Nový rámec ochrany osobních údajů - Data Privacy Framework vs. NYOB
Třetí pokus Evropské komise o stabilní dohodu o předávání údajů mezi EU a USA se pravděpodobně během několika měsíců vrátí k Soudnímu dvoru EU. Nový transatlantický rámec pro ochranu osobních údajů je podle NOYB (Schrems), neziskové organizace z Rakouska, zaměřené na ochranu digitálních práv (NOYB, z anglického non of your business), do značné míry kopií neúspěšného "Štítu na ochranu soukromí". Navzdory snahám Evropské komise v oblasti vztahů s veřejností se právo USA ani přístup EU podle NOYB touto smlouvou příliš nemění. Hlavní výtky směřují k problematice FISA 702, USA ji ani tentokrát neřešily, neboť stále zastávají názor, že pouze osoby z USA jsou hodny ústavních práv.
FISA 702 je klíčovým ustanovením novely zákona Foreign Intelligence Surveillance Act (FISA) z roku 2008, které vládě USA umožňuje provádět cílené sledování zahraničních osob mimo území Spojených států. Toto sledování probíhá za pomoci poskytovatelů služeb elektronické komunikace s cílem získávat zahraniční zpravodajské informace. Zpravodajské služby USA využívají informace shromážděné podle FISA 702 k ochraně Spojených států a jejich spojenců před nepřátelskými zahraničními protivníky, včetně teroristů, šiřitelů jaderných zbraní a špionů, a také k informování o úsilí v oblasti kybernetické bezpečnosti.
Souvislosti
V roce 2013 se proslavil whistleblower Edward Snowden, který prozradil, že americká vláda využívá velké technologické společnosti a programy, jako je například "PRISM" nebo "Upstream", na základě právě zákona FISA 702 a nařízení 12.333 ke špehování zbytku světa bez potřeby udání důvodu nebo soudního schválení. Tento dohled se netýkal pouze trestné činnosti nebo terorismu, ale zahrnoval i špionáž "partnerů" USA. Toto odhalení způsobilo velkou nejistotu v oblasti předávání osobních údajů z EU do USA, protože evropský právní rámec z roku 1995 zakazuje takové předávání, pokud v cílové zemi neexistuje "v zásadě rovnocenná" ochrana osobních údajů. Americký průmysl se do značné míry spoléhal na rozhodnutí Evropské komise nazvané "Safe Harbor", které v roce 2000 prohlásilo USA za "v podstatě rovnocenné" v oblasti ochrany osobních údajů. Nicméně, v roce 2015 Soudní dvůr EU toto rozhodnutí Komise ve věci C-362/14 ("Schrems I") zrušil kvůli nedostatečné ochraně soukromí a invazivním zákonům USA o dohledu. Vroce 2016 Evropská komise přijala nové rozhodnutí o předávání údajů mezi EU a USA, tentokrát pod názvem "štít na ochranu soukromí" ("Privacy Shield"). Avšak i toto rozhodnutí bylo v roce 2020 Soudním dvorem EU v rozsudku C-311/18 ("Schrems II") zrušeno z důvodu nedostatečné ochrany osobních údajů.
Po zrušení "štítu na ochranu soukromí" se jednání mezi EU a USA týkající se předávání osobních údajů jen velmi pomalu posouvala vpřed. Spojené státy trvaly na tom, že budou i nadále provádět masový dohled nad údaji z EU a že "neamerické" osoby nebudou mít stejnou ochranu jako osoby z USA. Po více než 1,5 roku se zdá, že USA využily geopolitické situace, konkrétně války na Ukrajině, k vyvíjení tlaku na EU ohledně sdílení osobních údajů. Dne 25. března 2022 se setkali americký prezident Joe Biden a předsedkyně Evropské komise Ursula von der Leyenová. Během tohoto setkání představili "principiální dohodu", která obsahovala dva "triky", které měly uklidnit veřejnost:
Za prvé, Soudní dvůr EU zjistil, že masový dohled prováděný podle FISA 702 není "přiměřený" ve smyslu článku 52 Listiny základních práv EU. "Nové" nařízení USA č. 14086 (který do značné míry odpovídá PPD-28 z roku 2014) by nyní obsahoval slovo "přiměřený". "Trik" spočívá v tom, že USA a EU mají odlišné výklady tohoto slova. Nařízení 14086 prohlašuje hromadný dohled podle FISA 702 za "přiměřený" podle nezveřejněného "amerického chápání" tohoto slova, což je v rozporu se dvěma nálezy Soudního dvora EU. Tímto způsobem USA a EU mohou tvrdit, že se shodly na stejném slově ("přiměřený"), i když o jeho významu neexistuje shoda.
