Preparations are underway for the resumption of negotiations between Brussels and Washington on data privacy for data flowing across the Atlantic. The EU Court of Justice has restricted the transfer of European data to the United States because of laws on its possible monitoring. US companies are looking for alternatives.
Prípravy na obnovu rokovaní medzi Bruselom a Washingtonom o ochrane osobných údajov pri dátach, ktoré prúdia naprieč Atlantikom, sú v plnom prúde. Súdny dvor EÚ obmedzil presun európskych dát do Spojených štátov pre zákony o ich možnom monitorovaní. Americké firmy hľadajú alternatívy.
Po rozhodnutí Súdneho dvora EÚ v lete minulého roka sa mal prenos európskych dát do Spojených štátov výrazne obmedziť. Problémom bol monitoring a dozor, ktorý má tamojšia vláda nad dátami a osobnými údajmi, prichádzajúcimi z cudziny.
Tisíce spoločností, ktoré mali na prenose dát z Únie postavený svoj business model, teraz hľadajú spôsoby, ako nahradiť znefunkčnený európsko-americký Štít na ochranu súkromia (tzv. Privacy Shield). Experti navyše hovoria o tom, že sa internet začína čoraz viac štiepiť na hraniciach regiónov.
Rokovania o novom transatlantickom nástroji by mohli odštartovať ešte tento rok, pričom nová americká administratíva ich považuje za prioritu.
Bidenova priorita
Trumpova administratíva stála pri diskusiách s medzinárodnými partnermi za americkými firmami, vrátane techgigantov, ktoré z mechanizmu prosperovali. Vyriešiť spory o ochrane európskych údajov, ktoré sa do Štátov dostávajú, sa jej však nepodarilo. Nový šéf Bieleho domu považuje túto oblasť digitálnej agendy za svoju prioritu.
Joe Biden si za svojho vyjednávača o Privacy Shield zvolil veterána v oblasti ochrany osobných údajov, Christophera Hoffa. Ten už prvého dňa nástupu novej administratívy pôsobí priamo na rezorte obchodu (U.S. Department of Commerce). Zároveň sa stane hlavným partnerom Európskej komisie v diskusiách o rámci na ochranu komerčných prenosov osobných údajov naprieč Atlantikom.
Podľa expertov je Hoffovo skoré vymenovanie znakom toho, že Spojené štáty sa chcú omnoho intenzívnejšie „zamerať na politiku ochrany súkromia v medzinárodnom priestore, uvedomujúc si zásadný význam globálnych tokov dát“. (Trumpova administratíva post obsadila po šiestich mesiacoch.)
Na začiatku konca dohody stáli odhalenia Edwarda Snowdena. Obavy zo špehovania zo strany amerických úradov viedli aktivistov k žalobám, ktoré napokon skončili na Súdnom dvore Európskej únie. Ten v lete 2020 zrušil platnosť rozhodnutia o primeranosti Štítu. Konkrétne išlo o prípad spoločnosti Facebook a aktivistu Maxa Schremsa. Rakúšan tvrdil, že jeho osobné údaje získava americká spoločnosť nielenže bez jeho súhlasu, ale tieto dáta prechádzajú pod jurisdikciu, ktorá na ne uplatňuje aj rozsiahly dohľad. Ten je priamo v rozpore so zákonmi EÚ o ochrane súkromia. Prípad známy ako Schrems II sa na súdoch ťahal sedem rokov.
Bruno Gencarelli, Hoffov náprotivok, zastupujúci Európsku komisiu pre EURACTIV povedal, že rozhodnutie súdu „nie je o vypínaní amerického bezpečnostného systému, (…) ale o zabezpečení určitej úrovne ochrany na základe princípov“.
Aktivista Max Schrems a neziskovka, ktorá za ním stojí (None of Your Business), v boji rovnako nepoľavili. Len krátko po vynesení rozsudku Súdneho dvora EÚ sa obrátili na súdy po celej Únii a v Európskom hospodárskom priestore. Vo svojich 101 sťažnostiach vystupujú proti spoločnostiam, ktoré na prenos údajov do Spojených štátov používajú služby Facebook Connect alebo Google Analytics. V októbri podali podobnú žalobu proti spoločnosti Amazon aj aktivisti z Nemecka.
