Решение Суда ЕС от 16.07.2020 по делу № 311/18 «Уполномоченный по защите данных против Facebook Ireland и Максимиллиана Шремса»
Суть дела
Максимилиан Шремс, гражданин и резидент Австрии, - пользователь Facebook с 2008 года. Как и в случае с другими пользователями, проживающими в ЕС, некоторые или все персональные данные г-на Шремса передаются Facebook Ireland на серверы, принадлежащие Facebook Inc., расположенные в США, где они обрабатываются.
Г-н Шремс подал жалобу в надзорный орган Ирландии, пытаясь запретить такие передачи. Он утверждал, что законы и практика США не обеспечивают достаточной защиты от доступа государственных органов к данным, передаваемым в эту страну.
Жалоба была отклонена на том основании, что ранее Решением 2000/520 («Решение Safe Harbor») [1] Комиссия установила, что США обеспечивают адекватный уровень защиты данных.
Между тем, рассмотрев это дело по запросу Высокого суда Ирландии (High court) [2] , Суд ЕС решением от 06.10.2015, признал оспариваемое решение недействительным [3] (далее - решение по делу Шремса-I).
После вынесения решения по делу Шремс-I надзорный орган Ирландии попросил г-на Шремса переформулировать свою жалобу. Во вновь сформулированной жалобе г-н Шремс стал утверждать, что США не обеспечивают достаточной защиты данных, передаваемых в эту страну. Он потребовал приостановки или запрета будущей передачи его личных данных из ЕС в США в «Facebook Ireland» в соответствии со стандартными положениями о защите данных, изложенными в Приложении к Решению 2010/87 [4] . Считая, что исход жалобы г-на Шремса зависит, в частности, от действительности Решения 2010/87, надзорный орган Ирландии возбудил новое разбирательство в Высоком суде. После возбуждения дела Комиссия приняла Решение 2016/1250 об адекватности защиты, предоставляемой ЕС и США (Решение о Privacy Shield) [5].
В рамках настоящего дела Высокий суд обратился в Суд ЕС с вопросом о том, применяется ли GDPR к передаче персональных данных в соответствии со стандартными положениями о защите данных, изложенных в Решении 2010/87, какой уровень защиты соответствует GDPR при осуществлении такой передачи и какие обязательства возлагаются на надзорные органы в этих обстоятельствах. Высокий суд также поставил вопрос о действительности решений 2010/87 и 2016/1250.
Решение Суда
Суд счел, что рассмотрение Решения 2010/87 на предмет соответствия Хартии ЕС по правам человека [6] не выявило ничего, что могло бы повлиять на действительность этого решения. А Решение 2016/1250 Суд признал недействительным.
По мнению Суда, законы ЕС, и в частности GDPR, применяются к передаче персональных данных в коммерческих целях экономическим оператором, учрежденным в государстве-члене, другому экономическому оператору, учрежденному в третьей стране, даже если во время такой передачи или после этого эти данные могут обрабатываться властями соответствующей третьей страны в целях общественной безопасности, обороны и государственной безопасности. Суд добавил, что такая обработка данных властями третьей страны не означает нарушения GDPR.
Суд указал, что требования, изложенные в GDPR в отношении соответствующих эффективных средств правовой защиты, должны толковаться следующим образом: субъектам, чьи личные данные передаются в третью страну в соответствии со стандартными положениями о защите данных, должен быть предоставлен уровень защиты, по существу эквивалентный тому, который гарантируется в ЕС GDPR. В этих обстоятельствах при оценке уровня защиты необходимо принимать во внимание как договорные положения, согласованные экспортером данных, учрежденным в ЕС, и получателем передачи, учрежденным в соответствующей третьей стране, так и соответствующие нормы правовой системы этой третьей страны, создающие возможность любого доступа государственных органов этой третьей страны к переданным данным.
В отношении обязательств надзорных органов в связи с такой передачей, Суд посчитал, что при отсутствии действительного решения Комиссии ЕС о достаточности защиты данных в определенном государстве, компетентные надзорные органы должны приостановить или запретить передачу персональных данных в эту страну, если по их мнению стандартные положения о защите данных не соблюдаются или не могут быть соблюдены в этой стране и защита передаваемых данных, требуемая законодательством ЕС, не может быть обеспечена другими средствами, при условии, что экспортер данных, учрежденный в ЕС, сам не приостановил или не прекратил такую передачу.
