За Шремс II и непреодолимите различия

analytics-3088958_1920

Въпреки изобилието от драматични обрати и разтърсващи промени в тази странна година, решението Шремс II някак изненадващо все пак успя да произведе новина. Това е донякъде странно, имайки предвид, че документът не е от най-дългите и запомнящи се с лапидарни фрази решения на Съда на ЕС („СЕС“) и освен това не казва по същество нищо ново, а констатира един добре известен факт. На какво дължим тази шумотевица?

За по-добра ориентация в лабиринта от правни ефекти, кулминирали в ефекта Шремс II ни е необходимо кратко упътване.

  • В периода 1995 – 2018 година в ЕС действаше Директива (общностен акт, нуждаещ се от транспониране в националното право на държавите членки) за защита на личните данни.
  • Правоприемник на Директивата, в действие от 25 май 2018, е Общият регламент за защита на личните данни (GDPR). Той се прилага пряко. Като идеология GDPR не е чак толкова по-различен от директивата. В основни линии регламентът се отличава с по-широко приложно поле, по-конкретно разписани задължения и пряка приложимост. О, да – и с по-големи санкции.
  • Такъв акт на федерално ниво в САЩ никога не е съществувал. Считано от началото на тази година в щата Калифорния има подобен Акт за ненамеса в личния живот на потребителите. Последният не е така изчерпателен, всеобхватен и не съдържа толкова задължения и отрицателни последици за администраторите на лични данни при неспазване както GDPR. Изглежда, подобно на Калифорния законодателство подготвя и щата Виржиния. Което не означава, че другите щати нямат никаква уредба на подобни теми, но тя е далеч от интензитета на калифорнийския закон.
  • Това, което американците имат обаче, са програми за масово (без причина и подбор) следене, както и множество основания, на които техните служби – ФБР и ЦРУ, могат да следят граждани на трети страни и да получават достъп до техните компютри и електронна информация (това е възможни и за граждани на САЩ, но за тях има предвидени в повечето случаи и възможност да се възрази по съдебен ред). Включително това може да се случва, когато данните преминават по подводни кабели в океана. За тези програми научихме от Едуард Сноуден през 2013 и макар че на някои от нас това звучи възмутително, президентът на САЩ удължи в началото на 2018 тяхното финансиране за още 6 години.
  • В Европа масовото следене не е разрешено. Има редица решения на СЕС по въпроса (Tele2Sverige and Watson; Digital Rights Ireland; като и решението от този месец). Може да се каже, че тази позиция на висшия съд в ЕС е циментирана. Във Великобритания може би масовото следене все пак ще бъде разрешено след Брексит.
  • По аргумент от горното, законодателствата относно ненамесата в личния живот и защитата на личните данни в ЕС и САЩ са фундаментално различни, като това в ЕС отдава по-голямо значение на човешките права на личен живот и защита на личните данни.
  • Въпреки това, по политически причини през 2000 година Европейската комисия прие решението „Безопасно пристанище“ (Safe Harbour), с което каза следното: законодателството на САЩ може да се счита за предоставящо адекватна защита по отношение на личните данни на европейските граждани, ако определени компании, действащи в САЩ, са се съгласили да прилагат описаните в решението принципи на защита и са го обявили на Федералната търговска комисия на САЩ. Звучи ли ви логично? Вероятно не, ако сте чели до тук с разбиране. Ако дадена компания се съгласи да прилага определени принципи спрямо трето лице, това ще отмени ли законодателството в страната, където тази компания е регистрирана? Няма как. Т.е., програми за масово следене в САЩ  има (друг е въпросът, че те са известни на широката общественост от 2013 година), законодателствата на ЕС и САЩ са различни, но данни на европейски граждани се обработват предимно в САЩ, за да върви цифровата търговия. Всичко е наред…
  • Поне до 2015 година, когато СЕС, в отговор на инициатива, започната от австрийския студент по право Максимилиан Шремс, призна очевидното в решението Шремс I: законодателствата на ЕС и САЩ по отношение на масовото следене, личния живот и защитата на личните данни на хората въобще, и особено на гражданите на ЕС, не са подобни. Европейските граждани нямат адекватна защита в САЩ на цифровите права, които са им гарантирани в ЕС. Решението „Безопасно пристанище“ е „убито“. Трябва да се намери друг начин цифровата търговия между ЕС и САЩ да продължи.
  • Започнаха трескави совалки, в резултат на което на следващата година се появи решението „Щит на ненамесата в личния живот“ (Privacy Shield). Решението уж съдържа повече гаранции за личните данни, например предвидено е да има омбудсман в САЩ, на когото да можеш да се оплачеш и той да се скара на службите. Законодателството на САЩ все така не се е променило – 11-ти септември предоставя почти безапелационен аргумент в ръцете на правораздавателните органи: трябва да можем да прихващаме информационните потоци и редовно да проверяваме какво се случва там. Този път господин Шремс знаеше какво да прави и решението „живя“ само 4 години (е, все е полза) до лятото на 2020, когато СЕС отново констатира фактите.

