Proces přijímání rozhodnutí o odpovídající ochraně pro bezpečný tok údajů s USA

Evropská komise dnes zahájila proces směřující k přijetí rozhodnutí o odpovídající ochraně rámce ochrany údajů mezi EU a USA, které podpoří bezpečné transatlantické toky údajů a vyřeší obavy, které vyjádřil Soudní dvůr Evropské unie ve svém rozhodnutí ve věci Schrems II z července 2020.

Dnešní návrh rozhodnutí navazuje na podpis amerického exekutivního příkazu prezidentem Bidenem dne 7. října 2022 spolu s předpisy vydanými americkým generálním prokurátorem Merrickem Garlandem. Tyto dva nástroje provedly do práva USA principiální dohodu, kterou v březnu 2022 oznámili prezidentka Ursula von der Leyenová a prezident Biden.

Návrh rozhodnutí o odpovídající ochraně, který odráží posouzení právního rámce USA provedené Komisí a dochází k závěru, že poskytuje záruky srovnatelné s ochrannými opatřeními EU, byl nyní zveřejněn a předán Evropskému sboru pro ochranu osobních údajů (EDPB) k vyjádření stanoviska. Návrh rozhodnutí dospěl k závěru, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných z EU společnostem z USA.

Klíčové prvky

Americké společnosti se budou moci připojit k rámci ochrany osobních údajů mezi EU a USA tím, že se zaváží dodržovat podrobný soubor povinností v oblasti ochrany osobních údajů, například požadavek na vymazání osobních údajů, pokud již nejsou nezbytné pro účel, pro který byly shromážděny, a zajistit kontinuitu ochrany v případě, že jsou osobní údaje sdíleny se třetími stranami. Občané EU budou mít k dispozici několik možností nápravy, pokud bude s jejich osobními údaji nakládáno v rozporu s rámcem, a to i bezplatně před nezávislými mechanismy řešení sporů a rozhodčím tribunálem.

Kromě toho právní rámec USA stanoví řadu omezení a záruk týkajících se přístupu orgánů veřejné moci USA k údajům, zejména pro účely prosazování trestního práva a národní bezpečnosti. To zahrnuje nová pravidla zavedená výkonným nařízením USA, který se zabýval otázkami vznesenými Soudním dvorem EU v rozsudku ve věci Schrems II:

• Přístup zpravodajských agentur USA k evropským údajům bude omezen na to, co je nezbytné a přiměřené pro ochranu národní bezpečnosti;
• Fyzické osoby z EU budou mít možnost domoci se nápravy, pokud jde o shromažďování a používání jejich údajů zpravodajskými agenturami USA, před nezávislým a nestranným mechanismem nápravy, který zahrnuje nově vytvořený Soud pro přezkum ochrany údajů. Soud bude nezávisle vyšetřovat a řešit stížnosti Evropanů, mimo jiné přijímáním závazných nápravných opatření.

Evropské společnosti se budou moci spolehnout na tyto záruky pro transatlantické předávání údajů, a to i při využívání jiných mechanismů předávání, jako jsou standardní smluvní doložky a závazná podniková pravidla.

Další kroky

Návrh rozhodnutí o odpovídající ochraně nyní projde postupem přijetí. Jako první krok předložila Komise svůj návrh rozhodnutí Evropskému sboru pro ochranu osobních údajů (EDPB). Poté si Komise vyžádá souhlas výboru složeného ze zástupců členských států EU. Kromě toho má Evropský parlament právo kontrolovat rozhodnutí o odpovídající ochraně. Po dokončení tohoto postupu může Komise přistoupit k přijetí konečného rozhodnutí o odpovídající ochraně.

Fungování rámce ochrany osobních údajů mezi EU a USA bude podléhat pravidelným přezkumům, které bude provádět Evropská komise společně s evropskými orgány pro ochranu údajů a příslušnými orgány USA. První přezkum se uskuteční do jednoho roku od vstupu rozhodnutí o odpovídající ochraně v platnost, aby se ověřilo, zda byly všechny příslušné prvky právního rámce USA plně provedeny a zda v praxi účinně fungují.

Pozadí

3 obecného nařízení o ochraně osobních údajů uděluje Komisi pravomoc rozhodnout prostřednictvím prováděcího aktu, že země mimo EU zajišťuje "odpovídající úroveň ochrany", tj. úroveň ochrany osobních údajů, která je v zásadě rovnocenná úrovni ochrany v rámci EU. Důsledkem rozhodnutí o odpovídající ochraně je, že osobní údaje mohou volně proudit z EU (a Norska, Lichtenštejnska a Islandu) do třetí země bez dalších překážek.

Poté, co Soudní dvůr EU zneplatnil platnost předchozího rozhodnutí o odpovídající ochraně štítu EU-USA na ochranu soukromí, zahájily Evropská komise a vláda USA diskuse o novém rámci, který by se zabýval otázkami vznesenými tímto soudem.

V březnu 2022, po intenzivních jednáních mezi hlavními vyjednavači, komisařem Reyndersem a ministrem Raimondem, oznámili předsedkyně von der Leyenová a prezident Biden principiální dohodu o novém transatlantickém rámci pro předávání údajů. V říjnu 2022 prezident Biden podepsal výkonné nařízení o "posílení záruk pro signálové zpravodajské činnosti Spojených států", které bylo doplněno předpisy přijatými generálním prokurátorem USA. Tyto dva nástroje společně provedly závazky USA do práva USA a doplnily povinnosti amerických společností. Na tomto základě nyní Komise předkládá návrh rozhodnutí o odpovídající ochraně rámce ochrany údajů mezi EU a USA.

Jakmile bude přijato rozhodnutí o odpovídající ochraně, budou moci evropské subjekty předávat osobní údaje zúčastněným společnostem ve Spojených státech, aniž by musely zavádět další záruky ochrany údajů.

Zdroj