1.           Úvod: meniace sa prostredie spracovania údajov medzi EÚ a USA

Európska únia a USA sú strategickí partneri a toto partnerstvo je kľúčové na podporu našich spoločných hodnôt, našej bezpečnosti a nášho spoločného vedúceho postavenia v celosvetových záležitostiach.

Dôvera v toto partnerstvo však bola naštrbená a je potrebné ju obnoviť. EÚ, členské štáty a občania Európy vyjadrili hlboké znepokojenie v dôsledku odhalenia rozsiahlych programov spravodajských služieb USA na zhromažďovanie informácií, najmä pokiaľ ide o ochranu osobných údajov[1]. Hromadné sledovanie súkromnej komunikácie, či už občanov, podnikov alebo politických predstaviteľov, je neprijateľné.

Prenosy osobných údajov sú dôležitým a nevyhnutným prvkom transatlantických vzťahov. Tvoria neoddeliteľnú súčasť obchodných výmen medzi oboma brehmi Atlantiku , a to aj v nových rastúcich digitálnych obchodných odvteviach, ako sú sociálne médiá alebo cloud computing, kde z EÚ do USA prúdia veľké množstvá údajov. Takisto predstavujú kľúčovú súčasť spolupráce medzi EÚ a USA v oblasti presadzovania práva a spolupráce medzi členskými štátmi a USA v oblasti národnej bezpečnosti. S cieľom uľahčiť toky údajov a zároveň zaručiť vysokú úroveň ochrany údajov v súlade s požiadavkami právnych predpisov EÚ, USA a Európska únia prijali niekoľko dohôd a opatrení.

Obchodné výmeny sú predmetom rozhodnutia 2000/520/ES[2] (ďalej len „rozhodnutie o bezpečnom prístave“). Toto rozhodnutie poskytuje právny základ na prenosy osobných údajov z EÚ do spoločností zriadených v USA, ktoré podporujú zásady „bezpečného prístavu“.

Výmena osobných údajov medzi EÚ a USA na účely presadzovania práva vrátane predchádzania terorizmu a iným formám závažnej trestnej činnosti a boja proti nim sa riadi viacerými dohodami na úrovni EÚ. Sú to Dohoda o vzájomnej o právnej pomoci[3], Dohoda o používaní a prenose osobných údajov o cestujúcich (PNR)[4], Dohoda o spracovaní a zasielaní údajov obsiahnutých vo finančných správach na účely Programu na sledovanie financovania terorizmu (TFTP)[5] a Dohoda medzi Europolom a USA. Tieto dohody predstavujú odpoveď na významne bezpečnostné otázky a spĺňajú spoločné bezpečnostné záujmy EÚ a USA, pričom zároveň poskytujú vysokú úroveň ochrany osobných údajov. EÚ a USA okrem toho v súčasnosti rokujú o rámcovej dohode o ochrane údajov v oblasti policajnej a justičnej spolupráce („zastrešujúca dohoda“)[6]. Cieľom je zabezpečiť vysokú úroveň ochrany údajov pre občanov, ktorých údaje sa vymieňajú, a tým ďalej posilniť rastúcu spoluprácu medzi EÚ a USA v oblasti boja proti kriminalite a terorizmu na základe spoločných hodnôt a dohodnutých ochranných opatrení.

Tieto nástroje fungujú v prostredí, v ktorom sú toky osobných údajov čoraz významnejšie.

Na jednej strane rozvoj digitálnej ekonomiky viedol k prudkému nárastu množstva, kvality, rôznorodosti a charakteru činností spracovania údajov. Používanie služieb elektronickej komunikácie občanmi v každodennom živote sa zvýšilo. Osobné údaje sa stali vysoko cenným aktívom: odhadovaná hodnota údajov občanov EÚ v roku 2011 predstavovala 315 miliárd EUR, pričom má potenciál dosiahnuť do roku 2020 takmer 1 bilión EUR ročne [7]. Trh s analýzou veľkých súborov údajov celosvetovo rastie o 40 % ročne[8]. Podobne technologický rozvoj, napríklad týkajúci sa cloud computingu, upriamil pozornosť na pojem medzinárodného prenosu údajov, keďže cezhraničné toky údajov sa stávajú každodennou realitou.[9]

Nárast používania elektronických komunikačných služieb a služieb spracovania údajov, vrátane technológie cloud computing, takisto významne rozšíril rozsah a význam transatlantických prenosov údajov. Prvky ako ústredná pozícia amerických spoločností v digitálnej ekonomike[10], transatlantické smerovanie veľkej časti elektronických komunikácií a objem tokov elektronických údajov medzi EÚ a USA sa stali ešte dôležitejšími.

Na druhej strane, moderné metódy spracovania osobných údajov prinášajú nové a dôležité otázky. Vzťahujú sa na nové spôsoby rozsiahleho spracovania spotrebiteľských údajov súkromnými spoločnosťami na obchodné účely aj na vyššiu schopnosť rozsiahleho sledovania komunikácií spravodajskými agentúrami.

Rozsiahle programy spravodajských služieb USA na zhromažďovanie informácií, ako je napríklad PRISM, ovplyvňujú základné práva Európanov a najmä ich právo na súkromie a ochranu osobných údajov. Tieto programy poukazujú aj na spojenie medzi vládnym sledovaním a spracovaním údajov súkromnými spoločnosťami, predovšetkým internetovými spoločnosťami z USA. V dôsledku toho môžu mať hospodársky vplyv. Ak majú občania obavy z rozsiahleho spracúvania ich osobných údajov súkromnými spoločnosťami alebo zo sledovania ich údajov spravodajskými agentúrami pri využívaní internetových služieb, môže to mať vplyv na ich dôveru v digitálnu ekonomiku s možnými nepriaznivými dôsledkami na rast.