Какъв е големият проблем?

В цифровите отношения между ЕС и САЩ САЩ е доставчикът на услуги, а ЕС е ползвателят или по-точно – един от ползвателите. Технологичните гиганти пишат правилата на играта, а европейските участници получават безплатни или достатъчно евтини удобства – от безплатна поща, през надеждна облачна инфраструктура – от новини и забавление, през комуникационен канал до достъп до пазар и реклама чрез профилите си в социалните мрежи. Сделката се състои в голяма степен в следното: ние ви предоставяме услуга и вие не ни давате пари за нея. Давате ни, обаче, вашето време, вашето внимание и вашите лични данни – предпочитания, имена, снимки, предразсъдъци, пристрастия, приятелства… и ни го давате в огромен обем – давате ни големи данни.

На пръв поглед тази сделка минава през иглените уши на европейското законодателство за личните данни. Без да навлизам в детайлите – повече или по-малко ние сме съгласни да ни показват реклама и определено съдържание срещу лукса да сме постоянно свързани, да обменяме мисли, идеи и ругатни с целия свят, да четем любимите си електронни издания на поточната линия на екрана и никога да не се уморяваме да „скролваме“ надолу, ad nauseam.

Това, което сделката не ни казва е нещо много просто: нашите данни, всички данни, всеки клик, сладка снимка на мопс, букет цветя, предложение за брак и продажба на бабиното пиано – всичко това отива в САЩ и се обработва. Донякъде ние знаем, и сме съгласни, социалната мрежа да ни профилира, анализира и пакетира съдържание според нашия human design, било то и в САЩ. Не бихме могли да знаем, обаче, че американските тайни и не толкова тайни служби имат право да правят същото по силата на законодателството на САЩ, без да можем да направим нищо и без да има каквото и да било причина за това. Просто така, тези данни могат да бъдат четени, всеки пост, всяка мисъл, реакция и небрежна снимка, от службите в САЩ. Службите получават без обяснения и необходимост от изтъкване на причина, по подразбиране, достъп до данните, течащи по подводните кабели към Щатите, но и до тези, обработвани от интернет посредници и платформи – като Фейсбук, Гугъл и Яху. Търсенето в гигантския океан от данни се случва по ключови думи / наименувани обекти и нашата кореспонденция, профил или взаимодействие с други потребители може много лесно да бъде „засмукано“ от правораздавателната фуния. Такова следене се нарича „масово“ или „безразборно“ и, както стана ясно по-горе – категорично не е законно в ЕС.

И така, господин Шремс е съобразил и изтъкнал тази „дребна“ разлика пред различни органи, а неговите констатации под формата на въпроси са стигнали до СЕС, който ги е потвърдил … два пъти, последният път през юли тази година. При положение, че става дума за нещо толкова елементарно, как тогава досега, съвсем незаконно, данните са преминавали от ЕС в САЩ? По два основни начина и благодарение на една заблуда.

