Prenosy osobných údajov medzi Európskou úniou (EÚ) a Spojenými štátmi (USA) tvoria tepny digitálnej ekonomiky. Nad týmito tokmi však už viac než desaťročie visí Damoklov meč súdnych sporov a regulácií. Cieľom tohto článku je vysvetliť, ako sa transatlantický mechanizmus prenosu vyvíjal – od Safe Harbor cez Privacy Shield až po Data Privacy Framework (DPF) – a čo len nedávno priniesol prelomový rozsudok Všeobecného súdu EÚ z 3. septembra 2025. Zameriame sa tiež na súvisiace právne reformy v USA, obavy európskych orgánov, spor okolo amerického dohľadu nad súkromím (PCLOB) a synergie s ďalšími reguláciami ako AI Act, Data Act, DSA či normami ISO 27001/42001.
Historický kontext a „búrlivý Atlantik“
Safe Harbor a Schrems I
Rámec Safe Harbor z roku 2000 umožňoval americkým firmám samocertifikáciu, čím sa vyhli komplikovaným mechanizmom prenosu osobných údajov. Rakúsky aktivista Max Schrems namietal, že programy masového sledovania NSA (napr. PRISM) a neexistencia účinnej právnej ochrany v USA sú nezlučiteľné s právami na súkromie. Súdny dvor EÚ v roku 2015 vyhlásil Safe Harbor teda za neplatný; upozornil, že národná bezpečnosť neodôvodňuje neobmedzený prístup štátnych orgánov k dátam a že občanom EÚ chýbal účinný prostriedok nápravy. Tkz. Americký revízny s'd pre ochranu údajov (DPRC), ktorý skúma rozhodnutia úradníka pre ochranu občianskych slobôd (CLPO) Úradu riaditeľa národnej spravodajskej služby v Spojených štátoch, vraj nie je nestranný a ani nezávislý tribunál, je vraj závislý od výkonnej moci a neponúka záruky podobné tým, ktoré vyžadujú právne predpisy EÚ. Tisíce organizácií museli teda narýchlo prejsť na štandardné zmluvné doložky (SCC) či záväzné firemné pravidlá (BCR). Čiže k prenosu do/z USA mohlo dôjsť len za rovnakých podmienok ako napríklad Angoly či Mauretánie. To nepotešilo. Úprimne, tieto riešenia nie sú vôbec dokonalé a účinné, ale nariadenie ho v tej mizérií ponúka ako najlepšie riešenie.
Privacy Shield a Schrems II
Nástupca Safe Harbor – Privacy Shield – mal prísnejšie dohľadové mechanizmy a záväzky voči firmám. Súdny dvor však v roku 2020 v rozhodnutí Schrems II skonštatoval, že fundamentálne problémy pretrvávajú. Ponechal v platnosti SCC, ale uložil povinnosť posúdení vplyvu prenosu (TIA - Transfer Impact Assessments) a požadoval doplňujúce opatrenia. Pre organizácie to znamenalo zložité hodnotenia každej destinácie a potrebu zabezpečiť „v podstate rovnocenné“ garancie. Mizéria pokračovala.
Zrod Data Privacy Frameworku
Po páde Privacy Shieldu začali USA a EÚ rokovať o novom mechanizme. Výsledkom bolo výkonné nariadenie USA č. 14086 z 7. októbra 2022, ktoré zaviedlo zásady nevyhnutnosti a proporcionality pri zbere spravodajských údajov a nový systém dvoch stupňov nápravy prostredníctvom Civil Liberties Protection Officer a Data Protection Review Court (DPRC).
Európska komisia po preskúmaní týchto reforiem prijala 10. júla 2023 rozhodnutie o primeranosti, čím vznikol EU–US Data Privacy Framework (DPF) - Tento rámec umožňuje firmám certifikovaným podľa DPF prenášať údaje z USA do EHP a naopak bez potreby SCC či BCR.
EDPB: pochvala aj varovanie
Európsky výbor pre ochranu údajov (EDPB) privítal zásadné vylepšenia – najmä zavedenie princípov nevyhnutnosti a proporcionality a nový mechanizmus nápravy. Zároveň však upozornil na otvorené otázky, ako sú práva dotknutých osôb, postupy pri hromadnom zbere údajov, uchovávanie/šírenie údajov a praktické fungovanie nápravy. EDPB odporučil, aby komisii po prvej revízii rámca (2024) nasledovali pravidelné trojročné hodnotenia.
