EURÓPSKA KOMISIA
V Bruseli19. 12. 2018
COM(2018) 860 final
SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE
o druhom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA
{SWD(2018) 497 final}
EURÓPSKA KOMISIA
V Bruseli19. 12. 2018
COM(2018) 860 final
SPRÁVA KOMISIE EURÓPSKEMU PARLAMENTU A RADE
o druhom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA
{SWD(2018) 497 final}
1.DRUHÉ KAŽDOROČNÉ PRESKÚMANIE – ÚČEL, PRÍPRAVA A PROCES
Komisia vo svojom rozhodnutí z 12. júla 2016 (ďalej len „rozhodnutie o primeranosti“) dospela k záveru, že štít na ochranu osobných údajov medzi EÚ a USA (ďalej len „štít na ochranu osobných údajov“) zabezpečuje primeranú úroveň ochrany osobných údajov, ktoré sa prenášajú z Európskej únie organizáciám v USA 1 . V rozhodnutí o primeranosti sa osobitne stanovuje, že Komisia každoročne vyhodnotí všetky aspekty fungovania tohto rámca. Prvé každoročné preskúmanie prebehlo 18. a 19. septembra 2017 vo Washingtone, D.C. a 18. októbra 2017 Komisia prijala svoju správu Európskemu parlamentu a Rade 2 , ku ktorej bol priložený pracovný dokument útvarov Komisie [SWD(2017) 344 final] 3 .
Komisia na základe svojich zistení z prvého preskúmania dospela k záveru, že USA aj naďalej zabezpečovali primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v USA v rámci štítu na ochranu osobných údajov. Komisia zároveň zastávala názor, že praktické vykonávanie rámca štítu na ochranu osobných údajov možno ešte viac zdokonaliť, aby sa zabezpečilo, že ochranné opatrenia a záruky, ktoré sú v ňom stanovené, budú naďalej fungovať podľa očakávaní. Komisia k tomu vydala desať odporúčaní.
V tejto správe sa uzatvára druhé každoročné preskúmanie fungovania štítu na ochranu osobných údajov. Správa aj sprievodný pracovný dokument útvarov Komisie [SWD(2018) 497] majú rovnakú štruktúru ako správa o prvom ročnom preskúmaní. Týkajú sa všetkých aspektov fungovania štítu na ochranu osobných údajov, a to aj v kontexte vývoja, ku ktorému došlo v priebehu minulého roka. Ústredným prvkom posúdenia Komisie bolo plnenie odporúčaní z prvého každoročného preskúmania.
V rámci prípravy na druhé každoročné preskúmanie Komisia zhromaždila informácie od príslušných zainteresovaných strán (najmä od spoločností s osvedčením v rámci štítu na ochranu osobných údajov prostredníctvom ich príslušných obchodných združení a mimovládnych organizácií pôsobiacich v oblasti základných práv, najmä digitálnych práv a ochrany súkromia), ako aj od príslušných orgánov USA zapojených do vykonávania tohto rámca.
Stretnutie pre potreby druhého každoročného preskúmania sa uskutočnilo 18. a 19. októbra 2018 v Bruseli. Toto preskúmanie otvorili komisárka pre spravodlivosť, spotrebiteľov a rodovú rovnosť Věra Jourová, minister obchodu USA Wilbur Ross, predseda Federálnej obchodnej komisie Joseph Simons a predsedníčka Európskeho výboru pre ochranu údajov Andrea Jelinek. Zo strany EÚ ho viedli zástupcovia Generálneho riaditeľstva Európskej komisie pre spravodlivosť a spotrebiteľov. Delegácia EÚ zahŕňala aj sedem zástupcov, ktorých určil Európsky výbor pre ochranu údajov (nezávislý orgán, ktorý združuje zástupcov vnútroštátnych orgánov členských štátov EÚ pre ochranu údajov, ako aj európskeho dozorného úradníka pre ochranu údajov).
Zo strany USA sa preskúmania zúčastnili zástupcovia ministerstva obchodu, ministerstva zahraničných vecí, Federálnej obchodnej komisie, ministerstva dopravy, kancelárie riaditeľa Národnej spravodajskej služby, ministerstva spravodlivosti a členovia Rady pre dohľad nad ochranou súkromia a občianskych slobôd, ako aj úradujúci ombudsman a generálny inšpektor spravodajských služieb. Na relevantných schôdzkach týkajúcich sa preskúmania poskytli informácie aj zástupcovia organizácie ponúkajúcej nezávislé služby riešenia sporov v rámci štítu na ochranu osobných údajov a zástupcovia Amerického arbitrážneho združenia. K preskúmaniu prispeli aj prezentácie organizácií s osvedčením v rámci štítu na ochranu osobných údajov o tom, ako spoločnosti spĺňajú požiadavky tohto rámca.
