نمایندگان پارلمان اروپا نسبت به پیش نویس توافق نامه انتقال داده اتحادیه اروپا و آمریکا ابراز نگرانی می کنند

قرارداد جدید انتقال داده بین اتحادیه اروپا و ایالات متحده با هدف رفع ابهامات حقوقی پرهزینه در مورد صادرات داده های شخصی هنوز برقرار نشده است، اما کمیته آزادی های مدنی پارلمان اروپا در حال پیش بینی چارچوب حفظ حریم خصوصی داده های اتحادیه اروپا-ایالات متحده (DPF) است. ) از یک چالش قانونی جان سالم به در نخواهد برد – درست مانند دو پیشینیش، بندر امن (RIP: اکتبر 2015). و Privacy Shield (RIP: ژوئیه 2020)، نتوانست قضات اتحادیه اروپا را تحت تأثیر قرار دهد.

در قطعنامه ای که دیروز توسط کمیته LIBE تصویب شد، با 37 رای موافق، هیچ یک مخالف و 21 رای ممتنع، نمایندگان پارلمان اروپا DPF را پیشرفتی نامیدند که با این وجود به اندازه کافی پیش نمی رود. آنها همچنین پیش بینی کردند که احتمالاً در آینده توسط دیوان دادگستری اتحادیه اروپا (CJEU) باطل خواهد شد.

این توسعه به دنبال پیش‌نویس نظری توسط LIBE در ماه فوریه صورت می‌گیرد، که همچنین به این پیشنهاد اشاره می‌کند و از کمیسیون می‌خواهد برای اصلاحات معنی‌دار فشار بیاورد.

در این قطعنامه، کمیته بر این عقیده است که ترتیبات پیشنهادی تدابیر کافی برای شهروندان اتحادیه اروپا فراهم نمی کند، زیرا این چارچوب همچنان امکان جمع آوری انبوه داده های شخصی را در موارد خاص فراهم می کند. جمع آوری داده های انبوه را منوط به مجوز قبلی مستقل نمی کند. و قوانین روشنی در مورد نگهداری داده ها ارائه نمی کند.

نمایندگان پارلمان اروپا همچنین نگران هستند که مکانیسم جبران خسارت پیشنهادی – به اصطلاح “دادگاه بررسی حفاظت از داده ها” – حقوق شهروندان اتحادیه اروپا برای دسترسی و اصلاح داده های مربوط به آنها را نقض کند، زیرا تصمیمات مخفی نگه داشته می شوند. آنها همچنین استقلال آن را زیر سوال می برند، زیرا قضات ممکن است توسط رئیس جمهور ایالات متحده برکنار شوند، که همچنین می تواند تصمیمات آن را رد کند.

در بیانیه مطبوعاتی مجلس، که در آن آمده است کمیته ادامه داد: «در قطعنامه، نمایندگان پارلمان اروپا استدلال می‌کنند که چارچوب انتقال داده‌ها باید اثبات‌کننده آینده باشد و ارزیابی کفایت باید بر اساس اجرای عملی قوانین باشد». اصرار کمیسیون بر اساس رژیم فعلی کفایت اعطا نکند و در عوض در مورد چارچوب انتقال داده مذاکره کند که احتمالاً در دادگاه مطرح می شود.

خوان فرناندو لوپز آگیلار، گزارشگر کمیته LIBE در بیانیه ای پس از رای گیری اظهار داشت:

چارچوب جدید مطمئناً در مقایسه با مکانیسم‌های قبلی بهبود یافته است. با این حال، ما هنوز آنجا نیستیم. ما متقاعد نشده‌ایم که این چارچوب جدید به اندازه کافی از داده‌های شخصی شهروندانمان محافظت می‌کند، و بنابراین شک داریم که از آزمون CJEU جان سالم به در ببرد. کمیسیون باید برای رسیدگی به نگرانی های مطرح شده توسط هیئت حفاظت از داده های اروپا به کار خود ادامه دهد [EDPB] و کمیته آزادی های مدنی حتی اگر این به معنای بازگشایی مذاکرات با ایالات متحده باشد.

در ماه فوریه، EDPB نظر خود را در مورد این چارچوب اتخاذ کرد – توافق را به عنوان یک بهبود در سپر حریم خصوصی نیز بیان کرد. اما نهاد بانفوذ هدایت همچنین نگرانی‌هایی را مطرح کرد که توصیه کرد باید به آنها رسیدگی شود و شفاف‌سازی‌هایی به‌منظور «اطمینان از ماندگاری تصمیم کفایت» صورت گیرد.

رای کمیته LIBE بخشی از فرآیند نظارت کلی اتحادیه اروپا است. اگرچه توجه به این نکته مهم است که نمایندگان مجلس در مورد تصویب یا عدم تصویب DPF اظهار نظر فعالی نمی کنند – و حتی EDPB نیز این کار را نمی کند. حرف آخر در مورد تصمیمات کفایت تنها بر عهده کمیسیون است.

