Help Print this page 

Document 32016D1250

Title and reference
Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (EU-U.S. Privacy Shield) (нотифицирано под номер С(2016) 4176) (Текст от значение за ЕИП)

C/2016/4176
  • Date of entry into force unknown (pending notification) or not yet in force.
OJ L 207, 1.8.2016, p. 1–112 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/dec_impl/2016/1250/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Dates
  • Date of document: 12/07/2016; Дата на приемане
  • Date of effect: 01/01/1001; влиза в сила дата на оповестяване
  • Date of notification: 01/01/1001
  • Date of end of validity: 31/12/9999
Miscellaneous information
  • Author: Европейска комисия
  • Form: Решение за изпълнение
Procedure
  • Department responsible: JUST
Text

1.8.2016   

BG

Официален вестник на Европейския съюз

L 207/1


РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2016/1250 НА КОМИСИЯТА

от 12 юли 2016 година

съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (EU-U.S. Privacy Shield)

(нотифицирано под номер С(2016) 4176)

(текст от значение за ЕИП)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (1), и по-специално член 25, параграф 6 от нея,

след консултация с Европейския надзорен орган по защита на данните (2),

1.   ВЪВЕДЕНИЕ

(1)

В Директива 95/46/ЕО се определят правилата за предаването на лични данни от държавите членки към трети държави, доколкото това предаване попада в приложното поле на директивата.

(2)

С член 1 от Директива 95/46/ЕО и съображения 2 и 10 от нейния преамбюл се цели да се осигури не само ефективна и пълна защита на основните права и свободи на физическите лица, по-специално на основното право на зачитане на личния живот при обработването на лични данни, но и висока степен на защита на тези основни права и свободи (3).

(3)

Значимостта на основното право на зачитане на личния живот, гарантирано от член 7 от Хартата на основните права на Европейския съюз, както и значимостта на основното право на защита на личните данни, гарантирано от член 8 от същия документ, се подчертава в практиката на Съда (4).

(4)

Съгласно член 25, параграф 1 от Директива 95/46/ЕО от държавите членки се изисква да следят предаването на лични данни към трета държава да се осъществява само ако съответната трета държава гарантира адекватно ниво на защита и ако законите на държавата членка, с които се привеждат в изпълнение други разпоредби от директивата, са спазени преди предаването. Комисията може да установи, че дадена трета държава гарантира такова адекватно ниво на защита чрез националното си законодателство или международните ангажименти, които е поела с цел защита на правата на физическите лица. В такъв случай и без да се засяга спазването на националните разпоредби, приети в съответствие с други разпоредби от директивата, личните данни могат да бъдат предавани от държавите членки, без да са необходими допълнителни гаранции.

(5)

Съгласно член 25, параграф 2 от Директива 95/46/ЕО нивото на защита на данните, осигурявано от трета държава, следва да се преценява като се вземат под внимание всички обстоятелства, свързани с операцията по предаването на данни или с набора от операции по предаване на данни, включително общите и секторните законови разпоредби, които са в сила във въпросната трета държава.

(6)

В Решение 520/2000/ЕО на Комисията (5) беше прието, че по смисъла на член 25, параграф 2 от Директива 95/46/ЕО принципите за „сфера на неприкосновеност на личния живот“, прилагани в съответствие с насоките, предоставени с т.нар. „често задавани въпроси“, публикувани от Министерството на търговията на САЩ, осигуряват адекватно ниво на защита на личните данни, предавани от Съюза към организации, установени в Съединените американски щати.

(7)

В своите съобщения COM(2013) 846 final (6) и COM(2013) 847 final от 27 ноември 2013 г. (7) Комисията счете, че основите на схемата за сфера на неприкосновеност на личния живот трябва да бъдат преразгледани и укрепени в контекста на редица фактори, сред които са значителното увеличаване на потоците от данни и изключителното значение на тези потоци за трансатлантическата икономика, бързото нарастване на броя на дружествата в САЩ, които се присъединяват към схемата за сфера на неприкосновеност на личния живот, и новата информация за мащабите и обхвата на някои разузнавателни програми на САЩ, която повдигна въпроси относно нивото на защита, което може да се гарантира. Наред с това, Комисията установи някои недостатъци и пропуски в схемата за сферата на неприкосновеност на личния живот.

(8)

На основата на данните, събрани от Комисията, включително информация, получена в резултат от работата на Контактната група ЕС—САЩ по въпросите на защитата на личния живот (8), и информацията относно разузнавателните програми на САЩ, получена в Работната група ad hoc ЕС—САЩ (9), Комисията формулира 13 препоръки за преразглеждане на схемата за сфера на неприкосновеност на личния живот. Тези препоръки са съсредоточени върху укрепване на основните принципи за защита на личния живот, повишаване на прозрачността на политиките за неприкосновеност на личния живот, възприети от самосертифицираните дружества в САЩ, подобряване на осъществявания от органите на САЩ надзор и мониторинг за спазването на тези принципи и на налагането на тяхното спазване, наличието на механизми за разрешаване на спорове на достъпна цена и необходимостта да се гарантира, че изключението, свързано с националната сигурност, предвидено в Решение 2000/520/ЕО, ще бъде използвано само доколкото това е строго необходимо и пропорционално.

(9)

В решението си от 6 октомври 2015 г. по дело C-362/14, Maximillian Schrems с/у Data Protection Commissioner  (10), Съдът на Европейския съюз обяви Решение 2000/520/ЕО за невалидно. Без да анализира съдържанието на принципите за сфера на неприкосновеност на личния живот, Съдът счете, че в посоченото решение Комисията не е отбелязала, че Съединените американски щати ефективно „гарантират“ достатъчна степен на защита по силата на националното си законодателство или на международните си ангажименти (11).

(10)

В тази връзка Съдът поясни, че въпреки че съдържащият се в член 25, параграф 6 от Директива 95/46/ЕО термин „достатъчна степен на защита“ не означава степен на защита, която е идентична на гарантираната в правния ред на ЕС, той трябва да се разбира в смисъл, че от третата държава се изисква да гарантира степен на защита на основните права и свободи, която „по същество е равностойна“ на гарантираната в Съюза по силата на Директива 95/46/ЕО, разглеждана във връзка с Хартата на основните права. Макар да е възможно средствата, до които третата държава прибягва в тази връзка, да са различни от прилаганите вътре в Съюза, все пак е необходимо на практика тези средства да се окажат ефективни (12).

(11)

Съдът отправи критика относно липсата на достатъчно констатации в Решение 520/2000/ЕО относно наличието в Съединените американски щати на приети федерални правила за ограничаване на евентуалната намеса, засягаща основните права на лицата, чиито данни се прехвърлят от Съюза към САЩ, която намеса държавните структури на тази страна имат право да извършват, ако преследват законосъобразни цели, като например осигуряването на националната сигурност; той отправи също така критика относно липсата на достатъчно констатации относно наличието на ефективна правна защита срещу този вид намеса (13).

(12)

През 2014 г. Комисията започна разговори с органите на САЩ с цел да бъде обсъдено укрепването на схемата за сферата на неприкосновеност на личния живот в съответствие с 13-те препоръки, съдържащи се в Съобщение COM(2013) 847 final. След постановяване на решението на Съда на Европейския съюз по делото Schrems тези преговори станаха по-интензивни, с цел да бъде намерено ново решение за адекватността, което да изпълнява изискванията на член 25 от Директива 95/46/ЕО според тълкуванието, дадено от Съда. Резултат от тези дискусии са документите, които са включени като приложения към настоящото решение и също така ще бъдат публикувани във Федералния регистър на САЩ. Принципите на неприкосновеност на личния живот (приложение II), заедно с официалните писмени изявления и поети ангажименти на различни органи на САЩ, съдържащи се в документите в приложение I и приложения III до VII, съставляват Щита за личните данни в отношенията между ЕС и САЩ.

(13)

Комисията направи внимателен анализ на американското законодателство и практиката на американските власти, включително на посочените официални писмени изявления и ангажименти. Въз основа на констатациите, развити в съображения 136—140, Комисията стигна до заключението, че Съединените американски щати гарантират адекватна степен на защита на личните данни, които се предават съгласно Щита за личните данни в отношенията между ЕС и САЩ от Съюза към самосертифицирани организации в САЩ.

2.   ЩИТ ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ

(14)

Щитът за личните данни в отношенията между ЕС и САЩ се базира на система за самосертифициране, чрез която организациите в САЩ се ангажират да спазват един набор от принципи за неприкосновеност на личния живот — рамковите принципи на Щита за личните данни в отношенията между ЕС и САЩ, включително допълнителните принципи (наричани по-долу общо „Принципите“), — публикувани от Министерството на търговията на САЩ и посочени в приложение II към настоящото решение. Той се прилага за администраторите, както и за обработващите данни (представители), с особеността, че обработващите лични данни трябва да бъдат договорно обвързани да извършват действия само въз основа на указания от администратора от ЕС и да го подпомагат в изготвянето на отговори на лицата, упражняващи своите права по силата на Принципите (14).

(15)

Без да се засяга спазването на националните разпоредби, приети съгласно Директива 95/46/ЕО, настоящото решение води до това, че са позволени предаванията от страна на администратор или на обработващ данни в Съюза към организации в САЩ, които са се самосертифицирали, че спазват Принципите пред Министерството на търговия и са поели ангажимент да се съобразяват с тях. Принципите се прилагат единствено за обработката на лични данни от организацията в САЩ, доколкото обработването от тези организации не попада в приложното поле на законодателството на Съюза (15). Щитът за личните данни не засяга прилагането на законодателството на ЕС, уреждащо обработването на лични данни в държавите членки (16).

(16)

Защитата на личните данни, осигурявана от Щита на личните данни, се прилага за всеки субект на данни от ЕС (17), чиито лични данни се предават от Съюза на организации в САЩ, които са се самосертифицирали, че спазват Принципите пред Министерството на търговия

(17)

Принципите се прилагат незабавно след сертифицирането. Едно изключение е свързано с принципа на отчетност за последващо предаване в случаите, в които организация, самосертифицираща се към Щита за личните данни, вече има предварително съществуващи търговски отношения с трети страни. Като се има предвид, че може да е необходимо време, за да се приведат тези търговски отношения в съответствие с приложимите правила съгласно Принципа на отчетност за последващо предаване, организацията ще бъде задължена да направи това във възможно най-кратък срок и във всеки случай не по-късно от девет месеца след самосертифицирането (при условие че то се осъществи в първите два месеца след деня, в който влиза в сила Щита за личните данни). По време на този преходен период организацията трябва да прилага принципа на уведомяването и на избора (като по този начин на субекта на данни се дава възможност за неучастие „opt out“), а в случаите, когато лични данни се предават на трета страна, изпълняваща функциите на представител, трябва да се гарантира, че последният осигурява поне същото ниво на защита, каквото се изисква от Принципите (18). Този преходен период осигурява разумен и подходящ баланс между зачитането на основното право на защита на данните и законната необходимост на предприятията да разполагат с достатъчно време, за да се приспособят към новата рамка, в която са зависими и от търговските си отношения с трети страни.

(18)

Управлението и мониторингът на тази система ще се осъществяват от Министерството на търговията въз основа на ангажиментите, посочени в писмените изявления на министъра на търговията на САЩ (приложение I към настоящото решение). По отношение на принудителното изпълнение на Принципите на неприкосновеност на личния живот, Федералната търговска комисия (ФТК) и Министерството на транспорта са направили писмени изявления, включени съответно в приложения IV и V към настоящото решение.

2.1.   Принципи на неприкосновеност на личния живот

(19)

Като част от самосертифицирането им съгласно Щита за личните данни в отношенията между ЕС и САЩ, организациите трябва да се ангажират да спазват Принципите на неприкосновеност на личния живот (19).

(20)

Съгласно принципа „Уведомяване“ организациите са задължени да предоставят информация на субектите на данните относно редица ключови елементи във връзка с обработването на техните лични данни (напр. вида на събираните данни, целта на обработването, правата на достъп и избор, условията за последващо предаване и отговорност за причинени вреди). Прилагат се и допълнителни защитни мерки, по-специално изискването организациите да оповестяват публично своите политики в областта на неприкосновеността на личния живот (отразяващи Принципите) и да предоставят електронни препратки към уебсайта на Министерството на търговията (с допълнителна информация относно самосертифицирането, правата на субектите на данните и наличните механизми за защита), списъка към Щита за личните данни (разгледан в съображение 30) и към уебсайта на подходяща организация за алтернативно разрешаване на спорове.

(21)

Съгласно принципа „Пълнота на данните и ограничаване в рамките на целта“ личните данни трябва да бъдат ограничени до необходимото за целите, за които се обработват, да са надеждни за предвиденото им използване, точни, пълни и актуални. Никоя организация не може да обработва лични данни по начин несъвместим с целите, за които те са били събрани първоначално или за които по-късно е получено разрешение от субекта на данните. Организациите трябва да се гарантира, че личните данни са надеждни за предвиденото им използване, точни, пълни и актуални.

(22)

Когато нова (променена) цел се различава съществено от — но е все още съвместима със — първоначалната цел, принципът „Избор“ предоставя на субектите на данни правото на възражение (клауза за неучастие „opt out“). Принципът „Избор“ не замества изричната забрана за несъвместимо обработване (20). Специалните правила, които по принцип дават възможност за неучастие „по всяко време“ от използването на личните данни, се прилагат за целите на прекия маркетинг (21). Когато става дума за чувствителни данни, организациите трябва по принцип да получат утвърдителното изрично съгласие („opt in“) на субекта на данните.

(23)

Все още съгласно принципа Цялост на данните и ограничаване в рамките на целта личната информация може да се съхранява под форма, която идентифицира или позволява идентифицирането на физическите лица (и по този начин — под формата на лични данни), само доколкото това служи на целта(ите), за която(които) е била събрана първоначално или за която(които) по-късно е дадено разрешение от физическото лице. Това задължение не възпрепятства организациите — участници в Щита за личните данни, да продължат да обработват лична информация за по-дълги периоди, но само в рамките на срок и доколкото тази обработка служи за една от следните конкретни цели: архивиране от обществен интерес, журналистика, литература и изкуства, научни и исторически проучвания или статистически анализ. По-продължителното съхраняване на лични данни за една от тези цели ще подлежи на гаранциите, които се осигуряват от Принципите.

(24)

Съгласно принципа „Сигурност“ организациите, които създават, поддържат, използват или разпространяват лични данни, трябва да вземат „разумни и подходящи“ предпазни мерки като отчитат рисковете, свързани с обработването, както и характера на данните. Когато обработването се извършва от подизпълнител, организациите трябва да сключат договор с него, който да гарантира същото ниво на защита, което се осигурява от Принципите, и да предприемат мерки да гарантират, че договорът се изпълнява правилно.

(25)

Съгласно принципа „Достъп (22) субектите на данните имат правото без да е необходимо обосноваване и срещу такса, която не е прекомерна, да получат от дадена организация потвърждение дали тя обработва лични данни, свързани с тях, и съответните данни да им бъдат съобщени в рамките на разумен срок. Това право може да бъде ограничавано само при изключителни обстоятелства; всеки отказ или всяко ограничаване на правото на достъп трябва да бъдат необходими и надлежно обосновани, като организацията носи тежестта на доказване, че тези изисквания са спазени. Субектите на данни трябва да могат да коригират, изменят или заличават лична информация, когато тя е неточна или се обработва в нарушение на Принципите. В правото на САЩ са предвидени специални средства за защита срещу неблагоприятни решения (23) в областите, в които е най-вероятно дружествата да прибягват до автоматизирано обработване на личните данни с цел вземане на решения, засягащи физическите лица (напр. при предоставяне на заеми, оферти за ипотечни кредити, в сферата на заетостта). В тези актове обикновено се предвижда правото на физическите лица да бъдат информирани за конкретните причини в основата на дадено решение (напр. при отказ на кредит), да оспорват непълна или неточна информация (както и използването на неправомерни фактори), както и да потърсят правна защита. Тези правила предлагат защита в по-скоро ограничения брой на случаите, в които автоматизираните решения ще се вземат от самата организация — участник в Щита за личните данни (24). Въпреки това предвид нарастващото използване в съвременната цифрова икономика на автоматизирано обработване (включително профилиране) като основа за вземане на решения, засягащи физическите лица, това е една област, която трябва да се следи внимателно. С цел да се улесни този мониторинг, с органите на САЩ беше договорено, че в първия годишен преглед, както и в последващите прегледи, ако е необходимо, ще бъде включен диалог относно автоматизираното вземане на решения, включително обмен на сходства и различия в подхода на ЕС и на САЩ в това отношение.

(26)

Съгласно принципа „Защита, прилагане и отговорност за причинени вреди (25) участващите организации трябва да предвидят солидни механизми да гарантират спазването на останалите Принципи на неприкосновеност на личния живот, както и право на защита за субектите на данни от ЕС, чиито лични данни се обработват в нарушение на тези принципи, включително и ефективни средства за правна защита. След като една организация е решила доброволно да се самосертифицира (26) съгласно Щита за личните данни в отношенията между ЕС и САЩ, ефективното спазване на Принципите на неприкосновеност на личния живот е задължително за нея. За да ѝ бъде позволено да продължи да се ползва от Щита за личните данни за получаване на лични данни от Съюза, тази организация трябва ежегодно да пресертифицира своето участие в очертаната рамка. Организациите трябва също така да предприемат мерки за извършване на проверка (27) дали публикуваните от тях политики в областта на неприкосновеността на личния живот съответстват на Принципите на неприкосновеност на личния живот и дали се спазват реално. Това може да става или посредством система за самооценка, която трябва да включва вътрешни процедури, чрез които да се гарантира, че служителите получават подготовка за прилагането на политиките на организацията в областта на неприкосновеността на личния живот и че периодично се извършва обективен преглед на спазването, или посредством външни проверки за спазването, сред чиито методи може да се включат методите на одитиране или случайни проверки. Освен това организацията трябва да създаде ефективен механизъм за защита, чрез който да се разглеждат жалбите (в тази връзка вж. също съображение 43), и да подлежи на правомощията по разследване и прилагане на ФТК, Министерството на транспорта или друг законовоустановен орган, който гарантира за ефективното спазване на Принципите.

(27)

За така наречените „последващи предавания“, т.е. предавания на лични данни от организация към трета страна администратор или обработващ данни, независимо дали те се намират в Съединените американски щати или в трета държава извън Съединените американски щати (и Съюза), се прилагат специални правила. Целта на тези правила е осигурят, че няма да бъде подкопана защитата на личните данни на субектите на данни от ЕС и че тя не може да бъде заобиколена чрез прехвърлянето им на трети страни. Това е от особено значение при по-сложните процеси на обработване, които са характерни за съвременната цифрова икономика.

(28)

Съгласно принципа Отчетност за последващото предаване  (28) последващо предаване може да се осъществи само i) с ограничена и конкретна цел, ii) въз основа на договор (или подобно споразумение в рамките на дадена корпоративна група (29)) и iii) само ако в този договор се предвижда същото ниво на защита като тази, гарантирана от Принципите, включващи изискването, че тяхното прилагане може да бъде ограничено само до необходимата степен с оглед на спазване на изискванията за националната сигурност, правоприлагането и други цели от обществен интерес (30). Това следва да се разглежда във връзка с принципа Уведомяване, а в случай на последващо предаване на администратор на трета страна (31) — с принципа Избор, според който субектите на данни трябва да бъдат информирани (наред с другото) относно вида/идентичността на всеки получател на трета страна, относно целта на последващото предаване, относно предлагания избор, както и да имат право на възражение (клауза за неучастие „opt out“) или в случай на чувствителни данни да трябва да дадат утвърждаващо изрично съгласие („opt in“) за последващите предавания. С оглед на принципа Цялост на данните и ограничаване в рамките на целта задължението да се осигурява същата степен на защита, която се гарантира от Принципите, предполага, че третата страна може да обработва предадената ѝ лична информация само за цели, които не са несъвместими с целите, за които е била събрана първоначално или за които по-късно е дадено разрешение от физическото лице.

(29)

Задължението да се осигурява същата степен на защита, която се изисква от Принципите, се прилага за всяка една и за всички трети страни, участващи в обработката на данните, прехвърляни независимо от тяхното местоположение (в САЩ или в друга трета държава), както и в случая, когато първоначалният получател на третата страна предава тези данни на друг получател на третата страна, например за целите на обработване от подизпълнител. Във всички случаи в договора с получателя на третата страна трябва да се предвижда последният да уведоми организацията — участник в Щита за личните данни, ако организацията констатира, че вече не е в състояние да изпълнява посоченото задължение. Когато тази констатация е направена, третата страна администратор ще прекрати обработката и ще трябва да се предприемат други обосновани и съответни мерки за справяне с положението (32). При възникване на проблеми със спазването на този принцип по веригата на обработване или при обработване от подизпълнител, организацията — участник в Щита за личните данни, изпълняваща функциите на администратор на личните данни, ще трябва да докаже, че не носи отговорност за събитието, породило вредата, като в противен случай носи отговорност за причинените вреди, както е посочено в принципа „Защита, прилагане и отговорност за причинени вреди“. В случай на последващо предаване към трета страна посредник (33) се прилага допълнителна защита.

2.2.   Прозрачност, управление и надзор на Щита за личните данни в отношенията между ЕС и САЩ

(30)

В Щита за личните данни в отношенията между ЕС и САЩ се предвиждат механизми за надзор и за прилагане, за да се проверява и гарантира, че самосертифицираните организации в САЩ спазват Принципите и че се отстранява всяко неспазване. Тези механизми са посочени в Принципите (приложение II) и в ангажиментите, поети от Министерството на търговията (приложение I), ФТК (приложение IV) и Министерството на транспорта (приложение V).

(31)

За да се гарантира правилното прилагане на Щита за личните данни в отношенията между ЕС и САЩ, заинтересованите страни, като например субектите на данни, износителите на данни и националните органи по защита на данните (ОЗД), трябва да бъдат в състояние да идентифицират организациите, които се придържат към Принципите. За тази цел Министерството на търговията е поело задължението да поддържа и предостави за публичен достъп списък на организациите, които са се самосертифицирали, че спазват Принципите, и които са от компетентността на поне един от правоприлагащите органи, включени в приложения I и II към настоящото решение („списък към Щита за личните данни“) (34). Министерството на търговията ще актуализира списъка въз основа на ежегодно подаваните заявления за пресертифициране и при всяко оттегляне или заличаване на дадена организация от Щита за личните данни в отношенията между ЕС и САЩ. Освен това той ще поддържа и предоставя за публичен достъп официален списък на организациите, които са били заличени от списъка, с посочване на причините за заличаването за всеки отделен случай. И накрая, Министерството на търговията ще предостави електронна връзка към списъка на казусите, свързани с Щита за личните данни, с които е сезирана Федералната търговска комисия, който списък се поддържа на уебсайта на ФТК.

(32)

Министерството на търговията ще предостави за публичен достъп списъка към Щита за личните данни и подадената от организациите информация за самосертифициране на създаден за тази цел уебсайт. Самосертифицираните организации на свой ред трябва да предоставят интернет адреса на министерството за списъка към Щита за личните данни. Освен това, когато политиката на една организация в областта на неприкосновеността на личния живот е на разположение онлайн, в нея трябва да се предостави хипервръзка към уебсайта на Щита за личните данни, както и хипервръзка към уебсайта или към формуляра за подаване на жалба на независимия механизъм за защита, който е на разположение за разглеждане на нерешени жалби. Министерството на търговията системно ще проверява, в контекста на сертифицирането и пресертифицирането на дадена организация към очертаната рамка, дали нейните политики в областта на неприкосновеността на личния живот са съобразени с Принципите.

(33)

Организации, които трайно не се съобразяват с Принципите, се заличават от списъка към Щита за личните данни и трябва да върнат или заличат личните данни, които са получили в рамките на Щита за личните данни в отношенията между ЕС и САЩ. В други случаи на заличаване от списъка, като например доброволно оттегляне от участие или неподаване на заявление за пресетифициране, организациите могат да запазят тези данни, ако ежегодно уверяват Министерството на търговията в ангажираността си да продължат да прилагат Принципите или предоставят адекватна защита на личните данни посредством други разрешени средства (напр. като използват договор, в който изцяло са отразени изискванията на съответните одобрени от Комисията стандартни договорни клаузи). В този случай организацията посочва лице за връзка с нея по всички въпроси от областта на Щита за личните данни.

(34)

Освен това Министерството на търговията ще наблюдава организациите, които вече не участват в Щита за личните данни в отношенията между ЕС и САЩ поради доброволно оттегляне или изтичане на сертифицирането, за да провери дали те ще върнат, заличат или задържат (35) личните данни, които са получили преди това съгласно прилагането на рамката. Ако те задържат посочените данни, организациите са задължени да продължат да прилагат Принципите спрямо тях. В случаите, когато Министерството на търговията отстрани организации от рамката поради трайно неспазване на Принципите, то ще гарантира, че тези организации задължително ще върнат или заличат личните данни, които са получили съгласно нейното прилагане.

(35)

Когато по някаква причина една организация напусне Щита за личните данни в отношенията между ЕС и САЩ, тя трябва да оттегли всички свои публични изявления, предполагащи, че тя продължава да участва в Щита за личните данни в отношенията между ЕС и САЩ или че се ползва от предимствата на такова участие, по-специално всички упоменавания на Щита за личните данни в отношенията между ЕС и САЩ в публикуваната от нея политика в областта на неприкосновеността на личния живот. Министерството на търговията ще търси неправомерни твърдения за участие в рамката, включително на бивши членове, и ще намира решения (36). Всяко погрешно представяне пред широката общественост относно придържането на организацията към Принципите може да подлежи на санкциониране от ФТК, Министерство на транспорта или друг съответен правоприлагащ орган в САЩ; въвеждането в заблуждение на Министерството на търговията подлежи на санкциониране по Закона за неверните твърдения (False Statements Act) (18 U.S.C. § 1001) (37).

(36)

Министерството на търговията ще осъществява служебно наблюдение за евентуални неверни твърдения за участие в Щита за личните данни или за неправомерно използване на сертификационния знак на Щита за личните данни, като ОЗД могат да насочват организациите за проверка към определеното лице за контакт в министерството. Когато една организация се оттегли от Щита за личните данни в отношенията между ЕС и САЩ, не подаде заявление за пресертифициране или бъде заличена от списъка към Щита за личните данни, Министерството на търговията ще проверява периодично дали тя е изтрила от публикациите относно политиката ѝ в областта на неприкосновеността на личния живот всички упоменавания на Щита за личните данни, които може да водят до заключението, че тя продължава да участва в него, и ако тя продължава да прави неверни твърдения, ще отнася въпроса за разглеждане от ФТК, Министерството на транспорта или друг компетентен орган, който да предприеме евентуални действия по санкциониране. Освен това Министерството на търговията ще изпраща въпросници до организациите, чието самосертифициране изтича или които доброволно са се оттеглили от Щита за личните данни в отношенията между ЕС и САЩ, за да провери дали организацията ще започне отново да участва, или ще се отпише или ще продължи да прилага Принципите на неприкосновеност на личния живот за личните данни, които е получила докато е участвала, и ако възнамерява да задържи личните данни, да провери кой в рамките на организацията ще служи за лице за постоянен контакт по въпросите на Щита за личните данни.

(37)

Министерството на търговията текущо ще извършва служебни прегледи (38) за спазването от страна на самосертифицираните организации, включително чрез изпращане на подробни въпросници. Също така той системно ще извършва проверки, когато е получил конкретна жалба (със сериозен характер), когато дадена организация не предоставя задоволителни отговори на запитванията от негова страна или когато има достоверни доказателства, че може да се предполага, че дадена организация не спазва Принципите. Когато е целесъобразно, Министерство на търговията ще се консултира и с ОЗД за такива прегледи на спазването.

2.3.   Механизми за защита, разглеждане на жалби и прилагане

(38)

В принципа „Защита, прилагане и отговорност за причинени вреди“ на Щита за личните данни в отношенията между ЕС и САЩ се съдържа изискването организациите да осигуряват защита за физическите лица, които са засегнати от неспазване, и по този начин се дава възможност на субектите на данни от ЕС да подават жалби относно неспазване от страна на самосертифицираните дружества в САЩ и тези жалби да бъдат разрешени, ако е необходимо чрез решение за предоставяне на ефективна правна защита.

(39)

Като част от своята декларация за самосертифициране, организациите трябва да отговарят на изискванията на принципа „Защита, прилагане и отговорност за причинени вреди“, като предоставят ефективни и леснодостъпни независими механизми за подаване на жалби, чрез които жалбите и споровете на лицето могат да се разследват и разрешават бързо без разходи за лицето.

(40)

Организациите могат да изберат независими механизми за защита в Съюза или в Съединените американски щати. Това включва възможността доброволно да се ангажират да си сътрудничат с ОЗД в ЕС. Този избор обаче не е налице, когато обработват данни относно човешките ресурси, тъй като сътрудничеството с ОЗД е задължително. Другите алтернативи включват независимото Извънсъдебно разрешаване на спорове (ИРС) и разработените за сектора програми на неприкосновеност на личния живот за личните данни, в чиито правила са залегнали Принципите на неприкосновеност на личния живот. Последните трябва да включват ефективни механизми за прилагането им в съответствие с изискванията на принципа „Защита, прилагане и отговорност за причинени вреди“. Организациите са задължени да отстраняват проблеми, свързани с неспазване. Те трябва също така да посочат, че те са предмет на правомощията за разследване и правоприлагане на ФТК, Министерство на транспорта на САЩ или други оправомощени законоустановени орган.

(41)

Следователно рамката на Щита за личните данни на неприкосновеността на личния живот предвижда редица възможности за субектите на данните гаранция да упражняват правата си, да подават жалби относно неспазване от страна на самосертифицираните дружества в САЩ и техните жалби да се разрешават, ако е необходимо, чрез решение за предоставяне на ефективна правна защита. Физическите лица могат да предявят жалба директно пред организация, независим орган за решаване на спорове, посочен от организацията, националните ОЗД или ФТК.

(42)

В случаите, когато техните жалби не са били разрешени чрез нито един от тези механизми за защита и правоприлагане, физическите лица имат също така право да поискат въпросът да бъде решен чрез правно обвързващ арбитраж съгласно панела на ОЗД (Приложение 1 към приложение II към настоящото решение). С изключение на арбитражния панел, при който има изискването някои средства за правна защита да бъдат изчерпани, преди да бъде използван, физическите лица имат право да упражняват някои или всички механизми за правна защита по свой избор и не са задължени да избират определен механизъм или да спазват определена последователност. Съществува обаче определен логически ред, който е препоръчително да се следва, както е посочено по-долу.

(43)

На първо място субектите на данни от ЕС могат да преследват нарушения на спазването на Принципите чрез преки контакти със самосертифицираното дружество в САЩ. За да се улесни решаването на споровете, организацията трябва да създаде ефективен механизъм за защита, чрез който да се разглеждат жалбите. Това означава в политиката ѝ в областта на неприкосновеността на личния живот да се предоставя ясна информация на физическите лица за звеното за връзка, независимо дали в рамките на организацията или извън нея, което отговаря за разглеждането на жалбите (включително съответна организация в Съюза, която може да отговаря на запитвания или оплаквания), както и за независимите механизми за разглеждане на жалби.

(44)

При получаване на жалба от физическо лице — директно от лицето или чрез Министерството на търговията след сезиране от ОЗД, организацията трябва да предостави отговор на субекта на данните от ЕС в срок 45 дни. В този отговор трябва да се прави преценка по същество на жалбата и да се предоставя информация как организацията ще разреши проблема. Освен това от организациите се изисква да реагират своевременно на запитвания и други искания за информация от (39) Министерството на търговията или от орган за защита на данните (когато организацията е ангажирана да си сътрудничи с органа за защита на личните данни) във връзка с придържането им към принципите. Организациите трябва да съхраняват документацията си за прилагане на техните политики за защита на личните данни и да ги предоставят при поискване на независим механизъм за защита или ФТК (или друг орган на САЩ, компетентен да разследва нелоялните и измамни практики) в рамките на дадено разследване или жалба за неспазване.

(45)

На второ място организациите трябва да определят независим орган за разрешаване на спорове (в Съединените американски щати или в Съюза), който да разследва и разрешава отделните жалби (освен ако те са очевидно необосновани или нямат сериозен характер) и да предоставя безплатно подходяща защита за физическите лица. Санкциите и средствата за правна защита, налагани от този орган, трябва да са достатъчно строги, за да гарантират спазването от организациите на Принципите и да осигуряват отстраняване или поправка от страна на организацията на последиците от неспазването на Принципите, а в зависимост от обстоятелствата — и преустановяване на последващото обработване на въпросните лични данни и/или тяхното заличаване, както и публично оповестяване на констатациите за неспазването. От определените от организацията независими органи за разрешаване на спорове ще бъде изисквано да включват на своите публични уебсайтове съответна информация относно Щита за личните данни в отношенията между ЕС и САЩ и услугите, които извършват съгласно него. Те трябва да публикуват ежегодно годишен доклад с обобщена статистическа информация относно тези услуги (40).

(46)

Министерството на търговията ще проверява също и дали самосертифицираните дружества в САЩ действително са регистрирани към независимите механизми за защита, към които са заявили, че са регистрирани. От организациите и от отговорните независими механизми за защита се изисква да отговарят в кратки срокове на запитвания и искания за информация от страна на Министерството на търговията във връзка с Щита за личните данни.

(47)

В случай, че организацията не спази решението на орган по разрешаване на спорове или на саморегулиращ се орган, последният трябва да уведоми за това Министерството на търговията и ФТК (или друг орган на САЩ, компетентен да разследва нелоялни и измамни практики) или компетентния съд (41). Ако дадена организация отказва да изпълнява окончателното решение на саморегулираща се организация в областта на неприкосновеността на личния живот, или независим орган по решаване на спорове или на държавен орган, или когато даден орган констатира, че организация често нарушава Принципите, това ще се счита за трайно неспазване. Вследствие на това, след като първо е изпратило на организацията нарушител тридесет дневно предизвестие и е дало възможност за отговор, Министерството на търговията ще заличи организацията от списъка (42). Ако след заличаването от списъка организацията продължава да твърди, че е сертифицирана съгласно Щита за личните данни, министерството ще отнесе въпроса пред ФТК или друга правоприлагаща агенция (43).

