РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2016/1250 НА КОМИСИЯТА

съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (EU-U.S. Privacy Shield)

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (1), и по-специално член 25, параграф 6 от нея,

след консултация с Европейския надзорен орган по защита на данните (2),

2. ЩИТ ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ

2.1. Принципи на неприкосновеност на личния живот

2.2. Прозрачност, управление и надзор на Щита за личните данни в отношенията между ЕС и САЩ

2.3. Механизми за защита, разглеждане на жалби и прилагане

3. ДОСТЪП И ИЗПОЛЗВАНЕ НА ЛИЧНИ ДАННИ, ПРЕДАВАНИ СЪГЛАСНО ЩИТА ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ, ОТ ПУБЛИЧНИТЕ ОРГАНИ НА САЩ

3.1. Достъп и използване от публични органи на САЩ за целите на националната сигурност

3.2. Достъп и използване от органи на публичната власт на САЩ за целите на правоприлагането и за цели от обществен интерес

4. АДЕКВАТНА СТЕПЕН НА ЗАЩИТА СЪГЛАСНО ЩИТА ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ

5. ДЕЙСТВИЯ НА ОРГАНИТЕ ПО ЗАЩИТА НА ДАННИТЕ И ИНФОРМАЦИЯ ДО КОМИСИЯТА

6. ПЕРИОДИЧНИ ПРЕГЛЕДИ НА КОНСТАТАЦИИТЕ ЗА АДЕКВАТНОСТ

1. По смисъла на член 25, параграф 2 от Директива 95/46/ЕО Съединените американски щати гарантират адекватна степен на защита за личните данни, които се предават от Съюза към организации в Съединените щати съгласно Щита за личните данни в отношенията между ЕС и САЩ.

2. Щитът за личните данни в отношенията между ЕС и САЩ се състои от Принципите, публикувани от Министерството на търговията на САЩ на 7 юли 2016 г., както те са установени в приложение II, и официалните писмени изявления и ангажиментите, съдържащи се в документите, поместени в приложения I и III—VII.

3. За целите на параграф 1 личните данни се предават съгласно Щита за личните данни в отношенията между ЕС и САЩ, когато предаването се извършва от Съюза към организации в Съединените американски щати, които са включени в „списъка към Щита за личните данни“, който се поддържа и се предоставя за публичен достъп от Министерството на търговията на САЩ, в съответствие с точки I и III от Принципите, установени в приложение II.

Настоящото решение не засяга прилагането на разпоредбите на Директива 95/46/ЕО, по-специално на член 4 от нея, с изключение на член 25, параграф 1, който се отнася за обработването на лични данни в рамките на територията на държавите членки.

Когато компетентните органи в държавите членки упражняват правомощията си по член 28, параграф 3 от Директива 95/46/ЕО, което води до спиране или окончателна забрана за потоците от данни към дадена организация в Съединените американски щати, включена в списъка към Щита за личните данни съобразно с точки I и III от Принципите, установени в приложение II, за да защитят физическите лица във връзка с обработването на техните лични данни, съответната държава членка уведомява незабавно Комисията.

1. Комисията извършва постоянен мониторинг на функционирането на Щита за личните данни в отношенията между ЕС и САЩ, с цел да преценява дали Съединените американски щати продължават да гарантират адекватна степен на защита на предаваните лични данни съгласно Щита за личните данни от Съюза към организации в Съединените американски щати.

2. Държавите членки и Комисията взаимно се уведомяват за случаите, когато изглежда, че правителствените органи в Съединените американски щати, които имат законоустановени правомощия да привеждат в изпълнение спазването на Принципите, установени в приложение II, не осигуряват ефективни механизми за откриване и надзор, които да позволяват идентифицирането на нарушения на Принципите и наказването им на практика.

3. Държавите членки и Комисията взаимно се уведомяват за евентуални признаци, че намесата от страна на публичните органи на САЩ, които отговарят за националната сигурност, правоприлагането или други обществени интереси, в правото на физическите лица на защита на личните им данни надхвърля строго необходимото, и/или че няма ефективна правна защита срещу подобна намеса.

4. В срок до една година от датата на нотифицирането на настоящото решение до държавите членки и ежегодно след това Комисията ще извършва оценка на констатацията, съдържаща се в член 1, параграф 1 въз основа на цялата налична информация, включително получената като част от годишния съвместен преглед, разгледан в приложения I, II и VI.

5. Комисията докладва всички съответни констатации на Комитета, създаден съгласно член 31 от Директива 95/46/ЕО.

6. Комисията ще представи проект на мерки в съответствие с процедурата по член 31, параграф 2 от Директива 95/46/ЕО с цел суспендиране, изменение или отмяна на настоящото решение или ограничаване на приложното му поле, когато наред с останалото са налице признаци:

Комисията внася проекти на такива мерки и когато липсата на съдействие от страна на органите, които трябва да осигурят функционирането на Щита за личните данни в отношенията между ЕС и САЩ в Съединените щати не позволява на Комисията да определи дали е засегната констатацията в член 1, параграф 1.

Държавите членки предприемат необходимите мерки, за да се съобразят с настоящото решение.

Адресати на настоящото решение са държавите членки.

(2) Вж. становище 4/2016 относно проект на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ, публикувано на 30 май 2016 г.

(3) Дело C-362/14, Maximillian Schrems с/у Data Protection Commissioner („делото Schrems“), EU:C:2015:650, точка 39.

(4) Дело C-553/07, Rijkeboer, EU:C:2009:293, точка 47; съединени дела C-293/12 и C-594/12, Digital Rights Ireland и други, EU:C:2014:238, точка 53; дело C-131/12, Google Spain и Google, EU:C:2014:317, точки 53, 66 и 74.

(5) Решение 2000/520/ЕО на Комисията от 26 юли 2000 г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“ и свързаните с това често задавани въпроси, публикувани от Министерството на търговията на САЩ (ОВ L 215, 28.8.2000 г., стр. 7).

(6) Съобщение на Комисията до Европейския парламент и Съвета „Възстановяване на доверието в обмена на данни между ЕС и САЩ“, COM(2013) 846 final от 27 ноември 2013 г.

(7) Съобщение на Комисията до Европейския парламент и Съвета относно функционирането на „сферата на неприкосновеност на личния живот“ („Safe Harbour“) от гледна точка на гражданите на ЕС и дружествата, установени в ЕС, COM(2013) 847 final от 27 ноември 2013 г.

(8) Вж. напр. Съвет на Европейския съюз, Окончателен доклад на контактната група на високо равнище ЕС—САЩ относно обмена на информация и защитата на неприкосновеността на личния живот и личните данни, документ № 9831/08 от 28 май 2008 г., достъпен на интернет адрес: http://www.europarl.europa.eu/document/activities/cont/201010/20101019ATT88359/20101019ATT88359EN.pdf.

(9) Доклад относно констатациите на съпредседателите от ЕС на Работна група ad hoc ЕС—САЩ по защита на данните от 27 ноември 2013 г., достъпен на интернет адрес: http://ec.europa.eu/justice/data-protection/files/report-findings-of-the-ad-hoc-eu-us-working-group-on-data-protection.pdf.

(14) Вж. приложение II, раздел III, точка 10, буква а). В съответствие с определението в раздел I.8.в. администраторът от ЕС ще определя целите и средствата за обработка на лични данни. Освен това в договора с представителя трябва да е ясно дали са позволени последващи предавания (вж. раздел III, точка 10, буква а), подточка ii) — 2.)

(15) Това се прилага също така, когато от Съюза се предават данни за човешки ресурси в контекста на трудовото правоотношение. Докато в Принципите се подчертава „основната отговорност“ на работодателя в ЕС (вж. приложение II, раздел III, точка 9, буква г), подточка i)), те същевременно ясно показват, че поведението му ще бъде в обхвата на правилата, приложими в Съюза и/или съответната държава членка, а не Принципите. Вж. приложение II, раздел III, точка 9, буква а), подточка i), буква б), подточка ii), буква в), подточка i) и буква г), подточка i).

(16) Това се прилага и за обработването, осъществявано посредством оборудване, намиращо се в Съюза, но използвано от организация, установена извън Съюза (вж. член 4, параграф 1, буква в) от Директива 95/46/ЕО). От 25 май 2018 г. Общият регламент относно защитата на данните (ОРЗД) ще се прилага за обработването на лични данни i) в контекста на дейностите на място на установяване на администратора или обработващия данни в Съюза (дори когато обработването се извършва в Съединените щати), или ii) на субекти на данни, които се намират в Съюза, от администратор или обработващ данни, който не е установен в Съюза, когато дейностите по обработване на данни са свързани със а) предлагането на стоки или услуги, независимо дали от субекта на данни се изисква плащане, на такива субекти на данни в Съюза; или б) наблюдението на тяхното поведение, доколкото това поведение се проявява в рамките на Европейския съюз. Вж. член 3, параграфи 1 и 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).

(17) Настоящото решение има значение за ЕИП. В Споразумението за Европейското икономическо пространство (Споразумение за ЕИП) се предвижда разширяването на вътрешния пазар на Европейския съюз за трите държави от ЕИП — Исландия, Лихтенщайн и Норвегия. Законодателството за защита на данните на Съюза, включително Директива 95/46/ЕО, попада в обхвата на Споразумението за ЕИП и е включено в приложение XI към него. Съвместният комитет на ЕИП следва да вземе решение за включването на настоящото решение в Споразумението за ЕИП. След като настоящото решение започне да се прилага по отношение на Исландия, Лихтенщайн и Норвегия, Щитът за личните данни в отношенията между ЕС и САЩ ще обхване и тези три държави и позоваванията в пакета за Щита за личните данни на ЕС и на държавите—членки на ЕС, се четат като включващи Исландия, Лихтенщайн и Норвегия.

(19) За данните относно човешки ресурси, събирани в контекста на трудовите правоотношения, се прилагат специални правила за осигуряване на допълнителна защита, както е посочено в допълнителния принцип „Данни за човешки ресурси“ от Принципите на неприкосновеност на личния живот (вж. приложение II, раздел III.9). Например работодателите трябва да вземат предвид предпочитанията на заетите лица, що се отнася до неприкосновеността на личния им живот, като ограничават достъпа до личните данни, анонимизират някои от тях, или ги кодират или псевдонимизират. Най-важното е, че от организациите се изисква да си сътрудничат с органите по защита на данните на Съюза и да спазват техните препоръки по отношение на този вид данни.

(20) Това се отнася до всяко предаване на данни съгласно Щита на личните данни, включително когато те се отнасят до данни, събрани посредством трудово правоотношение. Въпреки че самосертифицираните организации в САЩ може по принцип може да използват данните за човешки ресурси за цели различни от целите, свързани с трудовоправните отношения (напр. за определени маркетингови съобщения), те трябва да спазват забраната за несъвместима обработка, като освен това могат да правят това само в съответствие с принципите „Уведомяване“ и „Избор“. Забраната на американската организация да предприема наказателни действия срещу даден служител при упражняването на такъв избор, включително всяко ограничаване на възможностите за заетост, ще гарантира, че въпреки връзката на подчиненост и свързаната с нея зависимост служителят няма да бъде подлаган на натиск и по този начин може да упражнява истински свободен избор.

(22) Вж. също така допълнителния принцип „Достъп“ (приложение II, раздел III, точка 8).

(23) Вж. напр. Закон за равните възможности за кредитиране (Equal Credit Opportunity Act (ECOA), 15 U.S.C. 1691 и следв.), Закон за оповестяване на информация за кредити (Fair Credit Reporting Act (FRCA), 15 USC § 1681 и следв.) или Закон за справедливото жилищно настаняване (Fair Housing Act (FHA), 42 U.S.C. 3601 и следв.).

(24) В контекста на прехвърлянето на лични данни, събирани в ЕС, договорното правоотношение с физическото лице (клиент), в повечето случаи ще бъде със — и следователно всяко решение въз основа на автоматизирано обработване обикновено ще се взема от — администратора от ЕС, който следва да се подчинява на правилата на ЕС за защита на данните. Това включва сценариите, при които обработването се извършва от организация — участник в Щита за личните данни, изпълняваща функциите на представител от името на администратора от ЕС.

(25) Вж. също така допълнителния принцип „Разрешаване на спорове и прилагане“ (приложение II, раздел III, точка11).

(26) Вж. също така допълнителния принцип „Самосертифициране“ (приложение II, раздел III, точка 6).

(27) Вж. също така допълнителния принцип „Проверка“ (приложение II, раздел III, точка 7).

(28) Вж. също така допълнителния принцип „Задължителни договори за последващите предавания“ (приложение II, раздел III, точка 10).

(29) Вж. допълнителния принцип „Задължителни договори за последващите предавания“ (приложение II, раздел III, точка 10, буква б). Въпреки че този принцип дава възможност предаванията да се основават също на извъндоговорни инструменти (напр. вътрешно-групови програми за спазване и контро), в текста се пояснява, че тези инструменти винаги трябва да „гарантират непрекъснатост на защитата на личната информация съгласно Принципите на Щита за личните данни“. Освен това предвид това, че самосертифицираните организации в САЩ ще продължат да бъдат отговорни за спазването на Принципите, ще има силен стимул да се използват инструменти, които наистина са ефективни на практика.

(31) Физическите лица няма да имат право на клаузата за неучастие в случаите, когато личните данни се предават на трета страна, изпълняваща функциите на представител за осъществяване на задачи от името на и съгласно указанията на организацията в САЩ. За това обаче е необходим договор с представителя и организацията в САЩ ще поеме отговорността да гарантира защитата, предоставена по силата на Принципите, като упражни правомощията си за даване на указания.

(32) Положението е различно в зависимост от това дали третата страна е администратор или обработващ данни (представител). При първия сценарий в договора с третата страна трябва да е предвидено тя да прекрати обработката и да предприеме други обосновани и съответни мерки за справяне с положението. При втория сценарий посочените мерки се вземат от организацията — участник в Щита за личните данни, като администратор на обработването, под чиито указания действа представителят.

(33) В такъв случай организацията в САЩ трябва при уведомяване да предприеме обосновани и съответни мерки, i) за да гарантира, че представителят ефективно обработва предадената лична информация по начин, който съответства на задълженията на организацията съгласно Принципите; и ii) да преустановят и отстранят последиците от неразрешено обработване.

(34) Информация относно управлението на личния живот щит списък може да бъде намерена в приложение I и приложение II (раздел I, точка 3, раздел I, точка 4, раздел III, точка 6, буква г) и раздел III, точка 11, буква ж).

(35) Вж. приложение II, раздел I, точка 3, раздел III, точка 6, буква е) и раздел III, точка 11, буква ж), подточка i).

(36) Вж. приложение I, раздел „Търси неверни твърдения за участие и намира решения“.

(37) Вж. приложение II, раздел III, раздел 6, буква з) и раздел III, точка 11, буква е).

(39) Това е органа, разглеждащ жалбите, определен от панел на ОЗД, предвиден в допълнителния принцип „Ролята на органите по защита на данните“ (приложение II, раздел III, точка 5).

(40) В годишния доклад трябва да бъдат включени: 1) общият брой на получените през отчетната година жалби във връзка с Щита за личните данни в отношенията между ЕС и САЩ; 2) видът на получените жалби; 3) качествени показатели за решаването на спора, напр. времето за обработването на жалбите; и 4) изходният резултат от получените жалби, а именно броят и видовете средства за правна защита или санкции, които са били наложени.

(42) Вж. приложение II, раздел III, точка 11, буква ж), и по-специално подточки ii) и iii).

(43) Вж. приложение I, раздел „Търси неверни твърдения за участие и намира решения“.

(44) Правилникът за дейността на неформалната група на ОЗД следва да бъде определен от ОЗД въз основа на правомощието им да организират работата си и да си сътрудничат помежду си.

(45) Вж. приложение I, раздели относно „Засилване на сътрудничеството с ОЗД“и „улесняване разрешаването на жалби относно неспазване“ и приложение II, раздел II, точка 7, буква д).

(48) Вж. приложение I, раздел „Съдейства за разрешаването на жалби за неспазване“.

(49) Организация — участник в Щита за личните данни, трябва да обяви публично задължението си да спазва Принципите, да оповестява публично своите политики за неприкосновеността на личния живот и да ги прилага изцяло. Неспазването подлежи на принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия, който забранява нелоялните и измамни практики в търговията или засягащи търговията.

(50) Според информация от ФТК, тя няма правомощия да извършва проверки на място в областта на защитата на неприкосновеността на личния живот. Той обаче има правомощието да задължи организациите да представят документи и да предоставят свидетелски показания (вж. раздел 20 от FTC), и може да използва съдебната система за принудително изпълнение на такива заповеди в случай на неспазване.

(51) Със заповеди на ФТК или съдебни разпореждания може да се изиска от дружествата да прилагат програми за неприкосновеността на личния живот и редовно да предоставят на ФТК доклади за спазването на тези програми или оценки от независима трета страна.

(52) Вж. приложение II, раздел II, точка 1, подточка xi) и раздел III, точка 7, буква б).

(53) Броят на арбитрите в специалната група ще бъде договорен между страните.

(54) Арбитражният състав може да счете обаче, че при обстоятелствата на конкретното арбитражно дело покриването на разноските би довело до необосновани или непропорционални разходи.

(55) Физическите лица не могат да предявяват иск за вреди в арбитражно дело, но от друга страна инициирането на арбитражно дело не изключва възможността да се поиска обезщетение за вреди в обикновените съдилища на САЩ.

(56) Директорът на Националното разузнаване (DNI) изпълнява задълженията на ръководител на разузнавателните структури и функцията на главен съветник на президента и на Националния съвет за сигурност. Вж. Закон за реформа на разузнаването и предотвратяване на тероризма (Intelligence Reform and Terrorism Prevention Act) от 2004 г., публ. L. 108-458 от 17.12.2004 г. Наред с останалото ODNI определя изискванията към определянето на задачите, събирането, анализа, получаването и разпространението на национална разузнавателна информация от страна на разузнавателните структури и ги управлява и насочва, включително чрез разработване на насоки за начините на достъп, използване и споделяне на информация или разузнавателни данни. Вж. раздел 1.3, букви а) и b) от Изпълнителен декрет 12333.

(58) Конституция на САЩ, член II. Вж. също въведението към ПИД-28.

(59) Изпълнителен декрет 12333: Разузнавателна дейност на Съединените американски щати, Федерален регистър том 40, № 235 (8 декември 1981 г.). Доколкото този изпълнителен декрет е обществено достъпен, той определя целите, насоките, задълженията и отговорностите на разузнавателните усилия на САЩ (включително ролята на различни разузнавателни структури) и установява общите параметри за провеждането на разузнавателната дейност (по-специално необходимостта да се издават конкретни процедурни правила). Съгласно раздел 3.2 от Изпълнителен декрет 12333 Президентът, с подкрепата на Националния съвет за сигурност, и директорът на Националното разузнаване издават укази, процедури и насоки в изпълнение на декрета.

(60) Съгласно Изпълнителен декрет 12333 директорът на Агенцията за национална сигурност (АНС) управлява функционално радиоелектронното разузнаване и ръководи единна организация за дейностите на радиоелектронното разузнаване.

(61) За определението на понятието „разузнавателни структури“ вж. раздел 3.5, буква h) от Изпълнителен декрет 12333, заедно с бележка под линия 1 от ПИД-28.

(62) Вж. меморандума на Службата на правния съветник към Министерството на правосъдието до президента Клинтън от 29 януари 2000 г. Съгласно това правно становище президентските директиви имат „същото материално правно действие като изпълнителните декрети“.

(63) Писмени изявления на ODNI (приложение VI), стр. 3.

(64) Вж. раздел 4, букви б) и в) от ПИД-28. Според публично обявената информация с прегледа за 2015 г. са потвърдени текущите шест цели. Вж. Реформа на радиоелектронното разузнаване, доклад за напредъка за 2016 г. на ODNI.

(65) Писмени изявления на ODNI (приложение VI), стр. 6 (във връзка с Директивата за разузнавателните структури 204 (Intelligence Community Directive 204). Виж също раздел 3 от ПИД-28.

(66) Писмени изявления на ODNI (приложение VI), стр. 6. Вж. напр. Защита на гражданските свободи и неприкосновеността на личния живот за целеви дейности на радиоелектронното разузнаване (SIGINT) съгласно Изпълнителен декрет 12333, 7 октомври 2014 г. на Агенцията за национална сигурност (АНС), Служба за гражданските свободи и неприкосновеността на личния живот (NSA Civil Liberties and Privacy Office (NSA CLPO). Вж. също доклада за състоянието на ODNI за 2014 г. За заявки за достъп съгласно раздел 702 от Закона за упражняване на надзор върху външното разузнаване (Foreign Intelligence Surveillance Act (FISA) запитванията се извършват съгласно процедурите за свеждане до минимум, одобрени от Съда по надзора върху външното разузнаване (Foreign Intelligence Surveillance Court (FISC). Вж. Изпълнение от страна на АНС на раздел 702 от Закона за упражняване на надзор върху външното разузнаване от 16 април 2014 г., на Службата за гражданските свободи и неприкосновеността на личния живот към АНС.

(67) Вж. Реформа на радиоелектронното разузнаване, юбилеен годишен доклад за 2015 г. Вж. също писмените изявления на ODNI (приложение VI), стр. 6, 8-9, 11.

(68) Вж. писмените изявления на ODNI (приложение VI), стр. 3.

(69) Следва също да се отбележи, че съгласно раздел 2.4 от Изпълнителен декрет 12333 елементите на разузнавателните структури „следва да използват на територията на Съединените щати техники на събиране, които са с най-малка намеса, доколкото това е практически осъществимо“. По отношение на ограниченията за заместването на цялото събиране на масиви от данни с целенасочено събиране, вж. резултатите от оценката от Националния съвет за научни изследвания по данни на Агенцията на Европейския съюз за основните права, Надзор от страна на разузнавателните служби: Гаранции и правни средства за защита на основните права в ЕС (2015 г.) на стр. 15—16.

(70) Писмени изявления на ODNI (приложение VI), стр. 4.

(71) Виж също раздел 5, буква d) от ПИД-28, в който се дават указания на директора на Националното разузнаване, в координация с ръководителите на съответните разузнавателни структури и Службата за научна и технологична политика (Оffice of Science and Technology Policy), да предоставят на президента „доклад с оценка на практическата осъществимост относно създаването на софтуер, с който да се позволи на разузнавателните структури по-лесно да извършват целево придобиване на информация, вместо събиране на масиви от данни“. Съгласно публично обявената информация заключението от този доклад е, че „не съществува софтуерно базирана алтернативна възможност, която да позволява да бъде заместено изцяло събирането на масиви от данни при откриването на някои заплахи за националната сигурност“. Вж. Реформа на радиоелектронното разузнаване, юбилеен годишен доклад за 2015 г.

(73) Писмени изявления на ODNI (приложение VI). Това отговаря в частност на загрижеността, изразена от националните органи за защита на данните в тяхното становище по проекта на решение относно адекватността. Вж. становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 38, № 47.

(75) Писмени изявления на ODNI (приложение VI), стр. 4. Вж. също Директива за разузнавателните структури № 203 (Intelligence Community Directive 203).

(76) Писмени изявления на ODNI (приложение VI), стр. 2. По същия начин се прилагат и ограниченията, установени с Изпълнителен декрет 12333 (напр. необходимостта събраната информация да отговаря на определените от Президента приоритети на разузнаването).

(78) В допълнение към това събирането на данни от ФБР може да се основава също така и на разрешения, издавани за целите на правоприлагането (вж. раздел 3.2 от настоящото решение).

(79) За допълнителни пояснения относно използването на писма във връзка с националната сигурност (ПНС) вж. писмените изявления на ODNI (приложение VI), стр. 13—14 с бел. под линия 38. Както е посочено там, ФБР може да използва писма във връзка с националната сигурност (ПНС) само при искания за несъдържателна информация във връзка с разрешено разследване в сферата на националната сигурност за защита срещу международния тероризъм или секретни разузнавателни дейности. По отношение на предаванията на данни съгласно Щита за личните данни в отношенията между ЕС и САЩ най-релевантното правно основание за разрешаване изглежда е Законът за неприкосновеност на електронните съобщения (Electronic Communications Privacy Act) (18 U.S.C. § 2709), съгласно който се изисква всяко искане за информация за абонат или за справка за операции да съдържа „понятие, което определя по специфичен начин дадено лице, субект, телефонен номер или сметка“.

(80) 50 U.S.C., § 1804. Докато този правен инструмент изисква „обявяване на фактите и обстоятелствата, на които се основава заявителят за обосноваване на своето убеждение, че А) целта на електронното наблюдение е чужда сила или служител на чужда сила“, последното може да се отнася за лица, които не са американски граждани и участват в международен тероризъм или в международно разпространение на оръжия за масово унищожение (включително в подготвителни действия) (50 U.S.C. § 1801 (b)(1)). Все пак съществува само теоретична връзка с личните данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ, предвид това, че обявяването на фактите трябва също така да обосновава убеждението, че „всяко от средствата или местата, към които е насочено електронното наблюдение, се използва или предстои да бъде използвано от чужда сила или служител на чужда сила“. Във всички случаи позоваването на този инструмент налага да се подаде заявление до Съда по надзора върху външното разузнаване (СНВР), който ще направи преценка, наред с останалото, дали въз основа на посочените факти съществува вероятна причина случаят наистина да е такъв.

(81) 50 U.S.C. § 1842 заедно с § 1841(2) и раздел 3127 от дял 18. Този инструмент не се отнася за съдържанието на съобщенията, а по-скоро има за цел получаването на информация за клиента или абоната, който използва дадена услуга (напр. име, адрес, абонатен номер, продължителност/вид на получената услуга, източник/механизъм на плащане). За целта се изисква да се подаде заявление за издаване на разпореждане до Съда по надзора върху външното разузнаване (СНВР) (или до магистрат към окръжен съд (U.S. Magistrate Judge) и да се използва специален критерий за подбор по смисъла на § 1841(4), т.е. понятие, което определя по специфичен начин дадено лице, сметка и др. и се използва за ограничаване в максимално възможната разумна степен на обхвата на исканата информация.

(82) Докато с раздел 501 от ЗУНВР (предишен раздел 215 от Закона за обединяване и укрепване на САЩ) се дават правомощия на ФБР да иска съдебно разпореждане с цел получаването на „материални вещи“ (по-специално телефонни метаданни, както и търговски справки) за цели във връзка с чуждото разузнаване, в раздел 702 от ЗУНВР на разузнавателните структури на САЩ се разрешава да искат достъп до информация, включително съдържание на съобщения в интернет, на територията на Съединените щати, но по отношение на лица, които не са американски граждани и се намират извън Съединените щати.

(83) На основание тази разпоредба ФБР може да отправя искане за „материални носители“ (напр. записи, хартиени носители, документи), ако докаже пред Съда по надзора върху външното разузнаване (СНВР), че са налице разумни основания да се счита, че те са релевантни за целите на конкретно разследване на ФБР. При извършване на търсенето си ФБР трябва да използва одобрени от Съда по надзора върху външното разузнаване критерии за подбор, за които са налице „основателни и доказуеми подозрения“, че са свързани с една или няколко чужди сили или техни служители, участващи в международен тероризъм или в подготвителни действия за такъв. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 59; Служба за гражданските свободи и неприкосновеността на личния живот на АНС, Доклад за прозрачност: Закон за свободата в САЩ, търговски регистър, в изпълнение на ЗУНВР, 15 януари 2016 г., стр. 4—6.

(84) Писмени изявления на ODNI (приложение VI), стр. 13 (бел. под линия 38).

(86) Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 32—33 с допълнителни препратки. Според службата по въпросите на неприкосновеността на личния живот на АНС тази агенция трябва да удостовери, че е налице връзка между целта и критерия за подбор, да документира външноразузнавателна информация, които се очаква да бъдат получени, данните трябва да бъдат разгледани и одобрени от двама старши анализатори на АНС и целият процес да бъде проследен с цел последващи прегледи за съответствие от страна на ODNI и Министерството на правосъдието. Вж. Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16 април 2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС.

(87) Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 111. Вж. също писмените изявления на ODNI (приложение VI), стр. 9. („Събирането по силата на раздел 702 от [ЗУНВР] не е „масово и безразборно“, а тясно съсредоточено върху събирането на разузнавателни данни за индивидуално идентифицирани законни цели“) и стр. 13, бел. под линия 36 (във връзка със становище на Съда по надзора върху външното разузнаване от 2014 г.); Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи на АНС: Изпълнение от страна на АНС на раздел 702 от Закона за упражняване на надзор върху външното разузнаване от 16 април 2014 г. Дори в случая на програмата UPSTREAM АНС може да изисква само прихващане на електронните съобщения до, от, или за определените за задачата критерии за подбор.

(88) Писмени изявления на ODNI (приложение VI), стр. 18. Вж. също и стр. 6, където е посочено, че прилаганите процедури „доказват ясния ангажимент да бъде предотвратено произволното и безразборно събиране на радиоелектронна разузнавателна информация и от най-високите нива на нашето правителство да бъде въведен принципът на разумността“.

(89) Вж. доклада за прозрачността на статистическата информация по отношение на използването на основанията за национална сигурност от 22 април 2015 г. За целия поток от информация по интернет вж. напр. Агенция за основните права, Наблюдения от страна на разузнавателните служби: Гаранции и правни средства за защита на основните права в ЕС (2015 г.) на стр. 15—16. По отношение на програмата UPSTREAM, според разсекретеното становище на Съда по надзора върху външното разузнаване от 2011 г. над 90 % от електронните съобщения, получени по силата на раздел 702 от ЗУНВР, са били от програмата PRISM, докато под 10 % са от програмата UPSTREAM. Вж. СНВР, становище меморандум 2011 г. WL 10945618 (FISA Ct., 3.10.2011), бел. под линия 21 (на адрес: http://www.dni.gov/files/documents/0716/October-2011-Bates-Opinion-and%20Order-20140716.pdf).

(90) Вж. раздел 4, буква а), подточка ii) от ПИД-28. Вж. също ODNI, Гаранции за личната информация на всички лица: Доклад за състоянието относно развитието и прилагането на процедурите съгласно Президентски изпълнителен указ от 28 юли 2014 г., стр. 5, според който „Политиките на елементите на разузнавателните структури следва да укрепват съществуващите аналитични практики и стандарти, като анализаторите трябва да се стремят да структурират запитванията или другите условия и техники на търсене с цел идентифициране на разузнавателна информация, която е релевантна за валидна задача в областта на разузнаването или правоприлагането; да фокусират търсенията за лица върху категориите разузнавателна информация, които съответстват на дадено изискване в областта на разузнаването или правоприлагането; и сведат до минимум прегледа на лична информация, която няма отношение към изискванията в областта на разузнаването или правоприлагането“. Вж. напр. ЦРУ, Дейности на радиоелектронното разузнаване, стр. 5; ФБР, Президентска изпълнителна директива 28, политики и процедури, стр. 3. Съгласно доклада за напредъка от 2016 г. относно реформата на радиоелектронното разузнаване, разузнавателните структури (включително ФБР, ЦРУ и АНС) са предприели мерки да повишат осведомеността на своя персонал относно изискванията на ПИД-28, като са въвели нови или са модифицирали съществуващи политики за обучение.

(91) Съгласно писмените изявления на ODNI тези ограничения се прилагат независимо от това, дали информацията е събрана като масиви от данни, чрез целенасочено събиране и с оглед на националността на физическите лица.

(92) Вж. писмените изявления на ODNI (приложение VI).

(93) Вж. раздел 4, буква а), подточка i) от ПИД-28, заедно с раздел 2.3 от Изпълнителен декрет 12333. 12333.

(94) Вж. раздел 4, буква а, подточка i) от ПИД-28. Писмени изявления на ODNI (приложение VI), стр. 7. Например за лична информация, събирана съгласно раздел 702 от ЗУНВР, в процедурите на АНС за свеждане до минимум, одобрени от Съда по надзора върху външното разузнаване, е предвидено по правило метаданните и информацията с неанализирано съдържание за програмата PRISM да бъдат съхранявани не по-дълго от пет години, докато данни за програма UPSTREAM се съхраняват не по-дълго от две години. АНС осигурява спазването на тези ограничения за съхранението посредством автоматизиран процес, чрез който събраните данни се изтриват в края на съответния срок на съхранение. Виж АНС, раздел 702 от ЗУНВР, Процедури за свеждане до минимум, раздел 7 във връзка с раздел 6, буква а), подточка 1); Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16.4.2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС. По същия начин запазването съгласно раздел 501 от ЗУНВР (предишен раздел 215 от Закона за обединяване и укрепване на САЩ (U.S. PATRIOT ACT) е ограничено за срок от пет години, освен когато личните данни са част от одобрено по надлежния ред разпространение на външноразузнавателна информация или ако Министерството на правосъдието е уведомило писмено АНС, че по отношение на данните има задължение за съхраняване за решаването на висящ или предстоящ съдебен спор. Вж. АНС, Службата за гражданските свободи и неприкосновеността на личния живот, Доклад за прозрачността: Закон за свободата в САЩ, търговски регистър, в изпълнение на ЗУНВР, 15 януари 2016 г.

