EVROPSKÁ KOMISE
V Bruselu dne 23.10.2019
COM(2019) 495 final
ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
o třetím každoročním přezkumu fungování štítu EU–USA na ochranu soukromí
{SWD(2019) 390 final}
EVROPSKÁ KOMISE
V Bruselu dne 23.10.2019
COM(2019) 495 final
ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ
o třetím každoročním přezkumu fungování štítu EU–USA na ochranu soukromí
{SWD(2019) 390 final}
1.TŘETÍ KAŽDOROČNÍ PŘEZKUM – KONTEXT, PŘÍPRAVA A POSTUP
Dne 12. července 2016 Komise přijala rozhodnutí („rozhodnutí o odpovídající úrovni ochrany“), v němž shledala, že štít EU–USA na ochranu soukromí poskytuje odpovídající úroveň ochrany osobních údajů předávaných z EU organizacím v USA 1 . Rozhodnutí o odpovídající úrovni ochrany zejména vyžaduje, aby Komise prováděla každoroční přezkum za účelem zhodnocení všech aspektů fungování tohoto rámce a aby na základě toho vypracovala veřejně přístupnou zprávu, která bude předložena Evropskému parlamentu a Radě.
První každoroční přezkum se uskutečnil v září 2017 ve Washingtonu, D.C. a v říjnu 2017 Komise přijala svoji zprávu určenou Evropskému parlamentu a Radě 2 , k níž byl připojen pracovní dokument útvarů Komise (SWD(2017) 344 final) 3 . Komise dospěla k závěru, že Spojené státy i nadále poskytují odpovídající úroveň ochrany údajů předávaných z Evropské unie do USA v rámci štítu na ochranu soukromí, vydala však deset doporučení ke zlepšení praktického fungování tohoto rámce.
Druhý každoroční přezkum byl proveden v říjnu 2018 v Bruselu a Komise přijala svoji zprávu určenou Evropskému parlamentu a Radě v prosinci 2018 4 , k níž byl opět připojen pracovní dokument útvarů Komise (SWD(2018) 487 final) 5 . Informace získané v rámci druhého každoročního přezkumu potvrdily zjištění Komise uvedená v rozhodnutí o odpovídající úrovni ochrany, a to jak z hlediska „obchodních aspektů“ rámce (tj. aspektů týkajících se jednak dodržování požadavků štítu na ochranu soukromí ze strany certifikovaných společností, jednak správy, dohledu a uplatňování uvedených požadavků příslušnými orgány v USA), tak z hlediska aspektů týkajících se přístupu veřejných orgánů k osobním údajům předávaným v rámci štítu na ochranu soukromí.
Zejména kroky podniknuté s cílem provést doporučení Komise vyplývající z prvního každoročního přezkumu zlepšily několik aspektů fungování tohoto rámce v praxi. Ministerstvo obchodu Spojených států například zavedlo nové mechanismy pro odhalování potenciálních problémů s dodržováním požadavků, Federální obchodní komise zaujala proaktivnější přístup ke sledování a prosazování jejich dodržování a byla zveřejněna zpráva Výboru pro dohled nad ochranou soukromí a občanských svobod týkající se provádění prezidentské směrnice 28 6 . Nicméně vzhledem k tomu, že některé uvedené kroky byly přijaty teprve krátce před druhým každoročním přezkumem a určité postupy stále přetrvávaly, Komise usoudila, že další vývoj ohledně těchto postupů a mechanismů vyžaduje bedlivé sledování.
Mimo to funkci ombudsmana ve věcech štítu na ochranu soukromí sice vykonával úřadující tajemník ministra zahraničí, a mechanismus ombudsmana byl tudíž plně funkční, Komise však zdůraznila důležitost trvalého obsazení funkce ombudsmana ve věcech štítu na ochranu soukromí a zejména vyzvala vládu Spojených států, aby kandidáta na tuto funkci nalezla do 28. února 2019.