Spor o nezávislosť PCLOB
Dôležitým predpokladom primeranosti je nezávislý dohľad nad spravodajskými službami. V USA túto úlohu plní Privacy and Civil Liberties Oversight Board (PCLOB), ktorá kontroluje implementáciu EO 14086 a konzultuje vymenovanie sudcov DPRC. V januári 2025 prezident Trump odvolal dvoch členov PCLOB, čo vyvolalo súdny spor. Federálny okresný súd v D.C. 21. mája 2025 rozhodol, že odvolanie bolo nezákonné, pretože kongres zamýšľal chrániť nezávislosť rady. Odvolací súd však 1. júla 2025 tento príkaz pozastavil do vyriešenia odvolania; zdôraznil, že členovia PCLOB sú „hlavní úradníci“ v exekutíve a zákon neobsahuje jasnú možnosť prezidentovho práva ich odvolať. Tento prípad ukazuje, že hoci DPF posilnil kontrolu, otázka nezávislosti amerických orgánov zostáva otvorená a je otázkou, čo s tým EÚ narobí.
Latombe vs. Komisia: prvá veľká výzva pre DPF
Aby toho nebolo málo, tak francúzsky poslanec Philippe Latombe 6. septembra 2023 napadol rozhodnutie o primeranosti. Tvrdil, že:
DPRC nie je nezávislý tribunál, pretože ho zriadil generálny prokurátor a spadá pod exekutívu (čl. 47 Charty základných práv).
Spravodajské agentúry USA naďalej vykonávajú hromadný zber údajov bez predchádzajúceho povolenia nezávislého orgánu, čo je podľa neho nezlučiteľné s článkami 7 a 8 Charty.
Predseda Všeobecného súdu však žiadosť o predbežné opatrenie v októbri 2023 zamietol. Hlavná žaloba však pokračovala a 3. septembra 2025 sa súd odklonil od obvyklej praxe – namiesto riešenia otázky prípustnosti sa venoval už priamo meritu veci. Proces sa tým aspoň skrátil a priniesol aspoň na určité obdobie do veci jasno.
Zistenia Všeobecného súdu
Všeobecný súd EÚ konštatoval, že:
DPRC je nezávislý a nestranný – vzhľadom na záruky týkajúce sa vymenovania a odvolávania sudcov. Sudcovia môžu byť odvolaní len generálnym prokurátorom „pre dôvod“ a spravodajské agentúry nemôžu brániť alebo neprimerane ovplyvňovať ich prácu. Súd poukázal aj na to, že Európska komisia môže rámec pozastaviť či zrušiť, ak by prestal poskytovať primeranú ochranu
Absencia predchádzajúceho povolenia pre hromadný zber údajov nie je automaticky nezlučiteľná so Schrems II. Dôležité je, že existuje ex post súdny dohľad, ktorý teraz poskytuje DPRC. Súdu sa teda aspoň nateraz javí, že americké právo zaručuje ochranu v podstate rovnocennú úrovni EÚ.
Primeranosť neznamená identickú ochranu, ale „podstatne rovnocennú“. Latombeho tvrdenia o nedostatočnej ochrane pri automatizovanom rozhodovaní a bezpečnosti boli zamietnuté.
Na základe týchto zistení súd žalobu úplne zamietol, čo teda ponecháva rozhodnutie o primeranosti v platnosti. Súd potvrdil, že certifikované organizácie môžu naďalej prenášať osobné údaje do USA podľa DPF.
Synergie s ďalšími európskymi reguláciami.
Na Transatlantický prenos osobných údajov ale nadväzujú ďalšie digitálne EÚ regulácie, takže nejde vôbec o maličkosť. Uveďme aspoň niektoré z nich.
Data Act a Data Governance Act
EÚ posilňuje svoju dátovú ekonomiku aj prostredníctvom Data Act a Data Governance Act.
Data Act, platný od 12. septembra 2025, zvyšuje dostupnosť priemyselných údajov a zabezpečuje spravodlivé rozdelenie hodnoty medzi ich generátormi a užívateľmi. Stanovuje podmienky pre business-to-business aj business-to-government zdieľanie dát, chráni firmy pred neférovými zmluvami a vytvára mechanizmus, ktorý zabraňuje nelegálnemu prístupu zahraničných vlád k neosobným údajom. Zároveň kladie dôraz na interoperabilitu medzi službami, aby dáta mohli plynule prúdiť medzi odvetviam. Že je to technicky ešte nerealizovateľné, je druhá kapitola.
Data Governance Act, ktorý sa uplatňuje od 2023, zvyšuje dôveru v dobrovoľné zdieľanie údajov a spoločne s Data Act vytvára jednotný trh pre údaje.