(95) По-специално в случая на раздел 501 от ЗУНВР (предишен раздел 215 от Закона за обединяване и укрепване на САЩ (U.S. PATRIOT ACT) разпространяването на лична информация може да става само за целите на противодействие на тероризма или като доказателство при престъпление; в случая на раздел 702 от FISA само когато валидна цел във връзка с външното разузнаване или правоприлагането. Вж. Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16 април 2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС. Доклад за прозрачността: Закон за свободата в САЩ, търговски регистър, в изпълнение на ЗУНВР, 15 януари 2016 г. Вж. също така АНС, Защита на гражданските свободи и неприкосновеността на личния живот за целеви дейности на радиоелектронното разузнаване (SIGINT) съгласно Изпълнителен декрет 12333, 7 октомври 2014 г.

(96) Писмени изявления на ODNI (приложение VI), стр. 7 (във връзка с Указа за разузнавателните структури (Intelligence Community Directive (ICD)) 203).

(97) Съдът на Европейските общности е пояснил, че националната сигурност представлява законосъобразна цел на политиката. Вж. делото Schrems, точка 88. Вж. също решение Digital Rights Ireland и др., точки 42—44 и 51), в което Съдът установява, че борбата срещу тежката престъпност, и по-специално организираната престъпност и тероризма, могат да зависят в голяма степен от използването на модерни техники на разследване. Освен това за разлика от наказателните разследвания, които обикновено се отнасят до определяне на отговорността и вината за минало поведение със задна дата, разузнавателните дейности често са съсредоточени върху предотвратяването на заплахи за националната сигурност, преди да е нанесена вреда. Поради това обхватът на подобни разследвания често може да включва повече възможни участници („обекти“) и по-широк географски район. Вж. Решение на ЕСПЧ по делото Weber и Saravia с/у Германия, жалба № 54934/00, точки 105—118 (относно т.нар. „стратегически мониторинг“).

(98) Делото Schrems, точка 91 с допълнителните препратки.

(101) СДНР, Гаранции за личната информация на всички лица: Доклад за актуалното състояние относно изготвянето и прилагането на процедурите съгласно Президентска изпълнителна директива 28, стр. 7. Вж. напр. ЦРУ, Дейности на радиоелектронното разузнаване, стр. 6 (Спазване); ФБР, Президентска изпълнителна директива 28, „Политики и процедури“, раздел III (A)(4), (B)(4); АНС, ПИД-28, раздел 4, „Процедури“, 12 януари 2015 г., раздел 8.1, 8.6, буква c).

(102) Например в Дирекция „Спазване на нормативната уредба“ на АНС работят повече от 300 служители по спазването. Вж. писмените изявления на ODNI (приложение VI), стр. 7.

(103) Вж. Механизъм на омбудсмана (приложение III), точка 6, буква б), подточки i) до iii).

(104) Вж. 42 U.S.C.,§ 2000ee-1. Тук се включват например Държавният департамент, Министерството на правосъдието (вкл. ФБР), Министерството на вътрешната сигурност, Министерството на отбраната, АНС, ЦРУ и ODNI.

(105) Според правителството на САЩ, ако в Службата по въпросите на гражданските свободи и неприкосновеността на личния живот на ODNI се получи жалба, този орган работи също така в координация с другите разузнавателни структури относно това как да продължи разглеждането на жалбата в рамките на разузнавателните структури. Вж. Механизъм на омбудсмана (приложение III), точка 6, буква б), подточка ii).

(107) Становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 41.

(108) Писмени изявления на ODNI (приложение VI), стр. 7. Вж. напр. АНС, ПИД-28, раздел 4 „Процедури“, 12 януари 2015 г., раздел 8.1.; ЦРУ, Дейности на радиоелектронното разузнаване, стр. 7 (Отговорности).

(109) Този главен инспектор (длъжността е създадена през октомври 2010 г.) се назначава от Президента с утвърждаване от Сената и може да бъде отстранен от длъжност само от Президента, но не и от директора на националното разузнаване.

(110) Тези главни инспектори са с постоянно назначение и могат да бъдат отстранени от длъжност само от Президента, който трябва да информира Конгреса писмено относно причините за отстраняването. Това не означава задължително, че те не получават никакви указания. В някои случаи ръководителят на министерството може да забрани на главния инспектор да инициира, извърши или завърши даден одит или разследване, когато счете това за необходимо за опазването на важни национални интереси (в областта на сигурността). Конгресът обаче трябва да е уведомен за упражняването на това правомощие и на тази основа може да потърси отговорност от съответния директор. Вж. напр. Закон за главния инспектор (Inspector General Act) от 1978 г., § 8 (Главен инспектор на Министерството на отбраната); § 8E (Главен инспектор на Министерството на правосъдието), § 8G (d)(2)(A),(B) (Главен инспектор на АНС); 50. U.S.C. § 403q (b) (Главен инспектор на ЦРУ); Закон за разрешаване на разузнавателни дейности за финансова година 2010 (Intelligence Authorization Act For Fiscal Year 2010), Sec 405(f) (Главен инспектор на структурите на разузнаването). Според оценката на националните органи за защита на данните главните инспектори „по всяка вероятност отговарят на критерия за организационна независимост, определен от Съда на Европейския съюз и от Европейския съд по правата на човека, най-малкото от момента, в който новият процес на номиниране се прилага за всички.“ Вж. становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 40.

(111) Вж. писмените изявления на ODNI (приложение VI), стр. 7. Вж. също Закон за главния инспектор от 1978 г. с изменение, публ. L. 113-126 от 7 юли 2014 г.

(112) Вж. Закон за главния инспектор от 1978 г., § 6.

(113) Вж. писмените изявления на ODNI (приложение VI), стр. 7. Вж. също Закон за главния инспектор от 1978 г., §§ 4(5), 5. Съгласно раздел 405(b)(3),(4) от Закона за разрешаване на разузнавателни дейности за финансова година 2010, публ. L. 111-259 от 7 октомври 2010 г., главният инспектор на структурите на разузнаването уведомява директора на Националното разузнаване и Конгреса относно необходимостта от корективни мерки и хода на изпълнението им.

(114) Според оценката на националните органи за защита на данните, PCLOB е „доказал своите независими правомощия“ в миналото. Вж. становище 01/2016 на работната група по защита на данните по член 29 относно проекта на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ (прието на 13 април 2016 г.), стр. 42.

(115) В допълнение към това в PCLOB са назначени около 20 души редовен персонал. Вж. https://www.pclob.gov/about-us/staff.html.

(116) Тук се включват най-малкото Министерството на правосъдието, Министерството на отбраната, Министерството на вътрешната сигурност, директорът на националното разузнаване и Централното разузнавателно управление, както и други министерства, агенции или структури на изпълнителната власт, определени от PCLOB като подходящи да бъдат обхванати от правомощията му.

(117) Вж. 42 U.S.C.,§ 2000ee. Вж. също Механизъм на омбудсмана (приложение III), точка 6, буква б), подточка iv). Наред с другото, PCLOB трябва да докладва, когато изпълнителна агенция отказва да я подкрепя.

(118) ODNI, Гаранции за личната информация на всички лица: Доклад за актуалното състояние относно изготвянето и прилагането на процедурите съгласно Президентска изпълнителна директива 28, стр. 7-8.

(119) Пак там на стр. 8. Вж. също писмените изявления на ODNI (приложение VI), стр. 9.

(120) ODNI, Гаранции за личната информация на всички лица: Доклад за актуалното състояние относно изготвянето и прилагането на процедурите съгласно Президентска изпълнителна директива 28, стр. 7. Вж. напр. АНС, ПИД-28, раздел 4 Процедури, 12 януари 2015 г., раздел 7.3, 8.7(c),(d); ФБР, Президентска изпълнителна директива 28, Политики и процедури, раздел III.(A)(4), (B)(4); ЦРУ, Дейности на радиоелектронното разузнаване, стр. 6 (Спазване) и стр. 8 (Отговорности).

(123) Вж. раздел 501, буква а), точка 1) (50 U.S.C. § 413(a)(1)). В тази разпоредба се съдържат общите изисквания относно надзора, упражняван от Конгреса в областта на националната сигурност.

(129) Вж. Закон за свободата в САЩ (USA FREEDOM Act) от 2015 г., публ. L. № 114-23, раздел 602, буква а). В допълнение към това, съгласно раздел 402 „директорът на Националното разузнаване, в консултация с Министъра на правосъдието, извършва преглед за разсекретяване на всяко решение, разпореждане или становище на Съда по надзора върху външното разузнаване или на Апелативния съд по надзора върху външното разузнаване, (както това е предвидено в раздел 601, буква е)), в което се съдържат значими конструкции или тълкувания на някоя законова разпоредба, включително нови или значими конструкции или тълкувания на понятието „конкретен критерий за подбор“, и съгласно този преглед обявява публично, доколкото това е практически възможно, всяко такова решение, разпореждане или становище.“

(130) Закон за свободата в САЩ (USA FREEDOM Act), раздел 602, буква а) и раздел 603, буква а).

(131) За някои видове наблюдения като алтернативно решение може да са дадени правомощия на магистрат към окръжен съд (U.S. Magistrate Judge), определен официално от Председателя на Върховния съд на САЩ (Chief Justice of the United States), да изслушва тези молби и да издава разпореждания.

(132) В състава на Съда по надзора върху външното разузнаване влизат единадесет съдии, назначени от Председателя на Върховния съд на САЩ измежду действащи окръжни съдии, които преди това са назначени от президента с утвърждението на Сената. Съдиите, които са с пожизнено назначение и могат да бъдат отстранявани от длъжност само с основателна причина, изпълняват задълженията си в Съда по надзора върху външното разузнаване с разпределен седемгодишен мандат. Съгласно Закона за упражняване на надзор върху външното разузнаване съдиите трябва да са подбрани от най-малко седем различни съдебни окръга на САЩ. Вж. раздел 103 от ЗУНВР (50 U.S.C. 1803 (a)); НСВНЛЖГС, раздел 215 доклад, стр. 174—187. Работата на съдиите се подпомага от опитни помощник-съдии, които са назначен юридически персонал в съда и подготвят правни анализи по колективни искания. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 178; Писмо от уважаемия Reggie B. Walton, съдията — председател на Съда по надзора върху външното разузнаване на САЩ, до уважаемия Patrick J. Leahy, председател на правната комисия в Сената на САЩ (29 юли 2013 г.) („писмо Walton“), стр. 2—3.

(133) В състава на Апелативния съд за наблюдение на чуждите разузнавателни служби влизат трима съдии, назначени от Главния съдия на САЩ и избрани измежду съдиите в окръжните и апелативните съдилища на САЩ, които изпълняват задълженията си с разпределен седемгодишен мандат. Вж. раздел 103 FISA (50 U.S.C. § 1803 (b)).

(135) Например допълнителни фактически подробности относно целта на наблюдението, техническа информация за методологията на наблюдението, или уверения за това как придобитата информация ще бъде използвана и разпространявана. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 177;

(137) Съдът по надзора върху външното разузнаване може да приеме молбата, да изиска допълнителна информация, да определи, че е необходимо изслушване, или да посочи, че е възможно да отхвърли молбата. Въз основа на това предварително определение правителството подава окончателна молба. Тя може да включва съществени изменения на първоначалната молба въз основа на предварителните коментари на съдията. Въпреки че голям процент от окончателните заявления биват одобрявани от Съда за наблюдение на чуждите разузнавателни служби, значителна част от тях съдържат съществени изменения спрямо първоначалните, напр. 24 % от заявленията, одобрени в периода юли—септември 2013 г. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 179; писмо Walton, стр. 3.

(138) Доклад на PCLOB, раздел 215, стр. 179, бел. под линия 619.

(139) 50 U.S.C. § 1803 (i)(1),(3)(A). Това ново законодателство изпълнява препоръките на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи за създаване на група от експерти по въпросите на неприкосновеността на личния живот и гражданските свободи, които да могат да изпълняват функциите на amicus curiae с цел да предоставят на съда правни аргументи за развитието в сферата на неприкосновеността на личния живот и гражданските свободи. Виж доклад на НСВНЛЖГС, раздел 215, стр. 183—187.

(140) 50 U.S.C. § 1803 (i)(2)(A). По информация на ODNI вече има определени такива. Вж. Реформа на радиоелектронното разузнаване, доклад за напредъка за 2016 г.

(146) Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 46.

(148) 50 U.S.C. § 1881a (g). Според НСВНЛЖГС тези категории досега са се отнасяли главно за международния тероризъм и теми като придобиването на оръжия за масово унищожение. Виж доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 25;

(149) Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 27.

(151) „Свобода и сигурност в един променящ се свят“, доклад и препоръки на консултативната група към Президента по въпросите на разузнаването и далекосъобщителните технологии, 12 декември 2013 г., стр. 152.

(153) С правило 13(b) от процедурния правилник на Съда по надзора върху външното разузнаване се изисква от правителството да подаде писмено уведомление до Съда незабавно след като се установи, че дадено от съда разрешение или одобрение е изпълнено по начин, който не съответства на разрешението или одобрението или на приложим закон. Също така в него се изисква от правителството да уведоми писмено Съда относно фактите и обстоятелствата, свързани с това неспазване. Обикновено правителството подава окончателно уведомление съгласно правило 13(а), когато станат известни съответните факти и бъде унищожена всяка информация, събрана без разрешение. Вж. писмо Walton, стр. 10.

(154) 50 U.S.C. § 1881 (l). Виж също доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 702, стр. 66—76; Изпълнение от страна на АНС на раздел 702 от ЗУНВР от 16.4.2014 г. на Службата за гражданските свободи и неприкосновеността на личния живот към АНС. Събирането на лични данни за целите на разузнаването съгласно раздел 702 от ЗУНВР подлежи на вътрешен и външен надзор в рамките на изпълнителните органи. Вътрешният надзор включва наред с останалото и вътрешни програми с цел оценка и надзор на спазването на процедурите за целево събиране и свеждане до минимум; докладване на случаите на неспазване както в рамките на организацията, така и извън нея, пред ODNI, Министерството на правосъдието, Конгреса и Съда по надзора върху външното разузнаване; и годишни прегледи, които се изпращат на същите органи. Външният надзор се изразява главно в прегледи на процедурите за целево събиране и свеждане до минимум, извършвани от ODNI, Министерството на правосъдието и главните инспектори, които от своя страна докладват пред Конгреса и Съда по надзора върху външното разузнаване, включително относно случаите на неспазване. Значимите случаи на неспазване трябва да бъдат докладвани незабавно на Съда по надзора върху външното разузнаване, а останалите — в тримесечни доклади. Виж доклад на НСВНЛЖГС, раздел 702, стр. 66—77.

(155) PCLOB, Препоръки от доклада за оценка от 29 януари 2015 г., стр. 20.

(156) PCLOB, Препоръки от доклада за оценка от 29 януари 2015 г., стр. 16.

(157) В допълнение към това в раздел 10 от Закона за процедурите във връзка с класифицираната информация (Classified Information Procedures Act) е предвидено, че при всяко наказателно преследване, в което Съединените американски щати трябва да докажат, че даден материал представлява класифицирана информация (напр. защото се изисква защита срещу неразрешено разкриване по съображения, свързани с националната сигурност), Съединените щати следва да уведомят ответника за частите от материала, за които има разумни основания да се очаква да са основание за установяване на елемента на нарушението, който се отнася за класифицираната информация.

(158) Вж. също писмените изявления на ODNI (приложение VI), стр. 16.

(165) Писмени изявления на ODNI (приложение VI), стр. 17.

(167) (5 U.S.C., § 552). Подобни закони съществуват и в отделните щати.

(168) Ако случаят е такъв, лицето обикновено получава само стандартен отговор, с който агенцията отказва да потвърди или да отрече наличието на някакви записи. Вж. ACLU с/у CIA, 710 F.3d 422 (D.C. Cir. 2014 г.).

(169) Вж. писмените изявления на ODNI (приложение VI), стр. 16. Съгласно направените пояснения възможните начини на действие налагат да е налице вреда (18 U.S.C. § 2712; 50 U.S.C. § 1810) или да се докаже, че правителството възнамерява да използва или разкрие информацията, получена или производна от електронно наблюдение на съответното лице, срещу това лице в съдебни или административни производства в Съединените щати (50 U.S.C. § 1806). При все това, Съдът на Европейския съюз е подчертал неколкократно, за да се установи наличието на намеса в основното право на неприкосновеност на личния живот, няма значение дали в резултат от тази намеса е имало неблагоприятни последици за съответното лице. Вж. решение по делото Schrems, точка 89 с допълнителните препратки.

(170) Този критерий за допустимост произтича от изискването„case or controversy“ („дело или противоречие“) съгласно Конституцията на САЩ, чл. III.

(171) Вж. Clapper с/у Amnesty Int'l USA, 133 S.Ct. 1138, 1144 (2013 г.). По отношение на използването на ПНС, в Закона за свободата в САЩ (USA FREEDOM Act), (раздел 502(f)-503) е предвидено периодично да се преразглежда изискването за неразкриване и получателите на ПНС да бъдат уведомявани, когато фактите вече не са в подкрепа на изискването за неразкриване (вж. писмените изявления на ODNI (приложение VI), стр. 13). Това обаче не гарантира, че субектът на данните от ЕС ще бъде уведомен(а), че е обект на разследване.

(172) В случай че жалбоподателят е поискал достъп до документи, държани от публичните органи на САЩ, се прилагат правилата и процедурите, определени в Закона за свобода на информацията (Freedom of Information Act). Това включва възможността да се търси защита по съдебен ред (вместо независим надзор), в случай че искането бъде отхвърлено, при условията, определени във FOIA.

(173) Съгласно механизма за омбудсмана (приложение III), точка 4, буква е), омбудсманът към Щита за личните данни ще бъде в пряка връзка с органа на ЕС за разглеждане на жалби на физическите лица, който от своя страна ще има задължението да осъществява връзката с лицето, подало искането. Ако преките връзки са част от„основните процеси“, чрез които може да се удовлетвори искането (напр. при искане за достъп по FOIA, вж. раздел 5), тези връзки ще се осъществяват съобразно с приложимите процедури.

(174) Вж. Механизъм за омбудсмана (приложение III), точка 2, буква а). Вж. също съображения 0—0.

(175) Вж. Механизъм за омбудсмана (приложение III), точка 2, буква в). Съгласно поясненията, направени от правителството на САЩ, Надзорният съвет по въпросите на неприкосновеността на личния живот и гражданските свободи ще прави постоянен преглед на политиките и процедурите, както и на тяхното изпълнение, на онези органи на САЩ, които отговарят за противодействието на тероризма, за да определи дали техните действия„защитават по подходящ начин неприкосновеността на личния живот и гражданските свободи и са в съответствие с приложимите закони, подзаконови актове и политики в областта на неприкосновеността на личния живот и гражданските свободи“. Също така този съвет ще„приема и разглежда доклади и друга информация от служителите по въпросите на неприкосновеността на личния живот и служителите по въпросите на гражданските свободи, и когато е уместно, ще им дава препоръки за тяхната дейност.“

(176) Вж. Roman Zakharov с/у. Russia, решение от 4 декември 2015 г. (голям състав), жалба № 47143/06, точка 275 („въпреки че по принцип е желателно контролът да се повери на съдия, надзорът от несъдебни органи може да се счита за съвместим с Конвенцията, при условие че въпросният надзорен орган е независим от органите, които извършват наблюдението, и има достатъчни и ефективни контролни правомощия“).

(177) Вж. решението по дело Kennedy с/у Обединено кралство, решение от 18 май 2010 г., жалба № 26839/05, точка 167.

(178) Делото Schrems, точка 95. Както е видно от точки 91—96 от решението, параграф 95 се отнася до степента на защита, гарантирана в правния ред на Съюза, за която степента на защита в третата държава трябва да бъде„равностойна по същество“. Съгласно точки 73 и 74 от решението, това не означава, че степента на защита или средствата, до които третата страна прибягва в това отношение, трябва да бъдат идентични, а че използваните средства е необходимо на практика да се окажат ефективни.

(179) Съгласно четвъртата поправка„[п]равото на хората да се чувстват в безопасност, по отношение на себе си, къщите, документите и вещите си, срещу неразумни претърсвания и изземвания, не трябва да бъде нарушавано и няма да се издават актове на прокурора освен при основателни причини, подкрепени от клетва или потвърждение и при специално описание на мястото, което да се претърси или на лицата и на нещата, които трябва да бъдат иззети“. Само (магистрати) съдии могат да издават такива заповеди. Федерални заповеди за копирането на електронно съхранена информация подлежат също така на правило 41 от Федералните правила относно наказателното производство.

(180) Върховният съд многократно определя претърсвания без заповет като„извънредни“. Вж. напр. Johnson с/у United States, 333 U.S. 10, 14 (1948); McDonald с/у United States, 335 U.S. 451, 453 (1948); Camara с/у Municipal Court, 387 U.S. 523, 528-29 (1967); G.M. Leasing Corp. с/у United States, 429 U.S. 338, 352-53, 355 (1977). По същия начин Върховният съд редовно подчертава, чe „основното конституционно правило в тази област е, че претърсвания извън съдебен процес без предварително одобрение от съдия или магистрат са сами по себе си неоснователни съгласно четвъртата поправка и в това отношение се прилагат само — няколко строго и изрично определени изключения.“ Вж. напр. Coolidge с/у New Hampshire, 403 U.S. 443, 454-55 (1971); G.M. Leasing Corp. с/у United States, 429 U.S. 338, 352-53, 358 (1977).

(182) Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 107, позоваване на решение по дело Maryland с/у. King, 133 S. Ct. 1958, 1970 (2013).

(183) Доклад на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, раздел 215, стр. 107, позоваване на решението по дело Samson с/у California, 547 U.S. 843, 848 (2006).

(185) Вж. напр. United Sates с/у Wilson, 540 F.2d 1100 (D.C. Cir. 1976).

(186) Вж. Roman Zakharov с/у Russia, решение от 4.12.2015 г. (голям състав), жалба № 47143/06, точка 269, съгласно което „изискването на доставчика на комуникационни услуги да се покаже разрешение за прихващане, преди да се получи достъп до съобщенията, е една от най-важните гаранции срещу злоупотреба от страна на правоприлагащите органи, като по този начин се гарантира, че във всички случаи на прихващане е получено съответното разрешение.“

(187) Писмени изявления на Министерството на правосъдието (приложение VII), стр. 4 с допълнителните препратки.

(188) Писмени изявления на Министерството на правосъдието (приложение VII), № 2.

(189) Според получената от Комисията информация и като не се вземат предвид специфичните области, които вероятно не се отнасят за предаването на данни в рамките на Щита за личните данни в отношенията между ЕС и САЩ (напр. разследвания на измами в сферата на здравни грижи, малтретиране на деца или контролирани вещества), това се отнася най-вече до определени органи съгласно Закона за неприкосновеността на електронните съобщения Electronic Communications Privacy Act (ECPA), а именно исканията за основна информация за абонатите, сесията и фактурирането (18 U.S.C. § 2703(c)(1), (2), т.е. адрес, тип/продължителност на услугата) и за съдържанието на електронната поща на възраст над 180 дни (18 U.S.C. § 2703(a), (b)). Във втория случай обаче съответното лице трябва да бъде уведомено и по този начин да му се даде възможност да оспори искането в съда. Вж. също общия преглед на Министерство на правосъдието, Търсене и конфискация на компютри и получаване на електронни доказателства в наказателни разследвания (Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations), глава 3: Закон за съхранените съобщения (Stored Communications Act), стр. 115—138.

(190) Съгласно писмените изявления на правителството на САЩ получателите на административните разпореждания могат да ги оспорят в съда на основание тяхната неоснователност, т.е. че са прекалени, репресивни или обременяващи. Вж. писмените изявления на Министерството на правосъдието (приложение VII), стр. 2.

(192) Като цяло само „окончателно“ действие на агенцията, вместо „предварително, процедурно или междинно“ действие на дадена агенция подлежи на съдебен контрол. Вж. 5 U.S.C. § 704.

(195) Законът за неприкосновеността на електронните съобщения (ECPA) осигурява защита на съобщенията, държани от две определени категории доставчици на мрежови услуги, а именно доставчици на: i) електронни съобщителни услуги, като например телефонията или електронната поща; ii) отдалечени изчислителни услуги, като например услуги по компютърно съхранение или обработване.

(196) Тези изключения обаче са формулирани. Например съгласно 5 U.S.C. § 552 (b)(7) правата по FOIA не се прилагат за „документи или информация, изготвени за целите на правоприлагането, но само доколкото съставянето на такива документи или информация (A) може разумно да се очаква да възпрепятства процеса на правоприлагането, (Б) би лишило лицето от правото на справедлив процес или безпристрастна присъда, (В) може разумно да се очаква да представлява необосновано нарушение на неприкосновеността на личния живот, (Г) може разумно да се очаква да разкрие самоличността на поверителен източник, в това число държавна, местна или чуждестранна агенция или орган или частна институция, които са предоставили информация на поверителна основа, и — за документ или информация, изготвени от съдебен правоприлагащ орган в хода на наказателно разследване, или от агенция, провеждаща законно разузнавателно разследване във връзка с националната сигурност — информация, предоставена от поверителен източник, (Д) би разкрило техники и процедури за разследвания или наказателни преследвания за целите на правоприлагането или насоки за тях, ако може разумно да се очаква разкриването да предизвика риск от заобикаляне на закона, или (Е) може разумно да се очаква да застраши живота или физическата безопасност на дадено физическо лице.“ Също така „при искане, което предполага достъп по документи [чието съставяне може разумно да се очаква да възпрепятства процеса на правоприлагането] и — (A) разследването или производството предполага евентуално нарушение на наказателното право; и Б) има причина да смята, че i) обектът на разследването или производството не е запознат с висящото производство и ii) разкриването на наличието на документи може разумно да се очаква да възпрепятства процеса на правоприлагането, агенцията може да разглежда тези документи като документи, за които не се отнасят изискванията от настоящия раздел, само за толкова време, за колкото продължава съответното обстоятелство.“ (5 U.S.C. § 552 (c)(1)).

(197) 18 U.S.C. §§ 2510 и следв. Съгласно Закона за телефонното подслушване (Wiretap Act) (18 U.S.C. § 2520) лице, чиито кабелни, устни или електронни съобщения се прихващат, разкриват или умишлено се използват, може да заведе гражданско дело за нарушение на Закона за телефонното подслушване, в това число при определени обстоятелства — срещу конкретен държавен служител или Съединените американски щати. За събиране на информация, свързана с адреси, и друга информация без съществено съдържание (напр. IP адрес, имейл адрес до/от), вж. също глава „Pen Registers and Trap and Trace Devices“ в дял 18 (18 U.S.C. §§ 3121-3127 и — за граждански искове, § 2707).

(198) 18 U.S.C., § 1030. Съгласно Закона за компютърните измами и злоупотреби (Computer Fraud and Abuse Act) дадено лице може да заведе иск срещу друго лице във връзка с преднамерен неразрешен достъп (или над разрешения достъп) с цел получаване на информация от финансова институция, компютърна система на правителството на САЩ или друг конкретен компютър, включително при определени обстоятелства срещу конкретен държавен служител.

(199) 28 U.S.C. §§ 2671 и следв. Съгласно Закона за федералните претенции при непозволени действия (Federal Tort Claims Act) дадено лице може да заведе иск, при определени обстоятелства, срещу Съединените американски щати във връзка с „небрежност или неправомерно действие или бездействие на държавен служител, който е действал в рамките на служебните си задължения.“

(200) 12 U.S.C. §§ 3401 и следв. Съгласно Закона за правото на неприкосновеност на личните финанси (Right to Financial Privacy Act), дадено лице може да заведе иск, при определени обстоятелства, срещу Съединените американски щати във връзка с получаването или разкриването на защитени финансови документи в нарушение на закона. Достъпът на държавата до защитени финансови документи като цяло е забранен, освен ако правителството не поиска това по силата на законна призовка или заповед за обиск или, при спазване на ограниченията, с официално писмено искане, а лицето, чиято информация се иска, бъде уведомено за подаденото искане.

(201) 15 U.S.C. §§ 1681-1681x. Съгласно Закона за оповестяване на информация за кредити (Fair Credit Reporting Act) дадено лице може да предяви иск срещу всяко лице, което не спазва изискванията (по-специално необходимостта от законно разрешение) по отношение на събирането, разпространението и използването на информация за кредитите на потребителите, или, при определени обстоятелства, срещу държавна агенция.

(202) Съдът на Европейските общности призна, че правоприлагането е законосъобразна цел на политиката. Вж. съединени дела C-293/12 и C-594/12, Digital Rights Ireland и други, EU:C:2014:238, точка 42. Вж. също член 8, параграф 2 от (ЕКПЧ) и решението на Европейския съд по правата на човека по делото Weber и Saravia с/у Германия, жалба № 54934/00, точка 104.

(203) Решение по делото Schrems, точки 40 и следв. и т.101—103.

(207) Считано от датата на прилагане на Общия регламент относно защитата на данните, Комисията ще упражнява правомощията си да приеме по надлежно обосновани наложителни причини за спешност акт за изпълнение за суспендиране на настоящото решение, който ще се прилага незабавно, без предварително представяне пред съответния комитет в рамките на процедурата на комитология, и ще остане в сила за период не по-дълъг от шест месеца.

(208) Становище 01/2016 относно проект на решение за адекватността на Щита за личните данни в отношенията между ЕС и САЩ, публикувано на 13 април 2016 г.

(209) Резолюция на Европейския парламент от 26 май 2016 г. относно трансатлантическите потоци от данни ((2016/2727 (RSP)).

ПРИЛОЖЕНИЕ I

7 юли 2016 г.

Г-жа Вера Йоурова

Комисар по въпросите на правосъдието, потребителите и равнопоставеността между половете

Европейска комисия

Rue de la Loi/Westraat 200

1049 Брюксел

Белгия

Уважаема комисар Йоурова,

От името на Съединените щати за мен е удоволствие да предам с настоящото писмо пакет от материали към Щита за личните данни в отношенията между ЕС и САЩ, резултат от двугодишните ползотворни обсъждания между нашите екипи. Наред с другите материали, които са на разположение на Комисията от публични източници, този пакет осигурява много здрава основа за нови констатации на Европейската комисия относно адекватността (1).

Ние заедно трябва да се гордеем с подобренията на рамката. Щитът за личните данни се основава на принципи, за които има силна консенсусна подкрепа от двете страни на Атлантика, и ние подсилихме тяхното действие. Чрез съвместната си работа имаме реалната възможност да подобрим защитата на неприкосновеността на личния живот в целия свят.

Пакетът към Щита за личните данни съдържа Принципите на Щита за личните данни заедно с включеното като приложение 1 писмо, в което Администрацията по международната търговия (АМТ) към управляващото програмата Министерство на търговията разглежда ангажиментите, поети от нашето министерство, за да гарантира ефективното функциониране на Щита за личните данни. Също така пакетът включва приложение 2, в което са разгледани други ангажименти на Министерството на търговията във връзка с новия арбитражен модел, който съществува съгласно Щита за личните данни.

Разпоредих на моите служители да бъдат вложени всички ресурси, необходими за експедитивното и цялостно прилагане на рамката на Щита за личните, както и за да се гарантира своевременното спазване на ангажиментите, посочени в приложения 1 и 2.

Пакетът към Щита за личните данни включва също така и други документи от други органи на Съединените щати, а именно:

—	писмо от Федералната търговска комисия (ФТК), в което се разглеждат действията от нейна страна по прилагането на Щита за личните данни;

—	писмо от Министерството на транспорта, в което се разглеждат действията от негова страна по прилагането на Щита за личните данни;

—	две писма, изготвени от Службата на директора на Националното разузнаване (СДНР), относно гаранциите и ограниченията, които се прилагат за органите на националната сигурност на САЩ;

—	писмо от Държавния департамент и съпътстващ го меморандум, в които се описва ангажиментът на Държавния департамент да създаде нов омбудсман към Щита за личните данни за отправяне на запитвания относно практиките в радиоелектронното разузнаване на Съединените щати; и

—	писмо, изготвено от Министерството на правосъдието относно гаранциите и ограниченията по отношение на достъпа от страна на правителството на САЩ за целите на правоприлагането и за цели от обществен интерес.

