Трансфер на данни и едно европейско решение, защитаващо европейски ценности, които всички искаме (но можем ли и знаем ли как да ги защитим?)

Решението по дело C‑311/18 на Съда на ЕС (по казуса „Шремс II“) свари неподготвени европейските институции, надзорни органи и експерти.

Интересен въпрос е защо след като дефицитите на правото на трета държава (в този случай визираме САЩ) са познати на европейската експертна сцена вече доста години, това решение все още изненадва? Всички, дори и тези, които не се занимават толкова задълбочено със защитата на поверителността, са чули и са наясно относно достъпа до данни от страна на американските служби. Защо никой не е мислил и не се е готвил за подобен сценарий, а тепърва всички анализират решението?!

Едно е ясно – бизнесът в Европа (особено този, който не е пряко свързан с дигиталната сфера) не бива да бъде жертва и да бъде принуден да плаща за тези дефицити, а институциите имат задължението да защитават основните права и свободи на хората, както и икономическото развитие на страните членки.

С повишен интерес и внимание наблюдаваме последиците от решението на СЕС, реакциите на надзорните органи и очакваме след изминалия отпускарски сезон да са налични ясни (еднакви за целия ЕС) насоки от надзорните органи. Това решение на Съда, последващата комуникация (в определени случаи – липсата на такава) създаде доста смут в средните и малките предприятия, които предприятия на този етап биха се озовали чисто формално в позицията на нарушители на GDPR, без изобщо да са наясно с това или да без да имат някакво отношение към тази „голяма дигитална игра/икономика/война“ и/или дигитална опасност, която се създава за европейските граждани поради опасни режими на трети държави.

Нашият съвет е администраторите на лични данни да поддържат, чрез тяхното длъжностно лице по защита на данните, непрестанен контакт с националния надзорен орган, да изискват и да спазват инструкциите му, докато този въпрос (към който голяма част нямат пряко отношение) се уточни по ясен и гарантиращ правна сигурност начин.

По-долу сме избрали за Вас една интересна статия по темата, с детайли и интересни моменти/въпроси – оригиналната статия на английски език можете да видите тук:  https://verfassungsblog.de/schrems-ii-re-examined/.

 

„Шремс II – преразгледано“

„Решението на Съда на ЕС по делото срещу Facebook Ireland Limited, Maximillian Schrems („Schrems II“; дело C-311/18) от 16 юли, вече привлече значително внимание. Сега, след като мина известно време, то заслужава да бъде преразгледано в светлината на важните му последици за регулирането на международните трансфери на данни съгласно GDPR. В тази статия ще разгледам четири важни въпроса, които Schrems II повдига във връзка с GDPR, а именно: (1) че решението прави значителни промени в някои наложили се възприятия за това как трансферите на данни се регулират съгласно GDPR; (2) че подходът на Съда към използването на одобрените от Комисията стандартни договорни клаузи за предаване на лични данни е донякъде тавтологичен; (3) че Съдът може да не е изложил предаването на данни в САЩ в толкова непосредствена опасност, колкото изглежда предполагат много коментатори; и (4) че решението може да отслаби привлекателността на GDPR като модел за възприемане от други държави.

Рамката на GDPR за предаване на данни

В „Schrems II“ Съдът като че ли игнорира йерархичната структура на механизмите за трансфер на данни, на които се основава Глава V от GDPR и по този начин поставя под въпрос отдавна установени възприятия за връзката между тях.

Надзорните органи за защита на данните традиционно изискват от износителя на данни първо да прецени дали третата държава осигурява адекватно ниво на защита съгласно член 45 от GDPR ​​(т.е. дали е издадено решение за адекватност за страната, в която се предават данните) и след това да предостави адекватни предпазни мерки съгласно член 46, ако не е налице решение за адекватност (вж. Насоки 2/2018 на Европейския комитет за защита на данните, стр. 3-4). Това поставя решенията за адекватност на върха на йерархията, като трябва да са налице подходящи предпазни мерки, ако такива не могат да бъдат използвани. Йерархичната връзка между двата механизма произтича както от езика на член 46, параграф 1 от GDPR, така и от факта, че решението за адекватност се основава на по-задълбочено и по-широко разследване на цялата правна система на трета държава, отколкото е възможно за страните, използващи адекватни гаранции за индивидуални трансфери на данни.

В „Schrems II“ обаче Съдът е приел не само, че стандартът на „съществена еквивалентност“ със законодателството на ЕС се прилага за адекватни гаранции като стандартните договорни клаузи (параграф 96), но и че критериите за оценка на адекватността, съдържащи се в член 45, параграф 2, също се прилагат по същия начин (параграф 104). Така Съдът изостави йерархията между тези два механизма за пренос на данни, въпреки изричната формулировка на GDPR и дългогодишната практика на надзорните органи по защита на данните. Може дори да се запитаме какъв е смисълът Комисията да оценява адекватността на трети държави, ако са налице подходящи предпазни мерки, основаващи се на едни и същи стандарти, имайки предвид, че те могат да бъдат приложени много по-бързо, отколкото може да бъде одобрено решение за адекватност.

