(1)

С Регламент (ЕС) 2016/679 (2) се определят правилата за предаването на лични данни от администратори или обработващи лични данни в Съюза на трети държави и международни организации, доколкото това предаване попада в неговото приложно поле. Правилата относно международното предаване на данни са установени в глава V от този регламент. Въпреки че потоците от лични данни към и от държави извън Европейския съюз са от съществено значение за разширяването на трансграничната търговия и на международното сътрудничество, нивото на защита, което се предоставя за личните данни в Съюза, не трябва да бъде излагано на риск при предаването им на трети държави или международни организации (3).

(2)

Съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679 Комисията може чрез акт за изпълнение да реши, че дадена трета държава, територия или един или повече конкретни сектори в тази трета държава осигурява(т) адекватно ниво на защита. При това условие предаването на лични данни на трета държава може да се извършва, без да е необходимо допълнително разрешение, както е предвидено в член 45, параграф 1 и в съображение 103 от Регламент (ЕС) 2016/679.

(3)

Както е посочено в член 45, параграф 2 от Регламент (ЕС) 2016/679, приемането на решение относно адекватното ниво на защита трябва да се основава на цялостен анализ на правния ред на третата държава, който обхваща както правилата, приложими към вносителите на данни, така и ограниченията и гаранциите по отношение на достъпа до лични данни от страна на публичните органи. В своята оценка Комисията трябва да определи дали въпросната трета държава гарантира ниво на защита, „по същество“ равностойно на нивото, гарантирано в рамките на Съюза (съображение 104 от Регламент (ЕС) 2016/679). Стандартът, спрямо който се оценява равностойността по същество, е определеният от законодателството на ЕС, по-специално от Регламент (ЕС) 2016/679, както и от съдебната практика на Съда на Европейския съюз (Съда) (4).

(4)

Както бе уточнено от Съда в решението му от 6 октомври 2015 г. по дело C-362/14, Maximillian Schrems/Data Protection Commissioner (5) (Schrems), за тази цел не се изисква установяване на идентично ниво на защита. По-специално средствата, до които въпросната трета държава прибягва за защита на личните данни, може да са различни от прилаганите вътре в Съюза, стига на практика те да се окажат ефективни за гарантирането на достатъчна степен на защита (6). Поради това стандартът за адекватно ниво на защита не включва изискване за буквално възпроизвеждане на правилата на Съюза. Критерият се състои по-скоро в това дали чрез същността на правата на неприкосновеност на личния живот и тяхното ефективно прилагане, надзор и изпълнение чуждестранната система като цяло осигурява необходимото ниво на защита (7). Освен това, съобразно това решение, когато прилага този стандарт, Комисията следва по-специално да прецени дали в правната рамка на въпросната трета държава са предвидени правила, предназначени за ограничаване на намесата, засягаща основните права на лицата, чиито данни се прехвърлят от Съюза, която намеса държавните структури на тази държава имат право да извършват, ако преследват законосъобразни цели, като например осигуряването на националната сигурност, и дали въпросната правна рамка осигурява ефективна правна защита срещу този вид намеса (8). В референтния документ за адекватното ниво на защита на Европейския комитет по защита на данните, който се стреми да изясни допълнително този стандарт, също са предоставени насоки в това отношение (9).

(5)

Приложимият стандарт по отношение на подобна намеса, засягаща основните права на неприкосновеност на личния живот и на защита на личните данни, беше допълнително разяснен от Съда в решението му от 16 юли 2020 г. по дело C-311/18, Data Protection Commissioner/Facebook Ireland Limited и Maximillian Schrems (Schrems II), с което беше обявено за невалидно Решение за изпълнение (ЕС) 2016/1250 на Комисията (10) относно предходна рамка за трансатлантическите потоци от данни, Щита за личните данни в отношенията между ЕС и САЩ („Рамка на Щита за личните данни“). Съдът счита, че ограниченията на защитата на личните данни, които произтичат от вътрешноправната уредба на Съединените щати относно достъпа и използването от американските публични органи на такива данни, предадени от Съюза на Съединените щати за целите на националната сигурност, не са определени по начин, който да отговаря на изисквания, които по същество са равностойни на предвидените съгласно правото на Съюза, що се отнася до необходимостта и пропорционалността на такава намеса в правото на защита на данните (11). Съдът също така счита, че не е налице способ за защита пред орган, който предоставя на лицата, чиито данни са предадени на Съединените щати, гаранции, които по същество са равностойни на изискваните от член 47 от Хартата относно правото на ефективни правни средства за защита (12).

(6)

След решението по делото Scherms II Комисията започна разговори с правителството на САЩ с оглед на евентуално ново решение относно адекватното ниво на защита, което да отговаря на изискванията на член 45, параграф 2 от Регламент (ЕС) 2016/679, както е тълкуван от Съда. В резултат на тези разговори на 7 октомври 2022 г. Съединените щати приеха Изпълнителен указ № 14086 „Засилване на защитните мерки за дейностите по радиоелектронно разузнаване на САЩ“ (Указ 14086), който е допълнен от Наредба относно Апелативния съд в областта на защитата на личните данни, издадена от министъра на правосъдието на САЩ (Наредба на МП) (13). Освен това рамката, която се прилага по отношение на търговските субекти, обработващи данни, предавани от Съюза съгласно настоящото решение — Рамката за личните данни в отношенията между ЕС и САЩ (РЗЛД в отношенията между ЕС и САЩ или РЗЛД) — беше актуализирана.

(7)

Комисията внимателно анализира законодателството и практиката на САЩ, включително Указ 14086 и Наредбата на МП. Въз основа на констатациите, развити в съображения 9—200, Комисията стигна до заключението, че Съединените американски щати гарантират адекватна степен на защита на личните данни, които се предават съгласно Рамката между ЕС и САЩ от администратор, или обработващ данни в Съюза (14), към сертифицирани организации в САЩ.

(8)

Решението води до това, че предаването на лични данни от администратори и обработващи лични данни в Съюза (15) на сертифицирани организации в Съединените щати може да се извърши, без да е необходимо получаването на допълнително разрешение. То не засяга прякото приложение на Регламент (ЕС) 2016/679 спрямо такива организации, когато условията относно териториалния обхват на посочения регламент, изложени в член 3 от него, са изпълнени.

(9)

Рамката за личните данни в отношенията между ЕС и САЩ се базира на система за сертифициране, чрез която организациите в САЩ се ангажират да спазват един набор от принципи за неприкосновеност на личния живот — рамковите принципи на Рамката за личните данни в отношенията между ЕС и САЩ, включително допълнителните принципи (наричани по-долу общо „Принципите“), — публикувани от Министерството на търговията на САЩ и посочени в приложение I към настоящото решение (16). За да отговаря на условията за сертифициране по РЗЛД в отношенията между ЕС и САЩ, дадена организация трябва да е обект на правомощията за разследване и правоприлагане на Федералната търговска комисия (ФТК) на САЩ или Министерството на транспорта („МТ“) (17). Принципите се прилагат незабавно след сертифицирането. Както е обяснено по-подробно в съображения 48—52, от организациите, попадащи в обхвата на РЗЛД в отношенията между ЕС и САЩ, се изисква ежегодно да подновяват сертифицирането за спазване на принципите (18).

(10)

Защитата, предоставяна по силата на РЗЛД в отношенията между ЕС и САЩ, се прилага за всички лични данни, предавани от Съюза на организации в САЩ, които са удостоверили спазването на принципите пред Министерството на търговията, с изключение на данните, които се събират с цел публикуване, излъчване или други форми на публично разпространение на журналистически материали и информация в публикувани преди това материали, разпространявани от медийни архиви (19). Следователно такава информация не може да бъде предавана въз основа на РЗЛД.

(11)

В принципите понятията „лични данни“/„лична информация“ са определени по същия начин, както в Регламент (ЕС) 2016/679, т.е. като „данни относно идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, които са в обхвата на ОРЗД, предадени са от Европейския съюз на организация в Съединените щати и са записани под каквато и да е форма“ (20). Съответно те обхващат и псевдонимизирани (или „кодирани с ключ“) данни от научни изследвания (включително когато ключът не се споделя с получаващата организация в САЩ) (21). По подобен начин понятието за обработване се определя като „всяка операция или съвкупност от операции, извършвана с лични данни чрез автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване или разпространяване и изтриване или унищожаване“ (22).

(12)

РЗЛД в отношенията между ЕС и САЩ се прилага спрямо организации в САЩ, които са квалифицирани като администратори (т.е. като физическо лице или организация, което/която само(а) или съвместно с други определя целите и средствата за обработването на лични данни) (23) или като обработващи лични данни (т.е. представители, извършващи дейности от името на администратор) (24). Обработващите лични данни от САЩ трябва да бъдат договорно обвързани да извършват действия само въз основа на указания от администратора от ЕС и да го подпомагат при изготвянето на отговори на лицата, упражняващи своите права по силата на принципите (25). Освен това, когато обработването се извършва от подизпълнител, обработващият лични данни трябва да сключи договор с него, който да гарантира същото ниво на защита, което се осигурява от принципите, и да предприеме мерки да гарантира, че договорът се изпълнява правилно (26).

(13)

Личните данни следва да се обработват законосъобразно и добросъвестно. Те следва да се събират с конкретна цел и впоследствие да се използват само дотолкова, доколкото употребата им не е несъвместима с целта на обработването.

(14)

По РЗЛД това се гарантира чрез различни принципи. На първо място, съгласно принципа „Пълнота на данните и ограничаване в рамките на целта“ , подобно на посоченото в член 5, параграф 1, буква б) от Регламент (ЕС) 2016/679, никоя организация не може да обработва лични данни по начин, несъвместим с целите, за които те са били събрани първоначално или за които по-късно е получено разрешение от субекта на данните (27).

(15)

На второ място, преди да използва лични данни за нова (променена) цел, която се различава съществено, но все пак е съвместима с първоначалната цел, или да ги разкрие на трета страна, организацията трябва да предостави на субектите на данни правото на възражение (клауза за неучастие „opt out“) в съответствие с принципа „Избор“  (28) чрез ясен, разбираем и леснодостъпен механизъм. Важно е да се отбележи, че този принцип не отменя изричната забрана за несъвместимо обработване (29).

(16)

Когато става въпрос за „специални категории данни“, трябва да има специфични гаранции.

(17)

В съответствие с принципа „Избор“ специфичните гаранции се прилагат при обработването на „чувствителна информация“, т.е. лични данни, свързани с медицинското или здравословното състояние, данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, информация за сексуалния живот на физическото лице или каквато и да е друга информация, получена от трета страна, която се определя и третира от тази страна като чувствителна (30). Това означава, че всички данни, които се считат за чувствителни по смисъла на законодателството на ЕС в областта на защитата на личните данни (включително данните относно сексуалната ориентация, генетични и биометрични данни), ще бъдат третирани като чувствителни от РЗЛД от сертифицирани организации.

(18)

Като общо правило организациите трябва да получат изрично съгласие (т.е. opt-in) от физическите лица, за да използват чувствителна информация за цели, различни от тези, за които тя е била първоначално събрана или впоследствие разрешена от физическото лице (чрез opt-in), или за да я разкриват на трети страни (31).

(19)

Получаването на такова съгласие не е необходимо в ограничени случаи, сходни на близки до тях изключения, предвидени в законодателството на ЕС в областта на защитата на личните данни, например когато обработването на чувствителни данни е от жизненоважен интерес за дадено лице; когато е необходимо, за да се установи право на иск; или когато е необходимо, за да се окажат медицински грижи, или за определяне на диагноза (32).

(20)

Данните следва да бъдат точни и при необходимост редовно да се актуализират. Те следва също така да са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват, и по принцип да се съхраняват не по-дълго от необходимото за целите, за които се обработват.

(21)

Съгласно принципа „Пълнота на данните и ограничаване в рамките на целта“  (33) личните данни трябва да бъдат ограничени до необходимото за целите, за които се обработват. Освен това организациите трябва да предприемат разумни стъпки, доколкото това е необходимо за целите на обработването, за да гарантират, че личните данни са надеждни за предвиденото им използване и че са точни, пълни и актуални.

(22)

Освен това личната информация може да се съхранява под форма, която идентифицира или позволява идентифицирането на физическите лица (и по този начин — под формата на лични данни) (34), само доколкото това служи на целта(ите), за която(които) е била събрана първоначално или за която(които) по-късно е дадено разрешение от физическото лице съгласно принципа „Избор“ . Това задължение не възпрепятства организациите да продължават да обработват лична информация за по-дълги периоди, но само в рамките на срок и до степента, в която това обработване обосновано служи за една от следните конкретни цели, сходни на близки до тях изключения, предвидени в законодателството на ЕС в областта на защитата на личните данни: архивиране от обществен интерес, журналистика, литература и изкуства, научни и исторически изследвания или статистически анализ (35). В случаите, в които личните данни са задържани за една от тези цели, тяхното обработване подлежи на гаранциите, предвидени в принципите (36).

(23)

Личните данни следва също така да се обработват по начин, който гарантира тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане. За тази цел администраторите и обработващите лични данни следва да предприемат подходящи технически или организационни мерки за защита на личните данни от възможни заплахи. Тези мерки следва да се оценяват, като се вземат предвид достиженията на техническия прогрес, съответните разходи и естеството, обхватът, контекстът и целите на обработването, както и рисковете за правата на физическите лица.

(24)

По РЗЛД това се осигурява чрез принципа „Сигурност“ , според който се изисква, подобно на член 32 от Регламент (ЕС) 2016/679, да бъдат приложени разумни и подходящи мерки за сигурност, като се вземат предвид рисковете, свързани с обработването и естеството на данните (37).

(25)

Субектите на данни следва да бъдат информирани за основните характеристики на обработването на техните лични данни.

(26)

Това се осигурява чрез принципа за уведомяване (38), който, подобно на изискванията за прозрачност съгласно Регламент (ЕС) 2016/679, задължава организациите да информират субектите на данни, inter alia, относно i) участието на организацията в РЗЛД, ii) вида на събираните данни, iii) целта на обработването, iv) вида или самоличността на третите страни, на които тези данни биха могли да бъдат разкривани, и целите, свързани с това, v) техните лични права, vi) как да се свържат с организацията и vii) наличните средства за правна защита.

(27)

Уведомяването трябва да бъде направено на ясен и разбираем език, когато физическите лица бъдат поканени за първи път да предоставят личната информация или веднага след като стане възможно, но във всеки случай преди тези данни да бъдат използвани за цел, съществено различна от (но съвместима с) тази, за която са били първоначално събрани, или преди разкриването им за първи път на трета страна (39).

(28)

Освен това организациите трябва да направят своите политики относно принципите публично достъпни (или в случая на данните относно човешките ресурси, да ги предоставят на разположение на засегнатите физически лица) и да предоставят линкове към уебсайта на Министерството на търговията (с допълнителни подробности относно сертифицирането, правата на субектите на данни и наличните механизми за защита), към списъка във връзка с рамката за защита на личните данни (списъка към РЗЛД), съдържащ всички участващи организации, и към уебсайта на подходящ доставчик на услуги за алтернативно уреждане на спорове (40).

(29)

Субектите на данни следва да имат конкретни права, които може да бъде противопоставени на обработващия лични данни или на администратора, по-специално правото на достъп до данните, правото на възражение срещу тяхното обработване, правото на коригиране или изтриване на данните.

(30)

Принципът „Достъп“  (41), залегнал в РЗЛД между ЕС и САЩ, предоставя на физическите лица такива права. По-специално субектите на данни имат правото, без да е необходимо да предоставят обосновка, да получат потвърждение от страна на организацията дали тя обработва лични данни, свързани с тях; да им бъдат съобщени данните; и да получават информация относно целта на обработването, категориите лични данни, които се обработват, и (категориите) получатели(те), на които тези данни биват разкривани (42). От организациите се изисква да отговарят на исканията за достъп в разумен срок (43). Организацията може да определи разумни ограничения по отношение на броя на случаите, в които в рамките на даден период ще бъдат удовлетворявани искания за достъп от дадено физическо лице, и може да наложи такса, която не е прекомерна, например когато исканията са явно прекомерни, по-специално поради техния повтарящ се характер (44).

(31)

Правото на достъп може да бъде ограничено само при изключителни обстоятелства, сходни с предвидените в законодателството на ЕС в областта на защитата на личните данни, по-специално, когато биха били нарушени законните права на други лица; когато тежестта или разходите, свързани с предоставянето на достъп, биха били непропорционални на рисковете за неприкосновеността на личния живот на лицето при конкретните обстоятелства (въпреки че разходите и тежестта не са решаващи фактори при определянето на това дали предоставянето на достъп е разумно); до степента, до която разкриването има вероятност да засегне опазването на важни обществени интереси като националната сигурност, обществената сигурност или отбраната; данните съдържат поверителна търговска информация; или информацията се обработва единствено за изследователски или статистически цели (45). всеки отказ или всяко ограничаване на правото на достъп трябва да бъдат необходими и надлежно обосновани, като организацията, която носи тежестта на доказване, че тези изисквания са спазени (46), При извършването на тази оценка организацията трябва да обърне особено внимание на интересите на лицето (47). Когато има възможност информация да се отдели от други данни, за които се прилага ограничение, организацията трябва да редактира защитената информация и да разкрие останалата информация (48).

(32)

Освен това субектите на данни имат право да поискат коригиране или изменение на неточни данни, както и да поискат заличаване на данни, които са били обработени в нарушение на принципите (49). Освен това, както е обяснено в съображение 15, физическите лица имат право на възражение/клауза за неучастие „opt out“ срещу обработването на техните данни за цели, съществено различни от (но съвместими с) тези, за които са били събрани данните, и срещу разкриването на техните данни на трети страни. Когато личните данни се използват за целите на директния маркетинг, физическите лица имат право на общо основание да се откажат от обработването по всяко време (50).

(33)

В принципите не е изрично разгледан въпросът за решенията, засягащи субекта на данните, които се основават единствено на автоматизирано обработване на лични данни. Във всеки случай, що се отнася до лични данни, събрани в Съюза, всяко решение, което се основава на автоматизирано обработване, обикновено се взема от администратора на данни в Съюза (който е в пряка връзка със засегнатия субект на данни) и по този начин се подчинява непосредствено на разпоредбите на Регламент (ЕС) 2016/679 (51). Това включва сценарии за предаване, в които обработването се извършва от чужд стопански субект (например от САЩ), действащ като представител (обработващ лични данни) на администратора на данни в Съюза (или като подизпълнител, действащ от името на обработващ лични данни от Съюза, който е получил данните от администратора на данни от Съюза, който ги е събрал), който на това основание впоследствие взема решението.

(34)

Това беше потвърдено от проучване, поръчано от Комисията през 2018 г. в контекста на втория годишен преглед на функционирането на Щита за личните данни (52), в което се стигна до заключението, че към онзи момент няма доказателства, които да сочат, че организациите в рамките на Щита за личните данни обикновено извършват автоматизирано вземане на решения въз основа на лични данни, предадени в рамките на Щита за личните данни.