Можете да бъдете уверена, че Съединените щати гледат сериозно на тези ангажименти.

В срок от 30 дни след окончателното одобрение на решението относно адекватността пълният пакет към Щита за личните данни ще бъде предоставен за публикуване във Федералния регистър.

Очакваме с нетърпение да работим с Вас в хода на прилагането на Щита за личните данни и заедно да се заемем със следващия етап от този процес.

С уважение,

Penny Pritzker

Приложение 1

До уважаемата Вера Йоурова

Комисар по въпросите на правосъдието, потребителите и равнопоставеността между половете

Европейска комисия

Rue de la Loi/Westraat 200

1049 Брюксел

Белгия

Уважаема комисар Йоурова,

От името на Администрацията по международната търговия за мен е удоволствие да опиша повишената степен на защита на личните данни, която осигурява рамката за Щита за личните данни в отношенията между ЕС и САЩ („Щитът за личните данни“ или „рамката“), и ангажиментите, които пое Министерството на търговията („Министерството“), за да гарантира ефективното функциониране на Щита за личните данни. Финализирането на това историческо споразумение е значимо постижение за неприкосновеността на личния живот и за дружествата от двете страни на Атлантическия океан. То дава увереност на физическите лица от ЕС, че техните данни ще бъдат защитени и че разполагат със средства за правна защита за намирането на решения на евентуални проблеми. Дава сигурност, която ще спомогне за растежа на трансатлантическата икономика, като гарантира на хиляди европейски и американски дружества възможност да продължат да инвестират и да извършват стопанска дейност през границите ни. Щитът за личните данни е резултат от повече от две години усилена работа и сътрудничество с вас, нашите колеги в Европейската комисия („Комисията“). Очакваме с нетърпение да продължим да работим с Комисията, за да гарантираме, че Щитът за личните данни ще функционира според предвиденото.

Ние работихме съвместно с Комисията за разработването на Щита за личните данни, за да могат организациите, установени в Съединените щати, да изпълнят изискванията за адекватност по отношение на защитата на данните съгласно правото на ЕС. Новата рамка ще донесе няколко съществени ползи както за физическите лица, така и за дружествата. На първо място, тя осигурява важен набор от защити за неприкосновеността на личния живот по отношение на данните на физическите лица от ЕС. Тя изисква от организациите — участници от САЩ, да разработят съответна политика в областта на неприкосновеността на личния живот, да се ангажират публично да спазват Принципите на Щита за личните данни, така че ангажиментите им да подлежат на прилагане съгласно правото на САЩ, ежегодно да пресертифицират спазването пред министерството, да осигурят възможност за физическите лица от ЕС за безплатно, независимо разрешаване на спорове, и по отношение на тях Федералната търговска комисия на САЩ („ФТК“), Министерство на транспорта („МТ“) или друг правоприлагащ орган да упражнява правомощията си. На второ място, Щитът за личните данни ще позволи на хиляди дружества в Съединените щати и дъщерни на европейски дружества в САЩ да получават лични данни от Европейския съюз в улеснение на потоците от данни, които са в основата на трансатлантическата търговия. Трансатлантическите икономически отношения вече са най-мащабните в света, като на тях се дължи половината от световното икономическо производство и търговия на стоки и услуги на стойност близо един трилион долара, което осигурява милиони работни места от двете страни на Атлантика. Дружествата, които разчитат на трансатлантически потоци от данни, са представители на всички промишлени сектори и включват както големи дружества — сред първите 500 според класацията на Fortune, така и много малки и средни предприятия (МСП). Трансатлантическите потоци от данни позволяват на организации в САЩ да обработват данни, необходими за предлагането на стоки, услуги и възможности за трудова заетост на лица от Европа. Щитът за личните данни е в подкрепа на споделените принципи за неприкосновеност на личния живот, като изгражда мост между различията в нашите правни подходи и същевременно способства за постигането на целите в областта на търговията и икономиката както на Европа, така и на Съединените щати.

Въпреки че решението на едно дружество да се самосертифицира съгласно тази нова рамка ще бъде доброволно, след като то се ангажира публично с Щита за личните данни неговият ангажимент подлежи на прилагане съгласно правото на САЩ от Федералната търговска комисия или Министерството на транспорта, в зависимост от това кой орган е компетентен по отношение на организацията — участник в Щита за личните данни.

Подобрения съгласно Принципите на Щита за личните данни

Така създаденият Щит за личните данни повишава защитата на личните данни посредством:

—

изискването за предоставяне на допълнителна информация на лицата съгласно принципа за уведомяване, включително за деклариране на участието на организацията в Щита за личните данни, декларация за правото на физическото лице на достъп до личните данни, и определянето на съответната независима организация за разрешаване на спорове;

—

увеличаване на защитата на личните данни, които се предават от организация — участник в Щита за личните данни, към администратор на трета страна, като се поставя изискване към страните да сключат договор, в който е предвидено, че тези данни ще бъдат обработвани само с ограничени и конкретно определени цели в съответствие със съгласието, дадено от лицето, както и че получателят ще осигури същата степен на защита, която се осигурява от Принципите;

—

увеличаване на защитата на личните данни, които се предават от организация — участник в Щита за личните данни, към трета страна представител, включително като се поставя изискване към организацията — участник в Щита за личните данни: да предприема обосновани и съответни мерки, за да гарантира, че представителят ефективно обработва предадената лична информация по начин, който съответства на задълженията на организацията съгласно Принципите; при уведомяване да предприема обосновани и съответни мерки, за да преустанови и отстрани последиците от неразрешено обработване; и при поискване да предоставя на министерство обобщение или представително копие на съответните разпоредби във връзка с личните данни от договора с третата страна;

—

предвиждане, че организацията — участник в Щита за личните данни, носи отговорност за обработването на личната информация, която получава съгласно Щита за личните данни и впоследствие предава на трета страна, която изпълнява функциите на представител от нейно име, както и че организацията — участник в Щита за личните данни, ще продължи да носи отговорност съгласно Принципите, ако нейният представител обработва тази лична информация по начин, който не съответства на Принципите, освен ако организацията докаже, че не носи отговорност за събитието, породило вредата;

—	поясняване, че организацията — участник в Щита за личните данни, трябва да ограничава личната информация до необходимото за целите на обработването;

—	поставяне на изискване към организациите да удостоверяват ежегодно пред министерството своя ангажимент да прилагат Принципите по отношение на информацията, която са получили, докато са участвали в Щита за личните данни, в случай че напуснат Щита за личните данни и изберат да запазят тези данни;

—	изискване да бъдат осигурени независими механизми за защита, безплатно за физическите лица;

—	поставяне на изискване към организациите и избраните от тях независими механизми за защита да отговарят в кратки срокове на запитвания и искания за информация от страна на министерство във връзка с Щита за личните данни;

—	поставяне на изискване към организациите да отговарят експедитивно на жалби във връзка със спазването на Принципите, насочени към тях от органи на държавите — членки на ЕС, чрез министерството; и

—

поставяне на изискване към организациите — участници в Щита за личните данни, да обявяват публично всички съответно свързани с Щита за личните данни части от евентуални доклади за спазването или доклади за оценка, представени на ФТК, ако по отношение на организацията е издадена заповед от ФТК или съдебно разпореждане във връзка с неспазване.

Управление и надзор на Програмата на Щита за личните данни от Министерство на търговията

Министерство потвърждава ангажимента си да поддържа и предоставя за публичен достъп официален списък на организациите от САЩ, които са се самосертифицирали пред министерството и са декларирали ангажимента си да спазват Принципите („Списък към Щита за личните данни“). Министерството ще актуализира Списъка към Щита за личните данни, като ще заличава от него организациите, които са се оттеглили доброволно, не са изпълнили изискването за ежегодно пресертифициране съгласно процедурите на министерството или е установено, че трайно не спазват Принципите. Също така министерството ще поддържа и предоставя за публичен достъп официален регистър на организациите в САЩ, които по-рано са били самосертифицирани в министерството, но са заличени от Списъка към Щита за личните данни, включително заличените поради трайно неспазване на Принципите. Министерството ще посочи причините, поради които всяка организация е била отстранена от списъка.

В допълнение към това министерството се ангажира да засили управлението и надзора на Щита за личните данни. По-специално министерството ще:

Предоставя допълнителна информация на уебсайта на Щита за личните данни:

—	поддържа Списъка към Щита за личните данни, както и справка за организациите, които по-рано са се самосертифицирали, че ще спазват принципите, но повече не се ползват с предимствата на Щита за личните данни;

—

постави на видно място пояснение, с което да става ясно, че всички организации, които са били заличени от Списъка към Щита за личните данни, повече не се ползват с предимствата на Щита за личните данни, но въпреки това трябва да продължат да прилагат Принципите за личната информация, която са получили, докато са участвали в Щита за личните данни, за времето през което продължават да съхраняват тази информация; и

—	предостави електронна връзка към списъка на регистрираните във Федералната търговска комисия случаи във връзка с Щита за личните данни, който се поддържа на уебсайта на ФТК.

Проверява изискванията за самосертифициране:

—

преди окончателното самосертифициране на дадена организация (или ежегодното ѝ пресертифициране) и включването ѝ в Списъка към Щита за личните данни проверява дали организацията:

—	е посочила необходимата информация за връзка с нея;

—	е описала дейностите, които извършва във връзка с получената от ЕС лична информация;

—	е посочила каква е личната информация, за която се отнася самосертифицирането;

—

ако организацията има публичен уебсайт, е предоставила хипервръзка към адреса, където е предоставила на разположение политиката си в областта на неприкосновеността на личния живот и тази политика е достъпна на адреса на предоставената хипервръзка, а ако организацията няма публичен уебсайт, е посочила къде е предоставила на разположение за публичен достъп политиката си в областта на неприкосновеността на личния живот;

—

е включила в съответната си политика в областта на неприкосновеността на личния живот декларация, че спазва Принципите, и когато политиката ѝ в областта на неприкосновеността на личния живот е на разположение онлайн, е предоставила хипервръзка към страницата на Щита за личните данни на уебсайта на министерството;

—

е определила конкретния законовоустановен орган, който е компетентен да разглежда жалби срещу организацията във връзка с евентуални нелоялни или измамни практики или нарушения на законите или разпоредбите, уреждащи неприкосновеността на личния живот (и който е посочен в Принципите или в бъдещо приложение към Принципите);

—

ако организацията е избрала да изпълни изискванията, посочени в буква а), подточки i) и iii) от принципа „Защита, прилагане и отговорност за причинени вреди“, като се е ангажирала да сътрудничи със съответните органи по защита на данните („ОЗД“) в ЕС, е посочила намерението си да сътрудничи с ОЗД при разследването и разрешаването на жалбите, подадени съгласно Щита за личните данни, и по-специално да отговаря на техни запитвания, когато субекти на данни от ЕС са подали жалба директно в националния си ОЗД;

—	е определила програма за неприкосновеността на личния живот, на която организацията е член;

—	е определила метод за проверка, с цел осигуряване на спазването на Принципите (напр. вътрешна или от трета страна);

—	е определила при подаване на самосертификацията си и в своята политика в областта на неприкосновеността на личния живот независимия механизъм за защита, който е на разположение за разследване и разрешаване на жалби;

—	е включила в съответната си политика в областта на неприкосновеността на личния живот, когато тази политиката е на разположение онлайн, хипервръзка към уебсайт или към формуляр за подаване на жалба на независимия механизъм за защита, който е на разположение за разследване на нерешени жалби; и

—

ако организацията е посочила, че възнамерява да получава информация във връзка с човешки ресурси, предавана от ЕС, за използване в контекста на трудови правоотношения, е декларирала ангажимента си да си сътрудничи с ОЗД и да спазва препоръките им за разрешаването на жалби относно нейни дейности във връзка с такива данни, е предоставила на министерството копие от политиката си в областта на неприкосновеността на личния живот на човешките ресурси и е посочила къде е предоставила на разположение на засегнатите служители тази политика, за да могат да я разгледат.

—	работи с независими механизми за защита за удостоверяване, че организациите действително са се регистрирали в съответните механизми, които са посочили при самосертифицирането си, когато е поставено изискване за такава регистрация.

Разширява усилията за последващи действия спрямо организациите, които са били заличени от Списъка към Щита за личните данни:

—	уведомява организациите, които са заличени от Списъка към Щита за личните данни поради „трайно неспазване“, че нямат право да задържат информацията, събрана съгласно Щита за личните данни; и

—

изпраща въпросници до организациите, чието самосертифициране е изтекло или които доброволно са се оттеглили от Щита за личните данни, за да се провери дали организацията ще започне отново да участва, или ще се отпише, или ще продължи да прилага Принципите за личната информация, която е получила, докато е участвала в Щита за личните данни, и ако възнамерява да задържи личната информация, да удостовери кой в рамките на организацията ще служи за лице за постоянен контакт по въпросите във връзка с Щита за личните данни.

Търси неверни твърдения за участие и намира решения:

—	прави преглед на политиката в областта на неприкосновеността на личния живот на организации, които са участвали в програма съгласно Щита за личните данни, но са били заличени от Списъка към Щита за личните данни, за да се следи за неверни твърдения за участие в Щита за личните данни;

—

текущо, когато една организация: a) се оттегли от участие в Щита за личните данни, б) не се пресертифицира за спазването на Принципите или в) бъде отстранена от участие в Щита за личните данни, по-специално поради „трайно неспазване“, предприема по служебен път проверка за установяване дали организацията е изтрила от съответните публикации относно политиката си в областта на неприкосновеността на личния живот всички упоменавания на Щита за личните данни, които водят до заключението, че продължава да участва активно и се ползва с предимствата от участието си в Щита за личните данни. Когато министерството констатира, че тези упоменавания не са премахнати, той ще предупреди организацията, че ще отнесе въпроса според случая до съответната инстанция за евентуално предприемане на действия по правоприлагане, ако организацията продължава да твърди, че е сертифицирана съгласно Щита за личните данни. Ако организацията нито премахва упоменаванията, нито самосертифицира своето съответствие по отношение на Щита за личните данни, министерството ще отнесе въпроса по служебен път до ФТК, МТ или друг съответен правоприлагащ орган, или в случаите, когато това е уместно, ще предприеме действия по прилагане във връзка със сертификационния знак съгласно Щита за личните данни;

—

полага други усилия да следи за неверни твърдения за участие в Щита за личните данни и за неправилно използване на сертификационния знак съгласно Щита за личните данни, включително като провежда търсене в интернет, за да установи появата на изображения на сертификационния знак съгласно Щита за личните данни и на упоменавания на Щита за личните данни в политиките на организациите в областта на неприкосновеността на личния живот;

—

своевременно ще се намират решения на евентуални проблеми, които сме установили при служебните проверки за неверни твърдения за участие и неправилно използване на сертификационния знак, включително като се отправят предупреждения към организациите, които неправилно представят информация за участието си в програма съгласно Щита за личните данни, както това е описано по-горе;

—	предприема други подходящи корективни мерки, включително чрез средства за правна защита, които министерството е компетентно да предприеме, и отнасяне на въпроса до ФТК, МТ или друг съответен правоприлагащ орган; и

—	своевременно разглежда и намира решения на получаваните от нас жалби относно неверни твърдения за участие.

Министерството ще извършва преглед на политиките на организациите в областта на неприкосновеността на личния живот с цел по-ефективното установяване на неверни твърдения за участие в Щита за личните данни и намиране на решения. По-специално министерството ще извършва преглед на политиките в областта на неприкосновеността на личния живот на организации, чието самосертифициране е изтекло поради това, че не са се пресертифицирали за спазването на Принципите. Министерството ще извършва тези прегледи, за да проверява дали такива организации са премахнали от съответните публикации относно политиката си в областта на неприкосновеността на личния живот всички упоменавания, които водят до заключението, че продължават да участват активно в Щита за личните данни. В резултат от този вид прегледи ще идентифицираме организациите, които не са премахнали тези упоменавания и ще им бъдат изпращани писма от службата на главния юрисконсулт на министерството с предупреждение за предприемане на възможни действия по прилагане, ако упоменаванията не бъдат премахнати. Министерството ще предприема последващи мерки с цел да гарантира, че организациите са премахнали неуместните упоменавания или са се пресертифицирали за спазването на Принципите. Освен това министерството ще полага усилия за установяването на неверни твърдения за участие в Щита за личните данни от страна на организации, които никога не са участвали в програма съгласно Щита за личните данни, и ще предприема по отношение на тези организации корективни мерки.

Извършва периодични служебни прегледи и оценки на спазването на програмата:

—

текущо следи за ефективното спазване, включително чрез изпращане на подробни въпросници на участващите организации, за да установи проблеми, които могат да налагат допълнителни последващи действия. По-специално тези прегледи на спазването ще се извършват, когато: a) министерството получи конкретна основателна жалба относно спазването от дадена организация на Принципите, б) дадена организация не предостави задоволителни отговори на запитванията на министерството за информация във връзка с Щита за личните данни, или в) има достоверни доказателства, че дадена организация не спазва ангажиментите си съгласно Щита за личните данни. Когато е уместно, министерството ще се консултира с компетентните органи по защита на данните относно тези проверки за спазването; и

—	периодично прави оценка на управлението и надзора на програмата за Щита за личните данни с цел да гарантира, че мониторинговите усилия са уместни за намирането на решения на новите проблеми, които възникват.

Министерството увеличи ресурсите, които ще бъдат вложени за управлението и надзора на програмата за Щита за личните данни, включително увеличи два пъти броя на служителите, които ще отговарят за управлението и надзора на програмата. Ние ще продължим да заделяме съответните ресурси за тези усилия, за да гарантираме ефективния мониторинг и управление на програмата.

Адаптира уебсайта на Щита за личните данни според целевите: групи

Министерството ще адаптира уебсайта на Щита за личните данни с насоченост върху три целеви групи: физически лица от ЕС, дружества от ЕС и дружества от САЩ. Включването на материал, насочен пряко към физическите лица от ЕС и дружествата от ЕС, ще съдейства за прозрачността по няколко начина. По отношение на физическите лица от ЕС ще бъдат ясно пояснени: 1) правата, които Щитът за личните данни дава на физическите лица от ЕС; 2) механизмите за защита, с които разполагат физическите лица от ЕС, когато считат, че дадена организация нарушава ангажиментите си да спазва Принципите; и 3) как да намерят информация, отнасяща се до самосертифицирането на дадена организация съгласно Щита за личните данни. По отношение на дружествата от ЕС ще се улесни проверката: 1) дали дадена организация се ползва от предимствата на Щита за личните данни; 2) за вида на информацията, която е включена в самосертифицирането на дадена организация съгласно Щита за личните данни; 3) за политиката в областта на неприкосновеността на личния живот, която се прилага за включената информация; и 4) за метода, който организацията използва за проверка на спазването на Принципите.

Засилване на сътрудничеството с ОЗД

За увеличаване на възможностите за сътрудничество с ОЗД министерството ще определи конкретно лице за контакт в министерството, което да изпълнява функциите на връзка с ОЗД. В случаите, когато даден ОЗД счита, че организация не спазва Принципите, включително след подадена жалба от физическо лице от ЕС, ОЗД може да се свърже с определеното лице за връзка в министерството, за да посочи организацията за допълнителна проверка. Също така лицето за връзка ще получава сезирания за организации, които неправомерно твърдят, че участват в Щита за личните данни, въпреки че никога не са се самосертифицирали за спазването на Принципите. Лицето за връзка ще съдейства на ОЗД, търсещи информация, свързана със самосертифицирането на конкретна организация или предишно участие в програмата, и ще отговаря на запитвания от ОЗД във връзка с изпълнението на конкретни изисквания съгласно Щита за личните данни. На второ място, министерството ще предоставя на ОЗД материали във връзка с Щита за личните данни, които те да включват на уебсайтовете си за повишаване на прозрачността за физическите лица от ЕС и дружествата от ЕС. Повишаването на информираността относно Щита за личните данни и правата и отговорностите, които произтичат от него, трябва да улесни установяването на проблемите при тяхното възникване, така че да могат да бъдат решавани по подходящ начин.

Съдейства за разрешаването на жалби за неспазване

Чрез определеното лице за връзка министерството ще бъде сезирано от ОЗД относно жалби във връзка с неспазването на Принципите от страна на организация — участник в Щита за личните данни. Министерството ще полага всички възможни усилия да съдейства за разрешаването на жалбата съвместно с организацията — участник в Щита за личните данни. В срок до 90 дни от получаването на жалбата министерството ще информира ОЗД за актуалното състояние. За улесняване на подаването на такива жалби министерството ще създаде стандартен формуляр, който ОЗД да подават до определеното лице за връзка в министерството. Това лице ще проследява всички сезирания на министерството от ОЗД относно жалби и министерството ще предоставя доклад с обобщен анализ на жалбите, които са получени през годината, в разгледания по-долу годишен преглед.

Приема арбитражни процедури и избира арбитри в консултация с Комисията

Министерството ще изпълни ангажиментите си, разгледани в приложение I, и ще публикува процедурите след постигане на съгласие.

Механизъм за съвместен преглед на функционирането на Щита за личните данни

Министерството на търговията, ФТК и други агенции, според случая, ще провеждат ежегодни срещи с Комисията, заинтересовани ОЗД и съответни представители на работната група по член 29, на които министерството ще предоставя актуална информация относно програмата за Щита за личните данни. На годишните срещи ще се провеждат дискусии по текущи въпроси, свързани с функционирането, изпълнението, надзора и прилагането на Щита за личните данни, включително относно сезиранията на министерството от ОЗД във връзка с жалби, резултатите от служебните прегледи на спазването и също така могат да бъдат обсъждани съответни изменения в законодателството. Първият годишен преглед и съответно последващите прегледи ще включват и диалог по други въпроси, като например в областта на автоматизираното вземане на решения, включително що се отнася до приликите и разликите в подходите на ЕС и САЩ.

Актуализиране на законодателството

Министерството ще положи усилия в рамките на разумното, за да информира Комисията за съществени промени в законодателството на САЩ, доколкото те са от значение за Щита за личните данни в областта на защитата на личните данни и ограниченията и гаранциите, приложими към достъпа до лични данни от органите на САЩ и последващото им използване.

Изключение за целите на националната сигурност

Във връзка с ограниченията по отношение спазването на Принципите на Щита за личните данни за целите на националната сигурност главният юрисконсулт на Службата на директора на Националното разузнаване Robert Litt също изпрати две писма, адресирани до Justin Antonipillai и Ted Dean от Министерството на търговия, които ви бяха препратени. Наред с останалото в писмата се обсъждат нашироко политиките, гаранциите и ограниченията, които се прилагат за дейностите на радиоелектронното разузнаване, провеждани от САЩ. В допълнение към това в писмата са разгледани мерките за прозрачност, които се осигуряват от разузнавателната общност на САЩ по тези въпроси. Тъй като Комисията понастоящем прави преценка за рамката на Щита за личните данни, информацията в тези писма дава уверения да се направи заключението, че Щитът за личните данни ще функционира по съответен начин съгласно посочените в него принципи. Според нашето разбиране вие можете да набирате информация от публично обявената от разузнавателната общност, наред с друга информация, за целите на бъдещите годишни прегледи на рамката на Щита за личните данни.

Въз основа на Принципите на Щита за личните данни и придружаващите писма и материали, включително ангажиментите на министерството във връзка с управлението и надзора на рамката на Щита за личните данни, очакваме Комисията да констатира, че рамката на Щита за личните данни в отношенията между ЕС и САЩ осигурява адекватна защита за целите на правото на ЕС, и предаванията на данни от Европейския съюз за организациите — участници в Щита за личните данни, ще продължат.

С уважение,

Ken Hyatt

Приложение 2

Арбитражен модел

ПРИЛОЖЕНИЕ I

В настоящото приложение I се определят условията, при които организациите — участници в Щита за личните данни, са задължени да решават жалбите чрез арбитраж съгласно принципа за защита, прилагане и отговорност за причинени вреди. Възможността за правно обвързващ арбитраж, описана по-долу, се прилага за някои жалби относно данни, предавани съгласно Щита за личните данни в отношенията между ЕС и САЩ, по които няма определено решение. С тази възможност се цели да се предостави бърз, независим и справедлив механизъм, който по избор на физическите лица може да бъде прилаган за решаване на жалби за нарушаване на Принципите, по които няма определено решение чрез някой от другите механизми съгласно Щита за личните данни, ако съществуват такива.

A. Обхват

Тази възможност за арбитраж е на разположение на физическите лица за нерешените жалби, за да може да се определи дали организация — участник в Щита за личните данни, е нарушила задълженията си съгласно Принципите по отношение на това физическо лице и дали това нарушение е останало изцяло и частично неотстранено. Тази възможност е предвидена само за тези цели. Например по отношение на изключенията от Принципите (1) или на твърдения относно адекватността на Щита за личните данни не се предвижда такава възможност.

Б. Налични средства за правна защита

Съгласно тази процедура за арбитраж специалната група по Щита за личните данни (в чийто състав влизат един или трима арбитри по споразумение между страните) е компетентна да предписва специфични за конкретния случай непарични безпристрастни мерки (например предоставяне на достъп, коригиране, заличаване или връщане на въпросните данни на физическото лице), необходими като корективно действие срещу нарушаването на Принципите единствено по отношение на физическото лице. Специалната група по арбитража разполага единствено с тези правомощия във връзка със средствата за правна защита. Когато определя корективните мерки, от специалната група по арбитража се изисква да взема предвид и другите средства за правна защита, които са били определени преди това от други механизми съгласно Щита за личните данни. Не се предоставя правна защита по отношение на претърпени вреди, направени разходи, заплатени такси и други. Всяка страна по спора сама поема разноските по хонорарите на адвокати.

В. Изисквания преди арбитраж

Когато физическо лице реши да използва тази възможност за арбитраж, то трябва да предприеме следните стъпки, преди да инициира арбитражно производство: 1) да подаде жалбата срещу нарушението направо пред организацията и да предостави възможност на тази организация да намери решение на въпроса в рамките на срока, определен в раздел III, точка 11, буква г), подточка i) от Принципите; 2) да използва независимия механизъм за защита съгласно Принципите, който е безплатен за лицето; и 3) да отнесе въпроса до Министерството на търговията чрез съответния орган по защита на данните и да предостави възможност на министерството да положи максимални усилия да разреши въпроса в рамките на срока, определен в писмото на Администрацията по международна търговия към Министерството на търговията, безплатно за лицето.

Тази възможност за арбитраж не може да се използва, когато преди това по жалба на това физическо лице срещу същото нарушение на Принципите: 1) е прилаган правно обвързващ арбитраж; 2) е определено окончателно решение след съдебен процес, по който физическото лице е било страна; или 3) вече е постигнато споразумение между страните. Освен това тази възможност за арбитраж не може да се използва, когато орган по защита на данните от ЕС: 1) е компетентен съгласно раздел III, точки 5 или 9 от Принципите; или 2) е компетентен да определи решение по жалбата срещу нарушение директно с организацията. Компетентността на ОЗД да определи решение по същата жалба срещу администратор на данни от ЕС сама по себе си не изключва възможността да бъде използвана тази възможност за арбитраж срещу друго юридическо лице, спрямо което този ОЗД няма правомощия.

Г. Правно обвързващ характер на решенията

Решението на дадено физическо лице да използва тази възможност за правно обвързващ арбитраж е напълно доброволно. Арбитражните решения ще бъдат задължителни за всички страни по арбитражното производство. Инициирането на арбитраж означава, че физическото лице се отказва от възможността да търси решение по жалбата срещу същото нарушение пред друга инстанция, освен когато определените непарични безпристрастни мерки не компенсират напълно извършеното нарушение и инициирането на арбитражно дело не изключва възможността за физическото лице да поиска обезщетение за вреди в обикновените съдилища.

Д. Контрол и привеждане в изпълнение

Физическите лица и организациите — участници в Щита за личните данни, могат да отнесат арбитражните решения за съдебен контрол и принудително изпълнение по силата на правото на САЩ съгласно Федералния арбитражен закон (Federal Arbitration Act) (2). В тези случаи отнасянето става във федерален окръжен съд, в чийто район на действие попада основното място на установяване на дейността на организацията— участник в Щита за личните данни.

Тази възможност за арбитраж е предназначена за разрешаване на индивидуални спорове и арбитражните решения нямат действието на убедителен или обвързващ прецедент по въпроси, в които участват други страни, включително за бъдещи арбитражни производства или за съдилищата в ЕС или в САЩ, както и за производства на ФТК.

Е. Специална група по арбитража

Страните ще избират арбитри от списъка, разгледан по-нататък.

В съответствие с приложимото законодателство Министерството на търговията на САЩ и Европейската комисия ще съставят списък с най-малко 20 арбитри, подбрани въз основа на техните независимост, почтеност и опит. Във връзка с този процес ще се прилага следното:

Арбитрите:

1)	ще остават включени в списъка за срок от 3 години освен в изключителни случаи или по основателни причини, като този срок може да бъде еднократно удължаван за нови 3 години;

2)	не трябва да действат под указания на която и да е от страните, на организация — участник в Щита за личните данни, на правителствена институция, публичен орган или правоприлагащ орган на САЩ, ЕС, държава — членка на ЕС, или друг такъв орган, както и не трябва да са обвързани с такива; и

3)	трябва да имат разрешение да практикуват право в САЩ, да бъдат специалисти в законодателството на САЩ в областта на неприкосновеността на личния живот и да имат експертен опит и познания относно законодателството на ЕС в областта на защитата на данните.

Ж. Арбитражни процедури

Съобразно приложимото законодателство и в срок до 6 месеца, считано от приемането на решението за адекватност, Министерството на търговията и Европейската комисия ще се договорят относно приемането на набор от действащи и утвърдени арбитражни процедури в САЩ (като AAA или JAMS), които да уреждат производствата пред специалната група по Щита за личните данни, под условието на всяко от следните съображения:

Всяко физическо лице може да инициира правно обвързващ арбитраж при спазване на изискванията за действията преди арбитраж, разгледани по-горе, като изпрати „Уведомление“ на организацията. В уведомлението трябва да се съдържат обобщение на стъпките, предприети съгласно точка В за намиране на решение по жалбата, описание на твърдяното нарушение и, по избор на лицето, евентуални придружаващи документи и материали и/или правно изложение във връзка с твърдяното нарушение.

2.	Ще бъдат създадени процедури, за да се гарантира, че няма да има дублиране на средствата или процедурите за правна защита по жалбата на това физическо лице срещу същото нарушение.

3.	Действията на ФТК могат да се предприемат успоредно с арбитражното производство.

В тези арбитражни производства не може да участва представител на правителствена институция, публичен орган или правоприлагащ орган на САЩ, ЕС, държава — членка на ЕС, или друг такъв орган, като по искане на физическото лице от ЕС ОЗД могат да оказват съдействие само за изготвянето на уведомлението, но те не могат да имат достъп до разкрития или каквито и да е други материали във връзка с арбитражното дело.

5.	Мястото на провеждане на арбитража ще е в Съединените щати, а физическото лице може да избере да участва чрез видео- или телефонна връзка, която се осигурява безплатно за него. Не е наложително да участва лично.

Езикът, на който ще се води арбитражното дело ще бъде английски, освен когато страните са се споразумели за друго. При мотивирано искане и като се взема предвид дали физическото лице се представлява от адвокат, ще се осигурява безплатно устен превод по време на изслушването и писмен превод на материалите по арбитражното дело, освен когато по преценка на специалната група поради обстоятелствата на конкретния арбитраж това би довело до необосновани или непропорционални разходи.

7.	Предоставените на арбитрите материали ще се третират като поверителна информация и ще бъдат използвани само във връзка с арбитражното дело.

8.	Ако е необходимо, може да се допусне да бъдат представени специални разкрития на физическото лице, които ще бъдат третирани от страните като поверителна информация и ще бъдат използвани само във връзка с арбитражното дело.

9.	Арбитражните дела трябва да приключат в срок до 90 дни, считано от изпращането на уведомлението до въпросната организация, освен когато страните са се договорили за друго.

З. Разходи

Арбитрите следва да предприемат подходящи мерки за свеждане до минимум на разноските или хонорарите по арбитражните дела.

В съответствие с приложимото законодателство Министерството на търговията ще съдейства за създаването на фонд, в който ще се изисква от организациите — участници в Щита за личните данни, да внасят годишни вноски, въз основа отчасти на големината на организацията, и от който ще бъдат покривани разходите по арбитражната процедура, включително хонорарите за арбитрите, до определени максимални размери („таван“), което ще се извърши в консултация с Европейската комисия. Фондът ще се управлява от трета страна, която редовно ще докладва за работата му. При годишния преглед Министерството на търговията и Европейската комисия ще извършват преглед на работата на фонда, включително необходимостта от промяна на размера на вноските или тавана, като наред с останалото ще вземат предвид и броя на арбитражните дела и разноските и времетраенето им, като общото разбиране е да не се създава прекомерна финансова тежест за организациите — участници в Щита за личните данни. Адвокатските хонорари не са обхванати от настоящата разпоредба, нито от фонда съгласно нея.