در عین حال، بدیهی است که تردیدهایی در مورد استحکام و پایداری چارچوب جایگزین برنامه ریزی شده در اتحادیه اروپا مطرح شود.

پارلمان اروپا به عنوان یک کل نیز می تواند نظر خود را بیان کند – از طریق یک جلسه عمومی آینده که قطعنامه کمیته LIBE را بررسی می کند. بنابراین جالب است که ببینیم نمایندگان مجلس کدام راه را می‌شکنند.

DPF جدیدترین پیشنهاد سطح بالای اتحادیه برای حل و فصل تضاد رودرروی بین حقوق حریم خصوصی اتحادیه اروپا و قدرت های نظارتی ایالات متحده با اتخاذ تصمیم دیگری به اصطلاح کفایت برای تسهیل جریان داده های اتحادیه اروپا-ایالات متحده است. چارچوب پیشنهادی مبتنی بر تلاش‌های قبلی (محل‌شده) با تنظیم مجموعه‌ای جدید از مقررات با هدف بررسی تفاوت‌های عمده – مانند ادعای «تدابیر الزام‌آور» برای محدود کردن دسترسی آژانس‌های اطلاعاتی ایالات متحده به داده‌ها، از جمله معرفی مفاهیم ضرورت و تناسب؛ و وعده نظارت بیشتر بر نظارت شبه ها.

همانطور که در بالا ذکر شد، یک دادگاه بازنگری حفاظت از داده های جدید نیز تشکیل خواهد شد که قرار است در مجموع یک مکانیسم جبران خسارت مستقل باشد که بتواند شکایات شهروندان اتحادیه اروپا را مطابق با استانداردهای مورد نیاز قضات اروپایی حل و فصل کند. اما آنچه که منتقدان ادعا می‌کنند، به معنای کامل حقوقی، دادگاه مناسبی نیست، بنابراین با CJEU موافقت نخواهد کرد.

یک چیز واضح است: اکنون که عرضه گچ های چسبنده ساده تمام شده است، این بار زمان بیشتری برای اتخاذ یک معامله نیاز است.

كميسيون كمي بيش از يك سال پيش به توافقي اصولي در مورد DPF دست يافت. سپس حدود شش ماه طول کشید تا جو بایدن، رئیس جمهور ایالات متحده، فرمان اجرایی لازم برای اجرای جایگزینی را امضا کند. در حالی که تقریباً نه ماه از اعلام توافق می گذشت تا اتحادیه اروپا به پیش نویس توافق برسد (حدود دو ماه پس از EO). در آن مرحله، روند بررسی و بررسی پیش نویس توسط سایر نهادهای اتحادیه اروپا آغاز شد که هنوز ادامه دارد.

(در مقابل، سپر حریم خصوصی اتحادیه اروپا-ایالات متحده از زمانی که در فوریه 2016 به عنوان ورودی اعلام شد، به طور رسمی در جولای تصویب شد و در آغاز آگوست همان سال شروع به کار کرد. سپس کمی بیش از چهار سال طول کشید تا CJEU آن را بازنشسته کند. بنابراین مطمئناً در مورد قانون‌گذارانی که عجولانه عمل می‌کنند و در اوقات فراغت توبه می‌کنند، درس‌هایی می‌توان آموخت.)

در آوریل سال گذشته، کمیسیون پیشنهاد داد که کل فرآیند جایگزینی Privacy Shield ممکن است تا پایان سال 2022 “نهایی” شود. بر.

برخی گزارش‌ها حاکی از آن است که DPF قبل از تابستان به تصویب نخواهد رسید (رویترز به نقل از مقامات ناشناس می‌گوید که ممکن است تا جولای آماده شود).

سخنگوی کمیسیون در پاسخ به سوالی در مورد تاریخ مورد انتظار برای تصویب، به TechCrunch گفت که نمی تواند جدول زمانی دقیقی ارائه دهد زیرا این فرآیند شامل چندین ذینفع است.

او همچنین تصریح کرد که در حال تجزیه و تحلیل “دقت” نظر EDPB، و تلاش برای رسیدگی به نظرات و درخواست‌های آن برای شفاف‌سازی قبل از حرکت به مرحله بعدی فرآیند پذیرش است – که مستلزم درخواست تایید از کمیته‌ای از نمایندگان کشورهای عضو اتحادیه اروپا است.

کمیسیون به وضوح می‌خواهد از تظاهر به حمله سوم جلوگیری کند – که احتمالاً توضیح می‌دهد که چرا پذیرش بیش از حد انتظار طول می‌کشد. و چرا مراقب است که متهم به نادیده گرفتن نگرانی های EDPB و دیگران نشود.

