EURÓPSKA KOMISIA
V Bruseli23. 10. 2019
COM(2019) 495 final
SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE
o treťom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA
{SWD(2019) 390 final}
EURÓPSKA KOMISIA
V Bruseli23. 10. 2019
COM(2019) 495 final
SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE
o treťom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA
{SWD(2019) 390 final}
1.TRETIE KAŽDOROČNÉ PRESKÚMANIE – SÚVISLOSTI, PRÍPRAVA A PROCES
Komisia 12. júla 2016 prijala rozhodnutie (ďalej len „rozhodnutie o primeranosti“), v ktorom dospela k záveru, že štít na ochranu osobných údajov medzi EÚ a USA zabezpečuje primeranú úroveň ochrany osobných údajov, ktoré sa prenášajú z Európskej únie organizáciám v USA. 1 V rozhodnutí o primeranosti sa osobitne požaduje, aby Komisia každoročne vyhodnotila všetky aspekty fungovania tohto rámca a na základe toho pripravila verejnú správu, ktorá sa predloží Európskemu parlamentu a Rade.
Prvé každoročné preskúmanie prebehlo v septembri 2017 vo Washingtone, D.C., a v októbri 2017 Komisia prijala svoju správu Európskemu parlamentu a Rade 2 , ku ktorej bol priložený pracovný dokument útvarov Komisie [SWD(2017) 344 final]. 3 Komisia dospela k záveru, že USA aj naďalej zaisťujú primeranú úroveň ochrany osobných údajov prenášaných z Európskej únie do USA v rámci štítu na ochranu osobných údajov, ale vydala desať odporúčaní na zlepšenie praktického fungovania rámca.
Druhé každoročné preskúmanie prebehlo v októbri 2018 v Bruseli a v decembri 2018 Komisia prijala svoju správu Európskemu parlamentu a Rade 4 , ku ktorej bol znova priložený pracovný dokument útvarov Komisie [SWD(2018) 487 final]. 5 Na základe informácií zhromaždených v súvislosti s druhým každoročným preskúmaním sa potvrdzujú zistenia Komisie z rozhodnutia o primeranosti, a to pokiaľ ide o „obchodné aspekty“ rámca (t. j. aspekty týkajúce sa dodržiavania požiadaviek štítu na ochranu osobných údajov zo strany osvedčených spoločností, ako aj riadenia požiadaviek, dohľadu nad nimi a ich presadzovania príslušnými orgánmi USA), ako aj aspekty týkajúce sa prístupu orgánov verejnej moci k osobným údajom prenášaným v rámci štítu na ochranu osobných údajov.
Krokmi prijatými na splnenie odporúčaní Komisie po prvom každoročnom preskúmaní sa konkrétne zlepšilo niekoľko aspektov praktického vykonávania rámca. Napríklad ministerstvo obchodu zaviedlo nové mechanizmy odhaľovania možných problémov s dodržiavaním predpisov, Federálna obchodná komisia zaviedla iniciatívnejší prístup k monitorovaniu dodržiavania a presadzovania a bola uverejnená správa Rady pre dohľad nad ochranou súkromia a občianskych slobôd o vykonávaní prezidentskej politickej smernice 28 6 . Keďže sa však niektoré z týchto krokov prijali tesne pred druhým každoročným preskúmaním a niektoré procesy ešte stále prebiehajú, Komisia dospela k záveru, že ďalší vývoj týkajúci sa týchto procesov a mechanizmov si vyžaduje dôkladné monitorovanie.
Okrem toho, hoci funkciu ombudsmana pre štít na ochranu osobných údajov vykonával úradujúci štátny tajomník a mechanizmus ombudsmana bol teda plne funkčný, Komisia zdôraznila, že je dôležité, aby bola pozícia ombudsmana pre štít na ochranu osobných údajov obsadená trvalo, a najmä vyzvala vládu USA, aby určila nominanta na túto pozíciu do 28. februára 2019.