(1) Раздел I.5 от Принципите.

(2) Съгласно глава 2 от Федералния арбитражен закон (Federal Arbitration Act) („ФАЗ“) „арбитражно споразумение или арбитражно решение, произтичащо от правни взаимоотношения, включително договорни, които могат да бъдат считани за търговски по характер, включително сделка, договор или споразумение от вида на описаните [в раздел 2 от ФАЗ], се включва в обхвата на Конвенцията [относно признаването и изпълнението на чуждестранни арбитражни решения от 10 юни 1958 г., 21 U.S.T. 2519, T.I.A.S. № 6997 („Конвенцията от Ню Йорк“)].“ 9 U.S.C. § 202. По-нататък във ФАЗ е предвидено, че „споразумение или решение, произтичащо от такива взаимоотношения, в които участват само граждани на Съединените щати, не се включва в обхвата на Конвенцията [от Ню Йорк], освен когато в тези взаимоотношения участва недвижимо имущество с местонахождение в чужбина, когато се предвижда изпълнение на дейност или прилагане в чужбина или по друг начин е налице някаква основателна връзка с една или повече чужди държави“. Съгласно глава 2 „всяка от страните по арбитражното дело може да се отнесе до съд с юрисдикция съгласно разпоредбите в настоящата глава, за да поиска разпореждане в потвърждение на арбитражното решение, постановено срещу някоя от другите страни по арбитражното дело. Съдът потвърждава решението, освен когато констатира, че е налице едно от основанията за отказ или отсрочване на признаването или изпълнението на решението, както това е определено в посочената Конвенция [от Ню Йорк].“, пак там § 207. По-нататък в глава 2 е предвидено, че „окръжните съдилища в Съединените щати.. са компетентни в първоначалния иск. … или първоначалното производство [съгласно Конвенцията от Ню Йорк], независимо от размерите на спора.“, пак там § 203.

Също така в глава 2 е предвидено, че „Разпоредбите съгласно глава 1 се прилагат за искове и производства, инициирани съгласно разпоредбите в настоящата глава, доколкото разпоредбите в глава 1 не влизат в противоречие с тези в настоящата глава или в Конвенцията [от Ню Йорк], както тя е ратифицирана от Съединените щати.“, пак там § 208. От друга страна в глава 1 е предвидено, че „писмени разпоредби в. .. договор за търговска сделка, отнасящи се до решаване чрез арбитраж на спорове, произтичащи от такъв договор, или сделка или от отказ да бъде изпълнен договорът изцяло или частично, както и писмено споразумение да бъде инициирано арбитражно дело по съществуващ спор, възникнал въз основа на такъв договор, сделка или отказ, се считат за валидни, неотменими и подлежащи на принудително изпълнение, освен когато са налице съществуващи по закон основания или справедливи основания за отмяна на договора.“, пак там § 2. По-нататък в глава 1 е предвидено, че „всяка страна по арбитражния спор може да изиска от посочения съд разпореждане за потвърждаване на решението, след което съдът е задължен да издаде такова разпореждане, освен когато решението е било отменено, изменено или поправено, както това е предвидено в раздели 10 и 11 [от ФАЗ].“, пак там § 9.

ПРИЛОЖЕНИЕ II

ПРИНЦИПИ НА РАМКАТА НА ЩИТА ЗА ЛИЧНИТЕ ДАННИ В ОТНОШЕНИЯТА МЕЖДУ ЕС И САЩ, ПУБЛИКУВАНИ ОТ МИНИСТЕРСТВОТО НА ТЪРГОВИЯТА НА САЩ

I. ОБЩ ПРЕГЛЕД

При все че Съединените щати и Европейският съюз споделят целта за повишаване на защитата на неприкосновеността на личния живот, подходът на Съединените щати към неприкосновеността на личния живот е различен от този на Европейския съюз. Съединените щати прилагат секторен подход, който се основава на законови и подзаконови разпоредби, както и кодекси за саморегулиране. Предвид тези различия и с цел да бъде предоставен на организациите в Съединените щати надежден механизъм за предаване на лични данни към САЩ от Европейския съюз, като същевременно се гарантира, че субектите на данни от ЕС ще продължат да се ползват с ефективни гаранции и защита, както това се изисква съгласно европейското законодателство по отношение на обработването на личните им данни, когато те се предават на държави извън ЕС, Министерството на търговията публикува тези Принципи на Щита за личните данни, включително допълнителните принципи (наричани общо „Принципите“), в съответствие със законоустановените си правомощия да засилва, насърчава и развива международната търговия (15 U.S.C. § 1512). Принципите бяха разработени в консултация с Европейската комисия и с представители на промишлеността и други заинтересовани страни с цел насърчаване на търговията между Съединените щати и Европейския съюз. Те са предназначени единствено за организациите в Съединените щати, които получават лични данни от Европейския съюз, с цел тези организации да изпълнят условията съгласно Щита за личните данни и по този начин да се ползват от решението за адекватност на Европейската комисия. (1) Принципите не засягат прилагането на националните разпоредби за прилагане на Директива 95/46/ЕО („Директивата“), които се прилагат за обработването на личните данни в държавите членки. По същия начин Принципите не ограничават задълженията по отношение на неприкосновеността на личния живот, които по принцип се прилагат съгласно правото на САЩ.

За да се основава на Щита за личните данни при извършването на предавания на лични данни с произход от ЕС, една организация трябва да се самосертифицира, че ще спазва Принципите пред Министерството на търговията (или определено от него орган) („министерството“). Независимо че решенията на организациите да се присъединят по този начин към Щита за личните данни са напълно доброволни, ефективното спазване на Принципите е задължително: организациите, които са се самосертифицирали пред министерството и са обявили публично своя ангажимент да спазват Принципите, трябва да ги спазват в пълна степен. За да се присъедини към Щита за личните данни, една организация трябва: а) да подлежи на правомощията по разследване и прилагане на Федералната търговска комисия („ФТК“), Министерството на транспорта или друг законовоустановен орган, който гарантира за ефективното спазване на Принципите (в бъдеще могат да бъдат добавени в приложение и други законовоустановени органи на САЩ, признати от ЕС); б) да обяви публично ангажимента си да спазва Принципите; в) да предостави за публичен достъп политиките си в областта на неприкосновеността на личния живот в съответствие с тези Принципи; и г) да ги прилага в пълна степен. Организация, която не спазва Принципите, подлежи на принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия, който забранява нелоялните и измамни практики в търговията или засягащи търговията, (15 U.S.C. § 45(a)) или съгласно друг законов или подзаконов акт, с който се забраняват тези практики.

Министерството на търговията ще поддържа и предоставя за публичен достъп официален списък на организациите в САЩ, които са се самосертифицирали пред министерството и са декларирали ангажимента си да спазват Принципите („Списък към Щита за личните данни“). Организацията се ползва с предимствата на Щита за личните данни, считано от датата, на която министерството включи организацията в Списъка към Щита за личните данни. Министерството ще заличи от Списъка към Щита за личните данни организацията, която се е оттеглила доброволно от Щита за личните данни или не е изпълнила изискването за ежегодно пресертифициране пред министерството. Заличаването на една организация от Списъка към Щита за личните данни означава, че тя повече не се ползва с предимствата на решението за адекватност на Европейската комисия при получаването на лична информация от ЕС. Организацията трябва да продължи да прилага Принципите по отношение на личната информация, която е получила, докато е участвала в Щита за личните данни, и ежегодно да потвърждава пред министерството ангажимента си за това, докато продължава да съхранява тази информация; в противен случай организацията трябва да върне или заличи информацията или да осигури „адекватна“ защита чрез други разрешени средства. Също така министерството ще заличава от Списъка към Щита за личните данни организациите, които трайно не спазват Принципите; тези организации не отговарят на условията да се ползват с предимствата на Щита за личните данни и трябва да върнат или заличат личната информация, която са получили съгласно Щита за личните данни.

Също така министерството ще поддържа и предоставя за публичен достъп официален регистър на организациите в САЩ, които по-рано са били самосертифицирани в министерството, но са заличени от Списъка към Щита за личните данни. Министерството ще отправя ясно предупреждение, че тези организации не участват в Щита за личните данни; че заличаването от Списъка към Щита за личните данни означава, че тези организации не могат да твърдят, че спазват изискванията съгласно Щита за личните данни и трябва да избягват да правят всякакви изявления или подвеждащи действия, които водят до заключението, че участват в Щита за личните данни; и че тези организации повече не се ползват с предимствата на решението за адекватност на Европейската комисия, което би им позволило да получават лична информация от ЕС. Спрямо организация, която продължава да твърди, че участва в Щита за личните данни, или по друг начин прави погрешно представяне на информация във връзка с Щита за личните данни, след като е била заличена от Списъка към Щита за личните данни, могат да бъдат предприети действия по правоприлагане от страна на ФТК, Министерството на транспорта или други правоприлагащи органи.

Придържането към тези Принципи може да бъде ограничено: а) до необходимата степен, с оглед спазване изискванията за националната сигурност, обществения интерес или изискванията на правоприлагането; б) със закон, правителствено регулиране или съдебна практика, които пораждат взаимнопротиворечиви задължения или предвиждат изрични разрешителни, при положение че дадена организация, която е поискала подобно разрешително, може да докаже, че неспазването на принципите е ограничено до необходимата степен за гарантиране на първостепенните законово предвидени интереси, за които е поискано разрешителното; или в) ако действието на Директивата или на законодателството на държавата членка предвижда изключения или дерогации, при условие че тези изключения или дерогации се прилагат в сравними контексти. Съгласно целта за по-голяма защита на неприкосновеността на личния живот, организациите трябва да се стремят да прилагат тези принципи изцяло и прозрачно, включително като посочват в своите политики за защита на неприкосновеността на личния живот — в кои области изключенията по отношение на принципите, предвидени в буква б) по-горе, ще се прилагат редовно. По същата причина, когато Принципите и/или законодателството на САЩ позволяват на организациите да направят избор, от тях се изисква да изберат, когато е възможно, по-високата степен на защита.

Организациите са задължени да прилагат Принципите за всички лични данни, предавани съгласно Щита за личните данни, след като се присъединят към Щита за личните данни. Организация, която е избрала да се ползва от предимствата на Щита за личните данни за лична информация за човешки ресурси, която се предава от ЕС, за да бъде използвана в контекста на трудови правоотношения, трябва да посочи това, когато се самосертифицира пред министерството, и трябва да спази изискванията, изложени в допълнителния принцип за самосертифицирането.

За въпроси, свързани с тълкуването и спазването на Принципите и на съответните политики в областта на неприкосновеността на личния живот от организациите — участници в Щита за личните данни, се прилага правото на САЩ, с изключение на случаите, когато тези организации са поели ангажимент да си сътрудничат с европейските органи по защита на данните („ОЗД“). Освен ако е посочено друго, всички разпоредби на Принципите се прилагат, когато са релевантни.

Определения:

а)	„Лични данни“ и „лична информация“ означават данни относно идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, които са в обхвата на Директивата, предадени са от Европейския съюз на организация в Съединените щати и са записани под каквато и да е форма.

б)

„Обработване“ на лични данни означава всяка операция или съвкупност от операции, извършвана с лични данни чрез автоматични или други средства, като събиране, записване, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване или разпространяване и изтриване или унищожаване.

в)	„Администратор“ означава физическо лице или организация, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

Датата, от която Принципите ще се прилагат ефективно, е датата на окончателното одобрение на решението за адекватност на Европейската комисия.

II. ПРИНЦИПИ

1. Уведомяване

а)

Всяка организация трябва да уведомява физическите лица за:

i.	участието си в Щита за личните данни и да предоставя електронна връзка към Списъка към Щита за личните данни или адреса на уебстраницата,

ii.	видовете лични данни, които се събират, и правните субекти или дъщерните дружества на организацията, които също се придържат към Принципите, когато това е приложимо,

iii.	ангажимента си да прилага Принципите за всички лични данни, които получава от ЕС съгласно Щита за личните данни,

iv.	целите, с които събира и използва лична информация за тях,

v.	как да се свържат с организацията, ако имат запитвания или оплаквания, включително съответни организации в ЕС, които могат да отговорят на тези запитвания или оплаквания,

vi.	видовете или самоличността на трети страни, на които личната информация ще бъде разкрита и целите, с които се извършва това,

vii.	правото на физическите лица на достъп до личните им данни,

viii.

възможностите за избор и средствата, които предлага организацията на физическите лица с оглед ограничаване използването и разкриването на личните им данни,

ix.

определения независим орган за разрешаване на спорове, към който да се адресират жалби и който следва да предоставя подходящи средства за правна защита, безплатно за физическото лице, и дали това е: 1) панелът, създаден от ОЗД, 2) организация за алтернативно разрешаване на спорове, установена в ЕС, или 3) организация за алтернативно разрешаване на спорове, установена в Съединените щати,

x.	това, че за нея се прилагат правомощията за разследване и правоприлагане на ФТК, Министерството на транспорта или друг оправомощен законовоустановен орган на САЩ,

xi.	възможността при определени условия физическото лице да използва правно обвързващ арбитраж,

xii.	изискването да бъде разкривана лична информация в отговор на законни искания на публични органи, включително в отговор на изисквания на националната сигурност или правоприлагането, и

xiii.

отговорността на организацията в случаите на последващи предавания към трети страни.

б)

Уведомяването трябва да бъде направено на ясен и разбираем език, когато физическите лица бъдат поканени за първи път да предоставят личната информация на организацията или веднага след като стане възможно, но във всеки случай преди тези данни да бъдат използвани от организацията за цел, различна от тази, за която са били първоначално събрани или обработени от организацията, която извършва предаването или разкриването им за първи път на трета страна.

2. Избор

а)

Всяка организация трябва да предлага на физическите лица възможността да изберат (клауза за неучастие — „opt out“) дали личната информация за тях: а) може да бъде разкрита на трета страна, или б) може да бъде използвана за несъвместими по същество цели с предназначението или предназначенията, за които е била първоначално събрана или за които по-късно е дадено разрешение от физическите лица. Физическите лица трябва да разполагат с ясни, разбираеми и леснодостъпни механизми, за да направят своя избор.

б)

Чрез дерогация от предходната буква, не е необходимо да се предоставя избор, когато разкриването се извършва пред трета страна, която изпълнява функциите на представител за изпълнение на задача(и) от името и под указанията на организацията. Организацията обаче трябва винаги да сключва договор с представителя.

в)

Що се отнася до чувствителна информация (например лична информация, свързана с медицинското или здравословното състояние, с произход — раса или етнически произход, политически възгледи, вероизповедание или философски убеждения, членство в синдикат или сексуални предпочитания), организациите трябва да получат от лицата утвърждаващо изрично съгласие („opt in“), при условие че информацията трябва да бъде: i) разкрита на трета страна или ii) използвана с цел, различна от тази, за която е била първоначално събрана или за която по-късно е дадено разрешение от физическите лица посредством упражняването на правото им на изрично съгласие. Освен това организацията следва да разглежда всяка лична информация, получена от трета страна, като чувствителна информация, ако последната определя и третира тази информация като такава.

3. Отчетност за последващото предаване

а)

За да предават лична информация на трета страна, която изпълнява функциите на администратор, организациите трябва да спазват принципите на уведомяването и на избора. Организациите трябва също така да сключат договор с третата страна администратор, в който да бъде предвидено, че тези данни могат да бъдат обработвани само с ограничена и конкретна цел в съответствие с даденото съгласие от физическото лице, както и че получателят ще осигури същата степен на защита, която се осигурява от Принципите, и ще уведоми организацията, ако констатира, че вече не е в състояние да изпълнява това задължение. Договорът предвижда, че когато тази констатация е направена, третата страна администратор прекратява обработката или предприема други за отстраняване на последиците.

б)

За да предават лични данни на трета страна, която изпълнява функциите на представител, организациите трябва: i) да предават тези данни само с ограничена и конкретна цел; ii) да определят, че представителят е задължен да осигури най-малко същата степен на защита на неприкосновеността на личния живот, която се изисква съгласно Принципите; iii) да предприемат обосновани и съответни мерки, за да гарантират, че представителят ефективно обработва предадената лична информация по начин, който съответства на задълженията на организацията съгласно Принципите; iv) да изискват от представителя да уведоми организацията, ако констатира, че вече не е в състояние да изпълнява своето задължение да осигурява същата степен на защита на неприкосновеността на личния живот, която се изисква съгласно Принципите;; v) при уведомяване, включително съгласно подточка iv), да предприемат обосновани и съответни мерки да преустановят и отстранят последиците от неразрешено обработване; и vi) при поискване да предоставят на министерството обобщение или представително копие на съответните разпоредби във връзка с неприкосновеността на личния живот от договора с представителя.

4. Сигурност

а)

Организациите, които създават, поддържат, използват или разпространяват лична информация, трябва да вземат обосновани и подходящи мерки, за да предотвратят загубата, злоупотребата, непозволения достъп, разкриването, изменението и унищожаването на тези данни, като надлежно вземат под внимание рисковете, свързани с обработването и характера на личните данни.

5. Цялост на данните и ограничаване в рамките на целта

а)

Съгласно Принципите личната информация трябва да бъде ограничена до необходимата за целите на обработването (2). Никоя организация не може да обработва лична информация по начин, несъвместим с целите, за които тя е била събрана или за които по-късно е дадено разрешение от физическото лице. Доколкото е необходимо за тези цели, всяка организация трябва да вземе подходящи мерки, за да гарантира надеждността на личните данните по отношение на предвиденото им използване, както и тяхната точност, пълнота и актуалност. Организацията трябва да се придържа към Принципите през цялото време, докато запазва тази информация.

б)

Информация може да бъде запазвана във форма, която идентифицира или позволява да се идентифицира (3) физическото лице, само за толкова дълго, колкото служи за целта на обработването по смисъла на точка 5, буква а). Това задължение не възпира организациите да обработват лични данни за по-дълги периоди, т.е. докогато и дотолкова, колкото това обработване е от определена полза за целите на архивирането в интерес на обществото, журналистиката, литературата и изкуството, научни или исторически изследвания и статистически анализ. В тези случаи обработването е подчинена на другите принципи и разпоредби на рамката. Организациите следва да предприемат разумни и подходящи мерки за спазване на тази разпоредба.

6. Достъп

а)

Физическите лица трябва да имат достъп до личната информация за тях, с която разполага дадена организация, и да имат възможността да я коригират, променят или заличават, когато е неточна или се обработва в нарушение на Принципите, освен когато затрудненията или разходите по предоставяне на достъп биха били несъразмерни спрямо рисковете за неприкосновеността на личния живот на физическото лице във въпросния случай или когато биха били нарушени правата на лица, различни от заинтересованото.

7. Защита, прилагане и отговорност за причинени вреди

а)

Ефективната защита на неприкосновеността на личния живот трябва да включва сигурни механизми, които да гарантират спазването на Принципите, право на защита за физическите лица, засегнати от неспазването на принципите, както и санкциониране на организациите, когато не спазват принципите. Тези механизми трябва да включват най-малкото:

леснодостъпни независими механизми за защита, които да позволят експедитивно да се разгледат и решат жалбите или споровете на всяко физическо лице, безплатно за лицето и при позоваване на Принципите, както и предоставяне на обезщетения, когато приложимото законодателство или инициативите в частния сектор предвиждат това;

ii.

процедури за последващ контрол, за да се провери дали уверенията и твърденията, предоставени от организациите за техните практики в областта на неприкосновеността на личния живот, са верни и дали тези практики се прилагат действително, както се твърди, и по-специално по отношение на случаите на неспазване на Принципите; и

iii.	задължения за решаване на проблемите, произтичащи от неспазването на Принципите от организациите, обявяващи своето придържане към тях, и последствия за тези организации. Санкциите трябва да са достатъчно строги, за да гарантират спазването на Принципите от организациите.

б)

Организациите и избраните от тях независими механизми за защита отговарят в кратки срокове на запитвания и искания за информация от страна на министерството във връзка с Щита за личните данни. Всички организации трябва да отговарят експедитивно на жалби във връзка със спазването на Принципите, насочени към тях от органи на държавите — членки на ЕС, чрез министерството. Организациите, които са избрали да си сътрудничат с ОЗД, включително обработващите данни за човешки ресурси, трябва да отговарят директно на тези органи във връзка с разследването и разрешаването на жалби.

в)

Организациите са задължени да участват в арбитраж по отношение на жалбите и да спазват условията, посочени в приложение I, при условие че дадено физическо лице е отнесло въпроса за решаване чрез правно обвързващ арбитраж, като е уведомило въпросната организация и е спазило процедурите и условията, посочени в приложение I.

г)

В контекста на последващото предаване всяка организация — участник в Щита за личните данни, носи отговорност за обработването на личната информация, която получава съгласно Щита за личните данни и впоследствие предава на трета страна, която изпълнява функциите на представител от нейно име. Организацията — участник в Щита за личните данни, продължава да носи отговорност съгласно Принципите, ако нейният представител обработва тази лична информация по начин, който не съответства на Принципите, освен ако организацията докаже, че не носи отговорност за събитието, породило вредата.

д)

Когато по отношение на организацията е издадена заповед от ФТК или съдебно разпореждане във връзка с неспазване, организацията обявява публично всички съответно свързани с Щита за личните данни части от евентуален доклад за спазването или оценка, представени на ФТК, доколкото позволяват изискванията за поверителност. Министерството създаде специализирано звено за контакт с ОЗД относно проблеми на спазването от организации — участници в Щита за личните данни. ФТК ще разглежда случаите на неспазване на Принципите, за които е сезирана от министерството и органите на държавите — членки на ЕС, и ще обменя информация относно случаи, за които е сезирана с органите на съответната държава своевременно, при условията на съществуващите ограничения за поверителност.

III. ДОПЪЛНИТЕЛНИ ПРИНЦИПИ

1. Чувствителни данни

а)

От организациите не се изисква да получат утвърдително изрично съгласие („opt in“) по отношение на чувствителни данни, когато обработването:

i.	е от жизнено важен интерес за субекта на данните или за друго лице;

ii.	е необходимо, за да се установи право на иск или право на защита;

iii.	е необходимо, за да се окажат медицински грижи или за определяне на диагноза;

iv.

се извършва в хода на законни дейности от фондация, асоциация или друга организация с нестопанска цел и с политическа, философска, религиозна или профсъюзна цел, както и при условие че обработването се отнася единствено до членовете на организацията или до лицата, които поддържат с нея редовни контакти във връзка с предназначението ѝ, и че тези данни не се разкриват на трета страна без съгласието на субектите на данните;

v.	е необходимо, за да бъдат изпълнени задълженията на организацията по отношение на трудовото право; или

vi.	е свързано с данни, които ясно са били оповестени публично от физическото лице.

2. Изключения за журналистически цели

а)

С оглед предвидените съгласно Конституцията на САЩ защити за свободата на пресата и изключенията за журналистически материали съгласно Директивата, когато правата на свободната преса, заложени в първата поправка на Конституцията на САЩ, са несъвместими със защитата на неприкосновеността на личния живот, първата поправка се прилага с предимство за дейностите, които имат за предмет американски лица или организации.

б)

Личната информация, събрана с цел публикуване, разпространение или други форми на обществена комуникация под формата на журналистически материали, независимо дали ще се използва, или не, както и информацията, която е била публикувана преди това, след което е била архивирана, не е предмет на изискванията съгласно Принципите на Щита за личните данни.

3. Вторична отговорност

а)

Доставчиците на Интернет, далекосъобщителните дружества и другите организации не носят отговорност съгласно Принципите на Щита за личните данни, когато само предават, направляват, заместват или кешират информация от името на друга организация. Нито самата Директива, нито Щитът за личните данни могат да породят вторична отговорност. Не може да се търси отговорност на дадена организация, когато тя служи само за носител на данни, предавани от трети страни, и не определя нито целите, нито средствата за обработване на тези лични данни.

4. Извършване на комплексни проверки и провеждане на одити

а)	В дейностите на одиторите и на инвестиционните банки може да се наложи обработване на лични данни без съгласието или без знанието на заинтересованото лице. Това се допуска съгласно принципите на уведомяването, на избора и на достъпа при описаните по-нататък обстоятелства.

б)

Публичните акционерни дружества и предприятията с ограничен брой акционери, включително организациите — участници в Щита за личните данни, подлежат на редовно одитиране. Ако информацията за такива одити бъде разкрита преждевременно, това може да застраши целта им, особено когато се отнася до потенциални нарушения. По същия начин за организациите — участници в Щита за личните данни, които се включват в планирани сливания или поглъщания, е необходимо да се проведе или те подлежат на комплексна проверка. Това често налага събиране и обработване на лични данни, като например информация за служители на висши ръководни постове и други важни длъжности. Ако информацията бъде разкрита преждевременно, това може да попречи на сделката или дори да бъде в нарушение на приложимата правна уредба за ценните книжа. Инвестиционните банкери и адвокатите, работещи по комплексната проверка, или одиторите, когато провеждат одита, могат да обработват информация без знанието на физическото лице само в необходимите рамки и период от време за целите на спазването на законовите изисквания или изискванията от публичен интерес, както и в други обстоятелства, където прилагането на тези Принципи би засегнало легитимните интереси на организацията. Сред тези легитимни интереси са контролът на спазването от страна на организациите на техните законови задължения и законни счетоводни дейности, както и необходимостта от поверителност, свързана с евентуални поглъщания, сливания, съвместни предприятия или други сделки със сходен характер, извършвани от инвестиционните банкери или одиторите.

5. Ролята на органите по защита на данните

а)

Организациите ще изпълняват ангажимента си да си сътрудничат с органите по защита на данните (ОЗД) в Европейския съюз, както е описано по-нататък. Съгласно Щита за личните данни организациите в САЩ, които получават лични данни от ЕС, трябва да поемат ангажимента да използват ефективни механизми, за да гарантират спазването на Принципите на Щита за личните данни. По-специално, както е определено в принципа за защита, прилагане и отговорност за причинени вреди, организациите участници трябва да предвидят: a) (i) средства за правна защита за физическите лица, за които се отнасят данните; a) (ii) процедури за последващ контрол, за да се провери дали уверенията и твърденията, предоставени от организациите за техните практики в областта на неприкосновеността на личния живот, са верни; и a) (iii) задължения за решаване на проблемите, произтичащи от неспазването на Принципите, и последствия за тези организации. Организация, която е поела задължението да си сътрудничи с ОЗД, предвидено в настоящата точка, може да изпълнява условията по буква а), подточки i) и iii) от принципа за защита, прилагане и отговорност за причинени вреди.

б)

Всяка организация може да поеме ангажимент да си сътрудничи с ОЗД, като декларира при самосертифицирането си съгласно Щита за личните данни пред Министерството на търговията (вж. допълнителния принцип относно самосертифицирането), че:

i.	избира да спазва изискванията по буква а), подточки i) и iii) от принципа за защита, прилагане и отговорност за причинени вреди съгласно Щита за личните данни, като поема ангажимента да сътрудничи с ОЗД;

ii.	ще сътрудничи с ОЗД във връзка с разглеждането и решаването на депозираните жалби съгласно Щита за личните данни; и

iii.

ще се съобрази с всяка препоръка, дадена от ОЗД, според която организацията трябва да вземе специални мерки, за да спази Принципите на Щита за личните данни, включително всякакви мерки, свързани със средства за правна защита или обезщетение в полза на физически лица, които са засегнати от неспазването на Принципите, и ще уведоми писмено ОЗД за взетите мерки по този повод.

в)

Функциониране на панелите на ОЗД

Сътрудничеството на ОЗД ще се изразява в предоставяне на информация и препоръки, както следва:

1.	Препоръките на ОЗД ще бъдат предоставяни чрез неформален панел на ОЗД, създаден на равнището на Европейския съюз, който ще помогне, наред с останалото, и за осигуряването на хармонизиран и съгласуван подход.

Панелът ще дава препоръки на съответните организации в САЩ по повод на жалби от физически лица, по които няма приети решения и които се отнасят до обработването на лична информация, която е била предадена от ЕС съгласно Щита за личните данни. Препоръките ще предвиждат гарантирането на правилното прилагане на Принципите на Щита за личните данни и ще включват средствата за правна защита за съответното/ите физическо/и лице/а, които ОЗД считат за подходящи.

Панелът ще дава тези препоръки в отговор на сезиране от заинтересованите организации и/или на жалби, получени директно от физически лица срещу организации, които са поели ангажимента да си сътрудничат с ОЗД с оглед спазването на Щита за личните данни, като ще насърчава и, при необходимост, подпомага тези физически лица да използват първо вътрешните механизми за разглеждане на жалбите, с които организацията разполага.

Препоръките ще се дават едва след като двете страни по спора са имали възможността да представят своите забележки и евентуално своите доказателства. Панелът ще се стреми да предостави препоръките си в най-кратки срокове, като спазва принципите на справедливия процес. По принцип панелът ще се произнася най-късно в срок от 60 дни, считано от получаването на жалбата или сезирането.

5.	Ако сметне за необходимо, панелът ще направи публично достояние резултатите от разглеждането на жалбите, по които е бил сезиран.

6.	Препоръката, предоставена от панела, няма да ангажира нито панела, нито ОЗД, които го съставляват.

ii.

Както беше отбелязано по-рано, организациите, които изберат този начин за решаване на споровете, трябва да поемат задължението да спазват и прилагат препоръките, дадени от ОЗД. Ако някоя организация не изпълни препоръката в срок от двадесет и пет дни от получаването ѝ, без да посочи убедително обяснение за закъснението, панелът ще оповести намерението си да отнесе въпроса до Федералната търговска комисия, Министерството на транспорта или друг федерален или държавен орган на САЩ, който има законови правомощия да предприема действия по правоприлагане в случаи на измама или погрешно представяне, или да заключи, че е допуснато сериозно нарушение по отношение на споразумението за сътрудничество, което в такъв случай ще се счита за недействително. В последния случай панелът ще информира Министерството на търговията, за да може Списъкът към Щита за личните данни да бъде надлежно изменен. Всяко неспазване на задължението за сътрудничество с ОЗД, както и всяко неспазване на Принципите на Щита за личните данни, подлежи на санкциониране като измамна практика съгласно раздел 5 от закона за Федералната търговска комисия или на други сравними закони.

г)

Всяка организация, която желае да се ползва с предимствата на Щита за личните данни за данните относно човешки ресурси, предавани от ЕС в контекста на трудовите правоотношения, трябва задължително да поеме ангажимента за тази цел да сътрудничи с ОЗД (вж. допълнителния принцип за данни относно човешки ресурси).

д)

Организациите, които са избрали този вариант, ще плащат годишна такса за покриване на текущите разходите за панела и може допълнително да бъде поискано да поемат евентуално налагащи се разходи за превод, произтичащи от разглеждането от страна на панела на случаите на сезиране или жалбите срещу тях. Годишната такса не може да превишава 500 USD и ще бъде намалена за малките дружества.

6. Самосертифициране

а)	Предимствата на участието в Щита за личните данни се ползват от датата, на която министерството включи самосертифицираната организация в Списъка към Щита за личните данни, след като преди това е преценил, че подадената информация за самосертифицирането е пълна.

б)

За да се самосертифицира за участие в Щита за личните данни, една организация трябва да подаде в министерството заявление, подписано от корпоративен служител от името на организацията, която се присъединява към Щита за личните данни, което съдържа най-малко следната информация:

i.	името на организацията, пощенския адрес, адрес на електронна поща, телефонен номер и номер на факс;

ii.	описание на дейностите на организацията по отношение на личната информация, получавана от ЕС; и

iii.

описание на политиката на организацията в областта на неприкосновеността на личния живот по отношение на тази лична информация, включително:

ако организацията има публичен уебсайт, тя трябва да предостави съответната хипервръзка към адреса, където е предоставила на разположение политиката си в областта на неприкосновеността на личния живот, а ако организацията няма публичен уебсайт, тя трябва да посочи къде е предоставила на разположение за публичен достъп политиката си в областта на неприкосновеността на личния живот;

2.	датата, от която тази политика се прилага ефективно;

3.	службата, която разглежда жалби, искания за достъп и други въпроси, произтичащи съгласно Щита за личните данни;

конкретния законовоустановен орган, който е компетентен да разглежда жалби срещу организацията във връзка с евентуални нелоялни или измамни практики и нарушения на законите или разпоредбите, уреждащи неприкосновеността на личния живот (и който е посочен в Принципите или в бъдещо приложение към Принципите);

5.	наименованието на всяка програма относно неприкосновеността на личния живот, в която членува организацията;

6.	метода за проверка (напр. вътрешна, от трета страна) (вж. допълнителния принцип „проверка“; и

7.	независимия механизъм за защита, който е на разположение за разследване на жалби, по които няма решение.

