Předávání údajů mezi EU a USA se dostává do třetího kola u Soudního dvora EU

Nový transatlantický rámec ochrany osobních údajů je do značné míry kopií "štítu na ochranu soukromí". noyb rozhodnutí napadne.

Třetí pokus Evropské komise o stabilní dohodu o předávání údajů mezi EU a USA se pravděpodobně během několika měsíců vrátí k Soudnímu dvoru EU. Údajně "nový" transatlantický rámec pro ochranu osobních údajů je do značné míry kopií neúspěšného "štítu na ochranu soukromí". Navzdory snahám Evropské komise v oblasti vztahů s veřejností se právo USA ani přístup EU příliš nemění. Zásadní problém s FISA 702 USA neřešily, neboť stále zastávají názor, že pouze osoby z USA jsou hodny ústavních práv.

• Srovnání změny práva USA od roku 2014:
  • "Stará" směrnice PPD-28 (2014)
  • "Nový" EO 14086, který nahrazuje PPD-28 (2022)
• Srovnání s předchozími opatřeními v oblasti vztahů s veřejností:
  • "Obnovení důvěry v datové toky mezi EU a USA" a "Deštník" z roku 2013
  • Tiskové prohlášení ke "štítu na ochranu soukromí" z roku 2016
  • Nejčastější dotazy médií ke "štítu na ochranu soukromí" z roku 2016
  • Jednostránková "principiální dohoda" mezi Bidenem a von der Leyenovou z roku 2022
• Návrh rozhodnutí Evropské komise o přiměřenosti (prosinec 2022)

Souvislosti: "Úřad pro ochranu osobních údajů", tzv. V roce 2013 Edward Snowden odhalil, že vláda USA využívá "velké technologické" společnosti a programy jako"PRISM" nebo"Upstream" na základě zákona FISA 702 a nařízení vlády 12.333 ke špehování zbytku světa, aniž by k tomu potřebovala pravděpodobný důvod nebo soudní souhlas. To se neomezovalo pouze na trestnou činnost nebo terorismus, ale zahrnovalo to i špionáž "partnerů" USA. Od zákona EU z roku 1995 se osobní údaje obecně nesmějí posílat mimo EU, pokud v cílové zemi neexistuje "v zásadě rovnocenná" ochrana. Americký průmysl se do značné míry spoléhal na rozhodnutí Evropské komise nazvané "Safe Harbor", které v roce 2000 prohlásilo USA za "v podstatě rovnocenné". Soudní dvůr EU v roce 2015 toto rozhodnutí Komise ve věci C-362/14 ("Schrems I") zrušil vzhledem k invazivním zákonům USA o dohledu. V roce 2016 přijala Evropská komise z velké části stejné rozhodnutí o předávání údajů mezi EU a USA znovu, pod novým názvem "štít na ochranu soukromí", které SDEU v roce 2020 v rozsudku C-311/18 ("Schrems II") zrušil z velké části ze stejných důvodů.

"Kouzelné" triky Ursuly a Joea. Po zrušení "štítu na ochranu soukromí" jednání mezi EU a USA zaznamenala jen malý pokrok. USA trvaly na tom, že údaje z EU budou i nadále podléhat masovému sledování ze strany USA a "neamerické" osoby nebudou mít stejnou ochranu jako osoby z USA. Po více než 1,5 roku malého posunu USA údajně využily válku na Ukrajině k tomu, aby vyvinuly tlak na EU ohledně sdílení osobních údajů. Krátce poté se 25. března 2022 setkali Joe Biden a Ursula von der Leyenová. Ještě téhož dne najednou "vyřešili" to, co nedokázali vyřešit právníci, a předložili"principiální dohodu", jeden pager, který v podstatě obsahoval dva "triky", jež měly uklidnit veřejnost:

• Za prvé, Soudní dvůr EU konstatoval, že hromadné sledování FISA 702 není "přiměřené" ve smyslu článku 52 Listiny základních práv EU (LZPS). "Nový" výkonný příkaz USA č. 14086 (který do značné míry odpovídá PPD-28 z roku 2014) by nyní obsahoval slovo "přiměřený". "Trik" je zde následující: USA budou slovu "přiměřený" přisuzovat jiný význam než SDEU. EO 14086 prohlašuje hromadné sledování FISA 702 za "přiměřené" podle nezveřejněného "amerického chápání" tohoto slova a v rozporu se dvěma nálezy SDEU. EU a USA tak mohly tvrdit, že se shodly na stejném slově ("přiměřený") - i když o významu tohoto slova neexistuje shoda.
• Zadruhé, SDEU zjistil, že náprava prostřednictvím "ombudsmana" štítu na ochranu soukromí není ani vzdáleně v souladu s článkem 47 CFR - a to i když byl ombudsman v roce 2016 veřejnými vztahy Komise oslavován jako "nezávislá" forma "nápravy v oblasti národní bezpečnosti". "Trik" s nápravou: mechanismus ombudsmana byl přejmenován a rozdělen na úředníka pro ochranu občanských svobod (CLPO) a tzv. soud (což není soud, ale částečně nezávislý výkonný orgán). Oproti ombudsmanovi sice došlo k drobným zlepšením, ale jednotlivec nebude mít s novými orgány žádnou přímou interakci (bude muset poslat stížnost orgánu EU pro ochranu údajů a nebude vyslyšen US) a budou mu dávat úplně stejnou odpověď jako předchozí "ombudsman". Podle EO 14086 musí CLPO a Soudní dvůr v každém případě odpovědět slovy:"Aniž by bylo potvrzeno nebo vyvráceno, že stěžovatel byl předmětem činnosti signálového zpravodajství Spojených států, přezkum buď nezjistil žádné pokryté porušení, nebo Soud pro ochranu údajů vydal rozhodnutí vyžadující odpovídající nápravu" (viz zde). "Rozsudek" tohoto "soudu" je tedy znám ještě před zahájením řízení. Tento mechanismus má mnoho dalších problémů, které do značné míry zajistí, že stížnosti nebudou vůbec připuštěny. Zdá se nemyslitelné, že by Soudní dvůr přijal tento postup jako "soudní nápravu" podle článku 47 OSŘ.
• A konečně, USA odmítly reformovat zákon FISA 702 tak, aby poskytoval osobám mimo USA přiměřenou ochranu soukromí. Na obou stranách Atlantiku panuje shoda, že FISA 702 a EO 12.333 porušují základní práva podle 4. dodatku v USA a článků 7, 8 a 47 CFR v EU - USA však nadále trvají na tom, že neamerické osoby nemají v USA ústavní práva - proto se na porušení jejich práva na soukromí nevztahuje 4. dodatek.
• Platnost zákona FISA 702 bude muset být prodloužena do konce roku 2023 vzhledem k tomu, že v americkém právu existuje "doložka o ukončení platnosti". To by byla ideální příležitost ke zlepšení amerického práva, ale vzhledem k nové dohodě s EU budou mít USA jen malý důvod k reformě FISA 702.

Celkově je nový "transatlantický rámec ochrany osobních údajů" kopií štítu na ochranu soukromí (z roku 2016), který byl zase kopií "bezpečného přístavu" (z roku 2000). Vzhledem k tomu, že tento přístup již dvakrát selhal, neexistoval pro změnu kurzu žádný právní základ - jediná logika toho, že dohoda byla politická.

Max Schrems, předseda noyb:"Říká se, že definicí šílenství je dělat stále dokola totéž a očekávat jiný výsledek. Stejně jako 'štít na ochranu soukromí' není ani nejnovější dohoda založena na věcných změnách, ale na politických zájmech. Zdá se, že současná Komise si opět myslí, že nepořádek bude problémem příští Komise. Platnost FISA 702 musí USA prodloužit ještě letos, ale oznámením nové dohody ztratila EU jakoukoli moc dosáhnout reformy FISA 702."

