SAFE HARBOUR OR PEARL HARBOUR?

Author

 

(Решение на Съда на ЕС по дело С-362/14, Schrems)

 

Катина Бончева[1]

На 6 октомври 2015 г. Съдът на Европейския съюз (СЕС, Съдът) постанови решение, с което показа на „Големия брат“, че за него няма място в личния живот на европейските граждани.

СЕС сложи край на петнайсетгодишното действие на решението на Комисията от 26 юли 2000 г.[2], с което се приема, че Съединените американски щати (САЩ) гарантират адекватна защита на личните данни, посредством т.нар. принципи за неприкосновеност на личния живот „Safe Harbour“[3].

Решението на Комисията е прието на основание член 25, параграф 6 от Директива 95/46/ЕО[4], който й предоставя правомощието да констатира, че трета страна извън Европейския съюз гарантира достатъчна степен на защита на личния живот и на основните свободи и права на лицата. Подобна констатация от страна на Европейската комисия прави възможно прехвърлянето на лични данни от Европейския съюз към съответната трета страна.

Съдът ясно заяви, че общият достъп на публичните органи до съдържанието на електронните съобщения е нарушение на сърцевината на правото на личен живот, защитено от член 7 от Хартата на основните права на Европейския съюз (Хартата). Така, в периода на тежка морална и политическа криза в Съюза, във време на тероризъм и популизъм, той припомни кои са истинските европейски ценности – основните, но крехки права и свободи на човека, заради които съществуват държавите и техните институции.

 

Обстоятелствата по делото и преюдициалните въпроси

 

Г-н Schrems е австрийски гражданин и потребител на социалната мрежа Facebook, поддържана от установеното в САЩ дружество Facebook Inc.

С регистрацията си в мрежата като всяко лице, установено на територията на ЕС, той сключва договор с дъщерна на Facebook Inc. компания със седалище в Ирландия (Facebook Ireland), която прехвърля личните данни на потребителите от ЕС на Facebook Inc. в САЩ, където те се съхраняват в сървъри.

След разкритията за дейността на разузнавателните служби на САЩ и най-вече на National Security Agency (NSA), направени от г-н Едуард Сноудън, във връзка с  масово и нецеленасочено наблюдение и прихващане от публични власти на САЩ на лични данни, обработвани от редица интернет гиганти като Google, Facebook, Microsoft, Apple и други компании, г-н Schrems подава жалба до националния надзорен орган (ННО) за защита на личните данни в Ирландия[5]. Той поддържа, че личните му данни в САЩ не биха били надеждно защитени и иска от ННО да забрани на Facebook Ireland да прехвърли данните му в САЩ.

ННО отхвърля жалбата на две основания. Първо, той приема, че е обвързан от решението на Комисията от 26 юли 2000 г., по силата на член 25, параграф 6 от Директива 95/46/ЕО, според който държавите членки предприемат необходимите мерки за спазване решението на Комисията. Освен това, според ННО, липсват доказателства, че NSA е имала достъп конкретно до личните данни на г-н Schrems.

Отказът на ННО е обжалван пред Върховния съд на Ирландия (Върховният съд). В определението за спиране на делото и отправяне на преюдициално запитване, Върховният съд изразява становище, че макар г‑н Schrems формално да не оспорва валидността нито на Директива 95/46/ЕО, нито на решението на Комисията от 26 юли 2000 г., в случая ключовият въпрос е дали ННО е бил обвързан от констатацията на Комисията в решението, че САЩ гарантират достатъчна степен на защита или членове 7 и 8 от Хартата му позволяват при необходимост да игнорира тези констатации, като изследва всеки казус отделно.

При това положение Върховният съд поставя на СЕС следните въпроси:

„(1) Когато независимо длъжностно лице, което по закон следи за прилагането на законодателството за защита на данните, разглежда жалба относно прехвърлянето на лични данни към трета страна (в случая Съединените щати), за законодателството и практиката на която се твърди, че не предоставят достатъчна защита на съответното физическо лице, абсолютно обвързано ли е това длъжностно лице от констатацията на Съюза в противоположен смисъл, съдържаща се в Решение 2000/520, като се имат предвид членове 7, 8 и 47 от Хартата, и независимо от разпоредбите на член 25, параграф 6 от Директива 95/46?

