Rozhodnutí Nejvyššího soudu USA a Data Privacy Framework: mění se něco pro předávání osobních údajů do USA?

Aktuální rozsudek Nejvyššího soudu USA upřesnil postavení federálních úřadů, včetně FTC, které kontroluje zpracování osobních dat. Jaké bude mít toto rozhodnutí dopad na předávání osobních údajů do USA?

Rozsudek Nejvyššího soudu USA ve věci Trump v. Slaughter z 29. června 2026 vyvolalo diskuse i mezi evropskými odborníky na ochranu osobních údajů. Organizace NOYB ( NOYB – European Center for Digital Rights) uvedla, že rozsudek zpochybňuje jeden z pilířů nástroje pro předávání dat z EU do USA, Data Privacy Framework (DPF) a vyzvala Evropskou komisi k přehodnocení rozhodnutí o odpovídající ochraně. 

Rozhodnutí se netýká přímo ochrany osobních údajů

Přestože je rozsudek některými hojně spojován především s DPF, Nejvyšší soud USA v něm otázku ochrany osobních údajů neřešil. Předmětem sporu bylo postavení a nezávislost federálních úřadů a rozsah pravomoci prezidenta USA odvolávat jejich vedoucí představitele.

Soud navázal na svoji předchozí judikaturu týkající se kompetencí a odpovědností orgánů výkonné moci a dospěl k závěru, že prezident musí mít možnost kontrolovat představitele orgánů výkonné moci jménem federální vlády. Soud proto odmítl dosavadní výklad, podle něhož byli členové Federal Trade Commission (FTC) chráněni až na výjimečné případy před odvoláním ze strany prezidenta. FTC je přitom federálním úřadem odpovědným mimo jiné právě i za dozor nad dodržováním pravidel pro ochranu osobních dat. 

Význam rozsudku pro GDPR

Kvůli roli, kterou FTC hraje při ochraně osobních údajů a v rámci nástroje Data Privacy Framework. Data Privacy Framework je založen na rozhodnutí Evropské komise (EU) 2023/1795, kterým Komise podle čl. 45 GDPR konstatovala, že organizace, které se v USA certifikují do programu DPF, zajišťují odpovídající úroveň ochrany osobních údajů. Součástí posouzení nebyla pouze americká právní úprava, ale i způsob jejího prosazování.

Evropská komise v rozhodnutí označuje FTC za hlavní civilní orgán odpovědný za vymáhání závazků společností zapojených do DPF. Připomíná její oprávnění vyšetřovat porušení pravidel, ukládat nápravná opatření a uzavírat dohody se společnostmi, které své povinnosti nedodržují. 

V čem spočívá argument NOYB?

A právě na tuto část rozhodnutí Komise navazuje argumentace organizace NOYB. Podle NOYB Evropská komise při posuzování odpovídající úrovně ochrany vycházela z předpokladu, že FTC představuje nezávislý dozorový orgán. Pokud Nejvyšší soud USA dovodil, že prezident může její členy odvolávat bez dosavadních omezení, mění se podle NYOBu jeden z klíčových předpokladů, na nichž bylo rozhodnutí Komise o DPF založeno.

NOYB proto vyzval Evropskou komisi k přezkumu rozhodnutí o odpovídající ochraně v rámci DPF a zároveň oznámil, že tuto argumentaci hodlá využít i v případném soudním řízení před Soudním dvorem Evropské unie.

Znamená americký rozsudek konec Data Privacy Framework?

Rozsudek Nejvyššího soudu USA nijak nemění rozhodnutí Evropské komise o odpovídající úrovni ochrany u certifikovaných organizací, a tedy ani právní režim předávání osobních údajů podle čl. 45 GDPR. Evropská komise své rozhodnutí nezměnila ani nezahájila řízení o jeho přezkumu. Stejně tak se k rozsudku zatím dosud nevyjádřil Evropský sbor pro ochranu osobních údajů způsobem, který by měl dopad na používání Data Privacy Framework.

Pro správce a zpracovatele osobních údajů se proto v současnosti nic nemění. Certifikované americké společnosti mohou i nadále přijímat osobní údaje na základě rozhodnutí o odpovídající ochraně a evropské organizace mohou tento mechanismus nadále využívat.

Budoucnost předávání dat do USA

Při přijetí Data Privacy Framework Evropská komise hodnotila celý soubor právních, institucionálních a procesních záruk. Postavení FTC je jednou z nich, nikoli jediným důvodem, na jehož základě bylo rozhodnutí přijato. Případný budoucí přezkum proto nebude stát pouze na otázce nezávislosti FTC, ale bude posuzovat, zda Spojené státy jako celek nadále zajišťují úroveň ochrany, která je z pohledu práva Evropské unie „v zásadě rovnocenná“ (essentially equivalent) ochraně poskytované v Evropské unii. Právě tento standard stanovil Soudní dvůr EU již v rozsudku Schrems II (C-311/18), kterým v roce 2020 zrušil tehdejší rozhodnutí Evropské komise o předávání osobních údajů mezi EU a USA (tzv. Privacy Shield) a který následně vedl k přijetí aktuálně stále platného rozhodnutí o DPF.

Rozhodnutí Trump v. Slaughter tak může představovat nový argument v budoucích sporech o platnost DPF. Samo o sobě však nevede k závěru, že DPF přestal splňovat požadavky čl. 45 GDPR nebo že je třeba okamžitě změnit způsob předávání osobních údajů do Spojených států.

Závěr

Rozhodnutí Nejvyššího soudu USA představuje zásah do postavení FTC, který může otevřít novou debatu o jednom z předpokladů, z nichž Evropská komise při schvalování Data Privacy Framework vycházela. Samotný rozsudek však bezprostředně nemění právní stav a povinnosti týkající se předávání osobních údajů do USA.

To, zda rozhodnutí Nejvyššího soudu USA ovlivní budoucnost DPF a pravidel pro předávání osobních údajů do USA, bude záviset především na tom, zda se rozhodnutí o DPF stane předmětem přezkumu ze strany Evropské komise nebo Soudního dvora Evropské unie, a jak tento přezkum dopadne. Do té doby se pro vývozce dat z Evropské unie nic nemění. I když je lepší být připraven na vše…

Stáhnout PDF