(35)

Във всеки случай в правото на САЩ са предвидени специални средства за защита срещу неблагоприятни решения в областите, в които е най-вероятно дружествата да прибягват до автоматизирано обработване на личните данни с цел вземане на решения, засягащи физическите лица (например при предоставяне на заеми, оферти за ипотечни кредити, в сферата на заетостта, жилищното настаняване и застраховане) (53). В тези актове обикновено се предвижда правото на физическите лица да бъдат информирани за конкретните причини в основата на дадено решение (например при отказ на заем), да оспорват непълна или неточна информация (както и използването на неправомерни фактори), както и да потърсят правна защита. В сферата на потребителските заеми в Закона за оповестяване на информация за кредити (Fair Credit Reporting Act — FCRA) и в Закона за равните възможности за кредитиране (Equal Credit Opportunity Act — ECOA) присъстват гаранции, които предоставят на потребителите някаква форма на право на обяснение и право на оспорване на решението. Тези закони се отнасят до широк кръг области, включително кредитиране, заетост, жилищно настаняване и застраховане. Освен това някои антидискриминационни закони, като например дял VII от Закона за гражданските права и Закона за справедливото жилищно настаняване, предоставят на лицата защита по отношение на модели, използвани при автоматизираното вземане на решения, които биха могли да доведат до дискриминация въз основа на определени характеристики, и предоставят на лицата права да оспорват такива решения, включително автоматизирани. По отношение на информацията за здравословното състояние със Закона за преносимост и отчетност при здравното застраховане (Health Insurance Portability and Accountability Act — HIPAA) с Акта за изпълнение за защита на неприкосновеността на личния живот се създават определени права, които са сходни с тези по Регламент (ЕС) 2016/679 по отношение на достъпа до лична информация за здравословното състояние. Освен това съгласно указанията на органите на САЩ доставчиците на медицински услуги трябва да получават информация, която им позволява да информират лицата за автоматизираните системи за вземане на решения, използвани в медицинския сектор (54).

(36)

Следователно тези правила предлагат защита, подобна на тази, предвидена в правото на Съюза за защита на личните данните, в малко вероятната ситуация, в която автоматизираните решения се вземат от самата организация, попадаща в обхвата на РЗЛД в отношенията между ЕС и САЩ

(37)

Нивото на защита на личните данни, което се осигурява за данните, предавани от Съюза на организации в Съединените щати, не трябва да бъде подкопавано от по-нататъшното предаване на тези данни на получател в Съединените щати или друга трета държава.

(38)

Съгласно принципа на отчетност за последващо предаване (55) се прилагат специални правила за така наречените „последващи предавания“, т.е. предавания на лични данни по РЗЛД от организация към трета страна администратор или обработващ данни, независимо дали те се намират в Съединените американски щати или в трета държава извън Съединените американски щати (и Съюза). Последващо предаване може да се осъществи само i) за ограничени и конкретни цели ii) въз основа на договор между организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ. и третата страна (56) (или съпоставима договореност в рамките на корпоративна група (57)) и iii) само ако този договор изисква от третата страна да осигури същото ниво на защита като гарантираното от принципите.

(39)

Задължението да се осигурява същата степен на защита, която се гарантира от принципите, разглеждано в комбинация с принципа „Пълнота на данните и ограничаване в рамките на целта“ , предполага по-специално, че третата страна може да обработва предадената ѝ лична информация само за цели, които не са несъвместими с целите, за които тази информация е била събрана или за които по-късно е дадено разрешение от физическото лице (в съответствие с принципа „Избор“ ).

(40)

Принципът на отчетност за последващо предаване следва да се разглежда също така във връзка с принципа за уведомяване и, в случай на последващо предаване на трета страна администратор (58), с принципа „Избор“ , съгласно който субектите на данни трябва да бъдат информирани (наред с другото) за вида/самоличността на всеки получател — трета страна, целта на последващото предаване и предлагания избор, и имат право да възразят (изрично да се откажат — opt out) или, в случай на чувствителни данни, трябва да дадат „изрично утвърдително съгласие“ (opt in) за последващото предаване.

(41)

Задължението да се осигурява същата степен на защита, която се изисква от принципите, се прилага за всяка една и за всички трети страни, участващи в обработването на данните, прехвърляни независимо от тяхното местоположение (в САЩ или в друга трета държава), както и в случая, когато първоначалният получател на третата страна предава тези данни на друг получател на третата страна, например за целите на обработване от подизпълнител.

(42)

Във всички случаи в договора с получателя на третата страна трябва да се предвижда последният да уведоми организацията — участник в РЗЛД, ако организацията констатира, че вече не е в състояние да изпълнява посоченото задължение. Когато тази констатация е направена, третата страна администратор трябва да прекрати обработването и трябва да се предприемат други обосновани и съответни мерки за справяне с положението (59).

(43)

В случай на последващо предаване към трета страна посредник (т.е. обработващ лични данни) се прилага допълнителна защита. В такъв случай организацията в САЩ трябва при уведомяване да предприеме обосновани и съответни мерки, i) за да гарантира, че представителят работи единствено както е инструктиран и ефективно обработва предадената лична информация по начин, който съответства на задълженията на организацията съгласно принципите; и ii) при уведомяване да преустанови и отстрани последиците от неразрешено обработване (60). Министерството на търговията може да задължи организацията да предостави обобщение или представително копие на разпоредбите от договора, свързани с неприкосновеността на личния живот (61). При възникване на проблеми със спазването на този принцип по веригата (и подверигите) на обработване организацията, изпълняваща ролята на администратор на личните данни, по принцип носи отговорност, както е посочено в принципа „Защита, прилагане и отговорност за причинени вреди“ , освен ако докаже, че не е отговорна за събитието, довело до вредата (62).

(44)

Съгласно принципа на отчетност образуванията, които обработват данни, са длъжни да въведат подходящи технически и организационни мерки за ефективно спазване на своите задължения за защита на данните, както и да могат да докажат това спазване, по-специално пред компетентния надзорен орган.

(45)

След като една организация е решила доброволно да се самосертифицира (63) съгласно Рамката за личните данни в отношенията между ЕС и САЩ, ефективното спазване на Принципите на неприкосновеност на личния живот е задължително за нея. Съгласно принципа „Защита, прилагане и отговорност за причинени вреди“  (64) организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ трябва да предоставят ефективни механизми, които да гарантират спазването на принципите. Организациите трябва също така да предприемат мерки за извършване на проверка (65) дали политиките им в областта на неприкосновеността на личния живот съответстват на принципите на неприкосновеност на личния живот и дали се спазват на практика. Това може да става или посредством система за самооценка, която трябва да включва вътрешни процедури, чрез които да се гарантира, че служителите получават подготовка за прилагането на политиките на организацията в областта на неприкосновеността на личния живот и че периодично се извършва обективен преглед на спазването, или посредством външни проверки за спазването, сред чиито методи може да се включат методите на одитиране, случайни проверки или използване на технологични инструменти.

(46)

Освен това организациите трябва да съхраняват документация за прилагането на своите практики в областта на неприкосновеността на личния живот съгласно РЗЛД в отношенията между ЕС и САЩ и да ги предоставят при поискване в контекста на разследване или жалба за несъответствие на независим орган за разрешаване на спорове или компетентен правоприлагащ орган (66).

(47)

РЗЛД ще бъде управлявана и наблюдавана от Министерството на търговията. Рамката предвижда механизми за надзор и за прилагане, за да се проверява и гарантира, че самосертифицираните организации в САЩ спазват Принципите и че се отстранява всяко неспазване. Тези механизми са изложени в принципите (приложение I) и в ангажиментите, поети от Министерството на търговията (приложение III), ФТК (приложение IV) и Министерството на транспорта (приложение V).

(48)

За да се сертифицират съгласно РЗЛД в отношенията между ЕС и САЩ (или ежегодно да се сертифицират повторно), от организациите се изисква да декларират публично своя поет ангажимент да спазват принципите, да предоставят на разположение своите политики за защита на личните данни и да ги прилагат изцяло (67). Като част от повторното си сертифициране организациите трябва да предоставят на Министерството на търговията информация, inter alia, за наименованието на съответната организация, описание на целите, за които организацията ще обработва лични данни, личните данни, които ще бъдат обхванати от сертифицирането, както и за избрания метод за проверка, съответния независим механизъм за обжалване и законоустановения орган, който е компетентен да налага спазването на принципите (68).

(49)

Организациите могат да получават лични данни въз основа на РЗЛД в отношенията между ЕС и САЩ от датата на тяхното вписване в списъка към РЗЛД от Министерството на търговията. За да се гарантира правната сигурност и да се избегнат „неверни твърдения“, на организациите, които се сертифицират за пръв път, не се разрешава да се позовават публично на спазването на принципите, преди Министерството на търговията да е установило, че подадената от организацията документация за сертифициране е пълна, и да е добавило организацията в списъка към РЗЛД (69). За да ѝ бъде позволено да продължи да се ползва от Рамката за личните данни за получаване на лични данни от Съюза, тази организация трябва ежегодно да пресертифицира своето участие в очертаната рамка. Когато дадена организация напусне РЗЛД в отношенията между ЕС и САЩ поради каквато и да е причина, тя трябва да премахне всички изявления, които предполагат, че организацията продължава да участва в рамката (70).

(50)

Както е отразено в ангажиментите, изложени в приложение III, Министерството на търговията ще проверява дали организациите отговарят на всички изисквания за сертифициране и дали са въвели (публично оповестена) политика за защита на личните данни, съдържаща информацията, изисквана съгласно принципа за уведомяване (71). Стъпвайки на вече придобития опит от процеса на (повторно) сертифициране в рамките на Щита за личните данни, Министерството на търговията ще извърши редица проверки, включително, за да провери дали политиките за защита на личните данни на организациите съдържат хипервръзка към правилния формуляр за подаване на жалби на уебсайта на съответния механизъм за разрешаване на спорове и, когато в подадената документация за сертифициране са включени няколко структури и дъщерни дружества на една организация, дали политиките за защита на личните данни на всяка от тези структури отговарят на изискванията за сертифициране и са лесно достъпни за субектите на данни (72). Освен това, когато е необходимо, Министерството на търговията ще извършва кръстосани проверки заедно с ФТК и Министерството на транспорта, за да проверява дали организациите подлежат на надзор от надзорния орган, посочен в тяхната документация за сертифициране, и ще работи с органите за алтернативно решаване на спорове, за да проверява дали организациите са регистрирани към независимия механизъм за обжалване, посочен в тяхната документация за (повторно) сертифициране (73).

(51)

Министерството на търговията ще информира организациите, че за да завършат (повторното) сертифициране, те трябва да решат всички проблеми, установени по време на прегледа. В случай че дадена организация не успее да даде отговори в рамките на срока, определен от Министерството на търговията (например по отношение на повторното сертифициране се счита, че процесът трябва да приключи в рамките на 45 дни) (74), или по друг начин не успее да завърши своето сертифициране, подадената документация ще се счита за изоставена. В такъв случай всяко невярно твърдение по отношение на участието във или спазването на РЗЛД в отношенията между ЕС и САЩ или спазването ѝ може да подлежи на действия по правоприлагане от страна на ФТК или Министерството на транспорта (75).

(52)

За да се гарантира правилното прилагане на Рамката за личните данни в отношенията между ЕС и САЩ, заинтересованите страни, като например субектите на данни, износителите на данни и националните органи по защита на данните (ОЗД), трябва да бъдат в състояние да идентифицират организациите, които се придържат към Принципите. За да се гарантира такава прозрачност в „точката за подаване на лични данни“, Министерството на търговията се ангажира да поддържа и предоставя на обществеността списъка на организациите, които са удостоверили придържането си към принципите и попадат в компетентността на поне един от правоприлагащите органи, посочени в приложения IV и V към настоящото решение (76). Министерството на търговията ще актуализира списъка въз основа на ежегодното подаване на документация за повторно сертифициране от организациите и случаите, когато дадена организация се оттегли или бъде отстранена от Рамката. Освен това, за да гарантира прозрачност също и при „точката за извеждане на лични данни“, Министерството на търговията ще направи общодостъпен регистър на организациите, които са били премахнати от списъка, посочвайки във всеки отделен случай причината за премахването им (77). И накрая, то ще предостави връзка към уебстраницата на ФТК относно РЗЛД в отношенията между ЕС и САЩ, на която ще бъдат изброени действията на ФТК по правоприлагане съгласно рамката (78).

(53)

Министерството на търговията ще следи постоянно за ефективното спазване на принципите от страна на организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ чрез различни механизми (79). По-специално то ще извършва „проверки на място“ на произволно избрани организации, както и ad hoc проверки на място на конкретни организации, когато бъдат установени потенциални проблеми със спазването на изискванията (например такива, докладвани на Министерството на търговията от трети страни), за да проверява дали i) звено(ата) за връзка за разглеждане на жалби и искания от субекти на данни е (са) на разположение и реагира(т); ii) политиката на организацията в областта на неприкосновеността на личния живот е лесно достъпна както на нейния уебсайт, така и чрез хипервръзка на уебсайта на Министерството на търговията; iii) политиката на организацията в областта на неприкосновеността на личния живот е съобразена с изисквания за сертифициране и iv) избраният от организацията независим механизъм за разрешаване на спорове е достъпен за целите на разглеждането на жалби (80).

(54)

Ако има достоверни доказателства, че дадена организация не изпълнява ангажиментите си съгласно РЗЛД в отношенията между ЕС и САЩ (включително ако Министерството на търговията получи жалби или организацията не отговаря задоволително на запитванията от страна на Министерството на търговията), Министерството на търговията ще изисква от организацията да попълни и представи подробен въпросник (81). Организация, която не успее да отговори задоволително и своевременно на въпросника, ще бъде сезирана от съответния орган (ФТК или Министерството на транспорта) за предприемане на евентуални действия по правоприлагане (82). Като част от дейностите си по наблюдение на спазването на изискванията в рамките на Щита за личните данни Министерството на търговията извършва редовно проверките на място, посочени в съображение 53, и непрекъснато проследява докладването пред обществеността, което му позволи да идентифицира, разглежда и разрешава проблеми, свързани със спазването на изискванията (83). Организации, които трайно не се съобразяват с принципите, се заличават от списъка към РЗЛД и трябва да върнат или заличат личните данни, които са получили съгласно рамката (84).

(55)

В други случаи на заличаване от списъка, като например доброволно оттегляне от участие или неподаване на заявление за повторно сертифициране, организациите трябва да изтрият или да върнат данните, или да ги задържат, при условие че ежегодно уверяват Министерството на търговията относно ангажираността си да продължат да прилагат принципите или да предоставят адекватна защита на личните данни посредством други разрешени средства (например като използват договор, в който изцяло са отразени изискванията на съответните одобрени от Комисията стандартни договорни клаузи) (85). В този случай организацията посочва и лице за връзка с нея по всички въпроси в областта на РЗЛД в отношенията между ЕС и САЩ.

(56)

Министерството на търговията ще следи за всякакви неверни твърдения за участие в РЗЛД в отношенията между ЕС и САЩ или за неправомерно използване на сертификационния знак на РЗЛД, както служебно, така и въз основа на жалби (например получени от ОЗД) (86). По-конкретно Министерството на търговията ще проверява дали организациите, които i) се оттеглят от участие в РЗЛД в отношенията между ЕС и САЩ, които ii) не успяват да завършат ежегодното повторно сертифициране (т.е. които са започнали, но не са успели да завършат напълно процеса по ежегодно повторно сертифициране своевременно, или дори не са започнали процеса по повторно сертифициране), които iii) са отстранени като участници поради „трайно неспазване на принципите“ или които iv) не успяват да завършат първоначалното сертифициране (т.е. започнали са, но не са успели да завършат процеса по първоначално сертифициране своевременно), премахват от всички съответни публикувани политики за защита на личните данни препратки към РЗЛД между ЕС и САЩ, които предполагат, че организацията активно участва в рамката (87). Министерството на търговията също така ще извършва проучвания в интернет, за да открива препратки към РЗЛД в отношенията между ЕС и САЩ в политиките за защита на личните данни на организациите, включително, за да установи фалшиви твърдения от организации, които никога не са участвали в РЗЛД (88).

(57)

В случаите, в които Министерството на търговията установи, че препратките към РЗЛД в отношенията между ЕС и САЩ все още не са отстранени или са некоректно използвани, то ще информира организацията за евентуално сезиране на ФТК/Министерството на транспорта (89). Ако дадената организация не отговори по задоволителен начин, Министерството на търговията ще отнесе въпроса до съответната агенция за предприемане на евентуални действия по правоприлагане (90). Всяко невярно твърдение пред широката общественост от страна на организация относно нейното придържане към принципите под формата на подвеждащи изявления или практики подлежи на принудителни действия по правоприлагане от страна на ФТК, Министерството на транспорта или други съответни правоприлагащи органи на САЩ. Неверни твърдения пред Министерството на търговията подлежат на санкциониране по Закона за неверните твърдения (18 U.S.C. § 1001).

(58)

С цел да се гарантира, че адекватното ниво на защита на данните се осигурява и на практика, следва да има независим надзорен орган с правомощия за наблюдение и осигуряване на спазването на правилата за защита на данните.

(59)

Организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ, трябва да подлежат на юрисдикцията на компетентните органи на САЩ — ФТК и Министерството на транспорта, които разполагат с необходимите правомощия за разследване и правоприлагане, за да гарантират ефективно спазването на принципите (91).

(60)

ФТК е независим орган, съставен от петима комисари, които се назначават от президента с препоръката и съгласието на Сената (92). Комисарите се назначават за мандат от седем години и могат да бъдат отстранени от длъжност само от президента поради неефективност, пренебрегване на служебните задължения или злоупотреба със служебно положение. ФТК не може да има повече от трима комисари от една и съща политическа партия, а по време на назначението си комисарите не могат да се занимават с друга стопанска дейност, професия или работа.

(61)

ФТК може да разследва спазването на принципите, както и неверни твърдения за придържане към тях или за участие в РЗЛД в отношенията между ЕС и САЩ от организации, които вече не са в списъка към РЗЛД или никога не са се сертифицирали (93). ФТК може да наложи спазването на изискванията, като поиска административна заповед или разпореждане на федералния съд (включително „заповеди за съгласие“, постигнато чрез споразумения) (94) за предварителни или постоянни съдебни забрани или други средства за защита, и систематично ще следи за спазването на тези заповеди (95). Когато организациите не изпълнят такива заповеди, ФТК може да поиска налагане на граждански санкции и други средства за правна защита, включително за всяка вреда, причинена в резултат на неправомерно поведение. Всяка заповед за съгласие с адресат организация — участник в Рамката за личните данни, ще включва разпоредби за доброволно докладване (96), а от организациите ще се изисква да обявяват публично всички релевантни и свързани с Рамката за личните данни части от евентуален доклад или оценка за спазването, представени на ФТК. И накрая, ФТК ще поддържа онлайн списък на организациите, по отношение на които са били издадени заповеди от ФТК или съдебни разпореждания по казуси, свързани с РЗЛД в отношенията между ЕС и САЩ (97).