Tretie každoročné preskúmanie prebehlo 12. a 13. septembra 2019 vo Washingtone, D.C. Otvorila ho generálna riaditeľka pre spravodlivosť a spotrebiteľov Tiina Astola, minister obchodu USA Wilbur Ross, predseda Federálnej obchodnej komisie Joseph Simons a podpredseda Európskeho výboru pre ochranu údajov Ventsislav Karadjov. Zo strany EÚ zasadnutie viedli zástupcovia Generálneho riaditeľstva Európskej komisie pre spravodlivosť a spotrebiteľov. Na tomto zasadnutí sa zúčastnilo aj osem zástupcov, ktorých určil Európsky výbor pre ochranu údajov 7 .
Zo strany USA sa na preskúmaní zúčastnili zástupcovia ministerstva obchodu, ministerstva zahraničných vecí, Federálnej obchodnej komisie, ministerstva dopravy, kancelárie riaditeľa Národnej spravodajskej služby, ministerstva spravodlivosti a členovia Rady pre dohľad nad ochranou súkromia a občianskych slobôd, ako aj novovymenovaný ombudsman (natrvalo, pozri ďalej) a generálny inšpektor spravodajských služieb. Na relevantných schôdzkach týkajúcich sa preskúmania poskytli informácie aj zástupcovia dvoch organizácií, ktoré ponúkajú nezávislé služby riešenia sporov v rámci štítu na ochranu osobných údajov, a zástupcovia Amerického arbitrážneho združenia, ktoré spravuje arbitrážny výbor štítu pre ochranu osobných údajov. K preskúmaniu napokon prispeli aj prezentácie organizácií s osvedčením v rámci štítu na ochranu osobných údajov o krokoch, ktoré spoločnosti podnikajú na splnenie požiadaviek tohto rámca.
V rámci prípravy na tretie každoročné preskúmanie Komisia zhromaždila informácie od príslušných zainteresovaných strán (najmä od spoločností s osvedčením v rámci štítu na ochranu osobných údajov prostredníctvom ich príslušných obchodných združení a mimovládnych organizácií pôsobiacich v oblasti základných práv, najmä digitálnych práv a ochrany súkromia). Popri získavaní písomných príspevkov sa Komisia 9. septembra 2019 takisto zúčastnila na stretnutí s priemyselnými a obchodnými združeniami a 11. septembra 2019 s mimovládnymi organizáciami.
Ďalšie východiská pre zistenia Komisie zahŕňali verejne dostupné materiály, napríklad rozhodnutia súdov, vykonávacie pravidlá a postupy príslušných orgánov USA, správy a štúdie mimovládnych organizácií, správy o transparentnosti vydané spoločnosťami s osvedčením v rámci štítu na ochranu osobných údajov, výročné správy nezávislých mechanizmov nápravy, ako aj správy z médií.
V tejto správe sa uzatvára tretie každoročné preskúmanie fungovania štítu na ochranu osobných údajov. Správa aj sprievodný pracovný dokument útvarov Komisie [SWD(2019) 390 final] majú rovnakú štruktúru ako dokumenty o predchádzajúcich dvoch preskúmaniach. Týka sa všetkých aspektov fungovania štítu na ochranu osobných údajov s osobitným zameraním na tie prvky, ktoré Komisia počas druhého výročného preskúmania označila za oblasti, ktoré treba dôkladne monitorovať.
Pri posudzovaní Komisia zohľadnila aj ďalší vývoj, ku ktorému došlo za posledný rok, vrátane neukončených súdnych konaní týkajúcich sa štítu na ochranu osobných údajov na Súdnom dvore Európskej únie 8 . V tejto súvislosti preskúmanie poskytlo Komisii príležitosť získať od orgánov USA vysvetlenia určitých konkrétnych aspektov právneho rámca USA upravujúceho získavanie zahraničných spravodajských informácií, na ktoré sa poukázalo v súvislosti s takzvanou vecou Schrems II. Ak však Súdny dvor rozhodne o nevyriešených veciach, Komisia bude možno musieť situáciu prehodnotiť.