в)

Когато организацията иска да се ползва от Щита за личните данни по отношение на информацията за човешки ресурси, която се предава от ЕС, за да бъде използвана в контекста на трудовите правоотношения, тя може да направи това, когато съществува законовоустановен орган, компетентен да разглежда жалби срещу организацията, произтичащи от обработването на информация за човешки ресурси, и посочен в Принципите или в бъдещо приложение към Принципите. В допълнение организацията трябва да посочи това при самосертифицирането си и да заяви ангажимента си да си сътрудничи със съответния орган или органи на ЕС съгласно допълнителните принципи за данни относно човешки ресурси и за ролята на органите по защита на данните, според случая, както и че ще се съобразява с препоръките, давани от тези органи. Също така организацията трябва да предостави на министерството копие от политиката си в областта на неприкосновеността на личния живот относно човешките ресурси и да посочи къде е предоставила на разположение на засегнатите служители тази политика, за да могат да я разгледат.

г)

Министерството ще поддържа Списъка към Щита за личните данни с организациите, които са подали пълна информация за самосертифициране, като по този начин ще гарантира те да се ползват с предимствата на Щита за личните данни и ще актуализира този списък въз основа на пресамосертифицирането им и уведомленията, получавани всяка година съгласно допълнителния принцип за разрешаване на спорове и принудително изпълнение. Тази информация за самосертифициране трябва да се подава ежегодно; в противен случай организацията ще бъде заличена от Списъка към Щита за личните данни и няма да продължи да се ползва с предимствата, които той осигурява. Списъкът към Щита за личните данни и подадената от организациите информация за самосертифициране ще бъдат предоставени за публичен достъп. Всички организации, които са включени в Списъка към Щита за личните данни от министерството, трябва също така да заявят в съответните си публични декларации относно политиката си в областта на неприкосновеността на личния живот, че спазват Принципите на Щита за личните данни. Когато политиката на една организация в областта на неприкосновеността на личния живот е на разположение онлайн, в нея трябва да се предостави хипервръзка към страницата на Щита за личните данни на уебсайта на министерството, както и хипервръзка към уебсайт или към формуляр за подаване на жалба на независимия механизъм за защита, който е на разположение за разглеждане на нерешени жалби.

д)

Принципите на неприкосновеност на личния живот се прилагат незабавно след сертифицирането. Предвид факта, че Принципите ще окажат влияние върху търговските взаимоотношения с трети страни, организациите, които се сертифицират съгласно рамката на Щита за личните данни през първите два месеца след датата, от която рамката се прилага ефективно, следва да приведат съществуващите си търговски взаимоотношения с трети страни в съответствие с принципа за отчетност за последващото предаване във възможно най-кратък срок и във всички случаи не по-късно от девет месеца, след като са се сертифицирали съгласно Щита за личните данни. Когато организациите предават данни на трета страна в този междинен период, те трябва: i) да прилагат принципите на уведомяването и на избора и ii) когато личните данни се предават на трета страна, която изпълнява функцията на представител, да определят, че представителят е задължен да осигури най-малко същата степен на защита, която се изисква съгласно Принципите.

е)

Всяка организация трябва да прилага Принципите на неприкосновеност на личния живот за всички лични данни, които получава от ЕС съгласно Щита за личните данни. Задължението за спазване на Принципите на Щита за личните данни не е ограничено във времето по отношение на личните данни, получени през периода, когато организацията се ползва от предимствата на Щита за личните данни. Това задължение означава, че организацията ще продължи да прилага Принципите за тези данни, докато ги съхранява, използва или разкрива, дори ако по някаква причина впоследствие се напусне Щита за личните данни. Организация, която се оттегли от Щита за личните данни, но желае да запази тези данни, трябва ежегодно да потвърждава пред министерството ангажимента си, че ще продължи да прилага Принципите или ще осигури „адекватна“ защита за информацията чрез други разрешени средства (например като използва договор, в който изцяло са включени изискванията по съответните одобрени от Европейската комисия стандартни договорни клаузи); в противен случай организацията трябва да върне или заличи информацията. Организация, която се оттегли от Щита за личните данни, трябва да премахне от съответната си политиката в областта на неприкосновеността на личния живот всички упоменавания на Щита за личните данни, които могат да водят до заключението, че продължава да участва активно и се ползва с предимствата от участието си в Щита за личните данни.

ж)

Организация, която престане да съществува като самостоятелно юридическо лице поради сливане или придобиване от друга организация, трябва предварително да уведоми за това министерството. В уведомлението трябва също така да бъде посочено дали организацията, която я е придобила или която се образува след сливането: i) ще продължи да бъде обвързана от Принципите на Щита за личните данни при действието на правото, уреждащо сливането или придобиването, или ii) ще избере да се самосертифицира за спазването на Принципите на Щита за личните данни или ще предвиди други гаранции, като писмено споразумение, гарантиращо спазването на тези принципи. Ако не е приложимо нито i), нито ii), всички лични данни, придобити съгласно Щита за личните данни, трябва да бъдат незабавно заличени.

з)

Когато по някаква причина организация напусне Щита за личните данни, тя трябва да премахне всички твърдения, които могат да водят до заключението, че продължава да участва или се ползва с предимствата от участието си в Щита за личните данни. Също така трябва да премахне и сертификационния знак на Щита за личните данни в отношенията между ЕС и САЩ, ако го използва. Всяко погрешно представяне пред широката общественост относно придържането на организацията към Принципите на Щита за личните данни може да подлежи на санкциониране от ФТК или друг съответен държавен орган. Погрешно представяне пред министерството може да бъде санкционирано по силата на Закона за неверните твърдения (False Statements Act) (18 U.S.C. § 1001).

7. Проверка

а)

Организациите трябва да предвидят процедури за последващ контрол, за да се провери дали уверенията и твърденията им относно техните практики в областта на неприкосновеността на личния живот съгласно Щита за личните данни са верни и дали тези практики се прилагат както са представени и съгласно Принципите на Щита за личните данни.

б)	За да се отговори на изискванията за проверка съгласно принципа за защита, прилагане и отговорност за причинени вреди, организацията трябва да удостовери верността на тези уверения и твърдения чрез самооценка или външни прегледи на спазването.

в)

Съгласно подхода за самооценка проверката трябва да установи, че обявената публично политика на организацията в областта на неприкосновеността на личния живот относно личната информация, получавана от ЕС, е точна, пълна, поставена на видно място, прилага се изцяло и е достъпна. Също така тя трябва да покаже, че политиката на тази организация в областта на неприкосновеността на личния живот съответства на Принципите на Щита за личните данни; че физическите лица са информирани за съществуването на вътрешни процедури за разглеждане на жалбите и независими механизми, до които те могат да отнесат жалбите си; че има процедури за подготовка на служителите за прилагането на тази политика и за дисциплинарна отговорност при неспазване; и че има вътрешни процедури с цел периодичното провеждане на обективен преглед на спазването на горното. Поне веднъж годишно корпоративен служител или друг упълномощен представител на организацията трябва да подписва декларация за заверка на самооценката и тя трябва да бъде предоставяна на физическите лица при поискване или в рамките на дадено разследване или жалба за неспазване.

г)

Ако организацията е избрала външен преглед на спазването, последният трябва да докаже, че политиката на организацията в областта на неприкосновеността на личния живот относно личната информация, получавана от ЕС, съответства на Принципите на Щита за личните данни, че тази политика се спазва и че физическите лица са информирани за механизмите, които им позволяват да подават жалби. Методите за преглед могат да включват без ограничение одит, случайни проверки, използването на разобличаващи средства или на подходящи технологични инструменти. Поне веднъж годишно от контролиращото лице, от корпоративен служител или от друг упълномощен представител на организацията трябва да бъде подписвана декларация, потвърждаваща, че е успешно извършен външен преглед на спазването и той трябва да бъде предоставен на физическите лица при поискване или в рамките на дадено разследване или жалба за неспазване.

д)

Организациите трябва да съхраняват документацията си за прилагането на техните практики в областта на неприкосновеността на личния живот съгласно Щита за личните данни и да представят тази документация при поискване, в рамките на разследване или жалба за неспазване, на независимия орган, отговорен за разглеждане на жалбите, или на институцията, която е компетентна в областта на нелоялните и измамни практики. Организациите трябва също така да предоставят своевременно отговори на запитвания и други искания за информация на министерството във връзка със спазването от тяхна страна на Принципите.

8. Достъп

а) Принципът на достъпа на практика

Съгласно Принципите на Щита за личните данни правото на достъп е основен елемент от защитата на неприкосновеността на личния живот. По-конкретно то позволява на физическите лица да проверяват точността на наличната информация относно тях. Принципът на достъпа означава, че физическите лица имат право:

1.	да получат от дадена организация потвърждение дали тя обработва лични данни, свързани с тях (4);

2.	да им бъдат съобщени тези данни, за да могат да проверят дали са точни и дали обработването се извършва законосъобразно; и

3.	да бъдат коригирани, изменени или заличени данните, когато са неточни или се обработват в нарушение на Принципите.

ii.

От физическите лица не се изисква да обосновават исканията си за достъп до личните си данни. Когато отговарят на искания за достъп от страна на физическите лица, организациите следва да се ръководят преди всичко от мотивите на лицата. Например, ако искането за достъп е неясно или много общо по съдържание, организацията може да обсъди това с физическото лице, за да разбере по-точно мотивите му във връзка с искането и да потърси подходящата информация. Организацията може да поиска да разбере с коя(и) служба(и) физическото лице е имало контакти или какво е естеството или употребата на информацията, която е предмет на искането за достъп.

iii.

В съответствие с фундаменталния характер на правото на достъп организациите следва винаги да полагат усилия, за да предоставят достъп. Например, ако трябва да се защити някаква информация и тя може лесно да бъде отделена от останалата лична информация, която е предмет на искането за достъп, организацията следва да отдели защитената информация, като направи достъпна останалата. Ако организацията реши да ограничи достъпа в конкретен случай, тя следва да предостави на физическото лице, изискващо достъп, обяснение за това свое решение и да посочи лице за контакт за повече информация.

б) Затруднения или разходи по предоставянето на достъп

Правото на достъп до лични данни може да бъде ограничавано при изключителни обстоятелства, когато биха били нарушени законните права на лица, различни от заинтересованото, или когато затрудненията или разходите по предоставяне на достъп биха били несъразмерни спрямо рисковете за неприкосновеността на личния живот на физическото лице във въпросния случай. Разходите и необходимите усилия са важни фактори и следва да бъдат взети предвид, но те не са решаващи при определяне основателността на предоставянето на достъп.

ii.

Така например, ако личната информация се използва, за да се вземат решения, които ще имат сериозни последици за физическото лице (например отказ или предоставяне на важни предимства, като застраховка, ипотека или работа), организацията е длъжна съобразно останалите разпоредби на тези допълнителни принципи да разкрие тази информация, дори ако това се окаже относително трудно или скъпо. Ако исканата лична информация не е с чувствителен характер и не се използва, за да се вземат решения, които ще имат сериозни последици за физическото лице, а е лесно достъпна и разходите за предоставянето ѝ не са високи, организацията трябва да предостави достъп до нея.

в) Поверителната търговска информация

Поверителната търговска информация е информация, която организацията полага усилия да пази от разкриване, защото нейното разкриване би улеснило конкуренти на пазара. Организациите могат да откажат или да ограничат достъпа, доколкото предоставянето на пълен достъп би разкрило тяхна собствена поверителна търговска информация, като например маркетингови концепции или класификации, изготвени от тази организация, или поверителна търговска информация, принадлежаща на други организации, когато тази информация е предмет на договорни задължения за поверителност.

ii.	Ако поверителната търговска информация може лесно да се отдели от другата лична информация, която е предмет на искането за достъп, организацията следва да отдели поверителната търговска информация и да предостави неповерителната информация.

г) Организиране на бази данни

i.	Достъпът може да се предостави като разкриване на съответната лична информация от организацията на физическото лице, без да се налага достъп от страна на физическото лице до базата данни на организацията.

ii.	Достъпът се осигурява само в рамките на личната информация, която организацията съхранява. Принципът на достъпа сам по себе си не поражда никакво задължение за запазване, поддържане, реорганизация или преструктуриране на файловете с лична информация.

д) Кога достъпът може да бъде ограничаван

Тъй като организациите трябва винаги да полагат усилия, за да предоставят достъп на физическите лица до техните лични данни, обстоятелствата, при които те могат да ограничават този достъп, са ограничени и всички мотиви за това трябва да бъдат конкретни. Както това е установено в Директивата, организацията може да ограничава достъпа до информация, доколкото нейното разкриване има вероятност да засегне опазването на важни обществени интереси като националната сигурност, отбраната или обществената сигурност. Достъпът може също така да бъде отказан, когато личната информация се обработва единствено за целите на изследвания или статистически цели. Други мотиви за отказ или ограничаване на достъпа са:

1.	накърняване на изпълнението или прилагането на законодателството или на частно-правен иск, включително предотвратяването, разследването или разкриването на престъпления или упражняване правото на справедлив съдебен процес;

2.	разкриване, което би нарушило законните права или важни интереси на други лица;

3.	нарушаване на правно или друго професионално задължение или привилегия;

4.	нарушаване на разследвания на служители по отношение на сигурността или относно оплаквания, или във връзка с планиране на нови назначения и реорганизации на дружествата; или

5.	нарушаване на поверителността, необходима при извършване на мониторинг, инспекции или изпълнение на регулаторни функции във връзка с доброто управление, или при бъдещи или текущи преговори, в които организацията участва.

ii.	Задължение на организацията е, когато се позовава на изключение, да докаже неговата наложителност, както и да представи на физическите лица мотивите си за ограничаване на достъпа и да посочи лице за контакт за повече информация.

е) Право на получаване на потвърждение и определяне на такса за покриване на разходите по предоставяне на достъп

i.	Всяко физическо лице има право да получи потвърждение дали дадена организация разполага с лични данни, свързани с него. Също така всяко физическо лице има право да му бъдат съобщени личните данни, свързани с него. Организацията може да определи такса, която не е прекалено висока.

ii.	Определянето на такса може да е основателно, когато например исканията за достъп са явно прекомерни, и по-специално поради техния повтарящ се характер.

iii.	Достъпът не може да бъде отказан по финансови причини, ако физическото лице предложи да поеме разноските.

ж) Искания за достъп с повтарящ се или злонамерен характер

Всяка организация може да определи допустимо ограничение на броя на исканията за достъп, подавани от конкретно физическо лице за определен период. Когато определя тези ограничения, организацията следва да отчита фактори като честота на актуализиране на информацията, целта, с която се използват данните, и естеството на информацията.

з) Искания за достъп с измамен характер

Организацията не е длъжна да предоставя достъп, ако не получи необходимата информация за потвърждаване на самоличността на лицето, отправило искането.

и) Срок за отговор

Организациите следва да отговарят на искания за достъп в рамките на разумни срокове, по допустим начин и във форма, която е лесноразбираема за физическото лице. Организация, която предоставя информация на субектите на данни през редовни интервали от време, може да отговори на искане за достъп от физическо лице с редовното предоставяне на информация, ако това няма да доведе до прекомерно забавяне.

9. Данни за човешки ресурси

а) Обхват на Щита за личните данни

Когато лична информация относно наети лица (настоящи или бивши), събирана в рамките на трудовите правоотношения, се предава от организация в ЕС на участващо в Щита за личните данни предприятие майка, дъщерно предприятие или доставчик на услуги, който не е свързано дружество, в Съединените щати, това предаване се ползва от предимствата на Щита за личните данни. В този случай събирането на информацията, както и обработването ѝ преди предаването ще се уреждат от националното законодателство на държавата от ЕС, където е било извършено събирането, и ще трябва да се спазват всички условия или ограничения по предаването ѝ в съответствие с това законодателство.

ii.

Принципите на Щита за личните данни са релевантни само в случай на предаване или на достъп до конкретна информация за отделни лица. Статистическата информация, основаваща се на общи данни за заетостта, без да съдържа лични данни, или използването на анонимизирни данни, не поражда загриженост за неприкосновеността на личния живот.

б) Прилагане на принципите на уведомяването и на избора

Организация в САЩ, която е получила от ЕС информация за наети лица съгласно Щита за личните данни, може да я разкрива на трети страни или да я използва за други цели само ако са спазени принципите на уведомяването и на избора. Например, ако организация в САЩ възнамерява да използва личната информация, събрана в рамките на трудови правоотношения, за цели, които не са свързани с трудовите правоотношения — например маркетингови съобщения — тя трябва преди това да даде възможност за избор на засегнатите физически лица, освен ако последните не са дали вече своето разрешение информацията да бъде използвана за тази цел. Това използване не трябва да бъде несъвместимо с целите, за които личната информация е била събрана или впоследствие е дадено разрешение от физическото лице. От друга страна, такъв избор не трябва да бъде използван, за да бъдат ограничавани възможностите, произтичащи от трудовите правоотношения, или за предприемане на наказателни действия срещу тези наети лица

ii.	Следва да се отбележи, че някои общоприложими условия за предаването на данни от страна на някои държави — членки на ЕС, може да изключват други употреби на такава информация, дори след предаването ѝ извън територията на ЕС, и такива условия трябва да бъдат спазени.

iii.

В допълнение към това работодателите следва да се стремят да вземат предвид предпочитанията на наетите лица в областта на неприкосновеността на личния живот. Това може да включва например ограничаване на достъпа до личните данни, анонимизиране на някои данни или кодиране, или псевдонимизиране, когато за целите на управлението не се изисква използване на истинските имена.

iv.

В рамките на необходимото и за срока, необходим, за да се избегне накърняването на законните права на организацията да извършва повишаване в длъжност, назначения или вземането на други подобни решения в областта на трудовите правоотношения, не е необходимо организацията да спазва принципите на уведомяването и на избора.

в) Прилагане на принципа на достъпа

В допълнителния принцип на достъпа се предоставят насоки относно причините, на които може да се основава отказът или ограничаването на поискан достъп в контекста на човешките ресурси. В Европейския съюз, разбира се, работодателите трябва да спазват правните разпоредби, приложими в тяхната държава, и да гарантират, че наетите лица в Европейския съюз имат достъп до информацията съгласно законодателствата на техните държави, независимо от мястото, където се извършва обработването и съхраняването на данните. Съгласно Щита за личните данни организация, която обработва такива данни в Съединените щати, трябва да сътрудничи при предоставянето на такъв достъп или пряко, или чрез работодателя от ЕС.

г) Прилагане

Доколкото личната информация се използва само в рамките на трудовите правоотношения, основната отговорност за данните по отношение на наетото лице носи организацията в ЕС. От това следва, че ако европейски наети лица възразят срещу нарушаване на правата им за защита на данните и не са удовлетворени от резултатите от вътрешните процедури за преглед, разглеждане на жалбите и обжалване (или от всяка друга вътрешна процедура, приложима по силата на сключен договор с профсъюз), те следва да бъдат насочвани към щатския или националния орган по защита на данните или към орган трудово-правни отношения, в чийто района на компетентност работи наетото лице. Тук се включват и случаите, когато за твърдяното нарушение на правата при обработването на лична информация е отговорна организацията в САЩ, която е получила информацията от работодателя, и следователно е налице твърдяно нарушение на Принципите на Щита за личните данни. Това ще бъде най-ефикасният начин за разрешаване на проблемите, които се проявяват често между застъпващите се права и задължения, определени от националните законодателства в областта на трудовото право и от колективните трудови договори, както и от законодателството в областта на защитата на данните.

ii.

Следователно организация в САЩ — участник в Щита за личните данни, която използва данни от ЕС относно човешки ресурси, предадени от Европейския съюз в рамките на трудовите правоотношения, и която желае това предаване да бъде обхванато от Щита за личните данни, трябва да поеме ангажимента за тази цел да сътрудничи при разследвания от страна на компетентните органи на ЕС и да спазва препоръките им.

д) Прилагане на принципа на отчетност за последващото предаване

За свързани с трудово-правните отношения оперативни нужди със случаен характер на организация — участник в Щита за личните данни, които касаят лични данни, предавани съгласно Щита за личните данни, като например резервация на полет, стая в хотел или застраховка, предаванията на лични данни на малко на брой наети лица към администратори може да се извършват, без да се прилага принципът на достъпа или да се сключва договор с третата страна администратор, както иначе се изисква по силата на принципа на отчетност за последващото предаване, при условие че организацията — участник в Щита за личните данни, е спазила принципите на уведомяването и на избора.

10. Задължителни договори за последващите предавания

а) Договори за обработване на данни

i.	Когато предаването на лични данни от ЕС към Съединените щати се извършва само за целите на обработването, се изисква договор независимо дали обработващият е организация — участник в Щита за личните данни.

ii.

От администраторите на данни в Европейския съюз се изисква винаги да подписват договор, когато се извършва предаване за целите само на обработване на данните, независимо дали това обработване се извършва във или извън ЕС и дали обработващият е организация — участник в Щита за личните данни. Предназначението на договора е да се осигури, че обработващият данните:

1.	действа единствено по указания на администратора;

2.	осигурява подходящи технически и организационни мерки за защита на личните данни от случайно или неправомерно унищожаване, случайна загуба, промяна, неразрешено разкриване или достъп, и е наясно дали е разрешено последващото предаване; и

3.	като взема предвид естеството на обработването, подпомага администратора да отговори на искания на физически лица за упражняване на предвидените в Принципите права.

iii.

Имайки предвид, че организациите — участници в Щита за личните данни, гарантират адекватна защита, договорите само за целите на обработването, сключени с такива участници, не изискват предварително разрешение (или такова разрешение се дава автоматично от държавите — членки на ЕС), за разлика от договорите с получателите на данни, които не са участници в Щита за личните данни или които не гарантират адекватна защита.

б) Предавания в рамките на група дружества или група субекти под общ контрол

Когато личната информация се предава между двама администратори в рамките на група дружества или група субекти под общ контрол, невинаги се изисква договор в съответствие с принципа на отчетност за последващото предаване. Администраторите на данни в рамките на група дружества или група субекти под общ контрол могат да се основават при тези предавания на данни на други инструменти, като например задължителни фирмени правила на ЕС или други вътрешно-групови инструменти (напр. програми за спазване и контрол), които гарантират непрекъснатост на защитата на личната информация съгласно Принципите на Щита за личните данни. В случаи на такива предавания организацията — участник в Щита за личните данни, остава отговорна за спазването на Принципите на Щита за личните данни.

в) Предавания на данни между администратори

При предавания на данни между администратори не е необходимо получателят да бъде организация — участник в Щита за личните данни, или да разполага с независим механизъм за защита. Организацията — участник в Щита за личните данни, трябва да сключи договор с администратора — получател на третата страна, в който да се предвижда същата степен на защита, която осигурява Щитът за личните данни, без да се включва изискването към администратора на третата страна да е организация — участник в Щита за личните данни, или да разполага с независим механизъм за защита, при условие че той осигурява еквивалентен механизъм.

11. Разрешаване на спорове и прилагане

а) В принципа на защита, прилагане и отговорност за причинени вреди се определят изискванията за прилагане съгласно Щита за личните данни. В допълнителния принцип на проверка е определен начинът да се удовлетворят изискванията, формулирани в буква а), подточка ii) от принципа. В посочения допълнителен принцип се определят решения съгласно формулираните условия в буквa a), подточки i) и iii), в които се поставя изискване за независим механизъм за защита. Тези механизми могат да имат различна форма, но трябва да отговарят на изискванията на принципа на защита, прилагане и отговорност за причинени вреди. Организациите отговарят на изискванията чрез следното: i) като се съобразяват с разработени от частния сектор програми за неприкосновеността на личния живот, в чиито правила са залегнали Принципите на Щита за личните данни и в които са предвидени ефективни механизми за прилагане от същото естество като описаните в принципа на защита, прилагане и отговорност за причинени вреди; ii) като се съобразяват с указанията на законовоустановените или регулаторните органи за надзор, които осигуряват разглеждането на жалби на физическите лица и решаването на споровете; или iii) като се ангажират да сътрудничат с органите по защита на данните в рамките на Европейския съюз или с техните упълномощени представители.

б) Настоящият списък е примерен и не е ограничаващ. Частният сектор може да предвиди други механизми за прилагане, при условие че отговарят на изискванията на принципа на защита, прилагане и отговорност за причинени вреди и на допълнителните принципи. Моля, имайте предвид, че изискванията съгласно принципа на защита, прилагане и отговорност за причинени вреди допълват изискването, че мерките за саморегулиране трябва да подлежат на принудително изпълнение съгласно раздел 5 от Закона за Федералната търговска комисия, който забранява нелоялните и измамни практики, или съгласно друг законов или подзаконов акт, с който се забраняват тези практики.

в) С цел да спомогнат за гарантиране спазването на ангажиментите си съгласно Щита за личните данни и да подпомагат управлението на програмата, организациите и техните независими механизми за защита трябва да предоставят информация във връзка с Щита за личните данни при поискване от министерството. Допълнително организациите трябва да отговарят експедитивно на жалби във връзка със спазването от тяхна страна на Принципите, за които са сезирани от ОЗД чрез министерството. В отговора трябва да се дава преценка по същество на жалбата и информация как организацията ще разреши проблема, ако случаят е такъв. Министерството ще осигури защита на поверителността на информацията, която получава, в съответствие с изискванията на правото на САЩ.

г) Механизъм за защита

Потребителите следва да бъдат насърчавани да подават жалбите, които евентуално биха повдигнали, до съответната организация, преди да се обърнат към независими механизми за защита. Организациите трябва да отговорят на потребителя в срок от 45 дни, считано от получаването на жалбата. Независимостта на механизма за защита се преценява на фактическа основа, като се доказва чрез критерии като безпристрастност, прозрачност по отношение на неговия състав и на неговото финансиране и доказан професионален опит. Както се предвижда съгласно принципа на защита, прилагане и отговорност за причинени вреди, подаването на жалби, което е право на физическите лица, трябва да е лесно осъществимо и безплатно за тях. Органите за разрешаване на спорове следва да разглеждат всички получени жалби от физическите лица, освен в случаите, когато са явно необосновани или нямат сериозен характер. Това условие не възпрепятства установяването от страна на организацията, която разглежда жалбите в рамките на механизма за защита, на критерии за допустимост, но те трябва да бъдат прозрачни и обосновани (примерно да се изключват жалби, които не са в обхвата на програмата или които са от компетенциите на други инстанции) и не би следвало да засягат ангажимента да се разглеждат законосъобразните жалби. Освен това механизмите за защита следва да дават на физическите лица пълна и лесно достъпна информация за функционирането на процедурата по разрешаване на спорове, когато подават жалба. Тази информация следва да включва уведомяване относно практиките на механизма в областта на неприкосновеността на личния живот съгласно Принципите на Щита за личните данни. Също така механизмите следва да си сътрудничат за разработването на инструменти за улесняване на процеса по разрешаване на споровете, като например стандартни формуляри за жалби.

ii.

Независимите механизми за защита трябва да включват на своите публични уебсайтове информация относно Принципите на Щита за личните данни и услугите, които извършват съгласно Щита за личните данни. Тази информация трябва да включва: 1) информация или електронна връзка към изискванията относно независимите механизми за защита съгласно Принципите на Щита за личните данни; 2) електронна връзка към страницата на Щита за личните данни на уебсайта на министерството; 3) пояснение, че техните услуги по разрешаване на споровете съгласно Щита за личните данни са безплатни за физическите лица; 4) описание на това как може да бъде подадена жалба във връзка с Щита за личните данни; 5) сроковете, в които се разглеждат жалбите във връзка с Щита за личните данни; и 6) описание на набора от възможни средства за правна защита.

iii.

Независимите механизми за защита трябва да публикуват годишен доклад с обобщена статистическа информация относно своите услуги по разрешаване на спорове. В годишния доклад трябва да бъдат включени: 1) общият брой на получените през отчетната година жалби във връзка с Щита за личните данни в отношенията между ЕС и САЩ; 2) видът на получените жалби; 3) качествени показатели за решаването на спора, напр. времето за обработването на жалбите; и 4) резултатите от получените жалби, а именно броят и видовете средства за правна защита или санкции, които са били наложени.

iv.

Както е разгледано в приложение I, на разположение на физическите лица е възможност за арбитраж за неразрешените жалби, чрез която може да се определи дали организация — участник в Щита за личните данни, е нарушила задълженията си съгласно Принципите по отношение на това физическо лице и дали това нарушение е останало изцяло и частично неотстранено. Тази възможност е предвидена само за тези цели. Например по отношение на изключенията от Принципите (5) или на твърдения относно адекватността на Щита за личните данни не се предвижда такава възможност. Съгласно тази процедура за арбитраж специалната група по Щита за личните данни (в чийто състав влизат един или трима арбитри по споразумение между страните) е компетентна да предписва специфични за конкретния случай непарични безпристрастни мерки (например предоставяне на достъп, коригиране, заличаване или връщане на въпросните данни на физическото лице), необходими като корективно действие срещу нарушаването на Принципите единствено по отношение на физическото лице. Физическите лица и организациите — участници в Щита за личните данни, могат да отнасят арбитражните решения за съдебен контрол и принудително изпълнение по силата на правото на САЩ съгласно Федералния арбитражен закон (Federal Arbitration Act).

д) Средства за правна защита и санкции

Средствата за правна защита, предоставени от органа, който решава споровете, би следвало да доведат до анулиране или коригиране от страна на организацията, в рамките на възможното, на последиците от неспазването на Принципите и до спазване на Принципите при по-нататъшното обработване на личните данни от същата организация или, когато случаят е такъв, до преустановяване на обработването на личните данни на физическото лице, подало жалбата. Санкциите трябва да са достатъчно строги, за да гарантират спазването на Принципите от страна на организацията. Набор от санкции с различна степен на строгост ще позволи на органите по разрешаване на споровете да предприемат подходящи ответни мерки спрямо различните степени на неспазване. Санкциите следва да включват даване на публичност в случаите на установяване на неспазване и изискване да се заличат данните при определени обстоятелства (6). Други санкции биха могли да включват спиране и отнемане на разрешителното, обезщетение за физическите лица за загубите, претърпени в резултат на неспазването, и разпореждания за прекратяване. Органите по разрешаване на споровете и саморегулиращите се организации от частния сектор трябва да уведомят съдилищата или държавните органи със съответна юрисдикция, според случая, относно организациите — участници в Щита за личните данни, които не спазват техните решения, и да уведомят министерството.

е) Действия на ФТК

ФТК се ангажира да разглежда с предимство случаи на неспазване на Принципите, за които е била сезирана от: i) саморегулиращи се организации в областта на неприкосновеността на личния живот и други независими инстанции за разрешаване на спорове; ii) държавите — членки на ЕС; и iii) министерството, за да определи дали са нарушени изискванията на раздел 5 от закона за Федералната търговска комисия за забраната на нелоялни или измамни действия или практики в търговията. Ако ФТК заключи, че има основание да счете, че раздел 5 е бил нарушен, тя може да реши въпроса, като изиска административна заповед за преустановяване и прекратяване, забраняваща оспорваните практики, или като внесе жалба пред федерален областен съд, който, ако признае жалбата, може да се произнесе с разпореждане със същото действие. Тук се включват и неверни твърдения за спазване на Принципите на Щита за личните данни или за участие в Щита за личните данни от страна на организации, които повече не са в Списъка към Щита за личните данни или никога не са се самосертифицирали пред министерството. ФТК може да поиска граждански санкции при неизпълнение на административна заповед за преустановяване и прекратяване и да преследва нарушителя за незачитане на съда — по реда на гражданското или наказателното право — ако не изпълни разпореждането на федералния съд. ФТК уведомява министерството за всички такива действия, които предприема. Министерството насърчава другите държавни органи да го уведомяват за изхода на всички подобни случаи на сезиране или други решения, определящи спазването на Принципите на Щита за личните данни.

ж) Трайно неспазване

Ако дадена организация трайно не се съобразява с Принципите, тя повече няма право да се ползва от предимствата на Щита за личните данни. Организации, които трайно не се съобразяват с Принципите, се заличават от Списъка към Щита за личните данни от министерството и трябва да върнат или заличат личната информация, която са получили съгласно Щита за личните данни.

ii.

