Съд на ЕС: Facebook, личните данни и бъдещето на Safe Harbor

Когато лицата, пребиваващи в ЕС,  предоставят данни на Facebook, данните   се прехвърлят  върху разположени на територията на САЩ сървъри, където се съхраняват.

Г-н Maximilian Schrems е австрийски граждани, който ползва Facebook.  Той  подава жалба до ирландския орган за защита на личните данни, тъй като счита, че предвид направените през 2013 г. разкрития от г-н Едуард Сноудън относно дейността на разузнавателните служби на САЩ (по-специално National Security Agency или „NSA“) САЩ не предоставят  реална защита срещу наблюдението от страна на американската държавна администрация на прехвърляните към тази страна данни.

Ирландският орган отхвърля жалбата по-специално с довода, че в решение от 26 юли 2000 г.  Европейската комисия е приела, че в рамките на т.нар. схема за „сфера на неприкосновеност на личния живот“  САЩ гарантират достатъчна степен на защита на прехвърляните лични данни.
High Court of Ireland (Върховен съд, Ирландия) е сезиран със случая и иска да се установи дали посоченото решение на ЕК  е пречка съответният национален надзорен орган да проведе разследване по жалба, в която се твърди, че определена трета страна не гарантира достатъчна степен за защита, и при необходимост да преустанови оспорваното прехвърляне на данни. Съдът отправя преюдициално запитване до Съд на ЕС.

В   заключението си  Генералният адвокат Yves Bot приема, че наличието на решение на ЕК, с което се констатира, че дадена трета страна гарантира достатъчна степен за защита на прехвърляните лични данни, не може да отнеме, нито дори да намали правомощията, с които разполагат националните надзорни органи по силата на директивата за обработването на лични данни. Генералният адвокат   приема, че решението на Комисията е невалидно.

Много бързо след огласяване на заключението стана известно и решението на Съда на ЕС (6 октомври 2015) по делото Schrems, което напълно потвърждава изводите на Генералния адвокат. Ефектите на решението надхвърлят отношенията Facebook – ЕС.

Съдът на ЕС не просто решава, че

1)      Директива 95/46/ЕО  и Хартата на основните права на Европейския съюз изискват  решения – като Решение 2000/520/ЕО, с което Европейската комисия констатира, че трета страна гарантира достатъчна степен на защита, не е пречка надзорен орган на държава от ЕС да разгледа жалбата на лице — отнасяща се до защита на неговите права и свободи при обработването на засягащи го лични данни, които са били прехвърлени  към тази трета страна — ако то твърди, че действащите в момента право и практики в третата страна не гарантират достатъчна степен на защита.

но – тъй като невалидността на отделни разпоредби от решението  засяга валидността на цялото решение – и:

2)      Решение 2000/520 е невалидно.

Решението на ЕК  беше основа на на т.н. документация Safe Harbor – юридическата рамка за трансфера на лични данни  между Европейския съюз и САЩ.

В първите коментари се сочи ролята на Съда на ЕС  за развитие на правната рамка на защитата на личните данни – особено след решението Google Spain.

В интернет средата се обсъжда  предимно  отражението на решението върху трансфера на данни онлайн, облачните услуги и потоците от данни в глобалните компании “като Google, Facebook, Microsoft, Apple [и] Yahoo“, регистрирани в САЩ, които обслужват и европейските граждани. Напомня се и важността на разкритията на Сноудън за намесата в личната сфера от страна на американското разузнаване.

Според решението националните регулатори могат да правят преценка във всеки отделен случай. В случая ирландският надзорен орган ще прецени адекватността – и съответно дали да спре трансфера на лични данни към Facebook. Несъмнено  ролята на националните регулатори в бъдеще е ключова.

Но има нужда от системно решение. Изказванията на представители на ЕС   са в смисъл, че рамката на трансфера на лични данни ЕС – САЩ ще се подобрява. Това се оказва трудно, ако си спомним безпрецедентните акции на ЕП по отношение на предходни решения на ЕК за трансфера на личните данни на пътниците – European Parliament v Council of the European Union (C-317/04) и European Parliament v Commission (C-318/04).

След 6 октомври има   анализи и за връзката между практиката на Съда на ЕС от последно време и  бъдещата правна рамка, която – договорено е между държавите – няма да понижи нивото на защита спрямо нивото, установено с Директива 96/45. Но предстои да видим.

Tagged

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s