(48)

Трето, физическите лица могат да отнесат жалбите си до национален орган за защита на данните. Организациите са длъжни да сътрудничат при разследването и разрешаването на жалба от ОЗД или когато става въпрос за обработването на данни за човешките ресурси, събрани в рамките на трудово правоотношение, или когато съответната организация доброволно се е подложила на надзор от страна на органите за защита на данните. По-специално организациите трябва да отговарят на запитвания, да спазват препоръките на ОЗД, включително за корективни или компенсаторни мерки, и да предоставят на ОЗД писмено потвърждение, че са взети такива мерки.

(49)

Препоръките на ОЗД ще се предоставят чрез неформален панел на ОЗД, създаден на европейско равнище (44), който ще спомага също така за осигуряването на хармонизиран и съгласуван подход. Препоръки ще се дават след като и двете страни по спора са имали подходяща възможност да представят своите забележки и евентуално своите доказателства. Съответният панел на ОЗД ще предоставя препоръките си в най-кратки срокове, доколкото го позволява изискването за справедлив процес, и по принцип най-късно в срок от 60 дни считано от получаването на жалбата. Ако някоя организация не изпълни препоръката в срок от 25 дни след предоставянето ѝ, без да посочи убедително обяснение за закъснението, групата на ОЗД ще оповести намерението си да отнесе въпроса пред ФТК (или друг орган на САЩ, компетентен да предприема действия за принудително изпълнение) или да заключи, че е допуснато сериозно нарушение на ангажимента за сътрудничество. При първия вариант това може да доведе до предприемане на действие по принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия (или други сходни закони). При втория вариант групата ще информира Министерството на търговията, което ще счете отказа на организацията за трайно неспазване на Принципите, в резултат на което тази организация ще бъде заличена от списъка към Щита за личните данни.

(50)

Във всички разгледани случаи, ако ОЗД, до който е адресирана жалбата, не предприеме никакви действия или действията са недостатъчни за разрешаване на жалбата, жалбоподателят има възможността да заведе иск срещу това (без)действие в националните съдилища на съответната държава членка.

(51)

Освен това физическите лица могат да подават жалби до ОЗД, дори когато за решаване на спорове не е бил определен панел на ОЗД. В тези случаи органът за защита на данните може да отнася такива жалби пред Министерството на търговията или ФТК. За да улесни съвместната работа, Министерството на търговията ще създаде специализирано звено за контакт, което да служи за връзка и да съдейства при запитвания от ОЗД относно спазването от страна на дадена организация на Принципите на неприкосновеност на личния живот (45). По същия начин ФТК се е ангажирала да създаде специализирано звено за контакт (46) и оказва на ОЗД съдействие чрез разследвания по реда на Закона за безопасен интернет на САЩ (U.S. SAFE WEB Act) (47).

(52)

Четвърто, Министерството на търговията се е ангажирало да получава и разглежда жалби относно неспазването на Принципите от дадена организация, както и да полага всички възможни усилия да ги разрешава. За тази цел Министерството на търговията предвижда специални процедури за отнасянето на жалбите от страна на ОЗД до определеното звено за връзка и за проследяването им, както и последващи действия съвместно с дружествата за улесняване на разрешаването. За да се ускори обработването на отделните жалби, звеното за връзка ще си сътрудничи директно със съответния ОЗД по въпросите относно спазването на Принципите, и по специално ще го уведомява за етапа на разглеждане на жалбите в срок до 90 дни след сезирането му. Това позволява на субектите на данни да подават жалби относно неспазването на Принципите от самосертифицираните дружества в САЩ директно до своя национален ОЗД, след което тези жалби ще бъдат насочвани към Министерството на търговията, като органът в САЩ, управляващ Щита за личните данни в отношенията между ЕС и САЩ. Също така Министерството на търговията се ангажира да предоставя при годишния преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ доклад, в който да бъдат анализирани в обобщен вид жалбите, получени от него всяка година (48).

(53)

Когато въз основа на служебните си проверки, жалби или друга информация, Министерството на търговията стигне до заключението, че дадена организация трайно не спазва Принципите на неприкосновеност на личния живот, то я заличава от списъка към Щита за личните данни. Отказът да се съобрази с окончателно решение на който и да е саморегулиращ се орган, независима инстанция за разрешаване на спорове или правителствен орган, с компетентност в областта на неприкосновеността на личния живот, включително ОЗД, ще бъде считан за трайно неспазване на Принципите.

(54)

На пето място, организацията — участник в Щита за личните данни, трябва да бъде предмет на правомощията за разследване и прилагане от органите на САЩ, и по-специално Федералната комисия за търговия  (49), които ефективно ще гарантират спазването на Принципите. На четвърто място Федералната търговска комисия ще разглежда с предимство случаи на неспазване на Принципите на неприкосновеност на личния живот, за които е била сезирана от независими инстанции за разрешаване на спорове или от саморегулиращи се органи, от Министерството на търговията и ОЗД (по тяхна собствена инициатива или след получени жалби), за да определи дали са нарушени изискванията на раздел 5 от Закона за Федералната търговска комисия (FTC Act) относно забраната за нелоялни или измамни практики (50). ФТК се е ангажирала да създаде стандартен процес на сезиране, да определи звено за връзка в нея за сезиранията от страна на ОЗД и да обменя информация относно случаите, за които е била сезирана. В допълнение тя ще приема жалби директно от физически лица и ще предприема разследвания във връзка с Щита за личните данни по своя собствена инициатива, по-специално като част от по-мащабни нейни разследвания по въпроси относно неприкосновеността на личния живот.

(55)

ФТК може да налага спазването на Принципите посредством административни заповеди („заповеди за съгласие“) и ще провежда системен мониторинг за изпълнението на такива заповеди. Когато организациите не ги изпълняват, ФТК може да сезира компетентен съд, с цел налагането на граждански санкции и други средства за правна защита, включително за причинени вреди в резултат на неправомерно поведение. Като алтернативна мярка ФТК може да иска налагане на временна или постоянна съдебна възбрана или други средства за правна защита от федерален съд. Всяка заповед за съгласие с адресат организация — участник в Щита за личните данни, ще включва разпоредби за доброволно докладване (51), а от организациите ще се изисква да обявяват публично всички релевантни и свързани с Щита за личните данни части от евентуален доклад или оценка за спазването, представени на ФТК. И накрая, ФТК ще поддържа онлайн списък на дружествата, по отношение на които са били издадени заповеди от ФТК или съдебни разпореждания по казуси, свързани с Щита за личните данни.

(56)

На шесто място, като механизъм за защита, който е последна възможност, в случай че жалбата на лицето не е получила удовлетворително решение посредством останалите налични средства за правна защита, субектът на данни от ЕС може да поиска въпросът да бъде решен чрез правно обвързващ арбитраж от „Специалната група по Щита за личните данни“ (Privacy Shield Panel). Организациите трябва да информират физическите лица за възможността им при определени условия да използват правно обвързващ арбитраж, както и са длъжни да реагират, след като дадено физическо лице е използвало тази възможност, като е изпратило уведомление на съответната организация (52).

(57)

Групата включва резерв от най-малко 20 арбитри, определени от Министерството на търговията и от Комисията въз основа на тяхната независимост, почтеност и опита им със законодателството на САЩ в областта на неприкосновеността на личния живот и законодателството на ЕС в областта на защитата на данните. За всеки индивидуален спор страните ще избират от тази група състав от един или трима (53) арбитри. Производството ще се ръководи от стандартни правила за арбитраж, които предстои да бъдат договорени между Министерството на търговията и Комисията. Тези правила ще допълнят вече приключената рамка, която съдържа няколко характеристики, подсилващи достъпността на този механизъм за субектите на данни в ЕС: i) при подготвянето на иск пред панела субектът на данни може да получи съдействие от своя национален ОЗД; ii) Тъй като арбитражът ще се провежда в Съединените американски щати, субектите на данни от ЕС могат да изберат да участват чрез видео- или телефонна конферентна връзка, която ще се осигурява безплатно за лицата. iii) въпреки, че езикът, използван в хода на арбитража, е по правило английски, устният превод в хода на арбитражното изслушване обикновено (54) ще бъде осигурен въз основа на мотивирано искане от страна на субекта на данните без разходи; iv) И накрая, докато всяка от страните трябва да поеме за своя сметка разходите за хонорара на своя адвокат, ако се представлява от такъв пред арбитражния състав, Министерството на търговията ще създаде фонд, който ще се захранва от годишни вноски на организациите — участници в Щита за личните данни, от който ще бъдат покривани допустимите разходи по арбитражната процедура до един максимален размер, който ще бъде определен от органите на САЩ в консултация с Комисията.

(58)

Специалната група по Щита за личните данни ще има правомощия да предписва „специфични за конкретния случай непарични безпристрастни мерки“ (55), необходими като корективно действие срещу неспазването на Принципите. Въпреки че при постановяване на решението си специалната група ще взема предвид другите средства за правна защита, получени в рамките на механизмите съгласно Щита за личните данни, физическите лица все пак могат да използват арбитраж, ако счетат тези средства за недостатъчни. Това ще позволи на субектите на данни от ЕС да инициират арбитражно дело във всички случаи, когато в резултат от действие или бездействие от страна на компетентните органи на САЩ (например ФТК) не са получили удовлетворително решение по жалбата. Не може да се инициира арбитражно дело, ако ОЗД разполага със законови правомощия да разреши въпросната жалба срещу самосертифицирано дружество в САЩ, по-специално когато организацията е задължена да съдейства и да спазва препоръките на ОЗД във връзка с обработването на данни за човешки ресурси, събрани в контекста на трудово правоотношение, или доброволно се е ангажирала да направи това.

(59)

Седмо, когато една организация не спазва ангажимента си да съблюдава Принципите и обявената от нея политика в областта на неприкосновеността на личния живот, по силата на законодателството на отделните щати в САЩ може да има допълнителни възможности за съдебна защита, които осигуряват средства за правна защита при причинени вреди и в случаи на въвеждане в заблуда с цел измама, нелоялни или измамни действия или практики, или нарушаване на договор.

(60)

Освен това, когато при получаване на искане от субект на данни на ЕС ОЗР счете, че прехвърлянето на лични данни на физическо лице към организация в САЩ се извършва в нарушение на законодателството на ЕС за защита на данните, включително когато установеният в ЕС износител на данни има причини да смята, че организацията не се съобразява с Принципите, той може също така да упражнява правомощията си по отношение на износителя на данни и, ако е необходимо, да разпореди спиране на прехвърлянето на данни.

(61)

Предвид информацията в настоящия раздел Комисията счита, че Принципите, публикувани от Министерството на търговията на САЩ, като цяло осигуряват степен на защита на личните данни, която е равностойна по същество на гарантираното от основните принципи, установени в Директива 95/46/ЕО.

(62)

В допълнение към това ефективното прилагане на Принципите на неприкосновеност на личния живот е гарантирано от задълженията за прозрачност и управлението на Щита за личните данни от страна на Министерството на търговията.

(63)

Освен това Комисията счита, че взети заедно механизмите за надзор и защита, предвидени съгласно Щита за личните данни, позволяват нарушенията на Принципите на неприкосновеност на личния живот от организациите — участници в Щита за личните данни, да бъдат установявани и наказвани на практика и осигуряват средства за правна защита на субектите на данни, с възможност за достъп до свързаните с тях лични данни и евентуалното коригиране или заличаване на тези данни.

3.   ДОСТЪП И ИЗПОЛЗВАНЕ НА ЛИЧНИ ДАННИ, ПРЕДАВАНИ СЪГЛАСНО ЩИТА ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ, ОТ ПУБЛИЧНИТЕ ОРГАНИ НА САЩ

(64)

Съгласно приложение II, точка I.5, спазването на Принципите се ограничава до степента, в която това е необходимо, за да бъдат спазени изискванията в областта на националната сигурност, обществения интерес или правоприлагането.

(65)

Комисията направи оценка на ограниченията и гаранциите, които са предвидени в правото на САЩ във връзка с достъпа и използването на лични данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ, от публичните органи на САЩ за целите на националната сигурност, правоприлагането и за други цели от обществен интерес. Освен това правителството на САЩ, чрез Службата на директора на Националното разузнаване (Office of the Director of National Intelligence (ODNI) (56), предостави на Комисията подробни писмени изявления и ангажименти, които са поместени в приложение VI към настоящото решение. С писмо, подписано от Държавния секретар и приложено като приложение III към настоящото решение, правителството на САЩ се ангажира също така да създаде нов механизъм за надзор относно намесата за целите на националната сигурност — омбудсман към Щита за личните данни, който е независим от разузнавателните структури. И накрая, в писмено изявление на Министерството на правосъдието на САЩ, поместено в приложение VII към настоящото решение, са разгледани ограниченията и гаранциите, които се прилагат спрямо достъпа и използването на данни от страна на публичните органи за целите на правоприлагането и за други цели от обществен интерес. За да се повиши прозрачността и да се отрази правният характер на тези ангажименти, всеки от посочените и приложени към настоящото решение документи ще бъде публикуван във Федералния регистър на САЩ.

(66)

По-долу са разгледани по-подробно констатациите на Комисията относно ограниченията спрямо достъпа и използването от страна на публичните органи на САЩ на лични данни, предадени от Европейския съюз към Съединените американски щати, и наличието на ефективна правна защита.

3.1.   Достъп и използване от публични органи на САЩ за целите на националната сигурност

(67)

Анализът на Комисията показва, че в правото на САЩ се съдържат редица ограничения спрямо достъпа и използването за целите на националната сигурност на лични данни, които се предават съгласно Щита за личните данни в отношенията между ЕС и САЩ, както и механизми за надзор и правна защита, които осигуряват достатъчно гаранции за ефективната защита на тези данни срещу незаконна намеса и рискове от злоупотреби (57). От 2013 г. насам, когато Комисията публикува своите две съобщения (вж. съображение 7), тази правна рамка е била значително подсилена, както е описано по-долу.

3.1.1.   Ограничения

(68)

Съгласно конституцията на САЩ гарантирането на националната сигурност е в правомощията на Президента, в качеството му на върховен главнокомандващ, върховен изпълнителен орган, а по отношение на външното разузнаване — и ръководител на външната политика на САЩ (58). Докато Конгресът има правомощията да налага ограничения и е правил това по различни въпроси, в обхвата на така наложените граници Президентът може да направлява дейността на разузнавателните структури на САЩ, по-специално чрез издаване на изпълнителни декрети и президентски директиви. Това се прилага, разбира се, също и за онези области, в които не се осъществява ръководство от Конгреса. Понастоящем двата главни правни инструмента в тази връзка са Изпълнителен декрет 12333 (59) и Президентска изпълнителна директива 28.

(69)

Президентска изпълнителна директива 28 (ПИД-28), издадена на 17 януари 2014 г., налага редица ограничения за операциите по „радиоелектронно разузнаване“ (60). Президентските директиви имат задължителна сила за разузнавателните органи на САЩ (61) и остават в сила и след промени в администрацията на САЩ (62). ПИД-28 е особено важна за лицата, които не са американски граждани, включително за субектите на данни от ЕС. Наред с останалото, в нея се предвижда, че:

а)

събирането на радиоелектронна разузнавателна информация трябва да се основава на законови разпоредби или на разрешение от Президента и трябва да се осъществява съобразно с Конституцията на САЩ (по-специално четвъртата поправка) и правото на САЩ;

б)

всички лица следва да се третират по достоен начин и с уважение, независимо от тяхното гражданство или местопребиваването им;

в)

всички лица имат законни интереси за неприкосновеност на личния живот при обработването на тяхна лична информация;

г)

неприкосновеността на личния живот и гражданските свободи следва да бъдат неразделна част от съображенията при планирането на дейностите на радиоелектронното разузнаване на САЩ;

д)

следователно дейностите на радиоелектронното разузнаване на САЩ трябва да включват подходящи гаранции за личната информация на всички физически лица, независимо от тяхното гражданство или местопребиваването им.

(70)

В ПИД-28 е указано, че радиоелектронна разузнавателна информация може да се събира единствено с цел разузнаването или контраразузнаването да спомага за изпълнението на задания, изпълнявани от национални и министерски органи, но не и с някаква друга цел (напр. за осигуряване на конкурентно предимство на американски дружества). Съгласно тези писмени изявления разузнавателните структури „следва да изискват събирането да бъде съсредоточено върху конкретни разузнавателни обекти или теми, доколкото това е практически възможно, като за целта се използват разграничителни критерии (напр. конкретни технически средства, условия за подбор и идентификатори).“ (63) Освен това в писмените изявления на ODNI се дават уверения, че вземането на решенията относно „практическата осъществимост“ не се оставя на отделни служители на разузнаването, а е предмет на политики и процедури, които различните разузнавателни структури (агенции) на САЩ трябва да въведат в изпълнение на ПИД-28 (64). Също така търсенето и определянето на подходящи критерии за подбор се осъществяват в обхвата на цялостната Рамка на приоритетите в националното разузнаване (National Intelligence Priorities Framework) (NIPF), с която се гарантира, че приоритетите в разузнаването се определят от отговорни за политическите решения лица на високо равнище и редовно се преразглеждат, с цел да може да се реагира на реалните заплахи за националната сигурност, като се отчитат възможните рискове, включително рисковете за неприкосновеността на личния живот (65). На тази основа служителите в агенциите търсят и определят конкретни условия за подбор, с които се очаква да бъде събирана разузнавателна информация, отговаряща на приоритетите (66). Критериите за подбор трябва редовно да бъдат преразглеждани, за да се проверява дали чрез тях все още се осигурява ценна разузнавателна информация в съответствие с приоритетите (67).

(71)

Освен това предвидените в ПИБ-28 изисквания събирането на разузнавателна информация винаги (68) да бъде „съобразено с конкретния случай, доколкото това е практически възможно“ и разузнавателните структури да дават предимство на наличието на друга информация и подходящи и осъществими алтернативи, отразяват общото правило (69) за определяне на приоритетите на целевото събиране на масиви от данни пред масовото събиране на масиви от данни. В съответствие с гаранциите, предоставени от ODNI, те гарантират по-специално, че събирането на масиви от данни не е нито „масово“, нито „безогледно“, и че изключението не отменя правилото (70).

(72)

Въпреки че в ПИД-28 се пояснява, че при определени обстоятелства понякога се налага разузнавателните структури да извършват събиране на масиви от данни при радиоелектронното разузнаване, например за да бъдат идентифицирани нови или възникващи заплахи, в директивата се дават указания на тези структури да отдават приоритет на алтернативни възможности, които биха позволили провеждането на целево радиоелектронно разузнаване (71). От това следва, че събирането на масиви от данни ще се осъществява само когато целенасоченото събиране чрез използване на разграничителни критерии — т.е. идентификатор, свързан с конкретния обект на разузнаване (като например негов електронен адрес или телефонен номер) — не е възможно „по технически или оперативни съображения“ (72). Това се прилага както за начина, по който се събира радиоелектронна разузнавателна информация, така и за това, което реално се събира (72).

(73)

Съгласно писмените изявления на ODNI, дори когато разузнавателните структури не могат да използват конкретни идентификатори за целево събиране, те ще се стремят към ограничаване на събирането „във възможно най-голяма степен“. За да се гарантира това, че тя „прилагат филтри и други технически средства за съсредоточаване на събирането до онези съоръжения, за които има вероятност да съдържат комуникации със стойност за външното разузнаване“ (и следователно ще отговарят на изискванията, формулирани от създателите на политики на САЩ съгласно процеса, обяснен в по-горе в съображение 70). Вследствие на това към събирането на масиви от данни ще се подходи по поне два начина: Първо, то винаги ще се отнася до конкретни цели на външното разузнаване (напр. за придобиване на радиоелектронна разузнавателна информация относно дейностите на терористична група, която действа в даден регион) и ще бъде съсредоточено върху съобщения, които имат такава връзка. Съгласно гаранцията, осигурена от ODNI, това е отразено във факта, че „радиоелектронните разузнавателни дейности на Съединените американски щати САЩ обхващат само много малка част от комуникациите, преминаващи по интернет“ (73). Второ, в писмените изявления на ODNI е обяснено, че филтрите и другите технически средства ще бъдат проектирани така, че събирането да е концентрирано „възможно най-точно“, за да се гарантира, че ще се сведе до минимум количеството на събираната „нерелевантна информация“.

(74)

И накрая, дори когато Съединените американски щати счетат за необходимо да събират обща радиоелектронна разузнавателна информация при условията, посочени в съображения 70—73, ПИД-28 ограничава използването на такава информация до един конкретен списък с шест цели на националната сигурност, за да бъдат защитени неприкосновеността на личния живот и гражданските свободи на всички лица, независимо от тяхното гражданство и местопребиваване (74). Тези разрешени цели включват мерки за откриване и противодействие на заплахи, произтичащи от шпионска дейност, тероризъм, оръжия за масово унищожение, заплахи за киберсигурността, отправени към въоръжените сили или военни служители, както и заплахи от презгранична престъпна дейност, свързана с другите пет цели, като поне веднъж годишно се извършва преглед на тези цели. Съгласно писмените изявления на правителството на САЩ разузнавателните структури са укрепили своите аналитични практики и стандарти за първичен анализ на непотвърдена радиоелектронна разузнавателна информация с цел да отговорят на тези изисквания; използването на целеви първични анализи „е гаранция, че за задълбочено проучване от анализаторите се предава само тази информация, за която може да се счита, че има потенциална разузнавателна стойност“ (75).

(75)

Тези ограничения са особено релевантни за предаването на лични данни съгласно Щита за личните данни в отношенията между ЕС и САЩ, по-специално когато събирането на лични данни се осъществява извън територията на Съединените американски щати, включително по време на преноса им по трансатлантическите кабелопроводи от Съюза до САЩ. Както беше потвърдено от органите на САЩ в писмените изявления на ODNI, посочените в тях ограничения и гаранции, включително по силата на ПИД-28, се прилагат за този вид събиране (76).

(76)

Въпреки че не са формулирани със същата правна терминология, тези принципи отразяват същността на принципите на необходимост и пропорционалност. Отдава се ясен приоритет на целевото събиране, докато събирането на масиви от данни е ограничено до (изключителни) случаи, когато целевото не е възможно по технически или оперативни причини. Дори когато не може да се избегне събиране на масиви от данни, последващото „използване“ на такива данни чрез достъп е строго ограничено до конкретни правомерни цели на националната сигурност (77).

(77)

В качеството на директива издадена от Президента като главен изпълнителен орган, тези изисквания са обвързващи за всички разузнавателни структури и са въведени с допълнителни правила и процедури на агенциите, с които общите принципи са транспонирани в конкретни указания за всекидневната работа. Освен това Конгресът, за който указ ПИД-28 няма обвързваща сила, също е предприел стъпки за гарантиране, че събирането и достъпът до лични данни в Съединените американски щати стават целенасочено, а не се извършват на „общо основание“.

(78)

От наличната информация, включително писмените изявления, получени от правителството на САЩ, следва че след като данните са предадени на организации, установени в Съединените щати и самосертифицирани съгласно Щита за личните данни в отношенията между ЕС и САЩ, разузнавателните агенции на САЩ могат да поискат лични данни само (78) когато техните искания са съобразени със Закона за упражняване на надзор върху външното разузнаване (ЗУНВР) (Foreign Intelligence Surveillance Act (FISA)) или са отправени от Федералното бюро за разследвания (ФБР) въз основа на т.нар. писмо във връзка с националната сигурност (ПНС) (National Security Letter (NSL) (79). Съгласно ЗУНВР има няколко правни основания, които могат да бъдат използвани за събиране (и последващо обработване) на лични данни на субекти на данни от ЕС, предадени съгласно Щита за личните данни в отношенията между ЕС и САЩ. Освен раздел 402 от ЗУНВР (80), отнасящ се за традиционното индивидуализирано електронно наблюдение, и раздел 402 от ЗУНВР (81), отнасящ се за инсталирането на електронни устройства за регистриране или проследяване, двата главни инструмента са раздел 501 от ЗУНВР (предишен раздел 215 от Закона за обединяване и укрепване на САЩ (U.S. PATRIOT ACT) и раздел 702 от ЗУНВР (82).

(79)

В тази връзка със Закона за свободата в САЩ (USA FREEDOM Act), който влезе с сила на 2 юни 2015 г., се забранява общо събиране на данни на основание раздел 402 от ЗНЧРС (електронни устройства за регистриране или проследяване), раздел 501 от ЗНЧРС (предишен: раздел 215 от Закона за обединяване и укрепване на САЩ (U.S. PATRIOT ACT)) (83) и с използване на писма във връзка с националната сигурност (ПНС), а вместо това се определя изискване за използване на конкретни „критерии за избор“ (84).

(80)

Въпреки че в Закона за упражняване на надзор върху външното разузнаване (ЗУНВР) се съдържат допълнителни правни основания за разрешаване на провеждането на дейности на националното разузнаване, включително на радиоелектронното разузнаване, оценката на Комисията показва, че доколкото се отнася за лични данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ, тези правни основания също така и ограничават намесата на органите на публична власт в целенасоченото събиране и достъп.

(81)

Това е ясно що се отнася до традиционното индивидуализирано електронно наблюдение съгласно раздел 104 от ЗУНВР (85). Доколкото се отнася до раздел 702 от ЗУНВР, в който са предвидени основанията за две важни разузнавателни програми, по които работят разузнавателните агенции на САЩ (PRISM и UPSTREAM), търсенията се извършват целево чрез използване на индивидуални критерии за подбор, които служат за идентифициране на конкретни технически средства за връзка, като например адрес на електронна поща или телефонен номер на целта, но не и ключови думи, нито дори имена на лицата, към които е насочено търсенето (86). Следователно, както отбелязва Надзорният съвет по въпросите на неприкосновеността на личния живот и гражданските свободи (Privacy and Civil Liberties Oversight Board (PCLOB), наблюденията по раздел 702 „се изразяват изцяло в целенасочено разследване на конкретни лица [които не са американски граждани], за които е направено индивидуализирано определяне“ (87). Поради клаузата за изтичане на срока на действие, през 2017 г. ще трябва да се направи преглед на раздел 702 от ЗУНВР, като по същото време Комисията ще трябва отново да направи преценка относно гаранциите, които са налице за субектите на данни от ЕС.

(82)

Освен това в своите писмени изявления правителството на САЩ даде на Европейската комисия изрични уверения, че разузнавателните структури на САЩ „не извършват безразборно наблюдение на който и да било, включително на обикновени европейски граждани“ (88). По отношение на личните данни, събирани на територията на Съединените щати, това изявление е придружено с емпирични доказателства, които показват, че исканията за достъп чрез писма във връзка с националната сигурност (ПНС) и по силата на ЗУНВР, поотделно и взети заедно, се отнасят само за относително малък брой цели, в сравнение с целия поток от информация по интернет (89).

(83)

По отношение на достъпа до събраните данни и сигурността на данните в ПИД-28 е установено изискване достъпът да „бъде ограничен само до упълномощения персонал, за който е необходимо да разполага с информацията, за да осъществи мисията си“ и личната информация „да се обработва и съхранява при условия, осигуряващи адекватна защита и възпрепятстващи достъпа на неоправомощени лица, които са съвместими с гаранциите, приложими за чувствителната информация“. Разузнавателният персонал преминава през съответно подходящо обучение относно установените в ПИД-28 принципи (90).

(84)

И накрая, по отношение на съхранението и последващото разпространение на лични данни на субекти на данни от ЕС, събрани от разузнавателните органи на САЩ, в ПИД-28 се посочва, че всички лица (включително лицата, които не са граждани на САЩ) следва да бъдат третирани по достоен начин и с уважение, че всички лица имат легитимни интереси за неприкосновеност на личния живот при обработването на тяхна лична информация, и че следователно разузнавателните структури трябва да възприемат политики, осигуряващи подходящи гаранции за такива данни, „които са разумно проектирани да свеждат до минимум [тяхното] разпространение[то] и запазване[то]“ (91).

(85)

Правителството на САЩ поясни, че това изискване за разумност означава, че не е необходимо разузнавателните структури да предприемат „всички теоретично възможни мерки“, а трябва да „установяват баланс между усилията си за защита на легитимните интереси, касаещи неприкосновеността на личния живот и гражданските свободи, и практическите потребности при дейностите на радиоелектронното разузнаване“ (92). В това отношение физическите лица, които не са граждани на САЩ, ще бъдат третирани по същия начин както американските граждани, въз основа на процедури, одобрени от министъра на правосъдието (93).

(86)

Съгласно тези правила запазването обикновено е ограничено до максимален срок от пет години, освен ако в закон се посочва конкретно, че удължаването на срока на запазване е в интерес на националната сигурност или когато директорът на националното разузнаване е приел изрично решение в същия смисъл след внимателна преценка на съображенията за неприкосновеността на личния живот и след отчитане на становищата на служителя по защита на гражданските свободи към ODNI и на служителите на агенцията, отговарящи за неприкосновеността на личния живот и гражданските свободи (94). Разпространението се ограничава до случаите, когато информацията е релевантна за основната цел, за която е събрана, и поради това отговаря на условие за извършване на разрешено разузнаване или правоприлагане (95).

(87)

Съгласно уверенията, дадени от правителството на САЩ, личната информация не може да бъде разпространявана просто защото съответното лице не е гражданин на САЩ и „радиоелектронните разузнавателни данни относно рутинни дейности на чуждестранно лице не могат да се считат за разузнавателни данни, които могат да се разпространяват или запазват трайно само по силата на този факт, освен ако по друг начин отговарят на изискване за разрешено разузнаване“ (96).

(88)

Поради това Комисията стига до заключението, че в Съединените американски щати има установени правила, предназначени да ограничат всяка намеса за целите на националната сигурност в основните права на физическите лица, чиито лични данни се предават от Съюза към Съединените американски щати съгласно Щита за личните данни в отношенията между ЕС и САЩ, като тази намеса се ограничава до строго необходимото за постигането на посочената легитимна цел.

(89)

Както е видно от горепосочения анализ показа, законодателството на САЩ гарантира, че мерки за наблюдение ще се използват само за получаване на външноразузнавателна информация — което представлява легитимна цел на политиката (97), като бъдат съобразени във възможно най-голяма степен. По-конкретно, събиране на масиви от данни ще се разрешава само по изключение, когато не е осъществимо целенасочено събиране, и то ще бъде придружено от допълнителни гаранции за свеждане до минимум на количеството на събираните данни и последващия достъп (които трябва да бъдат целеви и да бъдат разрешени само за конкретни цели).

(90)

Според оценката на Комисията това е в съответствие със стандарта, определен от Съда в решението по делото Schrems — в законодателство, при което има намеса спрямо основните права, гарантирани от членове 7 и 8 от Хартата, задължително се налагат „минимални защити“ (98) и „не се ограничава до строго необходимото правна уредба, която общо разрешава съхраняването на всички лични данни на всички лица, чиито данни са били прехвърлени от Съюза към Съединените щати, без да въвежда никакво разграничаване, ограничаване или изключение с оглед на преследваната цел и без да предвижда обективен критерий, позволяващ да се ограничи достъпът на публичните органи до данните и тяхното последващо използване за конкретни цели, които са строго ограничени и могат да обосноват намесата, каквато съдържат достъпът и използването на тези данни.“ (99). Няма да има също така неограничено събиране и съхранение на данни за всички лица без ограничение, нито неограничен достъп. Освен това предоставените на Комисията писмени изявления, включително уверението, че радиоелектронните разузнавателни дейности на Съединените американски щати обхващат само много малка част от комуникациите, преминаващи по интернет, изключват вероятността, че ще има „общ“ достъп до съдържанието на електронните съобщения (100).

3.2.1.   Ефективна правна защита

(91)

Комисията направи оценка на съществуващите механизми за надзор в Съединените американски щати по отношение на евентуална намеса на разузнавателните органи на САЩ в личните данни, които се предават на Съединените американски щати, и на наличните възможности за субектите на данни от ЕС да търсят индивидуална правна защита.

Надзор

(92)

Разузнавателните структури на САЩ подлежат на различни механизми за преглед и надзор, които попадат в три държавни подразделения. Това включва вътрешни и външни органи в рамките на изпълнителната власт, редица комисии на Конгреса, както и съдебен надзор, по-специално във връзка с дейности по Закона за упражняване на надзор върху външното разузнаване.

(93)

На първо място разузнавателните дейности на органите на САЩ са под строгия надзор на изпълнителната власт.

(94)

Съгласно ПИД-28, раздел 4, буква а), подточка iv), политиките и процедурите на разузнавателните структури „следва да включват подходящи мерки за улесняване на надзора върху прилагането на гаранциите, предвидени за защита на личната информация“; за тези мерки трябва да е предвидено периодично одитиране (101).

(95)

За тази цел са установени множество нива на надзор, включително служители по въпросите на гражданските свободи или неприкосновеността на личния живот, главни инспектори, Службата за гражданските свободи и неприкосновеността на личния живот към ODNI, Надзорният съвет по въпросите на неприкосновеността на личния живот и гражданските свободи (PCLOB) и Надзорният съвет по въпросите на разузнаването към Президента. Тези надзорни органи се подпомагат от служители, отговарящи за спазването на нормативната уредба, във всички служби (102).

(96)

Както беше пояснено от правителството на САЩ (103), служители по въпросите на гражданските свободи или неприкосновеността на личния живот с надзорни функции работят в различни министерства с отговорности в областта на разузнаването и в разузнавателните агенции (104). Въпреки че конкретните правомощия на тези служители може да се различават в известна степен в зависимост от законното основание за оправомощаването им, обикновено в тях се включва надзорът на процедурите с цел да се гарантира, че съответното министерство/агенция спазва по адекватен начин изискванията за неприкосновеност на личния живот и гражданските свободи и е въвело подходящи процедури за разглеждане на жалби от лица, които са счели, че неприкосновеността на личния им живот или гражданските им свободи са били нарушени (а в някои случаи, като например ODNI, могат да имат правомощия сами да провеждат разследвания по жалби (105)). От своя страна ръководителят на министерството/агенцията трябва да осигури възможност служителят да получава цялата информация и да има осигурен достъп до всички материали, необходими за изпълнението на функциите му. Служителите по въпросите на гражданските свободи и неприкосновеността на личния живот периодично докладват пред Конгреса и Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, включително за броя и характера на получените в министерството/агенцията жалби и обобщение на разпорежданията по тези жалби, проведените проверки и разследвания и последиците от дейностите, извършени от служителя (106). Според оценката от страна на националните органи за защита на данните, вътрешният надзор, упражняван от граждански свободи или служителите, отговарящи за личните данни, могат да се считат за „достатъчно надеждни“, въпреки че според тях те не отговарят на необходимото ниво на независимост (107).