В йерархията на механизмите за защита на данните, дерогациите съгласно член 49 от GDPR ​​се нареждат на дъното, тъй като те не са предназначени да осигуряват защита и трябва да се използват само, когато не са налице решение за адекватност или подходящи предпазни мерки (член 49, параграф 1). Съдът прави загадъчна препратка към дерогациите в пар. 202, заявявайки, че „с оглед на член 49“, обезсилването на решението на Комисията за приемане на Щита за личните данни като адекватен не създава правен вакуум. Това изглежда означава, че използването на дерогациите може да помогне за компенсиране на обезсилването на Щита за личните данни. Както от формулировката на член 49, така и от позицията на Европейския комитет (Насоки 2/2018 на Комитета, стр. 4) става ясно, че дерогациите трябва да се тълкуват стриктно, както следва от собствените становища на Съда, че дерогации от основните права следва да се използват само, когато е строго необходимо (вж. дело C-362/14 Schrems, параграф 92). По този начин дерогациите не могат да запълнят празнината, създадена от обезсилване на Щита за личните данни, освен в няколко ограничени случая.

Съдът и стандартните договорни клаузи

Преди „Schrems II“ имаше много безпокойство относно това дали Съдът ще обезсили стандартните договорни клаузи на основанието, че те са сключени между страни, предаващи лични данни, и че не могат да обвържат властите на трети държави. Съдът потвърди използването на клаузите, одобрени в Решение 2010/87 / ЕС на Комисията и изменени в Решение за изпълнение 2016/2297 на Комисията, като установи, че защитите, които те предоставят, не се основават на правната система на третата държава, в която се предават данните (както при решение за адекватност), а върху защитите, които страните, предаващи данните, осигуряват, за да е налице адекватно ниво на защита (параграф 131), което може да включва допълнителни мерки като „други клаузи или допълнителни предпазни мерки“ (параграф 132). Мотивите на Съда обаче изглеждат тавтологични, т.е. той приема, че макар договорните клаузи да не могат да обвързват властите на трети държави, това може да бъде коригирано чрез предпазни мерки, включително допълнителни клаузи (параграф 132).

По-убедителен аргумент за поддържане на използването на клаузите е положителната оценка на Съда на различните разпоредби в тях, които позволяват преустановяване или забрана на трансфери, когато клаузите са нарушени или става невъзможно да бъдат спазени (параграфи 137-148), както и акцентът върху това, че предоставят „ефективни механизми“ (параграф 147). След като помогнах за договарянето на стандартни договорни клаузи за 2010 г. с Комисията от името на Международната търговска камара (вж. FN 4 за рецитал 7 от Решение 2010/87 / ЕС на Комисията), съм доволен, че Съдът потвърди защитата, която те съдържат; в действителност, доколкото знам, това е първият път, когато Съдът дава положителна оценка (одобрение) на механизъм за трансфер на данни.

Съдът не посочи съдържанието на други клаузи или допълнителни предпазни мерки, които страните могат да използват със стандартни договорни клаузи, но, както беше обсъдено по-горе, те ще трябва да вземат предвид условията за адекватност, съдържащи се в член 45, параграф 2, буква а). Предоставянето на възможността за оценка на критерии за адекватност в ръцете на страните, които извършват трансфери на данни, може да доведе до правна несигурност, както призна Съдът (параграф 147). Европейският комитет по защита на данните заяви, че ще предостави допълнителни насоки в това отношение („Често задавани въпроси“ от Комитета от 23 юли 2020 г., стр. 5), но уреждането на спорове съгласно член 65 от GDPR ​​между надзорните органи по защита на данните относно видовете защитни мерки, които трябва да се използват, може да наложи Комитетът да се произнесе по въпроси, които могат да бъдат политически взривоопасни, като например дали определени трети държави спазват върховенството на закона или зачитат основните права.

Важно е да се отбележи, че Съдът не изисква допълнителните гаранции да осигуряват 100 % сигурност, че не може да се стигне до достъп до данни от трети страни, а по-скоро, че гаранциите представляват „ефективни механизми, които позволяват на практика да се гарантира спазването на нивото на защита, изисквано от правото на ЕС … “ (параграф 137). По този начин те трябва да се оценяват по стандарт на пропорционалност, а не на съвършенство. Ето няколко примера за клаузи и предпазни мерки:

Правни мерки: Страните по предаването на данни биха могли да се споразумеят за засилени правни гаранции, които се основават на тези в клаузите, но да осигуряват по-строги условия за спиране на потоците от данни и изтриване на данни в случай на неоторизиран достъп на правителството, както и по-строги наказания за нарушения на техните задължения.