Oklamat mě třikrát? Již po Snowdenových odhaleních v roce 2013 Evropská komise oznámila, že "obnoví" důvěru a"učiní Safe Harbor bezpečnějším" a přijde se"zastřešující dohodou". V roce 2016 se novináři dozvěděli, že "štít na ochranu soukromí" bude znamenat, že "USA poprvé poskytly EU písemné ujištění", že budou existovat "jasná omezení, záruky a mechanismy dohledu" a dokonce "žádné masové sledování bez rozdílu ". Žádné z těchto tvrzení a systémů se při předložení Soudnímu dvoru EU neukázalo jako stabilní. V současné verzi snah Komise o vztahy s veřejností se objevují stále stejná (stále se opakující) tvrzení.

Max Schrems:"Nyní jsme měli "přístavy", "deštníky", "štíty" a "rámce" - ale žádnou podstatnou změnu v americkém zákoně o sledování. Dnešní tisková prohlášení jsou téměř doslovnou kopií těch z posledních 23 let. Pouhé oznámení, že něco je "nové", "robustní" nebo "účinné", před Soudním dvorem nestačí. K tomu, aby to fungovalo, bychom potřebovali změny v americkém zákoně o sledování - a ty prostě nemáme."

Námitka k Soudnímu dvoru EU je připravena k podání. Každý, jehož osobní údaje budou na základě nové dohody předány, může podat námitku u orgánů pro ochranu údajů nebo u soudů. noyb připravil různé procesní možnosti, jak novou dohodu vrátit k Soudnímu dvoru EU. Očekáváme, že nový systém bude implementován prvními společnostmi během následujících měsíců, což otevře cestu k podání žaloby osobou, jejíž údaje budou podle nového nástroje předány. Není nepravděpodobné, že by se výzva dostala k SDEU do konce roku 2023 nebo začátkem roku 2024. SDEU by pak měl dokonce možnost "rámec" po dobu řízení pozastavit. Konečné rozhodnutí SDEU by bylo pravděpodobné do roku 2024 nebo 2025. Bez ohledu na to, zda bude taková výzva úspěšná, vnese to do "transatlantického rámce ochrany osobních údajů" jasno přibližně do dvou let.

Max Schrems: "V šuplíku už máme různé možnosti napadení, i když už máme tohoto právního ping-pongu plné zuby. V současné době očekáváme, že se to do začátku příštího roku vrátí k Soudnímu dvoru. Soudní dvůr by pak mohl dokonce pozastavit platnost nové dohody, zatímco ji bude věcně přezkoumávat. V zájmu právní jistoty a právního státu pak dostaneme odpověď, zda drobná zlepšení Komise stačila, či nikoli. V uplynulých 23 letech byly všechny dohody mezi EU a USA prohlášeny za neplatné se zpětnou platností, čímž se veškeré dřívější předávání údajů ze strany podniků stalo nezákonným - zdá se, že nyní k tomuto ping-pongu přidáme jen další dva roky."

Komise EU projevuje malou péči o právní stát a soukromí občanů. Tento třetí pokus o přijetí do značné míry stejného nezákonného rozhodnutí rovněž vyvolává otázky ohledně širší role Evropské komise jakožto strážce smluv EU. Namísto toho, aby Komise prosazovala "právní stát", jednoduše znovu a znovu přijímá neplatné rozhodnutí, a to navzdory jasným rozsudkům Soudního dvora EU. Navzdory velkému rozhořčení po Snowdenových odhaleních v EU a opakovaným výzvám Evropského parlamentu k přijetí opatření se zdá, že Komise dává přednost diplomatickým vztahům s USA a obchodním tlakům na obou stranách Atlantiku před právy Evropanů a požadavky práva EU.

Max Schrems:"Komise má být "strážcem smluv" a ochráncem nebo "právním státem". Tuto roli miluje, když jde o členské státy porušující právo EU. Nyní Komise sama již potřetí jednoduše ignoruje Soudní dvůr."