(97)

В допълнение към това всяка разузнавателна структура има свой главен инспектор, в чиито отговорности се включва наред с останалото и упражняването на надзор върху разузнавателните дейности (108). В рамките на ODNI това е Службата на главния инспектор, която разполага с всеобхватна компетентност, обхващаща всички разузнавателни структури, и с правомощия да провежда разследвания въз основа на жалби или на информация относно обвинения в незаконни действия или злоупотреба с власт във връзка с програми и дейности на ODNI и/или на разузнавателните структури (109). По закон главните инспектори са структури с независим (110) статут, които отговарят за провеждането на одити и разследвания във връзка с програмите и операциите, изпълнявани от съответната агенция за целите на националното разузнаване, включително за злоупотреби или закононарушения (111). Те имат правомощия за достъп до всички записи, доклади, одити, прегледи, документи, писмени материали, препоръки или други съответни материали, ако е необходимо чрез призоваване, и могат да събират показания (112). Докато главните инспектори могат да издават само препоръки за корективни мерки с необвързващ характер, техните доклади, включително относно последващите действия (или липсата на такива), се оповестяват публично и освен това се изпращат на Конгреса, който на тази основа може да упражни надзорните си функции (113).

(98)

Освен това на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи (НСВНЛЖГС), който е независима агенция (114) в рамките на изпълнителната власт, в чийто състав влизат членове, назначени от Президента с одобрението на Сената (115), са поверени отговорности в сферата на политиките в областта на противодействието срещу тероризма и тяхното прилагане, с цел защита на неприкосновеността на личния живот и гражданските свободи. За тези цели той има достъп до всички съответни записи, доклади, одити, прегледи, документи, писмени материали и препоръки на агенциите, включително до класифицирана информация, може да провежда изслушвания и да събира устни свидетелски показания. Той получава докладите на служителите по въпросите на гражданските свободи и неприкосновеността на личния живот в няколко федерални министерства/агенции (116), може да издава препоръки за тях и докладва редовно пред комисиите в Конгреса и пред президента (117). PCLOB е натоварен също със задачата да изготвя в рамките на мандата си доклад за оценка на изпълнението на ПИД-28.

(99)

И накрая, разгледаните по-горе надзорни механизми се допълват от Надзорния съвет по въпросите на разузнаването (Intelligence Oversight Board), създаден в рамките на Консултативния съвет по въпросите на разузнаването към Президента (President's Intelligence Advisory Board), който следи за спазването на конституцията и всички приложими правила от страна на органите на САЩ, работещи в областта на разузнаването.

(100)

За улеснение на надзора разузнавателните структури се насърчават да проектират информационни системи, които да позволяват наблюдение, запис и преглед на запитванията или другите видове търсене на лична информация (118). Надзорните органи и органите по спазването на нормативната уредба извършват периодични проверки на практиките на разузнавателните структури в областта на защитата на личната информация, съдържаща се в радиоелектронните разузнавателни данни, и за спазването на процедурите (119).

(101)

В допълнение тези надзорни функции са подсилени от изискванията за изготвяне на подробни доклади при случаи на неспазване на задълженията. По-специално процедурите на агенциите трябва да гарантират, че при възникване на значим проблем със спазването във връзка със събрана чрез радиоелектронно разузнаване лична информация на някое физическо лице, независимо от неговото гражданство, този проблем ще бъде своевременно докладван на ръководителя на разузнавателната структура, който от своя страна ще уведоми за това директора на Националното разузнаване, който съгласно ПИД-28 определя дали са необходими корективни мерки (120). Освен това съгласно Изпълнителен декрет 12333 е определено изискване всички разузнавателни структури да докладват на Надзорния съвет по въпросите на разузнаването относно случаите на неспазване (121). С тези механизми се гарантира, че проблемите ще бъдат решавани на най-високо равнище в разузнавателните структури. Когато се касае за лице, което не е американски гражданин, директорът на националното разузнаване, в консултация с държавния секретар и с ръководителя на министерството, департамента или агенцията, които са уведомили за случая, определя дали трябва да бъдат предприети стъпки за уведомяване на съответното чуждо правителство, като се спазват изискванията относно защитата на източниците и методите и защитата на служителите на САЩ (122).

(102)

На второ място, в допълнение към тези надзорни механизми в рамките на изпълнителната власт, Конгресът на САЩ, и по-специално комисията по въпросите на разузнаването и правната комисия към Камарата на представителите и Сената (House and Senate Intelligence and Judiciary Committees), имат надзорни отговорности по отношение на всички дейности на САЩ в областта на разузнаването, включително радиоелектронното разузнаване на САЩ. Съгласно Закона за националната сигурност (National Security Act) „Президентът осигурява комисиите по въпросите на разузнаването в Конгреса да бъдат напълно и текущо информирани относно разузнавателните дейности на Съединените американски щати, включително за предвиждани значими разузнавателни дейности, както това се изисква съгласно настоящата подглава.“ (123). Също така „Президентът осигурява на комисиите по въпросите на разузнаването в Конгреса да бъде докладвано незабавно за всяка незаконна разузнавателна дейност, както и за всички корективни мерки, които са били взети или се планират във връзка с такава незаконна дейност.“ (124). Членовете на тези комисии имат достъп до класифицирана информация, както и до разузнавателните методи и програми (125).

(103)

В по-новите закони се разширяват и прецизират изискванията за докладване към разузнавателните структури, съответните главни инспектори и Министъра на правосъдието. Например в ЗУНВР се съдържа изискване към Министъра на правосъдието да „информира в пълна степен“ комисията по въпросите на разузнаването и правната комисия към Сената и Камарата на представителите относно дейностите на правителството съгласно определени раздели от ЗУНВР (126). Също така от правителството се изисква да предоставя на комисиите в Конгреса копия на „всички решения, разпореждания или становища на Съда по надзора върху външното разузнаване или документи, които включват значими конструкции или тълкувания“ на разпоредбите на ЗУНВР. По-специално във връзка с наблюдението съгласно раздел 702 от ЗУНВР надзорът се осъществява посредством изисквани по закон доклади до комисията по въпросите на разузнаването и правната комисия, както и чести брифиниги и изслушвания. Към тях се включват шестмесечният доклад на Министъра на правосъдието, в който описва как е бил използван раздел 702 от ЗУНВР, с придружаващите го документи, включително по-специално докладите на Министерството на правосъдието и на ODNI за спазването на нормативната уредба, с описание на евентуални случаи на неспазване (127), както и отделна шестмесечна оценка от Министъра на правосъдието и директора на Националното разузнаване, в която се описва спазването на процедурите за целево събиране и свеждане до минимум, включително спазването на процедурите, с които се цели да се гарантира, че събирането се извършва със законосъобразна разузнавателна цел (128). Също така в Конгреса се получават докладите от главните инспектори, които имат правомощия да извършват оценка на спазването от страна на агенциите на процедурите за целево събиране и свеждане до минимум и на насоките на Министъра на правосъдието.

(104)

Съгласно Закона за свободата в САЩ (USA FREEDOM Act) от 2015 г. правителството е задължено всяка година да оповестява пред Конгреса (и обществеността) наред с останалото и броя на поисканите и получените разпореждания и указания съгласно ЗНЧРС, както и изчисления за броя на лицата — граждани на САЩ, и лицата, които не са американски граждани, които са били цел на наблюдение (129). Също така в закона се предвижда изискване за допълнително докладване пред обществеността относно броя на издадените писма във връзка с националната сигурност (ПНС), отново по отношение на лица — граждани на САЩ, и лица, които не са американски граждани (като същевременно се предвижда получателите на разпореждания и сертифицирания съгласно ЗНЧРС, както и на искания за ПНС, да публикуват доклади за прозрачност при определени условия) (130).

(105)

На трето място за разузнавателните дейности на публичните органи на САЩ на основание ЗНЧРС се предвижда разглеждане, а в някои случаи предварително разрешение на мерките от Съда за наблюдение на чуждите разузнавателни служби (СНЧРС)  (131), от независим правораздавателен орган (132). чиито решения подлежат на обжалване пред Апелативния съд за наблюдение на чуждите разузнавателни служби (АСНЧРС) (133). и накрая от Върховния съд на Съединените щати (134). За целите на предварителното разрешение органите, които отправят искането (ФБР, АНС, ЦРУ и др.), трябва да представят проектно заявление пред юристите на Департамента по национална сигурност към Министерството на правосъдието, които го разглеждат подробно и ако е необходимо, изискват допълнителна информация (135). След като заявлението бъде финализирано, то трябва да бъде одобрено от Министъра на правосъдието, Заместник министъра на правосъдието или Заместник министъра на правосъдието по въпросите на националната сигурност (136). След това Министерството на правосъдието подава заявлението в Съда за наблюдение на чуждите разузнавателни служби, който го разглежда и се произнася с предварително определение относно това как да се процедира (137). Когато се провежда изслушване, Съдът за наблюдение на чуждите разузнавателни служби има правомощия да взема показания, което може да включва и експертно мнение (138).

(106)

Дейността на Съда за наблюдение на чуждите разузнавателни служби и на Апелативния съд за наблюдение на чуждите разузнавателни служби се подпомага от постоянна работна група от пет лица с експертни знания и опит в областта на националната сигурност и в областта на гражданските свободи (139). От тази група съдът определя едно лице, което изпълнява функциите на amicus curiae и съдейства за разглеждането на всички заявления за разпореждане или разглеждане, които според становището на съда представляват ново или съществено тълкувание на закон, освен ако съдът счете, че е уместно да не определя такова лице (140). По-специално с това се гарантира, че съображенията за неприкосновеността на личния живот се отразяват по подходящ начин при преценката на съда. Също така съдът може да определи функциите на amicus curiae да изпълнява лице или организация, включително като предоставя техническа експертиза, когато бъде счетено за необходимо, или по предложение, да даде разрешение на дадено лице или организация да подаде подготвени от приятел на съда заключения (amicus curiae) (141).

(107)

По отношение на двете правни основания за осъществяване на наблюдение съгласно ЗУНВР, които са най-важни за предаването на данни съгласно Щита за личните данни в отношенията между ЕС и САЩ, надзорът, упражняван от Съда по надзора върху външното разузнаване, е по-различен.

(108)

Съгласно раздел 501 от ЗУНВР (142), с който се разрешава събиране на „всякакви материални вещи (вкл. книги, записи, хартиени носители, документи и други вещи)“, молбата до Съда по надзора върху външното разузнаване трябва да включва изложение на фактите, от което да личи, че са налице разумни основания да се счита, че материалните вещи, за които се иска разрешението, са релевантни за разрешено разследване (различно от оценката на заплаха), провеждано с цел да бъде получена външноразузнавателна информация, която не се отнася за лице—гражданин на САЩ, или с цел защита срещу международния тероризъм или секретни разузнавателни дейности. Също така в молбата трябва да бъдат изброени процедурите за свеждане до минимум, предвидени от Министъра на правосъдието за запазването и разпространението на събраните разузнавателни данни (143).

(109)

И обратно, съгласно раздел 702 от ЗУНВР (144) Съдът по надзора върху външното разузнаване не дава разрешение за отделни мерки за наблюдение, а за програми за наблюдение (като PRISM, UPSTREAM) въз основа на годишни сертифицирания, изготвени от Министъра на правосъдието и от директора на Националното разузнаване. Раздел 702 от ЗУНВР позволява за обект на разследване да се определят лица, за които има разумни основания да се счита, че се намират извън територията на Съединените американски щати, с цел събиране на външноразузнавателна информация (145). Определянето на такива обекти се извършва от АНС на два етапа: първо анализаторите на АНС идентифицират лица, които не са граждани на САЩ и се намират извън територията на САЩ, и чието наблюдаване по преценка на анализаторите ще осигури съответните разузнавателни данни, посочени при сертифицирането. Второ, след като са идентифицирани тези отделни лица и определянето им като цели бъде одобрено чрез механизъм за подробно разглеждане в рамките на АНС (146), се възлага задача за определянето на критерии за подбор (т.е. тяхното разработване и прилагане), чрез които да се набележат съобщителните средства (напр. адреси на ел. поща), използвани от обектите на разследването (147). Както е посочено, в сертифициранията, подлежащи на одобрение от Съда по надзора върху външното разузнаване, не се съдържа информация относно отделните лица, които ще бъдат обект на разследване, а се посочват категориите външноразузнавателна информация (148). Съдът по надзора върху външното разузнаване не прави преценка дали — по определена вероятна причина или според някакво друго изискване — лицата са определени правилно за обект на разследване с цел придобиване на разузнавателни данни (149), а неговите контролни функции се простират до проверка на условието, че„значима цел на придобиването е получаването на външноразузнавателна информация“ (150). На практика, съгласно раздел 702 от ЗУНВР АНС може да събира информация за съобщенията на лица, които не са граждани на САЩ и се намират извън територията на САЩ, само ако има разумни основания да се счита, че дадено съобщително средство се използва за предаване на данни, представляващи разузнавателен интерес (напр. свързани с международния тероризъм, с разпространението на ядрени оръжия или вражески кибернетични дейности). При определянето за тези цели се упражнява съдебен контрол (151). При сертифициранията е необходимо също така да се предвидят процедури за определяне на обекта на разузнаване и за свеждане до минимум (152). Министърът на правосъдието и директорът на Националното разузнаване проверяват дали разрешението се спазва и агенциите имат задължението да докладват за всички случаи на неспазване пред Съда по надзора върху външното разузнаване (153) (както и пред Конгреса и Надзорния съвет по въпросите на разузнаването към Президента), който може на това основание да промени разрешението (154).

(110)

Освен това, с цел да се повиши ефективността на надзора от страна на Съда по надзора върху външното разузнаване, администрацията на САЩ се съгласи да изпълни препоръка на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи за предоставяне на Съда на документацията за решенията за определяне на обекта по раздел 702, включително случайна извадка от листовете за определяне на задачата, за да се предостави възможност на съда да направи преценка как на практика се спазва изискването за целта на разузнаването (155). Същевременно администрацията на САЩ прие идеята и взе мерки за преразглеждане на процедурите на АНС за определяне на обектите на разследване, с цел по-добро документиране на основанията на разузнавателните служби при вземането на решение за определяне на обект (156).

Индивидуална защита

(111)

В законодателството на САЩ са предвидени редица възможности, от които могат да се ползват субектите на данни от ЕС, когато са обезпокоени дали техни лични данни се обработват (събират се, предоставя се достъп до тях и др.) от разузнавателните структури на САЩ, и когато това е така — дали са спазени ограниченията, приложими съгласно правото на САЩ. Те се отнасят основно до три области: намеса съгласно ЗУНВР; незаконен, умишлен достъп до лични данни от страна на правителствени длъжностни лица; и достъп до информация съгласно Закона за свобода на информацията (Freedom of Information Act (FOIA) (157).

(112)

Първо, в Закона за упражняване на надзор върху външното разузнаване са предвидени редица средства за правна защита, с които разполагат също и лицата, които не са граждани на САЩ, за оспорване на неправомерно електронно наблюдение (158). Това включва възможността физическите лица да предявят срещу Съединените американски щати граждански иск за обезщетяване на финансови вреди, когато информацията за тях е била неправомерно и умишлено използвана или разкрита (159); да заведат дело срещу длъжностни лица от правителството на САЩ в лично качество („престъпление при изпълнение на служебните задължения“ — under colour of law) за финансови вреди (160)); и да оспорват законността на наблюдението (и да искат заличаване на събраната информация), в случай че правителството на САЩ възнамерява да използва или разкрива информация, получена или производна от електронно наблюдение срещу лицето, в съдебни или административни производства в Съединените американски щати (161).

(113)

Второ, правителството на САЩ насочи вниманието на Комисията към редица допълнителни възможности, които субектите на данни от ЕС могат да използват, за да търсят правна защита срещу длъжностни лица при неправомерен достъп или използване на лични данни от страна на правителството, включително за възнамеряваните цели на националната сигурност (т.е. Закона за компютърните измами и злоупотреби (162) (Computer Fraud Abuse Act); Закона за неприкосновеност на електронните съобщения (163) (Electronic Communications Privacy Act); и Закона за правото на неприкосновеност на личните финанси (164) (Right to Financial Privacy Act). Всички тези основания за подаване на иск се отнасят за конкретни данни, цели и/или видове достъп (напр. достъп от разстояние до един компютър чрез интернет) и могат да се ползват при определени условия (напр. преднамерено/умишлено поведение, поведение, излизащо извън служебните задължения, наличие на претърпени вреди) (165). В Закона за административното производство (U.S.C.5 § 702) се дава възможност за по-обща правна защита — „всяко лице, което е претърпяло правно нарушение поради действие на агенцията или е неблагоприятно засегнато или ощетено от действия на агенцията“, има право да поиска съдебен контрол. Това включва възможността да се поиска от Съда да „обяви за незаконно и да отмени действие, констатации и заключения на агенцията, за които е установено, че представляват […] произвол, каприз, злоупотреба с правото на преценка, или по друг начин не са в съответствие със закона“ (166).

(114)

И накрая, правителството на САЩ посочи Закона за свобода на информацията като средство, чрез което лица, които не са граждани на САЩ могат да поискат достъп до съществуващи записи на федерални агенции, включително когато в тях се съдържат лични данни на лицето (167). Предвид насочеността му, този закон не осигурява възможност за индивидуална правна защита срещу намесата в лични данни като такава, въпреки че по принцип би могъл да позволява на физически лица да получат достъп до съответна информация, с която разполагат агенциите на националното разузнаване. Дори в това отношение възможностите изглеждат ограничени, тъй като агенциите могат да откажат достъп до информация, която попада в обхвата на определени изброени изключения, включително достъп до класифицирана информация в областта на националната сигурност и информация относно разследвания в областта на правоприлагането (168). Предвид казаното, използването на посочените изключения от агенциите на националното разузнаване може да бъде оспорено от лицата, както по административен, така и по съдебен ред.

(115)

Макар от това да следва, че лицата, включително субектите на данни от ЕС, имат редица възможности за правна защита, когато са станали обект на неправомерно (електронно) наблюдение за целите на националната сигурност, също така е ясно, че не са обхванати най-малкото някои от правните основания, които могат да се използват от разузнавателните органи на САЩ (напр. Изпълнителен декрет 12333). Освен това, дори когато по принцип са налице възможности за съдебна правна защита за лицата, които не са граждани на САЩ, например при наблюдение съгласно ЗУНВР, възможните начини на действие са ограничени (169) и предявените от лицата (включително граждани на САЩ) искове ще бъдат обявени за недопустими, ако не може да се докаже тяхната „основателност“ (170), а това ограничава достъпа до обикновените съдилища (171).

(116)

С цел да осигури за всички субекти на данни от ЕС достъп до допълнителни възможности, правителството на САЩ реши да създаде нов механизъм, омбудсмана към Щита за личните данни, както това е изложено в писмото на държавния секретар на САЩ до Комисията, съдържащо се в приложение III към настоящото решение. Механизмът е изграден, като се изхожда от определянето съгласно ПИД-28 на старши координатор (на ниво заместник-министър) в Държавния департамент за лице за контакт, пред което чуждите правителства могат да изразяват загриженост във връзка с дейности на радиоелектронното разузнаване на САЩ, но далеч надхвърля тази първоначална идея.

(117)

По-специално, съгласно обвързващите ангажименти на правителството на САЩ омбудсманът към Щита за личните данни ще гарантира, че ще бъдат проведени разследвания по отделните жалби и лицата ще получат потвърждение от независима инстанция, че законодателството на САЩ е спазено или, когато това законодателство е нарушено, че нарушението е отстранено (172). Механизмът включва „омбудсман към Щита за личните данни“, т.е. заместник-секретар и допълнителен персонал, както и други надзорни органи, компетентни за надзора на различните елементи на разузнавателните структури, на чието сътрудничество ще разчита омбудсманът към Щита за личните данни в хода на работата си с жалбите. По-специално, когато искането на дадено лице се отнася до съвместимостта на надзора със законодателството на САЩ омбудсманът към Щита за личните данни ще може да разчита на независими надзорни органи с правомощия за разследване (като например главни инспектори или PCLOB). Във всеки случай държавният секретар гарантира, че омбудсманът ще разполага с необходимите средства, за да се гарантира, че неговият отговор на индивидуални молби се основава на цялата необходима информация.

(118)

Посредством тази „композитна структура“ механизмът на омбудсмана гарантира независим надзор и индивидуална защита. Освен това сътрудничеството с други надзорни органи осигурява достъп до необходимите експертни познания. Накрая, с налагането на задължение спрямо омбудсмана към Щита за личните данни да потвърждава спазването или отстраняването на несъответствие механизмът отразява ангажимента на правителството на САЩ като цяло за разглеждане и разрешаване на жалби от граждани на ЕС.

(119)

На първо място за разлика от механизъма, в който участват само правителствени инстанции, омбудсманът към Щита за личните данни ще получава и ще отговаря на индивидуални жалби. Подобни жалби могат да се подават на надзорните органи в държавите членки, които са компетентни за надзора на националните служби за сигурност и/или обработката на лични данни от страна на публични органи, които ще ги представят на централизиран орган на ЕС, от който те ще бъдат пренасочени към омбудсмана към Щита за личните данни (173). Това всъщност ще бъде от полза за субектите на данни от ЕС, които ще могат да се обръщат към национален (както и към европейски) орган „близо до дома“ и на собствения си език. Задачата на този орган ще бъде да оказва подкрепа на лицата при изготвянето на искане до омбудсмана към Щита за личните данни, в което се съдържа основната информация и по този начин може да бъде считано за „пълно“. Лицето не се налага да доказва, че е осъществен фактически достъп до личните му/ѝ данни от правителството на САЩ чрез дейности на радиоелектронното разузнаване.

(120)

На второ място, правителството на САЩ се ангажира да гарантира, че при изпълнението на функциите си, омбудсманът към Щита за личните данни ще може да разчита на надзора и сътрудничеството на други съществуващи механизми за разглеждане на спазването на законите на САЩ. В някои случаи това ще изисква участието на националните разузнавателни служби, по-специално когато искането следва да се тълкува като искане за достъп до документи съгласно Закона за свобода на информацията. В други случаи, когато исканията се отнасят до съвместимостта на надзора със законодателството на САЩ, това сътрудничество ще включва независими надзорни органи (напр. главни инспектори) с отговорност и правомощия да провеждат задълбочено разследване (по-специално чрез достъп до всички съответни документи и правомощие да изискват информация и отчети) и да разрешат несъответствието (174). Също така омбудсманът към Щита за личните данни ще може да отнася казусите за разглеждане от Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи (175). Когато някой от тези надзорни органи установи несъответствие, съответната разузнавателна структура (напр. разузнавателна агенция) ще трябва да отстрани несъответствието, тъй като само въз основа на това омбудсманът ще може да даде „положителен“ отговор на физическото лице (т.е. че установеното нарушение е отстранено), за което правителството на САЩ е поело ангажимент. Също така в рамките на сътрудничеството омбудсманът към Щита за личните данни ще бъде информиран за резултата от разследването и ще разполага с необходимите средства, за да се получи цялата необходима информация, за да подготви отговора си.

(121)

И накрая, омбудсманът към Щита за личните данни ще бъде независим и по този начин няма да получава указания от разузнавателните структури на САЩ (176). Това е от съществено значение, като се има предвид, че омбудсманът ще трябва да „потвърди“, че е проведено необходимото разследване по жалбата и че правото на САЩ, включително ограниченията и гаранциите, разгледани в писмените изявления на ODNI, са спазени, а в случай на неспазване, че нарушението е отстранено. За да бъдат в състояние да осигуряват тази защита на неприкосновеността на личния живот, независимо потвърждение омбудсманът към Щита за личните данни ще трябва да получи информацията, необходима за разследването, за да оцени точността на отговор на жалбата. Освен това държавният секретар се е ангажирала да гарантира, че помощник-държавен секретар ще изпълнява функцията на неприкосновеността на екран омбудсманът към Щита за личните данни обективен и независим от всякакво неправомерно влияние, което би могло да има отражение върху отговорите, които следва да се предоставят.

(122)

Като цяло този механизъм гарантира, че индивидуалните жалби бъде щателно разследван и разрешен, и че поне в областта на наблюдението, това ще включва независими надзорни органи с необходимите експертни знания и правомощия за разследване и омбудсман, които ще могат да изпълняват функциите си свободно от неправилно, по-специално от политическо влияние. Освен това физическите лица ще могат да отнасят жалби, без да е необходимо да доказват (или само да дадат индикации) че са били обект на наблюдение (177). С оглед на тези характеристики Комисията е удовлетворена, че съществуват адекватни и достатъчни гаранции срещу злоупотреби.

(123)

Въз основа на всичко посочено по-горе Комисията стига до заключението, че Съединените американски щати осигуряват ефективна правна защита срещу намеса на разузнавателните им органи в основните права на физическите лица, чиито данни се предават от Съюза към Съединените американски щати съгласно Щита за личните данни в отношенията между ЕС и САЩ.

(124)

В тази връзка Комисията отбелязва решението на Съда по делото Schrems, според което „правна уредба, в която не се предвижда никаква възможност правният субект да използва правни средства за защита, за да получи достъп до засягащи го лични данни или да поправи или заличи такива данни, не зачита същественото съдържание на основното право на ефективна съдебна защита, признато в член 47 от Хартата.“ (178). Оценката на Комисията потвърди, че в САЩ е предвидена такава правна защита, в това число чрез въвеждането на механизма на омбудсмана. Механизмът на омбудсмана осигурява независим надзор с правомощия за провеждане на разследвания. Ефективността на този механизъм ще бъде подложена на повторна оценка в рамките на извършваното от Комисията непрекъснато наблюдение на Щита за личните данни, включително чрез годишния съвместен преглед, който също включва омбудсмана.

3.2.   Достъп и използване от органи на публичната власт на САЩ за целите на правоприлагането и за цели от обществен интерес

(125)

По отношение на намесата в личните данни, които се предават съгласно Щита за личните данни в отношенията между ЕС и САЩ за целите на правоприлагането, правителството на САЩ (чрез Министерството на правосъдието) даде уверения относно приложимите ограничения и гаранции, които по преценка на Комисията доказват адекватната степен на защита.

(126)

Според тази информация, съгласно четвъртата поправка в Конституцията на САЩ (179) за претърсвания и изземвания от правоприлагащите органи по принцип (180) се изисква съдебна заповед, издадена след като бъде демонстрирано наличието на „вероятна причина“. В малкото изрично установени и изключителни случаи, когато не се прилага (181) изискването за съдебна заповед, при правоприлагането се извършва тест за „основателност“ (182). Дали едно претърсване или изземване е основателно се „определя чрез преценка, от една страна за степента, в която се извършва намеса в неприкосновеността на личния живот на лицето, и от друга за степента, в която това е необходимо за законни правителствени интереси“ (183). В по-общ аспект с четвъртата поправка се гарантират неприкосновеността на личния живот и достойнството и се осигурява защита срещу произволни действия и действия на вмешателство от страна на държавни длъжностни лица (184). Тези концепции отразяват идеята за необходимост и пропорционалност в правото на Съюза. След като вещите, иззети като доказателства вече не са необходими в рамките на правоприлагането, те следва да бъдат върнати (185).

(127)

Въпреки че правата съгласно четвъртата поправка не се прилагат за лица, които не са американски граждани и не пребивават в САЩ, те все пак се ползват непряко от тази защита, като се има предвид, че личните данни се пазят от дружества в САЩ, т.е. правоприлагащите органи при всички случаи трябва да поискат разрешение от съдебен орган (или най-малкото да спазват изискването за разумно основание) (186). Допълнителна защита се осигурява и от специални законови разпоредби, както и от насоките на Министерството на правосъдието, с които достъпът на правоприлагащите органи до данни се ограничава чрез изискване за основания, които са еквивалентни на принципите на необходимост и пропорционалност (напр. като се поставя изискване към ФБР да използва методи на разследване, които са с най-ниската практически възможна степен на вмешателство, отчитайки последствията за неприкосновеността на личния живот и гражданските свободи) (187). Съгласно писмените изявления на правителството на САЩ, за разследванията за целите на правоприлагането на държавно равнище (по отношение на разследванията, които се извършват в съответствие с федералните закони) се прилага същата или по-висока степен на защита (188).

(128)

Въпреки че не във всички случаи (189) се изисква предварително съдебно разрешение от съда или от „голямото жури“ (grand jury) (разследващо поделение на съда, което се конституира от съдия или магистрат), административните разпореждания се ограничават до отделни случаи и подлежат на независим съдебен контрол, най-малкото когато правителството иска от съда налагане на мерки по принудително изпълнение (190).

(129)

Същото се прилага и при използването на административни разпореждания за цели от обществен интерес. Освен това, съгласно писмените изявления на правителството на САЩ в тези случаи се прилагат сходни по същество ограничения, тъй като агенциите могат да искат достъп само до данни, които са релевантни по въпроси, попадащи в обхвата на правомощията им и трябва да спазват изискването за основателност.

(130)

Освен това в законодателството на САЩ са предвидени редица възможности за съдебна защита на физическите лица срещу публичен орган или негово длъжностно лице, когато тези органи обработват лични данни. Тези възможности, които включват по-специално Закона за административното производство (APA), Закона за свобода на информацията (FOIA) и Закона за неприкосновеността на електронните съобщения (Electronic Communications Privacy Act (ECPA) са достъпни за всички лица, независимо от тяхната националност, при спазване на всички приложими условия.

(131)

Като цяло съгласно разпоредбите за съдебния контрол на Закона за административното производство (191), „всяко лице, което е претърпяло правно нарушение поради действие на агенцията или е неблагоприятно засегнато или ощетено от действия на агенцията“, има право да поиска съдебен контрол. (192) Това включва възможността да се поиска от Съда да „обяви за незаконно и да отмени действие, констатации и заключения на агенцията, за които е установено, че представляват […] произвол, каприз, злоупотреба с правото на преценка, или по друг начин не са в съответствие със закона“ (193).

(132)

По-конкретно, в дял II на Закона за неприкосновеността на електронните съобщения (Electronic Communications Privacy Act) се предвижда система на законоустановените права на (194) неприкосновеност на личния живот и по този начин се урежда достъпът за целите на правоприлагането до съдържанието на кабелни, устни или електронни съобщения, съхранявани от доставчици на услуги от трети страни (195). Със закона достъпът до такива съобщения се обявява за незаконен (т.е. без разрешение от съда или допустим другояче) и се дава възможност засегнатото физическо лице да предяви граждански иск в американски федерален съд за действителни и наказателни щети, както и за компенсация или установително решение срещу държавен служител, който произволно е извършил такива незаконни действия, или срещу Съединените американски щати.

(133)

Също така съгласно Закона за свобода на информацията (FOIA, 5 U.S.C., § 552) всяко лице има право да поиска достъп до документите на федерални агенции и след изчерпване на административните средства за защита да предяви това право по съдебен ред, освен доколкото тези данни са защитени от публично оповестяване по силата на освобождаване или специално изключение във връзка с правоприлагането. (196)

(134)

Освен това няколко други закона дават на физическите лица право да заведат дело срещу публичен орган или длъжностно лице в САЩ във връзка с обработката на личните им данни, като например Закона за телефонното подслушване (Wiretap Act) (197), Закона за компютърните измами и злоупотреби (Computer Fraud and Abuse Act) (198), the Federal Torts Claim Act (199), Закона за правото на неприкосновеност на личните финанси (Right to Financial Privacy Act) (200), и Закон за оповестяване на информация за кредити (Fair Credit Reporting Act) (201).

(135)

Поради това Комисията стига до заключението, че в Съединените американски щати са установени правила, предвидени да бъде ограничена всяка намеса за целите на правоприлагането (202) или за други цели от обществен интерес в основните права на физическите лица, чиито лични данни се предават от Съюза към Съединените американски щати съгласно Щита за личните данни в отношенията между ЕС и САЩ, като тази намеса се ограничава до строго необходимото за постигането на въпросната легитимна цел като посочените правила гарантират ефективна правна защита срещу подобна намеса.

4.   АДЕКВАТНА СТЕПЕН НА ЗАЩИТА СЪГЛАСНО ЩИТА ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ

(136)

С оглед на тези констатации Комисията счита, че Съединените американски щати гарантират адекватна степен на защита за личните данни, които се предават от Съюза към самосертифицирани дружества в Съединените американски щати съгласно Щита за личните данни в отношенията между ЕС и САЩ.

(137)

По-специално Комисията счита, че Принципите, публикувани от Министерството на търговията на САЩ, като цяло осигуряват ниво на защита на личните данни, което по същество е равностойно на гарантираното от основните принципи, установени в Директива 95/46/ЕО.

(138)

В допълнение към това ефективното прилагане на Принципите е гарантирано от задълженията за прозрачност и управлението на Щита за личните данни от страна на Министерството на търговията.

(139)

Освен това Комисията счита, че взети заедно механизмите за надзор и защита, предвидени съгласно Щита за личните данни, позволяват нарушенията на Принципите от организациите — участници в Щита за личните данни, да бъдат установявани и наказвани на практика и осигуряват средства за правна защита на субектите на данни, с възможност за достъп до свързаните с тях лични данни и евентуалното коригиране или заличаване на тези данни.

