Od Snowdenova odhalení víme, že Spojené státy provádějí masové sledování uživatelů v EU a získávají osobní údaje od amerických velkých technologických firem. Klíčovým americkým orgánem dohledu nad těmito zákony je "Rada pro dohled nad soukromím a občanskými svobodami" (Privacy and Civil Liberties Oversight Board, PCLOB). Americká média nyní informují, že demokratičtí členové PCLOB byli odvoláni a jejich e-mailové účty zrušeny. Tím se počet jmenovaných členů dostal pod hranici nutnou pro fungování PCLOB. Skutečnost, že prezident USA jednoduše odvolal lidi z (údajně) nezávislého orgánu, zpochybňuje nezávislost všech ostatních výkonných orgánů pro nápravu v USA.
Evropská unie se opírá o tyto americké rady a tribunály, aby zjistila, že USA poskytují "přiměřenou" ochranu osobních údajů. Na základě spoléhání se na PCLOB a další mechanismy umožňuje Evropská komise volný tok evropských osobních údajů do USA v rámci tzv. transatlantického rámce ochrany osobních údajů (TADPF). PCLOB je jediným relevantním "dohledovým" prvkem dohody. Ostatní prvky fungují pouze jako odvolací orgány. Na tato ustanovení spoléhají tisíce podniků, vládních agentur nebo škol v EU. Bez TADPF by musely okamžitě přestat používat americké poskytovatele cloudových služeb, jako jsou Apple, Google, Microsoft nebo Amazon.
- Souvislosti s předáváním údajů mezi EU a USA
- Informace o TADPF PDF od EU
- Stránka programu TADPF vlády USA
- Rozhodnutí TADPF (EU) 2023/1795
- SOUDNÍ DVŮR EU: Schrems I a Schrems II
- Zpráva o odvolání členů PCLOB
Systém předávání údajů mezi EU a USA - kombinace práva EU a USA. Obecně platí, že právo EU od roku 1995 zakazuje vývoz osobních údajů do zemí mimo EU, pokud to není nezbytně nutné (např. při zasílání e-mailu do jakékoli země mimo EU). Údaje lze do zahraničí zasílat, pokud země mimo EU poskytuje "v zásadě rovnocennou" ochranu osobních údajů Evropanů. Na druhou stranu USA mají velmi silné zákony o hromadném sledování (např. FISA702 nebo EO 12.333), které umožňují vládě USA přístup k jakýmkoli údajům uloženým u společností Amazon, Meta, Microsoft, Google a jakýchkoli dalších amerických velkých technologických firem bez pravděpodobného důvodu nebo individuálního soudního schválení. Evropský soudní dvůr proto dvakrát rozhodl(Schrems I a Schrems II), že americké právo není "v zásadě rovnocenné". Ursula von der Leyenová však trvala na přijetí třetí dohody mezi EU a USA, nazvané "Transatlantický rámec ochrany osobních údajů " (TADPF).
TADPF byl postaven na písku. Dne 10. 7. 2023 vydala Evropská komise prováděcí rozhodnutí (EU) 2023/1795, kterým formálně přijala TADPF. To umožnilo všem podnikům v EU volně předávat údaje poskytovatelům z USA, a to navzdory americkým zákonům o dohledu. Evropská komise se opírala o (velmi pochybné) prováděcí příkazy nebo dopisy vlády USA, včetně PCLOB, aby zjistila, že USA jsou "v podstatě rovnocenné". Tyto prvky se však neodrážejí v amerických zákonech a kodifikovaném právu, protože v Kongresu USA neexistovala většina, která by takové zákony přijala. Dlouho se kritizovalo, že příští prezident USA může tyto ochrany zničit škrtem pera. Tento scénář je nyní na obzoru. Evropská komise ve svém rozhodnutí zmínila PCLOB neuvěřitelných 31krát, aby vysvětlila, proč mají USA "v podstatě rovnocennou" ochranu. PCLOB je jediným obecným orgánem "dohledu", který sleduje, zda americké služby skutečně dodržují zákony, příkazy a další sliby. Jiné prvky amerického práva, jako jsou různé mechanismy nápravy, vyžadují, aby se žalobce stal aktivním. USA tradičně blokují přístup k těmto orgánům prostřednictvím různých pravidel "aktivní legitimace", což vede k tomu, že v podstatě žádné žaloby nejsou připuštěny. To znamená, že PCLOB je jediným relevantním mechanismem dohledu, na který se TADPF spoléhá.
Max Schrems:"Tato dohoda byla vždy postavena na písku, ale podnikatelská lobby EU a Evropská komise ji stejně chtěly. Namísto stabilních právních omezení přistoupila EU na exekutivní sliby, které lze během několika sekund zrušit. Nyní, když tuto dohodu zasáhly první Trumpovy vlny, uvrhla rychle mnoho podniků v EU do právní nejistoty. Samotná PCLOB je jen jedním dílkem skládačky, a dokud bude jen dočasně nefunkční, existuje argument, že dohoda není horší než předtím. Nicméně směr, kterým se v prvním týdnu Trumpova prezidentství ubírá, nevypadá dobře. Pozorně sledujeme, zda se jedná o dočasný problém, nebo zda je PCLOB nadobro zabit."
