华尔街日报周三晚间报导称,爱尔兰数据保护委员会(DPC;)据称已发布初步命令,要求Facebook停止欧盟与美国之间的数据传输。本周早些时候,我们通知DPC法院,我们计划就他们对此事发起第二次调查的决定提交中间禁令,因为这样做将违反2015年的一项法院命令。
与此同时,在推翻了CJEU对隐私盾牌(Privacy Shield)和使用标准合同条款(SCCS)的判决之后,Facebook似乎(再次)改变了它在欧盟和美国之间进行数据传输所依赖的法律基础。Facebook现在正在根据用户协议和第49(1)(B)条GDPR,利用所谓的需要将数据处理操作外包给美国。据我们所知,这一新的法律依据超出了DPC初步命令的范围。
Noyb现在发表了三封信,可能会让公众更好地了解Facebook和DPC的交易情况。
DPC仅就根据“GDPR”第46(1)条使用SCC的投诉开启了一个平行案件,该投诉已经持续了7年。
我们与DPC进行了多次交流,要求迅速执行CJEU关于欧盟-美国数据传输的裁决。DPC没有表示将采取任何如此迅速的行动。2020年8月31日,DPC在一封信(PDF)中通知我们,它将开启第二个案件(独立于导致CJEU判决的投诉程序),以调查Facbeook';对标准合同条款(SCC)的依赖。与此同时,DPC决定暂停施雷姆斯7年前发起的正在进行的投诉程序,尽管爱尔兰高等法院承诺从2015年起迅速就此案做出裁决。DPC强调,第二次调查严格限于Facebook根据GDPR第46(1)条使用SCC。
Nobi.eu名誉主席马克斯·施雷姆斯(Max Schrems):我们显然欢迎这样的观点,即爱尔兰DPC在经历了7年的程序和5项法院裁决后,终于开始履行它的职责,所有这些都支持了我们的立场。然而,民主党的这一举动最终可能会导致另一个三心二意的决定。
Facebook现在根据GDPR第49条争辩说,平行的法律基础不受DPC的有限调查。
DPC的这一有限案例尤其有趣,Facebook在2020年8月19日的一封信(PDF,第3页)中表示,(在“安全港”、“隐私盾牌”和“SCC”终结后),它现在依赖于第四个法律基础进行数据传输:根据与用户签订的合同,据称有必要将处理过程外包给美国(参见GDPR第49(1)(B)条)。这意味着,单是DPC就SCC发出的任何初步命令或第二次调查,实际上都不会阻止Facebook辩称,其欧盟与美国的数据传输仍然是合法的。在实践中,第49(1)(B)条GDPR可能是非常有限的数据传输的适当法律基础(例如,当欧盟用户向美国用户发送报文时),但不能用于将所有数据处理外包给美国。
Max Schrems:DPC再次只对问题的一部分进行调查-就像他们在对安全港和SCC的调查中已经做了两次一样。Facebook似乎希望DPC也只关注SCC,这样他们就可以在这个程序结束时拿出下一个法律依据。这个合法版本的Whac-a-mole已经持续了七年。因此,我怀疑所谓的针对Facebook的初步命令是又一个无用的步骤,不会完全解决这个问题。
针对这种情况,代表施雷姆斯的律师于本周一致函DPC(PDF),强调Facebook也使用第49条,DPC显然违反了法院命令,从2013年起(再次)暂停投诉程序,只是为了对最初投诉的一个分项问题展开不必要的第二次调查。根据爱尔兰法律,DPC很可能会藐视法庭--这是一件非常严重的事情,可能会给DPC负责人带来严重后果。
NOYB已通知DPC,我们计划提交中间禁令,以确保DPC根据Facebook提供的数据传输所依赖的所有所谓法律依据(根据第46条的SCC和根据GDPR第49条的所谓合同)采取行动,并在法律预见的正在进行的投诉程序内这样做。
施雷姆斯:关于针对Facebook的一项秘密初步命令的泄密事件表明,DPC试图在没有原告的情况下运行一项秘密程序。虽然这样的命令应该在2013年发布,但我们非常担心,DPC再次只开始了有限的调查,不会完全确定案件的所有方面。因此,我们将在爱尔兰采取适当的法律行动,以确保用户的权利得到充分维护-无论Facebook声称拥有何种法律依据。七年后,所有的牌都必须摆到桌面上。
目前尚不清楚初步订单上的泄密事件与此案的背景有何关系。DPC已同意在周三晚上,在2020年9月11日星期五之前重新发布可能的中间禁令。施雷姆斯的律师将向DPC索要“华尔街日报”独家报道中提到的所有文件。