EVROPSKÁ KOMISE
V Bruselu dne 29.2.2016
COM(2016) 117 final
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
Transatlantické toky údajů: Obnovení důvěry díky silným ochranným opatřením
EVROPSKÁ KOMISE
V Bruselu dne 29.2.2016
COM(2016) 117 final
SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
Transatlantické toky údajů: Obnovení důvěry díky silným ochranným opatřením
1. Úvod: Úloha výměn osobních údajů ve vztahu mezi EU a USA
Pevné transatlantické partnerství mezi Evropskou unií a Spojenými státy má v současné době stejně zásadní význam, jako tomu bylo v historii vždy. Sdílíme společné hodnoty, sledujeme tytéž politické a hospodářské cíle a úzce spolupracujeme v boji proti společným hrozbám pro naši bezpečnost. O trvalé síle našeho vztahu svědčí rozsah našich obchodních výměn i naše úzká spolupráce v celosvětových záležitostech.
Předávání a výměna osobních údajů představují základní prvek, o nějž se opírají úzké vazby mezi Evropskou unií (EU) a Spojenými státy (USA) jak v obchodní oblasti, tak v oblasti prosazování práva. Tyto výměny údajů vyžadují vysokou úroveň ochrany údajů a odpovídající ochranná opatření.
Zprávy týkající se rozsáhlých programů Spojených států spočívajících ve shromažďování informací vyvolaly v červnu 2013 na úrovni EU i členských států vážné obavy ohledně dopadu rozsáhlého zpracovávání osobních údajů orgány veřejné moci i soukromými společnostmi ve Spojených státech na základní práva Evropanů.
V reakci na tuto skutečnost vydala Komise dne 27. listopadu 2013 sdělení o obnovení důvěry v toky údajů mezi EU a USA 1 , které vytyčuje akční plán s cílem obnovit důvěru v předávání údajů v zájmu digitální ekonomiky, ochrany práv fyzických osob v Evropě a širších transatlantických vztahů. Toto sdělení stanovilo následující klíčové kroky nezbytné k dosažení tohoto cíle:
i) přijmout balíček opatření pro reformu ochrany údajů navržený Komisí v roce 2012 2 ;
ii) učinit bezpečný přístav bezpečnějším na základě třinácti doporučení stanovených ve sdělení o bezpečném přístavu 3 , a
iii) posílit ochranná opatření na ochranu údajů při spolupráci v oblasti prosazování práva, a to zejména uzavřením jednání mezi EU a USA o „zastřešující“ dohodě o ochraně údajů. Jedním z cílů této dohody bylo rovněž získat od USA závazky, které se týkaly vymahatelných práv fyzických osob včetně možností dosažení soudních opravných prostředků, zejména na základě přijetí zákona o soudních opravných prostředcích, který rozšiřuje některá práva zakotvená v zákoně USA o ochraně soukromí z roku 1974, jež v dané době platila pouze pro občany USA a pro osoby s trvalým pobytem v USA, i na občany EU.
Tyto cíle byly potvrzeny v politických směrech 4 Junckerovy Komise: „Ochrana údajů je základním právem, které je obzvláště důležité v digitálním věku. Kromě urychleného dokončení legislativní práce na společných pravidlech na ochranu údajů v rámci Evropské unie musíme toto právo prosazovat i v rámci našich vnějších vztahů. V kontextu nedávného odhalení masového sledování nás musí naši blízcí partneři, jako jsou Spojené státy, přesvědčit, pokud chtějí v současných opatřeních „bezpečného přístavu" pokračovat, že tato opatření jsou skutečně bezpečná. USA musí také zaručit právo všech občanů EU prosazovat práva na ochranu údajů u amerických soudů, bez ohledu na to, zda mají bydliště na půdě USA. Bude to mimořádně důležité pro obnovení důvěry v transatlantických vztazích.“
Od té doby Komise na dosažení těchto cílů pracuje. Zintenzívnila jednání o „zastřešující dohodě“, která byla stranami parafována dne 8. září 2015. Byly posíleny interinstitucionální diskuse o balíčku opatření pro reformu ochrany údajů, což dne 15. prosince 2015 vyústilo v uzavření politické dohody mezi Radou a Evropským parlamentem. Pokud jde o transatlantické přenosy údajů v obchodní sféře, zahájila Komise v lednu 2014 jednání s USA o posílení „bezpečného přístavu“. Soudní dvůr zrušením platnosti rozhodnutí o „bezpečném přístavu“ v rozsudku ve věci Schrems ze dne 6. října 2015 5 potvrdil potřebu obnoveného rámce a poskytl další pokyny týkající se podmínek, které by měl tento rámec splňovat. V návaznosti na uvedený rozsudek vydala Komise dne 6. listopadu 2015 pokyny pro společnosti, ve kterých stanovuje alternativní nástroje umožňující i nadále předávání osobních údajů do Spojených států 6 . Dne 2. února 2016 bylo dosaženo politické dohody o novém rámci pro přenos údajů přes Atlantik: štítu mezi EU a USA pro ochranu osobních údajů (Privacy Shield) 7 , který nahradil předchozí režim.
Tyto úspěchy prospějí transatlantickým vztahům a měly by obnovit důvěru Evropanů v digitální ekonomiku a zároveň posílit jejich základní práva. Poskytnou rovněž EU a jejím členským státům pevnější právní rámec pro ochranu údajů, který povede k užší integraci vnitřního trhu, zejména jednotného digitálního trhu, a rovněž umožní EU, aby zintenzívnila své úsilí na podporu a rozvoj mezinárodních norem na ochranu soukromí a osobních údajů.
Zároveň byly zahájeny významné iniciativy, které vedly k podstatným změnám v právním řádu USA. Dne 17. ledna 2014 oznámil prezident Obama 8 reformy činností v oblasti amerického signálového zpravodajství, které byly následně zakotveny v prezidentské směrnici (Presidential Policy Directive) 28 (PPD-28) 9 . Důležité je, že tyto reformy zajistily rozšíření některých oblastí ochrany soukromí i na osoby, které nejsou Američany, a namísto hromadného shromažďování údajů došlo k přeorientování na postup upřednostňující cílené shromažďování údajů a přístup k nim. Komise toto nové zaměření uvítala jako důležitý krok správným směrem 10 . Tento reformní proces byl významný i z hlediska poskytování informací v rámci jednání s USA o štítu mezi EU a USA na ochranu osobních údajů. Od té doby byly zavedeny i další změny. USA například v červnu 2015 schválily zákon o svobodě (USA Freedom Act) 11 , který změnil některé programy Spojených států v oblasti sledování, posílil soudní dohled a zvýšil veřejnou transparentnost jejich využívání. A konečně dne 10. února 2016 schválil Kongres USA zákon o soudních opravných prostředcích (Judicial Redress Act), který byl uzákoněn podpisem prezidenta Obamy dne 24. února 2016 12 .