Tento vývoj predstavuje nové výzvy pre toky údajov medzi EÚ a USA. Toto oznámenie sa zaoberá týmito výzvami. Preskúmava sa v ňom ďalší vývoj na základe záverov obsiahnutých v správe spolupredsedov EÚ ad hoc pracovnej skupiny EÚ  USA a v oznámení o bezpečnom prístave.

Jeho cieľom je poskytnúť účinný spôsob na znovuvybudovanie dôvery a posilnenie spolupráce medzi EÚ a USA v týchto oblastiach a na posilnenie širších transatlantických vzťahov.

Toto oznámenie vychádza z predpokladu, že normy týkajúce sa ochrany osobných údajov sa musia skúmať v náležitom kontexte bez toho, aby boli ovplyvnené ostatné rozmery vzťahov medzi EÚ a USA vrátane prebiehajúcich rokovaní o transatlantickom partnerstve v oblasti obchodu a investícií. Z tohto dôvodu sa o normách ochrany údajov nebude rokovať v rámci transatlantického partnerstva v oblasti obchodu a investícií, ktoré bude plne dodržiavať pravidlá ochrany údajov.

Je dôležité poznamenať, že hoci EÚ môže prijať opatrenia v oblastiach patriacich do právomoci EÚ, najmä na zabezpečovanie uplatňovania právnych predpisov EÚ[11], národná bezpečnosť zostáva výlučnou zodpovednosťou každého členského štátu[12].

2.         Vplyv na nástroje na prenos údajov

Po prvé, pokiaľ ide o údaje prenášané na obchodné účely, bezpečný prístav sa osvedčil ako dôležitý prostriedok na prenos údajov medzi EÚ a USA. Jeho obchodný význam vzrástol postupne, ako toky osobných údajov nadobúdali v transatlantických obchodných vzťahoch väčší význam. Za posledných 13 rokov sa systém bezpečného prístavu rozšíril tak, že zahŕňa viac než 3 000 spoločností, pričom vyše polovica z nich sa k týmto zásadám prihlásila počas posledných piatich rokov. Aj tak však narastajú obavy týkajúce sa úrovne ochrany osobných údajov občanov EÚ prenášaných do USA v rámci systému bezpečného prístavu. Dobrovoľná a deklaratórna povaha tohto systému zaostrila pozornosť na jeho transparentnosť a presadzovanie. Hoci väčšina spoločností z USA uplatňuje jeho zásady, niektoré samocertifikované spoločnosti ich neuplatňujú. Nedodržiavanie zásad bezpečného prístavu zo strany niektorých samocertifikovaných spoločností predstavuje pre takéto spoločnosti konkurenčnú výhodu vo vzťahu k európskym spoločnostiam fungujúcim na rovnakých trhoch. 

Navyše, aj keď v rámci zásad bezpečného prístavu sú povolené obmedzenia pravidiel ochrany údajov, ak je to potrebné z hľadiska národnej bezpečnosti[13], vznikla otázka, či rozsiahle zhromažďovanie a spracovanie osobných údajov v rámci programov sledovania USA je potrebné a primerané na spĺňanie záujmov národnej bezpečnosti. Zo záverov ad hoc pracovnej skupiny EÚ  USA je takisto jasné, že v rámci týchto programov nemajú občania EÚ rovnaké práva a procesné záruky ako Američania.

Dosah týchto programov sledovania, v kombinácii s nerovnakým zaobchádzaním s občanmi EÚ, vyvoláva pochybnosti o úrovni ochrany, ktorú dohoda o zásadách bezpečného prístavu poskytuje. K osobným údajom občanov EÚ odosielaným do USA v rámci programu bezpečného prístavu môžu orgány USA pristupovať a ďalej ich spracúvať spôsobom, ktorý nie je v súlade s dôvodmi, na základe ktorých boli pôvodne v EÚ zhromaždené, a účelmi, na ktoré boli prenesené do USA. Väčšina internetových spoločností z USA, ktorých sa tieto programy priamejšie dotýkajú, je certifikovaná v rámci systému bezpečného prístavu.

Po druhé, pokiaľ ide o výmeny údajov na účely presadzovania práva, existujúce dohody (PNR, TFTP) sa osvedčili ako vysoko cenné nástroje na riešenie bežných bezpečnostných hrozieb súvisiacich so závažnou medzinárodnou trestnou činnosťou a terorizmom, pričom zároveň stanovujú ochranné opatrenia, ktoré zaisťujú vysokú úroveň ochrany údajov[14]. Tieto ochranné opatrenia zahŕňajú občanov EÚ a v dohodách sú stanovené mechanizmy na posúdenie ich vykonávania a na riešenie s nimi súvisiacich obáv. Dohodou TFTP sa takisto stanovuje systém dohľadu s nezávislými orgánmi dohľadu EÚ, ktoré kontrolujú, ako USA vyhľadávajú údaje, na ktoré sa dohoda vzťahuje.

