Съдът на Европейския съюз потвърди решението за стандартните договорни клаузи и обяви за невалидно решението за Щита за личните данни в отношенията между ЕС и САЩ

Днес беше публикувано дългоочакваното решение по запитването на Ирландския надзорен орган

Съдът на ЕС излезе с решение по делото Фейсбук Ирландия. На сайта си Комисията за защита на личните данни публикува следното съобщение: „Съдът на ЕС излезе с решение по делото между Фейсбук Ирландия и г-н Шремс. С него се обявява за валидно Решението на ЕК от 2010 относно стандартните договорни клаузи (Решение на ЕК 2010/87/ЕС), но е обявено за недействително Решението на ЕК относно Щита за личните данни в отношенията между ЕС и САЩ. Мотивите на Съда са, че са налице ограничения на защитата на личните данни, които произтичат от вътрешноправната уредба на Съединените щати относно достъпа и използването на тези данни от американските публични органи. Съдът намира, че тези ограничения са непропорционални, както и че механизмът за защита правата на субектите на данни пред омбудсмана на САЩ не предоставя достатъчно гаранции за правата на лицата, които да са равностойни на тези, съществуващи в ЕС.

Предвид това решение, предаването на лични данни ще следва да се осъществява посредством другите действащи механизми на Регламент (ЕС) 2016/679, предоставящи подходящи гаранции за субектите на данни, като задължителните фирмени правила, стандартните клаузи за защита на данните, приети от Европейската комисия, стандартните клаузи за защита на данните, приети от надзорен орган по защита на данните, или договорните клаузи, разрешени от такъв надзорен орган. Определянето на стандартни клаузи за защита на данните, даването на разрешение за договорни клаузи и одобряването на задължителни фирмени правила от надзорен орган по защита на данните са предмет и на становище от страна на Европейския комитет по защита на данните.“

В петък, 17 юли, 2020 г. Европейският комитет по защита на данните (EDPB) прие  изявление, в което приветства решението на CJEU, което подчертава основното право на неприкосновеност на личния живот в контекста на прехвърлянето на лични данни на трети страни. „EDPB обсъди решението на Съда по време на 34-ата си пленарна сесия от 17 юли 2020 г.“, пише в изявлението.

Най-интересната част от изявлението е следната: The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)

…The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.

EDPB припомня, че издаде насоки относно дерогациите по член 49 от GDPR (2); и че такива дерогации трябва да се прилагат за всеки отделен случай.

EDPB ще оцени решението по-подробно и ще предостави допълнително разяснение на заинтересованите страни и насоки относно използването на инструменти за прехвърляне на лични данни към трети страни в съответствие с решението.

(1) See EDPB, EU-U.S. Privacy Shield  – Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   – Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

Прессъобщение на Съда на ЕС:

Общият регламент относно защитата на данните1 (ОРЗД) гласи, че предаване на такива данни на трета държава по принцип може да има само ако въпросната трета държа осигурява адекватно ниво на защита на тези данни. Съгласно този регламент Комисията може да констатира, че дадена трета държава осигурява, по силата на вътрешното си законодателство или на международните си ангажименти, адекватно ниво на защита2. При липсата на подобно решение относно адекватното ниво на защита такова предаване може да се извърши само ако износителят на лични данни, установен в Съюза, предвижда подходящи гаранции, които по-специално могат да произтичат от стандартни клаузи за защита на данните, приети от Комисията, и ако са налице приложими права на субектите на данни и ефективни правни средства за защита3. Всъщност ОРЗД подробно установява условията, при които такова предаване може да се осъществи при липсата на решение относно адекватното ниво на защита или на подходящи гаранции4.

Г-н Maximillian Schrems, пребиваващ в Австрия гражданин на тази държава, е потребител на Facebook от 2008 г. Също както при другите пребиваващи в Съюза потребители, личните данни на г-н Schrems изцяло или частично се предават от Facebook Ireland към разположени на територията на Съединените щати сървъри на Facebook Inc., където се обработват. Г-н Schrems подава жалба до ирландския надзорен орган, с която по същество иска забрана на това предаване. Той твърди, че правото и практиките на Съединените щати не предлагат достатъчна защита срещу достъпа от публичните органи до данните, предавани на тази държава. Тази жалба е отхвърлена, по-специално тъй като в Решение 2000/5205 (т. нар. решение „сфера на неприкосновеност на личния живот“) Комисията е констатирала, че Съединените щати гарантират достатъчна степен на защита. С решение, постановено на 6 октомври 2015 г., Съдът, сезиран с преюдициално запитване от High Court (Висш съд, Ирландия), обявява това решение за невалидно (наричано по-нататък „решението Schrems I“) 6.

