Help Print this page 

Document 32016D1250

Title and reference
Εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής, της 12ης Ιουλίου 2016, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ [κοινοποιηθείσα υπό τον αριθμό C(2016) 4176] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

C/2016/4176
  • Date of entry into force unknown (pending notification) or not yet in force.
OJ L 207, 1.8.2016, p. 1–112 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/dec_impl/2016/1250/oj
Languages, formats and link to OJ
BG ES CS DA DE ET EL EN FR GA HR IT LV LT HU MT NL PL PT RO SK SL FI SV
HTML html BG html ES html CS html DA html DE html ET html EL html EN html FR html HR html IT html LV html LT html HU html MT html NL html PL html PT html RO html SK html SL html FI html SV
PDF pdf BG pdf ES pdf CS pdf DA pdf DE pdf ET pdf EL pdf EN pdf FR pdf HR pdf IT pdf LV pdf LT pdf HU pdf MT pdf NL pdf PL pdf PT pdf RO pdf SK pdf SL pdf FI pdf SV
Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal Display Official Journal
 To see if this document has been published in an e-OJ with legal value, click on the icon above (For OJs published before 1st July 2013, only the paper version has legal value).
Multilingual display
Text

1.8.2016   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 207/1


ΕΚΤΕΛΕΣΤΙΚΉ ΑΠΌΦΑΣΗ (ΕΕ) 2016/1250 ΤΗΣ ΕΠΙΤΡΟΠΉΣ

της 12ης Ιουλίου 2016

βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ

[κοινοποιηθείσα υπό τον αριθμό C(2016) 4176]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (1), και ιδίως το άρθρο 25 παράγραφος 6,

Ύστερα από διαβούλευση με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (2),

1.   ΕΙΣΑΓΩΓΗ

(1)

Με την οδηγία 95/46/ΕΚ καθορίζονται οι κανόνες για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη σε τρίτες χώρες στον βαθμό που οι εν λόγω διαβιβάσεις εμπίπτουν στο πεδίο εφαρμογής της.

(2)

Το άρθρο 1 της οδηγίας 95/46/ΕΚ και οι αιτιολογικές σκέψεις 2 και 10 του προοιμίου της δεν αποσκοπούν μόνο στη διασφάλιση αποτελεσματικής και πλήρους προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων και, ιδίως, του θεμελιώδους δικαιώματος στον σεβασμό της ιδιωτικής ζωής έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αλλά και στην κατοχύρωση υψηλού επιπέδου προστασίας των εν λόγω θεμελιωδών δικαιωμάτων και ελευθεριών (3).

(3)

Η νομολογία του Δικαστηρίου (4) τονίζει τη σημασία τόσο του θεμελιώδους δικαιώματος στον σεβασμό της ιδιωτικής ζωής, που κατοχυρώνεται στο άρθρο 7 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, όσο και του θεμελιώδους δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, που κατοχυρώνεται στο άρθρο 8 του Χάρτη.

(4)

Σύμφωνα με το άρθρο 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ απαιτείται από τα κράτη μέλη να προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας και οι νόμοι του κράτους μέλους που εφαρμόζουν άλλες διατάξεις της οδηγίας τηρούνται πριν από τη διαβίβαση. Η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει το εν λόγω ικανοποιητικό επίπεδο προστασίας λόγω της εσωτερικής της νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει με σκοπό την προστασία των δικαιωμάτων των ατόμων. Στην περίπτωση αυτή, και τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με άλλες διατάξεις της οδηγίας, επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη χωρίς να είναι απαραίτητη η παροχή πρόσθετων εγγυήσεων.

(5)

Σύμφωνα με το άρθρο 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, το επίπεδο της προστασίας δεδομένων που παρέχεται από τρίτη χώρα θα πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων, συμπεριλαμβανομένων των γενικών και τομεακών κανόνων δικαίου που ισχύουν στην εν λόγω τρίτη χώρα.

(6)

Στην απόφαση 2000/520/ΕΚ της Επιτροπής (5), για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, οι «αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής», που εφαρμόζονται σύμφωνα με την καθοδήγηση που παρέχεται από τις αποκαλούμενες «συχνές ερωτήσεις» που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ, θεωρήθηκε ότι παρέχουν ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ένωση σε οργανισμούς εγκατεστημένους στις Ηνωμένες Πολιτείες της Αμερικής.

(7)

Η Επιτροπή, στις ανακοινώσεις της COM(2013) 846 final (6) και COM(2013) 847 final της 27ης Νοεμβρίου 2013 (7), θεώρησε ότι η θεμελιώδης βάση του συστήματος ασφαλούς λιμένα έπρεπε να επανεξεταστεί και να ενισχυθεί στο πλαίσιο διαφόρων παραγόντων, συμπεριλαμβανομένων της αλματώδους αύξησης στις ροές δεδομένων και της κρίσιμης σημασίας τους για τη διατλαντική οικονομία, της ταχείας αύξησης του αριθμού των εταιρειών στις ΗΠΑ οι οποίες έχουν προσχωρήσει στο σύστημα του ασφαλούς λιμένα, καθώς και των νέων πληροφοριών σχετικά με την κλίμακα και την εμβέλεια ορισμένων προγραμμάτων παρακολούθησης των ΗΠΑ που ήγειραν ανησυχίες όσον αφορά το επίπεδο προστασίας που θα μπορούσε να εγγυηθεί το εν λόγω σύστημα. Επιπλέον, η Επιτροπή εντόπισε ορισμένα κενά και ανεπάρκειες στο σύστημα ασφαλούς λιμένα.

(8)

Βάσει των αποδεικτικών στοιχείων τα οποία συγκέντρωσε η Επιτροπή, συμπεριλαμβανομένων των πληροφοριών που προέκυψαν από τις εργασίες της ομάδας επαφών ΕΕ–ΗΠΑ για την προστασία της ιδιωτικής ζωής (8) και των πληροφοριών σχετικά με τα προγράμματα παρακολούθησης των ΗΠΑ που παραλήφθηκαν στο πλαίσιο της ad hoc ομάδας εργασίας ΕΕ–ΗΠΑ (9), η Επιτροπή διατύπωσε 13 συστάσεις για την επανεξέταση του συστήματος ασφαλούς λιμένα. Οι συστάσεις αυτές επικεντρώνονταν στην ενίσχυση των ουσιαστικών αρχών προστασίας της ιδιωτικής ζωής, την αύξηση της διαφάνειας των πολιτικών τις οποίες εφαρμόζουν οι αυτοπιστοποιούμενες εταιρείες των ΗΠΑ όσον αφορά την προστασία της ιδιωτικής ζωής, τη βελτίωση της εποπτείας, της παρακολούθησης και της επιβολής της συμμόρφωσης των υπηρεσιών των ΗΠΑ με τις εν λόγω αρχές, τη διαθεσιμότητα οικονομικά προσιτών μηχανισμών επίλυσης διαφορών, καθώς και την ανάγκη να διασφαλιστεί ότι η χρήση της εξαίρεσης για λόγους εθνικής ασφάλειας που προβλέπεται στην απόφαση 2000/520/ΕΚ περιορίζεται στον βαθμό που είναι απολύτως αναγκαίος και αναλογικός.

(9)

Στην απόφασή του της 6ης Οκτωβρίου 2015 στην υπόθεση C-362/14, Maximillian Schrems κατά Data Protection Commissioner (10), το Δικαστήριο της Ευρωπαϊκής Ένωσης κήρυξε ανίσχυρη την απόφαση 2000/520/ΕΚ. Χωρίς να εξετάσει το περιεχόμενο των αρχών ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής, το Δικαστήριο θεώρησε ότι η Επιτροπή δεν ανέφερε στην επίμαχη απόφαση ότι οι Ηνωμένες Πολιτείες της Αμερικής «εξασφαλίζουν» πραγματικά ικανοποιητικό επίπεδο προστασίας με την εσωτερική τους νομοθεσία ή με τις διεθνείς δεσμεύσεις που έχουν αναλάβει (11).

(10)

Εν προκειμένω, το Δικαστήριο διευκρίνισε ότι, μολονότι η έκφραση «ικανοποιητικό επίπεδο προστασίας» στο άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ δεν σημαίνει το ίδιο ακριβώς επίπεδο προστασίας με αυτό που παρέχει η έννομη τάξη της Ένωσης, ωστόσο πρέπει να ερμηνευθεί υπό την έννοια ότι απαιτεί η τρίτη αυτή χώρα να διασφαλίζει επίπεδο προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών «ουσιαστικά ισοδύναμο» με αυτό που εξασφαλίζεται εντός της Ένωσης βάσει της οδηγίας 95/46/ΕΚ υπό το φως του Χάρτη των Θεμελιωδών Δικαιωμάτων. Ακόμη και αν τα μέσα που χρησιμοποιεί η χώρα αυτή, εν προκειμένω, μπορούν να διαφέρουν από αυτά που εφαρμόζονται εντός της Ένωσης, τα μέσα αυτά πρέπει, πάντως να αποδεικνύονται στην πράξη αποτελεσματικά (12).

(11)

Το Δικαστήριο επέκρινε την έλλειψη επαρκών διαπιστώσεων στην απόφαση 2000/520/ΕΚ σχετικά με την ύπαρξη στις Ηνωμένες Πολιτείες κρατικών κανόνων για τον περιορισμό τυχόν επεμβάσεων στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες, επεμβάσεις στις οποίες επιτρέπεται να προβαίνουν κρατικοί φορείς των Ηνωμένων Πολιτειών, όταν υπηρετούν νόμιμους σκοπούς όπως η εθνική ασφάλεια, καθώς και σχετικά με την ύπαρξη δικαστικής προστασίας κατά τέτοιων επεμβάσεων (13).

(12)

Το 2014 η Επιτροπή είχε ξεκινήσει συνομιλίες με τις αρχές των ΗΠΑ προκειμένου να συζητηθεί η ενίσχυση του συστήματος ασφαλούς λιμένα σύμφωνα με τις 13 συστάσεις που περιλαμβάνονται στην ανακοίνωση COM(2013) 847 final. Μετά την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση Schrems, οι εν λόγω συνομιλίες εντατικοποιήθηκαν με σκοπό να καταλήξουν σε πιθανή νέα απόφαση περί επάρκειας η οποία να ανταποκρίνεται στις απαιτήσεις του άρθρου 25 της οδηγίας 95/46/ΕΚ όπως ερμηνεύθηκε από το Δικαστήριο. Τα έγγραφα τα οποία προσαρτώνται στην παρούσα απόφαση ως παραρτήματα, και τα οποία θα δημοσιευτούν επίσης στην επίσημη εφημερίδα της ομοσπονδιακής κυβέρνησης των ΗΠΑ (Federal Register), είναι το αποτέλεσμα αυτών των συζητήσεων. Οι αρχές προστασίας της ιδιωτικής ζωής (παράρτημα II) καθώς και οι επίσημες δηλώσεις και δεσμεύσεις εκ μέρους διαφόρων αρμόδιων αρχών των ΗΠΑ που περιλαμβάνονται στα έγγραφα των παραρτημάτων I και III έως VII αποτελούν την «ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ».

(13)

Η Επιτροπή προέβη σε ενδελεχή ανάλυση του δικαίου και της πρακτικής των ΗΠΑ, συμπεριλαμβανομένων των εν λόγω επίσημων δηλώσεων και δεσμεύσεων. Βάσει των διαπιστώσεων που αναπτύσσονται στις αιτιολογικές σκέψεις 136-140, η Επιτροπή καταλήγει στο συμπέρασμα ότι οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ένωση σε αυτοπιστοποιούμενους οργανισμούς στις Ηνωμένες Πολιτείες της Αμερικής στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ.

2.   Η «ΑΣΠΙΔΑ ΠΡΟΣΤΑΣΙΑΣ ΤΗΣ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ ΕΕ–ΗΠΑ»

(14)

Η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ βασίζεται σε ένα σύστημα αυτοπιστοποίησης μέσω του οποίου οι οργανισμοί των ΗΠΑ δεσμεύονται να τηρούν ένα σύνολο αρχών προστασίας της ιδιωτικής ζωής —τις αρχές του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, συμπεριλαμβανομένων των συμπληρωματικών αρχών (εφεξής από κοινού: «οι Αρχές»)— που έχουν εκδοθεί από το Υπουργείο Εμπορίου των ΗΠΑ και παρατίθενται στο παράρτημα II της παρούσας απόφασης. Το σύνολο των Αρχών αυτών ισχύει τόσο για τους υπευθύνους επεξεργασίας όσο και για τους εκτελούντες την επεξεργασία (αντιπροσώπους), με την ιδιαιτερότητα ότι οι εκτελούντες την επεξεργασία πρέπει να δεσμεύονται βάσει σύμβασης ότι θα ενεργούν με βάση τις οδηγίες του υπευθύνου επεξεργασίας της ΕΕ και θα τον συνδράμουν ώστε να ανταποκρίνεται σε αιτήματα προσώπων που ασκούν τα δικαιώματά τους δυνάμει των Αρχών (14).

(15)

Με την επιφύλαξη της συμμόρφωσης με τις εθνικές διατάξεις που θεσπίζονται βάσει της οδηγίας 95/46/ΕΚ, η παρούσα απόφαση έχει ως αποτέλεσμα να επιτρέπονται οι διαβιβάσεις από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ένωση προς οργανισμούς στις ΗΠΑ που έχουν αυτοπιστοποιηθεί στο Υπουργείο Εμπορίου όσον αφορά την τήρηση των Αρχών εκ μέρους τους και έχουν δεσμευτεί να συμμορφώνονται με αυτές. Οι Αρχές εφαρμόζονται αποκλειστικά στην επεξεργασία προσωπικών δεδομένων από τον οργανισμό των ΗΠΑ στον βαθμό που η επεξεργασία από τέτοιου είδους οργανισμούς δεν εμπίπτει στο πεδίο εφαρμογής της νομοθεσίας της Ένωσης (15). Η ασπίδα προστασίας δεν θίγει την εφαρμογή της νομοθεσίας της Ένωσης που διέπει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη (16).

(16)

Η προστασία που παρέχεται στα δεδομένα προσωπικού χαρακτήρα από την ασπίδα προστασίας ισχύει για κάθε πρόσωπο στην ΕΕ στο οποίο αναφέρονται τα δεδομένα (17), και του οποίου τα προσωπικά δεδομένα έχουν διαβιβαστεί από την Ένωση σε οργανισμούς στις ΗΠΑ που έχουν αυτοπιστοποιηθεί στο Υπουργείο Εμπορίου όσον αφορά την τήρηση των Αρχών.

(17)

Οι Αρχές αρχίζουν να εφαρμόζονται μόλις πραγματοποιηθεί η πιστοποίηση. Μία εξαίρεση αφορά την αρχή της λογοδοσίας για περαιτέρω διαβίβαση στην περίπτωση που ένας οργανισμός που αυτοπιστοποιείται στην ασπίδα προστασίας έχει ήδη προϋπάρχουσες εμπορικές σχέσεις με τρίτους. Δεδομένου ότι ενδέχεται να απαιτηθεί χρόνος για τη συμμόρφωση των εν λόγω εμπορικών σχέσεων με τους κανόνες που εφαρμόζονται δυνάμει της αρχής της λογοδοσίας για περαιτέρω διαβίβαση, ο οργανισμός θα υποχρεούται να διασφαλίσει τη συμμόρφωση το συντομότερο δυνατόν και σε κάθε περίπτωση το αργότερο εντός εννέα μηνών από την αυτοπιστοποίηση (υπό την προϋπόθεση ότι αυτή λαμβάνει χώρα στους πρώτους δύο μήνες από την ημερομηνία έναρξης ισχύος της ασπίδας προστασίας). Κατά τη διάρκεια της ενδιάμεσης αυτής περιόδου, ο οργανισμός πρέπει να εφαρμόζει τις αρχές της κοινοποίησης και της επιλογής (παρέχοντας με τον τρόπο αυτό στο πρόσωπο της ΕΕ στο οποίο αναφέρονται τα δεδομένα την επιλογή της εξαίρεσης από τα δεδομένα) και, στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε τρίτο που ενεργεί ως αντιπρόσωπος, πρέπει να διασφαλίζει ότι ο τελευταίος παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας με αυτό που απαιτείται βάσει των Αρχών (18). Η μεταβατική αυτή περίοδος εξασφαλίζει μια λογική και κατάλληλη ισορροπία μεταξύ του σεβασμού του θεμελιώδους δικαιώματος στην προστασία των δεδομένων και των εύλογων αναγκών των επιχειρήσεων να έχουν στη διάθεσή τους επαρκή χρόνο για να προσαρμοστούν στο νέο πλαίσιο, στην περίπτωση που αυτό εξαρτάται επίσης από τις εμπορικές τους σχέσεις με τρίτους.

(18)

Το σύστημα θα τελεί υπό τη διαχείριση και την παρακολούθηση του Υπουργείου Εμπορίου βάσει των δεσμεύσεών του που παρατίθενται στις δηλώσεις της Υπουργού Εμπορίου των ΗΠΑ (παράρτημα I της παρούσας απόφασης). Όσον αφορά την επιβολή των Αρχών, η Ομοσπονδιακή Επιτροπή Εμπορίου (Federal Trade Commission — FTC) και το Υπουργείο Μεταφορών έχουν καταρτίσει δηλώσεις που περιλαμβάνονται στα παραρτήματα IV και V της παρούσας απόφασης.

2.1.   Αρχές προστασίας της ιδιωτικής ζωής

(19)

Στο πλαίσιο της αυτοπιστοποίησής τους βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, οι οργανισμοί πρέπει να αναλάβουν τη δέσμευση να συμμορφώνονται με τις Αρχές (19).

(20)

Σύμφωνα με την αρχή της κοινοποίησης, οι οργανισμοί υποχρεούνται να παρέχουν στα πρόσωπα στα οποία αναφέρονται τα δεδομένα πληροφορίες σχετικά με ορισμένα βασικά στοιχεία που αφορούν την επεξεργασία των προσωπικών τους δεδομένων (π.χ. το είδος των δεδομένων που συλλέγονται, τον σκοπό της επεξεργασίας, το δικαίωμα πρόσβασης και επιλογής, τις προϋποθέσεις περαιτέρω διαβίβασης και την ευθύνη). Εφαρμόζονται δε περαιτέρω διασφαλίσεις, ιδίως η υποχρέωση των οργανισμών να δημοσιοποιούν τις πολιτικές τους που αφορούν την προστασία της ιδιωτικής ζωής (στις οποίες πρέπει να αποτυπώνονται οι Αρχές) και να παρέχουν συνδέσμους προς τον δικτυακό τόπο του Υπουργείου Εμπορίου (με περισσότερες λεπτομέρειες για την αυτοπιστοποίηση, τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα και τους διαθέσιμους μηχανισμούς προσφυγής), τον κατάλογο της ασπίδας προστασίας της ιδιωτικής ζωής που αναφέρεται στην αιτιολογική σκέψη 30 και τον δικτυακό τόπο ενδεδειγμένου παρόχου υπηρεσιών εναλλακτικής επίλυσης διαφορών.

(21)

Σύμφωνα με την αρχή της ακεραιότητας των δεδομένων και του περιορισμού του σκοπού, τα δεδομένα προσωπικού χαρακτήρα πρέπει να περιορίζονται σε όσα είναι συναφή με τον σκοπό της επεξεργασίας, αξιόπιστα για τη χρήση για την οποία προορίζονται, ακριβή, πλήρη και ενημερωμένα. Ένας οργανισμός δεν επιτρέπεται να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα κατά τρόπο που αντιβαίνει στον σκοπό για τον οποίο συνελέγησαν αρχικά ή για τον οποίο δόθηκε μεταγενέστερα άδεια από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι οργανισμοί πρέπει να διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα είναι αξιόπιστα για τη σκοπούμενη χρήση τους, ακριβή, πλήρη και επικαιροποιημένα.

(22)

Στην περίπτωση που ένας νέος (τροποποιημένος) σκοπός είναι ουσιωδώς διαφορετικός αλλά εξακολουθεί να συνάδει με τον αρχικό σκοπό, η αρχή της επιλογής παρέχει στα πρόσωπα στα οποία αναφέρονται τα δεδομένα το δικαίωμα αντίταξης (εξαίρεση από τα δεδομένα). Η αρχή της επιλογής δεν υπερισχύει της ρητής απαγόρευσης της ασυμβίβαστης επεξεργασίας (20). Ειδικοί κανόνες οι οποίοι εν γένει επιτρέπουν την εξαίρεση «ανά πάσα στιγμή» από τη χρήση δεδομένων προσωπικού χαρακτήρα ισχύουν όσον αφορά την άμεση εμπορική προώθηση (21). Στην περίπτωση των ευαίσθητων δεδομένων, οι οργανισμοί πρέπει συνήθως να εξασφαλίζουν τη ρητή συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα (οικειοθελής συμμετοχή).

(23)

Ωστόσο, σύμφωνα με την αρχή της ακεραιότητας των δεδομένων και του περιορισμού του σκοπού, οι πληροφορίες προσωπικού χαρακτήρα μπορούν να διατηρούνται υπό μορφή με την οποία καθίσταται γνωστή ή μπορεί να εξακριβωθεί η ταυτότητα ενός προσώπου (και, κατά συνέπεια, υπό τη μορφή δεδομένων προσωπικού χαρακτήρα) μόνον για το χρονικό διάστημα για το οποίο εξυπηρετούν τον (τους) σκοπό(-ούς) για τον (τους) οποίο(-ους) συνελέγησαν αρχικά ή εγκρίθηκαν στη συνέχεια. Η υποχρέωση αυτή δεν παρεμποδίζει τους οργανισμούς της ασπίδας προστασίας να συνεχίσουν την επεξεργασία πληροφοριών προσωπικού χαρακτήρα για μεγαλύτερες περιόδους, αλλά μόνο για το χρονικό διάστημα και στον βαθμό που η επεξεργασία εξυπηρετεί ευλόγως έναν από τους ακόλουθους συγκεκριμένους σκοπούς: αρχειοθέτηση προς το δημόσιο συμφέρον, δημοσιογραφία, λογοτεχνία και τέχνη, επιστημονική και ιστορική έρευνα και στατιστική ανάλυση. Η τήρηση των δεδομένων προσωπικού χαρακτήρα για μεγαλύτερο χρονικό διάστημα για την εξυπηρέτηση ενός από τους εν λόγω σκοπούς θα υπόκειται στις διασφαλίσεις που παρέχονται από τις Αρχές.

(24)

Σύμφωνα με την αρχή της ασφάλειας, οι οργανισμοί που δημιουργούν, διατηρούν, χρησιμοποιούν ή διαδίδουν δεδομένα προσωπικού χαρακτήρα οφείλουν να λαμβάνουν «εύλογα και κατάλληλα» μέτρα ασφαλείας, λαμβανομένων υπόψη των κινδύνων που ενέχει η επεξεργασία και της φύσης των δεδομένων. Σε περίπτωση υπεργολαβίας επεξεργασίας, οι οργανισμοί πρέπει να συνάπτουν σύμβαση με τον υπεργολάβο επεξεργασίας η οποία να εγγυάται το ίδιο επίπεδο προστασίας με αυτό που παρέχεται από τις Αρχές και να λαμβάνουν μέτρα για τη διασφάλιση της ορθής εφαρμογής της.

(25)

Σύμφωνα με την αρχή της πρόσβασης  (22), τα πρόσωπα στα οποία αναφέρονται τα δεδομένα έχουν το δικαίωμα, χωρίς απαίτηση αιτιολόγησης και μόνον έναντι εύλογου αντιτίμου, να λαμβάνουν επιβεβαίωση από έναν οργανισμό για το αν ο εν λόγω οργανισμός προβαίνει σε επεξεργασία δεδομένων που τα αφορούν καθώς και να εξασφαλίζουν ότι θα τους κοινοποιούνται τα εν λόγω δεδομένα εντός εύλογου χρονικού διαστήματος. Το δικαίωμα αυτό μπορεί να περιοριστεί μόνο σε εξαιρετικές περιστάσεις· τυχόν άρνηση ή περιορισμός του δικαιώματος πρόσβασης πρέπει να είναι αναγκαίος και δεόντως αιτιολογημένος, και ο οργανισμός είναι εκείνος που οφείλει να αποδείξει ότι πληρούνται οι συγκεκριμένες απαιτήσεις. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να έχουν τη δυνατότητα να διορθώνουν, να τροποποιούν ή να διαγράφουν πληροφορίες προσωπικού χαρακτήρα όταν είναι ανακριβείς ή έχουν υποβληθεί σε επεξεργασία κατά παράβαση των Αρχών. Στους τομείς στους οποίους οι εταιρείες είναι πιθανότερο να καταφύγουν στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα για να λάβουν αποφάσεις που επηρεάζουν το εκάστοτε πρόσωπο (π.χ. παροχή πίστωσης, προσφορά ενυπόθηκων δανείων, απασχόληση), το δίκαιο των ΗΠΑ προβλέπει ειδικές ρυθμίσεις προστασίας από τη λήψη αρνητικών αποφάσεων (23). Οι εν λόγω πράξεις συνήθως προβλέπουν ότι τα πρόσωπα έχουν το δικαίωμα να ενημερώνονται για τους συγκεκριμένους λόγους στους οποίους βασίζεται η απόφαση (π.χ. απόρριψη της χορήγησης πίστωσης), να αμφισβητούν ελλιπείς ή λανθασμένες πληροφορίες (καθώς και το να βασίστηκε η απόφαση σε παράνομους παράγοντες), και να ζητούν επανόρθωση. Οι κανόνες αυτοί περιλαμβάνουν ρυθμίσεις προστασίας για τις κατά πάσα πιθανότητα περιορισμένες περιπτώσεις στις οποίες οι αυτοματοποιημένες αποφάσεις θα λαμβάνονται από τον ίδιο τον οργανισμό της ασπίδας προστασίας (24). Ωστόσο, δεδομένης της αυξημένης χρήσης της αυτοματοποιημένης επεξεργασίας (συμπεριλαμβανομένης της κατάρτισης προφίλ) ως βάσης για τη λήψη αποφάσεων που επηρεάζουν τους ιδιώτες στη σύγχρονη ψηφιακή οικονομία, ο τομέας αυτός θα πρέπει να παρακολουθείται στενά. Προκειμένου να διευκολυνθεί η παρακολούθηση αυτή, έχει συμφωνηθεί με τις αρχές των ΗΠΑ ότι ο διάλογος σχετικά με τη λήψη αυτοματοποιημένων αποφάσεων, συμπεριλαμβανομένης ανταλλαγής πληροφοριών σχετικά με τις ομοιότητες και τις διαφορές στην προσέγγιση της ΕΕ και των ΗΠΑ εν προκειμένω, θα συμπεριληφθεί στα θέματα της πρώτης ετήσιας επανεξέτασης καθώς και επόμενων επανεξετάσεων, εφόσον απαιτηθεί.

(26)

Σύμφωνα με την αρχή της προσφυγής, της επιβολής και της ευθύνης  (25), οι συμμετέχοντες οργανισμοί πρέπει να παρέχουν άρτιους μηχανισμούς για τη διασφάλιση της συμμόρφωσης με τις λοιπές Αρχές και της δυνατότητας προσφυγής για τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα και των οποίων τα δεδομένα προσωπικού χαρακτήρα έχουν υποβληθεί σε επεξεργασία κατά τρόπο που δεν συμμορφώνεται με τις εν λόγω Αρχές, συμπεριλαμβανομένων αποτελεσματικών μέσων έννομης προστασίας. Άπαξ και ένας οργανισμός αποφασίσει οικειοθελώς να αυτοπιστοποιηθεί (26) στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, η αποτελεσματική συμμόρφωση με τις Αρχές είναι υποχρεωτική. Προκειμένου να επιτρέπεται στον εν λόγω οργανισμό να συνεχίσει να λαμβάνει δεδομένα προσωπικού χαρακτήρα από την Ένωση επί τη βάσει της ασπίδας προστασίας, ο οργανισμός πρέπει να επαναπιστοποιεί σε ετήσια βάση τη συμμετοχή του στο συγκεκριμένο πλαίσιο. Οι οργανισμοί πρέπει, επίσης, να λαμβάνουν μέτρα προκειμένου να εξακριβώνουν (27) ότι οι δημοσιευμένες πολιτικές τους που αφορούν την προστασία της ιδιωτικής ζωής συνάδουν με τις Αρχές και τηρούνται πραγματικά. Αυτό μπορεί να επιτευχθεί είτε μέσω ενός συστήματος αυτοαξιολόγησης, το οποίο πρέπει να περιλαμβάνει εσωτερικές διαδικασίες που διασφαλίζουν ότι οι εργαζόμενοι λαμβάνουν κατάρτιση σχετικά με την εφαρμογή των πολιτικών του οργανισμού όσον αφορά την προστασία της ιδιωτικής ζωής και ότι η συμμόρφωση ελέγχεται ανά τακτά διαστήματα με αντικειμενικό τρόπο, είτε με εξωτερικούς ελέγχους συμμόρφωσης, για τους οποίους οι σχετικές μέθοδοι μπορούν να περιλαμβάνουν ελεγκτικές διαδικασίες ή δειγματοληπτικές επιθεωρήσεις. Επιπλέον, ο οργανισμός πρέπει να θέσει σε εφαρμογή αποτελεσματικό μηχανισμό προσφυγής για την αντιμετώπιση τυχόν καταγγελιών (βλέπε σχετικά επίσης την αιτιολογική σκέψη 43) και να υπόκειται στις εξουσίες διεξαγωγής ερευνών και επιβολής της FTC, του Υπουργείου Μεταφορών ή άλλου εξουσιοδοτημένου επίσημου φορέα ο οποίος θα διασφαλίζει αποτελεσματικά τη συμμόρφωση με τις Αρχές.

(27)

Ειδικοί κανόνες εφαρμόζονται στις επονομαζόμενες «περαιτέρω διαβιβάσεις», δηλαδή στις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από οργανισμό σε τρίτο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, ανεξαρτήτως του αν ο τελευταίος βρίσκεται στις Ηνωμένες Πολιτείες ή σε τρίτη χώρα εκτός των ΗΠΑ (και της Ένωσης). Ο σκοπός των κανόνων αυτών είναι να διασφαλιστεί ότι οι ρυθμίσεις προστασίας που εξασφαλίζονται για τα δεδομένα προσωπικού χαρακτήρα των προσώπων από την ΕΕ στα οποία αναφέρονται τα δεδομένα δεν υπονομεύονται και δεν μπορούν να παρακαμφθούν, μέσω της διαβίβασής τους σε τρίτους. Αυτό είναι ιδιαιτέρως συναφές σε περισσότερο σύνθετες αλυσίδες επεξεργασίας οι οποίες είναι συνήθεις στη σύγχρονη ψηφιακή οικονομία.

(28)

Σύμφωνα με την αρχή της λογοδοσίας για περαιτέρω διαβίβαση  (28), κάθε περαιτέρω διαβίβαση μπορεί να πραγματοποιηθεί μόνο i) για περιορισμένους και καθορισμένους σκοπούς, ii) βάσει σύμβασης (ή παρόμοιας συμφωνίας στο πλαίσιο εταιρικού ομίλου (29)) και iii) μόνον εάν η εν λόγω σύμβαση παρέχει το ίδιο επίπεδο προστασίας με αυτό το οποίο διασφαλίζεται από τις Αρχές, το οποίο περιλαμβάνει την απαίτηση η εφαρμογή των Αρχών να είναι δυνατόν να περιοριστεί μόνο στον βαθμό που κρίνεται αναγκαίος για την εκπλήρωση σκοπών εθνικής ασφάλειας, επιβολής του νόμου και άλλων σκοπών δημοσίου συμφέροντος (30). Αυτό θα πρέπει να εφαρμόζεται σε συνδυασμό με την αρχή της κοινοποίησης και, στην περίπτωση περαιτέρω διαβίβασης σε τρίτο υπεύθυνο επεξεργασίας (31), με την αρχή της επιλογής, σύμφωνα με την οποία τα πρόσωπα στα οποία αναφέρονται τα δεδομένα πρέπει να ενημερώνονται (μεταξύ άλλων) σχετικά με το είδος/την ταυτότητα τυχόν τρίτου αποδέκτη, τον σκοπό της περαιτέρω διαβίβασης καθώς και τις επιλογές που τους προσφέρονται και μπορούν να αντιτάσσονται (δικαίωμα εξαίρεσης) ή, σε περίπτωση ευαίσθητων δεδομένων, πρέπει να παρέχουν «ρητή συγκατάθεση» (οικειοθελής συμμετοχή) για τις περαιτέρω διαβιβάσεις δεδομένων. Βάσει της αρχής της ακεραιότητας των δεδομένων και του περιορισμού του σκοπού, η υποχρέωση παροχής του ίδιου επιπέδου προστασίας με αυτό που διασφαλίζεται από τις Αρχές προϋποθέτει ότι ο τρίτος δύναται μόνο να επεξεργάζεται τις πληροφορίες προσωπικού χαρακτήρα που διαβιβάζονται σε αυτόν για σκοπούς που δεν αντιβαίνουν στους σκοπούς για τους οποίους συνελέγησαν αρχικά ή εγκρίθηκαν στη συνέχεια από το πρόσωπο.

(29)

Η υποχρέωση παροχής του ίδιου επιπέδου προστασίας με αυτό που απαιτείται βάσει των Αρχών ισχύει για κάθε τρίτο και για όλους τους τρίτους που συμμετέχουν στην επεξεργασία των δεδομένων που διαβιβάζονται με τον τρόπο αυτό, ανεξαρτήτως του τόπου στον οποίο βρίσκονται (στις ΗΠΑ ή σε άλλη τρίτη χώρα), καθώς και στην περίπτωση που ο αρχικός τρίτος αποδέκτης διαβιβάζει ο ίδιος τα εν λόγω δεδομένα σε άλλο τρίτο αποδέκτη, για παράδειγμα για σκοπούς επεξεργασίας στο πλαίσιο υπεργολαβίας. Σε κάθε περίπτωση, στη σύμβαση με τρίτο αποδέκτη πρέπει να προβλέπεται ότι ο τελευταίος θα ενημερώσει τον οργανισμό της ασπίδας προστασίας εάν αποφασίσει ότι δεν δύναται πλέον να συμμορφώνεται με την υποχρέωση αυτή. Εάν ληφθεί τέτοιου είδους απόφαση, η επεξεργασία από τον τρίτο παύει ή λαμβάνονται άλλα εύλογα και κατάλληλα μέτρα για την επανόρθωση της κατάστασης (32). Σε περίπτωση που προκύψουν προβλήματα συμμόρφωσης στην αλυσίδα (υπεργολαβίας) επεξεργασίας, ο οργανισμός της ασπίδας προστασίας που ενεργεί ως ο υπεύθυνος της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει να αποδείξει ότι δεν είναι υπεύθυνος για το γεγονός που προκαλεί τη ζημία, ειδάλλως υπέχει ευθύνη, όπως ορίζεται στην αρχή της προσφυγής, της επιβολής και της ευθύνης. Στην περίπτωση περαιτέρω διαβίβασης σε τρίτο αντιπρόσωπο εφαρμόζονται πρόσθετες ρυθμίσεις προστασίας (33).

2.2.   Διαφάνεια, διαχείριση και εποπτεία της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ

(30)

Η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ προβλέπει μηχανισμούς εποπτείας και επιβολής, προκειμένου να επαληθεύεται και να διασφαλίζεται ότι οι αυτοπιστοποιούμενες εταιρείες των ΗΠΑ συμμορφώνονται με τις Αρχές και ότι κάθε περίπτωση μη συμμόρφωσης αντιμετωπίζεται. Οι μηχανισμοί αυτοί παρατίθενται στις Αρχές (παράρτημα II) και στις δεσμεύσεις που έχουν αναληφθεί από το Υπουργείο Εμπορίου (παράρτημα I), την FTC (παράρτημα IV) και το Υπουργείο Μεταφορών (παράρτημα V).

(31)

Για τη διασφάλιση της ορθής εφαρμογής της ασπίδας προστασίας ΕΕ–ΗΠΑ τα ενδιαφερόμενα μέρη, όπως είναι τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, οι εξαγωγείς δεδομένων και οι εθνικές αρχές προστασίας δεδομένων (ΑΠΔ), πρέπει να μπορούν να αναγνωρίζουν τους οργανισμούς εκείνους που τηρούν τις Αρχές. Για τον σκοπό αυτό, το Υπουργείο Εμπορίου έχει αναλάβει να διατηρεί και να θέτει στη διάθεση του κοινού κατάλογο των οργανισμών οι οποίοι έχουν αυτοπιστοποιηθεί δηλώνοντας ότι τηρούν τις αρχές προστασίας της ιδιωτικής ζωής και οι οποίοι εμπίπτουν στη δικαιοδοσία μιας τουλάχιστον από τις αρχές επιβολής που αναφέρονται στα παραρτήματα I και II της παρούσας απόφασης («κατάλογος της ασπίδας προστασίας») (34). Το Υπουργείο Εμπορίου θα επικαιροποιεί τον κατάλογο με βάση τις ετήσιες υποβαλλόμενες δηλώσεις επαναπιστοποίησης ενός οργανισμού και όποτε ένας οργανισμός αποχωρεί ή διαγράφεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ. Επίσης, θα τηρεί και θα θέτει στη διάθεση του κοινού επίσημο αρχείο των οργανισμών που έχουν διαγραφεί από τον κατάλογο, προσδιορίζοντας σε κάθε περίπτωση τον λόγο της διαγραφής. Τέλος, θα παρέχει σύνδεσμο προς τον κατάλογο των υποθέσεων επιβολής του νόμου της FTC που σχετίζονται με την ασπίδα προστασίας, ο οποίος είναι δημοσιευμένος στον δικτυακό τόπο της FTC.

(32)

Το Υπουργείο Εμπορίου θα δημοσιοποιεί τόσο τον κατάλογο της ασπίδας προστασίας όσο και τις υποβαλλόμενες δηλώσεις επαναπιστοποίησης μέσω ειδικού δικτυακού τόπου. Οι αυτοπιστοποιούμενοι οργανισμοί πρέπει με τη σειρά τους να παρέχουν τη διαδικτυακή διεύθυνση του Υπουργείου που περιλαμβάνει τον κατάλογο της ασπίδας προστασίας. Επιπλέον, εάν είναι διαθέσιμη στο διαδίκτυο, η πολιτική προστασίας της ιδιωτικής ζωής ενός οργανισμού πρέπει να περιλαμβάνει υπερσύνδεσμο προς τον δικτυακό τόπο της ασπίδας προστασίας, καθώς και υπερσύνδεσμο προς τον δικτυακό τόπο ή έντυπο υποβολής καταγγελίας του ανεξάρτητου μηχανισμού προσφυγής που διατίθεται για τη διερεύνηση ανεπίλυτων καταγγελιών. Το Υπουργείο Εμπορίου θα επαληθεύει συστηματικά, σε σχέση με την πιστοποίηση και επαναπιστοποίηση ενός οργανισμού βάσει του συγκεκριμένου πλαισίου, ότι οι πολιτικές του για την προστασία της ιδιωτικής ζωής συνάδουν με τις εν λόγω Αρχές.

(33)

Οι οργανισμοί για τους οποίους διαπιστώνεται επανειλημμένη μη συμμόρφωση με τις Αρχές θα διαγράφονται από τον κατάλογο της ασπίδας προστασίας και θα υποχρεούνται να επιστρέφουν ή να διαγράφουν τα δεδομένα προσωπικού χαρακτήρα τα οποία έχουν παραλάβει βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ. Σε άλλες περιπτώσεις διαγραφής, όπως η οικειοθελής αποχώρηση ή η μη επαναπιστοποίηση, ο οργανισμός μπορεί να διατηρεί τα εν λόγω δεδομένα εάν επιβεβαιώνει στο Υπουργείο Εμπορίου σε ετήσια βάση τη δέσμευσή του να συνεχίσει να εφαρμόζει τις Αρχές ή εάν παρέχει επαρκή προστασία για τα δεδομένα προσωπικού χαρακτήρα με άλλο επιτρεπόμενο τρόπο (π.χ. με χρήση σύμβασης που αντικατοπτρίζει πλήρως τις απαιτήσεις των σχετικών πρότυπων συμβατικών ρητρών που εγκρίνονται από την Επιτροπή)· Σε αυτή την περίπτωση, ο οργανισμός πρέπει να ορίσει ένα σημείο επαφής εντός της οργανωτικής δομής του για όλα τα ζητήματα που σχετίζονται με την ασπίδα προστασίας.

(34)

Το Υπουργείο Εμπορίου θα παρακολουθεί τους οργανισμούς που δεν είναι πλέον μέλη της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, είτε επειδή αποχώρησαν οικειοθελώς είτε επειδή έληξε η πιστοποίησή τους, προκειμένου να εξακριβώνει αν θα επιστρέψουν, θα διαγράψουν ή θα διατηρήσουν (35) τα δεδομένα προσωπικού χαρακτήρα που είχαν λάβει προηγουμένως βάσει του συγκεκριμένου πλαισίου. Εάν διατηρήσουν τα εν λόγω δεδομένα, οι οργανισμοί υποχρεούνται να συνεχίσουν να εφαρμόζουν τις Αρχές στα δεδομένα αυτά. Σε περιπτώσεις στις οποίες το Υπουργείο Εμπορίου διαγράφει οργανισμούς από το εν λόγω πλαίσιο λόγω επανειλημμένης μη συμμόρφωσής τους με τις Αρχές, θα διασφαλίζει ότι οι οργανισμοί αυτοί θα επιστρέψουν ή θα διαγράψουν τα δεδομένα προσωπικού χαρακτήρα που έλαβαν βάσει του πλαισίου.

(35)

Όταν ένας οργανισμός αποχωρεί από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ για οποιονδήποτε λόγο, πρέπει να αποσύρει όλες τις δημόσιες δηλώσεις που υποδεικνύουν ότι συνεχίζει να συμμετέχει στην ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ ή ότι δικαιούται να επωφελείται από αυτήν, ειδικότερα δε να αφαιρεί από τη δημοσιευμένη πολιτική του για την προστασία της ιδιωτικής ζωής οποιαδήποτε αναφορά στην ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ. Το Υπουργείο Εμπορίου θα εντοπίζει και θα αντιμετωπίζει ψευδείς ισχυρισμούς περί συμμετοχής στο πλαίσιο, μεταξύ άλλων από πρώην μέλη (36). Κάθε ψευδής δήλωση προς το ευρύ κοινό στην οποία προβαίνει οργανισμός όσον αφορά την τήρηση των αρχών της ασπίδας προστασίας εκ μέρους του μπορεί να συνεπάγεται την ανάληψη δράσης επιβολής από την FTC, το Υπουργείο Μεταφορών ή από άλλες αρμόδιες αρχές επιβολής των ΗΠΑ· οι ψευδείς δηλώσεις προς το Υπουργείο Εμπορίου συνεπάγονται επιβολή κυρώσεων βάσει του νόμου περί υποβολής ψευδούς δήλωσης (False Statements Act) (18 U.S.C. § 1001) (37).

(36)

Το Υπουργείο Εμπορίου θα παρακολουθεί αυτεπαγγέλτως τυχόν ψευδείς ισχυρισμούς περί συμμετοχής στην ασπίδα προστασίας ή τυχόν καταχρηστική χρήση του σήματος πιστοποίησης της ασπίδας προστασίας, και οι ΑΠΔ μπορούν να παραπέμπουν οργανισμούς για έλεγχο σε ειδικό προς τούτο σημείο επαφής εντός του Υπουργείου. Σε περίπτωση αποχώρησης, μη επαναπιστοποίησης ή διαγραφής ενός οργανισμού από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, το Υπουργείο Εμπορίου θα επαληθεύει σε συνεχή βάση ότι ο οργανισμός έχει διαγράψει από τη δημοσιευμένη πολιτική του για την προστασία της ιδιωτικής ζωής οποιαδήποτε αναφορά στην ασπίδα προστασίας που υποδηλώνει τη συνέχιση της συμμετοχής του και, εάν ο οργανισμός εξακολουθήσει να προβαίνει σε ψευδείς δηλώσεις, το Υπουργείο θα παραπέμπει το ζήτημα στην FTC, στο Υπουργείο Μεταφορών ή σε άλλη αρμόδια αρχή για πιθανές ενέργειες επιβολής του νόμου. Θα αποστέλλει επίσης ερωτηματολόγια σε οργανισμούς των οποίων έχει λήξει η ισχύς της αυτοπιστοποίησης ή οι οποίοι έχουν εθελοντικά αποχωρήσει από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ ώστε να ελέγξει αν ο οργανισμός θα επανέλθει, θα διαγραφεί ή θα συνεχίσει να εφαρμόζει τις αρχές προστασίας της ιδιωτικής ζωής στα δεδομένα προσωπικού χαρακτήρα που έλαβε κατά τη διάρκεια της συμμετοχής του στην ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, και εάν πρόκειται να διατηρηθούν δεδομένα προσωπικού χαρακτήρα, θα εξακριβώνει το άτομο που θα λειτουργεί ως συνεχές σημείο επαφής εντός του οργανισμού για θέματα που σχετίζονται με την ασπίδα προστασίας.

(37)

Σε συνεχή βάση, το Υπουργείο Εμπορίου θα διενεργεί αυτεπαγγέλτως ελέγχους συμμόρφωσης (38) των αυτοπιστοποιούμενων οργανισμών, μεταξύ άλλων και μέσω της αποστολής αναλυτικών ερωτηματολογίων. Επίσης, θα προβαίνει συστηματικά σε διεξαγωγή ελέγχων όποτε λαμβάνει συγκεκριμένη (ουσιαστική) καταγγελία, όταν ένας οργανισμός δεν παρέχει ικανοποιητικές απαντήσεις στα ερωτήματά του ή όταν υπάρχουν αξιόπιστα στοιχεία που υποδηλώνουν ενδεχόμενη έλλειψη συμμόρφωσης ενός οργανισμού με τις Αρχές. Κατά περίπτωση, το Υπουργείο Εμπορίου θα διαβουλεύεται επίσης με τις ΑΠΔ σχετικά με τους εν λόγω ελέγχους συμμόρφωσης.

2.3.   Μηχανισμοί προσφυγής, διαχείριση καταγγελιών και επιβολή

(38)

Η ασπίδα προστασίας ΕΕ–ΗΠΑ, μέσω της αρχής της προσφυγής, της επιβολής και της ευθύνης, απαιτεί από τους οργανισμούς να παρέχουν μέσα προσφυγής στα πρόσωπα που θίγονται από περιπτώσεις μη συμμόρφωσης και, ως εκ τούτου, παρέχει τη δυνατότητα στα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα να υποβάλλουν καταγγελίες σχετικά με περιπτώσεις μη συμμόρφωσης αυτοπιστοποιούμενων οργανισμών των ΗΠΑ και να εξασφαλίζουν την εξεύρεση λύσης στις εν λόγω καταγγελίες, εν ανάγκη μέσω απόφασης που παρέχει αποτελεσματική έννομη προστασία.

(39)

Στο πλαίσιο της αυτοπιστοποίησής τους, οι οργανισμοί πρέπει να πληρούν τις απαιτήσεις της αρχής της προσφυγής, της επιβολής και της ευθύνης παρέχοντας αποτελεσματικούς και άμεσα διαθέσιμους ανεξάρτητους μηχανισμούς προσφυγής μέσω των οποίων καθίσταται δυνατή η διερεύνηση και η άμεση διευθέτηση των καταγγελιών και των διαφορών κάθε ιδιώτη χωρίς κόστος για τον ιδιώτη.

(40)

Οι οργανισμοί δύνανται να επιλέγουν ανεξάρτητους μηχανισμούς προσφυγής που βρίσκονται είτε στην Ένωση είτε στις Ηνωμένες Πολιτείες. Αυτό περιλαμβάνει τη δυνατότητα οικειοθελούς δέσμευσης για συνεργασία με τις ΑΠΔ της ΕΕ. Ωστόσο, δεν παρέχεται εύρος επιλογών στους οργανισμούς όσον αφορά την επεξεργασία δεδομένων ανθρώπινου δυναμικού, καθώς η συνεργασία με τις ΑΠΔ στην περίπτωση αυτή είναι υποχρεωτική. Άλλες πιθανές εναλλακτικές λύσεις είναι η εναλλακτική επίλυση διαφορών ή προγράμματα προστασίας της ιδιωτικής ζωής που έχουν αναπτυχθεί από τον ιδιωτικό τομέα και στους κανόνες των οποίων έχουν ενσωματωθεί οι αρχές της ασπίδας προστασίας. Στα προγράμματα αυτά πρέπει να περιλαμβάνονται αποτελεσματικοί μηχανισμοί επιβολής σύμφωνα με τις απαιτήσεις της αρχής της προσφυγής, της επιβολής και της ευθύνης. Οι οργανισμοί υποχρεούνται να αποκαθιστούν κάθε πρόβλημα μη συμμόρφωσης. Πρέπει επίσης να αναφέρουν ότι υπόκεινται στις εξουσίες διεξαγωγής ερευνών και επιβολής της FTC, του Υπουργείου Μεταφορών και κάθε άλλου επίσημα εξουσιοδοτημένου φορέα.

(41)

Κατά συνέπεια, το πλαίσιο της ασπίδας προστασίας παρέχει στα πρόσωπα στα οποία αναφέρονται τα δεδομένα σειρά δυνατοτήτων για την επιβολή των δικαιωμάτων τους, την υποβολή καταγγελιών σχετικά με περιπτώσεις μη συμμόρφωσης των αυτοπιστοποιούμενων εταιρειών των ΗΠΑ και την επίλυση των καταγγελιών αυτών, εν ανάγκη μέσω απόφασης που παρέχει αποτελεσματική έννομη προστασία. Τα πρόσωπα μπορούν να υποβάλλουν καταγγελίες απευθείας σε έναν οργανισμό, σε ανεξάρτητο φορέα επίλυσης διαφορών που έχει ορίσει ο οργανισμός, στις εθνικές ΑΠΔ ή στην FTC.

(42)

Στις περιπτώσεις στις οποίες οι καταγγελίες δεν επιλύονται στο πλαίσιο ενός από τους εν λόγω μηχανισμούς προσφυγής και επιβολής, τα πρόσωπα έχουν επίσης το δικαίωμα να επικαλεστούν τη δεσμευτική διαιτησία της επιτροπής της ασπίδας προστασίας (παράρτημα 1 του παραρτήματος II της παρούσας απόφασης). Εκτός από την επιτροπή διαιτησίας, για την επίκληση της οποίας πρέπει πρώτα να έχουν εξαντληθεί ορισμένα άλλα μέσα προσφυγής, τα πρόσωπα είναι ελεύθερα να προσφεύγουν σε οποιονδήποτε ή σε όλους τους μηχανισμούς προσφυγής της επιλογής τους και δεν υποχρεούνται να επιλέγουν ένα μηχανισμό αντί άλλου ή να ακολουθούν συγκεκριμένη σειρά. Ωστόσο, υπάρχει μια συγκεκριμένη λογική σειρά που συνιστάται να ακολουθείται, η οποία περιγράφεται στη συνέχεια.

(43)

Πρώτον, τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα μπορούν να δίνουν συνέχεια σε περιπτώσεις μη συμμόρφωσης με τις Αρχές μέσω απευθείας επαφών με την αυτοπιστοποιούμενη εταιρεία των ΗΠΑ. Για τη διευκόλυνση της επίλυσης, ο οργανισμός πρέπει να θέτει σε εφαρμογή αποτελεσματικό μηχανισμό αποκατάστασης για τον χειρισμό των εν λόγω καταγγελιών. Ως εκ τούτου, η πολιτική για την προστασία της ιδιωτικής ζωής ενός οργανισμού πρέπει να ενημερώνει με σαφήνεια το κοινό σχετικά με την ύπαρξη σημείου επαφής, είτε εντός είτε εκτός του οργανισμού, το οποίο θα χειρίζεται τις καταγγελίες (συμπεριλαμβανομένου οποιουδήποτε συναφούς φορέα στην Ένωση που μπορεί να απαντά σε ερωτήματα ή καταγγελίες) και σχετικά με τους ανεξάρτητους μηχανισμούς χειρισμού καταγγελιών.

(44)

Αμέσως μετά την παραλαβή μιας καταγγελίας, απευθείας από το πρόσωπο ή μέσω του Υπουργείου Εμπορίου κατόπιν παραπομπής από ΑΠΔ, ο οργανισμός οφείλει να παράσχει απάντηση στο πρόσωπο στην ΕΕ στο οποίο αναφέρονται τα δεδομένα εντός περιόδου 45 ημερών. Η απάντηση αυτή πρέπει να περιλαμβάνει αξιολόγηση του βάσιμου της καταγγελίας και πληροφορίες για τον τρόπο με τον οποίο ο οργανισμός θα διορθώσει το πρόβλημα. Ομοίως, οι οργανισμοί οφείλουν να απαντούν άμεσα σε ερωτήσεις και άλλα αιτήματα για πληροφορίες που υποβάλλονται από το Υπουργείο Εμπορίου ή από ΑΠΔ (39) (εφόσον οργανισμός έχει δεσμευτεί να συνεργάζεται με τις ΑΠΔ) και αφορούν τη συμμόρφωσή τους με τις Αρχές. Οι οργανισμοί πρέπει να διατηρούν αρχείο σχετικά με την εφαρμογή των πολιτικών τους για την προστασία της ιδιωτικής ζωής και να το καθιστούν διαθέσιμο κατόπιν αίτησης σε ανεξάρτητο μηχανισμό προσφυγής ή στην FTC (ή σε άλλη αρχή των ΗΠΑ που έχει αρμοδιότητα για τη διερεύνηση αθέμιτων και δόλιων πρακτικών) στο πλαίσιο έρευνας ή καταγγελίας περί μη συμμόρφωσης.

(45)

Δεύτερον, τα πρόσωπα μπορούν επίσης να υποβάλλουν καταγγελία απευθείας σε ανεξάρτητο φορέα επίλυσης διαφορών (είτε στις ΗΠΑ είτε στην Ένωση) που έχει οριστεί από έναν οργανισμό για τη διερεύνηση και την επίλυση καταγγελιών ιδιωτών (εκτός εάν είναι προφανώς αβάσιμες ή ανούσιες) και για την παροχή κατάλληλου δωρεάν μηχανισμού προσφυγής για ιδιώτες. Οι κυρώσεις και τα διορθωτικά μέτρα που επιβάλλονται από τον εν λόγω φορέα πρέπει να είναι αρκούντως αυστηρά ώστε να διασφαλίζουν τη συμμόρφωση των οργανισμών με τις Αρχές και θα πρέπει να προβλέπουν την άρση ή τη διόρθωση, εκ μέρους του οργανισμού, των αποτελεσμάτων της έλλειψης συμμόρφωσης και, ανάλογα με τις περιστάσεις, τον τερματισμό της περαιτέρω επεξεργασίας των επίμαχων δεδομένων προσωπικού χαρακτήρα και/ή τη διαγραφή τους, καθώς και τη δημοσιοποίηση των διαπιστώσεων περί μη συμμόρφωσης. Οι ανεξάρτητοι φορείς επίλυσης διαφορών που ορίζονται από έναν οργανισμό θα υποχρεούνται να συμπεριλαμβάνουν στους δημόσιους δικτυακούς τους τόπους συναφείς πληροφορίες για την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ και για τις υπηρεσίες τις οποίες παρέχουν στο πλαίσιο αυτής. Σε ετήσια βάση, πρέπει να δημοσιεύουν ετήσια έκθεση στην οποία θα παρατίθενται συγκεντρωτικά στατιστικά στοιχεία σχετικά με τις εν λόγω υπηρεσίες (40).

(46)

Στο πλαίσιο των διαδικασιών του για τον έλεγχο της συμμόρφωσης, το Υπουργείο Εμπορίου θα εξακριβώνει ότι οι αυτοπιστοποιούμενες εταιρείες των ΗΠΑ έχουν πράγματι καταχωριστεί στους ανεξάρτητους μηχανισμούς προσφυγής στους οποίους ισχυρίζονται ότι είναι καταχωρισμένες. Τόσο οι οργανισμοί όσο και οι αρμόδιοι ανεξάρτητοι μηχανισμοί προσφυγής υποχρεούνται να απαντούν αμέσως σε ερωτήματα και αιτήματα για παροχή πληροφοριών τα οποία υποβάλλονται από το Υπουργείο Εμπορίου σχετικά με την ασπίδα προστασίας.

(47)

Σε περιπτώσεις που ο οργανισμός δεν συμμορφώνεται με την απόφαση φορέα επίλυσης διαφορών ή αυτορρυθμιζόμενου φορέα, ο εν λόγω φορέας πρέπει να γνωστοποιεί αυτή την έλλειψη συμμόρφωσης στο Υπουργείο Εμπορίου και στην FTC (ή σε άλλη αρχή των ΗΠΑ που έχει αρμοδιότητα για τη διερεύνηση αθέμιτων και δόλιων πρακτικών), ή σε αρμόδιο δικαστήριο (41). Εάν ένας οργανισμός αρνείται να συμμορφωθεί με τελική απόφαση αυτορρυθμιζόμενου φορέα στον τομέα της προστασίας της ιδιωτικής ζωής, ανεξάρτητου φορέα επίλυσης διαφορών ή κυβερνητικού φορέα ή στην περίπτωση που ο εν λόγω φορέας αποφασίσει ότι ένας οργανισμός επανειλημμένως δεν συμμορφώνεται με τις Αρχές, αυτό θα θεωρηθεί επανειλημμένη μη συμμόρφωση, με αποτέλεσμα το Υπουργείο Εμπορίου, κατόπιν παροχής προειδοποίησης 30 ημερών και της ευκαιρίας στον μη συμμορφούμενο οργανισμό να απαντήσει, να διαγράψει τον οργανισμό από τον κατάλογο (42). Εάν, μετά τη διαγραφή από τον κατάλογο, ο οργανισμός συνεχίσει να ισχυρίζεται ότι είναι πιστοποιημένος στο πλαίσιο της ασπίδας προστασίας, το Υπουργείο θα τον παραπέμπει στην FTC ή σε άλλη υπηρεσία επιβολής (43).

(48)

Τρίτον, τα πρόσωπα δύνανται επίσης να υποβάλλουν τις καταγγελίες τους στην εθνική αρχή προστασίας δεδομένων. Οι οργανισμοί υποχρεούνται να συνεργάζονται κατά τη διερεύνηση και την επίλυση καταγγελίας από ΑΠΔ είτε όσον αφορά την επεξεργασία δεδομένων ανθρώπινου δυναμικού που συλλέγονται στο πλαίσιο εργασιακής σχέσης ή όταν ο αντίστοιχος μηχανισμός έχει οικειοθελώς υποβληθεί στην εποπτεία των ΑΠΔ. Συγκεκριμένα, οι οργανισμοί οφείλουν να απαντούν σε ερωτήματα, να συμμορφώνονται με τις συμβουλές που διατυπώνει η ΑΠΔ, μεταξύ άλλων και όσον αφορά διορθωτικά ή αντισταθμιστικά μέτρα, καθώς και να παρέχουν στην ΑΠΔ γραπτή επιβεβαίωση της λήψης των εν λόγω μέτρων.

(49)

Οι συμβουλές των ΑΠΔ θα δίδονται μέσω ενός ανεπίσημου φορέα των ΑΠΔ που θα συσταθεί σε επίπεδο Ένωσης (44), ο οποίος θα βοηθήσει στην εξασφάλιση μιας εναρμονισμένης και συνεκτικής προσέγγισης σε μια συγκεκριμένη καταγγελία. Οι συμβουλές θα παρέχονται εφόσον και οι δύο πλευρές μιας διαφοράς είχαν την ευκαιρία να υποβάλουν τις παρατηρήσεις τους και να προσκομίσουν τα αποδεικτικά στοιχεία που επιθυμούν. Ο φορέας θα παρέχει συμβουλές στο συντομότερο χρονικό διάστημα που επιτρέπει η απαίτηση τήρησης των διαδικαστικών εγγυήσεων, και κατά κανόνα εντός 60 ημερών από την παραλαβή μιας καταγγελίας. Εάν ένας οργανισμός δεν συμμορφωθεί εντός 25 ημερών από την παροχή της σχετικής συμβουλής και δεν έχει παράσχει ικανοποιητικές εξηγήσεις για την καθυστέρηση, ο εν λόγω φορέας θα γνωστοποιεί την πρόθεσή του είτε να υποβάλει το θέμα στην FTC (ή σε άλλη αρμόδια αρχή επιβολής των ΗΠΑ) είτε να συμπεράνει ότι η δέσμευση συνεργασίας έχει παραβιαστεί σοβαρά. Η πρώτη εναλλακτική επιλογή μπορεί να οδηγήσει σε ενέργειες επιβολής του νόμου βάσει του τμήματος 5 του νόμου περί της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC Act) (ή παρόμοιας νομοθετικής πράξης). Σύμφωνα με τη δεύτερη εναλλακτική επιλογή, ο ως άνω φορέας θα ενημερώσει το Υπουργείο Εμπορίου το οποίο θα θεωρήσει την άρνηση του οργανισμού να συμμορφωθεί με τη συμβουλή του φορέα της ΑΠΔ ως επανειλημμένη μη συμμόρφωση που θα οδηγήσει στη διαγραφή του οργανισμού από τον κατάλογο της ασπίδας προστασίας.

(50)

Εάν η ΑΠΔ στην οποία απευθύνεται η καταγγελία δεν προβεί σε καμία ενέργεια ή δεν αναλάβει επαρκή δράση για την αντιμετώπιση μιας καταγγελίας, ο καταγγέλλων ιδιώτης έχει τη δυνατότητα να προσφύγει κατά της εν λόγω δράσης (ή αδράνειας) στα εθνικά δικαστήρια του αντίστοιχου κράτους μέλους.

(51)

Οι ιδιώτες μπορούν επίσης να υποβάλλουν καταγγελίες στις ΑΠΔ ακόμη και όταν ο φορέας των ΑΠΔ δεν έχει οριστεί ως φορέας επίλυσης διαφορών του οργανισμού. Στις περιπτώσεις αυτές, η ΑΠΔ μπορεί να παραπέμπει τις καταγγελίες αυτές είτε στο Υπουργείο Εμπορίου είτε στην FTC. Προκειμένου να διευκολύνει και να αυξήσει τη συνεργασία σε θέματα σχετικά με τις μεμονωμένες καταγγελίες και περιπτώσεις μη συμμόρφωσης οργανισμών της ασπίδας προστασίας, το Υπουργείο Εμπορίου θα καθορίσει ειδικό σημείο επαφής που θα ενεργεί ως σύνδεσμος και θα παρέχει συνδρομή σε σχέση με τα ερωτήματα των ΑΠΔ τα οποία αφορούν τη συμμόρφωση ενός οργανισμού με τις Αρχές (45). Ομοίως, η FTC έχει δεσμευτεί να καθορίσει ειδικό σημείο επαφής (46) και να παρέχει ερευνητική συνδρομή στις ΑΠΔ δυνάμει του νόμου των ΗΠΑ για την ασφάλεια του διαδικτύου (U.S. SAFE WEB Act) (47).

(52)

Τέταρτον, το Υπουργείο Εμπορίου έχει δεσμευτεί να παραλαμβάνει, να ελέγχει και να καταβάλλει τις βέλτιστες δυνατές προσπάθειες για την εξεύρεση λύσης σε καταγγελίες που αφορούν την έλλειψη συμμόρφωσης ενός οργανισμού με τις Αρχές. Για τον σκοπό αυτόν, το Υπουργείο Εμπορίου παρέχει ειδικές διαδικασίες βάσει των οποίων οι ΑΠΔ μπορούν να παραπέμπουν καταγγελίες σε ειδικό σημείο επαφής, να παρακολουθούν την εξέλιξή τους και να επικοινωνούν εν συνεχεία με τις εταιρείες για τη διευκόλυνση της εξεύρεσης λύσης. Προκειμένου να επιταχυνθεί η διεκπεραίωση των καταγγελιών ιδιωτών, το σημείο επαφής θα επικοινωνεί απευθείας με την αντίστοιχη ΑΠΔ σε θέματα συμμόρφωσης και, ειδικότερα, θα την ενημερώνει για την πορεία των καταγγελιών εντός διαστήματος που δεν υπερβαίνει τις 90 ημέρες από την παραπομπή. Με τον τρόπο αυτόν παρέχεται στα πρόσωπα στα οποία αναφέρονται τα δεδομένα η δυνατότητα να υποβάλλουν καταγγελίες περί μη συμμόρφωσης αυτοπιστοποιούμενων εταιρειών των ΗΠΑ απευθείας στην εθνική τους ΑΠΔ και να εξασφαλίζουν ότι οι καταγγελίες τους θα καταλήξουν στο Υπουργείο Εμπορίου ως αρχή των ΗΠΑ που είναι αρμόδια για τη διαχείριση της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ. Το Υπουργείο Εμπορίου έχει επίσης δεσμευτεί να υποβάλλει, στην ετήσια επανεξέταση της λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, έκθεση στην οποία αναλύονται σε συγκεντρωτική μορφή οι καταγγελίες που λαμβάνει ετησίως (48).

(53)

Εάν, με βάση τις αυτεπάγγελτες επαληθεύσεις του, καταγγελίες ή οποιαδήποτε άλλη πληροφορία, το Υπουργείο Εμπορίου καταλήξει στο συμπέρασμα ότι ένας οργανισμός παρουσιάζει επανειλημμένη μη συμμόρφωση με τις αρχές προστασίας της ιδιωτικής ζωής, θα διαγράφει τον εν λόγω οργανισμό από τον κατάλογο της ασπίδας προστασίας. Η άρνηση συμμόρφωσης με τελική απόφαση οποιουδήποτε αυτορρυθμιζόμενου φορέα προστασίας της ιδιωτικής ζωής, ανεξάρτητου φορέα επίλυσης διαφορών ή κρατικού φορέα, συμπεριλαμβανομένων των ΑΠΔ, θα θεωρείται επανειλημμένη έλλειψη συμμόρφωσης.

(54)

Πέμπτον, ένας οργανισμός της ασπίδας προστασίας πρέπει να υπόκειται στις εξουσίες διεξαγωγής ερευνών και επιβολής των αρχών των ΗΠΑ ιδίως, της Ομοσπονδιακής Επιτροπής Εμπορίου  (49) που θα διασφαλίζει αποτελεσματικά τη συμμόρφωση με τις Αρχές. Η FTC θα εξετάζει κατά προτεραιότητα τις παραπομπές για λόγους έλλειψης συμμόρφωσης με τις αρχές προστασίας της ιδιωτικής ζωής τις οποίες λαμβάνει από ανεξάρτητους φορείς επίλυσης διαφορών ή αυτορρυθμιζόμενους φορείς, από το Υπουργείο Εμπορίου και από ΑΠΔ (που ενεργούν με δική τους πρωτοβουλία ή κατόπιν καταγγελιών) προκειμένου να αποφανθεί αν έχει παραβιαστεί το τμήμα 5 του νόμου περί της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC Act) (50) Η FTC έχει δεσμευτεί να δημιουργήσει μια τυποποιημένη διαδικασία παραπομπής, να ορίσει σημείο επαφής στην υπηρεσία για τις παραπομπές από ΑΠΔ και να προβαίνει σε ανταλλαγή πληροφοριών σχετικά με τις παραπομπές. Επιπλέον, θα δέχεται καταγγελίες απευθείας από ιδιώτες και θα αναλαμβάνει τη διενέργεια ερευνών σε σχέση με την ασπίδα προστασίας με δική της πρωτοβουλία, ειδικότερα στο πλαίσιο των ευρύτερων ερευνών της σε θέματα προστασίας της ιδιωτικής ζωής.

(55)

Η FTC μπορεί να επιβάλλει τη συμμόρφωση μέσω διοικητικών διαταγών, όπως είναι οι διαταγές κατόπιν συμφωνίας («consent orders»), και θα παρακολουθεί συστηματικά τη συμμόρφωση με τις εν λόγω διαταγές. Σε περίπτωση μη συμμόρφωσης των οργανισμών, η FTC μπορεί να παραπέμψει την υπόθεση στο αρμόδιο δικαστήριο προκειμένου να επιδιώξει την επιβολή αστικών κυρώσεων και άλλων μέσων έννομης προστασίας, μεταξύ άλλων και για κάθε ζημία που προκλήθηκε από την παράνομη συμπεριφορά. Εναλλακτικά, η FTC μπορεί να αιτηθεί απευθείας την έκδοση προσωρινών ή μόνιμων διαταγών για άρση και παράλειψη της προσβολής ή άλλων μέσων έννομης προστασίας από ομοσπονδιακό δικαστήριο. Κάθε διαταγή κατόπιν συμφωνίας που εκδίδεται για οργανισμό της ασπίδας προστασίας θα περιλαμβάνει διατάξεις περί ιδίας υποβολής εκθέσεων (51), και οι οργανισμοί θα υποχρεούνται να δημοσιεύουν όλα τα σχετικά με την ασπίδα προστασίας τμήματα οποιασδήποτε έκθεσης συμμόρφωσης ή έκθεσης αξιολόγησης που υποβάλλεται στην FTC. Τέλος, η FTC θα διατηρεί ηλεκτρονικό κατάλογο των εταιρειών για τις οποίες έχουν εκδοθεί διαταγές της FTC ή δικαστικές διαταγές σε υποθέσεις που άπτονται της ασπίδας προστασίας.

(56)

Έκτον, ως έσχατη λύση σε επίπεδο μηχανισμών προσφυγής σε περίπτωση που κανένα από τα υπόλοιπα διαθέσιμα μέσα έννομης προστασίας δεν έχει αποδώσει ικανοποιητική λύση σε καταγγελία ιδιώτη, το πρόσωπο από την ΕΕ στο οποίο αναφέρονται τα δεδομένα μπορεί να επικαλεστεί τη δεσμευτική διαιτησία της «επιτροπής της ασπίδας προστασίας». Οι οργανισμοί πρέπει να ενημερώνουν τα πρόσωπα σχετικά με τη δυνατότητά τους, υπό ορισμένες συνθήκες, να επικαλούνται τη δεσμευτική διαιτησία και υποχρεούνται να ανταποκρίνονται σε αυτό μόλις το πρόσωπο επικαλεστεί την επιλογή αυτή επιδίδοντας κοινοποίηση στον εμπλεκόμενο οργανισμό (52).

(57)

Η διαιτητική αυτή επιτροπή θα απαρτίζεται από ένα σύνολο τουλάχιστον 20 διαιτητών που θα οριστούν από το Υπουργείο Εμπορίου και την Ευρωπαϊκή Επιτροπή με κριτήρια την ανεξαρτησία τους, την ακεραιότητά τους καθώς και την πείρα που διαθέτουν στο δίκαιο των ΗΠΑ σχετικά με την προστασία της ιδιωτικής ζωής και στο δίκαιο της Ένωσης σχετικά με την προστασία δεδομένων. Για κάθε μεμονωμένη διαφορά, τα εμπλεκόμενα μέρη θα επιλέγουν από το προαναφερθέν σύνολο μια επιτροπή αποτελούμενη από έναν ή τρεις (53) διαιτητές. Η διαδικασία θα διέπεται από πρότυπους κανόνες διαιτησίας που πρόκειται να συμφωνηθούν μεταξύ του Υπουργείου Εμπορίου και της Επιτροπής. Οι κανόνες αυτές θα συμπληρώνουν το ήδη συμφωνηθέν πλαίσιο το οποίο περιλαμβάνει ορισμένα στοιχεία τα οποία ενισχύουν την προσβασιμότητα του μηχανισμού αυτού για τα πρόσωπα στην ΕΕ στα οποία αναφέρονται τα δεδομένα: i) κατά την κατάρτιση προσφυγής ενώπιον του φορέα, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα μπορεί να λάβει συνδρομή από την εθνική του ΑΠΔ· ii) παρότι η διαδικασία διαιτησίας θα διεξάγεται στις ΗΠΑ, τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα μπορούν να επιλέξουν να συμμετάσχουν μέσω βιντεοδιάσκεψης ή τηλεδιάσκεψης, η οποία θα παρέχεται στον ιδιώτη χωρίς επιβάρυνση· iii) παρότι η γλώσσα που θα χρησιμοποιείται στη διαδικασία διαιτησίας θα είναι κατά κανόνα η αγγλική, κατόπιν αιτιολογημένου αιτήματος του προσώπου στο οποίο αναφέρονται τα δεδομένα θα παρέχονται συνήθως (54) υπηρεσίες διερμηνείας κατά τη διαδικασία διαιτησίας και υπηρεσίες μετάφρασης, χωρίς επιβάρυνση του προσώπου· iv) τέλος, παρότι καθένα εκ των μερών οφείλει να αναλάβει τα δικά του έξοδα για την αμοιβή δικηγόρου, εφόσον εκπροσωπηθεί από δικηγόρο ενώπιον της επιτροπής, το Υπουργείο Εμπορίου θα συστήσει ταμείο χρηματοδοτούμενο με ετήσιες εισφορές από τους οργανισμούς της ασπίδας προστασίας, το οποίο θα καλύπτει τα επιλέξιμα έξοδα της διαδικασίας διαιτησίας έως ορισμένα μέγιστα ποσά που πρόκειται να καθοριστούν από τις αρχές των ΗΠΑ κατόπιν διαβούλευσης με την Επιτροπή.

(58)

Η επιτροπή της ασπίδας προστασίας θα έχει την εξουσία να επιβάλλει «ειδικά ανά ιδιώτη, μη χρηματικά εύλογα μέτρα» (55) που είναι απαραίτητα για τη διόρθωση της μη συμμόρφωσης με τις Αρχές. Παρότι η επιτροπή, κατά την έκδοση της απόφασής της, θα λαμβάνει υπόψη άλλα μέσα έννομης προστασίας που έχουν ήδη εξασφαλιστεί μέσω άλλων μηχανισμών της ασπίδας προστασίας, οι ιδιώτες μπορούν σε κάθε περίπτωση να προσφεύγουν στη διαιτησία εάν θεωρούν ότι τα εν λόγω άλλα μέσα έννομης προστασίας είναι ανεπαρκή. Με τον τρόπο αυτόν θα παρέχεται στα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα η δυνατότητα να επικαλούνται τη διαιτησία σε όλες τις περιπτώσεις όπου η δράση ή η αδράνεια των αρμόδιων αρχών των ΗΠΑ (επί παραδείγματι της FTC) δεν έχει αποδώσει ικανοποιητική λύση στις καταγγελίες τους. Η επίκληση της διαιτησίας δεν είναι δυνατή εάν μια ΑΠΔ διαθέτει νόμιμη εξουσία να επιλύσει την επίμαχη προσφυγή σε σχέση με την αυτοπιστοποιούμενη εταιρεία των ΗΠΑ, ειδικά σε περιπτώσεις στις οποίες ο οργανισμός είτε είναι υποχρεωμένος να συνεργάζεται και να συμμορφώνεται με τις συμβουλές των ΑΠΔ όσον αφορά την επεξεργασία δεδομένων ανθρώπινου δυναμικού που συλλέγονται στο πλαίσιο της απασχόλησης είτε έχει δεσμευτεί οικειοθελώς να το πράττει. Οι ιδιώτες μπορούν να επιτύχουν την εκτέλεση της διαιτητικής απόφασης στα δικαστήρια των ΗΠΑ δυνάμει του ομοσπονδιακού νόμου περί διαιτησίας (Federal Arbitration Act), διασφαλίζοντας έτσι ένα ένδικο βοήθημα σε περίπτωση μη συμμόρφωσης μιας εταιρείας.

(59)

Έβδομον, εάν ένας οργανισμός δεν συμμορφώνεται με τη δέσμευσή του να τηρεί τις Αρχές και τη δημοσιευμένη πολιτική του για την προστασία της ιδιωτικής ζωής, μπορεί να διατίθενται πρόσθετα μέσα δικαστικής προσφυγής σύμφωνα με το δίκαιο των ΗΠΑ, που προβλέπουν ένδικα βοηθήματα βάσει του δικαίου περί αδικοπραξιών και σε περιπτώσεις δόλιων ψευδών δηλώσεων, αθέμιτων ή παραπλανητικών πράξεων ή πρακτικών ή αθέτησης σύμβασης.

(60)

Επιπροσθέτως, εάν μια ΑΠΔ λάβει προσφυγή ενός προσώπου από την ΕΕ στο οποίο αναφέρονται τα δεδομένα και θεωρήσει ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα ενός προσώπου σε οργανισμό στις ΗΠΑ πραγματοποιείται κατά παράβαση της νομοθεσίας της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένης της περίπτωσης κατά την οποία ο εξαγωγέας δεδομένων της ΕΕ έχει λόγο να πιστεύει ότι ο οργανισμός δεν συμμορφώνεται με τις Αρχές, μπορεί επίσης να ασκήσει τις εξουσίες της έναντι του εξαγωγέα των δεδομένων και, εάν είναι απαραίτητο, να διατάξει την αναστολή της διαβίβασης των δεδομένων.

(61)

Βάσει των πληροφοριών που παρατίθενται στο παρόν τμήμα, η Επιτροπή θεωρεί ότι οι Αρχές που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ εξασφαλίζουν οι ίδιες ένα επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που είναι κατ' ουσίαν ισοδύναμο με αυτό που διασφαλίζεται από τις ουσιαστικές βασικές αρχές που προβλέπονται στην οδηγία 95/46/ΕΚ.

(62)

Επιπλέον, η αποτελεσματική εφαρμογή των Αρχών κατοχυρώνεται με τις υποχρεώσεις διαφάνειας και τη διαχείριση και τον έλεγχο συμμόρφωσης προς την ασπίδα προστασίας από το Υπουργείο Εμπορίου.

(63)

Επιπλέον, η Επιτροπή θεωρεί ότι, συνολικά, οι μηχανισμοί εποπτείας, προσφυγής και επιβολής που προβλέπονται στην ασπίδα προστασίας αφενός παρέχουν τη δυνατότητα να εντοπίζονται και να τιμωρούνται στην πράξη οι παραβιάσεις των Αρχών από τους οργανισμούς της ασπίδας προστασίας και αφετέρου προσφέρουν ένδικα βοηθήματα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα, ώστε να αποκτά πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που το αφορούν και, εντέλει, να επιτυγχάνει τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

3.   ΠΡΟΣΒΑΣΗ ΚΑΙ ΧΡΗΣΗ ΑΠΟ ΔΗΜΟΣΙΕΣ ΑΡΧΕΣ ΤΩΝ ΗΠΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΟΥ ΔΙΑΒΙΒΑΖΟΝΤΑΙ ΒΑΣΕΙ ΤΗΣ ΑΣΠΙΔΑΣ ΠΡΟΣΤΑΣΙΑΣ ΤΗΣ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ ΕΕ–ΗΠΑ

(64)

Όπως προκύπτει από το παράρτημα II τμήμα I παράγραφος 5, η τήρηση των Αρχών περιορίζεται, στο μέτρο που αυτό είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος και επιβολής του νόμου.

(65)

Η Επιτροπή αξιολόγησε τους περιορισμούς και τις διασφαλίσεις που περιλαμβάνονται στο δίκαιο των ΗΠΑ όσον αφορά την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ από δημόσιες αρχές των ΗΠΑ για λόγους εθνικής ασφάλειας, επιβολής του νόμου και άλλους σκοπούς δημόσιου συμφέροντος. Επιπλέον, η κυβέρνηση των ΗΠΑ, μέσω του Γραφείου του Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (Office of the Director of National Intelligence — ODNI) (56), υπέβαλε στην Επιτροπή λεπτομερείς δηλώσεις και δεσμεύσεις που περιλαμβάνονται στο παράρτημα VI της παρούσας απόφασης. Με επιστολή που υπογράφεται από τον Υπουργό Εξωτερικών των ΗΠΑ και επισυνάπτεται ως παράρτημα III της παρούσας απόφασης, η κυβέρνηση των ΗΠΑ έχει επίσης δεσμευτεί να δημιουργήσει έναν νέο μηχανισμό εποπτείας για τις επεμβάσεις για λόγους εθνικής ασφάλειας, τον Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής, ο οποίος είναι ανεξάρτητος από την κοινότητα των υπηρεσιών πληροφοριών. Τέλος, στη δήλωση του Υπουργείου Δικαιοσύνης των ΗΠΑ, η οποία περιλαμβάνεται στο παράρτημα VII της παρούσας απόφασης, περιγράφονται οι περιορισμοί και οι διασφαλίσεις που ισχύουν για την πρόσβαση και χρήση δεδομένων από τις δημόσιες αρχές για σκοπούς επιβολής του νόμου και άλλους σκοπούς δημόσιου συμφέροντος. Προκειμένου να ενισχυθεί η διαφάνεια και να αποτυπωθεί η νομική φύση των δεσμεύσεων αυτών, καθένα από τα έγγραφα που απαριθμούνται και προσαρτώνται στην παρούσα απόφαση θα δημοσιευτεί στην επίσημη εφημερίδα της ομοσπονδιακής κυβέρνησης των ΗΠΑ (Federal Register).

(66)

Οι διαπιστώσεις της Επιτροπής σχετικά με τους περιορισμούς στην πρόσβαση και τη χρήση, από τις δημόσιες αρχές των ΗΠΑ, των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση στις Ηνωμένες Πολιτείες της Αμερικής, καθώς και σχετικά με την ύπαρξη αποτελεσματικής νομικής προστασίας αναπτύσσονται αναλυτικότερα στη συνέχεια.

3.1.   Πρόσβαση και χρήση από τις δημόσιες αρχές των ΗΠΑ για σκοπούς εθνικής ασφάλειας

(67)

Από την ανάλυση της Επιτροπής προκύπτει ότι το δίκαιο των ΗΠΑ προβλέπει ορισμένους περιορισμούς στην πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ για σκοπούς εθνικής ασφάλειας, καθώς και μηχανισμούς εποπτείας και αποκατάστασης που παρέχουν επαρκείς διασφαλίσεις για τα δεδομένα που πρέπει να προστατεύονται αποτελεσματικά από παράνομες επεμβάσεις και από τον κίνδυνο κατάχρησης (57). Από το 2013, οπότε η Επιτροπή εξέδωσε τις δύο ανακοινώσεις της (βλέπε αιτιολογική σκέψη 7), το νομικό αυτό πλαίσιο έχει ενισχυθεί σημαντικά, όπως περιγράφεται κατωτέρω.

3.1.1.   Περιορισμοί

(68)

Σύμφωνα με το Σύνταγμα των ΗΠΑ, η προάσπιση της εθνικής ασφάλειας εμπίπτει στην εξουσία του Προέδρου ως ανώτατου διοικητή και ως ανώτατου εκτελεστικού οργάνου, ο οποίος, όσον αφορά τη χρήση πληροφοριών από την αλλοδαπή, είναι αρμόδιος για την άσκηση της εξωτερικής πολιτικής των ΗΠΑ (58). Παρότι το Κογκρέσο έχει την εξουσία να επιβάλλει περιορισμούς, όπως και το έχει πράξει σε διάφορες περιπτώσεις, εντός των ορίων αυτών ο πρόεδρος μπορεί να κατευθύνει τις δραστηριότητες της κοινότητας των υπηρεσιών πληροφοριών των ΗΠΑ, ιδίως μέσω εκτελεστικών διαταγμάτων ή προεδρικών οδηγιών. Αυτό, ασφαλώς, ισχύει και στους τομείς στους οποίους δεν υφίσταται καθοδήγηση εκ μέρους του Κογκρέσου. Επί του παρόντος, οι δύο κεντρικές νομικές πράξεις εν προκειμένω είναι το εκτελεστικό διάταγμα 12333 («E.O. 12333») (59) και η προεδρική οδηγία πολιτικής (Presidential Policy Directive — PPD) 28.

(69)

Με την προεδρική οδηγία πολιτικής 28 («PPD-28»), που εκδόθηκε στις 17 Ιανουαρίου 2014, επιβάλλονται ορισμένοι περιορισμοί για τις σχετικές με τις «πληροφορίες σημάτων» πράξεις (60). Η εν λόγω προεδρική οδηγία έχει δεσμευτική ισχύ για τις αρχές πληροφοριών των ΗΠΑ (61) και παραμένει σε ισχύ κατόπιν αλλαγής της κυβέρνησης των ΗΠΑ (62). Η PPD-28 είναι ιδιαίτερα σημαντική για πρόσωπα που δεν είναι πολίτες των ΗΠΑ, συμπεριλαμβανομένων των προσώπων από την ΕΕ στα οποία αναφέρονται τα δεδομένα. Μεταξύ άλλων, ορίζει ότι:

α)

η συγκέντρωση πληροφοριών σημάτων πρέπει να βασίζεται σε νόμο ή προεδρική έγκριση και πρέπει να πραγματοποιείται σύμφωνα με το Σύνταγμα των ΗΠΑ (και ειδικότερα την Τέταρτη Τροπολογία) και το δίκαιο των ΗΠΑ·

β)

κάθε πρόσωπο θα πρέπει να αντιμετωπίζεται με αξιοπρέπεια και σεβασμό, ανεξαρτήτως της ιθαγένειάς του ή του τόπου κατοικίας του·

γ)

κάθε πρόσωπο έχει έννομο συμφέρον προστασίας της ιδιωτικής του ζωής κατά τον χειρισμό των πληροφοριών προσωπικού χαρακτήρα που το αφορούν·

δ)

η προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών αποτελούν αναπόσπαστες παραμέτρους του προγραμματισμού των δραστηριοτήτων που συνδέονται με τις πληροφορίες σημάτων·

ε)

συνεπώς, οι δραστηριότητες των ΗΠΑ που συνδέονται με τις πληροφορίες σημάτων πρέπει να περιλαμβάνουν κατάλληλες διασφαλίσεις για τις πληροφορίες προσωπικού χαρακτήρα όλων των ατόμων, ανεξαρτήτως της ιθαγένειάς τους ή του τόπου κατοικίας τους.

(70)

Η PPD-28 προβλέπει ότι η συλλογή πληροφοριών σημάτων είναι δυνατή αποκλειστικά και μόνον όταν υπάρχει σκοπός σχετικός με πληροφορίες από την αλλοδαπή ή με την αντικατασκοπεία για την υποστήριξη εθνικών και υπουργικών αποστολών, και ότι δεν επιτρέπεται για κανέναν άλλο σκοπό (π.χ. για την επίτευξη ανταγωνιστικού πλεονεκτήματος για τις εταιρείες των ΗΠΑ). Εν προκειμένω, το ODNI αναφέρει ότι οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών «θα πρέπει να απαιτούν, όπου αυτό είναι πρακτικά εφικτό, να εστιάζεται η συλλογή σε συγκεκριμένους στόχους ή θέματα σχετικά με πληροφορίες από την αλλοδαπή μέσω της χρήσης κριτηρίων διάκρισης (π.χ. ειδικών εγκαταστάσεων, όρων επιλογής και αναγνωριστικών)» (63). Επιπλέον, οι δηλώσεις παρέχουν διαβεβαίωση ότι οι αποφάσεις σχετικά με τη συλλογή πληροφοριών δεν επαφίενται στη διακριτική ευχέρεια μεμονωμένων πρακτόρων των υπηρεσιών πληροφοριών, αλλά υπόκεινται στις πολιτικές και τις διαδικασίες τις οποίες οφείλουν να εφαρμόζουν οι διάφορες μονάδες (υπηρεσίες) της κοινότητας των υπηρεσιών πληροφοριών των ΗΠΑ κατ' εφαρμογή της PPD-28 (64). Συνεπώς, η έρευνα και ο προσδιορισμός κατάλληλων κριτηρίων επιλογής πραγματοποιείται σύμφωνα με το συνολικό εθνικό πλαίσιο προτεραιοτήτων για τις υπηρεσίες πληροφοριών (National Intelligence Priorities Framework — NIPF) το οποίο διασφαλίζει ότι οι προτεραιότητες στον τομέα της συλλογής πληροφοριών καθορίζονται από υψηλού επιπέδου φορείς χάραξης πολιτικής και επανεξετάζονται τακτικά προκειμένου να συνεχίζουν να ανταποκρίνονται στις πραγματικές απειλές για την εθνική ασφάλεια και λαμβανομένων υπόψη των πιθανών κινδύνων, συμπεριλαμβανομένων των κινδύνων που άπτονται της προστασίας της ιδιωτικής ζωής (65). Σε αυτή τη βάση, το προσωπικό των υπηρεσιών ερευνά και εντοπίζει ειδικούς όρους επιλογής μέσω των οποίων αναμένεται η συλλογή πληροφοριών από την αλλοδαπή σύμφωνα με τις προτεραιότητες (66). Οι όροι ή τα κριτήρια επιλογής πρέπει να επανεξετάζονται τακτικά προκειμένου να διαπιστώνεται αν εξακολουθούν να παρέχουν χρήσιμες πληροφορίες σύμφωνα με τις προτεραιότητες (67).

(71)

Επιπλέον, οι απαιτήσεις που ορίζονται στην PPD-28, σύμφωνα με τις οποίες η συλλογή πληροφοριών σε κάθε περίπτωση (68) πρέπει να είναι «όσο το δυνατόν περισσότερο εξατομικευμένη» και ότι η κοινότητα των υπηρεσιών πληροφοριών δίνει προτεραιότητα στη διαθεσιμότητα άλλων πληροφοριών και κατάλληλων και εφικτών εναλλακτικών λύσεων (69), αντικατοπτρίζουν έναν γενικό κανόνα απόδοσης προτεραιότητας στη στοχευμένη έναντι της μαζικής συλλογής. Σύμφωνα με τη διαβεβαίωση που παρέχεται από το ODNI, διασφαλίζουν ιδίως ότι η μαζική συλλογή δεν πραγματοποιείται ούτε «καθολικά» ούτε «αδιακρίτως» και ότι η εξαίρεση δεν αναιρεί τον κανόνα (70).

(72)

Παρότι η PPD-28 διευκρινίζει ότι οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών πρέπει ενίοτε να προβαίνουν σε μαζική συλλογή πληροφοριών σημάτων σε ορισμένες περιστάσεις, για παράδειγμα με σκοπό την αναγνώριση και αξιολόγηση νέων ή αναδυόμενων απειλών, διατάσσει τις εν λόγω μονάδες να χρησιμοποιούν κατά προτεραιότητα εναλλακτικές μεθόδους που καθιστούν δυνατή τη διεξαγωγή στοχευμένης συλλογής πληροφοριών σημάτων (71). Από τα παραπάνω προκύπτει ότι μαζική συλλογή πραγματοποιείται μόνο όταν η στοχευμένη συλλογή μέσω της χρήσης κριτηρίων διάκρισης —π.χ. αναγνωριστικό που συνδέεται με συγκεκριμένο στόχο (όπως η διεύθυνση ηλεκτρονικού ταχυδρομείο ή ο αριθμός τηλεφώνου του στόχου)— δεν είναι εφικτή «λόγω τεχνικών ή επιχειρησιακών παραμέτρων» (72). Αυτό ισχύει τόσο για τον τρόπο με τον οποίο συλλέγονται οι πληροφορίες σημάτων όσο και για το ποιες ακριβώς πληροφορίες συλλέγονται (72).

(73)

Σύμφωνα με τις δηλώσεις του ODNI, ακόμη και στην περίπτωση που η κοινότητα υπηρεσιών πληροφοριών δεν μπορεί να χρησιμοποιήσει συγκεκριμένα αναγνωριστικά για στοχευμένη συλλογή, θα καταβάλλει προσπάθειες προκειμένου να περιορίσει τη συλλογή «όσο το δυνατόν περισσότερο». Για τον σκοπό αυτόν, «εφαρμόζει φίλτρα και άλλα τεχνικά εργαλεία για να εστιάσει τη συλλογή στις εγκαταστάσεις εκείνες που είναι πιθανό να περιέχουν επικοινωνίες που έχουν αξία σε επίπεδο πληροφοριών από την αλλοδαπή» (και ως εκ τούτου θα πληρούνται οι απαιτήσεις που θέτουν οι φορείς χάραξης πολιτικής των ΗΠΑ δυνάμει της διαδικασίας που περιγράφεται ανωτέρω στην αιτιολογική σκέψη 70). Κατά συνέπεια, η μαζική συλλογή θα είναι στοχευμένη τουλάχιστον κατά δύο τρόπους: Πρώτον, θα αφορά σε κάθε περίπτωση ειδικούς στόχους συλλογής πληροφοριών από την αλλοδαπή (π.χ. για την απόκτηση πληροφοριών σημάτων σχετικά με τις δραστηριότητες τρομοκρατικής ομάδας που δρα σε συγκεκριμένη περιοχή) και θα εστιάζει τη συλλογή σε επικοινωνίες που έχουν τέτοιου είδους σύνδεση. Σύμφωνα με τη διαβεβαίωση που παρέχεται από το ODNI, αυτό αντικατοπτρίζεται στο γεγονός ότι «οι δραστηριότητες συλλογής πληροφοριών σημάτων των Ηνωμένων Πολιτειών αφορούν μικρό μόνο μέρος των επικοινωνιών που πραγματοποιούνται μέσω του διαδικτύου» (73). Δεύτερον, στις δηλώσεις του ODNI αναφέρεται ότι τα φίλτρα και τα άλλα τεχνικά εργαλεία που χρησιμοποιούνται θα σχεδιαστούν κατά τρόπον ώστε να εστιάζεται η συλλογή «με όσο το δυνατόν μεγαλύτερη ακρίβεια» προκειμένου να διασφαλίζεται η ελαχιστοποίηση της ποσότητας των «μη σχετικών πληροφοριών» που συλλέγονται.

(74)

Τέλος, ακόμη και σε περίπτωση που οι ΗΠΑ θεωρήσουν απαραίτητη τη μαζική συλλογή πληροφοριών σημάτων, υπό τις προϋποθέσεις που αναφέρονται στις αιτιολογικές σκέψεις 70-73, η PPD-28 περιορίζει τη χρήση των εν λόγω πληροφοριών σε ειδικό κατάλογο που περιλαμβάνει έξι σκοπούς εθνικής ασφάλειας με στόχο την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών όλων των προσώπων, ανεξαρτήτως της ιθαγένειας και του τόπου κατοικίας τους (74). Στους επιτρεπτούς αυτούς σκοπούς περιλαμβάνονται μέτρα για τον εντοπισμό και την αντιμετώπιση απειλών που απορρέουν από κατασκοπεία, τρομοκρατία, όπλα μαζικής καταστροφής, απειλές κατά της κυβερνοασφάλειας, κατά των ενόπλων δυνάμεων ή στρατιωτικού προσωπικού, καθώς και διακρατικών εγκληματικών απειλών που συνδέονται με τους υπόλοιπους πέντε σκοπούς, και θα επανεξετάζονται τουλάχιστον σε ετήσια βάση. Σύμφωνα με τις δηλώσεις της κυβέρνησης των ΗΠΑ, οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών έχουν ενισχύσει τις πρακτικές και τα πρότυπα ανάλυσης που εφαρμόζουν για την αναζήτηση μη αξιολογημένων πληροφοριών σημάτων προκειμένου να συμμορφωθούν με αυτές τις απαιτήσεις· η χρήση στοχευμένων ερωτημάτων «διασφαλίζει ότι μόνον εκείνα τα στοιχεία που θεωρείται ότι έχουν δυνητική αξία από πλευράς πληροφοριών ασφαλείας θα υποβάλλονται στους αναλυτές προς εξέταση» (75).

(75)

Οι περιορισμοί αυτοί αφορούν ιδίως τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας ΕΕ–ΗΠΑ, ειδικότερα σε περίπτωση που η συλλογή δεδομένων προσωπικού χαρακτήρα πραγματοποιείται εκτός των Ηνωμένων Πολιτειών, συμπεριλαμβανομένης και της μετάβασής τους μέσω των διατλαντικών καλωδίων από την Ένωση προς τις ΗΠΑ. Όπως επιβεβαιώνεται από τις αρχές των ΗΠΑ στις δηλώσεις του ODNI, οι περιορισμοί και οι διασφαλίσεις που καθορίζονται στις εν λόγω δηλώσεις —συμπεριλαμβανομένων εκείνων της PPD-28— ισχύουν για την προαναφερόμενη συλλογή (76).

(76)

Μολονότι δεν διατυπώνονται με τους συγκεκριμένους νομικούς όρους, οι εν λόγω αρχές ανταποκρίνονται στην ουσία των αρχών της αναγκαιότητας και της αναλογικότητας. Δίνεται σαφώς προτεραιότητα στη στοχευμένη συλλογή πληροφοριών, ενώ η μαζική συλλογή περιορίζεται σε (εξαιρετικές) περιπτώσεις όπου η στοχευμένη συλλογή δεν είναι δυνατή για τεχνικούς ή επιχειρησιακούς λόγους. Ακόμη και όταν η μαζική συλλογή δεν μπορεί να αποφευχθεί, η περαιτέρω «χρήση» των εν λόγω δεδομένων μέσω της πρόσβασης περιορίζεται αυστηρά σε περιπτώσεις ειδικών, νόμιμων σκοπών εθνικής ασφάλειας (77).

(77)

Δεδομένου ότι πρόκειται για οδηγία που εκδόθηκε από τον Πρόεδρο ως το ανώτατο εκτελεστικό όργανο, οι εν λόγω απαιτήσεις δεσμεύουν ολόκληρη την κοινότητα των υπηρεσιών πληροφοριών και έχουν εφαρμοστεί περαιτέρω μέσω κανόνων και διαδικασιών των υπηρεσιών που μεταφέρουν τις γενικές αρχές σε ειδικές οδηγίες για τις καθημερινές δραστηριότητες. Επιπλέον, παρότι το Κογκρέσο αυτό καθαυτό δεν δεσμεύεται από την PPD-28, έλαβε επίσης μέτρα προκειμένου να διασφαλίσει ότι η συλλογή και η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στις ΗΠΑ είναι στοχευμένες και δεν πραγματοποιούνται σε «γενικευμένη βάση».

(78)

Όπως προκύπτει από τις διαθέσιμες πληροφορίες, συμπεριλαμβανομένων των δηλώσεων που έχουν ληφθεί από την κυβέρνηση των ΗΠΑ, άπαξ και τα δεδομένα διαβιβαστούν σε οργανισμούς που είναι εγκατεστημένοι στις ΗΠΑ και έχουν αυτοπιστοποιηθεί στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, οι υπηρεσίες πληροφοριών των ΗΠΑ δύνανται να ζητούν δεδομένα προσωπικού χαρακτήρα μόνον (78) εφόσον το αίτημά τους συμμορφώνεται με τον νόμο περί παρακολούθησης επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Act — FISA) ή υποβάλλεται από το Ομοσπονδιακό Γραφείο Ερευνών (Federal Bureau of Investigation — FBI) βάσει εγγράφου που αποκαλείται Επιστολή Εθνικής Ασφάλειας (National Security Letter — NSL) (79). Υπάρχουν διάφορες νομικές βάσεις στο πλαίσιο του FISA οι οποίες μπορούν να χρησιμοποιηθούν για τη συλλογή (και εν συνεχεία την επεξεργασία) των δεδομένων προσωπικού χαρακτήρα προσώπων από την ΕΕ στα οποία αναφέρονται τα δεδομένα, που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ. Πέραν του τμήματος 104 του FISA (80) που καλύπτει την παραδοσιακή εξατομικευμένη ηλεκτρονική παρακολούθηση και του τμήματος 402 του FISA (81) σχετικά με την εγκατάσταση συσκευών καταγραφής κλήσεων ή συσκευών εντοπισμού θέσης, τα δύο βασικά νομικά κείμενα είναι το τμήμα 501 του FISA (πρώην τμήμα 215 του αμερικανικού νόμου κατά της τρομοκρατίας — USA PATRIOT ACT) και το τμήμα 702 του FISA (82).

(79)

Εν προκειμένω, ο αμερικανικός νόμος για τον περιορισμό της μαζικής συλλογής δεδομένων (USA FREEDOM Act), ο οποίος θεσπίστηκε στις 2 Ιουνίου 2015, απαγορεύει τη μαζική συλλογή αρχείων με βάση το τμήμα 402 του νόμου FISA (άδεια χρήσης συσκευών καταγραφής κλήσεων και συσκευών εντοπισμού θέσης), το τμήμα 501 του νόμου FISA (πρώην τμήμα 215 του αμερικανικού νόμου κατά της τρομοκρατίας — USA PATRIOT ACT) (83) και μέσω της χρήσης NSL, και αντιθέτως απαιτεί τη χρήση ειδικών «όρων επιλογής» (84).

(80)

Παρότι ο νόμος FISA περιλαμβάνει περαιτέρω νόμιμες εγκρίσεις για τη διενέργεια δραστηριοτήτων συλλογής πληροφοριών από υπηρεσίες σε εθνικό επίπεδο, συμπεριλαμβανομένων των πληροφοριών σημάτων, από την αξιολόγηση της Επιτροπής προέκυψε ότι, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που πρόκειται να διαβιβαστούν στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, οι εν λόγω εγκρίσεις περιορίζουν εξίσου τις παρεμβάσεις από τις δημόσιες αρχές στη στοχευμένη συλλογή και πρόσβαση.

(81)

Αυτό είναι σαφές για την παραδοσιακή εξατομικευμένη ηλεκτρονική παρακολούθηση δυνάμει του τμήματος 104 του νόμου FISA (85). Όσον αφορά το τμήμα 702 του FISA, που παρέχει τη βάση για δύο σημαντικά προγράμματα συλλογής πληροφοριών τα οποία τελούν υπό τη διαχείριση των υπηρεσιών πληροφοριών των ΗΠΑ (PRISM, UPSTREAM), πραγματοποιούνται αναζητήσεις με στοχευμένο τρόπο με τη χρήση ατομικών κριτηρίων επιλογής που προσδιορίζουν συγκεκριμένα στοιχεία επικοινωνίας, όπως τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή τον τηλεφωνικό αριθμό του στόχου, αλλά όχι λέξεις κλειδιά, ούτε καν μάλιστα τα ονόματα των στοχευόμενων προσώπων (86). Κατά συνέπεια, όπως επισημαίνεται από την Επιτροπή Εποπτείας της Ιδιωτικής Ζωής και Ατομικών Ελευθεριών (Privacy and Civil Liberties Oversight Board — PCLOB), η παρακολούθηση δυνάμει του τμήματος 702 «συνίσταται εξ ολοκλήρου στη στόχευση συγκεκριμένων προσώπων [που δεν είναι πολίτες των ΗΠΑ] για τα οποία έχει ληφθεί εξατομικευμένη απόφαση» (87). Λόγω ρήτρας λήξης ισχύος, το τμήμα 702 του νόμου FISA θα πρέπει να επανεξεταστεί το 2017, οπότε η Επιτροπή θα πρέπει να επαναξιολογήσει τις διαθέσιμες διασφαλίσεις για τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα.

(82)

Επιπλέον, στις δηλώσεις της, η κυβέρνηση των ΗΠΑ παρέχει στην Ευρωπαϊκή Επιτροπή ρητή διαβεβαίωση ότι η κοινότητα των υπηρεσιών πληροφοριών των ΗΠΑ «δεν επιδίδεται αδιακρίτως σε παρακολούθηση ατόμων, συμπεριλαμβανομένων των απλών ευρωπαίων πολιτών» (88). Όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται εντός των ΗΠΑ, η δήλωση αυτή υποστηρίζεται από εμπειρικά στοιχεία που υποδεικνύουν ότι τα αιτήματα πρόσβασης μέσω NSL και δυνάμει του νόμου FISA, τόσο σε μεμονωμένη βάση όσο και συγκεντρωτικά, αφορούν μικρό μόνον αριθμό στόχων σε σύγκριση με τη συνολική ροή δεδομένων στο διαδίκτυο (89).

(83)

Όσον αφορά την πρόσβαση σε συλλεχθέντα δεδομένα και την ασφάλεια των δεδομένων, η PPD-28 απαιτεί ότι η πρόσβαση «περιορίζεται στα εξουσιοδοτημένα μέλη του προσωπικού που έχουν ανάγκη γνώσης των πληροφοριών για την εκτέλεση της αποστολής τους» και ότι οι πληροφορίες προσωπικού χαρακτήρα «υποβάλλονται σε επεξεργασία και αποθηκεύονται υπό προϋποθέσεις που παρέχουν επαρκή προστασία και εμποδίζουν την πρόσβαση μη εξουσιοδοτημένων προσώπων, σύμφωνα με τις διασφαλίσεις που εφαρμόζονται για τις ευαίσθητες πληροφορίες». Το προσωπικό των υπηρεσιών πληροφοριών λαμβάνει κατάλληλη και επαρκή εκπαίδευση σχετικά με τις αρχές που καθορίζονται στην PPD-28 (90).

(84)

Τέλος, όσον αφορά την αποθήκευση και περαιτέρω διάδοση των δεδομένων προσωπικού χαρακτήρα που συλλέγονται από υπηρεσίες πληροφοριών των ΗΠΑ για πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα, η PPD-28 ορίζει ότι όλα τα πρόσωπα (συμπεριλαμβανομένων των προσώπων που δεν είναι πολίτες των ΗΠΑ) θα πρέπει να αντιμετωπίζονται με αξιοπρέπεια και σεβασμό, ότι όλα τα πρόσωπα έχουν έννομο συμφέρον ως προς τον χειρισμό των δεδομένων προσωπικού χαρακτήρα που τα αφορούν και ότι, κατά συνέπεια, οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών πρέπει να θεσπίσουν πολιτικές που να παρέχουν κατάλληλες διασφαλίσεις για τα εν λόγω δεδομένα οι οποίες να είναι «εύλογα σχεδιασμένες ώστε να ελαχιστοποιούν τη διάδοση και τη διατήρησή [τους]» (91).

(85)

Η κυβέρνηση των ΗΠΑ έχει διευκρινίσει ότι αυτή η απαίτηση περί εύλογου χαρακτήρα σημαίνει ότι οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών δεν υποχρεούνται να εγκρίνουν «οποιοδήποτε μέτρο που θα ήταν θεωρητικά εφικτό», αλλά θα πρέπει να «εξισορροπήσουν τις προσπάθειές τους για την προστασία των έννομων συμφερόντων προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών με τις έμπρακτες ανάγκες των δραστηριοτήτων πληροφοριών σημάτων» (92). Εν προκειμένω, οι μη Αμερικανοί θα αντιμετωπίζονται με τον ίδιο τρόπο που αντιμετωπίζονται και οι Αμερικανοί, βάσει διαδικασιών που εγκρίνονται από τον Γενικό Εισαγγελέα (93).

(86)

Σύμφωνα με τους κανόνες αυτούς, η διατήρηση εν γένει περιορίζεται σε μέγιστη διάρκεια πέντε ετών, εκτός εάν υπάρχει συγκεκριμένη πρόβλεψη βάσει νόμου ή ρητή απόφαση του Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών κατόπιν προσεκτικής αξιολόγησης των παραμέτρων προστασίας της ιδιωτικής ζωής —λαμβανομένων υπόψη των απόψεων του υπαλλήλου του ODNI που είναι αρμόδιος για την προστασία των ατομικών ελευθεριών καθώς και υπαλλήλων που είναι αρμόδιοι για την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών— ότι η συνέχιση της διατήρησης είναι προς όφελος της εθνικής ασφάλειας (94). Η διάδοση περιορίζεται σε περιπτώσεις στις οποίες οι πληροφορίες είναι σχετικές με τον βασικό σκοπό της συλλογής και ως εκ τούτου ανταποκρίνονται σε εγκεκριμένη απαίτηση συλλογής πληροφοριών από την αλλοδαπή ή απαίτηση επιβολής του νόμου (95).

(87)

Σύμφωνα με τις διαβεβαιώσεις που παρείχε η κυβέρνηση των ΗΠΑ, δεν επιτρέπεται η διάδοση πληροφοριών προσωπικού χαρακτήρα ενός ατόμου αποκλειστικά και μόνον επειδή πρόκειται για πρόσωπο που δεν είναι πολίτης των ΗΠΑ και «οι πληροφορίες σημάτων σχετικά με τις καθημερινές δραστηριότητες ενός αλλοδαπού προσώπου δεν θεωρούνται πληροφορίες από την αλλοδαπή που θα μπορούσαν να διαδοθούν ή να διατηρηθούν μόνιμα με βάση αυτό το συγκεκριμένο γεγονός και μόνον, εκτός εάν οι πληροφορίες αυτές ανταποκρίνονται με άλλον τρόπο σε εγκεκριμένη απαίτηση συλλογής πληροφοριών από την αλλοδαπή» (96).

(88)

Βάσει όλων των ανωτέρω, η Επιτροπή συμπεραίνει ότι υφίστανται κανόνες στις ΗΠΑ που είναι σχεδιασμένοι έτσι ώστε να περιορίζουν οποιαδήποτε επέμβαση για σκοπούς εθνικής ασφάλειας στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ στον απολύτως αναγκαίο βαθμό για την επίτευξη του εν λόγω νόμιμου στόχου.

(89)

Όπως προέκυψε από την ανωτέρω ανάλυση, το δίκαιο των ΗΠΑ διασφαλίζει ότι τα μέτρα παρακολούθησης θα εφαρμόζονται μόνο για την απόκτηση πληροφοριών από την αλλοδαπή –που αποτελεί νόμιμο στόχο πολιτικής (97) —και θα είναι όσο το δυνατόν περισσότερο εξατομικευμένα. Συγκεκριμένα, η μαζική συλλογή θα επιτρέπεται μόνο κατ' εξαίρεση όταν η στοχευμένη συλλογή δεν είναι εφικτή και θα συνοδεύεται από πρόσθετες διασφαλίσεις για την ελαχιστοποίηση του όγκου των δεδομένων που συλλέγονται και της μετέπειτα πρόσβασης (η οποία θα πρέπει να είναι στοχευμένη και να επιτρέπεται μόνο για συγκεκριμένους σκοπούς).

(90)

Κατά την εκτίμηση της Επιτροπής, αυτό συμμορφώνεται με το πρότυπο που έθεσε το Δικαστήριο της ΕΕ στην απόφαση Schrems, σύμφωνα με το οποίο ρύθμιση που συνεπάγεται επέμβαση στα θεμελιώδη δικαιώματα που προστατεύονται από τα άρθρα 7 και 8 του Χάρτη πρέπει να επιβάλλει «ελάχιστο αριθμό απαιτήσεων» (98) και «δεν περιορίζεται στα όρια του απολύτως αναγκαίου εφόσον επιτρέπει κατά γενικευμένο τρόπο τη διατήρηση του συνόλου των δεδομένων προσωπικού χαρακτήρα όλων των προσώπων των οποίων τα δεδομένα διαβιβάστηκαν από την Ένωση στις Ηνωμένες Πολιτείες, χωρίς καμία διαφοροποίηση, περιορισμό ή εξαίρεση σε σχέση με τον επιδιωκόμενο σκοπό και χωρίς να προβλέπεται αντικειμενικό κριτήριο που θα μπορούσε να οριοθετήσει την πρόσβαση των δημόσιων αρχών στα δεδομένα και τη μεταγενέστερη χρήση τους για συγκεκριμένους σκοπούς, αυστηρά περιορισμένους, που μπορούν να δικαιολογήσουν την προσβολή που συνεπάγεται τόσο η πρόσβαση όσο και η χρήση των δεδομένων αυτών» (99). Δεν θα υπάρχει ούτε απεριόριστη συλλογή και διατήρηση δεδομένων όλων των προσώπων χωρίς περιορισμούς, ούτε απεριόριστη πρόσβαση. Επιπλέον, οι δηλώσεις που διαβιβάζονται στην Επιτροπή, συμπεριλαμβανομένης της διαβεβαίωσης ότι οι δραστηριότητες συλλογής πληροφοριών σημάτων των ΗΠΑ αφορούν μικρό μόνο μέρος των επικοινωνιών που πραγματοποιούνται μέσω του διαδικτύου, αποκλείουν το ενδεχόμενο να υπάρχει πρόσβαση «σε γενικευμένη βάση» (100) στο περιεχόμενο των ηλεκτρονικών επικοινωνιών.

3.1.2.   Αποτελεσματική δικαστική προστασία

(91)

Η Επιτροπή αξιολόγησε τόσο τους μηχανισμούς εποπτείας που υπάρχουν στις ΗΠΑ όσον αφορά τυχόν επέμβαση των υπηρεσιών πληροφοριών των ΗΠΑ σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στις ΗΠΑ όσο και τις διαθέσιμες οδούς μέσω των οποίων τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα μπορούν να ζητήσουν ατομική έννομη προστασία.

Εποπτεία

(92)

Η κοινότητα των υπηρεσιών πληροφοριών των ΗΠΑ υπόκειται σε διάφορους μηχανισμούς ελέγχου και εποπτείας που υπάγονται στις τρεις εξουσίες του κράτους. Μεταξύ αυτών περιλαμβάνονται εσωτερικοί και εξωτερικοί φορείς της εκτελεστικής εξουσίας, ορισμένες επιτροπές του Κογκρέσου, καθώς και δικαστική εποπτεία, η οποία αφορά ειδικά τις δραστηριότητες δυνάμει του νόμου FISA.

(93)

Πρώτον, οι δραστηριότητες των αρχών των ΗΠΑ όσον αφορά τη συλλογή πληροφοριών υπόκεινται σε εκτενή εποπτεία από φορείς της εκτελεστικής εξουσίας.

(94)

Σύμφωνα με την PPD-28, τμήμα 4(a)(iv), οι πολιτικές και οι διαδικασίες των μονάδων της κοινότητας των υπηρεσιών πληροφοριών «περιλαμβάνουν κατάλληλα μέτρα για τη διευκόλυνση της εποπτείας της εφαρμογής των διασφαλίσεων για την προστασία των πληροφοριών προσωπικού χαρακτήρα»· τα εν λόγω μέτρα θα πρέπει να περιλαμβάνουν περιοδικό έλεγχο (101).