Vzhľadom na obavy, ktoré sa vyskytli v EÚ v súvislosti s programami sledovania USA, Európska komisia použila tieto mechanizmy na kontrolu spôsobu uplatňovania týchto dohôd. V prípade dohody PNR sa vykonalo spoločné preskúmanie za účasti expertov na ochranu údajov z EÚ a USA, v ktorom sa skúmalo, ako sa táto dohoda vykonáva[15]. Uvedeným preskúmaním sa nijako nezistilo, že by programy sledovania USA zahŕňali údaje o cestujúcich, na ktoré sa vzťahuje dohoda PNR, alebo že by na ne mali nejaký vplyv. V prípade dohody TFTP Komisia začala formálne konzultácie na základe tvrdení, podľa ktorých spravodajské agentúry USA priamo pristupujú k osobným údajom v EÚ v rozpore s dohodou. Tieto konzultácie neodhalili žiadne prvky dokazujúce porušenie dohody TFTP a ich výsledkom bolo, že USA poskytli písomné ubezpečenie, že nedošlo k žiadnemu priamemu zhromažďovaniu údajov v rozpore s ustanoveniami dohody.

Rozsiahle zhromažďovanie a spracúvanie osobných údajov v rámci programov sledovania USA si však vyžaduje, aby sa vykonávanie dohôd PNR a TFTP v budúcnosti naďalej veľmi pozorne monitorovalo. EÚ a USA sa preto dohodli, že urýchlia nasledujúce spoločné preskúmanie dohody TFTP, ktoré sa uskutoční na jar 2014.  V rámci uvedeného preskúmania a budúcich spoločných preskúmaní sa zaručí väčšia transparentnosť z hľadiska fungovania systému dohľadu a ochrany údajov občanov EÚ.  Zároveň sa vykonajú opatrenia na zaručenie toho, aby sa v systéme dohľadu naďalej venovala náležitá pozornosť spôsobu spracovania údajov prenášaných do USA na základe dohody, so zameraním na spôsob, akým sa o tieto údaje delia orgány USA.

Po tretie, nárast objemu spracovania osobných údajov zdôrazňuje význam právnych a administratívnych záruk, ktoré sa uplatňujú. Jedným z cieľov ad hoc pracovnej skupiny EÚ  USA bolo určiť, ktoré záruky sa majú uplatňovať, aby sa minimalizoval vplyv spracovania na základné práva občanov EÚ. Záruky sú taktiež potrebné na ochranu spoločností. Niektoré právne predpisy USA, napríklad zákon Patriot Act, umožňujú orgánom USA priamo vyžadovať od spoločností prístup k údajom uloženým v EÚ. Od európskych spoločností a amerických spoločností prítomných v EÚ sa preto môže vyžadovať, aby prenášali údaje do USA v rozpore s právnymi predpismi EÚ a členských štátov, a na tieto spoločnosti sa vzťahujú konfliktné právne povinnosti. Právna neistota vyplývajúca z týchto priamych požiadaviek môže brzdiť rozvoj nových digitálnych služieb, ako je napr. cloud computing, ktoré môžu poskytovať účinné a nízkonákladové riešenia pre jednotlivcov a podniky.

 3.         Zabezpečenie účinnosti ochrany údajov

Prenosy osobných údajov medzi EÚ a USA sú nevyhnutným prvkom transatlantických obchodných vzťahov. Vzájomné poskytovanie informácií je takisto nevyhnutnou zložkou spolupráce medzi EÚ a USA v oblasti bezpečnosti, ktorá má zásadný význam na dosiahnutie spoločného cieľa predchádzania závažnej trestnej činnosti a terorizmu a boja proti nim. Nedávne odhalenia o programoch spravodajských služieb USA na zhromažďovanie informácií však nepriaznivo ovplyvnili dôveru, na ktorej je táto spolupráca založená. Narušili najmä dôveru, pokiaľ ide o spôsob spracovania osobných údajov. V záujme digitálnej ekonomiky, bezpečnosti v EÚ aj USA a širších transatlantických vzťahov by sa na obnovenie dôvery v prenosy údajov by sa mali prijať nasledujúce opatrenia.

3.1.      Reforma ochrany údajov v EÚ

Reforma ochrany údajov navrhnutá Komisiou v januári 2012[16] prináša kľúčové odpovede, pokiaľ ide o ochranu osobných údajov. Osobitne dôležitých je päť zložiek navrhovaného balíka na ochranu údajov.

Po prvé, pokiaľ ide o územnú pôsobnosť, v navrhovanom nariadení sa jasne stanovuje, že spoločnosti, ktoré nie sú zriadené v Únii, budú musieť uplatňovať právne predpisy EÚ týkajúce sa ochrany údajov, keď ponúkajú tovary a služby európskym spotrebiteľom alebo keď sledujú ich správanie. Inými slovami, základné právo na ochranu údajov sa bude dodržiavať nezávisle od geografického umiestnenia spoločnosti alebo jej výrobnej prevádzky[17].

Po druhé, pokiaľ ide o medzinárodné prenosy, v navrhovanom nariadení sa stanovujú podmienky, na základe ktorých sa údaje môžu prenášať mimo EÚ. Prenosy možno povoliť len v prípade, ak sú tieto podmienky, ktoré zaručujú práva jednotlivcov na vysokú úroveň ochrany, splnené[18].

Po tretie, pokiaľ ide o presadzovanie, navrhované pravidlá obsahujú primerané a odrádzajúce sankcie (až do 2 % globálneho ročného obratu spoločnosti) s cieľom zaručiť, aby spoločnosti dodržiavali právne predpisy EÚ[19]. Existencia presvedčivých sankcií zvýši motiváciu spoločností dodržiavať právne predpisy EÚ.