1 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (ОВ L 119, 2016 г., стр. 1).

2 Член 45 от ОРЗД.

3 Член 46, параграф 1 и параграф 2, буква в) от ОРЗД.

4 Член 49 от ОРЗД.

5 Решение на Комисията от 26 юли 2000 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ (ОВ L 215, 2000 г., стр. 7; Специално издание на български език, 2007 г., глава 16, том 1, стр. 64).

6 Решение на Съда от 6 октомври 2015 г., Schrems, C-362/14 (вж. също Прессъобщение № 117/15).

След решение Schrems I и последващата отмяна от ирландския съд на решението, с което се отхвърля жалбата на г-н Schrems, ирландският надзорен орган приканва последния да преформулира жалбата си предвид обявяването от Съда на Решение 2000/520 за невалидно. В преформулираната си жалба г-н Schrems поддържа, че Съединените щати не предлагат достатъчна защита на предаваните на тази държава данни. Той иска да се спре или да се забрани за в бъдеще предаването на личните му данни от Съюза към Съединените щати, което Facebook Ireland извършва понастоящем въз основа на стандартните договорни клаузи, съдържащи се в приложението към Решение 2010/877. Тъй като счита, че разглеждането на жалбата на г-н Schrems зависи по-специално от валидността на Решение 2010/87, ирландският надзорен орган инициира производство пред High Court (Висш съд) с цел последният да отправи преюдициално запитване до Съда. След започването на това производство Комисията приема Решение 2016/1250 относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ8 (т.нар. решение „Щит за личните данни“).

С преюдициалното си запитване запитващата юрисдикция отправя до Съда въпроси за приложимостта на ОРЗД спрямо предаването на лични данни, основано на стандартните клаузи за защита, съдържащи се в Решение 2010/87, за изискваното от този регламент ниво на защита в рамките на такова предаване и за задълженията на надзорните органи в този контекст. Освен това High Court поставя въпроса за валидността както на Решение 2010/87, така и на Решение 2016/1250.

С днешното си решение Съдът констатира, че при разглеждането на Решение 2010/87 с оглед на Хартата на основните права не се установяват обстоятелства, които могат да засегнат неговата валидност. Той обаче обявява Решение 2016/1250 за невалидно.

Съдът най-напред счита, че правото на Съюза, и по-специално ОРЗД, се прилага за предаване на лични данни за търговски цели от икономически оператор, установен в държава членка, към друг икономически оператор, установен в трета държава, въпреки че по време на предаването или след него тези данни могат да се обработват от органите на съответната трета държава за целите на обществената сигурност, отбраната и държавната сигурност. Той пояснява, че това обработване на данни от органите на трета държава не може да изключи посоченото предаване от приложното поле на регламента. Що се отнася до изискваното ниво на защита в рамките на такова предаване, Съдът приема, че изискванията, предвидени за тази цел от разпоредбите на ОРЗД, свързани с подходящи гаранции, приложими права и ефективни правни средства за защита, трябва да се тълкуват в смисъл, че лицата, чиито лични данни са предадени на трета държава въз основа на стандартни клаузи за защита на данните, трябва да се ползват с ниво на защита, което по същество е равностойно на гарантираното в Съюза с този регламент, разглеждан в светлината на Хартата. В този контекст той пояснява, че при оценката на това ниво на защита трябва да се вземат предвид както договорните клаузи, уговорени между износителя на данни, установен в Съюза, и получателя на предаването, установен в съответната трета държава, така и, що се отнася до евентуалния достъп на публичните органи на тази трета държава до така предадените лични данни, релевантните елементи на нейната правна система.