(62)

По отношение на Щита за личните данни ФТК е предприела действия по правоприлагане в около 22 от случаите, както по отношение на нарушения на конкретни изисквания на рамката (например липса на потвърждение пред Министерството на търговията, че организацията продължава да прилага защитата на Щита за личните данни, след като е напуснала рамката, липса на потвърждение чрез самооценка или външен преглед на съответствието, че организацията спазва рамката) (98), така и по отношение на неверни твърдения за участие в рамката (например от организации, които не са изпълнили необходимите стъпки за получаване на сертификат или са допуснали сертифицирането им да изтече, но са представили невярна информация за продължаващото си участие) (99). Това действие по правоприлагане, наред с другото, е резултат от проактивната употреба на административните призовки за получаване на материали от определени участници в Щита за личните данни с цел проверка за съществени нарушения на задълженията по Щита за личните данни (100).

(63)

В по-общ план през последните години ФТК е предприела действия по правоприлагане в редица случаи относно спазването на конкретни изисквания за защита на личните данни, които са предвидени и в РЗЛД, като например по отношение на ограничаването в рамките на целта и съхраняване на данните (101), свеждането на данните до минимум (102), сигурността на данните (103) и точността на данните (104).

(64)

Министерството на транспорта има изключителни правомощия да регулира практиките за защита на личните данни на авиокомпаниите и споделя юрисдикция с ФТК по отношение на практиките за защита на личните данни на билетните агенции при продажбата на въздушен транспорт. Служителите на Министерството на транспорта се стремят първо към постигане на споразумение, а ако това не е възможно, могат да започнат процедура по правоприлагане, включваща изслушване на доказателства пред съдия по административно право на Министерството на транспорта, който е упълномощен да издава разпореждания за преустановяване и възпиране на нарушаващите действия и гражданскоправни санкции (105). Съдиите по административно право се ползват от редица мерки за защита по Закона за административното производство (APA), за да се гарантират тяхната независимост и безпристрастност. Например те могат да бъдат уволнени само по основателна причина; те се разпределят по дела на ротационен принцип; те не могат да изпълняват задължения, несъвместими със задълженията и отговорностите си като съдии по административно право; те не подлежат на надзор от страна на разследващия екип на органа, от който са наети (в този случай Министерството на транспорта); и те трябва да изпълняват безпристрастно функцията си по правораздаване/правоприлагане (106). Министерството на транспорта се ангажира да наблюдава заповедите за правоприлагане и да гарантира, че заповедите, издадени в резултат на РЗЛД в отношенията между ЕС и САЩ, са достъпни на неговия уебсайт (107).

(65)

С цел да се осигури адекватна защита, и по-специално упражняване на индивидуалните права, на субекта на данни следва да се предоставят ефективни административни и съдебни средства за правна защита.

(66)

В принципа „Защита, прилагане и отговорност за причинени вреди“ на Рамката за личните данни в отношенията между ЕС и САЩ се съдържа изискването организациите да осигуряват защита за физическите лица, които са засегнати от неспазване, и по този начин се дава възможност на субектите на данни от ЕС да подават жалби относно неспазване от страна на организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ, и тези жалби да бъдат разрешени, ако е необходимо чрез решение за предоставяне на ефективна правна защита (108). Като част от процеса на сертифициране организациите трябва да отговарят на изискванията на този принцип, като предоставят ефективни и леснодостъпни независими механизми за подаване на жалби, чрез които жалбите и споровете на всяко физическо лице да могат да се разследват и разрешават бързо без разходи за лицето (109).

(67)

Организациите могат да изберат независими механизми за защита в Съюза или в Съединените американски щати. Както е обяснено по-подробно в съображение 73, това включва възможността доброволно да се ангажират да си сътрудничат с ОЗД в ЕС. Когато организациите обработват данни за човешките ресурси, този ангажимент за сътрудничество с органите на ЕС за защита на данните е задължителен. Другите алтернативи включват независимо извънсъдебно разрешаване на спорове или разработени от частния сектор програми за неприкосновеност на личния живот, в чиито правила са залегнали принципите. Последните трябва да включват ефективни механизми за прилагането им в съответствие с изискванията на принципа „Защита, прилагане и отговорност за причинени вреди“ .

(68)

Вследствие на това РЗЛД между ЕС и САЩ предвижда редица възможности за субектите на данните да упражняват правата си, да подават жалби относно неспазване от страна на организациите в ЕС и САЩ и за разрешаване на техните жалби, ако е необходимо, чрез решение за предоставяне на ефективна правна защита. Физическите лица могат да предявят жалба директно пред организация, независим орган за решаване на спорове, посочен от организацията, националните ОЗД, Министерството на транспорта или ФТК. В случаите, когато техните жалби не са били разрешени чрез нито един от тези механизми за защита и правоприлагане, физическите лица имат също така право да поискат въпросът да бъде решен чрез правно обвързващ арбитраж (приложение I към приложение I към настоящото решение). С изключение на арбитражния панел, при който има изискването някои средства за правна защита да бъдат изчерпани, преди да бъде използван, физическите лица имат право да упражняват някои или всички механизми за правна защита по свой избор и не са задължени да избират определен механизъм или да спазват определена последователност.

(69)

На първо място, субектите на данни от Съюза могат да преследват нарушения на спазването на принципите чрез преки контакти с РЗЛД в отношенията между ЕС и САЩ (110). За да се улесни решаването на споровете, организацията трябва да създаде ефективен механизъм за правна защита, чрез който да се разглеждат жалбите. Това означава в политиката ѝ в областта на неприкосновеността на личния живот да се предоставя ясна информация на физическите лица за звеното за връзка, независимо дали в рамките на организацията или извън нея, което отговаря за разглеждането на жалбите (включително съответна организация в Съюза, която може да отговаря на запитвания или оплаквания), както и за определения независим орган за разрешаване на спорове (вж. съображение 70). При получаване на жалба на физическо лице, директно от него или чрез Министерството на търговията след сезиране от ОЗД, организацията трябва да предостави отговор на субекта на данни от Съюза в срок от 45 дни (111). Освен това от организациите се изисква да реагират своевременно на запитвания и други искания за информация от Министерството на търговията или от ОЗД (112) (когато организацията е ангажирана да си сътрудничи с органа за защита на личните данни) във връзка с придържането им към принципите.

(70)

На второ място организациите трябва да определят независим орган за разрешаване на спорове (в Съединените американски щати или в Съюза), който да разследва и разрешава отделните жалби (освен ако те са очевидно необосновани или нямат сериозен характер) и да предоставя безплатно подходяща защита за физическите лица (113). Санкциите и средствата за правна защита, налагани от този орган, трябва да са достатъчно строги, за да гарантират спазването от организациите на принципите и да осигуряват отстраняване или поправка от страна на организацията на последиците от неспазването на принципите, а в зависимост от обстоятелствата — и преустановяване на последващото обработване на въпросните лични данни и/или тяхното заличаване, както и публично оповестяване на констатациите за неспазването (114). От определените от организацията независими органи за разрешаване на спорове се изисква да включват на своите публични уебсайтове съответна информация относно Рамката за личните данни в отношенията между ЕС и САЩ и услугите, които извършват съгласно нея (115). Те трябва да публикуват ежегодно годишен доклад с обобщена статистическа информация относно тези услуги (116).

(71)

Министерството на търговията ще проверява също и дали организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ действително са регистрирани към независимите механизми за защита, към които са заявили, че са регистрирани (117). От организациите и от отговорните независими механизми за защита се изисква да отговарят в кратки срокове на запитвания и искания за информация от страна на Министерството на търговията във връзка с РЗЛД. Министерството на търговията ще работи съвместно с независимите механизми за защита, за да потвърди, че те включват в своите уебсайтове информация относно принципите и услугите, които предоставят съгласно РЗЛД в отношенията между ЕС и САЩ, и че публикуват годишни доклади (118).

(72)

В случай че организацията не спази решението на орган по разрешаване на спорове или на саморегулиращ се орган, последният трябва да уведоми за това Министерството на търговията и ФТК (или друг орган на САЩ, компетентен да разследва неспазване от страна на организацията) или компетентния съд (119). Ако дадена организация отказва да изпълнява окончателното решение на орган за саморегулиране във връзка с неприкосновеността на личния живот, независим орган за разрешаване на спорове или правителствен орган, или когато такъв орган констатира, че организация често нарушава принципите, това може да се счита за трайно неспазване. Вследствие на това, след като първо е изпратило на организацията нарушител тридесетдневно предизвестие и е дало възможност за отговор, Министерството на търговията ще заличи организацията от списъка към РЗЛД (120). Ако след заличаването от списъка организацията продължава да твърди, че е сертифицирана съгласно Рамката за личните данни, Министерството на търговията ще отнесе въпроса пред ФТК или друга правоприлагаща агенция (121).

(73)

На трето място, физическите лица могат да отнесат жалбите си до национален ОЗД в Съюза, който може да използва своите правомощия за разследване и за защита съгласно Регламент (ЕС) 2016/679. Организациите са длъжни да сътрудничат при разследването и разрешаването на жалба от ОЗД или когато става въпрос за обработването на данни за човешките ресурси, събрани в рамките на трудово правоотношение, или когато съответната организация доброволно се е подложила на надзор от страна на органите за защита на данните (122). По-специално организациите трябва да отговарят на запитвания, да спазват препоръките на ОЗД, включително за корективни или компенсаторни мерки, и да предоставят на ОЗД писмено потвърждение, че са взети такива мерки (123). В случаи на неспазване на препоръките, издадени от органите за защита на данните, ОЗД ще отнася тези случаи до Министерството на търговията (което може да заличи организациите от списъка към РЗЛД в отношенията между ЕС и САЩ) или, за евентуално предприемане на действия по принудително изпълнение, до ФТК или до Министерството на транспорта (неоказването на съдействие на ОЗД или неспазването на принципите могат да бъдат санкционирани съгласно правото на САЩ) (124).

(74)

С цел улесняване на сътрудничеството за ефективно разглеждане на жалби, както Министерството на търговията, така и ФТК са създали специално звено за връзка, което отговаря за пряката връзка с ОЗД (125). Тези звена за връзка помагат при запитвания от страна на ОЗД относно спазването на принципите от дадена организация.

(75)

Препоръките, предоставяни от ОЗД (126), се издават след като и двете страни по спора са имали подходяща възможност да представят своите забележки и евентуално своите доказателства. Съответната група на ОЗД може да предоставя препоръките си в най-кратки срокове, доколкото го позволява изискването за справедлив процес, и по принцип най-късно в срок от 60 дни, считано от получаването на жалбата (127). Ако някоя организация не изпълни препоръката в срок от 25 дни след предоставянето ѝ, без да посочи убедително обяснение за закъснението, групата на ОЗД може да оповести намерението си да отнесе въпроса до ФТК (или друг орган на САЩ, компетентен да предприема действия за принудително изпълнение) или да заключи, че е допуснато сериозно нарушение на ангажимента за сътрудничество. При първия вариант това може да доведе до предприемане на действие по принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия (или други сходни закони) (128). При втория вариант групата ще информира Министерството на търговията, което ще счете отказа на организацията да изпълни препоръките на групата на ОЗД за трайно неспазване на принципите, в резултат на което тази организация ще бъде заличена от списъка към РЗЛД.

(76)

Във всички разгледани случаи, ако ОЗД, до който е адресирана жалбата, не предприеме никакви действия или действията са недостатъчни за разрешаване на жалбата, жалбоподателят има възможността да заведе иск срещу това (без)действие в националните съдилища на съответната държава — членка на ЕС.

(77)

Освен това физическите лица могат да подават жалби до ОЗД дори когато за решаване на спорове не е била определена група на ОЗД. В тези случаи ОЗД може да отнася такива жалби до Министерството на търговията или ФТК. За да улесни съвместната работа, Министерството на търговията ще създаде специализирано звено за контакт, което да служи за връзка и да съдейства при запитвания от ОЗД относно спазването от страна на дадена организация на Принципите на неприкосновеност на личния живот (129). По същия начин ФТК се ангажира да създаде специално звено за контакт (130).

(78)

На четвърто място, Министерството на търговията се е ангажирало да получава и разглежда жалби относно неспазването на принципите от дадена организация, както и да полага всички възможни усилия да ги разрешава (131). За тази цел Министерството на търговията предвижда специални процедури за отнасянето на жалбите от страна на ОЗД до определеното звено за контакт и за проследяването им, както и последващи действия съвместно с организациите за улесняване на разрешаването (132). За да се ускори обработването на отделните жалби, звеното за връзка може да си сътрудничи директно със съответния ОЗД по въпросите относно спазването на принципите, и по специално да го уведомява за етапа на разглеждане на жалбите в срок до 90 дни след сезирането му (133). Това позволява на субектите на данни да подават жалби относно неспазването на Принципите от организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ директно до своя национален ОЗД, след което тези жалби ще бъдат насочвани към Министерството на търговията, като органът в САЩ, управляващ Рамката за личните данни в отношенията между ЕС и САЩ.

(79)

Когато въз основа на служебните си проверки, жалби или друга информация, Министерството на търговията стигне до заключението, че дадена организация трайно не спазва принципите, то може да я заличи от списъка към РЗЛД (134). Отказът да се съобрази с окончателно решение на който и да е орган за саморегулиране във връзка с неприкосновеността на личния живот, независим орган за разрешаване на спорове или правителствен орган с компетентност в областта на неприкосновеността на личния живот, включително ОЗД, ще бъде считан за трайно неспазване на принципите (135).

(80)

Освен това, организация, попадаща в обхвата на РЗЛД в отношенията между ЕС и САЩ, трябва да подлежи на юрисдикцията на органите на САЩ, и по-специално ФТК (136), които разполагат с необходимите правомощия за разследване и правоприлагане, за да гарантират ефективно спазването на принципите. ФТК ще разглежда с предимство случаи на неспазване на принципите, за които е била сезирана от независими инстанции за разрешаване на спорове или от органи за саморегулиране, от Министерството на търговията и от ОЗД (по тяхна собствена инициатива или след получени жалби), за да определи дали са нарушени изискванията на раздел 5 от Закона за Федералната търговска комисия (FTC Act) (137). ФТК се е ангажирала да създаде стандартен процес на сезиране, да определи звено за връзка в нея за сезиранията от страна на ОЗД и да обменя информация относно случаите, за които е била сезирана. В допълнение тя може да приема жалби директно от физически лица и ще предприема разследвания във връзка с Рамката за личните данни по своя собствена инициатива, по-специално като част от по-мащабни нейни разследвания по въпроси относно неприкосновеността на личния живот.

(81)

На шесто място, като механизъм за защита, който е последна възможност, в случай че жалбата на лицето не е получила удовлетворително решение посредством останалите налични средства за правна защита, субектът на данни от Съюза може да поиска въпросът да бъде решен чрез правно обвързващ арбитраж от панела по Рамката за защита на личните данни в отношенията между ЕС и САЩ (138). Организациите трябва да информират физическите лица за възможността им да използват правно обвързващ арбитраж, както и са длъжни да реагират, след като дадено физическо лице е използвало тази възможност, като е изпратило уведомление на съответната организация (139).

(82)

Панелът включва група от най-малко 20 арбитри, които ще бъдат определени от Министерството на търговията и от Комисията въз основа на тяхната независимост, почтеност и опита им със законодателството на САЩ в областта на неприкосновеността на личния живот и законодателството на ЕС в областта на защитата на данните. За всеки индивидуален спор страните избират от тази група състав от един или трима (140) арбитри.

(83)

Международния център за разрешаване на спорове (ICDR) — международното подразделение на Американската асоциация за арбитраж (AAA), беше избран от Министерството на търговията да прилагат арбитраж. Производствата пред панела по РЗЛД между ЕС и САЩ ще се уреждат от набор от договорени правила за арбитраж и кодекс за поведение на назначените арбитри. В уебсайта на ICDR-AAA за физическите лица е предоставена ясна и кратка информация относно механизма за арбитраж и процедурата за подаване на молба за арбитраж.

(84)

Правилата за арбитраж, договорени между Министерството на търговията и Комисията, допълват РЗЛД в отношенията между ЕС и САЩ, която съдържа няколко характеристики, подобряващи степента на достъпност на този механизъм за субектите на данни от Съюза: i) при подготвянето на иск пред панела субектът на данни може да получи съдействие от своя национален ОЗД; ii) тъй като арбитражът ще се провежда в Съединените американски щати, субектите на данни от Съюза могат да изберат да участват чрез видео- или телефонна конферентна връзка, която ще се осигурява безплатно; iii) въпреки че езикът, използван в хода на арбитража, е по правило английски, устният превод в хода на арбитражното изслушване по принцип ще бъде осигурен въз основа на мотивирано искане от страна на субекта на данните без разходи за него; iv) и накрая, при все че всяка от страните трябва да поеме за своя сметка разходите за хонорара на своя адвокат, ако се представлява от такъв пред арбитражния състав, Министерството на търговията ще създаде фонд, който ще се захранва от годишни вноски на организациите — участници в РЗЛД в отношенията между ЕС и САЩ, от който ще бъдат покривани допустимите разходи по арбитражната процедура до един максимален размер, който ще бъде определен от органите на САЩ в консултация с Комисията (141).

(85)

Панелът по РЗЛД между ЕС и САЩ има правомощия да предписва специфични за конкретния случай непарични компенсации по съображения за справедливост (142), необходими като корективно действие срещу неспазването на принципите. Макар че панелът взема предвид други средства за правна защита, които вече са използвани от други механизми в рамките на РЗЛД в отношенията между ЕС и САЩ, при вземането на решение лицата все пак могат да прибягнат до арбитраж, ако считат, че тези други средства за защита са недостатъчни. Това позволява на субектите на данни от Съюза да се позовават на арбитраж във всички случаи, когато действието или бездействието от страна на организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ. независимите механизми за защита или компетентните органи на САЩ (например ФТК) не са разрешили по задоволителен начин техните жалби. Арбитражната инстанция не може да бъде сезирана, ако ОЗД има правните правомощия да разреши спорния иск по отношение на организацията, попадаща в обхвата на РЗЛД в отношенията между ЕС и САЩ, по-специално в случаите, когато организацията е задължена да съдейства и да спазва препоръките на ОЗД във връзка с обработването на данни за човешки ресурси, събрани в контекста на трудово правоотношение, или доброволно се е ангажирала да направи това. Физическите лица могат да приведат в изпълнение арбитражното решение в съдилищата на САЩ съгласно Федералния арбитражен закон (Federal Arbitration Act), като по този начин осигурят правно средство за защита, в случай че организацията не се съобрази с него.

(86)

На седмо място, когато дадена организация не спазва ангажимента си да съблюдава принципите и публикуваната политика за защита на личните данни, в законодателството на САЩ са предвидени допълнителни възможности за съдебна защита, включително за получаване на обезщетение за вреди. Например при определени условия физическите лица могат да получат съдебна защита (включително обезщетение за вреди) по силата на държавните закони за защита на потребителите в случаи на въвеждане в заблуда с цел измама, нелоялни или измамни действия или практики (143), и по силата на деликтното право (по-специално във връзка с накърняване на личната сфера (144), присвояване на името или приликата с друго лице (145) и публикуването на факти от частния живот (146)).

(87)

Заедно посочените по-горе различни средства за правна защита гарантират, че по всяка жалба относно неспазването на РЗЛД в отношенията между ЕС и САЩ от страна на сертифицирани организации ще бъде произнесено ефективно решение и неспазването ще бъде отстранено.