Решенията за адекватност и тяхната клоняща към нула правна стойност според СЕС

Решенията Safe Harbour и Privacy Shield, въпреки многото си различия, по същество представляват едно политическо изявление на Европейската комисия. То е направено на база на изследване на състоянието на правото и някои допълнителни гаранции, дадени от САЩ на ЕС в тази връзка (например, въвеждането на фигурата на омбудсмана – лицето, на което ЕС гражданите да се оплачат при незаконосъобразни обработки на личните им данни). Това изявление утвърждава, че, на база на разгледаните обстоятелства, обработването на лични данни на европейци в САЩ може да се случва при определени условия. Компаниите, които обработват данните, следва да поемат някои ангажименти и да се самосертифицират съобразно условията в даденото решение. Накратко казано, решенията на Комисията създават една условност или привидност, която разпростира сигурната и безопасна среда за европейските лични данни и върху САЩ. Независимо от многото условия, уговорки и положителните заключения, това решение не променя два факта – службите винаги и без причина имат достъп до личните данни на европейците, докато не такъв е случаят с европейските служби – те се нуждаят от легитимна причина и съдебно разрешение. В този аспект – е той е твърде важен! – няма как правото на САЩ да закриля личните данни в същата степен както правото на ЕС. На второ място, европейските граждани наистина могат да се оплачат на омбудсмана (a.k.a. – арменския поп) от злоупотреба или неправомерна обработка на техни данни в САЩ, но не могат да съдят службите за подобна намеса. Нито пък омбудсманът може да каже нещо на службите. Тези факти са известни отдавна, но никой от политическите фигури от двете страни на океана нямаше интерес или желание да пита Съда на ЕС дали смята, че политическото изявление, разминаващо се с правните реалности, и допускащо трансфер на данни без други гаранции, е законно. Шремс го направи и Съдът каза – не. И така основание за трансфер на данни без други гаранции в САЩ към момента няма. Нещо повече, СЕС казва, между другото, че всеки надзорен орган по защита на личните данни не само, че не е длъжен да приема всяко подобно решение за адекватност на Европейската комисия (включително и за други държави) като закон, ами може и даже е длъжен да го подлага на съмнение и проверка, с оглед на обстоятелствата на конкретния случай, по който се търси произнасяне от съответния орган. Оказа се и че стабилността на решенията за адекватност е била една (оптическа) илюзия – действието на всяко решение за адекватност може да бъде разколебано или отменено във всеки един момент, и дори не е нужно въпросът да стигне до СЕС, за да стане това – то може да се случи и на ниво държава членка.

Има ли друго? Разбира се, съществува „plugin„-ът, наречен стандартни договорни клаузи.

Стандартните клаузи са няколко вида в зависимост от това, дали са одобрени като текст от Европейската комисия или национален надзорен орган. Те съдържат уговорки, насочени към преноса на данни между администратори или от администратор към обработващ през граница, в трета държава с различно от ЕС законодателство. Стандартните договорни клаузи могат да бъдат „пришити“ към договор за обработка на лични данни или да бъдат подписани в самостоятелно споразумение между администратори от ЕС и държава извън ЕС и се считат за подходяща гаранция за пренос на лични данни (виж член 46, т.2, буква „в“ и „г“ от GDPR). Чудесно, може би можем да използваме тях? Не толкова бързо. Макар и с доста заобикаляне и покашляне, СЕС доста ясно казва и по отношение на тях следното в решението Шремс II – договорът си е договор, ама законът си е закон. Т.е., колкото и чудесни договорни клаузи да подпишете с вашия съконтрахент социалната мрежа, за да прехвърлите данните за посетените уебсайтове от страна на холандския гражданин Х в САЩ, вие не можете да заобиколите или изключите действието на федералния закон на САЩ. А той си остава същият, т.е., диаметрално противоположен на правото на ЕС. Съдът оставя възможност евентуално клаузите да се използват, ако към тях се добавят други мерки за защита – например силно криптиране на изпращаните данни. Това би могло да свърши работа в доста малък брой случаи – например, ако искаме само да съхраняваме данни в облак, чиято инфраструктура се намира в САЩ, но не и ако искаме постоянно те да бъдат достъпни за ползване – какъвто е случаят със социалните мрежи, например. Както казва госпожа Ивон Кунан, помощник главен юрист във Фейсбук – „не е ясно как, при това положение, [компанията] … може да продължи да предоставя своите Facebook и Instagram услуги в ЕС.“

Засега това не изглежда да е чак толкова непосредствена опасност, обаче. Въпреки решението на СЕС от юли тази година, ирландската комисия по защита на личните данни, която трябва да го приложи на практика като спре трансфера от Ирландия (където е ЕС базата на Facebook и откъдето формално трансфера започва) към САЩ, „необяснимо“ се бави. Можем да си представим огромните последици, които изтеглянето на BigTech от Ирландия би могло да има за икономиката на последната, особено под знака на COVID-19. По тази причина господин Шремс отново се отправя към обичайното си бойно поле – съда. Решението на ирландския съд по темата с трансферите на Фейсбук в светлината на Шремс II се очаква да се гледа в края на годината. Междувременно, лобистите на Facebook в Брюксел не спят – те трябва да подпомогнат Европейската комисия да приеме нов модел стандартни договорни клаузи, които отново ще трябва да бъдат атакувани и които уж ще трябва да защитават европейските лични данни по нов, радикално различен начин. Очаква се и клаузите, непипвани от 2010 насам, въпреки приемането на GDPR междувременно, да бъдат изготвени с бясна за Брюксел скорост, почти като COVID-19 ваксина – отново до края на годината. Междувременно огромният рекламен и реален бизнес чака със затаен дъх изхода от играта на криеница между право и политика.

Image by xresch from Pixabay

Leave a comment