Schrems II, praėjus penkeriems metams

Nuosprendis, kuriam prireikė trijų valandų taisyklėms pakeisti

2020 m. liepos 16 d., apie ketvirtį po dešimtos ryto Liuksemburgo laiku, Europos Sąjungos Teisingumo Teismas paskelbė nuosprendį byloje C-311/18. Per kitas tris valandas teisinė sistema, kuria rėmėsi kasdienis asmens duomenų perdavimas iš Europos į JAV — vadinamasis Privatumo skydas („Privacy Shield“ pagal oficialų pavadinimą) — nustojo egzistuoti. Kai Europos duomenų apsaugos pareigūnai tą dieną baigė pietauti, sistema, kuria rėmėsi jų įmonės ir administracijos, nebegaliojo.

Šiandien šis nuosprendis žinomas kaip „Schrems II“ vardu, pavadintas Maximiliano Schremso, Austrijos aktyvisto, kurio skundas prieš „Facebook Ireland“ jį sukėlė, garbei. Skundas konkrečiai buvo susijęs su duomenų perdavimu tarp „Facebook Ireland“ ir „Facebook USA“. Tačiau nuosprendis apima kur kas daugiau: jis nustato, kaip ir kokiomis sąlygomis bet kokie asmens duomenys, surinkti Europos teritorijoje, gali būti perduoti į JAV.

Praėjus bevep šešeriems metams, pakaitinė sistema egzistuoja — tai 2023 m. liepą priimta „ES ir JAV duomenų privatumo sistema“ — ir ji taip pat patiria teisinį spaudimą. Ruošiamas naujas „Schrems“ raundas. Tuo tarpu Europos mažos ir vidutinės įmonės kasdienėms užduotims ir toliau naudoja JAV debesijos paslaugas, dažniausiai nežinodamos, kad teisinis pagrindas, kuriuo grindžiamos šiese paslaugos, lieka atviras.

Ką tiksliai sakė Schrems II

Nuosprendis remiasi trimis dalimis. Pirmoji — Europos Sąjungos pagrindinių teisių chartija, ypač jos 7 (privatus ir šeimos gyvenimas), 8 (asmens duomenų apsauga) ir 47 (teisė į veiksmingą teisinę gynybą) straipsniai. Antroji — Bendrasis duomenų apsaugos reglamentas (BDAR), kurį daugelis europiečių prisimena tik dėl slapukų pranešimų, konkrečiai jo V skyrius, 44–50 straipsniai apie tarptautinį perdavimą. Trečioji — JAV žvalgybos teisės aktai: „Foreign Intelligence Surveillance Act“ 702 skyrius (teisinėje kalboje FISA 702) ir Prezidento vykdomasis įsakymas 12333.

Teismas rėmėsi lyginamuoju metodu. Pagrindinių teisių chartija reikalauja, kad Europos piliečių asmens duomenims, kai jie išvyksta iš Sąjungos, būtų taikomas apsaugos lygis, iš esmės lygiavertis tam, kurį garantuoja BDAR. Todėl klausimas buvo, ar JAV siūlo šį iš esmės lygiavertį lygį.

Atsakymas buvo neigiamas ir ne dėl smulkmenų. FISA 702 leidžia JAV vyriausybei rinkti ne JAV asmenų, esančių už šalies teritorijos ribų, komunikaciją be išankstinio individualaus teismo leidimo, be pranešimo nukentėjusiajam ir bez veiksmingos teisinės gynybos priemonės, palyginamos su europine. Vykdomasis įsakymas 12333 analogiškai išplečia šį pajėgumą už šalies teritorijos ribų. Teismas padarė išvadą, kad Europos pilietis JAV teisinėje sistemoje neturi iš esmės lygiavertės apsaugos, kurios reikalauja Chartija. Todėl lygiavertiškumo nėra.

Iš to išplaukia tiesioginė pasekmė: Europos Komisijos sprendimas 2016/1250, patvirtinęs „Privacy Shield“ kaip tinkamą perdavimo pagrindą, buvo pripažintas negaliojančiu. Kiekvienas perdavimas, grindžiamas tik šia sistema, nuo tos akimirkos liko be teisinio pagrindo.

Kas išgyveno (ir kokiomis sąlygomis)

Schrems II nepanaikino visų instrumentų. Standartinės sutarčių sąlygos (SCC pagal anglišką trumpinį „Standard Contractual Clauses“) išliko. Tai Europos Komisijos patvirtinti pavyzdiniai kontraktai: Europos eksportuotojas ir importuotojas paskirties šalyje juos pasirašo įsipareigodami tvarkyti duomenis pagal Europos standartus. Įmonė, maniusi, kad išsprendė problemą 2020 m. liepos 17 d., pasirašė SCC su savo teikėju ir nusiramino.