(88)

Комисията извърши също така оценка на ограниченията и гаранциите, включително на предвидените от законодателство на Съединените щати механизми за надзор и индивидуална правна защита във връзка със събирането и последващото използване от публични органи на САЩ на лични данни, предадени на администратори и обработващи лични данни в САЩ в обществен интерес, по-специално за целите на прилагането на наказателното право и националната сигурност („достъп на държавните органи“) (147). При оценката дали условията, при които достъпът на държавните органи до данни, предавани на Съединените щати съгласно настоящото решение, отговарят на критерия за „равностойност по същество“ съгласно член 45, параграф 1 от Регламент (ЕС) 2016/679, както се тълкува от Съда в светлината на Хартата на основните права, Комисията взе предвид няколко критерия.

(89)

По-специално всяко ограничаване на упражняването на правото на защита на личните данни трябва да бъде предвидено в закон, а самото правно основание, позволяващо намеса в това право, трябва да определя обхвата на ограничението при упражняване на съответното право (148). Освен това, за да удовлетвори изискването за пропорционалност, съгласно което дерогациите и ограниченията на защитата на личните данни трябва да се въвеждат само доколкото са строго необходими в едно демократично общество, за да се постигнат конкретни цели от общ интерес, равностойни на тези, признати от Съюза, това правно основание трябва да предвижда ясни и точни правила, които да уреждат обхвата и прилагането на разглежданите мерки и да налагат минимални изисквания, така че лицата, чиито данни са били предадени, да разполагат с достатъчно гаранции, позволяващи ефективна защита на техните лични данни срещу рискове от злоупотреби (149). Освен това тези правила и гаранции трябва да са правно обвързващи и да могат да бъдат прилагани от лицата (150). По-специално субектите на данни трябва да имат възможността да заведат дело пред независим и безпристрастен правораздавателен орган, за да получат достъп до отнасящи се до тях лични данни или да коригират или изтриват такива данни (151).

(90)

Що се отнася до намесата в лични данни, предадени съгласно РЗЛД в отношенията между ЕС и САЩ за целите на прилагането на наказателното право, законодателството на Съединените щати налага редица ограничения върху достъпа и използването на лични данни и предвижда механизми за надзор и правна защита, които са в съответствие с изискванията, посочени в съображение 89 от настоящото решение. Условията, при които може да се осъществи такъв достъп, и гаранциите, приложими за упражняването на тези правомощия, са разгледани подробно в следващите раздели. В тази връзка правителството на САЩ (чрез Министерството на правосъдието, DoJ) предостави също така уверения по отношение на приложимите ограничения и гаранции (приложение VI към настоящото решение).

(91)

До лични данни, обработвани от сертифицирани организации от САЩ, които ще бъдат предавани от Съюза въз основа на РЗЛД в отношенията между ЕС и САЩ, може да се осъществява достъп за целите на наказателното правоприлагане от федерални прокурори и федерални разследващи агенти на САЩ по различни процедури, както е обяснено по-подробно в съображения 92—99. Тези процедури се прилагат по един и същи начин, когато информацията се получава от която и да е организация от САЩ, независимо от гражданството или мястото на пребиваване на съответните субекти на данни (152).

(92)

На първо място, по искане на федерално длъжностно лице в сферата на правоприлагането или на адвокат на държавата, съдия може да издаде заповед за обиск или изземване (включително на електронно съхранявана информация) (153). Такава заповед може да бъде издадена само ако е налице „обосновано предположение (154)“, че на посоченото в заповедта място има вероятност да бъдат намерени „подлежащи на изземване вещи“ (доказателства за престъпление, незаконно притежавани вещи или имущество, предназначено или използвано за извършване на престъпление). В заповедта трябва да се посочи имуществото или предметът, които трябва да бъдат иззети, и да се посочи съдията, на когото трябва да бъде върната заповедта. Физическо лице, което е обект на претърсване или чието имущество е обект на претърсване, може да предприеме действия за спиране разглеждането на доказателства, получени чрез неправомерен обиск, ако тези доказателства са представени срещу това физическо лице по време на наказателно производство (155). Когато от притежател на данни (например дружество) се изисква да разкрие данни съгласно заповед, той може по-специално да оспори изискването за разкриване като неоправдано обременително (156).

(93)

На второ място, призовка може да бъде издадена от големия състав съдебни заседатели (разследващо звено на съда, съставено от съдия или магистрат) в контекста на разследвания на определени тежки престъпления (157), обикновено по искане на федерален прокурор, за да се изиска от някого да представи или предостави търговска информация, данни, съхранявани в електронна форма, или други материали. Освен това различни закони предоставят правомощия за използването на административни призовки за извличане или предоставяне на разположение на търговска информация, данни, съхранявани в електронна форма, или други материали по разследвания за измами в здравеопазването, малтретиране на деца, защита на тайните служби, по дела за контролирани вещества и в разследвания на главни инспектори (158). И в двата случая информацията трябва да е от значение за разследването и призовката не може да бъде необоснована, т.е. прекомерна, налагаща принуда или обременяваща (и може да бъде оспорена от получателя на призовката на тези основания) (159).

(94)

Много сходни условия се прилагат за административните призовки, издавани с цел получаване на граждански или регулаторен („правоприлагане в обществен интерес“) достъп до данни, с които разполагат дружествата в САЩ. Правомощията на институциите, които имат гражданскоправни и регулаторни отговорности да издават такива административни призовки, трябва да бъдат установени в закон. Използването на административна призовка подлежи на „тест за разумност“, съгласно който се изисква провеждането на разследването да е в съответствие със законна цел, поисканата с призовката информация да е уместна за тази цел, търсената с призовката информация все още да не е на разположение на институцията и да се следват необходимите административни стъпки за издаване на призовката (160). В съдебната практика на Върховния съд се разяснява също така необходимостта от постигането на баланс между значението на обществения интерес към поисканата информация и значението на личните и организационните интереси към неприкосновеността на личния живот (161). Макар че използването на административна призовка не подлежи на предварително съдебно одобрение, тя е предмет на съдебен контрол в случай на оспорване от страна на получателя на горепосочените основания или ако издаващата институция иска да изпълни призовката в съда (162). В допълнение към тези общи главни ограничения, съгласно отделните закони могат да се налагат по-специфични (по-строги) изисквания (163).

(95)

На трето място, няколко правни основания дават възможност на органите по наказателно правоприлагане да получат достъп до далекосъобщителни данни. Съдът може да издаде заповед, с която се разрешава събирането в реално време на информация без съществено съдържание във връзка с избиране, направление, адресиране и радиоелектронна информация относно даден телефонен номер или електронна поща (чрез използване на устройства за регистриране и проследяване), ако установи, че органът е удостоверил, че информацията, която може да бъде получена, е от значение за висящо наказателно разследване (164). В заповедта трябва, inter alia, да се посочат самоличността на заподозрения, ако тя е известна; атрибутите на съобщенията, за които се прилага, и описание на престъплението, за което се отнася информацията, която ще се събира. Използването на електронни устройства за регистриране или проследяване може да бъде разрешено за максимален срок от шестдесет дни, който може да бъде удължен само с ново съдебно разпореждане.

(96)

Освен това достъп за целите на наказателното правоприлагане до информация за абонатите, данни за трафика и съхранено съдържание на разговори и съобщения, с които разполагат доставчиците на интернет услуги, телефонните дружества и други доставчици на услуги — трети страни, може да бъде получен въз основа на Закона за съхраняваните съобщения (165). За да се сдобият със съхраненото съдържание на електронни съобщения, органите по наказателно правоприлагане трябва по принцип да получат разпореждане от съдия на основание обосновано предположение, поради което се счита, че въпросният профил съдържа доказателства за извършено престъпление (166). За целите на наказателното правоприлагане органите могат да използват призовка, за да се сдобият с информация за регистрация на потребители, IP адреси и съответните удостоверения за време, както и информация за разплащането. За повечето друга съхранявана информация, която не се отнася за съдържание, като например заглавията на имейли без реда на темата, органът по наказателно правоприлагане трябва да получи съдебно разпореждане, което се издава, ако съдията е убеден, че има разумни основания да се счита, че исканата информация е важна и съществена за текущо наказателно разследване.

(97)

Доставчиците, които получават искания по Закона за съхраняваните съобщения, могат доброволно да уведомят клиента или абоната, чиято информация се изисква, освен в случаите, когато съответният орган по наказателно правоприлагане получи обезпечителна заповед, забраняваща подобно уведомяване (167). Тази обезпечителна заповед представлява съдебно разпореждане, с което се изисква доставчикът на електронни съобщителни услуги или отдалечени изчислителни услуги, към когото е насочена заповед, призовка или съдебно разпореждане, да не уведомява никое друго лице за съществуването на заповедта, призовката или съдебното разпореждане толкова дълго, колкото съдът счете за необходимо. Обезпечителни заповеди се издават, ако съдът прецени, че има основание да се счита, че уведомяването би застрашило сериозно разследването или неоправдано би забавило съдебния процес, например защото би могло да доведе до застрашаване на живота или физическата безопасност на дадено физическо лице, бягство от наказателно преследване, сплашване на потенциални свидетели и др. С меморандум на заместник-министъра на правосъдието (който е задължителен за всички прокурори и представители на Министерството на правосъдието) от прокурорите се изисква да направят подробна преценка по отношение на необходимостта от издаване на обезпечителна заповед и да представят пред съда обосновка за това как в конкретния случай са изпълнени законовите критерии за получаване на обезпечителна заповед (168). В меморандума се изисква също така в молбите за издаване на обезпечителни заповеди по принцип да не се иска отлагане на уведомяването за повече от една година. Когато при изключителни обстоятелства може да се наложи издаването на заповеди с по-дълъг срок, такива заповеди могат да бъдат заявявани само с писменото съгласие на надзорния орган, определен от министъра на правосъдието на САЩ или съответния заместник-министър на правосъдието. Освен това при приключване на разследването прокурорът трябва незабавно да прецени дали е налице основание за запазване на действието на неизтеклите обезпечителни заповеди и ако това не е така, да прекрати обезпечителната заповед и да гарантира, че доставчикът на услуги е уведомен за това (169).

(98)

Органите по наказателно правоприлагане могат също така да прихващат в реално време кабелни, устни или електронни комуникации въз основа на съдебно разпореждане, в което съдията установява, inter alia, че има обосновано предположение да се смята, че подслушването или прихващането на електронни съобщения ще осигурят доказателства за престъпление срещу федералните закони или информация за местонахождението на лице, укриващо се с цел избягване на наказателна отговорност (170).

(99)

Допълнителна защита се осигурява от различни политики и насоки на Министерството на правосъдието, включително Насоките на министъра на правосъдието за вътрешните операции на ФБР (AGG-DOM), в които, наред с другото, се изисква Федералното бюро за разследвания (ФБР) да използва методи за разследване с най-ниска възможна степен на вмешателство, като взема предвид въздействието върху неприкосновеността на личния живот и гражданските свободи (171).

(100)

Съгласно писмените изявления на правителството на САЩ за разследванията за целите на правоприлагането на държавно равнище (по отношение на разследванията, които се извършват в съответствие с федералните закони) се прилага същата или по-висока степен на защита, като описаната по-горе (172). По-конкретно, конституционните разпоредби, както и законите и съдебната практика на държавно равнище потвърждават горепосочените защити срещу необосновани претърсвания и изземвания, като изискват издаването на заповед за обиск (173). Подобно на защитите, предоставени на федерално равнище, заповедите за обиск могат да бъдат издадени само при доказване на обосновано предположение и трябва да описват мястото, което ще бъде претърсено, и лицето или предмета, който трябва да бъде иззет (174).

(101)

Що се отнася до по-нататъшното използване на данните, събирани от федералните органи по наказателно правоприлагане, с различни закони, насоки и стандарти се налагат специфични предпазни мерки. С изключение на специфичните инструменти, приложими по отношение на дейностите на ФБР (AGG-DOM и Ръководство за национални оперативни дейности и разследвания на ФБР), описаните в настоящия раздел изисквания обикновено се прилагат за по-нататъшното използване на данни от всеки федерален орган, включително на данните, до които се предоставя достъп за гражданскоправни или регулаторни цели. Това включва изискванията, произтичащи от меморандумите/разпоредбите на Службата за управление и бюджет, Федералният закон за модернизация на управлението на информационната сигурност, Законът за електронното правителство и Законът за федералните архиви.

(102)

В съответствие с правомощията, предоставени от Закона Clinger-Cohen (P.L. 104—106, раздел Е) и Закона за компютърната сигурност от 1987 г. (P.L. 100—235), Службата за управление и бюджет (OMB) издаде Циркулярно писмо № A-130, за да установи общи задължителни насоки, които се прилагат за всички федерални агенции (включително правоприлагащите органи), когато боравят с информация за самоличността (175). По-специално, циркулярното писмо изисква от всички федерални агенции да „ограничат създаването, събирането, използването, обработването, съхранението, поддържането, разпространението и разкриването на информация за самоличността до тази, която е законно разрешена, релевантна и разумно считана за необходима за правилното изпълнение на разрешените функции на агенцията“ (176). Освен това, доколкото това е разумно осъществимо, федералните агенции трябва да гарантират, че информацията за самоличността е точна, релевантна, навременна и пълна и е сведена до минимума, необходим за правилното изпълнение на функциите на агенцията. В по-общ план федералните агенции трябва да създадат цялостна програма за защита на личните данни, за да гарантират спазването на приложимите изисквания за защита на личните данни, да разработват и оценяват политики за защита на личните данни и да управляват рисковете, свързани със защитата на личните данни; да поддържат процедури за откриване, документиране и докладване на инциденти, свързани със спазването на поверителността; да разработват програми за повишаване на осведомеността относно неприкосновеността на личния живот и програми за обучение на служителите и изпълнителите; и да въвеждат политики и процедури, за да гарантират, че персоналът носи отговорност за спазването на изискванията и политиките в областта на неприкосновеността на личния живот (177).

(103)

Освен това съгласно Закона за електронното правителство (178) от всички федерални агенции (включително от органите по наказателно правоприлагане) се изисква да въведат защити за сигурността на информацията, които са съизмерими с риска и размера на вредите, които биха възникнали в резултат на непозволен достъп, използване, разкриване, прекъсване, промяна или унищожаване; да имат главен служител по въпросите на информацията, който да гарантира спазването на изискванията за информационна сигурност, и да извършват годишна независима оценка (например от генерален инспектор, вж. съображение 109) на програмата и практиките си за информационна сигурност (179). По подобен начин съгласно Закона за федералните архиви (Federal Records Act — FRA) (180) и допълнителните разпоредби (181) се изисква информацията, съхранявана от федералните агенции, да подлежи на предпазни мерки, гарантиращи физическата цялост на информацията и защитата ѝ от непозволен достъп.

(104)

Съгласно федералните законови правомощия, включително Закона за модернизиране на федералната информационна сигурност от 2014 г., ОМВ и Националният институт по стандарти и технологии (NIST) са разработили стандарти, които са задължителни за федералните агенции (включително за органите по наказателно правоприлагане) и които допълнително уточняват минималните изисквания за информационна сигурност, които трябва да бъдат въведени, включително контрол на достъпа, осигуряване на осведоменост и обучение, планиране на действия при извънредни ситуации, реагиране на инциденти, инструменти за одит и отчетност, осигуряване на целостта на системата и информацията, извършване на оценки на риска за неприкосновеността на личния живот и сигурността и т.н. (182). Освен това всички федерални агенции (включително органите по наказателно правоприлагане) трябва, в съответствие с насоките на ОМВ, да поддържат и прилагат план за справяне с нарушения на сигурността на данните, включително когато става въпрос за реагиране при такива нарушения и оценка на рисковете от вреди (183).

(105)

Що се отнася до съхраняването на данни, FRA (184) изисква от федералните агенции на САЩ (включително органите по наказателно правоприлагане) да определят срокове за съхранение на своите записи (след което тези записи трябва да бъдат унищожени), които трябва да бъдат одобрени от Националната администрация на архивите и документите (National Archives and Record Administration) (185). Продължителността на този период на съхранение се определя в зависимост от различни фактори, като например вида на разследването, това дали доказателствата все още са от значение за разследването и др. По отношение на ФБР в AGG-DOM се предвижда, че ФБР трябва да разполага с такъв план за съхранение на документи и да поддържа система, която може бързо да извлича информация относно състоянието и основанията на разследванията.

(106)

И накрая, Циркулярно писмо на ОМВ № А-130 също съдържа определени изисквания относно разпространяването на информация за самоличността. По принцип разпространението и разкриването на информация за самоличността трябва да бъде ограничено до тази, която е законно разрешена, релевантна и разумно считана за необходима за правилното изпълнение на функциите на агенцията (186). Когато споделят информация за самоличността с други държавни органи федералните агенции на САЩ трябва да налагат, когато е уместно, условия (включително прилагането на конкретни мерки за сигурност и защита на личните данни), които уреждат обработването на информацията, чрез писмени споразумения (включително договори, споразумения за използване на данни, споразумения за обмен на информация и меморандуми за разбирателство) (187). Що се отнася до основанията, на които информацията може да бъде разпространявана, в AGG-DOM и в Ръководството за национални оперативни дейности и разследвания на ФБР (FBI Domestic Investigations and Operations Guide (DIOG) (188) се предвижда например, че ФБР може да бъде подвластно на законово задължение да извършва това (например съгласно международно споразумение) или има право да разпространява информация при определени обстоятелства, например на други агенции на САЩ, ако разкриването е съвместимо с целта, за която е събрана информацията, и е свързано с техните отговорности; комисиите на Конгреса; до чуждестранни агенции, ако информацията е свързана с техните отговорности и разпространението е в съответствие с интересите на Съединените щати; ако разпространението е особено необходимо за защита на безопасността или сигурността на хората или имуществото, или за защита срещу или предотвратяване на престъпление или заплаха за националната сигурност и разкриването е съвместимо с целите, за които е събрана информацията (189).

(107)

Дейността на федералните агенции по наказателно правоприлагане подлежи на надзор от различни органи (190). Както е обяснено в съображения 92—99, в повечето случаи това включва предварителен надзор от съдебната власт, която трябва да разреши индивидуални мерки за събиране, преди те да могат да бъдат използвани. Освен това други органи наблюдават различни етапи от дейността на органите по наказателно правоприлагане, включително събирането и обработването на лични данни. Заедно тези съдебни и несъдебни органи гарантират, че правоприлагащите органи са обект на независим надзор.

(108)

На първо място, в рамките на различни отдели съществуват служители по въпросите на неприкосновеността на личния живот и гражданските свободи с правомощия в областта на наказателното правоприлагане (191). Въпреки че конкретните правомощия на тези служители може да се различават в известна степен в зависимост от законното основание за оправомощаването им, обикновено в тях се включва надзорът на процедурите с цел да се гарантира, че съответното министерство/агенция спазва по адекватен начин изискванията за неприкосновеност на личния живот и гражданските свободи и е въвело подходящи процедури за разглеждане на жалби от лица, които са счели, че неприкосновеността на личния им живот или гражданските им свободи са били нарушени. Ръководителите на всяко министерство или агенция трябва да гарантират, че служителите по въпросите на неприкосновеността на личния живот и гражданските свободи разполагат с материалите и ресурсите, необходими за изпълнение на мандата им, че им се предоставя достъп до всички материали и персонал, необходими за изпълнение на функциите им, и че са информирани за предложените промени в политиката и с тях се провеждат консултации (192). Служителите по въпросите на неприкосновеността на личния живот и гражданските свободи периодично докладват пред Конгреса, включително за броя и характера на получените в министерството/агенцията жалби, и представят обобщение на разпорежданията по тези жалби, проведените проверки и разследвания и последиците от дейностите, извършени от служителя (193).