2.ZISTENIA
Po treťom roku fungovania sa štít na ochranu osobných údajov, do ktorého bolo v čase každoročného preskúmania zapojených viac ako 5 000 spoločností, presunul z počiatočnej fázy do fázy s vyššou mierou funkčnej prevádzky. Tretie každoročné preskúmanie sa zameriavalo na skúsenosti a vedomosti získané pri praktickom uplatňovaní rámca a zahŕňalo obchodné aspekty aj otázky týkajúce sa prístupu vlády k osobným údajom.
Podrobné zistenia týkajúce sa fungovania rámca štítu na ochranu osobných údajov po treťom roku fungovania sú uvedené v pracovnom dokumente útvarov Komisie, ktorý sa týka tretieho každoročného preskúmania fungovania štítu na ochranu osobných údajov medzi EÚ a USA [SWD(2019) 390 final] a ktorý je priložený k tejto správe.
2.1.Obchodné aspekty
Na základe zistení z minuloročného každoročného preskúmania bolo posúdenie obchodných aspektov zo strany Komisie zamerané najmä na pokrok, ktorý dosiahlo ministerstvo obchodu, pokiaľ ide o: i) proces opätovného osvedčenia; ii) účinnosť mechanizmov zavedených ministerstvom obchodu s cieľom iniciatívne monitorovať, či osvedčené spoločnosti dodržiavajú požiadavky (tzv. náhodné kontroly na mieste); iii) nástroje zavedené s cieľom odhaliť nepravdivé tvrdenia; iv) pokrok a výsledky opatrení Federálnej obchodnej komisie v oblasti presadzovania týkajúcich sa porušení štítu na ochranu osobných údajov a v) vývoj týkajúci sa usmernení týkajúcich sa údajov o ľudských zdrojoch.
Pokiaľ ide o proces opätovného osvedčenia, pri treťom každoročnom preskúmaní vyšlo najavo, že je bežnou praxou, že ak spoločnosť po uplynutí lehoty na vykonanie (opätovného) osvedčenia proces opätovného osvedčenia nedokončila, ministerstvo obchodu poskytne spoločnosti na základe interného postupu možnosť odkladu na značné obdobie. V tomto období (približne 3,5 mesiaca alebo v niektorých prípadoch dokonca aj dlhšie obdobie v závislosti od toho, kedy ministerstvo obchodu zistí, že proces opätovného osvedčovania nebol dokončený) je spoločnosť stále uvedená na zozname organizácií zapojených do štítu na ochranu osobných údajov ako aktívna. Pokiaľ spoločnosť stále figuruje medzi organizáciami zapojenými do štítu na ochranu osobných údajov, povinnosti vyplývajúce z rámca sú naďalej záväzné a v plnej miere vynútiteľné. Ak je však spoločnosť naďalej uvedená na zozname organizácií aktívne zapojených do štítu na ochranu osobných údajov tak dlho po tom, ako uplynula lehota na opätovné osvedčenie, znižuje sa transparentnosť a čitateľnosť zoznamu organizácií zapojených štítu na ochranu osobných údajov pre podniky aj jednotlivcov v EÚ. Navyše to zapojené spoločnosti nemotivuje, aby dôsledne dodržiavali požiadavku každoročného opätovného osvedčovania.