Toto sdělení přináší s ohledem na uvedené skutečnosti přehled pokroků, kterých jsme dosáhli při realizaci cílů formulovaných ve sdělení z roku 2013. Upozorňuje rovněž na oblasti, kde je třeba ještě zvýšit úsilí, aby bylo možno stmelit transatlantické toky údajů a plně obnovit důvěru v ně.
2. Reforma ochrany údajů v EU
2.1 Souvislosti
Aby bylo možné využít příležitostí a čelit výzvám ve stále více digitalizovaném a vzájemně propojeném světě, předložila Evropská komise v lednu 2012 svůj balíček opatření pro reformu ochrany údajů (dále jen „reforma“). Tato reforma si klade za cíl podpořit důvěru v digitální ekonomiku bez ohledu na to, zda jsou osobní údaje zpracovávány v rámci jednoho členského státu, v EU nebo ve třetích zemích, jako jsou například Spojené státy, tím, že posílí vnitřní předpisy EU a poskytne fyzickým osobám větší kontrolu nad jejich osobními údaji.
Balíček reforem se skládá ze dvou právních nástrojů – z obecného nařízení o ochraně údajů 13 (dále jen „nařízení“), které stanoví společný rámec EU pro ochranu údajů, a ze směrnice o ochraně údajů v oblasti policejní a justiční spolupráce (dále jen „policejní směrnice“) 14 . Komise navrhla nařízení přímo použitelné v členských státech s cílem vytvořit jednotnou normu ochrany údajů společnou pro všechny, a tak eliminovat rozdíly v úrovni ochrany mezi jednotlivými členskými státy. Obdobně policejní směrnice poprvé vymezí společný soubor pravidel na úrovni EU, přičemž zároveň zohlední specifika členských států v oblasti tradic soudnictví a prosazování práva.
Dne 15. prosince 2015 dosáhly Evropský parlament a Rada politické dohody o tomto reformním balíčku, čímž naplnily jedno z klíčových opatření uvedených ve sdělení z roku 2013.
2.2 Co se změnilo?
Nařízení aktualizuje, modernizuje a v některých případech posiluje zásady ochrany údajů zakotvené ve směrnici o ochraně údajů z roku 1995 15 s cílem zaručit právo na respektování soukromí. Zaměřuje se na posílení práv fyzických osob, prohloubení vnitřního trhu EU, zajištění silnějšího prosazování pravidel, zefektivnění mezinárodního předávání osobních údajů a vytvoření světových norem ochrany údajů. Tato pravidla jsou navržena tak, aby byla zaručena ochrana osobních údajů fyzických osob v EU bez ohledu na místo, kam jsou tyto údaje odeslány a kde jsou zpracovávány nebo uloženy – toto místo se může nacházet i mimo EU, k čemuž může v digitálním světě často docházet. Je na místě zvláště zdůraznit celou řadu funkcí této reformy.
Za prvé, územní působnost: nařízení ujasňuje, že se vztahuje i na společnosti usazené ve třetí zemi, budou-li nabízet zboží a služby nebo sledovat chování fyzických osob v EU. Společnosti se sídlem mimo EU budou muset uplatňovat stejná pravidla jako společnosti se sídlem v EU. To zajišťuje komplexní ochranu práv fyzických osob v EU, vytváří rovné podmínky pro Evropskou unii a zahraniční společnosti, a brání to tak konkurenční nerovnováze mezi Evropskou unií a zahraničními společnostmi, které působí v EU nebo se zaměřují na spotřebitele v EU.
Za druhé, silnější prosazování pravidel pro ochranu údajů: nařízení stanoví účinný režim sankcí na základě harmonizace pravomocí vnitrostátních dozorčích orgánů pro ochranu údajů. Tyto orgány budou mít pravomoc ukládat pokuty až do výše 20 milionů EUR nebo do výše 4 % celkového ročního celosvětového obratu dané společnosti. Tato pravomoc ukládat odrazující sankce za nedodržení pravidel pro ochranu údajů ve spojení s výše uvedenou územní působností zajistí, že společnosti podnikající v EU budou k dodržování práva EU maximálně motivovány. Nová pravidla rovněž zavádějí jasnější a přísnější režim odpovědnosti správců a zpracovatelů údajů.
Za třetí, harmonizovaná pravidla spolupráce při prosazování práva: policejní směrnice bude uplatňovat obecné zásady a pravidla ochrany údajů při zpracovávání osobních údajů policejními a justičními orgány v členských státech ve věcech prosazování trestního práva. To zahrnuje harmonizovaná pravidla pro mezinárodní předávání osobních údajů v kontextu spolupráce při prosazování trestního práva 16 . Nová směrnice zvýší úroveň ochrany fyzických osob a zároveň zajistí, aby údaje obětí, svědků a osob podezřelých z trestných činů byly v kontextu vyšetřování trestné činnosti nebo opatření na prosazování práva řádně chráněny. Dohled zajišťují nezávislé vnitrostátní orgány pro ochranu údajů a fyzickým osobám musí být poskytnuty účinné soudní opravné prostředky. Harmonizovanější zákony zároveň umožní policejním a justičním orgánům účinněji spolupracovat jak mezi členskými státy, tak mezi členskými státy a jejich mezinárodními partnery, s cílem účinněji bojovat proti trestné činnosti a terorismu. To tvoří klíčovou součást Evropského programu pro bezpečnost. 17
Za čtvrté, přísná pravidla pro bezpečnější mezinárodní předávání údajů: jak nařízení, tak policejní směrnice obsahují transparentní, detailní a komplexní pravidla předávání osobních údajů do třetích zemí. Zahrnují všechny formy mezinárodního předávání údajů, ať již pro obchodní účely, nebo pro účely prosazování práva, mezi soukromými subjekty nebo orgány veřejné moci, případně mezi soukromými subjekty a orgány veřejné moci. Přestože struktura pravidel mezinárodního předávání údajů zůstává v podstatě stejná jako ve stávající směrnici o ochraně údajů (tj. rozhodnutí o přiměřenosti, standardní smluvní doložky a závazná podniková pravidla, jakož i některé odchylky od všeobecného zákazu předávání osobních údajů mimo EU), reforma tato pravidla mnoha způsoby objasňuje a zjednodušuje, přičemž zároveň snižuje administrativní zátěž. Zavádí rovněž některé nové nástroje pro mezinárodní předávání údajů.
Nařízení dále posiluje pravomoci orgánů EU pro ochranu údajů, a to i s ohledem na mezinárodní předávání údajů. Ve srovnání se stávající směrnicí o ochraně údajů podrobněji vysvětluje a výrazně posiluje ustanovení o nezávislosti, úkolech a pravomocích orgánů EU pro ochranu údajů. To výslovně zahrnuje pravomoc přerušit předávání údajů příjemci ve třetí zemi nebo předávání údajů mezinárodní organizaci. Policejní směrnice obsahuje podobná ustanovení týkající se mezinárodního předávání údajů a pravomocí orgánů pro ochranu údajů v celé oblasti prosazování práva.
Konkrétněji řečeno, pokud jde o pravidla upravující rozhodnutí Komise o přiměřenosti, stanoví nařízení přesný a podrobný výčet prvků, které Komise musí zohlednit při posuzování úrovně ochrany údajů stanovené v právním řádu třetí země. Tento proces se skládá z komplexního posouzení, které musí Komise provést a které by mělo zahrnovat prvek, jenž je rovněž v souladu s rozsudkem ve věci Schrems, tj. pravidla upravující přístup orgánů veřejné moci třetí země k osobním údajům. Dalším klíčovým prvkem tohoto posouzení je, že fyzické osoby požívají účinných a vymahatelných práv na ochranu údajů a mohou se domoci účinné správní a soudní nápravy.
Nařízení dále výslovně vyžaduje, aby Komise pravidelně přezkoumávala, a to nejméně každé čtyři roky, všechna svá rozhodnutí o přiměřenosti s cílem držet krok s veškerým vývojem v relevantních oblastech ve třetí zemi, který může mít přímý nebo dokonce nepříznivý vliv na úroveň ochrany v jejím právním řádu. Toto průběžné sledování přiměřenosti bude představovat dynamičtější proces vzhledem k tomu, že si vyžádá rovněž dialog s orgány dané třetí země.
Pokud jde o předávání údajů do třetích zemí, pro něž nebylo přijato rozhodnutí o přiměřenosti, stanoví toto nařízení podmínky pro využívání alternativních nástrojů pro předávání údajů, například standardních smluvních doložek a závazných podnikových pravidel. Přidává rovněž další nástroje pro předávání údajů, jako jsou například schválené kodexy chování a schválené mechanismy pro vydávání osvědčení. Konečně pak objasňuje situaci, kdy mohou být použity odchylky.
2.3 Další postup
Reforma ochrany údajů je nezbytným krokem k posílení základních práv občanů v digitálním věku a usnadnění podnikání na základě zjednodušení pravidel pro společnosti na jednotném digitálním trhu. Důvěra spotřebitelů v hospodářské subjekty z EU i ze třetích zemí bude motorem, a tudíž i přínosem evropského a celosvětového digitálního hospodářství. Bude mít pozitivní dopad na naše obchodní vztahy s USA, které jsou naším největším obchodním partnerem. Podniky v EU i zahraniční podniky budou díky ní moci fungovat v jasném a stabilním prostředí. Přínosem pro podniky v USA zase bude právní jistota vyplývající z obchodování s integrovaným hospodářským prostorem, který uplatňuje jednotný soubor pravidel pro ochranu údajů.
Společná pravidla v oblasti prosazování práva zajistí lepší ochranu práv fyzických osob a jejich nárok na účinné soudní opravné prostředky. Usnadnění přeshraniční spolupráce mezi policejními a justičními orgány v členských státech zvýší efektivitu prosazování trestního práva, a vytvoří tak podmínky pro účinnější prevenci trestných činů v EU. To jim zároveň umožní i lepší spolupráci s protějšky ve třetích zemích.
V průběhu prvního pololetí roku 2016 by dle očekávání mělo dojít k formálnímu přijetí balíčku reforem Evropským parlamentem a Radou. Nařízení se použije dva roky po svém přijetí, zatímco policejní směrnice stanoví období provádění v trvání dvou let. Všechny zúčastněné strany jak v EU, tak mimo ni by měly využít dvouleté přechodné období k tomu, aby se připravily na nová pravidla. Svou úlohu bude mít i Komise. Během tohoto přechodného období bude Komise úzce spolupracovat s členskými státy, s orgány pro ochranu údajů a s dalšími zúčastněnými stranami s cílem zajistit jednotné uplatňování těchto pravidel a podporovat prostředí připravené na jejich dodržování.
3. Štít mezi EU a USA pro ochranu osobních údajů: Nový transatlantický rámec pro toky osobních údajů
3.1 Souvislosti
S cílem usnadnit toky osobních údajů mezi EU a USA pro obchodní výměny a zároveň zajistit ochranu těchto údajů uznala Komise již v roce 2000, že rámec „bezpečného přístavu“ poskytuje odpovídající úroveň ochrany 18 . V důsledku této skutečnosti mohly být osobní údaje i přesto, že v USA neexistoval obecný zákon o ochraně údajů, volně předávány z členských států EU společnostem v USA, které podepsaly zásady pro ochranu soukromí, z nichž tento rámec vychází.
Ve sdělení o „bezpečném přístavu“ z roku 2013 19 poukázala Komise na řadu nedostatků ve fungování tohoto ujednání v průběhu času, zejména na nedostatečnou transparentnost toho, jak společnosti dodržují zásady tohoto systému, a na to, že americké úřady nedokáží účinně prosazovat, aby společnosti zásady pro ochranu soukromí v rámci tohoto systému dodržovaly. Navíc odhalení týkající se sledování, ke kterým došlo na počátku tohoto roku, vyvolala obavy ohledně množství a rozsahu některých zpravodajských programů USA a úrovně přístupu amerických orgánů veřejné moci k osobním údajům Evropanů předávaným podle zásad „bezpečného přístavu“. S ohledem na tyto a další prvky 20 dospěla Komise k závěru, že zásady „bezpečného přístavu“ je třeba přezkoumat. Komise v této souvislosti formulovala třináct doporučení 21 s cílem posílit a aktualizovat záruky ochrany údajů zabudované do tohoto rámce. Tato doporučení se zaměřila na (i) posílení hmotněprávních zásad ochrany soukromí a zvýšení transparentnosti pravidel na ochranu soukromí, do nichž jsou tyto zásady začleněny, u společností USA, které samy osvědčují, že tyto zásady přijímají; (ii) lepší a účinný dohled orgánů USA nad dodržováním těchto zásad ze strany společností, jeho sledování a prosazování; (iii) dostupnost finančně přijatelných mechanismů řešení jednotlivých stížností; a (iv) potřebu zajistit, aby bylo využívání výjimky týkající se bezpečnosti státu a prosazování zákonů, stanovené v rozhodnutí o „bezpečném přístavu“ z roku 2000, omezeno pouze na nezbytně nutný a přiměřený rozsah.
Na základě těchto třinácti doporučení zahájila Komise v lednu 2014 jednání s orgány Spojených států. Následné zrušení platnosti rozhodnutí o „bezpečném přístavu“ Soudním dvorem dne 6. října 2015 potvrdilo, že je potřeba silnější, nový rámec transatlantických toků obchodních údajů. Rozhodnutí Soudního dvora sice vychází z doporučení Komise z roku 2013, avšak ještě více zdůrazňuje potřebu omezení, ochranných opatření a mechanismů soudní kontroly pro zajištění trvalé ochrany osobních údajů fyzických osob v EU včetně případů, kdy jsou tyto údaje zpřístupněny veřejným orgánům a jsou jimi využívány za účelem národní bezpečnosti, veřejného zájmu nebo prosazování práva.
Dne 2. února 2016 po dvou letech intenzivních diskusí dosáhly EU a USA politické dohody o novém rámci – štítu mezi EU a USA pro ochranu osobních údajů (tzv. Privacy Shield). Toto nové ujednání obsahuje významná nová ochranná opatření a zaručí vysokou úroveň ochrany základních práv fyzických osob v EU. Poskytne potřebnou právní jistotu společnostem na obou stranách Atlantiku, které spolu chtějí obchodovat. A vnese rovněž nový impuls do transatlantického partnerství.
V návaznosti na uzavření jednání s USA předloží Komise toto nové ujednání pracovní skupině zřízené podle článku 29 (jejímiž členy jsou i orgány EU pro ochranu údajů) a vyžádá si její stanovisko ohledně úrovně poskytované ochrany. Rozhodnutí o přiměřenosti navíc může být přijato až poté, co projde postupem projednávání ve výborech. Bude konzultován rovněž evropský inspektor ochrany údajů.
3.2 Co se změnilo?
Štít mezi EU a USA pro ochranu osobních údajů představuje spolehlivou a účinnou reakci jak na třináct doporučení Komise, tak na rozsudek ve věci Schrems. V porovnání s předchozím rámcem obsahuje řadu významných zlepšení s ohledem na závazky, které musí přijmout americké společnosti. Obsahuje také významné nové závazky a podrobné vysvětlení příslušných amerických zákonů a praxe od orgánů USA. Na rozdíl od svého předchůdce obsahuje štít pro ochranu osobních údajů závazky nejen v obchodním sektoru, ale také – ve značné míře a poprvé v historii vztahů EU-USA – v oblasti přístupu orgánů veřejné moci k osobním údajům včetně přístupu pro účely vnitrostátní bezpečnosti. To je s ohledem na judikaturu Soudního dvora zásadním a nutným prvkem vedoucím k obnovení důvěry v transatlantické vztahy po odhaleních týkajících se programů sledování.
Nejvýznamnější úspěchy tohoto nového ujednání lze rozdělit do čtyř hlavních kategorií:
Za prvé, přísné povinnosti společností, jejichž dodržování se bude důsledně vymáhat: nové ujednání bude transparentnější a bude obsahovat účinné mechanismy dohledu s cílem zajistit, aby společnosti dodržovaly pravidla, k jejichž dodržování se právně zavázaly. Americké společnosti, které budou chtít získávat osobní údaje z Evropy v rámci štítu pro ochranu osobních údajů, budou muset přijmout přísné povinnosti týkající se způsobu zpracovávání osobních údajů a zajištění práv fyzických osob. To zahrnuje i zpřísnění podmínek a přísnější ustanovení o odpovědnosti pro společnosti zapojené do štítu pro ochranu osobních údajů, které budou předávat údaje z EU například za účelem dílčího zpracování třetím stranám mimo tento rámec, ať již v USA, nebo v jiných třetích zemích (dále jen „předávání údajů dalším partnerům“). Pokud jde o dohled, ministerstvo obchodu Spojených států se zavázalo k tomu, že bude pravidelně a přísně sledovat, jak společnosti plní své závazky, a že vymýtí „parazity“, tj. společnosti, které nepravdivě tvrdí, že přijaly zásady tohoto systému. Závazky společností jsou podle práva USA právně závazné a vymahatelné Federální obchodní komisí; společnostem, které je nedodržují, budou uloženy přísné sankce.
Za druhé, jasné limity a záruky týkající se transparentnosti při přístupu vlády Spojených států k údajům: americká vláda poprvé poskytla Evropské unii prostřednictvím svého ministerstva spravedlnosti a Úřadu ředitele národních zpravodajských služeb jako orgánu dohlížejícího na celou zpravodajskou činnost USA písemná prohlášení a ujištění, že přístup veřejných orgánů k údajům za účelem prosazování práva, zajištění národní bezpečnosti a pro další účely veřejného zájmu bude podléhat jasným omezením, zárukám a kontrolním mechanismům. USA rovněž zavede pro subjekty údajů z EU nový opravný prostředek v oblasti národní bezpečnosti v podobě veřejného ochránce práv, který bude nezávislý na národních bezpečnostních orgánech. Úkolem veřejného ochránce práv bude řešit stížnosti a dotazy fyzických osob z EU ohledně přístupu za účelem národní bezpečnosti a bude povinen dané fyzické osobě potvrdit, že byly dodrženy příslušné zákony nebo že byly odstraněny případné nedostatky v jejich dodržování. Jedná se o významný krok, který se bude vztahovat nejen na předávání informací v rámci štítu pro ochranu osobních údajů, ale na veškeré osobní údaje předávané do Spojených států za obchodními účely, a to bez ohledu na to, na jakém základě jsou tyto údaje předávány.
