Posílení práv občanů EU před americkými úřady
Evropský sbor pro ochranu osobních údajů (EDPB) ve zprávě o přezkumu vyjadřuje uznání za pokrok, který byl dosažen při vytváření mechanismů ochrany práv občanů EU, včetně zřízení Soudního dvora pro ochranu údajů (DPRC). Tyto mechanismy byly navrženy tak, aby občané EU měli prostředky k řešení problémů týkajících se zneužívání jejich osobních údajů americkými společnostmi.
Přestože EDPB oceňuje tyto pokroky, jeho revize odhalila několik oblastí, které vyžadují další pozornost a řešení. Jedním z hlavních bodů je potřeba většího dohledu nad tím, jak americké společnosti dodržují zásady DPF, zejména v okamžiku, kdy tento rámec začne plně fungovat v praxi.
Monitorování a dodržování předpisů
Americké společnosti, které se chtějí zapojit do Data Privacy Frameworku (DPF), aby jim mohly být osobní údaje obyvatel EU předávány bez nutnosti dalších kroků, se musí certifikovat. Ačkoli proces certifikace v rámci DPF probíhá hladce, EDPB zdůrazňuje důležitost aktivního monitorování celého certifikačního mechanismu a jeho fungování v praxi ze strany amerických úřadů, zejména federálního Ministerstva obchodu. Jednou z klíčových oblastí je podle EDPB monitorování skutečného dodržování zásad DPF v praxi. EDPB má obavy z toho, že v prvním roce fungování tohoto nástrje bylo zaznamenáno jen velmi málo správně podaných stížností, což naznačuje potřebu důkladnějšího dohledu nad tím, jak americké společnosti rámec dodržují.
EDPB rovněž vyzývá americké Ministerstvo obchodu, aby vypracovalo praktické pokyny týkající se zásady odpovědnosti za další předávání údajů. Tato zásada se týká přenosu osobních údajů do třetích zemí mimo rámec dohody EU-USA a zajišťuje, že společnosti zůstanou odpovědné za způsob, jakým tyto údaje zpracovávají a chrání. Existují obavy, že některé společnosti nemusí být plně obeznámeny se svými povinnostmi ohledně dalšího předávání údajů, což by mohlo ohrozit celkovou integritu DPF. Obavy EDPB směřují spíše k odlišné interpretaci pojmu „HR Data“, kde podle výkladu ze strany USA tento výklad poskytuje společnostem značně větší prostor pro přenos údajů do třetích zemí.
Rozdílné výklady pojmu HR data
Dalším bodem obav EDPB je přetrvávající rozdíl v interpretaci toho, co se rozumí HR údaji. Toto je klíčové téma, protože určuje rozsah povinností vztahujících se na osobní údaje zaměstnanců a obecně pracovních vztahů. EDPB vyzývá americké Ministerstvo obchodu, aby rychle vydalo pokyny, které zohlední širokou interpretaci HR údajů podle DPF, poskytly jasné příklady situací, ve kterých by mohly být tyto údaje zpracovávány, a objasnily, jaké povinnosti z DPF by se na každý takový scénář vztahovaly.
Přístup amerických úřadů k datům
Kritickým problémem se stále ukazuje zejména vládní přístup k údajům. Ačkoli Výkonný příkaz 14086 zavádí klíčová ochranná opatření týkající se sběru signálové zpravodajské služby. Opatření jsou zaměřena na nápravu nedostatků identifikovaných v rozsudku Soudního dvora EU ve věci C-311/18. Za tímto účelem Výkonný příkaz 14086 poskytuje další záruky, zejména zavedením principu nezbytnosti a principu proporcionality zpracování údajů do právního rámce USA. Evropský sbor vyjádřil přání lépe pochopit, jak se základní principy nezbytnosti a proporcionality zpracování osobních údajů aplikují pří přístupu amerických agentur ke zpracovávaným osobním údajům. EDPB rovněž upozorňuje, že i když byly zavedeny mechanismy pro jednodušší uplatnění práv dotčených osob, občanů EU, dosud nebyly v praxi testovány, neboť během období revize nebyla v rámci nového rámce. podána žádná stížnost.
Kromě toho EDPB zdůrazňuje potřebu zajistit adekvátní ochranu osobních údajů získaných americkými zpravodajskými agenturami od datových brokerů a dalších komerčních subjektů, což v současnosti není výkonným příkazem pokryto. EDPB rovněž vyzval Evropskou komisi, aby důkladně sledovala tuto vyvíjející se oblast přístupu amerických úřadů k údajům.
Kdy bude předávání dat do USA znovu přezkoumáno?
V závěru své zprávy EDPB doporučuje, aby se další průzkum DPF uskutečnil do tří let, namísto maximálně stanoveného období čtyř let. Nadcházející opětovné schválení amerického Zákona o zahraniční zpravodajské službě (FISA) sekce 702, které se očekává během dvou let, bude rovněž důležitým milníkem, který by měla Evropská komise a EDPB pečlivě vyhodnotit. To je obzvláště relevantní vzhledem k nedávnému rozšíření subjektů pokrytých požadavky FISA 702, což může mít širší dopady na ochranu údajů.
Proč?
Protože nová definice povinných organizací nyní zahrnuje i „jakéhokoliv jiného poskytovatele služeb, který má přístup k zařízení, jež může být použito k přenosu nebo uchovávání drátových či elektronických komunikací“.
Panují obavy, že rozšířená definice nesplňuje požadavky na jasný, přesný a přístupný právní základ, jak stanoví právo EU. Reforma doplňků k zákonu o zpravodajských službách zavedla změny v roli amici curiae, odborníků, kteří poskytují soudům FISA pohled na právní a technické otázky při utajených řízeních.
Nakonec rozhodne soud
Zpráva z přezkumu DPF konstatuje významný pokrok v ochraně osobních údajů při předávání do USA. Zdůrazňuje rovněž oblasti, kde je podle názoru EDPB třeba podniknout další kroky. Pro zajištění adekvátní ochrany občanů EU je nezbytné aktivní monitorování a jasnější výklad, zejména pokud jde o další přenosy údajů, definici HR dat a vládní přístup k datům. Jak se DPF, tento stále ještě nový nástroj pro předávání dat do USA, dále vyvíjí, pro řešení těchto obav a zachování integrity transatlantických přenosů údajů bude spolupráce mezi orgány EU a USA klíčovým faktorem.
Zvláštní pozornost bude věnována tomu, jak se k těmto otázkám postaví Soudní dvůr EU na základě podání organizace Noyb. Ta již při přijetí DPF zdůrazňovala, že změny provedené na straně USA nejsou v jejích očích dostatečné. Tato organizace dlouhodobě kritizuje americké postupy v oblasti ochrany soukromí a pravděpodobně bude hrát významnou roli v dalším přezkoumání právní účinnosti DPF.