(140)

И накрая, въз основа на наличната информация за правния ред на САЩ, включително съгласно писмените изявления и ангажименти на правителството на САЩ, Комисията счита, че всяка намеса на публичните органи на Съединените американски щати за целите на националната сигурност, правоприлагането или за други цели от обществен интерес в основните права на физическите лица, чиито данни се предават от Съюза към Съединените щати съгласно Щита за личните данни, и произтичащите от това ограничения, налагани на самосертифицираните организации във връзка със спазването от тяхна страна на Принципите, ще бъде ограничена до строго необходимото за постигането на набелязаната легитимна цел, и че е налице ефективна правна защита срещу подобна намеса.

(141)

Комисията стига до заключението, че това съответства на изискванията, установени в член 25 от Директива 95/46/ЕО, тълкувани в светлината на Хартата на основните права на Европейския съюз, както това е разяснено от Съда, по-специално в решението по делото Schrems.

5.   ДЕЙСТВИЯ НА ОРГАНИТЕ ПО ЗАЩИТА НА ДАННИТЕ И ИНФОРМАЦИЯ ДО КОМИСИЯТА

(142)

В решението по делото Schrems Съдът поясни, че Комисията няма компетенции да ограничава правомощията на ОЗД, които произтичат от член 28 от Директива 95/46/ЕО (включително правомощието да спрат предаването на данните), когато едно лице, предявило иск в съответствие с тази разпоредба, постави под въпрос съвместимостта на решение за адекватност на Комисията със защитата на основното право на неприкосновеност на личния живот и защитата на личните данни (203).

(143)

За целите на ефективния мониторинг на функционирането на Щита за личните данни Комисията трябва да бъде информирана от държавите членки относно съответно предприетите действия от ОЗД.

(144)

Освен това Съдът прие, че в съответствие с член 25, параграф 6, втора алинея от Директива 95/46/ЕО държавите членки и техните органи трябва да предприемат необходимите мерки за спазването на актовете на институциите на Съюза, тъй като последните по принцип се ползват с презумпция за законосъобразност и съответно произвеждат правно действие, докато не бъдат оттеглени, отменени в производство по жалба за отмяна или обявени за невалидни вследствие на преюдициално запитване или възражение за незаконосъобразност. Следователно решение за адекватност на Комисията, прието съгласно член 25, параграф 6 от Директива 95/46/ЕО, е обвързващо за всички органи на държавите членки адресати, включително за независимите им надзорни органи (204). Ако такъв орган получи жалба, в която се поставя под въпрос спазването от страна на решението за адекватност на Комисията на защитата на основното право на неприкосновеност на личния живот и защитата на личните данни, и този орган счете за основателни изложените твърдения, националното законодателство трябва да предвижда правни способи, позволяващи на съответния орган да изложи твърденията за нарушения пред национален съд, и ако последният споделя съмненията, той трябва да спре производството и да сезира Съда на ЕС с преюдициално запитване (205).

6.   ПЕРИОДИЧНИ ПРЕГЛЕДИ НА КОНСТАТАЦИИТЕ ЗА АДЕКВАТНОСТ

(145)

Предвид фактът, че степента на защита, осигурявана от правния ред на САЩ, може да претърпи промени, след приемането на настоящото решение Комисията ще извършва периодични проверки дали констатациите във връзка с адекватността на степента на защита, гарантирана от Щита за личните данни в отношенията между ЕС и САЩ остават фактически и правно обосновани. Такава проверка е наложителна във всички случаи, когато Комисията получи някаква информация, която поражда основателни съмнения в това отношение (206).

(146)

Следователно Комисията ще извършва постоянно наблюдение над цялостната рамка за предаването на лични данни, създадена с Щита за личните данни в отношенията между ЕС и САЩ, както и над спазването от страна на органите на САЩ на писмените изявления и ангажиментите, съдържащи се в документите от приложенията към настоящото решение. За да се улесни този процес, САЩ се ангажира да информира Комисията за съществени промени в правото на САЩ, когато е целесъобразно, в областта на защитата на данните и на приложимите ограничения и гаранции по отношение на достъпа до лични данни от страна на публичните органи. Освен това настоящото решение подлежи на годишен съвместен преглед, който ще обхваща всички аспекти на функционирането на Щита за личните данни в отношенията между ЕС и САЩ, включително действието на изключенията от Принципите за целите на националната сигурност и правоприлагането. Освен това, тъй като констатацията за адекватността може да бъде повлияна и от развитието на правото в законодателството на Съюза, Комисията ще оцени степента на защита, предоставена от Щита за защита на личните данни, след влизането в сила на ОРЗД.

(147)

За извършването на годишния съвместен преглед, както това е разгледано в приложения I, II и VI, Комисията ще се срещне с представители на Министерството на търговията и Федералната търговска комисия, ако е необходимо придружени от представители на други министерства и агенции, участващи в прилагането на договореностите съгласно Щита за личните данни, а по въпроси от областта на националната сигурност — и с представители на ODNI, на други разузнавателни структури и с омбудсмана. Срещата е отворена за участие на ОЗД от ЕС и представители на работната група по член 29.

(148)

В рамките на годишния съвместен преглед Комисията ще изиска от Министерството на търговията да предостави изчерпателна информация относно всички съответни аспекти на функционирането на Щита за личните данни в отношенията между ЕС и САЩ, включително случаите, по които Министерството на търговията е било сезирано от ОЗД, и резултатите от служебни проверки за спазването. Също така Комисията ще се стреми да намери обяснение по евентуални въпроси или теми във връзка с Щита за личните данни в отношенията между ЕС и САЩ и неговото функциониране, които възникнат от налична информация, включително от докладите за прозрачност, предвидени съгласно Закона за свободата в САЩ (USA FREEDOM Act), публични доклади на националните разузнавателни органи на САЩ, на ОЗД, групи по въпросите на неприкосновеността на личния живот, медийна информация или други възможни източници. Освен това, за улеснение на работата на Комисията в тази връзка, държавите членки следва да уведомяват Комисията за случаи, когато действия на органите в Съединените американски щати, отговорни за гарантиране спазването на Принципите, не са успели да осигурят спазването и когато са налице признаци, че действията на публичните органи в САЩ, които отговарят за националната сигурност или за предотвратяването, разследването, разкриването или наказателното преследване на престъпления, не гарантират изискваното ниво на защита.

(149)

Въз основа на годишния съвместен преглед Комисията ще изготви публичен доклад, който ще представи на Европейския парламент и на Съвета.

7.   СУСПЕНДИРАНЕ НА РЕШЕНИЕТО ЗА АДЕКВАТНОСТ

(150)

Когато въз основа на проверки или друга налична информация Комисията направи заключение, че са налице явни признаци, че ефективното спазване на Принципите на неприкосновеност на личния живот в Съединените щати вероятно повече не е гарантирано, или че действията на публичните органи в САЩ, които отговарят за националната сигурност или за предотвратяването, разследването, разкриването или наказателното преследване на престъпления, не гарантират изискваното ниво на защита, тя ще уведоми за това Министерството на търговията и ще изиска да бъдат предприети подходящи мерки, за да бъде бързо отстранена всяка потенциална възможност за неспазване на Принципите в рамките на определен в разумни граници срок. Ако след изтичането на определения срок органите на САЩ не докажат в задоволителна степен, че Щитът за личните данни в отношенията между ЕС и САЩ продължава да гарантира ефективното спазване и адекватна степен на защита, Комисията ще инициира процедурата, в резултат на която настоящото решение ще бъде частично или изцяло суспендирано или отменено (207). Алтернативна възможност е Комисията да направи предложение за изменение на настоящото решение, например като се ограничи обхватът на констатациите за адекватността само до предаване на данни при спазване на допълнителни изисквания.

(151)

По-специално Комисията ще инициира процедурата за суспендиране или отмяна в случай на:

а)

признаци, че органите на САЩ не спазват писмените изявления и ангажиментите, съдържащи се в документите от приложенията към настоящото решение, включително по отношение на условията и ограниченията за достъпа от страна на публичните органи на САЩ за целите на правоприлагането, националната сигурност или други цели от обществен интерес, до лични данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ;

б)

неефективно предприемане на действия по жалби на субекти на данни от ЕС; в това отношение Комисията ще взема предвид всички обстоятелства, които оказват влияние върху възможността да бъдат приведени в изпълнение правата на субектите на данни от ЕС, включително по-специално доброволният ангажимент на самосертифицирани дружества в САЩ да си сътрудничат с ОЗД и да спазват техните препоръки; или

в)

непредоставяне от страна на омбудсмана към Щита за личните данни на навременни и подходящи отговори на искания на субекти на данни от ЕС.

(152)

Също така Комисията ще обмисли инициирането на процедура за изменение, суспендиране или отмяна на настоящото решение, ако в контекста на годишния съвместен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ или по друг начин Министерството на търговията или други министерства или агенции, участващи в прилагането на Щита за личните данни, а по въпроси от сферата на националната сигурност — представителите на разузнавателните структури на САЩ или омбудсманът, не предоставят информацията или разясненията, необходими за преценката за спазването на Принципите, за ефективността на процедурите за разглеждане на жалбите или за всяко понижаване на изискваната степен на защита вследствие от действия на националните разузнавателни органи на САЩ, и по-специално вследствие на събиране и/или достъп до лични данни, което не е било ограничено до строго необходимото и не е пропорционално. В тази връзка Комисията ще взема предвид степента, в която съответната информация може да бъде набавена от други източници, включително доклади на самосертифицирани дружества в САЩ, както това е предвидено в Закона за свободата в САЩ (USA FREEDOM Act).

(153)

Работната група за защита на физическите лица по отношение на обработването на личните данни, създадена по силата на член 29 от Директива 95/46/ЕО, публикува своето становище за степента на защита, предоставяна от Щита за личните данни в отношенията между ЕС и САЩ (208), което е взето предвид при изготвянето на настоящото решение.

(154)

Европейският парламент прие резолюция относно трансатлантическите потоци от данни (209).

(155)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден съгласно член 31, параграф 1 от Директива 95/46/ЕО,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

1.   По смисъла на член 25, параграф 2 от Директива 95/46/ЕО Съединените американски щати гарантират адекватна степен на защита за личните данни, които се предават от Съюза към организации в Съединените щати съгласно Щита за личните данни в отношенията между ЕС и САЩ.

2.   Щитът за личните данни в отношенията между ЕС и САЩ се състои от Принципите, публикувани от Министерството на търговията на САЩ на 7 юли 2016 г., както те са установени в приложение II, и официалните писмени изявления и ангажиментите, съдържащи се в документите, поместени в приложения I и III—VII.

3.   За целите на параграф 1 личните данни се предават съгласно Щита за личните данни в отношенията между ЕС и САЩ, когато предаването се извършва от Съюза към организации в Съединените американски щати, които са включени в „списъка към Щита за личните данни“, който се поддържа и се предоставя за публичен достъп от Министерството на търговията на САЩ, в съответствие с точки I и III от Принципите, установени в приложение II.

Член 2

Настоящото решение не засяга прилагането на разпоредбите на Директива 95/46/ЕО, по-специално на член 4 от нея, с изключение на член 25, параграф 1, който се отнася за обработването на лични данни в рамките на територията на държавите членки.

Член 3

Когато компетентните органи в държавите членки упражняват правомощията си по член 28, параграф 3 от Директива 95/46/ЕО, което води до спиране или окончателна забрана за потоците от данни към дадена организация в Съединените американски щати, включена в списъка към Щита за личните данни съобразно с точки I и III от Принципите, установени в приложение II, за да защитят физическите лица във връзка с обработването на техните лични данни, съответната държава членка уведомява незабавно Комисията.

Член 4

1.   Комисията извършва постоянен мониторинг на функционирането на Щита за личните данни в отношенията между ЕС и САЩ, с цел да преценява дали Съединените американски щати продължават да гарантират адекватна степен на защита на предаваните лични данни съгласно Щита за личните данни от Съюза към организации в Съединените американски щати.

2.   Държавите членки и Комисията взаимно се уведомяват за случаите, когато изглежда, че правителствените органи в Съединените американски щати, които имат законоустановени правомощия да привеждат в изпълнение спазването на Принципите, установени в приложение II, не осигуряват ефективни механизми за откриване и надзор, които да позволяват идентифицирането на нарушения на Принципите и наказването им на практика.

3.   Държавите членки и Комисията взаимно се уведомяват за евентуални признаци, че намесата от страна на публичните органи на САЩ, които отговарят за националната сигурност, правоприлагането или други обществени интереси, в правото на физическите лица на защита на личните им данни надхвърля строго необходимото, и/или че няма ефективна правна защита срещу подобна намеса.

4.   В срок до една година от датата на нотифицирането на настоящото решение до държавите членки и ежегодно след това Комисията ще извършва оценка на констатацията, съдържаща се в член 1, параграф 1 въз основа на цялата налична информация, включително получената като част от годишния съвместен преглед, разгледан в приложения I, II и VI.

5.   Комисията докладва всички съответни констатации на Комитета, създаден съгласно член 31 от Директива 95/46/ЕО.

6.   Комисията ще представи проект на мерки в съответствие с процедурата по член 31, параграф 2 от Директива 95/46/ЕО с цел суспендиране, изменение или отмяна на настоящото решение или ограничаване на приложното му поле, когато наред с останалото са налице признаци:

че публичните органи на САЩ не спазват писмените изявления и ангажиментите, съдържащи се в документите от приложенията към настоящото решение, включително по отношение на условията и ограниченията за достъпа от страна на публичните органи на САЩ за целите на правоприлагането, националната сигурност или други цели от обществен интерес, до лични данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ;

за системно неефективно намиране на решение по жалби на субекти на данни от ЕС; или

за системно непредоставяне от страна на омбудсмана към Щита за личните данни на навременни и подходящи отговори на искания на субекти на данни от ЕС съгласно изискването в раздел 4, буква д) от приложение III.

Комисията внася проекти на такива мерки и когато липсата на съдействие от страна на органите, които трябва да осигурят функционирането на Щита за личните данни в отношенията между ЕС и САЩ в Съединените щати не позволява на Комисията да определи дали е засегната констатацията в член 1, параграф 1.

Член 5

Държавите членки предприемат необходимите мерки, за да се съобразят с настоящото решение.

Член 6

Адресати на настоящото решение са държавите членки.

Съставено в Брюксел на 12 юли 2016 година.

За Комисията

Věra JOUROVÁ

Член на Комисията


(1)  ОВ L 281, 23.11.1995 г., стр. 31.

(2)  Вж. становище 4/2016 относно проект на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ, публикувано на 30 май 2016 г.

(3)  Дело C-362/14, Maximillian Schrems с/у Data Protection Commissioner („делото Schrems“), EU:C:2015:650, точка 39.

(4)  Дело C-553/07, Rijkeboer, EU:C:2009:293, точка 47; съединени дела C-293/12 и C-594/12, Digital Rights Ireland и други, EU:C:2014:238, точка 53; дело C-131/12, Google Spain и Google, EU:C:2014:317, точки 53, 66 и 74.

(5)  Решение 2000/520/ЕО на Комисията от 26 юли 2000 г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Министерството на търговията на САЩ (ОВ L 215, 28.8.2000 г., стр. 7).

(6)  Съобщение на Комисията до Европейския парламент и Съвета „Възстановяване на доверието в обмена на данни между ЕС и САЩ“, COM(2013) 846 final от 27 ноември 2013 г.

(7)  Съобщение на Комисията до Европейския парламент и Съвета относно функционирането на „сферата на неприкосновеност на личния живот“ („Safe Harbour“) от гледна точка на гражданите на ЕС и дружествата, установени в ЕС, COM(2013) 847 final от 27 ноември 2013 г.

(8)  Вж. напр. Съвет на Европейския съюз, Окончателен доклад на контактната група на високо равнище ЕС—САЩ относно обмена на информация и защитата на неприкосновеността на личния живот и личните данни, документ № 9831/08 от 28 май 2008 г., достъпен на интернет адрес: http://www.europarl.europa.eu/document/activities/cont/201010/20101019ATT88359/20101019ATT88359EN.pdf.

(9)  Доклад относно констатациите на съпредседателите от ЕС на Работна група ad hoc ЕС—САЩ по защита на данните от 27 ноември 2013 г., достъпен на интернет адрес: http://ec.europa.eu/justice/data-protection/files/report-findings-of-the-ad-hoc-eu-us-working-group-on-data-protection.pdf.

(10)  Вж. бележка под линия 3.

(11)  Делото Schrems, точка 97.

(12)  Делото Schrems, точки 73—74.

(13)  Делото Schrems, точки 88—89.

(14)  Вж. приложение II, раздел III, точка 10, буква а). В съответствие с определението в раздел I.8.в. администраторът от ЕС ще определя целите и средствата за обработка на лични данни. Освен това в договора с представителя трябва да е ясно дали са позволени последващи предавания (вж. раздел III, точка 10, буква а), подточка ii) — 2.)

(15)  Това се прилага също така, когато от Съюза се предават данни за човешки ресурси в контекста на трудовото правоотношение. Докато в Принципите се подчертава „основната отговорност“ на работодателя в ЕС (вж. приложение II, раздел III, точка 9, буква г), подточка i)), те същевременно ясно показват, че поведението му ще бъде в обхвата на правилата, приложими в Съюза и/или съответната държава членка, а не Принципите. Вж. приложение II, раздел III, точка 9, буква а), подточка i), буква б), подточка ii), буква в), подточка i) и буква г), подточка i).

(16)  Това се прилага и за обработването, осъществявано посредством оборудване, намиращо се в Съюза, но използвано от организация, установена извън Съюза (вж. член 4, параграф 1, буква в) от Директива 95/46/ЕО). От 25 май 2018 г. Общият регламент относно защитата на данните (ОРЗД) ще се прилага за обработването на лични данни i) в контекста на дейностите на място на установяване на администратора или обработващия данни в Съюза (дори когато обработването се извършва в Съединените щати), или ii) на субекти на данни, които се намират в Съюза, от администратор или обработващ данни, който не е установен в Съюза, когато дейностите по обработване на данни са свързани със а) предлагането на стоки или услуги, независимо дали от субекта на данни се изисква плащане, на такива субекти на данни в Съюза; или б) наблюдението на тяхното поведение, доколкото това поведение се проявява в рамките на Европейския съюз. Вж. член 3, параграфи 1 и 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).

(17)  Настоящото решение има значение за ЕИП. В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз за трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Директива 95/46/ЕО, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Съвместният комитет на ЕИП следва да вземе решение за включването на настоящото решение в Споразумението за ЕИП. След като настоящото решение започне да се прилага по отношение на Исландия, Лихтенщайн и Норвегия, Щитът за личните данни в отношенията между ЕС и САЩ ще обхване и тези три държави и позоваванията в пакета за Щита за личните данни на ЕС и на държавите—членки на ЕС, се четат като включващи Исландия, Лихтенщайн и Норвегия.

(18)  Вж. приложение II, раздел III.6.e.

(19)  За данните относно човешки ресурси, събирани в контекста на трудовите правоотношения, се прилагат специални правила за осигуряване на допълнителна защита, както е посочено в допълнителния принцип „Данни за човешки ресурси“ от Принципите на неприкосновеност на личния живот (вж. приложение II, раздел III.9). Например работодателите трябва да вземат предвид предпочитанията на заетите лица, що се отнася до неприкосновеността на личния им живот, като ограничават достъпа до личните данни, анонимизират някои от тях, или ги кодират или псевдонимизират. Най-важното е, че от организациите се изисква да си сътрудничат с органите по защита на данните на Съюза и да спазват техните препоръки по отношение на този вид данни.

(20)  Това се отнася до всяко предаване на данни съгласно Щита на личните данни, включително когато те се отнасят до данни, събрани посредством трудово правоотношение. Въпреки че самосертифицираните организации в САЩ може по принцип може да използват данните за човешки ресурси за цели различни от целите, свързани с трудовоправните отношения (напр. за определени маркетингови съобщения), те трябва да спазват забраната за несъвместима обработка, като освен това могат да правят това само в съответствие с принципите „Уведомяване“ и „Избор“. Забраната на американската организация да предприема наказателни действия срещу даден служител при упражняването на такъв избор, включително всяко ограничаване на възможностите за заетост, ще гарантира, че въпреки връзката на подчиненост и свързаната с нея зависимост служителят няма да бъде подлаган на натиск и по този начин може да упражнява истински свободен избор.

(21)  Вж. приложение II, раздел III.12.

(22)  Вж. също така допълнителния принцип „Достъп“ (приложение II, раздел III, точка 8).

(23)  Вж. напр. Закон за равните възможности за кредитиране (Equal Credit Opportunity Act (ECOA), 15 U.S.C. 1691 и следв.), Закон за оповестяване на информация за кредити (Fair Credit Reporting Act (FRCA), 15 USC § 1681 и следв.) или Закон за справедливото жилищно настаняване (Fair Housing Act (FHA), 42 U.S.C. 3601 и следв.).

(24)  В контекста на прехвърлянето на лични данни, събирани в ЕС, договорното правоотношение с физическото лице (клиент), в повечето случаи ще бъде със — и следователно всяко решение въз основа на автоматизирано обработване обикновено ще се взема от — администратора от ЕС, който следва да се подчинява на правилата на ЕС за защита на данните. Това включва сценариите, при които обработването се извършва от организация — участник в Щита за личните данни, изпълняваща функциите на представител от името на администратора от ЕС.

(25)  Вж. също така допълнителния принцип „Разрешаване на спорове и прилагане“ (приложение II, раздел III, точка11).

(26)  Вж. също така допълнителния принцип „Самосертифициране“ (приложение II, раздел III, точка 6).

(27)  Вж. също така допълнителния принцип „Проверка“ (приложение II, раздел III, точка 7).

(28)  Вж. също така допълнителния принцип „Задължителни договори за последващите предавания“ (приложение II, раздел III, точка 10).

(29)  Вж. допълнителния принцип „Задължителни договори за последващите предавания“ (приложение II, раздел III, точка 10, буква б). Въпреки че този принцип дава възможност предаванията да се основават също на извъндоговорни инструменти (напр. вътрешно-групови програми за спазване и контро), в текста се пояснява, че тези инструменти винаги трябва да „гарантират непрекъснатост на защитата на личната информация съгласно Принципите на Щита за личните данни“. Освен това предвид това, че самосертифицираните организации в САЩ ще продължат да бъдат отговорни за спазването на Принципите, ще има силен стимул да се използват инструменти, които наистина са ефективни на практика.

(30)  Вж. приложение II, раздел I, точка 5.

(31)  Физическите лица няма да имат право на клаузата за неучастие в случаите, когато личните данни се предават на трета страна, изпълняваща функциите на представител за осъществяване на задачи от името на и съгласно указанията на организацията в САЩ. За това обаче е необходим договор с представителя и организацията в САЩ ще поеме отговорността да гарантира защитата, предоставена по силата на Принципите, като упражни правомощията си за даване на указания.

(32)  Положението е различно в зависимост от това дали третата страна е администратор или обработващ данни (представител). При първия сценарий в договора с третата страна трябва да е предвидено тя да прекрати обработката и да предприеме други обосновани и съответни мерки за справяне с положението. При втория сценарий посочените мерки се вземат от организацията — участник в Щита за личните данни, като администратор на обработването, под чиито указания действа представителят.

(33)  В такъв случай организацията в САЩ трябва при уведомяване да предприеме обосновани и съответни мерки, i) за да гарантира, че представителят ефективно обработва предадената лична информация по начин, който съответства на задълженията на организацията съгласно Принципите; и ii) да преустановят и отстранят последиците от неразрешено обработване.

(34)  Информация относно управлението на личния живот щит списък може да бъде намерена в приложение I и приложение II (раздел I, точка 3, раздел I, точка 4, раздел III, точка 6, буква г) и раздел III, точка 11, буква ж).

(35)  Вж. приложение II, раздел I, точка 3, раздел III, точка 6, буква е) и раздел III, точка 11, буква ж), подточка i).

(36)  Вж. приложение I, раздел „Търси неверни твърдения за участие и намира решения“.

(37)  Вж. приложение II, раздел III, раздел 6, буква з) и раздел III, точка 11, буква е).

(38)  Вж. приложение I.

(39)  Това е органа, разглеждащ жалбите, определен от панел на ОЗД, предвиден в допълнителния принцип „Ролята на органите по защита на данните“ (приложение II, раздел III, точка 5).

(40)  В годишния доклад трябва да бъдат включени: 1) общият брой на получените през отчетната година жалби във връзка с Щита за личните данни в отношенията между ЕС и САЩ; 2) видът на получените жалби; 3) качествени показатели за решаването на спора, напр. времето за обработването на жалбите; и 4) изходният резултат от получените жалби, а именно броят и видовете средства за правна защита или санкции, които са били наложени.

(41)  Вж. приложение II, раздел 11, буква д).

(42)  Вж. приложение II, раздел III, точка 11, буква ж), и по-специално подточки ii) и iii).

(43)  Вж. приложение I, раздел „Търси неверни твърдения за участие и намира решения“.

(44)  Правилникът за дейността на неформалната група на ОЗД следва да бъде определен от ОЗД въз основа на правомощието им да организират работата си и да си сътрудничат помежду си.

(45)  Вж. приложение I, раздели относно „Засилване на сътрудничеството с ОЗД“и „улесняване разрешаването на жалби относно неспазване“ и приложение II, раздел II, точка 7, буква д).

(46)  Вж. приложение IV, стр. 6.

(47)  ibid.

(48)  Вж. приложение I, раздел „Съдейства за разрешаването на жалби за неспазване“.

(49)  Организация — участник в Щита за личните данни, трябва да обяви публично задължението си да спазва Принципите, да оповестява публично своите политики за неприкосновеността на личния живот и да ги прилага изцяло. Неспазването подлежи на принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия, който забранява нелоялните и измамни практики в търговията или засягащи търговията.

(50)  Според информация от ФТК, тя няма правомощия да извършва проверки на място в областта на защитата на неприкосновеността на личния живот. Той обаче има правомощието да задължи организациите да представят документи и да предоставят свидетелски показания (вж. раздел 20 от FTC), и може да използва съдебната система за принудително изпълнение на такива заповеди в случай на неспазване.

(51)  Със заповеди на ФТК или съдебни разпореждания може да се изиска от дружествата да прилагат програми за неприкосновеността на личния живот и редовно да предоставят на ФТК доклади за спазването на тези програми или оценки от независима трета страна.

(52)  Вж. приложение II, раздел II, точка 1, подточка xi) и раздел III, точка 7, буква б).

(53)  Броят на арбитрите в специалната група ще бъде договорен между страните.

(54)  Арбитражният състав може да счете обаче, че при обстоятелствата на конкретното арбитражно дело покриването на разноските би довело до необосновани или непропорционални разходи.

(55)  Физическите лица не могат да предявяват иск за вреди в арбитражно дело, но от друга страна инициирането на арбитражно дело не изключва възможността да се поиска обезщетение за вреди в обикновените съдилища на САЩ.

(56)  Директорът на Националното разузнаване (DNI) изпълнява задълженията на ръководител на разузнавателните структури и функцията на главен съветник на президента и на Националния съвет за сигурност. Вж. Закон за реформа на разузнаването и предотвратяване на тероризма (Intelligence Reform and Terrorism Prevention Act) от 2004 г., публ. L. 108-458 от 17.12.2004 г. Наред с останалото ODNI определя изискванията към определянето на задачите, събирането, анализа, получаването и разпространението на национална разузнавателна информация от страна на разузнавателните структури и ги управлява и насочва, включително чрез разработване на насоки за начините на достъп, използване и споделяне на информация или разузнавателни данни. Вж. раздел 1.3, букви а) и b) от Изпълнителен декрет 12333.

(57)  Вж. делото Schrems, точка 91.

(58)  Конституция на САЩ, член II. Вж. също въведението към ПИД-28.

(59)  Изпълнителен декрет 12333: Разузнавателна дейност на Съединените американски щати, Федерален регистър том 40, № 235 (8 декември 1981 г.). Доколкото този изпълнителен декрет е обществено достъпен, той определя целите, насоките, задълженията и отговорностите на разузнавателните усилия на САЩ (включително ролята на различни разузнавателни структури) и установява общите параметри за провеждането на разузнавателната дейност (по-специално необходимостта да се издават конкретни процедурни правила). Съгласно раздел 3.2 от Изпълнителен декрет 12333 Президентът, с подкрепата на Националния съвет за сигурност, и директорът на Националното разузнаване издават укази, процедури и насоки в изпълнение на декрета.

(60)  Съгласно Изпълнителен декрет 12333 директорът на Агенцията за национална сигурност (АНС) управлява функционално радиоелектронното разузнаване и ръководи единна организация за дейностите на радиоелектронното разузнаване.

(61)  За определението на понятието „разузнавателни структури“ вж. раздел 3.5, буква h) от Изпълнителен декрет 12333, заедно с бележка под линия 1 от ПИД-28.

(62)  Вж. меморандума на Службата на правния съветник към Министерството на правосъдието до президента Клинтън от 29 януари 2000 г. Съгласно това правно становище президентските директиви имат „същото материално правно действие като изпълнителните декрети“.

(63)  Писмени изявления на ODNI (приложение VI), стр. 3.

(64)  Вж. раздел 4, букви б) и в) от ПИД-28. Според публично обявената информация с прегледа за 2015 г. са потвърдени текущите шест цели. Вж. Реформа на радиоелектронното разузнаване, доклад за напредъка за 2016 г. на ODNI.

(65)  Писмени изявления на ODNI (приложение VI), стр. 6 (във връзка с Директивата за разузнавателните структури 204 (Intelligence Community Directive 204). Виж също раздел 3 от ПИД-28.

(66)  Писмени изявления на ODNI (приложение VI), стр. 6. Вж. напр. Защита на гражданските свободи и неприкосновеността на личния живот за целеви дейности на радиоелектронното разузнаване (SIGINT) съгласно Изпълнителен декрет 12333, 7 октомври 2014 г. на Агенцията за национална сигурност (АНС), Служба за гражданските свободи и неприкосновеността на личния живот (NSA Civil Liberties and Privacy Office (NSA CLPO). Вж. също доклада за състоянието на ODNI за 2014 г. За заявки за достъп съгласно раздел 702 от Закона за упражняване на надзор върху външното разузнаване (Foreign Intelligence Surveillance Act (FISA) запитванията се извършват съгласно процедурите за свеждане до минимум, одобрени от Съда по надзора върху външното разузнаване (Foreign Intelligence Surveillance Court (FISC). Вж. Изпълнение от страна на АНС на раздел 702 от Закона за упражняване на надзор върху външното разузнаване от 16 април 2014 г., на Службата за гражданските свободи и неприкосновеността на личния живот към АНС.

(67)  Вж. Реформа на радиоелектронното разузнаване, юбилеен годишен доклад за 2015 г. Вж. също писмените изявления на ODNI (приложение VI), стр. 6, 8-9, 11.

(68)  Вж. писмените изявления на ODNI (приложение VI), стр. 3.

(69)  Следва също да се отбележи, че съгласно раздел 2.4 от Изпълнителен декрет 12333 елементите на разузнавателните структури „следва да използват на територията на Съединените щати техники на събиране, които са с най-малка намеса, доколкото това е практически осъществимо“. По отношение на ограниченията за заместването на цялото събиране на масиви от данни с целенасочено събиране, вж. резултатите от оценката от Националния съвет за научни изследвания по данни на Агенцията на Европейския съюз за основните права, Надзор от страна на разузнавателните служби: Гаранции и правни средства за защита на основните права в ЕС (2015 г.) на стр. 15—16.

(70)  Писмени изявления на ODNI (приложение VI), стр. 4.

(71)  Виж също раздел 5, буква d) от ПИД-28, в който се дават указания на директора на Националното разузнаване, в координация с ръководителите на съответните разузнавателни структури и Службата за научна и технологична политика (Оffice of Science and Technology Policy), да предоставят на президента „доклад с оценка на практическата осъществимост относно създаването на софтуер, с който да се позволи на разузнавателните структури по-лесно да извършват целево придобиване на информация, вместо събиране на масиви от данни“. Съгласно публично обявената информация заключението от този доклад е, че „не съществува софтуерно базирана алтернативна възможност, която да позволява да бъде заместено изцяло събирането на масиви от данни при откриването на някои заплахи за националната сигурност“. Вж. Реформа на радиоелектронното разузнаване, юбилеен годишен доклад за 2015 г.

(72)  Вж. бележка под линия 68.

(73)  Писмени изявления на ODNI (приложение VI). Това отговаря в частност на загрижеността, изразена от националните органи за защита на данните в тяхното становище по проекта на решение относно адекватността. Вж. становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 38, № 47.

(74)  Вж. раздел 2 от ПИД-28.

(75)  Писмени изявления на ODNI (приложение VI), стр. 4. Вж. също Директива за разузнавателните структури № 203 (Intelligence Community Directive 203).

(76)  Писмени изявления на ODNI (приложение VI), стр. 2. По същия начин се прилагат и ограниченията, установени с Изпълнителен декрет 12333 (напр. необходимостта събраната информация да отговаря на определените от Президента приоритети на разузнаването).

(77)  Вж. делото Schrems, точка 93.

(78)  В допълнение към това събирането на данни от ФБР може да се основава също така и на разрешения, издавани за целите на правоприлагането (вж. раздел 3.2 от настоящото решение).

(79)  За допълнителни пояснения относно използването на писма във връзка с националната сигурност (ПНС) вж. писмените изявления на ODNI (приложение VI), стр. 13—14 с бел. под линия 38. Както е посочено там, ФБР може да използва писма във връзка с националната сигурност (ПНС) само при искания за несъдържателна информация във връзка с разрешено разследване в сферата на националната сигурност за защита срещу международния тероризъм или секретни разузнавателни дейности. По отношение на предаванията на данни съгласно Щита за личните данни в отношенията между ЕС и САЩ най-релевантното правно основание за разрешаване изглежда е Законът за неприкосновеност на електронните съобщения (Electronic Communications Privacy Act) (18 U.S.C. § 2709), съгласно който се изисква всяко искане за информация за абонат или за справка за операции да съдържа „понятие, което определя по специфичен начин дадено лице, субект, телефонен номер или сметка“.

(80)  50 U.S.C., § 1804. Докато този правен инструмент изисква „обявяване на фактите и обстоятелствата, на които се основава заявителят за обосноваване на своето убеждение, че А) целта на електронното наблюдение е чужда сила или служител на чужда сила“, последното може да се отнася за лица, които не са американски граждани и участват в международен тероризъм или в международно разпространение на оръжия за масово унищожение (включително в подготвителни действия) (50 U.S.C. § 1801 (b)(1)). Все пак съществува само теоретична връзка с личните данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ, предвид това, че обявяването на фактите трябва също така да обосновава убеждението, че „всяко от средствата или местата, към които е насочено електронното наблюдение, се използва или предстои да бъде използвано от чужда сила или служител на чужда сила“. Във всички случаи позоваването на този инструмент налага да се подаде заявление до Съда по надзора върху външното разузнаване (СНВР), който ще направи преценка, наред с останалото, дали въз основа на посочените факти съществува вероятна причина случаят наистина да е такъв.

(81)  50 U.S.C. § 1842 заедно с § 1841(2) и раздел 3127 от дял 18. Този инструмент не се отнася за съдържанието на съобщенията, а по-скоро има за цел получаването на информация за клиента или абоната, който използва дадена услуга (напр. име, адрес, абонатен номер, продължителност/вид на получената услуга, източник/механизъм на плащане). За целта се изисква да се подаде заявление за издаване на разпореждане до Съда по надзора върху външното разузнаване (СНВР) (или до магистрат към окръжен съд (U.S. Magistrate Judge) и да се използва специален критерий за подбор по смисъла на § 1841(4), т.е. понятие, което определя по специфичен начин дадено лице, сметка и др. и се използва за ограничаване в максимално възможната разумна степен на обхвата на исканата информация.

(82)  Докато с раздел 501 от ЗУНВР (предишен раздел 215 от Закона за обединяване и укрепване на САЩ) се дават правомощия на ФБР да иска съдебно разпореждане с цел получаването на „материални вещи“ (по-специално телефонни метаданни, както и търговски справки) за цели във връзка с чуждото разузнаване, в раздел 702 от ЗУНВР на разузнавателните структури на САЩ се разрешава да искат достъп до информация, включително съдържание на съобщения в интернет, на територията на Съединените щати, но по отношение на лица, които не са американски граждани и се намират извън Съединените щати.

(83)  На основание тази разпоредба ФБР може да отправя искане за „материални носители“ (напр. записи, хартиени носители, документи), ако докаже пред Съда по надзора върху външното разузнаване (СНВР), че са налице разумни основания да се счита, че те са релевантни за целите на конкретно разследване на ФБР. При извършване на търсенето си ФБР трябва да използва одобрени от Съда по надзора върху външното разузнаване критерии за подбор, за които са налице „основателни и доказуеми подозрения“, че са свързани с една или няколко чужди сили или техни служители, участващи в международен тероризъм или в подготвителни действия за такъв. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 59; Служба за гражданските свободи и неприкосновеността на личния живот на АНС, Доклад за прозрачност: Закон за свободата в САЩ, търговски регистър, в изпълнение на ЗУНВР, 15 януари 2016 г., стр. 4—6.

(84)  Писмени изявления на ODNI (приложение VI), стр. 13 (бел. под линия 38).

(85)  Вж. бележка под линия 81.

(86)  Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 32—33 с допълнителни препратки. Според службата по въпросите на неприкосновеността на личния живот на АНС тази агенция трябва да удостовери, че е налице връзка между целта и критерия за подбор, да документира външноразузнавателна информация, които се очаква да бъдат получени, данните трябва да бъдат разгледани и одобрени от двама старши анализатори на АНС и целият процес да бъде проследен с цел последващи прегледи за съответствие от страна на ODNI и Министерството на правосъдието. Вж. Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16 април 2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС.

(87)  Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 111. Вж. също писмените изявления на ODNI (приложение VI), стр. 9. („Събирането по силата на раздел 702 от [ЗУНВР] не е „масово и безразборно“, а тясно съсредоточено върху събирането на разузнавателни данни за индивидуално идентифицирани законни цели“) и стр. 13, бел. под линия 36 (във връзка със становище на Съда по надзора върху външното разузнаване от 2014 г.); Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи на АНС: Изпълнение от страна на АНС на раздел 702 от Закона за упражняване на надзор върху външното разузнаване от 16 април 2014 г. Дори в случая на програмата UPSTREAM АНС може да изисква само прихващане на електронните съобщения до, от, или за определените за задачата критерии за подбор.

(88)  Писмени изявления на ODNI (приложение VI), стр. 18. Вж. също и стр. 6, където е посочено, че прилаганите процедури „доказват ясния ангажимент да бъде предотвратено произволното и безразборно събиране на радиоелектронна разузнавателна информация и от най-високите нива на нашето правителство да бъде въведен принципът на разумността“.

(89)  Вж. доклада за прозрачността на статистическата информация по отношение на използването на основанията за национална сигурност от 22 април 2015 г. За целия поток от информация по интернет вж. напр. Агенция за основните права, Наблюдения от страна на разузнавателните служби: Гаранции и правни средства за защита на основните права в ЕС (2015 г.) на стр. 15—16. По отношение на програмата UPSTREAM, според разсекретеното становище на Съда по надзора върху външното разузнаване от 2011 г. над 90 % от електронните съобщения, получени по силата на раздел 702 от ЗУНВР, са били от програмата PRISM, докато под 10 % са от програмата UPSTREAM. Вж. СНВР, становище меморандум 2011 г. WL 10945618 (FISA Ct., 3.10.2011), бел. под линия 21 (на адрес: http://www.dni.gov/files/documents/0716/October-2011-Bates-Opinion-and%20Order-20140716.pdf).

(90)  Вж. раздел 4, буква а), подточка ii) от ПИД-28. Вж. също ODNI, Гаранции за личната информация на всички лица: Доклад за състоянието относно развитието и прилагането на процедурите съгласно Президентски изпълнителен указ от 28 юли 2014 г., стр. 5, според който „Политиките на елементите на разузнавателните структури следва да укрепват съществуващите аналитични практики и стандарти, като анализаторите трябва да се стремят да структурират запитванията или другите условия и техники на търсене с цел идентифициране на разузнавателна информация, която е релевантна за валидна задача в областта на разузнаването или правоприлагането; да фокусират търсенията за лица върху категориите разузнавателна информация, които съответстват на дадено изискване в областта на разузнаването или правоприлагането; и сведат до минимум прегледа на лична информация, която няма отношение към изискванията в областта на разузнаването или правоприлагането“. Вж. напр. ЦРУ, Дейности на радиоелектронното разузнаване, стр. 5; ФБР, Президентска изпълнителна директива 28, политики и процедури, стр. 3. Съгласно доклада за напредъка от 2016 г. относно реформата на радиоелектронното разузнаване, разузнавателните структури (включително ФБР, ЦРУ и АНС) са предприели мерки да повишат осведомеността на своя персонал относно изискванията на ПИД-28, като са въвели нови или са модифицирали съществуващи политики за обучение.

(91)  Съгласно писмените изявления на ODNI тези ограничения се прилагат независимо от това, дали информацията е събрана като масиви от данни, чрез целенасочено събиране и с оглед на националността на физическите лица.

(92)  Вж. писмените изявления на ODNI (приложение VI).

(93)  Вж. раздел 4, буква а), подточка i) от ПИД-28, заедно с раздел 2.3 от Изпълнителен декрет 12333. 12333.

(94)  Вж. раздел 4, буква а, подточка i) от ПИД-28. Писмени изявления на ODNI (приложение VI), стр. 7. Например за лична информация, събирана съгласно раздел 702 от ЗУНВР, в процедурите на АНС за свеждане до минимум, одобрени от Съда по надзора върху външното разузнаване, е предвидено по правило метаданните и информацията с неанализирано съдържание за програмата PRISM да бъдат съхранявани не по-дълго от пет години, докато данни за програма UPSTREAM се съхраняват не по-дълго от две години. АНС осигурява спазването на тези ограничения за съхранението посредством автоматизиран процес, чрез който събраните данни се изтриват в края на съответния срок на съхранение. Виж АНС, раздел 702 от ЗУНВР, Процедури за свеждане до минимум, раздел 7 във връзка с раздел 6, буква а), подточка 1); Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16.4.2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС. По същия начин запазването съгласно раздел 501 от ЗУНВР (предишен раздел 215 от Закона за обединяване и укрепване на САЩ (U.S. PATRIOT ACT) е ограничено за срок от пет години, освен когато личните данни са част от одобрено по надлежния ред разпространение на външноразузнавателна информация или ако Министерството на правосъдието е уведомило писмено АНС, че по отношение на данните има задължение за съхраняване за решаването на висящ или предстоящ съдебен спор. Вж. АНС, Службата за гражданските свободи и неприкосновеността на личния живот, Доклад за прозрачността: Закон за свободата в САЩ, търговски регистър, в изпълнение на ЗУНВР, 15 януари 2016 г.

(95)  По-специално в случая на раздел 501 от ЗУНВР (предишен раздел 215 от Закона за обединяване и укрепване на САЩ (U.S. PATRIOT ACT) разпространяването на лична информация може да става само за целите на противодействие на тероризма или като доказателство при престъпление; в случая на раздел 702 от FISA само когато валидна цел във връзка с външното разузнаване или правоприлагането. Вж. Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16 април 2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС. Доклад за прозрачността: Закон за свободата в САЩ, търговски регистър, в изпълнение на ЗУНВР, 15 януари 2016 г. Вж. също така АНС, Защита на гражданските свободи и неприкосновеността на личния живот за целеви дейности на радиоелектронното разузнаване (SIGINT) съгласно Изпълнителен декрет 12333, 7 октомври 2014 г.

(96)  Писмени изявления на ODNI (приложение VI), стр. 7 (във връзка с Указа за разузнавателните структури (Intelligence Community Directive (ICD)) 203).

(97)  Съдът на Европейските общности е пояснил, че националната сигурност представлява законосъобразна цел на политиката. Вж. делото Schrems, точка 88. Вж. също решение Digital Rights Ireland и др., точки 42—44 и 51), в което Съдът установява, че борбата срещу тежката престъпност, и по-специално организираната престъпност и тероризма, могат да зависят в голяма степен от използването на модерни техники на разследване. Освен това за разлика от наказателните разследвания, които обикновено се отнасят до определяне на отговорността и вината за минало поведение със задна дата, разузнавателните дейности често са съсредоточени върху предотвратяването на заплахи за националната сигурност, преди да е нанесена вреда. Поради това обхватът на подобни разследвания често може да включва повече възможни участници („обекти“) и по-широк географски район. Вж. Решение на ЕСПЧ по делото Weber и Saravia с/у Германия, жалба № 54934/00, точки 105—118 (относно т.нар. „стратегически мониторинг“).

(98)  Делото Schrems, точка 91 с допълнителните препратки.

(99)  Делото Schrems, точка 93.

(100)  Вж. делото Schrems, точка 94.

(101)  СДНР, Гаранции за личната информация на всички лица: Доклад за актуалното състояние относно изготвянето и прилагането на процедурите съгласно Президентска изпълнителна директива 28, стр. 7. Вж. напр. ЦРУ, Дейности на радиоелектронното разузнаване, стр. 6 (Спазване); ФБР, Президентска изпълнителна директива 28, „Политики и процедури“, раздел III (A)(4), (B)(4); АНС, ПИД-28, раздел 4, „Процедури“, 12 януари 2015 г., раздел 8.1, 8.6, буква c).

(102)  Например в Дирекция „Спазване на нормативната уредба“ на АНС работят повече от 300 служители по спазването. Вж. писмените изявления на ODNI (приложение VI), стр. 7.

(103)  Вж. Механизъм на омбудсмана (приложение III), точка 6, буква б), подточки i) до iii).

(104)  Вж. 42 U.S.C.,§ 2000ee-1. Тук се включват например Държавният департамент, Министерството на правосъдието (вкл. ФБР), Министерството на вътрешната сигурност, Министерството на отбраната, АНС, ЦРУ и ODNI.

(105)  Според правителството на САЩ, ако в Службата по въпросите на гражданските свободи и неприкосновеността на личния живот на ODNI се получи жалба, този орган работи също така в координация с другите разузнавателни структури относно това как да продължи разглеждането на жалбата в рамките на разузнавателните структури. Вж. Механизъм на омбудсмана (приложение III), точка 6, буква б), подточка ii).

(106)  Вж. 42 U.S.C. § 2000ee-1 (f)(1),(2).

(107)  Становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 41.

(108)  Писмени изявления на ODNI (приложение VI), стр. 7. Вж. напр. АНС, ПИД-28, раздел 4 „Процедури“, 12 януари 2015 г., раздел 8.1.; ЦРУ, Дейности на радиоелектронното разузнаване, стр. 7 (Отговорности).

(109)  Този главен инспектор (длъжността е създадена през октомври 2010 г.) се назначава от Президента с утвърждаване от Сената и може да бъде отстранен от длъжност само от Президента, но не и от директора на националното разузнаване.

(110)  Тези главни инспектори са с постоянно назначение и могат да бъдат отстранени от длъжност само от Президента, който трябва да информира Конгреса писмено относно причините за отстраняването. Това не означава задължително, че те не получават никакви указания. В някои случаи ръководителят на министерството може да забрани на главния инспектор да инициира, извърши или завърши даден одит или разследване, когато счете това за необходимо за опазването на важни национални интереси (в областта на сигурността). Конгресът обаче трябва да е уведомен за упражняването на това правомощие и на тази основа може да потърси отговорност от съответния директор. Вж. напр. Закон за главния инспектор (Inspector General Act) от 1978 г., § 8 (Главен инспектор на Министерството на отбраната); § 8E (Главен инспектор на Министерството на правосъдието), § 8G (d)(2)(A),(B) (Главен инспектор на АНС); 50. U.S.C. § 403q (b) (Главен инспектор на ЦРУ); Закон за разрешаване на разузнавателни дейности за финансова година 2010 (Intelligence Authorization Act For Fiscal Year 2010), Sec 405(f) (Главен инспектор на структурите на разузнаването). Според оценката на националните органи за защита на данните главните инспектори „по всяка вероятност отговарят на критерия за организационна независимост, определен от Съда на Европейския съюз и от Европейския съд по правата на човека, най-малкото от момента, в който новият процес на номиниране се прилага за всички.“ Вж. становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 40.

(111)  Вж. писмените изявления на ODNI (приложение VI), стр. 7. Вж. също Закон за главния инспектор от 1978 г. с изменение, публ. L. 113-126 от 7 юли 2014 г.

(112)  Вж. Закон за главния инспектор от 1978 г., § 6.

(113)  Вж. писмените изявления на ODNI (приложение VI), стр. 7. Вж. също Закон за главния инспектор от 1978 г., §§ 4(5), 5. Съгласно раздел 405(b)(3),(4) от Закона за разрешаване на разузнавателни дейности за финансова година 2010, публ. L. 111-259 от 7 октомври 2010 г., главният инспектор на структурите на разузнаването уведомява директора на Националното разузнаване и Конгреса относно необходимостта от корективни мерки и хода на изпълнението им.

(114)  Според оценката на националните органи за защита на данните, PCLOB е „доказал своите независими правомощия“ в миналото. Вж. становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 42.

(115)  В допълнение към това в PCLOB са назначени около 20 души редовен персонал. Вж. https://www.pclob.gov/about-us/staff.html.

(116)  Тук се включват най-малкото Министерството на правосъдието, Министерството на отбраната, Министерството на вътрешната сигурност, директорът на националното разузнаване и Централното разузнавателно управление, както и други министерства, агенции или структури на изпълнителната власт, определени от PCLOB като подходящи да бъдат обхванати от правомощията му.

(117)  Вж. 42 U.S.C.,§ 2000ee. Вж. също Механизъм на омбудсмана (приложение III), точка 6, буква б), подточка iv). Наред с другото, PCLOB трябва да докладва, когато изпълнителна агенция отказва да я подкрепя.

(118)  ODNI, Гаранции за личната информация на всички лица: Доклад за актуалното състояние относно изготвянето и прилагането на процедурите съгласно Президентска изпълнителна директива 28, стр. 7-8.

(119)  Пак там на стр. 8. Вж. също писмените изявления на ODNI (приложение VI), стр. 9.

(120)  ODNI, Гаранции за личната информация на всички лица: Доклад за актуалното състояние относно изготвянето и прилагането на процедурите съгласно Президентска изпълнителна директива 28, стр. 7. Вж. напр. АНС, ПИД-28, раздел 4 Процедури, 12 януари 2015 г., раздел 7.3, 8.7(c),(d); ФБР, Президентска изпълнителна директива 28, Политики и процедури, раздел III.(A)(4), (B)(4); ЦРУ, Дейности на радиоелектронното разузнаване, стр. 6 (Спазване) и стр. 8 (Отговорности).

(121)  Вж. Изпълнителен декрет 12333, раздел 1.6(c).

(122)  ПИД-28, раздел 4(a)(iv).

(123)  Вж. раздел 501, буква а), точка 1) (50 U.S.C. § 413(a)(1)). В тази разпоредба се съдържат общите изисквания относно надзора, упражняван от Конгреса в областта на националната сигурност.

(124)  Вж. раздел 501, буква b) (50 U.S.C. § 413(b)).

(125)  Вж. раздел 501, буква d) (50 U.S.C. § 413(d)).

(126)  Вж. 50 U.S.C. §§ 1808, 1846, 1862, 1871, 1881f.

(127)  Вж. 50 U.S.C. § 1881f.

(128)  Вж. 50 U.S.C. § 1881a(l)(1).

(129)  Вж. Закон за свободата в САЩ (USA FREEDOM Act) от 2015 г., публ. L. № 114-23, раздел 602, буква а). В допълнение към това, съгласно раздел 402 „директорът на Националното разузнаване, в консултация с Министъра на правосъдието, извършва преглед за разсекретяване на всяко решение, разпореждане или становище на Съда по надзора върху външното разузнаване или на Апелативния съд по надзора върху външното разузнаване, (както това е предвидено в раздел 601, буква е)), в което се съдържат значими конструкции или тълкувания на някоя законова разпоредба, включително нови или значими конструкции или тълкувания на понятието „конкретен критерий за подбор“, и съгласно този преглед обявява публично, доколкото това е практически възможно, всяко такова решение, разпореждане или становище.“

(130)  Закон за свободата в САЩ (USA FREEDOM Act), раздел 602, буква а) и раздел 603, буква а).

(131)  За някои видове наблюдения като алтернативно решение може да са дадени правомощия на магистрат към окръжен съд (U.S. Magistrate Judge), определен официално от Председателя на Върховния съд на САЩ (Chief Justice of the United States), да изслушва тези молби и да издава разпореждания.

(132)  В състава на Съда по надзора върху външното разузнаване влизат единадесет съдии, назначени от Председателя на Върховния съд на САЩ измежду действащи окръжни съдии, които преди това са назначени от президента с утвърждението на Сената. Съдиите, които са с пожизнено назначение и могат да бъдат отстранявани от длъжност само с основателна причина, изпълняват задълженията си в Съда по надзора върху външното разузнаване с разпределен седемгодишен мандат. Съгласно Закона за упражняване на надзор върху външното разузнаване съдиите трябва да са подбрани от най-малко седем различни съдебни окръга на САЩ. Вж. раздел 103 от ЗУНВР (50 U.S.C. 1803 (a)); НСВНЛЖГС, раздел 215 доклад, стр. 174—187. Работата на съдиите се подпомага от опитни помощник-съдии, които са назначен юридически персонал в съда и подготвят правни анализи по колективни искания. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 178; Писмо от уважаемия Reggie B. Walton, съдията — председател на Съда по надзора върху външното разузнаване на САЩ, до уважаемия Patrick J. Leahy, председател на правната комисия в Сената на САЩ (29 юли 2013 г.) („писмо Walton“), стр. 2—3.

(133)  В състава на Апелативния съд за наблюдение на чуждите разузнавателни служби влизат трима съдии, назначени от Главния съдия на САЩ и избрани измежду съдиите в окръжните и апелативните съдилища на САЩ, които изпълняват задълженията си с разпределен седемгодишен мандат. Вж. раздел 103 FISA (50 U.S.C. § 1803 (b)).

(134)  Вж. 50 U.S.C. §§ 1803 (b), 1861 a (f), 1881 a (h), 1881 a (i)(4).

(135)  Например допълнителни фактически подробности относно целта на наблюдението, техническа информация за методологията на наблюдението, или уверения за това как придобитата информация ще бъде използвана и разпространявана. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 177;

(136)  50 U.S.C. §§ 1804 (a), 1801 (g).

(137)  Съдът по надзора върху външното разузнаване може да приеме молбата, да изиска допълнителна информация, да определи, че е необходимо изслушване, или да посочи, че е възможно да отхвърли молбата. Въз основа на това предварително определение правителството подава окончателна молба. Тя може да включва съществени изменения на първоначалната молба въз основа на предварителните коментари на съдията. Въпреки че голям процент от окончателните заявления биват одобрявани от Съда за наблюдение на чуждите разузнавателни служби, значителна част от тях съдържат съществени изменения спрямо първоначалните, напр. 24 % от заявленията, одобрени в периода юли—септември 2013 г. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 179; писмо Walton, стр. 3.

(138)  Доклад на PCLOB, раздел 215, стр. 179, бел. под линия 619.

(139)  50 U.S.C. § 1803 (i)(1),(3)(A). Това ново законодателство изпълнява препоръките на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи за създаване на група от експерти по въпросите на неприкосновеността на личния живот и гражданските свободи, които да могат да изпълняват функциите на amicus curiae с цел да предоставят на съда правни аргументи за развитието в сферата на неприкосновеността на личния живот и гражданските свободи. Виж доклад на НСВНЛЖГС, раздел 215, стр. 183—187.

(140)  50 U.S.C. § 1803 (i)(2)(A). По информация на ODNI вече има определени такива. Вж. Реформа на радиоелектронното разузнаване, доклад за напредъка за 2016 г.

(141)  50 U.S.C. § 1803 (i)(2)(B).

(142)  50 U.S.C. § 1861

(143)  50 U.S.C. § 1861 (b).

(144)  (50 U.S.C., § 1881).

(145)  50 U.S.C. § 1881a (a).

(146)  Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 46.

(147)  50 U.S.C. § 1881a (h).

(148)  50 U.S.C. § 1881a (g). Според НСВНЛЖГС тези категории досега са се отнасяли главно за международния тероризъм и теми като придобиването на оръжия за масово унищожение. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 25;

(149)  Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 27.

(150)  50 U.S.C. § 1881a.

(151)  „Свобода и сигурност в един променящ се свят“, доклад и препоръки на консултативната група към Президента по въпросите на разузнаването и далекосъобщителните технологии, 12 декември 2013 г., стр. 152.

(152)  50 U.S.C.1881a (i).

(153)  С правило 13(b) от процедурния правилник на Съда по надзора върху външното разузнаване се изисква от правителството да подаде писмено уведомление до Съда незабавно след като се установи, че дадено от съда разрешение или одобрение е изпълнено по начин, който не съответства на разрешението или одобрението или на приложим закон. Също така в него се изисква от правителството да уведоми писмено Съда относно фактите и обстоятелствата, свързани с това неспазване. Обикновено правителството подава окончателно уведомление съгласно правило 13(а), когато станат известни съответните факти и бъде унищожена всяка информация, събрана без разрешение. Вж. писмо Walton, стр. 10.

(154)  50 U.S.C. § 1881 (l). Виж също доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 66—76; Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16.4.2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС. Събирането на лични данни за целите на разузнаването съгласно раздел 702 от ЗУНВР подлежи на вътрешен и външен надзор в рамките на изпълнителните органи. Вътрешният надзор включва наред с останалото и вътрешни програми с цел оценка и надзор на спазването на процедурите за целево събиране и свеждане до минимум; докладване на случаите на неспазване както в рамките на организацията, така и извън нея, пред ODNI, Министерството на правосъдието, Конгреса и Съда по надзора върху външното разузнаване; и годишни прегледи, които се изпращат на същите органи. Външният надзор се изразява главно в прегледи на процедурите за целево събиране и свеждане до минимум, извършвани от ODNI, Министерството на правосъдието и главните инспектори, които от своя страна докладват пред Конгреса и Съда по надзора върху външното разузнаване, включително относно случаите на неспазване. Значимите случаи на неспазване трябва да бъдат докладвани незабавно на Съда по надзора върху външното разузнаване, а останалите — в тримесечни доклади. Виж доклад на НСВНЛЖГС, раздел 702, стр. 66—77.

(155)  PCLOB, Препоръки от доклада за оценка от 29 януари 2015 г., стр. 20.

(156)  PCLOB, Препоръки от доклада за оценка от 29 януари 2015 г., стр. 16.

(157)  В допълнение към това в раздел 10 от Закона за процедурите във връзка с класифицираната информация (Classified Information Procedures Act) е предвидено, че при всяко наказателно преследване, в което Съединените американски щати трябва да докажат, че даден материал представлява класифицирана информация (напр. защото се изисква защита срещу неразрешено разкриване по съображения, свързани с националната сигурност), Съединените щати следва да уведомят ответника за частите от материала, за които има разумни основания да се очаква да са основание за установяване на елемента на нарушението, който се отнася за класифицираната информация.

(158)  Вж. също писмените изявления на ODNI (приложение VI), стр. 16.

(159)  18 U.S.C. § 2712.

(160)  50 U.S.C., § 1810.

(161)  50 U.S.C., § 1806.

(162)  18 U.S.C., § 1030.

(163)  18 U.S.C. §§ 2701-2712.

(164)  (12 U.S.C., § 3417).

(165)  Писмени изявления на ODNI (приложение VI), стр. 17.

(166)  5 U.S.C. § 706(2)(A).

(167)  (5 U.S.C., § 552). Подобни закони съществуват и в отделните щати.

(168)  Ако случаят е такъв, лицето обикновено получава само стандартен отговор, с който агенцията отказва да потвърди или да отрече наличието на някакви записи. Вж. ACLU с/у CIA, 710 F.3d 422 (D.C. Cir. 2014 г.).

(169)  Вж. писмените изявления на ODNI (приложение VI), стр. 16. Съгласно направените пояснения възможните начини на действие налагат да е налице вреда (18 U.S.C. § 2712; 50 U.S.C. § 1810) или да се докаже, че правителството възнамерява да използва или разкрие информацията, получена или производна от електронно наблюдение на съответното лице, срещу това лице в съдебни или административни производства в Съединените щати (50 U.S.C. § 1806). При все това, Съдът на Европейския съюз е подчертал неколкократно, за да се установи наличието на намеса в основното право на неприкосновеност на личния живот, няма значение дали в резултат от тази намеса е имало неблагоприятни последици за съответното лице. Вж. решение по делото Schrems, точка 89 с допълнителните препратки.

(170)  Този критерий за допустимост произтича от изискването„case or controversy“ („дело или противоречие“) съгласно Конституцията на САЩ, чл. III.

(171)  Вж. Clapper с/у Amnesty Int'l USA, 133 S.Ct. 1138, 1144 (2013 г.). По отношение на използването на ПНС, в Закона за свободата в САЩ (USA FREEDOM Act), (раздел 502(f)-503) е предвидено периодично да се преразглежда изискването за неразкриване и получателите на ПНС да бъдат уведомявани, когато фактите вече не са в подкрепа на изискването за неразкриване (вж. писмените изявления на ODNI (приложение VI), стр. 13). Това обаче не гарантира, че субектът на данните от ЕС ще бъде уведомен(а), че е обект на разследване.

(172)  В случай че жалбоподателят е поискал достъп до документи, държани от публичните органи на САЩ, се прилагат правилата и процедурите, определени в Закона за свобода на информацията (Freedom of Information Act). Това включва възможността да се търси защита по съдебен ред (вместо независим надзор), в случай че искането бъде отхвърлено, при условията, определени във FOIA.

(173)  Съгласно механизма за омбудсмана (приложение III), точка 4, буква е), омбудсманът към Щита за личните данни ще бъде в пряка връзка с органа на ЕС за разглеждане на жалби на физическите лица, който от своя страна ще има задължението да осъществява връзката с лицето, подало искането. Ако преките връзки са част от„основните процеси“, чрез които може да се удовлетвори искането (напр. при искане за достъп по FOIA, вж. раздел 5), тези връзки ще се осъществяват съобразно с приложимите процедури.

(174)  Вж. Механизъм за омбудсмана (приложение III), точка 2, буква а). Вж. също съображения 0—0.

(175)  Вж. Механизъм за омбудсмана (приложение III), точка 2, буква в). Съгласно поясненията, направени от правителството на САЩ, Надзорният съвет по въпросите на неприкосновеността на личния живот и гражданските свободи ще прави постоянен преглед на политиките и процедурите, както и на тяхното изпълнение, на онези органи на САЩ, които отговарят за противодействието на тероризма, за да определи дали техните действия„защитават по подходящ начин неприкосновеността на личния живот и гражданските свободи и са в съответствие с приложимите закони, подзаконови актове и политики в областта на неприкосновеността на личния живот и гражданските свободи“. Също така този съвет ще„приема и разглежда доклади и друга информация от служителите по въпросите на неприкосновеността на личния живот и служителите по въпросите на гражданските свободи, и когато е уместно, ще им дава препоръки за тяхната дейност.“

(176)  Вж. Roman Zakharov с/у. Russia, решение от 4 декември 2015 г. (голям състав), жалба № 47143/06, точка 275 („въпреки че по принцип е желателно контролът да се повери на съдия, надзорът от несъдебни органи може да се счита за съвместим с Конвенцията, при условие че въпросният надзорен орган е независим от органите, които извършват наблюдението, и има достатъчни и ефективни контролни правомощия“).

(177)  Вж. решението по дело Kennedy с/у Обединено кралство, решение от 18 май 2010 г., жалба № 26839/05, точка 167.

(178)  Делото Schrems, точка 95. Както е видно от точки 91—96 от решението, параграф 95 се отнася до степента на защита, гарантирана в правния ред на Съюза, за която степента на защита в третата държава трябва да бъде„равностойна по същество“. Съгласно точки 73 и 74 от решението, това не означава, че степента на защита или средствата, до които третата страна прибягва в това отношение, трябва да бъдат идентични, а че използваните средства е необходимо на практика да се окажат ефективни.

(179)  Съгласно четвъртата поправка„[п]равото на хората да се чувстват в безопасност, по отношение на себе си, къщите, документите и вещите си, срещу неразумни претърсвания и изземвания, не трябва да бъде нарушавано и няма да се издават актове на прокурора освен при основателни причини, подкрепени от клетва или потвърждение и при специално описание на мястото, което да се претърси или на лицата и на нещата, които трябва да бъдат иззети“. Само (магистрати) съдии могат да издават такива заповеди. Федерални заповеди за копирането на електронно съхранена информация подлежат също така на правило 41 от Федералните правила относно наказателното производство.

(180)  Върховният съд многократно определя претърсвания без заповет като„извънредни“. Вж. напр. Johnson с/у United States, 333 U.S. 10, 14 (1948); McDonald с/у United States, 335 U.S. 451, 453 (1948); Camara с/у Municipal Court, 387 U.S. 523, 528-29 (1967); G.M. Leasing Corp. с/у United States, 429 U.S. 338, 352-53, 355 (1977). По същия начин Върховният съд редовно подчертава, чe „основното конституционно правило в тази област е, че претърсвания извън съдебен процес без предварително одобрение от съдия или магистрат са сами по себе си неоснователни съгласно четвъртата поправка и в това отношение се прилагат само — няколко строго и изрично определени изключения.“ Вж. напр. Coolidge с/у New Hampshire, 403 U.S. 443, 454-55 (1971); G.M. Leasing Corp. с/у United States, 429 U.S. 338, 352-53, 358 (1977).

(181)  City of Ontario, Cal. с/у Quon, 130 S. Ct. 2619, 2630 (2010).

(182)  Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 107, позоваване на решение по дело Maryland с/у. King, 133 S. Ct. 1958, 1970 (2013).

(183)  Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 107, позоваване на решението по дело Samson с/у California, 547 U.S. 843, 848 (2006).

(184)  City of Ontario, Cal. с/у Quon, 130 S. Ct. 2619, 2630 (2010), 2627.

(185)  Вж. напр. United Sates с/у Wilson, 540 F.2d 1100 (D.C. Cir. 1976).

(186)  Вж. Roman Zakharov с/у Russia, решение от 4.12.2015 г. (голям състав), жалба № 47143/06, точка 269, съгласно което „изискването на доставчика на комуникационни услуги да се покаже разрешение за прихващане, преди да се получи достъп до съобщенията, е една от най-важните гаранции срещу злоупотреба от страна на правоприлагащите органи, като по този начин се гарантира, че във всички случаи на прихващане е получено съответното разрешение.“

(187)  Писмени изявления на Министерството на правосъдието (приложение VII), стр. 4 с допълнителните препратки.

(188)  Писмени изявления на Министерството на правосъдието (приложение VII), № 2.

(189)  Според получената от Комисията информация и като не се вземат предвид специфичните области, които вероятно не се отнасят за предаването на данни в рамките на Щита за личните данни в отношенията между ЕС и САЩ (напр. разследвания на измами в сферата на здравни грижи, малтретиране на деца или контролирани вещества), това се отнася най-вече до определени органи съгласно Закона за неприкосновеността на електронните съобщения Electronic Communications Privacy Act (ECPA), а именно исканията за основна информация за абонатите, сесията и фактурирането (18 U.S.C. § 2703(c)(1), (2), т.е. адрес, тип/продължителност на услугата) и за съдържанието на електронната поща на възраст над 180 дни (18 U.S.C. § 2703(a), (b)). Във втория случай обаче съответното лице трябва да бъде уведомено и по този начин да му се даде възможност да оспори искането в съда. Вж. също общия преглед на Министерство на правосъдието, Търсене и конфискация на компютри и получаване на електронни доказателства в наказателни разследвания (Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations), глава 3: Закон за съхранените съобщения (Stored Communications Act), стр. 115—138.

(190)  Съгласно писмените изявления на правителството на САЩ получателите на административните разпореждания могат да ги оспорят в съда на основание тяхната неоснователност, т.е. че са прекалени, репресивни или обременяващи. Вж. писмените изявления на Министерството на правосъдието (приложение VII), стр. 2.