Ďalšie východiská pre zistenia Komisie zahŕňali štúdiu, ktorú zadala Komisia, a verejne dostupné materiály, ako napríklad rozhodnutia súdov, vykonávacie pravidlá a postupy príslušných orgánov USA, správy a štúdie mimovládnych organizácií, správy o transparentnosti vydané spoločnosťami s osvedčením v rámci štítu na ochranu osobných údajov, výročné správy zo sféry nezávislých mechanizmov nápravy, ako aj správy médií.
Tohtoročné preskúmanie sa konalo v kontexte výziev súvisiacich s ochranou údajov, ktoré majú čoraz globálnejší charakter, čoho príkladom je prípad spoločnosti Facebook/Cambridge Analytica. EÚ aj USA si uvedomujú podobné problémy, ktorým čelia pri ochrane osobných údajov. Počas preskúmania obe strany zdôraznili potrebu riešiť takéto zneužívanie osobných údajov, a to aj prostredníctvom dôrazných opatrení zameraných na presadzovanie práva zo strany orgánu EÚ pre ochranu osobných údajov a Federálnej obchodnej komisie USA.
V správe Komisie sa spomína aj diskusia prebiehajúca v USA na tému federálnych právnych predpisov o ochrane súkromia. Zblíženie našich dvoch systémov by z dlhodobého hľadiska posilnilo základy, na ktorých je postavený rámec štítu na ochranu osobných údajov.
2.ZISTENIA A ZÁVERY
Druhé každoročné preskúmanie sa týkalo „obchodných aspektov“ rámca štítu na ochranu osobných údajov a problematiky prístupu vlády k osobným údajom.
Pokiaľ ide o „obchodné aspekty“, t. j. otázky týkajúce sa správy povinností osvedčených spoločností, dohľadu nad nimi a ich presadzovania, Komisia poznamenala, že v súlade s odporúčaniami Komisie z prvého každoročného preskúmania ministerstvo obchodu ďalej posilnilo proces osvedčovania a zaviedlo nové postupy dohľadu. Ministerstvo obchodu konkrétne začalo uplatňovať nový proces, v ktorom prvožiadatelia musia odložiť verejné vyjadrenie svojej účasti v štíte na ochranu osobných údajov dovtedy, kým ministerstvo obchodu nedokončí kontrolu na účely udelenia osvedčenia. Okrem toho ministerstvo obchodu zaviedlo nové mechanizmy odhaľovania možných problémov s dodržiavaním predpisov, ako sú napríklad náhodné kontroly na mieste (v čase každoročného preskúmania sa takéto náhodné kontroly vykonali zhruba v 100 organizáciách) a monitorovanie verejných správ účastníkov zapojených do rámca štítu na ochranu osobných údajov o postupoch, ktoré vykonávajú v oblasti ochrany súkromia. Pri vyhľadávaní klamlivých tvrdení o účasti v tomto rámci ministerstvo obchodu v súčasnosti aktívne využíva rôzne nástroje, napríklad štvrťročné kontroly spoločností, pri ktorých sa zistila vyššia pravdepodobnosť nepravdivých tvrdení, a systém obrazového a textového vyhľadávania na internete. Výsledkom týchto novozavedených praktík a postupov je to, že ministerstvo obchodu od prvého každoročného preskúmania postúpilo už viac ako 50 prípadov Federálnej obchodnej komisii, ktorá následne prijala opatrenia presadzujúce právo v prípadoch, v ktorých postúpenie samotné nepostačovalo na to, aby dotknutá spoločnosť zabezpečila súlad s predpismi.
V súvislosti s presadzovaním Komisia poznamenala, že Federálna obchodná komisia v rámci úsilia o aktívne monitorovanie dodržiavania zásad štítu na ochranu osobných údajov nedávno predvolala na správne konanie viacerých účastníkov zapojených do štítu na ochranu osobných údajov s cieľom vyžiadať si od nich informácie. Federálna obchodná komisia takisto potvrdila, že vyšetrovanie prípadu Facebook/Cambridge Analytica pokračuje. Hoci Komisia považuje nový proaktívnejší prístup Federálnej obchodnej komisie k monitorovaniu dodržiavania predpisov za dôležitý krok vpred, vyjadruje poľutovanie nad tým, že v tejto fáze nebolo možné poskytnúť ďalšie informácie o nedávnych vyšetrovaniach, a bude pozorne sledovať akýkoľvek ďalší vývoj v tejto súvislosti.
V druhom každoročnom preskúmaní sa zohľadnil aj príslušný vývoj právneho systému USA v oblasti ochrany súkromia. Ide najmä o konzultácie, ktoré iniciovalo ministerstvo obchodu na tému federálneho prístupu k ochrane údajov, ako aj o úvahy týkajúce sa súčasných kompetencií Federálnej obchodnej komisie v oblasti súkromia a efektívnosti využívania jej súčasnej právomoci zabezpečovať nápravu.