Що се отнася до задълженията на надзорните органи в контекста на такова предаване, Съдът приема, че освен ако съществува надлежно прието от Комисията решение относно адекватното ниво на защита, тези органи по-специално са задължени да спрат или да забранят предаването на лични данни на трета държава, когато считат с оглед на

7 Решение на Комисията от 5 февруари 2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (ОВ L 39, 2010 г., стр. 5), изменено с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г. (ОВ L 344, 2016 г., стр. 100).

8 Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 година съгласно Директива 95/46/ЕО относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (ОВ L 207, 2016 г., стр. 1).

обстоятелствата във връзка с това предаване, че стандартните клаузи за защита на данните не са или не могат да бъдат спазени в тази трета държава и че защитата на предаваните данни, изисквана от правото на Съюза, не може да бъде осигурена с други средства, в случай че самият установен в Съюза износител не е спрял или прекратил това предаване.

По-нататък, Съдът проверява валидността на Решение 2010/87. Според Съда валидността на това решение не се поставя под въпрос от самия факт, че съдържащите се в него стандартни клаузи за защита на данните не обвързват, поради своя договорен характер, органите на третата държава, на която могат да се предават данни. Той обаче пояснява, че тази валидност зависи от това дали посоченото решение съдържа ефективни механизми, позволяващи на практика да се осигури спазването на изискваното от правото на Съюза ниво на защита и предаването на лични данни, основаващо се на такива клаузи, да бъде спряно или забранено в случай на нарушение на тези клаузи или при невъзможност за спазването им. Съдът установява, че Решение 2010/87 въвежда такива механизми. В това отношение той по-специално подчертава, че това решение установява задължение за износителя на данни и за получателя на предаването предварително да проверят спазването на това ниво на защита в съответната трета държава, и че същото решение задължава този получател да информира износителя на данни за евентуалната си невъзможност да осигури съответствие със стандартните клаузи за защита, като тогава последният може да спре предаването на данни и/или да прекрати сключения с получателя договор.

Накрая, Съдът проверява валидността на Решение 2016/1250 с оглед на изискванията, произтичащи от ОРЗД, разглеждан във връзка с разпоредбите на Хартата, гарантиращи зачитането на личния и семейния живот, защитата на личните данни и правото на ефективна съдебна защита. В това отношение Съдът отбелязва, че посоченото решение дава предимство, подобно на Решение 2000/520, на изискванията във връзка с националната сигурност, обществения интерес и спазването на американското законодателство, като така прави възможна намесата в основните права на лицата, чиито данни се предават на тази трета държава. Според Съда ограниченията на защитата на личните данни, които произтичат от вътрешноправната уредба на Съединените щати относно достъпа и използването от американските публични органи на такива данни, предадени от Съюза на тази трета държава, и които Комисията е оценила в Решение 2016/1250, не са определени по начин, който да отговаря на изисквания, които по същество са равностойни на предвидените в правото на Съюза съгласно принципа на пропорционалност, тъй като програмите за наблюдение, основани на тази правна уредба, не са ограничени до строго необходимото. Въз основа на съдържащите се в това решение констатации, Съдът отбелязва, че за определени програми за наблюдение посочената правна уредба изобщо не разкрива наличието на ограничения на съдържащото се в нея оправомощаване за прилагането на тези програми, нито пък съществуването на гаранции за потенциално обхванатите лица, които не са американски граждани. Съдът добавя, че макар същата правна уредба да предвижда изисквания, които американските органи трябва да спазват при прилагането на съответните програми за наблюдение, тя не предоставя на субектите на данни приложими пред съдилищата права срещу американските органи. Що се отнася до изискването за съдебна защита, Съдът постановява, че противно на приетото от Комисията в Решение 2016/1250, посоченият в това решение механизъм на омбудсмана не предоставя на тези лица способ за защита пред орган, предоставящ гаранции, които по същество са равностойни на изискваните в правото на Съюза, който да може да осигури както независимостта на предвидения от този механизъм омбудсман, така и наличието на норми, които оправомощават посочения омбудсман да приема обвързващи решения по отношение на американските разузнавателни структури. Поради всички тези причини Съдът обявява Решение 2016/1250 за невалидно.

Можете да споделите: