Předávání osobních údajů mezi EU a USA po přezkumu prováděcího rozhodnutí evropské komise o rámci ochrany soukromí (data privacy framework)
Za účelem naplnění hlavních cílů nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen jako „nařízení GDPR“), došlo v červenci 2023 k přijetí prováděcího rozhodnutí o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA, tzv.
Data Privacy Framework (dále jen jako „Rámec ochrany soukromí“ nebo „rozhodnutí DPF“), na jehož základě dochází k předávání osobních údajů z Evropské unie, resp. Evropského hospodářského prostoru (dále jen „EHP“), do USA. V souladu s článkem 3 odst. 4 Rámce ochrany soukromí provedla Evropská komise přezkum předmětného rozhodnutí DPF s důrazem na efektivitu rozhodnutí a jeho uplatnění v praxi, přičemž o výsledku přezkumu, jakožto i o dalším vývoji předávání osobních údajů do USA, pojednává tento článek.
Předávání osobních údajů před přijetím Rámce ochrany soukromí
Nařízení GDPR bylo přijato nejenom s úmyslem zajistit a garantovat ochranu osobním údajům fyzických osob na území členských států Evropské unie a EHP, ale i zamezit znehodnocování úrovně této ochrany při předávání osobních údajů do třetích zemí v rámci jejich zpracování. Jednou z takových třetích zemí, kde lze důvodně předpokládat vysokou fluktuaci osobních údajů zpracovávaných v Evropské unii, resp. EHP, jsou právě USA.
Do roku 2020 probíhalo předávání osobních údajů mezi EU a USA na základě tzv. štítu EU-USA na ochranu soukromí (tzv. EU-USA Privacy Shield), jehož podstatou bylo zakotvení povinnosti zachovávat při zpracování osobních údajů v USA soubor striktních ochranných pravidel a pojistek. Soudní dvůr Evropské unie však svým rozhodnutím ve věci C-311/18 (nazývané jako Schrems II) tento štít zrušil, neboť ze strany USA shledal nedostatečnou ochranu předávaným údajům a samotným subjektům údajů[1]. Jako problematickou vyhodnotil Soudní dvůr Evropské unie především platnou americkou legislativu umožňující státním orgánům plošný přístup k osobním údajům.
Po zrušení uvedeného štítu ochrany soukromí došlo ke značným komplikacím v souvislosti s tokem osobních údajů mezi EU a USA, kdy dotčeným subjektům nezbývalo nic jiného, než aplikovat do své praxe některý z nástrojů vymezených v čl. 46 nařízení GDPR, aby vytvořili vhodné záruky zajišťující osobním údajům Evropanů úroveň ochrany rovnocenné úrovni ochrany v EU.
Předávání osobních údajů po přijetí Rámce ochrany soukromí
V červenci 2023 využila Komise svého oprávnění, zakotveného v ustanovení čl. 45 odst. 3 nařízení GDPR, a vydala prováděcí rozhodnutí o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí, neboť shledala, že USA jakožto třetí země zajišťuje odpovídající úroveň ochrany osobním údajům, jež jsou předávány subjektům v USA zapsaným v Seznamu Rámce ochrany soukromí, vedeném americkým Ministerstvem obchodu (US Department of Commerce)[2].
Zápisem do Seznamu DPF získá subjekt certifikaci prokazující dodržování konkrétních zásad stanovených DPF na ochranu osobních údajů, přičemž současně se podřídí vyšetřovacím a donucovacím povinnostem Federální obchodní komise či Ministerstvu dopravy. Zapsaným subjektům tak lze poskytovat osobní údaje bez omezení a dalších doplňujících opatření, které se jinak mohou uplatnit vůči jiným třetím zemím. Certifikace je však udělována pouze na 1 rok, subjekty jsou tedy povinny každoročně žádat o opětovnou certifikaci, jinak hrozí jejich vyřazení ze Seznamu DPF, a současně tak i pozbytí skýtaných výhod.
Prováděcí akty, přijaté Komisí dle ustanovení čl. 45 odst. 3 nařízení GDPR, podléhají pravidelnému přezkumu, kdy pravidla a obecné zásady takového přezkumu upravuje nařízení Evropského parlamentu a Rady (EU) č. 182/2011. První přezkum rozhodnutí DPF Evropskou komisí byl článkem 3 odst. 4 rozhodnutí DPF určen po roce jeho platnosti, a to zejména za účelem zhodnocení efektivity a uplatnění rozhodnutí DPF v praxi. Evropská komise proces přezkumu rozhodnutí DPF dokončila ke dni 09.10.2024, kdy Evropskému parlamentu a Radě předložila zprávu o prvním pravidelném přezkumu fungování rozhodnutí o odpovídající ochraně týkajícího se rámce EU-USA pro ochranu údajů[3].
Výsledek přezkumu rozhodnutí DPF
Certifikace subjektů se zájmem o zápis do Seznamu DPF
Komise se v rámci přezkumu zaměřila především na ověření, zda byly úspěšně realizovány všechny prvky zakotvené v rozhodnutí DPF, a to i s ohledem na vývoj legislativy nejenom v USA po samotném přijetí rozhodnutí DPF.
K dílčímu zhodnocení došlo i v oblasti certifikace subjektů a jejich zápisu do Seznamu DPF, kdy ke dni konání přezkumného jednání získalo certifikaci dle rozhodnutí DPF více než 2.800 společností, tedy více než za účinnosti štítu na ochranu soukromí, přičemž 70 % z dosud certifikovaných subjektů představují malé a střední podniky primárně z informačního, komunikačního a technologického odvětví. Ze strany amerického Ministerstva obchodu byly shledány snahy k maximálnímu usnadnění užívání webového portálu subjekty usilujících o certifikaci a zápis do Seznamu DPF a proaktivní přístup k odstranění případných nedostatků jednotlivých subjektů, o čemž svědčí i skutečnost, že bylo za posuzované období zamítnuto pouze 33 žádostí[4].
Rovněž lze ocenit souběžné vedení seznamu neaktivních organizací americkým Ministerstvem obchodu, tj. subjektů, které byly ze Seznamu DPF vyřazeny, společně s důvodem, proč k vyřazení došlo. Od subjektů, kterým hrozí zánik certifikace, Ministerstvo obchodu požaduje vyjádření k dalšímu nakládání s dosud nabytými osobními údaji, kdy tyto údaje společnosti mohou jednak vymazat, jednak jim poskytnout novou dodatečnou ochranu dle nástrojů upravených nařízením GDPR, např. standardními smluvními doložkami. Uvedené opatření umožňuje subjektům osobních údajů dohled nad nakládáním s jejich osobními údaji a usnadňuje případné kroky subjektů osobních údajů směřujících k realizaci jejich práv. Navzdory uvedenému však Komise ze zpětné vazby, nashromážděné v rámci přezkumného procesu, vyvodila, že je nutné více se zaměřit na zvyšování informovanosti subjektů údajů v souvislosti s jejich právy a mechanismy jejich uplatňování.
V souvislosti s certifikací a posuzováním splnění dílčích podmínek subjektů usilujících o zápis do Seznamu DPF dospěla Komise k závěru, že by americké Ministerstvo obchodu v této oblasti mělo zvýšit své úsilí, a i navzdory plánované automatizaci kontrol dodržování veškerých předpisů a zásad nezanevřít i na využívání dalších nástrojů, které má na základě rozhodnutí DPF k dispozici, např. namátkové kontroly, dotazníky ověřující dodržování zásad či žádosti o informace.
Relevantní vývoj legislativy v USA
Komise ocenila činnost Federální obchodní komise (subjektu s vyšetřovací a donucovací pravomocí v oblasti ochrany osobních údajů) v rámci prosazování priorit, které víceméně obsahově odpovídají trendům ochrany osobních údajů v Evropě, jakožto i její aktivní participaci ve sdružení zemí využívajících rozhodnutí EU o odpovídající ochraně (tj. rozhodnutí přijatých dle ust. čl. 45 odst. 3 nařízení GDPR).
Velkou část přezkumu Komise však věnovala legislativě v oblasti přístupu zpravodajských služeb USA k osobním údajům, neboť nedostatečná, resp. nevyhovující úprava tohoto úseku zapříčinila zánik štítu EU-USA na ochranu soukromí (vizte výše). Stěžejním je § 702 zákona FISA (Foreign Intelligence Surveillance Act)[5], na jehož základě lze po udělení osvědčení Soudem pro uplatňování zákona FISA cíleně sledovat osoby, které nejsou občany USA, a zároveň se nacházejí mimo území USA, a to za účelem získávání zahraničních zpravodajských informací. Cílené sledování dotčených osob se realizuje mj. poskytnutím identifikačních údajů o elektronických komunikacích sledovaných osob ze strany poskytovatelů služeb elektronických komunikací. Dne 19.04.2024 bylo uvedené ustanovení zákona FISA přijetím zákona RISAA (Reforming Intelligence and Securing America Act)[6] opětovně schváleno, a to na dobu dalších dvou let (tj. do dubna 2026).