Ako ukázal prípad Facebook/Cambridge Analytica a ďalšie odhalenia, bolo by dôležité, aby sa reakcie EÚ a USA viac zblížili. Komisia v tomto duchu sleduje uvedené iniciatívy s veľkým záujmom a k procesu konzultácií na ministerstve obchodu prispela písomným podnetom 4 .
Pokiaľ ide o aspekty týkajúce sa prístupu orgánov verejnej moci USA k osobným údajom a ich využívania, druhé každoročné preskúmanie sa zameralo na súvisiaci vývoj právneho rámca USA, a to aj so zreteľom na politiky a postupy príslušných agentúr, na najnovšie trendy v činnostiach dohľadu a na pokrok v zriaďovaní a fungovaní dôležitých mechanizmov dohľadu a nápravy.
Najdôležitejším právnym krokom v oblasti prístupu štátnej moci k údajom bolo opätovné schválenie článku 702 zákona o dohľade nad zahraničnou rozviedkou (ďalej len „zákon“) začiatkom roka 2018. Opätovným schválením sa síce do zákona nezačlenili prvky ochrany z prezidentskej politickej smernice 28, ako navrhovala Komisia, ale ani sa ním neobmedzili žiadne záruky uvedené v zákone, ktoré existovali v čase prijatia rozhodnutia o štíte na ochranu osobných údajov. Zmenami sa navyše nerozšírili právomoci spravodajských služieb USA, pokiaľ ide o získavanie zahraničných spravodajských informácií zameraním sa na osoby, ktoré nie sú občanmi ani rezidentmi USA, podľa článku 702. Namiesto toho sa v zákone z roku 2017 o opätovnom schválení zmien, ktorým sa mení zákon z roku 1978 o dohľade nad zahraničnou rozviedkou, zaviedli určité obmedzené dodatočné záruky ochrany súkromia, napríklad v oblasti transparentnosti.
K významnému vývoju dochádza aj v súvislosti s Radou pre dohľad nad ochranou súkromia a občianskych slobôd, v ktorej v čase prvého každoročného preskúmania ostal len jeden člen. Komisia preto odporúčala urýchlené vymenovanie chýbajúcich členov rady. Senát USA 11. októbra 2018 potvrdil menovanie predsedu Rady pre dohľad nad ochranou súkromia a občianskych slobôd, ako aj dvoch jej ďalších členov, čím rada opäť dosiahla úplné kvórum, vďaka čomu môže vykonávať všetky svoje funkcie. Komisia po prvom každoročnom preskúmaní takisto odporúčala, aby sa zverejnila správa rady o prezidentskej politickej smernici 28. Táto správa bola zverejnená 16. októbra 2018 5 a potvrdzuje, že prezidentská politická smernica 28 sa v celom rozsahu uplatňuje vo všetkých spravodajských službách. V správe sa predovšetkým potvrdzuje, že príslušné zložky spravodajských služieb v nadväznosti na vydanie prezidentskej politickej smernice 28 prijali podrobné pravidlá vykonávania uvedenej smernice a zmenili svoje postupy tak, aby boli v súlade s požiadavkami prezidentskej politickej smernice 28.
Napriek tomu, že Komisia odporúčala promptné vymenovanie ombudsmana pre štít na ochranu osobných údajov, funkcia štátneho tajomníka ministerstva zahraničných vecí, ku ktorej bol pridelený úrad ombudsmana, nebola v čase vypracovania tejto správy obsadená stálou nomináciou. V tejto súvislosti Komisia vzala na vedomie skutočnosť, že vláda USA pri druhom každoročnom preskúmaní uznala, že je potrebné urýchlene dosiahnuť pokrok pri vymenovaní stáleho štátneho tajomníka, a potvrdila, že tento proces dobre napreduje.
V čase vypracovania tejto správy neboli mechanizmu ombudsmana adresované ešte žiadne žiadosti. Sťažnosť ombudsmanovi však bola predložená chorvátskemu orgánu na ochranu údajov a prebiehajú príslušné kontroly.
Podrobné zistenia týkajúce sa fungovania všetkých aspektov rámca štítu na ochranu osobných údajov po druhom roku fungovania sú uvedené v pracovnom dokumente útvarov Komisie, ktorý sa týka druhého každoročného preskúmania fungovania štítu na ochranu osobných údajov medzi EÚ a USA [SWD(2018) 497] a ktorý je priložený k tejto správe.
Na základe informácií zhromaždených v súvislosti s druhým každoročným preskúmaním sa potvrdzujú zistenia Komisie v rozhodnutí o primeranosti, a to pokiaľ ide o „obchodné aspekty“ rámca a aspekty týkajúce sa prístupu orgánov USA k osobným údajom prenášaným v rámci štítu na ochranu osobných údajov.