Nerimas kilo atidžiai perskaičius nuosprendį. Teismas aiškiai nurodė, kad SCC lieka galioti, tačiau jų galiojimas priklauso nuo sąlygos, kurią verta pabrėžti: kad duomenų importuotojas gali jų laikytis praktikoje. Jei paskirties šalies nacionaliniai teisės aktai neleidžia jam laikytis sąlygų — pavyzdžiui, todėl, kad nurodymas pagal FISA 702 įpareigoja jį pateikti duomenis nepranešus Europos partneriui — sąlygos iš tikrųjų neapsaugo. Ir tada, sako Teismas, Europos eksportuotojas privalo sustabdyti perdavimą.

Tai įvedė naują elementą į Europos duomenų apsaugos praktiką: „Transfer Impact Assessment“ arba perdavimo poveikio vertinimą, žinomą trumpiniu TIA. Kiekvieną kartą, kai Europos įmonė nori perduoti duomenis į JAV remdamasi SCC, ji privalo oficialiai įvertinti, ar gavėjas gali laikytis sąlygų, atsižvelgiant į jam taikomus teisės aktus. Europos duomenų apsaugos valdyba (EDAV) paskelbė išsamias gaires, kaip atlikti TIA. Sąžininga praktika dažniausiai duoda tą patį rezultatą: jei importuotojas yra didelės debesijos įmonės JAV dukterinė įmonė, nuoširdus atsakymas į TIA yra tas, kad sąlygų negalima laikytis taip, kaip jos parašytos.

Privatumo sistema ir laukiamas Schrems III

2023 m. liepos 10 d. Europos Komisija priėmė naują sprendimą dėl tinkamumo: 2023/1795. Jis pakeičia nebegaliojantį „Privacy Shield“ ir veikia pavadinimu „ES ir JAV duomenų privatumo sistema“. JAV anksčiau pakeitė savo vidaus režimą Vykdomuoju įsakymu 14086, kuris apriboja signalų žvalgybos apimtį iki „būtinos ir proporcingos“ — ši terminologija pažįstama Europos skaitytojui, bet nelabai JAV administracinei praktikai — ir įsteigia peržiūros instituciją, vadinamą Duomenų apsaugos peržiūros teismu (DPRC). Komisija nusprendė, kad šių pakeitimų pakanka iš esmės lygiaverčiam lygiui atkurti.

Organizacija „noyb“, įkurta Schremso, 2023 m. rugsėjo 7 d. pateikė skundą prieš naująjį sprendimą. Argumentai yra tikėtini: DPRC nėra nepriklausomas teismas Chartijos 47 straipsnio prasme; sąvokos „būtina ir proporcuna“ mechaniškai neperkelia Europos standartų; ir galiausiai apsauga, pagrįsta Vykdomuoju įsakymu, gali būti atšaukta kitu Vykdomuoju įsakymu. ESTT nuosprendžio dėl naujojo sprendimo — kurį daugelis jau su tam tikru nusivylimu vadina „Schrems III“ — laukiama artimiausiais metais. Rezultato negalima numatyti. Argumentacijos struktūra bet kuriuo atveju labai primena 2020 metų struktūrą.

Ko negirdi Europos MVĮ

Kol didžioji ESTT kolegija svarsto, vidutinio dydžio advokatų kontora ir toliau susirašinėja su savo klientais per „Microsoft 365“, esantį Europos regionuose, bet priklausantį JAV įmonei, kuriai taikomas FISA 702. Privati medicinos klinika sinchronizuoja darbotvarkes per „Google Workspace“. Mokesčių konsultantas siunčia pasirašytas deklaracijas per „DocuSign“. Psichologas išrašo sąskaitas iš „Notion“ skaičiuoklės. Darbo teisės kontora archyvuoja bylas „Dropbox“. Ir praktiškai visi jie, be to, bendrauja su savo klientais per „WhatsApp“. Visa tai, pasak tiekėjų, gali veikti remiantis sprendimu dėl tinkamumo 2023/1795. Tą dieną, kai tas sprendimas žlugs „Schrems III“ byloje, visi šie santykiai tą pačią sekundę liks be apsaugos.

Klausimas nėra retorinis. 2022–2024 m. kelios Europos institucijos priėmė sprendimus prieš duomenų valdytojus dėl „Google Analytics“ naudojimo be tinkamo perdavimo instrumento, tiesiogiai taikydamos ESTT argumentus dar prieš įsigaliojant Privatumo sistemai. Prancūzijos institucija CNIL buvo pirmoji, įteisinusi šį kriterijų 2022 m.; netrukus po to sekė Austrijos, Italijos ir kitos institucijos. Neatitikimas, esant dabartiniam Europos MVĮ veiklos modeliui, fiksuojamas realiuoju laiku tiems, kurie moka žiūrėti.

TIA kaip įrankis, o ne kaip ritualas

Didelė dalis po Europos kontoras cirkuliuojančių TIA, atidžiai skaitant, yra formalios pratybos. Jos išvardija sutartinius instrumentus, nurodo teikėjo sertifikatus, mini technines garantijas, pažymi langelį. Mažai kas rimtai klausia, ar FISA 702 nurodymas įpareigotų teikėją pateikti duomenis. Dar mažiau klausia, kas nutiktų tam perdavimui esant hipotetinei Privatumo sistemos peržiūrai. BDAR 5 straipsnis reikalauja, kad duomenų valdytojas sugebėtų įrodyti atitiktį. TIA, kuri atliekama nerimtai, nieko neįrodo; ji įrodo tik norą laikytis taisyklių popieriuje, praktikoje darant priešingai.