Zasedání věnované třetímu každoročnímu přezkumu se uskutečnilo ve Washingtonu, D.C. ve dnech 12. a 13. září 2019. Přezkum zahájili generální ředitelka pro spravedlnost a spotřebitele Tiina Astola, ministr obchodu USA Wilbur Ross, předseda Federální obchodní komise Joseph Simons a místopředseda Evropského sboru pro ochranu osobních údajů Ventsislav Karadjov. Za EU jej provedli zástupci Generálního ředitelství pro spravedlnost a spotřebitele Evropské komise. Jednání se zúčastnilo rovněž osm zástupců určených Evropským sborem pro ochranu osobních údajů 7 .
Na straně USA se přezkumu zúčastnili zástupci Ministerstva obchodu, Ministerstva zahraničních věcí, Federální obchodní komise, Ministerstva dopravy, Úřadu ředitele národních zpravodajských služeb, Ministerstva spravedlnosti a členové Výboru pro dohled nad ochranou soukromí a občanských svobod, jakož i nově (trvale, viz níže) jmenovaný ombudsman a generální inspektor zpravodajské komunity. Během příslušných zasedání v rámci přezkumu dále poskytli informace zástupci dvou organizací, které nabízejí nezávislé služby v oblasti řešení sporů v rámci štítu na ochranu soukromí, a Americké arbitrážní asociace, která spravuje rozhodčí panel ve věcech štítu na ochranu soukromí. Informace pro každoroční přezkum poskytly v neposlední řadě také prezentace organizací certifikovaných v rámci štítu na ochranu soukromí věnované krokům, které společnosti musí podniknout, aby dodržely požadavky tohoto rámce.
Při přípravě třetího každoročního přezkumu shromáždila Komise informace od příslušných zúčastněných subjektů (zejména od společností certifikovaných v rámci štítu na ochranu soukromí prostřednictvím jejich příslušných oborových sdružení a od nevládních organizací působících v oblasti základních práv, zejména digitálních práv a soukromí). Kromě souboru psaných vstupů se Komise také dne 9. září 2019 setkala se zástupci sdružení výrobců a obchodních sdružení a dne 11. září 2019 s nevládními organizacemi.
Dalším zdrojem informací pro zjištění Komise byly veřejně dostupné materiály, jako jsou například soudní rozhodnutí, prováděcí předpisy a postupy příslušných orgánů USA, zprávy a studie nevládních organizací, zprávy o transparentnosti vydané společnostmi certifikovanými v rámci štítu na ochranu soukromí, výroční zprávy nezávislých odvolacích orgánů a také zprávy ze sdělovacích prostředků.
Tato zpráva uzavírá třetí každoroční přezkum fungování štítu na ochranu soukromí. Zpráva i průvodní pracovní dokument útvarů Komise (SWD(2019) 390 final) mají stejnou strukturu jako dokumenty týkající se předchozích dvou přezkumů. Zahrnuje všechny aspekty fungování štítu na ochranu soukromí se zvláštním zřetelem na prvky, které podle zjištění Komise v rámci druhého každoročního přezkumu vyžadují bedlivé sledování.
Při svém posuzování vzala Komise v potaz i další vývoj, k němuž v průběhu uplynulého roku došlo, včetně sporu týkajícího se štítu na ochranu soukromí, kterým se zabývá Soudní dvůr Evropské unie 8 . V této souvislosti přezkum poskytl Komisi příležitost získat od amerických orgánů objasnění ohledně některých konkrétních aspektů amerického právního rámce, jímž se řídí shromažďování zahraničních zpravodajských informací, na něž bylo poukázáno v kontextu věci Schrems II. Jakmile Soudní dvůr o projednávaných věcech rozhodne, bude možná Komise muset situaci přehodnotit.
2.ZJIŠTĚNÍ
V průběhu třetího roku svého fungování se štít na ochranu soukromí, jehož se v době tohoto každoročního přezkumu účastnilo více než 5 000 společností, posunul z počáteční fáze do fáze operativnější. Třetí každoroční přezkum zahrnující jak obchodní aspekty, tak otázky týkající se přístupu vlády k osobním údajům se zaměřil na zkušenosti s používáním tohoto rámce v praxi a ponaučení z nich.
Podrobná zjištění týkající se fungování rámce štítu na ochranu soukromí po třetím roce jeho fungování jsou uvedena v pracovním dokumentu útvarů Komise o třetím každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (SWD(2019) 390 final), který je připojen k této zprávě.
