Максимилиан Шремс призовава Комисията да отмени адекватността и подготвя ново дело срещу трансферите на данни
В понеделник Върховният съд на САЩ реши по делото „Тръмп срещу Слоутър“, че Федералната търговска комисия на САЩ (FTC) може вече да не е независима. От 2000 г. насам ЕС разчита на „независимата“ FTC като орган за прилагане на споразуменията между ЕС и САЩ относно личните данни. Съгласно договорното право на ЕС, такъв надзор трябва да бъде независим. В настоящата сделка между ЕС и САЩ Европейската комисия се позовава на независимата FTC 259 (!) пъти. Това написа на 29 юни Неправителствената организация за защита на неприкосновеността на личния живот (NOYB) в сайта си. Нейният почетен председател Максимилиан Шремс е цитиран да казва: „ Като се има предвид, че в САЩ вече няма независими органи, призоваваме Европейската комисия да оттегли по надлежен ред решението за адекватно ниво на защита на САЩ.“
От 1995 г. насам ЕС като цяло забранява износа на лични данни към трети страни, за да предотврати заобикалянето на правилата на ЕС за поверителност чрез просто изпращане на данни в чужбина. Въпреки че има изключения за необходими трансфери, вариращи от резервации на хотел до сложни транзакции, много компании от ЕС просто възлагат обработката на лични данни на американски доставчици на облачни услуги. От 2000 г. насам Европейската комисия многократно е приемала, че САЩ са „адекватна“ държава, когато става въпрос за защита на личните данни – позволявайки свободен поток от данни между ЕС и САЩ. Съдът на ЕС (СЕС) отмени двете предишни решения на Комисията в т. нар. решение „ Schrems I “ (с което се премахва „Safe Harbour“) и решение „ Schrems II“ (с което се премахва „Privacy Shield“) поради законите за наблюдение на САЩ и липсата на съдебни средства за защита в САЩ. Въпреки това, през 2023 г. Европейската комисия издаде трето споразумение между ЕС и САЩ, наречено „ EU–US Data Privacy Framework“, което до голяма степен е копие на предишните анулирани споразумения.
Договорното право на ЕС (т.е. „конституционната“ рамка на ЕС), а именно член 16(2) от ДФЕС и член 8(3) от Хартата на основните права, изисква надзорът върху въпросите, свързани със защитата на данните, да се осъществява от „независим“ орган. Тъй като трети държави трябва да имат „по същество еквивалентни“ защити, е необходимо всяка трета държава, която желае да се ползва със свободен поток от лични данни от ЕС, също да предоставя такива защити. Досега САЩ са назначили „независимата“ Федерална търговска комисия (FTC) за регулатор на поверителността на САЩ, за да изпълнят изискването на ЕС за независим надзор. ЕС, от своя страна, се е позовавал на FTC цели 259 (!) пъти в своето решение относно потока от данни между ЕС и САЩ.
Макс Шремс: „От решаващо значение е, че конституционната рамка на ЕС изисква независим надзор. Единственият начин това да се промени би било единодушно гласуване от всички държави-членки на ЕС за промяна на договорите на ЕС.“
Освен това, Съдът на ЕС подчерта, че САЩ ще трябва да осигурят независим механизъм за правна защита по въпроси, свързани с правителствено наблюдение. Тъй като САЩ не успяха да приемат съответното законодателство, администрацията на Байдън създаде „Data Protection Review Court“. Въпреки че е наречен „съд“, той всъщност е изпълнителен орган в рамките на Министерството на правосъдието на САЩ. Той е „независим“ само чрез изпълнителна заповед (ЗЗ) на бившия президент Байдън, която може да бъде променена от Тръмп по всяко време и не е обвързваща за президента.
В обрат на 180° спрямо предишната съдебна практика, консервативното мнозинство във Върховния съд на САЩ вече реши, че независимостта на FTC е противоконституционна. Това следва „unitary executive theory“, според която президентът на САЩ трябва да има власт над всички изпълнителни органи на САЩ, обявявайки всички закони на САЩ, които правят различни агенции независими, за противоконституционни. Като се има предвид, че ЕС разчиташе на „независимостта“ на FTC като орган за защита на личните данни в почти всички случаи, цялата структура на EU–US Data Privacy Framework току-що се срина.
Макс Шремс: „Дори според логиката на Европейската комисия, основата за всяка сделка за трансфер на данни между ЕС и САЩ е мъртва. Призоваваме Комисията да започне организирано излизане от американския облак – което не е лесно, но за съжаление е неизбежно. Комисията построи правна къща от карти под натиск от индустрията. Сега, когато тя очевидно се срива, тя трябва да поеме отговорност .“
Дори ако всички основания на решението на ЕС са отпаднали, решението на ЕК е формално в сила, докато Европейската комисия не го отмени или Съдът на ЕС не го анулира. Следователно няма непосредствено действие. GDPR регулира само прехвърлянето на лични данни. Неличните данни могат да се движат свободно. Освен това, член 49 от GDPR позволява необходимо прехвърляне на данни към всяка трета държава. Той обаче не позволява структурно прехвърляне на данни извън ЕС, освен ако това не е строго необходимо.
Въпреки че някои компании може да не разчитат директно на рамката ЕС-САЩ и вместо това официално използват стандартните договорни клаузи и задължителни фирмени правила, те обикновено разчитат и на „оценка на въздействието“, която от своя страна се основава на преди това независими изпълнителни органи на САЩ, като PCLOB или Съда за преглед на защитата на данните. Следователно решението на Върховния съд обикновено ги засяга и тях, дори ако не разчитат на FTC. Освен че администраторите разчитат на официално решение на Комисията, те трябва незабавно да актуализират своята оценка – и логично да стигнат до заключението, че прехвърлянето на данни вече не е законно,“ пише в сайта.
NOYB изпратила официално писмо до Европейската комисия, с което я моли да предприеме съответните стъпки за отмяна на споразумението за данни между ЕС и САЩ по организиран начин. В политически план много държави членки на ЕС вече са преминали към подход на „цифров суверенитет“ и са обявили отделяне от доставчиците на услуги от САЩ. Някои доставчици на услуги от САЩ също преминават към отделна обработка на данни в ЕС. Въпреки това, като се има предвид, че САЩ все още упражняват огромен натиск върху ЕС да поддържа потока от лични данни, NOYB също ще заведе дело през следващите седмици, с цел да позволи на Съда на ЕС да анулира настоящото споразумение. Подобно дело обаче обикновено отнема 2-3 години, докато се стигне до окончателно решение.
NOYB е акроним за „none of your business“.


