läsning 4:e advent: Facebooks "Transfer Impact Assessment" ignorerar helt EU-domstolens domar
I den sista "adventsläsningen" i protest mot den irländska dataskyddskommissionens borttagande av noyb från ett förfarande kommer vi att diskutera Facebooks bortseende från EU-domstolens (CJEU) avgöranden om dataöverföringar mellan EU och USA, i en påstått "konfidentiell" 86-sidig "Transfer Impact Assessment". Sedan 2013 har frågan om Facebooks samarbete med amerikanska myndigheter om massövervakning behandlats av den irländska dataskyddskommissionen ("DPC"). Ett första beslut från den irländska dataskyddsmyndigheten är inte ens i sikte - 8,5 år efter det första klagomålet och 1,5 år efter EU-domstolens andra klargörande. Schrems:"Facebook ignorerar helt och hållet EU-domstolen, trots två uttryckliga domar."
- POLITICO rapporterade om dokumentet: "Europas högsta domstol säger att Washington spelar snabbt och löst med europeiska data. Facebook håller inte med."
- Djupdykning: Detaljerad beskrivning och adventsläsning från de fyra dokumenten (45 minuter)
"TIA": Facebooks okunnighet om EU-domstolen i tre steg. Efter de tydliga avgörandena i "Schrems I" och "Schrems II" skulle Facebook ha varit tvunget att omedelbart stoppa dataöverföringar från EU till USA, eftersom de förklarats olagliga två gånger. I dag (1,5 år senare) har Facebook inte vidtagit några åtgärder för att begränsa sina dataöverföringar. Istället har företaget tagit fram en 86 sidor lång "Transfer Impact Assessment" ("TIA") enligt klausul 14 i de nyligen införda standardavtalsklausulerna ("SCC"), med det överraskande resultatet att EU-domstolens dom inte skulle gälla Facebook och att överföringarna kunde fortsätta som förut. Enligt de dokument vi tagit del av vidtog Facebook absolut inga nya eller relevanta åtgärder med anledning av EU-domstolens dom av den 16.6.2020.
Max Schrems, ordförande för noyb.eu:"Facebook har ignorerat EU-lagstiftningen i 8,5 år nu. De nyligen offentliggjorda dokumenten visar att de helt enkelt anser att EU-domstolen har fel - och att Facebook har rätt. Det är en otrolig okunnighet om rättsstatsprincipen, som stöds av bristen på verkställighetsåtgärder från den irländska dataskyddsmyndigheten. Det är inte konstigt att Facebook vill hålla detta dokument konfidentiellt. Men det visar också att Facebook inte har något seriöst rättsligt försvar när man fortsätter att skicka européers data till USA."
Fyra dokument. noyb gör innehållet i de fyra relevanta dokumenten transparent. "Overview Document" klargör att Facebook tar tre steg för att komma fram till slutsatsen att man kan fortsätta att överföra data till USA, trots två domar från EU-domstolen: För det första motsäger man direkt två domar från EU-domstolen, som slog fast att USA:s övervakningslagar strider mot EU:s grundläggande rättigheter. I stället anser Facebook i sin "likvärdighetsbedömning" att EU:s och USA:s lagar i själva verket är likvärdiga. För det andra säger Facebooks "Factors Assessment" att risken för användarna är minimal - återigen i direkt motsats till EU-domstolen. I ett tredje steg nämns i Facebooks "Record of Safeguards" olika åtgärder som skulle motverka eventuella överträdelser av EU-lagstiftningen. I själva verket är ingen av dessa åtgärder relevanta för FISA-övervakning enligt avsnitt 702. De är en lista över branschens minimistandarder för säkerhet (enligt artikel 32 i GDPR) som gäller oberoende av USA:s övervakningslagar.
Även om de omfattande 86 sidorna försöker ge intryck av en sofistikerad analys, sammanfattas kärnan i Facebooks bedömning i slutsatsen i Facebooks TIA:
Med andra ord: Facebook säger helt enkelt att amerikansk lag är "likvärdig" med EU-lag, trots två beslut i EU-domstolen om motsatsen.
Djupdykning: noyb gjorde fyra videor där han läste upp sammanfattningar av alla fyra dokumenten som en del av en "djupdykning" i dessa dokument, som också förklarar innehållet i dessa dokument mer i detalj. Klicka här för djupdykningen. Med tanke på risken för att Facebook och den irländska DPC använder oseriösa tvister för att hämnas mot noyb via en "SLAPP-rättegång" har vi beslutat att läsa och beskriva dokumenten i detalj, vilket gör att alla kan få en god förståelse för dokumenten, samtidigt som risken för oseriösa stämningar från Facebook eller DPC minimeras.
Inget beslut av irländska DPC trots rättslig skyldighet. Det underliggande klagomålet har varit anhängigt sedan 2013 och har varit föremål för fem irländska förfaranden och två förfaranden i EU-domstolen, till en kostnad av över 10 miljoner euro. Du kan få en grov översikt över ärendet i grafiken nedan. Under 2020 har EU-domstolen återigen uttryckligen slagit fast att den dataskyddande myndigheten "ärskyldig att avbryta eller förbjuda en överföring av uppgifter" (punkt 121). I den senaste förlikningen mellan DPC och Schrems utlovades ett snabbt beslut den 12.1.2021. 8,5 år efter det ursprungliga klagomålet finns det fortfarande inget beslut i sikte - trots att DPC upprepade gånger "välkomnade" förtydliganden som gavs av varje förlust i domstolarna. Även när ett första beslut från DPC skulle utfärdas skulle det bli föremål för flera nivåer av överklaganden i Irland. Dokumenten visar dock att Facebook i själva verket inte har någon trovärdig rättslig grund för att överföra uppgifter om européer till USA - med risk för massiva böter och en omorganisation av hela verksamheten.
Europeiska kommissionens SCC-uppdatering missbrukad av Facebook? Grunden för Facebooks "Transfer Impact Assessment" är klausul 14 i de nya "Standard Contract Clauses" som antagits av Europeiska kommissionen. Denna nya uppsättning regler blev tillämplig eftersom DPC inte har fattat beslut i ärendet inom en rimlig tidsram. Fram till idag har Facebook ständigt bytt från en rättslig grund för dataöverföringar till en annan (först "Safe Harbor", sedan "Privacy Shield" och de gamla standardavtalsklausulerna och nu de nya standardavtalsklausulerna). Utöver dessa olika grunder för överföring har Facebook nyligen också tagit upp "avtalsmässig nödvändighet" och "samtycke" för alla dataöverföringar enligt artikel 49.1 i GDPR. Hittills verkar det inte som om DPC har undersökt dessa nya argument överhuvudtaget.
Schrems:"Den irländska dataskyddsmyndigheten är extremt långsam och har inte kontroll över dessa förfaranden. Facebook byter hela tiden argument, medan DPC inte ens har tagit ställning till beslutet från 2013. Facebook dominerar det här förfarandet - i stället för DPC."
Potentiell "SLAPP-stämning" av DPC och Facebook. Med tanke på många hot trots en tydlig rättslig grund för dessa publikationer förväntar sig noyb nu grundlösa "SLAPP-stämningar" (se en bra sammanfattning av John Oliver, tyvärr bara på YouTube) av DPC och/eller Facebook Ireland Limited. Det är inte osannolikt att Facebook eller DPC skulle försöka ta ett fall till Irland eller Storbritannien, eftersom dessa rättssystem är extremt dyra och en perfekt jurisdiktion för att förstöra en icke-statlig organisation. Vi har därför geoblockerat de relevanta dokumenten i dessa jurisdiktioner.