Digital Services Act (DSA) a GDPR
Digital Services Act (účinný od 17. februára 2024 pre veľké platformy) upravuje činnosť online sprostredkovateľov a zavádza povinnosti ako systém nahlasovania nelegálneho obsahu, transparentnosť reklamy či obmedzenie profilovania pri deťoch. EDPB vydal v septembri 2025 usmernenia k prepojeniu DSA a GDPR – ich cieľom je zabezpečiť, aby ustanovenia DSA vyžadujúce spracovanie osobných údajov (reklamné systémy, odporúčacie algoritmy atď.) boli v súlade s GDPR. Usmernenia zdôrazňujú potrebu koordinácie medzi orgánmi dohľadu a upozorňujú na pripravované spoločné smernice pre pre koordináciu dohľadu.
Digital Markets Act a AI Act.
AI Act, ISO 42001 a integrácia s ochranou súkromia
EÚ finalizuje AI Act, prvý komplexný zákon o umelej inteligencii. Súbežne Medzinárodná organizácia pre normalizáciu (ISO) v decembri 2023 vydala ISO/IEC 42001, prvý štandard pre systémy riadenia AI. Blog odborníkov spoločnosti Coalfire pripomína, že ISO 42001 má rovnakú štruktúru ako ISO 27001 a možno ho integrovať so systémom riadenia bezpečnosti informácií (ISMS) a ISO 27701 – rozšírením pre ochranu súkromia. Štandard explicitne odporúča zaradiť aspekty ochrany osobných údajov do politiky AI, vykonávať posúdenia vplyvu AI na jednotlivcov či skupiny a integrovať požiadavky GDPR. Takéto integrované riadenie pomáha firmám preukázať súlad s AI Act, DPF i ďalšími zákonmi. Je to dobrá informácia, pretože ISO 27001, rovnako ako GDPR, je už na Slovensku dosť rozšírené a známe, takže pre spoločnosti už ISO 42001 nemusí byť až takým strašiakom.
Praktické odporúčania pre organizácie využívajúce Transatlantický prenos
Využívajte DPF, ale majte pripravené záložné plány. Rozsudok Všeobecného súdu prináša obdobie právnej istoty, no odvolanie je možné. Organizácie by mali udržiavať pripravené SCC/BCR a posúdenia vplyvu prenosu s odkazom na EO 14086 a rozhodnutia DPRC.
Aktualizujte interné politiky a dokumentáciu. Uistite sa, že zmluvy so (sub)dodávateľmi, interné postupy a prenosové registre zohľadňujú nové povinnosti (napr. obmedzenia spravodajského prístupu v USA, práva dotknutých osôb). Pri cloudových službách sa riaďte aj pravidlami Data Act o prepínaní poskytovateľov a ochrane pred neférovými zmluvami.
Zaveďte integrovaný systém riadenia. Kombinácia ISO 27001 (bezpečnosť informácií), ISO 27701(správa súkromia) a ISO 42001 (riadenie AI) poskytuje pevný základ pre ochranu dát, súlad s GDPR/AI Act a preukázanie dôvery. Štandard ISO 42001 odporúča začleniť posúdenia vplyvu AI na jednotlivcov (DPIA/AIIA) a vyjasniť zodpovednosti prevádzkovateľa.
Monitorujte vývoj ďalších regulácií. Usmernenia EDPB o prepojení DSA a GDPR, pripravované smernice pre DMA a AI Act, ale aj národné rozhodnutia (napr. zákazy používania GA - Google Analytics) môžu ovplyvniť prenosové stratégie.
Komunikujte transparentne so subjektmi údajov. DPF aj GDPR zdôrazňujú, že dotknuté osoby majú právo vedieť, ako sa ich údaje prenášajú a spracúvajú. Zahrňte do politiky ochrany súkromia jasné informácie o certifikácii DPF a právach na nápravu.
Záver
Vývoj transatlantických prenosov údajov pripomína dobrodružný príbeh plný nečakaných zvratov. Po dvoch búrkach menom Schrems sa EÚ a USA dočkali rámca, ktorý súdny dvor označil za „primerane chrániaci“. Napriek tomu zostáva právny horizont dynamický; čakajú nás odvolania, revízie a nové regulácie. Organizácie by preto mali stavať na DPF, ale nezabúdať na „záchranné vesty“ v podobe SCC, BCR a komplexného riadenia súkromia. Spojenie medzi GDPR, AI Actom, Data Actom, DSA a normami ISO 27001/42001 ukazuje, že budúcnosť ochrany údajov je prepojená a vyžaduje interdisciplinárny prístup. Ako hovorí staré príslovie: „Keď sa plavia dve lode oproti sebe, lepšie je mať dobre nastavený kompas a aj záchranné koleso.“
