Brusel 28. února – Evropský sbor pro ochranu osobních údajů (EDPB) přijal stanovisko k návrhu rozhodnutí o odpovídající ochraně v souvislosti s rámcem EU–USA pro ochranu osobních údajů. EDPB vítá podstatná zlepšení, jako je zavedení požadavků, které jsou zhmotněním zásady nezbytnosti a proporcionality pro shromažďování údajů v USA, a nový mechanismus nápravy pro subjekty údajů z EU. Zároveň vyjadřuje obavy a žádá o objasnění několika bodů. Ty se týkají se zejména určitých práv subjektů údajů, dalšího předávání, rozsahu výjimek, dočasného hromadného shromažďování údajů a praktického fungování mechanismu nápravy. EDPB by uvítal, kdyby nejen vstup v platnost, ale také přijetí rozhodnutí bylo podmíněno přijetím aktualizovaných politik a postupů k provedení prezidentského dekretu č. 14086 všemi zpravodajskými službami USA. EDPB doporučuje Komisi, aby tyto aktualizované politiky a postupy posoudila a své posouzení sdílela s EDPB.
Předsedkyně EDPB Andrea Jelinek uvedla: „Vysoká úroveň ochrany osobních údajů má zásadní význam pro ochranu práv a svobod jednotlivců v EU. Ačkoli uznáváme, že zlepšení právního rámce USA jsou významná, doporučujeme reagovat na vyjádřené obavy a poskytnout vysvětlení požadovaná k zajištění odolnosti rozhodnutí o odpovídající ochraně přetrvá. Ze stejného důvodu se domníváme, že po prvním přezkumu rozhodnutí o odpovídající ochraně by se následné přezkumy měly provádět nejméně jednou za tři roky a my jsme připraveni k nim přispívat.“
Návrh rozhodnutí o odpovídající ochraně, který Evropská komise zveřejnila dne 13. prosince 2022, vychází z rámce EU–USA pro ochranu údajů. Ten má nahradit štít mezi EU a USA pro ochranu osobních údajů, který Soudní dvůr Evropské unie zneplatnil v rozsudku ve věci Schrems II. Klíčovou složkou rámce pro ochranu údajů jsou rámcové zásady EU a USA pro ochranu údajů, které vydalo Ministerstvo obchodu USA. Rámec pro ochranu údajů se vztahuje pouze na organizace z USA, které provedly autocertifikaci. EDPB nyní přijal stanovisko k návrhu rozhodnutí, které zohledňuje jak obchodní aspekty, tak přístup orgánů USA k údajům a jejich využívání.
Pokud jde o obchodní aspekty, EDPB vítá řadu aktualizací zásad směrnice o ochraně údajů. Rovněž konstatuje, že řada zásad zůstává v podstatě stejná jako v rámci štítu na ochranu soukromí. Některé obavy jako takové přetrvávají, například pokud jde o některé výjimky z práva na přístup, neexistenci klíčových definic, nejasnosti ohledně uplatňování zásad rámce pro ochranu údajů na zpracovatele, širokou výjimku z práva na přístup k veřejně dostupným informacím a neexistenci zvláštních pravidel pro automatizované rozhodování a profilování. EDPB dále opakuje, že úroveň ochrany nesmí být oslabována dalším předáváním. Vyzývá proto Komisi, aby objasnila, že záruky uložené původním příjemcem dovozci ve třetí zemi musí být účinné s ohledem na právní předpisy třetí země před dalším předáním.
EDPB kromě toho žádá Komisi, aby objasnila rozsah výjimek týkajících se povinnosti dodržovat zásady rámce pro ochranu údajů, a zdůrazňuje význam účinného dohledu a prosazování rámce pro ochranu údajů. Tyto aspekty bude EDPB pozorně sledovat a monitorovat bude také účinnost opravných prostředků poskytovaných subjektům údajů z EU, jejichž údaje jsou zpracovávány v rozporu s nařízením o ochraně údajů.
Pokud jde o přístup vlády k údajům předávaným do USA, EDPB uznává významná zlepšení, která přinesl prezidentský dekret č. 14086. Uvedený prezidentský dekret zavádí pojmy nezbytnosti a přiměřenosti, pokud jde o shromažďování zpravodajských informací v USA (signálové zpravodajství).
Nový mechanismus nápravy navíc zakládá práva pro jednotlivce z EU a podléhá přezkumu ze strany Výboru pro dohled nad ochranou soukromí a občanských svobod (PCLOB). Prezidentský dekret rovněž zakotvuje více záruk k zajištění nezávislosti soudu pro přezkum ochrany údajů ve srovnání s předchozím mechanismem ombudsmana a zavádí účinnější pravomoci k nápravě porušení, včetně dodatečných záruk pro subjekty údajů.
EDPB zdůrazňuje, že je třeba pečlivě sledovat praktické uplatňování nově zavedených zásad nezbytnosti a proporcionality. Vyjasnění je rovněž nezbytné v souvislosti s dočasným hromadným sběrem a dalším uchováváním a šířením hromadně shromážděných údajů.
EDPB rovněž vyjadřuje znepokojení nad tím, že chybí požadavek předchozího povolení nezávislého orgánu pro hromadné shromažďování údajů podle prezidentského dekretu č. 12333, jakož i nad tím, že soud nebo podobně nezávislý subjekt neprovádí systematický nezávislý přezkum ex post. Pokud jde o předchozí nezávislé povolení sledování podle § 702 zákona FISA, EDPB vyjadřuje politování nad tím, že soud FISA nezkoumá dodržování prezidentského dekretu č. 14086, když certifikuje programy povolující cílení na osoby, které nejsou občany USA, i když jím jsou zpravodajské orgány provádějící program vázány. Obzvláště užitečné by byly zprávy PCLOB o tom, jak budou prováděny záruky podle prezidentského dekretu č. 14086 a jak jsou tyto záruky uplatňovány při shromažďování údajů podle § 702 zákona FISA a prezidentského dekretu č. 12333. Pokud jde o mechanismus nápravy, EDPB uznává poskytnuté dodatečné záruky, jako je úloha zvláštních advokátů a přezkum mechanismu nápravy ze strany výboru PCLOB. EDPB je zároveň znepokojen obecným uplatňováním standardní odpovědi soudu pro přezkum ochrany údajů oznamující stěžovateli, že buď nebyla zjištěna žádná dotčená porušení, nebo že bylo vydáno rozhodnutí vyžadující odpovídající nápravu, zejména vzhledem k tomu, že proti tomuto rozhodnutí nelze podat opravný prostředek. EDPB proto vyzývá Komisi, aby pečlivě sledovala praktické fungování tohoto mechanismu.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.