Předávání údajů mezi EU a USA: Čas připravit se na další problémy

Příspěvek na blogu Maxe Schremse

Vrstvy práva USA a EU. "Most", který Evropská komise a předchozí demokratické vlády USA vybudovaly, aby umožnily zpracování osobních údajů z EU v USA, se neopírá o jednoduché a stabilní americké právo na ochranu osobních údajů. Místo toho se EU a USA opíraly o divokou mozaiku tun interních směrnic a předpisů, judikaturu Nejvyššího soudu, americké faktické "praktik" nebo exekutivních příkazů.

Ve snaze vyjít vstříc se tyto vrstvy navzájem nepodporují, ale jsou seřazeny tak, aby vytvářely co nejtenčí vazbu mezi právem EU a USA - což znamená, že selhání jen jednoho z mnoha právních prvků by pravděpodobně způsobilo, že většina předávání údajů mezi EU a USA by byla okamžitě nezákonná. Stejně jako domeček z karet, nestabilita kterékoli jednotlivé karty způsobí zhroucení celého domečku.

Vzhledem k nesmírně destruktivnímu přístupu Trumpovy administrativy je mnoho prvků předávání dat mezi EU a USA pod palbou - často mnohdy ne kvůli nějakým přímým záměrům. Místo toho současná americká administrativa pouze široce útočí na právní systém a ústavní strukturu USA (s pomocí silně zpolitizovaného Nejvyššího soudu) - s mnoha potenciálními důsledky pro datové toky mezi EU a USA.

1. Pravděpodobný bod selhání: Nezávislost FTC. Minulé pondělí Nejvyšší soud USA projednával případ týkající se nezávislosti Federální obchodní komise (FTC). Již od případu z roku 1935 (Humphreyho exekutor) je judikatura Nejvyššího soudu USA taková, že zákonodárce USA může vytvářet "nezávislé" orgány v rámci výkonné moci, která je do jisté míry izolovaná od prezidenta USA.

Dříve okrajová teorie, že podle Ústavy USA musí mít všechny pravomoci výkonné moci pouze jedna osoba (prezident), se nyní prosadila mezi americkými konzervativními právníky. Tato tzvteorie unitární exekutivy" by činila jakýkoli nezávislý orgán, jako je FTC, typicky protiústavním. Všechny pravomoci by musely být soustředěny v rukou prezidenta.

Na adrese Trump v. Slaughternejvyšší soud USA nyní vyslechl argumenty komisaře FTC, který byl Trumpem odvolán navzdory všem zárukám nezávislosti ve 15 U.S.C. § 41. Na základě komentářů a otázek soudců se všeobecně soudí (viz např. The Guardian, CNN nebo SCOTUS Blog), že konzervativní většina Nejvyššího soudu USA se postaví na stranu Trumpa a bude (v té či oné míře) následovat "teorii unitární exekutivy", čímž zruší nezávislost FTC.

V kombinaci s rozhodnutími Nejvyššího soudu USA ve věci absolutní imunitě prezidentaby tak USA stále více směřovaly k systému, v němž je prezident absolutním "králem" - přinejmenším po dobu čtyř let.

Z evropského hlediska je nezávislost FTC klíčovým prvkem, protože čl. 8 odst. 3 Listiny základních práv EU (LZPS) vyžaduje, aby zpracování osobních údajů sledoval a prosazoval "nezávislý" orgán. V rámci TADPF (a dříve v rámci systémů "Safe Harbor" a "Privacy Shield") se EU a USA dohodly, že tyto pravomoci budou svěřeny FTC v USA - jakožto takovému "nezávislému" orgánu. Oddíl 2.3.4 TADPF rozhodnutí Evropské komise zdůrazňuje, že FTC je pověřena úlohou prosazování práva. Bod odůvodnění 61 a poznámka pod čarou 92 výslovně odkazují na 15 U.S.C. § 41 jako na základ pro nezbytné záruky nezávislosti v USA.

