Dekorativní pozadí stránky

Předávání osobních údajů do USA – Privacy Shield 2.0 je tady (nebo není?)

Předávání osobních údajů do USA – Privacy Shield 2.0 je tady (nebo není?)

Po dlouhé době by měli mít ti, kteří posílají osobní údaje z EU do USA nebo využívají ke zpracování osobních údajů služby z USA jistotu, že nejednají protiprávně. To je nejdůležitější přínos dohody mezi americkou a evropskou administrativou o vzájemném předávání osobních údajů. Mechanismu pro snadné předávání osobních údajů přes Atlantik byl již v minulosti dvakrát zrušen Soudním dvorem EU (nejprve EU-US Safe Harbor a poté EU-US Privacy Shield), a to zejména s ohledem na to, že americké právo nezajišťovalo Evropanům a jejich datům ochranu před dlouhými prsty a zvědavýma ušima amerických tajných služeb a neumožňovalo jim ani efektivní ex-post soudní ochranu.

Současná dohoda mezi EU a USA přezdívaná jako Privacy Shield 2.0 stojí na tom, že americká administrativa souhlasila se stanovením určitých omezení, procesních bariér a revizních postupů při nakládání s osobními údaji Evropanů ze strany amerických tajných služeb. Druhým hlavním bodem pak je, že občané EU budou mít nárok bránit svá práva před kvazisoudní instancí, která vykonává dohled nad činností tajných služeb v USA. Přestože oba tyto aspekty byly zakotveny do exekutivního příkazu prezidenta Bidena, na jehož samotné textaci údajně spolupracovali úředníci Evropské komise (což by bylo samo o sobě celkem pozoruhodné), je otázkou, jaký to bude mít praktický dopad na ochranu práva na soukromí a ochranu osobních údajů občanů EU. Privacy Shield 2.0 zcela určitě neznamená, že by tajné služby USA měly mít úplně vyloučený přístup k osobním údajů občanů EU (což ani požadováno nebylo, neboť je zřejmé, že i evropské tajné služby za určitých okolností tento přístup mají – jde totiž právě o ty okolnosti, které se z evropského pohledu nezdály být kompatibilními).

Dle exekutivního příkazu by měly být osobní údaje zpracovávány pouze za legitimním cílem a v souladu se zásadou přiměřenosti (tj. pouze tam, kde je takové zpracování způsobilé daného cíle dosáhnout a je zvolen způsob, který do soukromí zasahuje nejmenším možným způsobem). Nová pravidla by tak měla vyloučit alespoň zcela nekontrolované a neomezené nakládání s těmito daty, jako by se jednalo o recept na krocana na Den díkuvzdání. Stejně tak by měla být unijním občanům garantována možnost bránit se jakýmkoliv případným zásahům podáním stížnosti k Civil Liberties Protection Officer, který působí v rámci Kanceláře ředitele národní rozvědky (Office of the Director of National Intelligence). Ten bude povinen věc prošetřit, vydat závazné rozhodnutí a v případě potřeby nařídí přijetí nápravných opatření. Toto rozhodnutí navíc bude podléhat přezkumu instituce, která plní soudní roli, nicméně neodpovídá požadavkům na soud v klasickém pojetí. Zejména evropští občané nebudou mít právo se sami řízení účastnit a musí být zastoupeni zvláštním americkým advokátem, řízení bude v podstatě v utajeném režimu, a to i vůči účastníkovi a ten se tak dozví pouze výsledek, tj. zda bude napadené rozhodnutí potvrzeno nebo zrušeno. Nutno dodat, že z hlediska evropských standardů kladených na soudní řízení a spravedlivý proces se takové nastavení jeví, eufemisticky řečeno, jako problematické.

