Otevřený dopis o budoucnosti předávání údajů mezi EU a USA

Otevřený dopis o budoucnosti předávání údajů mezi EU a USA

Přestože mnoho detailů je stále nejasných, objevuje se stále více podrobností o plánované dohodě o předávání údajů mezi EU a USA. Zdá se, že tyto podrobnosti vyvolávají další otázky ohledně stability případné nové dohody o odpovídající ochraně ze strany Evropské komise. V souvislosti s tímto znepokojivým vývojem zaslal hlavní žalobce ve věcech "Schrems I" a "Schrems II" příslušným zúčastněným stranám následující otevřený dopis (PDF):

Vážený pane komisaři Didiere Reyndersi,
Vážená paní ministryně Gina Raimondo,
Vážená paní Pauline Dubarry,
Vážená předsedkyně EDPB Andrea Jelinek,
Vážený pane předsedo LIBE Juane Fernando Lópezi Aguilare,

Bereme na vědomí oznámení o zásadní dohodě o novém transatlantickém rámci pro ochranu osobních údajů. Chápeme, že budoucí dohoda "dohodnutá v zásadě" vychází především z politické dohody mezi předsedkyní Komise von der Leyenovou a prezidentem USA Joe Bidenem, ale není výsledkem podstatných změn amerického práva v reakci na rozsudek Soudního dvora EU. Zdá se, že tento přístup opakuje dohodu o "štítu na ochranu soukromí" a je hluboce znepokojující.

Jsme si vědomi toho, že oznámení nastiňuje pouze hrubé myšlenky a titulky, ale že o konečném znění je třeba ještě jednat. Následující předběžné postřehy proto vycházejí z omezeného politického oznámení a dalších podrobností, které EU a USA neformálně sdělily zúčastněným stranám v různých veřejných nebo poloveřejných formátech.

Na základě těchto prohlášení máme za to, že USA odmítly jakoukoli podstatnou ochranu osob, které nejsou členy USA, a nadále diskriminují osoby, které nejsou členy USA, tím, že odmítají základní ochranu, jako je soudní schválení jednotlivých opatření dohledu.

Chápeme, že předpokládaná dohoda se bude z velké části opírat o výkonné příkazy USA. Poté, co jsme na této záležitosti spolupracovali s americkými odborníky na sledování a právníkem, se zdá, že takové výkonné příkazy jsou strukturálně nedostatečné pro splnění požadavků Soudního dvora EU.

Na základě známých základních kamenů varujeme vyjednavače na obou stranách Atlantiku, Radu EU, EDPB a Výbor Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci (LIBE), že ohlášenému rámci hrozí, že bude před Soudním dvorem EU sdílet stejný osud jako jeho dva předchůdci, pokud nebudou ve Spojených státech provedeny podstatné (legislativní) reformy.

Vyzýváme vyjednavače, aby pokračovali v práci na dlouhodobém řešení pro transatlantické toky zachovávajícím soukromí a vyhnuli se tak rozhodnutí "Schrems III". Současný přístup může způsobit další právní nejistotu pro občany a podniky na několik let dopředu - což je obava, kterou v reakci na "principiální dohodu" vyjádřili i zástupci průmyslu.

Jsme si plně vědomi toho, že jde o všechno, jen ne o snadný úkol, ale investice do jeho správného vyřešení by nejen zajistila dlouhodobé řešení této záležitosti, ale také prospěla občanům a hospodářství na obou stranách.

K dosažení tohoto cíle předkládáme následující podrobnější připomínky a doporučení:

(1) Uplatnění správného testu proporcionality na zákon USA o dohledu podle článku 8 CFR

Chápeme, že vyjednavači USA nemají v úmyslu usilovat o změny zákonného práva USA ve vztahu k materiálnímu sledování, ale plánují v podstatě nahradit prezidentskou politickou směrnici 28 (PPD-28) o činnosti zpravodajských služeb v oblasti signálů novým výkonným nařízením, které by obsahovalo slova "nezbytné a přiměřené".

Zdá se, že cílem Evropské komise je zjistit, že tato slova v americkém výkonném nařízení by měla být považována za ekvivalent testu proporcionality EU v článku 52 diagramuer základních práv (CFR).

Je však těžké pochopit, jak může být stávající sledování ze strany USA "nezbytné a přiměřené"podle evropského práva, jestliže Soudní dvůr EU ve dvou rozsudcích výslovně konstatoval opak.

Tento přístup se zdá být nedostatečný přinejmenším z následujících důvodů:

• V obou rozsudcích SDEU ("Schrems I"a "Schrems II") Soudní dvůr jasně rozhodl, že americké zákony a postupy sledování porušují články 7, 8 a 47 Listiny základních práv. SDEU dokonce výslovně konstatoval, že tyto zákony a postupy nejsou "nezbytné a přiměřené".
• Rozsudek "Schrems II" byl vydán s přihlédnutím ke směrnici PPD28 (jakožto tehdy příslušné prováděcí směrnici). Jak Evropská komise a vláda USA argumentovaly před SDEU, PPD-28 již obsahuje formulaci "as tailored as feasible", kterou Komise interpretovala jako ekvivalent proporcionality podle článku 52 CFR. SDEU tuto myšlenku odmítl. Nechápeme, jak by zákony a postupy, které SDEU výslovně shledal jako "nezbytné a přiměřené ", mohly náhle přesvědčit SDEU, pokud by byly nově označeny jako "nezbytné a přiměřené" namísto "co nejvíce přizpůsobené".
• Chápeme, že USA sice mohou přijmout tato slova, ale nesouhlasily s tím, že by jakkoli podstatněomezily sledování subjektů údajů, které nejsou občany USA. Konkrétně USA neoznámily žádný záměr omezit nebo revidovat postupy sledování prováděné podle zákonů a programů (FISA 702, EO 12 333, "PRISM" a "Upstream"), které Soudní dvůr EU ve svém rozhodnutí konkrétně zmínil. Spojené státy rovněž nenaznačily, že by provedly jakékoli změny, které by ukončily jejich praktiky hromadného sledování. Zdá se, že programy sledování budou pokračovat v nezměněné podobě. Soudní dvůr EU provedl test proporcionality podle článku 52 Úmluvy o ochraně osobních údajů a dospěl k závěru, že praktiky sledování USA tímto testem neprošly. Pokud by USA začlenily koncept"nezbytnosti a přiměřenosti", znamenalo by to zastavení nebo výrazné omezení těchto sledovacích praktik. Vyjednavači jasně uvádějí, že to není zamýšleno.
• Zdá se tedy, že vyjednavači pouze kopírují slova CFR a judikatury Soudního dvora EU do výkonného příkazu USA, ale pravděpodobně použijí jiný význam než Soudní dvůr EU, protože jinak by to muselo vést k zastavení programů Upstream a Downstream (dříve "PRISM") podle článku 702 zákona o dohledu nad zahraničním zpravodajstvím (FISA) a k ukončení hromadného sledování podle výkonného příkazu 12 333.
• Dále jsme znepokojeni tím, že výkonné příkazy obvykle nezakládají práva třetích stran. Zdá se, že i kdyby byl ve výkonném příkazu zaveden test "nezbytnosti a přiměřenosti" v souladu s článkem 52 CFR, žádný subjekt údajů by nemusel být schopen vymáhat taková omezení u soudu.

Celkově se zdá, že tento přístup pouze uspokojuje politické, diplomatické a PR požadavky obou stran, ale zřejmě ignoruje skutečnost, že Soudní dvůr EU již konstatoval, že sledování ze strany USA není "nezbytné a přiměřené" a že USA budou v těchto praktikách pokračovat.

(2) Vytvoření smysluplné soudní nápravy podle článku 47 Úmluvy o ochraně lidských práv a základních svobod

Chápeme, že vyjednavači USA neplánují změnit právní předpisy USA tak, aby vytvořily možnosti soudní nápravy pro subjekty údajů v EU.