(191)  5 U.S.C., § 702.

(192)  Като цяло само „окончателно“ действие на агенцията, вместо „предварително, процедурно или междинно“ действие на дадена агенция подлежи на съдебен контрол. Вж. 5 U.S.C. § 704.

(193)  5 U.S.C. § 706(2)(A).

(194)  18 U.S.C. §§ 2701-2712.

(195)  Законът за неприкосновеността на електронните съобщения (ECPA) осигурява защита на съобщенията, държани от две определени категории доставчици на мрежови услуги, а именно доставчици на: i) електронни съобщителни услуги, като например телефонията или електронната поща; ii) отдалечени изчислителни услуги, като например услуги по компютърно съхранение или обработване.

(196)  Тези изключения обаче са формулирани. Например съгласно 5 U.S.C. § 552 (b)(7) правата по FOIA не се прилагат за „документи или информация, изготвени за целите на правоприлагането, но само доколкото съставянето на такива документи или информация (A) може разумно да се очаква да възпрепятства процеса на правоприлагането, (Б) би лишило лицето от правото на справедлив процес или безпристрастна присъда, (В) може разумно да се очаква да представлява необосновано нарушение на неприкосновеността на личния живот, (Г) може разумно да се очаква да разкрие самоличността на поверителен източник, в това число държавна, местна или чуждестранна агенция или орган или частна институция, които са предоставили информация на поверителна основа, и — за документ или информация, изготвени от съдебен правоприлагащ орган в хода на наказателно разследване, или от агенция, провеждаща законно разузнавателно разследване във връзка с националната сигурност — информация, предоставена от поверителен източник, (Д) би разкрило техники и процедури за разследвания или наказателни преследвания за целите на правоприлагането или насоки за тях, ако може разумно да се очаква разкриването да предизвика риск от заобикаляне на закона, или (Е) може разумно да се очаква да застраши живота или физическата безопасност на дадено физическо лице.“ Също така „при искане, което предполага достъп по документи [чието съставяне може разумно да се очаква да възпрепятства процеса на правоприлагането] и — (A) разследването или производството предполага евентуално нарушение на наказателното право; и Б) има причина да смята, че i) обектът на разследването или производството не е запознат с висящото производство и ii) разкриването на наличието на документи може разумно да се очаква да възпрепятства процеса на правоприлагането, агенцията може да разглежда тези документи като документи, за които не се отнасят изискванията от настоящия раздел, само за толкова време, за колкото продължава съответното обстоятелство.“ (5 U.S.C. § 552 (c)(1)).

(197)  18 U.S.C. §§ 2510 и следв. Съгласно Закона за телефонното подслушване (Wiretap Act) (18 U.S.C. § 2520) лице, чиито кабелни, устни или електронни съобщения се прихващат, разкриват или умишлено се използват, може да заведе гражданско дело за нарушение на Закона за телефонното подслушване, в това число при определени обстоятелства — срещу конкретен държавен служител или Съединените американски щати. За събиране на информация, свързана с адреси, и друга информация без съществено съдържание (напр. IP адрес, имейл адрес до/от), вж. също глава „Pen Registers and Trap and Trace Devices“ в дял 18 (18 U.S.C. §§ 3121-3127 и — за граждански искове, § 2707).

(198)  18 U.S.C., § 1030. Съгласно Закона за компютърните измами и злоупотреби (Computer Fraud and Abuse Act) дадено лице може да заведе иск срещу друго лице във връзка с преднамерен неразрешен достъп (или над разрешения достъп) с цел получаване на информация от финансова институция, компютърна система на правителството на САЩ или друг конкретен компютър, включително при определени обстоятелства срещу конкретен държавен служител.

(199)  28 U.S.C. §§ 2671 и следв. Съгласно Закона за федералните претенции при непозволени действия (Federal Tort Claims Act) дадено лице може да заведе иск, при определени обстоятелства, срещу Съединените американски щати във връзка с „небрежност или неправомерно действие или бездействие на държавен служител, който е действал в рамките на служебните си задължения.“

(200)  12 U.S.C. §§ 3401 и следв. Съгласно Закона за правото на неприкосновеност на личните финанси (Right to Financial Privacy Act), дадено лице може да заведе иск, при определени обстоятелства, срещу Съединените американски щати във връзка с получаването или разкриването на защитени финансови документи в нарушение на закона. Достъпът на държавата до защитени финансови документи като цяло е забранен, освен ако правителството не поиска това по силата на законна призовка или заповед за обиск или, при спазване на ограниченията, с официално писмено искане, а лицето, чиято информация се иска, бъде уведомено за подаденото искане.

(201)  15 U.S.C. §§ 1681-1681x. Съгласно Закона за оповестяване на информация за кредити (Fair Credit Reporting Act) дадено лице може да предяви иск срещу всяко лице, което не спазва изискванията (по-специално необходимостта от законно разрешение) по отношение на събирането, разпространението и използването на информация за кредитите на потребителите, или, при определени обстоятелства, срещу държавна агенция.

(202)  Съдът на Европейските общности призна, че правоприлагането е законосъобразна цел на политиката. Вж. съединени дела C-293/12 и C-594/12, Digital Rights Ireland и други, EU:C:2014:238, точка 42. Вж. също член 8, параграф 2 от (ЕКПЧ) и решението на Европейския съд по правата на човека по делото Weber и Saravia с/у Германия, жалба № 54934/00, точка 104.

(203)  Решение по делото Schrems, точки 40 и следв. и т.101—103.

(204)  Решение по делото Schrems, точки 51, 52 и 62.

(205)  Делото Schrems, точка 65.

(206)  Делото Schrems, точка 76.

(207)  Считано от датата на прилагане на Общия регламент относно защитата на данните, Комисията ще упражнява правомощията си да приеме по надлежно обосновани наложителни причини за спешност акт за изпълнение за суспендиране на настоящото решение, който ще се прилага незабавно, без предварително представяне пред съответния комитет в рамките на процедурата на комитология, и ще остане в сила за период не по-дълъг от шест месеца.

(208)  Становище 01/2016 относно проект на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ, публикувано на 13 април 2016 г.

(209)  Резолюция на Европейския парламент от 26 май 2016 г. относно трансатлантическите потоци от данни ((2016/2727 (RSP)).


ПРИЛОЖЕНИЕ I

7 юли 2016 г.

Г-жа Вера Йоурова

Комисар по въпросите на правосъдието, потребителите и равнопоставеността между половете

Европейска комисия

Rue de la Loi/Westraat 200

1049 Брюксел

Белгия

Уважаема комисар Йоурова,

От името на Съединените щати за мен е удоволствие да предам с настоящото писмо пакет от материали към Щита за личните данни в отношенията между ЕС и САЩ, резултат от двугодишните ползотворни обсъждания между нашите екипи. Наред с другите материали, които са на разположение на Комисията от публични източници, този пакет осигурява много здрава основа за нови констатации на Европейската комисия относно адекватността (1).

Ние заедно трябва да се гордеем с подобренията на рамката. Щитът за личните данни се основава на принципи, за които има силна консенсусна подкрепа от двете страни на Атлантика, и ние подсилихме тяхното действие. Чрез съвместната си работа имаме реалната възможност да подобрим защитата на неприкосновеността на личния живот в целия свят.

Пакетът към Щита за личните данни съдържа Принципите на Щита за личните данни заедно с включеното като приложение 1 писмо, в което Администрацията по международната търговия (АМТ) към управляващото програмата Министерство на търговията разглежда ангажиментите, поети от нашето министерство, за да гарантира ефективното функциониране на Щита за личните данни. Също така пакетът включва приложение 2, в което са разгледани други ангажименти на Министерството на търговията във връзка с новия арбитражен модел, който съществува съгласно Щита за личните данни.

Разпоредих на моите служители да бъдат вложени всички ресурси, необходими за експедитивното и цялостно прилагане на рамката на Щита за личните, както и за да се гарантира своевременното спазване на ангажиментите, посочени в приложения 1 и 2.

Пакетът към Щита за личните данни включва също така и други документи от други органи на Съединените щати, а именно:

писмо от Федералната търговска комисия (ФТК), в което се разглеждат действията от нейна страна по прилагането на Щита за личните данни;

писмо от Министерството на транспорта, в което се разглеждат действията от негова страна по прилагането на Щита за личните данни;

две писма, изготвени от Службата на директора на Националното разузнаване (СДНР), относно гаранциите и ограниченията, които се прилагат за органите на националната сигурност на САЩ;

писмо от Държавния департамент и съпътстващ го меморандум, в които се описва ангажиментът на Държавния департамент да създаде нов омбудсман към Щита за личните данни за отправяне на запитвания относно практиките в радиоелектронното разузнаване на Съединените щати; и

писмо, изготвено от Министерството на правосъдието относно гаранциите и ограниченията по отношение на достъпа от страна на правителството на САЩ за целите на правоприлагането и за цели от обществен интерес.

Можете да бъдете уверена, че Съединените щати гледат сериозно на тези ангажименти.

В срок от 30 дни след окончателното одобрение на решението относно адекватността пълният пакет към Щита за личните данни ще бъде предоставен за публикуване във Федералния регистър.

Очакваме с нетърпение да работим с Вас в хода на прилагането на Щита за личните данни и заедно да се заемем със следващия етап от този процес.

С уважение,

Penny Pritzker


(1)  Предвид това че решението на Комисията относно адекватността на защитата, осигурена от Щита за личните данни в отношенията между ЕС и САЩ, се прилага в Исландия, Лихтенщайн и Норвегия, пакетът към Щита за личните данни ще обхване както Европейския съюз, така и тези три държави.

Приложение 1

До уважаемата Вера Йоурова

Комисар по въпросите на правосъдието, потребителите и равнопоставеността между половете

Европейска комисия

Rue de la Loi/Westraat 200

1049 Брюксел

Белгия

Уважаема комисар Йоурова,

От името на Администрацията по международната търговия за мен е удоволствие да опиша повишената степен на защита на личните данни, която осигурява рамката за Щита за личните данни в отношенията между ЕС и САЩ („Щитът за личните данни“ или „рамката“), и ангажиментите, които пое Министерството на търговията („Министерството“), за да гарантира ефективното функциониране на Щита за личните данни. Финализирането на това историческо споразумение е значимо постижение за неприкосновеността на личния живот и за дружествата от двете страни на Атлантическия океан. То дава увереност на физическите лица от ЕС, че техните данни ще бъдат защитени и че разполагат със средства за правна защита за намирането на решения на евентуални проблеми. Дава сигурност, която ще спомогне за растежа на трансатлантическата икономика, като гарантира на хиляди европейски и американски дружества възможност да продължат да инвестират и да извършват стопанска дейност през границите ни. Щитът за личните данни е резултат от повече от две години усилена работа и сътрудничество с вас, нашите колеги в Европейската комисия („Комисията“). Очакваме с нетърпение да продължим да работим с Комисията, за да гарантираме, че Щитът за личните данни ще функционира според предвиденото.

Ние работихме съвместно с Комисията за разработването на Щита за личните данни, за да могат организациите, установени в Съединените щати, да изпълнят изискванията за адекватност по отношение на защитата на данните съгласно правото на ЕС. Новата рамка ще донесе няколко съществени ползи както за физическите лица, така и за дружествата. На първо място, тя осигурява важен набор от защити за неприкосновеността на личния живот по отношение на данните на физическите лица от ЕС. Тя изисква от организациите — участници от САЩ, да разработят съответна политика в областта на неприкосновеността на личния живот, да се ангажират публично да спазват Принципите на Щита за личните данни, така че ангажиментите им да подлежат на прилагане съгласно правото на САЩ, ежегодно да пресертифицират спазването пред министерството, да осигурят възможност за физическите лица от ЕС за безплатно, независимо разрешаване на спорове, и по отношение на тях Федералната търговска комисия на САЩ („ФТК“), Министерство на транспорта („МТ“) или друг правоприлагащ орган да упражнява правомощията си. На второ място, Щитът за личните данни ще позволи на хиляди дружества в Съединените щати и дъщерни на европейски дружества в САЩ да получават лични данни от Европейския съюз в улеснение на потоците от данни, които са в основата на трансатлантическата търговия. Трансатлантическите икономически отношения вече са най-мащабните в света, като на тях се дължи половината от световното икономическо производство и търговия на стоки и услуги на стойност близо един трилион долара, което осигурява милиони работни места от двете страни на Атлантика. Дружествата, които разчитат на трансатлантически потоци от данни, са представители на всички промишлени сектори и включват както големи дружества — сред първите 500 според класацията на Fortune, така и много малки и средни предприятия (МСП). Трансатлантическите потоци от данни позволяват на организации в САЩ да обработват данни, необходими за предлагането на стоки, услуги и възможности за трудова заетост на лица от Европа. Щитът за личните данни е в подкрепа на споделените принципи за неприкосновеност на личния живот, като изгражда мост между различията в нашите правни подходи и същевременно способства за постигането на целите в областта на търговията и икономиката както на Европа, така и на Съединените щати.

Въпреки че решението на едно дружество да се самосертифицира съгласно тази нова рамка ще бъде доброволно, след като то се ангажира публично с Щита за личните данни неговият ангажимент подлежи на прилагане съгласно правото на САЩ от Федералната търговска комисия или Министерството на транспорта, в зависимост от това кой орган е компетентен по отношение на организацията — участник в Щита за личните данни.

Подобрения съгласно Принципите на Щита за личните данни

Така създаденият Щит за личните данни повишава защитата на личните данни посредством:

изискването за предоставяне на допълнителна информация на лицата съгласно принципа за уведомяване, включително за деклариране на участието на организацията в Щита за личните данни, декларация за правото на физическото лице на достъп до личните данни, и определянето на съответната независима организация за разрешаване на спорове;

увеличаване на защитата на личните данни, които се предават от организация — участник в Щита за личните данни, към администратор на трета страна, като се поставя изискване към страните да сключат договор, в който е предвидено, че тези данни ще бъдат обработвани само с ограничени и конкретно определени цели в съответствие със съгласието, дадено от лицето, както и че получателят ще осигури същата степен на защита, която се осигурява от Принципите;

увеличаване на защитата на личните данни, които се предават от организация — участник в Щита за личните данни, към трета страна представител, включително като се поставя изискване към организацията — участник в Щита за личните данни: да предприема обосновани и съответни мерки, за да гарантира, че представителят ефективно обработва предадената лична информация по начин, който съответства на задълженията на организацията съгласно Принципите; при уведомяване да предприема обосновани и съответни мерки, за да преустанови и отстрани последиците от неразрешено обработване; и при поискване да предоставя на министерство обобщение или представително копие на съответните разпоредби във връзка с личните данни от договора с третата страна;

предвиждане, че организацията — участник в Щита за личните данни, носи отговорност за обработването на личната информация, която получава съгласно Щита за личните данни и впоследствие предава на трета страна, която изпълнява функциите на представител от нейно име, както и че организацията — участник в Щита за личните данни, ще продължи да носи отговорност съгласно Принципите, ако нейният представител обработва тази лична информация по начин, който не съответства на Принципите, освен ако организацията докаже, че не носи отговорност за събитието, породило вредата;

поясняване, че организацията — участник в Щита за личните данни, трябва да ограничава личната информация до необходимото за целите на обработването;

поставяне на изискване към организациите да удостоверяват ежегодно пред министерството своя ангажимент да прилагат Принципите по отношение на информацията, която са получили, докато са участвали в Щита за личните данни, в случай че напуснат Щита за личните данни и изберат да запазят тези данни;

изискване да бъдат осигурени независими механизми за защита, безплатно за физическите лица;

поставяне на изискване към организациите и избраните от тях независими механизми за защита да отговарят в кратки срокове на запитвания и искания за информация от страна на министерство във връзка с Щита за личните данни;

поставяне на изискване към организациите да отговарят експедитивно на жалби във връзка със спазването на Принципите, насочени към тях от органи на държавите — членки на ЕС, чрез министерството; и

поставяне на изискване към организациите — участници в Щита за личните данни, да обявяват публично всички съответно свързани с Щита за личните данни части от евентуални доклади за спазването или доклади за оценка, представени на ФТК, ако по отношение на организацията е издадена заповед от ФТК или съдебно разпореждане във връзка с неспазване.

Управление и надзор на Програмата на Щита за личните данни от Министерство на търговията

Министерство потвърждава ангажимента си да поддържа и предоставя за публичен достъп официален списък на организациите от САЩ, които са се самосертифицирали пред министерството и са декларирали ангажимента си да спазват Принципите („Списък към Щита за личните данни“). Министерството ще актуализира Списъка към Щита за личните данни, като ще заличава от него организациите, които са се оттеглили доброволно, не са изпълнили изискването за ежегодно пресертифициране съгласно процедурите на министерството или е установено, че трайно не спазват Принципите. Също така министерството ще поддържа и предоставя за публичен достъп официален регистър на организациите в САЩ, които по-рано са били самосертифицирани в министерството, но са заличени от Списъка към Щита за личните данни, включително заличените поради трайно неспазване на Принципите. Министерството ще посочи причините, поради които всяка организация е била отстранена от списъка.

В допълнение към това министерството се ангажира да засили управлението и надзора на Щита за личните данни. По-специално министерството ще:

 

Предоставя допълнителна информация на уебсайта на Щита за личните данни:

поддържа Списъка към Щита за личните данни, както и справка за организациите, които по-рано са се самосертифицирали, че ще спазват принципите, но повече не се ползват с предимствата на Щита за личните данни;

постави на видно място пояснение, с което да става ясно, че всички организации, които са били заличени от Списъка към Щита за личните данни, повече не се ползват с предимствата на Щита за личните данни, но въпреки това трябва да продължат да прилагат Принципите за личната информация, която са получили, докато са участвали в Щита за личните данни, за времето през което продължават да съхраняват тази информация; и

предостави електронна връзка към списъка на регистрираните във Федералната търговска комисия случаи във връзка с Щита за личните данни, който се поддържа на уебсайта на ФТК.

 

Проверява изискванията за самосертифициране:

преди окончателното самосертифициране на дадена организация (или ежегодното ѝ пресертифициране) и включването ѝ в Списъка към Щита за личните данни проверява дали организацията:

е посочила необходимата информация за връзка с нея;

е описала дейностите, които извършва във връзка с получената от ЕС лична информация;

е посочила каква е личната информация, за която се отнася самосертифицирането;

ако организацията има публичен уебсайт, е предоставила хипервръзка към адреса, където е предоставила на разположение политиката си в областта на неприкосновеността на личния живот и тази политика е достъпна на адреса на предоставената хипервръзка, а ако организацията няма публичен уебсайт, е посочила къде е предоставила на разположение за публичен достъп политиката си в областта на неприкосновеността на личния живот;

е включила в съответната си политика в областта на неприкосновеността на личния живот декларация, че спазва Принципите, и когато политиката ѝ в областта на неприкосновеността на личния живот е на разположение онлайн, е предоставила хипервръзка към страницата на Щита за личните данни на уебсайта на министерството;

е определила конкретния законовоустановен орган, който е компетентен да разглежда жалби срещу организацията във връзка с евентуални нелоялни или измамни практики или нарушения на законите или разпоредбите, уреждащи неприкосновеността на личния живот (и който е посочен в Принципите или в бъдещо приложение към Принципите);

ако организацията е избрала да изпълни изискванията, посочени в буква а), подточки i) и iii) от принципа „Защита, прилагане и отговорност за причинени вреди“, като се е ангажирала да сътрудничи със съответните органи по защита на данните („ОЗД“) в ЕС, е посочила намерението си да сътрудничи с ОЗД при разследването и разрешаването на жалбите, подадени съгласно Щита за личните данни, и по-специално да отговаря на техни запитвания, когато субекти на данни от ЕС са подали жалба директно в националния си ОЗД;

е определила програма за неприкосновеността на личния живот, на която организацията е член;

е определила метод за проверка, с цел осигуряване на спазването на Принципите (напр. вътрешна или от трета страна);

е определила при подаване на самосертификацията си и в своята политика в областта на неприкосновеността на личния живот независимия механизъм за защита, който е на разположение за разследване и разрешаване на жалби;

е включила в съответната си политика в областта на неприкосновеността на личния живот, когато тази политиката е на разположение онлайн, хипервръзка към уебсайт или към формуляр за подаване на жалба на независимия механизъм за защита, който е на разположение за разследване на нерешени жалби; и

ако организацията е посочила, че възнамерява да получава информация във връзка с човешки ресурси, предавана от ЕС, за използване в контекста на трудови правоотношения, е декларирала ангажимента си да си сътрудничи с ОЗД и да спазва препоръките им за разрешаването на жалби относно нейни дейности във връзка с такива данни, е предоставила на министерството копие от политиката си в областта на неприкосновеността на личния живот на човешките ресурси и е посочила къде е предоставила на разположение на засегнатите служители тази политика, за да могат да я разгледат.

работи с независими механизми за защита за удостоверяване, че организациите действително са се регистрирали в съответните механизми, които са посочили при самосертифицирането си, когато е поставено изискване за такава регистрация.

 

Разширява усилията за последващи действия спрямо организациите, които са били заличени от Списъка към Щита за личните данни:

уведомява организациите, които са заличени от Списъка към Щита за личните данни поради „трайно неспазване“, че нямат право да задържат информацията, събрана съгласно Щита за личните данни; и

изпраща въпросници до организациите, чието самосертифициране е изтекло или които доброволно са се оттеглили от Щита за личните данни, за да се провери дали организацията ще започне отново да участва, или ще се отпише, или ще продължи да прилага Принципите за личната информация, която е получила, докато е участвала в Щита за личните данни, и ако възнамерява да задържи личната информация, да удостовери кой в рамките на организацията ще служи за лице за постоянен контакт по въпросите във връзка с Щита за личните данни.

 

Търси неверни твърдения за участие и намира решения:

прави преглед на политиката в областта на неприкосновеността на личния живот на организации, които са участвали в програма съгласно Щита за личните данни, но са били заличени от Списъка към Щита за личните данни, за да се следи за неверни твърдения за участие в Щита за личните данни;

текущо, когато една организация: a) се оттегли от участие в Щита за личните данни, б) не се пресертифицира за спазването на Принципите или в) бъде отстранена от участие в Щита за личните данни, по-специално поради „трайно неспазване“, предприема по служебен път проверка за установяване дали организацията е изтрила от съответните публикации относно политиката си в областта на неприкосновеността на личния живот всички упоменавания на Щита за личните данни, които водят до заключението, че продължава да участва активно и се ползва с предимствата от участието си в Щита за личните данни. Когато министерството констатира, че тези упоменавания не са премахнати, той ще предупреди организацията, че ще отнесе въпроса според случая до съответната инстанция за евентуално предприемане на действия по правоприлагане, ако организацията продължава да твърди, че е сертифицирана съгласно Щита за личните данни. Ако организацията нито премахва упоменаванията, нито самосертифицира своето съответствие по отношение на Щита за личните данни, министерството ще отнесе въпроса по служебен път до ФТК, МТ или друг съответен правоприлагащ орган, или в случаите, когато това е уместно, ще предприеме действия по прилагане във връзка със сертификационния знак съгласно Щита за личните данни;

полага други усилия да следи за неверни твърдения за участие в Щита за личните данни и за неправилно използване на сертификационния знак съгласно Щита за личните данни, включително като провежда търсене в интернет, за да установи появата на изображения на сертификационния знак съгласно Щита за личните данни и на упоменавания на Щита за личните данни в политиките на организациите в областта на неприкосновеността на личния живот;

своевременно ще се намират решения на евентуални проблеми, които сме установили при служебните проверки за неверни твърдения за участие и неправилно използване на сертификационния знак, включително като се отправят предупреждения към организациите, които неправилно представят информация за участието си в програма съгласно Щита за личните данни, както това е описано по-горе;

предприема други подходящи корективни мерки, включително чрез средства за правна защита, които министерството е компетентно да предприеме, и отнасяне на въпроса до ФТК, МТ или друг съответен правоприлагащ орган; и

своевременно разглежда и намира решения на получаваните от нас жалби относно неверни твърдения за участие.

Министерството ще извършва преглед на политиките на организациите в областта на неприкосновеността на личния живот с цел по-ефективното установяване на неверни твърдения за участие в Щита за личните данни и намиране на решения. По-специално министерството ще извършва преглед на политиките в областта на неприкосновеността на личния живот на организации, чието самосертифициране е изтекло поради това, че не са се пресертифицирали за спазването на Принципите. Министерството ще извършва тези прегледи, за да проверява дали такива организации са премахнали от съответните публикации относно политиката си в областта на неприкосновеността на личния живот всички упоменавания, които водят до заключението, че продължават да участват активно в Щита за личните данни. В резултат от този вид прегледи ще идентифицираме организациите, които не са премахнали тези упоменавания и ще им бъдат изпращани писма от службата на главния юрисконсулт на министерството с предупреждение за предприемане на възможни действия по прилагане, ако упоменаванията не бъдат премахнати. Министерството ще предприема последващи мерки с цел да гарантира, че организациите са премахнали неуместните упоменавания или са се пресертифицирали за спазването на Принципите. Освен това министерството ще полага усилия за установяването на неверни твърдения за участие в Щита за личните данни от страна на организации, които никога не са участвали в програма съгласно Щита за личните данни, и ще предприема по отношение на тези организации корективни мерки.

 

Извършва периодични служебни прегледи и оценки на спазването на програмата:

текущо следи за ефективното спазване, включително чрез изпращане на подробни въпросници на участващите организации, за да установи проблеми, които могат да налагат допълнителни последващи действия. По-специално тези прегледи на спазването ще се извършват, когато: a) министерството получи конкретна основателна жалба относно спазването от дадена организация на Принципите, б) дадена организация не предостави задоволителни отговори на запитванията на министерството за информация във връзка с Щита за личните данни, или в) има достоверни доказателства, че дадена организация не спазва ангажиментите си съгласно Щита за личните данни. Когато е уместно, министерството ще се консултира с компетентните органи по защита на данните относно тези проверки за спазването; и

периодично прави оценка на управлението и надзора на програмата за Щита за личните данни с цел да гарантира, че мониторинговите усилия са уместни за намирането на решения на новите проблеми, които възникват.

Министерството увеличи ресурсите, които ще бъдат вложени за управлението и надзора на програмата за Щита за личните данни, включително увеличи два пъти броя на служителите, които ще отговарят за управлението и надзора на програмата. Ние ще продължим да заделяме съответните ресурси за тези усилия, за да гарантираме ефективния мониторинг и управление на програмата.

 

Адаптира уебсайта на Щита за личните данни според целевите: групи

Министерството ще адаптира уебсайта на Щита за личните данни с насоченост върху три целеви групи: физически лица от ЕС, дружества от ЕС и дружества от САЩ. Включването на материал, насочен пряко към физическите лица от ЕС и дружествата от ЕС, ще съдейства за прозрачността по няколко начина. По отношение на физическите лица от ЕС ще бъдат ясно пояснени: 1) правата, които Щитът за личните данни дава на физическите лица от ЕС; 2) механизмите за защита, с които разполагат физическите лица от ЕС, когато считат, че дадена организация нарушава ангажиментите си да спазва Принципите; и 3) как да намерят информация, отнасяща се до самосертифицирането на дадена организация съгласно Щита за личните данни. По отношение на дружествата от ЕС ще се улесни проверката: 1) дали дадена организация се ползва от предимствата на Щита за личните данни; 2) за вида на информацията, която е включена в самосертифицирането на дадена организация съгласно Щита за личните данни; 3) за политиката в областта на неприкосновеността на личния живот, която се прилага за включената информация; и 4) за метода, който организацията използва за проверка на спазването на Принципите.

 

Засилване на сътрудничеството с ОЗД

За увеличаване на възможностите за сътрудничество с ОЗД министерството ще определи конкретно лице за контакт в министерството, което да изпълнява функциите на връзка с ОЗД. В случаите, когато даден ОЗД счита, че организация не спазва Принципите, включително след подадена жалба от физическо лице от ЕС, ОЗД може да се свърже с определеното лице за връзка в министерството, за да посочи организацията за допълнителна проверка. Също така лицето за връзка ще получава сезирания за организации, които неправомерно твърдят, че участват в Щита за личните данни, въпреки че никога не са се самосертифицирали за спазването на Принципите. Лицето за връзка ще съдейства на ОЗД, търсещи информация, свързана със самосертифицирането на конкретна организация или предишно участие в програмата, и ще отговаря на запитвания от ОЗД във връзка с изпълнението на конкретни изисквания съгласно Щита за личните данни. На второ място, министерството ще предоставя на ОЗД материали във връзка с Щита за личните данни, които те да включват на уебсайтовете си за повишаване на прозрачността за физическите лица от ЕС и дружествата от ЕС. Повишаването на информираността относно Щита за личните данни и правата и отговорностите, които произтичат от него, трябва да улесни установяването на проблемите при тяхното възникване, така че да могат да бъдат решавани по подходящ начин.

 

Съдейства за разрешаването на жалби за неспазване

Чрез определеното лице за връзка министерството ще бъде сезирано от ОЗД относно жалби във връзка с неспазването на Принципите от страна на организация — участник в Щита за личните данни. Министерството ще полага всички възможни усилия да съдейства за разрешаването на жалбата съвместно с организацията — участник в Щита за личните данни. В срок до 90 дни от получаването на жалбата министерството ще информира ОЗД за актуалното състояние. За улесняване на подаването на такива жалби министерството ще създаде стандартен формуляр, който ОЗД да подават до определеното лице за връзка в министерството. Това лице ще проследява всички сезирания на министерството от ОЗД относно жалби и министерството ще предоставя доклад с обобщен анализ на жалбите, които са получени през годината, в разгледания по-долу годишен преглед.

 

Приема арбитражни процедури и избира арбитри в консултация с Комисията

Министерството ще изпълни ангажиментите си, разгледани в приложение I, и ще публикува процедурите след постигане на съгласие.

 

Механизъм за съвместен преглед на функционирането на Щита за личните данни

Министерството на търговията, ФТК и други агенции, според случая, ще провеждат ежегодни срещи с Комисията, заинтересовани ОЗД и съответни представители на работната група по член 29, на които министерството ще предоставя актуална информация относно програмата за Щита за личните данни. На годишните срещи ще се провеждат дискусии по текущи въпроси, свързани с функционирането, изпълнението, надзора и прилагането на Щита за личните данни, включително относно сезиранията на министерството от ОЗД във връзка с жалби, резултатите от служебните прегледи на спазването и също така могат да бъдат обсъждани съответни изменения в законодателството. Първият годишен преглед и съответно последващите прегледи ще включват и диалог по други въпроси, като например в областта на автоматизираното вземане на решения, включително що се отнася до приликите и разликите в подходите на ЕС и САЩ.

 

Актуализиране на законодателството

Министерството ще положи усилия в рамките на разумното, за да информира Комисията за съществени промени в законодателството на САЩ, доколкото те са от значение за Щита за личните данни в областта на защитата на личните данни и ограниченията и гаранциите, приложими към достъпа до лични данни от органите на САЩ и последващото им използване.

 

Изключение за целите на националната сигурност

Във връзка с ограниченията по отношение спазването на Принципите на Щита за личните данни за целите на националната сигурност главният юрисконсулт на Службата на директора на Националното разузнаване Robert Litt също изпрати две писма, адресирани до Justin Antonipillai и Ted Dean от Министерството на търговия, които ви бяха препратени. Наред с останалото в писмата се обсъждат нашироко политиките, гаранциите и ограниченията, които се прилагат за дейностите на радиоелектронното разузнаване, провеждани от САЩ. В допълнение към това в писмата са разгледани мерките за прозрачност, които се осигуряват от разузнавателната общност на САЩ по тези въпроси. Тъй като Комисията понастоящем прави преценка за рамката на Щита за личните данни, информацията в тези писма дава уверения да се направи заключението, че Щитът за личните данни ще функционира по съответен начин съгласно посочените в него принципи. Според нашето разбиране вие можете да набирате информация от публично обявената от разузнавателната общност, наред с друга информация, за целите на бъдещите годишни прегледи на рамката на Щита за личните данни.

Въз основа на Принципите на Щита за личните данни и придружаващите писма и материали, включително ангажиментите на министерството във връзка с управлението и надзора на рамката на Щита за личните данни, очакваме Комисията да констатира, че рамката на Щита за личните данни в отношенията между ЕС и САЩ осигурява адекватна защита за целите на правото на ЕС, и предаванията на данни от Европейския съюз за организациите — участници в Щита за личните данни, ще продължат.

С уважение,

Ken Hyatt

Приложение 2

Арбитражен модел

ПРИЛОЖЕНИЕ I

В настоящото приложение I се определят условията, при които организациите — участници в Щита за личните данни, са задължени да решават жалбите чрез арбитраж съгласно принципа за защита, прилагане и отговорност за причинени вреди. Възможността за правно обвързващ арбитраж, описана по-долу, се прилага за някои жалби относно данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ, по които няма определено решение. С тази възможност се цели да се предостави бърз, независим и справедлив механизъм, който по избор на физическите лица може да бъде прилаган за решаване на жалби за нарушаване на Принципите, по които няма определено решение чрез някой от другите механизми съгласно Щита за личните данни, ако съществуват такива.

A.   Обхват

Тази възможност за арбитраж е на разположение на физическите лица за нерешените жалби, за да може да се определи дали организация — участник в Щита за личните данни, е нарушила задълженията си съгласно Принципите по отношение на това физическо лице и дали това нарушение е останало изцяло и частично неотстранено. Тази възможност е предвидена само за тези цели. Например по отношение на изключенията от Принципите (1) или на твърдения относно адекватността на Щита за личните данни не се предвижда такава възможност.

Б.   Налични средства за правна защита

Съгласно тази процедура за арбитраж специалната група по Щита за личните данни (в чийто състав влизат един или трима арбитри по споразумение между страните) е компетентна да предписва специфични за конкретния случай непарични безпристрастни мерки (например предоставяне на достъп, коригиране, заличаване или връщане на въпросните данни на физическото лице), необходими като корективно действие срещу нарушаването на Принципите единствено по отношение на физическото лице. Специалната група по арбитража разполага единствено с тези правомощия във връзка със средствата за правна защита. Когато определя корективните мерки, от специалната група по арбитража се изисква да взема предвид и другите средства за правна защита, които са били определени преди това от други механизми съгласно Щита за личните данни. Не се предоставя правна защита по отношение на претърпени вреди, направени разходи, заплатени такси и други. Всяка страна по спора сама поема разноските по хонорарите на адвокати.