Po štvrté, navrhované nariadenie obsahuje jasné pravidlá týkajúce sa povinností a zodpovedností spracovateľov údajov, ako sú poskytovatelia cloudových služieb, a to vrátane zabezpečenia[20]. Ako preukázali odhalenia o programoch spravodajských služieb USA na zhromažďovanie informácií, je to veľmi dôležité, pretože tieto programy ovplyvňujú údaje uložené v cloude. Rovnako spoločnosti poskytujúce ukladací priestor v cloude, od ktorých sa bude žiadať poskytovanie osobných údajov cudzím orgánom, nebudú môcť uniknúť svojej zodpovednosti tým, že sa budú odvolávať na svoje postavenie spracovateľov údajov, a nie prevádzkovateľov údajov.

Po piate, balík vyústi do zavedenia komplexných pravidiel na ochranu osobných údajov spracúvaných v sektore presadzovania práva.

Očakáva sa, že balík bude včas schválený v priebehu roku 2014[21].

3.2.      Zvýšiť bezpečnosť bezpečného prístavu

Systém bezpečného prístavu je dôležitou súčasťou obchodných vzťahov medzi EÚ a USA, na ktorý sa spoliehajú spoločnosti na oboch brehoch Atlantiku.

V správe Komisie o fungovaní bezpečného prístavu sa identifikovalo niekoľko slabých miest tohto systému. V dôsledku nedostatočnej transparentnosti a presadzovania niektorí samocertifikovaní členovia v praxi nedodržiavajú zásady tohto systému. Má to nepriaznivý vplyv na základné práva občanov EÚ. Takisto to znevýhodňuje európske spoločnosti v porovnaní s tými konkurenčnými spoločnosťami z USA, ktoré fungujú v rámci systému, ale v praxi nedodržiavajú jeho zásady. Tento nedostatok mý vplyv aj na väčšinu spoločností z USA, ktoré systém dodržiavajú. Bezpečný prístav funguje aj ako kanál na prenos osobných údajov občanov EÚ z EÚ do USA spoločnosťami, ktoré musia poskytovať údaje spravodajským agentúram USA v rámci programov spravodajských služieb USA na zhromažďovanie informácií. Kým sa tieto nedostatky neodstránia, bude to predstavovať konkurenčnú nevýhodu pre podniky z EÚ a bude to mať nepriaznivý vplyv na základné práva občanov EÚ na ochranu údajov.

Nedostatky systému bezpečného prístavu boli zdôraznené aj v reakcii európskych orgánov na ochranu údajov na nedávne odhalenia týkajúce sa sledovania. Podľa článku 3 rozhodnutia o bezpečnom prístave sú tieto orgány za určitých okolností oprávnené pozastaviť toky údajov do certifikovaných spoločností.[22] Nemeckí komisári na ochranu údajov sa rozhodli nevydávať nové povolenia na prenosy údajov do krajín mimo EÚ (napríklad na používanie niektorých cloudových služieb). Takisto preskúmajú, či by sa prenosy údajov na základe systému bezpečného prístavu  mali pozastaviť.[23] Existuje riziko, že by z takýchto opatrení prijatých na vnútroštátnej úrovni, vzišli rozdiely, pokiaľ ide o oblasti pôsobnosti systému bezpečného prístavu. Znamená to, že tento systém by už nebol hlavným mechanizmom na prenos osobných údajov medzi EÚ a USA.

Podľa smernice 95/46/ES má Komisia právo pozastaviť účinnosť alebo zrušiť rozhodnutie o bezpečnom prístave, ak tento systém už neposkytuje primeranú úroveň ochrany. V článku 3 rozhodnutia o bezpečnom prístave sa ďalej stanovuje, že Komisia môže  zrušiť alebo pozastaviť účinnosť rozhodnutia alebo obmedziť rozsah jeho pôsobnosti, a podľa článku 4 ho môže kedykoľvek upraviť na základe skúseností s jeho vykonávaním.

V tejto súvislosti je možné zvážiť niekoľko politických možností vrátane:

zachovania status quo; posilnenia systému bezpečného prístavu a dôkladného preskúmania jeho fungovania; pozastavenia účinnosti alebo zrušenia rozhodnutia o bezpečnom prístave.

Vzhľadom na zistené nedostatky sa systém bezpečného prístavu nemôže ďalej vykonávať súčasným spôsobom. Jeho zrušenie by však nepriaznivo ovplyvnilo záujmy členských spoločností v EÚ a v USA. Komisia sa domnieva, že systém bezpečného prístavu by sa mal skôr posilniť.

Zlepšenia by sa mali týkať štrukturálnych nedostatkov súvisiacich s transparentnosťou a aj presadzovaním, základných zásad systému bezpečného prístavu a fungovania výnimky na základe národnej bezpečnosti.

Konkrétnejšie, na to, aby systém bezpečného prístavu fungoval tak, ako má, musia byť monitorovanie a dohľad nad dodržiavaním zásad systému bezpečného prístavu certifikovanými spoločnosťami zo strany orgánov USA účinnejšie a systematickejšie. Musí sa zlepšiť transparentnosť politík certifikovaných spoločností týkajúcich sa ochrany osobných údajov. Občanom EÚ sa takisto musí zabezpečiť celková a cenová dostupnosť mechanizmov riešenia sporov. 

