Prenosy údajov medzi EÚ a USA: Čas pripraviť sa na ďalšie problémy

Príspevok na blogu Maxa Schremsa

Vrstvy práva USA a EÚ. "Most", ktorý Európska komisia a predchádzajúce demokratické administratívy USA vybudovali, aby umožnili spracúvanie osobných údajov EÚ v USA, sa neopiera o jednoduché a stabilné americké právo na ochranu osobných údajov. Namiesto toho sa EÚ a USA spoliehali na divokú mozaiku ton interných usmernení a nariadení, judikatúru Najvyššieho súdu, americké faktické "praktiky" alebo výkonných nariadení.

V snahe dostať sa na koniec sa tieto vrstvy navzájom nepodporujú, ale sú zoradené tak, aby vytvorili čo najtenšie prepojenie medzi právom EÚ a USA - čo znamená, že zlyhanie práve jedného z mnohých právnych prvkov by pravdepodobne spôsobilo, že väčšina prenosov údajov medzi EÚ a USA by bola okamžite nezákonná. Podobne ako domček z kariet, nestabilita ktorejkoľvek jednotlivej karty spôsobí zrútenie domčeka.

Vzhľadom na nesmierne deštruktívny prístup Trumpovej administratívy sú mnohé prvky prenosu údajov medzi EÚ a USA pod paľbou - často krát nie kvôli priamym zámerom. Namiesto toho súčasná americká administratíva len vo veľkom útočí na právny systém a ústavnú štruktúru USA (s pomocou silne spolitizovaného Najvyššieho súdu) - s mnohými potenciálnymi dôsledkami pre dátové toky medzi EÚ a USA.

1. Pravdepodobný bod zlyhania: Nezávislosť FTC. Uplynulý pondelok Najvyšší súd USA prerokoval prípad týkajúci sa nezávislosti Federálnej obchodnej komisie (FTC). Už od prípadu z roku 1935 (Humphreyho exekútor) je judikatúra Najvyššieho súdu USA taká, že zákonodarca USA môže vytvárať "nezávislé" orgány v rámci výkonnej moci, ktorá je do istej miery izolovaná od prezidenta USA.

Medzi americkými konzervatívnymi právnikmi sa v súčasnosti presadila predtým okrajová teória, že podľa ústavy USA musia všetky právomoci výkonnej moci spočívať len na jednej osobe (prezidentovi). Táto tzvteória unitárnej výkonnej moci" by spôsobila, že akýkoľvek nezávislý orgán, ako napríklad FTC, by bol zvyčajne protiústavný. Všetky právomoci by sa museli sústrediť v rukách prezidenta.

Na stránke Trump/Slaughternajvyšší súd USA teraz vypočul argumenty komisára FTC, ktorého Trump odvolal napriek všetkým zárukám nezávislosti v 15 U.S.C. § 41. Na základe komentárov a otázok sudcov sa všeobecne predpokladá (pozri napr. The Guardian, CNN alebo Blog SCOTUS), že konzervatívna väčšina na Najvyššom súde USA sa postaví na stranu Trumpa a (v takej či onakej miere) sa bude riadiť "teóriou unitárnej exekutívy" a zruší nezávislosť FTC.

V kombinácii s rozhodnutiami Najvyššieho súdu USA o absolútnej imunite prezidentaby tak USA čoraz viac smerovali k systému, v ktorom je prezident absolútnym "kráľom" - aspoň na štyri roky.

Z európskeho hľadiska je nezávislosť FTC kľúčovým prvkom, pretože článok 8 ods. 3 Charty základných práv EÚ (CFR) vyžaduje, aby spracovanie osobných údajov monitoroval a presadzoval "nezávislý" orgán. V rámci TADPF (a predtým v systémoch "Safe Harbor" a "Privacy Shield") sa EÚ a USA dohodli, že tieto právomoci budú udelené FTC v USA - ako takémuto "nezávislému" orgánu. Oddiel 2.3.4 Rozhodnutia Európskej komisie TADPF sa zdôrazňuje, že FTC má úlohu presadzovania práva. V odôvodnení 61 a poznámke pod čiarou 92 sa výslovne uvádza 15 U.S.C. § 41 ako základ pre potrebné záruky nezávislosti v USA.

Žiadny iný prvok TADPF nemá potrebné vyšetrovacie právomoci a nezávislosť. Existujú aj súkromné rozhodcovské súdy, ktoré však nemajú žiadne vyšetrovacie právomoci ani príslušné právomoci na presadzovanie práva. V dôsledku toho musí byť každý účastník TADPF riadený buď nezávislou FTC, alebo DoT (v prípade dopravných organizácií).

Trump v. Slaughter sa má rozhodnúť najneskôr v júni alebo júli 2026, ale môže sa rozhodnúť aj skôr. Je teda čas "pripútať sa" v tejto veci a pripraviť sa.

Jednou z ciest by mohol byť prechod na dohody SCC alebo BCR, pretože tie nevyžadujú nezávislý orgán USA na presadzovanie, ale umožňujú aj to, aby dohoda podliehala orgánu EÚ na ochranu údajov. Existujú však aj obrovské otázky, ako možno už prenesené údaje "vrátiť" do akéhokoľvek systému schváleného EÚ alebo dokonca "vrátiť" do EÚ vo všeobecnosti. Okrem toho môžu byť SCC a BRC ovplyvnené aj rozsiahlymi zmenami v právnych predpisoch USA (pozri ďalej).

druhý pravdepodobný bod zlyhania: Súd pre kontrolu ochrany údajov. Priamo v súvislosti s Trump/Slaughter, ktorá sa zaoberá dohľadom v súkromnom sektore, sa paralelne vynára otázka, ako sa možno stále spoliehať na tzv. súd pre preskúmanie ochrany údajov (Data Protection Review Court - DPRC) ako na akúkoľvek formu reálnej nápravy proti dohľadu vlády USA.

DPRC má mnoho právnych problémov (týmito problémami by sa dala ľahko zaplniť doktorandská práca), ale rozhodujúce je, že DPRC je nie je skutočný súd USA - aj preto, že nie je zriadený zákonom. V skutočnosti ide o skupinu ľudí v rámci výkonnej moci, ktorá je zriadená výlučne Bidenovým nariadením (EO 14.086, pozri podrobnosti nižšie). Túto skupinu ľudí možno v najlepšom prípade nazvať "tribunálom" z hľadiska článku 6 EDĽP, ale aj toto tvrdenie je pravdepodobne prehnané.

Podstatou je, že vo vzťahu k Trump v. Slaughter, "nezávislosť" tohto takzvaného "súdu" ani nie je stanovená zákonom (ako 15 USC § 41 pre FTC), ale EO 14.086, teda len interným prezidentským nariadením, ktoré sa môže kedykoľvek zmeniť.

Logicky, ak by Najvyšší súd v Trump vs. Slaughter rozhodol, že nezávislé výkonné orgány sú protiústavné, môže sa stať, že akékoľvek tvrdenia o nezávislosti v samotnom EO 14.086 sú (logicky) tiež protiústavné. Veľmi to závisí od línie argumentov, ktoré Najvyšší súd použije v Trump vs. Slaughter, ale je veľmi pravdepodobné, že to bude priamy dôsledok akéhokoľvek širšieho rozhodnutia.

Tento problém by sa rozšíril ďaleko za rámec TADPF, pretože iné systémy transferu (SCC alebo BCR) sa opierajú o tzv. posúdenia vplyvu transferu (TIA), ktoré zase zvyčajne poukazujú na EO 14.086 a DPRC ako na dôvod, prečo každý kontrolór EÚ dospel k záveru, že právo USA nesmie rušiť SCC alebo BCR nad rámec toho, čo je prípustné podľa článkov 7, 8 a 47 charty.

Ak tieto prvky zaniknú, zostane nám článok 49 GDPR pre "nevyhnutné" prenosy (napr. odoslanie e-mailu do USA, zadanie objednávky alebo rezervácia hotela či letu), ale akýkoľvek "outsourcing" poskytovateľom cloudových služieb alebo poskytovateľom SaaS v USA by už zvyčajne nemal žiadny reálny právny základ.

tretí pravdepodobný bod zlyhania: EO 14.086. Okrem zmien v ústavnom práve USA je tu ako hlavný rizikový faktor aj samotný Trump. Ako bolo vysvetlené vyššie, v podstate všetky formy prenosu údajov medzi EÚ a USA sa opierajú o Bidenovo výkonné nariadenie (EO 14.086). Trump opakovane hrozil, že tento príkaz zruší. Už v deň jeho inaugurácie sa v médiách objavili správy, že slepo zruší všetky Bidenove EO. Nakoniec podpísal EO 14.148, ktorým zrušil len 68 Bidenových EO a 11 Bidenových prezidentských memoránd - nie však EO 14.086.