Za třetí, účinná ochrana práv fyzických osob v EU na soukromí s několika možnostmi nápravy: podle nového ujednání bude mít kdokoli v Evropě, kdo se domnívá, že došlo ke zneužití jeho údajů, k dispozici několik dostupných a finančně přijatelných možností, jak jako fyzická osoba dosáhnout nápravy, včetně bezplatných subjektů zabývajících se alternativním řešením sporů. Společnosti se zavazují, že budou na stížnosti reagovat ve stanovené lhůtě. Kromě toho se každá společnost, která zpracovává údaje v oblasti lidských zdrojů z Evropy, musí zavázat, že se bude řídit rozhodnutími příslušného orgánu EU pro ochranu údajů, přičemž jiné společnosti se k tomu mohou zavázat dobrovolně. Fyzické osoby se mohou se svou stížností obrátit rovněž na svůj „domovský“ orgán pro ochranu údajů, který jim nabídne formalizovaný postup, jak stížnost postoupit ministerstvu obchodu a Federální obchodní komisi s cílem zajistit prošetření a vyřešení předmětné stížnosti v přiměřeném časovém rámci. Nepodaří-li se věc vyřešit žádným z těchto způsobů, budou se fyzické osoby moci jako poslední možnost opravného prostředku obrátit na poradní sbor štítu pro ochranu údajů (Privacy Shield Panel), což je mechanismus řešení sporů, který může přijímat závazná a vymahatelná rozhodnutí vůči společnostem zapojeným do štítu USA pro ochranu osobních údajů. Orgány EU pro ochranu údajů budou navíc schopny poskytnout fyzickým osobám pomoc při přípravě jejich sporu. Jak bylo uvedeno výše, bude pro podávání stížností na možný přístup vnitrostátních zpravodajských orgánů k údajům vytvořena nová funkce veřejného ochránce práv, která bude představovat další možnost opravného prostředku.
Za čtvrté a závěrem společný roční přezkum: ten umožní Komisi pravidelně sledovat všechny aspekty fungování štítu pro ochranu údajů včetně omezení a ochranných opatření ohledně přístupu k údajům pro účely zajištění národní bezpečnosti. Tento přezkum bude provádět Komise a ministerstvo obchodu Spojených států a zapojí do něj orgány EU pro ochranu údajů, vnitrostátní bezpečnostní orgány Spojených států a veřejného ochránce práv. Tímto způsobem bude zajištěno, aby USA nesly odpovědnost za své závazky. Komise však nezůstane jen u tohoto přezkumu: bude čerpat rovněž ze všech ostatních dostupných zdrojů informací, například z dobrovolných zpráv společností o transparentnosti týkající se stupně přístupu požadovaného státní správou 22 . Roční přezkum přesahuje rámec nového nařízení, které vyžaduje takové přezkumy jen jednou za čtyři roky, a demonstruje tak odhodlání EU i USA k důslednému zajištění plného souladu.
Tento přezkum nebude pouhou formalitou bez jakýchkoli následků. V případech, kdy dojde k nedodržení závazků ze strany amerických společností nebo orgánů veřejné moci, zahájí Komise proces s cílem pozastavit štít pro ochranu osobních údajů. Jak zdůraznil Soudní dvůr ve svém rozsudku ve věci Schrems, rozhodnutí o přiměřenosti nesmí být mrtvou literou; společnosti a orgány USA by měly do tohoto rámce naopak vdechnout život a průběžně jej udržovat tím, že budou plnit své závazky. V opačném případě již konkrétní výhoda pro předávání údajů, která vyplývá ze zjištění o přiměřenosti ochrany, nemá nadále opodstatnění a bude odvolána.
3.3 Další postup
Tyto závazky dohodnuté USA v rámci štítu pro ochranu osobních údajů budou sloužit jako základ pro nové rozhodnutí Komise o přiměřenosti a odrazí se v něm. Společnostem se doporučuje, aby již nyní zahájily přípravy, které jim umožní zapojit se do nového rámce bezprostředně po jeho zavedení v návaznosti na přijetí rozhodnutí Komise. Vláda USA zase zveřejní svá prohlášení v americké sbírce zákonů, čímž veřejně potvrdí svůj úmysl dostát svým závazkům.
Štít mezi EU a USA pro ochranu osobních údajů vyžaduje zapojení celé řady aktérů:
zúčastněných amerických společností, které musí plnit své povinnosti vyplývající z tohoto rámce s plným vědomím toho, že toto plnění bude důsledně vymáháno a za neplnění budou ukládány sankce. Pro posílení důvěry zákazníků se společnostem rovněž doporučuje, aby si jako možnost řešení stížností v rámci štítu pro ochranu osobních údajů zvolily orgány EU pro ochranu údajů vzhledem k tomu, že evropské fyzické osoby se s největší pravděpodobností budou obracet právě na tyto orgány. Obdobně míra připravenosti společností využívat možnost zveřejňování zpráv o transparentnosti týkajících se žádostí o přístup k údajům z EU, které obdrží, pro účely zajištění vnitrostátní bezpečnosti a prosazování práva, což jim umožňují právní předpisy USA, přispěje k udržení důvěry, že takový přístup je omezen na rozsah, který je nezbytný a přiměřený 23 ;
různých orgánů USA pověřených dohledem nad tímto rámcem a jeho prosazováním, dodržováním omezení a ochranných opatření v oblasti přístupu k údajům pro účely prosazování práva a pro účely vnitrostátní bezpečnosti, a orgánů pověřených včasnými a smysluplnými reakcemi na stížnosti fyzických osob z EU týkající se možného zneužití jejich osobních údajů;
orgánů EU pro ochranu údajů, které hrají důležitou úlohu při zajišťování toho, aby fyzické osoby mohly účinně uplatňovat svá práva v rámci štítu pro ochranu osobních údajů, mimo jiné tak, že jejich stížnosti nasměrují na příslušné orgány USA, s nimiž budou spolupracovat, aktivují spuštění mechanismu veřejného ochránce práv, pomohou stěžovatelům předložit případ poradnímu sboru štítu pro ochranu osobních údajů a budou rovněž vykonávat dohled nad předáváním údajů o lidských zdrojích; a
Komise, která odpovídá za vypracování zjištění o přiměřenosti a za jeho pravidelné přezkoumávání: tyto pravidelné přezkumy znamenají významný odklon od předchozí statické situace vzhledem k tomu, že činí ze zjištění o přiměřenosti v rámci štítu pro ochranu osobních údajů pečlivě sledovaný, živoucí rámec.
