EVROPSKÁ KOMISE

V Bruselu dne 19.12.2018

COM(2018) 860 final

ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

o druhém každoročním přezkumu fungování štítu EU–USA na ochranu soukromí

{SWD(2018) 497 final}

1.DRUHÝ KAŽDOROČNÍ PŘEZKUM – ÚČEL, PŘÍPRAVA A POSTUP

Dne 12. července 2016 přijala Komise rozhodnutí (dále jen „rozhodnutí o odpovídající úrovni ochrany“), v němž konstatovala, že štít EU–USA na ochranu soukromí (dále jen „štít na ochranu soukromí“) zajišťuje odpovídající úroveň ochrany osobních údajů předávaných z EU organizacím v USA 1 . Toto rozhodnutí o odpovídající úrovni ochrany zejména stanoví, že Komise každoročně vyhodnotí všechny aspekty fungování tohoto rámce. První každoroční přezkum se uskutečnil ve dnech 18. a 19. září 2017 ve Washingtonu DC a dne 18. října 2017 Komise přijala svoji zprávu určenou Evropskému parlamentu a Radě 2 , k níž byl připojen pracovní dokument útvarů Komise (SWD(2017) 344 final) 3 .

Na základě svých zjištění z prvního přezkumu dospěla Komise k závěru, že Spojené státy i nadále zajišťují odpovídající úroveň ochrany osobních údajů předávaných v rámci štítu na ochranu soukromí z Unie organizacím v USA. Současně Komise konstatovala, že provádění rámce štítu na ochranu soukromí v praxi lze dále zlepšit, aby bylo zajištěno, že záruky a ochranná opatření v něm obsažená fungují v souladu s určeným účelem. Za tímto účelem vydala Komise deset doporučení.

Tato zpráva uzavírá druhý každoroční přezkum fungování štítu na ochranu soukromí. Tato zpráva i průvodní pracovní dokument útvarů Komise (SWD(2018) 497) mají stejnou strukturu jako zpráva týkající se prvního každoročního přezkumu. Věnují se všem aspektům fungování štítu na ochranu soukromí, a to rovněž s ohledem na vývoj v průběhu minulého roku. Ústředním prvkem hodnocení Komise bylo provádění jejích doporučení z prvního každoročního přezkumu.

Při přípravě druhého každoročního přezkumu shromáždila Komise informace od příslušných zúčastněných subjektů (zejména od společností certifikovaných v rámci štítu na ochranu soukromí prostřednictvím jejich příslušných oborových sdružení a od nevládních organizací působících v oblasti základních práv, zejména digitálních práv a soukromí), jakož i od příslušných orgánů USA podílejících se na provádění rámce.

Zasedání věnované druhému každoročnímu přezkumu se uskutečnilo v Bruselu ve dnech 18. a 19. října 2018. Přezkum zahájili komisařka pro spravedlnost, spotřebitele a rovnost žen a mužů Věra Jourová, ministr obchodu USA Wilbur Ross, předseda Federální obchodní komise Joseph Simons a předsedkyně Evropského sboru pro ochranu osobních údajů Andrea Jelinek. Za EU jej provedli zástupci Generálního ředitelství pro spravedlnost a spotřebitele Evropské komise. Delegace EU zahrnovala rovněž sedm zástupců, jež určil Evropský sbor pro ochranu osobních údajů (nezávislý subjekt sdružující zástupce vnitrostátních orgánů členských států EU pro ochranu údajů a evropského inspektora ochrany údajů).

Na straně USA se přezkumu zúčastnili zástupci Ministerstva obchodu, Ministerstva zahraničních věcí, Federální obchodní komise, Ministerstva dopravy, Úřadu ředitele národních zpravodajských služeb, Ministerstva spravedlnosti a členové Výboru pro dohled nad ochranou soukromí a občanských svobod, jakož i úřadující ombudsman a generální inspektor zpravodajské komunity. Během příslušných zasedání v rámci přezkumu dále poskytli informace zástupci z organizace, jež nabízí nezávislé služby v oblasti řešení sporů v rámci štítu na ochranu soukromí, a American Arbitration Association (Americká arbitrážní asociace). Při přezkumu byly rovněž využity informace, jež přinesly prezentace společností certifikovaných v rámci štítu na ochranu soukromí, které se týkaly toho, jak společnosti plní požadavky rámce.