(95)

Εν προκειμένω έχουν συγκροτηθεί πολλαπλά επίπεδα εποπτείας, συμπεριλαμβανομένων υπαλλήλων που είναι αρμόδιοι για την προστασία των ατομικών ελευθεριών ή της ιδιωτικής ζωής, γενικών επιθεωρητών, του Γραφείου Προστασίας των Ατομικών Ελευθεριών και της Ιδιωτικής Ζωής του ODNI, της PCLOB, και της Επιτροπής Εποπτείας Υπηρεσιών Πληροφοριών του Προέδρου. Τα εν λόγω καθήκοντα εποπτείας υποστηρίζονται από προσωπικό που είναι αρμόδιο για θέματα συμμόρφωσης σε όλες τις υπηρεσίες (102).

(96)

Όπως διευκρινίζεται από την κυβέρνηση των ΗΠΑ (103), υπάλληλοι αρμόδιοι για την προστασία των ατομικών ελευθεριών ή της ιδιωτικής ζωής με αρμοδιότητες εποπτείας υφίστανται σε διάφορα υπουργεία με αρμοδιότητες συλλογής πληροφοριών και σε υπηρεσίες πληροφοριών (104). Παρότι οι ειδικές εξουσίες των εν λόγω υπαλλήλων διαφέρουν κάπως ανάλογα με τον νόμο διά του οποίου τους ανατίθενται οι σχετικές εξουσίες, κατά κανόνα περιλαμβάνουν την εποπτεία των διαδικασιών προκειμένου να διασφαλίζεται ότι το αντίστοιχο υπουργείο/η αντίστοιχη υπηρεσία συνεκτιμά επαρκώς τα ζητήματα προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών και ότι εφαρμόζει επαρκείς διαδικασίες για την αντιμετώπιση καταγγελιών από πρόσωπα που θεωρούν ότι η ιδιωτική τους ζωή ή οι ατομικές τους ελευθερίες έχουν παραβιαστεί (και σε ορισμένες περιπτώσεις, όπως στην περίπτωση του ODNI, ενδέχεται να έχουν οι ίδιες οι υπηρεσίες εξουσία διερεύνησης των καταγγελιών (105)). Ο επικεφαλής του υπουργείου/της υπηρεσίας οφείλει, με τη σειρά του, να διασφαλίζει ότι ο εν λόγω υπάλληλος λαμβάνει όλες τις πληροφορίες και ότι του παρέχεται πρόσβαση σε όλο το υλικό που είναι απαραίτητο για την εκτέλεση των καθηκόντων του. Οι υπάλληλοι που είναι αρμόδιοι για την προστασία των ατομικών ελευθεριών και της ιδιωτικής ζωής υποβάλλουν εκθέσεις ανά τακτά διαστήματα στο Κογκρέσο και στην PCLOB, μεταξύ άλλων και όσον αφορά τον αριθμό και τη φύση των καταγγελιών που έχει λάβει το υπουργείο/η υπηρεσία καθώς και σύνοψη της έκβασης των εν λόγω καταγγελιών, των ελέγχων και ερευνών που διενεργήθηκαν και του αντίκτυπου των δραστηριοτήτων που εκτελέστηκαν από τον αρμόδιο υπάλληλο (106). Σύμφωνα με την αξιολόγηση των εθνικών αρχών προστασίας των δεδομένων, η εσωτερική εποπτεία που ασκείται από τους υπαλλήλους που είναι αρμόδιοι για την προστασία των ατομικών ελευθεριών ή της ιδιωτικής ζωής μπορεί να θεωρηθεί «επαρκώς ισχυρή», αν και, κατά την άποψή τους, οι εν λόγω υπάλληλοι δεν διαθέτουν το απαιτούμενο επίπεδο ανεξαρτησίας (107).

(97)

Επιπλέον, κάθε μονάδα της κοινότητας πληροφοριών έχει τον δικό της Γενικό Επιθεωρητή με αρμοδιότητα, μεταξύ άλλων, την εποπτεία των δραστηριοτήτων συλλογής πληροφοριών από την αλλοδαπή (108). Αυτό περιλαμβάνει, στο πλαίσιο του ODNI, ένα Γραφείο του Γενικού Επιθεωρητή με πλήρη δικαιοδοσία επί του συνόλου της κοινότητας των υπηρεσιών πληροφοριών και με εξουσιοδότηση για τη διερεύνηση καταγγελιών ή πληροφοριών σχετικά με ισχυρισμούς περί παράνομης συμπεριφοράς ή κατάχρησης εξουσίας, σε σχέση με το ODNI και/ή προγράμματα και δραστηριότητες της κοινότητας των υπηρεσιών πληροφοριών (109). Οι Γενικοί Επιθεωρητές είναι βάσει νόμου ανεξάρτητες (110) μονάδες με αρμοδιότητα διεξαγωγής ελέγχων και ερευνών σχετικά με τα προγράμματα και τις επιχειρήσεις που εκτελούνται από την αντίστοιχη υπηρεσία για σκοπούς συλλογής πληροφοριών από υπηρεσίες σε εθνικό επίπεδο, μεταξύ άλλων για κατάχρηση ή παράβαση του νόμου (111). Είναι εξουσιοδοτημένοι να έχουν πρόσβαση σε όλα τα αρχεία, εκθέσεις, ελέγχους, αξιολογήσεις, τεκμήρια, έγγραφα, συστάσεις ή άλλο σχετικό υλικό, εάν χρειάζεται μέσω κλήτευσης, και μπορούν να λαμβάνουν καταθέσεις μαρτύρων (112). Παρότι οι Γενικοί Επιθεωρητές μπορούν να εκδίδουν μόνο μη δεσμευτικές συστάσεις για διορθωτικά μέτρα, οι εκθέσεις τους, συμπεριλαμβανομένων των εκθέσεων περί μέτρων παρακολούθησης (ή περί μη λήψης τέτοιων μέτρων) δημοσιοποιούνται και επιπροσθέτως αποστέλλονται στο Κογκρέσο το οποίο μπορεί στη βάση αυτή να ασκεί το εποπτικό του καθήκον (113).

(98)

Επιπλέον, η Επιτροπή Εποπτείας της Ιδιωτικής Ζωής και των Ατομικών Ελευθεριών (Privacy and Civil Liberties Oversight Board — PCLOB), μια ανεξάρτητη υπηρεσία (114) στο πλαίσιο της εκτελεστικής εξουσίας η οποία απαρτίζεται από δικομματική πενταμελή επιτροπή (115) που διορίζεται από τον Πρόεδρο για καθορισμένη εξαετή θητεία με την έγκριση της Γερουσίας, είναι επιφορτισμένη με αρμοδιότητες στον τομέα των αντιτρομοκρατικών πολιτικών και της εφαρμογής τους, με στόχο την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών. Στο πλαίσιο του ελέγχου που ασκεί επί της δράσης της κοινότητας των υπηρεσιών πληροφοριών, μπορεί να έχει πρόσβαση σε όλα τα σχετικά αρχεία, εκθέσεις, ελέγχους, αξιολογήσεις, τεκμήρια, έγγραφα και συστάσεις της υπηρεσίας, συμπεριλαμβανομένων διαβαθμισμένων πληροφοριών, να διεξάγει συνεντεύξεις και να λαμβάνει καταθέσεις μαρτύρων. Λαμβάνει εκθέσεις από τους υπαλλήλους των διαφόρων ομοσπονδιακών υπουργείων/υπηρεσιών που είναι αρμόδιοι για την προστασία των ατομικών ελευθεριών και της ιδιωτικής ζωής (116), μπορεί να εκδίδει συστάσεις προς τους εν λόγω φορείς και υποβάλλει τακτικά εκθέσεις σε επιτροπές του Κογκρέσου και στον Πρόεδρο (117). Η PCLOB είναι επίσης επιφορτισμένη, εντός των ορίων της εντολής της, με το καθήκον να καταρτίσει έκθεση για την αξιολόγηση της εφαρμογής της PPD-28.

(99)

Τέλος, οι προαναφερθέντες μηχανισμοί εποπτείας συμπληρώνονται από την Επιτροπή Εποπτείας Υπηρεσιών Πληροφοριών (Intelligence Oversight Board) που έχει συσταθεί στο πλαίσιο της Συμβουλευτικής Επιτροπής Υπηρεσιών Πληροφοριών (Intelligence Advisory Board) του Προέδρου η οποία επιβλέπει τη συμμόρφωση των υπηρεσιών πληροφοριών των ΗΠΑ με το Σύνταγμα και όλους τους ισχύοντες κανόνες.

(100)

Για τη διευκόλυνση της εποπτείας, οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών ενθαρρύνονται να σχεδιάσουν πληροφοριακά συστήματα που παρέχουν τη δυνατότητα παρακολούθησης, καταγραφής και ελέγχου των ερωτημάτων ή άλλων αναζητήσεων πληροφοριών προσωπικού χαρακτήρα (118). Οι φορείς εποπτείας και συμμόρφωσης θα ελέγχουν κατά περιόδους τις πρακτικές των μονάδων της κοινότητας των υπηρεσιών πληροφοριών για την προστασία των πληροφοριών προσωπικού χαρακτήρα που περιέχονται σε πληροφορίες σημάτων καθώς και τη συμμόρφωσή τους με τις εν λόγω διαδικασίες (119).

(101)

Τα εν λόγω καθήκοντα εποπτείας υποστηρίζονται επιπλέον από εκτενείς απαιτήσεις υποβολής εκθέσεων όσον αφορά περιπτώσεις έλλειψης συμμόρφωσης. Ειδικότερα, οι διαδικασίες των υπηρεσιών πρέπει να διασφαλίζουν ότι όταν προκύπτει σημαντικό ζήτημα συμμόρφωσης σε σχέση με πληροφορίες προσωπικού χαρακτήρα οποιουδήποτε προσώπου, ανεξαρτήτως ιθαγένειας, οι οποίες έχουν συγκεντρωθεί μέσω της συλλογής πληροφοριών σημάτων, το εν λόγω ζήτημα αναφέρεται αμέσως στον επικεφαλής της μονάδας της κοινότητας των υπηρεσιών πληροφοριών που ενημερώνει με τη σειρά του τον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών, ο οποίος, σύμφωνα με την PPD-28, καθορίζει αν απαιτούνται τυχόν διορθωτικές ενέργειες (120). Επιπλέον, σύμφωνα με το εκτελεστικό διάταγμα (E.O.) 12333, όλες οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών υποχρεούνται να αναφέρουν στην Επιτροπή Εποπτείας Υπηρεσιών Πληροφοριών τα περιστατικά έλλειψης συμμόρφωσης (121). Οι μηχανισμοί αυτοί διασφαλίζουν ότι το ζήτημα θα αντιμετωπιστεί στο υψηλότερο επίπεδο εντός της κοινότητας των υπηρεσιών πληροφοριών. Σε περίπτωση προσώπου που δεν είναι πολίτης των ΗΠΑ, ο Διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών, κατόπιν διαβούλευσης με τον Υπουργό Εξωτερικών και τον επικεφαλής του υπουργείου ή της υπηρεσίας που έχει προβεί στη σχετική ενημέρωση, καθορίζει αν θα πρέπει να πραγματοποιηθούν ενέργειες προκειμένου να ενημερωθεί η σχετική αλλοδαπή κυβέρνηση, οι οποίες να συνάδουν με την προστασία των πηγών και των μεθόδων καθώς και του προσωπικού των ΗΠΑ (122).

(102)

Δεύτερον, πέραν των εν λόγω μηχανισμών εποπτείας στο πλαίσιο της εκτελεστικής εξουσίας, και το Κογκρέσο των ΗΠΑ, ιδίως οι επιτροπές πληροφοριών και δικαιοσύνης της Βουλής των Αντιπροσώπων και της Γερουσίας, διαθέτει αρμοδιότητες εποπτείας σχετικά με όλες τις δραστηριότητες των ΗΠΑ που αφορούν πληροφορίες από την αλλοδαπή, συμπεριλαμβανομένης της συλλογής πληροφοριών σημάτων από τις ΗΠΑ. Σύμφωνα με τον νόμο περί εθνικής ασφάλειας (National Security Act), «[ο] πρόεδρος διασφαλίζει ότι οι επιτροπές πληροφοριών του Κογκρέσου τηρούνται πλήρως και διαρκώς ενήμερες για τις δραστηριότητες συλλογής πληροφοριών των Ηνωμένων Πολιτειών, συμπεριλαμβανομένης οποιασδήποτε σημαντικής προβλεπόμενης δραστηριότητας συλλογής πληροφοριών που απαιτείται από το παρόν υποκεφάλαιο» (123). Επίσης, «[ο] πρόεδρος διασφαλίζει ότι αναφέρεται αμέσως στις επιτροπές πληροφοριών του Κογκρέσου κάθε παράνομη δραστηριότητα συλλογής πληροφοριών, καθώς και κάθε διορθωτική ενέργεια που έχει αναληφθεί ή προγραμματίζεται σε σχέση με την εν λόγω παράνομη δραστηριότητα» (124). Τα μέλη των επιτροπών αυτών έχουν πρόσβαση σε διαβαθμισμένες πληροφορίες καθώς και στις μεθόδους και στα προγράμματα συλλογής πληροφοριών (125).

(103)

Μεταγενέστεροι νόμοι έχουν επεκτείνει και προσδιορίσει λεπτομερέστερα τις απαιτήσεις υποβολής εκθέσεων, τόσο για τις μονάδες της κοινότητας των υπηρεσιών πληροφοριών, όσο και για τους σχετικούς Γενικούς Επιθεωρητές και για τον Γενικό Εισαγγελέα. Για παράδειγμα, ο νόμος FISA απαιτεί από τον Γενικό Εισαγγελέα να «ενημερώνει πλήρως» τις επιτροπές πληροφοριών και δικαιοσύνης της Γερουσίας και της Βουλής των Αντιπροσώπων σχετικά με τις δραστηριότητες της κυβέρνησης βάσει ορισμένων τμημάτων του νόμου FISA (126). Απαιτεί επίσης από την κυβέρνηση να υποβάλλει στις επιτροπές του Κογκρέσου «αντίγραφα όλων των αποφάσεων, διαταγών ή γνωμοδοτήσεων του δικαστηρίου δυνάμει του νόμου FISA (Foreign Intelligence Surveillance Court, FISC) ή του δευτεροβάθμιου δικαστηρίου δυνάμει του νόμου FISA (Foreign Intelligence Surveillance Court of Review, FISCR) που περιλαμβάνουν σημαντική διατύπωση ή ερμηνεία» διατάξεων του νόμου FISA. Ειδικότερα, όσον αφορά την παρακολούθηση δυνάμει του τμήματος 702 του νόμου FISA, η εποπτεία ασκείται μέσω της εκ του νόμου επιβεβλημένης υποβολής εκθέσεων προς τις επιτροπές πληροφοριών και δικαιοσύνης, καθώς και μέσω συχνών ενημερώσεων και ακροάσεων. Μεταξύ αυτών συγκαταλέγεται μια εξαμηνιαία έκθεση του Γενικού Εισαγγελέα στην οποία περιγράφεται η χρήση του τμήματος 702 του νόμου FISA, με έγγραφα τεκμηρίωσης που περιλαμβάνουν κυρίως τις εκθέσεις συμμόρφωσης του Υπουργείου Δικαιοσύνης και του ODNI καθώς και περιγραφή τυχόν περιστατικών έλλειψης συμμόρφωσης (127), και μια χωριστή εξαμηνιαία αξιολόγηση από τον Γενικό Εισαγγελέα και τον DNI όπου τεκμηριώνεται η συμμόρφωση με τις διαδικασίες στόχευσης και ελαχιστοποίησης, συμπεριλαμβανομένης της συμμόρφωσης με τις διαδικασίες που έχουν σχεδιαστεί έτσι ώστε να διασφαλίζουν ότι η συλλογή αφορά έγκυρο σκοπό συγκέντρωσης πληροφοριών από την αλλοδαπή (128). Το Κογκρέσο λαμβάνει επίσης εκθέσεις από τους Γενικούς Επιθεωρητές που είναι εξουσιοδοτημένοι να αξιολογούν τη συμμόρφωση των υπηρεσιών με τις διαδικασίες στόχευσης και ελαχιστοποίησης, καθώς και τις κατευθυντήριες γραμμές του Γενικού Εισαγγελέα.

(104)

Σύμφωνα με τον νόμο USA FREEDOM Act του 2015, η κυβέρνηση των ΗΠΑ πρέπει να κοινολογεί στο Κογκρέσο (και στο κοινό), κάθε έτος, τον αριθμό των διαταγών και οδηγιών δυνάμει του νόμου FISA που έχουν ζητηθεί και ληφθεί, καθώς και εκτιμήσεις του αριθμού των προσώπων —πολιτών των ΗΠΑ και μη— που αποτέλεσαν στόχο παρακολούθησης, μεταξύ άλλων (129). Ο νόμος απαιτεί ακόμη τη δημόσια υποβολή πρόσθετων εκθέσεων σχετικά με τον αριθμό των NSL που έχουν εκδοθεί, επίσης τόσο για πολίτες των ΗΠΑ όσο και για πρόσωπα που δεν είναι πολίτες των ΗΠΑ (ενώ ταυτόχρονα επιτρέπει στους αποδέκτες διαταγών και πιστοποιήσεων δυνάμει του νόμου FISA, καθώς και αιτημάτων βάσει NSL, να εκδίδουν εκθέσεις διαφάνειας υπό ορισμένες προϋποθέσεις) (130).

(105)

Τρίτον, για τις δραστηριότητες συλλογής πληροφοριών εκ μέρους δημόσιων αρχών των ΗΠΑ βάσει του νόμου FISA προβλέπεται η δυνατότητα ελέγχου, και σε ορισμένες περιπτώσεις η εκ των προτέρων έγκριση των μέτρων, από το δικαστήριο δυνάμει του νόμου FISA (FISC) (131), ένα ανεξάρτητο δικαιοδοτικό όργανο (132) του οποίου οι αποφάσεις επιδέχονται προσφυγή ενώπιον του δευτεροβάθμιου δικαστηρίου δυνάμει του νόμου FISA (Foreign Intelligence Surveillance Court of Review — FISCR) (133) και, σε τελευταίο βαθμό, ενώπιον του Ανώτατου Δικαστηρίου των Ηνωμένων Πολιτειών (134). Σε περίπτωση εκ των προτέρων έγκρισης, οι αιτούσες αρχές (FBI, NSA, CIA κ.λπ.) θα πρέπει να υποβάλουν σχέδιο αίτησης στους νομικούς του Τμήματος Εθνικής Ασφάλειας του Υπουργείου Δικαιοσύνης οι οποίοι θα το εξετάσουν και, εάν είναι απαραίτητο, θα ζητήσουν πρόσθετες πληροφορίες (135). Άπαξ και η αίτηση οριστικοποιηθεί, θα πρέπει να εγκριθεί από τον Γενικό Εισαγγελέα, τον Αναπληρωτή Γενικό Εισαγγελέα ή τον Βοηθό Γενικό Εισαγγελέα για θέματα εθνικής ασφάλειας (136). Το Υπουργείο Δικαιοσύνης θα υποβάλει εν συνεχεία την αίτηση στο FISC το οποίο θα την αξιολογήσει και θα εκδώσει προκαταρκτική απόφαση σχετικά με τη συνέχεια που θα πρέπει να δοθεί (137). Όταν πραγματοποιείται ακροαματική διαδικασία, το FISC έχει την εξουσία να λάβει κατάθεση μαρτύρων, που μπορεί να περιλαμβάνει συμβουλές εμπειρογνωμόνων (138).

(106)

Το FISC (και το FISCR) επικουρείται από μόνιμη επιτροπή πέντε ατόμων που διαθέτουν πείρα σε θέματα εθνικής ασφάλειας καθώς και ατομικών ελευθεριών (139). Από την εν λόγω ομάδα το δικαστήριο ορίζει ένα άτομο που υπηρετεί ως amicus curiae προκειμένου να συνδράμει στην εξέταση κάθε αίτησης για διαταγή ή αναθεώρηση η οποία, κατά την άποψη του δικαστηρίου, παρουσιάζει νέα ή σημαντική ερμηνεία του νόμου, εκτός εάν το δικαστήριο αποφανθεί ότι δεν είναι σκόπιμος αυτός ο ορισμός (140). Με τον τρόπο αυτόν διασφαλίζεται ειδικότερα ότι οι παράμετροι προστασίας της ιδιωτικής ζωής αποτυπώνονται δεόντως στην εκτίμηση του δικαστηρίου. Το δικαστήριο μπορεί επίσης να ορίζει ένα άτομο ή οργανισμό που θα υπηρετεί ως amicus curiae, συμπεριλαμβανομένης της παροχής τεχνικής εμπειρογνωμοσύνης, όποτε το κρίνει σκόπιμο ή, κατόπιν αιτήματος, μπορεί να επιτρέπει σε άτομο ή οργανισμό να υποβάλει υπόμνημα amicus curiae  (141).

(107)

Όσον αφορά τις δύο νόμιμες εγκρίσεις παρακολούθησης δυνάμει του νόμου FISA που είναι οι πλέον σημαντικές για τις διαβιβάσεις δεδομένων στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, η εποπτεία από το FISC διαφοροποιείται.

(108)

Σύμφωνα με το τμήμα 501 του νόμου FISA (142), που επιτρέπει τη συλλογή «οιωνδήποτε απτών στοιχείων (συμπεριλαμβανομένων βιβλίων, αρχείων, εγγράφων, τεκμηρίων και άλλων αντικειμένων)», η αίτηση προς το FISC πρέπει να περιέχει δήλωση των πραγματικών περιστατικών που να καταδεικνύει ότι υπάρχει βάσιμος λόγος να θεωρείται ότι τα απτά στοιχεία που ζητούνται είναι σχετικά με εγκεκριμένη έρευνα (πλην αξιολόγησης απειλής) που διενεργείται για την εξασφάλιση πληροφοριών από την αλλοδαπή που δεν αφορούν πρόσωπο από τις ΗΠΑ ή για την προστασία από τη διεθνή τρομοκρατία ή από λαθραίες δραστηριότητες συλλογής πληροφοριών. Επίσης, η αίτηση πρέπει να περιέχει απαρίθμηση των διαδικασιών ελαχιστοποίησης που εγκρίνονται από τον Γενικό Εισαγγελέα για τη διατήρηση και τη διάδοση των συλλεχθεισών πληροφοριών (143).

(109)

Αντιθέτως, σύμφωνα με το τμήμα 702 του νόμου FISA (144), το FISC δεν εγκρίνει μέτρα παρακολούθησης σε ατομική βάση· απεναντίας, εγκρίνει προγράμματα παρακολούθησης (όπως το PRISM ή το UPSTREAM) βάσει ετήσιων πιστοποιήσεων που καταρτίζονται από τον Γενικό Εισαγγελέα και τον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών. Το τμήμα 702 του νόμου FISA επιτρέπει τη στόχευση προσώπων για τα οποία εύλογα θεωρείται ότι βρίσκονται εκτός των ΗΠΑ με σκοπό τη συγκέντρωση πληροφοριών από την αλλοδαπή (145). Η εν λόγω στόχευση πραγματοποιείται από την NSA σε δύο στάδια: Κατά πρώτον, οι αναλυτές της NSA θα προσδιορίζουν πρόσωπα που δεν είναι πολίτες των ΗΠΑ και βρίσκονται στο εξωτερικό, των οποίων η παρακολούθηση θα οδηγήσει, σύμφωνα με την εκτίμηση των αναλυτών, στις σχετικές πληροφορίες από την αλλοδαπή που προσδιορίζονται στην πιστοποίηση. Κατά δεύτερον, άπαξ και τα συγκεκριμένα πρόσωπα προσδιοριστούν σε εξατομικευμένη βάση και εφόσον η στόχευσή τους εγκριθεί από εκτενή μηχανισμό ελέγχου εντός της NSA (146), θα «καθορίζονται» (δηλαδή θα καταρτίζονται και θα εφαρμόζονται) κριτήρια επιλογής που προσδιορίζουν στοιχεία επικοινωνίας (όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου) που χρησιμοποιούνται από τους στόχους (147). Όπως επισημαίνεται, οι πιστοποιήσεις προς έγκριση από το FISC δεν περιέχουν καμία πληροφορία σχετικά με τα μεμονωμένα άτομα τα οποία στοχεύονται αλλά μάλλον προσδιορίζουν κατηγορίες πληροφοριών από την αλλοδαπή (148). Παρότι το FISC δεν αξιολογεί —βάσει πιθανής αιτίας ή οποιουδήποτε άλλου κριτηρίου— αν τα πρόσωπα στοχεύονται ορθώς με σκοπό τη συγκέντρωση πληροφοριών από την αλλοδαπή (149), ο έλεγχός του αφορά την προϋπόθεση ότι «σημαντικός σκοπός της συγκέντρωσης είναι η απόκτηση πληροφοριών από την αλλοδαπή» (150). Πράγματι, βάσει του τμήματος 702 του FISA, επιτρέπεται στην NSA να συλλέγει στοιχεία από τις επικοινωνίες προσώπων που δεν είναι πολίτες των ΗΠΑ και βρίσκονται εκτός της επικράτειας των ΗΠΑ μόνον εάν υπάρχει βάσιμος λόγος να θεωρείται ότι ένα δεδομένο μέσο επικοινωνίας χρησιμοποιείται με σκοπό την κοινοποίηση πληροφοριών από την αλλοδαπή (π.χ. που σχετίζονται με τη διεθνή τρομοκρατία, τη διάδοση πυρηνικών όπλων ή εχθρικές δραστηριότητες στον κυβερνοχώρο). Οι σχετικές αποφάσεις υπόκεινται σε δικαστικό έλεγχο (151). Οι πιστοποιήσεις πρέπει επίσης να προβλέπουν διαδικασίες στόχευσης και ελαχιστοποίησης των δεδομένων (152). Ο Γενικός Εισαγγελέας και ο Διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών εξακριβώνουν τη συμμόρφωση και οι υπηρεσίες έχουν υποχρέωση να αναφέρουν τυχόν περιστατικά έλλειψης συμμόρφωσης στο FISC (153) (καθώς και στο Κογκρέσο και στην Επιτροπή Εποπτείας Υπηρεσιών Πληροφοριών του Προέδρου), το οποίο δύναται σε αυτή τη βάση να τροποποιήσει την πιστοποίηση (154).

(110)

Επιπλέον, για την αύξηση της αποδοτικότητας της εποπτείας που ασκεί το FISC, η κυβέρνηση των ΗΠΑ συμφώνησε να εφαρμόσει σύσταση της PCLOB όσον αφορά την παροχή υλικού στο FISC για την τεκμηρίωση των αποφάσεων στόχευσης δυνάμει του τμήματος 702, συμπεριλαμβανομένου τυχαίου δείγματος φύλλων ανάθεσης, προκειμένου να παράσχει στο FISC τη δυνατότητα να αξιολογήσει με ποιον τρόπο καλύπτεται στην πράξη η απαίτηση του σκοπού συλλογής πληροφοριών από την αλλοδαπή (155). Ταυτόχρονα, η κυβέρνηση των ΗΠΑ αποδέχθηκε και έλαβε μέτρα για την αναθεώρηση των διαδικασιών στόχευσης της NSA για την καλύτερη τεκμηρίωση των λόγων συλλογής πληροφοριών από την αλλοδαπή όσον αφορά τις αποφάσεις στόχευσης (156).

Ατομική έννομη προστασία

(111)

Στο πλαίσιο του δικαίου των ΗΠΑ διατίθενται διάφορα μέσα για τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα, σε περίπτωση που έχουν ανησυχίες για το αν τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν αποτέλεσαν αντικείμενο επεξεργασίας (συλλογής, πρόσβασης κ.λπ.) από μονάδες της κοινότητας των υπηρεσιών πληροφοριών των ΗΠΑ και, εάν ναι, αν τηρήθηκαν οι ισχύοντες περιορισμοί δυνάμει του δικαίου των ΗΠΑ. Αφορούν κατά κύριο λόγο τρεις τομείς: επέμβαση δυνάμει του νόμου FISA· παράνομη, εσκεμμένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα από υπαλλήλους της κυβέρνησης των ΗΠΑ· και πρόσβαση σε πληροφορίες δυνάμει του νόμου περί ελευθερίας της πληροφόρησης (Freedom of Information Act — FOIA) (157).

(112)

Πρώτον, ο νόμος περί παρακολούθησης επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Act — FISA) προβλέπει ορισμένα μέσα έννομης προστασίας, τα οποία είναι επίσης διαθέσιμα και σε πρόσωπα που δεν είναι πολίτες των ΗΠΑ, με τα οποία μπορούν να προσφύγουν κατά της παράνομης ηλεκτρονικής παρακολούθησης (158). Μεταξύ αυτών περιλαμβάνεται η δυνατότητα των φυσικών προσώπων να ασκούν αγωγή για χρηματική αποζημίωση κατά των Ηνωμένων Πολιτειών σε περίπτωση παράνομης και εσκεμμένης χρήσης ή κοινολόγησης πληροφοριών που τα αφορούν (159)· η δυνατότητα άσκησης αγωγής κατά υπαλλήλων της κυβέρνησης των ΗΠΑ υπό την προσωπική τους ιδιότητα («με κατ' επίφαση επίκληση του νόμου») για χρηματική αποζημίωση (160)· και η δυνατότητα αμφισβήτησης της νομιμότητας της παρακολούθησης (και επιδίωξης της μη γνωστοποίησης των πληροφοριών) σε περίπτωση που η κυβέρνηση των ΗΠΑ προτίθεται να χρησιμοποιήσει ή να κοινολογήσει τυχόν πληροφορίες που έχουν ληφθεί ή αντληθεί από ηλεκτρονική παρακολούθηση εις βάρος του ενδιαφερομένου προσώπου στο πλαίσιο δικαστικής ή διοικητικής διαδικασίας στις Ηνωμένες Πολιτείες (161).

(113)

Δεύτερον, η κυβέρνηση των ΗΠΑ παρέπεμψε την Επιτροπή σε ορισμένες πρόσθετες οδούς τις οποίες θα μπορούσαν να ακολουθήσουν τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα για να προσφύγουν νομικά κατά κυβερνητικών λειτουργών για παράνομη πρόσβαση ή χρήση δεδομένων προσωπικού χαρακτήρα εκ μέρους της κυβέρνησης, μεταξύ άλλων με την επίκληση σκοπών εθνικής ασφάλειας [δηλαδή τον νόμο περί ηλεκτρονικής απάτης και κατάχρησης (Computer Fraud and Abuse Act) (162)· τον νόμο περί προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act) (163)· και τον νόμο περί δικαιώματος προστασίας των προσωπικών δεδομένων οικονομικού χαρακτήρα (Right to Financial Privacy Act (164))]. Όλες αυτές οι βάσεις αγωγής αφορούν συγκεκριμένα δεδομένα, στόχους και/ή είδη πρόσβασης (π.χ. απομακρυσμένη πρόσβαση ηλεκτρονικού υπολογιστή μέσω του διαδικτύου) και διατίθενται υπό ορισμένες προϋποθέσεις (π.χ. εσκεμμένη/εκ προθέσεως συμπεριφορά, συμπεριφορά εκτός της επίσημης ιδιότητας, βλάβη που υπέστη ο ενάγων) (165). Μια γενικότερης φύσεως δυνατότητα έννομης προστασίας προσφέρεται από τον νόμο περί διοικητικών διαδικασιών (Administrative Procedure Act) (5 U.S.C. § 702), σύμφωνα με τον οποίο «κάθε πρόσωπο σε βάρος του οποίου υφίσταται άδικη πράξη εξαιτίας ενέργειας μιας υπηρεσίας, ή το οποίο επηρεάζεται δυσμενώς ή θίγεται από ενέργεια υπηρεσίας», δικαιούται να ζητήσει δικαστικό έλεγχο. Σε αυτό περιλαμβάνεται η δυνατότητα να ζητήσει από το δικαστήριο να «κρίνει παράνομη και να ακυρώσει κάθε ενέργεια, διαπίστωση και διατύπωση συμπεράσματος υπηρεσίας που κρίνεται ότι είναι […] αυθαίρετη, επιπόλαιη, συνιστά κατάχρηση διακριτικής ευχέρειας ή με άλλον τρόπο δεν συμμορφώνεται με τον νόμο (166)

(114)

Τέλος, η κυβέρνηση των ΗΠΑ έχει επισημάνει τον νόμο FOIA ως μέσο διά του οποίου πρόσωπα που δεν είναι πολίτες των ΗΠΑ μπορούν να ζητούν πρόσβαση σε υφιστάμενα αρχεία ομοσπονδιακών υπηρεσιών, μεταξύ άλλων και στις περιπτώσεις στις οποίες τα εν λόγω αρχεία περιέχουν δεδομένα προσωπικού χαρακτήρα του ενδιαφερόμενου ιδιώτη (167). Δεδομένου του προσανατολισμού του, ο νόμος FOIA δεν παρέχει οδό ατομικής προσφυγής κατά της ίδιας της επέμβασης στα δεδομένα προσωπικού χαρακτήρα, αν και θα μπορούσε καταρχήν να παρέχει σε ιδιώτες τη δυνατότητα να αποκτήσουν πρόσβαση στις σχετικές πληροφορίες που κατέχουν οι εθνικές υπηρεσίες πληροφοριών. Ακόμη και από αυτή την άποψη, οι δυνατότητες φαίνεται να είναι περιορισμένες, καθώς οι υπηρεσίες δύνανται να μην γνωστοποιούν πληροφορίες που εμπίπτουν σε ορισμένες εξαιρέσεις που απαριθμούνται συγκεκριμένα, συμπεριλαμβανομένης της πρόσβασης σε διαβαθμισμένες πληροφορίες εθνικής ασφάλειας και σε πληροφορίες που αφορούν έρευνες των αρχών επιβολής του νόμου (168). Ωστόσο, η χρήση των εν λόγω εξαιρέσεων από τις εθνικές υπηρεσίες πληροφοριών μπορεί να αποτελέσει αντικείμενο προσφυγής εκ μέρους ιδιωτών, που μπορούν να προσφύγουν τόσο σε διοικητικό όσο και σε δικαστικό έλεγχο.

(115)

Παρότι οι ιδιώτες, συμπεριλαμβανομένων των προσώπων από την ΕΕ στα οποία αναφέρονται τα δεδομένα, διαθέτουν συνεπώς ορισμένα μέσα έννομης προστασίας σε περίπτωση που έχουν αποτελέσει αντικείμενο παράνομης (ηλεκτρονικής) παρακολούθησης για σκοπούς εθνικής ασφάλειας, είναι εξίσου σαφές ότι τουλάχιστον ορισμένες νομικές βάσεις που μπορούν να χρησιμοποιήσουν οι υπηρεσίες πληροφοριών των ΗΠΑ [π.χ. το εκτελεστικό διάταγμα (E.O.) 12333] δεν καλύπτονται. Επιπλέον, ακόμη και σε περίπτωση που όντως υφίστανται καταρχήν δυνατότητες δικαστικής προσφυγής για πρόσωπα που δεν είναι πολίτες των ΗΠΑ, όπως για την παρακολούθηση δυνάμει του νόμου FISA, οι διαθέσιμες βάσεις για άσκηση προσφυγής είναι περιορισμένες (169) και οι προσφυγές που υποβάλλουν ιδιώτες (συμπεριλαμβανομένων προσώπων από τις ΗΠΑ) θα κηρύσσονται μη παραδεκτές εάν δεν μπορούν να καταδείξουν το «έννομο συμφέρον» για την άσκησή τους (170), στοιχείο που περιορίζει την πρόσβαση στα τακτικά δικαστήρια (171).

(116)

Προκειμένου να προβλεφθεί μια πρόσθετη οδός έννομης προστασίας στην οποία να έχουν δυνατότητα πρόσβασης όλα τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα, η κυβέρνηση των ΗΠΑ αποφάσισε να δημιουργήσει έναν νέο μηχανισμό Διαμεσολαβητή, όπως περιγράφεται στην επιστολή του Υπουργού Εξωτερικών των ΗΠΑ προς την Επιτροπή, η οποία περιλαμβάνεται στο παράρτημα III της παρούσας απόφασης. Ο μηχανισμός αυτός στηρίζεται στον ορισμό, δυνάμει της PPD-28, ενός Ανώτατου Συντονιστή (σε επίπεδο υφυπουργού) στο Υπουργείο Εξωτερικών ως σημείου επαφής στο οποίο οι αλλοδαπές κυβερνήσεις μπορούν να εκθέτουν τις ανησυχίες τους σε σχέση με τις δραστηριότητες των ΗΠΑ που αφορούν τη συλλογή πληροφοριών σημάτων, αλλά εκτείνεται πολύ πέραν της αρχικής αυτής ιδέας.

(117)

Ειδικότερα, σύμφωνα με τις δεσμευτικές δηλώσεις της κυβέρνησης των ΗΠΑ, ο μηχανισμός του Διαμεσολαβητή θα εγγυάται ότι οι καταγγελίες διερευνώνται και ότι οι ενδιαφερόμενοι λαμβάνουν ανεξάρτητη επιβεβαίωση ότι οι νόμοι των ΗΠΑ τηρήθηκαν ή, σε περίπτωση παράβασης των νόμων αυτών, ότι η περίπτωση μη συμμόρφωσης διορθώθηκε (172). Ο μηχανισμός περιλαμβάνει τον «Διαμεσολαβητή της ασπίδας προστασίας», δηλαδή τον Υφυπουργό, και περαιτέρω προσωπικό, καθώς και άλλους φορείς εποπτείας που είναι αρμόδιοι για την εποπτεία των διαφόρων μονάδων της κοινότητας των υπηρεσιών πληροφοριών, στη συνεργασία των οποίων θα στηρίζεται ο Διαμεσολαβητής της ασπίδας προστασίας κατά τον χειρισμό καταγγελιών. Ειδικότερα, όταν το αίτημα ενός ιδιώτη συνδέεται με τη συμβατότητα της παρακολούθησης με το δίκαιο των ΗΠΑ, ο Διαμεσολαβητής της ασπίδας προστασίας θα είναι σε θέση να στηρίζεται σε ανεξάρτητους φορείς εποπτείας με εξουσίες διεξαγωγής ερευνών (όπως οι Γενικοί Επιθεωρητές ή η PCLOB). Σε κάθε περίπτωση, ο υπουργός Εξωτερικών εξασφαλίζει ότι ο Διαμεσολαβητής θα διαθέτει τα αναγκαία μέσα προκειμένου να διασφαλίζει ότι η απάντησή του στα αιτήματα ιδιωτών βασίζεται σε όλες τις απαραίτητες πληροφορίες.

(118)

Μέσω αυτής της «σύνθετης δομής», ο μηχανισμός του Διαμεσολαβητή εγγυάται την ανεξάρτητη εποπτεία και την ατομική έννομη προστασία. Επιπλέον, η συνεργασία με άλλους φορείς εποπτείας διασφαλίζει την πρόσβαση στην απαραίτητη εμπειρογνωμοσύνη. Τέλος, επιβάλλοντας στον Διαμεσολαβητή της ασπίδας προστασίας την υποχρέωση να επιβεβαιώνει είτε τη συμμόρφωση είτε τη διόρθωση τυχόν μη συμμόρφωσης, ο μηχανισμός αντικατοπτρίζει τη δέσμευση της κυβέρνησης των ΗΠΑ συνολικά για την αντιμετώπιση και την εξεύρεση λύσης σε καταγγελίες ιδιωτών από την ΕΕ.

(119)

Πρώτον, σε αντίθεση με έναν μηχανισμό που λειτουργεί αμιγώς μεταξύ κυβερνήσεων, ο Διαμεσολαβητής της ασπίδας προστασίας θα λαμβάνει και θα απαντά σε καταγγελίες ιδιωτών. Οι εν λόγω καταγγελίες μπορούν να απευθύνονται στις εποπτικές αρχές των κρατών μελών που είναι αρμόδιες για την εποπτεία των υπηρεσιών εθνικής ασφάλειας και/ή της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές, οι οποίες θα τις υποβάλλουν σε έναν κεντρικό φορέα σε επίπεδο ΕΕ από τον οποίο θα διαβιβάζονται εν συνεχεία στον Διαμεσολαβητή της ασπίδας προστασίας (173). Με τον τρόπο αυτόν θα ωφεληθούν πραγματικά οι ιδιώτες από την ΕΕ, καθώς μπορούν να αποτείνονται σε μια εθνική αρχή «κοντά στο σπίτι τους» και στη γλώσσα τους. Η εν λόγω αρχή θα έχει καθήκον να υποστηρίζει το ενδιαφερόμενο πρόσωπο σε ό,τι αφορά την υποβολή αιτήματος προς τον Διαμεσολαβητή της ασπίδας προστασίας, ώστε αυτό να περιέχει τις βασικές πληροφορίες και ως εκ τούτου να θεωρηθεί «πλήρες». Το ενδιαφερόμενο πρόσωπο δεν θα χρειάζεται να καταδείξει ότι πράγματι υπάρχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που το αφορούν από την κυβέρνηση των ΗΠΑ μέσω δραστηριοτήτων συλλογής πληροφοριών σημάτων.

(120)

Δεύτερον, η κυβέρνηση των ΗΠΑ δεσμεύεται να διασφαλίσει ότι, κατά την εκτέλεση των καθηκόντων του, ο Διαμεσολαβητής της ασπίδας προστασίας θα έχει τη δυνατότητα να στηρίζεται στη συνεργασία άλλων μηχανισμών εποπτείας και ελέγχου της συμμόρφωσης που υφίστανται στο πλαίσιο του δικαίου των ΗΠΑ. Σε αυτούς θα περιλαμβάνονται ενίοτε εθνικές υπηρεσίες πληροφοριών, ειδικότερα όταν το αίτημα πρέπει να ερμηνευθεί ως αίτημα για πρόσβαση σε έγγραφα δυνάμει του νόμου περί ελευθερίας της πληροφόρησης. Σε άλλες περιπτώσεις, ιδίως όταν τα αιτήματα αφορούν τη συμβατότητα της παρακολούθησης με το δίκαιο των ΗΠΑ, η εν λόγω συνεργασία θα περιλαμβάνει ανεξάρτητους φορείς εποπτείας (π.χ. Γενικούς Επιθεωρητές) με την αρμοδιότητα και την εξουσία διενέργειας ενδελεχούς έρευνας (ειδικότερα μέσω της πρόσβασης σε όλα τα συναφή έγγραφα και της εξουσίας υποβολής αιτημάτων παροχής πληροφοριών και δηλώσεων) και αντιμετώπισης των περιπτώσεων μη συμμόρφωσης (174). Επίσης, ο Διαμεσολαβητής της ασπίδας προστασίας της ιδιωτικής ζωής θα είναι σε θέση να παραπέμπει υποθέσεις στην PCLOB προς εξέταση (175). Σε περίπτωση που ένας από τους εν λόγω φορείς εποπτείας διαπιστώσει περίπτωση μη συμμόρφωσης, η οικεία μονάδα της κοινότητας των υπηρεσιών πληροφοριών (π.χ. μια υπηρεσία πληροφοριών) θα πρέπει να διορθώσει την περίπτωση μη συμμόρφωσης, καθώς μόνο με τον τρόπο αυτόν θα δοθεί στον Διαμεσολαβητή η δυνατότητα να παράσχει μια «θετική» απάντηση στον ιδιώτη (δηλαδή ότι κάθε περίπτωση μη συμμόρφωσης έχει διορθωθεί), κάτι για το οποίο έχει δεσμευθεί η κυβέρνηση των ΗΠΑ. Επίσης, στο πλαίσιο της συνεργασίας, ο Διαμεσολαβητής της ασπίδας προστασίας θα ενημερώνεται για την έκβαση της έρευνας, ενώ επίσης ο Διαμεσολαβητής θα διαθέτει τα μέσα για να διασφαλίζει ότι θα λαμβάνει όλες τις απαραίτητες πληροφορίες για την κατάρτιση της απάντησής του.

(121)

Τέλος, ο Διαμεσολαβητής της ασπίδας προστασίας θα είναι ανεξάρτητος και συνεπώς δεν θα δέχεται οδηγίες από την κοινότητα των υπηρεσιών πληροφοριών των ΗΠΑ (176). Το στοιχείο αυτό είναι ιδιαίτερα σημαντικό, δεδομένου ότι ο Διαμεσολαβητής της ασπίδας προστασίας θα πρέπει να «επιβεβαιώνει» ότι i) η καταγγελία έχει διερευνηθεί δεόντως και ότι ii) το συναφές δίκαιο των ΗΠΑ —συμπεριλαμβανομένων των περιορισμών και των διασφαλίσεων που καθορίζονται στο παράρτημα VI— έχει τηρηθεί ή, σε περίπτωση μη συμμόρφωσης, ότι η εν λόγω παραβίαση έχει διορθωθεί. Προκειμένου να είναι σε θέση να παρέχει αυτή την ανεξάρτητη επιβεβαίωση, ο Διαμεσολαβητής της ασπίδας προστασίας θα πρέπει να λαμβάνει τις απαραίτητες πληροφορίες σε σχέση με την έρευνα ώστε να αξιολογεί την ακρίβεια της απάντησης στην καταγγελία. Επιπλέον, ο υπουργός Εξωτερικών έχει δεσμευτεί να διασφαλίζει ότι ο Υφυπουργός θα ασκεί τα καθήκοντα του Διαμεσολαβητή της ασπίδας προστασίας με αντικειμενικότητα και ελευθερία από κάθε ανάρμοστη επιρροή που ενδέχεται να έχει αντίκτυπο στην απάντηση που πρέπει να παρασχεθεί.

(122)

Συνολικά, ο μηχανισμός αυτός διασφαλίζει την ενδελεχή διερεύνηση και την εξεύρεση λύσης στις καταγγελίες ιδιωτών, ενώ επίσης εξασφαλίζει ότι τουλάχιστον στον τομέα της παρακολούθησης αυτό θα περιλαμβάνει αφενός ανεξάρτητους φορείς εποπτείας που διαθέτουν την απαραίτητη εμπειρογνωμοσύνη και εξουσίες διεξαγωγής ερευνών και αφετέρου τον Διαμεσολαβητή ο οποίος θα είναι σε θέση να ασκεί τα καθήκοντά του ελεύθερος από οποιανδήποτε ανάρμοστη, ιδίως πολιτική, επιρροή. Επιπλέον, οι ιδιώτες θα έχουν τη δυνατότητα να υποβάλλουν καταγγελίες χωρίς να υποχρεούνται να αποδείξουν, ή έστω να παράσχουν ενδείξεις, ότι έχουν αποτελέσει αντικείμενο παρακολούθησης (177). Με βάση τα στοιχεία αυτά, η Επιτροπή είναι πεπεισμένη ότι υφίστανται επαρκείς και αποτελεσματικές εγγυήσεις κατά τυχόν κατάχρησης.

(123)

Βάσει όλων των προαναφερθέντων, η Επιτροπή καταλήγει στο συμπέρασμα ότι οι ΗΠΑ διασφαλίζουν αποτελεσματική δικαστική προστασία από επεμβάσεις των υπηρεσιών πληροφοριών των ΗΠΑ στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ.

(124)

Εν προκειμένω, η Επιτροπή λαμβάνει υπόψη την απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Schrems, σύμφωνα με την οποία «ρύθμιση που δεν προβλέπει ένδικα βοηθήματα προκειμένου ο ενδιαφερόμενος να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τον αφορούν ή να επιτύχει την τροποποίηση ή την κατάργηση τέτοιων δεδομένων δεν σέβεται το ουσιαστικό περιεχόμενο του θεμελιώδους δικαιώματος αποτελεσματικής δικαστικής προστασίας, όπως αυτό κατοχυρώνεται στο άρθρο 47 του Χάρτη» (178). Σύμφωνα με την αξιολόγηση της Επιτροπής, επιβεβαιώθηκε ότι τα εν λόγω ένδικα βοηθήματα προβλέπονται στις Ηνωμένες Πολιτείες, μεταξύ άλλων και μέσω της θέσπισης του μηχανισμού του Διαμεσολαβητή. Ο μηχανισμός του Διαμεσολαβητή προβλέπει ανεξάρτητη εποπτεία με εξουσίες διεξαγωγής ερευνών. Στο πλαίσιο της συνεχούς παρακολούθησης της ασπίδας προστασίας από την Επιτροπή, μεταξύ άλλων και μέσω της ετήσιας κοινής επανεξέτασης όπου επίσης θα συμμετέχει και ο Διαμεσολαβητής, θα επαναξιολογηθεί η αποτελεσματικότητα του μηχανισμού αυτού.

3.2.   Πρόσβαση και χρήση από τις δημόσιες αρχές των ΗΠΑ για σκοπούς επιβολής του νόμου και σκοπούς δημόσιου συμφέροντος

(125)

Όσον αφορά την επέμβαση στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται βάσει της ασπίδας προστασίας ΕΕ–ΗΠΑ για σκοπούς επιβολής του νόμου, η κυβέρνηση των ΗΠΑ (μέσω του Υπουργείου Δικαιοσύνης) έχει παράσχει διαβεβαίωση σχετικά με τους ισχύοντες περιορισμούς και διασφαλίσεις που, σύμφωνα με την εκτίμηση της Επιτροπής, καταδεικνύουν επαρκές επίπεδο προστασίας.

(126)

Σύμφωνα με τις πληροφορίες αυτές, με βάση την Τέταρτη Τροπολογία του Συντάγματος των ΗΠΑ (179), οι έρευνες και κατασχέσεις εκ μέρους των αρχών επιβολής του νόμου καταρχήν (180) προϋποθέτουν ένταλμα το οποίο εκδίδεται από δικαστήριο εφόσον καταδειχθεί «πιθανή αιτία». Στις λίγες ειδικά καθορισμένες και εξαιρετικές περιπτώσεις στις οποίες δεν ισχύει η απαίτηση εντάλματος (181), οι αρχές επιβολής του νόμου υπόκεινται σε υποχρέωση ελέγχου του «εύλογου χαρακτήρα» της αντίστοιχης ενέργειας (182). Ο εύλογος χαρακτήρας μιας έρευνας ή κατάσχεσης «καθορίζεται με την αξιολόγηση, αφενός, του βαθμού στον οποίον παρεμβαίνει στην ιδιωτική ζωή ενός φυσικού προσώπου και, αφετέρου, του βαθμού στον οποίον είναι αναγκαία για την προαγωγή θεμιτών κυβερνητικών συμφερόντων» (183). Γενικότερα, η Τέταρτη Τροπολογία εγγυάται την προστασία της ιδιωτικής ζωής, της αξιοπρέπειας καθώς και την προστασία από αυθαίρετες και παρεμβατικές πράξεις υπαλλήλων της κυβέρνησης των ΗΠΑ (184). Οι έννοιες αυτές ανταποκρίνονται στις αρχές της αναγκαιότητας και της αναλογικότητας στο δίκαιο της Ένωσης. Όταν δεν υφίσταται πλέον ανάγκη χρήσης των κατασχεθέντων αντικειμένων από τις αρχές επιβολής του νόμου ως αποδεικτικών στοιχείων, αυτά θα πρέπει να επιστρέφονται (185).

(127)

Παρότι το δικαίωμα δυνάμει της Τέταρτης Τροπολογίας δεν καλύπτει πρόσωπα που δεν είναι πολίτες των ΗΠΑ και δεν κατοικούν στις Ηνωμένες Πολιτείες, ωστόσο τα εν λόγω πρόσωπα επωφελούνται εμμέσως από τις προστατευτικές ρυθμίσεις του, δεδομένου ότι τα δεδομένα προσωπικού χαρακτήρα βρίσκονται στην κατοχή εταιρειών των ΗΠΑ, με αποτέλεσμα οι αρχές επιβολής του νόμου να υποχρεούνται σε κάθε περίπτωση να ζητούν δικαστική έγκριση (ή τουλάχιστον να τηρούν την απαίτηση περί εύλογου χαρακτήρα) (186). Περαιτέρω ρυθμίσεις προστασίας παρέχονται από ειδικές αρχές βάσει νόμου, καθώς και από τις κατευθυντήριες γραμμές του Υπουργείου Δικαιοσύνης που περιορίζουν την πρόσβαση των αρχών επιβολής του νόμου σε δεδομένα σύμφωνα με βάσεις που ισοδυναμούν με τις αρχές της αναγκαιότητας και της αναλογικότητας (π.χ. με την επιβολή στο FBI της απαίτησης να χρησιμοποιεί τις λιγότερο παρεμβατικές ερευνητικές μεθόδους στο μέτρο του εφικτού, λαμβάνοντας υπόψη τις επιπτώσεις στην προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών) (187). Σύμφωνα με τις δηλώσεις που υπέβαλε η κυβέρνηση των ΗΠΑ, οι ίδιες ή αυστηρότερες ρυθμίσεις προστασίας ισχύουν για τις έρευνες των αρχών επιβολής του νόμου σε επίπεδο πολιτείας (σε σχέση με έρευνες που διενεργούνται δυνάμει πολιτειακών νόμων) (188).

(128)

Παρότι η εκ των προτέρων δικαστική έγκριση από δικαστήριο ή δικαστικό συμβούλιο (grand jury, ερευνητικό όργανο του δικαστηρίου το οποίο επιλέγεται από ανώτερο δικαστή ή από δικαστή ομοσπονδιακού πρωτοδικείου) δεν απαιτείται σε όλες τις περιπτώσεις (189), οι διοικητικές κλητεύσεις περιορίζονται σε ειδικές υποθέσεις και θα υπόκεινται σε ανεξάρτητο δικαστικό έλεγχο τουλάχιστον σε περιπτώσεις στις οποίες η κυβέρνηση προσφεύγει σε δικαστήριο για να ζητήσει την εκτέλεσή τους (190).

(129)

Το ίδιο ισχύει και για τη χρήση διοικητικών κλητεύσεων για σκοπούς δημόσιου συμφέροντος. Επιπλέον, σύμφωνα με τις δηλώσεις της κυβέρνησης των ΗΠΑ, εφαρμόζονται παρόμοιοι ουσιαστικοί περιορισμοί με την έννοια ότι οι υπηρεσίες δύνανται μόνο να ζητούν πρόσβαση σε δεδομένα που είναι σχετικά με υποθέσεις που εμπίπτουν στο πεδίο αρμοδιότητάς τους και οφείλουν να σέβονται το κριτήριο του εύλογου χαρακτήρα.

(130)

Επιπλέον, το δίκαιο των ΗΠΑ προβλέπει για τους ιδιώτες ορισμένα μέσα δικαστικής προσφυγής κατά δημόσιας αρχής ή ενός εκ των υπαλλήλων της, όταν οι εν λόγω αρχές επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Τα εν λόγω μέσα, στα οποία περιλαμβάνονται ειδικότερα ο νόμος περί διοικητικών διαδικασιών (Administrative Procedure Act — APA), ο νόμος περί ελευθερίας της πληροφόρησης (Freedom of Information Act — FOIA) και ο νόμος περί προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act — ECPA), είναι ανοικτά σε όλα τα φυσικά πρόσωπα, ανεξαρτήτως της ιθαγένειάς τους, με την επιφύλαξη τυχόν εφαρμοστέων προϋποθέσεων.

(131)

Γενικά, σύμφωνα με τις διατάξεις περί δικαστικού ελέγχου του νόμου περί διοικητικών διαδικασιών (191), «κάθε πρόσωπο σε βάρος του οποίου υφίσταται άδικη πράξη εξαιτίας ενέργειας μιας υπηρεσίας, ή το οποίο επηρεάζεται δυσμενώς ή θίγεται από ενέργεια υπηρεσίας», δικαιούται να ζητήσει δικαστικό έλεγχο (192). Σε αυτό περιλαμβάνεται η δυνατότητα να ζητήσει από το δικαστήριο να «κρίνει παράνομη και να ακυρώσει κάθε ενέργεια, διαπίστωση και διατύπωση συμπεράσματος υπηρεσίας που κρίνεται ότι είναι […] αυθαίρετη, επιπόλαιη, συνιστά κατάχρηση διακριτικής ευχέρειας, ή με άλλον τρόπο δεν συμμορφώνεται με τον νόμο» (193).

(132)

Πιο συγκεκριμένα, στον τίτλο II του νόμου περί προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (194) καθορίζεται ένα σύστημα νομικά καθορισμένων δικαιωμάτων προστασίας της ιδιωτικής ζωής το οποίο και διέπει την πρόσβαση των αρχών επιβολής του νόμου στο περιεχόμενο ενσύρματων, προφορικών ή ηλεκτρονικών επικοινωνιών που αποθηκεύεται από τρίτους παρόχους υπηρεσιών (195). Ποινικοποιεί την παράνομη (δηλαδή τη μη εγκεκριμένη από δικαστήριο ή με άλλον τρόπο επιτρεπτή) πρόσβαση στις εν λόγω επικοινωνίες και παρέχει στον θιγόμενο ιδιώτη τη δυνατότητα προσφυγής με την κατάθεση αστικής αγωγής σε ομοσπονδιακό δικαστήριο των ΗΠΑ για πραγματική και τιμωρητική αποζημίωση, καθώς και για δίκαιη αποκατάσταση ή αναγνωριστική αγωγή κατά κυβερνητικού λειτουργού που προέβη εσκεμμένα σε τέτοιες παράνομες πράξεις, ή κατά των Ηνωμένων Πολιτειών.