Na základe uvedených zistení Komisia dospela k záveru, že Spojené štáty americké naďalej zaisťujú primeranú úroveň ochrany osobných údajov prenášaných v rámci štítu na ochranu osobných údajov z Únie organizáciám v USA.
Krokmi prijatými v rámci plnenia odporúčaní Komisie po prvom každoročnom preskúmaní sa konkrétne zlepšilo niekoľko aspektov praktického fungovania rámca s cieľom zabezpečiť, aby nebola ohrozená úroveň ochrany fyzických osôb zaručená rozhodnutím o primeranosti.
Niektoré z týchto krokov sa však prijali iba nedávno a príslušné postupy ešte len prebiehajú. Akýkoľvek ďalší vývoj týkajúci sa týchto procesov sa preto musí dôkladne monitorovať, najmä preto, že ovplyvňuje prvky, ktoré sú nevyhnutné z hľadiska kontinuity zistenej primeranosti. Ide predovšetkým o tieto prvky:
1.účinnosť mechanizmov zavedených ministerstvom obchodu v druhom roku fungovania rámca s cieľom aktívne monitorovať, či osvedčené spoločnosti dodržiavajú zásady štítu na ochranu osobných údajov, a to najmä základné požiadavky a povinnosti;
2.účinnosť nástrojov, ktoré zaviedlo ministerstvo obchodu od prvého každoročného preskúmania s cieľom odhaliť klamlivé tvrdenia o účasti v rámci, s osobitným zameraním na vyhľadávanie klamlivých tvrdení zo strany spoločností, ktoré o osvedčenie nikdy nepožiadali;
3.pokrok a výsledky kontrol ex officio, ktoré vykonala Federálna obchodná komisia v druhom roku fungovania štítu na ochranu osobných údajov formou predvolaní na správne konanie s cieľom odhaľovať závažné porušenia štítu na ochranu osobných údajov;
4.vypracovanie dodatočných usmernení spoločne zo strany ministerstva obchodu, Federálnej obchodnej komisie a orgánov EÚ pre ochranu údajov v súvislosti s prvkami, ktoré si vyžadujú ďalšie objasnenie (napr. údaje o ľudských zdrojoch);
5.vymenovanie stáleho ombudsmana pre štít na ochranu osobných údajov;
6.efektívnosť vybavovania a riešenia sťažností zo strany ombudsmana.
Komisia predovšetkým opakuje svoju výzvu, aby administratíva USA potvrdila svoj politický záväzok týkajúci sa mechanizmu ombudsmana prioritným vymenovaním stáleho ombudsmana pre štít na ochranu osobných údajov. Mechanizmus ombudsmana je dôležitým prvkom rámca štítu na ochranu osobných údajov a hoci úradujúci ombudsman naďalej plní príslušné funkcie, neprítomnosť stáleho nominanta je veľmi neuspokojivá a mala by sa čo najskôr napraviť. Komisia očakáva, že vláda USA do 28. februára 2019 určí kandidáta na trvalé obsadenie pozície ombudsmana a informuje Komisiu o navrhovanej osobe. Ak sa tak do uvedeného dátumu nestane, Komisia zváži prijatie vhodných opatrení v súlade so všeobecným nariadením o ochrane údajov 6 . Komisia takisto očakáva, že dostane presné a podrobné informácie o všetkých uvedených aspektoch, aby mohla posúdiť, či prijaté opatrenia sú v praxi účinné.
Komisia bude napokon aj naďalej pozorne sledovať prebiehajúcu diskusiu o federálnych právnych predpisoch USA v oblasti ochrany súkromia. Vzhľadom na významnosť transatlantických tokov údajov vyzýva USA, aby prijali komplexný systém ochrany súkromia a údajov a aby sa stali zmluvnou stranou Dohovoru Rady Európy č. 108. Takýmto komplexným prístupom možno dosiahnuť konvergenciu našich dvoch systémov v dlhodobejšom horizonte, čím by sa zároveň posilnili základy, na ktorých stojí rámec štítu na ochranu osobných údajov.
Vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 z 12. júla 2016 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA (Ú. v. EÚ L 2017, 1.8.2016, s. 1).
Správa Komisie Európskemu parlamentu a Rade o prvom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA [COM(2017) 611 final], pozri http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Pracovný dokument útvarov Komisie – sprievodný dokument k Správe Komisie Európskemu parlamentu a Rade o prvom každoročnom preskúmaní fungovania štítu na ochranu osobných údajov medzi EÚ a USA [SWD(2017) 344 final], pozri http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
K dispozícii na adrese https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf .
Správa prezidentovi o vykonávaní prezidentskej politickej smernice 28: The Implementation of Presidential Policy Directive 28: Signals Intelligence Activities, k dispozícii na adrese https://www.pclob.gov/reports/report-PPD28/ .
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).