EO 14.148 požaduje, aby všetky "národnobezpečnostné" EOs boli do 45 dní preskúmané poradcom pre národnú bezpečnosť - to sa malo stať do 6.3.2025. O žiadnych následných zmenách neboli žiadne správy. To však neznamená, že EO 14.086 nebol medzitým (čiastočne) zrušený, keďže Prezident USA môže vydať "tajné" EO, ktoré menia zverejnený EO 14.086. Vzhľadom na nevypočítateľné kroky Trumpa to nie je nepravdepodobný scenár.

V nedávnom výpade v súvislosti s Bidenovým používaním tzv. autoremedúry Trump vyhlásil všetky Bidenove EO podpísané autoremedúrou za neplatné prostredníctvom Príspevku na sociálnej sieti Truth. Je úplne nejasné, či EO 14.086 je takýmto "autopen" EO a či Trumpove príspevky na sociálnych sieťach znamenajú formálne zrušenie týchto EO. Zároveň sa treba pýtať, či sa niektorý úradník NSA cíti byť nimi ešte príliš viazaný. Nie je tiež nepravdepodobné, že po príspevku Truth Social môže nasledovať formálne EO rušiace tieto Bidenove EO.

Ďalším náznakom, že EO 14.086 môže byť na rade, je program "Projekt 2025" na konzervatívne prevzatie vlády USA. Na stránke strane 225autor brojí proti EO 14.086, EÚ a údajne nespravodlivému zaobchádzaniu s USA - takže EO 14.086 je zjavne na programe dňa. Aby to bolo ešte absurdnejšie, autor (Dustin Carmack) je teraz novým "republikánskym" lobistom Meta - spoločnosti, ktorá sa spolieha na EO 14.086, aby ospravedlnila svoje prenosy údajov medzi EÚ a USA, ktoré boli napadnuté v Schrems I a Schrems II.

Celkovo môže EO 14.086 kedykoľvek padnúť - a s ním aj TADPF a s ním takmer všetky TIAS a väčšina SCC, BCR.

Mnoho ďalších možností. Hoci to presahuje rámec tohto príspevku na blogu, existuje mnoho ďalších otázok, pokiaľ ide o mnohé ďalšie prvky použité v TADPF.

Samozrejme, stále existujú zásadné otázky, či TADPF vôbec dosiahol "základnej rovnocennosti". Napríklad:

• Ochrana v EO 14.086 bola do veľkej miery 1:1 kópiou Obamovho EO s názvom PPD-28, ktorý bol zamietnutý SDEÚ v Schrems II.
• Extrémne vysoké bremeno nápravy alebo absencia akéhokoľvek skutočného práva na vypočutie pred DPRC sú na míle vzdialené od článku 47 charty.
• Zásady ochrany obchodných údajov TADPF dokonca ani nevyžadujú právny základ (ako sa vyžaduje v článku 8 ods. 2 charty a článku 6 ods. 1 GDPR), ale vyžadujú len umožnenie výnimky.

Okrem toho sa vyskytli otázky týkajúce sa nezávislosti PCLOB alebo veľkého spoliehania sa EÚ na (nepísané) "Postupy USA" - keď Trump ukázal, že on a jeho administratíva nerešpektujú ani zákony, nieto ešte predchádzajúce "postupy".

Čo môžeme robiť? Podľa môjho názoru sa vlády a správcovia EÚ musia (viac ako kedykoľvek predtým) urýchlene pripraviť na veľmi pravdepodobné zásahy do prenosu údajov medzi EÚ a USA v nasledujúcich mesiacoch. Na stránke Stratégia národnej bezpečnosti USA jasne ukázala, že Trumpova administratíva považuje Európu skôr za nepriateľa než za partnera a že európska digitálna legislatíva je hlavným bodom pravdepodobnej agresie USA.

Jediným dlhodobým riešením je (bohužiaľ) obmedziť akékoľvek prenosy údajov poskytovateľom z USA, pokiaľ majú "vlastníctvo, úschovu alebo kontrolu" európskych osobných údajov. Môže sa vyskytnúť viac ponúk, kde je akýkoľvek faktický prístup z USA technicky nemožný - zatiaľ však jedinou reálnou ochranou, ktorá je na trhu k dispozícii, je prechod na Európskych poskytovateľov.