Трайно неспазване е налице, когато организацията, която се е самосертифицирала пред министерството, отказва да изпълнява окончателното решение на саморегулираща се организация в областта на неприкосновеността на личния живот, на независим орган по решаване на спорове или на държавен орган, или когато даден орган констатира, че организация често нарушава Принципите, дотолкова че нейното твърдение за спазване вече не е достоверно. В такива случаи организацията трябва незабавно да уведоми за това министерството. В противен случай тя може да бъде санкционирана по силата на Закона за неверните твърдения (False Statements Act) (18 U.S.C. § 1001). Оттеглянето на дадена организация от програма на частния сектор за саморегулиране в областта на неприкосновеността на личния живот или от независим механизъм за разрешаване на спорове не я освобождава от задължението да спазва Принципите и може да се счита за трайно неспазване.

iii.

Министерството ще заличава организации от Списъка към Щита за личните данни в отговор на постъпило уведомление за трайно неспазване, независимо дали то е получено от самата организация, от саморегулираща се организация в областта на неприкосновеността на личния живот, от друг независим орган за разрешаване на спорове или от държавен орган, но едва след като е изпратило на организацията нарушител тридесет дневно предизвестие и е дало възможност за отговор. В Списъка към Щита за личните данни, поддържан от министерството, съответно ще се посочва кои организации се ползват от предимствата на Щита за личните данни и кои вече не могат да се ползват от тях.

iv.	Всяка организация, която заяви, че иска да участва в саморегулираща се организация, за да може отново да изпълни изискванията съгласно Щита за личните данни, трябва да предостави на тази организация пълна информация относно предишното си участие в Щита за личните данни.

12. Избор — момент на прилагане на клаузата за неучастие („opt out“)

а)

Като цяло принципът на избора има за цел да гарантира, че личната информация се използва и разкрива съгласно очакванията и избора на физическото лице. Следователно, когато лична информация се използва в рамките на директния маркетинг, всяко физическо лице трябва да има възможност да упражни правото си на неучастие („opt out“) във всеки един момент и в определени допустими граници, установени от организацията, като например в срок, в който да може организацията да направи неучастието ефективно. Организацията може също така да изиска достатъчно информация, за да потвърди самоличността на физическото лице, което иска упражняването на „opt out“. В Съединените щати това право може да се упражнява от физическите лица чрез централна „opt out“ програма като Mail preference service на Direct Marketing Association. Организациите, които участват в Mail preference service на Direct Marketing Association, следва да насърчават предоставянето на тази програма на разположение на потребителите, които не искат да получават търговска информация. Във всеки случай за упражняването на тази възможност физическото лице следва да разполага с лесно достъпен механизъм на приемлива цена.

б)

По същия начин организацията може да използва информацията за някои цели на директния маркетинг, когато условията не позволяват да се осигури възможност на физическото лице за „opt out“ преди използването на данните, при условие че след това в кратки срокове (и във всеки един момент при поискване) осигури такава възможност на лицето да откаже да получава други съобщения на директния маркетинг, без разноски за него, и уважи желанието на физическото лице.

13. Информация, свързана с пътуване

а)

Резервационни данни на пътниците във въздушния транспорт и друга информация, свързана с пътуване, например информация за редовни клиенти или за резервации за хотел, както и за специфични нужди, като например предпочитания за храната в зависимост от изискванията на религията или необходимостта от физическа помощ при пътуването, може да се предава на организации извън ЕС при няколко различни обстоятелства. Съгласно член 26 от Директивата личните данни могат да се предават на „трета страна(, която) не осигурява достатъчна степен на защита по смисъла на (член 25,) параграф 2“, при условие че: i) е необходимо за предоставяне на исканите от потребителя услуги или за изпълнение на условията на даден договор, например споразумение за „редовни пътници“; или ii) потребителят е дал категоричното си съгласие. Организациите в САЩ, които участват в Щита за личните данни, осигуряват адекватна защита на личните данни и следователно могат да получават такива данни, предавани от EС, без да отговарят на тези условия или на другите условия, установени в член 26 от Директивата. След като в Щита за личните данни се съдържат специфични правила относно чувствителната информация, такава информация (която може да е необходимо да бъде събирана например във връзка с нуждата на клиенти от физическа помощ) може да бъде включена в данните, предавани на организациите — участници в Щита за личните данни. Във всички случаи обаче организацията, която предава информацията, трябва да спазва законодателството на държавата — членка на ЕС, в която осъществява дейността си, като в това законодателство може, наред с останалото, да са определени и специални условия за обработването на чувствителни данни.

14. Фармацевтични и медицински продукти

а) Прилагане на правото на държавите — членки на ЕС, или на Принципите на Щита за личните данни

Законодателството на държавите — членки на ЕС, се прилага за събирането на личните данни и за всяко обработване, което се извършва преди предаването в Съединените щати. Принципите на Щита за личните данни се прилагат за данните, след като те са били предадени в Съединените щати. За да бъдат използвани за фармацевтични изследвания и други цели, данните трябва да бъдат анонимизрани, когато това е уместно.

б) Бъдещи научни изследвания

Личните данни, събрани при конкретни медицински или фармацевтични изследвания, често имат важна роля за бъдещите научни изследвания. Когато личните данни, събрани за едно изследване, се предават на организация в САЩ съгласно Щита за личните данни, тази организация може да ги използва за нови научни изследвания, ако преди това съответно е уведомила за това и е предоставила възможност за избор. С това уведомяване трябва да се предостави информация за всяка бъдеща специфична употреба на данните, като например за периодичен последващ контрол, свързани изследвания или търговски цели.

ii.

Разбираемо е, че не могат да бъдат уточнени всички бъдещи употреби на данните, тъй като ново приложение за целите на научните изследвания може да е налице и когато се прави нов анализ на първоначалните данни, нови медицински открития и разработки, както и при развитието в областта на общественото здраве и нормативната уредба. Следователно уведомяването трябва да включва по целесъобразност и пояснение, че личните данни могат да бъдат използвани в бъдещи медицински и фармацевтични изследвания, които не е възможно да бъдат предвидени. Ако тази употреба не е съвместима с общите изследователски цели, за които личните данни са били събрани първоначално или за които физическото лице е дало одобрението си впоследствие, трябва да бъде получено ново съгласие.

в) Оттегляне от клинично изпитание

Участниците в клинично изпитание могат във всеки един момент да решат да се оттеглят от него или да бъдат помолени за това. Всички лични данни, събрани преди оттеглянето, могат да бъдат обработвани заедно с другите данни, събрани в рамките на клиничното изпитание, но при условие че това е било ясно посочено на участника при уведомяването в момента, когато той е дал съгласието си за участие.

г) Предавания на данни за регулаторни и надзорни цели

На дружествата за фармацевтична и медицинска апаратура се позволява да предоставят личните данни, извлечени от клинични изпитания, осъществени в ЕС, на органи в Съединените щати за регулаторни и надзорни цели. По същия начин се позволява предаване на данни на други страни освен регулаторните органи, като например обекти на дружеството на друго място или други изследователи, съгласно принципите на уведомяването и на избора.

д) „Кодирани“ изследвания

За да се гарантира обективността, при много клинични изпитания достъпът до информацията, отнасяща се до лечението, проведено на всеки от участниците, е забранен за самите тях, а често пъти и за изследователите. Противното би поставило под въпрос валидността на изследването и на резултатите. За участниците в такива клинични изпитания (наричани „кодирани“ изследвания) не е необходимо да се осигурява достъп до информацията, отнасяща се до лечението им по време на изпитанието, ако това ограничение е било обяснено, когато е започнало изпитанието, и ако разкриването на тази информация може да навреди на почтеността на изследователската работа.

ii.

Съгласието да се участва в изпитанията при тези условия предполага и отказ от правото на достъп. След приключването на изпитанията и анализа на резултатите, на участниците трябва да се предостави достъп до техните данни, ако поискат това. Те следва да се обърнат първо към лекаря или другите медицински обслужващи кадри, които са провеждали лечението им по време на клиничните изпитания, или на второ място — към организацията възложител.

е) Контрол на безопасността и ефикасността на продуктите

Не е необходимо дружествата за фармацевтична или медицинска апаратура да прилагат за своите дейности по контрол на безопасността и ефикасността на продуктите Принципите на Щита за личните данни по отношение на принципите на уведомяването, избора, отчетността за последващите предавания и достъпа, включително за докладите за неблагоприятни събития и за проследяването на пациенти/субекти, използващи определени лекарствени продукти или медицински изделия, доколкото придържането към Принципите е в противоречие със спазването на нормативните изисквания. Това се отнася както за докладите, изготвени например от лица, предоставящи здравни услуги, за фармацевтичните дружества и дружествата за медицински изделия, така и за докладите на фармацевтичните дружества и дружествата за медицински изделия, изготвяни за държавни институции, като например Администрацията по храните и лекарствата (Food and Drug Administration).

ж) Данни, кодирани с ключ

Данните в изследването обикновено са кодирани с уникален ключ още в мястото им на произход от главния изследовател, за да не бъде разкрита самоличността на отделните субекти на данните. Фармацевтичните дружества, които възлагат подобни изследвания, не получават ключа на кода. Единствено изследователят съхранява уникалния ключ на кода, за да може да идентифицира субекта на изследването при извънредни обстоятелства (например, ако след това се налага медицинска помощ). Предаването от ЕС към Съединените щати на данни, които са били кодирани по този начин, не би представлявало предаване на лични данни, което се извършва съгласно Принципите на Щита за личните данни.

15. Публични регистри и информация, достъпна за широката общественост

а)

Всяка организация трябва да прилага Принципите на Щита за личните данни за сигурността, цялостта на данните и ограничаване в рамките на целта, както и за защитата, прилагането и отговорността за причинени вреди спрямо личните данни от източници с публичен достъп. Тези Принципи трябва да се прилагат и за всички лични данни, събрани от публични регистри, т.е. от регистрите, водени от държавните агенции или организации на всяко равнище, които са на разположение на широката общественост за справки.

б)

Не е необходимо принципите на уведомяването, на избора или на отчетността за последващото предаване да се прилагат за информацията в публичните регистри, ако тя не е съчетана с непублична информация от регистъра и ако са спазени всички условия за ползването ѝ за справки, установени от компетентните органи. Също така обикновено не е необходимо да се прилагат принципите на уведомяването, на избора или на отчетността за последващото предаване за информацията, предоставена за публичен достъп, освен когато предаващата организация от ЕС е указала, че тази информация подлежи на ограничения, които налагат организацията получател да прилага тези принципи при използването ѝ по предназначение. Организациите не носят отговорност обаче за това как се използва тази информация от лица, които са я придобили от публикувани материали.

в)	Ако се окаже, че дадена организация умишлено е публикувала лична информация в нарушение на принципите, по такъв начин, че тя или други лица да могат да се ползват от тези изключения, тогава тя ще бъде изключена от участие в Щита за личните данни.

г)

Не е необходимо принципът на достъпа да се прилага за информация в публичните регистри, ако тя не е съчетана с друга лична информация (освен малко количество данни, използвани за индексиране или организиране на информацията в публичните регистри), но трябва да се спазят всички условия за ползването ѝ за справки, установени от компетентните органи. За разлика от това, когато информацията в публичните регистри е съчетана с друга информация от непублични регистри (с изключение на случая, изрично посочен по-горе), организацията е длъжна да предостави достъп до цялата такава информация, при положение че за нея не се прилагат други разрешени изключения.

д)

Както при информацията от публичните регистри, не е необходимо да се предоставя достъп до информация, която вече е предоставена на разположение на широката общественост, освен ако тази информация не е съчетана с такава, която не е за публичен достъп. Организациите, които участват в дейности по продажба на достъпна за обществеността информация, могат да удовлетворяват исканията за достъп срещу заплащане на обичайната такса, която са определили за това. По избор физическите лица могат да поискат достъп до информацията, която ги засяга, като се обръщат направо към организацията, която първоначално е събрала данните.

16. Искания за достъп от публични органи

а)

За да се осигури прозрачност във връзка със законни искания на публични органи за достъп до лична информация, организациите — участници в Щита за личните данни, могат при желание да издават периодични доклади за прозрачност с броя на исканията за лична информация, които са получили от публични органи за целите на правоприлагането или националната сигурност, доколкото това разкриване е разрешено съгласно приложимото право.

б)

Предоставената информация в тези доклади от организациите — участници в Щита за личните данни, наред с публикуваната информация от разузнавателната общност и друга информация, може да се използва за целите на годишния съвместен преглед на функционирането на Щита за личните данни, както това е предвидено в Принципите.

в)	Ако не е направено уведомяване съгласно изискванията на буква а), подточка xii) от принципа на уведомяването, това не пречи и не намалява възможността за организацията да отговаря на всички законни искания.

(1) Предвид това че решението на Комисията относно адекватността на защитата, осигурена от Щита за личните данни в отношенията между ЕС и САЩ, се прилага в Исландия, Лихтенщайн и Норвегия, пакетът към Щита за личните данни ще обхване както Европейския съюз, така и тези три държави. Следователно позоваването на Договора за ЕС и неговите държави членки да се чете като включващо Исландия, Лихтенщайн и Норвегия.

(2) В зависимост от обстоятелствата примерите за съвместими цели на обработването може да включват тези, които са от определена полза по отношение на връзките с клиенти, съображения относно спазването и правни съображения, одит, сигурност и предотвратяване на измами, опазване или защита на законните права на организацията или други цели, съответстващи на разумни очаквания в контекста на събирането на данни.

(3) В този контекст, ако предвид средствата за идентификация, които е определено вероятно да бъдат използвани (като се имат предвид, наред с останалото, разходите и количеството време, необходими за идентифицирането, както и наличните технологии към момента на обработването), и формата, в който данните се запазват, физическо лице би могло да бъде идентифицирано от организацията или от трета страна, при условие че има достъп до данните, тогава лицето е „лице, което може да бъде идентифицирано“.

(4) Организацията следва да отговаря на искания на физическите лица относно целите на обработването, категориите лични данни, за които се отнася, и получателите или категориите получатели, на които се разкриват личните данни.

(5) Раздел I.5 от Принципите.

(6) Органите по разрешаване на споровете решават по собствено усмотрение относно обстоятелствата, при които да прилагат тези санкции. Един от факторите, които трябва да се отчитат, когато се взема решение дали ще се наложи данните да бъдат заличени, е дали това са чувствителни данни, както и дали организацията е събрала, използвала или разкрила информацията при явно неспазване на Принципите на Щита за личните данни.

Приложение I

Арбитражен модел

A. Обхват

Б. Налични средства за правна защита

Съгласно тази процедура за арбитраж специалната група по Щита за личните данни (в чийто състав влизат един или трима арбитри, по споразумение между страните) е компетентна да предписва специфични за конкретния случай непарични безпристрастни мерки (например предоставяне на достъп, коригиране, заличаване или връщане на въпросните данни на физическото лице), необходими като корективно действие срещу нарушаването на Принципите единствено по отношение на физическото лице. Специалната група по арбитража разполага единствено с тези правомощия във връзка със средствата за правна защита. Когато определя корективните мерки, от специалната група по арбитража се изисква да взема предвид и другите средства за правна защита, които са били определени преди това от други механизми съгласно Щита за личните данни. Не се предоставя правна защита по отношение на претърпени вреди, направени разходи, заплатени такси и други. Всяка страна по спора сама поема разноските по хонорарите на адвокати.

В. Изисквания преди арбитраж

Когато едно физическо лице реши да използва тази възможност за арбитраж, то трябва да предприеме следните стъпки, преди да инициира арбитражно производство: 1) да подаде жалбата срещу нарушението направо пред организацията и да предостави възможност на тази организация да намери решение на въпроса в рамките на срока, определен в раздел III, точка 11, буква г), подточка i) от Принципите; 2) да използва независимия механизъм за защита съгласно Принципите, който е безплатен за физическите лица; и 3) да отнесе въпроса до Министерството на търговията чрез съответния орган по защита на данните и да предостави възможност на министерството да положи максимални усилия да разреши въпроса в рамките на срока, определен в писмото на Администрацията по международна търговия към Министерството на търговията, безплатно за лицето.

Тази възможност за арбитраж не може да се използва, когато преди това по жалба на това физическо лице срещу същото нарушение на Принципите: 1) е прилаган правно обвързващ арбитраж; 2) е определено окончателно решение след съдебен процес, по който физическото лице е било страна; или 3) вече е постигнато споразумение между страните. Освен това тази възможност за арбитраж не може да се използва, когато орган по защита на данните от ЕС: 1) има правомощия съгласно раздел III, точки 5 или 9 от Принципите; или 2) има правомощия да определи решение по жалбата срещу нарушение директно с организацията. Компетентността на ОЗД да определи решение по същата жалба срещу администратор на данни от ЕС сама по себе си не изключва възможността да бъде използвана тази възможност за арбитраж срещу друго юридическо лице, спрямо което този ОЗД няма правомощия.

Г. Обвързващ характер на решенията

Д. Контрол и принудително изпълнение

Физическите лица и организациите — участници в Щита за личните данни, могат да отнесат арбитражните решения за съдебен контрол и принудително изпълнение по силата на правото на САЩ съгласно Федералния арбитражен закон (Federal Arbitration Act) (2). В тези случаи отнасянето става във федерален окръжен съд, в чиято териториална компетентност се намира основното място на установяване на дейността на организацията— участник в Щита за личните данни.

Е. Специална група по арбитража

Страните ще избират арбитри от списъка, разгледан по-нататък.

Арбитрите:

1)	ще остават включени в списъка за срок от 3 години освен в изключителни случаи или по основателни причини, като този срок може да бъде еднократно удължаван за нови 3 години;

2)	не трябва да действат под указания на която и да е от страните, на организация — участник в Щита за личните данни, на правителствена институция, публичен орган или правоприлагащ орган на САЩ, ЕС, държава — членка на ЕС, или друг такъв орган, както и не трябва да са обвързани с такива; и

3)	трябва да имат разрешение да практикуват юридическа професия в САЩ, да бъдат специалисти в законодателството на САЩ в областта на неприкосновеността на личния живот и да имат експертен опит и познания относно законодателството на ЕС в областта на защитата на данните.

Ж. Арбитражни процедури

Всяко физическо лице може да инициира правно обвързващ арбитраж при спазване на изискванията за действията преди арбитраж, разгледани по-горе, като изпрати „Уведомление“ на организацията. В уведомлението трябва да се съдържа обобщение на стъпките, предприети съгласно точка В за намиране на решение по жалбата, описание на твърдяното нарушение и, по избор на лицето, евентуални приложени документи и материали и/или правно изложение във връзка с твърдението за нарушение.

2.	Процедурите трябва да бъдат изпълнени, за да се гарантира, че няма да има дублиране на средствата или процедурите за правна защита по жалбата на това физическо лице срещу същото нарушение.

3.	Действията на ФТК могат да се предприемат успоредно с арбитражното производство.

5.	Мястото на провеждане на арбитража ще е в Съединените щати, а физическото лице може да избере да участва чрез видео- или телефонна връзка, която се осигурява безплатно за него. Не е наложително да участва лично.

Езикът, на който ще се води арбитражното дело ще бъде английски, освен когато страните са се споразумели за друго. При мотивирано искане и като се взема предвид дали физическото лице се представлява от адвокат, ще се осигурява безплатно устен превод по време на изслушването и писмен превод на материалите по арбитражното дело, освен когато по преценка на специалната група при конкретните обстоятелства по арбитража това би довело до необосновани или непропорционални разходи.

7.	Предоставените на арбитрите материали ще се третират като поверителна информация и ще бъдат използвани само във връзка с арбитражното дело.

8.	Ако е необходимо, може да се допусне да бъдат представени специални разкрития на физическото лице, които ще бъдат третирани от страните като поверителна информация и ще бъдат използвани само във връзка с арбитражното дело.

9.	Арбитражните дела трябва да приключат в срок до 90 дни, считано от изпращането на уведомлението до въпросната организация, освен когато страните са се договорили за друго.

З. Разходи

Арбитрите следва да предприемат подходящи мерки за свеждане до минимум на разноските или таксите по арбитражните дела.

В съответствие с приложимото законодателство Министерството на търговията ще съдейства за създаването на фонд, в който ще се изисква от организациите — участници в Щита за личните данни, да внасят годишни вноски, въз основа отчасти на големината на организацията, и от който ще бъдат покривани разходите по арбитражната процедура, включително хонорарите за арбитрите, до определени максимални размери („таван“), което ще се извърши в консултация с Европейската комисия. Фондът ще се управлява от трета страна, която редовно ще докладва за работата му. При годишния преглед Министерството на търговията и Европейската комисия ще извършват преглед на работата на фонда, включително необходимостта от промяна на размера на вноските или тавана, като наред с останалото ще вземат предвид и броя на арбитражните дела и разноските и времетраенето им, като общото разбиране е да не се създава прекомерна финансова тежест за организациите — участници в Щита за личните данни. Таксите за хонорари на адвокати няма да се поемат съобразно с настоящата разпоредба, нито от фонда, създаден както това е предвидено в нея.

(1) Раздел I.5 от Принципите.

(2) Съгласно глава 2 от Федералния арбитражен закон (Federal Arbitration Act) („ФАЗ“) „арбитражно споразумение или арбитражно решение, произтичащо от правни взаимоотношения, включително договорни, които могат да бъдат считани за търговски по характер, включително сделка, договор или споразумение от вида на описаните [в раздел 2 от ФАЗ], се включва в обхвата на Конвенцията [относно признаването и изпълнението на чуждестранни арбитражни решения от 10 юни 1958 г., 21 U.S.T. 2519, T.I.A.S. № 6997 („Конвенцията от Ню Йорк“)].“ 9 U.S.C. § 202. По-нататък във ФАЗ е предвидено, че „споразумение или решение, произтичащо от такива взаимоотношения, в които участват само граждани на Съединените щати, не се включва в обхвата на Конвенцията [от Ню Йорк], освен когато в тези взаимоотношения участва недвижимо имущество с местонахождение извън САЩ, когато се предвижда изпълнение на дейност или прилагане извън САЩ или по друг начин е налице някаква основателна връзка с една или повече чужди държави.“ Съгласно глава 2 „всяка от страните по арбитражното дело може да се отнесе до съд с юрисдикция съгласно разпоредбите в настоящата глава, за да поиска разпореждане в потвърждение на арбитражното решение, постановено срещу някоя от другите страни по арбитражното дело. Съдът потвърждава решението, освен когато констатира, че е налице едно от основанията за отказ или отсрочване на признаването или изпълнението на решението, както това е определено в посочената Конвенция [от Ню Йорк].“, пак там § 207. По-нататък в глава 2 е предвидено, че „окръжните съдилища в Съединените щати … са компетентни в първоначалния иск … или първоначалното производство [съгласно Конвенцията от Ню Йорк], независимо от размерите на спора.“, пак там § 203.

Също така в глава 2 е предвидено, че „Разпоредбите съгласно глава 1 се прилагат за искове и производства, инициирани съгласно разпоредбите в настоящата глава, доколкото разпоредбите в глава 1 не влизат в противоречие с тези в настоящата глава или в Конвенцията [от Ню Йорк], както тя е ратифицирана от Съединените щати.“, пак там § 208. От друга страна в глава 1 е предвидено, че „писмени разпоредби в … договор за търговска сделка, отнасящи се до решаване чрез арбитраж на спорове, произтичащи от такъв договор, или сделка или от отказ да бъде изпълнен договорът изцяло или частично, както и писмено споразумение да бъде инициирано арбитражно дело по съществуващ спор, възникнал въз основа на такъв договор, сделка или отказ, се считат за валидни, неотменими и подлежащи на принудително изпълнение, освен когато са налице съществуващи по закон основания или справедливи основания за отмяна на договора.“, пак там § 2. По-нататък в глава 1 е предвидено, че „всяка страна по арбитражния спор може да изиска от посочения съд разпореждане за потвърждаване на решението, след което съдът е задължен да издаде такова разпореждане, освен когато решението е било отменено, изменено или поправено, както това е предвидено в раздели 10 и 11 [от ФАЗ].“, пак там § 9.

ПРИЛОЖЕНИЕ III

7 юли 2016 г.

Уважаема комисар Йоурова,

Радвам се, че постигнахме разбиране относно Щита за личните данни в отношенията между Европейския съюз и Съединените щати с включен Механизъм на омбудсмана, чрез който органите в ЕС ще могат да подават искания от името на физически лица от ЕС във връзка с практиките в радиоелектронното разузнаване на САЩ.

На 17 януари 2014 г. президентът Барак Обама обяви важни реформи в областта на разузнаването, включени в Президентски изпълнителен указ 28 (ПИУ-28). Съгласно ПИУ-28 определих заместник-държавния секретар Catherine A. Novelli, която също така изпълнява функциите на старши координатор на международната дипломация в областта на информационните технологии, да бъде нашето лице за връзка с чуждите правителства, които желаят да изразят безпокойство във връзка с дейностите на радиоелектронното разузнаване на САЩ. Въз основата на тази функция създадох Механизъм на омбудсмана към Щита за личните данни съобразно с условията, разгледани в приложение A, което бе актуализирано след моето писмо от 22 февруари 2016 г. Определих заместник-държавния секретар NovelliI да изпълнява тази функция. Заместник-държавният секретар NovelliI е независима от разузнавателните структури на САЩ и е пряко подчинена на мен.

Разпоредих на моите служители да бъдат вложени всички необходими ресурси за прилагането на този нов механизъм на омбудсмана и съм уверен, че той ще бъде ефективно средство за решаване на проблемните въпроси на физическите лица от ЕС.

С уважение,

Джон Ф. Кери

ПРИЛОЖЕНИЕ А

Механизъм на омбусмана на щита за личните данни в отношенията между ЕС и САЩ по отношение на радиоелектронното разузнаване

Като признава значението на рамката на Щита за личните данни в отношенията между ЕС и САЩ, настоящият меморандум определя процеса за прилагането на нов механизъм във връзка с радиоелектронното разузнаване в съответствие с Президентски изпълнителен указ 28 (ПИУ-28) (1).

На 17 януари 2014 г. президентът Обама обяви в своя реч важни реформи в областта на разузнаването. В тази реч той отбеляза, че „нашите усилия спомагат да защитим не само нашата нация, но също и нашите приятели и съюзници. Усилията ни ще бъдат ефективни само ако обикновените граждани в нашите държави имат увереността, че Съединените щати уважават неприкосновеността и на техния личен живот“. Президентът Обама обяви издаването на нов президентски указ — ПИУ-28 — „за определяне по ясен начин какво правим и какво не правим, когато се отнася за нашите наблюдения зад граница“.

В раздел 4, буква d) от ПИУ-28 се дават указания на държавния секретар да определи „старши координатор на международната дипломация в областта на информационните технологии“ (старши координатор), „който ... да изпълнява функциите на лице за връзка с чуждите правителства, които желаят да изразят безпокойство във връзка с дейностите на радиоелектронното разузнаване, провеждани от Съединените щати“. От януари 2015 г. функциите на старши координатор изпълнява заместник-държавният секретар C. Novelli.

В настоящия меморандум е разгледан един нов механизъм, който ще бъде прилаган от старшия координатор за улесняване обработването на искания във връзка с достъпа за целите на националната сигурност до данни, предавани от ЕС към Съединените щати съгласно Щита за личните данни, стандартни договорни клаузи (СДК), задължителни фирмени правила (ЗФП), „дерогации“ (2) или „възможни бъдещи дерогации“ (3), по установения ред съгласно приложимото законодателство и политиката на Съединените щати, както и предоставянето на отговор на такива искания.

1. Омбудсманът към Щита за личните данни. Старшият координатор ще изпълнява функциите на омбудсман към Щита за личните данни и ще определи допълнително длъжностни лица от Държавния департамент да я подпомагат, когато е необходимо за изпълняването на нейните задължения, разгледани подробно в настоящия меморандум. (По-нататък в текста координаторът и длъжностните лица, които изпълняват тези задължения, ще бъдат наричани „Омбудсман към Щита за личните данни.“) Омбудсманът към Щита за личните данни ще работи в тясно сътрудничество със съответните длъжностни лица от други министерства и агенции, които отговарят за обработването на искания съгласно приложимото законодателство и политиката на Съединените щати. Омбудсманът е независим от разузнавателната общност. Омбудсманът е пряко подчинен на държавния секретар, който ще гарантира, че Омбудсманът изпълнява функциите си обективно и без неправомерно влияние, което може да има отражение върху отговорите, които следва да се предоставят.

2. Ефективна координация. Омбудсманът към Щита за личните данни ще може ефективно да използва описаните по-долу надзорни органи, както и да се координира с тях, с цел да се гарантира, че отговорът на Омбудсмана на органа на ЕС за разглеждане на индивидуални жалби, се основава на необходимата информация. Когато искането се отнася до съвместимостта на наблюдението с правото на САЩ, Омбудсманът към Щита за личните данни ще може да си сътрудничи с един от независимите надзорни органи с правомощия за провеждане на разследвания.

а)

Омбудсманът към Щита за личните данни ще работи в тясно сътрудничество с други длъжностни лица от правителството на Съединените щати, включително със съответните независими надзорни органи, с цел да се гарантира, че изготвените искания са разглеждани и решени в съответствие с приложимото законодателство и политиките. По-специално омбудсманът към Щита за личните данни ще може, според случая, да работи в тясна координация със Службата на директора на Националното разузнаване, Министерството на правосъдието и други министерства и агенции, свързани с националната сигурност на Съединените щати, както и с главните инспектори, служителите по Закона за свобода на информацията и служителите по въпросите на гражданските свободи и неприкосновеността на личния живот.

б)

Правителството на Съединените щати ще разчита на механизмите за координиране и надзор по въпросите на националната сигурност между министерствата и агенциите, за да съдейства да се гарантира, че омбудсманът към Щита за личните данни ще може да отговаря по смисъла на раздел 4, буква д) на искания, изготвени съгласно раздел 3, буква б).

в)	Омбудсманът към Щита за личните данни може да отнася въпроси, свързани с исканията, за разглеждане от Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи.

3. Подаване на исканията.

а)

Първоначално искането ще се подава до компетентните органи на държавите членки в областта на надзора на дейностите в националната сигурност и/или обработването на лични данни от публични органи. Искането се подава до Омбудсмана от централизиран орган на ЕС (наричан по-долу „централизираният орган на ЕС за разглеждане на индивидуални жалби“).

б)

Органът на ЕС за разглеждане на жалби на физическите лица ще осигурява искането да бъде пълно, като се съобразява със следните действия:

i)	проверка за самоличността на физическото лице и дали то действа от собствено име, а не като представител на правителствена или междуправителствена организация;

ii)

осигуряване искането да бъде оформено писмено и да съдържа следната основна информация:

—	информацията, която съставлява основанието за искането,

—	естеството на исканата информация или исканото решение,

—	правителствените институции на Съединените щати, за които се смята, че се отнася искането, ако има такива, и

—	други мерки, които са били приложени, за да бъде получена исканата информация или исканото решение и получения резултат чрез тях;

iii)	проверка дали искането се отнася за данни, за които има основания да се счита, че са предадени от ЕС на Съединените щати съгласно Щита за личните данни, стандартни договорни клаузи, задължителни фирмени правила, дерогации или възможни бъдещи дерогации;

iv)	първоначално определяне дали искането не е несериозно, злонамерено или недобросъвестно.

в)

За да бъде пълно за целите на по-нататъшното му разглеждане от Омбудсмана към Щита за личните данни съгласно настоящия меморандум, не е необходимо искането да доказва, че действително е осъществен достъп до данните на подаващия го при дейности на радиоелектронното разузнаване, провеждани от правителството на Съединените щати.

4. Ангажименти за поддържане на връзка с подаващия орган на ЕС за разглеждане на жалби на физическите лица.

а)	Омбудсманът към Щита за личните данни ще изпраща потвърждение за получаването на искането до изпращащия го орган на ЕС за разглеждане на жалби на физическите лица.

б)

Омбудсманът към Щита за личните данни ще извършва първоначална проверка, за да удостовери дали искането е изготвено съобразно с изискванията в раздел 3, буква б). Ако Омбудсманът към Щита за личните данни забележи непълноти или има въпроси относно изготвянето на искането, той ще се стреми да обсъди и намери решение на тези въпроси съвместно с подаващия орган на ЕС за разглеждане на жалби на физическите лица.

в)

Ако за улесняване на правилното разглеждане на искането Омбудсманът към Щита за личните данни се нуждае от допълнителна информация за него или се налага физическото лице, което първоначално е подало искането, да предприеме определени действия, Омбудсманът към Щита за личните данни ще информира за това подаващия орган на ЕС за разглеждане на жалби на физическите лица.

г)	Омбудсманът към Щита за личните данни ще следи етапите на разглеждане на исканията и ще предоставя съответна актуална информация на подаващия орган на ЕС за разглеждане на жалби на физическите лица.

