Съд на ЕС: Schrems II

На 15 юли 2020 стана известно решението на Съда на ЕС  по дело C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland (Schrems II).То засяга експорта на лични данни от ЕС към САЩ.

Г-н Maximillian Schrems (Австрия)   е потребител на Facebook от 2008 г. Личните данни на г-н Schrems изцяло или частично се предават от Facebook Ireland към разположени на територията на Съединените щати сървъри на Facebook Inc., където се обработват. Г-н Schrems подава жалба до ирландския надзорен орган, с която по същество иска забрана на експорта. Той твърди, че правото и практиките на Съединените щати не предлагат достатъчна защита срещу достъпа от публичните органи до данните, предавани на тази държава.Тази жалба е отхвърлена, по-специално тъй като в Решение 2000/5205   Комисията е констатирала, че Съединените щати гарантират достатъчна степен на защита.

С решение, постановено на 6 октомври 2015 г., Съдът, сезиран с преюдициално запитване от High Court (Висш съд, Ирландия), обявява това решение за невалидно (наричано по-нататък „решението Schrems I“)

Максимилиян Шремс   поддържа, че Съединените щати не предлагат достатъчна защита на експортираните към САЩ данни и  иска да се спре или да се забрани за в бъдеще предаването на личните му данни от ЕС към Съединените щати, което Facebook Ireland извършва понастоящем въз основа на стандартните договорни клаузи, съдържащи се в приложението към Решение 2010/877. Тъй като счита, че разглеждането на жалбата на г-н Schrems зависи по-специално от валидността на Решение2010/87, ирландският надзорен орган инициира производство пред High Court (Висш съд) с цел последният да отправи преюдициално запитване до Съда.

След започването на това производство Комисията приема Решение 2016/1250 относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (т.нар. решение„Щит за личните данни“). С преюдициалното си запитване запитващата юрисдикция отправя до Съда въпроси за приложимостта на GDPR  спрямо предаването на лични данни, основано на стандартните клаузи за защита, съдържащи се в Решение 2010/87, за изискваното от този регламент ниво на защита в рамките на такова предаване и за задълженията на надзорните органи в този контекст.

Освен това High Court поставя въпросаза валидността както на Решение 2010/87, така и на Решение 2016/1250 (новия механизъм).

Обстойното заключение на Генералния адвокат от декември 2019,  според което новият механизъм и прилагането на така наречените стандартни договорни клаузи (SCCs), се приемат за юридически валидни.

Но с решението си от 15 юли 2020 Съдът  на ЕС  обявява Решение 2016/1250 за невалидно.

Съдът приема, че правото на Съюза, и по-специално GDPR, се прилага за предаване на лични данни за търговски цели от икономически оператор, установен в държава членка, към друг икономически оператор, установен в трета държава.

Съдът приема, че освен ако съществува надлежно прието от Комисията решение относно адекватното ниво на защита,   органите за защита на данните   са задължени да спрат или да забранят предаването на лични данни на трета държава, когато преценят с оглед на  Решение на Комисията от   2010 година относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО, изменено с Решение   на Комисията от   2016 г., че стандартните клаузи за защита на данните не са или не могат да бъдат спазени в тази трета държава и че защитата на предаваните данни, изисквана от правото на Съюза, не може да бъде осигурена с други средства.

Съдът проверява валидността на Решение2016/1250 с оглед на изискванията, произтичащи от GDPR, разглеждан във връзка с разпоредбите на Хартата, гарантиращи зачитането на личния и семейния живот, защитата на личните даннии правото на ефективна съдебна защита.

Според Съда ограниченията на защитата на личните данни, които произтичат от вътрешноправната уредба на Съединените щати относно достъпа и използването от американските публични органина такива данни, предадени от Съюза на тази трета държава, и които Комисията е оценила в Решение 2016/1250, не са определени по начин, който да отговаря на изисквания, които по същество са равностойни на предвидените в правото на Съюза съгласно принципа на пропорционалност, тъй като програмите за наблюдение, основани на тази правна уредба, не са ограничени до строго необходимото.

Що се отнася до изискването за съдебна защита, Съдът постановява, че противно на приетото от Комисията в Решение2016/1250, посоченият в това решение механизъм  не предоставя   способ за защита по стандартите на правото на ЕС.

Поради всички тези причини Съдът обявява Решение 2016/1250 за невалидно.

Пет години по-късно и  „Щитът за поверителност“ последва съдбата на  „Безопасното пристанище“.

Tagged

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: