Přenosy osobních údajů mezi Evropskou unií a Spojenými státy tvoří tepny digitální ekonomiky. Nad těmito toky však už více než desetiletí visí Damoklův meč soudních sporů a regulací. Cílem tohoto článku je vysvětlit, jak se transatlantický mechanismus přenosu vyvíjel – od Safe Harbor přes Privacy Shield až po Data Privacy Framework (DPF) – a co nedávno přinesl průlomový rozsudek Všeobecného soudu EU ze dne 3. září 2025. Zaměříme se také na související právní reformy v USA, obavy evropských orgánů, spor kolem amerického dohledu nad soukromím (PCLOB) a synergie s dalšími regulacemi jako AI Act, Data Act, DSA či normami ISO 27001/42001.
Historický kontext a „bouřlivý Atlantik“
Safe Harbor a Schrems I
Rámec Safe Harbor z roku 2000 umožňoval americkým firmám samocertifikaci, čímž se vyhnuly složitým mechanismům přenosu osobních údajů. Rakouský aktivista Max Schrems namítal, že programy masového sledování NSA (např. PRISM) a neexistence účinné právní ochrany v USA jsou neslučitelné s právem na soukromí. Soudní dvůr EU v roce 2015 proto Safe Harbor prohlásil za neplatný; upozornil, že národní bezpečnost neodůvodňuje neomezený přístup státních orgánů k datům a že občanům EU chyběl účinný prostředek nápravy.
Tzv. Americký přezkumný soud pro ochranu údajů (DPRC), který přezkoumává rozhodnutí úředníka pro ochranu občanských svobod (Civil Liberties Protection Officer, CLPO) z Úřadu ředitele národních zpravodajských služeb ve Spojených státech, podle kritiků není nestranný ani nezávislý tribunál, je závislý na výkonné moci a nenabízí záruky podobné těm, které vyžadují právní předpisy EU. Tisíce organizací tak musely narychlo přejít na standardní smluvní doložky (SCC) či závazná podniková pravidla (BCR). K přenosu do / z USA tedy mohlo dojít jen za stejných podmínek jako například u Angoly či Mauretánie. To příliš nepotěšilo. Upřímně, tato řešení vůbec nejsou dokonalá ani zvlášť účinná, ale nařízení je v této mizérii nabízí jako nejlepší dostupnou možnost.
Privacy Shield a Schrems II
Nástupce Safe Harbor – Privacy Shield – měl přísnější kontrolní mechanismy a závazky pro firmy. Soudní dvůr však v roce 2020 v rozhodnutí Schrems II konstatoval, že fundamentální problémy přetrvávají. Ponechal v platnosti SCC, ale uložil povinnost posouzení vlivu přenosu (TIA – Transfer Impact Assessments) a požadoval doplňující opatření. Pro organizace to znamenalo složitá hodnocení každé destinace a nutnost zajistit „v podstatě rovnocenné“ záruky. Mizérie pokračovala.
Zrod Data Privacy Frameworku
Po pádu Privacy Shieldu začaly USA a EU jednat o novém mechanismu. Výsledkem bylo výkonné nařízení USA č. 14086 ze dne 7. října 2022, které zavedlo zásady nezbytnosti a proporcionality při sběru zpravodajských údajů a nový dvoustupňový systém nápravy prostřednictvím Civil Liberties Protection Officer a Data Protection Review Court (DPRC).
Evropská komise po přezkoumání těchto reforem přijala 10. července 2023 rozhodnutí o přiměřenosti, čímž vznikl EU–US Data Privacy Framework (DPF). Tento rámec umožňuje firmám certifikovaným podle DPF přenášet údaje z USA do Evropského hospodářského prostoru a naopak bez potřeby SCC či BCR.
EDPB: pochvala i varování
Evropský sbor pro ochranu osobních údajů (EDPB) uvítal zásadní zlepšení – zejména zavedení principů nezbytnosti a proporcionality a nový mechanismus nápravy. Zároveň však upozornil na otevřené otázky, jako jsou práva dotčených osob, postupy při hromadném sběru údajů, uchovávání a šíření údajů a praktické fungování nápravy. EDPB doporučil, aby po první revizi rámce v roce 2024 následovala pravidelná tříletá hodnocení.
Spor o nezávislost PCLOB
Důležitým předpokladem přiměřenosti je nezávislý dohled nad zpravodajskými službami. V USA tuto roli plní Privacy and Civil Liberties Oversight Board (PCLOB), která kontroluje implementaci EO 14086 a konzultuje jmenování soudců DPRC. V lednu 2025 prezident Trump odvolal dva členy PCLOB, což vyvolalo soudní spor.
Federální okresní soud ve Washingtonu, D.C., 21. května 2025 rozhodl, že odvolání bylo nezákonné, protože Kongres zamýšlel chránit nezávislost rady. Odvolací soud však 1. července 2025 tento příkaz pozastavil do vyřešení odvolání; zdůraznil, že členové PCLOB jsou „hlavními úředníky“ v exekutivě a zákon neobsahuje jasnou úpravu prezidentova práva je odvolat. Tento případ ukazuje, že i když DPF posílil kontrolu, otázka nezávislosti amerických orgánů zůstává otevřená a je otázkou, co s tím EU dokáže udělat.
Latombe vs. Komise: první velká výzva pro DPF
Aby toho nebylo málo, francouzský poslanec Philippe Latombe 6. září 2023 napadl rozhodnutí o přiměřenosti. Tvrdil, že:
- DPRC není nezávislý tribunál, protože jej zřídil generální prokurátor a spadá pod exekutivu (čl. 47 Listiny základních práv).
- Zpravodajské agentury USA nadále provádějí hromadný sběr údajů bez předchozího povolení nezávislého orgánu, což je podle něj neslučitelné s články 7 a 8 Charty.
Předseda Všeobecného soudu však žádost o předběžné opatření v říjnu 2023 zamítl. Hlavní žaloba ale pokračovala a 3. září 2025 se soud odchýlil od obvyklé praxe – místo řešení otázky přípustnosti se věnoval přímo meritu věci. Řízení se tím alespoň zkrátilo a na určité období do něj vneslo jasno.
Zjištění Všeobecného soudu
Všeobecný soud EU konstatoval, že:
- DPRC je nezávislý a nestranný – vzhledem k zárukám týkajícím se jmenování a odvolávání soudců. Soudci mohou být odvoláni pouze generálním prokurátorem „z důvodu“ a zpravodajské agentury nemohou bránit ani nepřiměřeně ovlivňovat jejich práci. Soud zároveň poukázal na to, že Evropská komise může rámec pozastavit či zrušit, pokud by přestal poskytovat přiměřenou ochranu.
- Absence předchozího povolení pro hromadný sběr údajů není automaticky neslučitelná s rozsudkem Schrems II. Důležité je, že existuje ex post soudní dohled, který nyní zajišťuje DPRC. Soud má tedy alespoň prozatím za to, že americké právo zaručuje ochranu v podstatě rovnocennou úrovni EU.
- Přiměřenost neznamená identickou ochranu, ale „v podstatě rovnocennou“. Latombeho tvrzení o nedostatečné ochraně při automatizovaném rozhodování a bezpečnosti byla zamítnuta.
Na základě těchto zjištění soud žalobu zcela zamítl, a rozhodnutí o přiměřenosti tak zůstává v platnosti. Soud potvrdil, že certifikované organizace mohou i nadále předávat osobní údaje do USA podle DPF.
Synergie s dalšími evropskými regulacemi
Na transatlantický přenos osobních údajů však navazují další digitální regulace EU, takže nejde vůbec o maličkost. Uveďme alespoň některé z nich.
Data Act a Data Governance Act
EU posiluje svou datovou ekonomiku také prostřednictvím Data Act a Data Governance Act.
Data Act, platný od 12. září 2025, zvyšuje dostupnost průmyslových údajů a zajišťuje spravedlivé rozdělení hodnoty mezi jejich generátory a uživateli. Stanovuje podmínky pro business-to-business i business-to-government sdílení dat, chrání firmy před neférovými smlouvami a vytváří mechanismus, který brání nelegálnímu přístupu zahraničních vlád k neosobním údajům. Zároveň klade důraz na interoperabilitu mezi službami, aby data mohla plynule proudit mezi odvětvími. To, že je to technicky zatím jen obtížně realizovatelné, je druhá kapitola.
Data Governance Act, který se uplatňuje od roku 2023, zvyšuje důvěru v dobrovolné sdílení údajů a společně s Data Act vytváří jednotný trh pro data.
