Jednou z pohnutek, proč došlo k přijetí nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „nařízení GDPR“), byl cíl jak zajistit a garantovat ochranu osobních údajů fyzických osob na území členů Evropské unie a Evropského hospodářského prostoru, tak zamezit znehodnocování úrovně této ochrany, zaručené nařízením GDPR, při předávání osobních údajů do třetích zemí v rámci jejich zpracování. Jinak tomu není ani při předávání osobních údajů mezi Evropskou unií, resp. Evropským hospodářským prostorem, a USA.
Původně bylo předávání osobních údajů mezi EU/EHP a USA postaveno na základě rozhodnutí Komise, kterým došlo k zakotvení tzv. štítu EU-USA na ochranu soukromí (EU-USA Privacy Shield), jenž určil povinnost zachovávat při zpracování osobních údajů v USA soubor striktních ochranných pravidel a pojistek. Tento nástroj ochrany byl však v roce 2020 zrušen, neboť Soudní dvůr EU dospěl k závěru, že USA na základě platné legislativy umožňují a rovněž využívají plošný přístup státních orgánů k osobním údajům, a proto nezajišťují dostatečnou ochranu předávaným údajům ani účinnou právní ochranu subjektům údajů[1].
Proto bylo v souladu s čl. 45 odst. 3 nařízení GDPR dne 10.07.2023 přijato prováděcí rozhodnutí o odpovídající ochraně osobních údajů poskytované Rámcem ochrany soukromí mezi EU a USA (tzv. Data Privacy Framework) (dále jen „DPF“), které mělo za následek zakotvení skutečnosti, že USA zajišťují odpovídající úroveň ochrany osobních údajů, jež jsou předávány organizacím v USA zapsaným v Seznamu Rámce ochrany soukromí[2].
Seznam Rámce ochrany soukromí vede americké Ministerstvo obchodu (US Department of Commerce) a jsou v něm zapsané organizace, jimž lze poskytovat osobní údaje bez omezení a dalších doplňujících opatření, neboť poskytují dostatečnou úroveň bezpečnosti a ochrany osobních údajů. Nutno však podotknout, že certifikace (resp. zápis do Seznamu) je omezena na dobu 1 roku, následně musí organizace žádat o prodloužení.
Značnou nejistotu ohledně předávání osobních údajů mezi EU/EHP a USA v budoucnu však vyvolává článek 3 odst. 4 DPF, který stanovuje povinnost Evropské komise po roce platnosti předmětného rozhodnutí toto přezkoumat a zhodnotit především z hlediska jeho efektivity a uplatnění v praxi.
Přezkum by měl probíhat v souladu s článkem 45 odst. 3 ve spojení s článkem 93 odst. 1 nařízení GDPR, tj. přezkumným postupem dle článku 5 nařízení (EU) č. 182/2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí. Rovněž je nutné upozornit na skutečnost, že přezkum rozhodnutí, tj. všech aspektů jeho fungování, neproběhne jednorázově, nýbrž periodicky, a to nejméně jednou za čtyři roky.
Jak to tedy v současnosti vypadá na půdě Evropské unie v souvislosti s avizovaným přezkumem daného rozhodnutí? Ve dnech 18. a 19. července 2024 se uskutečnilo přezkumné jednání mezi zástupci Evropské komise a orgánů EU pro ochranu údajů a zástupci příslušných orgánů USA. Zástupci obou stran, tj. Didier Reynders, vykonávající funkci Evropského komisaře pro spravedlnost, a Gina Raimondo, americká ministryně obchodu, vydali prohlášení, že díky DPF došlo k posílení ochrany soukromí v transatlantickém prostoru, mj. zřízením vnitrostátního mechanismu pro odškodňování v oblasti bezpečnosti, jakožto i k usnadnění toku dat, vytvářejících základ pro obchod a investice mezi EU a USA v hodnotě více než 1 bilionu dolarů[3].
Dle oficiálních zpráv byla dne 09. srpna 2024 spuštěna fáze sběru zpětné vazby, přičemž tato fáze skončila ke dni 06.09.2024. Za tu dobu bylo zveřejněno 40 feedbacků, avšak žádný ze zásadně relevantního zdroje. V současnosti se tedy dá očekávat zveřejnění zprávy Komise o fungování DPF, která je plánovaná během třetího kvartálu roku 2024, neboť dle shora uvedených právních pramenů žádná další fáze v přezkumném postupu nenastává.
Zajímavý bude taktéž proces schvalování, resp. re-schvalování jednotlivých certifikací subjektů zapsaných v Seznamu, kdy například certifikace společnosti Meta Platforms, Inc., provozující sociální sítě Facebook, Instagram, WhatsApp apod., je aktuálně přezkoumávána[4].
Autor: Mgr. Nela Mašková
Stav: září 2024.
[1] Dle rozsudku Soudního dvora Evropské unie ve věci C-311/18 Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (tzv. Schrems II) ze dne 16. července 2020.
[2] Dostupný zde: https://www.dataprivacyframework.gov/list.
[3] Prohlášení dostupné zde: https://commission.europa.eu/news/joint-press-statement-commissioner-didier-reynders-and-us-secretary-commerce-gina-raimondo-first-2024-07-19_en.
[4] Jak vyplývá z údajů v Seznamu, dostupné zde: https://www.dataprivacyframework.gov/list