Každoroční společný přezkum a následná zpráva Komise – stejně jako vyhlídka na pozastavení ujednání v případě nedodržení podmínek – tedy budou hrát ústřední úlohu při zajišťování, aby štít mezi EU a USA pro ochranu osobních údajů obstál ve zkoušce času. Naší společnou transatlantickou ambicí by mělo být společné vytvoření silné kultury dodržování ochrany soukromí a práv fyzických osob, která povede k obnovení a zachování důvěry.
4. „Zastřešující“ dohoda: Posílení ochranných opatření na ochranu údajů při spolupráci v oblasti prosazování práva
4.1 Souvislosti
Významným aspektem našeho transatlantického vztahu je schopnost EU, členských států a USA účinně reagovat na společné hrozby a výzvy v oblasti bezpečnosti koordinovaně a společně. Tato kolektivní reakce se významně opírá o naši schopnost výměny osobních údajů v rámci policejní a justiční spolupráce v trestních věcech. V průběhu času byla při sledování tohoto cíle uzavřena řada dvoustranných dohod mezi členskými státy a USA a rovněž mezi EU a USA 24 . Zároveň je neméně důležité, aby tyto dohody o prosazování práva zajišťovaly účinná opatření na ochranu údajů. Dvojí cíl úspěšné spolupráce s našimi partnery ze Spojených států, který zahrnuje boj proti závažné trestné činnosti a terorismu a zároveň zdokonalování úrovně ochrany Evropanů v souladu s jejich základními právy a s pravidly ochrany údajů v EU při předávání údajů pro tyto účely, byl důvodem, proč byla v březnu 2011 zahájena jednání týkající se mezinárodní dohody o ochraně údajů v oblasti prosazování práva, tzv. „zastřešující“ dohody mezi EU a USA o ochraně údajů 25 .
EU a USA dokončily svá jednání v létě roku 2015. Obě strany parafovaly „zastřešující“ dohodu dne 8. září 2015 v Lucemburku 26 a v současné době má být tato dohoda na obou stranách Atlantiku ratifikována. Podpis „zastřešující“ dohody byl však podmíněn tím, že Kongres USA přijme zákon o soudních opravných prostředcích, který poprvé zajistí občanům EU rovné zacházení jako s občany USA podle zákona USA o ochraně soukromí z roku 1974 27 . Návrh zákona byl schválen Kongresem dne 10. února 2016 a byl uzákoněn podpisem dne 24. února 2016.
4.2 Co se změnilo?
„Zastřešující“ dohoda poprvé v historii zakotví harmonizovaný a komplexní soubor opatření na ochranu údajů, která budou platit pro všechny transatlantické výměny údajů mezi příslušnými orgány v oblasti prosazování trestního práva. Je to v podstatě dohoda o základních právech, která nastavuje vysoký standard úrovně ochrany, podle nějž musí být posuzovány veškeré výměny údajů v rámci stávajících i budoucích dohod.
Za prvé, ochranná opatření a záruky vymezené v „zastřešující“ dohodě se uplatní horizontálně na všechny výměny údajů, které se konají v kontextu transatlantické spolupráce při prosazování práva v trestních věcech. To zahrnuje předávání údajů na základě vnitrostátních právních předpisů, dohod mezi EU a USA, dohod mezi členskými státy a USA (např. smluv o vzájemné právní pomoci) a rovněž zvláštních dohod upravujících předávání osobních údajů soukromým subjektům pro účely prosazování práva. Dohodnutá ustanovení tak okamžitě zvýší úroveň ochrany zaručené subjektům údajů v EU při předávání údajů do USA. Zvýší rovněž právní jistotu transatlantické spolupráce v oblasti prosazování práva tím, že zajistí, aby stávající dohody obsahovaly všechna nezbytná ochranná opatření, a byly tak schopny vyrovnat se s potenciálními právními problémy.
Za druhé, tato ustanovení zahrnují všechna klíčová pravidla ochrany údajů v EU, pokud jde o normy zpracování (např. kvalita a integrita údajů, zabezpečení údajů, odpovědnost a dohled), ochranná opatření a omezení (např. omezení účelu a použití, uchovávání údajů, předávání údajů dalším partnerům, zpracování citlivých údajů), jakož i práva fyzických osob (na přístup, opravu, správní a soudní nápravu).
Za třetí, tato dohoda zajistí dostupnost práv na soudní nápravu v případě odepření přístupu, odepření opravy a protiprávního zveřejnění. To představuje významné zlepšení a významně to přispěje k obnovení důvěry při transatlantických výměnách. Tento klíčový požadavek EU, o jehož splnění se celou řadu let usilovalo, se již odrazil v zákoně o soudních opravných prostředcích, který byl předložen Kongresu USA v březnu 2015 a byl schválen dne 10. února 2016. Tento zákon rozšíří i na občany EU 28 tři klíčové možnosti soudních opravných prostředků podle zákona USA o soukromí z roku 1974, které byly až doposud vyhrazeny pouze občanům USA a osobám s trvalým pobytem v USA. Tak budou občané EU poprvé moci využívat práva s obecnou působností při veškerém transatlantickém předávání údajů v oblasti prosazování trestního práva. To znamená odstranění zásadního rozdílu v zacházení s občany EU a USA.
Za čtvrté, „zastřešující“ dohoda zobecňuje a rozšiřuje na celou oblast prosazování práva zásadu nezávislého dohledu jako klíčový požadavek na ochranu údajů, který v mnoha stávajících dvoustranných dohodách chybí. Ten zahrnuje účinné pravomoci vyšetřovat a řešit jednotlivé stížnosti týkající se dodržování této dohody.
Za páté, účinné provádění „zastřešující“ dohody bude předmětem pravidelných společných přezkumů. Při těchto přezkumech bude věnována zvláštní pozornost ustanovením týkajícím se práv fyzických osob (na přístup, opravu, správní a soudní opravné prostředky).
„Zastřešující“ dohoda sama o sobě nepovoluje předávání údajů ani nepředstavuje rozhodnutí o přiměřenosti.