(109)

На второ място, независим главен инспектор наблюдава дейността на Министерството на правосъдието, включително на ФБР (194). Главните инспектори са независими по закон (195) и отговарят за провеждането на независими разследвания, одити и инспекции на програмите и операциите на министерството. Те имат правомощия за достъп до всички записи, доклади, одити, прегледи, документи, писмени материали, препоръки или други съответни материали, ако е необходимо, чрез връчване на призовка, и могат да събират показания (196). Докато главните инспектори могат да издават препоръки за корективни мерки с необвързващ характер, техните доклади, включително относно последващите действия (или липсата на такива) (197), обикновено се оповестяват публично и се изпращат на Конгреса, който на тази основа може да упражни надзорните си функции (вж. съображение 111) (198).

(110)

На трето място, доколкото извършват дейности за борба с тероризма, отделите с правомощия в областта на наказателното правоприлагане подлежат на надзор от страна на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи (PCLOB) — независима структура в рамките на изпълнителната власт, в чийто петчленен състав влизат членове, назначени от президента за определен шестгодишен мандат с одобрението на Сената (199). Съгласно учредителния му устав на PCLOB са възложени отговорности в областта на политиките за борба с тероризма и тяхното прилагане с оглед на защитата на неприкосновеността на личния живот и гражданските свободи. При прегледа си той има право на достъп до всички съответни записи, доклади, одити, прегледи, документи, писмени материали и препоръки, включително до класифицирана информация, може да провежда изслушвания и да събира устни свидетелски показания (200). Той получава докладите на служителите по въпросите на гражданските свободи и неприкосновеността на личния живот от няколко федерални министерства/агенции (201), може да издава препоръки към държавните и правоприлагащите органи и да докладва редовно пред комисиите в Конгреса и пред президента (202). Докладите на PCLOB, включително тези до Конгреса, трябва да бъдат публично достъпни във възможно най-голяма степен (203).

(111)

И накрая, дейностите по прилагане на наказателното право са обект на надзор от страна на специални комисии в Конгреса на САЩ (правните комисии към Камарата на представителите и Сената). Правните комисии осъществяват редовен надзор по различни начини, по-специално чрез изслушвания, разследвания, прегледи и доклади (204).

(112)

Както беше посочено, в повечето случаи органите по наказателно правоприлагане трябва да получат предварително разрешение от съдебен орган, за да събират лични данни. Въпреки че това не се изисква за административните призовки, те са ограничени до специфични ситуации и ще подлежат на независим съдебен контрол, поне когато правителството иска мерки по принудително изпълнение по съдебен ред. По-специално получателите на административните призовки могат да ги оспорят в съда на основание тяхната неоснователност, т.е. че са прекомерни, репресивни или обременяващи (205).

(113)

Физическите лица могат преди всичко да подават искания или жалби до органите по наказателно правоприлагане относно обработването на техните лични данни. Това включва възможността да се поиска достъп до личните данни и тяхното коригиране (206). Що се отнася до дейностите за борба с тероризма, физическите лица могат да подадат жалба и до служители по въпросите на неприкосновеността на личния живот и гражданските свободи (или други длъжностни лица по въпросите на неприкосновеността на личния живот) в рамките на правоприлагащите органи (207).

(114)

Освен това в законодателството на САЩ са предвидени редица възможности за правна защита на физическите лица срещу публичен орган или негово длъжностно лице, когато тези органи обработват лични данни (208). Тези възможности, които включват по-специално Закона за административното производство, Закона за свобода на информацията (FOIA) и Закона за неприкосновеността на електронните съобщения (Electronic Communications Privacy Act — ECPA), са достъпни за всички лица, независимо от тяхната националност, при спазване на всички приложими условия.

(115)

Като цяло съгласно разпоредбите за съдебния контрол на Закона за административното производство (209)„всяко лице, което е претърпяло правно нарушение поради действие на агенцията или е неблагоприятно засегнато или ощетено от действия на агенцията“, има право да поиска съдебен контрол (210). Това включва възможността да се поиска от Съда да „обяви за незаконно и да отмени действие, констатации и заключения на агенцията, за които е установено, че представляват […] произвол, каприз, злоупотреба с правото на преценка, или по друг начин не са в съответствие със закона“ (211).

(116)

По-конкретно, в дял II на ECPA (212) се предвижда система на законоустановените права на неприкосновеност на личния живот и по този начин се урежда достъпът за целите на правоприлагането до съдържанието на кабелни, устни или електронни съобщения, съхранявани от доставчици на услуги — трети страни (213). Със закона достъпът до такива съобщения се обявява за незаконен (т.е. без разрешение от съда или допустим другояче) и се дава възможност засегнатото физическо лице да предяви граждански иск във федерален съд в САЩ за действителни и наказателни щети, както и за компенсация или установително решение срещу държавен служител, който произволно е извършил такива незаконни действия, или срещу Съединените американски щати.

(117)

Освен това няколко други закона дават на физическите лица право да заведат дело срещу публичен орган или длъжностно лице в САЩ във връзка с обработването на личните им данни, като например Закона за телефонното подслушване (Wiretap Act) (214), Закона за компютърните измами и злоупотреби (Computer Fraud and Abuse Act) (215), Federal Torts Claim Act (216), Закона за правото на неприкосновеност на личните финанси (Right to Financial Privacy Act) (217) и Закона за оповестяване на информация за кредити (Fair Credit Reporting Act) (218).

(118)

Също така, съгласно Закона за свобода на информацията (FOIA) (219), 5 U.S.C. § 552, всяко лице има право да поиска достъп до документите на федерални агенции, включително когато те съдържат лични данни на лицето. След изчерпване на административните средства за защита, физическо лице може да се позове на такова право на достъп в съда, освен ако тези документи са защитени от публично оповестяване по силата на освобождаване или специално изключение във връзка с правоприлагането (220). В този случай съдът ще прецени дали е приложимо някакво изключение или съответния публичен орган се е позовал законно на него.

(119)

Законодателството на Съединените щати съдържа редица ограничения и гаранции по отношение на достъпа до лични данни и използването им за целите на националната сигурност и осигурява механизми за надзор и правна защита в тази област, които са в съответствие с изискванията, посочени в съображение 89 от настоящото решение. Условията, при които може да се осъществява такъв достъп, и гаранциите, приложими за упражняването на тези правомощия, са подробно разгледани в следващите раздели.

(120)

Личните данни, предавани от Съюза на организациите, попадащи в обхвата на РЗЛД между ЕС и САЩ, могат да бъдат събирани от органите на САЩ за целите на националната сигурност въз основа на различни правни инструменти, при спазване на специфични условия и гаранции.

(121)

След като личните данни бъдат получени от организации, разположени в Съединените щати, разузнавателните агенции на САЩ могат да поискат достъп до такива данни за целите на националната сигурност само ако това е разрешено със закон, по-конкретно съгласно Закона за упражняване на надзор върху външното разузнаване (FISA) или законовите разпоредби за писма във връзка с националната сигурност (221). FISA съдържа няколко правни основания, които може да се използват за събиране (и последващо обработване) на лични данни на субекти на данни от Съюза, предавани съгласно РЗЛД в отношенията между ЕС и САЩ (член 105 от FISA (222), член 302 от FISA (223), член 402 от FISA (224), член 501 от FISA (225) и член 702 от FISA (226)), както е описано по-подробно в съображения 142—152.

(122)

Разузнавателните агенции на САЩ също така имат възможност да събират лични данни извън Съединените щати, като това може да включва лични данни, пренасяни между Съюза и Съединените щати. Събирането на информация извън Съединените щати се основава на Изпълнителен декрет 12333 (EO 12333) (227), издаден от президента (228).

(123)

Събирането на радиоелектронни разузнавателни данни е формата на събиране на разузнавателни данни, която е от най-голямо значение за настоящата констатация относно адекватността, тъй като се отнася до събирането на електронни съобщения и данни от информационни системи. Такова събиране на данни може да се извършва от разузнавателните агенции на САЩ както на територията на САЩ (въз основа на FISA), така и по време на пренасянето на данни към САЩ (въз основа на Указ 12333).

(124)

На 7 октомври 2022 г. президентът на САЩ издаде Указ 14086 за засилване на защитните мерки за дейностите по радиоелектронно разузнаване на САЩ, с който се определят ограниченията и защитните мерки за всички дейности на САЩ в областта на радиоелектронното разузнаване. Този Указ заменя до голяма степен Изпълнителен указ на президента (Presidential Policy Directive) (PPD-28) (229), като засилва условията, ограниченията и защитните мерки, които се прилагат по отношение на всички дейности по радиоелектронно разузнаване (т.е. въз основа на FISA и Указ 12333), независимо от мястото, където се извършват (230), и създава нов механизъм за правна защита, чрез който тези защитни мерки могат да бъдат използвани и прилагани от физически лица (231) (за повече подробности вж. съображения 176—194). По този начин с него в законодателството на САЩ се въвеждат резултатите от разговорите, проведени между ЕС и САЩ след отмяната от Съда на ЕС на решението на Комисията относно адекватното ниво на защита на Щита за защита на личните данни (вж. съображение 6). Поради това декретът е особено важен елемент от правната рамка, оценена в настоящото решение.

(125)

Въведените с Указ 14086 ограничения и гаранции допълват тези, предвидени в член 702 от FISA и Указ 12333. Посочените по-долу изисквания (в раздели 3.2.1.2 и 3.2.1.3) трябва да се прилагат от разузнавателните агенции, когато участва в дейности по радиоелектронно разузнаване съгласно член 702 от FISA и Указ 12333, например когато избират/идентифицират категории външноразузнавателна информация, която трябва да бъде придобита съгласно член 702 от FISA; събиране на външноразузнавателна или контраразузнавателна информация съгласно Указ 12333; и вземане на индивидуални решения за определяне на обект съгласно член 702 от FISA и Указ 12333.

(126)

Изискванията, определени в този изпълнителен декрет на президента, са задължителни за цялата разузнавателна общност. Те трябва да бъдат въведени с допълнителни политики и процедури на агенциите, с които те се транспонират в конкретни указания за всекидневната работа. В това отношение в Указ 14086 на разузнавателните агенции на САЩ се предоставя период от най-много една година за актуализиране на техните съществуващи политики и процедури (т.е. до 7 октомври 2023 г.), за да ги приведат в съответствие с изискванията на изпълнителния декрет. Такива актуализирани политики и процедури трябва да бъдат разработени в консултация с министъра на правосъдието, служителя по въпросите на гражданските свободи към Службата на директора на Националното разузнаване (CLPO към ODNI) и PCLOB — независим надзорен орган, упълномощен да извършва преглед на политиките на изпълнителната власт и тяхното прилагане с оглед защита на неприкосновеността на личния живот и гражданските свободи (вж. съображение 110 относно ролята и статута на PCLOB) — и да бъдат публично достъпни (232). Освен това, след като актуализираните политики и процедури бъдат въведени, PCLOB ще извършва преглед, за да гарантира, че те са в съответствие с изпълнителния декрет. В рамките на 180 дни от приключването на такъв преглед от страна на PCLOB всяка разузнавателна агенция трябва внимателно да обмисли и изпълни или по друг начин да се съобрази с всички препоръки на PCLOB. На 3 юли 2023 г. правителството на САЩ информира Европейската комисия, че тези политики и процедури са актуализирани (233).

(127)

С Указ 14086 се установяват редица всеобхватни изисквания, които се прилагат за всички дейности по радиоелектронно разузнаване (събиране, използване, разпространение и т.н. на лични данни).

(128)

На първо място, тези дейности трябва да се основават на закон или упълномощаване от президента и да се предприемат в съответствие със законодателството на САЩ, включително Конституцията (234).

(129)

На второ място, трябва да има подходящи мерки за защита, за да се гарантира, че неприкосновеността на личния живот и гражданските свободи са неразделна част от планирането на такива дейности (235).

(130)

По-специално, всяка дейност по радиоелектронно разузнаване може да се извършва само „след като въз основа на разумна оценка на всички съответни фактори се установи, че дейностите са необходими за постигане на обоснован приоритет по отношение на разузнаването“ (относно понятието „обоснован приоритет по отношение на разузнаването“ вж. съображение 135) (236).

(131)

Освен това такива дейности могат да се извършват само „в степен и по начин, които са пропорционални на обоснован приоритет по отношение на разузнаването, за който са били разрешени“ (237). С други думи, трябва да се постигне подходящ баланс „между важността на преследвания приоритет по отношение на разузнаването и въздействието върху неприкосновеността на личния живот и гражданските свободи на засегнатите лица, независимо от тяхната националност или местопребиваването им“ (238).

(132)

И накрая, за да се гарантира спазването на тези общи изисквания, които отразяват принципите на законност, необходимост и пропорционалност, дейностите по радиоелектронно разузнаване подлежат на надзор (вж. по-подробно раздел 3.2.2) (239).

(133)

Тези общи изисквания са допълнително обосновани по отношение на събирането на радиоелектронни разузнавателни данни чрез редица условия и ограничения, които гарантират, че намесата в правата на физическите лица е ограничена до това, което е необходимо и пропорционално за постигане на законна цел.

(134)

На първо място, с изпълнителния декрет основанията, на които могат да се събират данни като част от дейностите по радиоелектронно разузнаване, се ограничават по два начина. От една страна, в изпълнителния декрет се определят законните цели, които могат да бъдат преследвани чрез събирането на радиоелектронни разузнавателни данни, например разбиране или оценяване на възможностите, намеренията или дейностите на чуждестранни организации, включително международни терористични организации, които представляват настояща или потенциална заплаха за националната сигурност на Съединените щати; защита от чуждестранни военни способности и дейности; разбиране и оценяване на транснационалните заплахи, които оказват влияние върху глобалната сигурност, като изменението на климата и други екологични промени, рисковете за общественото здраве и хуманитарните заплахи (240). От друга страна, в изпълнителния декрет се изброяват определени цели, които никога не трябва да се преследват чрез дейности по радиоелектронно разузнаване, например с цел потискане или затрудняване на критиката или несъгласието или свободното изразяване на идеи или политически мнения от отделни лица или пресата; поставяне в неблагоприятно положение на лица на основата на техния етнически или расов произход, пол, полова идентичност, сексуална ориентация или религия; или предоставяне на конкурентно предимство на американски дружества (241).

(135)

Освен това легитимните цели, определени в Указ № 14086, не могат сами по себе си да бъдат използвани от разузнавателните агенции за обосноваване на събирането на радиоелектронни разузнавателни данни, а трябва да бъдат допълнително надлежно обосновани за оперативни цели с по-конкретни приоритети, за които може да се събират радиоелектронни разузнавателни данни. С други думи, действителното събиране може да се осъществи само за постигане на по-конкретен приоритет. Тези приоритети се определят чрез специален процес, целящ да гарантира спазването на приложимите правни изисквания, включително тези, свързани с неприкосновеността на личния живот и гражданските свободи. По-конкретно, приоритетите в областта на разузнаването се разработват първо от директора на Националното разузнаване (чрез т.нар. Рамка на националните разузнавателни приоритети) и се представят на президента за одобрение (242). Преди да предложи на президента приоритети в областта на разузнаването, директорът трябва, в съответствие с Указ 14086, да получи оценка от CLPO към ODNI за всеки приоритет относно това дали той 1) постига една или повече законни цели, изброени в Указа; 2) не е бил разработен с такава цел и не се очаква да доведе до събиране на радиоелектронни разузнавателни данни за забранена цел, посочена в Указа; и 3) е бил създадена след подходящо отчитане на неприкосновеността на личния живот и гражданските свободи на всички лица, независимо от тяхната националност или местоживеене (243). В случай че директорът не е съгласен с оценката на CLPO, двете становища трябва да бъдат представени на председателя (244).

(136)

Ето защо този процес гарантира, че съображенията, свързани с неприкосновеността на личния живот, се вземат предвид още на първоначалния етап, когато се разработват приоритетите на разузнаването.

(137)

На второ място, след като е установен приоритет по отношение на разузнаването, редица изисквания регулират решението дали и до каква степен може да се събират радиоелектронни разузнавателни данни за постигане на този приоритет. Тези изисквания въвеждат в действие всеобхватните стандарти за необходимост и пропорционалност, определени в раздел 2, буква а) от изпълнителния декрет.

(138)

По-специално, радиоелектронните разузнавателни данни могат да се събират само „след преценка, че въз основа на разумна оценка на всички съответни фактори събирането е необходимо за постигане на конкретен приоритет по отношение на разузнаването“ (245). При определянето на това дали конкретна дейност по събиране на радиоелектронни разузнавателни данни е необходима за постигане на обоснован приоритет по отношение на разузнаването, разузнавателните служби на САЩ трябва да вземат предвид наличието, осъществимостта и целесъобразността на други източници и методи с по-ниска степен на вмешателство, включително от дипломатически и обществени източници (246). Когато има такива алтернативни източници и методи с по-ниска степен на вмешателство, те трябва да се използват приоритетно (247).

(139)

Когато след прилагането на такива критерии събирането на радиоелектронни разузнавателни данни се счете за необходимо, то трябва да бъде „съобразено с конкретния случай, доколкото това е практически възможно“ и „да не оказва непропорционално въздействие върху неприкосновеността на личния живот и гражданските свободи“ (248). За да се гарантира, че неприкосновеността на личния живот и гражданските свободи не са непропорционално засегнати, т.е. за да се постигне подходящ баланс между нуждите на националната сигурност и защитата на неприкосновеността на личния живот и гражданските свободи, трябва надлежно да се вземат предвид всички съответни фактори, като например естеството на преследваната цел; степента на вмешателство на дейността по събиране, включително нейната продължителност; вероятният принос на събраните данни за постигане на преследваната цел; разумно предвидимите последици за лицата; и естеството и чувствителността на данните, които трябва да бъдат събрани (249).

(140)

Що се отнася до вида на събирането на радиоелектронни разузнавателни данни, събирането на данни в Съединените щати, което е от най-голямо значение за настоящата констатация относно адекватното ниво на защита, тъй като се отнася до данни, които са били предадени на организации в САЩ, винаги трябва да бъде целево, както е обяснено по-подробно в съображения 142—153.