Místo toho by americká exekutiva měla v rámci výkonné moci vytvořit nový "orgán" (podobný dřívějšímu "ombudsmanovi", ale pod pravomocí generálního advokáta), který se bude zabývat případným porušováním amerických zákonů a exekutivních příkazů. Tento orgán nazvaný "Soud pro přezkum ochrany údajů" nebude - v rozporu s názvem - "soudem", ale výkonným orgánem. Bude součástí výkonné moci s omezenou nezávislostí.

Chápeme, že subjekty údajů z EU nebudou mít během řízení přístup k informacím o případných operacích sledování, které se jich týkají, a nebudou se moci proti rozhodnutím tohoto "soudu" odvolat k plně nezávislému soudnímu orgánu zřízenému podle článku 3 Ústavy USA.

Zdá se, že tento přístup je v rozporu s judikaturou Soudního dvora EU přinejmenším v následujícím aspektu:

• Navrhované řešení nestanoví soudní opravný prostředek, ale opravný orgán v rámci výkonné moci - podobně jako ombudsman, což SDEU shledal nejen jako nepřiměřené, ale jako porušení podstaty čl. 47 Úmluvy o ochraně lidských práv a základních svobod. Samotné pojmenování orgánu výkonné moci "soudem" neznamená vznik soudního opravného prostředku. Zdá se, že tento přístup je lépe popsat jako "ombudsman plus".
• Je těžké si představit, jak by tento nový orgán splňoval formální požadavky na soud nebo tribunál podle článku 47 OSŘ, zejména ve srovnání s probíhajícími případy a normami uplatňovanými v rámci EU (např. v Polsku a Maďarsku). Po SDEU by se požadovalo, aby v rámci EU uplatňoval "vysoký" standard článku 47 CFR, ale "nízký" standard článku 47 CFR pro americký "soud pro přezkum ochrany údajů". Byla by to Evropská komise, kdo by musel SDEU o těchto rozdílných standardech podle článku 47 CFR přesvědčit.
• Chápeme, že thnový "soud" bude nadále fungovat jako současný "ombudsman" a nebude ani potvrzovat, ani vyvracet, zda byla osoba sledována a zda došlo k porušení práva USA. Rozumíme tomu tak, že subjekt údajů nebude mít žádnou přímou ani nepřímou možnost nahlédnout do důkazů, požádat o zjištění, vyslechnout protistranu nebo obdržet odůvodněný rozsudek. Tím se z něj stane instituce "gumového razítka" bez praktického významu.
• Tento "gumový" přístup rovněž omezí možnosti případného plánovaného odvolání k jakémukoli druhostupňovému orgánu: Pokud je "soud pro přezkum ochrany údajů" povinen zaslat předepsanou standardní odpověď, nevidíme, že by existoval prostor pro jakékoli informované a smysluplné věcné odvolání. Pokud bude v každém případě existovat pouze jeden možný předdefinovaný výsledek, zdá se, že téměř neexistuje případ, kdy by občan mohl upozornit na chybu, protože se zdá, že existuje pouze jedna možná odpověď.
• Existují zásadní otázky, zda americké doktríny jako "státní tajemství", budou pro tyto orgány platit a dále omezí jakoukoli možnost spravedlivého projednání. Chápeme, že vláda USA se bude na tyto doktríny i nadále spoléhat.

Souhrnně řečeno, nechápeme, jak by tento nový "soud" byl v souladu s článkem 47 Úmluvy o ochraně lidských práv a základních svobod, zejména s ohledem na nedávnou judikaturu Soudního dvora EU týkající se sledování ze strany USA, ale také s ohledem na judikaturu Soudního dvora EU týkající se soudní nápravy a právního státu v členských státech EU. Zdá se, že SDEU by musel vypracovat samostatný test podle článku 47 OSŘ pro USA, aby zjistil, že výkonný orgán vydávající odpovědi s gumovým razítkem je skutečně formou soudní nápravy. Nechápeme, jak je takový vývoj v judikatuře SDEU vzdáleně realistický nebo dokonce žádoucí.

