Schrems II, cúig bliana ina dhiaidh sin

An rialú a thóg trí huaire an chloig chun na rialacha a athrú

Ar an 16 Iúil 2020, thart ar a deich a chlog agus ceathrú ar maidin in am Lucsamburg, d’fhoilsigh Cúirt Bhreithiúnais an Aontais Eorpaigh (CJEU) an rialú i gcás C-311/18. Sna trí huaire an chloig ina dhiaidh sin, tháinig deireadh leis an gcóras dlíthiúil a thacaigh le haistriú laethúil sonraí pearsanta ón Eoraip go dtí na Stáit Aontaithe — an Privacy Shield (Sciath Príobháideachais) mar a thugtar air. Nuair a chríochnaigh oifigigh cosanta sonraí na hEorpa a lón an lá sin, ní raibh an creat faoina raibh a gcuid comhlachtaí agus riaracháin ag feidhmiú i bhfeidhm a thuilleadh.

Tugtar Schrems II ar an rialú inniu, i ndiaidh Maximilian Schrems, an gníomhaí Ostarach ar chuir a ghearán i gcoinne Facebook Ireland tús leis. Bhain an gearán, go sonrach, le haistrithe idir Facebook na hÉireann agus Facebook na Stát Aontaithe. Téann an rialú i bhfad níos faide go ginearálta: ordaíonn sé conas agus faoi cad iad na coinníollacha is féidir le haon sonraí pearsanta a bhailítear ar chríoch na hEorpa dul go dtí na Stáit Aontaithe.

Beagnach sé bliana ina dhiaidh sin, tá an creat athsholáthair ann — an EU-US Data Privacy Framework, a glacadh i mí Iúil 2023 — agus tá sé sin, freisin, faoi bhrú dlíthiúil. Tá babhta nua Schrems á ullmhú. Idir an dá linn, leanann gnólachtaí beaga agus meánmhéide na hEorpa ag úsáid seirbhísí scamall de chuid na Stát Aontaithe le haghaidh tascanna laethúla, gan a fhios a bheith ag an gcuid is mó acu go bhfuil an cheist dlí ar a bhfuil na seirbhísí sin bunaithe fós oscailte.

Cad go díreach a dúirt Schrems II

Tá an rialú bunaithe ar thrí chuid. Is í an chéad chuid Cairt um Chearta Bunúsacha an Aontais Eorpaigh, go háirithe Airteagail 7 (saol príobháideach agus teaghlaigh), 8 (cosaint sonraí pearsanta) agus 47 (an ceart chun leigheas éifeachtach). Is í an dara cuid an Rialachán Ginearálta maidir le Cosaint Sonraí — an GDPR nach gcuimhin le go leor Eorpach ach mar gheall ar na fógraí fianán —, go sonrach Caibidil V, Airteagail 44 go 50, maidir le haistrithe idirnáisiúnta. Is í an tríú cuid reachtaíocht faisnéise na Stát Aontaithe: alt 702 den Foreign Intelligence Surveillance Act, FISA 702 i mbéarlagair dlí, agus an tOrdú Feidhmiúcháin uachtaránachta 12333.

Chuaigh an chúirt ar aghaidh trí chodarsnacht a dhéanamh. Éilíonn an Chairt um Chearta Bunúsacha go mbeadh leibhéal cosanta ag sonraí pearsanta na saoránach Eorpach nuair a fhágann siad an tAontas atá coibhéiseach go bunúsach leis an leibhéal a ráthaítear faoin GDPR. Mar sin, ba í an cheist an dtugann na Stáit Aontaithe an leibhéal sin atá coibhéiseach go bunúsach.

Ba é an freagra ná nach dtugann, agus ní mar gheall ar mhionphointí é. Ligeann FISA 702 do rialtas na Stát Aontaithe cumarsáid daoine nach Meiriceánaigh iad atá lonnaithe lasmuigh den chríoch náisiúnta a bhailiú gan údarú breithiúnach aonair roimh ré, gan fógra a thabhairt don duine lena mbaineann, agus gan leigheas éifeachtach atá inchomparáide leis an gceann Eorpach. Leathnaíonn an tOrdú Feidhmiúcháin 12333 an cumas sin ar bhealach den chineál céanna lasmuigh den chríoch náisiúnta. Tháinig an chúirt ar an gconclúid nach bhfuil ag saoránach na hEorpa, i bhfianaise chóras dlí na Stát Aontaithe, an chosaint atá coibhéiseach go bunúsach a éilíonn an Chairt. Dá bhrí sin, níl an choibhéis ann.

