Evropská komise zveřejnila text nové dohody o ochraně dat evropských občanů ve Spojených státech. Přináší dohoda dostatečné záruky oproti svému předchůdci, kterého soud zrušil? Právníci a komentátoři nevěští Štítu světlou budoucnost.
Před několika týdny jsme informovali o pozadí loňského soudního zrušení dohody mezi Evropskou unií a Spojenými státy o vzájemných internetových převodech osobních dat. Evropská i americká strana přislíbila, že do konce února bude zveřejněn text dohody nové. Ta byla dosud dojednávána za zavřenými dveřmi, ačkoli Evropská komise průběžně informovala Evropský parlament na veřejných zasedáních o průběhu jednání. Nová dohoda se nazývá EU-U.S. Privacy Shield (česky Štít mezi EU a USA pro ochranu údajů). Tomu, aby slíbený termín zveřejnění nebyl promeškán, dopomohl přestupný měsíc – kompletní text byl totiž zveřejněn 29. února. Evropská komise také k textu vydala tiskové prohlášení.
Nové povinnosti pro americkou vládu i podniky
Ve svém aktuálním znění Privacy Shield především přináší nové povinnosti pro veřejné orgány a soukromé společnosti v USA. Ministerstvo obchodu Spojených států amerických bude každoročně vyhodnocovat standardy ochrany osobních údajů všech společností, které se zavážou k jejich ochraně a získají tedy oprávnění ke správě osobních údajů evropských klientů. Tyto společnosti budou dále podléhat sankcím za nedodržování svých povinností a také bude zřízen rejstřík společností, kterým bude odňata možnost spravovat osobní údaje pro porušování pravidel. Jaké jsou tyto povinnosti? Privacy Shield v první řadě vyžaduje „jasný a výslovný“ souhlas klienta se zpracováním citlivých osobních údajů. Společnosti, které jako „subdodavatelé“ dále zpracovávají data pro své velké zákazníky, musí dodržovat stejná pravidla. Konečně, veškeré převody osobních dat mezi různými společnostmi musí probíhat pouze ve vymezených a nezbytných případech, musí být na základě smlouvy (nebo smlouvě podobné dohody) a tento převod v žádném případě nemůže snížit standard ochrany údajů. Společnosti jsou povinny vypořádat se se stížnostmi evropských občanů na způsob nakládání s jejich daty do 45 dnů.
Státní orgány Spojených států se dále písemně zavazují, že budou nakládat s osobními údaji dbajíce přísných omezení a podléhajíce dohledu. Tyto závazky jsou především založeny na reformách, které proběhly v americkém právu po odhaleních Edwarda Snowdena (blíže o nich hovoříme v našem předchozím komentáři). Dále Evropská unie obdržela od americké strany specifické institucionální záruky. V první řadě ministerstvo zahraničí USA zřídí úřad ombudsmana, který bude řešit stížnosti evropských občanů ohledně podezření z přístupu tajných služeb k jejich údajům. Nedílnou součástí jednání o Privacy Shield byl nový americký federální zákon o soudní nápravě, jejž před několika týdny podepsal prezident Obama. Tento zákon dává občanům Evropské unie právo dožadovat se nápravy přímo v USA, pokud budou jejich práva porušena. Tento zákon o soudní nápravě v zásadě rozšiřuje působnost zákona o soukromí z roku 1974 i na jiné než americké občany. Samotný zákon o soukromí je však značně zastaralý, obsahuje dnes velké množství výjimek a v otázkách národní bezpečnosti je prakticky zcela neúčinný, jak píše ve svém komentáři významný americký právník Timothy Edgar. Přitom nejasnosti právě v případech vyšetřování terorismu agenturami jako je NSA jsou hlavní příčinou nedůvěry vůči americkým standardům ochrany osobních údajů. Skupina právníků zabývajících se problematikou práva na soukromí The Identity Project ve své analýze zdůrazňuje, že zákon o soudní nápravě zcela vyjímá ze své působnosti oblasti, jako je předávání jmenné evidence cestujících z evropských zemí do USA (evropskému rozměru této problematiky se detailně věnujeme v našem nedávno zveřejněném odborném podkladu). Pro tyto případy je důležitá nová mezinárodní rámcová dohoda (tzv. Umbrella Agreement), která má určit zásady ochrany osobních údajů při jejich předávání a zpracovávání pro účely prevence, vyšetřování, odhalování nebo stíhání trestných činů, včetně terorismu, v rámci policejní a justiční spolupráce v trestních věcech. Tato rámcová dohoda ještě není v platnosti, a už se potýká s kritikou na půdě Evropského parlamentu. Dle analýzy právní služby EP je v rozporu s právem Evropské unie.
Povede nová dohoda Privacy Shield k lepší ochraně osobních údajů?
Štít nevzniká „s čistým štítem“
Zpět však ke Štítu pro ochranu údajů a jeho vlastním problémům. Nový ombudsman by měl být nezávislým a nestranným orgánem řešícím stížnosti dotčených subjektů, z institucionálního hlediska ale rozhodně nebude nezávislý: bude zřízen americkým ministerstvem zahraničí a bude zcela v jeho působnosti. Jeho příslušnost k výkonné složce moci tedy zcela ničí iluzi o jeho nestrannosti z hlediska dělby moci; ministerstvo zahraničí je orgánem politickým a nelze počítat s tím, že politické zájmy nebudou mít vliv přinejmenším na výběr osoby pro tento úřad, ne-li přímo na jeho rozhodování. Americký ministr zahraničí se písemně zavázal, že ombudsman nebude vázán jakýmikoli příkazy zpravodajských služeb, tento písemný příslib je vším, co jeho nestrannost prozatím garantuje.
