Schrems II, piecus gadus vēlāk

Spriedums, kuram vajadzēja trīs stundas, lai mainītu noteikumus

2020. gada 16. jūlijā ap pulksten ceturksni pēc desmitiem no rīta pēc Luksemburgas laika Eiropas Savienības Tiesa pasludināja spriedumu lietā C-311/18. Nākamo trīs stundu laikā tiesiskais režīms, kas nodrošināja ikdienas personas datu nosūtīšanu no Eiropas uz ASV — tā dēvētais Privātuma vairogs („Privacy Shield“ saskaņā ar oficiālo nosaukumu) — beidza pastāvēt. Kad Eiropas datu aizsardzības speciālisti tajā dienā pabeidza pusdienas, sistēma, uz kuras pamata darbojās viņu uzņēmumi un administrācijas, vairs nebija derīga.

Šodien šis spriedums ir pazīstams kā „Schrems II“, nosaukts Maksimiliāna Šremsa, Austrijas aktīvista, kura sūdzība pret „Facebook Ireland“ to izraisīja, vārdā. Sūdzība konkrēti attiecās uz datu nosūtīšanu starp „Facebook Ireland“ un „Facebook ASV“. Tomēr spriedums sniedzas daudz tālāk: tas nosaka, kā un ar kādiem nosacījumiem jebkuri Eiropas teritorijā savāktie personas dati var tikt nosūtīti uz ASV.

Gandrīz sešus gadus vēlāk aizstājējprogramma eksistē — tā ir 2023. gada jūlijā pieņemtā „ES un ASV datu privātuma sistēma“ — un arī tā ir pakļauta juridiskam spiedienam. Tiek gatavota jauna „Schrems“ kārta. Tikmēr Eiropas mazie un vidējie uzņēmumi ikdienas uzdevumiem turpina izmantot ASV mākoņpakalpojumus, lielākoties nezinot, ka tiesiskais pamats, uz kura balstās šie pakalpojumi, joprojām ir atvērts.

Ko tieši teica Schrems II

Spriedums balstās uz trim daļām. Pirmā ir Eiropas Savienības Pamattiesību harta, jo īpaši tās 7. (privātā un ģimenes dzīve), 8. (personas datu aizsardzība) un 47. (tiesības uz efektīvu tiesību aizsardzību tiesā) pants. Otrā ir Vispārīgā datu aizsardzības regula (VDAR), kuru daudzi eiropieši atceras tikai sīkfailu paziņojumu dēļ, konkrēti tās V nodaļa, 44.–50. pants par starptautisko nosūtīšanu. Trešā ir ASV izlūkošanas tiesību akti: „Foreign Intelligence Surveillance Act“ 702. sadaļa (juridiskajā žargonā FISA 702) un prezidenta izpildrīkojums 12333.

Tiesa rīkojās, izmantojot salīdzināšanas metodi. Pamattiesību harta prasa, lai Eiropas pilsoņu personas datiem, kad tie tiek nosūtīti ārpus Savienības, tiktu nodrošināts aizsardzības līmenis, kas pēc būtības ir līdzvērtīgs VDAR garantētajam līmenim. Tāpēc jautājums bija par to, vai ASV piedāvā šo pēc būtības līdzvērtīgo līmeni.

Atbilde bija negatīva, un nevis detaļu dēļ. FISA 702 ļauj ASV valdībai vākt personu, kas nav ASV pilsoņi un atrodas ārpus valsts teritorijas, komunikāciju bez iepriekšējas individuālas tiesas atļaujas, bez paziņojuma cietušajam un bez efektīva tiesiskās aizsardzības līdzekļa, kas būtu salīdzināms ar Eiropas līmeni. Izpildrīkojums 12333 analoģiski paplašina šo spēju ārpus valsts teritorijas. Tiesa secināja, kad Eiropas pilsonim ASV tiesību sistēmā nav pēc būtības līdzvērtīgas aizsardzības, ko prasa Harta. Tādējādi līdzvērtības nav.

