Резюме на Решение на Съда на Европейския съюз по дело С – 311/18, относно трансфера на лични данни от Съюза към трети държави и в частност към Америка

Резюме на Решение на СЪДА (голям състав) от 16.07.2020 г. по дело С – 311/18

 

Съдът на Европейския съюз (СЕС) е сезиран със запитване по въпроси свързани с предаването на лични данни към трета държава, основаващо се на решение за адекватно ниво на защита и стандартни клаузи. По конкретно запитването е във връзка с предаването на лични данни от Фейсбук Ирландия към Фейсбук Инк., със седалище в САЩ, където държавните органи за сигурност имат достъп до предаваните данни.

ПРАВНИ ВЪПРОСИ

С решението на Съда на Европейския съюз следва да се установи:

1. Предоставянето на лични данни от юридическо лице, установено на територията на ЕС, към друго юридическо лице, установено на територията извън ЕС, попада ли в обхвата на GDPR, когато тези данни могат да се обработват от органите на приемащата държава за целите на държавната сигурност, отбраната и обществената сигурност?
2. Кои елементи трябва да се вземат предвид при извършването на преценка дали е гарантирано нивото на защита, в случай на предаване на лични данни към държава извън ЕС, основаващо се на стандартни клаузи за защита на лични данни?
3. Длъжен ли е Компетентният орган да забрани или да спре предаването на лични данни към държа извън ЕС, основаващо се на приети от Комисията стандартни клаузи за защита на данните и/или решение за адекватно ниво на защита, когато този надзорен орган счита, че защитата на личните данни не може да бъде осигурена?
4. Валидно ли е решението на Комисията относно стандартните клаузи за защита на данните и може ли то да гарантира адекватно ниво на защита, като се има предвид, че в него липсват гаранции, приложими спрямо публичните органи на трети държави?
5. Обвързан ли е надзорният орган от констатациите в решението ЩЛД, че САЩ гарантира достатъчна степен на защитата на лични данни? Спазено ли е правото на европейските граждани за достъп до съдебна защита, чрез регламентирането на омбудсман в решението ЩЛД? Решението ЩЛД осигурява ли адекватно ниво на защита на личните данни, предавани от ЕС към САЩ, и следователно – валидно ли е това решение?

ФАКТИЧЕСКА ОБСТАНОВКА

Всички лица, живеещи на територията на Европейския съюз, които искат да използват социалната мрежа Фейсбук, при регистрацията си са длъжни да сключат договор с Фейсбук Ирландия, което е дъщерно дружество на Фейсбук Инк., със седалище САЩ. Личните данни на пребиваващите на територията на Европейския съюз потребители на Фейсбук Ирландия се предават към сървърите на Фейсбук Инк. на територията в САЩ.

Австрийският гражданин г-н Шремс е потребител на социалната мрежа Фейсбук. На 25.06.2013 г. г-н Шремс подава жалба пред Комисаря за защита на личните данни в Ирландия. С въпросната жалба австрийският гражданин иска да се забрани предаването на личните му данни от Фейсбук Ирландия към САЩ. Като основание за това искаме, г-н Шремс посочва, че действащото законодателство в тази държава не гарантира защита на обработваните лични данни на територията ѝ срещу извършваните в страната дейности по наблюдение от държавните органи. Комисарят за защита на личните данни в Ирландия отхвърля жалбата, като посочва, че в свое решение Европейската Комисия е приела, че САЩ гарантират достатъчна степен на защита.

Г-н Шремс обжалва отхвърлянето на жалбата пред Висшия съд на Ирландия. От своя страна Висшият съд сезира Съда на Европейския съюз, като поставя под въпрос тълкуването и валидността на решението на Европейската Комисия. СЕС обявява въпросното решение за невалидно.

В следствие на това, Висшият съд на Ирландия отменя отхвърлянето на жалбата на г-н Шремс и я връща за разглеждане на Комисаря за защита на личните данни. Комисарят започва разследване, в хода на което установява, че Фейсбук Ирландия предава голяма част от личните данни събирани от европейски граждани на Фейсбук Инк. въз основа на стандартни клаузи за защита на личните данни.

На 01.12.2015 г. г-н Шремс преформулира и конкретизира жалбата си, като посочва, че правото на САЩ задължава Фейсбук Инк. да предоставя предаваните му лични данни на американските органи за сигурност като Агенцията за национална сигурност и Федералното бюро за разследване.

На 24.05.2016 г. Комисарят за защита на личните данни обобщава изводите от своето разследване, като приема, че има опасност личните данни на гражданите на ЕС, предавани на САЩ, да бъдат обработвани от американските органи по начин, който е несъвместим с чл. 7 и 8 от Хартата на основаните права на ЕС (Хартата). Освен това Комисарят констатира, че правото на САЩ не предоставя на гражданите на ЕС съвместими с чл. 47 от Хартата способи за защита. Воден от горното Комисарят сезира Висшия съд на Ирландия. В следствие на което последният сезира СЕС с настоящото запитване. Към запитването Висшият съд прилага и решение, в което е отразен резултата от разглежданите пред него доказателства в рамките на националното производство, в което е взело участие и американското правителство.