В.   Изисквания преди арбитраж

Когато физическо лице реши да използва тази възможност за арбитраж, то трябва да предприеме следните стъпки, преди да инициира арбитражно производство: 1) да подаде жалбата срещу нарушението направо пред организацията и да предостави възможност на тази организация да намери решение на въпроса в рамките на срока, определен в раздел III, точка 11, буква г), подточка i) от Принципите; 2) да използва независимия механизъм за защита съгласно Принципите, който е безплатен за лицето; и 3) да отнесе въпроса до Министерството на търговията чрез съответния орган по защита на данните и да предостави възможност на министерството да положи максимални усилия да разреши въпроса в рамките на срока, определен в писмото на Администрацията по международна търговия към Министерството на търговията, безплатно за лицето.

Тази възможност за арбитраж не може да се използва, когато преди това по жалба на това физическо лице срещу същото нарушение на Принципите: 1) е прилаган правно обвързващ арбитраж; 2) е определено окончателно решение след съдебен процес, по който физическото лице е било страна; или 3) вече е постигнато споразумение между страните. Освен това тази възможност за арбитраж не може да се използва, когато орган по защита на данните от ЕС: 1) е компетентен съгласно раздел III, точки 5 или 9 от Принципите; или 2) е компетентен да определи решение по жалбата срещу нарушение директно с организацията. Компетентността на ОЗД да определи решение по същата жалба срещу администратор на данни от ЕС сама по себе си не изключва възможността да бъде използвана тази възможност за арбитраж срещу друго юридическо лице, спрямо което този ОЗД няма правомощия.

Г.   Правно обвързващ характер на решенията

Решението на дадено физическо лице да използва тази възможност за правно обвързващ арбитраж е напълно доброволно. Арбитражните решения ще бъдат задължителни за всички страни по арбитражното производство. Инициирането на арбитраж означава, че физическото лице се отказва от възможността да търси решение по жалбата срещу същото нарушение пред друга инстанция, освен когато определените непарични безпристрастни мерки не компенсират напълно извършеното нарушение и инициирането на арбитражно дело не изключва възможността за физическото лице да поиска обезщетение за вреди в обикновените съдилища.

Д.   Контрол и привеждане в изпълнение

Физическите лица и организациите — участници в Щита за личните данни, могат да отнесат арбитражните решения за съдебен контрол и принудително изпълнение по силата на правото на САЩ съгласно Федералния арбитражен закон (Federal Arbitration Act) (2). В тези случаи отнасянето става във федерален окръжен съд, в чийто район на действие попада основното място на установяване на дейността на организацията— участник в Щита за личните данни.

Тази възможност за арбитраж е предназначена за разрешаване на индивидуални спорове и арбитражните решения нямат действието на убедителен или обвързващ прецедент по въпроси, в които участват други страни, включително за бъдещи арбитражни производства или за съдилищата в ЕС или в САЩ, както и за производства на ФТК.

Е.   Специална група по арбитража

Страните ще избират арбитри от списъка, разгледан по-нататък.

В съответствие с приложимото законодателство Министерството на търговията на САЩ и Европейската комисия ще съставят списък с най-малко 20 арбитри, подбрани въз основа на техните независимост, почтеност и опит. Във връзка с този процес ще се прилага следното:

Арбитрите:

1)

ще остават включени в списъка за срок от 3 години освен в изключителни случаи или по основателни причини, като този срок може да бъде еднократно удължаван за нови 3 години;

2)

не трябва да действат под указания на която и да е от страните, на организация — участник в Щита за личните данни, на правителствена институция, публичен орган или правоприлагащ орган на САЩ, ЕС, държава — членка на ЕС, или друг такъв орган, както и не трябва да са обвързани с такива; и

3)

трябва да имат разрешение да практикуват право в САЩ, да бъдат специалисти в законодателството на САЩ в областта на неприкосновеността на личния живот и да имат експертен опит и познания относно законодателството на ЕС в областта на защитата на данните.

Ж.   Арбитражни процедури

Съобразно приложимото законодателство и в срок до 6 месеца, считано от приемането на решението за адекватност, Министерството на търговията и Европейската комисия ще се договорят относно приемането на набор от действащи и утвърдени арбитражни процедури в САЩ (като AAA или JAMS), които да уреждат производствата пред специалната група по Щита за личните данни, под условието на всяко от следните съображения:

1.

Всяко физическо лице може да инициира правно обвързващ арбитраж при спазване на изискванията за действията преди арбитраж, разгледани по-горе, като изпрати „Уведомление“ на организацията. В уведомлението трябва да се съдържат обобщение на стъпките, предприети съгласно точка В за намиране на решение по жалбата, описание на твърдяното нарушение и, по избор на лицето, евентуални придружаващи документи и материали и/или правно изложение във връзка с твърдяното нарушение.

2.

Ще бъдат създадени процедури, за да се гарантира, че няма да има дублиране на средствата или процедурите за правна защита по жалбата на това физическо лице срещу същото нарушение.

3.

Действията на ФТК могат да се предприемат успоредно с арбитражното производство.

4.

В тези арбитражни производства не може да участва представител на правителствена институция, публичен орган или правоприлагащ орган на САЩ, ЕС, държава — членка на ЕС, или друг такъв орган, като по искане на физическото лице от ЕС ОЗД могат да оказват съдействие само за изготвянето на уведомлението, но те не могат да имат достъп до разкрития или каквито и да е други материали във връзка с арбитражното дело.

5.

Мястото на провеждане на арбитража ще е в Съединените щати, а физическото лице може да избере да участва чрез видео- или телефонна връзка, която се осигурява безплатно за него. Не е наложително да участва лично.

6.

Езикът, на който ще се води арбитражното дело ще бъде английски, освен когато страните са се споразумели за друго. При мотивирано искане и като се взема предвид дали физическото лице се представлява от адвокат, ще се осигурява безплатно устен превод по време на изслушването и писмен превод на материалите по арбитражното дело, освен когато по преценка на специалната група поради обстоятелствата на конкретния арбитраж това би довело до необосновани или непропорционални разходи.

7.

Предоставените на арбитрите материали ще се третират като поверителна информация и ще бъдат използвани само във връзка с арбитражното дело.

8.

Ако е необходимо, може да се допусне да бъдат представени специални разкрития на физическото лице, които ще бъдат третирани от страните като поверителна информация и ще бъдат използвани само във връзка с арбитражното дело.

9.

Арбитражните дела трябва да приключат в срок до 90 дни, считано от изпращането на уведомлението до въпросната организация, освен когато страните са се договорили за друго.

З.   Разходи

Арбитрите следва да предприемат подходящи мерки за свеждане до минимум на разноските или хонорарите по арбитражните дела.

В съответствие с приложимото законодателство Министерството на търговията ще съдейства за създаването на фонд, в който ще се изисква от организациите — участници в Щита за личните данни, да внасят годишни вноски, въз основа отчасти на големината на организацията, и от който ще бъдат покривани разходите по арбитражната процедура, включително хонорарите за арбитрите, до определени максимални размери („таван“), което ще се извърши в консултация с Европейската комисия. Фондът ще се управлява от трета страна, която редовно ще докладва за работата му. При годишния преглед Министерството на търговията и Европейската комисия ще извършват преглед на работата на фонда, включително необходимостта от промяна на размера на вноските или тавана, като наред с останалото ще вземат предвид и броя на арбитражните дела и разноските и времетраенето им, като общото разбиране е да не се създава прекомерна финансова тежест за организациите — участници в Щита за личните данни. Адвокатските хонорари не са обхванати от настоящата разпоредба, нито от фонда съгласно нея.


(1)  Раздел I.5 от Принципите.

(2)  Съгласно глава 2 от Федералния арбитражен закон (Federal Arbitration Act) („ФАЗ“) „арбитражно споразумение или арбитражно решение, произтичащо от правни взаимоотношения, включително договорни, които могат да бъдат считани за търговски по характер, включително сделка, договор или споразумение от вида на описаните [в раздел 2 от ФАЗ], се включва в обхвата на Конвенцията [относно признаването и изпълнението на чуждестранни арбитражни решения от 10 юни 1958 г., 21 U.S.T. 2519, T.I.A.S. № 6997 („Конвенцията от Ню Йорк“)].“ 9 U.S.C. § 202. По-нататък във ФАЗ е предвидено, че „споразумение или решение, произтичащо от такива взаимоотношения, в които участват само граждани на Съединените щати, не се включва в обхвата на Конвенцията [от Ню Йорк], освен когато в тези взаимоотношения участва недвижимо имущество с местонахождение в чужбина, когато се предвижда изпълнение на дейност или прилагане в чужбина или по друг начин е налице някаква основателна връзка с една или повече чужди държави“. Съгласно глава 2 „всяка от страните по арбитражното дело може да се отнесе до съд с юрисдикция съгласно разпоредбите в настоящата глава, за да поиска разпореждане в потвърждение на арбитражното решение, постановено срещу някоя от другите страни по арбитражното дело. Съдът потвърждава решението, освен когато констатира, че е налице едно от основанията за отказ или отсрочване на признаването или изпълнението на решението, както това е определено в посочената Конвенция [от Ню Йорк].“, пак там § 207. По-нататък в глава 2 е предвидено, че „окръжните съдилища в Съединените щати.. са компетентни в първоначалния иск. … или първоначалното производство [съгласно Конвенцията от Ню Йорк], независимо от размерите на спора.“, пак там § 203.

Също така в глава 2 е предвидено, че „Разпоредбите съгласно глава 1 се прилагат за искове и производства, инициирани съгласно разпоредбите в настоящата глава, доколкото разпоредбите в глава 1 не влизат в противоречие с тези в настоящата глава или в Конвенцията [от Ню Йорк], както тя е ратифицирана от Съединените щати.“, пак там § 208. От друга страна в глава 1 е предвидено, че „писмени разпоредби в. .. договор за търговска сделка, отнасящи се до решаване чрез арбитраж на спорове, произтичащи от такъв договор, или сделка или от отказ да бъде изпълнен договорът изцяло или частично, както и писмено споразумение да бъде инициирано арбитражно дело по съществуващ спор, възникнал въз основа на такъв договор, сделка или отказ, се считат за валидни, неотменими и подлежащи на принудително изпълнение, освен когато са налице съществуващи по закон основания или справедливи основания за отмяна на договора.“, пак там § 2. По-нататък в глава 1 е предвидено, че „всяка страна по арбитражния спор може да изиска от посочения съд разпореждане за потвърждаване на решението, след което съдът е задължен да издаде такова разпореждане, освен когато решението е било отменено, изменено или поправено, както това е предвидено в раздели 10 и 11 [от ФАЗ].“, пак там § 9.


ПРИЛОЖЕНИЕ II

ПРИНЦИПИ НА РАМКАТА НА ЩИТА ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ, ПУБЛИКУВАНИ ОТ МИНИСТЕРСТВОТО НА ТЪРГОВИЯТА НА САЩ

I.   ОБЩ ПРЕГЛЕД

1.

При все че Съединените щати и Европейският съюз споделят целта за повишаване на защитата на неприкосновеността на личния живот, подходът на Съединените щати към неприкосновеността на личния живот е различен от този на Европейския съюз. Съединените щати прилагат секторен подход, който се основава на законови и подзаконови разпоредби, както и кодекси за саморегулиране. Предвид тези различия и с цел да бъде предоставен на организациите в Съединените щати надежден механизъм за предаване на лични данни към САЩ от Европейския съюз, като същевременно се гарантира, че субектите на данни от ЕС ще продължат да се ползват с ефективни гаранции и защита, както това се изисква съгласно европейското законодателство по отношение на обработването на личните им данни, когато те се предават на държави извън ЕС, Министерството на търговията публикува тези Принципи на Щита за личните данни, включително допълнителните принципи (наричани общо „Принципите“), в съответствие със законоустановените си правомощия да засилва, насърчава и развива международната търговия (15 U.S.C. § 1512). Принципите бяха разработени в консултация с Европейската комисия и с представители на промишлеността и други заинтересовани страни с цел насърчаване на търговията между Съединените щати и Европейския съюз. Те са предназначени единствено за организациите в Съединените щати, които получават лични данни от Европейския съюз, с цел тези организации да изпълнят условията съгласно Щита за личните данни и по този начин да се ползват от решението за адекватност на Европейската комисия. (1) Принципите не засягат прилагането на националните разпоредби за прилагане на Директива 95/46/ЕО („Директивата“), които се прилагат за обработването на личните данни в държавите членки. По същия начин Принципите не ограничават задълженията по отношение на неприкосновеността на личния живот, които по принцип се прилагат съгласно правото на САЩ.

2.

За да се основава на Щита за личните данни при извършването на предавания на лични данни с произход от ЕС, една организация трябва да се самосертифицира, че ще спазва Принципите пред Министерството на търговията (или определено от него орган) („министерството“). Независимо че решенията на организациите да се присъединят по този начин към Щита за личните данни са напълно доброволни, ефективното спазване на Принципите е задължително: организациите, които са се самосертифицирали пред министерството и са обявили публично своя ангажимент да спазват Принципите, трябва да ги спазват в пълна степен. За да се присъедини към Щита за личните данни, една организация трябва: а) да подлежи на правомощията по разследване и прилагане на Федералната търговска комисия („ФТК“), Министерството на транспорта или друг законовоустановен орган, който гарантира за ефективното спазване на Принципите (в бъдеще могат да бъдат добавени в приложение и други законовоустановени органи на САЩ, признати от ЕС); б) да обяви публично ангажимента си да спазва Принципите; в) да предостави за публичен достъп политиките си в областта на неприкосновеността на личния живот в съответствие с тези Принципи; и г) да ги прилага в пълна степен. Организация, която не спазва Принципите, подлежи на принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия, който забранява нелоялните и измамни практики в търговията или засягащи търговията, (15 U.S.C. § 45(a)) или съгласно друг законов или подзаконов акт, с който се забраняват тези практики.

3.

Министерството на търговията ще поддържа и предоставя за публичен достъп официален списък на организациите в САЩ, които са се самосертифицирали пред министерството и са декларирали ангажимента си да спазват Принципите („Списък към Щита за личните данни“). Организацията се ползва с предимствата на Щита за личните данни, считано от датата, на която министерството включи организацията в Списъка към Щита за личните данни. Министерството ще заличи от Списъка към Щита за личните данни организацията, която се е оттеглила доброволно от Щита за личните данни или не е изпълнила изискването за ежегодно пресертифициране пред министерството. Заличаването на една организация от Списъка към Щита за личните данни означава, че тя повече не се ползва с предимствата на решението за адекватност на Европейската комисия при получаването на лична информация от ЕС. Организацията трябва да продължи да прилага Принципите по отношение на личната информация, която е получила, докато е участвала в Щита за личните данни, и ежегодно да потвърждава пред министерството ангажимента си за това, докато продължава да съхранява тази информация; в противен случай организацията трябва да върне или заличи информацията или да осигури „адекватна“ защита чрез други разрешени средства. Също така министерството ще заличава от Списъка към Щита за личните данни организациите, които трайно не спазват Принципите; тези организации не отговарят на условията да се ползват с предимствата на Щита за личните данни и трябва да върнат или заличат личната информация, която са получили съгласно Щита за личните данни.

4.

Също така министерството ще поддържа и предоставя за публичен достъп официален регистър на организациите в САЩ, които по-рано са били самосертифицирани в министерството, но са заличени от Списъка към Щита за личните данни. Министерството ще отправя ясно предупреждение, че тези организации не участват в Щита за личните данни; че заличаването от Списъка към Щита за личните данни означава, че тези организации не могат да твърдят, че спазват изискванията съгласно Щита за личните данни и трябва да избягват да правят всякакви изявления или подвеждащи действия, които водят до заключението, че участват в Щита за личните данни; и че тези организации повече не се ползват с предимствата на решението за адекватност на Европейската комисия, което би им позволило да получават лична информация от ЕС. Спрямо организация, която продължава да твърди, че участва в Щита за личните данни, или по друг начин прави погрешно представяне на информация във връзка с Щита за личните данни, след като е била заличена от Списъка към Щита за личните данни, могат да бъдат предприети действия по правоприлагане от страна на ФТК, Министерството на транспорта или други правоприлагащи органи.

5.

Придържането към тези Принципи може да бъде ограничено: а) до необходимата степен, с оглед спазване изискванията за националната сигурност, обществения интерес или изискванията на правоприлагането; б) със закон, правителствено регулиране или съдебна практика, които пораждат взаимнопротиворечиви задължения или предвиждат изрични разрешителни, при положение че дадена организация, която е поискала подобно разрешително, може да докаже, че неспазването на принципите е ограничено до необходимата степен за гарантиране на първостепенните законово предвидени интереси, за които е поискано разрешителното; или в) ако действието на Директивата или на законодателството на държавата членка предвижда изключения или дерогации, при условие че тези изключения или дерогации се прилагат в сравними контексти. Съгласно целта за по-голяма защита на неприкосновеността на личния живот, организациите трябва да се стремят да прилагат тези принципи изцяло и прозрачно, включително като посочват в своите политики за защита на неприкосновеността на личния живот — в кои области изключенията по отношение на принципите, предвидени в буква б) по-горе, ще се прилагат редовно. По същата причина, когато Принципите и/или законодателството на САЩ позволяват на организациите да направят избор, от тях се изисква да изберат, когато е възможно, по-високата степен на защита.

6.

Организациите са задължени да прилагат Принципите за всички лични данни, предавани съгласно Щита за личните данни, след като се присъединят към Щита за личните данни. Организация, която е избрала да се ползва от предимствата на Щита за личните данни за лична информация за човешки ресурси, която се предава от ЕС, за да бъде използвана в контекста на трудови правоотношения, трябва да посочи това, когато се самосертифицира пред министерството, и трябва да спази изискванията, изложени в допълнителния принцип за самосертифицирането.

7.

За въпроси, свързани с тълкуването и спазването на Принципите и на съответните политики в областта на неприкосновеността на личния живот от организациите — участници в Щита за личните данни, се прилага правото на САЩ, с изключение на случаите, когато тези организации са поели ангажимент да си сътрудничат с европейските органи по защита на данните („ОЗД“). Освен ако е посочено друго, всички разпоредби на Принципите се прилагат, когато са релевантни.

8.

Определения:

а)

„Лични данни“ и „лична информация“ означават данни относно идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, които са в обхвата на Директивата, предадени са от Европейския съюз на организация в Съединените щати и са записани под каквато и да е форма.

б)

„Обработване“ на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни чрез автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване или разпространяване и изтриване или унищожаване.

в)

„Администратор“ означава физическо лице или организация, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

9.

Датата, от която Принципите ще се прилагат ефективно, е датата на окончателното одобрение на решението за адекватност на Европейската комисия.

II.   ПРИНЦИПИ

1.   Уведомяване

а)

Всяка организация трябва да уведомява физическите лица за:

i.

участието си в Щита за личните данни и да предоставя електронна връзка към Списъка към Щита за личните данни или адреса на уебстраницата,

ii.

видовете лични данни, които се събират, и правните субекти или дъщерните дружества на организацията, които също се придържат към Принципите, когато това е приложимо,

iii.

ангажимента си да прилага Принципите за всички лични данни, които получава от ЕС съгласно Щита за личните данни,

iv.

целите, с които събира и използва лична информация за тях,

v.

как да се свържат с организацията, ако имат запитвания или оплаквания, включително съответни организации в ЕС, които могат да отговорят на тези запитвания или оплаквания,

vi.

видовете или самоличността на трети страни, на които личната информация ще бъде разкрита и целите, с които се извършва това,

vii.

правото на физическите лица на достъп до личните им данни,

viii.

възможностите за избор и средствата, които предлага организацията на физическите лица с оглед ограничаване използването и разкриването на личните им данни,

ix.

определения независим орган за разрешаване на спорове, към който да се адресират жалби и който следва да предоставя подходящи средства за правна защита, безплатно за физическото лице, и дали това е: 1) панелът, създаден от ОЗД, 2) организация за алтернативно разрешаване на спорове, установена в ЕС, или 3) организация за алтернативно разрешаване на спорове, установена в Съединените щати,

x.

това, че за нея се прилагат правомощията за разследване и правоприлагане на ФТК, Министерството на транспорта или друг оправомощен законовоустановен орган на САЩ,

xi.

възможността при определени условия физическото лице да използва правно обвързващ арбитраж,

xii.

изискването да бъде разкривана лична информация в отговор на законни искания на публични органи, включително в отговор на изисквания на националната сигурност или правоприлагането, и

xiii.

отговорността на организацията в случаите на последващи предавания към трети страни.

б)

Уведомяването трябва да бъде направено на ясен и разбираем език, когато физическите лица бъдат поканени за първи път да предоставят личната информация на организацията или веднага след като стане възможно, но във всеки случай преди тези данни да бъдат използвани от организацията за цел, различна от тази, за която са били първоначално събрани или обработени от организацията, която извършва предаването или разкриването им за първи път на трета страна.

2.   Избор

а)

Всяка организация трябва да предлага на физическите лица възможността да изберат (клауза за неучастие — „opt out“) дали личната информация за тях: а) може да бъде разкрита на трета страна, или б) може да бъде използвана за несъвместими по същество цели с предназначението или предназначенията, за които е била първоначално събрана или за които по-късно е дадено разрешение от физическите лица. Физическите лица трябва да разполагат с ясни, разбираеми и леснодостъпни механизми, за да направят своя избор.

б)

Чрез дерогация от предходната буква, не е необходимо да се предоставя избор, когато разкриването се извършва пред трета страна, която изпълнява функциите на представител за изпълнение на задача(и) от името и под указанията на организацията. Организацията обаче трябва винаги да сключва договор с представителя.

в)

Що се отнася до чувствителна информация (например лична информация, свързана с медицинското или здравословното състояние, с произход — раса или етнически произход, политически възгледи, вероизповедание или философски убеждения, членство в синдикат или сексуални предпочитания), организациите трябва да получат от лицата утвърждаващо изрично съгласие („opt in“), при условие че информацията трябва да бъде: i) разкрита на трета страна или ii) използвана с цел, различна от тази, за която е била първоначално събрана или за която по-късно е дадено разрешение от физическите лица посредством упражняването на правото им на изрично съгласие. Освен това организацията следва да разглежда всяка лична информация, получена от трета страна, като чувствителна информация, ако последната определя и третира тази информация като такава.

3.   Отчетност за последващото предаване

а)

За да предават лична информация на трета страна, която изпълнява функциите на администратор, организациите трябва да спазват принципите на уведомяването и на избора. Организациите трябва също така да сключат договор с третата страна администратор, в който да бъде предвидено, че тези данни могат да бъдат обработвани само с ограничена и конкретна цел в съответствие с даденото съгласие от физическото лице, както и че получателят ще осигури същата степен на защита, която се осигурява от Принципите, и ще уведоми организацията, ако констатира, че вече не е в състояние да изпълнява това задължение. Договорът предвижда, че когато тази констатация е направена, третата страна администратор прекратява обработката или предприема други за отстраняване на последиците.

б)

За да предават лични данни на трета страна, която изпълнява функциите на представител, организациите трябва: i) да предават тези данни само с ограничена и конкретна цел; ii) да определят, че представителят е задължен да осигури най-малко същата степен на защита на неприкосновеността на личния живот, която се изисква съгласно Принципите; iii) да предприемат обосновани и съответни мерки, за да гарантират, че представителят ефективно обработва предадената лична информация по начин, който съответства на задълженията на организацията съгласно Принципите; iv) да изискват от представителя да уведоми организацията, ако констатира, че вече не е в състояние да изпълнява своето задължение да осигурява същата степен на защита на неприкосновеността на личния живот, която се изисква съгласно Принципите;; v) при уведомяване, включително съгласно подточка iv), да предприемат обосновани и съответни мерки да преустановят и отстранят последиците от неразрешено обработване; и vi) при поискване да предоставят на министерството обобщение или представително копие на съответните разпоредби във връзка с неприкосновеността на личния живот от договора с представителя.

4.   Сигурност

а)

Организациите, които създават, поддържат, използват или разпространяват лична информация, трябва да вземат обосновани и подходящи мерки, за да предотвратят загубата, злоупотребата, непозволения достъп, разкриването, изменението и унищожаването на тези данни, като надлежно вземат под внимание рисковете, свързани с обработването и характера на личните данни.

5.   Цялост на данните и ограничаване в рамките на целта

а)

Съгласно Принципите личната информация трябва да бъде ограничена до необходимата за целите на обработването (2). Никоя организация не може да обработва лична информация по начин, несъвместим с целите, за които тя е била събрана или за които по-късно е дадено разрешение от физическото лице. Доколкото е необходимо за тези цели, всяка организация трябва да вземе подходящи мерки, за да гарантира надеждността на личните данните по отношение на предвиденото им използване, както и тяхната точност, пълнота и актуалност. Организацията трябва да се придържа към Принципите през цялото време, докато запазва тази информация.

б)

Информация може да бъде запазвана във форма, която идентифицира или позволява да се идентифицира (3) физическото лице, само за толкова дълго, колкото служи за целта на обработването по смисъла на точка 5, буква а). Това задължение не възпира организациите да обработват лични данни за по-дълги периоди, т.е. докогато и дотолкова, колкото това обработване е от определена полза за целите на архивирането в интерес на обществото, журналистиката, литературата и изкуството, научни или исторически изследвания и статистически анализ. В тези случаи обработването е подчинена на другите принципи и разпоредби на рамката. Организациите следва да предприемат разумни и подходящи мерки за спазване на тази разпоредба.

6.   Достъп

а)

Физическите лица трябва да имат достъп до личната информация за тях, с която разполага дадена организация, и да имат възможността да я коригират, променят или заличават, когато е неточна или се обработва в нарушение на Принципите, освен когато затрудненията или разходите по предоставяне на достъп биха били несъразмерни спрямо рисковете за неприкосновеността на личния живот на физическото лице във въпросния случай или когато биха били нарушени правата на лица, различни от заинтересованото.

7.   Защита, прилагане и отговорност за причинени вреди

а)

Ефективната защита на неприкосновеността на личния живот трябва да включва сигурни механизми, които да гарантират спазването на Принципите, право на защита за физическите лица, засегнати от неспазването на принципите, както и санкциониране на организациите, когато не спазват принципите. Тези механизми трябва да включват най-малкото:

i.

леснодостъпни независими механизми за защита, които да позволят експедитивно да се разгледат и решат жалбите или споровете на всяко физическо лице, безплатно за лицето и при позоваване на Принципите, както и предоставяне на обезщетения, когато приложимото законодателство или инициативите в частния сектор предвиждат това;

ii.

процедури за последващ контрол, за да се провери дали уверенията и твърденията, предоставени от организациите за техните практики в областта на неприкосновеността на личния живот, са верни и дали тези практики се прилагат действително, както се твърди, и по-специално по отношение на случаите на неспазване на Принципите; и

iii.

задължения за решаване на проблемите, произтичащи от неспазването на Принципите от организациите, обявяващи своето придържане към тях, и последствия за тези организации. Санкциите трябва да са достатъчно строги, за да гарантират спазването на Принципите от организациите.

б)

Организациите и избраните от тях независими механизми за защита отговарят в кратки срокове на запитвания и искания за информация от страна на министерството във връзка с Щита за личните данни. Всички организации трябва да отговарят експедитивно на жалби във връзка със спазването на Принципите, насочени към тях от органи на държавите — членки на ЕС, чрез министерството. Организациите, които са избрали да си сътрудничат с ОЗД, включително обработващите данни за човешки ресурси, трябва да отговарят директно на тези органи във връзка с разследването и разрешаването на жалби.

в)

Организациите са задължени да участват в арбитраж по отношение на жалбите и да спазват условията, посочени в приложение I, при условие че дадено физическо лице е отнесло въпроса за решаване чрез правно обвързващ арбитраж, като е уведомило въпросната организация и е спазило процедурите и условията, посочени в приложение I.

г)

В контекста на последващото предаване всяка организация — участник в Щита за личните данни, носи отговорност за обработването на личната информация, която получава съгласно Щита за личните данни и впоследствие предава на трета страна, която изпълнява функциите на представител от нейно име. Организацията — участник в Щита за личните данни, продължава да носи отговорност съгласно Принципите, ако нейният представител обработва тази лична информация по начин, който не съответства на Принципите, освен ако организацията докаже, че не носи отговорност за събитието, породило вредата.

д)

Когато по отношение на организацията е издадена заповед от ФТК или съдебно разпореждане във връзка с неспазване, организацията обявява публично всички съответно свързани с Щита за личните данни части от евентуален доклад за спазването или оценка, представени на ФТК, доколкото позволяват изискванията за поверителност. Министерството създаде специализирано звено за контакт с ОЗД относно проблеми на спазването от организации — участници в Щита за личните данни. ФТК ще разглежда случаите на неспазване на Принципите, за които е сезирана от министерството и органите на държавите — членки на ЕС, и ще обменя информация относно случаи, за които е сезирана с органите на съответната държава своевременно, при условията на съществуващите ограничения за поверителност.

III.   ДОПЪЛНИТЕЛНИ ПРИНЦИПИ

1.   Чувствителни данни

а)

От организациите не се изисква да получат утвърдително изрично съгласие („opt in“) по отношение на чувствителни данни, когато обработването:

i.

е от жизнено важен интерес за субекта на данните или за друго лице;

ii.

е необходимо, за да се установи право на иск или право на защита;

iii.

е необходимо, за да се окажат медицински грижи или за определяне на диагноза;

iv.

се извършва в хода на законни дейности от фондация, асоциация или друга организация с нестопанска цел и с политическа, философска, религиозна или профсъюзна цел, както и при условие че обработването се отнася единствено до членовете на организацията или до лицата, които поддържат с нея редовни контакти във връзка с предназначението ѝ, и че тези данни не се разкриват на трета страна без съгласието на субектите на данните;

v.

е необходимо, за да бъдат изпълнени задълженията на организацията по отношение на трудовото право; или

vi.

е свързано с данни, които ясно са били оповестени публично от физическото лице.

2.   Изключения за журналистически цели

а)

С оглед предвидените съгласно Конституцията на САЩ защити за свободата на пресата и изключенията за журналистически материали съгласно Директивата, когато правата на свободната преса, заложени в първата поправка на Конституцията на САЩ, са несъвместими със защитата на неприкосновеността на личния живот, първата поправка се прилага с предимство за дейностите, които имат за предмет американски лица или организации.

б)

Личната информация, събрана с цел публикуване, разпространение или други форми на обществена комуникация под формата на журналистически материали, независимо дали ще се използва, или не, както и информацията, която е била публикувана преди това, след което е била архивирана, не е предмет на изискванията съгласно Принципите на Щита за личните данни.

3.   Вторична отговорност

а)

Доставчиците на Интернет, далекосъобщителните дружества и другите организации не носят отговорност съгласно Принципите на Щита за личните данни, когато само предават, направляват, заместват или кешират информация от името на друга организация. Нито самата Директива, нито Щитът за личните данни могат да породят вторична отговорност. Не може да се търси отговорност на дадена организация, когато тя служи само за носител на данни, предавани от трети страни, и не определя нито целите, нито средствата за обработване на тези лични данни.

4.   Извършване на комплексни проверки и провеждане на одити

а)

В дейностите на одиторите и на инвестиционните банки може да се наложи обработване на лични данни без съгласието или без знанието на заинтересованото лице. Това се допуска съгласно принципите на уведомяването, на избора и на достъпа при описаните по-нататък обстоятелства.

б)

Публичните акционерни дружества и предприятията с ограничен брой акционери, включително организациите — участници в Щита за личните данни, подлежат на редовно одитиране. Ако информацията за такива одити бъде разкрита преждевременно, това може да застраши целта им, особено когато се отнася до потенциални нарушения. По същия начин за организациите — участници в Щита за личните данни, които се включват в планирани сливания или поглъщания, е необходимо да се проведе или те подлежат на комплексна проверка. Това често налага събиране и обработване на лични данни, като например информация за служители на висши ръководни постове и други важни длъжности. Ако информацията бъде разкрита преждевременно, това може да попречи на сделката или дори да бъде в нарушение на приложимата правна уредба за ценните книжа. Инвестиционните банкери и адвокатите, работещи по комплексната проверка, или одиторите, когато провеждат одита, могат да обработват информация без знанието на физическото лице само в необходимите рамки и период от време за целите на спазването на законовите изисквания или изискванията от публичен интерес, както и в други обстоятелства, където прилагането на тези Принципи би засегнало легитимните интереси на организацията. Сред тези легитимни интереси са контролът на спазването от страна на организациите на техните законови задължения и законни счетоводни дейности, както и необходимостта от поверителност, свързана с евентуални поглъщания, сливания, съвместни предприятия или други сделки със сходен характер, извършвани от инвестиционните банкери или одиторите.

5.   Ролята на органите по защита на данните

а)

Организациите ще изпълняват ангажимента си да си сътрудничат с органите по защита на данните (ОЗД) в Европейския съюз, както е описано по-нататък. Съгласно Щита за личните данни организациите в САЩ, които получават лични данни от ЕС, трябва да поемат ангажимента да използват ефективни механизми, за да гарантират спазването на Принципите на Щита за личните данни. По-специално, както е определено в принципа за защита, прилагане и отговорност за причинени вреди, организациите участници трябва да предвидят: a) (i) средства за правна защита за физическите лица, за които се отнасят данните; a) (ii) процедури за последващ контрол, за да се провери дали уверенията и твърденията, предоставени от организациите за техните практики в областта на неприкосновеността на личния живот, са верни; и a) (iii) задължения за решаване на проблемите, произтичащи от неспазването на Принципите, и последствия за тези организации. Организация, която е поела задължението да си сътрудничи с ОЗД, предвидено в настоящата точка, може да изпълнява условията по буква а), подточки i) и iii) от принципа за защита, прилагане и отговорност за причинени вреди.