Nakonec je to právě výkonná složka moci a administrativa dosluhujícího prezidenta Obamy, která podniká kroky do značné míry omezující přínos nové dohody s Evropskou unií. Zatímco probíhají jednání o Privacy Shield a čeká se na další kroky soudů i zákonodárců ohledně ujasnění povinností výrobců technologie v otázkách zpřístupňování osobních dat jejich zákazníků vyšetřovatelům, exekutiva jedná se zástupci tajných služeb a zpravodajských agentur o dalším odstranění bariér pro sdílení obsahu telefonních hovorů, e-mailů a další komunikace, kterou sesbírá NSA s agenturami jako FBI a CIA. Omezená právní ochrana v případech týkajících se národní bezpečnosti a široké sdílení údajů mezi agenturami přináší pochybnosti a neutěšenou představu o tom, jak „efektivní“ nová transatlantická dohoda bude. Připomeňme, že nejde pouze o problém občanů USA – když Privacy Shield vstoupí v účinnost a data se budou legálně nacházet v USA, údaje o nás, Evropanech, budou vystaveny stejnému zacházení.
Dlouhá cesta za krátký čas
Současné znění Privacy Shield není ještě konečné, ačkoli nelze očekávat dramatické změny. Pracovní skupina složená ze zástupců úřadů pro ochranu osobních údajů jednotlivých členských států (Working Party 29, WP29) má nyní v plánu zasedat v průběhu dubna a formulovat své nezávazné připomínky k textu. Následně budou muset znění dohody schválit jednotlivé členské státy EU – jejich zástupcové se sejdou v rámci takzvaného výboru dle článku 31 a budou muset dohodu odsouhlasit kvalifikovanou většinou hlasů. V případě přijetí členskými státy bude dohodu moci formálně přijmout Evropská komise. Po jejím souhlasu vstoupí dohoda v platnost a následně ji může zrušit pouze Soudní dvůr Evropské unie. Jelikož se nejedná o mezivládní dohodu, nýbrž o jednostranné rozhodnutí Evropské komise o dostatečnosti amerických záruk ochrany dat, nebude o ní hlasovat Evropský parlament (ani americký Kongres). Avšak kdykoli během procesu přijímání smlouvy může Evropský parlament nebo Rada Evropské unie požádat Komisi o změny v textu. Také kterýkoli členský stát, Rada Evropské unie nebo Evropský parlament mohou dát dohodu k posouzení Soudnímu dvoru Evropské unie, zda neodporuje evropskému právu. K něčemu podobnému již došlo, když v roce 2006 Evropský soudní dvůr na podnět Evropského parlamentu zrušil ujednání se Spojenými státy o sdílení jmenné evidence cestujících (případy C‑317/04 a C‑318/04). Zdroje blízké Evropské komisi očekávají, že dohoda bude plně schválena na evropské straně ještě během nizozemského předsednictví, které končí v červnu. Nepochybně je zde velká časová tíseň a chuť uvést Privacy Shield v platnost co nejdříve – právní vakuum omezuje tok mezinárodního obchodu v objemu 300 miliard dolarů ročně.
(zdroj: https://english.eu2016.nl/)
Evropská komise dohodu přijme až po odsouhlasení zástupci evropské 28.
Snad právě z důvodu časové tísně se zdá, že Privacy Shield je především kosmetickou změnou oproti svému předchůdci a je přijímán účelově, pouze aby formálně vyplnil právní nejistotu způsobenou podzimním rozhodnutím Soudního dvora Evropské unie, které neobsahovalo žádnou přechodnou dobu pro přijetí nového ujednání. Množství záruk poskytovaných americkou stranou je pouze v rovině „čestných příslibů“ a ty ostatní jsou právně stěží vymáhatelné, především pro jednotlivce. Max Schrems, rakouský právník, jehož spor s Facebookem zapříčinil zneplatnění předchozí dohody Safe Harbor, dokonce tvrdí, že Privacy Shield je pouze „deset vrstev rtěnky na témž praseti“. Přijetí nové, marginálně vylepšené dohody je lepší než dohoda žádná. Vítanou novinkou oproti předchozímu stavu je především každoroční revize účinnosti dohody, kterou bude provádět Komise. Ta bude čerpat z údajů nejen od amerických úřadů a soukromých společností, ale i médií a mimovládních organizací. Pokud shledá, že dohoda je nedostatečná, ukončí její platnost – pokud to do té doby neudělá Soudní dvůr Evropské unie. Na členské státy Evropské unie nebudou kladeny takřka žádné nové povinnosti a dohoda přispěje k právní jistotě a posílí vzájemný obchod. Bude to však za cenu dalšího prohloubení pochybností o zpravodajských praktikách americké federální vlády nejen vůči vlastním občanům. Dříve či později se Štít pro ochranu osobních údajů patrně dostane před Soudní dvůr Evropské unie a proti jeho rozhodnutí žádný štít neexistuje. Evropská komise bude muset do té doby prokázat, že Štít v praxi funguje dobře. Pokud ne, je realistické očekávat, že nová dohoda bude také zrušena.
Vladimír Bízik působí jako spolupracovník Analytického týmu think-tanku Evropské hodnoty.