No tā izriet tiešas sekas: Eiropas Komisijas lēmums 2016/1250, kas bija atzinis „Privacy Shield“ par atbilstošu nosūtīšanas sistēmu, tika atzīts par nederīgu. Jebkura nosūtīšana, kas balstījās tikai uz šo sistēmu, no tā brīža palika bez juridiskā pamata.

Kas izdzīvoja (un ar kādiem nosacījumiem)

Schrems II neizslēdza visus instrumentus. Standarta līguma klauzulas (SCC saskaņā ar angļu valodas trumpinājumu „Standard Contractual Clauses“) saglabājās. Tie ir Eiropas Komisijas apstiprināti parauglīgumi: Eiropas eksportētājs un importētājs galamērķa valstī tos paraksta, apņemoties apstrādāt datus atbilstoši Eiropas standartiem. Uzņēmums, kurš domāja, ka ir atrisinājis problēmu 2020. gada 17. jūlijā, parakstīja SCC ar savu pakalpojumu sniedzēju un jutās apmierināts.

Nemiers radās, uzmanīgi izlasot spriedumu. Tiesa skaidri norādīja, ka SCC joprojām ir spēkā, taču to derīgums ir atkarīgs no nosacījuma, kuru ir vērts uzsvērt: vai datu importētājs var tās ievērot praksē. Ja galamērķa valsts nacionālie tiesību akti neļauj tam ievērot klauzulas — piemēram, tāpēc, ka rīkojums saskaņā ar FISA 702 uzliek tam par pienākumu nodot datus, nepaziņojot par to Eiropas partnerim — klauzulas patiesībā neaizsargā. Un tad, saka Tiesa, Eiropas eksportētājam ir jāpārtrauc nosūtīšana.

Tas ieviesa jaunu elementu Eiropas datu aizsardzības praksē: „Transfer Impact Assessment“ jeb nosūtīšanas ietekmes novērtējumu, kas pazīstams ar saīsinājumu TIA. Katru reizi, kad Eiropas uzņēmums vēlas nosūtīt datus uz ASV, pamatojoties uz SCC, tam ir oficiāli jāizvērtē, vai saņēmējs var ievērot klauzulas, ņemot vērā tam piemērojamos tiesību aktus. Eiropas Datu aizsardzības kolēģija (EDAK) publicēja detalizētas vadlīnijas par to, kā veikt TIA. Godīga prakse parasti dod vienu un to pašu rezultātu: ja importētājs ir liela mākoņpakalpojumu uzņēmuma ASV meitasuzņēmums, godīga atbilde uz TIA ir tāda, ka klauzulas nevar izpildīt tā, kā tās ir uzrakstītas.

Privātuma sistēma un gaidāmais Schrems III

2023. gada 10. jūlijā Eiropas Komisija pieņēma jaunu lēmumu par atbilstību: 2023/1795. Tas aizstāj nederīgo „Privacy Shield“ un darbojas ar nosaukumu „ES un ASV datu privātuma sistēma“. ASV iepriekš mainīja savu iekšējo režīmu ar izpildrīkojumu 14086, kas ierobežo signālu izlūkošanas apjomu līdz „nepieciešamam un samērīgam“ — šī terminoloģija ir pazīstama Eiropas lasītājam, bet ne tik ļoti ASV administratīvajai praksei — un izveido pārskatīšanas institūciju, ko sauc par Datu aizsardzības pārskatīšanas tiesu (DPRC). Komisija uzskatīja, ka ar šīm izmaiņām pietiek, lai atjaunotu pēc būtības līdzvērtīgu līmeni.