Zda tyto záruky uspokojí požadavky Soudního dvora na omezení pravomocí se však teprve uvidí. Je nepochybné, že kolegové Maxe Schremse z organizace NOYB již nyní pilně pracují na žalobě, kterou budou chtít napadnout první předání osobních údajů do USA uskutečněné na základě tohoto nového mechanismu. Další soudní bitva na toto téma je tak vysoce pravděpodobná. Soudní dvůr nicméně stojí před skutečně nezáviděníhodnou situací a bude rozhodovat pod více či méně zjevným politickým tlakem. Další případ Schrems si totiž v Evropě nepřeje ani unijní administrativa, tím méně pak podnikatelská sféra na obou kontinentech a politická reakce z obou stran Atlantiku by jistě nebyla pozitivní. Zrušením tohoto mechanismu by navíc Soudní dvůr nezvýšil úroveň ochrany práv občanů EU. Současný stav, kdy fakticky dochází ke zcela běžnému a každodennímu předávání osobních údajů mezi EU a USA, a to bez jakýchkoliv záruk poskytnutých ze strany amerických úřadů i přes rozhodnutí Schrems II je toho důkazem. Na druhou stranu, když Soudní dvůr námitkám odpůrců mechanismu nevyhoví (např. námitce, že předpokládaný mechanismus nenaplňuje evropské standardy na soudní přezkum), bude bezpochyby čelit silné kritice ze strany ochránců základních práv a svobod a alespoň části občanské společnosti. Tím by samozřejmě mohla výrazně utrpět jeho legitimita.

Aby však měl Soudní dvůr vůbec o čem potenciálně rozhodovat, musí nyní Evropská komise formálně přezkoumat stav amerického právního řádu v oblasti nakládání s osobními údaji a na základě tohoto přezkumu vydat rozhodnutí, že USA poskytují adekvátní míru ochrany osobních údajů srovnatelnou s EU. Vzhledem k tomu, že Evropská komise sama tento mechanismus vyjednávala, očekává se, že toto rozhodnutí vydá. Podle kuloárních informací by tak měla učinit někdy v létě roku 2023. Co to znamená pro každodenní praxi? V prvé řadě za bezpečné předání do USA bude bez dalšího považováno předání osobních údajů těm americkým subjektům, které projdou samocertifikací a registrují se u amerického „Ministerstva průmyslu a obchodu“ (Federal Trade Commission). Seznam těchto subjektů bude pravděpodobně zveřejněn na příslušných internetových stránkách, jak tomu bylo i v minulosti v případě Safe Harboru a Privacy Shieldu. Pro předání osobních údajů takovým společnostem nebo osobám již nebudou vyžadovány žádné dodatečné záruky v podobě např. Standardních smluvních doložek, Závazných podnikových pravidel, apod. Evropští správci a zpracovatelé tak nemusí v tomto ohledu činit žádné další právní nebo administrativní kroky (krom případné kontroly, že daná americká společnost je skutečně na seznamu certifikovaných osob), ale budou samozřejmě povinni dodržovat všechna ostatní pravidla dle GDPR, jako by předávali osobní údaje komukoliv v rámci EU (např. uzavření smlouvy o zpracování osobních údajů, dodržení příslušných technických a organizačních opatření na zabezpečení osobních údajů, atd.).

Do doby přijetí rozhodnutí Evropské komise o adekvátní míře ochrany na základě Privacy Shieldu 2.0 jsou však evropští exportéři osobních údajů povinni dodržovat současné požadavky interpretované především Soudním dvorem EU. Na tomto místě je vhodné připomenout, že nové Standardní smluvní doložky již od příštího měsíce zcela nahrazují předchozí verzi; pokud jste tedy spoléhali na brzké řešení pomocí Privacy Shieldu 2.0, tak ani zde naznačený optimismus nepomůže překlenout období příštího půl roku, pokud chcete zajistit, že jsou osobní údaje předávány přes Atlantik v souladu s GDPR. S touto nelehkou úlohou (např. přípravou Standardních smluvních doložek, které přežijí i osud Privacy Shieldu 2.0, ať už bude jakýkoliv) jsou Vám nicméně plně připraveni pomoci naši odborníci.

 

Zdroje článku

Související články