(133)

Επίσης, σύμφωνα με τον νόμο περί ελευθερίας της πληροφόρησης (FOIA, 5 U.S.C. § 552), κάθε πρόσωπο έχει το δικαίωμα να αποκτά πρόσβαση σε αρχεία ομοσπονδιακών υπηρεσιών και, αφού εξαντλήσει τα διοικητικά μέσα προσφυγής, να ασκεί το εν λόγω δικαίωμα ενώπιον δικαστηρίου, πλην της περίπτωσης που τα εν λόγω αρχεία προστατεύονται από τη δημοσιοποίηση επί τη βάσει απαλλαγής ή ειδικής εξαίρεσης για λόγους επιβολής του νόμου (196).

(134)

Επιπλέον, διάφορα άλλα νομοθετήματα παρέχουν στους ιδιώτες το δικαίωμα να ασκήσουν αγωγή κατά δημόσιας αρχής ή λειτουργού των ΗΠΑ σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν, όπως ο νόμος περί υποκλοπών (Wiretap Act) (197), ο νόμος περί ηλεκτρονικής απάτης και κατάχρησης (Computer Fraud and Abuse Act) (198), ο νόμος περί απαιτήσεων από αδικοπραξίες της ομοσπονδιακής κυβέρνησης (Federal Torts Claim Act) (199), ο νόμος περί δικαιώματος προστασίας των προσωπικών δεδομένων οικονομικού χαρακτήρα (Right to Financial Privacy Act) (200), και ο νόμος περί δίκαιης αναφοράς πιστοληπτικής ικανότητας (Fair Credit Reporting Act) (201).

(135)

Η Επιτροπή συνεπώς συμπεραίνει ότι υφίστανται κανόνες στις ΗΠΑ που είναι σχεδιασμένοι έτσι ώστε να περιορίζουν οποιαδήποτε επέμβαση για σκοπούς επιβολής του νόμου (202) ή άλλους σκοπούς δημόσιου συμφέροντος στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση στις ΗΠΑ βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ στον απολύτως αναγκαίο βαθμό για την επίτευξη του εν λόγω νόμιμου στόχου, και ότι οι κανόνες αυτοί διασφαλίζουν αποτελεσματική δικαστική προστασία από τέτοιου είδους επεμβάσεις.

4.   ΙΚΑΝΟΠΟΙΗΤΙΚΟ ΕΠΙΠΕΔΟ ΠΡΟΣΤΑΣΙΑΣ ΒΑΣΕΙ ΤΗΣ ΑΣΠΙΔΑΣ ΠΡΟΣΤΑΣΙΑΣ ΤΗΣ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ ΕΕ–ΗΠΑ

(136)

Με βάση τις διαπιστώσεις αυτές, η Επιτροπή θεωρεί ότι οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε αυτοπιστοποιούμενους οργανισμούς στις ΗΠΑ βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ.

(137)

Ειδικότερα, η Επιτροπή θεωρεί ότι οι Αρχές που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ συνολικά εξασφαλίζουν ένα επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που είναι κατ' ουσίαν ισοδύναμο με αυτό που διασφαλίζεται από τις βασικές αρχές που προβλέπονται στην οδηγία 95/46/ΕΚ.

(138)

Επιπλέον, η αποτελεσματική εφαρμογή των Αρχών κατοχυρώνεται με τις υποχρεώσεις διαφάνειας και τη διαχείριση της ασπίδας προστασίας από το Υπουργείο Εμπορίου.

(139)

Επιπλέον, η Επιτροπή θεωρεί ότι, συνολικά, οι μηχανισμοί εποπτείας και προσφυγής που προβλέπονται στην ασπίδα προστασίας αφενός παρέχουν τη δυνατότητα να εντοπίζονται και να τιμωρούνται στην πράξη οι παραβιάσεις των Αρχών από τους οργανισμούς της ασπίδας προστασίας και αφετέρου προσφέρουν ένδικα βοηθήματα στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα ώστε να αποκτά πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που το αφορούν και, εντέλει, να επιτυγχάνει τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(140)

Τέλος, βάσει των διαθέσιμων πληροφοριών σχετικά με την έννομη τάξη των ΗΠΑ, συμπεριλαμβανομένων των δηλώσεων και δεσμεύσεων της κυβέρνησης των ΗΠΑ, η Επιτροπή θεωρεί ότι κάθε επέμβαση εκ μέρους των δημόσιων αρχών των ΗΠΑ στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας για σκοπούς εθνικής ασφάλειας, επιβολής του νόμου ή άλλους σκοπούς δημόσιου συμφέροντος, και των συνακόλουθων περιορισμών που επιβάλλονται στους αυτοπιστοποιούμενους οργανισμούς σε σχέση με την τήρηση από αυτούς των αρχών προστασίας της ιδιωτικής ζωής, θα περιορίζεται στον απολύτως αναγκαίο βαθμό για την επίτευξη του εν λόγω νόμιμου στόχου, και ότι υφίσταται αποτελεσματική δικαστική προστασία από τέτοιου είδους επέμβαση.

(141)

Η Επιτροπή καταλήγει στο συμπέρασμα ότι αυτό πληροί τα πρότυπα του άρθρου 25 της οδηγίας 95/46/ΕΚ, ερμηνευόμενου με βάση τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, όπως έχει διευκρινιστεί από το Δικαστήριο, ιδίως στην απόφαση Schrems.

5.   ΔΡΑΣΗ ΤΩΝ ΑΡΧΩΝ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΚΑΙ ΠΑΡΟΧΗ ΕΝΗΜΕΡΩΣΗΣ ΠΡΟΣ ΤΗΝ ΕΠΙΤΡΟΠΗ

(142)

Στην απόφαση Schrems, το Δικαστήριο διευκρίνισε ότι η Επιτροπή δεν έχει αρμοδιότητα να περιορίσει τις εξουσίες που αντλούν οι ΑΠΔ από το άρθρο 28 της οδηγίας 95/46/ΕΚ (συμπεριλαμβανομένης της εξουσίας αναστολής των διαβιβάσεων δεδομένων) σε περίπτωση που κάποιο πρόσωπο, στο πλαίσιο υποβολής αιτήσεως δυνάμει της εν λόγω διατάξεως, θέτει υπό αμφισβήτηση τη συμβατότητα μιας απόφασης της Επιτροπής περί επάρκειας με την προστασία του θεμελιώδους δικαιώματος της ιδιωτικής ζωής και της προστασίας των δεδομένων (203).

(143)

Προκειμένου να παρακολουθεί αποτελεσματικά τη λειτουργία της ασπίδας προστασίας, η Επιτροπή θα πρέπει να ενημερώνεται από τα κράτη μέλη για τις σχετικές δράσεις που αναλαμβάνουν οι ΑΠΔ.

(144)

Το Δικαστήριο αποφάνθηκε επιπλέον ότι, σύμφωνα με το άρθρο 25 παράγραφος 6 δεύτερο εδάφιο της οδηγίας 95/46/ΕΚ, τα κράτη μέλη και τα όργανά τους πρέπει να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφωθούν με τις πράξεις των θεσμικών οργάνων της Ένωσης, καθώς υπέρ των πράξεων αυτών υφίσταται, καταρχήν, τεκμήριο νομιμότητας, οι πράξεις δε αυτές παράγουν έννομα αποτελέσματα, εφόσον δεν έχουν ανακληθεί, ακυρωθεί κατόπιν προσφυγής ακυρώσεως ή κριθεί ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ενστάσεως ελλείψεως νομιμότητας. Κατά συνέπεια, η απόφαση περί επάρκειας που εκδίδεται από την Επιτροπή δυνάμει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται η εν λόγω απόφαση, συμπεριλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους (204). Σε περίπτωση που μια τέτοια αρχή λάβει καταγγελία που θέτει υπό αμφισβήτηση τη συμμόρφωση μιας απόφασης περί επάρκειας που έχει εκδοθεί από την Επιτροπή με την προστασία του θεμελιώδους δικαιώματος της ιδιωτικής ζωής και την προστασία δεδομένων και κρίνει βάσιμες τις αιτιάσεις που προβάλλονται, το εθνικό δίκαιο πρέπει να παρέχει στην εν λόγω αρχή μέσα ενδίκου προστασίας βάσει των οποίων η οικεία αρχή δύναται να προβάλει τις εν λόγω αιτιάσεις ενώπιον εθνικού δικαστηρίου, το οποίο, σε περίπτωση αμφιβολίας, οφείλει να αναστείλει τη διαδικασία και να υποβάλει προδικαστικό ερώτημα στο Δικαστήριο της Ευρωπαϊκής Ένωσης (205).

6.   ΠΕΡΙΟΔΙΚΗ ΕΠΑΝΕΞΕΤΑΣΗ ΤΗΣ ΔΙΑΠΙΣΤΩΣΗΣ ΕΠΑΡΚΕΙΑΣ ΤΗΣ ΠΡΟΣΤΑΣΙΑΣ

(145)

Όσον αφορά το γεγονός ότι το επίπεδο προστασίας που εξασφαλίζει η έννομη τάξη των ΗΠΑ ενδέχεται να μεταβληθεί, η Επιτροπή, μετά την έκδοση της παρούσας απόφασης, θα ελέγχει ανά τακτά χρονικά διαστήματα αν οι διαπιστώσεις σχετικά με το ικανοποιητικό επίπεδο προστασίας που εξασφαλίζουν οι Ηνωμένες Πολιτείες στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ παραμένουν δικαιολογημένες από πραγματικής και νομικής απόψεως. Η επαλήθευση αυτή είναι, σε κάθε περίπτωση, επιβεβλημένη όταν περιέρχονται στην Επιτροπή οποιεσδήποτε ενδείξεις που προκαλούν δικαιολογημένες αμφιβολίες ως προς το ζήτημα αυτό (206).

(146)

Ως εκ τούτου, η Επιτροπή θα παρακολουθεί συνεχώς το συνολικό πλαίσιο για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα που δημιουργείται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, καθώς και τη συμμόρφωση των αρχών των ΗΠΑ με τις δηλώσεις και τις δεσμεύσεις που περιέχονται στα έγγραφα τα οποία προσαρτώνται στην παρούσα απόφαση. Για τη διευκόλυνση της διαδικασίας αυτής, οι ΗΠΑ έχουν δεσμευτεί να ενημερώνουν την Επιτροπή σχετικά με ουσιώδεις εξελίξεις στο δίκαιο των ΗΠΑ εφόσον άπτονται της ασπίδας προστασίας στον τομέα της προστασίας των δεδομένων και των περιορισμών και των διασφαλίσεων που ισχύουν για την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Επιπλέον, η παρούσα απόφαση θα υπόκειται σε ετήσια κοινή επανεξέταση που θα καλύπτει όλες τις πτυχές της λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, συμπεριλαμβανομένης της εφαρμογής των εξαιρέσεων από τις Αρχές για λόγους εθνικής ασφάλειας και επιβολής του νόμου. Επιπροσθέτως, εφόσον η διαπίστωση περί επάρκειας της προστασίας μπορεί επίσης να επηρεαστεί από τις νομικές εξελίξεις στο δίκαιο της Ένωσης, η Επιτροπή θα αξιολογεί το επίπεδο προστασίας που παρέχει η ασπίδα προστασίας μετά την έναρξη ισχύος του ΓΚΠΔ.

(147)

Για τη διενέργεια της ετήσιας κοινής επανεξέτασης που αναφέρεται στα παραρτήματα I, II και VI, η Επιτροπή θα συμμετέχει σε συνεδριάσεις με το Υπουργείο Εμπορίου και την FTC, με τη συνοδεία, εφόσον είναι σκόπιμο, και άλλων υπουργείων και υπηρεσιών που εμπλέκονται στην εφαρμογή των ρυθμίσεων της ασπίδας προστασίας, καθώς και, όσον αφορά ζητήματα που άπτονται της εθνικής ασφάλειας, εκπροσώπων του ODNI, άλλων μονάδων της κοινότητας των υπηρεσιών πληροφοριών και του Διαμεσολαβητή της ασπίδας προστασίας. Στις εν λόγω συνεδριάσεις θα έχουν δυνατότητα συμμετοχής και οι ΑΠΔ της ΕΕ καθώς και εκπρόσωποι της ομάδας εργασίας του άρθρου 29.

(148)

Στο πλαίσιο της ετήσιας κοινής επανεξέτασης, η Επιτροπή θα ζητεί από το Υπουργείο Εμπορίου να παράσχει ολοκληρωμένη πληροφόρηση σχετικά με όλες τις σχετικές πτυχές της λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, συμπεριλαμβανομένων των παραπομπών τις οποίες έχει λάβει το Υπουργείο Εμπορίου από τις ΑΠΔ και των αποτελεσμάτων των αυτεπάγγελτων ελέγχων συμμόρφωσης. Η Επιτροπή θα ζητεί επίσης διευκρινίσεις σχετικά με τυχόν ερωτήματα ή ζητήματα που αφορούν την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ και τη λειτουργία της, τα οποία απορρέουν από κάθε διαθέσιμη πληροφορία, συμπεριλαμβανομένων των εκθέσεων διαφάνειας που προβλέπονται βάσει του νόμου USA FREEDOM Act, των δημόσιων εκθέσεων των εθνικών υπηρεσιών πληροφοριών των ΗΠΑ, των ΑΠΔ, ομάδων προστασίας της ιδιωτικής ζωής, αναφορών των μέσων ενημέρωσης ή από κάθε άλλη πιθανή πηγή. Επιπλέον, για να διευκολύνουν το έργο της Επιτροπής εν προκειμένω, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για περιπτώσεις στις οποίες οι ενέργειες των φορέων που είναι αρμόδιοι για τη διασφάλιση της συμμόρφωσης με τις Αρχές στις ΗΠΑ δεν κατοχυρώνουν τη συμμόρφωση, καθώς και για τυχόν ενδείξεις ότι οι ενέργειες των δημόσιων αρχών των ΗΠΑ που είναι αρμόδιες για την εθνική ασφάλεια ή την πρόληψη, διερεύνηση, εξακρίβωση ή δίωξη ποινικών αδικημάτων δεν εξασφαλίζουν το απαιτούμενο επίπεδο προστασίας.

(149)

Βάσει της ετήσιας κοινής επανεξέτασης, η Επιτροπή θα καταρτίζει δημόσια έκθεση που θα υποβάλλεται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

7.   ΑΝΑΣΤΟΛΗ ΤΗΣ ΑΠΟΦΑΣΗΣ ΠΕΡΙ ΕΠΑΡΚΕΙΑΣ

(150)

Εάν, βάσει των ελέγχων ή οποιωνδήποτε άλλων διαθέσιμων πληροφοριών, η Επιτροπή καταλήξει στο συμπέρασμα ότι το επίπεδο προστασίας που προσφέρει η ασπίδα προστασίας δεν μπορεί πλέον να θεωρείται ουσιαστικά ισοδύναμο με αυτό το οποίο παρέχει η Ένωση, ή εάν υπάρχουν σαφείς ενδείξεις ότι ενδέχεται να μην διασφαλίζεται πλέον η αποτελεσματική συμμόρφωση με τις Αρχές στις ΗΠΑ, ή ότι οι ενέργειες των δημόσιων αρχών των ΗΠΑ που είναι αρμόδιες για την εθνική ασφάλεια ή την πρόληψη, τη διερεύνηση, την εξακρίβωση ή τη δίωξη ποινικών αδικημάτων δεν εξασφαλίζουν το απαιτούμενο επίπεδο προστασίας, θα ενημερώνει σχετικά το Υπουργείο Εμπορίου και θα ζητεί τη λήψη κατάλληλων μέτρων για την άμεση αντιμετώπιση τυχόν έλλειψης συμμόρφωσης με τις Αρχές εντός καθορισμένου, εύλογου χρονικού πλαισίου. Εάν, μετά την εκπνοή της καθορισμένης προθεσμίας, οι αρχές των ΗΠΑ δεν καταδείξουν με ικανοποιητικό τρόπο ότι η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ εξακολουθεί να εγγυάται αποτελεσματική συμμόρφωση και επαρκές επίπεδο προστασίας, η Επιτροπή θα κινεί τη διαδικασία που οδηγεί στη μερική ή πλήρη αναστολή ή κατάργηση της παρούσας απόφασης (207). Εναλλακτικά, η Επιτροπή μπορεί να προτείνει την τροποποίηση της παρούσας απόφασης, για παράδειγμα περιορίζοντας το πεδίο εφαρμογής της διαπίστωσης επάρκειας της προστασίας μόνο στις διαβιβάσεις δεδομένων που υπόκεινται σε πρόσθετες προϋποθέσεις.

(151)

Ειδικότερα, η Επιτροπή θα κινεί τη διαδικασία αναστολής ή κατάργησης σε περίπτωση:

α)

ενδείξεων ότι οι αρχές των ΗΠΑ δεν συμμορφώνονται με τις δηλώσεις και δεσμεύσεις που περιέχονται στα έγγραφα τα οποία προσαρτώνται στην παρούσα απόφαση ως παραρτήματα, μεταξύ άλλων και όσον αφορά τις προϋποθέσεις και τους περιορισμούς πρόσβασης των δημόσιων αρχών των ΗΠΑ για σκοπούς επιβολής του νόμου, εθνικής ασφάλειας και άλλους σκοπούς δημόσιου συμφέροντος σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας·

β)

παράλειψης αποτελεσματικής αντιμετώπισης των καταγγελιών που υποβάλλονται από πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα· εν προκειμένω, η Επιτροπή θα λαμβάνει υπόψη όλες τις περιστάσεις που έχουν αντίκτυπο στη δυνατότητα των προσώπων από την ΕΕ στα οποία αναφέρονται τα δεδομένα να ασκούν τα δικαιώματά τους, συμπεριλαμβανομένης, ειδικότερα, της οικειοθελούς δέσμευσης εκ μέρους των αυτοπιστοποιούμενων εταιρειών των ΗΠΑ να συνεργάζονται με τις ΑΠΔ και να ακολουθούν τις συμβουλές τους· ή

γ)

παράλειψης εκ μέρους του Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής όσον αφορά την έγκαιρη και κατάλληλη ανταπόκριση σε αιτήματα που υποβάλλονται από πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα.

(152)

Η Επιτροπή θα εξετάζει επίσης το ενδεχόμενο κίνησης της διαδικασίας που οδηγεί στην τροποποίηση, την αναστολή ή την κατάργηση της παρούσας απόφασης εάν, στο πλαίσιο της ετήσιας κοινής επανεξέτασης της λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ ή με άλλον τρόπο, το Υπουργείο Εμπορίου ή άλλα υπουργεία ή υπηρεσίες που εμπλέκονται στην εφαρμογή της ασπίδας προστασίας ή, όσον αφορά ζητήματα που άπτονται της εθνικής ασφάλειας, οι εκπρόσωποι της κοινότητας των υπηρεσιών πληροφοριών των ΗΠΑ ή ο Διαμεσολαβητής της ασπίδας προστασίας, δεν παράσχουν πληροφορίες ή διευκρινίσεις που είναι απαραίτητες για την αξιολόγηση της συμμόρφωσης με τις αρχές προστασίας της ιδιωτικής ζωής, της αποτελεσματικότητας των διαδικασιών χειρισμού καταγγελιών ή οποιασδήποτε μείωσης του απαιτούμενου επιπέδου προστασίας συνεπεία ενεργειών των εθνικών υπηρεσιών πληροφοριών των ΗΠΑ, και ειδικότερα ως συνέπεια της συλλογής και/ή της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που δεν περιορίζονται στον απολύτως αναγκαίο και αναλογικό βαθμό. Εν προκειμένω, η Επιτροπή θα λάβει υπόψη τον βαθμό στον οποίο οι σχετικές πληροφορίες μπορούν να ληφθούν από άλλες πηγές, μεταξύ άλλων και μέσω της υποβολής εκθέσεων από αυτοπιστοποιούμενες εταιρείες των ΗΠΑ όπως προβλέπεται δυνάμει του νόμου USA FREEDOM Act.

(153)

Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, δημοσίευσε τη γνώμη της σχετικά με το επίπεδο προστασίας που παρέχει η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ (208), η οποία γνώμη ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(154)

Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε ψήφισμα σχετικά με τις διατλαντικές ροές δεδομένων (209).

(155)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε δυνάμει του άρθρου 31 παράγραφος 1 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

1.   Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ.

2.   Η ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ συνίσταται στις Αρχές που εκδόθηκαν από το Υπουργείο Εμπορίου των ΗΠΑ στις 7 Ιουλίου 2016, όπως παρατίθενται στο παράρτημα II, καθώς και στις επίσημες δηλώσεις και δεσμεύσεις που περιλαμβάνονται στα έγγραφα που απαριθμούνται στο παράρτημα I και στα παραρτήματα III έως VII.

3.   Για τον σκοπό της παραγράφου 1, η διαβίβαση δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ όταν τα δεδομένα διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ που περιλαμβάνονται στον «κατάλογο της ασπίδας προστασίας», ο οποίος τηρείται και δημοσιοποιείται από το Υπουργείο Εμπορίου των ΗΠΑ, σύμφωνα με τα τμήματα I και III των Αρχών που παρατίθενται στο παράρτημα II.

Άρθρο 2

Η παρούσα απόφαση δεν επηρεάζει την εφαρμογή των διατάξεων της οδηγίας 95/46/ΕΚ, πλην του άρθρου 25 παράγραφος 1, που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, και ιδίως του άρθρου 4 της οδηγίας.

Άρθρο 3

Όταν οι αρμόδιες αρχές στα κράτη μέλη ασκούν τις εξουσίες τους δυνάμει του άρθρου 28 παράγραφος 3 της οδηγίας 95/46/ΕΚ, με αποτέλεσμα την αναστολή ή οριστική απαγόρευση των ροών δεδομένων προς έναν οργανισμό στις Ηνωμένες Πολιτείες της Αμερικής ο οποίος περιλαμβάνεται στον κατάλογο της ασπίδας προστασίας σύμφωνα με τα τμήματα I και III των Αρχών που παρατίθενται στο παράρτημα II, προκειμένου να προστατεύουν τα φυσικά πρόσωπα από την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, το οικείο κράτος μέλος ενημερώνει αμελλητί την Επιτροπή.

Άρθρο 4

1.   Η Επιτροπή θα παρακολουθεί συνεχώς τη λειτουργία της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ με σκοπό να αξιολογεί αν οι Ηνωμένες Πολιτείες της Αμερικής εξακολουθούν να εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ βάσει της ασπίδας προστασίας.

2.   Τα κράτη μέλη και η Επιτροπή αλληλοενημερώνονται σχετικά με περιπτώσεις στις οποίες φαίνεται ότι οι κρατικοί φορείς στις ΗΠΑ στους οποίους έχει ανατεθεί διά του νόμου η εξουσία επιβολής της συμμόρφωσης με τις Αρχές που παρατίθενται στο παράρτημα II δεν παρέχουν αποτελεσματικούς μηχανισμούς εντοπισμού και εποπτείας που να καθιστούν δυνατή την αναγνώριση και έμπρακτη τιμωρία των παραβιάσεων των Αρχών.

3.   Τα κράτη μέλη και η Επιτροπή αλληλοενημερώνονται σχετικά με τυχόν ενδείξεις ότι οι επεμβάσεις εκ μέρους δημόσιων αρχών των ΗΠΑ που είναι αρμόδιες για την εθνική ασφάλεια, την επιβολή του νόμου ή άλλα δημόσια συμφέροντα στο δικαίωμα των φυσικών προσώπων για προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν υπερβαίνουν τον απολύτως αναγκαίο βαθμό και/ή ότι δεν υπάρχει αποτελεσματική δικαστική προστασία από τέτοιου είδους επεμβάσεις.

4.   Εντός ενός έτους από την ημερομηνία κοινοποίησης της παρούσας απόφασης στα κράτη μέλη και εν συνεχεία σε ετήσια βάση, η Επιτροπή θα αξιολογεί τη διαπίστωση του άρθρου 1 παράγραφος 1 βάσει όλων των διαθέσιμων πληροφοριών, συμπεριλαμβανομένων των πληροφοριών που λαμβάνονται στο πλαίσιο της ετήσιας κοινής επανεξέτασης που αναφέρεται στα παραρτήματα I, II και VI.

5.   Η Επιτροπή θα υποβάλλει τυχόν σχετικές διαπιστώσεις της στην επιτροπή που έχει συσταθεί δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ.

6.   Η Επιτροπή θα υποβάλλει σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 παράγραφος 2 της οδηγίας 95/46/ΕΚ με στόχο την αναστολή, τροποποίηση ή κατάργηση της παρούσας απόφασης ή τον περιορισμό του πεδίου εφαρμογής της, μεταξύ άλλων, όταν υφίστανται ενδείξεις:

ότι οι δημόσιες αρχές των ΗΠΑ δεν συμμορφώνονται με τις δηλώσεις και δεσμεύσεις που περιέχονται στα έγγραφα τα οποία προσαρτώνται στην παρούσα απόφαση ως παραρτήματα, μεταξύ άλλων και όσον αφορά τις προϋποθέσεις και τους περιορισμούς πρόσβασης των δημόσιων αρχών των ΗΠΑ για σκοπούς επιβολής του νόμου, εθνικής ασφάλειας και άλλους σκοπούς δημόσιου συμφέροντος σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται βάσει της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ·

συστηματικής παράλειψης αποτελεσματικής αντιμετώπισης των καταγγελιών που υποβάλλονται από πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα· ή

συστηματικής παράλειψης εκ μέρους του Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής όσον αφορά την έγκαιρη και κατάλληλη ανταπόκριση σε αιτήματα που υποβάλλονται από πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα όπως απαιτείται βάσει του τμήματος 4 στοιχείο ε) του παραρτήματος III.

Η Επιτροπή θα υποβάλλει επίσης το εν λόγω σχέδιο μέτρων σε περίπτωση κατά την οποία η έλλειψη συνεργασίας των φορέων που εμπλέκονται στη διασφάλιση της λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ στις Ηνωμένες Πολιτείες εμποδίζει την Επιτροπή να προσδιορίσει αν επηρεάζεται η διαπίστωση που διατυπώνεται στο άρθρο 1 παράγραφος 1.

Άρθρο 5

Τα κράτη μέλη λαμβάνουν όλα τα αναγκαία μέτρα για να συμμορφωθούν με την παρούσα απόφαση.

Άρθρο 6

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 12 Ιουλίου 2016.

Για την Επιτροπή

Věra JOUROVÁ

Μέλος της Επιτροπής


(1)  ΕΕ L 281 της 23.11.1995, σ. 31.

(2)  Βλέπε γνώμη 4/2016 σχετικά με το σχέδιο απόφασης περί επάρκειας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, που δημοσιεύτηκε στις 30 Μαΐου 2016.

(3)  Υπόθεση C-362/14, Maximillian Schrems κατά Data Protection Commissioner («Schrems»), EU:C:2015:650, σκέψη 39.

(4)  Υπόθεση C-553/07, College van burgemeester en wethouders van Rotterdam κατά E. E. Rijkeboer, EU:C:2009:293, σκέψη 47· συνεκδικασθείσες υποθέσεις C-293/12 και C-594/12, Digital Rights Ireland Ltd κατά Minister for Communications, Marine and Natural Resources και λοιπών και Kärntner Landesregierung κ.λπ., EU:C:2014:238, σκέψη 53· υπόθεση C-131/12, Google Spain SL και Google Inc. κατά Agencia Española de Protección de Datos (AEPD) και Mario Costeja González, EU:C:2014:317, σκέψεις 53, 66 και 74.

(5)  Απόφαση 2000/520/ΕΚ της Επιτροπής, της 26ης Ιουλίου 2000, βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας που παρέχεται από τις αρχές ασφαλούς λιμένα για την προστασία της ιδιωτικής ζωής και τις συναφείς συχνές ερωτήσεις που εκδίδονται από το Υπουργείο Εμπορίου των ΗΠΑ (ΕΕ L 215 της 28.8.2000, σ. 7).

(6)  Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, Αποκατάσταση της εμπιστοσύνης στις ροές δεδομένων μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής, COM(2013) 846 final της 27ης Νοεμβρίου 2013.

(7)  Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο όσον αφορά τη λειτουργία του ασφαλούς λιμένα από τη σκοπιά των πολιτών της Ένωσης και των εταιρειών που είναι εγκατεστημένες στην ΕΕ, COM(2013) 847 final της 27ης Νοεμβρίου 2013.

(8)  Βλέπε π.χ. Συμβούλιο της Ευρωπαϊκής Ένωσης, Τελική έκθεση της ομάδας επαφής υψηλού επιπέδου ΕΕ–ΗΠΑ για την ανταλλαγή πληροφοριών και την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα, Σημείωμα 9831/08, 28 Μαΐου 2008, διατίθεται στο διαδίκτυο στην ακόλουθη διεύθυνση: http://www.europarl.europa.eu/document/activities/cont/201010/20101019ATT88359/20101019ATT88359EN.pdf.

(9)  Έκθεση σχετικά με τα πορίσματα των συμπροέδρων της ΕΕ της ad hoc ομάδας εργασίας ΕΕ–ΗΠΑ για την προστασία των δεδομένων, 27 Νοεμβρίου 2013, διατίθεται στο διαδίκτυο στην ακόλουθη διεύθυνση: http://ec.europa.eu/justice/data-protection/files/report-findings-of-the-ad-hoc-eu-us-working-group-on-data-protection.pdf.

(10)  Βλέπε υποσημείωση 3.

(11)  Απόφαση Schrems, σκέψη 97.

(12)  Απόφαση Schrems, σκέψεις 73-74.

(13)  Απόφαση Schrems, σκέψεις 88-89.

(14)  Βλέπε παράρτημα II τμήμα III παράγραφος 10 στοιχείο α. Σύμφωνα με τον ορισμό που παρατίθεται στο τμήμα I παράγραφος 8 στοιχείο γ), ο υπεύθυνος επεξεργασίας της ΕΕ θα καθορίζει τον σκοπό και τα μέσα επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Επιπλέον, η σύμβαση με τον αντιπρόσωπο πρέπει να καθιστά σαφές αν επιτρέπονται οι περαιτέρω διαβιβάσεις (βλέπε τμήμα III παράγραφος 10 στοιχείο α σημείο ii περίπτωση 2).

(15)  Αυτό ισχύει επίσης και στην περίπτωση διαβίβασης δεδομένων ανθρώπινου δυναμικού από την Ένωση στο πλαίσιο εργασιακής σχέσης. Παρότι στις Αρχές τονίζεται η «πρωταρχική ευθύνη» του εργοδότη της ΕΕ (βλέπε παράρτημα II τμήμα III παράγραφος 9 στοιχείο δ σημείο i), καθίσταται ταυτόχρονα σαφές ότι η συμπεριφορά του θα καλύπτεται από τους κανόνες που είναι εφαρμοστέοι στην Ένωση και/ή στο αντίστοιχο κράτος μέλος και όχι από τις Αρχές. Βλέπε παράρτημα II τμήμα III παράγραφος 9 στοιχείο α σημείο i, στοιχείο β σημείο ii, στοιχείο γ σημείο i, στοιχείο δ σημείο i.

(16)  Αυτό ισχύει επίσης για την επεξεργασία που πραγματοποιείται μέσω της χρήσης εξοπλισμού που βρίσκεται στην Ένωση αλλά χρησιμοποιείται από οργανισμό που είναι εγκατεστημένος εκτός της Ένωσης (βλέπε άρθρο 4 παράγραφος 1 στοιχείο γ) της οδηγίας 95/46/ΕΚ). Από τις 25 Μαΐου 2018, ο γενικός κανονισμός για την προστασία των δεδομένων (ΓΚΠΔ) θα εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα i) στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση (ακόμη και στην περίπτωση που η επεξεργασία πραγματοποιείται στις Ηνωμένες Πολιτείες), ή ii) προσώπων στα οποία αναφέρονται τα δεδομένα τα οποία βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση εάν οι δραστηριότητες επεξεργασίας σχετίζονται με α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα, ανεξαρτήτως εάν απαιτείται πληρωμή από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα· ή β) την παρακολούθηση της συμπεριφοράς τους στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης. Βλέπε άρθρο 3 παράγραφοι 1 και 2 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός κανονισμός για την Προστασία Δεδομένων), ΕΕ L 119 της 4.5.2016, σ. 1.

(17)  Η παρούσα απόφαση παρουσιάζει ενδιαφέρον για τον ΕΟΧ. Η συμφωνία για τον Ευρωπαϊκό Οικονομικό Χώρο (συμφωνία ΕΟΧ) προβλέπει την επέκταση της εσωτερικής αγοράς της Ευρωπαϊκής Ένωσης στα τρία κράτη του ΕΟΧ, την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία. Η νομοθεσία της Ένωσης για την προστασία των δεδομένων, συμπεριλαμβανομένης της οδηγίας 95/46/ΕΚ, καλύπτεται από τη συμφωνία ΕΟΧ και έχει ενσωματωθεί στο παράρτημα XI αυτής. Η Μεικτή Επιτροπή του ΕΟΧ πρέπει να αποφασίσει για την ενσωμάτωση της παρούσας απόφασης στη συμφωνία ΕΟΧ. Εφόσον η παρούσα απόφαση θα εφαρμόζεται στην Ισλανδία, στο Λιχτενστάιν και στη Νορβηγία, η ασπίδα προστασίας ΕΕ–ΗΠΑ θα καλύπτει επίσης τις τρεις αυτές χώρες και οι αναφορές στην ΕΕ και στα κράτη μέλη που περιλαμβάνονται στη δέσμη εγγράφων της ασπίδας προστασίας θα πρέπει να νοούνται ως ότι περιλαμβάνουν την Ισλανδία, το Λιχτενστάιν και τη Νορβηγία.

(18)  Βλέπε παράρτημα II τμήμα III παράγραφος 6 στοιχείο ε.

(19)  Εφαρμόζονται ειδικοί κανόνες που προβλέπουν πρόσθετες διασφαλίσεις για τα δεδομένα ανθρώπινου δυναμικού που συλλέγονται στο πλαίσιο της απασχόλησης κατά τα οριζόμενα στη συμπληρωματική αρχή σχετικά με τα «δεδομένα ανθρώπινου δυναμικού» των αρχών προστασίας της ιδιωτικής ζωής (βλέπε παράρτημα II τμήμα III παράγραφος 9). Για παράδειγμα, οι εργοδότες θα πρέπει να λαμβάνουν υπόψη τους τις προτιμήσεις των εργαζομένων όσον αφορά την ιδιωτική τους ζωή, με τον περιορισμό της πρόσβασης στα δεδομένα προσωπικού χαρακτήρα, την ανωνυμοποίηση ορισμένων δεδομένων ή την καταγραφή βάσει κωδικών ή ψευδωνύμων. Το κυριότερο είναι ότι, όσον αφορά τα εν λόγω δεδομένα, οι οργανισμοί οφείλουν να συνεργάζονται και να συμμορφώνονται με τις συμβουλές των αρχών προστασίας των δεδομένων της Ένωσης.

(20)  Αυτό ισχύει για όλες τις διαβιβάσεις δεδομένων στο πλαίσιο της ασπίδας προστασίας, συμπεριλαμβανομένων των περιπτώσεων όπου οι διαβιβάσεις αυτές αφορούν δεδομένα που συλλέγονται μέσω εργασιακής σχέσης. Παρότι οι αυτοπιστοποιούμενοι οργανισμοί των ΗΠΑ δύνανται καταρχήν να χρησιμοποιούν τα δεδομένα ανθρώπινου δυναμικού για διαφορετικούς, μη σχετικούς με την απασχόληση, σκοπούς (π.χ. ορισμένες ανακοινώσεις εμπορικής προώθησης), πρέπει να σέβονται την απαγόρευση περί ασυμβίβαστης επεξεργασίας και επιπλέον δύνανται να το πράττουν μόνο σύμφωνα με τις αρχές της κοινοποίησης και της επιλογής. Η απαγόρευση που ισχύει για τους οργανισμούς των ΗΠΑ όσον αφορά την επιβολή κυρώσεων σε υπάλληλο για την άσκηση της εν λόγω επιλογής, συμπεριλαμβανομένου του περιορισμού των ευκαιριών απασχόλησης, θα διασφαλίζει ότι, παρά τη σχέση εγγενούς εξάρτησης, ο υπάλληλος δεν θα υφίσταται πιέσεις και, ως εκ τούτου, θα μπορεί πράγματι να ασκεί το δικαίωμα της ελεύθερης επιλογής.

(21)  Βλέπε παράρτημα II τμήμα III παράγραφος 12.

(22)  Βλέπε επίσης τη συμπληρωματική αρχή της «πρόσβασης» (παράρτημα II τμήμα III παράγραφος 8).

(23)  Βλέπε, π.χ., τον νόμο περί ίσων ευκαιριών στη λήψη πίστωσης (Equal Credit Opportunity Act, ECOA, 15 U.S.C. 1691 και επόμενα), τον νόμο περί δίκαιης αναφοράς πιστοληπτικής ικανότητας (Fair Credit Reporting Act, FRCA, 15 USC § 1681 και επόμενα) ή τον νόμο περί δίκαιης στέγασης (Fair Housing Act, FHA, 42 U.S.C. 3601 και επόμενα).

(24)  Στο πλαίσιο διαβίβασης δεδομένων προσωπικού χαρακτήρα που έχουν συλλεγεί στην ΕΕ, η συμβατική σχέση με τον ιδιώτη (πελάτη) στις περισσότερες περιπτώσεις θα έχει συναφθεί από —και, κατά συνέπεια, κάθε απόφαση βάσει αυτοματοποιημένης επεξεργασίας θα λαμβάνεται συνήθως από— τον υπεύθυνο επεξεργασίας της ΕΕ ο οποίος πρέπει να τηρεί τους κανόνες της ΕΕ για την προστασία δεδομένων. Αυτό περιλαμβάνει σενάρια στα οποία η επεξεργασία διενεργείται από οργανισμό της ασπίδας προστασίας που ενεργεί ως αντιπρόσωπος εξ ονόματος υπευθύνου επεξεργασίας της ΕΕ.

(25)  Βλέπε επίσης τη συμπληρωματική αρχή της «επίλυσης διαφορών και επιβολής» (παράρτημα II τμήμα III παράγραφος 11).

(26)  Βλέπε επίσης τη συμπληρωματική αρχή της «αυτοπιστοποίησης» (παράρτημα II τμήμα III παράγραφος 6).

(27)  Βλέπε επίσης τη συμπληρωματική αρχή της «επαλήθευσης» (παράρτημα II, τμήμα III παράγραφος 7).

(28)  Βλέπε επίσης τη συμπληρωματική αρχή για τις «υποχρεωτικές συμβάσεις για περαιτέρω διαβιβάσεις» (παράρτημα II τμήμα III παράγραφος 10).

(29)  Βλέπε επίσης τη συμπληρωματική αρχή για τις «υποχρεωτικές συμβάσεις για περαιτέρω διαβιβάσεις» (παράρτημα II τμήμα III παράγραφος 10 στοιχείο β). Παρότι η αρχή αυτή επιτρέπει τις διαβιβάσεις και βάσει μη συμβατικών μέσων (π.χ. ενδοομιλικά προγράμματα συμμόρφωσης και ελέγχου), το κείμενο καθιστά σαφές ότι τα μέσα αυτά πρέπει σε κάθε περίπτωση να διασφαλίζουν «τη συνέχεια της προστασίας των πληροφοριών προσωπικού χαρακτήρα βάσει των Αρχών». Επιπλέον, δεδομένου ότι ο αυτοπιστοποιούμενος οργανισμός των ΗΠΑ θα εξακολουθεί να είναι υπεύθυνος για τη συμμόρφωση με τις Αρχές, θα έχει ισχυρό κίνητρο να χρησιμοποιεί τα μέσα που αποφέρουν όντως αποτελέσματα στην πράξη.

(30)  Βλέπε παράρτημα II τμήμα I παράγραφος 5.

(31)  Τα πρόσωπα δεν θα έχουν δικαίωμα εξαίρεσης από τα δεδομένα στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από τρίτο που ενεργεί ως αντιπρόσωπος ο οποίος εκτελεί καθήκοντα εξ ονόματος και βάσει των οδηγιών του οργανισμού των ΗΠΑ. Ωστόσο, αυτό απαιτεί την ύπαρξη σύμβασης με τον αντιπρόσωπο και ο οργανισμός των ΗΠΑ θα φέρει την ευθύνη για τη διασφάλιση των ρυθμίσεων προστασίας που προβλέπονται βάσει των Αρχών ασκώντας τις εξουσίες του περί παροχής οδηγιών.

(32)  Η κατάσταση είναι διαφορετική ανάλογα με το αν ο τρίτος είναι υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία (αντιπρόσωπος). Στην πρώτη περίπτωση, στη σύμβαση με τον τρίτο πρέπει να προβλέπεται ότι ο τελευταίος διακόπτει την επεξεργασία ή λαμβάνει άλλα εύλογα και κατάλληλα μέτρα για την επανόρθωση της κατάστασης. Στη δεύτερη περίπτωση, πρέπει ο οργανισμός της ασπίδας προστασίας, καθώς πρόκειται για τον οργανισμό που ελέγχει την επεξεργασία και υπό τις οδηγίες του οποίου ενεργεί ο αντιπρόσωπος, να λάβει τα μέτρα αυτά.

(33)  Στην περίπτωση αυτή, ο οργανισμός των ΗΠΑ πρέπει επίσης να λάβει εύλογα και κατάλληλα μέτρα i) για να διασφαλίσει ότι ο αντιπρόσωπος επεξεργάζεται τις πληροφορίες προσωπικού χαρακτήρα που διαβιβάζονται κατά τρόπο συνεπή με τις υποχρεώσεις του οργανισμού δυνάμει των Αρχών και ii) για να εξασφαλίσει τη διακοπή και την αποκατάσταση της μη εγκεκριμένης επεξεργασίας, κατόπιν κοινοποίησης.

(34)  Πληροφορίες σχετικά με τη διαχείριση του καταλόγου της ασπίδας προστασίας διατίθενται στα παραρτήματα I και II (τμήμα I παράγραφος 3, τμήμα I παράγραφος 4, τμήμα III παράγραφος 6 στοιχείο δ και τμήμα III παράγραφος 11 στοιχείο ζ).

(35)  Βλέπε π.χ. παράρτημα II τμήμα I παράγραφος 3, τμήμα III παράγραφος 6 στοιχείο στ και τμήμα III παράγραφος 11 στοιχείο ζ σημείο i.

(36)  Βλέπε παράρτημα I, τμήμα σχετικά με την «αναζήτηση και αντιμετώπιση ψευδών ισχυρισμών περί συμμετοχής».

(37)  Βλέπε παράρτημα II τμήμα III παράγραφος 6 στοιχείο η και τμήμα III παράγραφος 11 στοιχείο στ.

(38)  Βλέπε παράρτημα I.

(39)  Πρόκειται για την αρχή χειρισμού η οποία ορίζεται από τον φορέα των ΑΠΔ που προβλέπεται στη συμπληρωματική αρχή σχετικά με τον «ρόλο των αρχών προστασίας των δεδομένων» (παράρτημα II τμήμα III παράγραφος 5).

(40)  Η ετήσια έκθεση πρέπει να περιλαμβάνει: 1) τον συνολικό αριθμό καταγγελιών που σχετίζονται με την ασπίδα προστασίας και ελήφθησαν κατά τη διάρκεια του έτους αναφοράς· 2) τα είδη των καταγγελιών που ελήφθησαν· 3) δείκτες μέτρησης ποιότητας της επίλυσης διαφορών, όπως το χρονικό διάστημα που απαιτείται για τη διεκπεραίωση των καταγγελιών· και 4) την έκβαση των καταγγελιών που ελήφθησαν, κυρίως τον αριθμό και τα είδη των μέσων έννομης προστασίας ή των κυρώσεων που επιβλήθηκαν.

(41)  Βλέπε παράρτημα II τμήμα III παράγραφος 11 στοιχείο ε.

(42)  Βλέπε παράρτημα II τμήμα III παράγραφος 11 στοιχείο ζ, ιδίως τα σημεία ii) και iii).

(43)  Βλέπε παράρτημα I, τμήμα σχετικά με την «αναζήτηση και αντιμετώπιση ψευδών ισχυρισμών περί συμμετοχής».

(44)  Ο εσωτερικός κανονισμός του άτυπου φορέα των ΑΠΔ θα πρέπει να συγκροτηθεί από τις ΑΠΔ βάσει της αρμοδιότητάς τους να οργανώνουν τις εργασίες τους και να συνεργάζονται μεταξύ τους.

(45)  Βλέπε παράρτημα I, τμήματα σχετικά με την «αύξηση της συνεργασίας με τις ΑΠΔ» και τη «διευκόλυνση της επίλυσης καταγγελιών περί μη συμμόρφωσης» και παράρτημα II τμήμα II παράγραφος 7 στοιχείο ε.

(46)  Βλέπε παράρτημα IV, σ. 6.

(47)  ό.π.

(48)  Βλέπε παράρτημα I, τμήμα σχετικά με τη «διευκόλυνση της επίλυσης καταγγελιών περί μη συμμόρφωσης».

(49)  Ένας οργανισμός της ασπίδας προστασίας πρέπει να δηλώσει δημοσίως τη δέσμευσή του να συμμορφώνεται με τις Αρχές, να δημοσιεύσει τις οικείες πολιτικές προστασίας της ιδιωτικής ζωής σύμφωνα με τις εν λόγω Αρχές και να τις εφαρμόζει πλήρως. Μη συμμόρφωση με τις Αρχές συνεπάγεται επιβολή κυρώσεων δυνάμει του τμήματος 5 του νόμου περί της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission Act) το οποίο απαγορεύει τις αθέμιτες και δόλιες ενέργειες στο εμπόριο ή που θίγουν το εμπόριο.

(50)  Σύμφωνα με τις πληροφορίες από την FTC, η FTC δεν διαθέτει αρμοδιότητες για τη διενέργεια επιτόπιων επιθεωρήσεων στον τομέα της προστασίας της ιδιωτικής ζωής. Ωστόσο έχει την εξουσία να υποχρεώνει τους οργανισμούς να προσκομίζουν έγγραφα και να παρέχουν καταθέσεις μαρτύρων (βλέπε τμήμα 20 του νόμου περί της FTC) και δύναται να χρησιμοποιήσει το δικαστικό σύστημα για να επιβάλει τις διαταγές σε περίπτωση μη συμμόρφωσης.

(51)  Οι διαταγές της FTC ή οι δικαστικές διαταγές μπορούν να υποχρεώνουν τις εταιρείες να εφαρμόζουν προγράμματα προστασίας της ιδιωτικής ζωής και να υποβάλλουν τακτικά στην FTC εκθέσεις συμμόρφωσης ή ανεξάρτητες αξιολογήσεις τρίτων για τα εν λόγω προγράμματα.

(52)  Βλέπε παράρτημα II τμήμα II παράγραφος 1 σημείο xi και τμήμα III παράγραφος 7 στοιχείο γ.

(53)  Ο αριθμός των διαιτητών της επιτροπής θα πρέπει να συμφωνείται μεταξύ των μερών.

(54)  Ωστόσο, η επιτροπή μπορεί να αποφανθεί ότι, στο πλαίσιο των περιστάσεων της συγκεκριμένης διαδικασίας διαιτησίας, η κάλυψη θα συνεπαγόταν αδικαιολόγητο ή δυσανάλογο κόστος.

(55)  Οι ιδιώτες δεν επιτρέπεται να διεκδικούν αποζημίωση στο πλαίσιο της διαιτησίας· ωστόσο, η επίκληση της διαιτησίας δεν αποκλείει τη δυνατότητα διεκδίκησης αποζημίωσης στα τακτικά δικαστήρια των ΗΠΑ.

(56)  Ο Διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών (DNI) αποτελεί τον επικεφαλής της κοινότητας των υπηρεσιών πληροφοριών και ενεργεί ως κύριος σύμβουλος του Προέδρου και του Συμβουλίου Εθνικής Ασφάλειας (National Security Council — NSC) των ΗΠΑ. Βλέπε τον νόμο περί μεταρρύθμισης των υπηρεσιών πληροφοριών και πρόληψης της τρομοκρατίας (Intelligence Reform and Terrorism Prevention Act) του 2004, Pub. L. 108-458 της 17.12.2004. Μεταξύ άλλων, το ODNI καθορίζει απαιτήσεις, διαχειρίζεται και διευθύνει την ανάθεση, συλλογή, ανάλυση, παραγωγή και διάδοση εθνικών πληροφοριών ασφαλείας από την κοινότητα των υπηρεσιών πληροφοριών, μεταξύ άλλων και μέσω της κατάρτισης κατευθυντήριων γραμμών για τον τρόπο πρόσβασης, χρήσης και ανταλλαγής στοιχείων ή πληροφοριών ασφαλείας. Βλέπε τμήμα 1.3 (a), (b) του εκτελεστικού διατάγματος (E.O.) 12333.

(57)  Βλέπε απόφαση Schrems, σκέψη 91.

(58)  Σύνταγμα των ΗΠΑ, άρθρο II. Βλέπε επίσης την εισαγωγή στην προεδρική οδηγία πολιτικής PPD-28.

(59)  Εκτελεστικό διάταγμα (E.O.) 12333: United States Intelligence Activities (Δραστηριότητες υπηρεσιών πληροφοριών των Ηνωμένων Πολιτειών), Federal Register Vol. 40, No. 235 (8 Δεκεμβρίου 1981). Στον βαθμό που το εκτελεστικό διάταγμα είναι προσβάσιμο στο κοινό, ορίζει τους σκοπούς, τις κατευθύνσεις, τα καθήκοντα και τις αρμοδιότητες σε σχέση με τις προσπάθειες συλλογής πληροφοριών των ΗΠΑ (συμπεριλαμβανομένου του ρόλου των διαφόρων μονάδων της κοινότητας των υπηρεσιών πληροφοριών) και καθορίζει τις γενικές παραμέτρους για τη διεξαγωγή των δραστηριοτήτων των υπηρεσιών πληροφοριών (ειδικότερα την ανάγκη θέσπισης ειδικών διαδικαστικών κανόνων). Σύμφωνα με το τμήμα 3.2 του εκτελεστικού διατάγματος (E.O.) 12333, ο πρόεδρος, υποστηριζόμενος από το Συμβούλιο Εθνικής Ασφάλειας και τον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (DNI), εκδίδει τις κατάλληλες οδηγίες, τις διαδικασίες και την καθοδήγηση που κρίνονται αναγκαίες για την εφαρμογή του διατάγματος.

(60)  Σύμφωνα με το εκτελεστικό διάταγμα (E.O.) 12333, ο Διευθυντής της Υπηρεσίας Εθνικής Ασφάλειας (National Security Agency — NSA) ασκεί τη λειτουργική διαχείριση για τις πληροφορίες σημάτων και διευθύνει έναν ενοποιημένο οργανισμό που εκτελεί δραστηριότητες πληροφοριών σημάτων.

(61)  Για τον ορισμό του όρου «κοινότητα των υπηρεσιών πληροφοριών», βλέπε τμήμα 3.5 (h) του εκτελεστικού διατάγματος (E.O.) 12333 σε συνδυασμό με το τμήμα 1 της PPD-28.

(62)  Βλέπε υπόμνημα από τη Νομική Συμβουλευτική Υπηρεσία του Υπουργείου Δικαιοσύνης προς τον Πρόεδρο Clinton, 29 Ιανουαρίου 2000. Σύμφωνα με την εν λόγω νομική γνωμοδότηση, οι προεδρικές οδηγίες έχουν «την ίδια ουσιαστική νομική ισχύ με τα εκτελεστικά διατάγματα».

(63)  Δηλώσεις του ODNI (παράρτημα VI), σ. 3.

(64)  Βλέπε τμήμα 4(b), (c) της PPD-28. Σύμφωνα με δημοσιοποιημένες πληροφορίες, η αξιολόγηση του 2015 επιβεβαίωσε τους υφιστάμενους έξι σκοπούς. Βλέπε ODNI, Signals Intelligence Reform, 2016 Progress Report (Έκθεση προόδου του 2016 σχετικά με τη μεταρρύθμιση των δραστηριοτήτων συλλογής πληροφοριών σημάτων).

(65)  Δηλώσεις του ODNI (παράρτημα VI), σ. 6 (με παραπομπή στην οδηγία για την κοινότητα των υπηρεσιών πληροφοριών — Intelligence Community Directive 204). Βλέπε επίσης τμήμα 3 της PPD-28.

(66)  Δηλώσεις του ODNI (παράρτημα VI), σ. 6. Βλέπε, για παράδειγμα, έκθεση του Γραφείου Προστασίας των Ατομικών Ελευθεριών και της Ιδιωτικής Ζωής της Υπηρεσίας Εθνικής Ασφάλειας — NSA Civil Liberties and Privacy Office (NSA CLPO), NSA's Civil Liberties and Privacy Protections for Targeted SIGINT Activities under Executive Order 12333 (Ρυθμίσεις της NSA για την προστασία των ατομικών ελευθεριών και της ιδιωτικής ζωής όσον αφορά τις στοχευμένες δραστηριότητες συλλογής πληροφοριών σημάτων δυνάμει του εκτελεστικού διατάγματος 12333), 7 Οκτωβρίου 2014. Βλέπε επίσης έκθεση κατάστασης (Status Report) του ODNI για το 2014. Για τα αιτήματα πρόσβασης δυνάμει του τμήματος 702 του νόμου FISA, τα ερωτήματα διέπονται από τις διαδικασίες ελαχιστοποίησης που έχουν εγκριθεί από το αρμόδιο δικαστήριο δυνάμει του νόμου περί παρακολούθησης επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Court — FISC). Βλέπε NSA CLPO, NSA's Implementation of Foreign Intelligence Surveillance Act Section 702 (Εφαρμογή από την NSA του τμήματος 702 του νόμου περί παρακολούθησης επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών), 16 Απριλίου 2014.

(67)  Βλέπε Signals Intelligence Reform, 2015 Anniversary Report (Επετειακή έκθεση του 2015 σχετικά με τη μεταρρύθμιση των δραστηριοτήτων συλλογής πληροφοριών σημάτων). Βλέπε επίσης δηλώσεις του ODNI (παράρτημα VI), σ. 6, 8-9, 11.

(68)  Βλέπε υποσημείωση 63.

(69)  Θα πρέπει επίσης να σημειωθεί ότι, σύμφωνα με το τμήμα 2.4 του εκτελεστικού διατάγματος (E.O.) 12333, οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών «χρησιμοποιούν τις κατά το δυνατόν λιγότερο παρεμβατικές τεχνικές συλλογής πληροφοριών στις ΗΠΑ». Όσον αφορά τους περιορισμούς για την αντικατάσταση κάθε μαζικής συλλογής με στοχευμένες συλλογές, βλέπε τα αποτελέσματα αξιολόγησης που διενήργησε το Εθνικό Συμβούλιο Έρευνας όπως περιλαμβάνεται στην έκθεση του Οργανισμού Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης «Surveillance by intelligence services: fundamental rights safeguards and remedies in the EU» (2015), σ. 18.

(70)  Δηλώσεις του ODNI (παράρτημα VI), σ. 4.

(71)  Βλέπε επίσης τμήμα 5(d) της PPD-28 που διατάσσει τον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών, σε συντονισμό με τους επικεφαλής των σχετικών μονάδων της κοινότητας των υπηρεσιών πληροφοριών και το Γραφείο Επιστημονικής και Τεχνολογικής Πολιτικής (Office of Science and Technology Policy — OSTP), να υποβάλουν στον Πρόεδρο «έκθεση στην οποία θα αξιολογείται αν είναι εφικτό να δημιουργηθεί λογισμικό το οποίο θα παρείχε στην κοινότητα των υπηρεσιών πληροφοριών τη δυνατότητα να διεξάγει ευκολότερα στοχευμένη συγκέντρωση πληροφοριών σε σύγκριση με τη μαζική συλλογή». Σύμφωνα με δημοσιοποιημένες πληροφορίες, το αποτέλεσμα της εν λόγω έκθεσης ήταν ότι «δεν υφίσταται εναλλακτική μέθοδος βασισμένη σε λογισμικό που θα μπορούσε να υποκαταστήσει πλήρως τη μαζική συλλογή για τον εντοπισμό ορισμένων απειλών για την εθνική ασφάλεια». Βλέπε Signals Intelligence Reform, 2015 Anniversary Report (Επετειακή έκθεση του 2015 σχετικά με τη μεταρρύθμιση των δραστηριοτήτων συλλογής πληροφοριών σημάτων).

(72)  Βλέπε υποσημείωση 63.

(73)  Δηλώσεις του ODNI (παράρτημα VI). Με τον τρόπο αυτόν αντιμετωπίζεται συγκεκριμένα η ανησυχία που εκφράζεται από τις εθνικές αρχές προστασίας των δεδομένων στη γνωμοδότησή τους σχετικά με το σχέδιο απόφασης περί επάρκειας. Βλέπε ομάδα εργασίας του άρθρου 29 για την προστασία των δεδομένων, γνώμη 01/2016 σχετικά με την απόφαση περί επάρκειας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ (που εκδόθηκε στις 13 Απριλίου 2016), σ. 38 σε συνδυασμό με την εκεί υποσημείωση αριθ. 47.

(74)  Βλέπε τμήμα 2 της PPD-28.

(75)  Δηλώσεις του ODNI (παράρτημα VI), σ. 4. Βλέπε επίσης οδηγία για την κοινότητα των υπηρεσιών πληροφοριών — Intelligence Community Directive 203.

(76)  Δηλώσεις του ODNI (παράρτημα VI), σ. 2. Ομοίως, ισχύουν και οι περιορισμοί που προβλέπονται στο εκτελεστικό διάταγμα (E.O.) 12333 (π.χ. η απαίτηση βάσει της οποίας οι συλλεγόμενες πληροφορίες πρέπει να ανταποκρίνονται στις προτεραιότητες που έχει θέσει ο πρόεδρος).

(77)  Βλέπε απόφαση Schrems, σκέψη 93.

(78)  Επιπλέον, η συλλογή δεδομένων από το FBI μπορεί επίσης να βασίζεται σε εγκρίσεις πρόσβασης των αρχών επιβολής του νόμου (βλέπε ενότητα 3.2 της παρούσας απόφασης).

(79)  Για περαιτέρω επεξηγήσεις σχετικά με τη χρήση των NSL, βλέπε δηλώσεις του ODNI (παράρτημα VI), σ. 13-14 σε συνδυασμό με το σημείο 38. Όπως αναφέρεται εκεί, το FBI μπορεί να προσφύγει στη χρήση NSL μόνο για να ζητήσει στοιχεία εκτός περιεχομένου που είναι σχετικά με εγκεκριμένη έρευνα εθνικής ασφάλειας για την προστασία από τη διεθνή τρομοκρατία ή από λαθραίες δραστηριότητες συλλογής πληροφοριών. Όσον αφορά τις διαβιβάσεις δεδομένων στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, η σημαντικότερη νόμιμη έγκριση φαίνεται να είναι ο νόμος περί προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act) (18 U.S.C. § 2709), βάσει του οποίου απαιτείται σε κάθε αίτημα για στοιχεία συνδρομητών ή αρχεία συναλλαγών να χρησιμοποιείται κάποιος «όρος ο οποίος προσδιορίζει ειδικά ένα πρόσωπο, μια οντότητα, έναν τηλεφωνικό αριθμό ή έναν λογαριασμό».

(80)  50 U.S.C. § 1804. Παρότι η εν λόγω νόμιμη έγκριση απαιτεί «δήλωση των πραγματικών περιστατικών και των περιστάσεων στις οποίες στηρίζεται ο αιτών για να δικαιολογήσει την πεποίθησή του ότι A) ο στόχος της ηλεκτρονικής παρακολούθησης είναι ξένη δύναμη ή πράκτορας ξένης δύναμης», η περίπτωση αυτή μπορεί να περιλαμβάνει πρόσωπα που δεν είναι πολίτες των ΗΠΑ και που εμπλέκονται στη διεθνή τρομοκρατία ή στη διεθνή διάδοση όπλων μαζικής καταστροφής (συμπεριλαμβανομένων προπαρασκευαστικών πράξεων) [50 U.S.C. § 1801 (b)(1)]. Ωστόσο, υφίσταται θεωρητικός μόνο σύνδεσμος με τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, δεδομένου ότι η δήλωση πραγματικών περιστατικών πρέπει επίσης να δικαιολογεί την πεποίθηση ότι «κάθε εγκατάσταση ή τόπος που αποτελεί στόχο ηλεκτρονικής παρακολούθησης, χρησιμοποιείται, ή πρόκειται να χρησιμοποιηθεί, από ξένη δύναμη ή πράκτορα ξένης δύναμης». Σε κάθε περίπτωση, η χρήση της εν λόγω άδειας προϋποθέτει αίτηση προς το FISC, το οποίο θα αξιολογεί, μεταξύ άλλων, αν βάσει των υποβαλλόμενων πραγματικών περιστατικών υπάρχει πιθανή αιτία να συντρέχει πράγματι τέτοια περίπτωση.

(81)  50 U.S.C. § 1842 σε συνδυασμό με το § 1841(2) και το τμήμα 3127 του τίτλου 18. Η άδεια αυτή δεν αφορά το περιεχόμενο των επικοινωνιών, αλλά στοχεύει μάλλον σε πληροφορίες για τον πελάτη ή συνδρομητή που χρησιμοποιεί μια υπηρεσία (όπως το όνομα, τη διεύθυνση, τον αριθμό συνδρομητή, τη διάρκεια/το είδος της ληφθείσας υπηρεσίας, την πηγή/τον μηχανισμό πληρωμής). Προϋποθέτει αίτηση για την έκδοση διαταγής από το FISC [ή από βοηθό δικαστή ομοσπονδιακού πρωτοδικείου (U.S. Magistrate Judge)] και τη χρήση ειδικού όρου επιλογής κατά την έννοια του § 1841(4), ήτοι ενός όρου που προσδιορίζει ειδικά ένα πρόσωπο, έναν λογαριασμό κ.λπ. και χρησιμοποιείται για να περιορίσει το πεδίο των ζητούμενων πληροφοριών στον μέγιστο βαθμό που αυτό είναι ευλόγως εφικτό.

(82)  Παρότι το τμήμα 501 του νόμου FISA (πρώην τμήμα 215 του αμερικανικού νόμου κατά της τρομοκρατίας — USA PATRIOT ACT) εξουσιοδοτεί το FBI να αιτείται δικαστική διαταγή με στόχο την προσκόμιση «απτών στοιχείων» (ειδικότερα τηλεφωνικών μεταδεδομένων, αλλά και εταιρικών αρχείων) για σκοπούς συλλογής πληροφοριών από την αλλοδαπή, το τμήμα 702 του νόμου FISA επιτρέπει στις μονάδες της κοινότητας των υπηρεσιών πληροφοριών των ΗΠΑ να ζητούν πρόσβαση σε πληροφορίες, συμπεριλαμβανομένου του περιεχομένου διαδικτυακών επικοινωνιών, με προέλευση από την επικράτεια των ΗΠΑ αλλά με στόχο ορισμένα πρόσωπα που δεν είναι πολίτες των ΗΠΑ και βρίσκονται εκτός των ΗΠΑ.

(83)  Βάσει της διάταξης αυτής, το FBI δύναται να ζητεί «απτά στοιχεία» (π.χ. αρχεία, έγγραφα, τεκμήρια) εφόσον καταδείξει στο αρμόδιο δικαστήριο δυνάμει του νόμου περί παρακολούθησης επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Court — FISC) ότι υπάρχει βάσιμος λόγος να πιστεύει ότι σχετίζονται με συγκεκριμένη έρευνα του FBI. Κατά τη διενέργεια της αναζήτησής του, το FBI πρέπει να χρησιμοποιεί όρους επιλογής που έχουν εγκριθεί από το FISC, για τους οποίους υπάρχει «εύλογη, σαφής υποψία» ότι ο συγκεκριμένος όρος συνδέεται με μία ή περισσότερες ξένες δυνάμεις ή με τους πράκτορές τους που εμπλέκονται σε διεθνή τρομοκρατία ή σε προπαρασκευαστικές για τον σκοπό αυτόν δραστηριότητες. Βλέπε PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 59· NSA CLPO, Transparency Report: The USA Freedom Act Business Records FISA Implementation, 15 Ιανουαρίου 2016, σ. 4-6.

(84)  Δηλώσεις του ODNI (παράρτημα VI), σ. 13 (σημείο 38).

(85)  Βλέπε υποσημείωση 81.

(86)  PCLOB, Έκθεση σχετικά με το τμήμα 702, σ. 32-33, με περαιτέρω παραπομπές. Σύμφωνα με την υπηρεσία της για την προστασία της ιδιωτικής ζωής, η NSA πρέπει να εξακριβώνει ότι υπάρχει σύνδεση μεταξύ του στόχου και του κριτηρίου επιλογής, πρέπει να καταγράφει τα στοιχεία πληροφοριών από την αλλοδαπή που αναμένεται να συγκεντρωθούν, τα εν λόγω στοιχεία πρέπει να εξετάζονται και να εγκρίνονται από δύο ανώτερους αναλυτές της NSA, και η όλη διαδικασία θα παρακολουθείται για μετέπειτα ελέγχους συμμόρφωσης από το ODNI και το Υπουργείο Δικαιοσύνης. Βλέπε NSA CLPO, NSA's Implementation of Foreign Intelligence Surveillance Act Section 702, 16 Απριλίου 2014.

(87)  PCLOB, Έκθεση σχετικά με το τμήμα 702, σ. 111. Βλέπε επίσης δηλώσεις του ODNI (παράρτημα VI), σ. 9 [«Η συλλογή δυνάμει του τμήματος 702 του νόμου (FISA) δεν πραγματοποιείται “μαζικά και αδιακρίτως” αλλά εστιάζει αυστηρά στη συλλογή πληροφοριών από την αλλοδαπή που προέρχονται από νόμιμους στόχους που έχουν προσδιοριστεί σε ατομική βάση»] και σ. 13, σημείο 36 (με παραπομπή σε γνωμοδότηση του FISC του 2014)· NSA CLPO, NSA's Implementation of Foreign Intelligence Surveillance Act Section 702, 16 Απριλίου 2014. Ακόμη και στην περίπτωση του UPSTREAM, η NSA μπορεί να ζητήσει μόνο την παρακολούθηση ηλεκτρονικών επικοινωνιών προς, από ή σχετικά με τα καθορισθέντα κριτήρια επιλογής.

(88)  Δηλώσεις του ODNI (παράρτημα VI), σ. 18. Βλέπε επίσης σ. 6, σύμφωνα με την οποία οι εφαρμοστέες διαδικασίες «καταδεικνύουν σαφή δέσμευση για την πρόληψη της αυθαίρετης και χωρίς διακρίσεις συλλογής πληροφοριών σημάτων και για την εφαρμογή —από τα πλέον υψηλά επίπεδα της κυβέρνησής μας— της αρχής του εύλογου χαρακτήρα».

(89)  Βλέπε Statistical Transparency Report Regarding Use of National Security Authorities, 22 Απριλίου 2015. Για τη συνολική ροή δεδομένων στο διαδίκτυο, βλέπε για παράδειγμα: Οργανισμός Θεμελιωδών Δικαιωμάτων (FRA), Surveillance by Intelligence Services: Fundamental Rights Safeguards and Remedies in the EU (2015), στις σελίδες 15-16. Όσον αφορά το πρόγραμμα UPSTREAM, σύμφωνα με αποχαρακτηρισμένη γνωμοδότηση του FISC του 2011, ποσοστό άνω του 90 % των ηλεκτρονικών επικοινωνιών που συγκεντρώθηκαν δυνάμει του τμήματος 702 του νόμου FISA προερχόταν από το πρόγραμμα PRISM, ενώ ποσοστό κάτω του 10 % προερχόταν από το UPSTREAM. Βλέπε FISC, Memorandum Opinion, 2011 WL 10945618 (FISA Ct., 3 Οκτωβρίου 2011), σημείο 21 (διατίθεται στη διεύθυνση: http://www.dni.gov/files/documents/0716/October-2011-Bates-Opinion-and%20Order-20140716.pdf).

(90)  Βλέπε τμήμα 4(a)(ii) της PPD-28. Βλέπε επίσης ODNI, Safeguarding the Personal Information of all People: A Status Report on the Development and Implementation of Procedures under Presidential Policy Directive 28 (Διαφύλαξη των πληροφοριών προσωπικού χαρακτήρα όλων των ανθρώπων: Έκθεση κατάστασης σχετικά με την ανάπτυξη και την εφαρμογή διαδικασιών δυνάμει της προεδρικής οδηγίας πολιτικής 28), Ιούλιος 2014, σ. 5· σύμφωνα με την εν λόγω έκθεση, «οι πολιτικές των μονάδων της κοινότητας των υπηρεσιών πληροφοριών θα πρέπει να ενισχύουν τις υφιστάμενες πρακτικές και τα πρότυπα ανάλυσης που εφαρμόζουν, βάσει των οποίων οι αναλυτές πρέπει να επιδιώκουν τη διάρθρωση ερωτημάτων ή άλλων όρων και τεχνικών αναζήτησης για τον εντοπισμό πληροφοριών που είναι συναφείς με έγκυρη ανάθεση καθήκοντος συλλογής πληροφοριών ή επιβολής του νόμου· να επικεντρώνουν τα ερωτήματα που αφορούν πρόσωπα στις κατηγορίες πληροφοριών που ανταποκρίνονται σε απαίτηση συλλογής πληροφοριών ή επιβολής του νόμου· και να εξασφαλίζουν την ελαχιστοποίηση της εξέτασης πληροφοριών προσωπικού χαρακτήρα που δεν άπτονται των απαιτήσεων συλλογής πληροφοριών ή επιβολής του νόμου». Βλέπε π.χ. CIA, Signals Intelligence Activities (Δραστηριότητες συλλογής πληροφοριών σημάτων), σ. 5· FBI, Presidential Policy Directive 28 Policies and Procedures (Πολιτικές και διαδικασίες βάσει της προεδρικής οδηγίας πολιτικής 28), σ. 3. Σύμφωνα με την έκθεση προόδου του 2016 σχετικά με τη μεταρρύθμιση των δραστηριοτήτων συλλογής πληροφοριών σημάτων (2016 Progress Report on the Signals Intelligence Reform), οι μονάδες της κοινότητας των υπηρεσιών πληροφοριών [συμπεριλαμβανομένων του Ομοσπονδιακού Γραφείου Ερευνών (Federal Bureau of Investigation — FBI), της Κεντρικής Υπηρεσίας Πληροφοριών (Central Intelligence Agency — CIA) και της Υπηρεσίας Εθνικής Ασφάλειας (National Security Agency — NSA)] έλαβαν μέτρα για την ευαισθητοποίηση του προσωπικού τους όσον αφορά τις απαιτήσεις της PPD-28 με τη δημιουργία νέων ή την τροποποίηση των υφιστάμενων πολιτικών εκπαίδευσης.

(91)  Σύμφωνα με τις δηλώσεις του ODNI, οι περιορισμοί αυτοί εφαρμόζονται ανεξαρτήτως του αν οι πληροφορίες συλλέγονται μαζικά ή μέσω στοχευμένης δραστηριότητας συλλογής καθώς και ανεξαρτήτως της ιθαγένειας του προσώπου.

(92)  Βλέπε δηλώσεις του ODNI (παράρτημα VI).

(93)  Βλέπε τμήμα 4(a)(i) της προεδρικής οδηγίας PPD-28 σε συνδυασμό με το τμήμα 2.3 του εκτελεστικού διατάγματος (E.O.) 12333.

(94)  Τμήμα 4(a)(i) της PPD-28· Δηλώσεις του ODNI (παράρτημα VI), σ. 7. Επί παραδείγματι, για τις πληροφορίες προσωπικού χαρακτήρα που συλλέγονται δυνάμει του τμήματος 702 του νόμου FISA, οι εγκεκριμένες από το FISC διαδικασίες της NSA για την ελαχιστοποίηση των δεδομένων προβλέπουν τον κανόνα ότι τα μεταδεδομένα και το μη αξιολογημένο περιεχόμενο στο πλαίσιο του προγράμματος PRISM διατηρούνται για χρονικό διάστημα που δεν υπερβαίνει τα πέντε έτη, ενώ για το πρόγραμμα UPSTREAM τα δεδομένα διατηρούνται για χρονικό διάστημα που δεν υπερβαίνει τα δύο έτη. Η NSA τηρεί τα προαναφερόμενα όρια αποθήκευσης μέσω μιας αυτοματοποιημένης διαδικασίας που διαγράφει τα συλλεχθέντα δεδομένα κατά τη λήξη της αντίστοιχης περιόδου διατήρησης. Βλέπε NSA Sec. 702 FISA Minimization Procedures (διαδικασίες της NSA για την ελαχιστοποίηση των δεδομένων δυνάμει του τμήματος 702 του νόμου FISA), τμήμα 7 σε συνδυασμό με το τμήμα 6(a)(1)· NSA CLPO, NSA's Implementation of Foreign Intelligence Surveillance Act Section 702, 16 Απριλίου 2014. Ομοίως, η διάρκεια της διατήρησης δυνάμει του τμήματος 501 του νόμου FISA (πρώην τμήμα 215 του νόμου USA PATRIOT ACT) περιορίζεται σε πέντε έτη, εκτός εάν τα δεδομένα προσωπικού χαρακτήρα εντάσσονται σε ορθώς εγκεκριμένη διάδοση πληροφοριών από την αλλοδαπή, ή εάν το Υπουργείο Δικαιοσύνης υποδείξει εγγράφως στην NSA ότι τα αρχεία υπόκεινται σε υποχρέωση διατήρησης στο πλαίσιο εκκρεμούς ή προβλεπόμενης δικαστικής διαφοράς. Βλέπε NSA CLPO, Transparency Report: The USA Freedom Act Business Records FISA Implementation, 15 Ιανουαρίου 2016.

(95)  Ειδικότερα, στην περίπτωση του τμήματος 501 του νόμου FISA (πρώην τμήμα 215 του U.S. PATRIOT ACT), η διάδοση πληροφοριών προσωπικού χαρακτήρα μπορεί να πραγματοποιηθεί μόνο για σκοπούς αντιτρομοκρατικής δράσης ή ως αποδεικτικό στοιχείο εγκλήματος· στην περίπτωση δε του τμήματος 702 του νόμου FISA, μόνον εάν υπάρχει βάσιμος σκοπός συλλογής πληροφοριών από την αλλοδαπή ή επιβολής του νόμου. Πρβλ. NSA CLPO, NSA's Implementation of Foreign Intelligence Surveillance Act Section 702, 16 Απριλίου 2014· Transparency Report: The USA Freedom Act Business Records FISA Implementation, 15 Ιανουαρίου 2016. Βλέπε επίσης την έκθεση NSA's Civil Liberties and Privacy Protections for Targeted SIGINT Activities under Executive Order 12333, 7 Οκτωβρίου 2014.

(96)  Δηλώσεις του ODNI (παράρτημα VI), σ. 7 (με παραπομπή στην οδηγία για την κοινότητα των υπηρεσιών πληροφοριών — Intelligence Community Directive 203).

(97)  Το Δικαστήριο έχει διευκρινίσει ότι η εθνική ασφάλεια συνιστά νόμιμο σκοπό πολιτικής. Βλέπε απόφαση Schrems, σκέψη 88. Βλέπε επίσης απόφαση στην υπόθεση Digital Rights Ireland και λοιποί, σκέψεις 42-44 και 51, όπου το Δικαστήριο έκρινε ότι η καταπολέμηση της βαριάς εγκληματικότητας, ιδίως του οργανωμένου εγκλήματος και της τρομοκρατίας, μπορεί να εξαρτάται σε μεγάλο βαθμό από τη χρήση σύγχρονων τεχνικών έρευνας. Επιπλέον, σε αντίθεση με τις ποινικές έρευνες που συνήθως αφορούν την αναδρομική διαπίστωση ευθύνης και ενοχής για παρελθούσα συμπεριφορά, οι δραστηριότητες συλλογής πληροφοριών συχνά επικεντρώνονται στην πρόληψη απειλών για την εθνική ασφάλεια προτού επέλθει τυχόν βλάβη. Ως εκ τούτου, οι έρευνες αυτές μπορεί συχνά να πρέπει να καλύπτουν ευρύτερο φάσμα πιθανών δραστών («στόχων») και ευρύτερη γεωγραφική περιοχή. Πρβλ. ΕΔΔΑ, Weber και Saravia κατά Γερμανίας, απόφαση της 29ης Ιουνίου 2006, προσφυγή αριθ. 54934/00, σκέψεις 105-118 (σχετικά με την επονομαζόμενη «στρατηγική παρακολούθηση»).

(98)  Απόφαση Schrems, σκέψη 91, με περαιτέρω παραπομπές.

(99)  Απόφαση Schrems, σκέψη 93.

(100)  Πρβλ. απόφαση Schrems, σκέψη 94.

(101)  ODNI, Safeguarding the Personal Information of all People: A Status Report on the Development and Implementation of Procedures under Presidential Policy Directive 28 (Διαφύλαξη των πληροφοριών προσωπικού χαρακτήρα όλων των ανθρώπων: Έκθεση κατάστασης σχετικά με την ανάπτυξη και την εφαρμογή διαδικασιών δυνάμει της προεδρικής οδηγίας πολιτικής 28), σ. 7. Βλέπε π.χ. CIA, Signals Intelligence Activities (Δραστηριότητες συλλογής πληροφοριών σημάτων), σ. 6 (συμμόρφωση)· FBI, Presidential Policy Directive 28 Policies and Procedures (Πολιτικές και διαδικασίες βάσει της προεδρικής οδηγίας πολιτικής 28), τμήμα III. (A)(4), (B)(4)· NSA, PPD-28 Section 4 Procedures (Διαδικασίες βάσει του τμήματος 4 της PPD-28), 12 Ιανουαρίου 2015, τμήμα 8.1, 8.6(c).

(102)  Για παράδειγμα, η NSA απασχολεί περισσότερα από 300 μέλη προσωπικού που είναι αρμόδια για θέματα συμμόρφωσης στο πλαίσιο της Διεύθυνσης Συμμόρφωσης. Βλέπε δηλώσεις του ODNI (παράρτημα VI), σ. 7.

(103)  Βλέπε Μηχανισμό του Διαμεσολαβητή (παράρτημα III), τμήμα 6 στοιχείο β) σημεία i) έως iii).

(104)  Βλέπε 42 U.S.C. § 2000ee-1. Μεταξύ αυτών συγκαταλέγονται, για παράδειγμα, το Υπουργείο Εξωτερικών, το Υπουργείο Δικαιοσύνης (περιλαμβανομένου του FBI), το Υπουργείο Εσωτερικής Ασφάλειας, το Υπουργείο Άμυνας, η NSA, η CIA και το ODNI.

(105)  Σύμφωνα με την κυβέρνηση των ΗΠΑ, εάν το Γραφείο Προστασίας των Ατομικών Ελευθεριών και της Ιδιωτικής Ζωής του ODNI λάβει μια καταγγελία, θα συνεργαστεί επίσης με άλλες μονάδες της κοινότητας των υπηρεσιών πληροφοριών σχετικά με τον τρόπο με τον οποίο θα πρέπει να διεκπεραιωθεί στη συνέχεια η εν λόγω καταγγελία στο πλαίσιο της κοινότητας των υπηρεσιών πληροφοριών. Βλέπε Μηχανισμό του Διαμεσολαβητή (παράρτημα III), τμήμα 6 στοιχείο β) σημείο ii).

(106)  Βλέπε 42 U.S.C. § 2000ee-1 (f)(1),(2).

(107)  Ομάδα εργασίας του άρθρου 29 για την προστασία των δεδομένων, γνώμη 01/2016 σχετικά με την απόφαση περί επάρκειας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ (που εκδόθηκε στις 13 Απριλίου 2016), σ. 41.

(108)  Δηλώσεις του ODNI (παράρτημα VI), σ. 7. Βλέπε, π.χ., NSA, PPD-28 Section 4 Procedures (Διαδικασίες βάσει του τμήματος 4 της PPD-28), 12 Ιανουαρίου 2015, τμήμα 8.1· CIA, Signals Intelligence Activities (Δραστηριότητες συλλογής πληροφοριών σημάτων), σ. 7 (αρμοδιότητες).

(109)  Ο εν λόγω Γενικός Επιθεωρητής (του οποίου το αξίωμα δημιουργήθηκε τον Οκτώβριο 2010) διορίζεται από τον Πρόεδρο, με την επιβεβαίωση της Γερουσίας, και μπορεί να παυθεί από τα καθήκοντά του μόνον από τον Πρόεδρο, όχι από τον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (DNI).

(110)  Οι εν λόγω Γενικοί Επιθεωρητές έχουν κατοχυρωμένη θητεία και μπορούν να παυθούν από τα καθήκοντά τους μόνον από τον Πρόεδρο, ο οποίος οφείλει να κοινοποιήσει εγγράφως στο Κογκρέσο τους λόγους για οποιαδήποτε τέτοια παύση. Αυτό δεν σημαίνει απαραιτήτως ότι δεν υπόκεινται σε εντολές κανενός. Σε ορισμένες περιπτώσεις, ο επικεφαλής του υπουργείου μπορεί να απαγορεύσει στον Γενικό Επιθεωρητή να κινήσει, να διενεργήσει ή να ολοκληρώσει έναν έλεγχο ή μια έρευνα, εάν αυτό θεωρείται απαραίτητο για τη διαφύλαξη σημαντικών εθνικών συμφερόντων (που άπτονται της ασφάλειας). Ωστόσο, το Κογκρέσο πρέπει να ενημερώνεται για την άσκηση αυτής της εξουσίας και σε αυτή τη βάση μπορεί να καλέσει τον αντίστοιχο διευθυντή να λογοδοτήσει. Βλέπε, π.χ., τον νόμο περί γενικών επιθεωρητών (Inspector General Act) του 1978, § 8 (γενικός επιθεωρητής του Υπουργείου Άμυνας)· § 8E (γενικός επιθεωρητής του Υπουργείου Δικαιοσύνης), § 8G (d)(2)(A),(B) (γενικός επιθεωρητής της NSA)· 50. U.S.C. § 403q (b) (γενικός επιθεωρητής για τη CIA)· νόμος περί έγκρισης των πιστώσεων των υπηρεσιών πληροφοριών για το φορολογικό έτος 2010 (Intelligence Authorization Act For Fiscal Year 2010), τμήμα 405(f) (Γενικός Επιθεωρητής της κοινότητας των υπηρεσιών πληροφοριών). Σύμφωνα με την αξιολόγηση των εθνικών αρχών προστασίας των δεδομένων, οι Γενικοί Επιθεωρητές «είναι πιθανό να πληρούν το κριτήριο της οργανωτικής ανεξαρτησίας όπως ορίζεται από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) και το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ), τουλάχιστον από τη στιγμή που η νέα διαδικασία διορισμών ισχύει για όλους». Βλέπε ομάδα εργασίας του άρθρου 29 για την προστασία των δεδομένων, γνώμη 01/2016 σχετικά με την απόφαση περί επάρκειας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ (που εκδόθηκε στις 13 Απριλίου 2016), σ. 40.

(111)  Βλέπε δηλώσεις του ODNI (παράρτημα VI), σ. 7. Βλέπε επίσης τον νόμο περί γενικών επιθεωρητών (Inspector General Act) του 1978, όπως έχει τροποποιηθεί, Pub. L. 113-126 της 7 Ιουλίου 2014.

(112)  Βλέπε τον νόμο περί γενικών επιθεωρητών (Inspector General Act) του 1978, § 6.

(113)  Βλέπε δηλώσεις του ODNI (παράρτημα VI), σ. 7. Βλέπε επίσης τον νόμο περί γενικών επιθεωρητών (Inspector General Act) του 1978, §§ 4(5), 5. Σύμφωνα με το τμήμα 405(b)(3),(4) του νόμου περί έγκρισης των πιστώσεων των υπηρεσιών πληροφοριών για το φορολογικό έτος 2010 (Intelligence Authorization Act For Fiscal Year 2010), Pub. L. 111-259 της 7ης Οκτωβρίου 2010, ο Γενικός Επιθεωρητής της κοινότητας των υπηρεσιών πληροφοριών θα τηρεί ενήμερο τον Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (DNI) καθώς και το Κογκρέσο σχετικά με την αναγκαιότητα και την πρόοδο των διορθωτικών ενεργειών.

(114)  Σύμφωνα με την αξιολόγηση των εθνικών αρχών προστασίας των δεδομένων, η PCLOB έχει «καταδείξει τις ανεξάρτητες εξουσίες της» στο παρελθόν. Βλέπε ομάδα εργασίας του άρθρου 29 για την προστασία των δεδομένων, γνώμη 01/2016 σχετικά με την απόφαση περί επάρκειας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ (που εκδόθηκε στις 13 Απριλίου 2016), σ. 42.

(115)  Επιπλέον, η PCLOB απασχολεί περίπου 20 τακτικούς υπαλλήλους. Βλέπε https://www.pclob.gov/about-us/staff.html

(116)  Μεταξύ αυτών συγκαταλέγονται τουλάχιστον το Υπουργείο Δικαιοσύνης, το Υπουργείο Άμυνας, το Υπουργείο Εσωτερικής Ασφάλειας, ο Διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών και η Κεντρική Υπηρεσία Πληροφοριών, καθώς και κάθε άλλο υπουργείο, υπηρεσία ή μονάδα της εκτελεστικής εξουσίας που ορίζεται από την PCLOB ως ενδεδειγμένη προς κάλυψη.

(117)  Βλέπε 42 U.S.C. § 2000ee. Βλέπε επίσης Μηχανισμό του Διαμεσολαβητή (παράρτημα III), τμήμα 6 στοιχείο β) σημείο iv). Μεταξύ άλλων, η PCLOB οφείλει να αναφέρει τις περιπτώσεις κατά τις οποίες μια υπηρεσία της εκτελεστικής εξουσίας αρνείται να ακολουθήσει τις συμβουλές της.

(118)  ODNI, Safeguarding the Personal Information of all People: A Status Report on the Development and Implementation of Procedures under Presidential Policy Directive 28 (Διαφύλαξη των πληροφοριών προσωπικού χαρακτήρα όλων των ανθρώπων: Έκθεση κατάστασης σχετικά με την ανάπτυξη και την εφαρμογή διαδικασιών δυνάμει της προεδρικής οδηγίας πολιτικής 28), σ. 7-8.

(119)  Ό.π., σ. 8. Βλέπε επίσης δηλώσεις του ODNI (παράρτημα VI), σ. 9.

(120)  ODNI, Safeguarding the Personal Information of all People: A Status Report on the Development and Implementation of Procedures under Presidential Policy Directive 28 (Διαφύλαξη των πληροφοριών προσωπικού χαρακτήρα όλων των ανθρώπων: Έκθεση κατάστασης σχετικά με την ανάπτυξη και την εφαρμογή διαδικασιών δυνάμει της προεδρικής οδηγίας πολιτικής 28), σ. 7. Βλέπε, π.χ., NSA, PPD-28 Section 4 Procedures (Διαδικασίες βάσει του τμήματος 4 της PPD-28), 12 Ιανουαρίου 2015, τμήμα 7.3, 8.7(c),(d)· FBI, Presidential Policy Directive 28 Policies and Procedures (Πολιτικές και διαδικασίες βάσει της προεδρικής οδηγίας πολιτικής 28), τμήμα III.(A)(4), (B)(4)· CIA, Signals Intelligence Activities (Δραστηριότητες συλλογής πληροφοριών σημάτων), σ. 6 (συμμόρφωση) και σ. 8 (αρμοδιότητες).

(121)  Βλέπε E.O. 12333, τμήμα 1.6(c).

(122)  PPD-28, τμήμα 4(a)(iv).

(123)  Βλέπε τμήμα 501(a)(1) [50 U.S.C. § 413(a)(1)]. Η διάταξη αυτή περιέχει τις γενικές απαιτήσεις όσον αφορά την εποπτεία από το Κογκρέσο στον τομέα της εθνικής ασφάλειας.

(124)  Βλέπε τμήμα 501(b) [50 U.S.C. § 413(b)].

(125)  Βλέπε τμήμα 501(d) [50 U.S.C. § 413(d)].

(126)  Βλέπε 50 U.S.C. §§ 1808, 1846, 1862, 1871, 1881f.

(127)  Βλέπε 50 U.S.C. § 1881f.

(128)  Βλέπε 50 U.S.C. § 1881a(l)(1).

(129)  Βλέπε USA FREEDOM Act του 2015, Pub. L. No. 114-23, τμήμα 602(a). Επιπλέον, σύμφωνα με το τμήμα 402, «ο Διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών, κατόπιν διαβούλευσης με τον Γενικό Εισαγγελέα, διενεργεί έλεγχο αποχαρακτηρισμού για κάθε απόφαση, διαταγή ή γνωμοδότηση που εκδίδεται από το FISC ή το FISCR [όπως ορίζεται στο τμήμα 601(e)] και περιλαμβάνει σημαντική διατύπωση ή ερμηνεία οποιασδήποτε διάταξης νόμου, συμπεριλαμβανομένης τυχόν νέας ή σημαντικής διατύπωσης ή ερμηνείας του όρου “ειδικός όρος επιλογής”, και, σύμφωνα με τον εν λόγω έλεγχο, δημοσιοποιεί κάθε τέτοια απόφαση, διαταγή ή γνωμοδότηση στον μέγιστο βαθμό που αυτό είναι πρακτικά εφικτό».

(130)  USA FREEDOM Act, τμήμα 602(a), 603(a).

(131)  Εναλλακτικά, για ορισμένα είδη παρακολούθησης, βοηθός δικαστής ομοσπονδιακού πρωτοδικείου των ΗΠΑ (U.S. Magistrate Judge) που έχει οριστεί δημόσια από τον Πρόεδρο του Ανώτατου Δικαστηρίου των ΗΠΑ μπορεί να έχει την εξουσία ακρόασης αιτήσεων και έκδοσης διαταγών.

(132)  Το FISC απαρτίζεται από έντεκα δικαστές που διορίζονται από τον Πρόεδρο του Ανωτάτου Δικαστηρίου των ΗΠΑ και επιλέγονται μεταξύ των δικαστών που υπηρετούν στα πρωτοδικεία των ΗΠΑ, οι οποίοι είχαν προηγουμένως διοριστεί από τον Πρόεδρο και εγκριθεί από τη Γερουσία. Οι δικαστές που έχουν ισόβια θητεία και μπορούν να παυθούν από τα καθήκοντά τους μόνο για σοβαρή αιτία, υπηρετούν στο FISC για τμηματικές επταετείς θητείες. Ο νόμος FISA απαιτεί οι δικαστές να προέρχονται από τουλάχιστον επτά διαφορετικά δικαστικά δίκτυα των ΗΠΑ. Βλέπε τμήμα 103 του νόμου FISA [50 U.S.C. 1803 (a)]· PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 174-187. Οι δικαστές επικουρούνται από πεπειραμένους δικαστικούς υπαλλήλους που αποτελούν το νομικό προσωπικό του δικαστηρίου και καταρτίζουν νομικές αναλύσεις σχετικά με τα αιτήματα συλλογής πληροφοριών. Βλέπε PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 178· Επιστολή του Δικαστή Reggie B. Walton, Προέδρου του Δικαστηρίου δυνάμει του νόμου περί παρακολούθησης επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Court — FISC), προς τον Δικαστή Patrick J. Leahy, Πρόεδρο της Δικαστικής Επιτροπής της Γερουσίας των ΗΠΑ (29 Ιουλίου 2013) («Επιστολή Walton»), σ. 2-3.

(133)  Το FISCR απαρτίζεται από τρεις δικαστές που διορίζονται από τον Πρόεδρο του Ανωτάτου Δικαστηρίου των ΗΠΑ και προέρχονται από τα πρωτοδικεία ή εφετεία των ΗΠΑ, οι οποίοι υπηρετούν για τμηματική επταετή θητεία. Βλέπε τμήμα 103 του νόμου FISA [50 U.S.C. § 1803 (b)].

(134)  Βλέπε 50 U.S.C. §§ 1803 (b), 1861 a (f), 1881 a (h), 1881 a (i)(4).

(135)  Για παράδειγμα, πρόσθετα λεπτομερή στοιχεία πραγματικών περιστατικών όσον αφορά τον στόχο της παρακολούθησης, τεχνικές πληροφορίες σχετικά με τη μεθοδολογία παρακολούθησης ή διαβεβαιώσεις σχετικά με τον τρόπο με τον οποίο θα χρησιμοποιηθούν και θα διαδοθούν οι συγκεντρωθείσες πληροφορίες. Βλέπε PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 177.

(136)  50 U.S.C. §§ 1804 (a), 1801 (g).

(137)  Το FISC μπορεί να εγκρίνει την αίτηση, να ζητήσει περαιτέρω πληροφορίες, να αποφανθεί για την αναγκαιότητα της διενέργειας ακροαματικής διαδικασίας ή να υποδείξει πιθανή απόρριψη της αίτησης. Στη βάση της προκαταρκτικής αυτής απόφασης, η κυβέρνηση θα διαμορφώσει την τελική της αίτηση. Η εν λόγω τελική αίτηση μπορεί να περιλαμβάνει ουσιαστικές αλλαγές σε σχέση με την αρχική αίτηση με βάση τις προκαταρκτικές παρατηρήσεις του δικαστή. Παρότι είναι μεγάλο το ποσοστό των τελικών αιτήσεων που εγκρίνονται από το FISC, πολλές εξ αυτών περιέχουν ουσιώδεις αλλαγές σε σχέση με την αρχική αίτηση, π.χ. το 24 % των αιτήσεων που εγκρίθηκαν κατά την περίοδο από τον Ιούλιο έως τον Σεπτέμβριο του 2013. Βλέπε PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 179· επιστολή Walton, σ. 3.

(138)  PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 179, σημείο 619.

(139)  50 U.S.C. § 1803 (i)(1),(3)(A). Με την εν λόγω νέα νομοθεσία εφαρμόστηκαν οι συστάσεις της PCLOB για τη συγκρότηση μιας ομάδας εμπειρογνωμόνων σε θέματα προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών, που μπορούν να υπηρετούν ως amicus curiae, προκειμένου να παρέχουν στο δικαστήριο νομικά επιχειρήματα για την προαγωγή της προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών. Βλέπε PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 183-187.

(140)  50 U.S.C. § 1803 (i)(2)(A). Σύμφωνα με πληροφορίες από το ODNI, έχουν ήδη πραγματοποιηθεί τέτοιου είδους διορισμοί. Βλέπε Signals Intelligence Reform, 2016 Progress Report (Έκθεση προόδου του 2016 σχετικά με τη μεταρρύθμιση των δραστηριοτήτων συλλογής πληροφοριών σημάτων).

(141)  50 U.S.C. § 1803 (i)(2)(B).

(142)  50 U.S.C. § 1861.

(143)  50 U.S.C. § 1861 (b).

(144)  50 U.S.C. § 1881.

(145)  50 U.S.C. § 1881a (a).

(146)  PCLOB, Έκθεση σχετικά με το τμήμα 702, σ. 46.

(147)  50 U.S.C. § 1881a (h).

(148)  50 U.S.C. § 1881a (g). Σύμφωνα με την PCLOB, οι εν λόγω κατηγορίες μέχρι στιγμής αφορούν κατά κύριο λόγο τη διεθνή τρομοκρατία και θέματα όπως η απόκτηση όπλων μαζικής καταστροφής. Βλέπε έκθεση PCLOB σχετικά με το τμήμα 702, σ. 25.

(149)  PCLOB, Έκθεση σχετικά με το τμήμα 702, σ. 27.

(150)  50 U.S.C. § 1881a.

(151)  «Liberty and Security in a Changing World — Report and Recommendations of the President's Review Group on Intelligence and Communications Technologies» (Ελευθερία και Ασφάλεια σε έναν κόσμο που αλλάζει — έκθεση και συστάσεις της εξεταστικής ομάδας του Προέδρου σχετικά με τις τεχνολογίες των πληροφοριών και των επικοινωνιών) 12 Δεκεμβρίου 2013, σ. 152.

(152)  50 U.S.C.1881a (i).

(153)  Με τον κανόνα 13(b) του εσωτερικού κανονισμού του δικαστηρίου FISC, η κυβέρνηση υποχρεούται να καταθέτει έγγραφη ειδοποίηση στο εν λόγω δικαστήριο αμέσως μόλις ανακαλύψει ότι τυχόν εξουσιοδότηση ή έγκριση που χορηγήθηκε από το δικαστήριο έχει εφαρμοστεί κατά τρόπο που δεν συνάδει με την εξουσιοδότηση ή έγκριση του δικαστηρίου, ή με το ισχύον δίκαιο. Απαιτείται επίσης από την κυβέρνηση να ενημερώνει εγγράφως το δικαστήριο για τα πραγματικά περιστατικά και τις περιστάσεις που αφορούν την εν λόγω έλλειψη συμμόρφωσης. Συνήθως, η κυβέρνηση θα υποβάλλει μια τελική ειδοποίηση βάσει του κανόνα 13(a) μόλις καταστούν γνωστά τα σχετικά πραγματικά περιστατικά και αφού έχει καταστραφεί οποιοδήποτε υλικό μη εξουσιοδοτημένης συλλογής πληροφοριών. Βλέπε επιστολή Walton, σ. 10.

(154)  50 U.S.C. § 1881 (l). Βλέπε επίσης PCLOB, Έκθεση σχετικά με το τμήμα 702, σ. 66-76· NSA CLPO, NSA's Implementation of Foreign Intelligence Surveillance Act Section 702, 16 Απριλίου 2014. Η συλλογή δεδομένων προσωπικού χαρακτήρα για σκοπούς συλλογής πληροφοριών δυνάμει του τμήματος 702 του νόμου FISA υπόκειται τόσο σε εσωτερική όσο και σε εξωτερική εποπτεία στο πλαίσιο της εκτελεστικής εξουσίας. Μεταξύ άλλων, η εσωτερική εποπτεία περιλαμβάνει εσωτερικά προγράμματα συμμόρφωσης για την αξιολόγηση και την εποπτεία της συμμόρφωσης με τις διαδικασίες στόχευσης και ελαχιστοποίησης· υποβολή εκθέσεων για περιστατικά έλλειψης συμμόρφωσης, τόσο σε εσωτερική όσο και σε εξωτερική βάση στο ODNI, στο Υπουργείο Δικαιοσύνης, στο Κογκρέσο και στο FISC· καθώς και ετήσιες επανεξετάσεις που αποστέλλονται στους προαναφερθέντες φορείς. Όσον αφορά την εξωτερική εποπτεία, συνίσταται κατά κύριο λόγο στους ελέγχους των διαδικασιών στόχευσης και ελαχιστοποίησης που διενεργούνται από το ODNI, το Υπουργείο Δικαιοσύνης και τους Γενικούς Επιθεωρητές, που με τη σειρά τους υποβάλλουν εκθέσεις στο Κογκρέσο και στο FISC, μεταξύ άλλων και σχετικά με περιστατικά έλλειψης συμμόρφωσης. Τα σοβαρά περιστατικά έλλειψης συμμόρφωσης πρέπει να αναφέρονται αμέσως στο FISC, ενώ τα υπόλοιπα αναφέρονται στο πλαίσιο τριμηνιαίας έκθεσης. Βλέπε PCLOB, Έκθεση σχετικά με το τμήμα 702, σ. 66-77.

(155)  PCLOB, Recommendations Assessment Report (Έκθεση αξιολόγησης της εφαρμογής των συστάσεων), 29 Ιανουαρίου 2015, σ. 20.

(156)  PCLOB, Recommendations Assessment Report (Έκθεση αξιολόγησης της εφαρμογής των συστάσεων), 29 Ιανουαρίου 2015, σ. 16.

(157)  Επιπλέον, στο τμήμα 10 του νόμου περί διαδικασιών διαβαθμισμένων πληροφοριών (Classified Information Procedures Act) προβλέπεται ότι, σε κάθε δίωξη στην οποία οι ΗΠΑ πρέπει να στοιχειοθετήσουν ότι το υπό εξέταση υλικό συνιστά διαβαθμισμένη πληροφορία (π.χ. επειδή απαιτεί προστασία από μη εξουσιοδοτημένη κοινολόγηση για λόγους εθνικής ασφάλειας), οι Ηνωμένες Πολιτείες ενημερώνουν τον εγκαλούμενο για τα τμήματα του υλικού στα οποία αναμένεται εύλογα να στηριχθεί για να στοιχειοθετήσει το στοιχείο διαβαθμισμένων πληροφοριών του αδικήματος.

(158)  Σχετικά με τα κατωτέρω, βλέπε δηλώσεις του ODNI (παράρτημα VI), σ. 16.

(159)  18 U.S.C. § 2712.

(160)  50 U.S.C. § 1810.

(161)  50 U.S.C. § 1806.

(162)  18 U.S.C. § 1030.

(163)  18 U.S.C. §§ 2701-2712.

(164)  12 U.S.C. § 3417.

(165)  Δηλώσεις του ODNI (παράρτημα VI), σ. 17.

(166)  5 U.S.C. § 706(2)(A).

(167)  5 U.S.C. § 552. Υπάρχουν παρόμοιοι νόμοι σε επίπεδο πολιτειών.

(168)  Σε αυτή την περίπτωση, ο ιδιώτης συνήθως θα λαμβάνει μόνο μια τυποποιημένη απάντηση στην οποία η υπηρεσία αρνείται να επιβεβαιώσει ή να διαψεύσει την ύπαρξη τυχόν αρχείων. Βλέπε ACLU κατά CIA, 710 F.3d 422 (D.C. Cir. 2014).

(169)  Βλέπε δηλώσεις του ODNI (παράρτημα VI), σ. 16. Σύμφωνα με τις παρεχόμενες επεξηγήσεις, οι διαθέσιμες βάσεις για άσκηση προσφυγής προϋποθέτουν είτε να υφίσταται βλάβη (18 U.S.C. § 2712· 50 U.S.C. § 1810) είτε να καταδειχθεί ότι η κυβέρνηση προτίθεται να χρησιμοποιήσει ή να κοινολογήσει πληροφορίες που συγκεντρώθηκαν ή αντλήθηκαν από ηλεκτρονική παρακολούθηση του ενδιαφερόμενου προσώπου εναντίον του εν λόγω προσώπου στο πλαίσιο δικαστικής ή διοικητικής διαδικασίας στις Ηνωμένες Πολιτείες (50 U.S.C. § 1806). Ωστόσο, όπως έχει τονίσει επανειλημμένα το Δικαστήριο, προκειμένου να στοιχειοθετηθεί προσβολή του θεμελιώδους δικαιώματος σεβασμού της ιδιωτικής ζωής, ελάχιστη σημασία έχει αν το ενδιαφερόμενο πρόσωπο υπέστη ή όχι ενδεχομένως δυσμενείς συνέπειες λόγω της επεμβάσεως αυτής. Βλέπε απόφαση Schrems, σκέψη 89, με περαιτέρω παραπομπές.

(170)  Αυτό το κριτήριο παραδεκτού απορρέει από την απαίτηση περί ύπαρξης επίδικης υπόθεσης ή αντιδικίας που προβλέπεται στο Σύνταγμα των ΗΠΑ, άρθρο III.

(171)  Βλέπε Clapper κατά Amnesty Int'l USA, 133 S.Ct. 1138, 1144 (2013). Όσον αφορά τη χρήση των NSL, ο νόμος USA FREEDOM Act [τμήματα 502(f)-503] προβλέπει ότι οι απαιτήσεις μη κοινολόγησης πρέπει να υπόκεινται σε περιοδική επανεξέταση και ότι οι αποδέκτες των NSL πρέπει να ειδοποιούνται όταν από τα πραγματικά περιστατικά δεν τεκμηριώνεται πλέον η απαίτηση μη κοινολόγησης [βλέπε δηλώσεις του ODNI (παράρτημα VI), σ. 13]. Ωστόσο, αυτό δεν διασφαλίζει ότι το πρόσωπο από την ΕΕ στο οποίο αναφέρονται τα δεδομένα θα ενημερωθεί για το γεγονός ότι έχει αποτελέσει στόχο έρευνας.

(172)  Σε περίπτωση που ο καταγγέλλων ζητεί πρόσβαση σε έγγραφα που έχουν στην κατοχή τους δημόσιες αρχές των ΗΠΑ, εφαρμόζονται οι κανόνες και οι διαδικασίες που καθορίζονται στον νόμο περί ελευθερίας της πληροφόρησης (FOIA). Σε αυτό περιλαμβάνεται η δυνατότητα δικαστικής προσφυγής (αντί της ανεξάρτητης εποπτείας) σε περίπτωση απόρριψης του αιτήματος, υπό τις προϋποθέσεις που καθορίζονται στον νόμο FOIA.

(173)  Σύμφωνα με τον Μηχανισμό του Διαμεσολαβητή (παράρτημα III), τμήμα 4 στοιχείο στ), ο Διαμεσολαβητής της ασπίδας προστασίας θα επικοινωνεί απευθείας με τον φορέα χειρισμού καταγγελιών ιδιωτών στην ΕΕ, που θα είναι με τη σειρά του υπεύθυνος να επικοινωνήσει με τον ιδιώτη που υποβάλλει το αίτημα. Εάν οι απευθείας επικοινωνίες αποτελούν μέρος των «βασικών διεργασιών» που μπορούν να παράσχουν τη ζητούμενη αποκατάσταση (π.χ. αίτημα πρόσβασης δυνάμει του νόμου FOIA, βλέπε τμήμα 5), οι εν λόγω επικοινωνίες θα πραγματοποιούνται σύμφωνα με τις ισχύουσες διαδικασίες.

(174)  Βλέπε Μηχανισμό του Διαμεσολαβητή (παράρτημα III), τμήμα 2 στοιχείο α). Βλέπε επίσης αιτιολογικές σκέψεις 96-97.

(175)  Βλέπε Μηχανισμό του Διαμεσολαβητή (παράρτημα III), τμήμα 2 στοιχείο γ). Σύμφωνα με τις διευκρινίσεις που έχει παράσχει η κυβέρνηση των ΗΠΑ, η PCLOB επανεξετάζει συνεχώς τις πολιτικές και διαδικασίες —συμπεριλαμβανομένης και της εφαρμογής τους— που ακολουθούν οι αρχές των ΗΠΑ που είναι αρμόδιες για την αντιτρομοκρατική δράση, προκειμένου να διαπιστώσει αν οι ενέργειές τους «προστατεύουν δεόντως την ιδιωτική ζωή και τις ατομικές ελευθερίες και συνάδουν με τους ισχύοντες νόμους και κανονισμούς και τις ισχύουσες πολιτικές που αφορούν την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών». Επίσης, «λαμβάνει και εξετάζει εκθέσεις και άλλες πληροφορίες από αρμόδιους για την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών υπαλλήλους και, κατά πείπτωση, τους απευθύνει συστάσεις σχετικά με τις δραστηριότητές τους».

(176)  Βλέπε Roman Zakharov κατά Ρωσίας, απόφαση της 4 Δεκεμβρίου 2015 (τμήμα μείζονος συνθέσεως), προσφυγή αριθ. 47143/06, σκέψη 275 («μολονότι είναι καταρχήν επιθυμητή η ανάθεση εποπτικού ελέγχου σε δικαστή, η εποπτεία από μη δικαστικούς φορείς μπορεί να θεωρηθεί ότι συνάδει με τη σύμβαση, υπό την προϋπόθεση ότι ο εποπτικός φορέας είναι ανεξάρτητος από τις αρχές που εκτελούν την παρακολούθηση και ότι διαθέτει επαρκείς και αποτελεσματικές εξουσίες εποπτείας»).

(177)  Βλέπε Kennedy κατά Ηνωμένου Βασιλείου, απόφαση της 18 Μαΐου 2010, προσφυγή αριθ. 26839/05, σκέψη 167.

(178)  Απόφαση Schrems, σκέψη 95. Όπως καθίσταται σαφές από τις σκέψεις 91 και 96 της απόφασης, η σκέψη 95 αφορά το επίπεδο προστασίας που εξασφαλίζεται από την έννομη τάξη της Ένωσης, με το οποίο το επίπεδο προστασίας στην τρίτη χώρα πρέπει να είναι «ουσιαστικά ισοδύναμο». Σύμφωνα με τις σκέψεις 73 και 74 της απόφασης, αυτό δεν σημαίνει ότι απαιτείται το επίπεδο προστασίας ή τα μέσα στα οποία προσφεύγει η τρίτη χώρα να είναι τα ίδια ακριβώς, αν και τα μέσα που πρόκειται να χρησιμοποιηθούν πρέπει να αποδεικνύονται στην πράξη αποτελεσματικά.

(179)  Σύμφωνα με την Τέταρτη Τροπολογία, «το δικαίωμα των ατόμων να είναι ασφαλή στην προσωπική τους ζωή, στην κατοικία τους, όσον αφορά τα έγγραφα και τα περιουσιακά τους στοιχεία από αδικαιολόγητες έρευνες και συλλήψεις/κατασχέσεις δεν παραβιάζεται και δεν εκδίδονται εντάλματα παρά μόνον εάν υπάρχει πιθανή αιτία, υποστηριζόμενη από ένορκη κατάθεση ή διαβεβαίωση, με ειδική αναφορά του τόπου που θα ερευνηθεί και των προσώπων ή των αντικειμένων που θα συλληφθούν/κατασχεθούν». Μόνον οι δικαστές (ή βοηθοί δικαστές ομοσπονδιακού πρωτοδικείου) μπορούν να εκδίδουν εντάλματα έρευνας. Τα ομοσπονδιακά εντάλματα για την αντιγραφή ηλεκτρονικά αποθηκευμένων πληροφοριών διέπονται περαιτέρω από τον κανόνα 41 των ομοσπονδιακών κανόνων ποινικής δικονομίας (Federal Rules of Criminal Procedure).

(180)  Το Ανώτατο Δικαστήριο έχει επανειλημμένα αναφερθεί σε περιπτώσεις ερευνών χωρίς ένταλμα ως «εξαιρετικές» περιπτώσεις. Βλέπε π.χ. Johnson κατά United States, 333 U.S. 10, 14 (1948)· McDonald κατά United States, 335 U.S. 451, 453 (1948)· Camara κατά Municipal Court, 387 U.S. 523, 528-29 (1967)· G.M. Leasing Corp κατά United States, 429 U.S. 338, 352-53, 355 (1977). Ομοίως, το Ανώτατο Δικαστήριο τονίζει τακτικά ότι «ο πλέον βασικός συνταγματικός κανόνας στον τομέα αυτόν είναι ότι οι έρευνες που διεξάγονται εκτός του πλαισίου της δικαστικής διαδικασίας, χωρίς προηγούμενη έγκριση από δικαστή ή βοηθό δικαστή ομοσπονδιακού πρωτοδικείου, είναι αυτές καθαυτές αδικαιολόγητες βάσει της Τέταρτης Τροπολογίας — με την επιφύλαξη μόνον ορισμένων ειδικά τεκμηριωμένων και σαφώς καθορισμένων εξαιρέσεων». Βλέπε π.χ. Coolidge κατά New Hampshire, 403 U.S. 443, 454-55 (1971)· G.M. Leasing Corp κατά United States, 429 U.S. 338, 352-53, 358 (1977).

(181)  City of Ontario, Cal. κατά Quon, 130 S. Ct. 2619, 2630 (2010).

(182)  PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 107, με παραπομπή στην υπόθεση Maryland κατά King, 133 S. Ct. 1958, 1970 (2013).

(183)  PCLOB, Έκθεση σχετικά με το τμήμα 215, σ. 107, με παραπομπή στην υπόθεση Samson κατά California, 547 S. Ct. 843, 848 (2006).

(184)  City of Ontario, Cal. κατά Quon, 130 S. Ct. 2619, 2630 (2010), 2627.

(185)  Βλέπε π.χ. United Sates κατά Wilson, 540 F.2d 1100 (D.C. Cir. 1976).

(186)  Πρβλ. Roman Zakharov κατά Ρωσίας, απόφαση της 4.12.2015 (τμήμα μείζονος συνθέσεως), προσφυγή αριθ. 47143/06, σκέψη 269, σύμφωνα με την οποία «η απαίτηση επίδειξης άδειας υποκλοπής στον πάροχο υπηρεσιών επικοινωνιών πριν από την απόκτηση πρόσβασης στις επικοινωνίες ενός προσώπου είναι μία από τις σημαντικές διασφαλίσεις κατά της κατάχρησης εξουσίας εκ μέρους των αρχών επιβολής του νόμου, με τις οποίες εξασφαλίζεται η λήψη κατάλληλης άδειας σε κάθε περίπτωση υποκλοπής».

(187)  Δηλώσεις του Υπουργείου Δικαιοσύνης (παράρτημα VII), σ. 4, με περαιτέρω παραπομπές.

(188)  Δηλώσεις του Υπουργείου Δικαιοσύνης (παράρτημα VII), σημείο 2.

(189)  Σύμφωνα με τις πληροφορίες που έχει λάβει η Επιτροπή, και εκτός από ειδικούς τομείς που είναι πιθανό να μην σχετίζονται με τις διαβιβάσεις δεδομένων στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ (π.χ. έρευνες για απάτη στον τομέα της υγειονομικής περίθαλψης, κακοποίηση παιδιών ή υποθέσεις ελεγχόμενων ουσιών), αυτό αφορά κατά κύριο λόγο ορισμένες αρχές δυνάμει του νόμου περί προστασίας της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act — ECPA), κυρίως αιτήματα για βασικά στοιχεία συνδρομητών, επικοινωνιών και τιμολόγησης [18 U.S.C. § 2703(c)(1), (2), π.χ. διεύθυνση, είδος/διάρκεια υπηρεσίας) και για το περιεχόμενο μηνυμάτων ηλεκτρονικού ταχυδρομείου μετά την παρέλευση 180 ημερών (18 U.S.C. § 2703(a), (b)]. Ωστόσο, στην τελευταία αυτή περίπτωση, το ενδιαφερόμενο πρόσωπο πρέπει να ειδοποιηθεί και, ως εκ τούτου, έχει τη δυνατότητα να προσφύγει κατά του αιτήματος ενώπιον δικαστηρίου. Βλέπε επίσης την επισκόπηση στη μελέτη του Υπουργείου Δικαιοσύνης με τίτλο «Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations» (Έρευνα και κατάσχεση ηλεκτρονικών υπολογιστών και απόκτηση ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές έρευνες), κεφάλαιο 3: «The Stored Communications Act» (ο νόμος περί των αποθηκευμένων επικοινωνιών), σ. 115-138.

