Дело Schrems II
Дело Schrems II — это решение Суда Европейского союза (CJEU) от 16 июля 2020 года по делу C-311/18 (Data Protection Commissioner v. Facebook Ireland и Maximillian Schrems), признавшее недействительным механизм передачи персональных данных из стран Европейского союза (ЕС) в третьи страны (в частности, в США) на основе стандартных договорных оговорок (SCC) в случае, если законодательство страны-получателя не обеспечивает уровень защиты данных, эквивалентный европейскому. Решение стало поворотным моментом в трансграничной передаче данных, фактически отменив Privacy Shield (Соглашение о «Безопасной гавани» между ЕС и США) и создав правовую неопределённость для тысяч компаний, использующих американские облачные сервисы.
Предыстория
Дело Schrems I
В 2013 году австрийский правозащитник Максимилиан Шремс подал жалобу в Ирландскую комиссию по защите данных (DPC) на Facebook (продукт Meta, признанной экстремистской и запрещённой в РФ) Ireland (дочернюю компанию Meta — организация признана экстремистской и запрещена в РФ). Он утверждал, что передача его данных из Ирландии в США (где находится основной сервер Facebook) не обеспечивает достаточную защиту от слежки со стороны американских спецслужб (в частности, АНБ) в рамках программ массового сбора данных, раскрытых Эдвардом Сноуденом.
В 2015 году CJEU признал недействительным предшественник Privacy Shield — решение Европейской комиссии 2000/520 (Safe Harbor), установив, что массовый доступ американских властей к данным европейцев нарушает право на частную жизнь (ст. 7 Хартии ЕС) и право на защиту персональных данных (ст. 8). Это решение известно как «Schrems I».
После Schrems I
После отмены Safe Harbor ЕС и США в 2016 году заключили новый механизм — Privacy Shield. Однако Шремс оспорил и его, подав новую жалобу на Facebook. Параллельно он утверждал, что даже стандартные договорные оговорки (SCC), используемые Facebook для легализации передачи данных, не могут гарантировать защиту, если американское законодательство (в частности, Закон о надзоре за иностранными разведками — FISA) позволяет спецслужбам получать доступ к данным без надлежащих процессуальных гарантий.
Суть решения
Основные выводы CJEU
16 июля 2020 года CJEU вынес решение по делу C-311/18. Ключевые положения:
- Privacy Shield признан недействительным. Суд установил, что программа наблюдения США (в частности, Раздел 702 FISA и Указ 12333) не соответствует требованиям ЕС по соразмерности и необходимости, а механизм Ombudsperson (независимый арбитр) не обеспечивает достаточной судебной защиты для граждан ЕС.
- SCC остаются действительными, но с оговорками. Стандартные договорные оговорки (SCC) как инструмент передачи данных не отменены. Однако компании обязаны в каждом конкретном случае оценивать, обеспечивает ли законодательство страны-получателя (например, США) уровень защиты, «по существу эквивалентный» европейскому. Если нет — они должны приостановить передачу или найти дополнительные меры защиты.
- Обязанность надзорных органов. Национальные органы по защите данных (в Ирландии — DPC) обязаны приостанавливать или запрещать передачу данных на основе SCC, если они считают, что защита данных в стране-получателе недостаточна. Суд подчеркнул, что надзорные органы не могут автоматически полагаться на решение Европейской комиссии об адекватности защиты.
Ключевые правовые аргументы
- Принцип эквивалентности. Уровень защиты в третьей стране должен быть «по существу эквивалентным» тому, что гарантируется в ЕС Хартией и GDPR. Простое соответствие SCC недостаточно.
- Массовая слежка. Суд признал, что программы массового сбора данных (bulk collection) в США нарушают ст. 7 и 8 Хартии ЕС, так как не являются соразмерными и не имеют независимого надзора.
- Отсутствие эффективных средств правовой защиты. Граждане ЕС не имеют в США права на судебное обжалование действий разведки, что противоречит ст. 47 Хартии.
Последствия
Для бизнеса
Решение создало правовой вакуум: тысячи компаний (от малых стартапов до транснациональных корпораций) оказались в ситуации, когда их передачи данных в США (и другие страны с аналогичным законодательством) стали юридически рискованными. Это затронуло:
- Облачные сервисы (Amazon Web Services, Google Cloud, Microsoft Azure).