2.1.Obchodní aspekty
S ohledem na zjištění loňského každoročního přezkumu se Komise při posuzování obchodních aspektů zaměřila zejména na to, jak Ministerstvo obchodu pokročilo v záležitostech i) postupu opětovné certifikace, ii) efektivnosti mechanismu zavedeného Ministerstvem obchodu za účelem proaktivního sledování toho, jak certifikované společnosti dodržují požadavky (tzv. „kontroly na místě“), iii) nástrojů zavedených pro odhalování nepravdivých tvrzení, iv) vývoje a výsledků donucovacích opatření přijatých Federální obchodní komisí v souvislosti s nedodržováním požadavků štítu na ochranu soukromí a v) vývoje ohledně pokynů pro údaje o lidských zdrojích.
Pokud jde o postup opětovné certifikace, třetí každoroční přezkum poukázal na běžnou praxi, že pokud společnosti vyprší lhůta pro (opětovnou) certifikaci a společnost postup opětovné certifikace ještě nedokončila, Ministerstvo obchodu takové společnosti na základě interního postupu udělí poměrně dlouhou „dobu odkladu“. V průběhu této doby (trvající přibližně 3,5 měsíce, nebo v některých případech a v závislosti na tom, kdy ministerstvo obchodu zjistí, že postup opětovné certifikace nebyl dokončen, i déle) společnost zůstává na seznamu „aktivních“ účastníků štítu na ochranu soukromí. Dokud je společnost uvedena na seznamu jakožto aktivní účastník štítu na ochranu soukromí, závazky vyplývající z tohoto rámce zůstávají závazné a plně vymahatelné. Nicméně tak dlouhé období od chvíle, kdy společnosti vypršela lhůta pro opětovnou certifikaci, a přitom je nadále vedena na seznamu aktivních účastníků štítu na ochranu soukromí, snižuje transparentnost a čitelnost seznamu účastníků štítu na ochranu soukromí pro společnosti i fyzické osoby v EU. Také to zúčastněné společnosti nijak nemotivuje k důslednému dodržování požadavku na každoroční opětovnou certifikaci.
Co se týče proaktivních kontrol toho, jak společnosti dodržují požadavky štítu na ochranu soukromí, Ministerstvo obchodu zavedlo v dubnu 2019 systém, v jehož rámci každý měsíc zkontroluje 30 společností. Komise vítá, že Ministerstvo obchodu provádí proaktivní kontroly dodržování požadavků na místě pravidelně a systematicky, což je velmi důležité pro zlepšení celkového dodržování požadavků rámce a pro odhalování případů, jež vyžadují donucovací opatření ze strany Federální obchodní komise. Podotýká však, že tyto kontroly na místě bývají omezeny na formální požadavky, například že určená kontaktní místa nereagují nebo že pravidla na ochranu soukromí nejsou v případě určité společnosti dostupná online. Ačkoli se jistě jedná o relevantní aspekty dodržování požadavků štítu na ochranu soukromí, kontroly by měly zahrnovat také hmotněprávní povinnosti, jako je například dodržování zásady odpovědnosti za další předávání údajů, a měly by v plném rozsahu využívat nástroje, o něž se Ministerstvo obchodu může v tomto rámci opřít. Požadavky na další předávání údajů byly v rámci štítu na ochranu soukromí značně posíleny, neboť chybějící záruky v takovýchto situacích by oslabilo ochranu, kterou tento rámec zajišťuje. Kontroly na místě by tedy měly být i nadále prováděny pravidelně a systematicky, ovšem dodržování uvedených hmotněprávních požadavků je pro kontinuitu štítu na ochranu soukromí rovněž klíčové a mělo by podléhat bedlivému sledování a prosazování ze strany orgánů USA.