(2) В противен случай длъжностното лице може и/или трябва ли да проведе самостоятелно разследване по въпроса с оглед на фактическите промени, настъпили след първоначалното публикуване на решението на Комисията?“

В точка 24 от акта за преюдициално запитване, Върховният съд отбелязва, че гаранцията, предоставена от член 7 от Хартата и свързана с общите за конституционните традиции на държавите членки основни ценности, ще бъде изложена на риск, ако на публичните власти бъде позволено да разполагат с произволен и всеобхватен достъп до електронните съобщения, без да трябва да излагат обективни основания, произтичащи от съображения, свързани с националната сигурност или с предотвратяването на престъпността във връзка конкретно със съответни лица, и без никакви подходящи и проверими гаранции. Освен това, според Върховния съд, гражданите на Съюза не разполагат с ефективно право да бъдат изслушвани по въпроса за наблюдението и прихващането на техните данни от NSA и други американски агенции за сигурност.

Заключението на генералния адвокат Bot

Генералният адвокат Bot представя заключението си по делото на 23 септември 2015 г. Той приема, че в светлината на член 8, параграф 3 от Хартата, правомощията на ННО за провеждане на напълно независимо разследване по жалбите, с които са сезирани по член 28 от Директива 95/46/ЕО, следва да се тълкуват разширително. Те не могат да бъдат ограничени от правомощията на Комисията по член 25, параграф 6 от същата директива. Поради „съществената им роля в областта на защитата на личните данни“, ННО трябва да могат да провеждат разследване, когато са сезирани с жалба, съдържаща доказателства, които поставят под въпрос степента на защита на личните данни, предоставена от трета държава, дори когато Комисията е констатирала, че третата страна гарантира „достатъчна степен на защита“.

Така, според генералния адвокат, ако след проведено разследване, ННО счете, че прехвърлянето на данни накърнява защитата, с която гражданите на Съюза трябва да се ползват при обработването на техните данни, той разполага с правомощието да спре прехвърлянето на въпросните данни, независимо от дадената в решението на Комисията обща оценка за надеждността на тази защита. Той добавя, че структурата на член 25 от Директива 95/46/ЕО е аргумент в подкрепа на тезата, че е налице споделена компетентност между Комисията и ННО. Така, макар решението на Комисията по член 25 да разрешава прехвърлянето на лични данни към трета страна, то не може да отнеме или ограничи правомощията на държавите членки, и по-специално на техните ННО, при защитими твърдения за нарушение на основни права по Хартата.

В заключението си генералният адвокат припомня установената практика на СЕС, съгласно която държавите членки са длъжни не само да тълкуват националното си право по начин, съответстващ на правото на Съюза, но и да не допускат да се основават на тълкуване на текст от вторичното право, което би влязло в конфликт с основните права, защитавани от правния ред на Съюза, или с общите принципи на правото на Съюза. Така той обосновава правомощието на ННО да спрат прехвърлянето на данни към трета страна, ако след провеждане на независимо разследване те установят, че в тази страна са налице сериозни признаци за накърняване на правото на гражданите на Съюза на защита на личните им данни. Освен това, съгласно предвидените в член 28, параграф 3 от Директива 95/46/ЕО правомощия на ННО да водят съдебни дела, когато са нарушени националните разпоредби, приети в съответствие с тази директива или да свеждат тези нарушения до знанието на съдебните власти, те трябва да имат възможност (когато са запознати с факти, от които е видно, че трета страна не гарантира достатъчна степен на защита), да сезират национален съд, който да може да отправи преюдициално запитване пред Съда, за да се прецени валидността на решението на Комисията относно надеждността на защитата.

