Facebook потерпел неудачу в своем стремлении помешать своему ведущему регулятору защиты данных ЕС продвигаться вперед с решением о том, следует ли приказать приостановить потоки данных между ЕС и США.
Высокий суд Ирландии только что вынес постановление, в котором отклоняет жалобу компании на процедуры Ирландской комиссии по защите данных (DPC).
Этот случай имеет огромное потенциальное оперативное значение для Facebook, который может быть вынужден хранить данные европейских пользователей локально, если ему будет приказано прекратить передачу их информации в США для обработки.
В сентябре прошлого года ирландское агентство по надзору за данными издало предварительный приказ, предупреждающий Facebook, что ему, возможно, придется приостановить потоки данных между ЕС и США. Facebook отвечает, подавая заявку на судебный пересмотр и добиваясь приостановления процедуры DPC. Этот блок сейчас разблокируется.
Насколько мы понимаем, заинтересованным сторонам было дано несколько дней на то, чтобы прочитать решение Высокого суда перед другим слушанием в четверг, когда ожидается, что суд официально отменит приостановку Facebook расследования DPC (и урегулирует вопрос о расходах по делу).
DPC отказался комментировать сегодняшнее постановление в каких-либо деталях – или о сроках принятия решения по потокам данных между ЕС и США Facebook – но заместитель комиссара Грэм Дойл сказал нам, что он «приветствует сегодняшнее решение».
Его предварительное постановление о приостановке прошлой осенью последовало за знаменательным решением высшего суда Европы летом – когда CJEU отменил флагманское трансатлантическое соглашение о потоках данных на том основании, что массовая слежка в США несовместима с режимом защиты данных ЕС.
Последствия признания CJEU недействительным Privacy Shield (а также более раннего постановления, отменяющего его предшественницу Safe Harbor) продолжаются в течение многих лет, поскольку компании, которые полагаются на перемещение данных пользователей из ЕС в США для обработки, были вынуждены бороться с трудностями. найти действительные юридические альтернативы.
Хотя CJEU прямо не запретил передачу данных из ЕС, он ясно дал понять, что агентства по защите данных должны вмешаться и приостановить международные потоки данных, если они подозревают, что данные ЕС находятся под угрозой. И потоки данных из ЕС в США оказались явно подверженными риску, учитывая, что суд одновременно отменил Privacy Shield.
Поэтому проблема для некоторых предприятий заключается в том, что просто не быть действующая юридическая альтернатива. И именно здесь дела обстоят особенно неприятно для Facebook, поскольку его сервис находится под наблюдением АНБ в соответствии с разделом 702 FISA (который используется для санкционирования программ массового наблюдения, таких как Prism).
Так что же теперь происходит с Facebook после решения Высокого суда Ирландии?
Как всегда в этой сложной юридической саге, которая в различных формах продолжалась с момента подачи в 2013 году первоначальной жалобы европейского участника кампании по защите конфиденциальности Макса Шремса, остается еще кое-что.
После этой разблокировки у DPC будет два запроса: как исходное, связанное с жалобой Шремса, так и расследование по собственному желанию, которое он решил начать в прошлом году – когда он заявил, что приостанавливает расследование первоначальной жалобы Шремса.
Шремс через свою некоммерческую организацию noyb, занимающуюся вопросами конфиденциальности, подал иск о судебном пересмотре дела DPC. И DPC быстро согласился урегулировать вопрос, согласившись в январе, что он «быстро» завершит рассмотрение первоначальной жалобы Шремса. Итак, дела уже шли.
Суть всего этого заключается в следующем: последняя из брешей, которая использовалась для задержки регулирующих действий в Ирландии в отношении потоков данных Facebook из ЕС и США, наконец, извлекается – и DPC должен принять решение по жалобе.
Или, говоря другими словами, время потоков данных между ЕС и США от Facebook уже отсчитывается. Так что очень скоро ждите еще одного многословного сообщения в блоге от Ника Клегга.
Шремс ранее сказал TechCrunch, что ожидает, что ЦОД выпустит приказ о приостановке работы Facebook в течение нескольких месяцев – возможно, уже этим летом (а если это не удастся осенью).
В заявлении в ответ на решение суда сегодня он подтвердил эту позицию, заявив: «Спустя восемь лет ЦОД теперь должен остановить передачу данных Facebook из ЕС в США, вероятно, до лета. Теперь у нас просто две процедуры вместо одной ».
Однако, когда Ирландия (наконец) примет решение, это не станет концом регуляторных процедур.
Решение DPC о переводах Facebook должно быть отправлено на рассмотрение другим DPA ЕС – и если там возникнут разногласия (что кажется весьма вероятным, учитывая то, что произошло с проектами решений DPC GDPR), это вызовет дополнительную задержку (от нескольких недель до месяцев). ), поскольку Европейский совет по защите данных стремится к консенсусу.
Если большинство DPA ЕС не могут прийти к соглашению, Правление может принять решающее голосование. Так что это может продлить срок действия любого приказа о приостановке. Но конец этому процессу, наконец, не за горами.
И, хорошо, если критическая масса внутреннего давления будет Когда-либо собирается провести реформу законов США о слежке, направленную на защиту конфиденциальности, теперь похоже на действительно хорошее время …
«Теперь мы ожидаем, что ЦОД вынесет решение о прекращении передачи данных Facebook до лета», – добавил Шремс. «Это потребует от Facebook хранения большей части данных из Европы локально, чтобы гарантировать, что Facebook USA не имеет доступа к европейским данным. Другой вариант для США – изменить свои законы о слежке ».
С Facebook связались с просьбой прокомментировать решение Высокого суда Ирландии.
Обновлять: Компания отправила нам это заявление:
«Сегодняшнее постановление касалось процесса, которому следовала IDPC. Более крупный вопрос о том, как данные могут перемещаться по всему миру, по-прежнему имеет большое значение для тысяч европейских и американских компаний, которые связывают клиентов, друзей, семью и сотрудников через Атлантику. Как и другие компании, мы следовали европейским правилам и полагаемся на стандартные договорные положения и соответствующие меры защиты данных, чтобы предоставлять глобальные услуги и объединять людей, предприятия и благотворительные организации. Мы с нетерпением ждем возможности защитить наше соответствие IDPC, поскольку их предварительное решение может нанести ущерб не только Facebook, но также пользователям и другим компаниям ».