Въпросът относно защита на физическите лица при обработването на лични данни е актуален отново поради ново решение на Съда на Европейския Съюз (СЕС) от 16.07.2020 г. Производството се е развило между Комисар за защита на личните данни (‘’Комисарят‘‘) в Ирландия, от една страна, и Facebook Ireland Ltd и г‑н Maximillian Schrems, от друга страна.
Фактическа обосновка по делото
- От 2008, г-н Schrems, пребиваващ в Австрия гражданин на тази държава, е потребител на социалната мрежа
- Всяко пребиваващо на територията на Съюза лице, което иска да използва Facebook, при регистрацията си е длъжно да сключи договор с Facebook Ireland, дъщерно дружество на Facebook Inc., чието седалище е в Съединените щати.
- Личните данни на пребиваващите на територията на Съюза потребители на Facebook Ireland изцяло или частично се предават към разположени на територията на Съединените щати сървъри на Facebook Inc., където се обработват.
- На 25 юни 2013 г. г‑н Schrems сезира Kомисаря с жалба, с която по същество иска от него да забрани на Facebook Ireland да предава личните му данни към Съединените щати, като твърди, че действащото право и практики в тази страна не гарантират достатъчна защита на съхраняваните на територията ѝ лични данни срещу извършваните в страната дейности по наблюдение от публичните органи.
- Тази жалба е отхвърлена по-специално с мотива че в Решение 2000/520 [1] Комисията е констатирала, че Съединените щати гарантират достатъчна степен на защита.
- Върховният съд в Ирландия, пред който г‑н Schrems обжалва отхвърлянето на жалбата му, сезира Съда с преюдициално запитване относно тълкуването и валидността на Решение 2000/520.
- С решение от 6 октомври 2015 г., Съдът обявява това решение за невалидно.
- Facebook Ireland обяснява, че голяма част от личните данни е предадена на Facebook Inc. въз основа на стандартните клаузи за защита на данните. Поради това, комисарят приканва г‑н Schrems да преформулира жалбата си.
- В преформулираната си жалба, подадена на 1 декември 2015 г., г‑н Schrems изтъква, че американското право задължава Facebook Inc. да предостави предаваните му лични данни на американски органи като Агенцията за национална сигурност (АНГ) и Федералното бюро за разследване (ФБР). При тези условия г‑н Schrems иска от комисаря да забрани или да спре предаването на личните му данни на Facebook Inc.
- Върховният съд прилага преюдициално запитване решение, постановено на 3 октомври 2017 г., в което отразява резултата от разглеждането на представените пред него доказателства в рамките на националното производство, в което е участвало американското правителство.
- Запитващата юрисдикция отбелязва, че е длъжна да вземе предвид евентуалните изменения на правото, настъпили между подаването на жалбата и организираното от нея съдебно заседание. Тази юрисдикция уточнява, че в рамките на главното производство собствената ѝ преценка не се ограничава до основанията за невалидност, изтъкнати от комисаря, така че и тя може да изтъкне служебно други основания за невалидност и въз основа на тях да отправи преюдициално запитване.
Върховният съд решава да спре производството и да отправи на Съда следните преюдициални въпроси:
- Прилага ли се правото на Съюза по отношение на предаването на данните от частно дружество от държава членка в трета държава, независимо от разпоредбите на член 4, параграф 2 ДЕС във връзка с националната сигурност и разпоредбите на член 3, параграф 2, първо тире от Директива [95/46] във връзка с обществената сигурност, отбраната и държавната сигурност?
- За да се определи дали е са нарушени правата на дадено физическо лице чрез предаването на данни от Съюза, свързани с националната сигурност, трябва да се определи кой е релевантният критерии за сравнение на целите на Директива [95/46]:
- Хартата, Договора за ЕС, Договора за функционирането на ЕС, Директива [95/46], или законодателството на една или повече държави членки?
- Следва ли степента на защита в третата държава да се оценява с оглед на приложимите правила на третата държава или правилата, заедно с всички административни, регулаторни практики и практики за осигуряване на съответствие, политически гаранции, процедури, протоколи, надзорни механизми и извънсъдебни средства за защита, които съществуват в третата държава?
- Нарушават ли се правата на физическите лица по член 7 и 8[1] [2] от Хартата, ако личните права се предадат от Съюза към САЩ?
- Степента на защита, предоставена от Съединените щати, зачита ли основното съдържание на гарантираното с член 47 от Хартата[2] [3] право на физическите лица на правни средства за защита пред съд в случай на нарушение на техните права във връзка със защита на личните им данни?
- Каква е степента на защита, която следва да се осигури по отношение на личните данни, които се предават на трета държава, приети в съответствие с решение на Комисията съгласно член 26, параграф 4 от Директива [95/46] и по-специално членове 25 и 26, разглеждани във връзка с Хартата?
- Ако се предоставя на службите за сигурност за допълнителна обработка личните данни, предавани съгласно в предвидените клаузи, следва ли, че тези клаузи не предоставят достатъчно гаранции, както се изисква от член 26, параграф 2 от Директива [95/46]?
