Должностные лица Европейского союза настаивают на том, что исполнительный указ, подписанный президентом Джо Байденом 7 октября о внедрении новой системы конфиденциальности данных между США и ЕС, должен снять озабоченность европейцев по поводу практики наблюдения американских агентств. Ожидаемый с марта, когда официальные лица США и ЕС достигли принципиального соглашения о новой структуре, приказ призван заменить более раннюю структуру конфиденциальности данных, которая была признана недействительной в 2020 году Судом Европейского Союза (CJEU) в своем решении. Шремс II суждение.

Этот пост является первым в серии статей, посвященных изучению того, соответствует ли новая структура требованиям законодательства ЕС или, как утверждают некоторые критики, не соответствует. В число критиков входит организация Макса Шремса NOYB («не ваше дело»), которая объявила, что «вероятно, поставит перед СЕС еще один вызов», если Европейская комиссия официально решит, что новая структура США «адекватна». В этом введении я выделю области разногласий, основанные на «первой реакции» NOYB.

Всеобъемлющий юридический вопрос, на который Европейской комиссии (и, вероятно, также СЕС) необходимо будет ответить, как указано в Шремс II суждение заключается в том, обеспечивают ли Соединенные Штаты «адекватный уровень защиты персональных данных, по существу эквивалентный тому, который гарантируется в Европейском Союзе GDPR, в свете статей 7 и 8 Общего регламента по защите данных». [EU Charter of Fundamental Rights]Важно отметить, что, как отмечают Теодор Кристакис, Кеннет Пропп и Питер Свайр, «адекватный уровень» и «существенная эквивалентность» защиты не обязательно означают идентичную защиту ни по существу, ни по процедуре. Однако точная степень гибкости остается открытым вопросом, и Суду ЕС, возможно, потребуется прояснить его в гораздо большей степени.

Пропорциональность и массовый сбор данных

В соответствии со статьей 52(1) Хартии основных прав ЕС ограничения права на неприкосновенность частной жизни должны соответствовать нескольким условиям. Они должны быть «предусмотрены законом» и «уважать сущность» права. Более того, «при соблюдении принципа соразмерности ограничения могут быть сделаны только в том случае, если они необходимы» и соответствуют одной из целей, признанных законодательством ЕС, или «необходимости защиты прав и свобод других лиц».

Как признала NOYB, новый исполнительный указ дополнил формулировку «как можно более адаптированную», содержащуюся в Директиве президента о политике в области разведывательной деятельности (PPD-28) от 2014 года, формулировкой, явно взятой из законодательства ЕС: упоминаниями о «необходимости» и «соразмерности». разведывательной деятельности, связанной с «подтвержденными разведывательными приоритетами». Но НОЙБ возражает:

Однако, несмотря на изменение этих слов, нет никаких признаков того, что массовая слежка в США изменится на практике. Так называемое «массовое наблюдение» будет продолжаться в соответствии с новым Исполнительным указом (см. Раздел 2 (c)(ii)) и любые данные, отправляемые поставщикам в США, по-прежнему будут попадать в такие программы, как PRISM или Upstream, несмотря на то, что СЕС объявляет о слежке в США. законы и практика как не «пропорциональный (в европейском понимании этого слова) дважды.

Это правда, что Шремс II Суд постановил, что законодательство и практика США не «[correlate] к минимальным гарантиям, вытекающим в соответствии с законодательством ЕС из принципа соразмерности». Но крайне важно отметить конкретные причины, которые Суд привел для такого вывода. Вопреки тому, что предлагает NOYB, Суд не просто заявил, что массовый сбор данных по своей сути является непропорциональным. Вместо этого причины, которые он приводил, заключались в том, что «PPD-28 не предоставляет субъектам данных права, которые могут быть предъявлены в судах против властей США» и что в соответствии с Исполнительным указом 12333 «доступ к данным, передаваемым в Соединенные Штаты». [is possible] без того, чтобы этот доступ подвергался какому-либо судебному пересмотру».

Прецедентное право СЕС не поддерживает идею о том, что массовый сбор данных по своей сути является непропорциональным в соответствии с законодательством ЕС; массовое взимание может быть соразмерным, принимая во внимание процессуальные гарантии и масштаб интересов, защищаемых в конкретном деле. (Другое обсуждение гарантий см. в решении СЕС в Квадрат сети .) Дальнейшее усложнение юридического анализа здесь заключается в том, что, как уже упоминалось, далеко не очевидно, что законодательство ЕС требует, чтобы иностранные страны предлагали одинаковый процедурные или материальные гарантии, применимые в ЕС.