Като отбелязва косвено изразените съмнения на запитващата юрисдикция относно съответствието на решението на Комисията от 26 юли 2000 г. с Директива 95/46/ЕО и Хартата, генералният адвокат приема, че преценката дали в рамките на схемата за „сфера на неприкосновеност“[6] САЩ гарантират достатъчна степен на защита на прехвърляните лични данни, неизбежно налага да се разгледа валидността на това решение. Той се позовава на практика на Съда, в която той служебно разглежда валидността на акт, на националната юрисдикция е поискала само тълкуване (по-специално решения Strehl (62/76, EU:C:1977:18, т. 10-17), Roquette Frères (145/79, EU:C:1980:234, т. 6) и Schutzverband der Spirituosen-Industrie (C‑457/05, EU:C:2007:576, т. 32-39)), както и на правилото, че изразените от запитваща юрисдикция съмнения по отношение на съвместимостта на акт на вторичното право с нормите за защитата на основните права трябва да бъдат разбирани като поставяне под въпрос на валидността на този акт с оглед на правото на Съюза (решение Hauer (44/79, EU:C:1979:290, т. 16)).

Генералният адвокат предлага на Съда по изключение да разгледа валидността на решението от 26 юли 2000 г. в светлината на новите обстоятелства, настъпили след приемането му, в отклонение от принципа, че преценката за валидността в рамките на преюдициалното запитване по правило трябва да се основава на обстоятелствата, съществували към момента на приемането на акта. Той подчертава, че с оглед особеното естество на решението за достатъчния характер на защитата, то трябва редовно да бъде преразглеждано от страна на Комисията. Ако след настъпване на нови събития Комисията не измени решението си, това би означавало, че тя имплицитно, но непременно, потвърждава първоначално извършената преценка и констатацията си, че съответната трета страна гарантира достатъчна степен на защита на прехвърляните лични данни. В тази хипотеза Съдът трябва да прецени дали констатацията на Комисията все още е валидна, въпреки настъпилите впоследствие обстоятелства.

Като доказателство за наличието на такива обстоятелства генералният адвокат приема съобщение на самата Комисия от 2013 г., в което тя посочва, че информацията за мащаба и обхвата на американските програми за наблюдение е породила опасения дали личните данни, прехвърляни законно към САЩ в рамките на схемата за „сфера на неприкосновеност“, продължават да са защитени. Според същото съобщение, всички предприятия, участващи в програмата PRISM, които предоставят достъп на американските власти до данни, съхранявани и обработвани в САЩ, са сертифицирани по схемата за „сфера на неприкосновеност“. Комисията приема, че това е превърнало схемата в един от каналите, посредством които се предоставя достъп на американските разузнавателни служби за събиране на лични данни, първоначално обработени в ЕС.

При преценката за валидност на решението на Комисията от 26 юли 2000 г., генералният адвокат припомня практиката на Съда, че спазването на правата на човека е условие за законосъобразност на актовете на Съюза и, че той не може да допуска мерки, които са несъвместими със спазването на тези права (решение Kadi и Al Barakaat International Foundation/Съвет и Комисия (C‑402/05 P и C‑415/05 P, EU:C:2008:461, т. 284 и цитираната там съдебна практика)). В контекста на проверката за обоснованост на намесата в правото на личен живот и на защита на личните данни, допусната с решението от 26 юли 2000 г., засягаща основните права, защитени в членове 7, 8 и 47 от Хартата, той приема, че тя е не е пропорционална. По-специално генералният адвокат подчертава, че достъпът на американските разузнавателни служби до прехвърляните данни засяга общо всички лица, които използват електронни съобщителни услуги, без да е необходимо те да представляват заплаха за националната сигурност, а подобно масово и нецеленасочено наблюдение е непропорционално по своето естество и представлява неоправдана намеса, засягаща гарантираните в членове 7 и 8 от Хартата права. Към това генералният адвокат прибавя констатацията, че решението на Комисията от 26 юли 2000 г. е в нарушение и на закриляното от член 47 от Хартата право на гражданите на Съюза на ефективна защита пред съд.

Решението на Съда

По въпроса за правомощията на ННО, когато е прието решение на Комисията по член 25, параграф 6 от Директива 95/46/ЕО, Съдът на първо място подчертава, че доколкото разпоредбите на директивата уреждат въпрос, който може да засегне основните свободи, те по необходимост се тълкуват във връзка с основните права, гарантирани от Хартата.

В тази връзка Съдът разглежда независимостта на ННО като „гаранция“ за осигуряването на ефективност и надеждност на надзора за спазване на разпоредбите в областта на защитата на физическите лица при обработването на данни.