Pokud jde o vyhledávání nepravdivých tvrzení o účasti na štítu na ochranu soukromí prováděné Ministerstvem obchodu, Komise konstatuje, že ministerstvo nadále provádí vyhledávání čtvrtletně, což vede k odhalení značného počtu případů nepravdivých tvrzení, z nichž některé byly rovněž předány Federální obchodní komisi. Toto vyhledávání nicméně prozatím cílilo jen na společnosti, které byly určitým způsobem v rámci štítu na ochranu soukromí certifikovány nebo se o certifikaci ucházely (ale například nezískaly opětovnou certifikaci). Je důležité, aby se vyhledávání zaměřilo také na společnosti, které se o certifikaci v rámci štítu na ochranu soukromí nikdy neucházely. Ze všech možných nepravdivých tvrzení jsou ta od společností, jež se nikdy o certifikaci neucházely, potenciálně ta nejškodlivější. To platí jednak z hlediska soukromí fyzických osob, jelikož společnosti, které se o certifikaci nikdy neucházely, nezavedly do svých obchodních postupů žádná z ochranných pravidel zaručovaných štítem na ochranu soukromí, jednak z obchodního hlediska, neboť pokud si výhody certifikace mohou nárokovat i organizace, které požadavky tohoto rámce nedodržují, narušují se tím rovné podmínky pro společnosti.
Komise hodnotí kladně, že svá práva vyplývající ze štítu na ochranu soukromí uplatňuje čím dál větší počet subjektů údajů z EU a že fungují i příslušné nápravné mechanismy. Počet stížností předložených nezávislým odvolacím mechanismům se zvýšil a stížnosti byly vyřešeny ke spokojenosti zúčastněných fyzických osob z EU. Zúčastněné společnosti navíc se žádostmi fyzických osob z EU nakládaly náležitým způsobem.
Co se týče prosazování, Komise konstatovala, že od minulého roku Federální obchodní komise přijala v souvislosti s nedodržováním požadavků štítu na ochranu soukromí sedm donucovacích opatření, a to i v návaznosti na oznámené kontroly z moci úřední. Všech sedm případů se týkalo nepravdivých tvrzení o účasti v tomto rámci. Dva z těchto případů se týkaly také porušení hmotněprávních požadavků štítu na ochranu soukromí, například toho, že nebylo na základě vlastního posouzení ani na základě externího přezkumu dodržování požadavků ověřeno, zda jsou tvrzení společnosti ohledně jejích postupů v souladu s požadavky štítu na ochranu soukromí pravdivá a zda byly tyto postupy zavedeny. Komise donucovací opatření přijatá Federální obchodní komisí ve třetím roce fungování štítu na ochranu soukromí vítá. Současně by Komise vzhledem k oznámení agentury z minulého roku a k ujištěním poskytnutým v průběhu druhého každoročního přezkumu očekávala důraznější přístup, co se týče donucovacích opatření kvůli porušení hmotněprávních zásad štítu na ochranu soukromí.
V tomto ohledu Komise vzala na vědomí vysvětlení poskytnuté při třetím každoročním přezkumu, že řada probíhajících šetření vyžaduje více času, jelikož Federální obchodní komise zkoumá celou škálu možných porušení. Informace poskytnuté Federální obchodní komisí však byly příliš omezené na to, aby umožnily odpovídajícím způsobem vyhodnotit pokrok při prosazování. Přestože takovéto informace mohou být omezeny z oprávněných důvodů týkajících se zachování důvěrnosti, nezdá se být odůvodněné, aby Federální obchodní komise nemohla ani v souhrnné a anonymizované podobě sdělit více podrobností o prováděných kontrolách z moci úřední. Tento přístup není v duchu spolupráce mezi orgány, na níž je štít na ochranu soukromí založen, a Federální obchodní komise by měla nalézt způsob, jak smysluplné informace o svých donucovacích opatřeních předávat Komisi a orgánům pro ochranu údajů v EU, jež jsou za prosazování tohoto rámce spoluzodpovědné.
Během tohoto přezkumu byla znovu řešena otázka, jak je nakládáno s údaji o lidských zdrojích. Jak potvrdily zúčastněné strany, vypracování společných pokynů Ministerstvem obchodu, Federální obchodní komisí a úřady pro ochranu údajů v EU by představovalo skutečnou přidanou hodnotu. V tomto ohledu Komise konstatuje, že nedávno došlo k navázání kontaktů, což vedlo k určitému pokroku v chápání těchto záležitostí, ale prozatím bez jakéhokoli konkrétního výsledku.
