Nejvyšší soud USA právě zmařil přenosy dat mezi EU a USA

• Prováděcí rozhodnutí Komise EU 2023/1795 o rámci pro ochranu osobních údajů mezi EU a USA (EUR-Lex)
• Rozhodnutí Nejvyššího soudu USA ve věci věci Trump proti Slaughterovi
• noyb Dopis Evropské komisi

Rámec pro ochranu osobních údajů mezi EU a USA. Od roku 1995 EU obecně zakazuje vývoz osobních údajů do třetích zemí, aby zajistila, že pravidla EU v oblasti ochrany soukromí nelze obejít pouhým odesláním údajů do zahraničí. Ačkoli existují výjimky pro nezbytné přenosy, které sahají od rezervace hotelu až po složité transakce, mnoho společností v EU jednoduše outsourcovalo zpracování osobních údajů americkým poskytovatelům cloudových služeb. Od roku 2000 Evropská komise opakovaně uznávala, že USA jsou z hlediska ochrany osobních údajů „adekvátní“ zemí, čímž umožnila volný tok údajů mezi EU a USA. Evropský soudní dvůr (CJEU) zrušil dvě předchozí rozhodnutí Komise v takzvané „Schrems I“ (čímž zrušil dohodu „Safe Harbour“) a „Schrems II“ (které zrušilo program „Privacy Shield“), a to kvůli americkým zákonům o sledování a nedostatku soudních opravných prostředků v USA. Evropská komise nicméně v roce 2023 uzavřela třetí dohodu mezi EU a USA nazvanou „Rámec pro ochranu osobních údajů mezi EU a USA“, která byla z velké části kopírováním a vkládáním dříve zrušených dohod.

Požadavek EU na nezávislý úřad pro ochranu osobních údajů.Smluvní právoEU(tedy „ústavní“ rámec EU), konkrétně čl. 16 odst. 2 SFEU a čl. 8 odst. 3 Listiny základních práv, vyžaduje, aby dohled nad záležitostmi ochrany osobních údajů vykonával „nezávislý“ orgán. Jelikož třetí země musí mít „v podstatě rovnocennou“ ochranu, je nezbytné, aby každá třetí země, která chce využívat volný tok osobních údajů z EU, takovou ochranu rovněž poskytovala. Dosud USA jmenovaly „nezávislou“ Federální obchodní komisi (FTC) jako svůj regulační orgán pro ochranu soukromí, aby splnily požadavek EU na nezávislý dohled. EU se na FTC ve svém rozhodnutí o toku údajů mezi EU a USA spoléhala celkem 259 (!)krát.

Max Schrems: „Zásadní je, že ústavní rámec EU vyžaduje nezávislý dohled. Jediným způsobem, jak to změnit, by bylo jednomyslné hlasování všech členských států EU o změně smluv EU.“

Požadavek na nezávislý soud.Soudní dvůr Evropské unie (CJEU)dálezdůraznil, že USA by musely zajistit nezávislý mechanismus právní nápravy v záležitostech vládního sledování. Jelikož USA nebyly schopny přijmout příslušnou legislativu, vytvořila Bidenova administrativa „Soud pro přezkum ochrany osobních údajů“. Ačkoli se nazývá „soud“, ve skutečnosti se jedná o výkonný orgán v rámci amerického ministerstva spravedlnosti. Je „nezávislý“ pouze na základě výkonný příkaz (EO) bývalého prezidenta Bidena, který může Trump kdykoli změnit a který není pro prezidenta závazný. 

Rozhodnutí ve věci „Slaughter“: Jednotná (Trumpova) výkonná moc. Vnaprostém rozporu s dosavadní judikaturou nyní konzervativní většina v Nejvyšším soudu USA rozhodla, že nezávislost Federální obchodní komise (FTC) je protiústavní. Toto rozhodnutí vychází z „teorie jednotné výkonné moci“, podle níž musí mít prezident USA pravomoc nad všechny výkonných orgánů USA a prohlásila všechny americké zákony, které různým agenturám přiznávají nezávislost, za protiústavní. Vzhledem k tomu, že se EU téměř ve všech případech spoléhala na „nezávislost“ FTC jako orgánu dohlížejícího na ochranu soukromí, právě se zhroutila celá struktura rámce pro ochranu osobních údajů mezi EU a USA.

Max Schrems: „I podle logiky Evropské komise je základ jakékoli dohody o předávání údajů mezi EU a USA mrtvý. Vyzýváme Komisi, aby zahájila řádný odchod z amerického cloudu – což není snadné, ale bohužel nevyhnutelné. Komise pod tlakem průmyslu postavila právní domeček z karet; nyní, když se zjevně hroutí, musí převzít odpovědnost.“

Dopad není neomezený. Ikdyž všechny základy rozhodnutí EU zmizely, rozhodnutí Evropské komise formálně zůstává v platnosti, dokud jej Evropská komise nezruší nebo dokud jej Soudní dvůr neprohlásí za neplatné. Neexistuje tedy žádný bezprostřední dopad. GDPR také upravovalo pouze předávání osobních údajů. Neosobní údaje mohou volně proudit. Navíc článek 49 GDPR umožňuje nezbytné předávání údajů do jakékoli třetí země. Neumožňuje však strukturální přesun dat mimo EU, pokud to není nezbytně nutné.

Dotčeny jsou také standardní smluvní doložky (SCC) a závazná podniková pravidla (BCR). Ačkoli se některé společnosti nemusí přímo opírat o rámec EU–USA a místo toho formálně používají SCC a BCR, obvykle se také spoléhají na „posouzení dopadů“, které se zase opírá o dříve nezávislé výkonné orgány USA, jako je PCLOB nebo Data Protection Review Court. Rozhodnutí Nejvyššího soudu se proto obvykle týká i jich, i když se na FTC nespoléhají. Na rozdíl od správců, kteří se opírají o formální rozhodnutí Komise, musí neprodleně aktualizovat své posouzení – a logicky dojít k závěru, že předávání údajů již není legální.

Další kroky: Komise musí zrušit dohodu mezi EU a USA. noyb zaslala dnes zaslala Evropské komisi , v němž Komisi žádá, aby podnikla příslušné kroky k řádnému zrušení dohody o předávání údajů mezi EU a USA. Z politického hlediska se již mnoho členských států EU přiklonilo k přístupu založenému na „digitální suverenitě“ a prohlásilo, že se odpojí od amerických poskytovatelů služeb. Někteří američtí poskytovatelé služeb rovněž směřují k oddělenému zpracování dat v rámci EU. Vzhledem k tomu, že USA však stále vyvíjejí na EU obrovský tlak, aby zajistila pokračující tok osobních údajů, noyb v nadcházejících týdnech podá žalobu s cílem umožnit Soudnímu dvoru Evropské unie (CJEU) zrušit stávající dohodu. Taková žaloba však obvykle trvá 2–3 roky, než dojde k vynesení konečného rozhodnutí.