Organizācija „noyb“, kuru dibināja Šremss, 2023. gada 7. septembrī iesniedza sūdzību pret jauno lēmumu. Argumenti ir gaidāmi: DPRC nav neatkarīga tiesa Hartas 47. panta izpratnē; jēdzieni „nepieciešams un samērīgs“ mehāniski nepārceļ Eiropas standartus; un visbeidzot, aizsardzību, kas balstās uz izpildrīkojumu, var atsaukt ar nākamo izpildrīkojumu. EST spriedums par jauno lēmumu — kuru daudzi jau ar zināmu rezignāciju dēvē par „Schrems III“ — ir gaidāms tuvākajos gados. Rezultātu nevar paredzēt. Argumentācijas struktūra jebkurā gadījumā ļoti atgādina 2020. gada struktūru.

Ko Eiropas MVU nedzird

Kamēr EST virspalāta spriež, vidēja izmēra advokātu birojs turpina apmainīties ar korespondenci ar saviem klientiem, izmantojot „Microsoft 365“, kas atrodas Eiropas reģionos, bet pieder ASV uzņēmumam, uz kuru attiecas FISA 702. Privātā medicīnas klīnika sinhronizē darba kārtību, izmantojot „Google Workspace“. Nodokļu konsultants sūta parakstītas deklarācijas, izmantojot „DocuSign“. Psihologs izraksta rēķinus no „Notion“ izklājlapas. Darba tiesību birojs arhivē lietas „Dropbox“. Un praktiski visi viņi turklāt sazinās ar saviem klientiem caur „WhatsApp“. Tas viss var darboties, saskaņā ar pakalpojumu sniedzēju teikto, pamatojoties uz lēmumu par atbilstību 2023/1795. Dienā, kad šis lēmums kritīs „Schrems III“ lietā, visas šīs attiecības tajā pašā sekundē paliks bez aizsardzības.

Jautājums nav retorisks. No 2022. līdz 2024. gadam vairākas Eiropas iestādes pieņēma lēmumus pret datu pārziņiem par „Google Analytics“ izmantošanu bez atbilstoša nosūtīšanas instrumenta, tieši piemērojot EST argumentāciju vēl pirms Privātuma sistēmas stāšanās spēkā. Francijas iestāde CNIL bija pirmā, kas 2022. gadā oficializēja šo kritēriju; neilgi pēc tam sekoja Austrijas, Itālijas un citas iestādes. Neatbilstība pašreizējā Eiropas MVU darbības modelī tiek fiksēta reāllaikā tiem, kuri prot skatīties.

TIA kā instruments, nevis kā rituāls

Liela daļa Eiropas birojos cirkulējošo TIA, uzmanīgi lasot, ir formāls vingrinājums. Tās uzskaita līguma instrumentus, uzskaita pakalpojumu sniedzēja sertifikātus, piemin tehniskās garantijas, atzīmē lodziņu. Tikai daži nopietni jautā, vai FISA 702 rīkojums uzliktu pakalpojumu sniedzējam par pienākumu nodot datus. Vēl mazāk jautā, kas notiktu ar šo nosūtīšanu hipotētiskas Privātuma sistēmas pārskatīšanas gadījumā. VDAR 5. pants prasa, lai pārzinis spētu pierādīt atbilstību. TIA, kas netiek veikta nopietni, neko nepierāda; tā pierāda tikai vēlmi ievērot noteikumus uz papīra, praksē darot pretējo.

TIA godīgā versija sākas ar vienkāršu jautājumu: kas notiktu, ja rīt šis pakalpojumu sniedzējs saņemtu FISA 702 rīkojumu par šiem konkrētajiem datiem? Ja godīga atbilde ir „tam tie būtu jānodod, nepaziņojot mums“, līguma klauzulas problēmu neatrisina. Tas, kas to atrisina gadījumos, kad jautājums ir patiešām svarīgs, ir datu nenodošana šim pakalpojumu sniedzējam.