2.2.Přístup orgánů USA k osobním údajům a jejich použití těmito orgány
Co se týče aspektů souvisejících s přístupem orgánů USA k osobním údajům a s tím, jak je používají, třetí každoroční přezkum se zaměřil především na potvrzení toho, že všechna omezení a záruky, z nichž vychází rozhodnutí o odpovídající úrovni ochrany, zůstávají v platnosti. Mimo to poskytl třetí každoroční přezkum příležitost prozkoumat nejnovější vývoj a dále vyjasnit určité aspekty právního rámce a rovněž různé mechanismy dohledu a možnosti nápravy, obzvláště s ohledem na způsob, jakým stížnosti vyřizuje a řeší ombudsman.
Nedošlo sice k žádnému vývoji v souvislosti s právními předpisy týkajícími se shromažďování zahraničních zpravodajských informací na základě § 702 zákona o zabezpečování informací o činnostech cizí moci (Foreign Intelligence Surveillance Act, dále jen „zákon FISA“), avšak Komise vítá objasnění, které obdržela od orgánů USA ohledně způsobu, jakým je shromažďování zpravodajských informací zacíleno v souladu se zpravodajskými programy prováděnými na základě §702 zákona FISA (tj. programy Prism a Upstream). Toto objasnění potvrdilo zjištění Komise uvedená v rozhodnutí o odpovídající úrovni ochrany, že shromažďování zahraničních zpravodajských informací na základě § 702 zákona FISA je vždy zacílené díky používání selektivních kritérií a že volba těchto kritérií se řídí zákonem a podléhá nezávislému soudnímu a legislativnímu dohledu.
Komise také konstatovala, že by některé orgány pro získávání zahraničních zpravodajských informací na základě § 501 zákona FISA ve znění zákona USA o svobodě z roku 2015 měly ke dni 15. prosince 2019 zaniknout. Vzhledem k tomu, že shromažďování údajů na základě § 501 zákona FISA je relevantní v souvislosti se štítem na ochranu soukromí, a bylo tudíž posuzováno pro účely rozhodnutí Komise o odpovídající úrovni ochrany, je v případě opětovného schválení důležité, aby zůstala v platnosti stávající omezení a záruky, například zákaz hromadného shromažďování.
Pokud jde o prezidentskou směrnici 28, orgány USA výslovně potvrdily, že zůstává plně v platnosti a nebyla zatím nijak pozměněna. Nedošlo také k žádným změnám v postupech, jimiž se provádí prezidentská směrnice 28 v rámci různých agentur zpravodajských služeb. Komise také vzala na vědomí vysvětlení poskytnutá orgány USA objasňující, že ustanovení ohledně hromadného shromažďování údajů obsažená v prezidentské směrnici 28, včetně ustanovení týkajících se dočasného získávání údajů, se netýkají shromažďování zahraničních zpravodajských informací v rámci USA (například shromažďování informací od certifikovaných společností zpracovávajících údaje předávané z EU v rámci štítu na ochranu soukromí), jako je shromažďování prováděné na základě § 702 zákona FISA v rámci programů Prism nebo Upstream, neboť toto shromažďování je vždy cílené.
Co se týče Výboru pro dohled nad ochranou soukromí a občanských svobod, který je důležitým kontrolním orgánem v oblasti vládního sledování, Komise uvítala, že po nedávném potvrzení dvou jeho dalších členů Senátem USA funguje výbor poprvé od roku 2016 v plném složení pěti členů. Komise také vzala na vědomí, že se počet zaměstnanců výboru od loňského každoročního přezkumu zdvojnásobil a že přijal ambicióznější pracovní program sestávající z deseti probíhajících projektů v oblasti dohledu, z nichž některé jsou pro pravidelný přezkum štítu na ochranu soukromí prováděný Komisí obzvláště relevantní.
Co se týče mechanismu ombudsmana v rámci štítu na ochranu soukromí, prezident USA dne 18. ledna 2019 oznámil jmenování Keitha Kracha do funkce tajemníka ministra zahraničí, který působí také jako ombudsman. Dne 20. června 2019 byl Keith Krach ve funkci potvrzen senátem. Komise jmenování Keitha Kracha ombudsmanem ve věcech štítu na ochranu soukromí vítá. Takto je zajištěno trvalé obsazení této pozice.
