EDPB přijal stanovisko k EU & US Data Privacy Framework

Evropský sbor pro ochranu osobních údajů vítá podstatná zlepšení, jakými jsou zavedení požadavků ztělesňujících zásady nezbytnosti a proporcionality pro shromažďování údajů zpravodajskými službami Spojených států amerických a nový mechanismus nápravy pro subjekty údajů z EU. Zároveň vyjadřuje obavy a požaduje vysvětlení v několika bodech. Ty se týkají zejména určitých práv subjektů údajů, dalšího předávání, rozsahu výjimek, dočasného hromadného shromažďování údajů a praktického fungování mechanismu nápravy. EDPB by proto uvítal, pokud by vstup v platnost, stejně tak jako přijetí rozhodnutí byly podmíněny přijetím aktualizovaných politik a postupů k implementaci výkonného nařízení 14086 všemi zpravodajskými agenturami Spojených států amerických. Evropský sbor proto doporučuje Evropské komisi, aby posoudila tyto aktualizované politiky a postupy a své hodnocení sdílela s Evropským sborem pro ochranu osobních údajů.

Předsedkyně EDPB paní Andrea Jelinek v této souvislosti uvedla, že „vysoká úroveň ochrany údajů je nezbytná pro ochranu práv a svobod jednotlivců v Evropské unii. I když uznáváme, že zlepšení zavedená do právního rámce USA jsou významná, doporučujeme zabývat se vyjádřenými obavami a poskytnout požadovaná objasnění tak, aby bylo zajištěno, že rozhodnutí o přiměřenosti přetrvá. Ze stejného důvodu si myslíme, že po prvním přezkumu rozhodnutí o přiměřenosti by se následující přezkumy měly konat alespoň každé tři roky a my jsme odhodláni k nim přispívat.“

Návrh rozhodnutí o přiměřenosti, zveřejněný Evropskou komisí dne 13. prosince 2022, je založen na EU & US Data Privacy Framework (DPF). Ten by měl nahradit Privacy Shield zrušený Soudním dvorem EU v rozsudku Schrems II. Klíčovou součástí DPF jsou přitom Rámcové zásady EU & US Data Privacy Framework Principles vydané Ministerstvem obchodu Spojených států amerických. DPF se vztahuje pouze na organizace v USA, které mají vlastní certifikaci. EDPB nyní přijal své stanovisko k návrhu rozhodnutí, které se zabývá jak obchodními aspekty, tak přístupem a používáním údajů orgánů veřejné moci USA.

Pokud jde o obchodní aspekty, pak EDPB vítá řadu aktualizací zásad DPF a poznamenává, že řada zásad zůstává v podstatě stejná jako v rámci Privacy Shield na ochranu soukromí. Z tohoto důvodu přetrvávají určité obavy, které se týkají například některých výjimek z práva na přístup, absence klíčových definic, nejasnosti ohledně uplatňování zásad DPF na zpracovatele, široké výjimky z práva na přístup pro veřejnost, dostupné informace a nedostatek konkrétních pravidel pro automatizované rozhodování a profilování. EDPB dále opakuje, že úroveň ochrany nesmí být narušena dalšími převody. Vyzývá proto Evropskou komisi, aby objasnila, že záruky uložené původním příjemcem dovozci ve třetí zemi musí být účinné s ohledem na právní předpisy třetí země, a to před dalším převodem.

Kromě toho EDPB žádá, aby EK objasnila rozsah výjimek, pokud jde o povinnost dodržovat zásady DPF, a zdůrazňuje význam účinného dohledu a vymáhání DPF. Tyto aspekty bude evropský sbor pozorně bedlivě sledovat, spolu s účinností opravných prostředků poskytovaných subjektům údajů v EU, jejichž údaje jsou zpracovávány v rozporu s DPF.

Pokud jde o vládní přístup k údajům předávaným do USA, EDPB uznává významná zlepšení, která přineslo nařízení (EO) č. 14086, které zavádí pojmy nezbytnosti a proporcionality s ohledem na shromažďování údajů v USA.

Kromě toho nový mechanismus nápravy vytváří práva pro jednotlivce z Evropské unie a podléhá přezkumu Výboru pro dohled nad soukromím a občanskými svobodami (PCLOB). Nařízení také zakotvuje více záruk pro zajištění nezávislosti soudu pro přezkum ochrany údajů (DPRC) ve srovnání s předchozím mechanismem ombudsmana, a zavádí i účinnější pravomoci k nápravě porušení, včetně dodatečných záruk pro subjekty údajů.

EDPB zdůrazňuje, že je třeba pečlivě sledovat praktické uplatňování nově zavedených zásad nezbytnosti a proporcionality. A je také zapotřebí další vyjasnění ohledně dočasného hromadného shromažďování a dalšího uchovávání a šíření hromadně shromážděných údajů.

EDPB dále vyjadřuje znepokojení nad tím, že neexistuje požadavek předchozího povolení nezávislým orgánem pro hromadné shromažďování údajů podle nařízení (EO) č. 12333, jakož i z nedostatku systematického nezávislého přezkumu ex post soudem nebo rovnocenně nezávislým orgánem. Pokud jde o předchozí nezávislé povolení dohledu podle § 702 FISA (Foreign Intelligence Survellance Act - PROCEDURES FOR TARGETING CERTAIN PERSONS OUTSIDE THE UNITED STATES OTHER THAN UNITED STATES PERSONS), EDPB lituje, že soud při certifikaci programů, které povolují zaměření i na osoby mimo Spojené státy americké, nepřezkoumává soulad FISA s výkonným nařízením č. 14086, a to i když jsou jím zpravodajské orgány vázány. 

Originální znění je dostupné na internetových stránkách EDPB.