Nejvyšší soud USA ukončil nezávislost FTC. Právní základ přenosů dat mezi EU a USA se otřásá
Nejvyšší soud USA rozhodl 29. června 2026 ve věci Trump v. Slaughter, že nezávislost Federální obchodní komise (FTC) je v rozporu s americkou ústavou. Soud tím navázal na takzvanou teorii jednotné exekutivy, podle níž musí mít prezident USA moc nad všemi výkonnými orgány federální vlády. Zákony, které různým americkým agenturám zaručovaly nezávislé postavení, tak byly prohlášeny za protiústavní.
Na první pohled jde o vnitřní ústavní spor Spojených států. Ve skutečnosti má rozhodnutí přímý dopad na evropské firmy a instituce, které předávají osobní údaje do USA. Právě nezávislá FTC totiž od roku 2000 plní roli amerického dozorového orgánu, o kterou se opírají všechny dosavadní dohody mezi EU a USA o volném toku osobních údajů. V aktuálně platném rámci EU-US Data Privacy Framework z roku 2023 se Evropská komise na nezávislou FTC odvolává celkem 259krát.
Evropské primární právo přitom nezávislý dozor vyžaduje. Článek 16 odst. 2 Smlouvy o fungování EU a článek 8 odst. 3 Listiny základních práv EU stanoví, že na ochranu osobních údajů musí dohlížet nezávislý orgán. Třetí země, která chce využívat volný tok dat z EU, musí zajistit v zásadě rovnocennou úroveň ochrany – včetně nezávislého dozoru. Jak podotýká zakladatel organizace noyb Max Schrems, tento požadavek nelze obejít jinak než jednomyslnou změnou evropských smluv všemi členskými státy.
Rámec EU-US Data Privacy Framework je už třetím pokusem o právní ukotvení transatlantických přenosů dat. Předchozí dva – Safe Harbour a Privacy Shield – zrušil Soudní dvůr EU v rozsudcích známých jako Schrems I (2015) a Schrems II (2020) kvůli americkým sledovacím zákonům a chybějící soudní ochraně pro Evropany. Slabinou třetí dohody byl od počátku i mechanismus nápravy: takzvaný Data Protection Review Court není navzdory názvu soudem, ale výkonným orgánem uvnitř amerického ministerstva spravedlnosti, jehož nezávislost stojí pouze na exekutivním příkazu bývalého prezidenta Bidena. Ten může současný prezident kdykoli změnit.

Organizace noyb v reakci na rozsudek zaslala Evropské komisi formální dopis s výzvou, aby rozhodnutí o odpovídající ochraně pro USA řízeně odvolala. Zároveň oznámila, že v nadcházejících týdnech podá žalobu, která má Soudnímu dvoru EU umožnit rámec zrušit. Takové řízení ovšem obvykle trvá dva až tři roky.
Co z toho plyne pro evropské organizace? Rozhodnutí Komise zůstává formálně v platnosti, dokud je Komise neodvolá nebo Soudní dvůr nezruší – bezprostřední účinek tedy nenastává. Dotčeny nejsou přenosy neosobních dat ani přenosy nezbytné podle článku 49 GDPR, například rezervace hotelu v USA nebo plnění smlouvy. Článek 49 ale neumožňuje systematické přesouvání dat z EU, pokud není nezbytně nutné.
Pozor by si měly dát i organizace, které se na rámec přímo nespoléhají a používají standardní smluvní doložky (SCC) nebo závazná podniková pravidla (BCR). Součástí těchto nástrojů je posouzení dopadů přenosu, které se zpravidla opírá o dříve nezávislé americké orgány, jako je PCLOB nebo zmíněný Data Protection Review Court. Po rozsudku Nejvyššího soudu je namístě tato posouzení aktualizovat – a podle noyb z nich logicky vyplyne, že přenosy do USA již nejsou v souladu s právem.
Řada evropských států se mezitím posouvá směrem k digitální suverenitě a ohlašuje postupné odpojování od amerických poskytovatelů služeb. Někteří američtí poskytovatelé naopak budují oddělené zpracování dat pro evropské zákazníky. Vývoj kolem třetího transatlantického rámce naznačuje, že jde o prozíravou strategii: pro organizace zpracovávající citlivější kategorie údajů je vhodná doba zmapovat, kudy jejich data tečou a jaký právní základ přenosy kryje.
Další články

Česká stopa v Operaci Endgame: výzkumníci ESETu pomohli rozbít malwarové sítě Amadey a Stealc

Phantom squatting: útočníci registrují domény, které si AI modely vymyslely