(141)

„Събирането на масиви от данни“ (250) може да се извършва само извън Съединените щати, въз основа на Указ EO 12333. И в този случай, съгласно Указ 14086, трябва да се отдава приоритет на целенасоченото събиране (251). От друга страна, събирането на масиви от данни е разрешено само когато информацията, необходима за постигане на обоснован приоритет по отношение на разузнаването, не може да бъде получена по разумен начин чрез целенасочено събиране (252). Когато е необходимо да се извършва събиране на масиви от данни извън Съединените щати, се прилагат специфични гаранции съгласно Указ 14086 (253). На първо място, трябва да се прилагат методи и технически мерки, за да се ограничи събирането на данни само до това, което е необходимо за постигане на даден обоснован приоритет по отношение на разузнаването, като същевременно се сведе до минимум събирането на нерелевантна информация (254). На второ място, с изпълнителния декрет се ограничава използването на масово събирана информация (включително първичен анализ) до шест конкретни цели, включително защита срещу тероризъм, вземане на заложници и държане на лица в плен от или от името на чуждестранно правителство, организация или лице; защита срещу чуждестранен шпионаж, саботаж или убийство; защита от заплахи, произтичащи от разработването, притежаването или разпространението на оръжия за масово унищожение или свързани с тях технологии и заплахи и т.н. (255). И накрая, всеки първичен анализ на получени масиви от радиоелектронни разузнавателни данни може да се извършва само когато това е необходимо за постигане на обоснован приоритет по отношение на разузнаването, в изпълнение на тези шест цели и в съответствие с политики и процедури, които отчитат по подходящ начин въздействието на запитванията върху неприкосновеността на личния живот и гражданските свободи на всички лица, независимо от тяхната националност или местопребиваване им (256).

(142)

В допълнение към изискванията на Указ 14086, събирането на радиоелектронни разузнавателни данни, които са предадени на организация в Съединените щати, подлежи на специфични ограничения и гаранции, уредени в раздел 702 от FISA (257). С него се разрешава придобиването на външноразузнавателна информация чрез целево събиране от лица, които не са граждани на САЩ и са с местонахождение извън САЩ, при задължително съдействие от страна на доставчиците на електронни далекосъобщителни услуги в САЩ (258). За да могат да събират външноразузнавателна информация съгласно член 702 от FISA, министърът на правосъдието и директорът на националното разузнаване представят годишни удостоверения пред Съда по надзора върху външното разузнаване (FISC), в които се посочват категориите външноразузнавателна информация, която трябва да бъде придобита (259). Удостоверенията трябва да бъдат придружени от процедури за целево събиране, свеждане на данните до минимум и първичен анализ, които процедури също се одобряват от FISC и са правно обвързващи за разузнавателните агенции на САЩ.

(143)

FISC е независим съд (260), създаден по силата на федерален закон, чиито решения могат да бъдат обжалвани пред Апелативния съд за наблюдение на чуждите разузнавателни служби (FISCR) (261) и в крайна сметка пред Върховния съд на Съединените щати (262). FISC (и FISCR) се подпомага от постоянна работна група от петима адвокати и петима технически експерти с експертни знания и опит в областта на националната сигурност, както и в областта на гражданските свободи (263). От тази група съдът определя едно лице, което изпълнява функциите на amicus curiae и съдейства за разглеждането на всички заявления за разпореждане или разглеждане, които според становището на съда представляват ново или съществено тълкувание на закон, освен ако съдът счете, че е уместно да не определя такова лице (264). С това по-специално се гарантира, че съображенията за неприкосновеността на личния живот се отразяват по подходящ начин при преценката на съда. Също така съдът може да определи функциите на amicus curiae да изпълнява лице или организация, включително като предоставя техническа експертиза, когато бъде счетено за необходимо, или по предложение, да даде разрешение на дадено лице или организация да подаде подготвени от приятел на съда (amicus curiae) заключения (265).

(144)

FISC прави преглед на сертифициранията и свързаните с тях процедури (по-специално процедурите за целево събиране и свеждане на данните до минимум) за съответствие с изискванията на FISA. Ако прецени, че изискванията не са изпълнени, той може изцяло или от части да откаже сертифицирането и да изиска изменение на процедурите (266). В това отношение FISC многократно е потвърждавал, че прегледът на процедурите по член 702 за целево събиране и свеждане на данните до минимум не се ограничава само до писмените процедури, а включва и начина, по който те се прилагат от правителството (267).

(145)

Индивидуалните решения за целево събиране се вземат от Агенцията за национална сигурност (АНС, разузнавателната агенция, отговорна за целевото събиране съгласно член 702 от FISA) в съответствие с одобрените от FISC процедури за целево събиране, които изискват АНС да прецени, въз основа на всички обстоятелства, дали целевото събиране на данни за конкретно лице има вероятност да доведе до придобиване на категория външноразузнавателна информация, посочена при сертифицирането (268). Тази преценка трябва да бъде конкретна и базирана на факти, да се основава на аналитична преценка, на специализираното обучение и експертния опит на анализатора, както и на естеството на външноразузнавателната информация, която трябва да бъде получена (269). Целевото събиране се извършва чрез използване на т.нар. критерии за подбор, които служат за идентифициране на конкретни технически средства за връзка, като например адрес на електронна поща или телефонен номер на целта, но не и ключови думи, нито имена на лицата, към които е насочено търсенето (270).

(146)

Анализаторите на АНС идентифицират лица, които не са граждани на САЩ и се намират извън територията на САЩ, и чието наблюдаване по преценка на анализаторите ще осигури съответните външноразузнавателни данни, посочени при сертифицирането (271). Както е посочено в процедурите на АНС по целево събиране, АНС може да насочи наблюдението към даден обект на разследване само когато вече е научила нещо за него (272). Това може да произтича от информация от различни източници, например от агентурното разузнаване. Чрез тези други източници анализаторът трябва да научи и за конкретен критерий за подбор (т.е. профил в съобщително средство), използван от потенциалния обект на разследване. След като са идентифицирани тези отделни лица и определянето им като цели бъде одобрено чрез механизъм за подробно разглеждане в рамките на АНС (273), се възлага задача за определянето на критерии за подбор (т.е. тяхното разработване и прилагане), чрез които да се набележат съобщителните средства (например адреси на електронна поща), използвани от обектите на разследването (274).

(147)

АНС трябва да документира фактическите основания за избора на обекта на разследване (275) и на редовни интервали след първоначалното целево събиране да потвърждава, че стандартът за целево събиране продължава да се спазва (276). След като стандартът за целево събиране вече не е изпълнен, събирането трябва да бъде прекратено (277). Изборът на всеки обект на разследване от страна на АНС и записът на всяка регистрирана оценка и обосновка на целевото събиране се преглеждат за съответствие с процедурите по целево събиране на всеки два месеца от служители в службите за надзор на разузнаването в Министерството на правосъдието, които са задължени да докладват за всяко нарушение на FISC и на Конгреса (278). Писмената документация на АНС улеснява надзора на FISC върху това дали конкретни лица са правилно избрани за целево събиране на данни съгласно член 702 от FISA в съответствие с надзорните му правомощия, описани в съображения 173—174 (279). И накрая, директорът на националното разузнаване (DNI) е длъжен да докладва всяка година общия брой обекти на разследване по член 702 от FISA в публични годишни статистически доклади за прозрачност. Дружествата, които получават указания във връзка с член 702 от FISA, могат да публикуват обобщени данни (чрез доклади за прозрачност) за получените от тях искания (280).

(148)

Що се отнася до другите правни основания за събиране на лични данни, предавани на организации в САЩ, се прилагат различни ограничения и мерки за защита. Като цяло събирането на масиви от данни е изрично забранено съгласно член 402 от FISA (електронни устройства за регистриране или проследяване) и чрез използването на писма във връзка с националната сигурност, като вместо това се изисква използването на специфични „условия за подбор“ (281).

(149)

За провеждане на традиционно индивидуализирано електронно наблюдение (съгласно член 105 от FISA) разузнавателните служби трябва да подадат заявление до FISC с изложение на фактите и обстоятелствата, на които се позовават, за да обосноват убеждението, че е налице обосновано предположение, че обектът се използва или предстои да бъде използван от чужда сила или служител на чужда сила (282). FISC ще направи преценка, наред с останалото, дали въз основа на посочените факти съществува обосновано предположение случаят наистина да е такъв (283).

(150)

За да се извърши претърсване на помещения или имущество, което има за цел да доведе до проверка, изземване и т.н. на информация, материали или имущество (например компютърно устройство) въз основа на член 301 от FISA, се изисква заявление за издаване на разпореждане до Съда по надзора върху външното разузнаване (FISC) (284). Такова заявление трябва, наред с другото, да показва, че има обосновано предположение, че обектът на претърсване е чужда сила или служител на чужда сила; че помещението или имуществото, което трябва да бъде претърсено, съдържа външноразузнавателна информация и че помещението, което трябва да бъде претърсено, е собственост, се използва или владее или се предава от или на (служител на) чужда сила (285).

(151)

По подобен начин инсталирането на електронни устройства за регистриране или проследяване (съгласно член 402 от FISA) изисква да се подаде заявление за издаване на разпореждане до FISC (или до магистрат към окръжен съд на САЩ (U.S. Magistrate Judge) и да се използва специален критерий за подбор, т.е. понятие, което определя по специфичен начин дадено лице, сметка и др. и се използва за ограничаване в максимално възможната разумна степен на обхвата на исканата информация (286). Този инструмент не се отнася за съдържанието на съобщенията, а по-скоро има за цел получаването на информация за клиента или абоната, който използва дадена услуга (например име, адрес, абонатен номер, продължителност/вид на получената услуга, източник/механизъм на плащане).

(152)

Член 501 от FISA (287), който позволява събирането на търговска документация на предоставящ общи превози превозвач (т.е. всяко физическо или юридическо лице, което превозва хора или имущество по суша, релсов път, вода или въздух срещу заплащане), обект за обществено настаняване (например хотел, мотел или гостилница), обект за отдаване под наем на превозни средства или физическо съоръжение за складиране (т.е. обект, който предоставя пространство или услуги, свързани със складирането на стоки и материали) (288), също изисква подаване на заявление до FISC или магистрат към окръжен съд. В заявлението трябва да се посочат търсените данни и конкретните и ясно изразени факти, които дават основание да се смята, че лицето, за което се отнасят данните, е чужда сила или служител на чужда сила (289).

(153)

И накрая, писмата във връзка с националната сигурност са разрешени от различни закони и позволяват на разследващите органи да получават определена информация (невключваща съдържанието на съобщенията) от определени субекти (например финансови институции, агенции за оповестяване на информация за кредити, доставчици на електронни комуникации), съдържаща се в доклади за кредитите, финансови записи и електронни регистри на абонати и транзакции (290). Законът относно писмата във връзка с националната сигурност, който разрешава достъп до електронни съобщения, може да се използва само от ФБР и изисква в заявленията да се използва термин, който конкретно идентифицира лице, организация, телефонен номер или сметка, и да се удостовери, че информацията е от значение само във връзка с разрешено разследване в сферата на националната сигурност за защита срещу международния тероризъм или секретни разузнавателни дейности (291). Получателите на писма във връзка с националната сигурност имат право да оспорят писмото в съда (292).

(154)

Обработването на лични данни, събрани от разузнавателните агенции на САЩ чрез радиоелектронно разузнаване, подлежи на редица предпазни мерки.

(155)

На първо място, всяка разузнавателна агенция трябва да осигури подходяща сигурност на данните и да предотврати достъпа на неупълномощени лица до лични данни, събрани чрез радиоелектронно разузнаване. В това отношение различни инструменти, включително закони, насоки и стандарти, допълнително уточняват минималните изисквания за сигурност на информацията, които трябва да бъдат въведени (например многофакторно удостоверяване на автентичността, криптиране и др.) (293). Достъпът до събраните данни трябва да бъде ограничен до упълномощен, обучен персонал, който има нужда да знае информацията, за да изпълни задачата си (294). В по-общ план разузнавателните агенции трябва да осигурят подходящо обучение на служителите си, включително относно процедурите за докладване и разглеждане на нарушения на закона (включително Указ 14086) (295).

(156)

На второ място, разузнавателните агенции трябва да спазват стандартите на разузнавателната общност за точност и обективност, по-специално по отношение на осигуряването на качество и надеждност на данните, разглеждането на алтернативни източници на информация и обективността при извършването на анализите (296).

(157)

На трето място, що се отнася до съхраняването на данни, в Указ 14086 се пояснява, че личните данни на лица, които не са граждани на САЩ, подлежат на същите периоди на съхранение като тези, които се прилагат за данните на лица, граждани на САЩ (297). Разузнавателните агенции за задължени да определят конкретни срокове за съхранение и/или факторите, които трябва да се вземат предвид при определянето на продължителността на приложимите срокове за съхранение (например дали информацията представлява доказателства за извършено престъпление; дали информацията представлява външноразузнавателна информация; дали информацията е необходима за защита на безопасността на лица или организации, включително жертви или цели на международен тероризъм), които са определени в различни правни инструменти (298).

(158)

Четвърто, прилагат се специфични правила по отношение на разпространението на лични данни, събрани чрез радиоелектронно разузнаване. Като общо изискване личните данни за лица, които не са граждани на САЩ, могат да се разпространяват само ако включват същия вид информация, която може да се разпространява за лица, граждани на САЩ, например информация, необходима за защита на безопасността на дадено лице или организация (като цели, жертви или заложници на международни терористични организации) (299). Освен това личните данни не могат да се разпространяват единствено поради гражданството или държавата на пребиваване на дадено лице или с цел заобикаляне на изискванията на Указ 14086 (300). Разпространението на информация в рамките на правителството на САЩ може да се извършва само ако упълномощено и обучено лице има основателна увереност, че получателят има нужда да знае информацията (301) и ще я защити по подходящ начин (302). За да се определи дали личните данни могат да се разпространяват до получатели извън правителството на САЩ (включително чуждестранно правителство или международна организация), трябва да се вземат предвид целта на разпространението, естеството и обхватът на разпространяваните данни, както и потенциалът за вредно въздействие върху съответното(ите) лице(а) (303).

(159)

И накрая, включително с цел улесняване на надзора върху спазването на приложимите правни изисквания, както и с цел наличието на ефективните средства за правна защита, от всяка разузнавателна агенция се изисква съгласно Указ 14086 да води подходяща документация относно събирането на радиоелектронни разузнавателни данни. Изискванията за документиране обхващат елементи като фактическото основание за оценката, че конкретна дейност по събиране на информация е необходима за постигане на напредък по обоснован приоритет по отношение на разузнаването (304).

(160)

В допълнение към горепосочените гаранции, предвидени в Указ 14086, за използването на информация, събрана чрез радиоелектронно разузнаване, всички разузнавателни агенции на САЩ подлежат на по-общи изисквания относно ограничаването в рамките на целта, свеждането на данните до минимум, степента на точност, сигурността, запазването и разпространението, които следват по-специално от Циркулярно писмо на ОМВ № A-130, Закона за електронното правителство, Закона за федералните архиви (вж. съображения 101—106) и насоките от Комитета по системите за национална сигурност (CNSS) (305).

(161)

Дейността на разузнавателните служби на САЩ подлежи на надзор от различни органи.

(162)

На първо място, Указ 14086 изисква всяка разузнавателна агенция да разполага с висши служители в областта на правото, надзора и съответствието, които да гарантират спазването на приложимото законодателство на САЩ (306). По-специално те трябва да извършват периодичен надзор над дейностите по радиоелектронно разузнаване и да гарантират, че всяко несъответствие се отстранява. Разузнавателните служби трябва да осигурят на тези служители достъп до цялата необходима информация, за да могат да изпълняват надзорните си функции, и не могат да предприемат никакви действия за възпрепятстване или неправомерно влияние върху надзорните им дейности (307). Освен това всеки съществен случай на несъответствие (308), установен от служител по надзора или друг служител, трябва незабавно да бъде докладван на ръководителя на разузнавателната агенция и на директора на националното разузнаване, който трябва да гарантира, че се предприемат всички необходими действия за отстраняване и предотвратяване на повторното възникване на съществения случай на несъответствие (309).

(163)

Тази надзорна функция се изпълнява от служители, на които е възложено да отговарят за спазването на изискванията, както и от служителите по въпросите на неприкосновеността на личния живот и гражданските свободи и от главни инспектори (310).

(164)

Както при органите по наказателно правоприлагане, във всички разузнавателни агенции съществуват служители по въпросите на неприкосновеността на личния живот и гражданските свободи (311). Правомощията на тези служители обикновено включват надзора на процедурите с цел да се гарантира, че съответното министерство/агенция спазва по адекватен начин изискванията за неприкосновеност на личния живот и гражданските свободи и е въвело подходящи процедури за разглеждане на жалби от лица, които са счели, че неприкосновеността на личния им живот или гражданските им свободи са били нарушени (а в някои случаи, като например Службата на директора на Националното разузнаване (ODNI), могат да имат правомощия сами да провеждат разследвания по жалби (312)). Ръководителите на разузнавателните агенции трябва да гарантират, че служителите по въпросите на неприкосновеността на личния живот и гражданските свободи разполагат с необходимите ресурси, за да изпълняват мандата си, че им се предоставя достъп до всички материали и персонал, необходими за изпълнение на функциите им, и че са информирани за предложените промени в политиката и с тях се провеждат консултации (313). Служителите по въпросите на гражданските свободи и неприкосновеността на личния живот периодично докладват пред Конгреса и Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, включително за броя и характера на получените в министерството/агенцията жалби, и предоставят обобщение на разпорежданията по тези жалби, проведените проверки и разследвания и последиците от дейностите, извършени от служителя (314).

(165)

На второ място, всяка разузнавателна агенция има независим главен инспектор, в чиито отговорности се включва наред с останалото и упражняването на надзор върху дейностите по външно разузнаване. В рамките на ODNI това е Службата на главния инспектор по разузнавателните структури, която разполага с всеобхватна компетентност, обхващаща всички разузнавателни структури, и с правомощия да провежда разследвания въз основа на жалби или на информация относно обвинения в незаконни действия или злоупотреба с власт във връзка с програми и дейности на ODNI и/или на разузнавателните структури (315). Както в случая с органите по наказателно правоприлагане (вж. съображение 109), тези главни инспектори са структури с независим статут (316), които отговарят за провеждането на одити и разследвания във връзка с програмите и операциите, изпълнявани от съответната агенция за целите на националното разузнаване, включително по отношение на злоупотреби или закононарушения (317). Те имат правомощия за достъп до всички записи, доклади, одити, прегледи, документи, писмени материали, препоръки или други съответни материали, ако е необходимо, чрез връчване на призовка, и могат да събират показания (318). Главните инспектори предават на ръководителите на агенциите случаи на предполагаеми криминални нарушения с цел започване на наказателно преследване и отправят препоръки за корективни мерки към ръководителите им (319). Въпреки че препоръките им нямат задължителен характер, докладите им, включително относно последващите действия (или липсата на такива) (320), обикновено се оповестяват публично и се изпращат на Конгреса, който на тази основа може да упражнява собствената си надзорна функция (вж. съображение 168—169) (321).

(166)

На трето място, Надзорният съвет по въпросите на разузнаването (Intelligence Oversight Board), създаден в рамките на Консултативния съвет по въпросите на разузнаването към президента (President's Intelligence Advisory Board), следи за спазването на Конституцията и всички приложими правила от страна на органите на САЩ, работещи в областта на разузнаването (322). Консултативният съвет по въпросите на разузнаването към президента е консултативен орган към административната канцелария на президента, който се състои от 16 членове, назначени от президента извън състава на правителството на САЩ. Надзорният съвет по въпросите на разузнаването се състои от максимум петима членове, определени от президента измежду членовете на Консултативния съвет по въпросите на разузнаването към президента. Съгласно Изпълнителен декрет 12333 (323) ръководителите на всички разузнавателни агенции са длъжни да докладват на Надзорния съвет по въпросите на разузнаването за всяка дейност за радиоелектронно разузнаване, за която има основание да се смята, че може да е незаконна или да противоречи на изпълнителен декрет или президентски указ. За да се гарантира, че Надзорният съвет по въпросите на разузнаването има достъп до информацията, необходима за изпълнение на функциите му, с Указ 13462 на директора на националното разузнаване и на ръководителите на разузнавателните агенции се разпорежда да предоставят всякаква информация и съдействие, които Надзорният съвет по въпросите на разузнаването определя като необходими за изпълнение на функциите си, доколкото това е позволено от закона (324). На свой ред Надзорният съвет по въпросите на разузнаването трябва да информира президента за дейности за разузнаване, за които смята, че може да са в нарушение на законите на САЩ (включително изпълнителни декрети) и по отношение на които министърът на правосъдието, директорът на националното разузнаване или ръководителят на дадена разузнавателна агенция не предприемат адекватни мерки (325). Освен това от Надзорния съвет по въпросите на разузнаването се изисква да информира министъра на правосъдието за евентуални нарушения на наказателното право.

(167)

На четвърто място, разузнавателните агенции подлежат на надзор от страна на PCLOB. Съгласно учредителния му устав на PCLOB са възложени отговорности в областта на политиките за борба с тероризма и тяхното прилагане с оглед на защитата на неприкосновеността на личния живот и гражданските свободи. При прегледа на действията на разузнавателните агенции той има право на достъп до всички съответни записи, доклади, одити, прегледи, документи, писмени материали и препоръки, включително до класифицирана информация, може да провежда изслушвания и да събира устни свидетелски показания (326). Той получава докладите на служителите по въпросите на гражданските свободи и неприкосновеността на личния живот от няколко федерални министерства/агенции (327), може да издава препоръки към държавни и разузнавателни агенции и докладва редовно пред комисиите в Конгреса и пред президента (328). Докладите на PCLOB, включително тези до Конгреса, трябва да бъдат публично достъпни във възможно най-голяма степен (329). PCLOB е публикувал няколко доклада относно надзора и последващите действия, включително анализ на програмите, изпълнявани въз основа на член 702 от FISA, и защитата на правото на неприкосновеност на личния живот в този контекст, прилагането на PPD 28 и на Изпълнителен декрет 12333 (330). PCLOB е натоварен и с изпълнението на конкретни надзорни функции по отношение на прилагането на Указ 14086, по-специално като проверява дали процедурите на агенциите са в съответствие с указа (вж. съображение 126) и оценява коректното функциониране на механизма за правна защита (вж. съображение 194).

(168)

На пето място, в допълнение към механизмите за надзор в рамките на изпълнителната власт, специални комисии в Конгреса на САЩ (Комисията по въпросите на разузнаването и Правната комисия към Камарата на представителите и Сената) са натоварени с отговорности по надзор на всички дейности на САЩ в областта на външното разузнаване. Членовете на тези комисии имат достъп до класифицирана информация, както и до разузнавателните методи и програми (331). Комисиите упражняват надзорните си функции по различни начини, по-специално чрез изслушвания, разследвания, прегледи и доклади (332).

(169)

Комисиите на Конгреса получават редовни доклади относно разузнавателните дейности, включително от министъра на правосъдието, директора на националното разузнаване, разузнавателните агенции и други надзорни органи (например главни инспектори), вж. съображения 164—165. По конкретно, съгласно Закона за националната сигурност (National Security Act) „Президентът взема мерки комисиите по въпросите на разузнаването в Конгреса да бъдат напълно и текущо информирани относно разузнавателните дейности на Съединените американски щати, включително за предвиждани значими разузнавателни дейности, както това се изисква съгласно настоящата подглава.“ (333). В допълнение „Президентът взема мерки на комисиите по въпросите на разузнаването в Конгреса да бъде докладвано незабавно за всяка незаконна разузнавателна дейност, както и за всички корективни мерки, които са били взети или се планират във връзка с такава незаконна дейност.“ (334).

(170)

Освен това от конкретни закони произтичат допълнителни изисквания за докладване. Например във FISA се съдържа изискване към министъра на правосъдието да „информира в пълна степен“ комисията по въпросите на разузнаването и правната комисия към Камарата на представителите и Сената относно дейностите на правителството съгласно определени раздели от FISA (335). Също така в него се изисква правителството да предоставя на комисиите на Конгреса копия от всички решения, заповеди или становища на FISC или FISCR, които включват „значими конструкции или тълкувания“ на разпоредбите на FISA. Във връзка с наблюдението съгласно член 702 от FISA парламентарният надзор се осъществява посредством изисквани по закон доклади до комисията по въпросите на разузнаването и правната комисия, както и чести брифинги и изслушвания. Към тях се включват шестмесечният доклад на министъра на правосъдието, в който се описва как е бил използван член 702 от FISA, с придружаващите го документи, включително докладите на Министерството на правосъдието и на ODNI за спазването на нормативната уредба, с описание на евентуални случаи на неспазване (336), както и отделна шестмесечна оценка от министъра на правосъдието и директора на Националното разузнаване, в която се описва спазването на процедурите за целево събиране и свеждане до минимум (337).

(171)

Освен това FISA съдържа изискване правителството на САЩ всяка година да оповестява пред Конгреса (и обществеността) наред с другото и броя на поисканите и получените разпореждания и указания съгласно FISA, както и изчисления за броя на лицата — граждани на САЩ, и лицата, които не са граждани на САЩ, които са били цел на наблюдение (338). Също така в закона се предвижда изискване за допълнително докладване пред обществеността относно броя на издадените писма във връзка с националната сигурност (ПНС), отново по отношение на лица — граждани на САЩ, и лица, които не са граждани на САЩ (като същевременно се предвижда получателите на разпореждания и сертифицирания съгласно FISA, както и на искания за ПНС, да публикуват доклади за прозрачност при определени условия) (339).

(172)

В по-общ план разузнавателната общност на САЩ полага различни усилия, за да осигури прозрачност на своите дейности по (външно) разузнаване. Например през 2015 г. ODNI прие Принципи за прозрачност на разузнаването и План за прилагане на прозрачността и разпореди на всяка разузнавателна агенция да назначи служител по прозрачността на разузнаването, който да насърчава прозрачността и да ръководи инициативи за прозрачност (340). Като част от тези усилия разузнавателната общност публикува и продължава да публикува разсекретени части от политиките, процедурите, докладите за надзор, докладите за дейностите по член 702 от FISA и по Изпълнителен декрет 12333, решенията на FISC и други материали, включително на специална уебстраница „IC on the Record“, управлявана от ODNI (341).

(173)

И накрая, събирането на лични данни съгласно член 702 от FISA подлежи, в допълнение към надзора от страна на надзорните органи, посочени в съображения 162—168, на надзор от страна на FISC (342). Съгласно правило 13 от Процедурния правилник на FISC служителите по съответствието в разузнавателните агенции на САЩ са длъжни да докладват за всички нарушения на процедурите за целево събиране, свеждане до минимум и първичен анализ по член 702 от FISA на Министерството на правосъдието и на ODNI, които от своя страна ги докладват на FISC. Освен това Министерството на правосъдието и Службата на директора на Националното разузнаване (ODNI) представят на FISC шестмесечни съвместни доклади за оценка на надзора, в които се посочват тенденциите при спазването на изискванията по отношение на целевото събиране; предоставят се статистически данни; описват се категориите инциденти, свързани със съответствието; описват се подробно причините, поради които са възникнали определени инциденти, свързани със спазването на целевото събиране, и се очертават мерките, които разузнавателните агенции са предприели, за да избегнат повтарянето им (343).

(174)

Когато е необходимо (например при установяване на нарушения на процедурите за определяне на обектите на разследване), FISC може да нареди на съответната разузнавателна агенция да предприеме правни действия за защита (344). Тези въпросни правни средства за защита варират от индивидуални до структурни мерки, например от прекратяване на събирането на данни и заличаването на незаконно получените данни до промяна на практиките за събиране на данни, включително по отношение на предоставянето на насоки и обучението на персонала (345). Освен това по време на годишния преглед на сертифициранията по член 702 FISC разглежда случаите на несъответствие, за да определи дали представените удостоверения отговарят на изискванията на FISA. По подобен начин, ако FISC установи, че сертифициранията от страна на правителството не са били задоволителни, включително поради конкретни случаи на неспазване, той може да издаде така наречената „заповед за отстраняване на недостатъци“, изискваща от правителството да отстрани нарушението в срок от 30 дни или да прекрати или да не започва да прилага сертифициране по член 702. И накрая, FISC оценява тенденциите, които наблюдава по отношение на проблемите със спазването на изискванията, и може да поиска промени в процедурите или допълнителен надзор и докладване, за да се справи с тези тенденции (346).

(175)

Както е обяснено по-подробно в настоящия раздел, редица способи в Съединените щати предоставят на субектите на данни от Съюза възможността да предявяват иск пред независим и безпристрастен съд с обвързващи правомощия. Взети заедно те дават възможност на физическите лица да имат достъп до своите лични данни, да поискат проверка на законосъобразността на правителствения достъп до техните данни и, ако бъде установено нарушение, да поискат отстраняване на това нарушение, включително чрез коригиране или заличаване на техните лични данни.

(176)

На първо място, в съответствие с Указ 14086 е създаден специален механизъм за правна защита, допълнен от Наредбата на МП за създаване на Апелативен съд в областта на защитата на личните данни, който да разглежда и решава жалби на физически лица относно дейностите на САЩ по радиоелектронно разузнаване. Всяко физическо лице в ЕС има право да подаде жалба в рамките на механизма за правна защита във връзка с предполагаемо нарушение на законодателството на САЩ, уреждащо дейностите по радиоелектронно разузнаване (например Указ 14086, член 702 от FISA, Указ 12333), което засяга неблагоприятно интересите му в областта на неприкосновеността на личния живот и гражданските свободи (347). Този механизъм за правна защита е достъпен за физически лица от държави или регионални организации за икономическа интеграция, които са били посочени от министъра на правосъдието на САЩ като „квалифицирани държави“ (348). На 30 юни 2023 г. Европейският съюз и трите държави от Европейската асоциация за свободна търговия, които съставляват Европейското икономическо пространство, бяха посочени от министъра на правосъдието на САЩ като „квалифицирани държави“ съгласно член 3(f) от Указ 14086 (349). Това посочване не засяга член 4, параграф 2 от Договора за Европейския съюз.

(177)

Субектът на данни в Съюза, желаещ да внесе такава жалба, трябва да внесе жалбата до надзорен орган в държава — членка на ЕС, компетентен за надзора на обработването на лични данни от страна на публични органи (ОЗД) (350). Това осигурява лесен достъп до механизма за правна защита, като позволява на лицата да се обръщат към орган, който е „близо до дома им“ и с който могат да общуват на собствения си език. След като съответствието с изискванията за подаване на жалба, посочени с въображение 178, е проверено, компетентният ОЗД, посредством секретариата на Европейския комитет по защита на данните, ще насочи жалбата към механизма за правна защита.

(178)

Подаването на жалба до механизма за правна защита подлежи на ниски изисквания за допустимост, тъй като не е необходимо лицата да доказват, че техните данни действително са били обект на дейности за радиоелектронно разузнаване от страна на САЩ (351). В същото време, за да се осигури отправна точка за извършване на преглед чрез механизма за правна защита, трябва да се предостави определена основна информация, например относно личните данни, за които има разумно основание да се смята, че са били предадени на САЩ, и средствата, чрез които се смята, че са били предадени; идентификация на държавните органи на САЩ, за които се смята, че са замесени в предполагаемото нарушение (ако са известни); основанието, на което се твърди, че е извършено нарушение на правото на САЩ (въпреки че и тук това не изисква да се докаже, че действително са били събирани лични данни от разузнавателните служби на САЩ); и естеството на исканото обезщетение.

(179)

Първоначалното разследване на жалби, подадени до този механизъм за правна защита, се извършва от CLPO към ODNI, чиято съществуваща законова роля и правомощия бяха разширени, за да обхванат тези конкретните действия, предприети съгласно Указ 14086 (352). В рамките на разузнавателната общност CLPO отговаря, inter alia, за гарантирането на това защитата на гражданските свободи и на неприкосновеността на личния живот да бъде включена по подходящ начин в политиките и процедурите на ODNI и разузнавателните агенции; за надзора на спазването от страна на ODNI на приложимите изисквания във връзка с гражданските свободи и неприкосновеността на личния живот; и за извършването на оценки на въздействието върху неприкосновеността на личния живот (353). CLPO към ODNI може да бъде уволнен от директора на националното разузнаване само по причина, т.е. в случай на неправомерно поведение, злоупотреба, нарушаване на сигурността, пренебрегване на задълженията или неспособност (354).

(180)

При извършването на прегледа CLPO към ODNI има достъп до информацията, необходима за неговата оценка, и може да разчита на задължително съдействие от страна на служителите по въпросите на неприкосновеността на личния живот и гражданските свободи в различните разузнавателни агенции (355). На разузнавателните агенции е забранено да възпрепятстват или да оказват неправомерно влияние върху прегледите на CLPO към ODNI. В това число влиза и директорът на националното разузнаване, който не трябва да се намесва в прегледа (356). При разглеждането на жалба CLPO към ODNI трябва „да прилага закона безпристрастно“, като взема предвид както интересите на националната сигурност, свързани с дейностите по радиоелектронно разузнаване, така и мерките за защита на неприкосновеността на личния живот (357).

(181)

В рамките на прегледа CLPO към ODNI определя дали е извършено нарушение на приложимото право на САЩ и, ако това е така, взема решение за подходящи коригиращи мерки (358). Последното се отнася до мерки, с които напълно се отстранява установеното нарушение, като прекратяване на незаконното придобиване на данни, заличаване на незаконно събрани данни, заличаване на резултатите от неподходящо проведени търсения за иначе законно събрани данни, ограничаване на достъпа до законно събрани данни до подходящо обучен персонал или изтегляне на разузнавателни доклади, съдържащи данни, придобити без законно разрешение или които са били незаконно разпространени (359). Решенията на CLPO към ODNI по индивидуални жалби (включително за отстраняване на нередности) са задължителни за съответните разузнавателни агенции (360).

(182)

CLPO към ODNI трябва да съхранява документацията от прегледа и да изготви решение, съдържащо класифицирана информация, в което да обясни основанието за фактическите си констатации, решението по отношение на това дали е извършено попадащо в приложното поле нарушение и определянето на подходящата корективна мярка (361). Ако при прегледа на CLPO към ODNI се разкрие нарушение на някое от правомощията, подлежащи на надзор от страна на FISC, CLPO трябва също така да предостави съдържащ класифицирана информация доклад на заместник-министъра на правосъдието по въпросите на националната сигурност, който от своя страна е длъжен да докладва за несъответствието на FISC, който може да предприеме по-нататъшни действия по правоприлагане (в съответствие с процедурата, описана в съображения 173—174) (362).

(183)

След приключване на прегледа CLPO към ODNI информира жалбоподателя чрез националния орган, че „при прегледа или не са установени никакви попадащи в приложното поле нарушения, или CLPO към ODNI е издал решение, налагащо подходящи корективни мерки“ (363). Това позволява да се защити поверителността на дейностите, извършвани с цел защита на националната сигурност, като същевременно на лицата се предоставя решение, потвърждаващо, че жалбата им е била надлежно разследвана и разгледана. Освен това, това решение може да бъде оспорено от лицето. За тази цел то ще бъде информирано за възможността да обжалва пред DPRC за преразглеждане на решенията на CLPO (вж. съображение 184 и следващите) и че в случай на сезиране на съда ще бъде избран специален адвокат, който да защитава интересите на жалбоподателя (364).

(184)

Всеки жалбоподател, както и всяка структура на разузнавателната общност, може да поиска преразглеждане на решението на CLPO към ODNI пред Апелативния съд в областта на защитата на личните данни (DPRC). Такива молби за преразглеждане трябва да бъдат подадени в срок от 60 дни след получаване на уведомлението от CLPO към ODNI, че преразглеждането е приключило, и да включват всякаква информация, която лицето желае да предостави на DPRC (например доводи по правни въпроси или прилагането на правото към фактите по делото) (365). Субектите на данни от Съюза могат отново да подадат заявлението си до компетентния ОЗД (вж. съображение 177).

(185)

DPRC е независим трибунал, създаден от министъра на правосъдието въз основа на Изпълнителен декрет 14086 (366). Той се състои от най-малко шестима съдии, които се назначават от министъра на правосъдието след консултации с PCLOB, министъра на търговията и директора на националното разузнаване за срок от четири години с възможност за подновяване на мандата (367). Назначаването на съдиите от министъра на правосъдието се основава на критериите, използвани от изпълнителната власт при оценката на кандидатите за федералната съдебна власт, като се отдава значение на всеки предишен правораздавателен опит (368). Освен това съдиите трябва да са практикуващи юристи (т.е. активни членове на адвокатската колегия с добра репутация и надлежно лицензирани да практикуват право) и да имат подходящ опит в областта на правото на неприкосновеност на личния живот и националната сигурност. Министърът на правосъдието трябва да се стреми да гарантира, че поне половината от съдиите във всеки един момент имат предишен правораздавателен опит, а всички съдии трябва да притежават разрешение за достъп до класифицирана информация, свързана с националната сигурност (369).

(186)

За членове на DPRC могат да бъдат назначавани само лица, които отговарят на изискванията, посочени в съображение 185, и които не са служители на изпълнителната власт към момента на назначаването им или през предходните две години. Също така по време на мандата си в DPRC съдиите не могат да имат никакви официални задължения или да заемат официална длъжност в правителството на САЩ (освен като съдии в DPRC) (370).

(187)

Независимостта на процеса на произнасяне се постига чрез редица гаранции. По-специално, на изпълнителната власт (министъра на правосъдието и разузнавателните служби) е забранено да се намесва или да оказва неправомерно влияние върху прегледа, извършван от DPRC (371). Самият DPRC е длъжен да се произнася безпристрастно по делата (372) и да работи съгласно собствения си процедурен правилник (приет с мнозинство). Освен това съдиите от DPRC могат да бъдат уволнени само от министъра на правосъдието и само по определена причина (т.е. неправомерно поведение, злоупотреба, нарушаване на сигурността, пренебрегване на служебните задължения или неспособност), след като надлежно се вземат предвид стандартите, приложими за федералните съдии, установени в Правилата за поведение на съдиите и производства за установяване на неправоспособност (373).

(188)

Заявленията до DPRC се разглеждат от състави от трима съдии, включително председателстващ съдия, които трябва да действат в съответствие с Кодекса за поведение на съдиите на САЩ (374). Всеки съдебен състав се подпомага от специален адвокат (375), който има достъп до цялата информация, свързана със случая, включително класифицирана информация (376). Ролята на специалния адвокат е да гарантира, че интересите на жалбоподателя са представени и че съставът на DPRC е добре информиран за всички правни и фактически въпроси от значение (377). За да предостави допълнителна информация за позицията си по молба за преразглеждане, подадена до DPRC от физическо лице, специалният адвокат може да потърси информация от жалбоподателя чрез писмени въпроси (378).

