Комиссия по защите данных Ирландии (DPC) согласилась быстро завершить рассмотрение давней жалобы на международную передачу данных Facebook, которая может вынудить технологического гиганта приостановить потоки данных из Европейского Союза в США в течение нескольких месяцев.
Жалоба, поданная в 2013 году активистом кампании по обеспечению конфиденциальности Максом Шремсом, касается конфликта между правами ЕС на конфиденциальность и доступом правительственных интеллектуальных агентств США к данным пользователей Facebook в рамках программ наблюдения, которые были раскрыты в высоком разрешении информатором АНБ Эдвардом Сноуденом.
DPC взял на себя обязательство быстро разрешить жалобу Шремса сейчас, чтобы урегулировать судебный пересмотр своих процессов, который noyb, его группа кампании по защите конфиденциальности, подал в прошлом году в ответ на свое решение приостановить его жалобу и выбрать открытие новая процедура дела.
Согласно условиям мирового соглашения, Шремс также будет заслушан в рамках процедуры DPC «по собственному желанию», а также получит доступ ко всем материалам, сделанным Facebook – при условии, что ирландские суды разрешат проведение этого расследования, заявил сегодня Нойб.
И хотя Нойб признал, что может быть (пока) еще одна пауза, поскольку / если DPC будет ждать решения Высокого суда по собственному судебному рассмотрению Facebook своих процессов, прежде чем пересматривать исходную жалобу, Шремс предполагает, что его 7,5-летняя жалоба может наконец-то должны быть готовы к окончательному решению в течение нескольких месяцев …
«Суды в Ирландии неохотно назвали бы крайний срок, и DPC разыграл эту карту и сказал, что не может предоставить сроки… Таким образом, мы получили максимум, который возможен в соответствии с законодательством Ирландии. Это «быстро», – сказал он TechCrunch, охарактеризовав это как «разочаровывающее, но максимально возможное».
На вопрос о его оценке того, когда окончательное решение окончательно завершит рассмотрение жалобы, он предположил, что это может произойти уже этим летом, но сказал, что более «реалистично» это будет осенью.
Шремс активно критиковал то, как DPC рассмотрел его жалобу – и, в более широком смысле, медленные темпы применения правил защиты данных блока по сравнению с быстроразвивающимися технологическими гигантами – с регулирующим органом Ирландии, который решил выразить более широкую озабоченность по поводу законности механизмов. для передачи данных из ЕС в США, вместо того, чтобы приказать Facebook приостановить потоки данных, как просил Шремс в своей жалобе.
У этой саги уже были серьезные разветвления – что привело к знаменательному решению верховного суда Европы прошлым летом, когда CJEU отменил флагманское соглашение о передаче данных между ЕС и США после того, как обнаружило, что США не обеспечивают такие же высокие стандарты защиты личных данных, как ЕС делает.
CJEU также дал понять, что регуляторы ЕС по защите данных обязаны вмешаться и приостановить переводы в третьи страны, когда данные находятся в опасности, вернув мяч обратно в суд Ирландии.
Когда мы обратились за комментарием по поводу последней разработки, DPC сообщил нам, что ответ будет представлен сегодня же. Поэтому мы обновим этот отчет, когда он будет у нас.
DPC, который является ведущим регулятором данных Facebook в ЕС в соответствии с Общим регламентом по защите данных (GDPR), еще в сентябре отправил технологическому гиганту предварительный приказ о приостановке передачи данных – после знаменательного постановления CJEU.
Однако Facebook немедленно подал иск в суд, назвав приказ DPC преждевременным, несмотря на то, что самой жалобе более семи лет.
Сегодня Нойб заявил, что ожидает, что Facebook и дальше будет пытаться использовать ирландские суды для отсрочки исполнения закона ЕС. В прошлом году технологический гигант признал, что он использует суды, чтобы “ послать сигнал ” законодателям, чтобы они предложили политическое решение проблемы, которая затрагивает множество предприятий, которые также передают данные между ЕС и США, а также выиграть время, чтобы новая администрация США смогла разобраться с этой проблемой.
Но сейчас часы отсчитывают, сколько еще Цукерберг сможет играть в эту игру с нормативными актами. И окончательный расчет потоков данных Facebook в ЕС может произойти в течение полугода.
Это устанавливает довольно жесткий крайний срок для любых переговоров между законодателями ЕС и США о замене несуществующей программы Privacy Shield между ЕС и США.
Европейские комиссары прошлой осенью заявили, что никакая замена невозможна без реформы закона США о слежке. И то, может ли такое радикальное переоснащение законодательства США произойти летом или даже осенью, кажется сомнительным – если только американские компании не предпримут серьезных усилий по лоббированию своих законодателей с целью внесения необходимых изменений.
В судебных документах, поданных Facebook в прошлом году в связи с оспариванием предварительного приказа DPC, технологический гигант предположил, что ему, возможно, придется закрыть службу в Европе, если законы ЕС будут применяться против передачи его данных.
Однако его руководитель по связям с общественностью Ник Клегг сразу же отрицал, что Facebook когда-либо откажется от обслуживания – вместо этого призвал законодателей ЕС положительно относиться к его бизнес-модели, зависящей от данных, заявив, что «персонализированная реклама» жизненно важна для восстановления экономики ЕС после COVID-19.
Однако законодатели цифрового блока единодушны в том, что технологическим гигантам нужно больше регулирования, а не меньше.
Отдельно сегодня мнение влиятельного советника CJEU может иметь последствия для того, насколько быстро GDPR будет применяться в Европе в будущем, если суд согласится с мнением генерального прокурора Бобека, поскольку он, похоже, нацелен на узкие места, которые образовались в ключевых юрисдикциях, таких как Ирландия, в результате единого механизма GDPR для обработки трансграничных дел.
Таким образом, хотя Бобек подтверждает общую компетенцию ведущего регулирующего органа по расследованию трансграничных дел, он также пишет, что «ведущий орган по защите данных не может считаться единственным органом, обеспечивающим соблюдение GDPR в трансграничных ситуациях и должен в соответствии с соответствующие правила и сроки, предусмотренные GDPR, тесно сотрудничать с другими заинтересованными органами по защите данных, вклад которых имеет решающее значение в этой области ».
Он также устанавливает особые условия, при которых национальные DPA могут инициировать собственное разбирательство, по его мнению, в том числе с целью принятия «срочных мер» или вмешательства, «после того, как ведущий орган по защите данных решил не вести дело», среди прочего обозначены причины.
Отвечая на мнение AG, заместитель комиссара DPC Грэм Дойл сказал нам: «Мы, вместе с нашим коллегой из ЕС DPA, принимаем к сведению мнение Генерального прокурора и ожидаем окончательного решения Суда с точки зрения его толкования любых соответствующих Правила одного окна ».
Отвечая на вопрос о мнении по поводу замечаний AG, Джеф Ослоос, постдок-исследователь в области конфиденциальности данных из Амстердамского университета, сказал, что это мнение выражает «четкое признание того, что ФАКТИЧЕСКАЯ защита и обеспечение соблюдения могут быть нарушены [one-stop-shop] механизм”.
Однако он предположил, что любые новые возможности для DPA в обход ведущего регулирующего органа, которые могут вытекать из мнения, вряд ли изменят ситуацию в краткосрочной перспективе. «Я думаю, что дверь открыта для некоторых изменений / в обход DPC. НО, только в долгосрочной перспективе », – сказал он.