Той обаче приема, че докато решение на Комисията, прието по реда на член 25, параграф 6 от Директива 95/46/ЕО, не бъде обявено за невалидно от Съда, държавите членки и техните органи, включително ННО, не могат да вземат мерки, противоречащи на въпросното решение, като например да приемат актове със задължителна сила, с които се цели да се установи, че посочената в решението трета страна не гарантира достатъчна степен на защита.

От друга страна, в т. 56 от решението СЕС подчертава, че възможността решение на Комисията по член 25, параграф 6 от Директивата да препятства ННО да разгледа искане на лице, отнасящо се до защита на неговите права и свободи при обработването на личните му данни, които са били или биха могли да бъдат прехвърлени от държава членка към трета страна, за която се отнася решението, би противоречала на въведената с Директива 95/46/ЕО система, а също и на целта на нейните членове 25 и 28.

Като търси разумен баланс между конкуриращите се принципи Съдът приема, че когато ННО е сезиран с искане за защита на лични данни, с което се оспорва съвместимостта на решение на Комисията по член 25, параграф 6 от Директива 95/46/ЕО с основните права и свободи на лицата, ННО трябва да разгледа искането с „цялата дължима грижа“. Ако ННО приеме, че изложените в подкрепа на искането доказателства са неоснователни и го отхвърли, в съответствие с член 28, параграф 3, втора алинея от Директива 95/46/ЕО, разглеждан във връзка с член 47 от Хартата, лицето, подало искането, трябва да разполага с правни средства да оспори засягащото го решение пред национална юрисдикция. Ако тази юрисдикция счита, че са налице основания за невалидност на решението на Комисията, тя трябва да спре производството и да сезира Съда с преюдициално запитване за преценка на валидността му.

Ако ННО счете за основателни твърденията за нарушения, изложени от дадено лице, подало искане за защитата, той трябва да може да предприеме съответни действия по съдебен ред. В това отношение националният законодател трябва да предвиди правни способи, позволяващи на съответния ННО да изложи пред национална юрисдикция твърденията за нарушения, които счита за основателни, така че ако последната споделя съмненията на органа относно валидността на решението на Комисията, да отправи преюдициално запитване с цел проверка на валидността на решението.

СЕС приема, че въз основа на мотивите, изложени в акта за отправяне на преюдициално запитване, е редовно сезиран да се произнесе и по валидността на решението на Комисията от 26 юли 2000 г. Както беше посочено, то е прието на основание на член 25, параграф 6 от Директива 95/46/ЕО.

Според тази разпоредба Комисията „може да констатира, […] че трета страна гарантира достатъчна степен на защита по смисъла на параграф 2 [от този] член, по силата на вътрешното си законодателство или на международните [си] споразумения, [….] за защитата на личния живот и на основните свободи и права на лицата“.

Преди да премине към анализ на съдържанието на решението на Комисията, Съдът тълкува значението на понятието „достатъчна степен на защита“, използвано в член 25, параграф 2 и 6 от Директива 95/46/ЕО. Той възприема становището на генералния адвокат, според което този израз „трябва да се разбира в смисъл, че от съответната трета страна се изисква ефективно да гарантира, по силата на вътрешното си законодателство или на международните си споразумения, степен на защита на основните права и свободи, която по същество е равностойна на гарантираната в Съюза по силата на Директива 95/46/ЕО, разглеждана във връзка с Хартата“. Според СЕС, от изричния текст на член 25, параграф 6 от Директива 95/46/ЕО следва, че именно правният ред на третата страна, за която се отнася решението на Комисията, трябва да гарантира достатъчна степен на защита. Така, макар да е възможно използваните средства за постигане на необходимата степен на защита, да са различни от прилаганите в Съюза, за да се гарантира спазването на изискванията на Директива 95/46/ЕО, разглеждана във връзка с Хартата, е необходимо тези средства да са ефективни и да осигуряват защита, която е равностойна на гарантираната в Съюза. Следователно, при постановяването на решения по реда на член 25, параграф 6 от Директивата Комисията трябва да прецени съдържанието на приложимите в третата страна законодателство, международни споразумения и практика. Освен това, Комисията трябва периодично да проверява дали констатациите за „достатъчна степен на защита“, все още са актуални  и обосновани от фактическа и правна гледна точка.

