ІТ право: проблеми і перспективи розвитку в Україні (четверта міжнародна щорічна конференція)

Юлія Размєтаєва,

кандидат юридичних наук,

доцент кафедри теорії і філософії права

Національного юридичного університету ім. Ярослава Мудрого

16 липня 2020 року Суд Європейського союзу постановив рішення по справі «DataProtection Commissioner v. Facebook Ireland and Maximillian Schrems» [3], яка стала широко відомою під назвою «Schrems II». Цим рішенням Суд ЄС скасував попереднє – про адекватність захисту даних, що забезпечувалися програмою з захисту приватності між Європейським Союзом і Сполученими Штатами Америки «EU-US Data Protection Shield». Особливу значущість цій події надає те, що рішення по справі «Schrems II» стосується не лише передавання персональних даних з ЄС до США, а усіх передавань персональних даних з ЄС до країн за його межами. На тлі цього рішення створилася велика невизначеність щодо правової основи майбутньої передачі даних з ЄС до будь-яких інших країн. 

Для того, щоб осягнути усі правові наслідки, слід зробити крок назад і поглянути на справу, яка передувала «Schrems II», а саме «Maximillian Schrems v. Data ProtectionCommissioner» (в подальшому отримала назву «Schrems I»). 

У 2013 році Максиміліан Шремс, австрійський правозахисник, звернувся з скаргою до Уповноваженого з захисту даних Ірландії, стверджуючи, що його приватні дані були передані ірландським офісом компанії Facebook до американського офісу без дозволу. Пан Шремс був користувачем Facebook з 2008 року, й  деякі дані громадян ЄС, у тому числі його приватні дані були передані Facebook Ireland на сервери компанії, що належать Facebook Inc., розташованій у США. Правозахисник оскаржив передачу не лише своїх даних, а й даних громадян ЄС в цілому, оскільки до них потенційно мали доступ американські спецслужби. Коли скарга була відхилена Уповноваженим Ірландії з захисту даних, пан Шремс подав позов щодо цього до Високого суду Ірландії, який, в свою чергу, передав низку питань до Суду ЄС. В результаті Суд ЄС 6 жовтня 2015 визнав недійсною угоду «Safe Harbor», що регулювала передачу даних між ЄС і США. Суд при цьому постановив, що для того, щоб бути «адекватним», рівень захисту даних, пропонований третьою країною, повинен бути «практично еквівалентним» тому, що пропонується в ЄС [4]. 

Чому ж з’явилася справа «Schrems II»? В результаті її попередниці – справи – «Schrems I» – Високий суд Ірландії скасував рішення щодо відхилення скарги пана Максимілліана Шремса, і повернув справу до Уповноваженого Ірландії з захисту даних. Тоді компанія Facebook Ireland пояснила, що визнане недійсним рішення не має відношення до скарги, оскільки велика частина приватних даних була передана до Facebook Inc. відповідно до Стандартних договірних положень (SCC). 

На цій підставі Уповноваженим Ірландії з захисту даних було запропоновано пану Шремсу скаргу переформулювати. У зміненій скарзі пан Шремс стверджував, що законодавство США вимагає від Facebook Inc. розкрити його приватні дані певним органам влади США в контексті різних програм моніторингу, які суперечили як принципам захисту даних, так і статтям 7, 8 і 47 Хартії основних прав ЄС [1]. Після розслідування Уповноважений Ірландії з захисту даних стверджував, що рішення не може бути винесене, доки Суд ЄС не перевірить законність SCC і тому порушив справу у Високому суді Ірландії, який 4 травня 2018 року звернувся до Суду ЄС. 

В справі «Schrems II»  Суд ЄС встановив, що Рішення Європейської Комісії 2010/87 про стандартні договірні положення щодо передачі персональних даних обробникам, створеним у третіх країнах [2], є дійсним і відповідно, SCC виступають належним захистом при передачі цих даних. У той же час, залежно від превалюючої позиції щодо захисту даних у конкретній третій країні, може знадобитися прийняття контролером додаткових договірних положень (щоб, у свою чергу, забезпечити відповідність тому рівню захисту, який надається у SCC).

Таким чином, приватні дані громадян ЄС мають бути захищені на належному, адекватному рівні, яким судові інстанції небезпідставно вважають рівень європейського законодавства. У всіх третіх країнах такий рівень може забезпечуватися як дотриманням європейських вимог, так і додатковими угодами між суб’єктами права, і національним законодавством – за умов досягнення «належного рівня захисту» й надання «ефективних засобів захисту» прав. З урахуванням кількості, швидкості та багатоелементності інформаційних обмінів і специфіки діяльності з використанням цифрового середовища такі вимоги повинні врахувати більшість країн світу, так само як і значна частка організацій та компаній. 

Видається, що екстратериторіальна природа європейського законодавства у сфері захисту даних тим чи іншим чином знайде втілення – не в жорсткий спосіб, а скоріше через систему застережень і рекомендацій, недотримання яких обіцяє все нові проблеми для компаній, організацій та урядів. Так, оскільки Сполучене Королівство Великої Британії та Північної Ірландії вийшло з складу ЄС, то європейські положення про захист даних, зокрема Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС [5]  продовжують діяти до кінця перехідного періоду, тобто до 31 грудня 2020. Незалежно від того, чи продовжить Сполучене Королівство дію цих положень, чи встановить інші, це вплине і захист даних, і на поводження з вільними потоками даних між ЄС та Сполученим Королівством, тому Information Commissioner’s Office, незалежний орган створений для захисту інформаційних прав в інтересах суспільства через сприяння відкритості органів публічної влади та конфіденційності даних для приватних осіб, рекомендує малому та середньому бізнесу й організаціям укласти договори з цими суб’єктами та відправниками «на затверджених ЄС умовах» [6], а для великих компаній – ще й цілий пакет політик щодо приватності.  

Вочевидь, великі компанії, які на сьогодні успішні в цифровому середовищі, належать переважно до американської юрисдикції. У той же час, європейські судові інституції погодилися, що законодавство США не надає громадянам ЄС еквівалент ефективного судового засобу правового захисту, як того вимагає ст. 47 Хартії основних прав ЄС, і що лише застосування SCC не в змозі це виправити. 

Отже, що далі? Чи змусить справа «Schrems II» корпорації-гіганти переглянути підхід до приватності? Чи зможуть юрисдикції, що не входять до ЄС, пройти європейський тест на адекватність захисту даних? Чи адекватні європейські вимоги щодо захисту даних, зважаючи на специфіку цифрової ери? У будь-якому разі нас чекають неабиякі зміни в поводженні з приватними даними, характер яких суттєво залежить від сценарію, що оберуть для себе ключові гравці цифрового поля. 

Список використаних джерел:

1. Charter of Fundamental Rights of the European Union. OJ C 326, 26.10.2012, p. 391–407. 
2. Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council (OJ L 39, 12.2.2010, pp. 5-18).
3. Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems, Judgment ofthe Court (Grand Chamber) of 16 July 2020. Case C‑311/18, ECLI:EU:C:2020:559.
4. Maximillian Schrems v. Data Protection Commissioner. Judgment of the Court (Grand Chamber) of 6 October 2015. Case C-362/14. ECLI:EU:C:2015:650.
5. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, pp. 1-88).
6. Keep data flowing from the EEA to the UK – interactive tool. Information Commissioner’s Office. 2020. URL: https://ico.org.uk/for-organisations/data-protection-at-the-end-of-the-transition-period/keep-data-flowing-from-the-eea-to-the-uk-interactive-tool/