داده های متا اتحادیه اروپا-ایالات متحده در چارچوب جریان می یابد

در حالی که پیچیدگی های کمیتولوژی اتحادیه اروپا ممکن است موضوعی بسیار خشک به نظر برسد، یک پیامد بسیار ملموس در هنگام تصویب DPF وجود دارد. این به این دلیل است که غول فناوری متا، مالک فیس‌بوک و اینستاگرام، با حکم تعلیق داده‌ها مواجه است که می‌تواند آن را مجبور به قطع صادرات داده‌های کاربران اتحادیه اروپا کند. و از آنجایی که فیس بوک فدرال نیست، ممکن است مجبور شود سرویس را برای کاربران اتحادیه اروپا قطع کند تا از این دستور پیروی کنند.

در پاییز 2020، یک دستور اولیه برای این منظور توسط ناظر داده ایرلند صادر شد. پس از آن متا اجازه اقامت دریافت کرد و همچنین به دنبال بررسی قضایی شد – بنابراین توانست این روند را برای مدتی به تعویق بیندازد. اما در ماه مه 2021 در آن چالش قانونی خاص تمام شد. و پس از آن پیش نویس تصمیم تجدید نظر شده در فوریه 2022 صادر شد.

چالش اصلی برای جریان داده‌های متا از اتحادیه اروپا-ایالات متحده به همان موضوع نظارتی ایالات متحده در مقابل حریم خصوصی اتحادیه اروپا بستگی دارد – اما این شکایت در واقع به سال افشای اسنودن بازمی‌گردد. بنابراین حدود یک دهه از نظارت نظارتی در مورد این موضوع وجود داشته است و هنوز هیچ تصمیم نهایی وجود ندارد.

با این حال پایانی – از لحاظ نظری – بالاخره در چشم است.

دیروز EDPB تأیید کرد که تصمیمی الزام آور در مورد این موضوع گرفته است – به این معنی که تصمیم نهایی باید توسط اتحادیه اروپا DPA رهبری متا، کمیسیون حفاظت از داده های ایرلند (DPC) ظرف یک ماه صادر شود. یعنی تا اواسط اردیبهشت.

تابستان گذشته، غول رسانه‌های اجتماعی، زمانی که مقامات حفاظت از داده‌های اتحادیه اروپا بر سر پیش‌نویس تصمیم DPC به توافق نرسیدند، به سختی از سناریوی قطعی اولیه اجتناب کرد – شروع یک فرآیند حل و فصل اختلافات که در مقررات حفاظت از داده‌های عمومی (GDPR) تنظیم شده بود و در نهایت به EDPB منجر شد. باید وارد عمل شود و یک تصمیم الزام آور اتخاذ کند.

ما هنوز نمی دانیم که این تصمیم چه می گوید، اما با توجه به دستور اولیه برای تعلیق، بعید به نظر می رسد که هیئت به نتیجه کاملاً متفاوتی برسد. و با پایان یافتن روند اجرای پر پیچ و خم GDPR، اکنون این سوال مطرح می شود که چه چیزی در ابتدا اتفاق می افتد: دستوری به متا برای قطع جریان داده های اتحادیه اروپا-ایالات متحده – یا پذیرش DPF اتحادیه اروپا-ایالات متحده؟

این دومی سپس یک دریچه فرار جدید برای متا فراهم می کند تا از دستور تعلیق جلوگیری کند.

اگر DPF قبل از سفارش نهایی DPC برسد، همان سناریو است: این شرکت از چارچوب سطح بالا استفاده می کند تا ادعای خود را مبنی بر مطابقت کامل با قوانین اتحادیه اروپا تجدید کند و قوطی را از مسیر خود عقب نشینی کند (احتمالاً برای سال های طولانی دیگر). .

اما حتی اگر دستوری مبنی بر تعلیق جریان داده‌های متا در ابتدا صادر شود، شرکت مطمئناً تمام وکلای محلی خود را به یافتن راه‌های جدیدی برای به تعویق انداختن کارد می‌اندازد. درخواست هرگونه دستور نظارتی برای توقف صادرات داده های کاربران اتحادیه اروپا قطعی است. همچنین ممکن است تلاش کند تا اجرا در انتظار نتیجه درخواست تجدیدنظر خود باقی بماند. اگرچه مطمئن نیست که دادگاه این اجازه را بدهد.

اگرچه احتمال دیگری نیز وجود دارد. تصمیم نهایی DPC ممکن است یک دوره زمانی را برای متا فراهم کند تا جریان داده را قطع کند – مثلاً دو یا سه ماه – که می تواند زمان کافی برای تصویب DPF را برای آن به ارمغان بیاورد و به او امکان دهد با استفاده از چارچوب جدید پایه قانونی خود را مجددا راه اندازی کند. و دوباره از خطر خاموش شدن دور شوید.

ماه گذشته، کمیسیونر DPC، هلن دیکسون، به رویترز اعتراف کرد که جدول زمانی در حال “پایان آمدن به سیم” است.

ناظران حریم خصوصی مطمئناً این مورد را به دقت بررسی خواهند کرد تا ببینند آیا متا در نهایت با حساب نهایی انتقال داده ها روبرو خواهد شد یا خیر. یا از راه دیگری استفاده می‌کند تا رگولاتورها و قانون‌گذاران را در برابر یکدیگر قرار دهند.