Ba é an toradh díreach ná: fógraíodh Cinneadh 2016/1250 ón gCoimisiún Eorpach, a bhí tar éis bailíocht a thabhairt don Privacy Shield mar chreat leordhóthanach le haghaidh aistrithe, a bheith neamhbhailí. Bhí gach aistriú a bhí bunaithe ar an gcreat sin amháin gan bhunús dlí ón nóiméad sin ar aghaidh.

An méid a tháinig slán (agus faoi cad iad na coinníollacha)

Níor chuir Schrems II deireadh le gach uirlis. Tháinig na Clásail Chonarthacha Standardacha — SCC i mbéarlagair idirnáisiúnta — slán. Is conarthaí múnla iad atá ceadaithe ag an gCoimisiún Eorpach: síníonn onnmhaireoir Eorpach agus allmhaireoir sa tír chinn scríbe iad agus iad ag gealladh go ndéileálfar leis na sonraí de réir chaighdeán na hEorpa. An comhlacht a cheap go raibh an fhadhb réitithe aige ar an 17 Iúil 2020, shínigh sé SCC lena sholáthraí agus bhí sé sásta.

Tháinig míchompord nuair a léadh an rialú go mall. Rinne an chúirt soiléir go bhfuil na SCCanna fós bailí, ach braitheann a mbailíocht ar choinníoll ar fiú béim a chur air: gur féidir leis an allmhaireoir sonraí iad a chomhlíonadh go praiticiúil. Má chuireann reachtaíocht náisiúnta na tíre cinn scríbe cosc air na clásail a chomhlíonadh — mar shampla, toisc go gcuireann ordú faoi FISA 702 d’oibleagáid air na sonraí a thabhairt uaidh gan fógra a thabhairt dá pháirtí Eorpach —, ní chosnaíonn na clásail i ndáiríre. Agus ansin, deir an chúirt, caithfidh an t-onnmhaireoir Eorpach an t-aistriú a chur ar fionraí.

Thug sé seo rud nua isteach i gcleachtas cosanta sonraí na hEorpa: an Transfer Impact Assessment, nó measúnú tionchair an aistrithe, ar a dtugtar TIA go minic. Gach uair a bhíonn comhlacht Eorpach ag iarraidh sonraí a aistriú go dtí na Stáit Aontaithe faoi choimirce SCC, caithfidh sé measúnú foirmiúil a dhéanamh ar an bhfaighteoir féachaint an féidir leis na clásail a chomhlíonadh i bhfianaise na reachtaíochta a bhaineann leis. D’fhoilsigh an Bord Eorpach um Chosaint Sonraí (EDPB) treoir mhionsonraithe maidir le conas TIA a dhéanamh. De ghnáth bíonn an toradh céanna ar chleachtas macánta: más fochomhlacht de chuid mórchomhlacht scamall sna Stáit Aontaithe é an t-allmhaireoir, is é an freagra macánta ar an TIA ná nach féidir na clásail a chomhlíonadh mar atá siad scríofa.

An Privacy Framework agus an Schrems III atá le teacht

Ar an 10 Iúil 2023, ghlac an Coimisiún Eorpach Cinneadh Leadequachta nua: 2023/1795. Tagann sé in áit an Privacy Shield agus oibríonn sé faoin ainm EU-US Data Privacy Framework. Rinne na Stáit Aontaithe a gcóras inmheánach a mhodhnú roimhe sin trí Ordú Feidhmiúcháin 14086, a theorannaíonn scóip na faisnéise comharthaí don mhéid atá «riachtanach agus comhréireach» — téarmaíocht atá eolach don léitheoir Eorpach, ach nach bhfuil chomh heolach sin do chleachtas riaracháin na Stát Aontaithe — agus a chruthaíonn comhlacht athbhreithnithe ar a dtugtar an Data Protection Review Court (DPRC). Mheas an Coimisiún gur leor na modhnuithe sin chun an leibhéal cosanta atá coibhéiseach go bunúsach a athbhunú.

Chuir an eagraíocht noyb, a bhunaigh Schrems, gearán isteach ar an 7 Meán Fómhair 2023 i gcoinne an chinnidh nua. Is iad na hargóintí na cinn a mbeifí ag súil leo: ní cúirt neamhspleách é an DPRC de réir bhrí Airteagal 47 den Chairt; ní aistríonn na coincheapa «riachtanach agus comhréireach» go huathoibríoch chuig caighdeáin na hEorpa; agus, ar deireadh, is féidir ordú feidhmiúcháin eile a chur in ionad cosaint atá bunaithe ar Ordú Feidhmiúcháin. Táthar ag súil le rialú ón CJEU ar an gcinneadh nua — an ceann ar a dtugann go leor daoine Schrems III cheana féin — sna blianta amach romhainn. Ní féidir an toradh a thuar. Ar aon chuma, tá struchtúr na hargóinte an-chosúil leis an gceann ó 2020.

An rud nach gcloiseann an FBM Eorpach

Cé go bhfuil mórshraith an CJEU ag teacht le chéile, leanann an gnólacht dlí meánmhéide ag malartú comhfhreagrais lena chustaiméirí trí Microsoft 365 atá óstáilte i réigiúin Eorpacha ach atá faoi úinéireacht comhlachta sna Stáit Aontaithe atá faoi réir FISA 702. Déanann an cleachtas liachta príobháideach dialanna a shioncronú trí Google Workspace. Seolann an comhairleoir cánach dearbhuithe sínithe trí DocuSign. Déanann an síceolaí billí a eisiúint ó bhileog oibre in Notion. Déanann an gnólacht dlí saothair comhaid a chartlannú in Dropbox. Agus déanann beagnach gach duine acu freastal ar a gcuid custaiméirí trí WhatsApp. Is féidir an obair seo go léir a dhéanamh faoi choimirce Cinneadh Leadequachta 2023/1795, de réir na soláthraithe. An lá a dtitfidh an Cinneadh sin i Schrems III, beidh na caidrimh sin go léir fágtha gan chosaint sa soicind céanna.

Ní ceist acadúil í seo. Idir 2022 agus 2024, réitigh roinnt údarás Eorpach cásanna i gcoinne rialaitheoirí sonraí as Google Analytics a úsáid gan uirlis aistrithe chuí, ag cur réasúnaíocht an CJEU i bhfeidhm go litriúil fiú sular tháinig an Privacy Framework i bhfeidhm. Ba é an t-údarás Francach, an CNIL, an chéad duine a rinne an critéar a fhoirmiú in 2022; lean údaráis na hOstaire, na hIodáile agus cinn eile go gairid ina dhiaidh sin. Déantar an neamhchomhlíonadh, faoi dhearadh oibríochtúil reatha FBM na hEorpa, a dhoiciméadú i bhfíor-am do dhuine ar bith a bhfuil a fhios aige conas féachaint air.

TIA mar uirlis, ní mar dheasghnáth

Is cleachtaí foirmiúla iad cuid mhaith de na TIAanna atá ag scaipeadh trí oifigí na hEorpa, má dhéantar iad a léamh go cúramach. Liostaíonn siad na huirlisí conarthacha, enumerate siad deimhnithe an tsoláthraí, luann siad na ráthaíochtaí teicniúla, agus marcálann siad an bosca. Is beag duine a fhiafraíonn i ndáiríre an gcuirfeadh ordú FISA 702 iallach ar an soláthraí na sonraí a thabhairt uaidh. Is lú fós na daoine a fhiafraíonn cad a tharlódh don aistriú sin faoi athbhreithniú hipitéiseach ar an bPrivacy Framework. Éilíonn Airteagal 5 den GDPR ar an rialaitheoir sonraí a bheith in ann comhlíonadh a léiriú. Ní léiríonn TIA nach ndéantar go dáiríre rud ar bith; is é an rud a léiríonn sé ná an toil chun comhlíonadh a dhéanamh ar pháipéar cé go bhfuil a mhalairt á dhéanamh i gcleachtas.

Tosaíonn an leagan macánta den TIA le ceist shimplí: cad a tharlódh dá bhfaigheadh an soláthraí seo ordú FISA 702 amárach maidir leis na sonraí áirithe seo? Más é an freagra macánta ná «go mbeadh air iad a thabhairt uaidh gan sinn a chur ar an eolas», ní réitíonn na clásail chonarthacha an fhadhb. Is é an rud a réitíonn sé, sna cásanna ina bhfuil tábhacht i ndáiríre leis an gceist, ná gan na sonraí a chur i lámha an tsoláthraí sin.

Athrú polaitiúil mar riosca struchtúrach

Tá sraith bhreise ann, sraith pholaitiúil, ar fiú í a ainmniú gan drámaíocht. Tá Cinneadh Leadequachta 2023/1795 bunaithe, i ndeireadh na dála, ar Ordú Feidhmiúcháin 14086, a shínigh an tUachtarán Biden i nDeireadh Fómhair 2022. Is é uachtarán a shíníonn Ordú Feidhmiúcháin agus is féidir leis an gcéad uachtarán eile é a chúlghairm, a mhodhnú nó a fholmhú ó thaobh ábhair de. Dá bhrí sin, braitheann cosaint sonraí na hEorpa sna Stáit Aontaithe ar chinneadh riaracháin nach ráthaíonn Comhdháil Mheiriceá agus nach gcosnaíonn córas dlí Mheiriceá leis an daingne céanna a chosnaíonn sé ábhair inmheánacha eile. Ó Eanáir 2025 tá rialtas nua i mbun cumhachta sna Stáit Aontaithe, agus ní hipitéis í an cheist maidir le leanúnachas praiticiúil an EO 14086 a thuilleadh ach ceist chomhaimseartha. Aon chás ina gcinnfeadh an rialtas an tOrdú a tharraingt siar nó a lagú, d’fhágfadh sé Cinneadh na hEorpa gan an chuid ar a tógadh é.

Ní hargóint chomhcheilge í seo. Is léamh sollúnta é ar an dearadh dlíthiúil. Thit creataí cosanta sonraí trasatlantacha faoi dhó cheana féin: an Safe Harbor in 2015 (rialú Schrems I), an Privacy Shield in 2020 (Schrems II). Tá an tríú ceann bunaithe ar chuid níos soghonta ná an dá cheann roimhe sin. Comhlacht Eorpach a chuireann a phróiseáil sonraí i ngeall ar an gcuid sin inniu, tá sé ag déanamh cinneadh bainistíochta riosca, ní hamháin cinneadh maidir le comhlíonadh rialála.

Don léitheoir gairmiúil

Is iad seo a leanas na ceisteanna oibríochtúla is fiú a chur sula roghnaítear seirbhís scamall do shonraí gairmiúla — leis an déine a chuirfeadh cigire cosanta sonraí iad:

1. Cá bhfuil na sonraí stóráilte go fisiciúil? Ní leor réigiún Eorpach mar fhreagra má tá an t-oibreoir lonnaithe sna Stáit Aontaithe.
2. Cé atá ag feidhmiú na seirbhíse, cén dlínse ina bhfuil sí corpraithe, agus cé na horduithe dlíthiúla ar féidir í a chur faoina réir?
3. Cén uirlis aistrithe atá á húsáid: Cinneadh Leadequachta 2023/1795, SCC le TIA, díolúine faoi Airteagal 49 den GDPR? An féidir an rogha sin a chosaint le linn cigireachta?
4. Dá dtitfeadh an Cinneadh Leadequachta amárach, cén plean oibríochtúil atá ann chun an ghníomhaíocht a choinneáil ar siúl?
5. An bhfuil rogha eile Eorpach nó féin-óstáilte ann don fheidhm sin, agus cad é an fíorchostas a bhainfeadh le haistriú?

Ní gá an freagra céanna do gach feidhm laethúil san oifig. Is dócha nach n-ardaíonn bileog oibre do chuntasaíocht inmheánach an cheist chuig an leibhéal seo. Ardaíonn comhad coiriúil custaiméara, stair liachta, nó párolla fostaithe í, áfach. Tá comhréireacht dlisteanach; níl an t-aimhrialtacht chomhchoiteann faoinar fhan FBM na hEorpa le soláthraithe sna Stáit Aontaithe do gach rud — fiú do na rudaí is íogaire — dlisteanach.

---

Tá Schrems II sé bliana d’aois an tIúil seo. Níor athraigh an rialú gnáthaimh laethúla fhormhór na gcomhlachtaí Eorpacha. Mar sin féin, d’athraigh sé léarscáil na rioscaí a bhfuil na comhlachtaí sin neamhchosanta orthu. Nuair a sheasann cinneadh riaracháin de chuid na Stát Aontaithe idir an rialachán Eorpach agus fíoroibríocht FBM, is fiú a fhios a bheith agat go bhfuil an cinneadh sin ann, agus go bhfuil sé soghonta. Ba bhfearr linne a roghnaigh ailtireacht gan oibreoir idirmheánach — an snáithe a ritheann trí Cuadernos Lacre — gan an cineál anailíse seo a scríobh gach uair a shuíonn Schrems chun achomharc a chur i láthair. Ach leanfaimid orainn á ndéanamh.