Zákonem RISAA však došlo k definitivnímu zákazu sběru tzv. „abouts“, tj. údajů zmíněných v textu nebo těle zprávy, přičemž sběr byl omezen pouze na odesílatele a příjemce. Současně ale zákon RISAA rozšířil okruh subjektů, které nově spadají pod pojem poskytovatele služeb elektronických komunikací, a to o subjekty s přístupem k zařízení, které je nebo může být používáno k přenosu nebo ukládání drátových nebo elektronických komunikací (vyjma obydlí a ubytovacích, společenských a stravovacích zařízení). Tato změna je však předmětem dalšího jednání a v roce 2025 lze očekávat její další vývoj.
Zákon RISAA ovšem taktéž zavádí nové záruky zvyšující ochranu amerických i neamerických občanů při sběru jejich údajů dle § 702 zákona FISA. Jedna z těchto záruk spočívá především v zavedení dalších požadavků na odpovědnost, dohled a podávání zpráv dotčených subjektů, např. povinnost FBI podávat Kongresu zprávy o svých dotazovacích činnostech či povinnost generálního inspektora Ministerstva spravedlnosti vypracovat zprávu o dodržování veškerých požadavků spojených s cíleným sledováním osob ze strany FBI. Současně bylo FBI zakázáno provádět dotazy vůči poskytovatelům služeb elektronických komunikací pouze za účelem vyhledávání a získávání důkazů o trestné činnosti, pokud neexistuje důvodné přesvědčení o nezbytnosti těchto údajů k zamezení ohrožení života či vážné újmy na zdraví), přičemž nabyté údaje musí být do analytických úložišť ukládána pouze zminimalizované. Nadto musí být při řízení před Soudem pro uplatňování zákona FISA o vydání osvědčení dle § 702 zákona FISA vždy jmenován amici curiae[7], tj. odborník se znalostmi v oblasti soukromí, občanských svobod a shromažďování zpravodajských informací.
Komise navzdory uvedenému zhodnotila, že zákon RISAA neomezuje výkon práv, a to díky existenci prezidentského dekretu č. 14086, který garantuje zvláštní postup při vyžádání osvědčení pro signálové zpravodajství ((zahrnující úzkou spolupráci s úřadem ODNI (Office of the Director of National Intelligence) pro ochranu občanských svobod)).
V souvislosti s uvedeným se Komise zaměřila i na posouzení otázky získávání údajů zpravodajskými službami USA formou nákupů od komerčních subjektů (zpravidla v pozici zprostředkovatelů údajů), které probíhá mimo režim zákona FISA a prezidentského dekretu č. 14086. Ani v tomto případě však Komise neshledala důvod k pochybám, kdy v rámci zprávy o přezkumu zdůraznila, že i v této konkrétní situaci musí k získávání údajů docházet při zachování zásad vytyčených v rozhodnutí DPF, přičemž spoléhá na řádný dohled Federální obchodní komise nad dodržováním těchto zásad.
Závěr
Zástupci EU a USA byl do budoucna vytyčen cíl vypracovat pokyny pro zpracování údajů v oblasti lidských zdrojů, jakožto i pro jejich další předávání, společně s dodatečnými pokyny pro vybrané oblasti (např. zdravotnický výzkum a finanční služby). Dále Komise hodlá pokračovat v průběžném sledování dalšího vývoje legislativy v souvislosti s cíleným sledováním osob dle § 702 zákona FISA.
Lze však shrnout, že Komise v rámci svého přezkumu shledala ze strany USA úspěšné zavedení stěžejních prvků rozhodnutí DPF, a pochválila si úzkou spolupráci mezi příslušnými institucemi EU a USA při realizaci rozhodnutí DPF. Další přezkum Komise naplánovala za další tři roky účinnosti rozhodnutí DPF. Je možné tak důvodně očekávat určitou stabilitu a neměnnost předmětné právní úpravy.
Mgr. Nela Mašková,
advokátní koncipientka
MACH LEGAL, advokátní kancelář s.r.o.
Viktora Huga 377/4
150 00 Praha 5
Tel.: +420 245 008 552
E-mail: praha@machlegal.eu
[1] Dle rozsudku Soudního dvora Evropské unie ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) ze dne 16. července 2020.
[4] Jak vyplývá ze zprávy Komise o přezkumu rozhodnutí DPF.
[7] Amicus curiae je institutem angloamerického práva, přičemž se jedná osobu odlišnou od účastníka řízení, která však v rámci soudního řízení poskytuje odborný názor na projednávanou věc.