Съдът възприема становището на генералния адвокат и относно момента, към който следва да се преценява валидността на решението на Комисията и изрично подчертава, че трябва да се вземат предвид и обстоятелствата, настъпили след негово приемане.

След това СЕС пристъпва към анализ на текста на решението на Комисията от 26 юли 2000 г.

Според член 1 от решението, схемата „сфера на неприкосновеност“ гарантира „достатъчна степен на защита“ на личните данни, прехвърляни от Съюза към установени в САЩ организации, декларирали придържането си към тези принципи.

СЕС приема, че този текст не отговаря на изискванията на член 25, параграф 6 от Директива 95/46/ЕО, разглеждан във връзка с Хартата, поради което е невалиден. Това е така, защото:

– макар схемата „сфера на неприкосновеност“ да се прилага спрямо организациите, тя не приложима към публичните органи, т.е. тя не гарантира защита на личните данни срещу намеса на тези органи;

– решението на Комисията не съдържа достатъчно констатации за мерките, чрез които САЩ гарантират „достатъчна степен на защита“ по силата на вътрешното си законодателство или действащите международни споразумения;

– решението допуска ограничаване прилагането на схемата „сфера на неприкосновеност“ в интерес на „националната сигурност“ на САЩ, „обществения интерес“ в САЩ и „правоприлагането“ в САЩ, както и ограничаване със „закон, правителствено регулиране или съдебна практика, които пораждат взаимнопротиворечиви задължения или предвиждат изрични разрешителни, при положение че дадена организация, която е поискала подобно разрешително, може да докаже, че неспазването на принципите е ограничено до необходимата степен за гарантиране на първостепенните законово предвидени интереси, за които е поискано разрешителното“;

– решението допуска приоритет на американското законодателство пред Директива 95/46/ЕО и Хартата;

– решението не съдържа данни в САЩ да съществуват етични правила за ограничаване на евентуална намеса в основните права на лицата, която е законосъобразна от гледна точна на американското законодателство;

– решението не съдържа данни за наличието на ефективна правна защита срещу евентуална намеса в правата на лицата в САЩ.

СЕС потвърждава изводите си от решението по делото Digital Rights Ireland и др., C‑293/12 и C‑594/12, EU:C:2014:238, че за да е налице намеса в правото на зачитане на личния живот, няма значение дали съответните лични данни са „чувствителни“ и дали заинтересованите лица са претърпели неудобства от тази намеса. Съдът припомня също, че защитата на правото на личен живот на ниво Европейския съюз изисква дерогациите и ограниченията на защитата на личните данни да се въвеждат в границите на „строго необходимото“.

На базата на тези правни стандарти СЕС приема, че правна уредба, осигуряваща общ достъп на публичните органи до съдържанието на електронни съобщения, трябва да се счита за засягаща същественото съдържание на основното право на зачитане на личния живот, гарантирано с член 7 и член 8 от Хартата. Освен това, правна уредба, която не предвижда правни средства за защита за получаване на достъп на лицата до засягащи ги лични данни или възможност да поправят или заличат такива данни, не зачита същностното съдържание на основното право на ефективна съдебна защита по член 47 от Хартата. В това отношение, самото наличие на ефективен съдебен контрол, чието предназначение е да гарантира спазването на разпоредбите от правото на Съюза, е неделимо свързано със съществуването на правовата държава.

Поради изложеното Съдът установява, че Комисията не е изпълнила задължението са да направи надлежно мотивирана констатация, че по силата на вътрешното си законодателство или на международните споразумения, САЩ ефективно „гарантират“ достатъчна степен на защита по силата на вътрешното си законодателство или на международните споразумения. Ето защо член 1 от решението от 26 юли 2000 г. е невалиден.

Съдът обявява невалидността и на член 3 от решението от 26 юли 2000 г., тъй като с приемането му Комисията е излязла извън границите на своята компетентност. На фона на утвърдените принципи за независимост на ННО, този текст ги лишава от правомощията им по член 28 от Директива 95/46/ЕО, тъй като изключва възможността те да вземат мерки на национално ниво с цел гарантиране на спазването на член 25 от Директивата.