4.3 Další postup
Vstup zákona o soudních opravných prostředcích v platnost 29 vytvoří předpoklady pro podpis „zastřešující“ dohody. Komise v brzké době předloží Radě návrh rozhodnutí o zmocnění k podpisu „zastřešující“ dohody. Po podpisu bude nutné, aby Rada po obdržení souhlasu Evropského parlamentu přijala rozhodnutí o uzavření dohody. „Zastřešující“ dohoda výrazně zlepší stávající situaci, která se vyznačuje roztříštěnými, neharmonizovanými a často slabými pravidly na ochranu údajů v mozaice mnohostranných, dvoustranných, vnitrostátních a odvětvových nástrojů. „Zastřešující“ dohoda má retrospektivní funkci v tom smyslu, že v potřebné míře doplní záruky ochrany údajů ve stávajících dohodách v případě, že neobsahují ochranná opatření na požadované úrovni. V tomto ohledu přinese významnou přidanou hodnotu tím, že v podstatě „vyplní mezery“ stávajících dohod, které obsahují nižší normy ochrany údajů než normy uvedené v „zastřešující“ dohodě. To umožní kontinuitu spolupráce v oblasti prosazování práva a současně zajistí větší právní jistotu při předávání údajů. Co se týče budoucích dohod, bude „zastřešující“ dohoda představovat záchrannou síť, pod jejíž úroveň nesmí úroveň ochrany klesnout. Jedná se o velmi důležitou záruku pro budoucnost a o významný posun oproti současné situaci, kdy musí být ochranná opatření, ochrana a práva sjednávány vždy pro každou jednotlivou novou dohodu znovu. „Zastřešující“ dohoda je tedy šablonou obsahující standardní ochranná opatření, která nelze sjednávat směrem dolů. Představuje velmi důležitý precedens nejen ve vztazích mezi EU a USA, ale i obecněji z hlediska jakéhokoli budoucího ujednání o ochraně údajů nebo o výměně údajů na mezinárodní úrovni.
„Zastřešující“ dohoda je dojednávána souběžně s reformou a je v souladu s acquis EU o ochraně údajů. Obzvláště důležitá je interakce mezi „zastřešující“ dohodou a policejní směrnicí vzhledem k důležitosti existence vysoké a jednotné úrovně ochrany údajů bez ohledu na to, zda jsou osobní údaje zpracovávány na vnitrostátní úrovni, nebo vyměňovány přes hranice v rámci EU nebo se třetími zeměmi. V tomto ohledu pomůže „zastřešující“ dohoda podpořit obecné požadavky reformy v transatlantickém kontextu.
Uzavření jednání o „zastřešující“ dohodě, která stanoví společné normy ve složité oblasti práva a politiky, představuje významný úspěch. Budoucí „zastřešující“ dohoda obnoví a posílí důvěru, poskytne záruky zákonnosti při předávání údajů a usnadní spolupráci mezi EU a USA v této oblasti.
V budoucnu bude třeba společně řešit náročné úkoly v oblasti policejní a justiční spolupráce. Jedním z významných nedořešených problémů je otázka přímého přístupu donucovacích orgánů k osobním údajům, které mají v držení soukromé společnosti v zahraničí. Tento přístup by měl v zásadě probíhat v rámci formálních kanálů spolupráce, jako jsou například dohody o vzájemné právní pomoci nebo jiné odvětvové dohody. Soukromé společnosti v současné době čelí riziku právní nejistoty, které by mohlo mít vliv na jejich schopnost působit v různých jurisdikcích, budou-li požádány o poskytnutí přístupu k elektronickým důkazům podle zákonů jedné země, které se budou týkat osobních údajů podléhajících zákonům jiné země. Souběžně s nadcházejícím přezkumem dohody o vzájemné právní pomoci mezi EU a Spojenými státy americkými 30 by EU uvítala další výměny s USA v této věci včetně snahy o vytvoření společných a účinnějších pravidel pro shromažďování elektronických důkazů.
5. Závěr
Úspěšné završení klíčových opatření nastíněných ve sdělení z roku 2013 je důkazem toho, že EU je schopna pragmaticky a cíleně řešit problémy, aniž by rezignovala na své silné hodnoty a tradice v oblasti základních práv. Je rovněž důkazem toho, že EU a USA jsou schopny řešit své rozpory a přijímat obtížná rozhodnutí v zájmu zachování strategického vztahu, který je prověřen časem. Při vstupu do nové fáze našich bilaterálních vztahů bychom však zároveň neměli polevit v ostražitosti vzhledem k tomu, že i nadále čelíme společným hrozbám a výzvám v nejistém světě.
Jakmile bude štít mezi EU a USA pro ochranu osobních údajů a „zastřešující“ dohoda v platnosti, měly by obě strany zajistit účinné a trvalé fungování obou těchto významných rámců pro předávání údajů. Jejich úspěch z velké části závisí na účinném prosazování a dodržování práv přiznaných fyzickým osobám. Závisí rovněž na průběžném posuzování jejich fungování, což vyžaduje změnu postoje a posun od statického k dynamičtějšímu procesu.
V této souvislosti platí, že jeden z důležitých prvků tohoto procesu se vztahuje k probíhající reformě zpravodajských programů v USA. V tomto ohledu bude Komise pozorně sledovat budoucí zprávy vypracované Radou pro dohled nad respektováním soukromí a občanských svobod (Privacy and Civil Liberties Oversight Board, PCLOB) a přezkum programu v souladu s článkem 702 FISA (zákona o zahraničních zpravodajských službách), jenž se týká zahraničního dohledu, který má být proveden v roce 2017. Podrobně sledovány budou zejména další reformy týkající se transparentnosti, dohledu a rozšíření ochranných opatření na osoby mimo USA.
Obecněji řečeno, Evropská unie bude vzhledem k významu přeshraničních toků údajů pro transatlantický obchod pozorně sledovat další legislativní pokrok USA v oblasti ochrany soukromí. Nyní, když má Evropa k dispozici jednotný, ucelený a pevný soubor pravidel, doufáme, že i USA vytrvají v úsilí o dosažení komplexního systému ochrany soukromí a údajů. V dlouhodobém horizontu by bylo možno dosáhnout sblížení těchto dvou systémů právě díky takovému komplexnímu přístupu. Komise bude s ohledem na tuto skutečnost každoročně pořádat summit o ochraně soukromí se zainteresovanými nevládními organizacemi a dalšími zúčastněnými stranami na obou stranách Atlantiku.
Partnerství mezi EU a USA se může stát hybnou silou vytváření a podpory mezinárodních právních norem na ochranu soukromí a osobních údajů. Významnou úlohu v tomto ohledu mohou hrát rovněž iniciativy na úrovni OSN včetně práce zvláštního zpravodaje pro právo na soukromí. V nadcházejících letech by EU a USA vzhledem k rostoucímu zásadnímu významu těchto otázek v celosvětovém měřítku měly využít této příležitosti k prosazování svých společných hodnot v oblasti osobních svobod a práv v globalizovaném digitálním světě.