д)

След като искането бъде изготвено, както това е описано в раздел 3 от настоящия меморандум, Омбудсманът към Щита за личните данни ще изпрати своевременно съответен отговор на подаващия орган на ЕС за разглеждане на жалби на физическите лица, като при това прилага постоянното си задължение да осигурява защита на информацията съгласно приложимото право и политиките. Омбудсманът към Щита за личните данни ще предостави отговор на подаващия орган на ЕС за разглеждане на жалби на физическите лица в потвърждение на това, че: i) оплакването е надлежно разгледано и ii) са спазени правото на САЩ, законите, декретите, президентските укази и политиките на институциите, които предвиждат ограничения и гаранции, както това е разгледано в писмото на Службата на директора на Националното разузнаване, или ако не са спазени, че това неспазване е било отстранено. Омбудсманът към Щита за личните данни нито потвърждава, нито отрича, че се извършва целево наблюдение на физическото лице, както и не потвърждава конкретната корективна мярка, която е приложена. Както е пояснено допълнително в точка 5, исканията съгласно Закона за свобода на информацията ще бъдат разглеждани както това е предвидено в закона и приложимите подзаконови актове.

е)

Омбудсманът към Щита за личните данни ще бъде в пряка връзка с органа на ЕС за разглеждане на жалби на физическите лица, който от своя страна ще има задължението да осъществява връзката с физическото лице, което подава искането. Ако пряката връзка е част от един от основните процеси, описани по-нататък, тази връзка ще се осъществява съгласно съществуващите процедури.

ж)

Ангажиментите в настоящия меморандум не се прилагат за жалби от общ характер относно несъответствие на Щита за личните данни в отношенията между ЕС и САЩ с изискванията на Европейския съюз в областта на защитата на данните. Ангажиментите в настоящия меморандум са поети въз основа на общото разбиране на Европейската комисия и правителството на САЩ, че предвид обхвата на ангажиментите съгласно настоящия механизъм е възможно да възникнат ресурсни ограничения, включително по отношение на исканията съгласно Закона за свобода на информацията (ЗСИ). В случай че изпълнението на функциите на Омбудсмана към Щита за личните данни надхвърли допустимите ресурсни ограничения и пречи на изпълнението на тези ангажименти, правителството на САЩ ще обсъди с Европейската комисия евентуални промени, които може да са необходими за справяне с положението.

5. Искания за информация. Искания за достъп до регистрите на правителството на Съединените щати могат да се подават и разглеждат съгласно Закона за свобода на информацията (Freedom of Information Act (FOIA)).

В него са предвидени възможности за което и да било лице да поиска достъп до съществуващите регистри на федерални институции, независимо от неговото гражданство. Този закон е кодифициран в Кодекса на Съединените щати, 5 U.S.C. § 552. Законът, както и допълнителна информация за него са на разположение на адрес www.FOIA.gov и http://www.justice.gov/oip/foia-resources. Всяка институция има главен служител по FOIA и предоставя информация на своя публичен уебсайт как може да бъде подадено искане съгласно FOIA до институцията. Институциите имат процедура за консултации помежду си относно исканията съгласно FOIA, които се отнасят до регистри на друга институция.

б)

Пример:

Службата на директора на Националното разузнаване (Office of the Director of National Intelligence (ODNI)) е създала специален портал за FOIA и искания към ODNI: http://www.dni.gov/index.php/about-this-site/foia. На портала е посочена информация как може да се подаде искане, да се провери етапът на разглеждане на подадено искане и се предоставя достъп до издадена и публикувана от ODNI информация съгласно FOIA. Освен това порталът за FOIA на ODNI предоставя електронна връзка към уебсайтовете за искания съгласно FOIA на други разузнавателни структури: http://www.dni.gov/index.php/about-this-site/foia/other-ic-foia-sites.

ii)

Службата по информационна политика на Министерството на правосъдието предоставя обстойна информация относно FOIA: http://www.justice.gov/oip. Това се отнася не само за информация относно подаването на искания съгласно FOIA до Министерството на правосъдието, но са дадени също и насоки към правителството на Съединените щати относно тълкуването и прилагането на изискванията, предвидени в FOIA.

в)

Съгласно FOIA, за достъпа до правителствените регистри се прилагат някои изключения, изброени в закона. Към тях спадат ограниченията за достъпа до класифицирана информация във връзка с националната сигурност, до лична информация на трети страни и информация относно разследвания на правоприлагащите органи, като тези ограничения са сходни на налаганите от всяка от държавите — членки на ЕС, съгласно националното им право в областта на достъпа до информация. Те се прилагат еднакво за американски граждани и за лица, които не са граждани на САЩ.

г)

Споровете във връзка с предоставяне на регистри по искане съгласно FOIA могат да се обжалват по административен ред, след което и пред федерален съд. От съда се изисква да се произнесе отново с решение дали регистрите правомерно не са били предоставени, 5 U.S.C. § 552(a)(4)(B), и той може да задължи правителството да предостави достъп до регистрите. В някои случаи съдът е отхвърлил доводите на правителството, че информацията не трябва да се предоставя, тъй като е класифицирана. Въпреки че не се предоставят обезщетения за финансови вреди, съдът може да разпореди да бъдат изплатени разноските за адвокатски хонорари.

6. Искания за последващи действия. Исканията във връзка с предполагаемо нарушение на законодателството или друго неправомерно действие ще бъдат насочвани към съответните органи на правителството на Съединените щати, включително независими надзорни органи, които имат правомощия да провеждат разследвания по съответното искане и да отстранят неспазването, както това е разгледано по-нататък.

а)

Главните инспектори са с независим статут, имат широки правомощия да провеждат разследвания, одити и проверки на програмите, включително за измами и злоупотреби или нарушаване на закона, и могат да правят препоръки за корективни мерки.

Със Закона за главния инспектор от 1978 г. (Inspector General Act) и последващите изменения беше създадена със закон длъжността на федералния главен инспектор като независимо и обективно звено в рамките на повечето агенции, чиито задължения са борбата с разхищението, измамите и злоупотребите по програмите и в работата на съответните агенции. За тази цел всеки главен инспектор отговаря за провеждането на одити и разследвания във връзка с програмите и работата на съответната агенция. Освен това главните инспектори ръководят, координират и дават препоръки за политики във връзка с дейности, насочени към повишаване на икономиите, ефективността и ефикасността, както и превенция и разкриване на измами и злоупотреби по програмите и в работата на съответните агенции.

ii)

Всяка от разузнавателните структури има своя служба на главния инспектор, в чиито отговорности се включва наред с останалите въпроси и упражняването на надзор върху дейностите за външно разузнаване. До редица доклади на главни инспектори във връзка с разузнавателни програми беше предоставен публичен достъп.

iii)

Пример:

—

Службата на главния инспектор на Разузнавателната общност (Office of the Inspector General of the Intelligence Community (IC IG)) беше създадена по силата на раздел 405 от Закона за разрешаване на разузнавателни дейности за финансовата година 2010 (Intelligence Authorization Act of Fiscal Year 2010 — http://www.gpo.gov/fdsys/pkg/PLAW-111publ259/pdf/PLAW-111publ259.pdf). IC IG отговаря за провеждането във всички разузнавателни структури на одити, разследвания, инспектиране и проверки за идентифициране и отстраняване на системни рискове, слаби места и недостатъци, които засягат мисиите на разузнавателните агенци, за да има положителен ефект върху икономиите и ефективността на всички разузнавателни структури. IC IG има правомощия да провежда разследвания по жалби или информация във връзка с предполагаеми нарушения на закони, правила, подзаконови актове или по обвинения за разхищение, измами, злоупотреби с власт или за значими или специфични рискове за общественото здраве и обществената безопасност във връзка с разузнавателни програми и дейности на ODNI и/или разузнавателните структури. IC IG предоставя информация как да се осъществи пряка връзка с него за подаването на сигнал: http://www.dni.gov/index.php/about-this-site/contact-the-ig.

—

Службата на главния инспектор (Office of the Inspector General (OIG — https://www.oig.justice.gov)) на Министерството на правосъдието на САЩ е създадена със закон независима структура, чиято мисия е откриването и възпирането на разхищения, измами, злоупотреби и неправомерни действия в програмите и сред служителите на Министерството на правосъдието, както и повишаването на икономиите и ефективността по тези програми. OIG провежда разследвания по предполагаеми нарушения на наказателното и гражданското право от страна на служители на министерството и също така извършва одити и проверки по неговите програми. OIG има компетентност по всички жалби срещу неправомерни действия на служители на Министерството на правосъдието, включително на Федералното бюро за разследвания, Администрацията за борба с наркотиците, Федералното бюро за местата за лишаване от свобода, Маршалската служба на САЩ, Бюрото по въпросите на алкохола, тютюна, огнестрелните оръжия и експлозивите, Адвокатските колегии в Съединените щати, както и на служителите, които работят в други подразделения или служби на Министерството на правосъдието. (Единствено изключение са обвиненията в неправомерни действия срещу юристи или правоприлагащи служители на министерството, когато обвиненията са свързани с упражняването на правомощията на юриста на министерството по разследване, водене на дела или предоставяне на юридическа консултация, по които отговорност за разглеждането носи Службата за професионална отговорност към министерството). Освен това в раздел 1001 от Закона за обединяване и укрепване на САЩ (USA Patriot Act), промулгиран на 26 октомври 2001 г., се дават указания на главния инспектор да разглежда информация и приема жалби срещу злоупотреби с граждански права и граждански свободи от страна на служители на Министерството на правосъдието. OIG поддържа публичен уебсайт — https://www.oig.justice.gov — на който има и „гореща линия“ за подаване на жалби — https://www.oig.justice.gov/hotline/index.htm.

б)

Службите и структурите по въпросите на неприкосновеността на личния живот и гражданските свободи в правителството на Съединените щати също имат релевантни отговорности. Пример:

С раздел 803 от Закона за изпълнение на препоръките на комисията по атентатите от 11 септември от 2007 г. (Implementing Recommendations of the 9/11 Commission Act), кодифициран в Кодекса на Съединените щати, 42 U.S.C. § 2000-ee1, се въвеждат служители по въпросите на неприкосновеността на личния живот и гражданските свободи в някои министерства и агенции (включително Държавния департамент, Министерството на правосъдието и ODNI). В раздел 803 се определя, че тези служители по въпросите на неприкосновеността на личния живот и гражданските свободи ще имат функцията на главен съветник, който наред с останалото осигурява в съответното министерство, агенция или структура наличието на адекватни процедури за разглеждане на жалби на физически лица по обвинения за нарушаване на неприкосновеността на личния им живот или гражданските им свободи от страна на това министерство, агенция или структура.

ii)

Службата за гражданските свободи и неприкосновеността на личния живот към ODNI (Civil Liberties and Privacy Office (ODNI CLPO) се ръководи от служителя на ODNI по въпросите на защитата на гражданските свободи — длъжност, създадена със Закона за националната сигурност от 1948 г. (National Security Act), с последващите му изменения. Сред задълженията на ODNI CLPO е да осигури наличието на адекватна защита на неприкосновеността на личния живот и гражданските свободи в политиките и процедурите на разузнавателните структури, както и да разглежда и разследва жалби по обвинения за злоупотреби или нарушаване на гражданските свободи и неприкосновеността на личния живот в програми и дейности на ODNI. На своя уебсайт ODNI CLPO предоставя информация на обществеността, включително указания как може да бъде подадена жалба: www.dni.gov/clpo. Когато в ODNI CLPO се получи жалба във връзка с неприкосновеността на личния живот или гражданските свободи по отношение на програми и дейности на разузнавателните структури, службата работи координирано с други разузнавателни структури за по-нататъшното разглеждане на жалбата в рамките на тези структури. Трябва да се има предвид, че Агенцията за национална сигурност (National Security Agency (NSA)) също разполага със служба за гражданските свободи и неприкосновеността на личния живот, която предоставя информация относно своите отговорности на уебсайта си — https://www.nsa.gov/civil_liberties/. Ако има информация, че дадена агенция не спазва изискванията в областта на неприкосновеността на личния живот (напр. такова изискване е предвидено в раздел 4 от ПИД-28), тогава агенциите разполагат с механизми за гарантиране на спазването, с които да направят проверка и да отстранят нарушението. Съгласно ПИД-28 от агенциите се изисква да докладват пред ODNI за случаите на неспазване.

iii)

Службата за неприкосновеността на личния живот и гражданските свободи (Office of Privacy and Civil Liberties (OPCL)) към Министерството на правосъдието подпомага изпълнението на задълженията и отговорностите на главния служител по въпросите на неприкосновеността на личния живот и гражданските свободи (Chief Privacy and Civil Liberties Officer (CPCLO)) на министерството. Основната мисия на OPCL е защитата на неприкосновеността на личния живот и гражданските свободи на американците чрез проверки, надзор и координация на работата на министерството по отношение на неприкосновеността на личния живот. OPCL предоставя правни консултации и насоки за структурите на министерството; осигурява спазването от страна на министерството на изискванията в областта на неприкосновеността на личния живот, включително съгласно Закона за неприкосновеността на личния живот от 1974 г. (Privacy Act), разпоредбите в областта на неприкосновеността на личния живот от Закона за електронното правителство от 2002 г. (E-Government Act) и от Закона за федералното управление на информационната сигурност (Federal Information Security Management Act), както и директивите за административната политика, издадени в изпълнение на тези закони; разработва и провежда обучение в областта на неприкосновеността на личния живот за работещите в министерството; подпомага CPCLO за разработването на политиката на министерството в областта на неприкосновеността на личния живот; изготвя доклади във връзка с неприкосновеността на личния живот до президента и Конгреса; и прави преглед на практиките за обработване на информация в министерството, за да гарантира, че те са съобразени с изискванията за защита на неприкосновеността на личния живот и гражданските свободи. OPCL предоставя информация на обществеността относно своите отговорности на адрес http://www.justice.gov/opcl.

iv)

Съгласно 42 U.S.C. § 2000ee et seq. Надзорният съвет по въпросите на неприкосновеността на личния живот и гражданските свободи (Privacy and Civil Liberties Oversight Board) извършва постоянен преглед на i) политиките и процедурите на министерствата, агенциите и подразделенията на изпълнителната власт във връзка с усилията да бъде защитена нацията от тероризма, както и на тяхното прилагане, за да гарантира, че са защитени неприкосновеността на личния живот и гражданските свободи, и ii) други действия на изпълнителната власт във връзка с тези усилия, за да определи дали тези действия осигуряват адекватна защита на неприкосновеността на личния живот и гражданските свободи и дали те са съобразени с уреждащите ги закони, подзаконови актове и политиките в областта на неприкосновеността на личния живот и гражданските свободи. Този съвет приема и разглежда доклади и друга информация от служителите по въпросите на неприкосновеността на личния живот и служителите по въпросите на гражданските свободи и когато е уместно им дава препоръки за тяхната дейност. В раздел 803 от Закона за изпълнение на препоръките на комисията по атентатите от 11 септември от 2007 г., кодифициран в Кодекса на Съединените щати, 42 U.S.C. § 2000-ee1, е указано служителите по въпросите на неприкосновеността на личния живот и гражданските свободи в осем федерални агенции (включително Министърът на отбраната, Министърът на вътрешната сигурност, директорът на националното разузнаване и директорът на Централното разузнавателно управление), както и евентуално други агенции, определени от Съвета, да представят периодични доклади пред Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, в които да бъде включена информация за броя, характера и разпореждането по жалбите, получени в съответната агенция по обвинения за нарушения. В закона за правомощията на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи са дадени указания той да приема тези доклади и когато е необходимо, да дава препоръки на служителите по въпросите на неприкосновеността на личния живот и гражданските свободи във връзка с тяхната дейност.

(2) В този контекст „дерогации“ означава предаване или предавания за търговски цели, които се извършват, при условие че: a) съответният субект на данните недвусмислено е дал съгласието си за предлаганото предаване на данни; или б) предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните; или в) предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и трета страна; или г) предаването е необходимо или изисквано от закона поради важни причини от обществен интерес или за установяването, упражняването или защитата на правни претенции; или д) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните; или е) предаването се извършва от регистър, който съгласно законите или подзаконовите актове е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, доколкото условията, установени в правото, уреждащо извършването на справката, са изпълнени в конкретния случай.

(3) В този контекст „Възможни бъдещи дерогации“ означава предаване или предавания за търговски цели, които се извършват при едно от следните условия, доколкото това условие представлява законно основание за извършване на предавания на лични данни от ЕС на САЩ: a) субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за него поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции; или б) предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие; или в) в случай на предаване на данни на трета държава или международна организация само ако предаването не е повторяемо, засяга само ограничен брой субекти на данни, необходимо е за целите на неоспоримите законни интереси, преследвани от администратора, над които не стоят интересите или правата и свободите на субекта на данни и администраторът е оценил всички обстоятелства, свързани с предаването на данните, и въз основа на тази оценка е предоставил подходящи гаранции във връзка със защитата на личните данни.

ПРИЛОЖЕНИЕ IV

7 юли 2016 г.

По елекронна поща

Вера Йоурова

Комисар по въпросите на правосъдието, потребителите и равнопоставеността между половете

Европейска комисия

Rue de la Loi/Wetstraat 200

1049 Брюксел

Белгия

Уважаема комисар Йоурова,

Федералната търговска комисия на Съединените американски щати (ФТК) (United States Federal Trade Commission) благодари за възможността да даде описание на своите действия по прилагане на новата Рамка на Щита за личните данни в отношенията между ЕС и САЩ („Рамка на Щита за личните данни“ или „Рамката“). Считаме, че Рамката ще има решаваща роля за улесняване осигуряването на защита за неприкосновеността на личния живот при търговските сделки в един все по-взаимообвързан свят. Тя ще позволи на дружествата да осъществяват важни операции в глобалната икономика, като същевременно ще гарантира, че потребителите от ЕС ще продължат да се ползват от съществена защита на неприкосновеността на личния живот. ФТК е поела траен ангажимент за защитата на неприкосновеността на личния живот през граници и ще отдаде приоритетно място на прилагането на новата рамка. По-долу описваме опита на ФТК за решително прилагане на договореностите в областта на неприкосновеността на личния живот като цяло, включително на първоначалната програма за сфера на неприкосновеност на личния живот, както и подхода на ФТК за прилагането на новата рамка.

За първи път ФТК пое публично ангажимент да прилага програмата за сфера на неприкосновеност на личния живот през 2000 г. Тогавашният председател на ФТК Robert Pitofsky изпрати на Европейската комисия писмо, в което беше очертан ангажиментът на ФТК да прилага активно принципите от схемата за сфера на неприкосновеност на личния живот. ФТК продължи да спазва този ангажимент чрез предприемането на близо 40 действия за правоприлагане и множество допълнителни разследвания и чрез сътрудничеството си с отделните органи по защита на данните от ЕС (ОЗД от ЕС) по въпроси от взаимен интерес.

След като през ноември 2013 г. Европейската комисия изрази загриженост относно управлението и прилагането на програмата за сфера на неприкосновеност на личния живот, заедно с Министерството на търговията на САЩ започнахме консултации със служители на Европейската комисия, за да проучим възможностите за укрепване на програмата. Докато тези консултации бяха в ход, на 6 октомври 2015 г. Съдът на Европейския съюз се произнесе с решение по делото Schrems, в което наред с останалото беше обявено за невалидно решението на Европейската комисия относно адекватността на програмата за сфера на неприкосновеност на личния живот. След това решение продължихме да работим в тясно взаимодействие с Министерството на търговията и Европейската комисия в стремеж да подсилим защитата за неприкосновеността на личния живот, която се осигурява за физическите лица от ЕС. Рамката на Щита за личните данни е резултат от тези текущи консултации. Както и по отношение на програмата за сфера на неприкосновеност на личния живот, с настоящето ФТК се ангажира да прилага активно новата рамка. Настоящото писмо ознаменува този ангажимент.

По-специално потвърждаваме своя ангажимент в четири основни направления: 1) отдаване на приоритет на сезирания и разследване; 2) предприемане на действия по неправомерни или измамни твърдения за участие в Щита за личните данни; 3) непрекъснат контрол по заповедите; и 4) засилена съвместна работа и сътрудничество по правоприлагане с ОЗД от ЕС. По-нататък представяме подробна информация за всеки от тези ангажименти и съответния минал опит на ФТК, както и ролята ѝ за защита на неприкосновеността на личния живот на потребителите и при прилагането на програмата за сфера на неприкосновеност на личния живот, а така също и по-общия контекст във връзка с неприкосновеността на личния живот в Съединените щати. (1)

I. КОНТЕКСТ

A. Работата на ФТК за изпълнение на изискванията за неприкосновеност на личния живот и съответната политика

ФТК разполага с широки правомощия за правоприлагане с гражданскоправни средства за повишаване на защитата на потребителите и насърчаване на конкуренцията в сферата на търговията. Като част от мандата ѝ в областта на защитата на потребителите ФТК осигурява прилагането на широка гама от закони за защита на неприкосновеността на личния живот и сигурността на данните на потребителите. Основният закон, който ФТК прилага — Законът за ФТК — забранява „нелоялни“ и „измамни“ действия или практики в търговията или засягащи търговията (2). Под „измамни“ действия или практики се разбира представяне, пропуск или практика, които са съществени и са в състояние да заблудят потребители, които действат по разумен начин в дадените обстоятелства (3). Под „нелоялни“ действия или практики се разбират действия или практики, които нанасят или са в състояние да нанесат на потребителите сериозни вреди, които при нормални обстоятелства не могат да бъдат избегнати или които не са компенсирани с предимства за потребителите или конкуренцията (4). Също така ФТК прилага специални закони за защита на информация относно здравословното състояние, заеми и други финансови въпроси, както и онлайн информация за деца, и издава разпоредби за прилагането на всеки един от тези закони.

Съгласно Закона за ФТК правомощията на ФТК обхващат въпроси „в търговията или засягащи търговията“. ФТК не е компетентна по отношение на прилагането на наказателното право или по въпроси на националната сигурност и няма правомощия по повечето от останалите действия на правителството. Освен това има изключения от компетентността на ФТК за търговските дейности, включително по отношение на банките, въздушните превозвачи, застрахователната дейност и дейностите на доставчиците на далекосъобщителни услуги в качеството им на общи преносители. Също така ФТК не е компетентна по отношение на повечето нестопански организации, но е компетентна за привидните благотворителни организации и за нестопански организации, които реално работят за печалба. Компетентността на ФТК обхваща и нестопански организации, които работят за печалба в полза на свои стопански членове, включително като им осигуряват значителни икономически ползи. (5) В някои случаи компетентността на ФТК съвпада с тази на други правоприлагащи агенции.

Изградили сме здрави работни взаимоотношения с федералните и щатските органи и работим в тясно взаимодействие с тях за координиране на разследванията или за сезиране, когато е необходимо.

Правоприлагането е ключов елемент на подхода на ФТК към защитата на неприкосновеността на личния живот. Към днешна дата ФТК е образувала над 500 дела за защита на неприкосновеността на личния живот и сигурността на информацията за потребителите. В този обем от дела се обхваща онлайн и офлайн информация и се включват действия по правоприлагане срещу малки и големи дружества по обвинения, че не са обработвали по подходящ начин чувствителни данни на потребители, не са осигурили защита на лична информация на потребители, проследявали са по измамен начин потребители онлайн, изпращали са нежелани съобщения, инсталирали са шпионски или друг злонамерен софтуер на компютрите на потребители, нарушили са правила на телемаркетинга като например правилото за необаждане („Do Not Call“) и други, и неправомерно са събирали и споделяли информация за потребители от мобилни устройства. Действията на ФТК по принудително изпълнение — както във физическия, така и в цифровия свят — са важно послание към дружествата относно необходимостта да бъде защитена неприкосновеността на личния живот на потребителите.

Също така ФТК предприе множество политически инициативи, насочени към повишаване на защитата на неприкосновеността на личния живот на потребителите, които формират работата ѝ по правоприлагане. ФТК беше домакин на работни срещи и изготви доклади с препоръки за добри практики, насочени към подобряване на защитата на неприкосновеността на личния живот в екосистемата на мобилните услуги; за повишаване на прозрачността в сектора на търговията с данни; за максимално увеличаване на ползите от големите данни при същевременно смекчаване на рисковете, които те носят, особено за потребители с ниски доходи и в райони с недостатъчно обслужване; и за изтъкване на значението на неприкосновеността на личния живот и последиците за сигурността при лицевото разпознаване и „интернет на нещата“, наред с другите области.

Също така ФТК се включва в обучения за потребителите и дружествата, за да увеличи ефекта от своята работа по правоприлагане и инициативите си за разработване на политики. ФТК използва различни средства — публикации, онлайн ресурси, работни срещи и социалните медии, за да осигурява учебни материали по широк диапазон от теми, включително мобилните приложения, неприкосновеността на личния живот на децата и сигурността на данните. Съвсем наскоро комисията стартира своята инициатива „Започни от сигурността“, с която се дават нови насоки на дружествата въз основа на опита от работата на агенцията по дела във връзка със сигурността на данните, както и поредица от работни срещи из цялата страна. Освен това ФТК е с дългогодишна водеща роля в ограмотяването на потребителите в областта на основите на компютърната сигурност. Миналата година нашият уебсайт OnGuardOnline и неговият испански езиков вариант Alerta en Línea имаха над 5 милиона посетители.

Б. Правни инструменти за защита в САЩ, от които могат да се ползват потребителите от ЕС

Рамката ще функционира в общия контекст на инструменти в САЩ в областта на неприкосновеността на личния живот, които осигуряват защита за потребителите от ЕС по редица начини.

Забраната за нелоялни и измамни действия или практики в Закона за ФТК не се ограничава до защитата на потребителите в САЩ срещу дружества от САЩ, тъй като се отнася за практики, които 1) нанасят или са в състояние да нанесат разумно предвидими вреди в Съединените щати, или 2) се отнасят за действия по същество, извършвани в Съединените щати. Освен това, когато защитава чуждестранни потребители ФТК може да използва всички средства за правна защита, включително възстановяване, с които разполага за защита на националните потребители.

Действително работата на ФТК по правоприлагане е от съществена полза за потребителите, както в САЩ, така и за тези от чужди държави. Например в нашите дела във връзка с прилагането на раздел 5 от Закона за ФТК бе защитена по еднакъв начин неприкосновеността на личния живот за потребителите в САЩ и за тези от чужди държави. В дело срещу търговец на информация, Accusearch, ФТК поддържаше становището, че продажбата от страна на дружеството на конфиденциални записи на телефонни разговори на трети страни без знанието или съгласието на потребителите е нелоялна практика в нарушение на раздел 5 от Закона за ФТК. Accusearch бяха продали информация във връзка с потребители от САЩ и от други държави (6). Съдът издаде разпореждане за прекратяване срещу Accusearch, с което наред с другото се забранява предлагането на пазара или продажбата на лична информация на потребители без писменото им съгласие, освен когато тя е законосъобразно придобита от публично достъпна информация, и определи обезщетение в размер на близо 200 000 щатски долара (7).

Друг пример е споразумението на ФТК с TRUSTe. В него се гарантира, че потребителите, включително тези от Европейския съюз, могат да имат доверие на представянията, които една световна саморегулираща се организация прави на своите проверки и сертификации на вътрешни и чуждестранни онлайн услуги (8). Освен това нашите действия срещу TRUSTe укрепват системата на саморегулиране в областта на неприкосновеността на личния живот в по-общ план, като осигуряват отчетността на субектите, които имат важна роля в схемите за саморегулиране, включително трансграничните рамки в областта на неприкосновеността на личния живот.

ФТК прилага и други специални закони, в които защитата се прилага и за потребители извън САЩ, като например Закона за защита на неприкосновеността на личния живот на децата онлайн. Наред с останалото в този закон се поставя изискване към операторите на уебсайтове и онлайн услуги, предназначени за деца, или общодостъпни сайтове, които съзнателно събират лична информация от деца на възраст под 13 години, да уведомяват за това родителите и да изискват родителско съгласие, което може да се провери. Уебсайтовете и услугите, базирани в САЩ, за които се прилага Законът за защита на неприкосновеността на личния живот на децата онлайн и които събират лична информация от деца извън САЩ, са задължени да спазват този закон. Чуждестранните уебсайтове и онлайн услуги също са задължени да спазват този закон, ако дейностите им са насочени към деца в Съединените щати или съзнателно събират лична информация от деца в Съединените щати. Освен федералните закони, които прилага ФТК, допълнителни ползи за потребителите от ЕС могат да предоставят и някои други федерални и щатски закони в областта на защитата на неприкосновеността на личния живот.

В. Прилагане на схемата за сфера на неприкосновеност на личния живот

Като част от своята програма по правоприлагане в областта на неприкосновеността на личния живот и сигурността, ФТК прие стъпки за защита на потребителите от ЕС и чрез предприемането на действия по правоприлагане във връзка с нарушения на схемата за сфера на неприкосновеност на личния живот. ФТК предприе 39 действия по принудително изпълнение във връзка с тази схема: 36 по обвинение за неправомерни твърдения за сертифициране и три дела — срещу Google, Facebook, и Myspace — по обвинения за нарушаване на принципите на сферата на неприкосновеност на личния живот (9). Тези случаи доказват изпълняемостта на сертифицирането и последиците от неспазването на принципите. Заповедите за съгласие с валидност 20 години задължават Google, Facebook и Myspace да прилагат всеобхватни програми за защита на неприкосновеността на личния живот, които да са подходящо проектирани, така че да се премахнат рисковете за неприкосновеността на личния живот при разработването и управлението на нови и съществуващи продукти и услуги и да се защити неприкосновеността на личния живот и поверителността на личната информация. Чрез всеобхватните програми в областта на неприкосновеността на личния живот, които се налагат като задължение съгласно тези заповеди, трябва да се идентифицират предвидими материални рискове и да се предвидят средства за контрол за отстраняването на тези рискове. Също така дружествата трябва да приемат текущи независими оценки на своите програми в областта на неприкосновеността на личния живот, които трябва да бъдат предоставяни на ФТК. Със заповедите се забранява на тези дружества също и да представят подвеждащо практиките си в областта на неприкосновеността на личния живот и евентуалното си участие в програма за неприкосновеността на личния живот или за сигурността. Тази забрана ще се прилага също и за действия и практики на дружествата съгласно новата рамка на Щита за личните данни. ФТК може да предприема принудително изпълнение по тези заповеди, като налага гражданскоправни санкции. През 2012 г. Google платиха гражданска санкция в рекордния размер от 22,5 милиона щатски долара по обвинения за нарушаване на адресирана към дружеството заповед. По този начин тези заповеди на ФТК спомагат за защитата на над един милиард потребители по целия свят, стотици милиони от които живеят в Европа.

Делата на ФТК са насочени също и към неправомерни, измамни или подвеждащи твърдения за участие в рамката за сфера на неприкосновеност на личния живот. ФТК се отнася сериозно към тези твърдения. Например по делото ФТК с/у Karnani през 2011 г. ФТК предприе действия срещу лице, извършващо търговия по интернет в Съединените щати, по обвинения, че то и дружеството му са подвели британски потребители, като са ги накарали да смятат, че дружеството е базирано в Обединеното кралство, включително като са използвали разширение.uk на уебсайта и са посочвали цени в британски лири и пощенски услуги на Обединеното кралство (10). Когато потребителите получили продуктите обаче, те установили неочаквано за тях, че са наложени вносни мита, че гаранциите не са валидни за Обединеното кралство и че трябва да заплатят такса, за да им бъде възстановена платената сума. ФТК също отсъди, че ответниците са измамили потребителите във връзка с участието си в програмата за сфера на неприкосновеност на личния живот. Всички потребители, станали жертва на измамата, са били от Обединеното кралство.

Много от другите ни случаи на принудително изпълнение на рамката за сфера на неприкосновеност на личния живот бяха свързани с организации, които след първоначалното си присъединяване към тази програма не бяха подновили ежегодното си сертифициране, а продължаваха да се представят като настоящи участници. Както е разгледано по-нататък, ФТК се ангажира също така и с дейности срещу неправомерни твърдения за участие в Рамката на Щита за личните данни. Тази стратегическа дейност по правоприлагане ще допълва засилените мерки от страна на Министерството на търговията за проверка на спазването на изискванията на програмата за сертифициране и пресертифициране, неговия контрол върху ефективното спазване, включително с използване на въпросници към участниците в Рамката, както и увеличените усилия за идентифициране на неправомерни твърдения за членство и неправомерно използване на сертификационния знак за Рамката (11).