(189)

DPRC разглежда решенията, взети от CLPO към ODNI (както по отношение на това дали е извършено нарушение на приложимото право на САЩ, така и по отношение на подходящите корективни мерки), като се основава най-малко на протокола от разследването на CLPO към ODNI, както и на всякаква информация и документи, предоставени от жалбоподателя, специалния адвокат или разузнавателна агенция (379). Съставът на DPRC има достъп до цялата информация, необходима за извършване на прегледа, която може да получи чрез CLPO към ODNI (съставът може например да поиска от CLPO да допълни записите с допълнителна информация или факти, ако това е необходимо за извършване на прегледа) (380).

(190)

В заключение на прегледа DPRC може 1) да реши, че няма доказателства, които да сочат, че са извършени дейности по радиоелектронно разузнаване, включващи лични данни на жалбоподателя, 2) да реши, че решенията на CLPO към ODNI са правилни от правна гледна точка и са подкрепени със съществени доказателства, или, 3) ако DPRC не е съгласен с решенията на CLPO към ODNI (за това дали е извършено нарушение на приложимото право на САЩ или за подходящите корективни мерки), да издаде свои собствени решения (381).

(191)

Във всички случаи DPRC приема писмено решение с мнозинство. В случай че при прегледа се установи нарушение на приложимите правила, в решението се посочват всички подходящи корективни мерки, които включват заличаване на незаконно събрани данни, заличаване на резултатите от неподходящо проведени търсения, ограничаване на достъпа до законно събрани данни до подходящо обучен персонал или изтегляне на разузнавателни доклади, съдържащи данни, придобити без законно разрешение или които са били незаконно разпространени (382). Решението на DPRC е задължително и окончателно по отношение на жалбата, с която е сезиран трибуналът (383). Освен това, ако при прегледа се установи нарушение на някое от правомощията, подлежащи на надзор от страна на FISC, DPRC трябва също така да предостави съдържащ класифицирана информация доклад на заместник-министъра на правосъдието по въпросите на националната сигурност, който от своя страна е длъжен да докладва за несъответствието на FISC, който може да предприеме по-нататъшни действия по правоприлагане (в съответствие с процедурата, описана в съображения 173—174) (384).

(192)

Всяко решение на състава на DPRC се предава на CLPO към ODNI (385). В случаите, в които прегледът на DPRC е въз основа на молба от жалбоподателя, жалбоподателят се уведомява чрез националния орган, че DPRC е приключил прегледа си и че „при прегледа или не са установени никакви попадащи в приложното поле нарушения, или DPRC е издал решение, налагащо подходящи корективни мерки“ (386). Службата за неприкосновеността на личния живот и гражданските свободи към Министерството на правосъдието поддържа регистър на цялата информация, разглеждана от DPRC, и на всички издадени решения, който се предоставя за справка като база данни с необвързващи прецеденти на бъдещи състави на DPRC (387).

(193)

От Министерството на търговията се изисква също така да поддържа регистър на всички жалбоподатели, които са подали жалба (388). За да се повиши равнището на прозрачност, поне веднъж на всеки пет години Министерството на търговията трябва да се свързва със съответните разузнавателни служби, за да провери дали информацията, отнасяща се до прегледа, извършен от DPRC, е била разсекретена (389). Ако случаят е такъв, физическото лице ще бъде уведомено, че такава информация може да бъде налична съгласно приложимото право (т.е. че то може да поиска достъп до нея съгласно Закона за свобода на информацията, вж. съображение 199).

(194)

И накрая, правилното функциониране на този механизъм за правна защита ще подлежи на редовна и независима оценка. По-конкретно, съгласно Указ 14086 функционирането на механизма за правна защита подлежи на ежегоден преглед от PCLOB — независим орган (вж. съображение 110) (390). Като част от този преглед PCLOB ще оценява, наред с другото, дали CLPO и DPRC към ODNI са обработвали жалбите своевременно; дали са получавали пълен достъп до необходимата информация; дали съществените предпазни мерки съгласно Указ 14086 са били надлежно вземани предвид в процеса на преглед; и дали разузнавателната общност се е съобразила изцяло с констатациите, направени от CLPO и DPRC към ODNI. PCLOB ще изготвя доклад за резултатите от прегледа до президента, министъра на правосъдието, директора на националното разузнаване, ръководителите на разузнавателните агенции, CLPO към ODNI и комисиите по разузнаване на Конгреса, който ще бъде публикуван и в некласифициран вариант — и на свой ред ще бъде използван при периодичния преглед на функционирането на настоящото решение, който ще се извършва от Комисията. Министърът на правосъдието, директорът на националното разузнаване, CLPO към ODNI и ръководителите на разузнавателните агенции са длъжни да изпълняват или да се съобразяват по друг начин с всички препоръки, включени в тези доклади. Освен това PCLOB ежегодно ще извършва публично сертифициране на механизма за правна защита по отношение на това дали жалбите се разглеждат в съответствие с изискванията на Указ 14086.

(195)

В допълнение към специалния механизъм за правна защита, установен с Указ 14086, за всички лица (независимо от тяхната националност или местопребиваването им) съществуват и възможности за обжалване пред обикновените съдилища в САЩ (391).

(196)

По-конкретно FISA и свързаната правна уредба предвижда възможността физическите лица да предявят срещу Съединените американски щати граждански иск за обезщетяване на финансови вреди, когато информацията за тях е била неправомерно и умишлено използвана или разкрита (392); да заведат дело срещу длъжностни лица от правителството на САЩ в лично качество за финансови вреди (393); и да оспорват законността на наблюдението (и да искат заличаване на събраната информация), в случай че правителството на САЩ възнамерява да използва или разкрива информация, получена или производна от електронно наблюдение срещу лицето, в съдебни или административни производства в САЩ (394). В по-общ план, ако правителството възнамерява да използва информация, получена по време на разузнавателни операции, срещу заподозрян по наказателно дело, конституционните и законовите изисквания (395) налагат задължения за разкриване на определена информация, така че обвиняемият да може да оспори законността на събирането и използването на доказателствата от страна на правителството.

(197)

Нещо повече, има няколко специфични възможности за търсене на правна защита срещу длъжностни лица при неправомерен достъп или използване на лични данни от страна на правителството, включително за възнамеряваните цели на националната сигурност (т.е. Законът за компютърните измами и злоупотреби (Computer Fraud Abuse Act) (396); Законът за неприкосновеност на електронните съобщения (Electronic Communications Privacy Act) (397); и Законът за правото на неприкосновеност на личните финанси (Right to Financial Privacy Act) (398). Всички тези основания за подаване на иск се отнасят за конкретни данни, цели и/или видове достъп (например достъп от разстояние до един компютър чрез интернет) и могат да се ползват при определени условия (например преднамерено/умишлено поведение, поведение, излизащо извън служебните задължения, наличие на претърпени вреди).

(198)

В Закона за административното производство (APA) (399) се дава възможност за по-обща правна защита — „всяко лице, което е претърпяло правно нарушение поради действие на агенцията или е неблагоприятно засегнато или ощетено от действия на агенцията“, има право да поиска съдебен контрол (400). Това включва възможността да се поиска от Съда да „обяви за незаконно и да отмени действие, констатации и заключения на агенцията, за които е установено, че представляват […] произвол, каприз, злоупотреба с правото на преценка, или по друг начин не са в съответствие със закона“ (401). Например през 2015 г. федерален апелативен съд се произнесе по иск по APA, според който събирането на масиви от метаданни за телефонни разговори от страна на правителството на САЩ не е разрешено от член 501 от FISA (402).

(199)

И накрая, в допълнение към начините за правна защита, посочени в съображения 176—198, всяко лице има право да иска достъп до съществуващи документи на федералните агенции по силата на Закона за свобода на информацията, включително когато те съдържат лични данни на лицето (403). Получаването на такъв достъп може също така да улесни завеждането на дела пред обикновените съдилища, включително в подкрепа на доказването на основания за завеждане на дело. Агенциите може да отказват информация, която попада в обхвата на някои изброени изключения, включително достъп до класифицирана информация във връзка с националната сигурност и информация относно разследвания на правоприлагащите органи (404), но жалбоподателите, които не са доволни от отговора, имат възможност да го оспорят, като поискат административен и впоследствие съдебен контрол (пред федералните съдилища) (405).

(200)

От гореизложеното следва, че когато правоприлагащите органи и органите за национална сигурност на САЩ имат достъп до лични данни, попадащи в обхвата на настоящото решение, този достъп се урежда от правна уредба, в която са определени условията, при които може да се осъществи достъпът, и се гарантира, че достъпът до данните и по-нататъшното им използване са ограничени до това, което е необходимо и пропорционално за преследваната цел, свързана обществен интерес. На тези гаранции могат да се позовават лица, които се ползват с ефективни права на правна защита.

(201)

Комисията счита, че Съединените щати — чрез принципите, издадени от Министерството на търговията на САЩ, осигурява за личните данни, предавани от Европейския съюз на сертифицирани организации в САЩ по РЗЛД в отношенията между ЕС и САЩ ниво на защита, което по същество е равностойно на нивото, гарантирано от Регламент (ЕС) 2016/679.

(202)

Комисията счита освен това, че ефективното прилагане на принципите е гарантирано от задълженията за прозрачност и от управлението на РЗЛД от страна на Министерството на търговията. В допълнение, като цяло механизмите за упражняване на надзор и възможностите за правна защита, предвидени от правото на САЩ, позволяват нарушенията на правилата за защита на личните данни да бъдат установени и реално наказани и предоставят на субекта на данните правни средства за защита за получаване на достъп до отнасящите се за него лични данни и в крайна сметка за коригиране или заличаване на такива данни.

(203)

Накрая, въз основа на наличната информация за правния ред на САЩ, в това число информацията, посочена в приложения VI и VII, Комисията смята, че всяка намеса за цели от обществен интерес, по-специално за целите на прилагането на наказателно право и националната сигурност, от страна на публичните органи на САЩ в основните права на физическите лица, чиито лични данни се предават от Съюза на Съединените американски щати по силата на РЗЛД в отношенията между ЕС и САЩ, ще бъде ограничено до строго необходимото за постигане на въпросната законосъобразна цел, както и че съществува реална правна защита срещу такава намеса. Поради това, с оглед на горните констатации, следва да се вземе решение, че Съединените щати осигуряват адекватно ниво на защита по смисъла на член 45 от Регламент (ЕС) 2016/679, тълкуван в светлината на Хартата на основните права на Европейския съюз, за личните данни, предавани от Европейския съюз на организации, сертифицирани съгласно РЗЛД в отношенията между ЕС и САЩ.

(204)

Като се има предвид, че ограниченията, предпазните мерки и механизмът за правна защита, установени с Указ 14086, са съществени елементи от правната уредба на САЩ, на която се основава оценката на Комисията, приемането на настоящото решение се основава главно на приемането на актуализирани политики и процедури за прилагане на Указ 14086 от всички разузнавателни агенции на САЩ и от определянето на Съюза като квалифицирана организация за целите на механизма за правна защита, които се състояха съответно на 3 юли 2023 г. (вж. съображение 126) и 30 юни 2023 г. (вж. съображение 176).

(205)

Държавите членки и техните органи са задължени да предприемат необходимите мерки за спазване на актовете на институциите на Съюза, тъй като тези актове по презумпция са законосъобразни и съответно произвеждат правно действие, докато не бъдат оттеглени, отменени вследствие на жалба за отмяна или обявени за невалидни вследствие на производство по постановяване на преюдициално запитване или възражение за незаконосъобразност.

(206)

Следователно решение на Комисията относно адекватното ниво на защита, прието съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679, е обвързващо за всички органи на държавите членки, адресати на решението, включително за независимите им надзорни органи. По-специално предаването на данни от администратор или обработващ лични данни в Съюза на сертифицирани организации в Съединените щати може да се извършва, без да е необходимо да се получава допълнително разрешение.

(207)

Следва да се припомни, че съгласно член 58, параграф 5 от Регламент (ЕС) 2016/679 и както е обяснено от Съда на ЕС в решението по делото Schrems (406), когато национален орган за защита на данните поставя под въпрос, включително въз основа на получена жалба, съгласуваността на дадено решение на Комисията относно адекватното ниво на защита с основните права на неприкосновеност на личния живот и на защита на данните на физическото лице, националното законодателство трябва да предвижда правни способи, позволяващи на съответния орган да представи възраженията си пред национална юрисдикция, която може да бъде длъжна да отправи преюдициално запитване до Съда на ЕС (407).

(208)

Според практиката на Съда на ЕС (408) и както е предвидено в член 45, параграф 4 от Регламент (ЕС) 2016/679, след като приеме решение относно адекватното ниво на защита, Комисията следва непрекъснато да наблюдава релевантните промени в третата държава, за да прецени дали третата държава продължава да гарантира ниво на защита, което по същество е равностойно на нивото в Европейския съюз. Такава проверка е наложителна във всички случаи, когато Комисията получи информация, която поражда основателни съмнения в това отношение.

(209)

Поради това Комисията следва непрекъснато да наблюдава положението в Съединените щати по отношение на правната уредба и действителните практики за обработване на лични данни, както са оценени в настоящото решение. За да се улесни този процес, органите на САЩ следва своевременно да информират Комисията за всяка материалноправна промяна в правния ред на САЩ, която оказва въздействие върху правната уредба, която е предмет на настоящото решение, както и за всяко развитие на практиките, свързани с обработването на личните данни, оценени в настоящото решение, както по отношение на обработването на лични данни от сертифицирани организации в Съединените американски щати, така и по отношение на ограниченията и гаранциите, приложими относно достъпа на публичните органи до лични данни.

(210)

На следващо място, за да се даде възможност на Комисията да изпълнява ефективно функцията си по извършване на наблюдение, държавите членки следва да я информират за всички релевантни действия, предприети от националните органи по защита на данните, по-специално във връзка със запитвания или жалби на субекти на данни от Съюза във връзка с предаване на лични данни от Съюза към сертифицирани организации в Съединените американски щати. Комисията следва да бъде информирана и за всякакви признаци, че действията на публичните органи на САЩ, отговарящи за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за националната сигурност, включително надзорните органи, не гарантират изискваното ниво на защита.

(211)

В изпълнение на член 45, параграф 3 от Регламент (ЕС) 2016/679 (409), след приемането на настоящото решение Комисията следва периодично да преразглежда дали констатациите, свързани с адекватността на нивото на защита, осигурено от Съединените американски щати по силата на РЗЛД в отношенията между ЕС и САЩ, остават фактически и правно обосновани. Тъй като по-специално Указ 14086 и Наредбата на МП изискват създаването на нови механизми и прилагането на нови предпазни мерки, настоящото решение следва да бъде подложено на първи преглед в рамките на една година след влизането му в сила, за да се провери дали всички съответни елементи са напълно приложени и функционират ефективно на практика. След този първи преглед и в зависимост от резултата от него Комисията ще реши, в тесни консултации с комитета, създаден съгласно член 93, параграф 1 от Регламент (ЕС) 2016/679 и Европейски комитет по защита на данните, каква да бъде периодичността на следващите прегледи (410).

(212)

За да извърши прегледите, Комисията следва да се срещне с представители на Министерството на търговията, Федералната търговска комисия и Министерството на транспорта, придружени при необходимост от представители на други министерства и агенции, участващи в прилагането на РЗЛД в отношенията между ЕС и САЩ, както и, по въпроси, свързани с правителствения достъп до данни, с представители на Министерството на правосъдието, Службата на директора на Националното разузнаване (включително със служителя по въпросите на гражданските свободи), други структури от разузнавателната общност, DPRC, както и специалните адвокати. В тази среща следва да могат да участват представители на членовете на Европейския комитет по защита на данните.

(213)

Прегледът следва да обхваща всички аспекти от функционирането на настоящото решение по отношение на обработването на лични данни в Съединените щати, и по-специално прилагането и привеждането в действие на принципите, като се обръща специално внимание на защитата в случай на последващо предаване; развития в съответната съдебна практика; на ефективността на упражняването на индивидуалните права; на наблюдението и прилагането на спазването на принципите; както и на ограниченията и гаранциите по отношение на достъпа на правителството, и особено на изпълнението и прилагането на въведените с Указ 14086 гаранции, включително чрез политики и процедури, разработени от разузнавателни агенции; взаимодействието между Указ 14086 и член 702 от FISA и Указ 12333; и ефективността на механизмите за надзор и средствата за правна защита (включително функционирането на новия механизъм за правна защита, установен с Указ 14086). В контекста на тези прегледи ще се обърне внимание и на сътрудничеството между органите за защита на данните и компетентните органи на Съединените щати, включително разработването на насоки и други инструменти за тълкуване на прилагането на принципите, както и на други аспекти на функционирането на рамката.

(214)

Въз основа на съвместния преглед Комисията следва да изготви публичен доклад, който се представя на Европейския парламент и на Съвета.

(215)

Когато наличната информация, по-специално информацията, получена в резултат на наблюдението на настоящото решение или предоставена от органите на САЩ или от органите на държавите членки, показва, че нивото на защита, предоставено за данните, предавани съгласно настоящото решение, може вече да не е адекватно, Комисията следва да информира своевременно компетентните органите на САЩ за това и да поиска предприемането на подходящи мерки в определен разумен срок.

(216)

Ако при изтичането на посочения срок компетентните органи на САЩ не предприемат тези мерки или не докажат по друг задоволителен начин, че настоящото решение продължава да се основава на адекватно ниво на защита, Комисията ще започне процедурата, посочена в член 93, параграф 2 от Регламент (ЕС) 2016/679, с оглед частично или пълно спиране или отмяна на настоящото решение.

(217)

Като алтернативна възможност Комисията ще започне тази процедура с оглед изменение на решението, по-специално като обвърже предаването на данни с допълнителни условия или като ограничи обхвата на констатацията за адекватност само до предаването на данни, за което продължава да се осигурява адекватно ниво на защита.

(218)

По-специално Комисията следва да инициира процедурата за суспендиране или отмяна в случай на:

(219)

Комисията следва също така да обмисли възможността за започване на процедура за изменение, спиране на действието или отмяна на настоящото решение, ако компетентните органи на САЩ не предоставят информацията или разясненията, необходими за оценката на нивото на защита, предоставено на личните данни, предавани от Съюза на Съединените щати, или по отношение на спазването на настоящото решение. Във връзка с това Комисията следва да взема предвид степента, в която съответната информация може да бъде набавена от други източници.

(220)

При надлежно обосновани наложителни причини за спешност, например ако Указ 14086 или Наредбата на МП бъдат изменени по начин, който подкопава нивото на защита, описано в настоящото решение, или ако определянето на Съюза от министъра на правосъдието като квалифицирана организация за целите на механизма за правна защита е оттеглено, Комисията ще използва възможността да приеме, в съответствие с процедурата, посочена в член 93, параграф 3 от Регламент (ЕС) 2016/679, актове за изпълнение с незабавно приложение за спиране на прилагането, отмяна или изменение на настоящото решение.

(221)

Европейският комитет по защита на данните публикува становището си (411), като то бе взето предвид при изготвянето на настоящото решение.

(222)

Европейският парламент прие резолюция относно адекватността на защитата, осигурявана от Рамката за защита на личните данни в отношенията между ЕС и САЩ (412).

(223)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, създаден по силата на член 93, параграф 1 от Регламент (ЕС) 2016/679,