Komisia začne bezodkladne diskutovať s orgánmi USA o zistených nedostatkoch. Nápravné opatrenia by sa mali určiť do leta 2014 a zaviesť čo najskôr. Na základe uvedeného Komisia uskutoční kompletnú previerku fungovania systému bezpečného prístavu. Tento proces širšieho preskúmania by mal zahŕňať aj otvorenú konzultáciu a diskusiu v Európskom parlamente a Rade, ako aj diskusie s orgánmi USA. 

Takisto je dôležité, aby sa výnimka na základe národnej bezpečnosti, ktorá sa stanovuje v rozhodnutí o bezpečnom prístave, používala len v prísne nevyhnutnom a primeranom rozsahu.

3.3.      Posilnenie záruk ochrany údajov v rámci spolupráce pri presadzovaní práva

EÚ v súčasnosti rokuje s USA o zastrešujúcej dohode o ochrane údajov pri prenose a spracovaní osobných údajov v kontexte policajnej a justičnej spolupráce v trestných veciach. Uzavretie takejto dohody zaisťujúcej vysokú úroveň ochrany osobných údajov by predstavovalo významný príspevok k posilneniu dôvery medzi obomi stranami Atlantiku. Zlepšením ochrany práv občanov EÚ v oblasti ochrany údajov by sa posilnila transatlantická spolupráca zameraná na predchádzanie trestnej činnosti a terorizmu a boja proti nim.

Podľa rozhodnutia, ktoré Komisiu poveruje rokovaním o zastrešujúcej dohode, by cieľom rokovaní malo byť zaručiť vysokú úroveň ochrany v súlade s acquis EÚ v oblasti ochrany údajov. Malo by sa to premietnuť do dohodnutých pravidiel a ochranných opatrení týkajúcich sa, okrem iného, obmedzení účelu, podmienok a trvania zadržiavania údajov. V kontexte rokovaní by Komisia mala takisto získať záväzky týkajúce sa vykonateľných práv vrátane mechanizmov justičnej nápravy pre občanov EÚ, ktorí nežijú v USA[24]. Úzka spolupráca medzi EÚ a USA na riešenie spoločných otázok týkajúcich sa bezpečnosti by sa mala premietnuť do úsilia zaistiť, aby mali občania rovnaké práva, keď sa rovnaké údaje spracúvajú na rovnaké účely na oboch stranách Atlantiku. Takisto je dôležité, aby sa presne vymedzili výnimky založené na potrebách národnej bezpečnosti. Na tento účel by sa mali dohodnúť ochranné opatrenia a obmedzenia.

Tieto rokovania poskytujú príležitosť objasniť, že orgány presadzovania práva USA nezískajú priamy prístup k osobným údajom v držbe súkromných spoločností a nachádzajúcim sa v EÚ, ani sa im takéto údaje nebudú odovzdávať mimo formálnych kanálov spolupráce, ako sú napríklad dohody o vzájomnej právnej pomoci alebo sektorové dohody medzi EÚ a USA, ktoré povoľujú takéto prenosy. Prístup inými prostriedkami by sa mal vylúčiť, pokiaľ sa neuskutočňuje v jasne vymedzených, výnimočných a súdne preskúmateľných situáciách. USA by mali prijať záväzky v tomto ohľade[25].

„Zastrešujúca dohoda“ dohodnutá v súlade s týmito zásadami by mala poskytovať všeobecný rámec na zaručenie vysokej úrovne ochrany osobných údajov pri prenose do USA na účely predchádzania trestnej činnosti a terorizmu a boja proti nim. V sektorových dohodách by sa v prípade potreby z dôvodu povahy príslušného prenosu údajov stanovili dodatočné pravidlá a ochranné opatrenia, pričom by vychádzali z príkladu dohôd PNR a TFTP medzi EÚ a USA, v ktorých sa stanovujú prísne podmienky na prenos údajov a záruky pre občanov EÚ.         

3.4.      Riešenie Európskych obáv v prebiehajúcom procese reforiem v USA 

Prezident USA Barack Obama oznámil preskúmanie aktivít orgánov národnej bezpečnosti USA vrátane uplatniteľného právneho rámca. Tento prebiehajúci proces predstavuje významnú príležitosť reagovať na obavy EÚ vyvolané nedávnymi odhaleniami o programoch spravodajských služieb USA na zhromažďovanie informácií. Najdôležitejšie zmeny by spočívali v rozšírení ochranných opatrení, ktoré platia pre občanov a obyvateľov USA, na občanov EÚ, ktorí nežijú v USA, vo zvýšení transparentnosti aktivít spravodajských služieb a ďalšieho posilnenia dohľadu. Tieto zmeny by viedli k obnoveniu dôvery vo výmenu údajov medzi EÚ a USA a podporili by využívanie internetových služieb zo strany Európanov.

Pokiaľ ide o rozšírenie ochranných opatrení platiacich pre občanov a obyvateľov USA na občanov EÚ, právne normy týkajúce sa programov dohľadu USA, v rámci ktorých sa nezaobchádza s občanmi EÚ a USA rovnako, by sa mali preskúmať, a to aj z pohľadu potreby a primeranosti, pričom treba zohľadniť úzke transatlantické partnerstvo v oblasti bezpečnosti založené na spoločných hodnotách, právach a slobodách. Miera  vplyvu programov spravodajských služieb USA na zhromažďovanie informácií by sa tak v prípade Európanov zmenšila.

