EU-domstolen ogiltigförklarar "Privacy Shield" i mål om övervakning i USA. SCC får inte användas av Facebook och liknande företag.
Facebook och liknande företag får inte heller använda "SCCs" för att överföra data eftersom DPC måste stoppa överföringar enligt detta instrument. Schrems: "Vi behöver en övervakningsreform i USA. Domstolen har klargjort att det inte får förekomma någon överföring av uppgifter i strid med EU-lagstiftningen."
Max Schrems (ordförande för noyb.eu och part i målet) första reaktion på domen:
Schrems: "Jag är mycket glad över domen. Det verkar som om domstolen har följt oss i alla avseenden. Det här är ett hårt slag mot den irländska dataskyddsmyndigheten och Facebook. Det står klart att USA måste ändra sina övervakningslagar på allvar om amerikanska företag vill fortsätta att spela en viktig roll på EU-marknaden."
USA:s övervakningsreform är oundviklig - EU-domstolen säger det bara rakt ut
EU-domstolen var tydlig med att USA:s långtgående övervakningslagar står i strid med EU:s grundläggande rättigheter. USA begränsar de flesta skyddsåtgärder till "amerikanska personer", men skyddar inte uppgifter om utländska kunder till amerikanska företag från NSA. Eftersom det inte finns något sätt att ta reda på om man själv eller ens företag är föremål för övervakning har man inte heller någon möjlighet att vända sig till domstol. EU-domstolen konstaterade att detta strider mot "själva kärnan" i vissa av EU:s grundläggande rättigheter.
Schrems: "Domstolen klargjorde nu för andra gången att det finns en motsättning mellan EU:s integritetslagstiftning och USA:s övervakningslagstiftning. Eftersom EU inte kommer att ändra sina grundläggande rättigheter för att göra NSA till lags, är det enda sättet att överbrygga denna konflikt att USA inför en solid rätt till skydd för privatlivet för alla människor - även utlänningar. Övervakningsreformen blir därmed avgörande för affärsintressena i Silicon Valley."
"Denna dom är inte orsaken till en begränsning av dataöverföringar, utan en konsekvens av USA:s övervakningslagar. Man kan inte klandra domstolen för att säga det oundvikliga - när skiten träffar fläkten kan man inte skylla på fläkten."
EU-kommissionen böjde sig för USA:s påtryckningar
Domen klargör också att EU-kommissionen inte har gjort en grundlig och korrekt bedömning av USA:s övervakningslagar inom ramen för Privacy Shield. Istället böjde man sig för USA:s påtryckningar när Privacy Shield antogs.
Herwig Hofmann, juristprofessor vid Luxemburgs universitet och en av de advokater som förde Schrems-ärendena inför EU-domstolen: "EU-domstolen har ogiltigförklarat det andra kommissionsbeslutet som kränker EU:s grundläggande dataskyddsrättigheter. Det får inte ske någon överföring av uppgifter till ett land med former av massövervakning. Så länge som amerikansk lag ger USA:s regering befogenhet att dammsuga upp EU-uppgifter som överförs till USA kommer sådana instrument att ogiltigförklaras om och om igen. Kommissionens godkännande av USA:s övervakningslagar i beslutet om Privacy Shield lämnade dem utan försvar."
Dataskyddsmyndigheter har en "skyldighet att agera" - viktig förstärkning för GDPR
Domstolen har också klargjort att EU:s dataskyddsmyndigheter har en skyldighet att vidta åtgärder. Domstolen betonade att dataskyddsmyndigheterna är "skyldiga att fullgöra sitt ansvar för att se till att dataskyddsförordningen tillämpas fullt ut med all vederbörlig aktsamhet". Hittills har många dataskyddsmyndigheter ansett att de har obegränsat utrymme att se mellan fingrarna. Domstolen har nu satt stopp för denna praxis.
Schrems: "Domstolen säger inte bara till den irländska dataskyddsmyndigheten att göra sitt jobb efter sju års passivitet, utan också till alla europeiska dataskyddsmyndigheter att de har en skyldighet att vidta åtgärder och inte bara kan titta åt andra hållet. Detta är ett grundläggande skifte som går långt utöver dataöverföringar mellan EU och USA. Myndigheter som den irländska dataskyddsmyndigheten har hittills undergrävt framgången med GDPR genom att helt enkelt inte behandla klagomål. Domstolen har tydligt sagt åt dataskyddsmyndigheterna att sätta igång och verkställa lagen."