Alternatívy pre firmy
Viac ako 5 300 amerických spoločností, ktoré Privacy Shield využívali ako právny základ pre transatlantické prenosy dát, začalo po vyhlásení rozsudku hľadať alternatívne právne prostriedky, ako v prenose údajov pokračovať.
Súdny dvor spoločnostiam odporučil, aby svoje zmluvy posilnili o štandardné doložky (tzv. Standard Contractual Clauses, SCCs). Európsky výbor pre ochranu dát (EBDP) publikoval koncom minulého roka aj niekoľko ďalších, konkrétnych odporúčaní.
V zásade majú firmy dve možnosti: buď prestať využívať európske dáta, alebo využiť niektorý iný z GDPR mechanizmov. V ich rámci spoločnosti plánujú, že americkej vláde neumožnia nahliadať do dát, pokiaľ ich k tomu úrady priamo nedonútia. Iné uvažujú o pseudonymizácii, či šifrovaní dátových prenosov, či lokalizácii dát s tým, že tie európske by do Spojených štátov neprichádzali úplné.
Pokyny, ktoré európski regulátori zverejnili v januári, majú potenciál transformovať aj ďalšie transatlantické obchodné modely pre americké aj európske firmy. Ak sa totiž spoločnosti spoliehajú na poskytovateľov cloudových služieb v Spojených štátoch, alebo interne zdieľajú údaje ako súčasť služieb zákazníkom, využívané dáta musia byť neustále šifrované.
Experti hovoria o „štiepení internetu po regionálnych líniách“, ale aj o finančnej náročnosti.
Odporcovia tvrdého dohľadu nad prenosom dát naprieč Antlantikom tvrdia, že ak Únia ešte viac skomplikuje prenos dát, spraví ho nákladnejším a neistejším, riskuje, že vznikne požiadavka na ich lokalizáciu, pričom malé a stredné podniky, či start-upy budú niesť neúmerný podiel záťaže.
Potrebné „nadmerné“ úsilie
Washington na cezhraničnej ochrane a prenose dát, najmä v komerčnej sfére, pracuje na rozličných fórach. Okrem pozastaveného dialógu s Bruselom, na ktorého obnovenie sa teraz intenzívne pripravujú, je to aj v Ázijsko-tichomorskej hospodárskej spolupráci, Organizácii pre hospodársku spoluprácu a rozvoj (OECD), či v G-20. Diskusiám o digitálnych službách však stále dominuje otázka ochrany osobných údajov a dát.
Situácia v Spojených štátoch v oblasti ochrany osobných údajov zďaleka nie je vyriešená, napriek tomu, že sa pre novú administratívu stáva prioritou. Zaostávanie v legislatíve, ktorá by mohla na federálnej úrovni prísť až o niekoľko rokov, riešia americké štáty individuálne. New York, Minnesota a Oklahoma od začiatku januára hovoria o vlastných zákonoch. Virginia a štát Washington už dokonca predstavili vlastné návrhy.
Európska komisia sa už rovnako nechala počuť, že akékoľvek negociácie o náhrade za znefunkčnený Štít na ochranu súkromia nebude možné bez reformy amerických právnych predpisov o monitoringu dát a dohľade nad nimi. Súdny dvor hovoril o „chýbajúcom princípe proporcionality“. Odborníci však tvrdia, že k tak radikálnej zmene tento rok dôjde len vtedy, ak Washington vynaloží „nadmerné úsilie“.
Think tank Council on Foreign Relations tvrdí, že dilemu možno vyriešiť len prijatím novej, americkej stratégie, ktorá by natrvalo vyriešila otázky okolo ochrany súkromia v dátach a ich monitorovania. Hovoria o jej troch zložkách: „Prvá časť súvisí s rozšírením možností individuálnej nápravy podľa amerických právnych predpisov o dohľade a osobitné prijatie dlhodobého komplexného zákona o ochrane súkromia. Druhý by sa sústredil na vytvorenie pevnejšieho právneho základu pre neobmedzené transatlantické toky dát, v kontexte rokovaní o dohode o digitálnom obchode s EÚ. Treťou súčasťou by bola americká spolupráca s ostatnými demokratickými štátmi v mnohostrannej organizácii,“ uvádza think tank vo svojich odporúčaniach.