(190)  Σύμφωνα με τις δηλώσεις της κυβέρνησης των ΗΠΑ, οι αποδέκτες διοικητικής κλήτευσης μπορούν να προσφύγουν δικαστικά κατά της κλήσης με την αιτιολογία ότι είναι αδικαιολόγητη, δηλαδή υπερβολική, καταπιεστική ή επαχθής. Βλέπε δηλώσεις του Υπουργείου Δικαιοσύνης (παράρτημα VIΙ), σ. 2.

(191)  5 U.S.C. § 702.

(192)  Γενικά, μόνον οι «τελικές» ενέργειες υπηρεσιών —και όχι οι «προσωρινές, διαδικαστικές ή ενδιάμεσες» ενέργειες υπηρεσιών— υπόκεινται σε δικαστικό έλεγχο. Βλέπε 5 U.S.C. § 704.

(193)  5 U.S.C. § 706(2)(A).

(194)  18 U.S.C. §§ 2701-2712.

(195)  Ο ECPA προστατεύει τις επικοινωνίες που είναι στην κατοχή δύο καθορισμένων κατηγοριών παρόχων υπηρεσιών δικτύου, συγκεκριμένα παρόχων: i) υπηρεσιών ηλεκτρονικών επικοινωνιών, για παράδειγμα τηλεφωνίας ή ηλεκτρονικού ταχυδρομείου· ii) απομακρυσμένων υπολογιστικών υπηρεσιών, όπως υπηρεσιών ηλεκτρονικής αποθήκευσης ή επεξεργασίας.

(196)  Ωστόσο, οι εξαιρέσεις αυτές, περιορίζονται σε συγκεκριμένο πλαίσιο. Για παράδειγμα, σύμφωνα με το 5 U.S.C. § 552 (b)(7), τα δικαιώματα δυνάμει του νόμου FOIA αποκλείονται για «αρχεία ή πληροφορίες που καταρτίζονται για σκοπούς επιβολής του νόμου, αλλά μόνον στον βαθμό που η παραγωγή των εν λόγω αρχείων ή πληροφοριών για λόγους επιβολής του νόμου A) θα μπορούσε εύλογα να αναμένεται ότι παρεμποδίζει διαδικασίες επιβολής του νόμου, B) θα στερούσε από ένα πρόσωπο το δικαίωμα σε δίκαιη δίκη ή αμερόληπτη εκδίκαση της υπόθεσής του, Γ) θα μπορούσε εύλογα να αναμένεται ότι συνιστά αδικαιολόγητη εισβολή στην προσωπική ιδιωτική σφαίρα, Δ) θα μπορούσε εύλογα να αναμένεται ότι αποκαλύπτει την ταυτότητα εμπιστευτικής πηγής, συμπεριλαμβανομένης κρατικής, τοπικής, ή αλλοδαπής υπηρεσίας ή αρχής ή οποιουδήποτε ιδιωτικού φορέα που παρείχε πληροφορίες σε εμπιστευτική βάση, και, στην περίπτωση αρχείου ή πληροφοριών που έχουν καταρτιστεί από αρχή επιβολής του ποινικού δικαίου κατά τη διάρκεια ποινικής έρευνας ή από υπηρεσία που ασκεί νόμιμη έρευνα συλλογής πληροφοριών εθνικής ασφάλειας, πληροφορίες που παρασχέθηκαν από εμπιστευτική πηγή, Ε) θα αποκάλυπτε τεχνικές και διαδικασίες που εφαρμόζονται για έρευνες ή διώξεις των αρχών επιβολής του νόμου, ή θα αποκάλυπτε κατευθυντήριες γραμμές για έρευνες ή διώξεις των αρχών επιβολής του νόμου εάν θα μπορούσε εύλογα να αναμένεται ότι η εν λόγω αποκάλυψη ενέχει τον κίνδυνο καταστρατήγησης του νόμου, ή ΣΤ) θα μπορούσε εύλογα να αναμένεται ότι θέτει σε κίνδυνο τη ζωή ή τη σωματική ασφάλεια οποιουδήποτε προσώπου». Επίσης, «οσάκις υποβάλλεται αίτημα το οποίο αφορά πρόσβαση σε αρχεία [των οποίων η παραγωγή θα μπορούσε εύλογα να αναμένεται ότι παρεμποδίζει διαδικασίες επιβολής του νόμου] και — A) η έρευνα ή διαδικασία αφορά πιθανή παραβίαση του ποινικού δικαίου· και Β) υπάρχει λόγος να πιστεύεται ότι i) το υποκείμενο της έρευνας ή της διαδικασίας δεν έχει επίγνωση της εκκρεμοδικίας, και ii) η αποκάλυψη της ύπαρξης των αρχείων θα μπορούσε εύλογα να αναμένεται ότι παρεμποδίζει τις διαδικασίες επιβολής του νόμου, η υπηρεσία μπορεί, μόνο κατά το χρονικό διάστημα για το οποίο εξακολουθεί να ισχύει η εν λόγω περίσταση, να αντιμετωπίζει τα αρχεία ως μη υποκείμενα στις απαιτήσεις του παρόντος τμήματος». [5 U.S.C. § 552 (c)(1)].

(197)  18 U.S.C. §§ 2510 και επόμενα. Σύμφωνα με τον νόμο περί υποκλοπών (18 U.S.C. § 2520), ένα πρόσωπο του οποίου οι ενσύρματες, προφορικές ή ηλεκτρονικές επικοινωνίες αποτελούν αντικείμενο υποκλοπής, κοινολόγησης ή εσκεμμένης χρήσης μπορεί να ασκήσει αστική αγωγή για παράβαση του νόμου περί υποκλοπών, μεταξύ άλλων, υπό ορισμένες προϋποθέσεις, κατά μεμονωμένου κυβερνητικού λειτουργού ή κατά των Ηνωμένων Πολιτειών. Για τη συλλογή στοιχείων διεύθυνσης και άλλων πληροφοριών εκτός περιεχομένου (π.χ. διεύθυνση IP, διεύθυνση ηλεκτρονικού ταχυδρομείου παραλήπτη/αποστολέα), βλέπε επίσης το κεφάλαιο σχετικά με την εγκατάσταση συσκευών καταγραφής κλήσεων ή συσκευών εντοπισμού θέσης του τίτλου 18 (18 U.S.C. §§ 3121-3127 και, για την αστική αγωγή, § 2707).

(198)  18 U.S.C. § 1030. Σύμφωνα με τον νόμο περί ηλεκτρονικής απάτης και κατάχρησης, ένα πρόσωπο μπορεί να ασκήσει αγωγή κατά οποιουδήποτε προσώπου σε σχέση με εσκεμμένη μη εγκεκριμένη πρόσβαση (ή υπέρβαση των ορίων της εγκεκριμένης πρόσβασης) για την απόκτηση πληροφοριών από χρηματοπιστωτικό ίδρυμα, σύστημα ηλεκτρονικών υπολογιστών της κυβέρνησης των ΗΠΑ ή άλλο καθορισμένο ηλεκτρονικό υπολογιστή, μεταξύ άλλων, υπό ορισμένες συνθήκες, και κατά μεμονωμένου κυβερνητικού λειτουργού.

(199)  28 U.S.C. §§ 2671 και επόμενα. Σύμφωνα με τον νόμο περί απαιτήσεων από αδικοπραξίες της ομοσπονδιακής κυβέρνησης, ένα πρόσωπο μπορεί να ασκήσει αγωγή, υπό ορισμένες συνθήκες, κατά των Ηνωμένων Πολιτειών σε σχέση με «αμελή ή άδικη πράξη ή παράλειψη υπαλλήλου της κυβέρνησης που ενεργεί στο πλαίσιο άσκησης του αξιώματος ή των καθηκόντων του».

(200)  12 U.S.C. §§ 3401 και επόμενα. Σύμφωνα με τον νόμο περί δικαιώματος προστασίας των προσωπικών δεδομένων οικονομικού χαρακτήρα, ένα πρόσωπο μπορεί να ασκήσει αγωγή, υπό ορισμένες συνθήκες, κατά των Ηνωμένων Πολιτειών σε σχέση με την απόκτηση ή κοινολόγηση προστατευμένων οικονομικών αρχείων κατά παράβαση του νόμου. Η πρόσβαση της κυβέρνησης σε προστατευμένα οικονομικά αρχεία γενικά απαγορεύεται, εκτός εάν η κυβέρνηση υποβάλει αίτημα στο πλαίσιο νόμιμης κλήτευσης ή εντάλματος έρευνας ή, με την επιφύλαξη ορισμένων περιορισμών, επίσημο γραπτό αίτημα και το πρόσωπο του οποίου ζητούνται οι πληροφορίες λάβει ειδοποίηση για το εν λόγω αίτημα.

(201)  15 U.S.C. §§ 1681-1681x. Σύμφωνα με τον νόμο περί δίκαιης αναφοράς πιστοληπτικής ικανότητας, ένα πρόσωπο μπορεί να ασκήσει αγωγή κατά οποιουδήποτε προσώπου που δεν συμμορφώνεται με τις απαιτήσεις (ιδίως την ανάγκη νόμιμης έγκρισης) όσον αφορά τη συλλογή, διάδοση και χρήση αναφορών πιστοληπτικής ικανότητας καταναλωτών ή, υπό ορισμένες συνθήκες, κατά κυβερνητικής υπηρεσίας.

(202)  Το Δικαστήριο έχει αναγνωρίσει ότι η επιβολή του νόμου συνιστά νόμιμο σκοπό πολιτικής. Βλέπε συνεκδικασθείσες υποθέσεις C-293/12 και C-594/12, Digital Rights Ireland Ltd κατά Minister for Communications, Marine and Natural Resources και λοιπών και Kärntner Landesregierung κ.λπ., EU:C:2014:238, σκέψη 42· βλέπε επίσης το άρθρο 8 παράγραφος 2 της ΕΣΔΑ και την απόφαση του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου στην υπόθεση Weber και Saravia κατά Γερμανίας, προσφυγή αριθ. 54934/00, σκέψη 104.

(203)  Απόφαση Schrems, σκέψεις 40 και επόμενες, 101-103.

(204)  Απόφαση Schrems, σκέψεις 51, 52 και 62.

(205)  Απόφαση Schrems, σκέψη 65.

(206)  Απόφαση Schrems, σκέψη 76.

(207)  Από την ημερομηνία εφαρμογής του γενικού κανονισμού για την προστασία δεδομένων, η Επιτροπή θα κάνει χρήση των εξουσιών της όσον αφορά την έκδοση, για δεόντως αιτιολογημένους επιτακτικούς λόγους επείγουσας ανάγκης, εκτελεστικής πράξης με την οποία αναστέλλεται η παρούσα απόφαση και η οποία εφαρμόζεται αμέσως, χωρίς προηγουμένως να υποβληθεί στη σχετική επιτροπή για διαδικασία επιτροπολογίας, και παραμένει σε ισχύ για περίοδο που δεν υπερβαίνει τους έξι μήνες.

(208)  Γνώμη 01/2016 σχετικά με το σχέδιο απόφασης περί επάρκειας της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, που εκδόθηκε στις 13 Απριλίου 2016.

(209)  Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου, της 26ης Μαΐου 2016, σχετικά με τις διατλαντικές ροές δεδομένων ((2016/2727(RSP)).


ΠΑΡΑΡΤΗΜΑ I

7 Ιουλίου 2016

Προς την κ. Věra Jourová

Επίτροπο αρμόδια για θέματα Δικαιοσύνης, Καταναλωτών και Ισότητας των Φύλων

Ευρωπαϊκή Επιτροπή

Rue de la Loi/Westraat 200

1049 Βρυξέλλες

Βέλγιο

Αξιότιμη κυρία Επίτροπε,

Εξ ονόματος των Ηνωμένων Πολιτειών της Αμερικής, έχω την τιμή να σας διαβιβάσω διά της παρούσας τη δέσμη εγγράφων σχετικά με την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ η οποία αποτελεί το προϊόν των παραγωγικών συζητήσεων διετούς διάρκειας που πραγματοποιήθηκαν μεταξύ των ομάδων μας. Η δέσμη αυτή, μαζί με πρόσθετο υλικό το οποίο είναι στη διάθεση της Επιτροπής μέσω δημόσιων πηγών, παρέχει μια πολύ ισχυρή βάση ώστε η Ευρωπαϊκή Επιτροπή να προβεί σε νέα διαπίστωση περί επάρκειας της προστασίας (1).

Θα πρέπει να είμαστε αμφότεροι υπερήφανοι για τις βελτιώσεις που επιφέραμε στο πλαίσιο. Η ασπίδα προστασίας βασίζεται σε Αρχές για την προάσπιση των οποίων συναινούν και οι δύο πλευρές του Ατλαντικού, και κατορθώσαμε να ενισχύσουμε την εφαρμογή τους. Μέσω των κοινών μας εργασιών, έχουμε την πραγματική ευκαιρία να βελτιώσουμε την προστασία της ιδιωτικής ζωής σε ολόκληρο τον κόσμο.

Η δέσμη για την ασπίδα προστασίας της ιδιωτικής ζωής περιλαμβάνει τις Αρχές της ασπίδας προστασίας, καθώς και μια επιστολή, η οποία επισυνάπτεται ως παράρτημα 1, της Διοίκησης Διεθνούς Εμπορίου (International Trade Administration, ITA) του Υπουργείου Εμπορίου που είναι αρμόδια για τη διαχείριση του προγράμματος, στην οποία περιγράφονται οι δεσμεύσεις που έχει αναλάβει το Υπουργείο μας για τη διασφάλιση της αποτελεσματικής λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής. Η δέσμη περιλαμβάνει επίσης το παράρτημα 2, στο οποίο παρατίθενται περαιτέρω δεσμεύσεις του Υπουργείου Εμπορίου σχετικά με το νέο πρότυπο διαιτησίας που διατίθεται στο πλαίσιο της ασπίδας προστασίας.

Το προσωπικό μου έχει λάβει σαφείς οδηγίες να διαθέσει όλους τους πόρους που απαιτούνται για την ταχεία και πλήρη εφαρμογή του πλαισίου της ασπίδας προστασίας και να διασφαλίσει την έγκαιρη τήρηση των δεσμεύσεων που περιλαμβάνονται στα παραρτήματα 1 και 2.

Η δέσμη για την ασπίδα προστασίας της ιδιωτικής ζωής περιλαμβάνει επίσης περαιτέρω έγγραφα από άλλες υπηρεσίες των Ηνωμένων Πολιτειών της Αμερικής, και συγκεκριμένα τα εξής:

επιστολή της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission, FTC) στην οποία περιγράφεται ο έλεγχος της εφαρμογής της ασπίδας προστασίας της ιδιωτικής ζωής·

επιστολή του Υπουργείου Μεταφορών στην οποία περιγράφεται ο έλεγχος της εφαρμογής της ασπίδας προστασίας της ιδιωτικής ζωής·

δύο επιστολές του Γραφείου του Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών (Office of the Director of National Intelligence, ODNI) σχετικά με τις διασφαλίσεις και τους περιορισμούς που ισχύουν για τις εθνικές αρχές ασφαλείας των ΗΠΑ·

επιστολή του Υπουργείου Εξωτερικών και συνοδευτικό υπόμνημα όπου περιγράφεται η δέσμευση του Υπουργείου Εξωτερικών για την καθιέρωση του νέου θεσμού του Διαμεσολαβητή της ασπίδας προστασίας της ιδιωτικής ζωής για την υποβολή ερωτημάτων σχετικά με τις πρακτικές των ΗΠΑ όσον αφορά τη συλλογή πληροφοριών σημάτων· και

επιστολή του Υπουργείου Δικαιοσύνης σχετικά με τις διασφαλίσεις και τους περιορισμούς όσον αφορά την πρόσβαση της κυβέρνησης των ΗΠΑ για σκοπούς επιβολής του νόμου και προάσπισης του δημόσιου συμφέροντος.

Σας διαβεβαιώνω ότι οι Ηνωμένες Πολιτείες της Αμερικής δεσμεύονται απόλυτα για την υλοποίηση των ανωτέρω.

Εντός 30 ημερών από την τελική έγκριση της απόφασης περί επάρκειας της προστασίας, το σύνολο της δέσμης για την ασπίδα προστασίας της ιδιωτικής ζωής θα αποσταλεί στο Federal Register (επίσημη εφημερίδα της ομοσπονδιακής κυβέρνησης των ΗΠΑ) για δημοσίευση.

Προσβλέπουμε στη μεταξύ μας συνεργασία για την εφαρμογή της ασπίδας προστασίας της ιδιωτικής ζωής και για την από κοινού δρομολόγηση του επόμενου σταδίου της διαδικασίας αυτής.

Με τιμή,

Penny Pritzker


(1)  Εφόσον η απόφαση της Επιτροπής σχετικά με την επάρκεια της προστασίας που παρέχεται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ εφαρμόζεται στην Ισλανδία, στο Λιχτενστάιν και στη Νορβηγία, η δέσμη της ασπίδας προστασίας θα καλύπτει τόσο την Ευρωπαϊκή Ένωση όσο και τις εν λόγω τρεις χώρες.

Παράρτημα 1

Προς την αξιότιμη κυρία Věra Jourová

Επίτροπο αρμόδια για θέματα Δικαιοσύνης, Καταναλωτών και Ισότητας των Φύλων

Ευρωπαϊκή Επιτροπή

Rue de la Loi/Westraat 200

1049 Βρυξέλλες

Βέλγιο

Αξιότιμη κυρία Επίτροπε,

Εξ ονόματος της Διοίκησης Διεθνούς Εμπορίου, έχω τη χαρά να σας περιγράψω την ενισχυμένη προστασία των δεδομένων προσωπικού χαρακτήρα που παρέχεται μέσω του πλαισίου της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ («ασπίδα προστασίας» ή «πλαίσιο») καθώς και τις δεσμεύσεις που έχει αναλάβει το Υπουργείο Εμπορίου («Υπουργείο») για τη διασφάλιση της αποτελεσματικής λειτουργίας της ασπίδας προστασίας. Η οριστικοποίηση της ιστορικής αυτής συμφωνίας αποτελεί μείζον επίτευγμα τόσο για την προστασία της ιδιωτικής ζωής όσο και για τις επιχειρήσεις και των δύο πλευρών του Ατλαντικού. Παρέχει τη βεβαιότητα στα φυσικά πρόσωπα από την ΕΕ ότι τα δεδομένα τους θα προστατεύονται και ότι θα έχουν στη διάθεσή τους μέσα έννομης προστασίας για την αντιμετώπιση τυχόν προβλημάτων. Παρέχει επίσης ασφάλεια η οποία θα συμβάλει στην ανάπτυξη της διατλαντικής οικονομίας διασφαλίζοντας σε χιλιάδες ευρωπαϊκές και αμερικανικές επιχειρήσεις τη δυνατότητα να συνεχίσουν να πραγματοποιούν επενδύσεις και να δραστηριοποιούνται και στις δύο πλευρές του Ατλαντικού. Η ασπίδα προστασίας της ιδιωτικής ζωής είναι το αποτέλεσμα διετούς και πλέον επίπονης εργασίας και συνεργασίας με εσάς, τους συναδέλφους μας στην Ευρωπαϊκή Επιτροπή («Επιτροπή»). Προσβλέπουμε στη συνέχιση της συνεργασίας μας με την Επιτροπή προκειμένου να διασφαλιστεί η αναμενόμενη λειτουργία της ασπίδας προστασίας.

Εργαστήκαμε από κοινού με την Επιτροπή για την ανάπτυξη της ασπίδας προστασίας με σκοπό να παράσχουμε στους οργανισμούς που είναι εγκατεστημένοι στις ΗΠΑ τη δυνατότητα να πληρούν τις απαιτήσεις επάρκειας που θέτει το δίκαιο της ΕΕ όσον αφορά την προστασία των δεδομένων. Το νέο πλαίσιο θα αποφέρει πολλά και σημαντικά οφέλη τόσο στους ιδιώτες όσο και στις επιχειρήσεις. Πρώτον, παρέχει ένα σημαντικό σύνολο μέσων προστασίας της ιδιωτικής ζωής για τα δεδομένα των ιδιωτών από την ΕΕ. Απαιτεί από τους συμμετέχοντες οργανισμούς των ΗΠΑ να αναπτύξουν μια συμμορφούμενη πολιτική για την προστασία της ιδιωτικής ζωής, να δεσμευτούν δημοσίως για τη συμμόρφωσή τους με τις Αρχές της ασπίδας προστασίας ώστε η δέσμευση αυτή να παράγει αποτελέσματα βάσει του δικαίου των ΗΠΑ, να επαναπιστοποιούν ετησίως στο Υπουργείο τη συμμόρφωσή τους, να παρέχουν δωρεάν και ανεξάρτητο μηχανισμό επίλυσης διαφορών στους ιδιώτες από την ΕΕ και να υπάγονται στην αρμοδιότητα της Ομοσπονδιακής Επιτροπής Εμπορίου των ΗΠΑ («FTC»), του Υπουργείου Μεταφορών ή οποιουδήποτε άλλου φορέα επιβολής του νόμου. Δεύτερον, η ασπίδα προστασίας θα παράσχει τη δυνατότητα σε χιλιάδες εταιρείες των Ηνωμένων Πολιτειών της Αμερικής και θυγατρικές ευρωπαϊκών εταιρειών στις ΗΠΑ να λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση ώστε να διευκολύνονται οι ροές δεδομένων που υποστηρίζουν το διατλαντικό εμπόριο. Η διατλαντική οικονομική σχέση είναι ήδη η μεγαλύτερη οικονομική σχέση παγκοσμίως, καθώς αντιπροσωπεύει περίπου το ήμισυ της παγκόσμιας οικονομικής παραγωγής και αντιστοιχεί σε εμπορικές συναλλαγές αγαθών και υπηρεσιών αξίας σχεδόν ενός τρισεκατομμυρίου δολαρίων, συμβάλλοντας στη διατήρηση εκατ. θέσεων εργασίας και στις δύο πλευρές του Ατλαντικού. Οι επιχειρήσεις που βασίζονται στις διατλαντικές ροές δεδομένων προέρχονται από όλους τους κλάδους της βιομηχανίας και σε αυτές συγκαταλέγονται και μεγάλες επιχειρήσεις που περιλαμβάνονται στον κατάλογο των 500 εταιρειών του περιοδικού Fortune αλλά και πολλές μικρομεσαίες επιχειρήσεις (ΜΜΕ). Οι διατλαντικές ροές δεδομένων παρέχουν τη δυνατότητα στους οργανισμούς των ΗΠΑ να επεξεργάζονται τα δεδομένα που απαιτούνται για την προσφορά αγαθών, υπηρεσιών και ευκαιριών απασχόλησης στους ευρωπαίους πολίτες. Η ασπίδα προστασίας ενισχύει τις κοινές αρχές για την προστασία της ιδιωτικής ζωής, γεφυρώνοντας τις διαφορές που υπάρχουν στις νομικές μας προσεγγίσεις, προάγοντας ταυτόχρονα τους εμπορικούς και οικονομικούς στόχους τόσο της Ευρώπης όσο και των Ηνωμένων Πολιτειών της Αμερικής.

Παρότι η απόφαση μιας εταιρείας να προβεί σε αυτοπιστοποίηση βάσει του νέου αυτού πλαισίου θα είναι εθελοντική, από τη στιγμή που μια εταιρεία δεσμεύεται δημοσίως έναντι της ασπίδας προστασίας, η δέσμευσή της παράγει αποτελέσματα βάσει του δικαίου των ΗΠΑ εκτελεστά είτε από την Ομοσπονδιακή Επιτροπή Εμπορίου είτε από το Υπουργείο Μεταφορών, ανάλογα με το ποια αρχή έχει δικαιοδοσία επί του οργανισμού της ασπίδας προστασίας.

Βελτιώσεις στο πλαίσιο των Αρχών της ασπίδας προστασίας της ιδιωτικής ζωής

Η ασπίδα προστασίας όπως διαμορφώθηκε βελτιώνει την προστασία της ιδιωτικής ζωής μέσω:

της απαίτησης παροχής πρόσθετων πληροφοριών στους ιδιώτες βάσει της αρχής της κοινοποίησης, συμπεριλαμβανομένης δήλωσης περί συμμετοχής του οργανισμού στην ασπίδα προστασίας της ιδιωτικής ζωής, δήλωσης περί του δικαιώματος πρόσβασης του ιδιώτη στα προσωπικά του δεδομένα και του προσδιορισμού του σχετικού ανεξάρτητου φορέα επίλυσης διαφορών·

της ενίσχυσης της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από οργανισμό της ασπίδας προστασίας σε τρίτο υπεύθυνο επεξεργασίας, απαιτώντας από τα μέρη να συνάπτουν σύμβαση που προβλέπει ότι τα εν λόγω δεδομένα μπορούν να υποβάλλονται σε επεξεργασία μόνο για περιορισμένους και συγκεκριμένους σκοπούς σύμφωνα με τη συγκατάθεση που έχει παράσχει ο ιδιώτης και ότι ο αποδέκτης θα εξασφαλίσει το ίδιο επίπεδο προστασίας που προβλέπεται στις Αρχές·

της ενίσχυσης της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από οργανισμό της ασπίδας προστασίας σε τρίτο αντιπρόσωπο, μεταξύ άλλων απαιτώντας από τον οργανισμό της ασπίδας προστασίας τα εξής: να λαμβάνει εύλογα και κατάλληλα μέτρα για να διασφαλίζει ότι ο αντιπρόσωπος επεξεργάζεται αποτελεσματικά τις διαβιβαζόμενες πληροφορίες προσωπικού χαρακτήρα κατά τρόπο συνεπή προς τις υποχρεώσεις που υπέχει ο οργανισμός δυνάμει των Αρχών· κατόπιν κοινοποίησης, να λαμβάνει εύλογα και κατάλληλα μέτρα για τη διακοπή και την αντιμετώπιση μη εγκεκριμένης επεξεργασίας· και να υποβάλλει στο Υπουργείο, κατόπιν αιτήματος, σύνοψη ή αντιπροσωπευτικό αντίγραφο των σχετικών διατάξεων περί προστασίας της ιδιωτικής ζωής που περιλαμβάνονται στη σύμβαση την οποία έχει συνάψει με τον εν λόγω αντιπρόσωπο·

της πρόβλεψης ότι κάθε οργανισμός της ασπίδας προστασίας είναι αρμόδιος για την επεξεργασία των πληροφοριών προσωπικού χαρακτήρα τις οποίες λαμβάνει στο πλαίσιο της ασπίδας προστασίας και τις οποίες διαβιβάζει στη συνέχεια σε τρίτο μέρος που ενεργεί ως αντιπρόσωπος του εν λόγω οργανισμού, και ότι ο οργανισμός της ασπίδας προστασίας εξακολουθεί να υπέχει ευθύνη βάσει των Αρχών εάν ο αντιπρόσωπός του προβεί σε επεξεργασία τέτοιων πληροφοριών προσωπικού χαρακτήρα κατά τρόπο που δεν συνάδει με τις Αρχές, εκτός εάν ο οργανισμός αποδείξει ότι δεν ευθύνεται για το γενεσιουργό γεγονός της ζημίας·

της διευκρίνισης ότι οι οργανισμοί της ασπίδας προστασίας πρέπει να περιορίζουν τις πληροφορίες προσωπικού χαρακτήρα σε αυτές που είναι συναφείς για τους σκοπούς της επεξεργασίας·

της απαίτησης από τους οργανισμούς να πιστοποιούν ετησίως στο Υπουργείο τη δέσμευσή τους για την εφαρμογή των Αρχών στις πληροφορίες που έλαβαν κατά την περίοδο συμμετοχής τους στην ασπίδα προστασίας στην περίπτωση που αποχωρήσουν από την ασπίδα προστασίας και επιλέξουν να διατηρήσουν τα δεδομένα αυτά·

της απαίτησης δωρεάν παροχής ανεξάρτητων μηχανισμών προσφυγής στους ιδιώτες·

της απαίτησης από τους οργανισμούς και τους επιλεγμένους από αυτούς ανεξάρτητους μηχανισμούς προσφυγής να ανταποκρίνονται αμέσως σε ερωτήματα και αιτήματα του Υπουργείου για παροχή πληροφοριών σχετικών με την ασπίδα προστασίας·

της απαίτησης από τους οργανισμούς να ανταποκρίνονται ταχύτατα σε καταγγελίες που αφορούν τη συμμόρφωση με τις Αρχές, οι οποίες παραπέμπονται από τις αρχές κράτους μέλους της ΕΕ μέσω του Υπουργείου· και

της απαίτησης από κάθε οργανισμό της ασπίδας προστασίας να δημοσιεύει κάθε συναφή με την ασπίδα προστασίας ενότητα οποιασδήποτε έκθεσης συμμόρφωσης ή αξιολόγησης που υποβάλλεται στην FTC σε περίπτωση έκδοσης σχετικής απόφασης της FTC ή αρμόδιου δικαστηρίου λόγω μη συμμόρφωσης.

Διαχείριση και εποπτεία του προγράμματος της ασπίδας προστασίας της ιδιωτικής ζωής από το Υπουργείο Εμπορίου

Το Υπουργείο επαναλαμβάνει τη δέσμευσή του να τηρεί και να θέτει στη διάθεση του κοινού επίσημο κατάλογο των οργανισμών των ΗΠΑ που έχουν προβεί σε αυτοπιστοποίηση στο Υπουργείο και έχουν δηλώσει τη δέσμευσή τους να τηρούν τις Αρχές (ο «κατάλογος της ασπίδας προστασίας»). Το Υπουργείο θα μεριμνά για την επικαιροποίηση του καταλόγου της ασπίδας προστασίας, διαγράφοντας τους οργανισμούς σε περίπτωση εθελοντικής αποχώρησής τους, μη πραγματοποίησης της ετήσιας επαναπιστοποίησής τους σύμφωνα με τις διαδικασίες του Υπουργείου, ή διαπίστωσης επανειλημμένης μη συμμόρφωσης. Το Υπουργείο θα τηρεί επίσης και θα θέτει στη διάθεση του κοινού επίσημο αρχείο των οργανισμών των ΗΠΑ που είχαν στο παρελθόν προβεί σε αυτοπιστοποίηση στο Υπουργείο, αλλά έχουν διαγραφεί από τον κατάλογο της ασπίδας προστασίας, συμπεριλαμβανομένων των οργανισμών που διαγράφηκαν λόγω επανειλημμένης μη συμμόρφωσης με τις Αρχές. Το Υπουργείο θα προσδιορίζει την αιτία της διαγραφής κάθε οργανισμού.

Επιπλέον, το Υπουργείο δεσμεύεται να ενισχύσει τη διαχείριση και την εποπτεία της ασπίδας προστασίας. Ειδικότερα, το Υπουργείο θα προβαίνει στις εξής ενέργειες:

 

Παροχή πρόσθετων πληροφοριών στον δικτυακό τόπο της ασπίδας προστασίας της ιδιωτικής ζωής

θα τηρεί τον κατάλογο της ασπίδας προστασίας, καθώς και το αρχείο των οργανισμών που είχαν προβεί στο παρελθόν σε αυτοπιστοποίηση της συμμόρφωσής τους προς τις Αρχές, αλλά οι οποίοι δεν απολαμβάνουν πλέον τα οφέλη της ασπίδας προστασίας·

θα περιλαμβάνει σε περίοπτη θέση επεξήγηση που θα αναφέρει ότι όλοι οι οργανισμοί που έχουν διαγραφεί από τον κατάλογο της ασπίδας προστασίας δεν απολαμβάνουν πλέον τα οφέλη της ασπίδας προστασίας, αλλά πρέπει ωστόσο να συνεχίσουν να εφαρμόζουν τις Αρχές στις πληροφορίες προσωπικού χαρακτήρα που έλαβαν ενώ συμμετείχαν στην ασπίδα προστασίας για όσο χρονικό διάστημα διατηρούν τις πληροφορίες αυτές· και

θα περιλαμβάνει σύνδεσμο προς τον κατάλογο των υποθέσεων της FTC που σχετίζονται με την ασπίδα προστασίας, ο οποίος είναι δημοσιευμένος στον δικτυακό τόπο της FTC.

 

Επαλήθευση των απαιτήσεων αυτοπιστοποίησης

πριν από την οριστικοποίηση της αυτοπιστοποίησης ενός οργανισμού (ή της ετήσιας επαναπιστοποίησης) και της προσθήκης του οργανισμού στον κατάλογο της ασπίδας προστασίας, θα επαληθεύει ότι ο οργανισμός:

έχει παράσχει τα απαιτούμενα στοιχεία επικοινωνίας του·

έχει παράσχει περιγραφή των δραστηριοτήτων του οργανισμού, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που λαμβάνει από την ΕΕ·

έχει δηλώσει ποιες πληροφορίες προσωπικού χαρακτήρα καλύπτονται από την οικεία αυτοπιστοποίηση·

εάν ο οργανισμός διαθέτει δικτυακό τόπο ανοικτό στο κοινό, έχει παράσχει τη διαδικτυακή διεύθυνση στην οποία διατίθεται η πολιτική περί προστασίας της ιδιωτικής ζωής και η πολιτική αυτή είναι προσβάσιμη στη διαδικτυακή διεύθυνση που παρέχεται ή, εάν ένας οργανισμός δεν διαθέτει δικτυακό τόπο ανοικτό στο κοινό, έχει παράσχει το σημείο στο οποίο το κοινό μπορεί να συμβουλευτεί την πολιτική του περί προστασίας της ιδιωτικής ζωής·

έχει συμπεριλάβει στη σχετική πολιτική του περί προστασίας της ιδιωτικής ζωής δήλωση ότι συμμορφώνεται με τις Αρχές και, εάν η πολιτική περί προστασίας της ιδιωτικής ζωής είναι διαθέσιμη στο διαδίκτυο, υπερσύνδεσμο προς τον δικτυακό τόπο του Υπουργείου που αφορά την ασπίδα προστασίας·

έχει προσδιορίσει τον ειδικό επίσημο φορέα στη δικαιοδοσία του οποίου υπάγεται η εξέταση τυχόν προσφυγών κατά του οργανισμού όσον αφορά πιθανές αθέμιτες ή δόλιες πρακτικές και παραβιάσεις νόμων ή κανονισμών που διέπουν την προστασία της ιδιωτικής ζωής (και ο οποίος παρατίθεται στις Αρχές ή σε μελλοντικό παράρτημα των Αρχών)·

εάν ο οργανισμός επιλέξει να συμμορφωθεί με τις απαιτήσεις που προβλέπονται στο στοιχείο α) σημεία i) και iii) της αρχής της προσφυγής, της επιβολής και της ευθύνης, δεσμευόμενος να συνεργαστεί με τις αρμόδιες αρχές προστασίας δεδομένων της ΕΕ («ΑΠΔ»), έχει δηλώσει την πρόθεσή του να συνεργάζεται με τις ΑΠΔ για τη διερεύνηση και επίλυση καταγγελιών που υποβάλλονται στο πλαίσιο της ασπίδας προστασίας, και κυρίως να απαντά στα ερωτήματά τους, όταν τα πρόσωπα από την ΕΕ στα οποία αναφέρονται τα δεδομένα υποβάλλουν καταγγελίες απευθείας στις εθνικές τους ΑΠΔ·

έχει προσδιορίσει κάθε πρόγραμμα προστασίας της ιδιωτικής ζωής στο οποίο συμμετέχει ο οργανισμός·

έχει προσδιορίσει τη μέθοδο επαλήθευσης για τη διασφάλιση της συμμόρφωσης με τις Αρχές (π.χ. εσωτερική, από τρίτο μέρος)·

έχει προσδιορίσει, τόσο στη δήλωση αυτοπιστοποίησης που υπέβαλε όσο και στην πολιτική για την προστασία της ιδιωτικής ζωής που εφαρμόζει, τον ανεξάρτητο μηχανισμό προσφυγής που είναι διαθέσιμος για τη διερεύνηση και την επίλυση καταγγελιών·

έχει συμπεριλάβει στη σχετική πολιτική του για την προστασία της ιδιωτικής ζωής, εάν η πολιτική αυτή είναι διαθέσιμη στο διαδίκτυο, υπερσύνδεσμο προς τον δικτυακό τόπο ή έντυπο υποβολής καταγγελίας του ανεξάρτητου μηχανισμού προσφυγής που διατίθεται για τη διερεύνηση ανεπίλυτων καταγγελιών· και

εάν ο οργανισμός έχει δηλώσει ότι προτίθεται να λαμβάνει πληροφορίες ανθρώπινου δυναμικού οι οποίες διαβιβάζονται από την ΕΕ προς χρήση στο πλαίσιο εργασιακής σχέσης, έχει δηλώσει τη δέσμευσή του να συνεργάζεται και να συμμορφώνεται με τις ΑΠΔ για την επίλυση καταγγελιών σχετικά με τις δραστηριότητές του που αφορούν αυτού του είδους τα δεδομένα, έχει παράσχει στο Υπουργείο αντίγραφο της πολιτικής του για την προστασία της ιδιωτικής ζωής του ανθρώπινου δυναμικού, και έχει αναφέρει το σημείο στο οποίο μπορούν να συμβουλευτούν την εν λόγω πολιτική οι υπάλληλοι τους οποίους αυτή αφορά.

θα συνεργάζεται με τους ανεξάρτητους μηχανισμούς προσφυγής για να επαληθεύει ότι οι οργανισμοί έχουν όντως εγγραφεί στον σχετικό μηχανισμό που αναφέρουν στις δηλώσεις αυτοπιστοποίησης που έχουν υποβάλει, εφόσον η εγγραφή είναι υποχρεωτική.

 

Αύξηση των προσπαθειών για την παρακολούθηση οργανισμών που έχουν διαγραφεί από τον κατάλογο της ασπίδας προστασίας

θα ενημερώνει τους οργανισμούς που διαγράφονται από τον κατάλογο της ασπίδας προστασίας για «επανειλημμένη μη συμμόρφωση» ότι δεν δικαιούνται να διατηρούν πληροφορίες που έχουν συλλέξει στο πλαίσιο της ασπίδας προστασίας· και

θα αποστέλλει ερωτηματολόγια σε οργανισμούς των οποίων έχει λήξει η ισχύς της αυτοπιστοποίησης ή οι οποίοι έχουν εθελοντικά αποχωρήσει από την ασπίδα προστασίας για να επαληθεύει αν ο οργανισμός θα επιστρέψει, θα διαγράψει ή θα συνεχίσει να εφαρμόζει τις Αρχές στις πληροφορίες προσωπικού χαρακτήρα που έλαβε κατά τη διάρκεια της συμμετοχής του στην ασπίδα προστασίας, και σε περίπτωση που θα διατηρηθούν πληροφορίες προσωπικού χαρακτήρα, θα επαληθεύει το άτομο εντός του οργανισμού που θα ενεργεί ως συνεχές σημείο επαφής για θέματα που αφορούν την ασπίδα προστασίας.

 

Αναζήτηση και αντιμετώπιση ψευδών ισχυρισμών περί συμμετοχής

θα εξετάζει τις πολιτικές προστασίας της ιδιωτικής ζωής των οργανισμών που συμμετείχαν κατά το παρελθόν στο πρόγραμμα της ασπίδας προστασίας αλλά έχουν διαγραφεί από τον κατάλογο της ασπίδας προστασίας, ώστε να εντοπίζει τυχόν ψευδείς ισχυρισμούς περί συμμετοχής στην ασπίδα προστασίας·

σε συνεχή βάση, όταν ένας οργανισμός: α) αποσύρει τη συμμετοχή του από την ασπίδα προστασίας, β) δεν προβεί σε επαναπιστοποίηση της συμμόρφωσής του προς τις Αρχές ή γ) διαγραφεί από τον κατάλογο των συμμετεχόντων στην ασπίδα προστασίας κυρίως λόγω «επανειλημμένης μη συμμόρφωσης», θα αναλαμβάνει, αυτεπαγγέλτως, να επαληθεύσει ότι ο οργανισμός έχει απαλείψει από κάθε δημοσιευμένη συναφή πολιτική προστασίας της ιδιωτικής ζωής οποιαδήποτε αναφορά στην ασπίδα προστασίας από την οποία υπονοείται ότι ο οργανισμός εξακολουθεί να συμμετέχει ενεργά στην ασπίδα προστασίας και δικαιούται να απολαύει των οφελών της. Εφόσον το Υπουργείο διαπιστώσει ότι τέτοιου είδους αναφορές δεν έχουν απαλειφθεί, θα εκδίδει προειδοποίηση προς τον οργανισμό ότι πρόκειται να παραπέμψει, κατά περίπτωση, το ζήτημα στη σχετική υπηρεσία για την πιθανή λήψη μέτρων επιβολής του νόμου, εάν ο οργανισμός συνεχίσει να προβαίνει στον ισχυρισμό περί πιστοποίησης στο πλαίσιο της ασπίδας προστασίας. Εάν ο οργανισμός δεν απαλείψει τις αναφορές και δεν προβεί σε επαναπιστοποίηση της συμμόρφωσής του με την ασπίδα προστασίας, το Υπουργείο θα παραπέμπει, αυτεπαγγέλτως, το ζήτημα στην FTC, στο Υπουργείο Μεταφορών ή σε άλλη αρμόδια υπηρεσία επιβολής του νόμου, ή σε κατάλληλες περιπτώσεις, θα αναλαμβάνει δράση για την επιβολή της πιστοποίησης βάσει του σήματος της ασπίδας προστασίας·

θα καταβάλλει άλλες προσπάθειες για τον εντοπισμό ψευδών ισχυρισμών περί συμμετοχής στην ασπίδα προστασία και αθέμιτης χρήσης του σήματος πιστοποίησης της ασπίδας προστασίας, μεταξύ άλλων μέσω αναζήτησης στο διαδίκτυο για τον εντοπισμό εικόνων του σήματος πιστοποίησης της ασπίδας προστασίας, καθώς και αναφορών της ασπίδας προστασίας στις πολιτικές των οργανισμών περί προστασίας της ιδιωτικής ζωής·

θα επιλαμβάνεται άμεσα κάθε ζητήματος που εντοπίζεται στο πλαίσιο της αυτεπάγγελτης παρακολούθησης ψευδών ισχυρισμών συμμετοχής και κατάχρησης του σήματος πιστοποίησης, μεταξύ άλλων μέσω της έκδοσης προειδοποιήσεων προς τους οργανισμούς που προβαίνουν σε ψευδείς δηλώσεις περί συμμετοχής τους στο πρόγραμμα της ασπίδας προστασίας όπως περιγράφεται ανωτέρω·

θα λαμβάνει άλλα δέοντα διορθωτικά μέτρα, μεταξύ άλλων χρησιμοποιώντας κάθε νομική οδό που το Υπουργείο είναι εξουσιοδοτημένο να χρησιμοποιεί και παραπέμποντας τα θέματα στην FTC, στο Υπουργείο Μεταφορών ή σε άλλη αρμόδια υπηρεσία επιβολής του νόμου· και

θα προβαίνει αμέσως στην εξέταση και διεκπεραίωση των καταγγελιών που λαμβάνει σχετικά με ψευδείς ισχυρισμούς συμμετοχής.

Το Υπουργείο θα ελέγχει τις πολιτικές προστασίας της ιδιωτικής ζωής των οργανισμών για να εντοπίζει και να αντιμετωπίζει αποτελεσματικότερα τους ψευδείς ισχυρισμούς περί συμμετοχής στην ασπίδα προστασίας. Ειδικότερα, το Υπουργείο θα ελέγχει τις πολιτικές προστασίας της ιδιωτικής ζωής οργανισμών των οποίων η ισχύς της αυτοπιστοποίησης έχει λήξει διότι δεν προέβησαν σε επαναπιστοποίηση της συμμόρφωσής τους με τις Αρχές. Το Υπουργείο θα διενεργεί τέτοιου είδους ελέγχους για να επαληθεύει ότι οι εν λόγω οργανισμοί έχουν απαλείψει από κάθε δημοσιευμένη συναφή πολιτική προστασίας της ιδιωτικής ζωής τυχόν αναφορές από τις οποίες υπονοείται ότι οι οργανισμοί εξακολουθούν να συμμετέχουν ενεργά στην ασπίδα προστασίας. Αποτέλεσμα των εν λόγω ελέγχων θα είναι ο εντοπισμός των οργανισμών που δεν έχουν απαλείψει τέτοιου είδους αναφορές και η αποστολή προειδοποιητικής επιστολής στους οργανισμούς αυτούς από τη Νομική Υπηρεσία του Υπουργείου για την πιθανή λήψη μέτρων επιβολής του νόμου σε περίπτωση μη απαλοιφής των εν λόγω αναφορών. Το Υπουργείο θα λαμβάνει μέτρα παρακολούθησης για να διασφαλίζει ότι οι οργανισμοί είτε διαγράφουν τις ακατάλληλες αναφορές είτε προβαίνουν σε επαναπιστοποίηση της συμμόρφωσής τους με τις Αρχές. Επιπλέον, το Υπουργείο θα καταβάλλει προσπάθειες για τον εντοπισμό ψευδών ισχυρισμών περί συμμετοχής στην ασπίδα προστασίας από οργανισμούς που δεν έχουν συμμετάσχει ποτέ στο πρόγραμμα της ασπίδας προστασίας, και θα αναλαμβάνει παρόμοιες διορθωτικές δράσεις έναντι των εν λόγω οργανισμών.

 

Διενέργεια περιοδικών αυτεπάγγελτων ελέγχων συμμόρφωσης και αξιολογήσεων του προγράμματος

σε συνεχή βάση, θα παρακολουθεί την αποτελεσματική συμμόρφωση, μεταξύ άλλων μέσω της αποστολής αναλυτικών ερωτηματολογίων στους συμμετέχοντες οργανισμούς για τον εντοπισμό ζητημάτων για τα οποία ενδέχεται να απαιτείται η λήψη περαιτέρω μέτρων παρακολούθησης. Ειδικότερα, οι εν λόγω έλεγχοι συμμόρφωσης θα πραγματοποιούνται στις ακόλουθες περιπτώσεις: α) όταν το Υπουργείο έχει λάβει συγκεκριμένες και βάσιμες καταγγελίες σχετικά με τη συμμόρφωση ενός οργανισμού με τις Αρχές, β) όταν ένας οργανισμός δεν ανταποκρίνεται ικανοποιητικά σε αιτήματα του Υπουργείου για παροχή πληροφοριών σχετικά με την ασπίδα προστασίας, ή γ) όταν υπάρχουν αξιόπιστα αποδεικτικά στοιχεία της μη συμμόρφωσης ενός οργανισμού με τις δεσμεύσεις που έχει αναλάβει στο πλαίσιο της ασπίδας προστασίας. Το Υπουργείο, κατά περίπτωση, διαβουλεύεται με τις αρμόδιες αρχές προστασίας των δεδομένων σχετικά με τους εν λόγω ελέγχους συμμόρφωσης· και

αξιολογεί περιοδικά τη διαχείριση και την εποπτεία του προγράμματος της ασπίδας προστασίας για να διασφαλίζει ότι οι προσπάθειες παρακολούθησης που καταβάλλονται επαρκούν για την αντιμετώπιση νέων ζητημάτων που προκύπτουν.

Το Υπουργείο έχει αυξήσει τους πόρους που θα αφιερώσει στη διαχείριση και την εποπτεία του προγράμματος της ασπίδας προστασίας, μεταξύ άλλων διπλασιάζοντας τον αριθμό των μελών του προσωπικού που θα είναι αρμόδια για τη διαχείριση και την εποπτεία του προγράμματος. Θα συνεχίσουμε να διαθέτουμε επαρκείς πόρους στις προσπάθειες αυτές ώστε να διασφαλίζεται η αποτελεσματική παρακολούθηση και διαχείριση του προγράμματος.

 

Προσαρμογή του δικτυακού τόπου της ασπίδας προστασίας στο κοινό-στόχο

Το Υπουργείο θα προσαρμόσει τον δικτυακό τόπο της ασπίδας προστασίας ώστε να επικεντρώνεται σε τρεις κατηγορίες κοινού-στόχου: ιδιώτες από την ΕΕ, επιχειρήσεις της ΕΕ και επιχειρήσεις των ΗΠΑ. Η προσθήκη υλικού που απευθύνεται ειδικά σε ιδιώτες και επιχειρήσεις της ΕΕ θα ενισχύσει τη διαφάνεια με πολλούς τρόπους. Όσον αφορά τους ιδιώτες από την ΕΕ, θα αναλύει με σαφήνεια: 1) τα δικαιώματα που παρέχει η ασπίδα προστασίας στους ιδιώτες από την ΕΕ· 2) τους μηχανισμούς προσφυγής που είναι στη διάθεση των ιδιωτών από την ΕΕ όταν πιστεύουν ότι ένας οργανισμός έχει παραβεί τη δέσμευσή του να συμμορφώνεται με τις Αρχές· και 3) τους τρόπους εξεύρεσης πληροφοριών σχετικά με την αυτοπιστοποίηση ενός οργανισμού της ασπίδας προστασίας. Όσον αφορά τις επιχειρήσεις της ΕΕ, θα διευκολύνει την επαλήθευση: 1) του αν ένας οργανισμός απολαμβάνει τα οφέλη της ασπίδας προστασίας· 2) του είδους των πληροφοριών που καλύπτονται από την αυτοπιστοποίηση ενός οργανισμού της ασπίδας προστασίας· 3) της πολιτικής προστασίας της ιδιωτικής ζωής που εφαρμόζεται στις καλυπτόμενες πληροφορίες· και 4) της μεθόδου που χρησιμοποιεί ο οργανισμός για να ελέγξει τη συμμόρφωσή του με τις Αρχές.

 

Αύξηση της συνεργασίας με τις ΑΠΔ

Προκειμένου να αυξηθούν οι δυνατότητες συνεργασίας με τις ΑΠΔ, το Υπουργείο θα καθιερώσει ειδικό σημείο επαφής εντός του Υπουργείου το οποίο θα λειτουργεί ως σύνδεσμος με τις ΑΠΔ. Στις περιπτώσεις όπου μια ΑΠΔ πιστεύει ότι ένας οργανισμός δεν συμμορφώνεται με τις Αρχές, μεταξύ άλλων έπειτα από καταγγελία ιδιώτη από την ΕΕ, η ΑΠΔ μπορεί να επικοινωνήσει με το ειδικό σημείο επαφής στο Υπουργείο και να παραπέμψει εκεί τον οργανισμό για περαιτέρω έλεγχο. Το σημείο επαφής θα λαμβάνει επίσης παραπομπές σχετικά με οργανισμούς που προβαίνουν σε ψευδείς ισχυρισμούς περί συμμετοχής στην ασπίδα προστασίας, ενώ δεν έχουν προβεί ποτέ σε αυτοπιστοποίηση της συμμόρφωσής τους προς τις Αρχές. Το σημείο επαφής θα παρέχει βοήθεια στις ΑΠΔ που ζητούν πληροφορίες σχετικά με την αυτοπιστοποίηση συγκεκριμένου οργανισμού ή την προηγούμενη συμμετοχή του στο πρόγραμμα, και το σημείο επαφής θα παρέχει απαντήσεις σε ερωτήματα των ΑΠΔ σχετικά με την εφαρμογή των ειδικών απαιτήσεων της ασπίδας προστασίας. Δεύτερον, το Υπουργείο θα παρέχει στις ΑΠΔ υλικό σχετικά με την ασπίδα προστασίας προκειμένου να το συμπεριλάβουν στους δικτυακούς τους τόπους με στόχο την αύξηση της διαφάνειας για τους ιδιώτες και τις επιχειρήσεις από την ΕΕ. Η αύξηση της ενημέρωσης σχετικά με την ασπίδα προστασίας και σχετικά με τα δικαιώματα και τις ευθύνες που δημιουργεί αναμένεται να διευκολύνουν τον εντοπισμό ζητημάτων που προκύπτουν ώστε να μπορούν να αντιμετωπίζονται δεόντως.

 

Διευκόλυνση της επίλυσης καταγγελιών περί μη συμμόρφωσης

Το Υπουργείο, μέσω του ειδικού σημείου επαφής, θα λαμβάνει καταγγελίες που παραπέμπονται στο Υπουργείο από μια ΑΠΔ περί μη συμμόρφωσης ενός οργανισμού της ασπίδας προστασίας με τις Αρχές. Το Υπουργείο θα καταβάλλει κάθε δυνατή προσπάθεια για να διευκολύνει την επίλυση της καταγγελίας με τον οργανισμό της ασπίδας προστασίας. Εντός 90 ημερών από την παραλαβή της καταγγελίας, το Υπουργείο θα ενημερώνει σχετικά την ΑΠΔ. Για τη διευκόλυνση της υποβολής των καταγγελιών αυτών, το Υπουργείο θα δημιουργήσει ένα πρότυπο έντυπο το οποίο θα υποβάλλουν οι ΑΠΔ στο ειδικό σημείο επαφής του Υπουργείου. Το ειδικό σημείο επαφής θα παρακολουθεί όλες τις παραπομπές από τις ΑΠΔ που λαμβάνει το Υπουργείο, και το Υπουργείο θα παρέχει στον ετήσιο έλεγχο που περιγράφεται κατωτέρω έκθεση στην οποία θα παρατίθεται το σύνολο των καταγγελιών που λαμβάνει σε ετήσια βάση.

 

Εφαρμογή διαιτητικών διαδικασιών και επιλογή διαιτητών κατόπιν διαβούλευσης με την Επιτροπή

Το Υπουργείο θα τηρεί τις δεσμεύσεις του βάσει του παραρτήματος I και θα δημοσιεύει τις διαδικασίες μετά την επίτευξη συμφωνίας.

 

Μηχανισμός κοινής επανεξέτασης της λειτουργίας της ασπίδας προστασίας

Το Υπουργείο Εμπορίου, η FTC και άλλες υπηρεσίες, κατά περίπτωση, θα πραγματοποιούν ετήσιες συνεδριάσεις με την Επιτροπή, τις ενδιαφερόμενες ΑΠΔ, και τους αρμόδιους εκπροσώπους της ομάδας εργασίας του άρθρου 29, στις οποίες το Υπουργείο θα παρέχει ενημέρωση σχετικά με το πρόγραμμα της ασπίδας προστασίας. Οι ετήσιες συνεδριάσεις θα περιλαμβάνουν συζήτηση των τρεχόντων ζητημάτων που αφορούν τη λειτουργία, την εφαρμογή, την εποπτεία και τον έλεγχο της εφαρμογής της ασπίδας προστασίας, συμπεριλαμβανομένων των παραπομπών που έλαβε το Υπουργείο από τις ΑΠΔ, των αποτελεσμάτων των αυτεπάγγελτων ελέγχων συμμόρφωσης, και μπορούν επίσης να περιλαμβάνουν συζήτηση συναφών νομοθετικών αλλαγών. Η πρώτη ετήσια επανεξέταση και κάθε επόμενη επανεξέταση, κατά περίπτωση, θα περιλαμβάνει διάλογο σχετικά με άλλα θέματα, όπως στον τομέα της αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένων πτυχών που αφορούν τις ομοιότητες και τις διαφορές των προσεγγίσεων που ακολουθούνται στην ΕΕ και στις ΗΠΑ.

 

Επικαιροποίηση νομοθεσιών

Το Υπουργείο θα καταβάλλει εύλογες προσπάθειες να ενημερώνει την Επιτροπή για τυχόν ουσιώδεις εξελίξεις στη νομοθεσία των Ηνωμένων Πολιτειών, στον βαθμό που είναι συναφείς με την ασπίδα προστασίας στον τομέα της προστασίας των δεδομένων και της ιδιωτικής ζωής και με τους περιορισμούς και τις διασφαλίσεις που εφαρμόζονται σε ό,τι αφορά την πρόσβαση των αρχών των ΗΠΑ σε δεδομένα προσωπικού χαρακτήρα και τη μετέπειτα χρήση των δεδομένων αυτών.

