V závěru minulého roku vydala Evropská komise v souladu s nařízením GDPR (čl. 45 odst. 3) rozhodnutí, kterým potvrdila, že nový právní rámec USA pro ochranu osobních údajů zaručuje ochranu odpovídající unijním standardům. Toto rozhodnutí je významné hlavně pro transatlantický obchod, neboť došlo k vyjasnění právního postavení společností z EU, které sdílejí data s partnery z USA, čímž se předtím vystavovaly nebezpečí, že jejich jednání bude posouzeno jako protiprávní, pokud by bylo zjištěno, že v rámci těchto vztahů došlo k narušení soukromí občanů EU.
Nový právní rámec, založený exekutivním příkazem amerického prezidenta Joe Bidena, a někdy označovaný též jako „Privacy Shield 2.0“ byl přijat poté, co původní mechanismy, EU-US Safe Harbor a EU-US Privacy Shield, byly zrušeny Soudním dvorem EU jako nekompatibilní s unijním právem. Problém, o kterém jsme již informovali, spočíval především v nepřiměřeném zásahu do soukromí dotčených osob a omezených možnostech soudního přezkumu těchto zásahů.
Ačkoliv samotné zrušení těchto mechanismů nepředstavovalo nepřekonatelnou překážku, neboť společnosti mohly údaje mezi sebou nadále sdílet, pokud zajistily, že jejich ochrana bude odpovídat unijním požadavkům. V praxi to bylo řešeno především tzv. smluvními standardními doložkami, kterými se, zjednodušeně řečeno, zpracovatel údajů ve třetím státě zavázal k dodržování unijních pravidel, ovšem i ty byly označeny Soudním dvorem EU za dostatečné jen, pokud byla přijata i další opatření, např. speciální šifrování dat.
Cílem nové úpravy je tedy nejen reagovat na podněty Soudního dvora EU, ale rovněž přinést zjednodušení pro obchodní partnery z EU a USA. Evropské společnosti se tak nyní mohou spolehnout na záruky předvídané novým právním rámcem, i když používají jiné garance ochrany, například již zmíněné standardní smluvní doložky. Efektivnost fungování tohoto rámce bude navíc pravidelně přezkoumávána Komisí, evropskými orgány pro ochranu osobních údajů a dotčenými orgány USA.
Jaké jsou tedy klíčové aspekty nové úpravy? S ohledem na co nejmenší zásah do soukromí občanů EU, musí američtí zpracovatelé nově vyhodnotit účel získaných údajů a vymazat ty, které pro svou činnost nepotřebují. Pokud jsou data dále předávána třetím osobám, musí být garantována kontinuita právní ochrany. Taktéž přístup k údajům občanů EU ze strany amerických zpravodajských služeb byl omezen na rozsah nezbytný k zajištění národní bezpečnosti. Vzhledem ke skutečnosti, že i evropské zpravodajské služby s těmito údaji pracují, nelze takový přístup zcela omezit.
Další významnou změnou je zlepšení přístupu občanů EU k opravným prostředkům. Za účelem přezkumu nepřiměřeného zásahu do soukromí došlo ke zřízení soudního orgánu, který bude podané stížnosti nezávisle vyšetřovat a vydávat závazná rozhodnutí, případně též nařizovat nápravná opatření. Zde je však na místě upozornit, že se nejedná o soud v pravém slova smyslu, protože evropští občané se neúčastní řízení přímo, ale prostřednictvím amerického právního zástupce. Průběh řízení je rovněž neveřejný a stěžovateli je pouze oznámen konečný výsledek, to znamená, zda bude rozhodnutí potvrzeno nebo zrušeno. Ochrany před nedovoleným zásahem do soukromí se lze domáhat i u úředníka pro ochranu občanských svobod (Civil Liberties Protection Officer), který působí v rámci Kanceláře ředitele národní rozvědky.
Rozhodnutí Komise EU bude nyní předloženo ke schválení Evropskému sboru pro ochranu osobních údajů (EDSA) a následně výboru složeného ze zástupců členských států EU. Již nyní lze očekávat pozitivní vyjádření, po kterém bude nová úprava přijata.