Pokiaľ ide o iniciatívne kontroly toho, či spoločnosti dodržiavajú požiadavky štítu na ochranu osobných údajov, ministerstvo obchodu zaviedlo v apríli 2019 systém, v rámci ktorého každý mesiac kontroluje 30 spoločností. Komisia víta, že ministerstvo obchodu pravidelne a systematicky vykonáva iniciatívne náhodné kontroly súladu na mieste, čo je veľmi dôležité na zlepšenie celkového súladu s rámcom a na odhalenie prípadov, ktoré si vyžadujú opatrenia Federálnej obchodnej komisie zamerané na presadzovanie práva. Konštatuje však, že tieto náhodné kontroly na mieste sa zvyčajne obmedzujú na formálne požiadavky, medzi ktoré patrí napríklad nedostatočná odozva od určených kontaktných miest alebo skutočnosť, že zásady ochrany osobných údajov spoločností nie sú dostupné online. Aj keď určite ide o relevantné aspekty súladu s požiadavkami štítu na ochranu osobných údajov, takéto kontroly by mali zahŕňať aj základné záväzky, napríklad dodržiavanie zásady zodpovednosti za ďalšie prenosy s plným využitím nástrojov, o ktoré sa ministerstvo obchodu môže v tomto rámci opierať. Požiadavky na ďalšie prenosy sa v rámci štítu na ochranu súkromia výrazne posilnili, pretože chýbajúce záruky by v takýchto situáciách oslabili ochranu zaručenú rámcom. Hoci kontroly na mieste by sa mali aj naďalej vykonávať pravidelne a systematicky, dodržiavanie týchto zásadnejších požiadaviek je pre fungovanie štítu na ochranu súkromia takisto rozhodujúce, a preto by mali podliehať prísnemu monitorovaniu a presadzovaniu orgánmi USA.
Komisia v súvislosti s procesom ministerstva obchodu na vyhľadávanie nepravdivých tvrdení o účasti na štíte na ochranu osobných údajov konštatovala, že ministerstvo obchodu naďalej vykonávalo štvrťročné kontroly, čo viedlo k odhaleniu významného počtu prípadov nepravdivých tvrdení, pričom niektoré z nich boli postúpené Federálnej obchodnej komisii. Niektoré z týchto vyhľadávaní sa zatiaľ však zameriavali len na spoločnosti, ktoré už boli nejakým spôsobom osvedčené alebo požiadali o osvedčenie v rámci štítu na ochranu osobných údajov (ale napríklad neprešli procesom opätovného osvedčenia). Je dôležité, aby sa zameriavali aj na spoločnosti, ktoré nikdy nepožiadali o osvedčenie v rámci štítu na ochranu osobných údajov. Nepravdivé tvrdenia spoločností, ktoré nikdy nepožiadali o osvedčenie, sú potenciálne najškodlivejšie zo všetkých. Platí to z hľadiska ochrany súkromia jednotlivcov, pretože ak spoločnosti nikdy nepožiadali o osvedčenie, tak vo svojich obchodných praktikách nezaviedli žiadny z ochranných prvkov zaručených štítom na ochranu osobných údajov. Platí to aj z hľadiska podnikov, pretože ak organizácie, ktoré nespĺňajú požiadavky rámca, môžu využívať výhody osvedčenia, je oslabená rovnosť podmienok medzi spoločnosťami.
Komisia víta, že čoraz väčší počet dotknutých osôb z EÚ využíva svoje práva v rámci štítu na ochranu osobných údajov a príslušné mechanizmy nápravy fungujú dobre. Počet sťažností predložených nezávislým mechanizmom nápravy sa zvýšil a boli vyriešené k spokojnosti dotknutých jednotlivcov z EÚ. Navyše zapojené spoločnosti náležite vybavili žiadosti jednotlivcov z EÚ.
V súvislosti s presadzovaním Komisia konštatovala, že od minulého roka Federálna obchodná komisia uzavrela sedem opatrení zameraných na presadzovanie, ktoré sa týkali porušení štítu na ochranu osobných údajov, a to aj ako výsledok ohlásených kontrol ex officio. Všetkých sedem prípadov sa týkalo nepravdivých tvrdení o účasti na rámci. Dva z týchto prípadov sa týkali porušenia zásadnejších požiadaviek štítu na ochranu osobných údajov, napríklad toho, že sa prostredníctvom posúdenia vykonaného samotnou organizáciou ani posúdenia dodržiavania zásad externým posudzovateľom neoverilo, či sú tvrdenia spoločnosti o postupoch v rámci štítu na osobných údajov pravdivé a či sa dané postupy zaviedli. Komisia víta opatrenia zamerané na presadzovanie vykonané Federálnou obchodnou komisiu v treťom roku fungovania štítu na ochranu osobných údajov. Vzhľadom na oznámenie agentúry z minulého roka a na ubezpečenia poskytnuté počas druhého každoročného preskúmania Komisia očakávala dôraznejší prístup, pokiaľ ide o opatrenia na presadzovanie práva v kontexte závažných porušení zásad štítu na ochranu osobných údajov.