(3) Potřeba aktualizovat ochranu soukromí v obchodním styku

Kromě nedostatků ohlášené dohody v zásadě souvisejících s nedostatečnými reformami v oblasti sledování ze strany USA a zákonů, upozorňujeme vyjednavače EU také na potřebu aktualizovat povinnosti v oblasti ochrany obchodních údajů v rámci jakékoli budoucí dohody.

Jsme znepokojeni tím, že vyjednavači EU a USA zřejmě neplánují žádnou aktualizaci samotných zásad štítu na ochranu soukromí. Rozumíme tomu tak, že zásady štítu na ochranu soukromí a certifikace nebudou dotčeny, nebo dokonce přejmenovány. To je nesmírně problematické, neboť zásady jsou z velké části založeny na zásadách "bezpečného přístavu" z roku 2000, které byly v roce 2016 pouze drobně aktualizovány. Nejsou v souladu s požadavky GDPR, které začalo platit v roce 2018. Ve skutečnosti zásady štítu na ochranu soukromí dokonce odkazují na již dávno neplatnou směrnici 95/46/ES, a nikoli na nařízení GDPR.

Zde uvádíme několik příkladů některých z mnoha nedostatků zásad štítu na ochranu soukromí a míst, kde se odchylují od GDPR:

• Zásady štítu na ochranu soukromí neobsahují obecný požadavek na právní základ, jak je tomu podle čl. 6 odst. 1 GDPR a čl. 8 odst. 2 chart základních práv. Ve skutečnosti existuje pouze tzv. přístup "notice & choice" s právem na odmítnutí (opt-out). Zejména proto, že zásady se obvykle vztahují na dílčí zpracovatele, kteří nejsou v přímém kontaktu se subjektem údajů, se zdá, že sotva existuje reálný scénář, kdy by byl subjekt údajů o problematickém zpracování vůbec informován.
• Zásady štítu na ochranu soukromí nevyžadují, aby zpracování údajů bylo "nezbytné", jak požaduje čl. 5 odst. 1 písm. c) obecného nařízení o ochraně osobních údajů a čl. 52 odst. 1 nařízení o společných ustanoveních, ale pouze "relevantní".
• Většina prvků práva na přístup podle článku 15 nařízení GDPR a čl. 8 odst. 2 nařízení o ochraně osobních údajůer základních práv nejsou v zásadách štítu na ochranu soukromí zohledněny.
• Mechanismus nápravy proposkytovaný podle zásad je založen na soukromém rozhodčím řízení, což je systém, který je ve vztahu ke spotřebitelům v EU zakázán od směrnice 93/13/EHS. Soukromé rozhodčí služby jsou placeny americkou společností a nemají potřebné mechanismy "dohledu a odhalování" ani pravomoci, které by se alespoň vzdáleně podobaly pravomocem dozorových úřadů EU podle článku 58 GDPR. Aby bylo jakékoli rozhodčí rozhodnutí skutečně vymahatelné podle práva USA, je třeba provést několik kroků.

Existuje nespočet dalších příkladů, kdy zásady štítu na ochranu soukromí nejsou "v zásadě rovnocenné" s GDPR, a umožňují proto americkým konkurentům působit na evropském trhu, aniž by dodržovali právo EU. I kdyby byly záležitosti amerického dohledu vyřešeny, může být jakákoli nová dohoda Soudním dvorem EU prohlášena za neplatnou na základě toho, že zásady štítu na ochranu soukromí nejsou vůbec "v zásadě rovnocenné" GDPR.