Žádný jiný prvek TADPF nemá potřebné vyšetřovací pravomoci a nezávislost. Existují i soukromá rozhodčí řízení, ale ta postrádají jakékoli vyšetřovací pravomoci nebo příslušné donucovací pravomoci. V důsledku toho musí být každý účastník TADPF řízen buď nezávislou FTC, nebo DoT (pro dopravní organizace).

Trump v. Slaughter má být rozhodnuto nejpozději v červnu nebo červenci 2026, ale může být rozhodnuto i dříve. Je tedy na čase se v této věci "připoutat" a připravit se.

Jednou z cest by mohl být přechod na dohody SCC nebo BCR, protože ty nevyžadují nezávislý orgán USA pro prosazování, ale také umožňují podřídit dohodu orgánu EU pro ochranu údajů. Existují však také obrovské otazníky ohledně toho, jak lze již předané údaje "vrátit" do některého systému schváleného EU nebo dokonce "vrátit" do EU obecně. Kromě toho mohou být SCC a BRC ovlivněny také masivními změnami v právu USA (viz níže).

druhý pravděpodobný bod selhání: Soud pro přezkum ochrany údajů. Přímo v souvislosti s Trump v. Slaughter, která se zabývá dohledem v soukromém sektoru, vyvstává paralelní otázka, jak se lze ještě spolehnout na tzv. soud pro přezkum ochrany údajů (Data Protection Review Court - DPRC) jako na nějakou formu reálné nápravy proti dohledu vlády USA.

DPRC má mnoho právních problémů (těmito problémy by se dala snadno zaplnit doktorská práce), ale zásadní je, že DPRC je není skutečným soudem USA - také proto, že není zřízen zákonem. Ve skutečnosti se jedná o skupinu lidí v rámci výkonné moci, která je zřízena výhradně Bidenovým exekutivním příkazem (EO 14.086, podrobnosti viz níže). Tuto skupinu lidí lze v nejlepším případě nazvat "soudem" z hlediska článku 6 EÚLP, ale i toto tvrzení je pravděpodobně přehnané.

Podstatou je, že ve vztahu k Trump v. Slaughter, "nezávislost" tohoto takzvaného "soudu" není ani stanovena zákonem (jako 15 USC § 41 pro FTC), nýbrž podle EO 14.086, tedy pouhým interním prezidentským nařízením, které lze kdykoli změnit.

Je logické, že pokud Nejvyšší soud v Trump v. Slaughter rozhodl, že nezávislé výkonné orgány jsou protiústavní, může se stát, že jakékoli nároky na nezávislost v samotném EO 14.086 jsou (logicky) rovněž protiústavní. To do značné míry závisí na linii argumentů, které Nejvyšší soud použije v případě Trump v. Slaughter, ale je velmi pravděpodobné, že se toho dočkáme jako přímého důsledku jakéhokoli širšího rozhodnutí.

Tento problém by se rozšířil daleko za rámec TADPF, protože jiné systémy převodů (SCC nebo BCR) se opírají o takzvané "posouzení dopadů převodu" (TIA), které zase obvykle poukazují na EO 14.086 a DPRC jako na důvod, proč některý z kontrolorů EU dospěl k závěru, že právo USA nesmí rušit SCC nebo BCR nad rámec toho, co je přípustné podle článků 7, 8 a 47 Listiny.

Pokud tyto prvky zmizí, zbývá nám článek 49 GDPR pro "nezbytná" předání (např. odeslání e-mailu do USA, zadání objednávky nebo rezervace hotelu či letu), ale jakýkoli "outsourcing" poskytovatelům cloudu nebo SaaS v USA by již obvykle neměl žádný reálný právní základ.

třetí pravděpodobný bod selhání: EO 14.086. Kromě změn v ústavním právu USA je zde jako hlavní rizikový faktor také samotný Trump. Jak bylo vysvětleno výše, v podstatě všechny formy předávání údajů mezi EU a USA se opírají o Bidenův exekutivní příkaz (EO 14.086). Trump opakovaně vyhrožoval, že tento EO zruší. Již v den jeho inaugurace se v médiích objevily zprávy, že slepě zruší všechny Bidenovy EO. Nakonec podepsal EO 14.148, který zrušil pouze 68 Bidenových EO a 11 Bidenových prezidentských memorand - nikoli však EO 14.086.