V tejto súvislosti Komisia vzala na vedomie vysvetlenie poskytnuté pri treťom každoročnom preskúmaní, že niektoré prebiehajúce vyšetrovania si vyžadujú viac času, pretože Federálna obchodná komisia skúma celý rad možných porušení. Informácie, ktoré poskytla Federálna obchodná komisia však boli príliš obmedzené na to, aby sa primerane vyhodnotil pokrok pri presadzovaní. Hoci prístup k takýmto informáciám môže byť obmedzený z dôvodu ich legitímneho dôverného charakteru, nezdá sa, že je opodstatnené, aby Federálna obchodná komisia nemohla poskytnúť, dokonca ani v súhrnnej alebo anonymnej forme, viac informácií o prebiehajúcich ohlásených kontrolách ex officio. Tento prístup nie je v súlade s duchom spolupráce medzi orgánmi, na ktorom je štít na ochranu osobných údajov založený, a tak by mala Federálna obchodná komisia nájsť spôsoby, ako poskytnúť užitočné informácie o svojej činnosti v oblasti presadzovania práva Komisii a orgánom EÚ pre ochranu údajov, pretože sa delia o zodpovednosť za presadzovanie rámca.
Počas preskúmania sa opäť diskutovalo o tom, ako sa v rámci štítu na ochranu osobných údajov zaobchádza s údajmi o ľudských zdrojoch. Ako potvrdili zainteresované strany, skutočnú pridanú hodnotu by malo, keby sa vypracovalo spoločné usmernenie ministerstva obchodu, Federálnej obchodnej komisie a orgánov EÚ pre ochranu údajov. V tejto súvislosti Komisia konštatuje, že nedávno o tom prebehla komunikácia a viedla k určitému pokroku, pokiaľ ide o pochopenie otázok, ale zatiaľ bez žiadneho konkrétneho výsledku.
2.2.Prístup orgánov verejnej moci USA k osobným údajom a ich využívanie
Pokiaľ ide o aspekty týkajúce sa prístupu orgánov verejnej moci USA k osobným údajom a ich využívania, cieľom tretieho každoročného preskúmania bolo v prvom rade potvrdiť, že všetky obmedzenia a záruky, o ktoré sa opiera rozhodnutie o primeranosti, zostávajú v platnosti. Tretie každoročné preskúmanie okrem toho poskytlo príležitosť preskúmať nový vývoj a bližšie vysvetliť určité aspekty právneho rámca, ako aj rôzne mechanizmy dohľadu a možnosti nápravy, najmä pokiaľ ide o vybavovanie a riešenie sťažností ombudsmanom.
Aj keď nedošlo k žiadnemu novému právnemu vývoju v oblasti získavania zahraničných spravodajských informácií v súlade s článkom 702 zákona o dohľade nad zahraničnou rozviedkou (Foreign Intelligence Surveillance Act), Komisia uvítala vysvetlenia orgánov USA o spôsobe, akým sa zacieľuje získavanie spravodajských informácií prostredníctvom programov spravodajských služieb vykonávaných v súlade s článkom 702 zákona o dohľade nad zahraničnou rozviedkou (t. j. Prism a Upstream). Tieto vysvetlenia potvrdili zistenia Komisie z rozhodnutia o primeranosti, že získavanie zahraničných spravodajských informácií podľa článku 702 zákona o dohľade nad zahraničnou rozviedkou je vždy cielené prostredníctvom používania selektorov a že výber selektorov sa riadi zákonom a podlieha nezávislému súdnemu a legislatívnemu dohľadu.