- Ако вносител на данни от трета държава е обект на надзорни норми, които според орган за защита на данните са в противоречие със стандартните клаузи за защита, длъжен ли е органът за защита на данните да използва своите изпълнителни правомощия съгласно член 28, параграф 3 от Директива [95/46], за да спре потока от данни или органът за защита на данните може да използва правото си на преценка, за да не спира потока от данни?
- За целите на член 25, параграф 6 от Директива [95/46] означава ли решението, че Съединените щати осигуряват адекватно ниво на защита по силата на вътрешното си законодателство или на международните споразумения, по които са страна?
- Предоставя ли САЩ средство за защита на субектите на данни, чиито лични данни се прехвърлят на САЩ съгласно решението, съвместимо с чл. 47 от Хартата??
- Решението нарушава ли членовете 7,8 и/или 47 от Хартата?
Какво е произнасянето на СЕС по поставените пред него въпроси?
- Отговорът на първия въпрос е, че регламентът се прилага за прехвърлянето на лични данни за търговски цели от икономически оператор, установен в държава-членка, до друг икономически оператор, установен в трета държава, независимо дали към момента на прехвърлянето или след това тези данни подлежат на обработка. от властите на въпросната трета държава за целите на обществената сигурност, отбраната и държавната сигурност.
- Отговор на 2, 3 и 6 въпрос:
изискваните подходящи гаранции, приложими права и ефективни правни средства за защита трябва да гарантират, че правата на лицата, чиито лични данни са предадени на трета държава въз основа на стандартни клаузи за защита на данните, се ползват с ниво на защита, което по същество е равностойно на гарантираното в Съюза с GDPR, разглеждан в светлината на Хартата. Трябва да се вземат предвид както договорните клаузи, уговорени между администратора или обработващия лични данни, установени в Съюза, и получателя на предаването, установен в съответната трета държава, така и, що се отнася до евентуалния достъп на публичните органи на тази трета държава до така предадените лични данни, релевантните елементи на нейната правна система, и по-специално посочените в член 45, параграф 2 от GDPR.
- Решението на Съда по осми въпрос е, че освен ако съществува надлежно прието от Комисията решение относно адекватното ниво на защита, компетентният надзорен орган е длъжен да спре или да забрани предаването на данни на трета държава, основаващо се на приети от Комисията стандартни клаузи за защита на данните, когато с оглед на всички обстоятелства във връзка с това предаване надзорният орган счита, че тези клаузи не са или не могат да бъдат спазени в тази трета държава и че защитата на предаваните данни, изисквана от правото на Съюза и не може да бъде осигурена с други средства, в случай че самият установен в Съюза администратор или обработващ лични данни не е спрял или прекратил предаването.
- По седмия и единадесетия въпрос, решението е, че при разглеждането на решението с оглед на членове 7, 8 и 47 от Хартата не се установяват обстоятелства, които могат да засегнат валидността на това решение.
- По четвърти, пети, девети и десети въпрос се взима решението, че по силата на вътрешното си законодателство или на международните си ангажименти съответната трета държава ефективно гарантира ниво на защита на основните права, което по същество е равностойно на гарантираното в правния ред на Съюза.
Съдът е заключил, че приемайки, че Съединените щати гарантират адекватна степен на защита за личните данни, които се предават от Съюза към организации в Съединените щати съгласно Щита за личните данни в отношенията между ЕС и САЩ, Комисията е нарушила изискванията, произтичащи от член 45, параграф 1 от ОРЗД, разглеждан в светлината на членове 7, 8 и 47 от Хартата. От това следва, че член 1 от решението ЩЛД е несъвместим с член 45, параграф 1 от GDPR, разглеждан в светлината на членове 7, 8 и 47 от Хартата, и поради това е невалиден. Тъй като член 1 от решението ЩЛД е неразделно свързан с членове 2—6 и с приложенията към това решение, неговата невалидност засяга валидността на последното в неговата цялост.
С оглед на изложените съображения се налага изводът, че решението ЩЛД е невалидно.
Що се отнася до въпроса дали следва да се запазят последиците от това решение, за да се избегне създаването на празнота в правото трябва да се отбележи, че във всеки случай, предвид член 49 от GDPR, отмяната на решение относно адекватното ниво на защита, каквото е решението ЩЛД, не може да създаде такава празнота в правото. Всъщност този член подробно установява условията, при които предаването на лични данни на трети държави може да се осъществи при липсата на решение относно адекватното ниво на защита съгласно член 45, параграф 3 от посочения регламент или на подходящи гаранции съгласно член 46 от същия регламент.
[1] [4] Според член 7 от Хартата, всеки има право на зачитане на неговия личен и семеен живот, на неговото жилище и тайната на неговите съобщения. Член 8 от Хартата представя, че всеки има права на защита на неговите лични данни.
[2] [5] Според член 47 от Хартата, всеки, чийто права и свободи, гарантирани от Съюза, били нарушени има право на ефективни правни средства за защита пред съд в съответствие с предвидените в настоящия член условия.