Zadruhé, Soudní dvůr EU shledal, že mechanismus ombudsmana, který byl součástí "štítu na ochranu soukromí", není v souladu s článkem 47 Úmluvy o ochraně osobních údajů. Ombudsman měl sloužit jako nezávislá forma nápravy v oblasti národní bezpečnosti. Avšak tento mechanismus byl zrušen Soudním dvorem EU jako nedostatečný. Komise se snažila tento problém vyřešit přejmenováním a rozdělením mechanismu ombudsmana na úředníka pro ochranu občanských svobod (CLPO) a tzv. soud (který ale není skutečným soudem, ale částečně nezávislým výkonným orgánem). Tyto změny přinesly podle NOYB určité zlepšení, ale jednotlivci stále nemají přímou interakci s novými orgány a jejich stížnosti budou podobné jako předchozí stížnosti u ombudsmana. CLPO a Soud pro ochranu osobních údajů mají povinnost odpovědět, že není potvrzeno ani vyvráceno, zda jednotlivec byl předmětem činnosti signálového zpravodajství USA, a zda nebylo zjištěno žádné porušení nebo Soud pro ochranu údajů vydal rozhodnutí vyžadující odpovídající nápravu. Tento mechanismus má mnoho dalších problémů a nedostatků, které podle NOYB brání přijetí stížností. Podle NOYB se zdá nepravděpodobné, že by Soudní dvůr EU tento mechanismus přijal jako "soudní nápravu" podle článku 47 Úmluvy o ochraně osobních údajů.
Dále USA odmítly reformovat zákon FISA 702 tak, aby poskytoval osobám mimo USA přiměřenou ochranu soukromí. Obě strany Atlantiku souhlasí s tím, že FISA 702 a nařízení 12.333 porušují základní práva, a to jak v USA (4. dodatek k Ústavě), tak v EU (články 7, 8 a 47 Nařízení EU o ochraně osobních údajů). USA však stále trvají na tom, že osoby mimo Spojené státy nemají v USA ústavní práva, a proto se na porušení jejich práva na soukromí podle 4. dodatku nevztahuje.
Platnost zákona FISA 702 bude muset být prodloužena do konce roku 2023, protože v americkém právu existuje "doložka o ukončení platnosti". Toto by podle NOYB byla bývala ideální příležitost pro reformu zákona, ale nová dohoda mezi EU a USA snižuje motivaci USA ke změně.
Nový "transatlantický rámec ochrany osobních údajů" je podle NOYB ve skutečnosti jen kopií předchozích neúspěšných dohod, jako byl "bezpečný přístav" (Safe Harbor) z roku 2000 a "štít na ochranu soukromí" (Privacy Shield) z roku 2016. Tento opakovaný přístup způsobuje pochybnosti o právním základě nové dohody, přičemž podle NOYB se zdá, že její přijetí je založeno spíše na politických zájmech než na skutečných změnách.
Max Schrems, předseda organizace NOYB, kritizuje novou dohodu: "Říká se, že definicí šílenství je dělat stále dokola totéž a očekávat jiný výsledek. Stejně jako 'štít na ochranu soukromí' není ani nejnovější dohoda založena na věcných změnách, ale na politických zájmech. Platnost zákona FISA 702 musí USA prodloužit ještě letos, ale oznámením nové dohody ztratila EU jakoukoli možnost a sílu dosáhnout reformy FISA 702."
Závěr
Nyní NOYB připravuje podání námitky proti novému rámci a očekává, že Soudní dvůr EU bude muset rozhodnout o jeho platnosti. Jednotlivci, jejichž osobní údaje budou předány na základě této dohody, budou mít možnost podat námitku u orgánů pro ochranu osobních údajů nebo u soudů. NOYB plánuje využít různé procesní možnosti k projednání nové dohody mezi USA a EU u Soudního dvora EU co nejdříve.