Digital Services Act (DSA) a GDPR
Digital Services Act (účinný od 17. února 2024 pro velké platformy) upravuje činnost on-line zprostředkovatelů a zavádí povinnosti jako systém hlášení nelegálního obsahu, transparentnost reklamy či omezení profilování u dětí. EDPB vydal v září 2025 pokyny k provázání DSA a GDPR – jejich cílem je zajistit, aby ustanovení DSA vyžadující zpracování osobních údajů (reklamní systémy, doporučovací algoritmy atd.) byla v souladu s GDPR. Pokyny zdůrazňují potřebu koordinace mezi dozorovými orgány a upozorňují na připravované společné metodiky pro koordinaci dohledu.
Digital Markets Act a AI Act.
AI Act, ISO 42001 a integrace s ochranou soukromí
EU finalizuje AI Act, první komplexní zákon o umělé inteligenci. Současně Mezinárodní organizace pro normalizaci (ISO) v prosinci 2023 vydala ISO/IEC 42001, první standard pro systémy řízení AI. Blog odborníků společnosti Coalfire připomíná, že ISO 42001 má stejnou strukturu jako ISO 27001 a lze jej integrovat se systémem řízení bezpečnosti informací (ISMS) a ISO 27701 – rozšířením pro ochranu soukromí. Standard výslovně doporučuje zařadit aspekty ochrany osobních údajů do politiky AI, provádět posouzení vlivu AI na jednotlivce či skupiny a integrovat požadavky GDPR. Takové integrované řízení pomáhá firmám prokazovat soulad s AI Act, DPF i dalšími zákony. Je to dobrá zpráva, protože ISO 27001, stejně jako GDPR, je už na Slovensku poměrně rozšířené a známé, takže pro společnosti už ISO 42001 nemusí být takovým strašákem.
Praktická doporučení pro organizace využívající transatlantický přenos
- Využívejte DPF, ale mějte připravené záložní plány. Rozsudek Všeobecného soudu přináší období právní jistoty, ale odvolání je možné. Organizace by měly udržovat připravené SCC/BCR a posouzení vlivu přenosu s odkazem na EO 14086 a rozhodnutí DPRC.
- Aktualizujte interní politiky a dokumentaci. Ujistěte se, že smlouvy s (pod)dodavateli, interní postupy a registry přenosů zohledňují nové povinnosti (např. omezení zpravodajského přístupu v USA, práva dotčených osob). U cloudových služeb se řiďte také pravidly Data Act o přepínání poskytovatelů a ochraně před neférovými smlouvami.
- Zaveďte integrovaný systém řízení. Kombinace ISO 27001 (bezpečnost informací), ISO 27701 (správa soukromí) a ISO 42001 (řízení AI) poskytuje pevný základ pro ochranu dat, soulad s GDPR / AI Act a prokazování důvěry. Standard ISO 42001 doporučuje začlenit posouzení vlivu AI na jednotlivce (DPIA / AIIA) a vyjasnit odpovědnosti správce.
- Sledujte vývoj dalších regulací. Pokyny EDPB k propojení DSA a GDPR, připravované metodiky k DMA a AI Act, ale také národní rozhodnutí (např. zákazy používání GA – Google Analytics) mohou ovlivnit strategie přenosů.
- Komunikujte transparentně se subjekty údajů. DPF i GDPR zdůrazňují, že dotčené osoby mají právo vědět, jak se jejich údaje předávají a zpracovávají. Zařaďte do zásad ochrany soukromí jasné informace o certifikaci podle DPF a o dostupných prostředcích nápravy.
Závěr
Vývoj transatlantických přenosů údajů připomíná dobrodružný příběh plný nečekaných zvratů. Po dvou bouřích jménem Schrems se EU a USA dočkaly rámce, který Soudní dvůr označil za „přiměřeně chránící“. Přesto zůstává právní horizont dynamický; čekají nás odvolání, revize a nové regulace. Organizace by proto měly stavět na DPF, ale nezapomínat na „záchranné vesty“ v podobě SCC, BCR a komplexního řízení soukromí. Propojení mezi GDPR, AI Actem, Data Actem, DSA a normami ISO 27001/42001 ukazuje, že budoucnost ochrany údajů je vzájemně provázaná a vyžaduje interdisciplinární přístup. Jak říká staré přísloví: „Když se plaví dvě lodě proti sobě, je lepší mít dobře nastavený kompas i záchranný kruh.“