Otvorený list o budúcnosti prenosu údajov medzi EÚ a USA

Otvorený list o budúcnosti prenosu údajov medzi EÚ a USA

Hoci mnohé detaily sú stále nejasné, objavuje sa čoraz viac podrobností o plánovanej dohode o prenose údajov medzi EÚ a USA. Zdá sa, že tieto podrobnosti vyvolávajú ďalšie otázky týkajúce sa stability akejkoľvek novej dohody o primeranosti zo strany Európskej komisie. Vzhľadom na tento znepokojujúci vývoj zaslal hlavný žalobca vo veciach "Schrems I" a "Schrems II" príslušným zainteresovaným stranám tento otvorený list (PDF):

Vážený pán komisár Didier Reynders,
Vážená pani ministerka Gina Raimondo,
Vážená pani Pauline Dubarry,
Vážená predsedníčka EDPB Andrea Jelinek,
Vážený pán predseda LIBE Juan Fernando López Aguilar,

Berieme na vedomie oznámenie o principiálnej dohode o novom transatlantickom rámci na ochranu osobných údajov. Chápeme, že budúca dohoda "dohodnutá v zásade" vychádza najmä z politickej dohody medzi predsedníčkou Komisie von der Leyenovou a prezidentom USA Joeom Bidenom, ale nie je výsledkom podstatných zmien práva USA v reakcii na rozsudok SDEÚ. Zdá sa, že tento prístup opakuje dohodu "Privacy Shield" a je hlboko znepokojujúci.

Sme si vedomí, že v oznámení sú načrtnuté len hrubé myšlienky a nadpisy, ale že o konečnom znení sa ešte musí rokovať. Nasledujúce predbežné pripomienky preto vychádzajú z obmedzeného politického oznámenia a ďalších podrobností, ktoré EÚ a USA neformálne poskytli zainteresovaným stranám v rôznych verejných alebo poloverejných formátoch.

Na základe týchto vyhlásení vychádzame z toho, že USA odmietli akúkoľvek podstatnú ochranu pre osoby, ktoré nie sú občanmi USA, a naďalej diskriminujú osoby, ktoré nie sú občanmi USA, tým, že odmietajú základnú ochranu, ako napríklad súdne schválenie jednotlivých opatrení dohľadu.

Chápeme, že plánovaná dohoda sa bude vo veľkej miere opierať o výkonné nariadenia USA. Po spolupráci na tejto záležitosti s odborníkmi a právnikom USA v oblasti dohľadu sa zdá, že takéto výkonné príkazy sú štrukturálne nedostatočné na splnenie požiadaviek SDEÚ.

Na základe známych základných kameňov upozorňujeme vyjednávačov na oboch stranách Atlantiku, Radu EÚ, EDPB a Výbor Európskeho parlamentu pre občianske slobody, spravodlivosť a vnútorné veci (LIBE), že oznámenému rámcu hrozí rovnaký osud ako jeho dvom predchodcom pred SDEÚ, ak sa v Spojených štátoch nevykonajú podstatné (legislatívne) reformy.

Vyzývame vyjednávačov, aby pokračovali v práci na dlhodobom riešení zachovávajúcom súkromie pre transatlantické toky a vyhli sa tak rozhodnutiu "Schrems III". Súčasný prístup môže spôsobiť ďalšiu právnu neistotu pre občanov a podniky na ďalšie roky - obavu, ktorú vyjadrili aj zástupcovia priemyslu v reakcii na "principiálnu dohodu".

Plne si uvedomujeme, že je to všetko, len nie ľahká úloha, ale investícia do jej správneho vyriešenia by nielen zabezpečila dlhodobé riešenie tejto záležitosti, ale bola by aj prínosom pre občanov a hospodárstvo na oboch stranách.

Na dosiahnutie tohto cieľa predkladáme nasledujúce podrobnejšie pripomienky a odporúčania:

(1) Uplatnenie správneho testu proporcionality na právo USA v oblasti dohľadu podľa článku 8 CFR

Chápeme, že vyjednávači USA sa neplánujú usilovať o zmeny a doplnenia zákonného práva USA v súvislosti s materiálnym sledovaním, ale plánujú v podstate nahradiť prezidentskú politickú smernicu č. 28 (PPD-28) o činnosti spravodajských služieb v oblasti signálov novým vykonávacím nariadením, ktoré by obsahovalo slová "nevyhnutné a primerané".