Komisia ďalej konštatovala, že platnosť oprávnenia niektorých orgánov na získavanie zahraničných spravodajských informácií podľa článku 501 zákona o dohľade nad zahraničnou rozviedkou zmeneného zákonom USA o slobode z roku 2015 (Freedom Act) uplynie 15. decembra 2019. Získavanie informácií podľa článku 501 zákona o dohľade nad zahraničnou rozviedkou je relevantné v súvislosti so štítom na ochranu osobných údajov, a preto Komisia v rozhodnutí o primeranosti usúdila, že je dôležité, aby v prípade obnovenia oprávnenia zostali v platnosti existujúce obmedzenia a záruky, napríklad zákaz hromadného zhromažďovania.
Pokiaľ ide o prezidentskú politickú smernicu 28, orgány USA výslovne potvrdili, že zostáva v plnej platnosti a účinnosti a nijako sa nemení. V rôznych agentúrach spravodajskej komunity nedošlo k žiadnym zmenám postupov, ktorými sa vykonáva prezidentská politická smernica 28. Komisia vzala na vedomie vysvetlenia orgánov USA, ktoré objasnili, že ustanovenia o hromadnom zhromažďovaní uvedené v prezidentskej politickej smernici 28 vrátane ustanovení o dočasnom nadobudnutí sa nevzťahujú na získavanie zahraničných spravodajských informácií v rámci USA (napríklad na získavanie informácií od osvedčenej spoločnosti, ktorá spracúva údaje prenášané z EÚ v rámci štítu na ochranu osobných údajov), napríklad na získavanie informácií podľa článku 702 zákona o dohľade nad zahraničnou rozviedkou v rámci programov Prism a Upstream, v ktorých je získavanie údajov vždy cielené.
Pokiaľ ide o Radu pre dohľad nad ochranou súkromia a občianskych slobôd, ktorá je dôležitým dozorným orgánom v oblasti vládneho dohľadu, Komisia uvítala nedávne vymenovanie ďalších dvoch členov rady Senátom USA, pričom Rada pre dohľad nad ochranou súkromia a občianskych slobôd má prvýkrát od roku 2016 všetkých piatich členov. Komisia ďalej konštatovala, že počet zamestnancov rady sa od posledného každoročného preskúmania zdvojnásobil a že prijala ambiciózny pracovný program, ktorý pozostáva z desiatich prebiehajúcich projektov v oblasti dohľadu. Niektoré z nich majú osobitný význam pre pravidelné preskúmanie štítu na ochranu údajov Komisiou.
Pokiaľ ide o mechanizmus ombudsmana pre štít na ochranu osobných údajov, prezident USA 18. januára 2019 oznámil nomináciu Keitha Kracha za štátneho tajomníka, ktorý zároveň pôsobí ako ombudsman. Senát USA potvrdil nomináciu pána Kracha 20. júna 2019. Komisia víta vymenovanie pána Kracha za ombudsmana pre štít na ochranu osobných údajov, pretože to zaisťuje trvalé obsadenie danej pozície.
Pokiaľ ide o prvú sťažnosť určenú mechanizmu ombudsmana, ktorá bola predložená prostredníctvom chorvátskeho orgánu pre ochranu osobných údajov tesne pred posledným každoročným preskúmaním, bola nakoniec posúdená ako neprípustná, pretože sa týkala skutočností, ku ktorým došlo ešte pred prijatím rozhodnutia o štíte na ochranu osobných údajov. Sťažnosť však poskytla príležitosť odskúšať fungovanie príslušných postupov v praxi. Zástupcovia Európskeho výboru pre ochranu údajov na každoročnom preskúmaní aj ombudsman potvrdili, že všetky príslušné kroky boli začaté a dokončené vyhovujúcim spôsobom. Komisia víta úspešné spracovanie prvej žiadosti ako dôležitý náznak toho, že mechanizmus ombudsmana dokáže riadne vykonávať svoju funkciu.