EO 14.148 požaduje, aby všechny "národně bezpečnostní" EOs byly do 45 dnů přezkoumány poradcem pro národní bezpečnost - to se mělo stát do 6. 3. 2025. O žádných následných změnách nebyly podány žádné zprávy. To však neznamená, že EO 14.086 nebyl mezitím (částečně) zrušen, neboť se v něm Prezident USA může vydat "tajné" EO, které mění zveřejněný EO 14.086. Vzhledem k nevyzpytatelným krokům Trumpa to není nepravděpodobný scénář.

V nedávném výpadu ohledně Bidenova používání tzv. autopenů Trump prohlásil všechny Bidenovy EO podepsané pomocí autopenů za neplatné prostřednictvím Příspěvku na sociální síti Truth. Je zcela nejasné, zda EO 14.086 je takovým "autopen" EO a zda se Trumpovy příspěvky na sociálních sítích rovnají formálnímu zrušení těchto EO. Zároveň je třeba se ptát, zda se jimi ještě nějaký úředník NSA cítí příliš vázán. Není také nepravděpodobné, že po příspěvku na sociálních sítích Pravda může následovat formální EO rušící tyto Bidenovy EO.

Dalším náznakem, že EO 14.086 může být na spadnutí, je agenda "Projektu 2025" pro konzervativní převzetí vlády USA. Na strana 225autor brojí proti EO 14.086, EU a údajně nespravedlivému zacházení s USA - EO 14.086 je tedy zjevně na pořadu dne. Aby to bylo ještě absurdnější, autor (Dustin Carmack) je nyní novým "republikánským" lobbistou společnosti Meta - společnosti, která se opírá o EO 14.086, aby ospravedlnila své předávání údajů mezi EU a USA, které bylo zpochybněno v řízení Schrems I a Schrems II.

Celkově může EO 14.086 kdykoli padnout - a s ním i TADPF a s ním téměř všechny TIAS a většina SCC, BCR.

Mnoho dalších možností. I když to přesahuje rámec tohoto příspěvku na blogu, existuje mnoho dalších otázek, pokud jde o mnoho dalších prvků použitých v TADPF.

Stále samozřejmě existují zásadní otázky k tomu, zda TADPF vůbec dosáhl "zásadní rovnocennosti". Například:

• Ochrana v EO 14.086 byla do značné míry 1:1 kopií Obamova EO s názvem PPD-28, který byl zamítnut Soudním dvorem EU v roce Schrems II.
• Extrémně vysoké břemeno nápravy nebo neexistence skutečného práva na slyšení před ÚOHS jsou na míle vzdáleny článku 47 Listiny.
• Zásady ochrany obchodních údajů TADPF dokonce ani nevyžadují právní základ (jak požaduje čl. 8 odst. 2 Listiny a čl. 6 odst. 1 GDPR), ale pouze umožnění výjimky.

Kromě toho se objevily otázky ohledně nezávislosti PCLOB nebo velkého spoléhání se EU na (nepsané) "Praxi USA" - když Trump ukázal, že on a jeho administrativa nerespektují ani zákony, natož předchozí "praxi".

Co můžeme dělat? Podle mého názoru se vlády a správci z EU musí (více než kdy jindy) urychleně připravit na velmi pravděpodobné zásahy do předávání údajů mezi EU a USA v příštích měsících. Na stránkách Národní bezpečnostní strategie USA dala jasně najevo, že Trumpova administrativa považuje Evropu spíše za nepřítele než za partnera a že evropská digitální legislativa je hlavním bodem zájmu pravděpodobné agrese USA.

Jediným dlouhodobým řešením je (bohužel) omezení jakéhokoli předávání dat americkým poskytovatelům, pokud mají "držení, opatrování nebo kontrolu" evropských osobních údajů. Možná se objeví více nabídek, kdy bude veškerý faktický přístup z USA technicky nemožný - nicméně zatím jedinou reálnou ochranou, která je na trhu k dispozici, je přechod na tzv Evropské poskytovatele.