Předávání dat do USA: Privacy Shield má mezery. Stihne v červnu vstoupit v platnost?

zdroj: Evropská komise

Nový systém s názvem Štít pro ochranu osobních údajů (Privacy Shield), který má nastavit nová pravidla pro předávání osobních dat Evropanů do Spojených států, má podle národních úřadů pro ochranu osobních údajů vážné nedostatky. Hrozí proto, že únorová dohoda neposkytne dostatečné záruky pro to, aby americké úřady nemohly Evropany nadále sledovat. To před třemi lety odkryla aféra Edwarda Snowdena.

Řada evropských firem, jako je sociální síť Facebook nebo korporace poskytující softwarové služby (Google, Microsoft), využívají pro uchování dat svých zákazníků a zaměstnanců úložiště ve Spojených státech. Předávání dat do USA od roku 2000 umožňovala dohoda Safe Harbor (bezpečný přístav), která však byla před půl rokem rozsudkem Soudního dvora EU zneplatněna.

Důvodem byla žaloba rakouského právníka Maxe Schremse, který po aféře Edwarda Snowdena Safe Harbor napadl s tím, že umožňuje masové sledování Evropanů americkými úřady. Konkrétně měla odposlechy a sledování na svědomí americká Národní bezpečnostní agentura (NSA), která sbírá data ze zahraniční komunikace a získává zprávy cizích rozvědek.

Přečtěte si také: Rozhovor s komisařkou Jourovou o tom, jak bude zajištěno, aby byl systém Privacy Shield funkční

Evropská komise se proto s USA začátkem roku dohodla na nové podobě pravidel s názvem Privacy Shield, která by měla vstoupit v platnost v červnu. Do té doby však musí nový mechanismus schválit také členské státy, které by měly verdikt vyřknout v květnu. Nyní o systému jednají národní vyjednavači, kteří se poprvé sešli začátkem dubna a další setkání mají naplánované na konec měsíce a 19. května.

K systému Privacy Shiled se minulý týden vyjádřila také Pracovní skupina podle článku 29 (WP29) složená ze zástupců úřadů na ochranu osobních údajů zemí EU, představitele Komise a zástupce eurokomisaře pro ochranu osobních údajů. Ta sice uznala pokrok oproti systému Safe Harbor, nový dokument je však podle jejího prohlášení stále nedostatečný a záruky pro ochranu osobních dat Evropanů v USA by se měly co nejvíce přiblížit pravidlům nastaveným v EU, která jsou mnohem přísnější.

Předsedkyně Pracovní skupiny Isabelle Falque-Pierrotinová odmítla říct, zda považuje červnový termín za realistický. Členské státy totiž stále mohou v dohodě uzavřené se Spojenými státy požadovat změny.

Co Pracovní skupina kritizuje?

Stanovisko Pracovní skupiny sice není právně závazné, členské státy a Komise však na její podněty slyší. Vnitrostátní úřady na ochranu údajů totiž mohou mezinárodní přenos dat pozastavit a legislativa některých členských států jim umožňuje dohodu napadnout u Soudního dvora EU.

Obavy u Pracovní skupiny vzbuzuje například to, že pokud dojde k porušení dohody ze strany amerických úřadů, nápravný mechanismus bude pro Evropany příliš složitý a nepřehledný. V takovém případě totiž Evropané mohou podat stížnost u dané společnosti, která ji musí vyřešit do 45 dnů. Obrátit se mohou také na orgán pro ochranu údajů ve své zemi a krajní možností je rozhodčí řízení.

Nápravu má také zajišťovat ombudsman nezávislý na národních bezpečnostních službách, který bude posuzovat jednotlivé stížnosti. Pracovní skupina však o jeho nezávislosti pochybuje a tvrdí, že nemá ani dostatek pravomocí.

„Nemáme dostatek bezpečnostních záruk o postavení ombudsmana a o jeho účinných pravomocech, které zajistí, že se bude jednat o skutečně nezávislou instituci,“ uvedla Falque-Pierrotinová. Nová funkce veřejného ochrance totiž vznikne pod americkým ministerstvem zahraničí a bude zcela v jeho působnosti.  

Pracovní skupina rovněž požaduje, aby byla míra ochrany dat srovnatelná s evropskými pravidly. Ty se však změní v roce 2018, kdy má vstoupit v platnost Obecné nařízení o ochraně osobních dat (GDPR), na kterém se evropské instituce shodly koncem loňského roku.

Stihne se červnový termín?

Pracovní skupina rovněž požaduje přesně definovat celkem šest výjimek, za jakých budou americké úřady moci Evropany sledovat. Jedná se například o případy terorismu, špionáže nebo kybernetickou bezpečnost. Podle  Falque-Pierrotinové skupina sice s ohledem na boj proti terorismu bere na vědomí „rostoucí tendenci shromažďovat stále více údajů v masovém a nediskriminačním měřítku“, je ale prý potřeba jasně stanovit, za jakých podmínek budou americké úřady moci za účelem boje proti terorismu data sbírat.

Podle české eurokomisařky pro spravedlnost, ochranu spotřebitele a rovnost žen a mužů Věry Jourové, která s americkou stranou novou dohodu dojednávala, stanovisko WP29 „obsahuje řadu užitečných doporučení a Komise se je bude snažit rychle zahrnout do jejího konečného rozhodnutí“. Podle názoru jednoho z národních vyjednavačů by to však znamenalo celou dohodu s USA znovu projednat.

Podobně to vidí také Wim Nauwelaerts z bruselské právnické firmy Hunton & Williams, který tvrdí, že stanovisko Pracovní skupiny „v podstatě posílá Evropskou komisi zpět k rýsovacímu prknu“.

„Americké úřady pravděpodobně nebudou mít zájem na znovuzahájení jednání o těchto základních prvcích. A pokud ano, zahájení platnosti štítu začátkem června, jak původně naplánovala Komise, se zdá nepravděpodobné,“ dodal.

Eliška Kubátová s využitím EurActiv.com