Budoucnost mezinárodního předávání údajů

Mrzí nás, že vyjednavači nevyužili této příležitosti k zajištění ochrany lidských práv na soukromí a ochranu údajů na obou stranách Atlantiku a nezávisle na geografické poloze či občanství. Jsme hluboce přesvědčeni, že globální internet a volný tok osobních údajů je možný pouze tehdy, pokud ochrana nebude založena na historických a nacionalistických konceptech, jako je občanství. Zatímco GDPR a články 7, 8 a 47 CFR jsou lidskými právy a vztahují se na všechny uživatele nezávisle na národnostních vazbách, FISA 702 a příslušné exekutivní příkazy v USA se nadále řídí archaickým pojetím "amerických osob" a "neamerických osob".

To nejenže způsobuje porušování lidských práv, ale zdá se, že to také podkopává údajné cíle těchto zákonů o sledování: Víme, že většina současných nebezpečí (jako je domácí terorismus, špionáž a podobně) není založena na občanství cíle.

Vyzýváme vyjednavače a další příslušné zúčastněné strany, včetně například amerického technologického průmyslu, aby zpochybnili tradiční nacionalistické koncepty. Pokud by internet neměl znát státní hranice, musí naše práva na soukromí a zákony o dohledu stejně tak překonat nacionalistické koncepty. Jednou z možností by byly mezinárodní dohody mezi demokratickými státy.

Kapitola 5 GDPR již umožňuje volný tok údajů - pokud je ochrana "v zásadě rovnocenná". Litujeme, že národní zákony o dohledu v USA a EU se stále drží pojmů, jako je občanství, a zatím postrádají moderní ustanovení o interoperabilitě.

Tento konflikt (interoperabilní) ochrany soukromí a (nacionalistických) zákonů o dohledu brání mezinárodním tokům dat, obchodu a konvergenci.

Reakce na případné nové rozhodnutí o přiměřenosti

Vzhledem k tomu, že naše soudní spory vždy směřují k zajištění trvalého řešení, které zároveň chrání údaje uživatelů a umožňuje volný tok dat, byli bychom první, kdo by jakýkoli takový výsledek uvítal. Stále doufáme, že jakýkoli konečný text dokáže překonat nedostatky zdůrazněné v tomto dopise, a vyzýváme vyjednavače na obou stranách Atlantiku, aby prosadili tolik potřebné reformy amerického práva.

V případě absence těchto legislativních změn se obáváme, že jakákoli budoucí dohoda bude (opět) založena na politických nadějích namísto právní reality. Obzvláště se obáváme, že by Evropská komise mohla vědomě přijmout další nezákonné rozhodnutí o přiměřenosti s cílem oslabit rozsudky Soudního dvora EU. To se často označuje jako "nákup dalších několika let". To může vést nejen k nekonečnému ping-pongu mezi Bruselem a Lucemburkem, ale také to ohrožuje důvěru v právní stát a SPS na evropské úrovni.

Vzhledem k výše uvedenému je noyb připraven napadnout jakékoli konečné rozhodnutí o přiměřenosti, které by nezajistilo potřebnou právní jistotu. V případě, že takový spor bude skutečně nutný, zaměříme se zejména na rychlou a účinnou cestu k Soudnímu dvoru EU, aby bylo dosaženo rychlého rozhodnutí. Doufáme, že to zajistí kratší období právní nejistoty v případě jakékoli nepromyšlené politické dohody.

Taková výzva může zahrnovat žádost, aby SDEU pozastavil uplatňování jakékoli třetí verze rozhodnutí USA o přiměřenosti. Takovou možnost předpokládá článek 278 SFEU a mohla by zajistit, že Evropská komise nebude podkopávat SDEU tím, že by přijímala další nezákonná rozhodnutí o odpovídající ochraně ve snaze předstihnout přezkum těchto rozhodnutí SDEU.

Doufáme, že tyto předběžné připomínky jsou pro vás užitečné. Jsme vám k dispozici v případě, že budete mít jakékoli dotazy nebo nám budete chtít poskytnout další vysvětlení k předpokládané nové dohodě.

S pozdravem,

Max Schrems

Čestný předseda, noyb