Висшият съд на Ирландия уточнява, че американското законодателство позволява на американски публични органи да извършват съвместно наблюдението на лица, които не са американски граждани с цел получаване на външноразузнавателна информация. Така в рамките на т.н. програма PRISM доставчиците на интернет услуги са задължени да предоставят на Агенцията за национална сигурност всички изпратени и получени съобщения, като част от тях се предават на Федералното Бюро за разследване и Централното разузнавателно управление.

Висшият съд на Ирландия посочва също така, че в рамките на програмата UPSTREAM далекосъобщителните предприятия са задължени да позволяват на Агенцията за национална сигурност да копира потоците интернет трафик, за да събира изпратени съобщения. По този начин Агенцията за национална сигурност има достъп както до метаданните, така и до съдържанието на съответните съобщения.

Освен всичко това Агенцията за национална сигурност има достъп до данните, които се предават към САЩ чрез подводните кабели, разположени на дъното на Атлантическия океан. Нещо повече, Агенцията може да събира и съхранява тези данни, преди те да са пристигнали в САЩ.

Висшият съд на Ирландия посочва, че гражданите на ЕС нямат достъп до същите правни средства за защита както тези, с които разполагат американските граждани срещу обработването на лични данни от американските органи. Това е така, тъй като четвъртата поправка в Конституцията на САЩ, която защитава гражданите от незаконно наблюдение, не се прилага за граждани на ЕС.

Висшият съд на Ирландия уточнява, че според Фейсбук Ирландия решението на Европейската комисия, т.н. Шит за лични данни (ЩЛД), с което Комисията е констатирала наличието на адекватно ниво на защита, е задължително за надзорните органи относно предаването на личните данни.

При това положение Висшият съд на Ирландия спира производството и отправя запитване до СЕС.

СЪДЕБНО РЕШЕНИЕ

1. Съдът на Европейския съюз приема, че предаването на лични данни за търговски цели от юридическо лице, установено в държава членка, към друго юридическо лице, установено извън ЕС, попада в приложното поле на GDPR, независимо че предадените данни могат да се обработват от органите на приемащата държава за целите на държавната сигурност, отбраната и обществената сигурност.

2. Съдът на Европейския съюз посочва, че нивото на защита на основните права при трансфер на лични данни към държава извън ЕС, трябва да се определя въз основа на разпоредбите на GDPR, разглеждани в светлината на основните права, предвидени и гарантирани в Хартата. С други думи, лицата, чиито лични данни са предавани на държава извън ЕС, трябва да се ползват с ниво на защита, което е равностойно на гарантираното в Европейския съюз.

СЕС приема, че субектите на данни трябва да се ползват от подходящи гаранции и да разполагат с приложими права и ефективни правни средства за защита. При извършване на преценка на нивото на защита, трябва да се вземат предвид договорните клаузи между обработващия лични данни или администратора, установени в ЕС, и получателя на тези лични данни, установен в държава извън ЕС.

Когато се анализира правото на достъп на публичните органи на държавата извън ЕС до предаваните лични данни от ЕС, то оценката на нивото на защита трябва да се направи на база релевантните елементи на нейната правна система. По-конкретно това са критериите предвидени неизчерпателно в чл.45, пар.2 от GDPR, по които Комисията преценява дали една държава предоставя адекватно ниво на защита, или не. Такива елементи са например върховенството на закона, спазването на правата на човека, наличие на независими надзорни органи, ефективна съдебна и административна защита за субектите на данни и мн. др.

3. Когато европейски гражданин подаде жалба във връзка със защитата на личите му данни при трансфер към трета държава, компетентният надзорен орган е длъжен да разгледа жалбата с цялата дължима грижа.

Важно е да се отбележи, че решението относно стандартни клаузи за защита се различава от решението на Комисията относно адекватното ниво на защита. Последното се постановява от Комисията след проверка на релевантното законодателство в областта на националната сигурност и достъпа на публични органи до личните данни, като със задължителна сила се приема, че съответната държава осигурява адекватно ниво на защита. От друга страна, когато се постановява решение, с което се приемат стандартни клаузи за защита на личните данни, Комисията не е длъжна да извърши оценка на адекватността на нивото на защита, гарантирано в третата държава, на която биха могли да бъдат предадени лични данни въз основа на такива клаузи.

Правомощията на надзорния орган са обвързани с пълното спазване на решенията, с които Комисията констатира, че определена трета държава осигурява адекватно ниво на защита. С други думи, решенията на Комисията относно адекватното ниво на защита са задължителни за всички държави членки и техните органи. В този ред на мисли, ако е налице такова решение на Комисията, надзорният орган за защита на личните данни не може да предприеме мерки, които да противоречат на това решение като например да спира или да забранява предаването на лични данни на държавата, за която се отнася решението.

