Schrems II, пет години по-късно

Решението, което отне три часа, за да промени правилата

На 16 юли 2020 г., около десет и петнадесет сутринта люксембургско време, Съдът на Европейския съюз (TJUE) обяви решението по дело C-311/18. В следващите три часа правният режим, който поддържаше ежедневния трансфер на лични данни от Европа към САЩ — т.нар. Privacy Shield в официалното му наименование — престана да съществува. Когато европейските служители по защита на данните приключиха обяда си същия ден, рамката, в която оперираха техните компании и администрации, вече не беше валидна.

Решението е известно днес като Schrems II, по името на Максимилиан Шремс, австрийския активист, чиято жалба срещу Facebook Ireland го предизвика. Жалбата в конкретния случай се отнасяше до трансферите между Facebook Ирландия и Facebook САЩ. Решението в общия си вид отива много по-далеч: то диктува как и при какви условия могат да се прехвърлят в САЩ всякакви лични данни, събрани на европейска територия.

Почти шест години по-късно заместващата рамка съществува — EU-US Data Privacy Framework, приета през юли 2023 г. — и тя също е под правен натиск. Подготвя се нов кръг Schrems. Междувременно малките и средни европейски предприятия продължават да използват американски облачни услуги за ежедневни задачи, в по-голямата си част без да знаят, че правният въпрос, на който почиват тези услуги, остава отворен.

Какво точно гласеше Schrems II

Решението се крепи на три стълба. Първият е Хартата на основните права на Европейския съюз, по-специално нейните членове 7 (личен и семеен живот), 8 (защита на личните данни) и 47 (ефективни правни средства за защита). Вторият е Общият регламент относно защитата на данните — RGPD, който много европейци помнят само заради съобщенията за бисквитки — по-конкретно неговата глава V, членове 44 до 50 (art. 44 to 50), относно международните трансфери. Третият е американското законодателство в областта на разузнаването: раздел 702 от Foreign Intelligence Surveillance Act, FISA 702 на юридически жаргон, и президентската Изпълнителна заповед 12333.

Съдът подходи чрез съпоставка. Хартата на основните права изисква личните данни на европейските граждани да се ползват, когато напускат Съюза, от ниво на защита, по същество еквивалентно на гарантираното от RGPD. Следователно въпросът беше дали САЩ предлагат такова по същество еквивалентно ниво.

Отговорът беше отрицателен и то не заради нюанси. FISA 702 позволява на правителството на САЩ да събира комуникации на неамериканци, намиращи се извън националната територия, без предварително индивидуално съдебно разрешение, без уведомяване на засегнатото лице и без ефективно средство за правна защита, сравнимо с европейското. Изпълнителна заповед 12333 разширява тази възможност по аналогичен начин извън националната територия. Съдът заключи, че европейският гражданин пред правната система на САЩ не разполага със защитата по същество еквивалентна на тази, която изисква Хартата. Следователно еквивалентност не съществува.

Оттук и пряката последица: Решение 2016/1250 на Европейската комисия, което беше потвърдило Privacy Shield как подходяща рамка за трансфери, беше обявено за невалидно. Всеки трансфер, основаващ се единствено на тази рамка, остана без правно основание от същия този момент.

Какво оцеля (и при какви условия)

Schrems II не премахна всички инструменти. Стандартните договорни клаузи — SCC на международен жаргон, по английското им съкращение Standard Contractual Clauses — оцеляха. Те са типови договори, одобрени от Европейската комисия: европейски износител и вносител от страната на местоназначение ги подписват, поемайки ангажимент да обработват данните съгласно европейския стандарт. Компанията, която си е мислила, че е решила проблема на 17 юли 2020 г., е подписала SCC със своя доставчик и е останала доволна.