Nezávislost výkonných orgánů zpochybněna. Na rozdíl od orgánů pro ochranu údajů v EU je většina amerických dozorových orgánů kreaturami výkonné moci, a tudíž není nezávislá. Nezávislost jim často uděluje pouze prezident, který je však může kdykoli odvolat nebo zrušit. Mnohé z těchto podivných právních koncepcí jsou důsledkem strukturální neschopnosti přijmout v USA skutečné právní předpisy. Místo toho jsou celé právní oblasti upravovány pouze prezidentskými příkazy. Skutečnost, že se americký prezident nyní pokouší jednoduše odvolávat lidi, zpochybňuje, zda byla myšlenka (údajně) "nezávislých" výkonných orgánů vůbec od počátku věcně sporná. Mnoho dalších prvků TADPF, jako například Soud pro kontrolu ochrany osobních údajů, má ještě slabší právní ochranu než PCLOB.
Max Schrems:"Existovalo mnoho otázek ohledně nezávislosti těchto dohledových mechanismů. Bohužel se zdá, že nemusí obstát ani ve zkoušce pouhých prvních dnů Trumpova prezidentství. To je rozdíl mezi solidní právní ochranou v zákoně a zbožným přáním. Evropská komise se spoléhá výhradně na to druhé."
do dalšího kritického bodu zbývá 45 dní. V jednom z prvních exekutivních příkazů, které Trump v pondělí podepsal, určil, že všechna Bidenova rozhodnutí o národní bezpečnosti (včetně příslušných rozhodnutí, o něž se opírají transfery mezi EU a USA) budou do 45 dnů přezkoumána a případně zrušena. To znamená, že další prvky, o které se TADPF opírá, se mohou během několika dní zhroutit. Vzhledem k tomu, že celá dohoda je založena na Bidenových exekutivních rozhodnutích, mohl by Trump jediným podpisem zrušit všechny klíčové prvky dohody - což by okamžitě vedlo k nezákonnému předávání údajů mezi EU a USA.
Max Schrems:"Těžko si dovedu představit, že by Bidenovo výkonné rozhodnutí, které bylo USA vnuceno EU a které upravuje americkou špionáž v zahraničí, mohlo přežít Trumpovu logiku 'America First'. Problém je v tom, že nejen americké velké technologické firmy, ale zejména normální podniky v EU všechny spoléhají na tento systém nestabilních exekutivních příkazů, aby mohly tvrdit, že používání amerických cloudových systémů je v EU legální."
Komise vmanévrovala podniky EU do útesu. Navzdory všem faktům a kritice ze strany Evropského parlamentu a orgánů EU pro ochranu údajů Evropská komise důsledně tvrdila, že TADPF je pevný a zdravý. Podnikatelská lobby v EU prosazovala dohodu(y) - bez ohledu na to, jak nestabilní nebo bláznivé jsou. Stejně tak americké velké technologické firmy chtěly zůstat na trhu EU bez jakýchkoli technických omezení ve vztahu k přístupu americké vlády. Nyní se všichni od velkých bank, celých národních školských systémů až po mnoho malých podniků mohou probudit do právní situace, kdy bude používání amerických cloudových produktů brzy nelegální.
Přenosy dat mezi EU a USA jsou prozatím legální - ale připravte se. Rozhodnutí americké administrativy nezpůsobí, že přenosy dat v USA budou okamžitě nelegální. Rozhodnutí Evropské komise je obecně legální, dokud je v platnosti a není zrušeno samotnou Komisí nebo Soudním dvorem. Takže i když se věcné zjištění stane nesprávným, rozhodnutí stále formálně existuje, dokud nebude zrušeno. Pokud však klíčové prvky, o které se EU opírala, nefungují, bude muset EU dohodu zrušit.
Max Schrems: "Ačkoli se zdá, že argumenty pro dohodu mezi EU a USA se rozpadají, společnosti se mohou na dohodu spoléhat, dokud nebude formálně zrušena. Vzhledem k vývoji v USA je však pro podniky a další organizace více než kdy jindy důležité, aby měly pohotovostní plán "host v Evropě"."
Evropská komise v těžké situaci. Evropská komise se dostala do těžké situace nejen z hlediska důvěryhodnosti, ale také z diplomatického hlediska. Pokud nyní zareaguje rychle a zruší TADPF, bude americká technická oligarchie křičet, že by EU "kašlala na" americké velké technologické firmy. Trumpova administrativa to může vzít jako důvod k zahájení prvního velkého boje s EU. Jako problematické se však jeví i to, že nepodnikla žádné kroky a oficiálně nevarovala podniky, veřejné orgány a další organizace z EU, které posílají údaje do USA. Budoucnost TADPF může být velmi krátká.
EU verze americké debaty o TikToku? Zatímco USA dlouho bagatelizovaly evropské obavy z toho, že osobní údaje proudí do USA a jsou využívány k masovému sledování, USA náhle obrátily, jakmile jejich vlastní údaje shromáždil TikTok. Na jedné straně by zákaz nebo povinné převzetí amerických Big Tech v Evropě bylo právně nemožné. Americké podniky by byly chráněny před tím, aby EU přijala obdobu "zákazu TikToku". Současně je povinnost uchovávat údaje EU mimo dosah vlády USA standardní součástí práva EU již od roku 1995. Stala by se jím i poté, co by Evropská komise dohodu mezi EU a USA zrušila. Americké velké technologické společnosti by pak musely chránit svá datová centra v EU před přístupem svých mateřských společností v USA.