Когато е налице такова решение, надзорния орган има право да извърши проверка дали предаването на личните данни отговаря на GDPR и ако е необходимо, да подаде жалба до националния съд, така че ако съдът сподели съмненията на надзорния орган относно валидността на решението относно адекватността на защитата, да отправи преюдициално запитване с цел проверка на тази валидност.

В случай че не е налице решение на Комисията относно адекватното ниво на защита, надзорният орган е длъжен да забрани или да спре предаването на лични данни на държава извън ЕС, основаващо се на стандартни клаузи за защита на данните, когато тези клаузи не са или не могат да бъдат спазени в тази трета държава и когато защитата на предадените данни, предвидена в разпоредбите на европейското право, не може да бъде осигурена с други средства.

4. Съдът на Европейския съюз посочва, че съществуват случаи, при които съдържащата се в стандартните клаузи уредба може да не представлява достатъчно ефективна защита. Такъв е именно случаят когато правото на трета държава позволява на нейните органи за сигурност достъп до личните данни на лицата по начин несъответстващ с принципите на Европейския съюз.

Самият факт, че стандартните клаузи, съдържащи се в решение на Комисията не обвързват публичните органи на третите държави, на които могат да се предават личните данни, не засяга валидността на това решение.

След като, поради договорния си характер, стандартните клаузи не обвързват публичните органи на третата държава, може да е необходимо да се допълнят гаранциите, съдържащи се в тези клаузи за защита на личните данни, за да бъде осигурена необходимата защита.

5. Съдът на Европейския съюз приема, че решението ЩЛД е обвързващо за надзорните органи, тъй като с него се установява, че САЩ гарантира адекватно ниво на защита на лични данни. Това обаче не променя факта, че ако физическо лице подаде жалба, надзорният орган трябва да провери основателността ѝ. В случай че надзорният орган счете жалбата за основателна, той следва да задейства процедурата по проверка на валидността на решението описана в 3-тия отговор на настоящото резюме. Решението ЩЛД е обвързващо за надзорните органи, докато не бъде обявено за невалидно от СЕС.

Важно е да се припомни, че чл. 7 от Хартата гарантира на всяко физическо лице правото на зачитане на неговия личен и семеен живот, на неговото жилище и тайна на неговите съобщения. Освен това, с чл. 8 Хартата гарантира правото на защита на личните данни на всяко физическо лице. Естествено тези права не са абсолютни и трябва да се разглеждат във връзка с тяхната социална функция. В Хартата се посочва, че регламентираните права в нея могат да бъдат ограничавани само със закон, когато това е необходимо и ако действително отговаря на признатите от ЕС цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

Съдът на ЕС вече е постановил, че съобщаването на лични данни на трето лице, например публичен орган, представлява намеса в горепосочените основни права закрепени в Хартата. Това се отнася и за достъпа до лични данни с оглед използването им от публични органи. Съдът посочва, че програмите за наблюдение на САЩ не са ограничени до строго необходимото.

Що се отнася до въведената в решението ЩЛД роля на омбудсман, в Хартата е регламентирано, че правните субекти трябва да разполагат с възможността да използват правни средства за защита пред безпристрастен и независим съд. Следователно механизмът на омбудсмана, посочен в ЩЛД, не представлява способ за защита, който гарантира на европейските граждани права, които да отговарят на изискванията на Хартата.

От изложеното до тук може да се направи извод, че решението ЩЛД не гарантира адекватна степен на защита на личните данни на европейските граждани. Поради което, Съдът на Европейския съюз приема, че решението ЩЛД е невалидно.

ОТНОСИМИ РАЗПОРЕДБИ

1. Регламент (ЕС) 2016/679 (GDPR)

чл.2 – относно обхвата на прилагане на Регламента;

чл.23 – относно ограничаването на правата и задълженията предвидени в Регламента;

чл.45 – относно предаването на лични данни въз основа на решение относно адекватното ниво на защита ;

чл.46 – относно предаването на лични данни с подходящи гаранции, в т.ч. стандартни клаузи;

чл.57 – относно задачите на надзорните органи;

чл.58 – относно правомощията на надзорните органи;

чл.64 – относно даването на становища от Комитета;

чл.77 – относно задачите на Комитета;

2. Хартата на основните права на Европейския съюз

чл.7 – относно зачитането на личния и семейния живот;

чл.8 – относно защитата на личните данни;

чл.47 – относно правото на ефективни правни средства за защита и на справедлив съдебен процес;

3. Решение 2010/87/ЕС изменено с Решение (ЕС) 2016/2297 (Решение СК)
4. Решение ЕС 2016/1250 относно адекватността на защита осигурявана от Щита за лични данни в отношенията между ЕС и САЩ (Решение ЩЛД)