Zdá sa, že cieľom Európskej komisie je zistiť, že tieto slová vo výkonnom nariadení USA by sa mali považovať za rovnocenné s testom proporcionality EÚ v článku 52 Chartyer základných práv (CFR).

Je však ťažké pochopiť, ako môže byť existujúci dohľad USA "nevyhnutný a primeraný" podľa európskeho práva, ak Súdny dvor EÚ v dvoch rozsudkoch výslovne konštatoval opak.

Tento prístup sa zdá byť nedostatočný prinajmenšom z týchto dôvodov:

• V oboch rozsudkoch SDEÚ ("Schrems I"a "Schrems II") Súdny dvor jasne rozhodol, že zákony a postupy sledovania USA porušujú články 7, 8 a 47 Charty základných práv. SDEÚ dokonca výslovne konštatoval, že tieto zákony a postupy nie sú "nevyhnutné a primerané".
• Rozsudok "Schrems II" bol vydaný s prihliadnutím na smernicu PPD28 (ako v tom čase príslušnú smernicu výkonnej moci). Ako Európska komisia a vláda USA argumentovali pred SDEÚ, PPD-28 už obsahuje formuláciu "čo najviac prispôsobené", ktorú Komisia interpretovala ako ekvivalent proporcionality podľa článku 52 CFR. SDEÚ túto myšlienku odmietol. Nechápeme, ako by zákony a postupy, o ktorých SDEÚ výslovne konštatoval, že nie sú "nevyhnutné a primerané", mohli zrazu presvedčiť SDEÚ, ak by sa namiesto "čo najviac prispôsobené" premenovali na "nevyhnutné a primerané".
• Chápeme, že hoci USA môžu prijať tieto slová, nesúhlasili s obmedzením sledovania neamerických subjektov údajovžiadnym podstatným spôsobom. Konkrétne, USA neoznámili žiadny zámer obmedziť alebo revidovať postupy sledovania vykonávané na základe zákonov a programov (FISA 702, EO 12 333, "PRISM" a "Upstream"), ktoré konkrétne uviedol Súdny dvor EÚ vo svojom rozhodnutí. Spojené štáty takisto nenaznačili, že by vykonali nejaké zmeny s cieľom ukončiť svoje praktiky hromadného sledovania. Zdá sa, že programy dohľadu budú pokračovať v nezmenenej podobe. SDEÚ vykonal test proporcionality podľa článku 52 CFR a dospel k záveru, že postupy sledovania USA v tomto teste neuspeli. Ak by USA začlenili koncepciu"nevyhnutnosti a primeranosti", znamenalo by to zastavenie alebo výrazné obmedzenie týchto sledovacích postupov. Vyjednávači jasne uvádzajú, že to nie je zámerom.
• Zdá sa teda, že vyjednávači len kopírujú slová CFR a judikatúry SDEÚ do výkonného nariadenia USA, ale pravdepodobne uplatnia iný význam ako SDEÚ, pretože inak by to muselo viesť k zastaveniu programov Upstream a Downstream (predtým "PRISM") podľa článku 702 zákona o dohľade nad zahraničným spravodajstvom (FISA) a k ukončeniu hromadného sledovania podľa výkonného nariadenia 12 333.
• Ďalej nás znepokojuje, že výkonné príkazy zvyčajne neudeľujú práva tretím stranám. Zdá sa, že aj keby sa vo výkonnom príkaze zaviedol test "nevyhnutnosti a primeranosti" v súlade s článkom 52 CFR, žiadny subjekt údajov by nemusel byť schopný presadiť takéto obmedzenia na súde.

Celkovo sa zdá, že tento prístup len uspokojuje politické, diplomatické a PR požiadavky oboch strán, ale zrejme ignoruje skutočnosť, že SDEÚ už zistil, že sledovanie zo strany USA nie je "nevyhnutné a primerané" a USA budú v týchto praktikách pokračovať.

(2) Vytvorenie zmysluplnej súdnej nápravy podľa článku 47 CFR

Chápeme, že vyjednávači USA neplánujú zmeniť a doplniť právo USA tak, aby sa vytvorili možnosti súdnej nápravy pre dotknuté osoby z EÚ.