Технически мерки: Силно криптиране може да бъде използвано, за да направи почти невъзможно за неоторизирани участници да четат данните.

Организационни мерки: Групи износители и вносители на данни (като например в търговска асоциация) могат да се ангажират да преустановят предаването на данни към държави, които не спазват върховенството на закона, въз основа на международно признати стандарти (например тези, публикувани от World Justice Project). Този подход вече се използва в други области, като справедливите трудови стандарти.

Предаване на данни към САЩ

Откакто беше обявено съдебното решение, имаше апокалиптични прогнози как това може да означава край на предаването на данни към САЩ. Реалността обаче вероятно ще бъде не толкова драматична. Въпреки че вече са подадени множество жалби (включително от noyb, неправителствената организация, оглавявана от Schrems), колелата на прилагането на защитата на данните се въртят бавно, особено след като жалбите, които касаят трансфер на данни от множество държави-членки, трябва да преминат през Европейския комитет, който стана известен със закъсненията. Надзорните органи по защита на данните също са склонни да внимават да не налагат високи санкции, преди да са напълно сигурни, че имат сериозен правен казус. Това означава, че данните вероятно ще продължат да текат над Атлантическия океан известно време, преди механизмът за прилагане на GDPR наистина да започне „да хапе“.

Два от основните въпроси, върху които Съдът се съсредоточи при обезсилването на Щита за личните данни, бяха механизмът на омбудсмана и достъпът до данни от американските власти. Въпросите, свързани с омбудсмана, може би са по-лесни за справяне в правен смисъл (ако приемем политическата воля за това в САЩ) и добре обмислено предложение в това отношение е направено от Кен Проп и Питър Суайър.

Въпросът за правителствения достъп до данни е по-труден, тъй като ще изисква стриктно спазване на критериите за пропорционалност, определени от Съда (вж. Параграф 176 и сл.). Във връзка с това, внимателното разглеждане на Становище 1/15 на Съда, където той обезсилва предложеното международно споразумение с Канада поради опасения относно защитата на данните, може да даде полезна отправна точка. По-нататъшни насоки от Съда може да се получат скоро по съединени дела C-623/17, C-511/18, C-512/18 и C-520/18, които включват предизвикателство за събирането на данни за целите на националната сигурност и борбата с тероризма в различни държави-членки плюс Обединеното кралство. Ако, както вероятно може да се очаква, решенията по тези дела доведат до ограничаване на обработването на данни от Съда за тези цели, това може да помогне за идентифициране на мерки, които биха могли да поставят потоците от данни между ЕС и САЩ на по-стабилна правна основа.

Тъй като Съдът заема толкова строга позиция в „Schrems II“, всяка надежда за стабилно и жизнеспособно приспособяване към трансфер на данни между ЕС и САЩ може да се основава само на промени в американското законодателство. Това ще зависи от политически фактори, които е невъзможно да се предвидят, и по-специално от резултатите от предстоящите избори в САЩ.

Последици за глобалния обхват на GDPR

ЕС позиционира GDPR като глобална отправна точка за защита на данните и неприкосновеността на личния живот (вж. съвместното изявление през май 2020 г. от комисарите Jourová и Reynders). Много държави са търсили решения за адекватност или са приели законодателство за защита на данните, основано на модела на ЕС, и GDPR е успешен пример в това отношение.

Насърчаването на GDPR в други региони с различни правни и културни традиции изисква ЕС да действа внимателно: стандартът на защита трябва да бъде висок, за да го превърне в желан модел, но трябва да бъде зададен на ниво, което е възможно за постигане от трети страни. Постигането на точния баланс се затруднява от очевидното напрежение между Съда, който затегна правните стандарти за предаване на данни през последните години, и Комисията, която почти изглеждаше приветстваща обезсилването на Щита за личните данни като възможност за договаряне на поредното споразумение за трансфер на данни със САЩ (вж. изявлението на комисар Рейндърс след решението).

Решението обаче може да накара някои трети държави да се замислят дали си струва да се стремят да постигнат стандартите на ЕС за защита на данните и да се ангажират с продължителни преговори само, за да се постигне споразумение или решение за адекватност въз основа на него, което да бъде обезсилено по-късно. След като се увери, че трансферите на данни трябва да отговарят на високи стандарти, ЕС също трябва да се погрижи да не поставя прекалено високи изисквания, като, в противен случай, може да направи GDPR по-малко привлекателен модел за трети страни.“

 

Преводът на статията е изготвен от адв. Иванка Атанасова, правен експерт към АЗЛД.