Dalším zdrojem informací pro zjištění Komise byla studie, již Komise zadala, a veřejně dostupné materiály, jako například soudní rozhodnutí, prováděcí předpisy a postupy příslušných orgánů USA, zprávy a studie nevládních organizací, zprávy o transparentnosti vydané společnostmi certifikovanými v rámci štítu na ochranu soukromí, výroční zprávy nezávislých odvolacích orgánů a zprávy médií.

Letošní přezkum se uskutečnil v kontextu problémů, které se objevují v oblasti osobních údajů a které mají stále globálnější charakter, jak například ilustruje případ Facebook / Cambridge Analytica. Jak EU, tak i USA si jsou vědomy podobných problémů, s nimiž se, pokud jde o ochranu osobních údajů, potýkají. Obě strany během přezkumu zdůraznily, že je třeba takové případy zneužití osobních údajů řešit, a to mimo jiné prostřednictvím rázných donucovacích opatření ze strany úřadu EU pro ochranu údajů a Federální obchodní komise USA.

Zpráva Komise také odráží probíhající diskusi o federálních právních předpisech v oblasti ochrany soukromí v USA. V dlouhodobém horizontu by sbližování mezi oběma našimi systémy posílilo základy, na nichž rámec štítu na ochranu soukromí vznikl.

2.ZJIŠTĚNÍ A ZÁVĚRY

Druhý každoroční přezkum se zabýval jak „obchodními aspekty“ rámce štítu na ochranu soukromí, tak i otázkami týkajícími se vládního přístupu k osobním údajům.

Pokud jde o „obchodní aspekty“, tj. otázky týkající se správy, dohledu a prosazování povinností vztahujících se na certifikované společnosti, Komise konstatovala, že v souladu s jejími doporučeními z prvního každoročního přezkumu Ministerstvo obchodu dále posílilo certifikační proces a zavedlo nové postupy dohledu. Ministerstvo obchodu zejména přijalo nový postup, který vyžaduje, aby žadatelé, kteří podávají žádost poprvé, počkali s veřejnými prohlášeními ohledně jejich přináležitosti ke štítu na ochranu soukromí, dokud Ministerstvo obchodu nedokončí jejich certifikační přezkum. Toto ministerstvo dále zavedlo nové mechanismy pro odhalování potenciálních problémů v oblasti dodržování předpisů, jako jsou namátkové kontroly (v době provádění každoročního přezkumu byly takové namátkové kontroly provedeny zhruba u 100 organizací) a sledování veřejných zpráv o opatřeních na ochranu soukromí uplatňovaných organizacemi, které se účastní štítu na ochranu soukromí. Při vyhledávání nepravdivých tvrzení o přináležitosti k rámci Ministerstvo obchodu nyní aktivně využívá řadu nástrojů, například čtvrtletní přezkum společností, u nichž byla zjištěna větší pravděpodobnost, že by se mohly dopouštět nepravdivých tvrzení, a systém pro vyhledávání obrazu a textu na internetu. V důsledku těchto nově zavedených praktik a postupů Ministerstvo obchodu od prvního každoročního přezkumu postoupilo více než 50 případů Federální obchodní komisi, která přijala donucovací opatření v těch případech, kdy samotné předložení věci k přezkoumání nepostačovalo k tomu, aby dotčené společnosti nesoulad napravily.

Pokud jde o prosazování, Komise konstatovala, že Federální obchodní komise v rámci svých snah o aktivní sledování dodržování zásad štítu na ochranu soukromí nedávno vydala správní předvolání, aby si vyžádala informace od řady organizací, které se účastní štítu na ochranu soukromí. Federální obchodní komise rovněž potvrdila, že její vyšetřování případu Facebook / Cambridge Analytica stále probíhá. Ačkoli má Komise za to, že nový proaktivnější přístup Federální obchodní komise ke sledování souladu představuje významný pokrok, s politováním konstatuje, že v této fázi nebylo možné poskytnout další informace o jejích vyšetřováních z poslední doby, a další vývoj v této oblasti bude bedlivě sledovat.

Druhý každoroční přezkum rovněž zohlednil relevantní vývoj právního systému USA v oblasti soukromí. Jedná se zejména o konzultaci o federálním přístupu k ochraně osobních údajů, kterou zahájilo Ministerstvo obchodu, a rovněž o postup Federální obchodní komise týkající se úvah o jejích současných pravomocech v oblasti soukromí a účinnosti využívání její současné pravomoci v oblasti nápravy.