Pokud jde o první stížnost předloženou v rámci mechanismu ombudsmana prostřednictvím chorvatského úřadu pro ochranu osobních údajů krátce před posledním každoročním přezkumem, uvedená stížnost byla nakonec vyhodnocena jako nepřípustná, jelikož se týkala skutečností uzavřených před přijetím rozhodnutí o štítu na ochranu soukromí. Stížnost nicméně poskytla příležitost k vyzkoušení fungování příslušných postupů v praxi. Zástupci Evropského sboru pro ochranu osobních údajů i ombudsman potvrdili, že všechny příslušné kroky postupu byly zahájeny a provedeny uspokojivým způsobem. Komise vítá úspěšné zpracování této první žádosti coby důležitou známku toho, že mechanismus ombudsmana dokáže řádně plnit své funkce.
Orgány USA také poskytly další vysvětlení ohledně toho, jak bude ombudsman spolupracovat s dalšími nezávislými orgány dohledu a jakým způsobem bude napravovat porušení zásad. Zejména potvrdily, že nezávislý generální inspektor zpravodajské komunity bude systematicky informován o veškerých stížnostech předložených ombudsmanovi a bude provádět vlastní posouzení. Dále vysvětlily, že pokud stížnost předložená ombudsmanovi odhalí porušení postupů zacílení podle § 702 zákona FISA, bude toto porušení nahlášeno Soudu pro uplatňování zákona FISA (Foreign Intelligence Surveillance Court), který provede nezávislý přezkum a v případě potřeby nařídí příslušné zpravodajské agentuře, aby podnikla kroky k nápravě. Tato náprava může zahrnovat individuální i strukturální opatření, tj. opatření sahající od výmazu protiprávně získaných údajů až po změnu postupu shromažďování údajů, včetně pokynů a školení pracovníků.
V neposlední řadě bylo potvrzeno, že pokud v průběhu přezkumu stížnosti předložené ombudsmanovi vyjde najevo porušení zákonů USA (včetně porušení výkonných dekretů, prezidentských směrnic a pravidel a postupů agentur, jako jsou např. postupy pro zacílení a minimalizaci shromažďování schválené Soudem pro uplatňování zákona FISA), protiprávně získané údaje budou vymazány ze všech vládních databází a všechny odkazy na tyto údaje budou odstraněny ze zpravodajských zpráv. Fyzické osoby z EU tudíž budou moci dosáhnout vymazání svých údajů, pokud byly jejich osobní údaje získány a zpracovávány zpravodajskými službami USA v rozporu se zákonem.
Komise tato další vysvětlení vítá, neboť ukazují, jak spolupráce mezi různými nezávislými orgány dohledu posiluje účinnost mechanismu ombudsmana. Bylo rovněž důležité vyjasnit, že pomocí mechanismu ombudsmana mohou fyzické osoby z EU skutečně uplatnit své právo na výmaz, které je základním prvkem práva na ochranu osobních údajů.
3.ZÁVĚR
Informace shromážděné v rámci třetího každoročního přezkumu potvrzují zjištění Komise uvedená v rozhodnutí o odpovídající úrovni ochrany, a to jak s ohledem na obchodní aspekty rámce, tak s ohledem na aspekty, které se týkají přístupu veřejných orgánů k osobním údajům předávaným v rámci štítu na ochranu soukromí. Komise v této souvislosti konstatovala řadu zlepšení ve fungování tohoto rámce, a v souvislosti se jmenováním příslušných osob do klíčových orgánů dohledu.
Vzhledem k určitým problémům, na něž poukázaly každodenní zkušenosti nebo které získaly na významu v kontextu praktického provádění tohoto rámce, Komise nicméně dospěla k závěru, že je třeba podniknout řadu konkrétních kroků za účelem zajištění efektivního fungování štítu na ochranu soukromí v praxi:
1.Ministerstvo obchodu by mělo zkrátit lhůty poskytované společnostem na dokončení postupu opětovné certifikace. Maximální lhůta 30 dní se zdá být přiměřená, aby společnostem poskytla dostatek času na opětovnou certifikaci, včetně nápravy jakýchkoli problémů zjištěných během postupu opětovné certifikace, a aby zároveň zajistila efektivnost tohoto postupu. Nebude-li po uplynutí této lhůty opětovná certifikace dokončena, mělo by Ministerstvo obchodu bez dalšího odkladu odeslat upozorňující dopis.