По вопросу о законности решения 2010/87, Суд указал, что законность этого решения не ставится под сомнение тем фактом, что стандартные положения о защите данных в этом решении не накладывают обязательств на власти третьей страны, которой могут быть предоставлены данные. Однако действительность решения зависит от того, включает ли решение эффективные механизмы, позволяющие на практике обеспечить соблюдение уровня защиты, требуемого законодательством ЕС, и что передача персональных данных в соответствии с такими положениями приостанавливается или запрещается в случае нарушения таких положений или невозможности их соблюдения.
Суд посчитал, что Решение 2010/87 устанавливает соответствующие механизмы. В этой связи Суд отметил, в частности, что решение налагает обязанность на экспортера и получателя данных проверять до любой передачи, соблюдается ли достаточный уровень защиты в соответствующей третьей стране и что решение требует, чтобы получатель информировал экспортера данных о любой неспособности соблюдать стандартные положения о защите данных, причем последний обязан приостановить передачу данных и / или расторгнуть договор с первым.
Законность же Решения 2016/1250 зависит от требований, вытекающих из GDPR, а также положений Хартии о правах человека, гарантирующих уважение частной и семейной жизни, защиту личных данных и право на эффективную судебную защиту. В этой связи Суд отметил, что в Решении 2016/1250 (как и в Решении 2000/520) закреплена позиция, о том, что требования национальной безопасности США, общественных интересов и правоохранительных органов имеют преимущественную силу, таким образом оправдывая вмешательство в основные права лиц, данные которых передаются в эту третью страну.
По мнению Суда, ограничения защиты персональных данных, вытекающие из законодательства США о доступе и использовании государственными органами США таких данных, переданных из ЕС в эту страну, которые Комиссия оценила в Решении 2016/1250, не ограничены требованиями законодательства ЕС или аналогичными им. На основании выводов, сделанных в этом решении, Суд указал, что в отношении определенных программ слежения эти требования не ограничивают полномочия по внедрению этих программ, равно как и наличие гарантий для лиц, не являющихся гражданами США, чьи данные могут быть использованы такими программами. Суд также добавил, что, хотя законодательство ЕС устанавливает требования, которые должны соблюдать власти США при реализации рассматриваемых программ слежения, эти положения не предоставляют субъектам данных права на предъявление иска в суде против властей США.
[1] Решение Комиссии от 26.07.2000 в соответствии с Директивой 95/46 / EC Европейского парламента и Совета об адекватности защиты, обеспечиваемой принципами «безопасной гавани» конфиденциальности, и соответствующими часто задаваемыми вопросами, выпущенными Министерством торговли США (OJ 2000 стр.7).
[2] Высокий Суд Ирландии существует с 1924 г., находится в Дублине. В его компетенцию входят наиболее серьезные гражданские и уголовные дела. В частности, является судом первой инстанции по всем гражданским делам, по которым истец требует более 75 000 евро в качестве возмещения ущерба по обычным контрактам и деликтным искам или более 60 000 евро в качестве возмещения ущерба по искам о причинении вреда здоровью. Суд обладает исключительной компетенцией в области банкротства.
[3] Решение суда ЕС от 06.10.2015 по делу № C-362/14 (Максимиллиан Шремс против Уполномоченного по защите данных)
[4] Решение Комиссии от 05.02.2010 о стандартных договорных условиях для передачи персональных данных обработчикам, установленным в третьих странах в соответствии с Директивой 95/46 / EC Европейского парламента и Совета, с поправками, внесенными Исполнительным решением Комиссии (ЕС) 2016/2297 от 16.12.2016 (OJ 2016 L 344, p. 100).
[5] Исполнительное решение Комиссии (ЕС) 2016/1250 от 12.07.2016 в соответствии с Директивой 95/46 / EC Европейского парламента и Совета об адекватности защиты, предоставляемой ЕС и США (OJ 2016 L 207, п. 1).
[6] Хартия Европейского Союза об основных правах (Страсбург, 12.12.2007) 2016/C 202/02.