Orgány USA poskytli aj ďalšie vysvetlenia, ako bude prebiehať spolupráca ombudsmana s ďalšími nezávislými orgánmi dohľadu a ako bude prebiehať náprava porušení. Potvrdili najmä, že nezávislý generálny inšpektor spravodajských služieb bude systematicky informovaný o každej sťažnosti predloženej ombudsmanovi a vykoná vlastné posúdenie. Okrem toho vysvetlili, že ak by sťažnosť podaná ombudsmanovi odhalila porušenia postupov cielenia podľa článku 702 zákona o dohľade nad zahraničnou rozviedkou, bola by nahlásená Súdu pre dohľad nad zahraničnou rozviedkou, ktorý by vykonal nezávislé preskúmanie a v prípade potreby nariadil príslušnej spravodajskej agentúre prijať nápravné opatrenia. Nápravné opatrenia môžu mať rozsah od individuálnych po štrukturálne opatrenia, napríklad od vymazania nezákonne získaných údajov až po zmenu v postupe získavania, a to aj v súvislosti s usmerňovaním a odbornou prípravou zamestnancov.
Na záver sa potvrdilo, že ak by sa pri preskúmaní sťažností určenej ombudsmanom (vrátane porušenia vykonávacích nariadení, prezidentských politík a pravidiel a postupov agentúry, napríklad postupov v oblasti cielenia a minimalizácie schválených Súdom pre dohľad nad zahraničnou rozviedkou) zistilo porušenie právnych predpisov USA, nezákonne získané údaje by sa vymazali zo všetkých vládnych databáz a všetky odkazy na tieto údaje by sa vymazali zo spravodajských záznamov. Jednotlivec v EÚ by tak mohol dosiahnuť vymazanie svojich osobných údajov, ak ich spravodajské služby USA získali a spracovali protiprávne.
Komisia víta tieto dodatočné vysvetlenia, ktoré preukazujú, ako spolupráca medzi rôznymi nezávislými orgánmi dohľadu posilňuje účinnosť mechanizmu ombudsmana. Takisto bolo dôležité objasniť, že prostredníctvom mechanizmu ombudsmana môžu jednotlivci v EÚ skutočne uplatňovať svoje právo na vymazanie, ktoré je základným prvkom práva na ochranu osobných údajov.
3.ZÁVER
Na základe informácií získaných v súvislosti s tretím každoročným preskúmaním sa potvrdzujú zistenia Komisie z rozhodnutia o primeranosti, a to pokiaľ ide o obchodné aspekty rámca aj aspekty týkajúce sa prístupu verejného sektora k osobným údajom prenášaným v rámci štítu na ochranu osobných údajov. V tejto súvislosti Komisia vzala na vedomie niekoľko zlepšení fungovania rámca, ako aj vymenovanie predstaviteľov hlavných orgánov dohľadu.
Vzhľadom na niektoré problémy, ktoré vyplynuli z každodenných skúseností alebo sa stali relevantnejšími v súvislosti s praktickým vykonávaním rámca, Komisia dospela k záveru, že je potrebné podniknúť niekoľko konkrétnych krokov na lepšie zabezpečenie účinného fungovania štítu na ochranu osobných údajov v praxi:
1.Ministerstvo obchodu by malo skrátiť rôzne lehoty, ktoré sa poskytujú spoločnostiam na dokončenie procesu opätovného osvedčenia. Celkovo by sa zdalo, že lehota maximálne 30 dní je primeraná, aby sa spoločnostiam poskytlo dosť času na opätovné osvedčenie vrátane nápravy všetkých problémov zistených v procese opätovného osvedčovania a zároveň aby sa zabezpečila účinnosť tohto procesu. Ak na konci tohto obdobia nebude opakované osvedčovanie ukončené, ministerstvo obchodu by malo bezodkladne zaslať varovný list.
2.V súvislosti s procesom náhodných kontrol by malo ministerstvo obchodu posúdiť, či spoločnosti dodržiavajú zásadu zodpovednosti za ďalší prenos, a to aj využívaním možnosti, ktorú poskytuje štít na ochranu osobných údajov, vyžiadať si zhrnutie alebo kópiu ustanovení o ochrane súkromia zo zmluvy uzavretej spoločnosťou s osvedčením v rámci štítu na ochranu osobných údajov na účely ďalšieho prenosu.