Jak ukázal případ Facebook / Cambridge Analytica a další odhalení, bylo by důležité, aby se reakce EU a USA dále sbližovaly. Komise v tomto duchu sledovala výše uvedené iniciativy s velkým zájmem a písemným podáním přispěla ke konzultačnímu postupu Ministerstva obchodu 4 .

V souvislosti s aspekty, které se týkají přístupu orgánů veřejné moci USA k osobním údajům a použití těchto údajů těmito orgány, se druhý každoroční přezkum zaměřil na příslušný vývoj právního rámce USA, mimo jiné pokud jde o příslušné politiky a postupy agentur, na poslední trendy činností v oblasti dozoru a na vývoj uspořádání a fungování významných dohledových a nápravných mechanismů.

Nejvýznamnějším právním vývojem v oblasti přístupu vlády bylo opětovné schválení § 702 zákona o dohledu nad zahraničními zpravodajskými činnostmi (dále jen „zákon“) počátkem roku 2018. Přestože toto opětovné schválení nevedlo k začlenění ochrany zakotvené v prezidentské politické směrnici 28 (Presidential Policy Directive 28) do tohoto zákona, jak navrhovala Komise, neomezilo ani žádná v zákoně obsažená ochranná opatření, která existovala v době, kdy bylo přijato rozhodnutí o štítu na ochranu soukromí. Změny navíc nerozšířily pravomoci zpravodajské komunity Spojených států v oblasti získávání zahraničních zpravodajských informací prostřednictvím zacílení na osoby, které nejsou osobami USA, podle § 702. Pozměňovací akt o opětovném schválení z roku 2017 (Amendments Reauthorization Act), kterým se mění zákon o dohledu nad zahraničními zpravodajskými činnostmi z roku 1978, zavedl některé omezené dodatečné záruky ochrany soukromí, například v oblasti transparentnosti.

Rovněž došlo k významnému vývoji v souvislosti s Výborem pro dohled nad ochranou soukromí a občanských svobod, jemuž v době prvního každoročního přezkumu zbýval jen jediný člen. Komise proto doporučila urychleně jmenovat chybějící členy výboru. Dne 11. října 2018 Senát USA potvrdil jmenování předsedy Výboru pro dohled nad ochranou soukromí a občanských svobod a dalších dvou členů výboru, čímž výbor znovu získal plnou usnášeníschopnost a může tak vykonávat veškeré své funkce. Po prvním každoročním přezkumu Komise rovněž doporučila, aby byla zveřejněna zpráva výboru o prezidentské politické směrnici 28. Zpráva byla zveřejněna dne 16. října 2018 5 a potvrzuje, že prezidentská politická směrnice 28 je v rámci zpravodajské komunity plně uplatňována. Zejména potvrzuje, že relevantní prvky zpravodajské komunity v návaznosti na vydání prezidentské politické směrnice 28 přijaly podrobná pravidla pro provádění uvedené směrnice a změnily své postupy za účelem jejich sladění s požadavky prezidentské politické směrnice 28.

Ačkoli Komise doporučila urychleně jmenovat ombudsmana ve věcech štítu na ochranu soukromí, nebyla v době předkládání této zprávy pozice tajemníka ministra zahraničí, jemuž byl úřad ombudsmana přidělen, zatím trvale obsazena. V tomto ohledu vzala Komise na vědomí skutečnost, že vláda USA při druhém každoročním přezkumu uznala, že je ve věci jmenování stálého tajemníka ministra potřeba rychle dosáhnout pokroku, a potvrdila, že tento proces zdárně probíhá.

V době předkládání této zprávy mechanismus ombudsmana zatím neobdržel žádné žádosti. Stížnost ombudsmanovi však byla předložena chorvatskému orgánu pro ochranu údajů a probíhají příslušné kontroly.

Podrobná zjištění týkající se fungování všech aspektů rámce štítu na ochranu soukromí po druhém roce jeho fungování jsou uvedena v pracovním dokumentu útvarů Komise o druhém každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (SWD(2018) 497), který je připojen k této zprávě.

Informace shromážděné v rámci druhého každoročního přezkumu potvrzují zjištění Komise obsažená v rozhodnutí o odpovídající úrovni ochrany, a to jak s ohledem na „obchodní aspekty“ rámce, tak i na aspekty, které se týkají přístupu orgánů USA k osobním údajům předávaným v rámci štítu na ochranu soukromí.