Nuoširdi TIA versija prasideda nuo paprasto klausimo: kas nutiktų, jei rytoj šis teikėjas gautų FISA 702 nurodymą dėl šių konkrečių duomenų? Jei nuoširdus atsakymas yra „jis turėtų juos pateikti nepranešęs mums“, sutartinės sąlygos problemos neišsprendžia. Tai, kas ją išsprendžia tais atvejais, kai klausimas tikrai svarbus, yra duomenų nepateikimas tam teikėjui.

Politiniai pokyčiai kaip struktūrinė rizika

Yra papildomas politinis sluoksnis, kurį verta įvardyti be dramatizmo. Sprendimas dėl tinkamumo 2023/1795 galiausiai remiasi Vykdomuoju įsakymu 14086, kurį 2022 m. spalį pasirašė prezidentas Bidenas. Vykdomąjį įsakymą pasirašo prezidentas, o kitas prezidentas gali jį atšaukti, pakeisti arba ištuštinti jo turinį. Taigi Europos duomenų apsauga JAV priklauso nuo administracinio sprendimo, kurio nei Amerikos Kongresas negarantuoja, nei Amerikos teisinė sistema nesaugo taip tvirtai, kaip saugo kitus vidaus klausimus. Nuo 2025 m. sausio JAV valdo nauja administracija, ir klausimas dėl EO 14086 praktinio tęstinumo nustojo būti hipoteze ir tapo šiuolaikine aktualija. Bet koks scenarijus, kuriame administracija nuspręstų atšaukti arba sušvelninti įsakymą, paliktų Europos sprendimą be pagrindo, ant kurio jis buvo sukurtas.

Tai nėra sąmokslo teorija. Tai blaivus teisinio dizaino skaitymas. Transatlantinės duomenų apsaugos sistemos jau žlugo du kartus: „Safe Harbor“ 2015 m. („Schrems I“ nuosprendis), „Privacy Shield“ 2020 m. („Schrems II“). Trečioji remiasi trapesne dalimi nei jos dvi pirmtakės. Europos įmonė, kuri šiandien stata savo duomenų tvarkymą ant šios dalies, priima rizikos valdymo sprendimą, o ne tiesiog atitikties taisyklėms sprendimą.

Profesionaliam skaitytojui

Operaciniai klausimai, kuriuos verta užduoti sau prieš pasirenkant debesijos paslaugą profesiniams duomenims — taip griežtai, kaip juos užduotų duomenų apsaugos inspektorius — yra šie:

1. Kur fiziškai saugomi duomenys? Europos regionas nėra pakankamas atsakymas, jei operatorius yra JAV įmonė.
2. Kas valdo paslaugą, kokioje jurisdikcijoje ji registruota ir kokiems teisiniams nurodymams ji gali būti pavaldi?
3. Kokiu perdavimo instrumentu remiamasi: 2023/1795 sprendimu dėl tinkamumo, SCC kartu su TIA, BDAR 49 straipsnio nukrypti leidžiančiomis nuostatomis? Ar šis pasirinkimas pagrindžiamas patikrinimo metu?
4. Jei sprendimas dėl tinkamumo rytoj nustotų galioti, koks yra veiklos tęstinumo planas?
5. Ar šiai funkcijai yra europinė arba savarankiškai priglobta alternatyva ir kokia būtų reali migracijos kaina?

Ne visoms kasdienio biuro funkcijoms reikia tokio paties atsakymo. Skaičiuoklė vidinei buhalterijai tikriausiai neiškelia klausimo į šį lygį. Kliento baudžiamoji byla, ligos istorija, darbuotojų darbo užmokesčio žiniaraštis — taip. Proporcingumas yra teisėtas; kolektyvinė inercija, su kuria Europos MVĮ liko prie JAV teikėjų viskam — net ir jautriausiems dalykams — nėra tokia.

---

Šį liepį Schrems II sprendimui sukanka šešeri metai. Nuosprendis nepakeitė daugumos Europos įmonių kasdienių įpročių. Tačiau jis pakeitė rizikų žemėlapį, kurį šios įmonės turi įvertinti. Kai JAV administracinis sprendimas įsiterpia tarp Europos reglamento ir realios MVĮ veiklos, pravartu bent jau žinoti, kad tas sprendimas yra ir kad jis yra trapus. Tie iš mūsų, kurie pasirinko architektūrą be tarpininkų — tai gija, einanti per „Cuadernos Lacre“ (vaško antspaudo užrašus) — norėtų, kad nereikėtų rašyti tokios analizės kiekvieną kartą, kai koks nors Schremsas pateikia skundą. Tačiau mes ir toliau tai darysime.