Namiesto toho by výkonná moc USA mala vytvoriť nový "orgán" v rámci výkonnej moci (podobný predchádzajúcemu "ombudsmanovi", ale pod právomocou generálneho advokáta), ktorý sa bude zaoberať prípadnými porušeniami práva USA a výkonných príkazov. Tento orgán s názvom "Súd pre kontrolu ochrany údajov" nebude - v rozpore s názvom - "súdom", ale výkonným orgánom. Bude súčasťou výkonnej moci s obmedzenou nezávislosťou.

Chápeme, že dotknuté osoby z EÚ nebudú mať počas konania prístup k informáciám o prípadných operáciách dohľadu, ktoré sa ich týkajú, a nebudú sa môcť odvolať proti rozhodnutiam tohto "súdu" na plne nezávislý súdny orgán zriadený podľa článku 3 ústavy USA.

Zdá sa, že tento prístup je v rozpore s judikatúrou SDEÚ prinajmenšom v tomto aspekte:

• Navrhované riešenie nepredpokladá súdnu nápravu, ale orgánnápravy v rámci výkonnej moci - podobne ako ombudsman, čo SDEÚ považoval nielen za neprimerané, ale aj za porušenie podstaty článku 47 OSP. Samotné pomenovanie orgánu výkonnej moci "súd" nevytvára súdnu nápravu. Zdá sa, že tento prístup je lepšie opísať ako "ombudsman plus".
• Je ťažké si predstaviť, ako by tento nový orgán spĺňal formálne požiadavky súdu alebo tribunálu podľa článku 47 OSP, najmä v porovnaní s prebiehajúcimi prípadmi a normami uplatňovanými v rámci EÚ (napríklad v Poľsku a Maďarsku). Od SDEÚ by sa žiadalo, aby v rámci EÚ uplatňoval "vysokú" normu článku 47 OSP, ale "nízku" normu článku 47 OSP pre "súd na preskúmanie ochrany údajov" v USA. Bola by to Európska komisia, ktorá by musela presvedčiť SDEÚ o týchto rozdielnych normách podľa článku 47 CFR.
• Chápeme, že thnový "súd" bude naďalej fungovať ako súčasný "ombudsman" a nebude ani potvrdzovať, ani vyvracať, či bola osoba predmetom sledovania a či došlo k porušeniu právnych predpisov USA. Chápeme, že dotknutá osoba nebude mať žiadnu priamu ani nepriamu možnosť oboznámiť sa s dôkazmi, požiadať o zistenie skutočností, vypočuť protistranu alebo dostať odôvodnený rozsudok. To z neho urobí inštitúciu "gumového pečiatkovania" bez praktického významu.
• Tento "gumový" prístup obmedzí aj možnosti akéhokoľvek potenciálne plánovaného odvolania na akýkoľvek sekundárny orgán: Ak je "súd pre preskúmanie ochrany údajov" povinný zaslať predpísanú štandardnú odpoveď, nevidíme, že by existoval priestor na akékoľvek informované a zmysluplné vecné odvolanie. Ak bude v každom prípade existovať len jeden možný vopred stanovený výsledok, zdá sa, že neexistuje takmer žiadny prípad, v ktorom by občan mohol upozorniť na chybu, pretože sa zdá, že existuje len jedna možná odpoveď.
• Existujú zásadné otázky, či americké doktríny ako "štátne tajomstvo" budú platiť pre tieto orgány a ďalej obmedzia akúkoľvek možnosť spravodlivého vypočutia. Chápeme, že vláda USA sa bude naďalej spoliehať na tieto doktríny.

Súhrnne povedané, nechápeme, ako by tento nový "súd" bol v súlade s článkom 47 OSP, najmä vzhľadom na nedávnu judikatúru SDEÚ týkajúcu sa dohľadu USA, ale aj vzhľadom na judikatúru SDEÚ týkajúcu sa súdnej nápravy a právneho štátu v členských štátoch EÚ. Zdá sa, že SDEÚ by musel vypracovať samostatný test podľa článku 47 OSP pre USA, aby zistil, že výkonný orgán, ktorý vypracúva odpovede s gumovou pečiatkou, je skutočne formou súdnej nápravy. Nevidíme, ako je takýto vývoj v judikatúre SDEÚ vzdialene realistický alebo dokonca žiaduci.