II. ОТДАВАНЕ НА ПРИОРИТЕТ НА СЕЗИРАНИЯ И РАЗСЛЕДВАНЕ

Както и по програмата за сфера на неприкосновеност на личния живот, ФТК се ангажира да разглежда с предимство случаите, по които е сезирана от държавите — членки на ЕС, съгласно Щита за личните данни. ФТК ще отдава предимство и на сезирания за неспазване на саморегулаторните насоки във връзка с Рамката на Щита за личните данни, изпратени от саморегулиращи се организации в областта на неприкосновеността на личния живот и други независими органи за решаване на спорове.

За улесняване на сезиранията съгласно Рамката от държавите — членки на ЕС, ФТК създава стандартизиран процес за сезиране и дава насоки на тези държави относно вида на информацията, която би подпомогнала най-много ФТК при събирането на доказателства по случая. Като част от тези усилия ФТК ще определи лице за връзка с институцията относно сезирания от държавите — членки на ЕС. Особено полезно е, когато сезиращият орган е събрал доказателства по твърдението за нарушение и може да сътрудничи на ФТК при разследването.

След като бъде сезирана от държава — членка на ЕС, или от саморегулираща се организация, ФТК може да предприеме редица действия за разглеждане на поставените проблеми. Например можем да направим преглед на политиките на дружеството в областта на неприкосновеността на личния живот, да получим допълнителна информация директно от дружеството или от трети страни, да осъществим последващ контрол съвместно със сезиращия субект, да направим оценка дали има модел на извършване на нарушенията или са засегнати значителен брой потребители, да определим дали сезирането засяга въпроси, които са от компетентността на Министерството на търговията, да направим преценка дали ще е от полза да се проведе обучение на потребителите и на дружествата, и ако е необходимо, да инициираме производство по принудително изпълнение.

Също така ФТК се ангажира с обмен на информация по случаите, за които е била сезирана, със сезиращите правоприлагащи органи, включително относно етапа на разглеждане на случаите, при спазване на законите и ограниченията относно поверителността. Доколкото позволяват условията и предвид броя и вида на случаите на сезиране, предоставената информация ще включва оценка на въпросите, повдигнати в сезирането, включително описание на значимите проблеми, които са повдигнати, и на евентуално предприетите действия за отстраняване на нарушенията на законите в рамките на компетентността на ФТК. Освен това ФТК ще предоставя информация на сезиращия орган относно вида на получените сезирания, за да бъде повишена ефективността на усилията за справяне с неправомерните действия. Когато сезиращ правоприлагащ орган търси информация относно етапа на разглеждане на конкретен случай на сезиране за целите на собственото си производство по принудително изпълнение, ФТК ще предоставя отговор, като взема предвид броя на сезиранията, които са в процес на разглеждане, както и изискванията за поверителност и други законови условия.

ФТК ще работи в тясно взаимодействие и с ОЗД от ЕС, за да предоставя съдействие при правоприлагането. В случаите, когато е уместно, това може да се изразява във взаимен обмен на информация и съдействие при разследвания в съответствие със Закона за безопасен интернет на САЩ, с който се разрешава на ФТК да оказва съдействие на чужди правоприлагащи институции, когато предприемат действия по прилагането на закони, забраняващи практики, които по същество са еднакви с тези, които се забраняват със законите, които ФТК прилага (12). Като част от това съдействие ФТК може да споделя информация, получена във връзка с разследване на ФТК, да инициира задължителен процес от името на ОЗД от ЕС, провеждащ собствено разследване, да взема устни показания от свидетели или ответници във връзка с производството по принудително изпълнение на ОЗД, ако това съответства на изискванията на Закона за безопасен интернет на САЩ. ФТК редовно използва правомощията си да съдейства на други органи по света по случаи в областта на неприкосновеността на личния живот и защитата на потребителите (13).

Освен разглеждането с предимство на случаите, по които е сезирана съгласно Щита за личните данни от страна на държавите — членки на ЕС, и саморегулиращи се организации в областта на неприкосновеността на личния живот (14), ФТК се ангажира да провежда разследвания по собствена инициатива по предполагаеми нарушения на Рамката, когато това е необходимо и като използва набор от средства.

Вече над десетилетие ФТК поддържа стабилна програма за разследвания по въпроси от областта на неприкосновеността на личния живот и сигурността, свързани с търговски организации. Като част от тези разследвания ФТК редовно проверява дали въпросният субект прави изявления във връзка с рамката за сфера на неприкосновеност на личния живот. Когато това е така и разследването разкрие явни нарушения на принципите за сфера на неприкосновеност на личния живот, ФТК включва обвинението за нарушаване на тези принципи в своите действия по принудително изпълнение. Ще продължим да прилагаме този проактивен подход и съгласно новата рамка. Важно е да се отбележи, че ФТК провежда много по-голям брой разследвания от тези, които в крайна сметка водят до действия по публично правоприлагане. Много от разследванията на ФТК се приключват, защото служителите не констатират явно нарушение на законодателството. Тъй като разследванията на ФТК не са публични и са поверителни, приключването им често не се оповестява публично.

Близо 40-те действия по принудително изпълнение, които ФТК е предприела съгласно програмата за сфера на неприкосновеност на личния живот, са доказателство за ангажираността на агенцията с проактивното прилагане на трансгранични програми в областта на неприкосновеността на личния живот. ФТК ще следи редовно за евентуални нарушения на новата рамка като част от разследванията, които предприема в областта на неприкосновеността на личния живот и сигурността.

III. ПРЕДПРИЕМАНЕ НА ДЕЙСТВИЯ ПО НЕПРАВОМЕРНИ ИЛИ ИЗМАМНИ ТВЪРДЕНИЯ ЗА УЧАСТИЕ В ЩИТА ЗА ЛИЧНИТЕ ДАННИ

Както беше разгледано по-горе, ФТК ще предприема действия срещу субекти, които представят погрешно своето участие в Рамката. ФТК ще разглежда с предимство случаите, по които е сезирана от Министерството на търговията във връзка с организации, за които е определила, че погрешно твърдят, че участват понастоящем в Рамката, или използват сертификационен знак за Рамката без разрешение.

Освен това трябва да отбележим, че ако в политиката в областта на неприкосновеността на личния живот на една организация се твърди, че тя спазва принципите на Щита за личните данни и тя не се регистрира или не поддържа регистрацията си в Министерството на търговията, това само по себе си вероятно няма да е причина ФТК да не предприеме действия по принудителното изпълнение на тези ангажименти по Рамката по отношение на тази организация.

IV. КОНТРОЛ ПО ЗАПОВЕДИТЕ

ФТК потвърждава също ангажимента си да упражнява контрол по заповедите за принудително изпълнение, за да гарантира спазването на Рамката на Щита за личните данни.

Ние ще изискваме Рамката да бъде спазвана посредством различни подходящи разпореждания за прекратяване, предвидени в бъдещите заповеди на ФТК съгласно Рамката. Тук се включва забраната за подвеждащо представяне във връзка с участието в Рамката и други програми в областта на неприкосновеността на личния живот, когато това е основанието за действията на ФТК.

Случаите на правоприлагане от страна на ФТК във връзка с първоначалната програмата за сфера на неприкосновеност на личния живот са показателни. Всяка от заповедите по 36-те дела за неправомерни или измамни твърдения за сертифициране съгласно сферата на неприкосновеност на личния живот забранява на ответника да представя подвеждащо участието си в тази или друга програма в областта на неприкосновеността на личния живот или сигурността и задължава дружествата да представят пред ФТК доклади за изпълнението на заповедта. В случаите на нарушаване на принципите на сферата на неприкосновеност на личния живот дружествата бяха задължавани да прилагат всеобхватни програми в областта на неприкосновеността на личния живот и на всеки две години в продължение на двадесет години да получават независима оценка от трета страна за тези програми, която да представят на ФТК.

Неизпълнението на административна заповед на ФТК може да води до налагане на гражданскоправни санкции в размер до 16 000 щатски долара за всяко нарушение или 16 000 щатски долара на ден за продължаващо нарушаване (15), като санкцията може да достигне милиони долари при практики, засягащи голям брой потребители. Всяка заповед за съгласие съдържа също разпоредби за докладване и спазване. Субектите, по отношение на които е издадена заповед, трябва да пазят документацията, доказваща изпълнението, за срок от определен брой години. Заповедите трябва също така да бъдат сведени до знанието на служителите, които отговарят за гарантиране на изпълнението им.

ФТК провежда системен контрол на изпълнението на заповедите съгласно сферата на неприкосновеност на личния живот, така както и за всички останали свои заповеди. ФТК се отнася сериозно към изпълнението на нейните заповеди в областта на неприкосновеността на личния живот и сигурността на данните и когато е необходимо, предприема действия по принудителното им изпълнение. Например, както беше отбелязано по-горе, Google платиха 22,5 милиона щатски долара гражданскоправни санкции по решение за обвинение в неспазване на заповед на ФТК. Важно е да се отбележи, че заповедите на ФТК ще продължат да осигуряват защита за всички потребители от целия свят, които имат взаимоотношения с дружества, не само за тези, които подават жалби.

В заключение, ФТК ще продължи да поддържа онлайн списък на дружествата, по отношение на които са издадени заповеди във връзка с прилагането на програмата за сфера на неприкосновеност на личния живот и на новата рамка на Щита за личните данни. (16) Освен това съгласно принципите на Щита за личните данни сега се изисква от дружествата, по отношение на които е издадена заповед на ФТК или съдебно разпореждане поради неспазване на принципите, да оповестяват публично всички съответни части от докладите си за спазването или за оценка, представени пред ФТК, доколкото това е съобразено със законите и правилата за поверителност.

V. СЪВМЕСТНА РАБОТА С ОЗД ОТ ЕС И СЪТРУДНИЧЕСТВО ПРИ ПРАВОПРИЛАГАНЕТО

ФТК признава важната роля на ОЗД от ЕС за спазването на Рамката и насърчава засилването на консултациите и сътрудничеството при правоприлагането. Освен с евентуалните консултации със сезиращите ОЗД по специфични за всеки случай въпроси, ФТК се ангажира да участва в периодични срещи с определени представители на Работната група по член 29 за обсъждане на възможности за подобряване на сътрудничеството по прилагане на Рамката като цяло. ФТК ще участва също, заедно с Министерството на търговията, Европейската комисия и представители на Работната група по член 29, в годишния преглед на Рамката за обсъждане на нейното прилагане.

ФТК насърчава също така и разработването на инструменти, чрез които да се подобри сътрудничеството при правоприлагането с ОЗД от ЕС, както и с други правоприлагащи органи в областта на неприкосновеността на личния живот от целия свят. По-специално ФТК, съвместно с партньорите по правоприлагането в Европейския съюз и от целия свят, стартира миналата година система за предупреждение в рамките на Световната мрежа по прилагане на изискванията за неприкосновеността на личния живот (Global Privacy Enforcement Network (GPEN)) с цел обмен на информация по разследвания и повишаване на координацията при правоприлагането. Този инструмент за предупреждение може да бъде особено полезен в контекста на рамката на Щита за личните данни. ФТК и ОЗД от ЕС могат да го използват в координацията във връзка с разследванията съгласно рамката и други разследвания в областта на неприкосновеността на личния живот, включително и като начална точка за обмен на информация, за да бъде осигурена координирана и по-ефективна защита на неприкосновеността на личния живот за потребителите. Очакваме с нетърпение да продължим да работим с органите — участници от ЕС, за намиране на по-широко приложение на системата за предупреждение в GPEN и за разработване на други инструменти за подобряване на сътрудничеството при правоприлагането по случаи в областта на неприкосновеността на личния живот, включително съгласно Рамката.

ФТК с удоволствие потвърждава ангажимента си за прилагането на новата рамка на Щита за личните данни. Също така очакваме с нетърпение да продължим съвместната ни работа с колегите от ЕС по защитата на неприкосновеността на личния живот на потребителите от двете страни на Атлантическия океан.

Искрено Ваша,

Edith Ramirez

Председател

(1) В приложение А сме предоставили допълнителна информация относно федералните и щатските закони в областта на неприкосновеността на личния живот в САЩ. Освен това на уебсайта на ФТК е представено обобщение на неотдавнашните ни действия по прилагане на изискванията за неприкосновеност на личния живот и сигурността: https://www.ftc.gov/reports/privacy-data-security-update-2015.

(2) 15 U.S.C. § 45(a).

(3) Вж. Политическа декларация на ФТК относно измамите, допълнение към Cliffdale Assocs., Inc., 103 F.T.C. 110, 174 (1984), на адрес: https://www.ftc.gov/public-statements/1983/10/ftc-policy-statement-deception.

(4) Вж. 15 U.S.C § 45(n); Политическа декларация на ФТК относно нелоялността, допълнение към Int'l Harvester Co., 104 F.T.C. 949, 1070 (1984), на адрес: https://www.ftc.gov/public-statements/1980/12/ftc-policy-statement-unfairness.

(5) Вж. California Dental Ass'n с/у ФТК, 526 U.S. 756 (1999).

(6) Вж. Служба на комисаря на Канада по неприкосновеността на личния живот, жалба съгласно PIPEDA срещу Accusearch, Inc., осъществяващо дейност под името Abika.com, https://www.priv.gc.ca/cf-dc/2009/2009_009_0731_e.asp. Службата на комисаря на Канада по неприкосновеността на личния живот подаде кратко изложение в качеството на amicus curiae при обжалването на действието на ФТК и проведе собствено разследване, като констатира, че практиките на Accusearch са в нарушение и на правото на Канада.

(7) Вж. ФТК с/у Accusearch, Inc., № 06CV015D (D. Wyo. Dec. 20, 2007), aff'd 570 F.3d 1187 (10th Cir. 2009).

(8) Вж. Относно True Ultimate Standards Everywhere, Inc., No. C-4512 (F.T.C. Mar. 12, 2015) (решение и заповед), на адрес https://www ftc.gov/system/files/documents/cases/150318trust-edo.pdf.

(9) Вж. Относно Google, Inc., No. C-4336 (F.T.C. Oct. 13 2011) (решение и заповед), на адрес: https://www.ftc.gov/news-events/press-releases/2011/03/ftc-charges-deceptive-privacy-practices-googles-rollout-its-buzz; Относно Facebook, Inc., No. C-4365 (F.T.C. July 27, 2012) (решение и заповед), на адрес https://www.ftc.gov/news-events/press-releases/2012/08/ftc-approves-final-settlement-facebook; Относно Myspace LLC, No. C-4369 (F.T.C. Aug. 30, 2012) (решение и заповед), на адрес: https://www.ftc.gov/news-events/press-releases/2012/09/ftc-finalizes-privacy-settlement-myspace.

(10) Вж. ФТК с/у Karnani, № 2:09-cv-05276 (C.D. Cal. May 20, 2011) (посоченото окончателно разпореждане), на адрес https://www ftc.gov/sites/default/files/documents/cases/2011/06/110609karnanistip.pdf; вж. също Lesley Fair, FTC Business Center Blog, Around the World in Shady Ways, https://www.ftc.gov/blog/2011/06/around-world-shady-ways (June 9, 2011).

(11) Писмо от Ken Hyatt, изпълняващ длъжността Заместник министър на търговията, отговарящ за международната търговия, Администрация по международната търговия, до Вера Йоурова, Комисар по въпросите на правосъдието, потребителите и равнопоставеността между половете.

(12) Когато определя дали да упражни правомощията си по силата на Закона за безопасен интернет на САЩ, ФТК взема предвид наред с останалото и следното: „A) дали отправилата искането институция се е съгласила да предостави или ще предостави реципрочно съдействие на комисията; Б) дали удовлетворяването на искането би засегнало обществен интерес на Съединените щати; и В) дали разследването или производството по принудително изпълнение на отправилата искането институция засяга действия или практики, които нанасят или са в състояние да нанесат вреда на значителен брой лица.“ 15 U.S.C. § 46(j)(3). Това правомощие не се прилага по отношение на правоприлагането на законите в областта на конкуренцията.

(13) Например през финансовите години 2012—2015 ФТК използва правомощията си по силата на Закона за безопасен интернет на САЩ за обмен на информация в отговор на близо 60 искания от чуждестранни институции и издаде почти 60 призовки по граждански разследвания (еквивалент на административните разпореждания), за да съдейства на 25 чуждестранни разследвания.

(14) Въпреки че ФТК не издава решения и не е медиатор по индивидуални жалби на потребители, комисията потвърждава ангажимента си да разглежда с предимство случаите, за които е сезирана от ОЗД на ЕС съгласно Щита за личните данни. Освен това ФТК използва жалбите, въведени в нейната база данни за потребители (до която имат достъп много други правоприлагащи агенции), за да определя тенденциите, приоритетите при прилагането и потенциалните обекти за разследване. Физическите лица от ЕС могат да използват същата система, с която разполагат гражданите на САЩ за подаването на жалби до ФТК, на адрес: www.ftc.gov/complaint. Въпреки това за предпочитане е физическите лица от ЕС да подават индивидуалните си жалби по Щита за личните данни до ОЗД в своята държава членка или до инстанция за алтернативно решаване на спорове.

(15) 15 U.S.C. § 45(m); 16 C.F.R. § 1.98.

(16) Вж. FTC, Business Center, Legal Resources, https://www.ftc.gov/tips-advice/business-center/legal-resources?type=case&field-consumer-protection-topics-tid=251.

Притурка А

Рамката на Щита за личните данни в отношенията между ЕС и САЩ в контекст: преглед на средата в САЩ в областта на неприкосновеността на личния живот и сигурността

Защитата, осигурявана с Рамката на Щита за личните данни в отношенията между ЕС и САЩ („Рамката“), съществува в контекста на по-широката защита на неприкосновеността на личния живот, осигурявана от правната система на САЩ като цяло. На първо място Федералната търговска комисия на САЩ („ФТК“) разполага със солидна програма за защита на неприкосновеността на личния живот и сигурността на данните за търговските практики в САЩ, която защитава потребителите в целия свят. На второ място, средата в САЩ за защита на неприкосновеността на личния живот и сигурността значително еволюира след 2000 г., когато беше приета първоначалната програма за сфера на неприкосновеност на личния живот. Оттогава влязоха в сила голям брой федерални и щатски закони за защита на неприкосновеността на личния живот и сигурността и значително се увеличи броят на частноправните и публичноправните съдебни спорове за налагане на спазването на правата на неприкосновеност на личния живот. Широкият обхват на осигуряваната от САЩ правна защита на неприкосновеността на личния живот и сигурността на потребителите, приложима по отношение на данните при търговски практики, допълва защитата, която новата рамка осигурява на физическите лица от ЕС.

I. ОБЩА ПРОГРАМА НА ФТК ЗА ПРАВОПРИЛАГАНЕ В ОБЛАСТТА НА ЗАЩИТАТА НА НЕПРИКОСНОВЕНОСТТА НА ЛИЧНИЯ ЖИВОТ И СИГУРНОСТТА

ФТК е водещата агенция на САЩ за защита на потребителите, като нейната работа е съсредоточена върху защита на неприкосновеността на личния живот в търговския сектор. ФТК е компетентна да преследва нелоялни и измамни действия или практики, които нарушават неприкосновеността на личния живот на потребителите, както и да прилага по-специализирани закони за неприкосновеността на личния живот, които защитават определена информация от финансово и здравно естество, информация за деца и информация, използвана за определянето на някои решения за допустимост във връзка с потребителите.

ФТК има уникален опит в правоприлагането в областта на защитата на неприкосновеността на личния живот на потребителите. Действията по принудително изпълнение на ФТК бяха насочени към неправомерни практики в онлайн и офлайн среда. Така например ФТК предприе действия по принудително изпълнение срещу добре известни дружества като Google, Facebook, Twitter, Microsoft, Wyndham, Oracle, HTC и Snapchat, както и срещу по-малко известни дружества. ФТК заведе дела срещу дружества по обвинения, че са изпращали нежелани съобщения на потребители, инсталирали са шпионски софтуер на компютри, не са осигурили защита на лична информация на потребители, проследявали са по измамен начин потребители онлайн, нарушили са правото на неприкосновеност на личния живот на деца, неправомерно са събирали информация за потребители от мобилни устройства и не са осигурили защита на устройства, свързани с интернет, които се използват за съхраняване на лични данни. Постановените в резултат от това заповеди обикновено предвиждаха наблюдение от страна на ФТК в рамките на период от двадесет години, забраняваха по-нататъшни нарушения на закона и налагаха на дружествата значителни финансови санкции в случай на неизпълнение на заповедта (1). Важно е да се отбележи, че заповедите на ФТК защитават не само потребителите, които са се оплакали във връзка с даден проблем — те защитават всички потребители, които имат отношение към въпросното дружество. В международен контекст ФТК е компетентна да защитава потребителите в целия свят от практики, които се осъществяват в Съединените щати (2).

До момента ФТК е водила дела или е предприела действия във връзка с над 130 случая на изпращане на нежелани съобщения и инсталиране на шпионски софтуер, над 120 случая на нарушаване на правилото на телемаркетинга за необаждане („Do Not Call“), над 100 случая на нарушаване на Закона за оповестяване на информация за кредити, почти 60 случая във връзка със сигурността на данните, над 50 случая на общо нарушаване на неприкосновеността на личния живот, почти 30 случая на нарушаване на Закона Gramm-Leach-Bliley и над 20 случая за налагане на спазването на Закона за защита на неприкосновеността на личния живот на децата онлайн (3). Наред с това ФТК също така отправи предупредителни писма, които направи обществено достояние (4).

Като част от своя значителен опит за правоприлагане в областта на неприкосновеността на личния живот ФТК редовно следеше за възможни нарушения на програмата за сфера на неприкосновеност на личния живот. След приемането на тази програма ФТК предприе по собствена инициатива многобройни разследвания във връзка с нейното спазване и предприе действия срещу дружества на САЩ в 39 случая на нарушаване на сферата на неприкосновеност на личния живот. ФТК ще продължи да следва този проактивен подход, като отдаде приоритет на прилагането на новата рамка.

II. ЗАЩИТА НА ФЕДЕРАЛНО И ЩАТСКО РАВНИЩЕ ЗА НЕПРИКОСНОВЕНОСТТА НА ЛИЧНИЯ ЖИВОТ НА ПОТРЕБИТЕЛИТЕ

Oбзорът на прилагането на сферата на неприкосновеност на личния живот, приложен към решението на Европейската комисия относно адекватността на програмата за сфера на неприкосновеност на личния живот, предлага обобщение на голям брой федерални и щатски закони за защита на неприкосновеността на личния живот, действащи към момента на приемането на програмата за сфера на неприкосновеност на личния живот през 2000 г. (5). Към онзи момент събирането и използването на лични данни при търговски операции бе уредено с редица федерални закони, в допълнение към раздел 5 от Закона за ФТК, в това число Закона за кабелните далекосъобщения, Закона за защита на неприкосновеността на личния живот на водачите на МПС, Закона за защита на неприкосновеността на личния живот при електронните комуникации, Закона за превод на средства по електронен път, Закона за оповестяване на информация за кредити, Закона Gramm-Leach-Bliley, Закона за правото на неприкосновеност на личните финанси, Закона за защита на неприкосновеността на личния живот на потребителите при телефонни комуникации и Закона за защита на неприкосновеността на личния живот във връзка с ползването на видео. Много от щатите също разполагат с аналогични закони в тези области.

От 2000 г. насам настъпиха редица промени както на федерално, така и на щатско равнище, благодарение на които се предоставя допълнителна защита на неприкосновеността на личния живот на потребителите (6). Така например на федерално равнище през 2013 г. ФТК въведе изменения в акта за изпълнение на Закона за защита на неприкосновеността на личния живот на децата онлайн, с което предвиди редица допълнителни защитни мерки във връзка с личната информация на деца. Освен това ФТК прие два акта за изпълнение на Закона Gramm- Leach-Bliley — единия за защита на неприкосновеността на личния живот, а другия за гаранции — с които задължи финансовите институции (7) да разкриват своите практики за споделяне на информация и да прилагат всеобхватна програма за гарантиране на сигурността на информация, за да защитават информацията за потребителите (8). По същия начин Законът за достоверни и точни сведения за кредитни трансакции (Fair and Accurate Credit Transactions Act (FACTA)), въведен в действие през 2003 г., допълва отдавна прилаганите кредитни закони на САЩ с изисквания по отношение на маскирането, споделянето и заличаването на някои видове чувствителна финансова информация. ФТК промулгира редица актове за изпълнение по FACTA във връзка, наред с другото, с правото на потребителите да получават безплатно годишна кредитна информация, изисквания за сигурно заличаване на кредитната информация на потребителите, правото на потребителите да откажат да получават определени кредитни и застрахователни оферти, правото на потребителите да откажат използването на информация, предоставена от свързано дружество за предлагане на неговите продукти и услуги, и изисквания за финансовите институции и кредиторите да приложат програми за откриване и предотвратяване на кражбата на самоличност (9). Освен това през 2013 г. бяха изменени актовете за изпълнение по Закона за преносимост и отчетност при здравното застраховане (Health Insurance Portability and Accountability Act), като бяха добавени гаранции за защитата на неприкосновеността на личния живот и сигурността на личната информация за здравословното състояние (10). В сила бяха приведени и актове във връзка със защитата на потребителите от нежелани обаждания, свързани с телемаркетинг, автоматизирани обаждания и изпращане на нежелани съобщения. Освен това Конгресът приведе в действие закони, с които се изисква от определени дружества, които събират информация за здравословното състояние, да уведомяват потребителите в случай на нарушение (11).

Отделните щати също бяха особено активни в приемането на закони във връзка с неприкосновеността на личния живот и сигурността. От 2000 г. насам четиридесет и седем щата, Окръг Колумбия, Гуам, Пуерто Рико и Вирджинските острови въведоха закони, които изискват от дружествата да уведомяват физическите лица в случай на нарушаване на сигурността на личната информация (12). Поне тридесет и два щата и Пуерто Рико разполагат със закони за заличаването на данни, които предвиждат изисквания за унищожаването или заличаването на лична информация (13). Редица щати въведоха в действие общи закони за сигурността на данните. В допълнение към това Калифорния въведе няколко закона за неприкосновеност на личния живот, в това число закон, който изисква от дружествата да разполагат с политики за защита на неприкосновеността на личния живот и да публикуват своите практики за гарантиране, че не следят потребителите (Do Not Track) (14), закона „Shine the Light“, който изисква по-голяма прозрачност във връзка с информационните брокери (15), и закон, който нарежда да се предвиди въвеждането на „копче за изтриване“, което дава възможност на непълнолетните потребители да искат заличаването на част от информацията в социалните медии (16). Използвайки тези закони и други правомощия федералното правителство и щатските правителства наложиха значителни глоби на дружества, които не са защитили правото на неприкосновеност на личния живот и сигурността на личната информация на потребителите (17).

Редица частни съдебни дела също доведоха до успешни съдебни решения и до споразумения, които осигуриха допълнителна защита във връзка с неприкосновеността на личния живот и сигурността за потребителите. Така например през 2015 г. Target се съгласи да изплати 10 милиона щатски долара като част от споразумение с потребители, които твърдяха, че отнасяща се до тях лична финансова информация е била компрометирана поради широкомащабно нарушение на сигурността на данните. През 2013 г. AOL се съгласи да изплати 5 милиона щатски долара като част от споразумение след колективен иск по твърдения за неподходящо заличаване на идентификационна информация във връзка с публикуването на заявките за търсения на стотици хиляди членове на AOL. Така също федерален съд одобри изплащането от страна на Netflix на 9 милиона щатски долара за това, че дружеството е съхранявало записи за наеманите продукти в нарушение на Закона от 1988 г. за защита на неприкосновеността на личния живот във връзка с ползването на видео. Федерални съдилища в Калифорния одобриха две отделни споразумения с Facebook, едното за 20 милиона щатски долара, а другото за 9,5 милиона щатски долара, във връзка с практиките на дружеството за събиране, използване и споделяне на лична информация на своите потребители. А през 2008 г. щатски съд в Калифорния одобри споразумение на стойност 20 милиона щатски долара с LensCrafters във връзка с неправомерното разкриване на медицинска информация на потребителите.

Накратко, както е видно от настоящото обобщение, Съединените американски щати осигуряват значителна правна защита на неприкосновеността на личния живот и сигурността на потребителите. Новата рамка на Щита за личните данни, която осигурява съдържателни гаранции за физическите лица от ЕС, ще действа в рамките на този по-широк контекст, в който продължава да заема важно място защитата на неприкосновеността на личния живот и сигурността на потребителите.

(1) На всеки субект, който не изпълни заповед на ФТК, може да се наложи гражданскоправна санкция в размер до 16 000 щатски долара за всяко нарушение или 16 000 щатски долара на ден за продължаващо нарушаване. Вж. 15 U.S.C. § 45(l); 16 C.F.R. § 1.98(c).

(2) Конгресът изрично потвърди правомощието на ФТК да използва средства за правна защита, включително възстановяване, във връзка действия или практики за международна търговия, които 1) нанасят или са в състояние да нанесат разумно предвидими вреди в Съединените щати, или 2) се отнасят за действия по същество, извършвани в Съединените щати. Вж. 15 U.S.C. § 45(a)(4).

(3) В част от разглежданите от ФТК случаи във връзка с неприкосновеността на личния живот и сигурността на данни се твърди, че дружеството извършва както некоректни, така и измамни практики; понякога случаите включват твърдения за нарушения на няколко закона, като например Закона за оповестяване на информация за кредити, Закона Gramm-Leach-Bliley и Закона за защита на неприкосновеността на личния живот на децата онлайн.

(4) Вж. например Съобщение за медиите на ФТК „ФТК предупреждава производителя на приложения за деца BabyBus за възмножни нарушения на Закона за защита на неприкосновеността на личния живот на децата онлайн“ (Dec. 22, 2014), https://www.ftc.gov/news-events/press-releases/2014/12/ftc-warns-childrens-app-maker-babybus-about-potential-coppa; Съобщение за медиите на ФТК „ФТК предупреждава за възможно нарушение на защитата на неприкосновеността на личния живот при операции на информационни брокери“ (May 7, 2013), https://www.ftc.gov/news-events/press-releases/2013/05/ftc-warns-data-broker-operations-possible-privacy-violations; Съобщение за медиите на ФТК „ФТК предупреждава информационните брокери, които предоставят информация за наематели във връзка с тяхното поведение като наематели в миналото, че за тях може да се прилага Законът за оповестяване на информация за кредити“ (Apr. 3, 2013), https://www.ftc.gov/news-events/press-releases/2013/04/ftc-warns-data-brokers-provide-tenant-rental-histories-they-may.

(5) Вж. Министерство на търговията на САЩ, Oбзор на прилагането на сферата на неприкосновеност на личния живот, https://build.export.gov/main/safeharbor/eu/eg_main_018476.

(6) За по-подробна информация относно правната защита в САЩ вж. Daniel J. Solove & Paul Schwartz, Information Privacy Law (5th ed. 2015).

(7) Определението за финансови институции по Закона Gramm-Leach-Bliley е особено широко, като обхваща всички дружества, които „се занимават в значителна степен“ с предоставянето на финансови продукти и услуги. Това включва, например, дружества за осребряване на чекове, дружества, предоставящи кредити до заплата, ипотечни брокери, небанкови кредитори, оценители, извършващи оценки на лично или на недвижимо имущество, и професионални съставители на данъчни документи.

(8) Съгласно Закона за финансова защита на потребителите от 2010 г. („CFPA“), глава X от Pub. L. 111-203, 124 Stat. 1955 (21 юли 2010 г.) (наричан още „Dodd-Frank Wall Street Reform and Consumer Protection Act“), по-голямата част от правомощията на ФТК за изработване на актове за изпълнение по Закона Gramm-Leach-Bliley бяха прехвърлени на Бюрото за финансова защита на потребителите („CFPB“). ФТК продължава да има правомощия за правоприлагане по Закона Gramm-Leach-Bliley, както и правомощие за изпълнителни актове по отношение на акта за изпълнение във връзка с гаранциите и ограничени правомощия за изработване на изпълнителни актове във връзка с акта за изпълнение за защита на неприкосновеността на личния живот по отношение на търговците на автомобили.

(9) Съгласно Закона за финансова защита на потребителите Комисията споделя своята роля за правоприлагане по Закона за оповестяване на информация за кредити с Бюрото за финансова защита на потребителите, но правомощието за изработване на изпълнителни актове е прехвърлено до голяма степен на Бюрото за финансова защита на потребителите (с изключение на изпълнителните актове за кражба на самоличност и за заличаване на лична информация).

(10) Вж. 45 C.F.R. pts. 160, 162, 164.

(11) Вж. например Закона за възстановяване и реинвестиране в Америка от 2009 г. (American Recovery & Reinvestment Act), Pub. L. № 111-5, 123 Stat. 115 (2009) и съответните изпълнителни актове, 45 C.F.R. §§ 164.404-164.414; 16 C.F.R. pt. 318.