SCC kan inte längre användas av Facebook och amerikanska företag som omfattas av USA:s övervakning
Domstolen har också anslutit sig till Schrems uppfattning att EU-företag och mottagare av uppgifter utanför EU i ett första steg måste granska lagstiftningen i respektive tredjeland. Endast om det inte finns någon motstridig lag kan de sedan använda sig av SCC. Som ett andra skyddslager måste den relevanta dataskyddsmyndigheten använda den "nödklausul" som finns inbyggd i standardavtalsklausulerna (artikel 4 i beslutet om standardavtalsklausuler). I de fall där USA:s övervakningslagar bryter mot EU:s principer för dataskydd har företagen inte vidtagit några åtgärder. DPC har bekämpat denna idé sedan 2016 med det falska påståendet att det hade befogenhet att inte göra någonting inför massövervakning av utländska makter. Sammanfattningsvis innebär detta att Facebook inte längre får använda SCC för dataöverföringar mellan EU och USA och om de fortsätter att bryta mot lagen måste Datainspektionen vidta brådskande åtgärder - i motsats till vad som hävdades i de första reaktionerna på domen.
Schrems: "Domen klargör att företag inte bara kan skriva under SCC, utan också måste kontrollera om de kan efterlevas i praktiken. I fall som Facebook, där de inte vidtar några åtgärder, hade DPC lösningen på det här fallet i sina egna händer hela tiden. Hon kunde ha beordrat Facebook att stoppa överföringarna för flera år sedan. I vårt klagomål krävde vi att hon skulle utfärda ett förbudsmeddelande med en rimlig genomförandeperiod för att tillåta Facebook att vidta alla nödvändiga åtgärder. Istället vände hon sig till EU-domstolen för att ogiltigförklara SCC:erna, som är giltiga. Det är som att ropa på den europeiska brandkåren för att man inte har lust att blåsa ut ljuset själv.
Användarna måste enas & extremt höga kostnader
Det faktum att detta ärende har pågått i 7 år och att DPC ensamt har spenderat nästan 3 miljoner euro för att bekämpa Schrems klagomål i stället för att vidta beslutsamma åtgärder för att skydda européernas rättigheter, visar också på några grundläggande brister i GDPR:s system för verkställighet. Det är för närvarande omöjligt för en normal person att se till att GDPR-rättigheter inte bara är ett tomt löfte, utan istället blir en normal del av våra digitala liv.
Schrems: "DPC har investerat 2,9 miljoner euro mot oss - och i själva verket förlorat. Jag vill inte ens veta hur många miljoner Facebook har satsat på det här fallet. De ekonomiska följderna av det här fallet kommer nu att avgöras av de irländska domstolarna. Enligt EU-lagstiftningen måste en medborgares klagomål behandlas snabbt och kostnadsfritt. I det här fallet har vi dock varit i domstol i 7 år och lämnat in mer än 45 000 sidor med dokument. Myten om att en juridikstuderande bara kan göra detta på egen hand är tyvärr felaktig."
"Nödvändiga" dataflöden till USA kan fortsätta
Trots de ogiltigförklaringar som gjorts genom domen kan absolut "nödvändiga" dataflöden fortsätta att flöda enligt artikel 49 i GDPR. Alla situationer där användare vill att deras uppgifter ska flöda utomlands är fortfarande lagliga, eftersom detta kan baseras på användarens informerade samtycke, som kan återkallas när som helst. På samma sätt tillåter lagen dataflöden som är "nödvändiga" för att fullgöra ett avtal. Detta är en solid grund för de flesta juridiska transaktioner med USA. Med andra ord: USA har nu återförts till den "normala" situation som EU har med de flesta andra tredjeländer, men förlorat sitt särskilda tillträde till EU-marknaden på grund av den amerikanska övervakningen.
Schrems:"Domstolen framhöll uttryckligen att ogiltigförklarandet av Privacy Shield inte kommer att skapa ett "rättsligt vakuum", eftersom de ytterst nödvändiga dataflödena fortfarande kan genomföras. USA återgår nu helt enkelt till att vara ett genomsnittligt land utan särskild tillgång till EU-data."
v1