(3) Potreba aktualizovať ochranu súkromia v obchodnom styku

Okrem nedostatkov ohlásenej dohody v zásade spojených s nedostatkom reforiem v oblasti dohľadu nad USA a zákonov, upozorňujeme vyjednávačov EÚ aj na potrebu aktualizovať povinnosti v oblasti ochrany komerčných údajov v rámci akejkoľvek budúcej dohody.

Sme znepokojení tým, že vyjednávači EÚ a USA zrejme neplánujú žiadnu aktualizáciu samotných zásad štítu na ochranu súkromia. Chápeme, že zásady a certifikácie štítu na ochranu súkromia by sa nemali dotknúť, dokonca ani premenovať. To je nesmierne problematické, keďže zásady sú z veľkej časti založené na zásadách "bezpečného prístavu" z roku 2000, pričom v roku 2016 boli len mierne aktualizované. Nie sú v súlade s požiadavkami GDPR, ktoré sa začali uplatňovať v roku 2018. V skutočnosti zásady štítu na ochranu súkromia dokonca odkazujú na už dávno neplatnú smernicu 95/46/ES, a nie na nariadenie GDPR.

Na tomto mieste uvádzame niekoľko príkladov niektorých z mnohých nedostatkov zásad štítu na ochranu súkromia a oblastí, v ktorých sa odchyľujú od nariadenia GDPR:

• Zásady štítu na ochranu súkromia nemajú všeobecnú požiadavku na právny základ, ako je to podľa článku 6 ods. 1 GDPR a článku 8 ods. 2 diagramu základných práv. V skutočnosti existuje len tzv. prístup "notice & choice" (oznámenie a voľba) s právom odmietnuť (opt-out). Najmä preto, že zásady sa zvyčajne vzťahujú na subdodávateľov bez priameho kontaktu s dotknutou osobou, sa zdá, že sotva existuje reálny scenár, v ktorom by bola dotknutá osoba vôbec informovaná o problematickom spracúvaní.
• Zásady štítu na ochranu súkromia nevyžadujú, aby spracúvanie údajov bolo "nevyhnutné", ako sa vyžaduje v článku 5 ods. 1 písm. c) GDPR a článku 52 ods. 1 CFR, ale len "relevantné".
• Väčšina prvkov práva na prístup podľa článku 15 GDPR a článku 8 odser základných práv nie je zohľadnená v zásadách štítu na ochranu súkromia.
• Mechanizmus nápravy proposkytovaný v rámci zásad je založený na súkromnom rozhodcovskom konaní, čo je systém, ktorý je vo vzťahu k spotrebiteľom v EÚ zakázaný od smernice 93/13/EHS. Súkromné rozhodcovské služby sú platené americkou spoločnosťou a nemajú potrebné mechanizmy "dohľadu a zisťovania" ani právomoci, ktoré by sa aspoň vzdialene podobali právomociam dozorných orgánov EÚ podľa článku 58 GDPR. Na to, aby bolo akékoľvek rozhodcovské rozhodnutie skutočne vykonateľné podľa práva USA, existuje viacero krokov.

Existuje nespočetné množstvo ďalších príkladov, keď zásady štítu na ochranu súkromia nie sú "v podstate rovnocenné" s GDPR, a preto umožňujú konkurentom z USA pôsobiť na európskom trhu bez toho, aby dodržiavali právo EÚ. Aj keby sa vyriešili otázky dohľadu zo strany USA, Súdny dvor EÚ môže akúkoľvek novú dohodu vyhlásiť za neplatnú na základe toho, že zásady štítu na ochranu súkromia vôbec nie sú "v podstate rovnocenné" s GDPR.