Эффективное возмещение

Суды Шремс II Таким образом, вывод в первую очередь касается эффективного возмещения ущерба, доступного гражданам ЕС в случае возможных ограничений их права на неприкосновенность частной жизни в результате деятельности разведки США. Новая двухступенчатая система, предложенная указом Байдена, включает создание Суда по пересмотру защиты данных (DPRC), который будет независимым контрольным органом с полномочиями принимать обязательные для исполнения решения в отношении спецслужб США. В комментарии, предшествовавшем указу, Макс Шремс утверждал, что:

Трудно понять, как этот новый орган будет выполнять формальные требования суда или трибунала в соответствии со статьей 47 CFR, особенно по сравнению с текущими делами и стандартами, применяемыми в ЕС (например, в Польше и Венгрии).

Этот комментарий поднимает два разных вопроса. Во-первых, Шремс, кажется, предполагает, что решение об адекватности может быть принято только в том случае, если доступный механизм возмещения ущерба удовлетворяет требованиям статьи 47 Хартии. Но это поспешный вывод. Формулировка СЕС в Шремс II более осторожен:

…Статья 47 Хартии, которая также способствует обеспечению требуемого уровня защиты в Европейском Союзе, соответствие которому должно быть определено Комиссией до принятия ею решения о достаточности в соответствии со статьей 45(1) GDPR.

Утверждая, что статья 47 «также способствует обеспечению необходимого уровня защиты», Суд не говорит, что она определяет необходимый уровень защиты. Это потенциально важно, учитывая, что критерием адекватности является «существенная эквивалентность», а не процедурная и содержательная идентичность. Более того, Суд сказал, что Комиссия должна определить соответствие не самой статье 47, а «необходимому уровню защиты» (который, опять же, должен быть «эквивалентным по существу»).

Во-вторых, существует связанный с этим, но отдельный вопрос о том, эффективен ли механизм возмещения ущерба в соответствии с применимым стандартом «необходимого уровня защиты». Кристакис, Пропп и Свайр предложили полезный анализ, предполагающий, что это так, учитывая предложенную независимость DPRC, эффективные следственные полномочия и полномочия выносить обязательные определения. Я предложу более подробный анализ этого момента в следующих постах.

Наконец, NOYB выразил обеспокоенность тем, что «решение «суда» [is] уже прописано в Исполнительном указе». Это опасение, по-видимому, основано на том мнении, что решение DPRC («решение») и то, что DPRC сообщает заявителю, — это одно и то же. Или, другими словами, юридические последствия решения DPRC исчерпываются предоставлением лицу заявления «ни подтвердить, ни опровергнуть», изложенного в разделе 3 исполнительного распоряжения. Это явно неверно: КНД имеет право давать обязательные указания спецслужбам. Фактические обязательные определения DPRC не предопределены исполнительным распоряжением, а только информация, которая должна быть предоставлена ​​заявителю.

Что может потребовать более пристального рассмотрения, так это вопросы доступа к информации и данным. Например, в Квадратура сети, СЕС рассмотрел сложную проблему уведомления лиц, данные которых подлежат государственному контролю, требуя индивидуального уведомления «только в той мере и в тот момент, когда это больше не может ставить под угрозу» выполнение рассматриваемых правоохранительных задач. Однако, учитывая стандарт «основной эквивалентности», применимый к оценкам адекватности в третьих странах, автоматически не следует, что в этом контексте требуется индивидуальное уведомление.

Кроме того, из этого также не обязательно следует, что адекватность требует, чтобы граждане ЕС имели право доступа к данным, обрабатываемым иностранными государственными органами. Тот факт, что существуют значительные ограничения прав на информацию и доступ в некоторых государствах-членах ЕС, хотя и не окончательные (в конце концов, эти страны могут нарушать законодательство ЕС), может быть полезным для целей оценки адекватности защиты данных в третья страна, где закон ЕС требует только «существенной эквивалентности».

Заключение

Существуют сложные вопросы законодательства ЕС, которые Европейской комиссии необходимо будет решить в процессе принятия решения о том, следует ли издавать новое решение о достаточности для Соединенных Штатов. Также ясно, что положительное решение Комиссии будет обжаловано в СЕС, хотя аргументы для такого обжалования еще недостаточно проработаны. В следующих постах я предоставлю более подробный анализ основных юридических вопросов. Я сосредоточусь на предстоящем юридическом анализе от Schrems и NOYB, а также от других внимательных наблюдателей.

Связанный