2.V souvislosti s postupem kontrol na místě by mělo Ministerstvo obchodu posuzovat dodržování zásady odpovědnosti za další předávání údajů ze strany společností, včetně využívání možnosti poskytované štítem na ochranu soukromí vyžádat si souhrn nebo reprezentativní kopii ustanovení ohledně ochrany soukromí, jež jsou obsažena ve smlouvě uzavřené společností certifikovanou v rámci štítu na ochranu soukromí za účelem dalšího předávání údajů.
3.Ministerstvo obchodu by mělo prioritně vyvinout nástroje pro odhalování nepravdivých tvrzení o účasti ve štítu na ochranu soukromí ze strany společností, které se o certifikaci nikdy neucházely, a tyto nástroje pravidelně a systematicky používat.
4.Federální obchodní komise by měla prioritně nalézt způsoby, jak smysluplné informace o probíhajících šetřeních předávat Komisi a také úřadům pro ochranu osobních údajů v EU, které mají v rámci štítu na ochranu soukromí také své povinnosti v oblasti prosazování.
5.Úřady pro ochranu osobních údajů v EU, Ministerstvo obchodu USA a Federální obchodní komise by měly v nadcházejících měsících vypracovat společné pokyny týkající se definice údajů o lidských zdrojích a nakládání s těmito údaji.
Komise bude další vývoj v souvislosti s konkrétními prvky štítu na ochranu soukromí i nadále bedlivě sledovat, zejména pak i) fungování mechanismu ombudsmana, především v případě nové stížnosti, ii) výsledky probíhajících projektů v oblasti dohledu, které zahájil Výbor pro dohled nad ochranou soukromí a občanských svobod a které jsou pro štít na ochranu soukromí obzvláště relevantní (například pokud jde o dotazy na údaje získávané na základě § 702 zákona FISA Federálním úřadem pro vyšetřování, provádění doporučení výboru týkajících se prezidentské směrnice 28 atd.), iii) opětovné schválení § 501 zákona FISA, obzvláště zda zůstaly v platnosti stávající záruky, a iv) vývoj judikatury USA ve věcech soudních opravných prostředků v oblasti vládního sledování, konkrétně s ohledem na postavení před soud.
V neposlední řadě bude Komise i nadále bedlivě sledovat probíhající debatu o federálních zákonech na ochranu soukromí v USA. Komplexní přístup k ochraně soukromí a osobních údajů by napomohl sbližování systémů v EU a v USA, což by posílilo základy, na nichž je štít na ochranu soukromí vybudován.
Prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí, Úř. věst. L 207, 1.8.2016, s. 1.
Zpráva Komise Evropskému parlamentu a Radě o prvním každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (COM(2017) 611 final), viz http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Pracovní dokument útvarů Komise připojený ke zprávě Komise Evropskému parlamentu a Radě o prvním každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (SWD(2017) 344 final), viz http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Zpráva Komise Evropskému parlamentu a Radě o druhém každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (COM (2018) 860 final), viz https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .
Pracovní dokument útvarů Komise připojený ke zprávě Komise Evropskému parlamentu a Radě o druhém každoročním přezkumu fungování štítu EU–USA na ochranu soukromí (SWD(2018)497 final), viz https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
Prezidentská směrnice 28: Činnosti v oblasti signálového zpravodajství, 17. ledna 2014, která stanoví důležitá omezení a záruky pro osoby, které nejsou občany USA, v oblasti shromažďování informací prostřednictvím signálového zpravodajství.
Nezávislý orgán sdružující zástupce úřadů pro ochranu osobních údajů z jednotlivých členských států EU a evropského inspektora ochrany údajů.
Viz věc T-738/16, La Quadrature du Net v. Komise. Otázky týkající se štítu na ochranu soukromí byly vzneseny rovněž v souvislosti s věcí C-311/18, Data Protection Commissioner v. Facebook Ireland a Maximilian Schrems („Schrems II“), v níž se 9. července 2019 uskutečnilo slyšení před velkým senátem Soudního dvora.