Неудобството дойде при внимателното четене на решението. Съдът ясно посочи, че SCC остават валидни, но тяхната валидност зависи от условие, което трябва да се подчертае: импортьорът на данни да може да ги спазва на практика. Ако националното законодателство на страната на местоназначение му пречи да спазва клаузите — например защото заповед по FISA 702 го принуждава да предаде данните, без да уведоми европейския си партньор — тогава клаузите всъщност не защитават. И тогава, казва съдът, европейският износител трябва да спре трансфера.

Това въведе нов обект в европейската практика за защита на данните: Transfer Impact Assessment или анализ на въздействието на трансфера, известен с английското си съкращение TIA. Всеки път, когато европейска компания иска да прехвърли данни в САЩ под закрилата на SCC, тя трябва официално да оцени дали получателят може да спази клаузите предвид законодателството, което се прилага спрямо него. Европейският комитет по защита на данните (EDPB) публикува подробни насоки за това как да се провежда TIA. Честната практика обикновено води до същия резултат: ако импортьорът е американско дъщерно дружество на голям облачен доставчик, искреният отговор на TIA е, че клаузите не могат да бъдат изпълнени така, както са написани.

Privacy Framework и висящото Schrems III

На 10 юли 2023 г. Европейската комисия прие ново Решение за адекватност: 2023/1795. То заменя покойния Privacy Shield и оперира под името EU-US Data Privacy Framework. САЩ предварително промениха вътрешния си режим чрез Изпълнителна заповед 14086, която ограничава обхвата на разузнаването чрез сигнали до „необходимото и пропорционалното“ — терминология, позната на европейския читател, но не толкова на американската административна практика — и създава контролен орган, наречен Data Protection Review Court (DPRC). Комисията счете, че тези промени са достатъчни за възстановяване на по същество еквивалентно ниво.

Организацията noyb, основана от Schrems, подаде жалба на 7 септември 2023 г. срещу новото Решение. Аргументите са очакваните: DPRC не е независим съд по смисъла на член 47 (art. 47) от Хартата; понятията „необходимо и пропорционално“ не превеждат механично европейските стандарти; и накрая, защита, която почива на Изпълнителна заповед, може да бъде отменена от следващата Изпълнителна заповед. Решение на TJUE относно новото решение — което мнозина вече наричат с известна примиреност Schrems III — се очаква през следващите години. Резултатът не може да бъде предвиден. Структурата на аргументацията във всеки случай напомня много на тази от 2020 г.

Това, което европейските малки и средни предприятия не чуват

Докато големият състав на TJUE заседава, средно големите адвокатски кантори продължават да обменят кореспонденция с клиентите си чрез Microsoft 365, хостван в европейски региони, но собственост на американска компания, подчинена на FISA 702. Частната медицинска практика синхронизира графици чрез Google Workspace. Данъчният консултант изпраща подписани декларации чрез DocuSign. Психологът фактурира от електронна таблица в Notion. Трудовоправната кантора архивира досиета в Dropbox. И почти всички те, освен това, обслужват клиентите си чрез WhatsApp. Всичко това може да работи под закрилата на Решението за адекватност 2023/1795, според доставчиците. В деня, в който това Решение падне в Schrems III, всички тези отношения остават незащитени в същата секунда.

Въпросът не е риторичен. Между 2022 и 2024 г. няколко европейски органи решиха преписки срещу администратори на данни за използване на Google Analytics без подходящ инструмент за трансфер, в буквално прилагане на мотивите на TJUE още преди влизането в сила на Privacy Framework. Френският орган, CNIL, беше първият, който формализира критерия през 2022 г.; австрийският, италианският и други органи последваха малко след това. Неспазването на правилата при настоящия оперативен модел на европейските малки и средни предприятия се документира в реално време пред всеки, който знае как да гледа.