Sdělení Komise Evropskému parlamentu a Radě o obnovení důvěry v toky údajů mezi EU a USA, COM(2013) 846 final, 27.11.2013 (dále jen „sdělení z roku 2013“ nebo „sdělení“), k dispozici na adrese: http://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:52013DC0846&rid=1
Návrh směrnice Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů a o volném pohybu těchto údajů, COM (2012) 10 final, 25.1.2012, a návrh nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů), COM (2012) 11 final, 25.1.2012, k dispozici na adrese: http://ec.europa.eu/justice/data-protection/reform/index_en.htm
Sdělení Komise Evropskému parlamentu a Radě o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU, COM (2013) 847 final, 27.11.2013, str. 18–19 (dále jen „sdělení o bezpečném přístavu“), k dispozici na adrese: http://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:52013DC0847&rid=1
Nový začátek pro Evropu: Moje agenda pro zaměstnanost, růst, spravedlnost a demokratickou změnu. Politické směry pro příští Evropskou komisi.
Rozsudek ze dne 6. října 2015 ve věci C-362/14 Maximillian Schrems proti Data Protection Commissioner, EU:C:2015:650.
Viz sdělení Komise Evropskému parlamentu a Radě o předávání osobních údajů z EU do Spojených států amerických podle směrnice 95/46/ES po rozsudku Soudního dvora ve věci C-362/14 (Schrems), COM (2015) 566 final, 11.6.2015. Viz také prohlášení pracovní skupiny zřízené podle článku 29 o důsledcích rozsudku ve věci Schrems ze dne 3. února 2016, k dispozici na adrese: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf
https://www.whitehouse.gov/the-press-office/2014/01/17/remarks-president-review-signals-intelligence
Zákon USA o svobodě (USA FREEDOM Act) z roku 2015, Pub. L., č. 114-23, § 401, 129 Stat. 268.
H.R.1428 – zákon o soudních opravných prostředcích (Judicial Redress Act) z roku 2015. Vstoupí v platnost 90 dní po přijetí.
COM(2012) 11 final, 25.1.2012: viz poznámka pod čarou 2.
COM(2012) 10 final, 25.1.2012: viz poznámka pod čarou 2.
Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 281, 23.11.1995, s. 31 („směrnice o ochraně údajů“).
Na rozdíl od rámcového rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech, který se vztahuje pouze na přeshraniční výměny údajů mezi příslušnými orgány členských států, nebude již použití těchto pravidel podle policejní směrnice závislé na tom, zda již dříve došlo k výměně těchto údajů mezi donucovacími orgány členských států v oblasti vymáhání trestního práva.
Viz sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů: Evropský program pro bezpečnost, COM(2015) 185 final, 28.4.2015.
Rozhodnutí Komise 2000/520/ES ze dne 20. července 2000. V tomto rozhodnutí uznala Komise na základě čl. 25 odst. 6 směrnice o ochraně osobních údajů, že zásady „bezpečného přístavu“ a s tím související „často kladené otázky“ vydané Ministerstvem obchodu Spojených států amerických poskytují odpovídající úroveň ochrany pro účely předávání osobních údajů z EU. Fungování dohody o „bezpečném přístavu“ se spoléhalo na závazky a vlastní osvědčení společností, které ji přijaly. Tato pravidla byla v souladu s právem USA pro tyto subjekty závazná a vymahatelná Federální obchodní komisí USA (U.S. Federal Trade Commission).
Viz poznámka pod čarou 3.
Mezi tyto prvky patřil exponenciální nárůst toků údajů a jejich stěžejní význam pro transatlantické hospodářství a rovněž rychlý nárůst počtu amerických společností řídících se systémem zásad „bezpečného přístavu“. Viz sdělení o „bezpečném přístavu“, s. 3.
Sdělení o „bezpečném přístavu“, s. 18–19.
Významné internetové společnosti v USA již takové zprávy vytvářejí s cílem znovu získat důvěru svých zákazníků. Zákon USA o svobodě z roku 2015 umožňuje zveřejňování dobrovolných zpráv týkajících se žádostí o přístup minimálně v některých pásmech za účelem ochrany zájmů v oblasti vnitrostátní bezpečnosti.
Toto podávání zpráv by bylo prováděno v souladu s ustanoveními zákona USA o svobodě (USA FREEDOM Act) z roku 2015. Viz poznámka pod čarou 22.
Zejména dohoda mezi EU a USA o zpracovávání údajů jmenné evidence cestujících (PNR) a o programu EU a USA pro sledování financování terorismu (TFTP).
Dohoda mezi EU a USA o ochraně osobních údajů při jejich předávání a zpracovávání pro účely prevence, vyšetřování, odhalování nebo stíhání trestných činů, včetně terorismu, v rámci policejní a justiční spolupráce v trestních věcech.
http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm
Zákon o soudních opravných prostředcích uděluje práva občanům zemí, na které se vztahuje – tyto země určí vláda USA. To je na druhé straně podmíněno splněním následujících kritérií: a) daná země [nebo regionální organizace] má se Spojenými státy uzavřenu dohodu o ochraně soukromí týkající se informací sdílených za účelem prevence, vyšetřování, odhalování nebo stíhání trestných činů; b) daná země nebo [regionální organizace] umožňuje předávání osobních údajů pro obchodní účely mezi touto zemí nebo organizací samotnou a Spojenými státy, a c) zásady týkající se předávání osobních údajů pro obchodní účely a souvisejících činností dané země nebo regionální organizace nepředstavují významnou překážku pro zájmy národní bezpečnosti Spojených států.
Podle zákona o soudních opravných prostředcích mohou být jako země, na které se tento zákon vztahuje, označeny rovněž jiné země, které nejsou členy EU, nebo „organizace regionální hospodářské integrace“ s tím účinkem, že práva na soudní opravné prostředky se budou vztahovat i na jejich občany.
Zákon o soudních opravných prostředcích vstoupí v platnost 90 dní po svém přijetí.
Rozhodnutí Rady 2009/820/SZBP ze dne 23. října 2009 o uzavření Dohody o vydávání mezi Evropskou unií a Spojenými státy americkými a Dohody o vzájemné právní pomoci mezi Evropskou unií a Spojenými státy americkými jménem Evropské unie, Úř. věst. L 291, 7.11.2009, s. 40–41.