б)

Всяка организация може да поеме ангажимент да си сътрудничи с ОЗД, като декларира при самосертифицирането си съгласно Щита за личните данни пред Министерството на търговията (вж. допълнителния принцип относно самосертифицирането), че:

i.

избира да спазва изискванията по буква а), подточки i) и iii) от принципа за защита, прилагане и отговорност за причинени вреди съгласно Щита за личните данни, като поема ангажимента да сътрудничи с ОЗД;

ii.

ще сътрудничи с ОЗД във връзка с разглеждането и решаването на депозираните жалби съгласно Щита за личните данни; и

iii.

ще се съобрази с всяка препоръка, дадена от ОЗД, според която организацията трябва да вземе специални мерки, за да спази Принципите на Щита за личните данни, включително всякакви мерки, свързани със средства за правна защита или обезщетение в полза на физически лица, които са засегнати от неспазването на Принципите, и ще уведоми писмено ОЗД за взетите мерки по този повод.

в)

Функциониране на панелите на ОЗД

i.

Сътрудничеството на ОЗД ще се изразява в предоставяне на информация и препоръки, както следва:

1.

Препоръките на ОЗД ще бъдат предоставяни чрез неформален панел на ОЗД, създаден на равнището на Европейския съюз, който ще помогне, наред с останалото, и за осигуряването на хармонизиран и съгласуван подход.

2.

Панелът ще дава препоръки на съответните организации в САЩ по повод на жалби от физически лица, по които няма приети решения и които се отнасят до обработването на лична информация, която е била предадена от ЕС съгласно Щита за личните данни. Препоръките ще предвиждат гарантирането на правилното прилагане на Принципите на Щита за личните данни и ще включват средствата за правна защита за съответното/ите физическо/и лице/а, които ОЗД считат за подходящи.

3.

Панелът ще дава тези препоръки в отговор на сезиране от заинтересованите организации и/или на жалби, получени директно от физически лица срещу организации, които са поели ангажимента да си сътрудничат с ОЗД с оглед спазването на Щита за личните данни, като ще насърчава и, при необходимост, подпомага тези физически лица да използват първо вътрешните механизми за разглеждане на жалбите, с които организацията разполага.

4.

Препоръките ще се дават едва след като двете страни по спора са имали възможността да представят своите забележки и евентуално своите доказателства. Панелът ще се стреми да предостави препоръките си в най-кратки срокове, като спазва принципите на справедливия процес. По принцип панелът ще се произнася най-късно в срок от 60 дни, считано от получаването на жалбата или сезирането.

5.

Ако сметне за необходимо, панелът ще направи публично достояние резултатите от разглеждането на жалбите, по които е бил сезиран.

6.

Препоръката, предоставена от панела, няма да ангажира нито панела, нито ОЗД, които го съставляват.

ii.

Както беше отбелязано по-рано, организациите, които изберат този начин за решаване на споровете, трябва да поемат задължението да спазват и прилагат препоръките, дадени от ОЗД. Ако някоя организация не изпълни препоръката в срок от двадесет и пет дни от получаването ѝ, без да посочи убедително обяснение за закъснението, панелът ще оповести намерението си да отнесе въпроса до Федералната търговска комисия, Министерството на транспорта или друг федерален или държавен орган на САЩ, който има законови правомощия да предприема действия по правоприлагане в случаи на измама или погрешно представяне, или да заключи, че е допуснато сериозно нарушение по отношение на споразумението за сътрудничество, което в такъв случай ще се счита за недействително. В последния случай панелът ще информира Министерството на търговията, за да може Списъкът към Щита за личните данни да бъде надлежно изменен. Всяко неспазване на задължението за сътрудничество с ОЗД, както и всяко неспазване на Принципите на Щита за личните данни, подлежи на санкциониране като измамна практика съгласно раздел 5 от закона за Федералната търговска комисия или на други сравними закони.

г)

Всяка организация, която желае да се ползва с предимствата на Щита за личните данни за данните относно човешки ресурси, предавани от ЕС в контекста на трудовите правоотношения, трябва задължително да поеме ангажимента за тази цел да сътрудничи с ОЗД (вж. допълнителния принцип за данни относно човешки ресурси).

д)

Организациите, които са избрали този вариант, ще плащат годишна такса за покриване на текущите разходите за панела и може допълнително да бъде поискано да поемат евентуално налагащи се разходи за превод, произтичащи от разглеждането от страна на панела на случаите на сезиране или жалбите срещу тях. Годишната такса не може да превишава 500 USD и ще бъде намалена за малките дружества.

6.   Самосертифициране

а)

Предимствата на участието в Щита за личните данни се ползват от датата, на която министерството включи самосертифицираната организация в Списъка към Щита за личните данни, след като преди това е преценил, че подадената информация за самосертифицирането е пълна.

б)

За да се самосертифицира за участие в Щита за личните данни, една организация трябва да подаде в министерството заявление, подписано от корпоративен служител от името на организацията, която се присъединява към Щита за личните данни, което съдържа най-малко следната информация:

i.

името на организацията, пощенския адрес, адрес на електронна поща, телефонен номер и номер на факс;

ii.

описание на дейностите на организацията по отношение на личната информация, получавана от ЕС; и

iii.

описание на политиката на организацията в областта на неприкосновеността на личния живот по отношение на тази лична информация, включително:

1.

ако организацията има публичен уебсайт, тя трябва да предостави съответната хипервръзка към адреса, където е предоставила на разположение политиката си в областта на неприкосновеността на личния живот, а ако организацията няма публичен уебсайт, тя трябва да посочи къде е предоставила на разположение за публичен достъп политиката си в областта на неприкосновеността на личния живот;

2.

датата, от която тази политика се прилага ефективно;

3.

службата, която разглежда жалби, искания за достъп и други въпроси, произтичащи съгласно Щита за личните данни;

4.

конкретния законовоустановен орган, който е компетентен да разглежда жалби срещу организацията във връзка с евентуални нелоялни или измамни практики и нарушения на законите или разпоредбите, уреждащи неприкосновеността на личния живот (и който е посочен в Принципите или в бъдещо приложение към Принципите);

5.

наименованието на всяка програма относно неприкосновеността на личния живот, в която членува организацията;

6.

метода за проверка (напр. вътрешна, от трета страна) (вж. допълнителния принцип „проверка“; и

7.

независимия механизъм за защита, който е на разположение за разследване на жалби, по които няма решение.

в)

Когато организацията иска да се ползва от Щита за личните данни по отношение на информацията за човешки ресурси, която се предава от ЕС, за да бъде използвана в контекста на трудовите правоотношения, тя може да направи това, когато съществува законовоустановен орган, компетентен да разглежда жалби срещу организацията, произтичащи от обработването на информация за човешки ресурси, и посочен в Принципите или в бъдещо приложение към Принципите. В допълнение организацията трябва да посочи това при самосертифицирането си и да заяви ангажимента си да си сътрудничи със съответния орган или органи на ЕС съгласно допълнителните принципи за данни относно човешки ресурси и за ролята на органите по защита на данните, според случая, както и че ще се съобразява с препоръките, давани от тези органи. Също така организацията трябва да предостави на министерството копие от политиката си в областта на неприкосновеността на личния живот относно човешките ресурси и да посочи къде е предоставила на разположение на засегнатите служители тази политика, за да могат да я разгледат.

г)

Министерството ще поддържа Списъка към Щита за личните данни с организациите, които са подали пълна информация за самосертифициране, като по този начин ще гарантира те да се ползват с предимствата на Щита за личните данни и ще актуализира този списък въз основа на пресамосертифицирането им и уведомленията, получавани всяка година съгласно допълнителния принцип за разрешаване на спорове и принудително изпълнение. Тази информация за самосертифициране трябва да се подава ежегодно; в противен случай организацията ще бъде заличена от Списъка към Щита за личните данни и няма да продължи да се ползва с предимствата, които той осигурява. Списъкът към Щита за личните данни и подадената от организациите информация за самосертифициране ще бъдат предоставени за публичен достъп. Всички организации, които са включени в Списъка към Щита за личните данни от министерството, трябва също така да заявят в съответните си публични декларации относно политиката си в областта на неприкосновеността на личния живот, че спазват Принципите на Щита за личните данни. Когато политиката на една организация в областта на неприкосновеността на личния живот е на разположение онлайн, в нея трябва да се предостави хипервръзка към страницата на Щита за личните данни на уебсайта на министерството, както и хипервръзка към уебсайт или към формуляр за подаване на жалба на независимия механизъм за защита, който е на разположение за разглеждане на нерешени жалби.

д)

Принципите на неприкосновеност на личния живот се прилагат незабавно след сертифицирането. Предвид факта, че Принципите ще окажат влияние върху търговските взаимоотношения с трети страни, организациите, които се сертифицират съгласно рамката на Щита за личните данни през първите два месеца след датата, от която рамката се прилага ефективно, следва да приведат съществуващите си търговски взаимоотношения с трети страни в съответствие с принципа за отчетност за последващото предаване във възможно най-кратък срок и във всички случаи не по-късно от девет месеца, след като са се сертифицирали съгласно Щита за личните данни. Когато организациите предават данни на трета страна в този междинен период, те трябва: i) да прилагат принципите на уведомяването и на избора и ii) когато личните данни се предават на трета страна, която изпълнява функцията на представител, да определят, че представителят е задължен да осигури най-малко същата степен на защита, която се изисква съгласно Принципите.

е)

Всяка организация трябва да прилага Принципите на неприкосновеност на личния живот за всички лични данни, които получава от ЕС съгласно Щита за личните данни. Задължението за спазване на Принципите на Щита за личните данни не е ограничено във времето по отношение на личните данни, получени през периода, когато организацията се ползва от предимствата на Щита за личните данни. Това задължение означава, че организацията ще продължи да прилага Принципите за тези данни, докато ги съхранява, използва или разкрива, дори ако по някаква причина впоследствие се напусне Щита за личните данни. Организация, която се оттегли от Щита за личните данни, но желае да запази тези данни, трябва ежегодно да потвърждава пред министерството ангажимента си, че ще продължи да прилага Принципите или ще осигури „адекватна“ защита за информацията чрез други разрешени средства (например като използва договор, в който изцяло са включени изискванията по съответните одобрени от Европейската комисия стандартни договорни клаузи); в противен случай организацията трябва да върне или заличи информацията. Организация, която се оттегли от Щита за личните данни, трябва да премахне от съответната си политиката в областта на неприкосновеността на личния живот всички упоменавания на Щита за личните данни, които могат да водят до заключението, че продължава да участва активно и се ползва с предимствата от участието си в Щита за личните данни.

ж)

Организация, която престане да съществува като самостоятелно юридическо лице поради сливане или придобиване от друга организация, трябва предварително да уведоми за това министерството. В уведомлението трябва също така да бъде посочено дали организацията, която я е придобила или която се образува след сливането: i) ще продължи да бъде обвързана от Принципите на Щита за личните данни при действието на правото, уреждащо сливането или придобиването, или ii) ще избере да се самосертифицира за спазването на Принципите на Щита за личните данни или ще предвиди други гаранции, като писмено споразумение, гарантиращо спазването на тези принципи. Ако не е приложимо нито i), нито ii), всички лични данни, придобити съгласно Щита за личните данни, трябва да бъдат незабавно заличени.

з)

Когато по някаква причина организация напусне Щита за личните данни, тя трябва да премахне всички твърдения, които могат да водят до заключението, че продължава да участва или се ползва с предимствата от участието си в Щита за личните данни. Също така трябва да премахне и сертификационния знак на Щита за личните данни в отношенията между ЕС и САЩ, ако го използва. Всяко погрешно представяне пред широката общественост относно придържането на организацията към Принципите на Щита за личните данни може да подлежи на санкциониране от ФТК или друг съответен държавен орган. Погрешно представяне пред министерството може да бъде санкционирано по силата на Закона за неверните твърдения (False Statements Act) (18 U.S.C. § 1001).

7.   Проверка

а)

Организациите трябва да предвидят процедури за последващ контрол, за да се провери дали уверенията и твърденията им относно техните практики в областта на неприкосновеността на личния живот съгласно Щита за личните данни са верни и дали тези практики се прилагат както са представени и съгласно Принципите на Щита за личните данни.

б)

За да се отговори на изискванията за проверка съгласно принципа за защита, прилагане и отговорност за причинени вреди, организацията трябва да удостовери верността на тези уверения и твърдения чрез самооценка или външни прегледи на спазването.

в)

Съгласно подхода за самооценка проверката трябва да установи, че обявената публично политика на организацията в областта на неприкосновеността на личния живот относно личната информация, получавана от ЕС, е точна, пълна, поставена на видно място, прилага се изцяло и е достъпна. Също така тя трябва да покаже, че политиката на тази организация в областта на неприкосновеността на личния живот съответства на Принципите на Щита за личните данни; че физическите лица са информирани за съществуването на вътрешни процедури за разглеждане на жалбите и независими механизми, до които те могат да отнесат жалбите си; че има процедури за подготовка на служителите за прилагането на тази политика и за дисциплинарна отговорност при неспазване; и че има вътрешни процедури с цел периодичното провеждане на обективен преглед на спазването на горното. Поне веднъж годишно корпоративен служител или друг упълномощен представител на организацията трябва да подписва декларация за заверка на самооценката и тя трябва да бъде предоставяна на физическите лица при поискване или в рамките на дадено разследване или жалба за неспазване.

г)

Ако организацията е избрала външен преглед на спазването, последният трябва да докаже, че политиката на организацията в областта на неприкосновеността на личния живот относно личната информация, получавана от ЕС, съответства на Принципите на Щита за личните данни, че тази политика се спазва и че физическите лица са информирани за механизмите, които им позволяват да подават жалби. Методите за преглед могат да включват без ограничение одит, случайни проверки, използването на разобличаващи средства или на подходящи технологични инструменти. Поне веднъж годишно от контролиращото лице, от корпоративен служител или от друг упълномощен представител на организацията трябва да бъде подписвана декларация, потвърждаваща, че е успешно извършен външен преглед на спазването и той трябва да бъде предоставен на физическите лица при поискване или в рамките на дадено разследване или жалба за неспазване.

д)

Организациите трябва да съхраняват документацията си за прилагането на техните практики в областта на неприкосновеността на личния живот съгласно Щита за личните данни и да представят тази документация при поискване, в рамките на разследване или жалба за неспазване, на независимия орган, отговорен за разглеждане на жалбите, или на институцията, която е компетентна в областта на нелоялните и измамни практики. Организациите трябва също така да предоставят своевременно отговори на запитвания и други искания за информация на министерството във връзка със спазването от тяхна страна на Принципите.

8.   Достъп

а)   Принципът на достъпа на практика

i.

Съгласно Принципите на Щита за личните данни правото на достъп е основен елемент от защитата на неприкосновеността на личния живот. По-конкретно то позволява на физическите лица да проверяват точността на наличната информация относно тях. Принципът на достъпа означава, че физическите лица имат право:

1.

да получат от дадена организация потвърждение дали тя обработва лични данни, свързани с тях (4);

2.

да им бъдат съобщени тези данни, за да могат да проверят дали са точни и дали обработването се извършва законосъобразно; и

3.

да бъдат коригирани, изменени или заличени данните, когато са неточни или се обработват в нарушение на Принципите.

ii.

От физическите лица не се изисква да обосновават исканията си за достъп до личните си данни. Когато отговарят на искания за достъп от страна на физическите лица, организациите следва да се ръководят преди всичко от мотивите на лицата. Например, ако искането за достъп е неясно или много общо по съдържание, организацията може да обсъди това с физическото лице, за да разбере по-точно мотивите му във връзка с искането и да потърси подходящата информация. Организацията може да поиска да разбере с коя(и) служба(и) физическото лице е имало контакти или какво е естеството или употребата на информацията, която е предмет на искането за достъп.

iii.

В съответствие с фундаменталния характер на правото на достъп организациите следва винаги да полагат усилия, за да предоставят достъп. Например, ако трябва да се защити някаква информация и тя може лесно да бъде отделена от останалата лична информация, която е предмет на искането за достъп, организацията следва да отдели защитената информация, като направи достъпна останалата. Ако организацията реши да ограничи достъпа в конкретен случай, тя следва да предостави на физическото лице, изискващо достъп, обяснение за това свое решение и да посочи лице за контакт за повече информация.

б)   Затруднения или разходи по предоставянето на достъп

i.

Правото на достъп до лични данни може да бъде ограничавано при изключителни обстоятелства, когато биха били нарушени законните права на лица, различни от заинтересованото, или когато затрудненията или разходите по предоставяне на достъп биха били несъразмерни спрямо рисковете за неприкосновеността на личния живот на физическото лице във въпросния случай. Разходите и необходимите усилия са важни фактори и следва да бъдат взети предвид, но те не са решаващи при определяне основателността на предоставянето на достъп.

ii.

Така например, ако личната информация се използва, за да се вземат решения, които ще имат сериозни последици за физическото лице (например отказ или предоставяне на важни предимства, като застраховка, ипотека или работа), организацията е длъжна съобразно останалите разпоредби на тези допълнителни принципи да разкрие тази информация, дори ако това се окаже относително трудно или скъпо. Ако исканата лична информация не е с чувствителен характер и не се използва, за да се вземат решения, които ще имат сериозни последици за физическото лице, а е лесно достъпна и разходите за предоставянето ѝ не са високи, организацията трябва да предостави достъп до нея.

в)   Поверителната търговска информация

i.

Поверителната търговска информация е информация, която организацията полага усилия да пази от разкриване, защото нейното разкриване би улеснило конкуренти на пазара. Организациите могат да откажат или да ограничат достъпа, доколкото предоставянето на пълен достъп би разкрило тяхна собствена поверителна търговска информация, като например маркетингови концепции или класификации, изготвени от тази организация, или поверителна търговска информация, принадлежаща на други организации, когато тази информация е предмет на договорни задължения за поверителност.

ii.

Ако поверителната търговска информация може лесно да се отдели от другата лична информация, която е предмет на искането за достъп, организацията следва да отдели поверителната търговска информация и да предостави неповерителната информация.

г)   Организиране на бази данни

i.

Достъпът може да се предостави като разкриване на съответната лична информация от организацията на физическото лице, без да се налага достъп от страна на физическото лице до базата данни на организацията.

ii.

Достъпът се осигурява само в рамките на личната информация, която организацията съхранява. Принципът на достъпа сам по себе си не поражда никакво задължение за запазване, поддържане, реорганизация или преструктуриране на файловете с лична информация.

д)   Кога достъпът може да бъде ограничаван

i.

Тъй като организациите трябва винаги да полагат усилия, за да предоставят достъп на физическите лица до техните лични данни, обстоятелствата, при които те могат да ограничават този достъп, са ограничени и всички мотиви за това трябва да бъдат конкретни. Както това е установено в Директивата, организацията може да ограничава достъпа до информация, доколкото нейното разкриване има вероятност да засегне опазването на важни обществени интереси като националната сигурност, отбраната или обществената сигурност. Достъпът може също така да бъде отказан, когато личната информация се обработва единствено за целите на изследвания или статистически цели. Други мотиви за отказ или ограничаване на достъпа са:

1.

накърняване на изпълнението или прилагането на законодателството или на частно-правен иск, включително предотвратяването, разследването или разкриването на престъпления или упражняване правото на справедлив съдебен процес;

2.

разкриване, което би нарушило законните права или важни интереси на други лица;

3.

нарушаване на правно или друго професионално задължение или привилегия;

4.

нарушаване на разследвания на служители по отношение на сигурността или относно оплаквания, или във връзка с планиране на нови назначения и реорганизации на дружествата; или

5.

нарушаване на поверителността, необходима при извършване на мониторинг, инспекции или изпълнение на регулаторни функции във връзка с доброто управление, или при бъдещи или текущи преговори, в които организацията участва.

ii.

Задължение на организацията е, когато се позовава на изключение, да докаже неговата наложителност, както и да представи на физическите лица мотивите си за ограничаване на достъпа и да посочи лице за контакт за повече информация.

е)   Право на получаване на потвърждение и определяне на такса за покриване на разходите по предоставяне на достъп

i.

Всяко физическо лице има право да получи потвърждение дали дадена организация разполага с лични данни, свързани с него. Също така всяко физическо лице има право да му бъдат съобщени личните данни, свързани с него. Организацията може да определи такса, която не е прекалено висока.

ii.

Определянето на такса може да е основателно, когато например исканията за достъп са явно прекомерни, и по-специално поради техния повтарящ се характер.

iii.

Достъпът не може да бъде отказан по финансови причини, ако физическото лице предложи да поеме разноските.

ж)   Искания за достъп с повтарящ се или злонамерен характер

Всяка организация може да определи допустимо ограничение на броя на исканията за достъп, подавани от конкретно физическо лице за определен период. Когато определя тези ограничения, организацията следва да отчита фактори като честота на актуализиране на информацията, целта, с която се използват данните, и естеството на информацията.

з)   Искания за достъп с измамен характер

Организацията не е длъжна да предоставя достъп, ако не получи необходимата информация за потвърждаване на самоличността на лицето, отправило искането.

и)   Срок за отговор

Организациите следва да отговарят на искания за достъп в рамките на разумни срокове, по допустим начин и във форма, която е лесноразбираема за физическото лице. Организация, която предоставя информация на субектите на данни през редовни интервали от време, може да отговори на искане за достъп от физическо лице с редовното предоставяне на информация, ако това няма да доведе до прекомерно забавяне.

9.   Данни за човешки ресурси

а)   Обхват на Щита за личните данни

i.

Когато лична информация относно наети лица (настоящи или бивши), събирана в рамките на трудовите правоотношения, се предава от организация в ЕС на участващо в Щита за личните данни предприятие майка, дъщерно предприятие или доставчик на услуги, който не е свързано дружество, в Съединените щати, това предаване се ползва от предимствата на Щита за личните данни. В този случай събирането на информацията, както и обработването ѝ преди предаването ще се уреждат от националното законодателство на държавата от ЕС, където е било извършено събирането, и ще трябва да се спазват всички условия или ограничения по предаването ѝ в съответствие с това законодателство.

ii.

Принципите на Щита за личните данни са релевантни само в случай на предаване или на достъп до конкретна информация за отделни лица. Статистическата информация, основаваща се на общи данни за заетостта, без да съдържа лични данни, или използването на анонимизирни данни, не поражда загриженост за неприкосновеността на личния живот.

б)   Прилагане на принципите на уведомяването и на избора

i.

Организация в САЩ, която е получила от ЕС информация за наети лица съгласно Щита за личните данни, може да я разкрива на трети страни или да я използва за други цели само ако са спазени принципите на уведомяването и на избора. Например, ако организация в САЩ възнамерява да използва личната информация, събрана в рамките на трудови правоотношения, за цели, които не са свързани с трудовите правоотношения — например маркетингови съобщения — тя трябва преди това да даде възможност за избор на засегнатите физически лица, освен ако последните не са дали вече своето разрешение информацията да бъде използвана за тази цел. Това използване не трябва да бъде несъвместимо с целите, за които личната информация е била събрана или впоследствие е дадено разрешение от физическото лице. От друга страна, такъв избор не трябва да бъде използван, за да бъдат ограничавани възможностите, произтичащи от трудовите правоотношения, или за предприемане на наказателни действия срещу тези наети лица

ii.

Следва да се отбележи, че някои общоприложими условия за предаването на данни от страна на някои държави — членки на ЕС, може да изключват други употреби на такава информация, дори след предаването ѝ извън територията на ЕС, и такива условия трябва да бъдат спазени.

iii.

В допълнение към това работодателите следва да се стремят да вземат предвид предпочитанията на наетите лица в областта на неприкосновеността на личния живот. Това може да включва например ограничаване на достъпа до личните данни, анонимизиране на някои данни или кодиране, или псевдонимизиране, когато за целите на управлението не се изисква използване на истинските имена.

iv.

В рамките на необходимото и за срока, необходим, за да се избегне накърняването на законните права на организацията да извършва повишаване в длъжност, назначения или вземането на други подобни решения в областта на трудовите правоотношения, не е необходимо организацията да спазва принципите на уведомяването и на избора.

в)   Прилагане на принципа на достъпа

В допълнителния принцип на достъпа се предоставят насоки относно причините, на които може да се основава отказът или ограничаването на поискан достъп в контекста на човешките ресурси. В Европейския съюз, разбира се, работодателите трябва да спазват правните разпоредби, приложими в тяхната държава, и да гарантират, че наетите лица в Европейския съюз имат достъп до информацията съгласно законодателствата на техните държави, независимо от мястото, където се извършва обработването и съхраняването на данните. Съгласно Щита за личните данни организация, която обработва такива данни в Съединените щати, трябва да сътрудничи при предоставянето на такъв достъп или пряко, или чрез работодателя от ЕС.

г)   Прилагане

i.

Доколкото личната информация се използва само в рамките на трудовите правоотношения, основната отговорност за данните по отношение на наетото лице носи организацията в ЕС. От това следва, че ако европейски наети лица възразят срещу нарушаване на правата им за защита на данните и не са удовлетворени от резултатите от вътрешните процедури за преглед, разглеждане на жалбите и обжалване (или от всяка друга вътрешна процедура, приложима по силата на сключен договор с профсъюз), те следва да бъдат насочвани към щатския или националния орган по защита на данните или към орган трудово-правни отношения, в чийто района на компетентност работи наетото лице. Тук се включват и случаите, когато за твърдяното нарушение на правата при обработването на лична информация е отговорна организацията в САЩ, която е получила информацията от работодателя, и следователно е налице твърдяно нарушение на Принципите на Щита за личните данни. Това ще бъде най-ефикасният начин за разрешаване на проблемите, които се проявяват често между застъпващите се права и задължения, определени от националните законодателства в областта на трудовото право и от колективните трудови договори, както и от законодателството в областта на защитата на данните.

ii.

Следователно организация в САЩ — участник в Щита за личните данни, която използва данни от ЕС относно човешки ресурси, предадени от Европейския съюз в рамките на трудовите правоотношения, и която желае това предаване да бъде обхванато от Щита за личните данни, трябва да поеме ангажимента за тази цел да сътрудничи при разследвания от страна на компетентните органи на ЕС и да спазва препоръките им.

д)   Прилагане на принципа на отчетност за последващото предаване

За свързани с трудово-правните отношения оперативни нужди със случаен характер на организация — участник в Щита за личните данни, които касаят лични данни, предавани съгласно Щита за личните данни, като например резервация на полет, стая в хотел или застраховка, предаванията на лични данни на малко на брой наети лица към администратори може да се извършват, без да се прилага принципът на достъпа или да се сключва договор с третата страна администратор, както иначе се изисква по силата на принципа на отчетност за последващото предаване, при условие че организацията — участник в Щита за личните данни, е спазила принципите на уведомяването и на избора.

10.   Задължителни договори за последващите предавания

а)   Договори за обработване на данни

i.

Когато предаването на лични данни от ЕС към Съединените щати се извършва само за целите на обработването, се изисква договор независимо дали обработващият е организация — участник в Щита за личните данни.

ii.

От администраторите на данни в Европейския съюз се изисква винаги да подписват договор, когато се извършва предаване за целите само на обработване на данните, независимо дали това обработване се извършва във или извън ЕС и дали обработващият е организация — участник в Щита за личните данни. Предназначението на договора е да се осигури, че обработващият данните:

1.

действа единствено по указания на администратора;

2.

осигурява подходящи технически и организационни мерки за защита на личните данни от случайно или неправомерно унищожаване, случайна загуба, промяна, неразрешено разкриване или достъп, и е наясно дали е разрешено последващото предаване; и

3.

като взема предвид естеството на обработването, подпомага администратора да отговори на искания на физически лица за упражняване на предвидените в Принципите права.

iii.

Имайки предвид, че организациите — участници в Щита за личните данни, гарантират адекватна защита, договорите само за целите на обработването, сключени с такива участници, не изискват предварително разрешение (или такова разрешение се дава автоматично от държавите — членки на ЕС), за разлика от договорите с получателите на данни, които не са участници в Щита за личните данни или които не гарантират адекватна защита.

б)   Предавания в рамките на група дружества или група субекти под общ контрол

Когато личната информация се предава между двама администратори в рамките на група дружества или група субекти под общ контрол, невинаги се изисква договор в съответствие с принципа на отчетност за последващото предаване. Администраторите на данни в рамките на група дружества или група субекти под общ контрол могат да се основават при тези предавания на данни на други инструменти, като например задължителни фирмени правила на ЕС или други вътрешно-групови инструменти (напр. програми за спазване и контрол), които гарантират непрекъснатост на защитата на личната информация съгласно Принципите на Щита за личните данни. В случаи на такива предавания организацията — участник в Щита за личните данни, остава отговорна за спазването на Принципите на Щита за личните данни.

в)   Предавания на данни между администратори

При предавания на данни между администратори не е необходимо получателят да бъде организация — участник в Щита за личните данни, или да разполага с независим механизъм за защита. Организацията — участник в Щита за личните данни, трябва да сключи договор с администратора — получател на третата страна, в който да се предвижда същата степен на защита, която осигурява Щитът за личните данни, без да се включва изискването към администратора на третата страна да е организация — участник в Щита за личните данни, или да разполага с независим механизъм за защита, при условие че той осигурява еквивалентен механизъм.

11.   Разрешаване на спорове и прилагане

а)   В принципа на защита, прилагане и отговорност за причинени вреди се определят изискванията за прилагане съгласно Щита за личните данни. В допълнителния принцип на проверка е определен начинът да се удовлетворят изискванията, формулирани в буква а), подточка ii) от принципа. В посочения допълнителен принцип се определят решения съгласно формулираните условия в буквa a), подточки i) и iii), в които се поставя изискване за независим механизъм за защита. Тези механизми могат да имат различна форма, но трябва да отговарят на изискванията на принципа на защита, прилагане и отговорност за причинени вреди. Организациите отговарят на изискванията чрез следното: i) като се съобразяват с разработени от частния сектор програми за неприкосновеността на личния живот, в чиито правила са залегнали Принципите на Щита за личните данни и в които са предвидени ефективни механизми за прилагане от същото естество като описаните в принципа на защита, прилагане и отговорност за причинени вреди; ii) като се съобразяват с указанията на законовоустановените или регулаторните органи за надзор, които осигуряват разглеждането на жалби на физическите лица и решаването на споровете; или iii) като се ангажират да сътрудничат с органите по защита на данните в рамките на Европейския съюз или с техните упълномощени представители.

б)   Настоящият списък е примерен и не е ограничаващ. Частният сектор може да предвиди други механизми за прилагане, при условие че отговарят на изискванията на принципа на защита, прилагане и отговорност за причинени вреди и на допълнителните принципи. Моля, имайте предвид, че изискванията съгласно принципа на защита, прилагане и отговорност за причинени вреди допълват изискването, че мерките за саморегулиране трябва да подлежат на принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия, който забранява нелоялните и измамни практики, или съгласно друг законов или подзаконов акт, с който се забраняват тези практики.

в)   С цел да спомогнат за гарантиране спазването на ангажиментите си съгласно Щита за личните данни и да подпомагат управлението на програмата, организациите и техните независими механизми за защита трябва да предоставят информация във връзка с Щита за личните данни при поискване от министерството. Допълнително организациите трябва да отговарят експедитивно на жалби във връзка със спазването от тяхна страна на Принципите, за които са сезирани от ОЗД чрез министерството. В отговора трябва да се дава преценка по същество на жалбата и информация как организацията ще разреши проблема, ако случаят е такъв. Министерството ще осигури защита на поверителността на информацията, която получава, в съответствие с изискванията на правото на САЩ.

г)   Механизъм за защита

i.

Потребителите следва да бъдат насърчавани да подават жалбите, които евентуално биха повдигнали, до съответната организация, преди да се обърнат към независими механизми за защита. Организациите трябва да отговорят на потребителя в срок от 45 дни, считано от получаването на жалбата. Независимостта на механизма за защита се преценява на фактическа основа, като се доказва чрез критерии като безпристрастност, прозрачност по отношение на неговия състав и на неговото финансиране и доказан професионален опит. Както се предвижда съгласно принципа на защита, прилагане и отговорност за причинени вреди, подаването на жалби, което е право на физическите лица, трябва да е лесно осъществимо и безплатно за тях. Органите за разрешаване на спорове следва да разглеждат всички получени жалби от физическите лица, освен в случаите, когато са явно необосновани или нямат сериозен характер. Това условие не възпрепятства установяването от страна на организацията, която разглежда жалбите в рамките на механизма за защита, на критерии за допустимост, но те трябва да бъдат прозрачни и обосновани (примерно да се изключват жалби, които не са в обхвата на програмата или които са от компетенциите на други инстанции) и не би следвало да засягат ангажимента да се разглеждат законосъобразните жалби. Освен това механизмите за защита следва да дават на физическите лица пълна и лесно достъпна информация за функционирането на процедурата по разрешаване на спорове, когато подават жалба. Тази информация следва да включва уведомяване относно практиките на механизма в областта на неприкосновеността на личния живот съгласно Принципите на Щита за личните данни. Също така механизмите следва да си сътрудничат за разработването на инструменти за улесняване на процеса по разрешаване на споровете, като например стандартни формуляри за жалби.

ii.

Независимите механизми за защита трябва да включват на своите публични уебсайтове информация относно Принципите на Щита за личните данни и услугите, които извършват съгласно Щита за личните данни. Тази информация трябва да включва: 1) информация или електронна връзка към изискванията относно независимите механизми за защита съгласно Принципите на Щита за личните данни; 2) електронна връзка към страницата на Щита за личните данни на уебсайта на министерството; 3) пояснение, че техните услуги по разрешаване на споровете съгласно Щита за личните данни са безплатни за физическите лица; 4) описание на това как може да бъде подадена жалба във връзка с Щита за личните данни; 5) сроковете, в които се разглеждат жалбите във връзка с Щита за личните данни; и 6) описание на набора от възможни средства за правна защита.

iii.

Независимите механизми за защита трябва да публикуват годишен доклад с обобщена статистическа информация относно своите услуги по разрешаване на спорове. В годишния доклад трябва да бъдат включени: 1) общият брой на получените през отчетната година жалби във връзка с Щита за личните данни в отношенията между ЕС и САЩ; 2) видът на полу