Je potrebná väčšia transparentnosť, pokiaľ ide o právny rámec programov spravodajských služieb USA na zhromažďovanie informácií a jeho interpretáciu súdmi USA, ako aj kvantitatívny rozmer programov spravodajských služieb USA na zhromažďovanie informácií. Takéto zmeny by priniesli osoh aj občanom EÚ.

Dohľad na programami spravodajských služieb USA na zhromažďovanie informácií by sa zlepšil posilnením úlohy súdu Foreign Intelligence Surveillance Court (FISC) a zavedením nápravných opatrení pre jednotlivcov. Tieto mechanizmy by mohli obmedziť spracúvanie osobných údajov Európanov, ktoré nie sú potrebné na účely národnej bezpečnosti.

3.5.        Presadzovanie noriem ochrany súkromia na medzinárodnej úrovni

Otázky vyvolané modernými metódami ochrany údajov sa neobmedzujú na prenos údajov medzi EÚ a USA. Vysoká úroveň ochrany osobných údajov by sa mala zaručiť každému jednotlivcovi. Pravidlá EÚ týkajúce sa zhromažďovania, spracúvania a prenosu údajov by sa mali presadzovať na medzinárodnej úrovni.

V poslednom čase bolo navrhnutých niekoľko iniciatív na propagovanie ochrany súkromia, predovšetkým na internete[26]. EÚ by mala zaistiť, aby sa takýmito iniciatívami, ak sa realizujú, plne zohľadňovali zásady ochrany základných práv, slobody prejavu, osobných údajov a súkromia, ako sú ustanovené v právnych predpisoch EÚ a v stratégií kybernetickej bezpečnosti EÚ a aby nenarúšali slobodu, otvorenosť a bezpečnosť kybernetického priestoru. To zahŕňa aj demokratický a účinný model riadenia za účasti viacerých zúčastnených strán.

Prebiehajúce reformy právnych predpisov o ochrane osobných údajov na oboch stranách Atlantiku takisto poskytujú EÚ aj USA jedinečnú príležitosť na stanovenie týchto noriem na medzinárodnej úrovni. Pre výmenu údajov cez Atlantik a ďalej by malo veľký prínos posilnenie domáceho právneho rámca USA vrátane prijatia zákona o právach spotrebiteľov na ochranu súkromia ohláseného prezidentom Obamom vo februári 2012 ako súčasti komplexnej koncepcie na zlepšenie ochrany súkromia spotrebiteľov. Existencia súboru silných a vymožiteľných predpisov na ochranu údajov zakotvených v právnych predpisoch EÚ aj USA by predstavovala pevný základ pre cezhraničné toky údajov.

So zreteľom na presadzovanie noriem ochrany súkromia na medzinárodnej úrovni by sa malo podporovať aj pristúpenie k dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov („dohovor č. 108“) [27], ktorý je otvorený aj krajinám, ktoré nie sú členmi Rady Európy. Záruky a garancie dohodnuté na medzinárodných fórach by mali priniesť vysokú úroveň ochrany kompatibilnú s požiadavkami právnych predpisov EÚ.

4.            Závery a odporúčania

Problémy opísané v tomto oznámení si vyžadujú prijatie opatrení zo strany USA, ako aj EÚ a jej členských štátov.

Obavy týkajúce sa transatlantickej výmeny údajov sú predovšetkým „budíčkom“ pre EÚ a členské štáty k tomu, aby rýchlo a ambiciózne pokročili v reformách ochrany údajov. Poukazujú na to, že silný legislatívny rámec s jasnými pravidlami, ktoré sú vymožiteľné aj v prípade prenosu údajov do zahraničia, je nevyhnutný viac než kedykoľvek predtým. Inštitúcie EÚ by preto mali naďalej vyvíjať úsilie s cieľom schváliť do jari 2014 reformu predpisov EÚ v oblasti ochrany údajov, ktorými sa zaistí účinná a komplexná ochranu osobných údajov.

Vzhľadom na význam transatlantických tokov údajov je nevyhnutné, aby nástroje, na ktorých sú tieto výmeny založené, adekvátne zodpovedali výzvam a príležitostiam, ktoré digitálna éra a nové technológie ponúkajú, ako je napríklad cloud computing. Existujúcimi a budúcimi opatreniami a dohodami by sa mala nepretržitá vysoká úroveň ochrany na druhej strane Atlantiku.

Silný systém bezpečného prístavu je v záujme občanov aj spoločností EÚ aj USA. V krátkom čase by mal byť posilnený vďaka lepšiemu monitorovaniu a vykonávaniu a na základe tohto širšiemu preskúmaniu jeho fungovania. Vykonať zlepšenia je nutné, aby sa zabezpečilo, že sa stále plnia pôvodné ciele rozhodnutia o bezpečnom prístave – t. j. kontinuita ochrany údajov, právnej istoty a voľného toku údajov medzi EÚ a USA. 

Tieto zlepšenia by sa mali zamerať na nutnosť toho, aby orgány USA lepšie dohliadali a monitorovali dodržiavanie zásady systému bezpečného prístavu samocertifikovanými spoločnosťami.

Takisto je dôležité, aby sa výnimka založená na národnej bezpečnosti, ktorá je stanovená v rozhodnutí o bezpečnom prístave, používala len v prísne nevyhnutnom a primeranom rozsahu.