Na základě těchto zjištění vyvozuje Komise závěr, že Spojené státy i nadále zajišťují odpovídající úroveň ochrany osobních údajů předávaných v rámci štítu na ochranu soukromí z Unie organizacím ve Spojených státech.

Konkrétně kroky, jež byly učiněny za účelem provedení doporučení Komise v návaznosti na první každoroční přezkum, zlepšily několik aspektů praktického fungování rámce, aby se zajistilo, že není podrývána úroveň ochrany fyzických osob zaručená rozhodnutím o odpovídající úrovni ochrany.

Některé z těchto kroků však byly přijaty teprve nedávno a příslušné procesy stále probíhají. Další vývoj týkající se těchto procesů je proto třeba pečlivě sledovat, a to zejména kvůli tomu, že má dopad na prvky, které jsou zásadní pro kontinuitu zjištění o odpovídající úrovni ochrany. Jedná se především o:

1.Účinnost mechanismů zavedených Ministerstvem obchodu v druhém roce fungování rámce za účelem aktivního sledování toho, zda certifikované společnosti dodržují zásady štítu na ochranu soukromí, zejména zda dodržují hmotněprávní požadavky a povinnosti.

2.Účinnost nástrojů zavedených Ministerstvem obchodu od prvního každoročního přezkumu k odhalování nepravdivých tvrzení o přináležitosti k rámci, se zvláštním zaměřením na vyhledávání nepravdivých tvrzení společností, které o certifikaci nikdy nepožádaly.

3.Průběh a výsledky kontrolních akcí prováděných z moci úřední Federální obchodní komisí v druhém roce fungování štítu na ochranu soukromí prostřednictvím správních předvolání za účelem zjištění zásadních porušení štítu na ochranu soukromí.

4.Společné vypracování dalších pokynů Ministerstvem obchodu, Federální obchodní komisí a orgány EU pro ochranu údajů ohledně prvků, které vyžadují další objasnění (např. údaje o lidských zdrojích).

5.Jmenování stálého ombudsmana ve věcech štítu na ochranu soukromí.

6.Účinnost vyřizování a řešení stížností ombudsmanem.

Komise zejména opětovně vyzývá vládu USA, aby potvrdila svůj politický závazek týkající se mechanismu ombudsmana prioritním jmenováním stálého ombudsmana ve věcech štítu na ochranu soukromí. Mechanismus ombudsmana je důležitým prvkem rámce štítu na ochranu soukromí, a ačkoli úřadující ombudsman i nadále vykonává příslušné funkce, je absence trvale pověřené osoby vysoce neuspokojivá a tato situace by měla být co nejdříve napravena. Komise očekává, že vláda USA určí kandidáta na pozici stálého ombudsmana do 28. února 2019 a Komisi o nominované osobě informuje. Jestliže se tak do uvedeného data nestane, zváží Komise přijetí příslušných opatření v souladu s obecným nařízením o ochraně osobních údajů 6 . Komise rovněž očekává, že obdrží přesné a podrobné informace o všech výše uvedených aspektech, aby mohla posoudit, zda jsou přijatá opatření v praxi účinná.

Komise bude i nadále pozorně sledovat probíhající diskusi o federálních právních předpisech USA o ochraně soukromí. Vzhledem k významu transatlantických toků údajů vyzývá Komise Spojené státy, aby přijaly komplexní systém pro ochranu soukromí a údajů a aby se staly smluvní stranou úmluvy Rady Evropy č. 108. Prostřednictvím takového komplexního přístupu je možné v dlouhodobějším horizontu dosáhnout sblížení mezi oběma našimi systémy, což by rovněž posílilo základy, na nichž rámec štítu na ochranu soukromí vznikl.

(1)

Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí, Úř. věst. L 2017, 1.8.2016, s. 1.

(2)

Zpráva Komise Evropskému parlamentu a Radě o prvním každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (COM(2017) 611 final, viz  http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(3)

Pracovní dokument útvarů Komise připojený ke zprávě Komise Evropskému parlamentu a Radě o prvním každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (SWD(2017) 344 final), viz  http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(4)

K dispozici na adrese https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf

(5)

Zpráva prezidentovi věnovaná provádění prezidentské politické směrnice 28: signálové zpravodajské činnosti („Implementation of Presidential Policy Directive 28: Signals Intelligence Activities“), dostupná na adrese https://www.pclob.gov/reports/report-PPD28/

(6)

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).