Brusel 28. februára – Európsky výbor pre ochranu údajov (EDPB) prijal stanovisko k návrhu rozhodnutia o primeranosti v súvislosti s rámcom ochrany osobných údajov medzi EÚ a USA. EDPB víta významné zlepšenia, ako napríklad zavedenie požiadaviek ukotvujúcich zásady nevyhnutnosti a primeranosti pri zhromažďovaní údajov zo strany spravodajských služieb USA a nový mechanizmus nápravy pre dotknuté osoby z EÚ. Zároveň však vyjadruje znepokojenie a žiada vysvetliť viaceré body. Konkrétne ide o určité práva dotknutých osôb, následné prenosy, rozsah výnimiek, dočasné hromadné zhromažďovanie údajov a fungovanie mechanizmu nápravy v praxi. EDPB by uvítal, keby nielen nadobudnutie účinnosti, ale aj prijatie rozhodnutia bolo podmienené prijatím aktualizovaných politík a postupov vykonávania dekrétu č. 14086 zo strany všetkých spravodajských služieb USA. EDPB odporúča Komisii, aby posúdila tieto aktualizované politiky a postupy a informovala Výbor, ako ich vyhodnotila.
Predsedníčka EDPB Andrea Jelinek v tejto súvislosti uviedla: „Ochrana práv a slobôd jednotlivcov z EÚ si nevyhnutne vyžaduje vysokú úroveň ochrany údajov. Hoci uznávame, že došlo k výraznému zlepšeniu právneho rámca USA, odporúčame riešiť vyjadrené obavy a poskytnúť požadované vysvetlenia, aby sa rozhodnutie o primeranosti nemuselo meniť. Z rovnakého dôvodu sa domnievame, že po prvom preskúmaní rozhodnutia o primeranosti by sa malo minimálne každé tri roky vykonať následné preskúmanie. Sme odhodlaní sa na ňom podieľať.“
Návrh rozhodnutia o primeranosti, ktorý Európska komisia uverejnila 13. decembra 2022, vychádza z rámca ochrany osobných údajov medzi EÚ a USA (Data Privacy Framework – DPF). Rámec je náhradou za štít na ochranu osobných údajov (Privacy Shield), ktorý Súdny dvor Európskej únie zrušil v rozsudku vo veci Schrems II. Kľúčovou zložkou DPF sú zásady rámca ochrany osobných údajov medzi EÚ a USA, ktoré vydalo ministerstvo obchodu USA. DPF sa vzťahuje len na organizácie v USA, ktoré vykonali samoosvedčenie. EDPB teraz prijal stanovisko k návrhu rozhodnutia, v ktorom sa posudzujú obchodné aspekty, ako aj prístup orgánov verejnej moci USA k údajom a ich využívanie.
Pokiaľ ide o obchodné aspekty, EDPB víta mnohé aktualizácie zásad DPF. Takisto poznamenáva, že viaceré zásady zostávajú v podstate rovnaké ako v štíte na ochranu osobných údajov (Privacy Shield). Určité znepokojenie preto pretrváva napríklad v súvislosti s niektorými výnimkami z práva na prístup, chýbajúcim vymedzením kľúčových pojmov, nejasnosťou uplatňovania zásad DPF na sprostredkovateľov údajov, širokou výnimkou z práva na prístup k verejne dostupným informáciám a chýbajúcimi osobitnými pravidlami pre automatizované rozhodovanie a profilovanie. EDPB znovu opakuje, že následné prenosy nesmú oslabovať úroveň ochrany. Vyzýva preto Komisiu, aby vyjasnila, že záruky, ktoré pôvodný príjemca nariadil dovozcovi v tretej krajine, musia byť účinné z hľadiska právnych predpisov tretej krajiny, a to ešte pred následným prenosom.
EDPB okrem toho žiada Komisiu, aby objasnila rozsah výnimiek z povinnosti dodržiavať zásady DPF, a zdôrazňuje význam účinného dohľadu nad DPF a jeho presadzovania. Tieto aspekty bude EDPB pozorne monitorovať, rovnako ako aj účinnosť spôsobov nápravy poskytovaných dotknutým osobám z EÚ, ktorých údaje sa spracúvajú v rozpore s DPF.
Pokiaľ ide o prístup vlády k údajom prenášaným do USA, EDPB oceňuje významné zlepšenia, ktoré priniesol dekrét č. 14086. Dekrét zavádza koncepcie nevyhnutnosti a primeranosti, pokiaľ ide o zhromažďovanie údajov zo strany spravodajských služieb USA (signálové spravodajstvo).
Okrem toho nový mechanizmus nápravy zakladá práva pre jednotlivcov z EÚ a podlieha preskúmaniu zo strany Rady pre dohľad nad ochranou súkromia a občianskych slobôd (PCLOB). Dekrét takisto zakotvuje viac záruk na zabezpečenie nezávislosti odvolacieho súdu pre ochranu údajov (DPRC) v porovnaní s predchádzajúcim mechanizmom ombudsmana a zavádza účinnejšie právomoci na nápravu porušení práva vrátane dodatočných záruk pre dotknuté osoby.
EDPB zdôrazňuje, že je potrebné dôkladne monitorovať praktické uplatňovanie novozavedených zásad nevyhnutnosti a primeranosti. Hlbšie objasnenie treba aj v súvislosti s dočasným hromadným zhromažďovaním údajov a ďalším uchovávaním a šírením hromadne zozbieraných údajov.
EDPB je takisto znepokojený tým, že pri hromadnom zbere údajov podľa dekrétu č. 12333 neexistuje požiadavka na predchádzajúce povolenie zo strany nezávislého orgánu, ako aj absenciou systematického nezávislého preskúmania ex post súdom alebo rovnocenným nezávislým orgánom. Pokiaľ ide o predchádzajúce nezávislé povolenie sledovania podľa článku 702 zákona FISA (zákona o dohľade nad zahraničnou rozviedkou), EDPB vyjadruje poľutovanie nad tým, že súd FISA neskúma dodržiavanie dekrétu č. 14086, keď osvedčuje programy povoľujúce zacielenie sledovania na osoby, ktoré nie sú občanmi USA, hoci spravodajské orgány vykonávajúce daný program sú týmto dekrétom viazané. Obzvlášť užitočné by boli správy PCLOB o tom, ako sa budú uplatňovať záruky vyplývajúce z dekrétu č. 14086 a ako sa tieto záruky uplatňujú pri zhromažďovaní údajov podľa článku 702 zákona FISA a dekrétu č. 12333. Pokiaľ ide o mechanizmus nápravy, EDPB uznáva poskytnuté dodatočné záruky, napríklad úlohu osobitných advokátov a preskúmanie mechanizmu nápravy zo strany PCLOB. EDPB je zároveň znepokojený tým, že DPRC plošne uplatňuje štandardnú odpoveď, v ktorej sa sťažovateľovi oznamuje, že buď neboli zistené žiadne predmetné porušenia zákona, alebo bolo vydané rozhodnutie vyžadujúce primeranú nápravu, najmä vzhľadom na to, že proti tomuto rozhodnutiu nemožno podať odvolanie. EDPB preto vyzýva Komisiu, aby pozorne monitorovala fungovanie tohto mechanizmu v praxi.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.