 

Εξαίρεση για λόγους εθνικής ασφάλειας

Όσον αφορά τους περιορισμούς ως προς τη συμμόρφωση με τις Αρχές της ασπίδας προστασίας για σκοπούς εθνικής ασφάλειας, η Νομική Υπηρεσία του Γραφείου του Διευθυντή της Υπηρεσίας Πληροφοριών, Robert Litt, έχει επίσης απευθύνει δύο επιστολές στους Justin Antonipillai και Ted Dean του Υπουργείου Εμπορίου, οι οποίες σας έχουν διαβιβαστεί. Στις εν λόγω επιστολές αναλύονται διεξοδικά, μεταξύ άλλων, οι πολιτικές, οι διασφαλίσεις και οι περιορισμοί που ισχύουν για τις δραστηριότητες συλλογής πληροφοριών σημάτων που ασκούν οι ΗΠΑ. Επιπλέον, στις εν λόγω επιστολές περιγράφεται η διαφάνεια που παρέχεται από την κοινότητα των υπηρεσιών πληροφοριών σχετικά με τα θέματα αυτά. Δεδομένου ότι η Επιτροπή αξιολογεί το πλαίσιο της ασπίδας προστασίας, οι πληροφορίες που περιλαμβάνονται στις εν λόγω επιστολές παρέχουν επαρκείς διαβεβαιώσεις ώστε να συναχθεί το συμπέρασμα ότι η ασπίδα προστασίας θα λειτουργεί ορθά, σύμφωνα με τις Αρχές που προβλέπονται στο παρόν έγγραφο. Κατανοούμε ότι ενδέχεται στο μέλλον να συγκεντρώσετε πληροφορίες που έχουν διατεθεί στο κοινό από την κοινότητα των υπηρεσιών πληροφοριών, από κοινού με άλλες πληροφορίες, με σκοπό την ενημέρωση της ετήσιας επανεξέτασης του πλαισίου της ασπίδας προστασίας.

Βάσει των Αρχών της ασπίδας προστασίας και των συνοδευτικών επιστολών και υλικών, συμπεριλαμβανομένων των δεσμεύσεων του Υπουργείου σχετικά με τη διαχείριση και την εποπτεία του πλαισίου της ασπίδας προστασίας, η προσδοκία μας είναι ότι η Επιτροπή θα διαπιστώσει ότι το πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ παρέχει επαρκή προστασία για τους σκοπούς του δικαίου της ΕΕ και ότι θα συνεχιστεί η διαβίβαση δεδομένων από την Ευρωπαϊκή Ένωση στους οργανισμούς που συμμετέχουν στην ασπίδα προστασίας.

Με τιμή,

Ken Hyatt

Παράρτημα 2

Πρότυπο διαιτητικών διαδικασιών

ΠΑΡΑΡΤΗΜΑ I

Στο παράρτημα I προβλέπονται οι όροι βάσει των οποίων οι οργανισμοί της ασπίδας προστασίας υποχρεούνται να αποδέχονται τη διαδικασία διαιτησίας για καταγγελίες, σύμφωνα με την αρχή της προσφυγής, της επιβολής και της ευθύνης. Η δυνατότητα προσφυγής σε δεσμευτική διαιτησία που περιγράφεται κατωτέρω εφαρμόζεται σε ορισμένες «εναπομένουσες» καταγγελίες που αφορούν δεδομένα που καλύπτονται από την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ. Ο σκοπός της δυνατότητας αυτής είναι η παροχή ενός άμεσου, ανεξάρτητου και δίκαιου μηχανισμού, κατ' επιλογή των ιδιωτών, για τη διευθέτηση καταγγελιών για παραβίαση των Αρχών οι οποίες δεν διευθετήθηκαν στο πλαίσιο οποιουδήποτε άλλου μηχανισμού της ασπίδας προστασίας, εφόσον υπάρχει.

A.   Πεδίο εφαρμογής

Η εν λόγω δυνατότητα προσφυγής σε διαδικασία διαιτησίας διατίθεται σε έναν ιδιώτη προκειμένου να ληφθεί απόφαση, για εναπομένουσες καταγγελίες, σχετικά με το αν ένας οργανισμός της ασπίδας προστασίας έχει παραβεί τις υποχρεώσεις του δυνάμει των Αρχών έναντι του εν λόγω ιδιώτη και αν οποιαδήποτε παραβίαση αυτού του είδους εξακολουθεί να μην έχει αποκατασταθεί ή έχει αποκατασταθεί μόνον εν μέρει. Η δυνατότητα αυτή παρέχεται μόνο για τους σκοπούς αυτούς. Δεν παρέχεται, για παράδειγμα, στην περίπτωση εξαιρέσεων από τις Αρχές (1) ή για ισχυρισμό που αφορά την επάρκεια της ασπίδας προστασίας.

Β.   Διαθέσιμα διορθωτικά μέτρα

Στο πλαίσιο της εν λόγω δυνατότητας διαιτησίας, η επιτροπή της ασπίδας προστασίας (που αποτελείται από έναν ή τρεις διαιτητές, βάσει συμφωνίας των μερών) έχει την εξουσία να επιβάλλει ειδικό ανά ιδιώτη, μη χρηματικό εύλογο μέτρο (όπως πρόσβαση, διόρθωση, διαγραφή ή επιστροφή των δεδομένων του εν λόγω ιδιώτη) που απαιτείται για την αποκατάσταση της παραβίασης των Αρχών μόνο σε σχέση με τον ιδιώτη. Αυτές είναι οι μοναδικές αρμοδιότητες της επιτροπής διαιτησίας όσον αφορά τα διορθωτικά μέτρα. Κατά την εξέταση των διορθωτικών μέτρων, η επιτροπή διαιτησίας πρέπει να λαμβάνει υπόψη άλλα διορθωτικά μέτρα που έχουν ήδη επιβληθεί από άλλους μηχανισμούς στο πλαίσιο της ασπίδας προστασίας. Δεν διατίθενται αποζημιώσεις, δαπάνες, τέλη ή άλλου είδους διορθωτικά μέτρα. Κάθε μέρος καταβάλλει την αμοιβή του δικηγόρου του.

Γ.   Απαιτήσεις προ της διαιτησίας

Ιδιώτης ο οποίος αποφασίζει να χρησιμοποιήσει την εν λόγω δυνατότητα προσφυγής σε διαιτησία πρέπει να προβεί στις ακόλουθες ενέργειες πριν προσφύγει στη διαδικασία διαιτησίας: 1) να αναφέρει την εικαζόμενη παραβίαση απευθείας στον οργανισμό και να παράσχει στον οργανισμό την ευκαιρία να επιλύσει το ζήτημα εντός του χρονικού ορίου που ορίζεται στο τμήμα III παράγραφος 11 στοιχείο δ) σημείο i) των Αρχών· 2) να κάνει χρήση του ανεξάρτητου μηχανισμού προσφυγής που προβλέπεται από τις Αρχές, ο οποίος παρέχεται δωρεάν στον ιδιώτη· και 3) να παραπέμψει το ζήτημα μέσω της αρχής προστασίας δεδομένων στο Υπουργείο Εμπορίου και να παράσχει στο Υπουργείο Εμπορίου την ευκαιρία να καταβάλει τις βέλτιστες δυνατές προσπάθειες για να επιλύσει το ζήτημα εντός των χρονικών ορίων που ορίζονται στην επιστολή της Διοίκησης Διεθνούς Εμπορίου του Υπουργείου Εμπορίου, χωρίς οικονομική επιβάρυνση του ιδιώτη.

Η εν λόγω δυνατότητα προσφυγής σε διαιτησία δεν μπορεί να χρησιμοποιηθεί εάν ο ισχυρισμός του ιδιώτη περί παραβίασης των Αρχών 1) έχει ήδη αποτελέσει στο παρελθόν αντικείμενο δεσμευτικής διαιτησίας· 2) έχει αποτελέσει αντικείμενο τελικής απόφασης που εκδόθηκε σε δικαστική διαδικασία στην οποία ο ιδιώτης ήταν ένας εκ των διαδίκων· ή 3) έχει αποτελέσει προηγουμένως αντικείμενο διακανονισμού μεταξύ των μερών. Επιπλέον, η δυνατότητα αυτή δεν μπορεί να χρησιμοποιηθεί εάν η αρχή προστασίας δεδομένων της ΕΕ 1) διαθέτει αρμοδιότητα βάσει των τμημάτων ΙΙΙ παράγραφος 5 και ΙΙΙ παράγραφος 9 των Αρχών· ή 2) διαθέτει αρμοδιότητα όσον αφορά την επίλυση της εικαζόμενης παραβίασης απευθείας με τον οργανισμό. Η αρμοδιότητα της ΑΠΔ για επίλυση της ίδιας καταγγελίας κατά υπευθύνου επεξεργασίας δεδομένων της ΕΕ δεν αποκλείει από μόνη της τη χρήση της εν λόγω δυνατότητας προσφυγής σε διαιτησία εναντίον διαφορετικής νομικής οντότητας που δεν δεσμεύεται από την αρμοδιότητα της ΑΔΠ.

Δ.   Δεσμευτικός χαρακτήρας των αποφάσεων

Η απόφαση ιδιώτη να χρησιμοποιήσει την εν λόγω δυνατότητα προσφυγής σε δεσμευτική διαιτησία είναι αμιγώς εθελοντική. Οι διαιτητικές αποφάσεις είναι δεσμευτικές για όλα τα μέρη που εμπλέκονται στη διαδικασία διαιτησίας. Εφόσον προσφύγει στη διαδικασία διαιτησίας, ο ιδιώτης παραιτείται της επιλογής του να επιδιώξει αποκατάσταση για την ίδια εικαζόμενη παραβίαση σε άλλο δικαιοδοτικό όργανο, εκτός από την περίπτωση στην οποία, εάν το μη χρηματικό εύλογο μέτρο δεν αποκαθιστά πλήρως την εικαζόμενη παραβίαση, η προσφυγή του ιδιώτη στη διαδικασία διαιτησίας δεν θα αποκλείει τη δυνατότητα αξίωσης αποζημίωσης η οποία διατίθεται μέσω της δικαστικής οδού.

Ε.   Έλεγχος και επιβολή του νόμου

Οι ιδιώτες και οι οργανισμοί της ασπίδας προστασίας θα έχουν τη δυνατότητα προσφυγής στα δικαστήρια για τον δικαστικό έλεγχο και την εκτέλεση των διαιτητικών αποφάσεων δυνάμει του δικαίου των ΗΠΑ, όπως προβλέπεται στον ομοσπονδιακό νόμο περί διαιτησίας (2). Κάθε τέτοια υπόθεση πρέπει να παραπέμπεται στο ομοσπονδιακό πρωτοδικείο στην εδαφική δικαιοδοσία του οποίου εμπίπτει ο κύριος τόπος δραστηριότητας του οργανισμού της ασπίδας προστασίας.

Σκοπός της εν λόγω δυνατότητας προσφυγής σε διαιτησία είναι η επίλυση ατομικών διαφορών, και οι διαιτητικές αποφάσεις δεν αποσκοπούν στο να αποτελέσουν πειστικό ή δεσμευτικό προηγούμενο σε ζητήματα που αφορούν άλλα μέρη, μεταξύ άλλων στο πλαίσιο μελλοντικών διαδικασιών διαιτησίας ή σε δικαστήρια της ΕΕ ή των ΗΠΑ ή σε διαδικασίες της FTC.

ΣΤ.   Η επιτροπή διαιτησίας

Τα μέρη επιλέγουν τους διαιτητές από τον κατάλογο διαιτητών που αναφέρεται στη συνέχεια.

Σύμφωνα με το εφαρμοστέο δίκαιο, το Υπουργείο Εμπορίου των ΗΠΑ και η Ευρωπαϊκή Επιτροπή θα καταρτίσουν κατάλογο 20 τουλάχιστον διαιτητών, οι οποίοι θα επιλεγούν με γνώμονα την ανεξαρτησία, την ακεραιότητα και την εμπειρογνωσία τους. Στη διαδικασία αυτή εφαρμόζονται οι ακόλουθες διατάξεις:

Οι διαιτητές:

1)

παραμένουν στον κατάλογο για περίοδο 3 ετών, απουσία εξαιρετικών περιστάσεων ή εύλογης αιτίας, η οποία μπορεί να ανανεωθεί για μία επιπλέον τριετή περίοδο·

2)

δεν λαμβάνουν οδηγίες ούτε συνδέονται με οποιοδήποτε από τα μέρη ή με οποιονδήποτε οργανισμό της ασπίδας προστασίας ή με τις ΗΠΑ, την ΕΕ ή οποιοδήποτε κράτος μέλος της ΕΕ ή με οποιαδήποτε άλλη κυβερνητική αρχή, δημόσια αρχή ή αρχή επιβολής του νόμου· και

3)

πρέπει να διαθέτουν άδεια άσκησης του νομικού επαγγέλματος στις ΗΠΑ και να είναι ειδικοί στο δίκαιο περί προστασίας της ιδιωτικής ζωής των ΗΠΑ, με εμπειρογνωσία στον τομέα του δικαίου περί προστασίας δεδομένων της ΕΕ.

Ζ.   Διαδικασίες διαιτησίας

Σύμφωνα με το εφαρμοστέο δίκαιο, εντός 6 μηνών από την έκδοση της απόφασης περί επάρκειας, το Υπουργείο Εμπορίου και η Ευρωπαϊκή Επιτροπή θα συμφωνήσουν στην έγκριση ενός συνόλου υφιστάμενων και καθιερωμένων διαδικασιών διαιτησίας των ΗΠΑ (όπως οι διαδικασίες AAA ή JAMS) οι οποίες θα διέπουν τις υποθέσεις που εξετάζονται ενώπιον της επιτροπής της ασπίδας προστασίας, με την επιφύλαξη εκάστης εκ των ακόλουθων περιπτώσεων:

1.

Κάθε ιδιώτης δύναται να κινήσει διαδικασία δεσμευτικής διαιτησίας, με την επιφύλαξη της ανωτέρω διάταξης περί απαιτήσεων προ της διαιτησίας, επιδίδοντας «κοινοποίηση» στον οργανισμό. Η κοινοποίηση περιλαμβάνει συνοπτική περιγραφή των μέτρων που λαμβάνονται βάσει της παραγράφου Γ για την εξεύρεση λύσης στην καταγγελία, περιγραφή της εικαζόμενης παραβίασης και, κατ' επιλογή του ιδιώτη, τυχόν δικαιολογητικά έγγραφα και σχετικό υλικό και/ή νομική μελέτη σχετική με την καταγγελία.

2.

Θα αναπτυχθούν διαδικασίες προκειμένου να διασφαλιστεί ότι για την ίδια παραβίαση την οποία καταγγέλλει ένας ιδιώτης δεν επιβάλλονται δύο φορές διορθωτικά μέτρα και δεν διεξάγονται διπλές διαδικασίες.

3.

Η δράση της FTC μπορεί να πραγματοποιείται παράλληλα με τη διαιτησία.

4.

Κανένας εκπρόσωπος των ΗΠΑ, της ΕΕ ή οποιουδήποτε κράτους μέλους της ΕΕ ή άλλης κυβερνητικής αρχής, δημόσιας αρχής, ή αρχής επιβολής του νόμου δεν δύναται να συμμετέχει στις εν λόγω διαδικασίες διαιτησίας, υπό τον όρο ότι, κατόπιν αιτήματος ιδιώτη από την ΕΕ, οι ΑΠΔ της ΕΕ δύνανται να παρέχουν συνδρομή μόνο για την κατάρτιση της κοινοποίησης χωρίς ωστόσο να τους παρέχεται πρόσβαση στα αποδεικτικά στοιχεία προ της διαδικασίας ή σε άλλο τυχόν υλικό που συνδέεται με τις εν λόγω διαδικασίες διαιτησίας.

5.

Η διαιτητική διαδικασία λαμβάνει χώρα στις ΗΠΑ και ο ιδιώτης μπορεί να επιλέξει να συμμετάσχει μέσω βίντεο ή τηλεφώνου, δυνατότητα η οποία παρέχεται δωρεάν. Δεν απαιτείται η διά ζώσης συμμετοχή.

6.

Η γλώσσα της διαιτησίας θα είναι η αγγλική εκτός εάν συμφωνηθεί διαφορετικά μεταξύ των μέρων. Κατόπιν αιτιολογημένου αιτήματος, και λαμβάνοντας υπόψη αν ο ιδιώτης εκπροσωπείται από δικηγόρο, θα παρέχονται στον ιδιώτη δωρεάν υπηρεσίες διερμηνείας κατά τη διαδικασία διαιτησίας καθώς και υπηρεσίες μετάφρασης του σχετικού υλικού, εκτός εάν η επιτροπή κρίνει ότι, υπό τις συνθήκες της συγκεκριμένης διαδικασίας διαιτησίας, κάτι τέτοιο συνεπάγεται αδικαιολόγητο ή δυσανάλογο κόστος.

7.

Το υλικό που υποβάλλεται στους διαιτητές είναι εμπιστευτικό και χρησιμοποιείται μόνο σε σχέση με τη διαδικασία διαιτησίας.

8.

Η πρόσβαση σε στοιχεία που αφορούν ειδικά τον ιδιώτη προ της διαδικασίας επιτρέπεται εάν είναι απαραίτητη, και τα εν λόγω στοιχεία θα τηρούνται εμπιστευτικά από όλα τα μέρη και θα χρησιμοποιούνται μόνο σε σχέση με τη διαιτησία.

9.

Οι διαδικασίες διαιτησίας θα πρέπει να ολοκληρώνονται εντός 90 ημερών από την επίδοση της κοινοποίησης στον σχετικό οργανισμό, εκτός εάν συμφωνηθεί άλλως από τα μέρη.

Η.   Δαπάνες

Οι διαιτητές θα πρέπει να λαμβάνουν εύλογα μέτρα για την ελαχιστοποίηση των δαπανών ή των τελών των διαιτητικών διαδικασιών.

Με την επιφύλαξη του εφαρμοστέου δικαίου, το Υπουργείο Εμπορίου θα διευκολύνει τη δημιουργία ταμείου, στο οποίο οι οργανισμοί της ασπίδας προστασίας θα υποχρεούνται να καταβάλλουν ετήσια εισφορά, βάσει εν μέρει του μεγέθους του οργανισμού, το οποίο θα καλύπτει τις δαπάνες διαιτησίας, συμπεριλαμβανομένης της αμοιβής των διαιτητών, έως ένα μέγιστο ποσό («ανώτατο όριο»), σε συμφωνία με την Ευρωπαϊκή Επιτροπή. Τη διαχείριση του ταμείου θα αναλάβει τρίτο μέρος, το οποίο θα υποβάλλει τακτικά εκθέσεις σχετικά με τις δραστηριότητες του ταμείου. Κατά την ετήσια επανεξέταση, το Υπουργείο Εμπορίου και η Ευρωπαϊκή Επιτροπή θα επανεξετάζουν τη λειτουργία του ταμείου, συμπεριλαμβανομένης της ανάγκης προσαρμογής του ποσού της εισφοράς ή των ανώτατων ορίων, και θα λαμβάνουν υπόψη, μεταξύ άλλων, τον αριθμό των διαδικασιών διαιτησίας, καθώς και τις δαπάνες και τον χρόνο των διαδικασιών, με την αμοιβαία συμφωνία ότι δεν θα είναι υπερβολική η οικονομική επιβάρυνση για τους οργανισμούς της ασπίδας προστασίας. Η αμοιβή των δικηγόρων δεν καλύπτεται από την παρούσα διάταξη ούτε από οποιοδήποτε ταμείο που προβλέπεται βάσει της παρούσας διάταξης.


(1)  Tμήμα I παράγραφος 5 των Αρχών.

(2)  Στο κεφάλαιο 2 του ομοσπονδιακού νόμου περί διαιτησίας (Federal Arbitration Act, «FAA») ορίζεται ότι «συμφωνία στο πλαίσιο διαιτησίας ή διαιτητική απόφαση που προκύπτει από νομική σχέση, συμβατική ή όχι, η οποία θεωρείται εμπορική, συμπεριλαμβανομένης συναλλαγής, σύμβασης ή συμφωνίας που περιγράφεται στο [τμήμα 2 του FAA], εμπίπτει στο πεδίο εφαρμογής της σύμβασης [για την αναγνώριση και την εκτέλεση αποφάσεων αλλοδαπού διαιτητικού οργάνου της 10ης Ιουνίου 1958, 21 U.S.T. 2519, T.I.A.S. αριθ. 6997 (“σύμβαση της Νέας Υόρκης”)]». 9 U.S.C. § 202. Στον FAA ορίζεται περαιτέρω ότι «συμφωνία ή απόφαση που προκύπτει από τέτοιου είδους σχέση η οποία υφίσταται εξ ολοκλήρου μεταξύ πολιτών των ΗΠΑ θεωρείται ότι δεν εμπίπτει στη σύμβαση [της Νέας Υόρκης] εκτός εάν η σχέση συνδέεται με ιδιοκτησία που βρίσκεται στο εξωτερικό, αφορά εκτέλεση ή επιβολή του νόμου στο εξωτερικό, ή έχει κάποια άλλη εύλογη σχέση με ένα ή περισσότερα ξένα κράτη». Ό.π. Βάσει του κεφαλαίου 2, «κάθε μέρος που συμμετέχει στη διαδικασία διαιτησίας δύναται να προσφύγει σε οποιοδήποτε δικαστήριο έχει δικαιοδοσία βάσει του παρόντος κεφαλαίου για την έκδοση εντολής που επιβεβαιώνει τη διαιτητική απόφαση που έχει εκδοθεί εις βάρος οποιουδήποτε άλλου μέρους της διαδικασίας διαιτησίας. Το δικαστήριο επιβεβαιώνει τη διαιτητική απόφαση εκτός εάν διαπιστώσει ότι συντρέχει ένας από τους λόγους για άρνηση ή αναβολή της αναγνώρισης ή της εκτέλεσης της διαιτητικής απόφασης όπως αναφέρεται στην προαναφερόμενη σύμβαση [της Νέας Υόρκης]». Ό.π. § 207. Στο κεφάλαιο 2 προβλέπεται περαιτέρω ότι «τα πρωτοδικεία των ΗΠΑ. .. έχουν καταρχήν αρμοδιότητα σε. .. αγωγές ή διαδικασίες [βάσει της σύμβασης της Νέας Υόρκης], ανεξάρτητα από το επίμαχο ποσό». Ό.π. § 203.

Στο κεφάλαιο 2 προβλέπεται επίσης ότι το «κεφάλαιο 1 εφαρμόζεται σε αγωγές και διαδικασίες που ασκούνται βάσει του παρόντος κεφαλαίου στον βαθμό που το εν λόγω κεφάλαιο δεν αντιβαίνει στις διατάξεις του παρόντος κεφαλαίου ή της σύμβασης [της Νέας Υόρκης] όπως έχει κυρωθεί από τις ΗΠΑ». Ό.π. § 208. Στο κεφάλαιο 1, αντιστοίχως, ορίζεται ότι «γραπτή διάταξη. .. σύμβασης που αποδεικνύει εμπορική συναλλαγή για τη διευθέτηση, μέσω διαιτησίας, μιας διαφοράς που προκύπτει από τέτοιου είδους σύμβαση ή συναλλαγή ή την άρνηση εκτέλεσης του συνόλου ή οποιουδήποτε μέρους αυτής, ή έγγραφη αποδοχή της υποβολής σε διαιτησία υφιστάμενης διαφοράς που προκύπτει από τέτοιου είδους σύμβαση, συναλλαγή ή άρνηση, είναι έγκυρη, αμετάκλητη και εκτελεστή, εκτός εάν συντρέχουν λόγοι που ισχύουν βάσει του δικαίου για την ανάκληση οποιασδήποτε σύμβασης». Ό.π. § 2. Στο κεφάλαιο 1 ορίζεται επίσης ότι «κάθε μέρος που συμμετέχει στη διαδικασία διαιτησίας δύναται να προσφύγει στο οριζόμενο δικαστήριο για την έκδοση εντολής που θα επιβεβαιώνει τη διαιτητική απόφαση, και το δικαστήριο οφείλει να εκδώσει την εν λόγω εντολή εκτός εάν η διαιτητική απόφαση ακυρωθεί, τροποποιηθεί ή διορθωθεί όπως προβλέπεται στα τμήματα 10 και 11 του [FAA]». Ό.π. § 9.


ΠΑΡΑΡΤΗΜΑ II

ΑΡΧΕΣ ΤΟΥ ΠΛΑΙΣΙΟΥ ΤΗΣ ΑΣΠΙΔΑΣ ΠΡΟΣΤΑΣΙΑΣ ΤΗΣ ΙΔΙΩΤΙΚΗΣ ΖΩΗΣ ΕΕ–ΗΠΑ ΠΟΥ ΕΞΕΔΩΣΕ ΤΟ ΥΠΟΥΡΓΕΙΟ ΕΜΠΟΡΙΟΥ ΤΩΝ ΗΝΩΜΕΝΩΝ ΠΟΛΙΤΕΙΩΝ

I.   ΕΠΙΣΚΟΠΗΣΗ

1.

Παρότι οι Ηνωμένες Πολιτείες της Αμερικής και η Ευρωπαϊκή Ένωση έχουν ως κοινό στόχο την ενίσχυση της προστασίας της ιδιωτικής ζωής, οι ΗΠΑ υιοθετούν μια προσέγγιση ως προς την ιδιωτική ζωή η οποία διαφέρει από εκείνη της Ευρωπαϊκής Ένωσης. Οι ΗΠΑ ακολουθούν μια τομεακή προσέγγιση που βασίζεται σε ένα συνονθύλευμα νομοθετικών πράξεων, κανονιστικών διατάξεων και διατάξεων αυτορρύθμισης. Δεδομένων των εν λόγω διαφορών και προκειμένου να παρασχεθεί στους οργανισμούς των ΗΠΑ ένας αξιόπιστος μηχανισμός για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση στις Ηνωμένες Πολιτείες της Αμερικής, διασφαλίζοντας ταυτόχρονα ότι τα πρόσωπα στην ΕΕ στα οποία αναφέρονται τα δεδομένα εξακολουθούν να απολαύουν αποτελεσματικών διασφαλίσεων και προστασίας, όπως απαιτείται από την ευρωπαϊκή νομοθεσία, όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων όταν διαβιβάζονται σε χώρες εκτός ΕΕ, το Υπουργείο Εμπορίου εκδίδει τις παρούσες αρχές της ασπίδας προστασίας της ιδιωτικής ζωής, συμπεριλαμβανομένων των συμπληρωματικών αρχών (εφεξής συνολικά«οι Αρχές») ως εκ του νόμου αρμόδιο όργανο για την ενίσχυση, την προώθηση και την ανάπτυξη του διεθνούς εμπορίου (15 U.S.C. § 1512). Οι Αρχές αναπτύχθηκαν σε συνεννόηση με την Ευρωπαϊκή Επιτροπή, καθώς και με τη βιομηχανία και άλλους ενδιαφερόμενους φορείς για να διευκολυνθούν οι συναλλαγές και το εμπόριο μεταξύ των Ηνωμένων Πολιτειών της Αμερικής και της Ευρωπαϊκής Ένωσης. Προορίζονται αποκλειστικά για χρήση από οργανισμούς των ΗΠΑ που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ευρωπαϊκή Ένωση, προκειμένου οι οργανισμοί αυτοί να πληρούν τις προϋποθέσεις της ασπίδας προστασίας και να επωφελούνται, ως εκ τούτου, από την απόφαση της Ευρωπαϊκής Επιτροπής περί επάρκειας (1). Οι Αρχές δεν επηρεάζουν την εφαρμογή άλλων εθνικών διατάξεων εφαρμογής της οδηγίας 95/46/ΕΚ («η οδηγία») που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, ούτε περιορίζουν τις υποχρεώσεις προστασίας της ιδιωτικής ζωής που εφαρμόζονται με άλλον τρόπο δυνάμει του δικαίου των ΗΠΑ.

2.

Ένας οργανισμός, για να μπορεί να βασίζεται στην ασπίδα προστασίας ώστε να προβαίνει σε διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την ΕΕ, πρέπει να αυτοπιστοποιηθεί όσον αφορά τη συμμόρφωσή του με τις Αρχές στο Υπουργείο Εμπορίου (ή σε οριζόμενο από αυτό φορέα) («το Υπουργείο»). Παρότι η απόφαση ενός οργανισμού να ενταχθεί με τον τρόπο αυτό στην ασπίδα προστασίας είναι εξ ολοκλήρου προαιρετική, η πραγματική συμμόρφωση είναι υποχρεωτική: οι οργανισμοί που αυτοπιστοποιούνται στο Υπουργείο και δηλώνουν δημοσίως τη δέσμευσή τους να τηρούν τις Αρχές πρέπει να συμμορφώνονται πλήρως με αυτές. Προκειμένου να ενταχθεί ένας οργανισμός στην ασπίδα προστασίας, πρέπει α) να υπόκειται στις εξουσίες διεξαγωγής ερευνών και επιβολής του νόμου της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission, «FTC»), του Υπουργείου Μεταφορών ή άλλου επίσημου φορέα που θα διασφαλίσει αποτελεσματικά τη συμμόρφωση με τις Αρχές (άλλοι επίσημοι φορείς των ΗΠΑ που αναγνωρίζονται από την ΕΕ μπορούν να συμπεριληφθούν στο μέλλον εν είδει παραρτήματος)· β) να δηλώσει δημοσίως τη δέσμευσή του να συμμορφώνεται με τις Αρχές· γ) να δημοσιεύσει τις οικείες πολιτικές προστασίας της ιδιωτικής ζωής σύμφωνα με τις εν λόγω Αρχές· και δ) να τις εφαρμόζει πλήρως. Μη συμμόρφωση οργανισμού με τις αρχές συνεπάγεται επιβολή κυρώσεων δυνάμει του τμήματος 5 του νόμου περί της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission Act) το οποίο απαγορεύει τις αθέμιτες και δόλιες ενέργειες στο εμπόριο ή που θίγουν το εμπόριο [15 U.S.C. § 45(a)] ή άλλων νομοθετικών ή κανονιστικών διατάξεων που απαγορεύουν τις ενέργειες αυτές.

3.

Το Υπουργείο Εμπορίου θα τηρεί και θα θέτει στη διάθεση του κοινού επίσημο κατάλογο των οργανισμών των ΗΠΑ που έχουν προβεί σε αυτοπιστοποίηση στο Υπουργείο και έχουν δηλώσει τη δέσμευσή τους να τηρούν τις Αρχές (ο «κατάλογος της ασπίδας προστασίας»). Τα οφέλη της ασπίδας προστασίας εξασφαλίζονται από την ημερομηνία κατά την οποία το Υπουργείο εντάσσει τον οργανισμό στον κατάλογο της ασπίδας προστασίας. Το Υπουργείο διαγράφει έναν οργανισμό από τον κατάλογο της ασπίδας προστασίας εάν ο οργανισμός αποχωρήσει οικειοθελώς από την ασπίδα προστασίας ή εάν δεν προβεί στην ετήσια επαναπιστοποίησή του στο Υπουργείο. Η διαγραφή ενός οργανισμού από τον κατάλογο της ασπίδας προστασίας συνεπάγεται ότι δεν δύναται πλέον να επωφελείται από την απόφαση της Ευρωπαϊκής Επιτροπής περί επάρκειας ώστε να λαμβάνει πληροφορίες προσωπικού χαρακτήρα από την ΕΕ. Ο οργανισμός πρέπει να συνεχίσει να εφαρμόζει τις Αρχές στις πληροφορίες προσωπικού χαρακτήρα που έλαβε κατά τη διάρκεια της συμμετοχής του στην ασπίδα προστασίας, και να επιβεβαιώνει σε ετήσια βάση στο Υπουργείο τη δέσμευσή του για την εφαρμογή των εν λόγω αρχών, για όσο διάστημα διατηρεί τις πληροφορίες αυτές· σε διαφορετική περίπτωση, ο οργανισμός πρέπει να επιστρέψει ή να διαγράψει τις πληροφορίες ή να παρέχει «επαρκή» προστασία για τις πληροφορίες αυτές με άλλα εγκεκριμένα μέσα. Το Υπουργείο διαγράφει επίσης από τον κατάλογο της ασπίδας προστασίας τους οργανισμούς για τους οποίους διαπιστώνονται επανειλημμένως περιπτώσεις μη συμμόρφωσης με τις Αρχές· οι εν λόγω οργανισμοί δεν δικαιούνται να απολαμβάνουν τα οφέλη της ασπίδας προστασίας και πρέπει να επιστρέψουν ή να διαγράψουν τις πληροφορίες προσωπικού χαρακτήρα που έχουν λάβει στο πλαίσιο της ασπίδας προστασίας.

4.

Το Υπουργείο θα τηρεί επίσης και θα θέτει στη διάθεση του κοινού επίσημο αρχείο των οργανισμών των ΗΠΑ που είχαν στο παρελθόν προβεί σε αυτοπιστοποίηση στο Υπουργείο, αλλά έχουν πλέον διαγραφεί από τον κατάλογο της ασπίδας προστασίας. Το Υπουργείο θα εκδίδει σαφή προειδοποίηση ότι οι εν λόγω οργανισμοί δεν συμμετέχουν στην ασπίδα προστασίας· ότι η διαγραφή από τον κατάλογο της ασπίδας προστασίας συνεπάγεται ότι οι εν λόγω οργανισμοί δεν δύνανται πλέον να δηλώνουν ότι συμμορφώνονται με την ασπίδα προστασίας και ότι πρέπει να αποφεύγουν κάθε δήλωση ή παραπλανητική πρακτική από την οποία να υπονοείται ότι συμμετέχουν στην ασπίδα προστασίας· και ότι οι εν λόγω οργανισμοί δεν έχουν πλέον το δικαίωμα να επωφελούνται από την απόφαση της Ευρωπαϊκής Επιτροπής περί επάρκειας, η οποία παρέχει στους οργανισμούς τη δυνατότητα να λαμβάνουν πληροφορίες προσωπικού χαρακτήρα από την ΕΕ. Τυχόν οργανισμός που εξακολουθεί να ισχυρίζεται ότι συμμετέχει στην ασπίδα προστασίας ή να προβαίνει σε άλλου είδους ψευδείς δηλώσεις σχετικά με την ασπίδα προστασίας αφού έχει διαγραφεί από τον κατάλογο της ασπίδας προστασίας μπορεί να υπόκειται σε μέτρα επιβολής του νόμου που λαμβάνονται από την FTC, το Υπουργείο Μεταφορών ή άλλες αρχές επιβολής.

5.

Η τήρηση των εν λόγω Αρχών δύναται να περιοριστεί: α) στο μέτρο που είναι αναγκαίο για να πληρούνται απαιτήσεις εθνικής ασφάλειας, δημόσιου συμφέροντος ή επιβολής του νόμου· β) από νομοθετικές, κυβερνητικές ή νομολογιακές διατάξεις οι οποίες δημιουργούν αντίθετες υποχρεώσεις ή ρητές εξουσιοδοτήσεις, υπό τον όρο ότι, κατά την άσκηση οποιασδήποτε παρόμοιας εξουσιοδότησης, ο οργανισμός μπορεί να αποδείξει ότι η μη συμμόρφωσή του με τις Αρχές περιορίζεται στο μέτρο που είναι αναγκαίο για την προάσπιση των υπερισχυόντων νόμιμων συμφερόντων τα οποία εξυπηρετεί η εν λόγω εξουσιοδότηση· ή γ) από εξαιρέσεις ή παρεκκλίσεις τις οποίες προβλέπει η οδηγία ή το δίκαιο του κράτους μέλους, εφόσον οι εν λόγω εξαιρέσεις ή παρεκκλίσεις εφαρμόζονται σε συγκρίσιμα πλαίσια. Σε συνέπεια με το στόχο της ενίσχυσης της προστασίας της ιδιωτικής ζωής, οι οργανισμοί οφείλουν να καταβάλλουν κάθε προσπάθεια ώστε να εφαρμόζουν τις παρούσες Αρχές κατά τρόπο πλήρη και διαφανή, ενώ θα πρέπει επίσης να υποδεικνύουν στις σχετικές με την προστασία της ιδιωτικής ζωής πολιτικές τους, τις περιπτώσεις όπου θα εφαρμόζονται σε τακτική βάση οι εξαιρέσεις από τις Αρχές που επιτρέπονται από το στοιχείο β) ανωτέρω. Για τον ίδιο λόγο, όταν θα επιτρέπεται η εναλλακτική δυνατότητα βάσει των Αρχών και/ή του δικαίου των ΗΠΑ, αναμένεται από τους οργανισμούς να επιλέγουν την υψηλότερη προστασία όπου αυτό είναι δυνατόν.

6.

Οι οργανισμοί υποχρεούνται να εφαρμόζουν τις Αρχές σε όλα τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται στο πλαίσιο της ασπίδας προστασίας μετά την προσχώρησή τους στην ασπίδα προστασίας. Οργανισμός που επιλέγει να επεκτείνει τα οφέλη της ασπίδας προστασίας σε προσωπικές πληροφορίες ανθρώπινου δυναμικού που διαβιβάζονται από την ΕΕ για χρήση στο πλαίσιο εργασιακής σχέσης, πρέπει να το αναφέρει όταν προβαίνει σε αυτοπιστοποίηση στο Υπουργείο και να συμμορφώνεται με τις απαιτήσεις που ορίζονται στη συμπληρωματική αρχή της αυτοπιστοποίησης.

7.

Το δίκαιο των ΗΠΑ εφαρμόζεται σε ζητήματα ερμηνείας και συμμόρφωσης με τις Αρχές και με τις σχετικές πολιτικές των οργανισμών της ασπίδας προστασίας που αφορούν την προστασία της ιδιωτικής ζωής, με εξαίρεση τις περιπτώσεις κατά τις οποίες οι οργανισμοί αυτοί έχουν αναλάβει τη δέσμευση να συνεργάζονται με τις ευρωπαϊκές αρχές προστασίας των δεδομένων («ΑΠΔ»). Εκτός αν δηλώνεται διαφορετικά, όλες οι διατάξεις των Αρχών εφαρμόζονται στις περιπτώσεις στις οποίες είναι συναφείς.

8.

Ορισμοί:

α.

Τα «δεδομένα προσωπικού χαρακτήρα» και οι «πληροφορίες προσωπικού χαρακτήρα» είναι δεδομένα τα οποία αφορούν ένα πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί και τα οποία εμπίπτουν στο πεδίο εφαρμογής της οδηγίας, διαβιβάζονται σε οργανισμό των ΗΠΑ από την Ευρωπαϊκή Ένωση και καταγράφονται με οποιαδήποτε μορφή.

β.

Ως «επεξεργασία» δεδομένων προσωπικού χαρακτήρα νοείται κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση ή η διάδοση, καθώς και η διαγραφή ή η καταστροφή.

γ.

Ως «υπεύθυνος της επεξεργασίας» νοείται το πρόσωπο ή ο οργανισμός που μόνος ή από κοινού με άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

9.

Η ημερομηνία έναρξης ισχύος των Αρχών είναι η ημερομηνία της τελικής έγκρισης της διαπίστωσης της επάρκειας από την Ευρωπαϊκή Επιτροπή.

II.   ΑΡΧΕΣ

1.   Κοινοποίηση

α.

Ένας οργανισμός πρέπει να ενημερώνει τα φυσικά πρόσωπα σχετικά με:

i.

τη συμμετοχή του στην ασπίδα προστασίας και να παρέχει σύνδεσμο ή τη διαδικτυακή διεύθυνση για τον κατάλογο της ασπίδας προστασίας·

ii.

τα είδη των δεδομένων προσωπικού χαρακτήρα που συλλέγονται και, κατά περίπτωση, τις οντότητες ή τις θυγατρικές του οργανισμού που τηρούν επίσης τις Αρχές·

iii.

τη δέσμευσή του να εφαρμόζει τις Αρχές σε όλα τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από την ΕΕ βασιζόμενος στην ασπίδα προστασίας·

iv.

τους σκοπούς για τους οποίους συλλέγει και χρησιμοποιεί πληροφορίες προσωπικού χαρακτήρα που τα αφορούν·

v.

τον τρόπο επικοινωνίας με τον οργανισμό για ερωτήματα ή καταγγελίες, συμπεριλαμβανομένης τυχόν συναφούς εγκατάστασης στην ΕΕ που μπορεί να απαντήσει σε τέτοιου είδους ερωτήματα ή καταγγελίες·

vi.

το είδος ή την ταυτότητα τρίτων μερών στα οποία κοινολογεί πληροφορίες προσωπικού χαρακτήρα και τους σκοπούς για τους οποίους προβαίνει σε αυτή την κοινολόγηση·

vii.

το δικαίωμα των φυσικών προσώπων να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν·

viii.

τις επιλογές και τα μέσα που παρέχει ο οργανισμός στα φυσικά πρόσωπα για τον περιορισμό της χρήσης και της κοινολόγησης των δεδομένων προσωπικού χαρακτήρα που τα αφορούν·

ix.

τον ανεξάρτητο φορέα επίλυσης διαφορών που έχει οριστεί για την εξέταση καταγγελιών και τη δωρεάν παροχή κατάλληλων μέσων προσφυγής στο φυσικό πρόσωπο, και αν πρόκειται για: 1) τον φορέα που έχει συσταθεί από τις ΑΠΔ, 2) πάροχο εναλλακτικής επίλυσης διαφορών εγκατεστημένο στην ΕΕ ή 3) πάροχο εναλλακτικής επίλυσης διαφορών εγκατεστημένο στις ΗΠΑ·

x.

το γεγονός ότι υπόκειται στις εξουσίες διεξαγωγής ερευνών και επιβολής του νόμου της FTC, του Υπουργείου Μεταφορών ή οποιαδήποτε άλλου εξουσιοδοτημένου επίσημου φορέα των ΗΠΑ·

xi.

τη δυνατότητα του προσώπου, υπό ορισμένες προϋποθέσεις, να ζητήσει δεσμευτική διαιτητική απόφαση·

xii.

την απαίτηση να κοινολογεί πληροφορίες προσωπικού χαρακτήρα ανταποκρινόμενος σε νόμιμα αιτήματα των δημόσιων αρχών, μεταξύ άλλων για την ικανοποίηση απαιτήσεων στο πλαίσιο της εθνικής ασφάλειας ή της επιβολής του νόμου· και

xiii.

την ευθύνη του σε περιπτώσεις περαιτέρω διαβίβασης σε τρίτα μέρη.

β.

Η κοινοποίηση αυτή πρέπει να παρέχεται σε σαφή και ευνόητη γλώσσα κατά την πρώτη αίτηση παροχής πληροφοριών προσωπικού χαρακτήρα που απευθύνει σε ιδιώτες ο οργανισμός ή το συντομότερο δυνατόν έπειτα από αυτή, αλλά σε κάθε περίπτωση προτού προβεί ο οργανισμός είτε στη χρήση των πληροφοριών αυτών για σκοπό άλλον από εκείνο για τον οποίο συνελέγησαν αρχικά ή για τον οποίο υποβλήθηκαν σε επεξεργασία από τον διαβιβάζοντα οργανισμό, είτε στην κοινολόγηση των πληροφοριών αυτών σε τρίτο μέρος για πρώτη φορά.

2.   Επιλογή

α.

Ένας οργανισμός πρέπει να παρέχει στα φυσικά πρόσωπα τη δυνατότητα να επιλέγουν (δικαίωμα εξαίρεσης από τα δεδομένα) αν οι πληροφορίες προσωπικού χαρακτήρα που τα αφορούν i) θα κοινολογηθούν σε τρίτο μέρος ή ii) θα χρησιμοποιηθούν για σκοπό ο οποίος είναι ουσιωδώς διαφορετικός από τον (τους) σκοπό(-ούς) για τον (τους) οποίο(-ους) συνελέγησαν αρχικά ή εγκρίθηκαν στη συνέχεια από τα εν λόγω πρόσωπα. Πρέπει να παρέχονται στα φυσικά πρόσωπα σαφείς, εμφανείς και άμεσα διαθέσιμοι μηχανισμοί για την άσκηση της επιλογής.

β.

Κατά παρέκκλιση από την προηγούμενη παράγραφο, δεν είναι απαραίτητη η εφαρμογή της αρχής της επιλογής όταν οι πληροφορίες κοινολογούνται σε τρίτο μέρος το οποίο ενεργεί ως αντιπρόσωπος που εκτελεί καθήκοντα εξ ονόματος και κατ' εντολή του οργανισμού. Ωστόσο, ένας οργανισμός συνάπτει σε κάθε περίπτωση σύμβαση με τον αντιπρόσωπο.

γ.

Όσον αφορά τις ευαίσθητες πληροφορίες (δηλαδή πληροφορίες προσωπικού χαρακτήρα οι οποίες αναφέρουν λεπτομερώς ασθένειες ή την κατάσταση υγείας, τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις ή πληροφορίες σχετικά με τη σεξουαλική ζωή του προσώπου) οι οργανισμοί πρέπει να εξασφαλίζουν τη ρητή συγκατάθεση (οικειοθελής συμμετοχή) από τα πρόσωπα εάν οι εν λόγω πληροφορίες πρόκειται να i) κοινολογηθούν σε τρίτο μέρος ή ii) να χρησιμοποιηθούν για σκοπό άλλο από αυτόν για τον οποίο συνελέγησαν αρχικά ή τον οποίο ενέκρινε το ενδιαφερόμενο πρόσωπο μεταγενέστερα ασκώντας την επιλογή της οικειοθελούς συμμετοχής. Επιπλέον, ένας οργανισμός θα πρέπει να μεταχειρίζεται ως ευαίσθητη κάθε πληροφορία προσωπικού χαρακτήρα την οποία λαμβάνει από τρίτο μέρος και την οποία το εν λόγω τρίτο μέρος χαρακτηρίζει και μεταχειρίζεται ως ευαίσθητη.

3.   Λογοδοσία για περαιτέρω διαβίβαση

α.

Για τη διαβίβαση πληροφοριών προσωπικού χαρακτήρα σε τρίτο μέρος το οποίο ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων, οι οργανισμοί πρέπει να συμμορφώνονται με τις αρχές της κοινοποίησης και της επιλογής. Οι οργανισμοί πρέπει επίσης να συνάπτουν σύμβαση με τον τρίτο υπεύθυνο της επεξεργασίας, η οποία να προβλέπει ότι τα εν λόγω δεδομένα μπορούν να υποβληθούν σε επεξεργασία μόνο για περιορισμένους και συγκεκριμένους σκοπούς σύμφωνα με τη συγκατάθεση που έχει παράσχει το πρόσωπο και ότι ο αποδέκτης θα εξασφαλίσει το ίδιο επίπεδο προστασίας με αυτό που παρέχουν οι Αρχές και θα ειδοποιήσει τον οργανισμό σε περίπτωση που λάβει την απόφαση ότι δεν μπορεί πλέον να ανταποκριθεί σε αυτή την υποχρέωση. Η σύμβαση προβλέπει ότι σε περίπτωση που ληφθεί τέτοια απόφαση, ο τρίτος υπεύθυνος της επεξεργασίας παύει την επεξεργασία ή λαμβάνει άλλα εύλογα και κατάλληλα διορθωτικά μέτρα.

β.

Για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτο μέρος που ενεργεί ως αντιπρόσωπος, οι οργανισμοί πρέπει: i) να διαβιβάζουν τα εν λόγω δεδομένα μόνο για περιορισμένους και συγκεκριμένους σκοπούς· ii) να επιβεβαιώνουν ότι ο αντιπρόσωπος υποχρεούται να παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας της ιδιωτικής ζωής με αυτό που απαιτείται βάσει των Αρχών· iii) να λαμβάνουν εύλογα και κατάλληλα μέτρα για να διασφαλίζουν ότι ο αντιπρόσωπος επεξεργάζεται αποτελεσματικά τις διαβιβαζόμενες πληροφορίες προσωπικού χαρακτήρα κατά τρόπο συνεπή προς τις υποχρεώσεις του οργανισμού δυνάμει των Αρχών· iv) να απαιτούν από τον αντιπρόσωπο να ειδοποιεί τον οργανισμό σε περίπτωση που λάβει απόφαση ότι δεν μπορεί πλέον να τηρήσει την υποχρέωσή του για παροχή του ίδιου επιπέδου προστασίας με αυτό που απαιτείται βάσει των Αρχών· v) κατόπιν κοινοποίησης, συμπεριλαμβανομένης της περίπτωσης του σημείου iv), να λαμβάνουν εύλογα και κατάλληλα μέτρα για τη διακοπή και την αποκατάσταση μη εγκεκριμένης επεξεργασίας· και vi) να υποβάλλουν στο Υπουργείο, κατόπιν αιτήματος, σύνοψη ή αντιπροσωπευτικό αντίγραφο των σχετικών διατάξεων περί προστασίας της ιδιωτικής ζωής που περιλαμβάνονται στη σύμβαση την οποία έχουν συνάψει με τον εν λόγω αντιπρόσωπο.

4.   Ασφάλεια

α.

Οι οργανισμοί που δημιουργούν, διατηρούν, χρησιμοποιούν ή διαδίδουν πληροφορίες προσωπικού χαρακτήρα πρέπει να λαμβάνουν εύλογα και κατάλληλα μέτρα για την προστασία των πληροφοριών αυτών από τυχόν απώλεια, κατάχρηση και μη εγκεκριμένη πρόσβαση, κοινολόγηση, αλλαγή και καταστροφή, λαμβανομένων δεόντως υπόψη των κινδύνων της επεξεργασίας και της φύσης των δεδομένων προσωπικού χαρακτήρα.

5.   Ακεραιότητα των δεδομένων και περιορισμός του σκοπού

α.

Σύμφωνα με τις Αρχές, οι πληροφορίες προσωπικού χαρακτήρα πρέπει να περιορίζονται στις πληροφορίες που είναι συναφείς για τους σκοπούς της επεξεργασίας (2). Ένας οργανισμός δεν επιτρέπεται να επεξεργάζεται πληροφορίες προσωπικού χαρακτήρα κατά τρόπο που να αντιβαίνει στους σκοπούς για τους οποίους συνελέγησαν ή για τους οποίους εγκρίθηκαν μεταγενέστερα από το πρόσωπο. Στο μέτρο που είναι αναγκαίο για την εξυπηρέτηση των εν λόγω σκοπών, ένας οργανισμός πρέπει να λαμβάνει εύλογα μέτρα για να εξασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα είναι αξιόπιστα για τη χρήση για την οποία προορίζονται, ακριβή, πλήρη και ενημερωμένα. Ένας οργανισμός πρέπει να τηρεί τις Αρχές για όσο διάστημα διατηρεί τις εν λόγω πληροφορίες.

β.

Οι πληροφορίες μπορούν να διατηρηθούν σε μορφή η οποία καθιστά γνωστή την ταυτότητα του προσώπου ή καθιστά δυνατή την εξακρίβωσή της (3) μόνον εφόσον εξυπηρετούν σκοπό επεξεργασίας κατά την έννοια της παραγράφου 5 στοιχείο α. Η υποχρέωση αυτή δεν εμποδίζει τους οργανισμούς να προβαίνουν σε επεξεργασία πληροφοριών προσωπικού χαρακτήρα για μεγαλύτερες περιόδους, για το χρονικό διάστημα και στον βαθμό που η εν λόγω επεξεργασία εξυπηρετεί εύλογα τους σκοπούς της δημιουργίας αρχείου υπέρ του δημόσιου συμφέροντος, της δημοσιογραφίας, της λογοτεχνίας και της τέχνης, της επιστημονικής ή ιστορικής έρευνας και της στατιστικής ανάλυσης. Σε αυτές τις περιπτώσεις, η εν λόγω επεξεργασία υπόκειται στις λοιπές Αρχές και διατάξεις του πλαισίου. Οι οργανισμοί θα πρέπει να λαμβάνουν εύλογα και κατάλληλα μέτρα για να συμμορφώνονται με την παρούσα διάταξη.

6.   Πρόσβαση

α.

Τα πρόσωπα πρέπει να έχουν πρόσβαση στις πληροφορίες προσωπικού χαρακτήρα που τα αφορούν και τις οποίες κατέχει ένας οργανισμός, και να έχουν τη δυνατότητα να διορθώνουν, να τροποποιούν ή να διαγράφουν τις πληροφορίες αυτές όποτε είναι ανακριβείς ή έχουν υποβληθεί σε επεξεργασία κατά παράβαση των Αρχών, με εξαίρεση τις περιπτώσεις κατά τις οποίες η επιβάρυνση ή το κόστος που συνεπάγεται η παροχή πρόσβασης θα ήταν δυσανάλογα προς τους κινδύνους για την προστασία της ιδιωτικής ζωής του προσώπου εν προκειμένω ή σε περίπτωση που παραβιάζονται τα δικαιώματα άλλων τρίτων προσώπων.

7.   Προσφυγή, επιβολή και ευθύνη

α.

Για τη διασφάλιση της αποτελεσματικής προστασίας της ιδιωτικής ζωής πρέπει να υφίστανται ισχυροί μηχανισμοί που να εξασφαλίζουν τη συμμόρφωση με τις Αρχές, μέσα προσφυγής για τα πρόσωπα που θίγονται από περιπτώσεις μη συμμόρφωσης με τις αρχές, καθώς και συνέπειες για τον οργανισμό σε περίπτωση μη τήρησης των αρχών. Οι μηχανισμοί αυτοί πρέπει να περιλαμβάνουν τουλάχιστον:

i.

άμεσα διαθέσιμους και ανεξάρτητους μηχανισμούς προσφυγής μέσω των οποίων οι καταγγελίες και οι διαφορές κάθε ιδιώτη διερευνώνται και επιλύονται ταχέως και χωρίς οικονομική επιβάρυνση του ιδιώτη, με αναφορά στις Αρχές, και επιδικάζεται αποζημίωση όπου αυτό προβλέπεται από το εφαρμοστέο δίκαιο ή πρωτοβουλίες του ιδιωτικού τομέα·

ii.

διαδικασίες παρακολούθησης για την επαλήθευση του αληθούς τόσο των δηλώσεων και των ισχυρισμών των οργανισμών σχετικά με τις πρακτικές τους για την προστασία της ιδιωτικής ζωής, όσο και της εφαρμογής των πρακτικών αυτών σύμφωνα με τη διατύπωσή τους, ιδίως όσον αφορά περιπτώσεις μη συμμόρφωσης· και

iii.

υποχρεώσεις επίλυσης των προβλημάτων που απορρέουν από περιπτώσεις μη συμμόρφωσης με τις Αρχές από οργανισμούς που ισχυρίζονται ότι τις τηρούν και τις συνέπειες για τους οργανισμούς αυτούς. Οι κυρώσεις πρέπει να είναι αρκετά αυστηρές ώστε να εξασφαλίζεται η συμμόρφωση των οργανισμών.

β.

Οι οργανισμοί και οι επιλεγμένοι από αυτούς ανεξάρτητοι μηχανισμοί προσφυγής θα ανταποκρίνονται αμελλητί σε ερωτήματα και αιτήματα του Υπουργείου για παροχή πληροφοριών σχετικά με την ασπίδα προστασίας. Όλοι οι οργανισμοί πρέπει να ανταποκρίνονται ταχύτατα σε καταγγελίες σχετικά με τη συμμόρφωση με τις Αρχές, τις οποίες παραπέμπουν οι αρχές κράτους μέλους της ΕΕ μέσω του Υπουργείου. Οι οργανισμοί που έχουν επιλέξει να συνεργάζονται με ΑΠΔ, συμπεριλαμβανομένων των οργανισμών που επεξεργάζονται δεδομένα ανθρώπινου δυναμικού, πρέπει να απαντούν απευθείας στις ΑΠΔ, για θέματα που αφορούν τη διερεύνηση και την επίλυση καταγγελιών.

γ.

Οι οργανισμοί υποχρεούνται να υποβάλλουν τις καταγγελίες σε διαδικασία διαιτησίας και να τηρούν τους όρους που προβλέπονται στο παράρτημα I, υπό την προϋπόθεση ότι ένα πρόσωπο έχει ζητήσει την προσφυγή σε δεσμευτική διαιτητική διαδικασία επιδίδοντας κοινοποίηση στον εμπλεκόμενο οργανισμό και ακολουθώντας τις διαδικασίες και με την επιφύλαξη των όρων που προβλέπονται στο παράρτημα I.

δ.

Στο πλαίσιο περαιτέρω διαβίβασης, ένας οργανισμός της ασπίδας προστασίας είναι υπεύθυνος για την επεξεργασία των πληροφοριών προσωπικού χαρακτήρα τις οποίες λαμβάνει στο πλαίσιο της ασπίδας προστασίας και τις οποίες στη συνέχεια διαβιβάζει σε τρίτο μέρος που ενεργεί ως αντιπρόσωπος εξ ονόματός του. Ο οργανισμός της ασπίδας προστασίας εξακολουθεί να υπέχει ευθύνη βάσει των αρχών στην περίπτωση που ο αντιπρόσωπός του επεξεργάζεται τέτοιου είδους πληροφορίες προσωπικού χαρακτήρα κατά τρόπο που δεν συνάδει με τις Αρχές, εκτός εάν ο οργανισμός αποδείξει ότι δεν είναι υπεύθυνος για το γενεσιουργό γεγονός της ζημίας.

ε.

Όταν ένας οργανισμός υπόκειται σε απόφαση που εκδίδεται από την FTC ή από δικαστήριο για λόγους μη συμμόρφωσης, ο οργανισμός δημοσιεύει κάθε συναφή με την ασπίδα προστασίας ενότητα τυχόν έκθεσης συμμόρφωσης ή αξιολόγησης που έχει υποβληθεί στην FTC, στον βαθμό που αυτό συνάδει με τις απαιτήσεις εμπιστευτικότητας. Το Υπουργείο έχει δημιουργήσει ένα ειδικό σημείο επαφής με το οποίο μπορούν να επικοινωνούν οι ΑΠΔ για τυχόν προβλήματα συμμόρφωσης των οργανισμών της ασπίδας προστασίας. Η FTC θα εξετάζει κατά προτεραιότητα τις υποθέσεις μη συμμόρφωσης με τις Αρχές που παραπέμπονται από το Υπουργείο και από τις αρχές κράτους μέλους της ΕΕ, και θα ανταλλάσσει πληροφορίες σχετικά με τις υποθέσεις αυτές με τις αρχές του κράτους που παραπέμπει την υπόθεση εγκαίρως, με την επιφύλαξη των περιορισμών εμπιστευτικότητας.

