Публикувано е заключението на генералния адвокат по дело C-311/18 в Съда на ЕС

Ирландската Комисия за защита на данните (DPC) излезе със специално изявление във връзка със становището на генералния адвокат Saugmandsgaard Øe, че Решение 2010/87/EС на Комисията, относно стандартните договорни клаузи при предаването на лични данни в трети страни, е валидно.

На сайта на DPC беше публикувана позицията на надзорния орган по заключението на генералния адвокат Saugmandsgaard Øe във връзка с дело № C-311/18 Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems. В публикацията се посочва, че становището илюстрира нивата на сложност, свързани с видовете проблеми, които възникват, когато законите на ЕС за защита на данните взаимодействат със законите на трети страни, включително законите на Съединените щати. Изброяват се важните въпроси като този дали се прилага законодателството на ЕС, когато личните данни на субекта на данни се обработват от публичните органи в трета държава.

В края се посочва, че сложните въпроси тепърва ще се решават от Европейския Съд, и DPC приветства яснотата на анализа, съдържащ се в становището на генералния адвокат.

Там се посочва, че в Общия регламент относно защитата на данните (ОРЗД), както и в заменената с него Директива за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, се предвижда, че предаване на лични данни на трета държава се осъществява само при условие че тя осигурява адекватно ниво на защита на тези данни. Когато няма решение на Комисията, установяващо осигуреното в съответната трета страна адекватно ниво на защита, администраторът може да предава лични данни само ако е осигурил подходящи гаранции. Тези гаранции могат по-конкретно да бъдат под формата на договор между предаващия и получаващия личните данни, включващ стандартни клаузи за защита на данните, предвидени в решение на Комисията. В Решение 2010/87/EС Комисията залага стандартни договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни. Настоящото дело е относно валидността на това решение.

Факти и обстоятелства по спора в главното производство

Преди делото по главното производство има образувано дело по искане на г-н Maximillian Schrems, австрийски ползвател на Facebook, по което вече има решение на Съда на ЕС („Schrems“), постановено на 6 октомври 2015 г.

Личните данни на ползвателите на „Фейсбук“, като г-н Schrems, се предават, изцяло или отчасти, от Facebook Ireland, ирландското дъщерно дружество на Facebook Inc., на сървъри, разположени на територията на Съединените щати, където се обработват. През 2013 г. г-н Schrems подава жалба до ирландския орган, на който е възложено да следи за прилагането на разпоредбите относно защитата на личните данни (наричан по-нататък „надзорният орган“), тъй като смята, че с оглед на направените от г-н Едуард Сноудън разкрития относно дейността на разузнавателните служби на Съединените щати, и поспециално дейността на National Security Agency (наричана по-нататък „NSA“), правото и практиките на Съединените щати не осигуряват достатъчна защита срещу наблюдението от страна на публичните органи на предаваните към тази страна данни. Надзорният орган отхвърля тази жалба по-конкретно с мотива, че в решението си от 26 юли 2000 г. Комисията приема, че в рамките на т.нар. режим на „сфера на неприкосновеност на личния живот“, Съединените щати гарантират адекватно ниво на защита на предаваните лични данни.

В решение Schrems, в отговор на въпрос, поставен от High Court (Висш съд, Ирландия), Съдът на ЕС обявява решение „Сфера на неприкосновеност на личния живот“ за невалидно.

След постановяването на решение Schrems запитващата юрисдикция отменя решението, с което контролният орган е отхвърлил жалбата на г-н Schrems, и го връща на този орган за ново разглеждане. Той започва разследване и приканва г-н Schrems да преформулира жалбата си с оглед на обезсилването на решение „Сфера на неприкосновеност на личния живот“.

За целта г-н Schrems иска от Facebook Ireland да посочи правните основания за предаването на личните данни на ползвателите на Facebook от Съюза към Съединените щати. Facebook Ireland посочва споразумение, което е сключило с Facebook Inc. за предаване и обработване на данни (data transfer processing agreement), приложимо от 20 ноември 2015 г. и се позовава на Решение 2010/87.

В преформулираната си жалба г-н Schrems изтъква, от една страна, че клаузите в това споразумение не са съобразени с типовите договорни клаузи, предвидени в Решение 2010/87, и от друга страна, че при всяко положение тези типови договорни клаузи не биха могли да са основание за предаване на неговите лични данни към Съединените щати.

Г-н Schrems всъщност твърди, че няма никакъв способ за защита, чрез който засегнатите лица да могат да предявят в Съединените щати правото си на зачитане на личния живот и на защита на личните данни. При тези обстоятелства г-н Schrems иска от надзорния орган да спре предаването въз основа на Решение 2010/87.