Politiskās pārmaiņas kā strukturāls risks

Ir vēl viens politisks slānis, kuru ir vērts pieminēt bez dramatizēšanas. Lēmums par atbilstību 2023/1795 galu galā balstās uz izpildrīkojumu 14086, kuru prezidents Baidens parakstīja 2022. gada oktobrī. Izpildrīkojumu paraksta prezidents, un nākamais prezidents var to atsaukt, mainīt vai iztukšot tā saturu. Tādējādi Eiropas datu aizsardzība ASV ir atkarīga no administratīva lēmuma, kuru ne Amerikas Kongress negarantē, ne Amerikas tiesību sistēma neaizsargā tik stingri, kā tā aizsargā citus iekšējos jautājumus. Kopš 2025. gada janvāra ASV vada jauna administrācija, un jautājums par EO 14086 praktisko turpināšanos vairs nav hipotēze, bet gan mūsdienu aktualitāte. Jebkurš scenārijs, kurā administrācija nolemtu atsaukt vai mīkstināt rīkojumu, atstātu Eiropas lēmumu bez pamata, uz kura tas tika celts.

Tas nav sazvērestības arguments. Tas ir skaidrs tiesiskā dizaina lasījums. Transatlantiskās datu aizsardzības sistēmas jau ir sabrukušas divreiz: „Safe Harbor“ 2015. gadā („Schrems I“ spriedums), „Privacy Shield“ 2020. gadā („Schrems II“). Trešā balstās uz trauslāku daļu nekā tās divas priekšteces. Eiropas uzņēmums, kas šodien liek savu datu apstrādi uz šīs daļas, pieņem riska pārvaldības lēmumu, nevis tikai noteikumu ievērošanas lēmumu.

Profesionālam lasītājam

Darbības jautājumi, kurus ir vērts sev uzdot pirms mākoņpakalpojuma izvēles profesionāliem datiem — tik stingri, kā tos uzdotu datu aizsardzības inspektors — yra šādi:

1. Kur fiziski tiek glabāti dati? Eiropas reģions nav pietiekama atbilde, ja operators ir ASV uzņēmums.
2. Kas pārvalda pakalpojumu, kurā jurisdikcijā tas ir reģistrēts un kādiem juridiskiem rīkojumiem tas var tikt pakļauts?
3. Kurš nosūtīšanas instruments tiek izmantots: 2023/1795 lēmums par atbilstību, SCC kopā ar TIA, VDAR 49. panta atkāpes? Vai šī izvēle ir aizstāvama pārbaudes laikā?
4. Ja lēmums par atbilstību rīt zaudētu spēku, kāds ir darbības nepārtrauktības plāns?
5. Vai šai funkcijai ir pieejama Eiropas vai pašu mitināta alternatīva un kādas būtu reālās migrācijas izmaksas?

Ne visām ikdienas biroja funkcijām ir nepieciešama vienāda atbilde. Izklājlapa iekšējai grāmatvedībai, visticamāk, nepaceļ jautājumu šajā līmenī. Klienta krimināllieta, slimības vēsture, darbinieku algas lapa — jā. Samērīgums ir leģitīms; kolektīvā inerce, ar kādu Eiropas MVU ir palikuši pie ASV pakalpojumu sniedzējiem visam — pat visjutīgākajām lietām — tāda nav.

---

Šī gada jūlijā aprit seši gadi kopš Schrems II sprieduma. Spriedums nav mainījis vairuma Eiropas uzņēmumu ikdienas paradumus. Tomēr tas un mainījis risku karti, kuriem šie uzņēmumi ir pakļauti. Kad ASV administratīvs lēmums nostājas starp Eiropas regulu un MVU reālo darbību, ir vērts vismaz zināt, ka šāds lēmums pastāv un ka tas ir trausls. Tie no mums, kuri ir izvēlējušies arhitektūru bez starpniekiem — tā ir gija, kas vijas cauri „Cuadernos Lacre“ (vaska zīmoga piezīmēm) — dotu priekšroku tam, lai nebūtu jāraksta šāda veida analīze katru reizi, kad kāds Šremss izlemj iesniegt sūdzību. Bet mēs turpināsim to darīt.