Budúcnosť medzinárodných prenosov údajov

Je nám ľúto, že vyjednávači nevyužili túto príležitosť na zabezpečenie ochrany ľudských práv na súkromie a ochranu údajov na oboch stranách Atlantiku a nezávisle od geografickej polohy alebo občianstva. Sme hlboko presvedčení, že globálny internet a voľný tok osobných údajov je možný len vtedy, ak ochrana nebude založená na historických a nacionalistických koncepciách, ako je napríklad občianstvo. Zatiaľ čo GDPR a články 7, 8 a 47 CFR sú ľudskými právami a vzťahujú sa na každého používateľa nezávisle od štátnych väzieb, FISA 702 a príslušné výkonné príkazy v USA sa naďalej riadia archaickou koncepciou "osôb z USA" a "osôb mimo USA".

To spôsobuje nielen porušovanie ľudských práv, ale zdá sa, že to podkopáva aj údajné ciele týchto zákonov o sledovaní: Vieme, že väčšina súčasných nebezpečenstiev (ako napríklad domáci terorizmus, špionáž a podobne) nie je založená na štátnej príslušnosti cieľa.

Vyzývame vyjednávačov a ďalšie príslušné zainteresované strany vrátane takých, ako je technologický priemysel USA, aby spochybnili tradičné nacionalistické koncepcie. Ak by internet nemal poznať hranice štátov, naše práva na súkromie a zákony o sledovaní musia rovnako prekonať nacionalistické koncepcie. Jednou z možností by boli medzinárodné dohody medzi demokratickými národmi.

Kapitola 5 GDPR už umožňuje voľný tok údajov - ak je ochrana "v zásade rovnocenná". Je nám ľúto, že vnútroštátne zákony o dohľade v USA a EÚ sa stále držia pojmov ako občianstvo a zatiaľ im chýbajú moderné ustanovenia o interoperabilite.

Tento konflikt (interoperabilnej) ochrany súkromia a (nacionalistických) zákonov o dohľade bráni medzinárodným tokom údajov, obchodu a konvergencii.

Reakcia na každé nové rozhodnutie o primeranosti

Keďže naše súdne spory sú vždy zamerané na zabezpečenie trvalého riešenia, ktoré chráni údaje používateľov a zároveň umožňuje voľný tok údajov, boli by sme prví, ktorí by takýto výsledok ocenili. Stále dúfame, že akýkoľvek konečný text dokáže prekonať nedostatky, na ktoré sme poukázali v tomto liste, a vyzývame vyjednávačov na oboch stranách Atlantiku, aby presadzovali veľmi potrebné reformy práva USA.

Ak tieto legislatívne zmeny chýbajú, obávame sa, že akákoľvek budúca dohoda bude (opäť) vychádzať z politických nádejí namiesto právnej reality. Obzvlášť nás znepokojuje, že Európska komisia môže vedome prijať ďalšie nezákonné rozhodnutie o primeranosti s cieľom oslabiť rozsudky SDEÚ. To sa často označuje ako "kupovanie si ďalších pár rokov". Môže to viesť nielen k nekonečnému ping-pongu medzi Bruselom a Luxemburskom, ale ohrozuje to aj dôveru v právny štát a SDEÚ na európskej úrovni.

Vzhľadom na uvedené skutočnosti je noyb pripravený napadnúť akékoľvek konečné rozhodnutie o primeranosti, ktoré by neposkytlo potrebnú právnu istotu. V prípade, že takýto súdny spor bude skutočne potrebný, zameriame sa najmä na rýchlu a účinnú cestu k SDEÚ s cieľom dosiahnuť rýchle rozhodnutie. Dúfame, že to zabezpečí kratšie obdobie právnej neistoty v prípade akejkoľvek nedomyslenej politickej dohody.

Takáto výzva môže zahŕňať žiadosť, aby SDEÚ pozastavil uplatňovanie akejkoľvek tretej verzie rozhodnutia USA o primeranosti. Takáto možnosť sa predpokladá v článku 278 ZFEÚ a mohla by zabezpečiť, aby Európska komisia nepodkopávala SDEÚ prijímaním ďalších nezákonných rozhodnutí o primeranosti v snahe predbehnúť preskúmanie týchto rozhodnutí SDEÚ.

Dúfame, že tieto predbežné pripomienky sú pre vás užitočné. Sme vám k dispozícii v prípade, že máte akékoľvek otázky alebo by ste nám chceli poskytnúť ďalšie vysvetlenia k predpokladanej novej dohode.

S úctou,

Max Schrems

Čestný predseda, noyb