С разследването си надзорният орган иска да установи дали Съединените щати гарантират адекватна защита на личните данни на гражданите на Съюза, и ако това не е така, дали използването на типовите договорни клаузи дава достатъчни гаранции във връзка със защитата на техните основни свободи и права. Тъй като смята, че отговорът на жалбата на г-н Schrems зависи от отговора на въпроса дали Решение 2010/87 е валидно, надзорният орган образува производство пред High Court, за да отправи той запитване до Съда по този въпрос. High Court отправя исканото от този орган преюдициално запитване.

В заключението си, представено днес (19 декември), генералният адвокат Henrik Saugmandsgaard Øe предлага на Съда на ЕС да отговори, че при анализа на въпросите не е установено нищо, което да може да се отрази на валидността на Решение 2010/87.

В началото генералният адвокат отбелязва, че единственият проблем по делото в главното производство е да се определи дали е валидно Решение 2010/87, с което Комисията въвежда типовите договорни клаузи, посочени в подкрепа на предаването, изложено в жалбата на г-н Schrems.

На първо място, генералният адвокат отбелязва, че правото на Съюза се прилага за предаването на лични данни към трета страна, когато това предаване е подчинено на търговски цели, дори ако предадените данни могат да бъдат подложени на обработване от публичните власти на тази страна за нуждите на националната сигурност.

На второ място, генералният адвокат отбелязва, че целта на разпоредбите на ОРЗД относно предаването на трети страни е да се гарантира постоянно високо равнище на защита на личните данни, независимо дали данните се предават въз основа на решение относно адекватно ниво на защита или по силата на предоставените от предаващия данните адекватни гаранции. Според него начинът за постигане на тази цел е различен в зависимост от правната основа на предаването. От една страна, целта на решение относно адекватно ниво на защита е да се установи, че конкретна трета страна поради прилаганото в нея право и практики гарантира равнище на защита на основните права на лицата, чиито лични данни се предават, по същество еднакво с това, което се получава в резултат на ОРЗД, тълкуван в светлината на Хартата. От друга страна, самите предоставяни от предаващия данните адекватни гаранции, по-специално чрез договорните клаузи, трябва да гарантират такова равнище на защита. В това отношение приетите от Комисията типови договорни клаузи предвиждат общ механизъм, приложим при предаването, независимо от третата страна, към която се предават личните данни и гарантираното в нея равнище на защита.

На трето място, генералният адвокат изследва валидността на Решение 2010/87 от гледна точка на Хартата. Той счита, че сам по себе си фактът, че това решение и изложените в него типови договорни клаузи не обвързват органите на третата страна, към която се предават данните, и следователно не са пречка за тях да наложат на предаващия данните задължения, несъвместими със спазването на тези клаузи, не води до невалидност на това решение. Съответствието на Решение 2010/87 на Хартата зависи от това дали има достатъчно солидни механизми, които позволяват да се гарантира, че предаването, основано на типовите договорни клаузи, ще бъде спряно или забранено при нарушаването на тези клаузи, или когато е невъзможно те да бъдат спазени.

Според него това е така, защото е налице задължение – за администраторите на данни, а в случай на бездействие от тяхна страна, за надзорните органи, да спрат или да забранят предаването, когато поради конфликт между задълженията, произтичащи от типовите клаузи, и наложените от правото на третата страна, към която се предават данните, е възможно тези клаузи да не бъдат спазвани.

Генералният адвокат отбелязва също, че запитващата юрисдикция косвено оспорва някои от направените от Комисията преценки в решение от 12 юли 2016 г., наречено „Щит за защита на личните данни“. В това решение Комисията установява, че Съединените щати гарантират адекватно равнище на защита на личните данни, предавани от Съюза в рамките на установения с това решение режим, с оглед именно на гаранциите около достъпа на американските разузнавателни служби до тези данни, както и на осигурената на лицата, чиито данни се предават, правна защита. Според генералния адвокат за решаването на делото в главното производство не е необходимо Съдът да се произнася по валидността на решение „Щит за защита на личните данни“, тъй като спорът е единствено относно валидността на Решение 2010/87. При условията на евентуалност генералният адвокат все пак излага причините, поради които си задава въпроси относно валидността на решение „Щит за защита на личните данни“ с оглед на правото на защита на личния живот и защитата на личните данни и правото на ефективна защита.

Пълният текст на Заключението е публикуван ТУК.

Можете да споделите: