebook (strana 7 dokumentu Outline):
Facebook tvrdí, že SDEÚ nemal k dispozícii všetky relevantné skutočnosti, aby mohol dospieť k záveru, hoci Facebook predložil v konaní približne 45 000 strán. Spoločnosť Facebook ďalej tvrdí, že SDEÚ zamietol len posúdenie Európskej komisie v rámci "štítu na ochranu súkromia", ale podrobne sa nezaoberal posúdením spoločnosti Facebook. Preto by podľa názoru spoločnosti Facebook SDEÚ nikdy nerozhodol o prevodoch spoločnosti Facebook v rámci SCC. To je v skutočnosti nesprávne, keďže SDEÚ v bode 168 rozsudku načrtol, že sa opieral o obavy írskeho najvyššieho súdu a o Štít na ochranu súkromia Komisie. K týmto otázkam boli pred SDEÚ predložené podstatné podania zo strany spoločnosti Facebook a vlády USA. Napriek tomu SDEÚ jasne rozhodol, že právo USA nielenže nie je "rovnocenné", ale porušuje články 7, 8 a 47 Charty základných práv.
Spoločnosť Facebook ďalej znevažuje právo EÚ najmä tým, že zamieňa rozsudky Európskeho súdu pre ľudské práva (ESĽP) v Štrasburgu (súčasť Rady Európy so 47 členskými štátmi vrátane Turecka a Ruska) podľa nízkeho štandardu v článkoch 6 a 8 Európskeho dohovoru o ľudských právach (EDĽP) s rozsudkami Súdneho dvora Európskej únie (SDEÚ) a jeho oveľa vyšším štandardom podľa Charty základných práv Európskej únie (CHZP).
Na rozdiel od prístupu k právu EÚ Facebook "zveličuje" ochranu podľa práva USA, ktorú už nespočetnekrát uplatnil pred írskym najvyšším súdom a Súdnym dvorom EÚ v súdnom spore "Schrems II". Všetky boli zamietnuté. Napriek tomu sa Facebook opäť opiera o tieto prvky, aby dospel k záveru, že právo USA by poskytovalo ochranu osobám, ktoré nie sú občanmi USA.
Táto kombinácia úplného odmietnutia rozhodnutia SDEÚ, znevažovania práva EÚ a zveličovania práva USA nejakým spôsobom odôvodňuje nezákonné prenosy údajov medzi EÚ a USA.
Dokument 3: Posúdenie faktorov
V sedemstranovom"Posúdení faktorov" Facebook v skutočnosti netvrdí, že určité faktory nejako obmedzujú vplyv prenosu údajov medzi EÚ a USA.
Namiesto toho sa v úvode vysvetľuje, že v rámci "Posúdenia rovnocennosti" spoločnosť Facebook dospela k záveru, že právne predpisy EÚ a USA sú rovnocenné (v rozpore s rozsudkami SDEÚ). Facebook preto tvrdí, že Posúdenie faktorov je skôr opisom "jednotlivých prípadov" ich prenosov údajov medzi EÚ a USA, než skutočnými faktormi, ktoré obmedzujú dohľad.
Obmedzené faktory, ktoré by podľa Facebooku poukazovali na menší zásah do základných práv EÚ, sú napr. počet žiadostí vlády USA podľa vlastnej správy o transparentnosti Facebooku. Ostatné "faktory" jednoducho opisujú skutočnosti, ako napr. že príjemcom je spoločnosť Facebook Inc. alebo že spoločnosť Facebook Inc. skutočne dostáva žiadosti FISA od vlády USA (strana 7 "Posúdenia faktorov"):
Nie je jasné, ako môžu tieto "faktory" pomôcť zlegalizovať prenos. V skutočnosti sa zdá, že spoločnosť Facebook sa v skutočnosti nespolieha na tieto "faktory", aby zdôvodnila, že prenos by bol zákonný, ale skôr navrhla dokument tak, aby bol len faktickým opisom. Hlavným argumentom naďalej zostáva, že SDEÚ sa mýli a právo EÚ a USA je v skutočnosti rovnocenné.
Dokument 4: Záznam o ochranných opatreniach vrátane dodatočných opatrení
Nakoniec spoločnosť Facebook vytvorila 14-stranový dokument s názvom"Záznam o bezpečnostných opatreniach", ktorý predstavuje najmä dlhú tabuľku "opatrení" vrátane "organizačných opatrení", ako aj "technických opatrení". V skutočnosti sú to všetko základné politiky, ktoré sa vyžadujú napríklad podľa článku 32 GDPR, ako napríklad "správa mobilných zariadení" alebo existencia internej politiky o tom, ako reagovať na žiadosti vlády.
Zaujímavé je, že Facebook zamestnáva len 130 osôb, ktoré reagujú na všetky vládne žiadosti na celom svete. To by znamenalo, že zákonná žiadosť sa v priemere preveruje približne 10 až 15 minút. Ako opatrenie na ochranu pred falošnými vládnymi žiadosťami Facebook zdôrazňuje najmä to, že overuje, či e-mailová adresa pochádza z vládnej domény. Nie je jasné, či Facebook preveruje, či má konkrétny vládny subjekt právo vznášať požiadavky na osobné údaje majiteľov účtov. zdá sa, že žiadne z uvedených opatrení nemá priamu súvislosť so zákonmi USA o sledovaní.
Jediný prvok, ktorý spomína FISA 702 a EO 12.333, zdôrazňuje, že Facebook používaštandardné šifrovacie algoritmy a protokoly pri prenose, tieto štandardy sú šifrovanie TLS (ako je to obvyklé pre každú webovú stránku) a šifrovanie AES (ako každý smartfón). Spoločnosť Facebook uznáva, že nie všetky údaje sú šifrované, pretože uvádza, že len takmer celá prevádzka Facebooku je šifrovaná pomocou TLS. V skutočnosti neexistuje žiadne opatrenie, ktoré by akýmkoľvek spôsobom chránilo pred príkazom podľa FISA 702 PRISM / DOWNSTREAM (teda sledovanie priamo na Facebooku), ale sú spojené len s "UPSTREAM" (teda sledovanie prostredníctvom chrbticovej siete internetu). Keďže Facebook vlastní všetky šifrovacie kľúče a môže pristupovať k všetkým údajom v čistom režime, neexistuje žiadna možnosť, že by TLS a AES boli relevantnou ochranou:
Facebook dokument uzatvára "proaktívnymi" opatreniami, ako je lobovanie a prispievanie k vývoju amerických zákonov, a tým, že má viac informácií pre používateľov v často kladených otázkach.
Na "Záznam o ochranných opatreniach" sme sa opýtali Alana Butlera z epic.org:
Právny základ publikácie. Ako sme zdôraznili v našom prvom adventnom čítaní, štyri adventné čítania noyb sú protestom proti nezákonnému odstráneniu noyb zo strany DPC v prebiehajúcom konaní. Všetky dokumenty boli poskytnuté prostredníctvom konania o sťažnostiach pána Schremsa, ktoré prebiehalo 8,5 roka pred írskou DPC.
V systéme, ktorý načrtli právnici pána Schremsa a ktorý DPC akceptovala, môže pán Schrems voľne používať dokumenty z konania v prípadoch, keď má spoločnosť Facebook zákonnú povinnosť tieto dokumenty poskytnúť, čo je jednoznačne tento prípad:
Článok 5 ods. 1 písm. a) GDPR vyžaduje, aby spoločnosť Facebook bola transparentná. V článku 13 ods. 1 písm. f) sa vyžaduje, aby spoločnosť Facebook informovala používateľov o tom, ako získať kópiu opatrení, ktoré odôvodňujú medzinárodný prenos, a v článku 15 ods. 2 GDPR sa výslovne stanovuje právo na získanie ich kópie. Používatelia totiž nemôžu napadnúť prenos údajov, ak nie sú informovaní o existujúcich ochranných opatreniach. Samotné KBÚ predpokladajú podobné ustanovenia, keďže poskytujú používateľom právo vymáhať dodržiavanie KBÚ (body 3, 8.9 a 14 KBÚ). Zdá sa, že každá spoločnosť, ktorá využíva Facebook ako spracovateľ alebo spoločný správca, by tiež musela mať k dispozícii ZOOU.
Napriek tomu spoločnosť Facebook a írsky DPC zastávajú stanovisko, že GDPR a SCCs neumožňujú používateľom získať kópiu TIA spoločnosti Facebook, ale sú k dispozícii len príslušnému dozornému orgánu (teda v tomto prípade len DPC).
Dokumenty dokonca neobsahujú ani obchodne alebo technicky citlivé informácie a nie sú chránené žiadnym príslušným zákonom.