V oblasti presadzovania práva by súčasné rokovania o zastrešujúcej dohode mali priniesť vysokú úroveň ochrany pre občanov na oboch stranách Atlantiku. Touto dohodou by sa posilnila dôvera Európanov vo výmenu údajov medzi EÚ a USA a poskytol by sa základ na ďalší rozvoj spolupráce a partnerstva medzi EÚ a USA v oblasti bezpečnosti. V kontexte rokovania by sa mali získať záväzky týkajúce sa dostupnosti procesných záruk, vrátane justičnej nápravy, pre občanov EÚ, ktorí nežijú v USA.

Od vlády USA by sa mali požadovať záväzky, ktorými sa zabezpečí, že agentúry presadzovania práva USA nezískajú priamy prístup k osobným údajom v držbe súkromných spoločností v EÚ mimo formálnych kanálov spolupráce, ako sú napríklad dohody o vzájomnej právnej pomoci alebo sektorové dohody medzi EÚ a USA, ako sú napríklad dohody PNR a TFTP, ktoré takéto prenosy povoľujú za prísnych podmienok, s výnimkou jasne vymedzených, výnimočných a súdne preskúmateľných situácií.  

USA by takisto mali rozšíriť ochranné opatrenia platné pre občanov a obyvateľov USA na občanov EÚ, ktorí nežijú v USA, zaručiť nutnosť a primeranosť ich programov, väčšiu transparentnosť a kontrolu právneho rámca, ktorý sa vzťahuje na orgány národnej bezpečnosti USA.

V oblastiach uvedených v tomto oznámení bude nevyhnutná konštruktívna účasť na oboch stranách Atlantiku. EÚ a USA dokážu spoločne, ako strategickí partneri, prekonať súčasné napätie v transatlantických vzťahoch a znova vybudovať dôveru v toky údajov medzi EÚ a USA. Prijatím spoločných politických a právnych záväzkov na ďalšiu spoluprácu v týchto oblastiach sa celkovo posilnia transatlantické vzťahy.

[1]               Na účely tohto oznámenia odkazy na občanov EÚ zahŕňajú aj dotknuté subjekty mimo EÚ, na ktoré sa vzťahujú právne predpisy Európskej únie týkajúce sa ochrany osobných údajov.

[2]               Rozhodnutie Komisie 2000/520/ES z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA, Ú. v. ES L 215, 25.8.2000, s. 7.

[3]               Rozhodnutie Rady 2009/820/SZBP z 23. októbra 2009 o uzavretí v mene Európskej únie Dohody o extradícii medzi Európskou úniou a Spojenými štátmi americkými a Dohody o vzájomnej právnej pomoci medzi Európskou úniou a Spojenými štátmi americkými, Ú. v. EÚ L 291, 7.11.2009, s. 40.

[4]               Rozhodnutie Rady 2012/472/EÚ z 26. apríla 2012 o uzavretí Dohody medzi Spojenými štátmi americkými a Európskou úniou o využívaní osobných záznamov o cestujúcich a ich postupovaní Ministerstvu vnútornej bezpečnosti Spojených štátov amerických, Ú. v. EÚ L 215, 11.8.2012, s. 4.

[5]               Rozhodnutie Rady z 13. júla 2010 o uzavretí Dohody medzi Európskou úniou a Spojenými štátmi americkými o spracovaní a zasielaní údajov obsiahnutých vo finančných správach z Európskej únie do Spojených štátov na účely Programu na sledovanie financovania terorizmu, Ú. v. EÚ L 195, 27.7.2010, s. 3.

[6]               Rada prijala 3. decembra 2010 rozhodnutie, ktorým Komisiu poveruje rokovať o dohode.  Pozri IP/10/1661 z 3. decembra 2010.

[7]               Pozri Bostonská konzultačná skupina: „The Value of our Digital Identity“ (Hodnota našej digitálnej identity), november 2012.

[8]                      Pozri McKinsey: „Big data: The next frontier for innovation, competition, and productivity“ (Objemné údaje: ďalšia hranica inovácie, hospodárskej súťaže a produktivity), 2011.

[9]               Oznámenie o uvoľnení potenciálu cloud computingu v Európe, COM(2012) 529 final.

[10]             Napríklad kombinovaný počet jednotlivých návštevníkov služieb Microsoft Hotmail, Google Gmail a Yahoo! Mail z európskych krajín v júni 2012 predstavoval 227 miliónov, pričom tento počet zatieňuje všetkých ostatných poskytovateľov. V marci 2012 bol kombinovaný počet jednotlivých európskych používateľov prihlasujúcich sa na Facebook alebo Facebook Mobile 196,5 milióna, čo znamená, že Facebook je v Európe najväčšou sociálnou sieťou. Google je hlavným internetovým vyhľadávačom s celosvetovým podielom 90,2 % používateľov internetu. Americkú službu na výmenu okamžitých správ cez mobilné zariadenia What's App v júni 2013 používalo 91 % používateľov iPhonu v Nemecku.

[11]             Pozri rozsudok Súdneho dvora Európskej únie vo veci C-300/11 ZZ / Secretary of State for the Home Department.

[12]             Článok 4 ods. 2 ZFEÚ.

[13]             Pozri napr. rozhodnutie o bezpečnom prístave, príloha I.

[14]             Pozri spoločnú správu Komisie a Ministerstva financií USA o hodnote údajov poskytnutých podľa dohody TFTP podľa článku 6 ods. 6 Dohody medzi Európskou úniou a Spojenými štátmi americkými o spracovaní a zasielaní údajov obsiahnutých vo finančných správach z Európskej únie do Spojených štátov na účely Programu na sledovanie financovania terorizmu.