III.   ΣΥΜΠΛΗΡΩΜΑΤΙΚΕΣ ΑΡΧΕΣ

1.   Ευαίσθητα δεδομένα

α.

Δεν απαιτείται από έναν οργανισμό να λάβει ρητή συγκατάθεση (οικειοθελής συμμετοχή) για τα ευαίσθητα δεδομένα, όταν η επεξεργασία:

i.

είναι προς το ζωτικό συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλου ατόμου·

ii.

είναι αναγκαία για την τεκμηρίωση νομικών αξιώσεων ή για την υπεράσπιση ατόμων·

iii.

απαιτείται για την παροχή ιατρικής περίθαλψης ή διάγνωσης·

iv.

πραγματοποιείται στο πλαίσιο νόμιμων δραστηριοτήτων από ίδρυμα, σωματείο ή οποιονδήποτε άλλο μη κερδοσκοπικό φορέα ο οποίος επιδιώκει πολιτικούς, φιλοσοφικούς, θρησκευτικούς ή συνδικαλιστικούς σκοπούς, υπό τον όρο ότι η επεξεργασία αφορά μόνον τα μέλη του ή πρόσωπα με τα οποία το ίδρυμα, το σωματείο ή ο φορέας διατηρεί, ως εκ του σκοπού του, τακτικές επαφές, και τα δεδομένα κοινολογούνται σε τρίτους μόνον με τη συγκατάθεση των προσώπων στα οποία αναφέρονται·

v.

είναι αναγκαία για την εκτέλεση των υποχρεώσεων του οργανισμού στον τομέα του εργατικού δικαίου· ή

vi.

αφορά δεδομένα τα οποία δημοσιοποιούνται κατά τρόπο προφανή από τα ίδια τα πρόσωπα.

2.   Εξαιρέσεις για δημοσιογραφικούς σκοπούς

α.

Δεδομένων των συνταγματικών διασφαλίσεων των ΗΠΑ για την ελευθερία του Τύπου και της εξαίρεσης που προβλέπεται στην οδηγία για το δημοσιογραφικό υλικό, στις περιπτώσεις όπου τα δικαιώματα της ελευθερίας του Τύπου που κατοχυρώνονται στην Πρώτη Τροπολογία του Συντάγματος των Ηνωμένων Πολιτειών της Αμερικής έρχονται σε αντίθεση με την προστασία της ιδιωτικής ζωής, η Πρώτη Τροπολογία πρέπει να διέπει την εξισορρόπηση της προστασίας των εν λόγω συμφερόντων σε σχέση με τις δραστηριότητες προσώπων ή οργανισμών από τις ΗΠΑ.

β.

Οι πληροφορίες προσωπικού χαρακτήρα που συλλέγονται για δημοσίευση, μετάδοση ή άλλες μορφές δημοσιοποίησης δημοσιογραφικού υλικού, ανεξαρτήτως του εάν χρησιμοποιούνται ή όχι, καθώς και οι πληροφορίες από προγενέστερα δημοσιευμένο υλικό το οποίο προέρχεται από δημοσιογραφικά αρχεία, δεν υπόκεινται στις απαιτήσεις των Αρχών της ασπίδας προστασίας.

3.   Δευτερεύουσα ευθύνη

α.

Οι πάροχοι υπηρεσιών διαδικτύου, οι τηλεπικοινωνιακοί φορείς ή άλλοι οργανισμοί δεν υπέχουν ευθύνη δυνάμει των Αρχών της ασπίδας προστασίας όταν αναλαμβάνουν απλώς, για λογαριασμό τρίτου οργανισμού, τη διαβίβαση, τη δρομολόγηση, τη μεταγωγή ή την αποθήκευση πληροφοριών σε κρυφή μνήμη. Όπως συμβαίνει και με την ίδια την οδηγία, η ασπίδα προστασίας δεν δημιουργεί δευτερεύουσα ευθύνη. Στον βαθμό που ένας οργανισμός λειτουργεί απλώς ως μέσο για τη διαβίβαση δεδομένων από τρίτα μέρη και δεν καθορίζει τους σκοπούς και τους τρόπους επεξεργασίας αυτών των δεδομένων προσωπικού χαρακτήρα, δεν θεωρείται ότι υπέχει ευθύνη.

4.   Επίδειξη δέουσας επιμέλειας και διενέργεια ελέγχων

α.

Οι δραστηριότητες των ελεγκτών και των τραπεζιτών επενδύσεων ενδέχεται να συνεπάγονται την επεξεργασία δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση ή εν αγνοία του προσώπου. Αυτό επιτρέπεται βάσει των αρχών της κοινοποίησης, της επιλογής και της πρόσβασης υπό τις προϋποθέσεις που περιγράφονται κατωτέρω.

β.

Οι ανώνυμες και οι κλειστές εταιρείες, συμπεριλαμβανομένων οργανισμών της ασπίδας προστασίας, υποβάλλονται τακτικά σε ελέγχους. Οι έλεγχοι αυτοί, ιδίως εκείνοι στους οποίους εξετάζονται δυνητικά παραπτώματα, ενδέχεται να διακυβευθούν, σε περίπτωση πρόωρης αποκάλυψής τους. Ομοίως, ένας οργανισμός της ασπίδας προστασίας που εμπλέκεται σε δυνητική συγχώνευση ή εξαγορά θα πρέπει να διενεργήσει ή να υποβληθεί σε έλεγχο «δέουσας επιμέλειας». Ο έλεγχος αυτός συνεπάγεται συχνά τη συλλογή και την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως πληροφορίες σχετικά με ανώτατα διοικητικά στελέχη και άλλα βασικά μέλη του προσωπικού. Η πρόωρη κοινολόγηση ενδέχεται να παρεμποδίσει τη συναλλαγή ή ακόμη και να έχει ως αποτέλεσμα την παραβίαση των εφαρμοστέων κανόνων περί εγγυήσεων. Οι τραπεζίτες επενδύσεων και οι πληρεξούσιοι δικηγόροι που εφαρμόζουν διαδικασίες δέουσας επιμέλειας ή οι ελεγκτές που διενεργούν ελέγχους, μπορούν να επεξεργάζονται πληροφορίες εν αγνοία του προσώπου μόνον κατά το μέτρο και για τη διάρκεια που απαιτούνται για την τήρηση κανονιστικών διατάξεων ή απαιτήσεων δημόσιου συμφέροντος, καθώς και σε άλλες περιπτώσεις στις οποίες ενδέχεται να θιγούν τα νόμιμα συμφέροντα του οργανισμού από την εφαρμογή των Αρχών της ασπίδας προστασίας. Στα εν λόγω νόμιμα συμφέροντα περιλαμβάνονται η παρακολούθηση της συμμόρφωσης των οργανισμών με τις νομικές υποχρεώσεις και τις νόμιμες λογιστικές δραστηριότητές τους, καθώς και η ανάγκη για τήρηση της εμπιστευτικότητας στο πλαίσιο ενδεχόμενων εξαγορών, συγχωνεύσεων, κοινοπραξιών ή άλλων συναλλαγών παρόμοιας φύσης τις οποίες πραγματοποιούν τραπεζίτες επενδύσεων ή ελεγκτές.

5.   Ο ρόλος των αρχών προστασίας των δεδομένων

α.

Οι οργανισμοί θα τηρούν τη δέσμευσή τους για συνεργασία με τις αρχές προστασίας δεδομένων της Ευρωπαϊκής Ένωσης (ΑΠΔ) όπως περιγράφεται κατωτέρω. Στο πλαίσιο της ασπίδας προστασίας, οι οργανισμοί των ΗΠΑ που λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την ΕΕ πρέπει να δεσμευτούν ότι θα εφαρμόζουν αποτελεσματικούς μηχανισμούς για τη διασφάλιση της συμμόρφωσης με τις Αρχές της ασπίδας προστασίας. Πιο συγκεκριμένα, όπως ορίζεται στην αρχή της προσφυγής, της επιβολής και της ευθύνης, οι συμμετέχοντες οργανισμοί πρέπει να παρέχουν: α) i) μέσα προσφυγής για τα πρόσωπα τα οποία αφορούν τα δεδομένα· α) ii) διαδικασίες παρακολούθησης για την επαλήθευση του αληθούς των ισχυρισμών και των δηλώσεων των οργανισμών σχετικά με τις πρακτικές τους για την προστασία της ιδιωτικής ζωής· και α) iii) υποχρεώσεις επίλυσης των προβλημάτων που απορρέουν από περιπτώσεις μη συμμόρφωσης με τις Αρχές καθώς και συνέπειες για τους οργανισμούς αυτούς. Ένας οργανισμός συμμορφώνεται με τα σημεία α) i) και α) iii) της αρχής της προσφυγής, της επιβολής και της ευθύνης εάν πληροί τις απαιτήσεις που ορίζονται στο παρόν όσον αφορά τη συνεργασία με τις ΑΠΔ.

β.

Ένας οργανισμός αναλαμβάνει τη δέσμευση να συνεργάζεται με τις ΑΠΔ δηλώνοντας στο πλαίσιο της αυτοπιστοποίησής του για την ασπίδα προστασίας στο Υπουργείο Εμπορίου (βλέπε τη συμπληρωματική αρχή της αυτοπιστοποίησης) ότι ο οργανισμός:

i.

επιλέγει να συμμορφωθεί με τις απαιτήσεις των σημείων α) i) και α) iii) της αρχής της προσφυγής, της επιβολής και της ευθύνης, δεσμευόμενος να συνεργάζεται με τις ΑΠΔ·

ii.

θα συνεργάζεται με τις ΑΠΔ όσον αφορά την εξέταση και την επίλυση των καταγγελιών που υποβάλλονται στο πλαίσιο της ασπίδας προστασίας· και

iii.

θα συμμορφώνεται προς κάθε συμβουλή των ΑΠΔ όταν οι ΑΠΔ είναι της άποψης ότι ο οργανισμός πρέπει να λάβει συγκεκριμένα μέτρα προκειμένου να συμμορφωθεί με τις Αρχές της ασπίδας προστασίας, συμπεριλαμβανομένων διορθωτικών ή αντισταθμιστικών μέτρων υπέρ των προσώπων που θίγονται από οποιαδήποτε περίπτωση μη συμμόρφωσης με τις Αρχές και θα υποβάλλει στις ΑΠΔ γραπτή επιβεβαίωση ότι τα μέτρα αυτά έχουν ληφθεί.

γ.

Λειτουργία φορέων των ΑΠΔ

i.

Η συνεργασία των ΑΠΔ θα παρέχεται με τη μορφή πληροφοριών και συμβουλών με τον ακόλουθο τρόπο:

1.

Οι συμβουλές των ΑΠΔ θα παρέχονται μέσω ανεπίσημου φορέα των ΑΠΔ που θα συσταθεί σε επίπεδο Ευρωπαϊκής Ένωσης, ο οποίος, μεταξύ άλλων, θα βοηθήσει στην εξασφάλιση εναρμονισμένης και συνεκτικής προσέγγισης.

2.

Ο εν λόγω φορέας θα παρέχει συμβουλές στους σχετικούς οργανισμούς των ΗΠΑ για μη διευθετηθείσες καταγγελίες ιδιωτών που αφορούν τον χειρισμό πληροφοριών προσωπικού χαρακτήρα που διαβιβάστηκαν από την ΕΕ στο πλαίσιο της ασπίδας προστασίας. Οι συμβουλές αυτές θα έχουν ως σκοπό την εξασφάλιση της ορθής εφαρμογής των Αρχών της ασπίδας προστασίας και θα αφορούν επίσης τα διορθωτικά μέτρα που οι ΑΠΔ θεωρούν κατάλληλα για το (τα) ενδιαφερόμενο(-α) πρόσωπο(-α).

3.

Ο φορέας θα παρέχει τέτοιες συμβουλές έπειτα από σχετική αίτηση των ενδιαφερόμενων οργανισμών και/ή έπειτα από καταγγελίες που θα λαμβάνει απευθείας από ιδιώτες εναντίον οργανισμών οι οποίοι έχουν δεσμευτεί να συνεργάζονται με τις ΑΠΔ για τους σκοπούς της τήρησης των αρχών της ασπίδας προστασίας, ενώ παράλληλα θα ενθαρρύνει και, εφόσον χρειάζεται, θα συνδράμει τους εν λόγω ιδιώτες σε πρωτοβάθμιο επίπεδο να χρησιμοποιούν τις εσωτερικές ρυθμίσεις χειρισμού καταγγελιών που μπορεί να διαθέτει ο οργανισμός.

4.

Οι συμβουλές θα παρέχονται μόνον εφόσον και οι δύο πλευρές μιας διαφοράς είχαν την ευκαιρία να υποβάλουν τις παρατηρήσεις τους και να προσκομίσουν τα αποδεικτικά στοιχεία που επιθυμούν. Ο φορέας των ΑΠΔ θα επιδιώκει να παρέχει συμβουλές στο μικρότερο χρονικό διάστημα που επιτρέπει η απαίτηση για τήρηση ορθής διαδικασίας. Κατά γενικό κανόνα, ο εν λόγω φορέας θα έχει ως στόχο την παροχή συμβουλών εντός 60 ημερών από τη λήψη καταγγελίας ή παραπομπής, ή και νωρίτερα, όταν είναι δυνατόν.

5.

Ο φορέας των ΑΠΔ θα κοινοποιεί τα αποτελέσματα της εξέτασης των καταγγελιών που θα του υποβάλλονται, εφόσον το κρίνει σκόπιμο.

6.

Η παροχή συμβουλών μέσω του εν λόγω φορέα δεν συνεπάγεται τη δημιουργία ευθύνης για τον φορέα ή για τις επιμέρους ΑΠΔ.

ii.

Όπως προαναφέρθηκε, οι οργανισμοί που επιλέγουν αυτή την εναλλακτική λύση για την επίλυση των διαφορών πρέπει να δεσμευτούν ότι θα συμμορφώνονται με τις συμβουλές των ΑΠΔ. Εάν ένας οργανισμός δεν συμμορφωθεί εντός 25 ημερών από την παροχή της σχετικής συμβουλής και δεν έχει παράσχει ικανοποιητικές εξηγήσεις για την καθυστέρηση, ο εν λόγω φορέας θα γνωστοποιεί την πρόθεσή του να παραπέμψει το θέμα στην Ομοσπονδιακή Επιτροπή Εμπορίου, στο Υπουργείο Μεταφορών, ή σε άλλη ομοσπονδιακή ή πολιτειακή αρχή των ΗΠΑ η οποία διαθέτει νόμιμες αρμοδιότητες να αναλάβει δράση επιβολής του νόμου σε περίπτωση απάτης ή υποβολής ψευδούς δήλωσης, ή να συμπεράνει ότι έχει σημειωθεί σοβαρή παραβίαση της συμφωνίας περί συνεργασίας, η οποία, ως εκ τούτου, πρέπει να θεωρηθεί άκυρη. Στην τελευταία περίπτωση, ο φορέας θα ενημερώνει σχετικά το Υπουργείο Εμπορίου ώστε να τροποποιείται δεόντως ο κατάλογος της ασπίδας προστασίας. Οποιαδήποτε περίπτωση μη τήρησης των υποχρεώσεων συνεργασίας με τις ΑΠΔ καθώς και μη συμμόρφωσης με τις Αρχές της ασπίδας προστασίας θα αποτελεί λόγο άσκησης δίωξης ως δόλια πρακτική σύμφωνα με το τμήμα 5 του νόμου για την FTC ή με άλλη παρόμοια νομοθετική πράξη.

δ.

Οργανισμός ο οποίος επιθυμεί να επεκτείνει τα οφέλη που λαμβάνει στο πλαίσιο της ασπίδας προστασίας ώστε να καλύπτουν δεδομένα ανθρώπινου δυναμικού που διαβιβάζονται από την ΕΕ στο πλαίσιο της εργασιακής σχέσης πρέπει να δεσμευτεί ότι θα συνεργάζεται με τις ΑΠΔ όσον αφορά τα εν λόγω δεδομένα (βλέπε τη συμπληρωματική αρχή για τα δεδομένα ανθρώπινου δυναμικού).

ε.

Οι οργανισμοί που θα επιλέξουν αυτή την εναλλακτική λύση θα είναι υποχρεωμένοι να καταβάλλουν ετήσια εισφορά η οποία θα οριστεί για την κάλυψη των λειτουργικών δαπανών του φορέα και ενδέχεται, επιπλέον, να τους ζητηθεί να καλύπτουν τυχόν μεταφραστικές δαπάνες που θα προκύπτουν από την εξέταση, εκ μέρους του φορέα, των παραπομπών ή των καταγγελιών κατά των εν λόγω οργανισμών. Η ετήσια αυτή εισφορά δεν θα υπερβαίνει τα 500 δολάρια ΗΠΑ, ενώ το ποσό αυτό θα είναι μικρότερο για τις μικρότερες εταιρείες.

6.   Αυτοπιστοποίηση

α.

Τα οφέλη της ασπίδας προστασίας εξασφαλίζονται από την ημερομηνία κατά την οποία το Υπουργείο εντάσσει τη δήλωση αυτοπιστοποίησης του οργανισμού στον κατάλογο της ασπίδας προστασίας, εφόσον διαπιστώσει την πληρότητα της δήλωσης αυτής.

β.

Ένας οργανισμός, προκειμένου να προβεί σε αυτοπιστοποίηση στο πλαίσιο της ασπίδας προστασίας, πρέπει να προσκομίσει στο Υπουργείο δήλωση αυτοπιστοποίησης, υπογεγραμμένη από στέλεχος του οργανισμού και εξ ονόματος του οργανισμού που προσχωρεί στην ασπίδα προστασίας, η οποία θα περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:

i.

επωνυμία του οργανισμού, ταχυδρομική διεύθυνση, ηλεκτρονική διεύθυνση, αριθμούς τηλεφώνου και φαξ·

ii.

περιγραφή των δραστηριοτήτων του οργανισμού, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που λαμβάνει από την ΕΕ· και

iii.

περιγραφή της πολιτικής του οργανισμού για την προστασία της ιδιωτικής ζωής, όσον αφορά τις εν λόγω πληροφορίες προσωπικού χαρακτήρα, η οποία θα αναφέρει:

1.

εάν ο οργανισμός διαθέτει δημόσιο δικτυακό τόπο, τη σχετική διαδικτυακή διεύθυνση στην οποία διατίθεται η πολιτική περί προστασίας της ιδιωτικής ζωής ή, εάν ο οργανισμός δεν διαθέτει δημόσιο δικτυακό τόπο, το σημείο στο οποίο το κοινό μπορεί να συμβουλευτεί την πολιτική αυτή·

2.

την ουσιαστική ημερομηνία εφαρμογής της·

3.

γραφείο επαφής για τον χειρισμό των καταγγελιών, των αιτημάτων πρόσβασης και κάθε άλλου ζητήματος που προκύπτει στο πλαίσιο της ασπίδας προστασίας·

4.

τον ειδικό επίσημο φορέα στην αρμοδιότητα του οποίου εμπίπτει η εξέταση τυχόν προσφυγών κατά του οργανισμού όσον αφορά πιθανές αθέμιτες ή δόλιες πρακτικές και παραβιάσεις νόμων ή κανονισμών που αφορούν την προστασία της ιδιωτικής ζωής (και ο οποίος περιλαμβάνεται σε κατάλογο ή σε μελλοντικό παράρτημα των Αρχών)·

5.

την ονομασία κάθε προγράμματος προστασίας της ιδιωτικής ζωής στο οποίο συμμετέχει ο οργανισμός·

6.

τη μέθοδο επαλήθευσης (π.χ. εσωτερικά, από τρίτους) (βλέπε τη συμπληρωματική αρχή της επαλήθευσης)· και

7.

τον ανεξάρτητο μηχανισμό προσφυγής που διατίθεται για τη διερεύνηση προσφυγών που δεν έχουν διευθετηθεί.

γ.

Στην περίπτωση που ο οργανισμός επιθυμεί τα οφέλη τα οποία λαμβάνει στο πλαίσιο της ασπίδας προστασίας να καλύπτουν τις πληροφορίες ανθρώπινου δυναμικού που διαβιβάζονται από την ΕΕ για χρήση στο πλαίσιο εργασιακής σχέσης, μπορεί να το πράξει εφόσον επίσημος φορέας ο οποίος περιλαμβάνεται σε κατάλογο ή σε μελλοντικό παράρτημα των Αρχών έχει αρμοδιότητα εξέτασης τυχόν προσφυγών κατά του οργανισμού που προκύπτουν από την επεξεργασία πληροφοριών ανθρώπινου δυναμικού. Επιπλέον, ο οργανισμός πρέπει να αναφέρει τα ανωτέρω στη δήλωση αυτοπιστοποίησης και να δηλώσει ότι αναλαμβάνει τη δέσμευση να συνεργάζεται με την αρχή ή τις αρχές της ΕΕ σύμφωνα με τις συμπληρωματικές αρχές για τα δεδομένα ανθρώπινου δυναμικού και τον ρόλο των αρχών προστασίας δεδομένων, ανάλογα με την περίπτωση, και ότι θα συμμορφώνεται με τις συμβουλές που θα παρέχουν οι εν λόγω αρχές. Ο οργανισμός πρέπει επίσης να παρέχει στο Υπουργείο αντίγραφο της πολιτικής του για την προστασία της ιδιωτικής ζωής του ανθρώπινου δυναμικού, καθώς και πληροφορίες σχετικά με το σημείο στο οποίο οι θιγόμενοι υπάλληλοι μπορούν να συμβουλευτούν την πολιτική προστασίας της ιδιωτικής ζωής.

δ.

Το Υπουργείο θα τηρεί τον κατάλογο των οργανισμών της ασπίδας προστασίας που υποβάλλουν ολοκληρωμένες δηλώσεις αυτοπιστοποίησης, εξασφαλίζοντας με τον τρόπο αυτό τη διαθεσιμότητα των οφελών της ασπίδας προστασίας, και θα επικαιροποιεί τον κατάλογο βάσει των ετήσιων δηλώσεων αυτοπιστοποίησης και των κοινοποιήσεων που λαμβάνει δυνάμει της συμπληρωματικής αρχής για την επίλυση διαφορών και την επιβολή του νόμου. Οι εν λόγω δηλώσεις αυτοπιστοποίησης πρέπει να υποβάλλονται τουλάχιστον ετησίως. Διαφορετικά, ο οργανισμός θα διαγράφεται από τον κατάλογο και τα οφέλη της ασπίδας προστασίας δεν θα εξασφαλίζονται πλέον. Τόσο ο κατάλογος της ασπίδας προστασίας όσο και οι δηλώσεις αυτοπιστοποίησης που υποβάλλουν οι οργανισμοί θα τίθενται στη διάθεση του κοινού. Όλοι οι οργανισμοί τους οποίους εντάσσει το Υπουργείο στον κατάλογο της ασπίδας προστασίας πρέπει επίσης να αναφέρουν στις σχετικές δημόσιες δηλώσεις τους σχετικά με την πολιτική που εφαρμόζουν για την προστασία της ιδιωτικής ζωής, ότι προσχωρούν στις Αρχές της ασπίδας προστασίας. Εάν είναι διαθέσιμη στο διαδίκτυο, η πολιτική προστασίας της ιδιωτικής ζωής ενός οργανισμού πρέπει να περιλαμβάνει υπερσύνδεσμο προς τον δικτυακό τόπο της ασπίδας προστασίας του Υπουργείου και υπερσύνδεσμο προς τον δικτυακό τόπο ή το έντυπο υποβολής καταγγελίας του ανεξάρτητου μηχανισμού προσφυγής που διατίθεται για τη διερεύνηση ανεπίλυτων καταγγελιών.

ε.

Οι Αρχές προστασίας της ιδιωτικής ζωής αρχίζουν να εφαρμόζονται αμέσως μετά την πιστοποίηση. Αναγνωρίζοντας ότι οι Αρχές θα έχουν αντίκτυπο στις εμπορικές σχέσεις με τρίτα μέρη, οι οργανισμοί που πιστοποιούνται στο πλαίσιο της ασπίδας προστασίας εντός των πρώτων δύο μηνών από την ημερομηνία εφαρμογής του πλαισίου, διασφαλίζουν τη συμμόρφωση των υφιστάμενων εμπορικών σχέσεων που διατηρούν με τρίτα μέρη με την αρχή της λογοδοσίας για περαιτέρω διαβίβαση το συντομότερο δυνατόν, και σε κάθε περίπτωση εντός εννέα μηνών από την ημερομηνία κατά την οποία πιστοποιούνται στην ασπίδα προστασίας. Κατά τη διάρκεια του διαστήματος που μεσολαβεί, στην περίπτωση που οι οργανισμοί διαβιβάζουν δεδομένα σε τρίτο μέρος, i) εφαρμόζουν τις αρχές της κοινοποίησης και της επιλογής, και ii) όταν διαβιβάζονται δεδομένα προσωπικού χαρακτήρα σε τρίτο μέρος που ενεργεί ως αντιπρόσωπος, διακριβώνουν ότι ο αντιπρόσωπος υποχρεούται να παρέχει τουλάχιστον το ίδιο επίπεδο προστασίας που απαιτείται βάσει των Αρχών.

στ.

Ένας οργανισμός πρέπει να εφαρμόζει τις Αρχές της ασπίδας προστασίας σε όλα τα δεδομένα προσωπικού χαρακτήρα που λαμβάνει από την ΕΕ βασιζόμενος στην ασπίδα προστασίας, Η δέσμευση για την τήρηση των Αρχών της ασπίδας προστασίας δεν περιορίζεται χρονικά όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που λαμβάνονται κατά τη διάρκεια της περιόδου κατά την οποία ο οργανισμός απολαμβάνει τα οφέλη της ασπίδας προστασίας. Η δέσμευση αυτή συνεπάγεται ότι ο οργανισμός θα συνεχίσει να εφαρμόζει τις Αρχές στα εν λόγω δεδομένα για όσο χρονικό διάστημα τα αποθηκεύει, τα χρησιμοποιεί ή τα κοινολογεί, ακόμη και αν στη συνέχεια αποχωρήσει από την ασπίδα προστασίας για οποιαδήποτε αιτία. Ένας οργανισμός που αποχωρεί από την ασπίδα προστασίας αλλά επιθυμεί να διατηρήσει τέτοιου είδους δεδομένα πρέπει να επιβεβαιώνει στο Υπουργείο σε ετήσια βάση τη δέσμευσή του να συνεχίσει να εφαρμόζει τις Αρχές ή να παρέχει «επαρκή» προστασία για τις πληροφορίες με άλλον εγκεκριμένο τρόπο (για παράδειγμα, με χρήση σύμβασης που αντικατοπτρίζει πλήρως τις απαιτήσεις των σχετικών πρότυπων συμβατικών ρητρών που εγκρίνονται από την Ευρωπαϊκή Επιτροπή)· διαφορετικά, ο οργανισμός πρέπει να επιστρέψει ή να διαγράψει τις πληροφορίες. Οργανισμός που αποχωρεί από την ασπίδα προστασίας πρέπει να απαλείψει από κάθε συναφή πολιτική περί προστασίας της ιδιωτικής ζωής οποιαδήποτε αναφορά στην ασπίδα προστασίας από την οποία μπορεί να υπονοείται ότι ο οργανισμός εξακολουθεί να συμμετέχει ενεργά στην ασπίδα προστασίας και έχει δικαίωμα να απολαμβάνει τα οφέλη της.

ζ.

Οργανισμός που πρόκειται να παύσει να υφίσταται ως χωριστή νομική οντότητα ως αποτέλεσμα συγχώνευσης ή εξαγοράς πρέπει να ενημερώνει σχετικά το Υπουργείο εκ των προτέρων. Στην ειδοποίηση θα πρέπει επίσης να αναφέρεται αν η οντότητα που αποκτά τον οργανισμό ή που προκύπτει από τη συγχώνευση i) θα συνεχίσει να δεσμεύεται από τις Αρχές της ασπίδας προστασίας βάσει του δικαίου που διέπει την εξαγορά ή τη συγχώνευση, ή ii) θα επιλέξει να αυτοπιστοποιηθεί για την τήρηση των Αρχών της ασπίδας προστασίας ή να εφαρμόσει άλλες διασφαλίσεις, όπως γραπτή συμφωνία με την οποία θα εξασφαλίζεται η τήρηση εκ μέρους του των Αρχών της ασπίδας προστασίας. Εάν δεν ισχύει ούτε η περίπτωση i) ούτε η περίπτωση ii), όλα τα δεδομένα προσωπικού χαρακτήρα που έχουν αποκτηθεί στο πλαίσιο της ασπίδας προστασίας πρέπει να διαγράφονται αμέσως.

η.

Όταν ένας οργανισμός αποχωρεί από την ασπίδα προστασίας για οποιονδήποτε λόγο, πρέπει να διαγράφει κάθε δήλωση από την οποία μπορεί να υπονοηθεί ότι ο οργανισμός εξακολουθεί να συμμετέχει στην ασπίδα προστασίας ή δικαιούται να απολαμβάνει τα οφέλη της ασπίδας προστασίας. Πρέπει επίσης να αφαιρεθεί το σήμα πιστοποίησης της ασπίδας προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ, εφόσον χρησιμοποιείται. Κάθε ψευδής δήλωση προς το ευρύ κοινό όσον αφορά την τήρηση των Αρχών της ασπίδας προστασίας εκ μέρους του οργανισμού μπορεί να συνεπάγεται δίωξη από την FTC ή από άλλον αρμόδιο κυβερνητικό φορέα. Ψευδείς δηλώσεις προς το Υπουργείο μπορεί να συνεπάγονται δίωξη βάσει του νόμου περί υποβολής ψευδούς δήλωσης (False Statements Act) (18 U.S.C. § 1001).

7.   Επαλήθευση

α.

Οι οργανισμοί πρέπει να προβλέπουν διαδικασίες παρακολούθησης για να εξακριβώνεται ότι αληθεύουν οι δηλώσεις και οι ισχυρισμοί τους σχετικά με τις πρακτικές περί προστασίας της ιδιωτικής ζωής που ακολουθούν στο πλαίσιο της ασπίδας προστασίας και ότι εφαρμόζονται οι εν λόγω πρακτικές σύμφωνα με τη διατύπωσή τους και σύμφωνα με τις Αρχές της ασπίδας προστασίας.

β.

Προκειμένου να ανταποκριθεί στις απαιτήσεις επαλήθευσης της αρχής της προσφυγής, της επιβολής και της ευθύνης, ένας οργανισμός πρέπει να εξακριβώνει το αληθές παρόμοιων δηλώσεων και ισχυρισμών είτε μέσω αυτοαξιολόγησης είτε μέσω εξωτερικών ελέγχων συμμόρφωσης.

γ.

Με βάση τη μέθοδο της αυτοαξιολόγησης, από την επαλήθευση αυτή πρέπει να προκύπτει ότι η δημοσιευμένη πολιτική ενός οργανισμού για την προστασία της ιδιωτικής ζωής, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που λαμβάνονται από την ΕΕ, είναι ακριβής, εμπεριστατωμένη, εμφανώς κοινοποιημένη, προσβάσιμη και ότι εφαρμόζεται πλήρως. Από την επαλήθευση πρέπει επίσης να προκύπτει ότι η πολιτική του οργανισμού για την προστασία της ιδιωτικής ζωής συμμορφώνεται με τις Αρχές της ασπίδας προστασίας· ότι τα άτομα ενημερώνονται για τις εσωτερικές ρυθμίσεις που αφορούν τον χειρισμό των καταγγελιών τους και για τους ανεξάρτητους μηχανισμούς μέσω των οποίων μπορούν να υποβάλουν καταγγελίες· ότι έχουν θεσπιστεί διαδικασίες τόσο για την κατάρτιση των υπαλλήλων σχετικά με την εφαρμογή της πολιτικής, όσο και για την επιβολή πειθαρχικής ποινής όταν δεν την εφαρμόζουν· και ότι έχουν θεσπιστεί εσωτερικές διαδικασίες για τακτική διενέργεια αντικειμενικών ελέγχων συμμόρφωσης με τα ανωτέρω. Τουλάχιστον μία φορά ετησίως πρέπει να υπογράφεται από ανώτατο στέλεχος του οργανισμού ή από οποιονδήποτε άλλο εξουσιοδοτημένο εκπρόσωπό του δήλωση επαλήθευσης της αυτοαξιολόγησης η οποία θα διατίθεται στα πρόσωπα κατόπιν αιτήματος ή στο πλαίσιο έρευνας ή καταγγελίας για μη συμμόρφωση.

δ.

Σε περίπτωση κατά την οποία ο οργανισμός έχει επιλέξει τον εξωτερικό έλεγχο συμμόρφωσης, ο έλεγχος αυτός πρέπει να αποδεικνύει ότι η πολιτική προστασίας της ιδιωτικής ζωής, όσον αφορά τις πληροφορίες προσωπικού χαρακτήρα που λαμβάνονται από την ΕΕ, συμμορφώνεται με τις Αρχές της ασπίδας προστασίας, ότι τηρείται η εν λόγω πολιτική και ότι τα πρόσωπα ενημερώνονται για τους μηχανισμούς μέσω των οποίων μπορούν να υποβάλουν καταγγελία. Οι μέθοδοι ελέγχου μπορούν να περιλαμβάνουν, χωρίς περιορισμό και ανάλογα με την περίπτωση, ελεγκτικές διαδικασίες, τυχαίες επιθεωρήσεις, χρήση «παγίδων» ή χρήση τεχνολογικών εργαλείων. Τουλάχιστον μία φορά ετησίως έτος πρέπει να υπογράφεται δήλωση ότι ολοκληρώθηκε με επιτυχία εξωτερικός έλεγχος συμμόρφωσης· η δήλωση υπογράφεται είτε από τον ελεγκτή είτε από ανώτατο στέλεχος του οργανισμού ή από άλλον εξουσιοδοτημένο εκπρόσωπό του και διατίθεται είτε στα πρόσωπα κατόπιν αιτήματος είτε στο πλαίσιο έρευνας ή καταγγελίας για μη συμμόρφωση.

ε.

Οι οργανισμοί πρέπει να διατηρούν αρχείο σχετικά με την εφαρμογή των πρακτικών περί προστασίας της ιδιωτικής ζωής που ακολουθούν στο πλαίσιο της ασπίδας προστασίας, το οποίο θα διαθέτουν κατόπιν αιτήματος στο πλαίσιο έρευνας ή καταγγελίας για μη συμμόρφωση προς τον αρμόδιο για τη διερεύνηση των καταγγελιών ανεξάρτητο φορέα ή το αρμόδιο για τις αθέμιτες ή δόλιες πρακτικές όργανο. Οι οργανισμοί πρέπει επίσης να ανταποκρίνονται αμελλητί σε ερωτήματα και άλλα αιτήματα για παροχή πληροφοριών που υποβάλλει το Υπουργείο σχετικά με την τήρηση των Αρχών από τον οργανισμό.

8.   Πρόσβαση

α.   Η αρχή της πρόσβασης στην πράξη

i.

Βάσει των Αρχών της ασπίδας προστασίας, το δικαίωμα πρόσβασης είναι ουσιώδες για την προστασία της ιδιωτικής ζωής. Με βάση το δικαίωμα αυτό, οι ιδιώτες μπορούν να εξακριβώνουν την ακρίβεια των πληροφοριών που τηρούνται και οι οποίες τους αφορούν. Η αρχή της πρόσβασης συνεπάγεται ότι οι ιδιώτες έχουν το δικαίωμα να:

1.

λαμβάνουν από έναν οργανισμό επιβεβαίωση σχετικά με το αν ο οργανισμός επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που τους αφορούν (4)·

2.

εξασφαλίζουν την κοινοποίηση των εν λόγω δεδομένων σε αυτούς, ώστε να είναι σε θέση να επαληθεύουν την ορθότητά τους και τη νομιμότητα της επεξεργασίας· και

3.

εξασφαλίζουν τη διόρθωση, την τροποποίηση ή τη διαγραφή των δεδομένων στην περίπτωση που είναι ανακριβή ή έχουν υποβληθεί σε επεξεργασία κατά παράβαση των Αρχών.

ii.

Οι ιδιώτες δεν χρειάζεται να δικαιολογούν τα αιτήματα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που τους αφορούν. Για να ανταποκριθούν σε αιτήματα πρόσβασης των ιδιωτών, οι οργανισμοί θα πρέπει να καθοδηγούνται από το πρόβλημα που οδήγησε στη διατύπωση του αιτήματος εξαρχής. Για παράδειγμα, εάν το αίτημα πρόσβασης είναι ασαφές ή ευρύ, ένας οργανισμός μπορεί να δρομολογήσει διάλογο με τον ιδιώτη ώστε να κατανοήσει καλύτερα τους λόγους για τους οποίους υπέβαλε το αίτημα και να εντοπίσει τις κατάλληλες πληροφορίες. Ο οργανισμός μπορεί να ερευνήσει ποιο ή ποια τμήματα του οργανισμού σχετίζονται με το αίτημα του ιδιώτη ή ποια είναι η φύση ή η χρήση των πληροφοριών που αποτελούν αντικείμενο του αιτήματος πρόσβασης.

iii.

Η αρχή της πρόσβασης συνεπάγεται, από την ίδια τη φύση της, ότι οι οργανισμοί θα πρέπει πάντοτε να καταβάλλουν καλόπιστες προσπάθειες για την παροχή πρόσβασης. Για παράδειγμα, στις περιπτώσεις στις οποίες ορισμένες πληροφορίες πρέπει να προστατευθούν και μπορούν εύκολα να διαχωριστούν από άλλες πληροφορίες προσωπικού χαρακτήρα που αποτελούν το αντικείμενο αιτήματος πρόσβασης, ο οργανισμός θα πρέπει να παραλείπει τις προστατευόμενες πληροφορίες και να παρέχει πρόσβαση στις λοιπές πληροφορίες. Εάν ένας οργανισμός ορίσει ότι σε μια συγκεκριμένη περίπτωση δεν πρέπει να χορηγηθεί πρόσβαση, θα πρέπει να εξηγήσει τους λόγους άρνησης στον ιδιώτη που ζήτησε την πρόσβαση και να του παράσχει τα στοιχεία της υπηρεσίας στην οποία μπορεί να απευθυνθεί για περαιτέρω πληροφορίες.

β.   Επιβάρυνση ή έξοδα για την παροχή πρόσβασης

i.

Το δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα μπορεί να περιοριστεί σε εξαιρετικές περιστάσεις στις οποίες τα έννομα δικαιώματα άλλων προσώπων πέραν του προσώπου στο οποίο αναφέρονται τα δεδομένα θα παραβιάζονταν ή στην περίπτωση που η επιβάρυνση ή τα έξοδα για την παροχή πρόσβασης θα ήταν δυσανάλογα μεγάλα σε σχέση με τους κινδύνους για την ιδιωτική ζωή του εν λόγω προσώπου στην προκειμένη περίπτωση. Τα έξοδα και η διοικητική επιβάρυνση είναι σημαντικοί παράγοντες και θα πρέπει να λαμβάνονται υπόψη, αλλά δεν είναι καθοριστικοί παράγοντες για την απόφαση σχετικά με το αν η παροχή πρόσβασης είναι εύλογη.

ii.

Για παράδειγμα, εάν οι πληροφορίες προσωπικού χαρακτήρα χρησιμοποιούνται για αποφάσεις που θα επηρεάσουν σημαντικά τον ιδιώτη (π.χ. χορήγηση ή άρνηση χορήγησης σημαντικών οφελών, όπως ασφάλιση, υποθήκη ή θέση εργασίας), τότε, σύμφωνα με τις λοιπές διατάξεις των συμπληρωματικών αρχών, ο οργανισμός θα πρέπει να κοινολογήσει τις σχετικές πληροφορίες, ακόμη και αν η κοινολόγηση είναι σχετικά δύσκολη ή δαπανηρή. Εάν οι αιτούμενες πληροφορίες προσωπικού χαρακτήρα δεν είναι ευαίσθητες ή δεν χρησιμοποιούνται για αποφάσεις που θα επηρεάσουν σημαντικά τον ιδιώτη αλλά η παροχή τους είναι εύκολη και όχι δαπανηρή, ο οργανισμός θα πρέπει να παρέχει πρόσβαση στις εν λόγω πληροφορίες.

γ.   Εμπιστευτικές εμπορικές πληροφορίες

i.

Οι εμπιστευτικές εμπορικές πληροφορίες είναι οι πληροφορίες για τις οποίες ένας οργανισμός έχει λάβει μέτρα ώστε να μην κοινολογηθούν, διότι η κοινολόγησή τους θα βοηθούσε ενδεχομένως έναν ανταγωνιστή στην αγορά. Οι οργανισμοί μπορούν να αρνηθούν ή να περιορίσουν την πρόσβαση στον βαθμό που η χορήγηση πρόσβασης θα αποκάλυπτε δικές τους εμπιστευτικές εμπορικές πληροφορίες, όπως στοιχεία εμπορικής προώθησης ή ταξινομήσεις που έχει καταρτίσει ο οργανισμός ή εμπιστευτικές εμπορικές πληροφορίες άλλου οργανισμού που υπόκεινται σε συμβατική υποχρέωση εμπιστευτικότητας.

ii.

Στις περιπτώσεις στις οποίες οι εμπιστευτικές εμπορικές πληροφορίες μπορούν εύκολα να διαχωριστούν από τις λοιπές πληροφορίες προσωπικού χαρακτήρα που αποτελούν το αντικείμενο του αιτήματος πρόσβασης, ο οργανισμός πρέπει να παραλείπει τις εμπιστευτικές εμπορικές πληροφορίες και να παρέχει πρόσβαση στις μη εμπιστευτικές πληροφορίες.

δ.   Οργάνωση των βάσεων δεδομένων

i.

Ένας οργανισμός μπορεί να χορηγήσει πρόσβαση σε έναν ιδιώτη με τη μορφή κοινολόγησης των σχετικών πληροφοριών προσωπικού χαρακτήρα, χωρίς να πρέπει να παράσχει στον ιδιώτη πρόσβαση στη βάση δεδομένων του οργανισμού.

ii.

Πρόσβαση πρέπει να παρέχεται μόνο στον βαθμό που ο οργανισμός αποθηκεύει τις πληροφορίες προσωπικού χαρακτήρα. Η αρχή της πρόσβασης αυτή καθαυτή δεν δημιουργεί υποχρέωση δημιουργίας, τήρησης, αναδιοργάνωσης ή αναδιάρθρωσης αρχείων με πληροφορίες προσωπικού χαρακτήρα.

ε.   Περιπτώσεις στις οποίες είναι δυνατός ο περιορισμός της πρόσβασης

i.

Δεδομένου ότι οι οργανισμοί πρέπει πάντα να καταβάλλουν καλόπιστες προσπάθειες ώστε να παρέχουν στους ιδιώτες πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τους αφορούν, οι περιστάσεις υπό τις οποίες οι οργανισμοί μπορούν να περιορίσουν την πρόσβαση είναι περιορισμένες και κάθε λόγος για τον περιορισμό της πρόσβασης αυτής πρέπει να είναι συγκεκριμένος. Όπως προβλέπεται και στην οδηγία, ένας οργανισμός μπορεί να περιορίσει την πρόσβαση σε πληροφορίες στον βαθμό που η κοινολόγησή τους είναι πιθανόν να παρεμποδίσει τη διασφάλιση σημαντικών δημόσιων συμφερόντων, όπως είναι η εθνική ασφάλεια, η άμυνα ή η δημόσια τάξη. Επιπλέον, μπορεί να απορριφθεί το αίτημα πρόσβασης εάν οι πληροφορίες προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία αποκλειστικά για ερευνητικούς ή στατιστικούς σκοπούς. Άλλοι λόγοι απόρριψης του αιτήματος πρόσβασης ή περιορισμού της πρόσβασης είναι οι ακόλουθοι:

1.

παρεμπόδιση της εκτέλεσης ή της επιβολής του νόμου ή της άσκησης αγωγών από ιδιώτες, συμπεριλαμβανομένης της πρόληψης, διερεύνησης ή διαλεύκανσης αδικημάτων, καθώς και του δικαιώματος σε δίκαιη δίκη·

2.

περίπτωση στην οποία η κοινολόγηση συνεπάγεται την παραβίαση των έννομων δικαιωμάτων ή σημαντικών συμφερόντων τρίτων·

3.

μη τήρηση προνομίου ή υποχρέωσης, είτε εκ του νόμου είτε επαγγελματικού·

4.

διακύβευση ερευνών σχετικών με την ασφάλεια εργαζομένου ή εκδικαζόμενων εργατικών διαφορών ή σε σχέση με τον σχεδιασμό διαδοχής προσωπικού και εταιρική αναδιοργάνωση· ή

5.

διακύβευση της εμπιστευτικότητας που απαιτείται για την παρακολούθηση, τον έλεγχο ή τις ρυθμιστικές λειτουργίες που συνδέονται με τη χρηστή διαχείριση, ή για μελλοντικές ή εν εξελίξει διαπραγματεύσεις στις οποίες συμμετέχει ο οργανισμός.

ii.

Ένας οργανισμός ο οποίος ζητεί εξαίρεση, επωμίζεται το βάρος της απόδειξης της αναγκαιότητάς της, και θα πρέπει να παρέχονται στους ιδιώτες οι λόγοι για τον περιορισμό της πρόσβασης καθώς και ένα σημείο επαφής για περαιτέρω αιτήματα για παροχή πληροφοριών.

στ.   Δικαίωμα λήψης επιβεβαίωσης και επιβολή τέλους για την κάλυψη των δαπανών για την παροχή πρόσβασης

i.

Ένας ιδιώτης έχει το δικαίωμα να λάβει επιβεβαίωση σχετικά με το αν ένας οργανισμός τηρεί δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Ένας ιδιώτης έχει επίσης το δικαίωμα να ζητήσει να του γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν. Οι οργανισμοί δύνανται να επιβάλλουν τέλος το οποίο δεν είναι υπερβολικό.

ii.

Η επιβολή τέλους μπορεί να είναι δικαιολογημένη, για παράδειγμα, όταν τα αιτήματα πρόσβασης είναι προδήλως υπερβολικά, ιδίως λόγω του επαναληπτικού τους χαρακτήρα.

iii.

Δεν πρέπει να απορρίπτεται η χορήγηση πρόσβασης για λόγους κόστους εάν ο ιδιώτης προτίθεται να καταβάλει τις σχετικές δαπάνες.

ζ.   Επαναλαμβανόμενα ή οχληρά αιτήματα πρόσβασης

Ένας οργανισμός μπορεί να θέτει εύλογα όρια ως προς τον αριθμό των αιτημάτων πρόσβασης που υποβάλλονται από έναν συγκεκριμένο ιδιώτη στα οποία θα ανταποκριθεί εντός συγκεκριμένης περιόδου. Κατά τον καθορισμό των ορίων αυτών, ένας οργανισμός θα πρέπει να λαμβάνει υπόψη παράγοντες όπως η συχνότητα επικαιροποίησης των πληροφοριών, ο σκοπός για τον οποίο χρησιμοποιούνται τα δεδομένα και η φύση των πληροφοριών.

η.   Δόλια αιτήματα πρόσβασης

Ένας οργανισμός δεν υποχρεούται να χορηγήσει πρόσβαση εάν δεν του παρασχεθούν επαρκείς πληροφορίες που να του επιτρέπουν να επιβεβαιώσει την ταυτότητα του ατόμου που υποβάλλει το αίτημα.

θ.   Χρονικό πλαίσιο για την παροχή απαντήσεων

Οι οργανισμοί θα πρέπει να ανταποκρίνονται στα αιτήματα πρόσβασης εντός εύλογου χρονικού διαστήματος, με εύλογο τρόπο, και σε μορφή η οποία είναι ευνόητη για το άτομο. Ένας οργανισμός που παρέχει πληροφορίες σε πρόσωπα τα οποία αφορούν τα δεδομένα ανά τακτά χρονικά διαστήματα μπορεί να ικανοποιεί μεμονωμένα αιτήματα πρόσβασης στο πλαίσιο της τακτικής του κοινολόγησης εάν αυτό δεν συνεπάγεται υπερβολική καθυστέρηση.

9.   Δεδομένα ανθρώπινου δυναμικού

α.   Κάλυψη από την ασπίδα προστασίας

i.

Στην περίπτωση που ένας οργανισμός στην ΕΕ διαβιβάζει πληροφορίες προσωπικού χαρακτήρα οι οποίες αφορούν (πρώην ή τωρινούς) υπαλλήλους του και οι οποίες συγκεντρώνονται στο πλαίσιο της εργασιακής σχέσης σε μητρική ή θυγατρική εταιρεία, ή σε μη συνδεδεμένο φορέα παροχής υπηρεσιών στις ΗΠΑ που συμμετέχει στην ασπίδα προστασίας, η διαβίβαση απολαμβάνει τα οφέλη της ασπίδας προστασίας. Στις περιπτώσεις αυτές, η συλλογή των πληροφοριών και η επεξεργασία τους πριν από τη διαβίβαση διέπεται από τους εθνικούς νόμους της χώρας της ΕΕ στην οποία συγκεντρώθηκαν οι πληροφορίες και θα πρέπει να τηρούνται τυχόν προϋποθέσεις ή περιορισμοί σχετικά με τη διαβίβασή τους που προβλέπονται στους εν λόγω νόμους.

ii.

Οι Αρχές της ασπίδας προστασίας εφαρμόζονται μόνο σε περίπτωση διαβίβασης ή πρόσβασης που αφορά εξατομικευμένα αρχεία ή αρχεία που μπορούν να εξατομικευθούν. Οι στατιστικές που βασίζονται σε συγκεντρωτικά δεδομένα απασχόλησης και δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα ή βασίζονται στη χρήση ανωνυμοποιημένων δεδομένων δεν εγείρουν προβλήματα προστασίας της ιδιωτικής ζωής.

β.   Εφαρμογή των αρχών της κοινοποίησης και της επιλογής

i.

Ένας οργανισμός των ΗΠΑ που έχει λάβει πληροφορίες για εργαζομένους από την ΕΕ στο πλαίσιο της ασπίδας προστασίας μπορεί να τα κοινολογήσει σε τρίτους ή να τα χρησιμοποιήσει για διαφορετικούς σκοπούς μόνο σύμφωνα με τις αρχές της κοινοποίησης και της επιλογής. Για παράδειγμα, όταν ένας οργανισμός προτίθεται να χρησιμοποιήσει πληροφορίες προσωπικού χαρακτήρα που έχουν συγκεντρωθεί στο πλαίσιο της εργασιακής σχέσης αλλά για σκοπούς που δεν σχετίζονται με την απασχόληση, όπως ανακοινώσεις εμπορικής προώθησης, ο οργανισμός των ΗΠΑ πρέπει να παράσχει στα θιγόμενα άτομα τη δυνατότητα επιλογής πριν από τη χρήση των πληροφοριών αυτών, εκτός εάν τα άτομα αυτά έχουν ήδη εγκρίνει τη χρήση των πληροφοριών για τέτοιους σκοπούς. Η χρήση αυτή δεν πρέπει να αντιβαίνει στους σκοπούς για τους οποίους συνελέγησαν οι πληροφορίες προσωπικού χαρακτήρα ή για τους οποίους εγκρίθηκαν μεταγενέστερα από το πρόσωπο. Επιπλέον, οι εν λόγω δυνατότητες επιλογής δεν πρέπει να χρησιμοποιούνται για τον περιορισμό των επαγγελματικών ευκαιριών των εργαζομένων ή για την επιβολή κυρώσεων στους εν λόγω εργαζομένους.

ii.

Θα πρέπει να σημειωθεί ότι ορισμένες προϋποθέσεις που ισχύουν γενικά για τη διαβίβαση από μερικά κράτη μέλη της ΕΕ ενδέχεται να αποκλείουν κάθε άλλη χρήση των εν λόγω πληροφοριών ακόμη και μετά τη διαβίβασή τους εκτός της ΕΕ, και οι προϋποθέσεις αυτές θα πρέπει να τηρούνται.

iii.

Επιπλέον, οι εργοδότες θα πρέπει να καταβάλλουν εύλογες προσπάθειες ώστε να λαμβάνουν υπόψη τις προτιμήσεις των εργαζομένων όσον αφορά την ιδιωτική τους ζωή. Αυτό μπορεί π.χ. να περιλαμβάνει περιορισμό της πρόσβασης στα δεδομένα προσωπικού χαρακτήρα, ανωνυμοποίηση ορισμένων δεδομένων ή καταγραφή βάσει κωδικών ή ψευδωνύμων όταν τα πραγματικά ονόματα δεν είναι απαραίτητα για τον εκάστοτε σκοπό διαχείρισης.

iv.

Στον βαθμό που απαιτείται και για την περίοδο που είναι αναγκαία για να μην θιγεί η ικανότητα του οργανισμού να προβαίνει σε προαγωγές, διορισμούς ή να λαμβάνει άλλες παρόμοιες αποφάσεις στον τομέα της απασχόλησης, ο οργανισμός δεν χρειάζεται να προβαίνει σε κοινοποίηση ή να προσφέρει δυνατότητα επιλογής.

γ.   Εφαρμογή της αρχής της πρόσβασης

Η συμπληρωματική αρχή της πρόσβασης παρέχει κατευθύνσεις σχετικά με τους λόγους που ενδέχεται να δικαιολογούν την απόρριψη αιτήματος πρόσβασης ή τον περιορισμό της πρόσβασης αιτήματος που αφορά δεδομένα ανθρώπινου δυναμικού. Ασφαλώς, οι εργοδότες στην Ευρωπαϊκή Ένωση πρέπει να συμμορφώνονται με τους ισχύοντες κατά τόπους κανονισμούς και να διασφαλίζουν ότι οι εργαζόμενοι της Ευρωπαϊκής Ένωσης έχουν πρόσβαση σε τέτοιου είδους πληροφορίες σύμφωνα με τις κείμενες διατάξεις της εθνικής νομοθεσίας, ανεξάρτητα από τον τόπο επεξεργασίας και αποθήκευσης των δεδομένων. Η ασπίδα προστασίας απαιτεί από έναν οργανισμό που επεξεργάζεται τέτοιου είδους δεδομένα στις ΗΠΑ τη συνεργασία κατά την παροχή πρόσβασης είτε απευθείας είτε μέσω του εργοδότη από την ΕΕ.

δ.   Επιβολή του νόμου

i.

Εφόσον οι πληροφορίες προσωπικού χαρακτήρα χρησιμοποιούνται μόνο στο πλαίσιο της εργασιακής σχέσης, η πρωταρχική ευθύνη για τα δεδομένα έναντι του εργαζομένου ανήκει στον οργανισμό που είναι εγκατεστημένος στην ΕΕ. Είναι αυτονόητο ότι, στην περίπτωση που ευρωπαίοι εργαζόμενοι υποβάλλουν καταγγελίες για παραβιάσεις των δικαιωμάτων τους στο θέμα της προστασίας των δεδομένων και δεν είναι ικανοποιημένοι από τα αποτελέσματα του εσωτερικού ελέγχου, της καταγγελίας και των διαδικασιών προσφυγής (ή από οποιαδήποτε από τις ισχύουσες διαδικασίες επίλυσης εργατικών διαφορών βάσει σύμβασης με συνδικάτο), θα πρέπει να απευθυνθούν στο κράτος ή στην εθνική αρχή προστασίας των δεδομένων ή στην αρμόδια για εργασιακά θέματα αρχή του τόπου όπου εργάζονται. Αυτό περιλαμβάνει και τις περιπτώσεις στις οποίες η εικαζόμενη αθέμιτη επεξεργασία των πληροφοριών προσωπικού χαρακτήρα αποτελεί ευθύνη του οργανισμού των ΗΠΑ που έχει λάβει τις πληροφορίες από τον εργοδότη και ως εκ τούτου συνεπάγεται εικαζόμενη παραβίαση των Αρχών της ασπίδας προστασίας. Ο τρόπος αυτός θα είναι ο πλέον αποτελεσματικός για την αντιμετώπιση των ζητημάτων που προκύπτουν από τα συχνά αλληλεπικαλυπτόμενα δικαιώματα και υποχρεώσεις που προβλέπει το τοπικό εργατικό δίκαιο και οι εργασιακές συμβάσεις καθώς και η νομοθεσία περί προστασίας των δεδομένων.

ii.

Οργανισμός των ΗΠΑ ο οποίος συμμετέχει στην ασπίδα προστασίας και χρησιμοποιεί δεδομένα ανθρώπινου δυναμικού από την ΕΕ που έχουν διαβιβαστεί από την Ευρωπαϊκή Ένωση στο πλαίσιο της εργασιακής σχέσης και ο οποίος επιθυμεί να καλύπτονται οι εν λόγω διαβιβάσεις από την ασπίδα προστασίας