Поради неделимостта на член 1 и член 3 от членове 2 и 4 от решението от 26 юли 2000 г., СЕС приема, че цялото решение е невалидно.

Коментар

Несъмнено решението по делото Schrems е знаково в областта на защитата на правото на личен живот и правата на човека въобще.

Забележителен е изводът на Съда, че общият достъп на публичните органи до съдържанието на електронните съобщения е нарушение на сърцевината на правото на личен живот, защитено от член 7 от Хартата. Този извод не позволява такъв тип намеса да бъде оправдана с аргументи за наличие на конкурентен обществен интерес, дори в периоди на несигурност и терористични атаки. Той е от голямо значение не само за трансфера на данни между Европа и САЩ, но и за рамките на дискрецията на държавите членки при намесата им в правата на хората и основните им свободи.

Освен това, с решението бе призната решаващата роля и отговорността на ННО за гарантирането на защитата на личните данни на национално ниво. Значението на тяхното мнение за валидността на решенията на Комисията по член 25, параграф 6 от Директива 95/46/ЕО и влезлите в ход след решението на СЕС „резервни“ и тромави способи за трансфер на лични данни в САЩ[7], провокира общи срещи на ННО в Брюксел, целящи обсъждане на гледните точки и уеднаквяване на позициите.

Нещо повече, в съответствие с установения от СЕС баланс на правомощия, държавите-членки са задължени да предвидят правни способи, позволяващи на ННО да сезират национална юрисдикция при съмнения за валидността на решения на Комисията, приети на основание член 25, параграф 6 от Директивата.

Впечатляващ е и фактът, че в становище до Европейския парламент и до Съвета от 06.11.2015 г., прието именно във връзка с делото Schrems, Комисията декларира, че ще въведе периодичен контрол върху решенията по член 25, параграф 6 от Директивата. Нещо повече, Комисията признава, че във всички решения, приети по член 25, параграф 6, съществуват текстове, аналогични на член 3 от обявеното за невалидно решение, ограничаващо правомощията на ННО. Поради това, със становището си от ноември 2015 г. тя обявява, че ще започне процедура за приемане на решение, което да отмени тези рестрикции, несъвместими с решението на СЕС.

Това решение подейства и като катализатор на започналите през 2013 г. преговори между Комисията и правителството на САЩ за подготовката на ново споразумение, инициирани по повод възникналите сериозните съмнения дали принципите на схемата „сфера на неприкосновеност“ се спазват от САЩ.

Новото споразумение трябва да отговаря на високите правни стандарти, заложени от СЕС в решението от октомври 2015 г. Ако то бъде постигнато, предстои да станем свидетели на интересни процеси при утвърждаването на механизмите за ефективна защита на правото на защита на личните данни на европейските граждани. Вероятно решението по делото Schrems е в състояние да промени дори позорната практика на Върховния съд на САЩ, според която физическите лица нямат право на обезщетение за моралните вреди, претърпени от публичното оповестяване на техни особено чувствителни лични данни[8].

***

Линк към резюмето на английски език:SAFE HARBOUR OR PEARL HARBOUR?

***

[1] Адвокат, съдружник в Адвокатско дружество „Екимджиев и партньори“.

[2] Решение на Комисията от 26 юли 2000 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ (нотифицирано под номер С(2000) 2441) (текст от значение за ЕИП),  OB L 215, 25.8.2000г., ., стр. 7-47 специално българско издание: глава 16 том 001 стр. 64 – 105.

[3] В последващото изложение тези принципи ще бъдат наричани „схемата за сфера на неприкосновеност“, в съответствие с официалния превод на решението от 6 октомври 2015 и на заключението на генералния адвокат, публикувани в страницата на Съда.

[4] Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, OB L 281, 23.11.1995г., стр. 31-50, специално българско издание: глава 13 том 017 стр. 10-29.

[5] Действията на властите на САЩ са предприети в контекста на програма, станала известна като „програмата PRISM“.

[6] принципите за неприкосновеност на личния живот „Safe Harbour“.

[7] Виж член 26 от Директивата

[8] Решение от 28 март 2012 г. по делото Federal Aviation Administration, et al., Petitioners v. Stanmore Cawthon Cooper.

Hristo Kirilov

Реферандер в Общия съд на Европейския съюз.