[15]             Pozri správu Komisie „Joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of  passenger name records to the United States Department of Homeland Security“ (Spoločné preskúmanie vykonávania Dohody medzi Európskou úniou a Spojenými štátmi americkými o spracovaní a prenose osobných záznamoch o cestujúcich a ich postupovaní Ministerstvu vnútornej bezpečnosti Spojených štátov amerických).

[16]             COM(2012) 10 final: Návrh smernice Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov, Brusel, 25.1.2012, a COM(2012) 11 final: Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov).

[17]             Komisia berie na vedomie, že Európsky parlament potvrdil a posilnil túto dôležitú zásadu zakotvenú v článku 3 navrhovaného nariadenia pri svojom hlasovaní 21. októbra 2013 o správach poslancov EP Jana-Philippa Albrechta a Dimitriosa Droutsasa o reforme ochrany údajov vo Výbore pre občianske slobody, spravodlivosť a vnútorné veci (LIBE).

[18]             Komisia berie na vedomie, že výbor LIBE Európskeho parlamentu pri svojom hlasovaní 21. októbra 2013 navrhol do budúceho nariadenia zahrnúť ustanovenie, ktorým by sa stanovila podmienka, že v prípade požiadaviek cudzích orgánov na prístup k osobným údajom zhromaždeným v EÚ sa musí získať predchádzajúci súhlas vnútroštátneho orgánu pre ochranu údajov, ak by takáto požiadavka bola vydaná mimo zmluvy o vzájomnej právnej pomoci alebo inej medzinárodnej dohody. 

[19]             Komisia berie na vedomie, že pri svojom hlasovaní 21. októbra 2013 výbor LIBE navrhol posilniť návrh Komisie posilnil stanovením, že sa pokuty môžu vyšplhať až do výšky 5 % celosvetového ročného obratu spoločnosti.

[20]             Komisia berie na vedomie, že pri svojom hlasovaní 21. októbra 2013 výbor LIBE schválil posilnenie povinností a zodpovedností spracovateľov údajov, najmä pokiaľ ide o článok 26 navrhovaného nariadenia.

[21]             V záveroch Európskej rady z októbra 2013 sa uvádza, že: „Je dôležité posilniť dôveru občanov a podnikov v digitálne hospodárstvo. Pre dokončenie digitálneho jednotného trhu do roku 2015 je nevyhnutné včasné prijatie silného všeobecného rámca EÚ na ochranu údajov a smernice o kybernetickej bezpečnosti“.

[22]             Konkrétne sa podľa článku 3 rozhodnutia o bezpečnom prístave takéto pozastavenie môže uskutočniť v prípadoch, keď je veľká pravdepodobnosť, že sa porušujú zásady; existuje reálny dôvod na domnienku, že príslušný mechanizmus na vymáhanie výkonu neprijíma alebo neprijme primerané a včasné opatrenia na urovnanie určitého prípadu; pokračujúci prenos údajov by mal za následok bezprostredné riziko vážneho poškodenia dotknutých osôb, ktoré sú predmetom údajov; a príslušné orgány v danom členskom štáte vyvinuli podľa okolností primerané úsilie na to, aby o tom informovali dotknutú organizáciu a poskytli jej možnosť odpovedať.

[23]             Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, tlačová správa z 24. júla 2013.

[24]             Pozri príslušnú pasáž spoločného tlačového vyhlásenia po stretnutí ministrov spravodlivosti a vnútra krajín EÚ a USA 18. novembra 2013 vo Washingtone: „Súrne sme sa preto zaviazali rýchlo napredovať v rokovaniach o zmysluplnej a komplexnej zastrešujúcej dohode o ochrane údajov v oblasti presadzovania práva. Dohoda by mala fungovať ako základ na zjednodušenie prenosov údajov v kontexte policajnej a justičnej spolupráce v trestných veciach tým, že by zabezpečovala vysokú úroveň ochrany osobných údajov pre občanov USA a EÚ. Chceme pracovať na vyriešení zostávajúcich otázok vznesených obomi stranami vrátane justičnej nápravy (kritická otázka pre EÚ). Naším cieľom je dokončiť rokovania o dohode do leta 2014.“

[25]             Pozri príslušnú pasáž spoločného tlačového vyhlásenia po stretnutí ministrov spravodlivosti a vnútra krajín EÚ a USA 18. novembra 2013 vo Washingtone: „Takisto zdôrazňujeme hodnotu dohody o vzájomnej právnej pomoci medzi EÚ a USA. Opakujeme svoj záväzok zaistiť, aby sa široko a účinne používala na účely dokazovania v trestnom konaní. Uskutočnili sa aj diskusie o potrebe objasniť, že k osobným údajom v držbe súkromných subjektov na území druhej strany nezískajú agentúry presadzovania práva prístup mimo legálne schválených kanálov. Takisto súhlasíme s preskúmaním fungovania dohody o vzájomnej právnej pomoci, ako sa to predpokladá v dohode, a so vzájomnými konzultáciami zakaždým, keď bude potrebné.“

[26]             Pozri v tejto súvislosti návrh uznesenia, ktorý valnému zhromaždeniu OSN predložili Nemecko a Brazília a ktorý vyzýva na ochranu súkromia on-line aj off-line.

[27]          USA už pristúpili k inému dohovoru Rady Európy: dohovor Rady Európy o počítačovej kriminalite (známy tiež ako „Budapeštiansky dohovor“) z roku 2001.