3.Ministerstvo obchodu by malo prioritne vyvinúť nástroje na odhaľovanie nepravdivých tvrdení o účasti na štíte na ochranu osobných údajov zo strany spoločností, ktoré o osvedčenie nikdy nepožiadali, a tieto nástroje by malo používať pravidelne a systematicky.
4.Federálna obchodná komisia by mala prioritne nájsť spôsoby, ako poskytnúť užitočné informácie o prebiehajúcich vyšetrovaniach Komisii, ako aj s orgánom EÚ pre ochranu osobných údajov, s ktorými sa delí o zodpovednosť za presadzovanie v rámci štítu na ochranu osobných údajov.
5.Orgány EU pre ochranu osobných údajov, ministerstvo obchodu a Federálna obchodná komisia by mali v nasledujúcich mesiacoch vypracovať spoločné usmernenie týkajúce sa vymedzenia údajov o ľudských zdrojoch a zaobchádzania s nimi.
Komisia bude naďalej dôkladne monitorovať ďalší vývoj týkajúci sa konkrétnych prvkov rámca štítu na ochranu osobných údajov, a to najmä i) fungovanie mechanizmu ombudsmana hlavne v prípade novej sťažnosti; ii) výsledok prebiehajúcich projektov dohľadu, ktoré iniciovala Rada pre dohľad nad ochranou súkromia a občianskych slobôd a ktoré sú mimoriadne dôležité pre štít na ochranu osobných údajov (napríklad vyhľadávanie v údajoch získaných podľa článku 702 zákona o dohľade nad zahraničnou rozviedkou Federálnym úradom pre vyšetrovanie, vykonávanie odporúčaní rady týkajúcich sa prezidentskej politickej smernice 28 atď.); iii) obnovovanie oprávnenia podľa článku 501 zákona o dohľade nad zahraničnou rozviedkou, najmä, či zostali v platnosti existujúce záruky; a iv) vývoj judikatúry USA v kontexte súdnych prostriedkov nápravy v oblasti vládneho dohľadu, najmä pokiaľ ide o otázku aktívnej legitimácie pred súdmi.
Komisia bude aj naďalej pozorne sledovať prebiehajúcu diskusiu o federálnych právnych predpisoch o ochrane súkromia v USA. Komplexný prístup k ochrane súkromia a osobných údajov by zvýšil mieru zbližovania medzi systémami EÚ a USA a tým by sa posilnil základ, na ktorom bol vytvorený rámec štítu na ochranu osobných údajov.
Vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 z 12. júla 2016 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA (Ú. v. EÚ L 207, 1.8.2016, s. 1).
Správa Komisie Európskemu parlamentu a Rade o prvom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA [COM(2017) 611 final], pozri http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
Pracovný dokument útvarov Komisie – sprievodný dokument k správe Komisie Európskemu parlamentu a Rade o prvom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA [SWD(2017) 344 final], pozri http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Správa Komisie Európskemu parlamentu a Rade o druhom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA [COM(2018) 860 final], pozri https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .
Pracovný dokument útvarov Komisie – sprievodný dokument k správe Komisie Európskemu parlamentu a Rade o druhom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA [SWD(2018) 497 final], pozri https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
Prezidentská politická smernica 28: Signálové spravodajstvo, vydaná 17. januára 2014, v ktorej sa stanovujú významné obmedzenia a záruky pre osoby, ktoré nie sú občanmi alebo rezidentmi USA, v oblasti získavanie spravodajských informácií pomocou zachytávania signálov.
Nezávislý orgán združujúci zástupcov vnútroštátnych orgánov členských štátov EÚ pre ochranu osobných údajov a európskeho dozorného úradníka pre ochranu osobných údajov.
Pozri vec T-738/16, La Quadrature du Net/Komisia. Otázky týkajúce sa štítu na ochranu osobných údajov boli otvorené aj v súvislosti s vecou C-311/18 Komisár pre ochranu údajov/Facebook Ireland, Maximilian Schrems (ďalej len „Schrems II“), v ktorej sa 9. júla 2019 konalo pojednávanie pred veľkou komorou Súdneho dvora.