- Социальные сети (Facebook, Twitter).
- Маркетинговые платформы (Salesforce, HubSpot).
- HR-системы, использующие американские серверы.
Для регуляторов
Национальные органы по защите данных (в частности, ирландский DPC) были вынуждены начать массовые проверки и выносить решения. В 2023 году DPC вынес решение по делу Шремса против Facebook, оштрафовав Meta (организация признана экстремистской, деятельность запрещена в РФ) на 1,2 миллиарда евро (крупнейший штраф в истории GDPR) и предписав приостановить передачу данных в США на основе SCC. Meta обжаловала это решение.
Для законодательства
- ЕС: В 2021 году Европейская комиссия выпустила новые версии SCC (модульные, с учётом требований Schrems II), а также начала переговоры с США о новом соглашении.
- США: В 2022 году президент Байден подписал Указ 14086, направленный на усиление гарантий для данных европейцев. На его основе в 2023 году была принята новая рамочная программа — EU-US Data Privacy Framework (DPF). В 2023 году Европейская комиссия приняла решение об адекватности защиты в рамках DPF, что частично восстановило правовую определённость, но не отменило требования Schrems II к SCC.
Для правовой практики
Решение стимулировало развитие так называемых «дополнительных мер» (supplementary measures) — шифрования, псевдонимизации, заключения договоров с оговорками об отказе от доступа правительств, — которые компании должны применять, если SCC сами по себе не обеспечивают эквивалентную защиту. Однако на практике эффективность таких мер остаётся спорной.
Критика и альтернативные точки зрения
Критика решения
- Правовая неопределённость. Решение не дало чётких критериев, при каких условиях SCC могут считаться достаточными. Компании оказались в ситуации, когда они обязаны проводить «оценку влияния на передачу» (TIA), но не имеют инструкций, как это делать.
- Экономические последствия. По оценкам некоторых экспертов, решение могло стоить экономике ЕС до 7 миллиардов евро в год из-за сбоев в трансграничной передаче данных.
- Политизация. Решение было воспринято как удар по отношениям ЕС и США, особенно в контексте сотрудничества в области кибербезопасности и борьбы с терроризмом.
Поддержка решения
- Защита прав граждан. Правозащитники (включая самого Шремса) приветствовали решение как важный шаг к ограничению массовой слежки и защите конфиденциальности.
- Усиление GDPR. Решение подтвердило, что GDPR — не просто формальный документ, а инструмент, способный ограничивать действия корпораций и государств.
- Стимулирование локализации. Некоторые компании начали переносить данные европейских пользователей на серверы в ЕС, что способствовало развитию европейской облачной инфраструктуры.
Текущее состояние (на 2024 год)
- EU-US Data Privacy Framework (DPF) вступил в силу в июле 2023 года. Компании могут сертифицироваться по нему, что даёт им право передавать данные в США без дополнительных мер.
- Однако DPF уже оспаривается Максимилианом Шремсом (новое дело — Schrems III), которое находится на рассмотрении CJEU. Ожидается, что решение может быть вынесено в 2025–2026 годах.
- Стандартные договорные оговорки (SCC) 2021 года остаются основным инструментом для стран, не имеющих решения об адекватности (например, Китай, Россия, Индия). Компании обязаны проводить TIA и внедрять дополнительные меры.
- В России решение Schrems II не имеет прямой юридической силы, но косвенно влияет на трансграничную передачу данных: российские компании, работающие с данными граждан ЕС, также обязаны соблюдать GDPR и учитывать риски, выявленные в деле.
Источники
- Решение Суда ЕС от 16 июля 2020 г. по делу C-311/18 (Data Protection Commissioner v. Facebook Ireland и Maximillian Schrems).
- Регламент ЕС 2016/679 (Общий регламент по защите данных — GDPR).
- Указ президента США № 14086 от 7 октября 2022 г. «Enhancing Safeguards for United States Signals Intelligence Activities».
- Решение Европейской комиссии 2023/1795 об адекватности защиты в рамках EU-US Data Privacy Framework.
- Материалы Европейского совета по защите данных (EDPB) — Рекомендации 01/2020 о дополнительных мерах после Schrems II.
- Публикации Максимилиана Шремса и его организации NOYB (None of Your Business).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →