Макс Шремс vs Facebook: эпизод третий

Верховный суд Австрии сомневается в законности использования персональных данных IT-гигантом

В июле Верховный суд Австрии счел, что Facebook незаконно собирает данные пользователей, и передал дело на рассмотрение в Верховный суд ЕС. Истцу Максу Шремсу (Maximillian Schrems), инициировавшему разбирательство, австрийский суд присудил символические 500 евро компенсации за отказ ответчика (Facebook) сообщить, какие именно данные о М.Шремсе компания аккумулировала.

М.Шремс – юрист, в СМИ его называют не иначе как «активистом», который восьмой год в одиночку борется в европейских судах с Facebook за право распоряжаться собственными персональными данными. Решение суда начинает новый этап судебных разбирательств энтузиаста против американской транснациональной IT-компании. Два предыдущих известны как Schrems I и Schrems II.

Возможно, решение австрийского суда означает начало Schrems III – если компании, собирающие персональные данные, станут подотчётны в их использовании субъектам персональных данных.

SCHREMS I

История тяжбы австрийца М.Шремса и Facebook в европейских судах, напомним, началась в 2013 году, когда молодой юрист, пользователь Facebook с 2008 года, пожаловался ирландскому регулятору (серверы Facebook находятся в Ирландии и оттуда пересылают данные в США), что в свете разоблачений Сноудена «законодательство и практика США не предоставляют никакой реальной защиты против слежки США в отношении данных, переданных в эту страну».

В Ирландии жалобу австрийца отклонили на том основании, что действия Facebook соответствовали ранее утвержденным принципам так называемой «безопасной гавани, которые узаконены в ЕС. Если технологические компании следуют этим принципам, то, согласно «безопасной гавани», защита персональных данных европейских пользователей в США признаётся адекватной.

Принципы «безопасной гавани»

• прозрачность политик конфиденциальности;
• включение принципов «безопасной гавани» в политики конфиденциальности;
• защита (enforcement) [персональных данных], в том числе государственными органами.
• По состоянию на 27 ноября 2013 года, когда М.Шремс подал жалобу, 3246 компаний, включая Facebook, заявляли о соблюдении ими принципов «безопасной гавани».

Решение о «безопасной гавани» (Safe Harbour Decision) приняла Еврокомиссия, ограничив возможности национальных регуляторов по отношению к компаниям, собирающим персональные данные. Но и без этого трудно было, заметим в скобках, ожидать от ирландского суда удовлетворения жалобы – экономическая политика Ирландии состояла в привлечении налоговыми льготами и иными преференциями глобальных IT-компаний, поощрении их к открытию представительств, фабрик и центров разработки именно в этой стране. Европейский суд, напомним, в июне лишил Ирландию права представлять интересы всех стран ЕС в качестве регулятора в области персональных данных.

М.Шремс обжаловал отказ регулятора в Верховном суде Ирландии (High Court of Ireland), тот обратился с запросом в Суд ЕС (European Court of Justice, ECJ), ECJ вынес решение о ничтожности решения Еврокомиссии о «безопасной гавани» в деле М.Шремса против Facebook, признав незаконной передачу персональных данных из ЕС в США.

ECJ установил, что требования национальной безопасности, публичного интереса и принудительного применения законодательства в США имеют приоритет перед механизмом «безопасной гавани», и в случае конфликта европейских и американских законов будут применены, без каких-либо ограничений, законы США. Таким образом, механизм «безопасной гавани» не исключает вмешательства государственных органов США в фундаментальные права человека в Европе, поскольку решение Еврокомиссии о «безопасной гавани» не ссылается на какие-либо существующие в США правовые механизмы, направленные на ограничение такого вмешательства, а равно на существующие меры эффективной правовой защиты против такого вмешательства.

Так закончился эпизод Schrems I.

SCHREMS II

В 2016 году Еврокомиссия заключила с США новое соглашение: американцы обязались усилить защиту персональных данных европейцев, а Еврокомиссия вместо «безопасной гавани» ввела термин Privacy Shield (Privacy Shield Decision) и разрешила Facebook и прочим пересылать данные пользователей за океан.

В 2018 году вступил в силу европейский закон General Data Protection Regulation (GDPR), регламентирующий ответственность компаний за соблюдение прав субъектов персональных данных.

Перед ECJ встал вопрос (с ним обратился Верховный суд Ирландии), применяется ли GDPR к передаче персональных данных из ЕС в США в соответствии с Privacy Shield Decision, и если да, то какие обязательства возлагаются на надзорные органы в этих обстоятельствах. Естественным образом дело свелось к выяснению, законно ли решение Еврокомиссии о «Privacy Shield» в связи с GDPR.

В июле 2020 ECJ, руководствуясь соответствующими GDPR стандартными договорными положениями (Standard Contractual Clauses, SCC) о передаче персональных данных из ЕС в третьи страны, принял решение – Privacy Shield Decision, как и Safe Harbour Decision, противоречат законодательству ЕС и юридически ничтожны.

Это событие завершило второй этап – Schrems II – в деле М.Шремса против Facebook.

ПОСЛЕДСТВИЯ

Schrems I и Schrems II оказали глубокое влияние на европейскую юридическую практику в связи с защитой персональных данных европейцев от использования иностранными компаниями, американскими в частности и прежде всего.

Национальные регуляторы получили полномочия и обязанность пресекать незаконную трансграничную передачу персональных данных.

Масштабное влияние решений Schrems I и Schrems II распространилось за пределы Евросоюза, что выражается, в частности, в следующем:

• пересмотр подходов к признанию адекватности международных соглашений об использовании персональных данных, их ужесточение и дополнение новыми критериями юридической оценки, опыт решений ECJ по искам М.Шремса использован в Великобритании и реализуется в Южной Корее;
• усиление контроля за передачей персональных данных, появление дополнительных критериев и регламентов, таких, как SCC;
• усиление полномочий надзорных органов по контролю за трансграничной передачей данных, в т.ч. при использовании SCC – фактически национальный надзорный орган в стране ЕС может запретить передачу данных, основанную на SCC, в третью страну, если придёт к выводу, что государственные органы этой страны имеют неограниченный или непропорциональный доступ к персональным данным.

ЧЕМ ВАЖНО ДЛЯ РОССИИ

Решения европейских судов по искам М.Шремса дают полный набор аргументов, как смысловых, так и юридических, в пользу суверенного права государств защищать своих граждан от незаконного экспорта (фактически – расхищения) принадлежащих им персональных данных, обеспечивать каждому гражданину возможность самому распоряжаться информацией о себе.

Для России это вопрос национальной безопасности. Чтобы проиллюстрировать это утверждение, позаимствуем пример из публикации D-Russia.ru, по времени (2013) соответствующей началу Schrems I: «Кто-то из нынешних студентов, которые никому в АНБ вроде ни за чем не нужны, через 20 лет будет управлять нашей страной. Пусть один из ста тех, кого прослушивали на его курсе. И если информация о нём будет собираться все эти 20 лет – ты понимаешь, что это даст владельцу информации? Возможности для шантажа, знание цепочки связей. Это вопрос процента конверсии из всех больших данных во что-то полезное на каждом этапе анализа. Технически постепенно предотвратить такие риски несложно, но это вопрос государственной воли».

Не только в этом дело, хотя прежде всего именно в этом. Данные, персональные в том числе, нужны для обучения систем искусственного интеллекта, для экономики, для государственного управления, и для многого другого. За них между странами идёт ожесточённая конкуренция, борьба. Schrems I, Schrems II и, не исключено, предстоящий Schrems III дают опыт и знания, как такую борьбу вести.

Изображение: RSpectr, Freepik.com