TIA като инструмент, а не като ритуал

Значителна част от TIA, които циркулират из европейските офиси, са, четени внимателно, формални упражнения. Те изброяват договорните инструменти, изброяват сертификатите на доставчика, цитират техническите гаранции, отмятат квадратчето. Малцина се запитват сериозно дали заповед по FISA 702 би принудила доставчика да предаде данните. Още по-малко се питат какво би станало с този трансфер при хипотетично преразглеждане на Privacy Framework. Член 5 (art. 5) от RGPD изисква от администратора на данни да може да докаже съответствие. Една TIA, която не е направена сериозно, не доказва нищо; това, което доказва, е волята за спазване на правилата на хартия, докато на практика се прави обратното.

Искрената версия на TIA започва с прост въпрос: какво би се случило, ако утре този доставчик получи заповед по FISA 702 за тези конкретни данни? Ако честният отговор е „той ще трябва да ги предаде, без да ни уведоми“, договорните клаузи не решават проблема. Това, което го решава в случаите, когато въпросът наистина е важен, е данните да не се предоставят на този доставчик.

Политическата промяна като структурен риск

Има и допълнителен политически пласт, който трябва да бъде назован без драматизъм. Решението за адекватност 2023/1795 почива в крайна сметка на Изпълнителна заповед 14086, подписана от президента Байдън през октомври 2022 г. Една Изпълнителна заповед се подписва от президент и може да бъде отменена, променена или изпразнена от съдържание от следващия. По този начин защитата на европейските данни в САЩ зависи от административно решение, което нито американският Конгрес гарантира, нито американската правна система защитава със солидността, с която защитава други вътрешни въпроси. От януари 2025 г. в САЩ управлява нова администрация и въпросът за практическата приемственост на Изпълнителна заповед 14086 престана да бъде хипотеза и стана актуален. Всеки сценарий, при който администрацията реши да оттегли или смекчи Заповедта, би оставил Европейското решение без елемента, върху който е изградено.

Това не е конспиративен аргумент. Това е трезв прочит на правната структура. Трансатлантическите рамки за защита на данните вече са падали два пъти: Safe Harbor през 2015 г. (решение Schrems I), Privacy Shield през 2020 г. (Schrems II). Третата почива на по-крехък елемент от двамата си предшественици. Една европейска компания, която днес залага обработката на своите данни на този елемент, взема решение за управление на риска, а не просто за нормативно съответствие.

За професионалния читател

Оперативните въпроси, които е добре да си зададете, преди да изберете облачна услуга за професионални данни — със строгата прецизност, с която би ги поставил инспектор по защита на данните — са следните:

1. Къде се съхраняват физически данните? Европейски регион не е достатъчен отговор, ако операторът е американски.
2. Кой управлява услугата, в коя юрисдикция е регистриран и на какви законови разпореждания може да бъде подчинен?
3. Какъв инструмент за трансфер се цитира: Решение за адекватност 2023/1795, SCC с TIA, дерогация от член 49 (art. 49) на RGPD? Защитим ли е този избор пред инспекция?
4. Ако Решението за адекватност отпадне утре, какъв оперативен план съществува за поддържане на дейността?
5. Съществува ли европейска алтернатива или собствено хостване за тази функция и каква би била реалната цена за миграция?

Не всички функции на ежедневната офис работа изискват един и същ отговор. Една електронна таблица за вътрешно счетоводство вероятно не повдига въпроса на такова ниво. Наказателното досие на клиент, медицинската история, ведомостта за заплати на служителите — да. Пропорционалността е легитимна; колективната инерция, с която европейските малки и средни предприятия остават при американски доставчици за всичко — дори за най-чувствителното — не е.

---

През този юли се навършват шест години от Schrems II. Решението не промени ежедневните навици на повечето европейски компании. То обаче промени картата на рисковете, на които са изложени тези компании. Когато едно административно решение на САЩ застане между европейския регламент и реалната дейност на едно малко или средно предприятие, е добре поне да се знае, че това решение съществува и че е крехко. Ние, които сме избрали архитектура без посредник — нишката, която преминава през Cuadernos Lacre — бихме предпочели да не ни се налага да пишем този вид анализи всеки път, когато някой като Schrems реши да подаде жалба. Но ще продължим да ги правим.