(1)

Nařízení (EU) 2016/679 (2) stanoví pravidla pro předávání osobních údajů správci nebo zpracovateli v Unii do třetích zemí a mezinárodním organizacím, pokud toto předávání spadá do oblasti působnosti uvedeného nařízení. Pravidla pro mezinárodní předávání údajů stanoví kapitola V uvedeného nařízení. Jakkoli je tok osobních údajů do zemí a ze zemí mimo Evropskou unii nezbytný pro rozvoj přeshraničního obchodu a mezinárodní spolupráce, úroveň ochrany osobních údajů v Unii nesmí být předáváním těchto údajů do třetích zemí nebo mezinárodních organizací oslabena (3).

(2)

Podle čl. 45 odst. 3 nařízení (EU) 2016/679 může Komise prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi zajišťuje odpovídající úroveň ochrany. Za této podmínky se může předávání osobních údajů do třetí země bez nutnosti získat další povolení uskutečnit, jak stanoví čl. 45 odst. 1 a 103. bod odůvodnění nařízení (EU) 2016/679.

(3)

Podle čl. 45 odst. 2 nařízení (EU) 2016/679 musí přijetí rozhodnutí o odpovídající ochraně vycházet z komplexní analýzy právního řádu dané třetí země, a to jak z hlediska pravidel použitelných pro dovozce údajů, tak z hlediska omezení a záruk vztahujících se k přístupu orgánů veřejné moci k osobním údajům. V tomto posouzení musí Komise určit, zda daná třetí země zaručuje úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné v Unii (104. bod odůvodnění nařízení (EU) 2016/679). To, zda tomu tak je, musí být posouzeno podle právních předpisů Unie, a to zejména nařízení (EU) 2016/679, jakož i judikatury Soudního dvora Evropské unie (dále jen „Soudní dvůr“) (4).

(4)

Jak Soudní dvůr objasnil ve svém rozsudku ze dne 6. října 2015 ve věci C-362/14, Maximillian Schrems v. Data Protection Commissioner (5) (dále jen „rozsudek ve věci Schrems“), nevyžaduje to zjištění stejné úrovně ochrany. Zejména prostředky, které dotyčná třetí země k ochraně osobních údajů využívá, se mohou lišit od prostředků zavedených v Unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (6). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda zahraniční systém jako celek zajišťuje prostřednictvím podstaty práva na soukromí a jeho účinného uplatňování, dozoru a vymáhání požadovanou úroveň ochrany (7). Podle tohoto rozsudku by Komise při uplatňování tohoto standardu měla zejména posoudit, zda právní rámec dotčené třetí země stanoví pravidla, jejichž cílem je omezit zásahy do základních práv osob, jejichž údaje jsou předávány z Unie, které by státní subjekty této země byly oprávněny činit v případě, že sledují takové legitimní cíle, jako je bezpečnost státu, a zda poskytuje účinnou právní ochranu proti takovým zásahům (8). Vodítko v tomto ohledu nabízí i „referenční rámec pro odpovídající ochranu“ stanovený Evropským sborem pro ochranu osobních údajů, který má tento standard dále vyjasnit (9).

(5)

Platný standard s ohledem na takový zásah do základních práv na soukromí a ochranu údajů dále objasnil Soudní dvůr v rozsudku ze dne 16. července 2020 ve věci C-311/18, Data Protection Commissioner v. Facebook Ireland Limited a Maximillian Schrems (dále jen „rozsudek ve věci Schrems II“), kterým bylo zrušeno prováděcí rozhodnutí Komise (EU) 2016/1250 (10) o předchozím transatlantickém rámci pro tok údajů, štítu EU–USA na ochranu soukromí. Soudní dvůr měl za to, že omezení ochrany osobních údajů, která plynou z vnitrostátních právních předpisů Spojených států upravujících přístup k takovým údajům předávaným z Unie do Spojených států a jejich použití orgány veřejné moci USA pro účely národní bezpečnosti, nejsou upravena takovým způsobem, aby odpovídala požadavkům, které jsou v zásadě rovnocenné požadavkům vyžadovaným v unijním právu, pokud jde o nezbytnost a přiměřenost takových zásahů do práva na ochranu osobních údajů (11). Soudní dvůr měl rovněž za to, že neexistuje žádný prostředek nápravy u orgánu, který by osobám, jejichž údaje jsou předány do Spojených států, poskytoval záruky v zásadě rovnocenné zárukám vyžadovaným v článku 47 Listiny týkajícím se práva na účinnou právní ochranu (12).

(6)

V návaznosti na rozsudek ve věci Schrems II zahájila Komise jednání s vládou USA s cílem přijmout nové rozhodnutí o odpovídající ochraně, které by splňovalo požadavky čl. 45 odst. 2 nařízení (EU) 2016/679, jak je vyložil Soudní dvůr. V důsledku těchto jednání přijaly Spojené státy dne 7. října 2022 výkonný dekret č. 14086 „Posílení záruk pro činnosti USA v oblasti signálového zpravodajství“ (EO 14086), který je doplněn nařízením o Soudu pro přezkum ochrany údajů vydaným ministrem spravedlnosti USA (nařízení ministra spravedlnosti) (13). Kromě toho byl aktualizován rámec vztahující se na obchodní subjekty, které zpracovávají údaje předávané z Unie podle tohoto rozhodnutí, – „rámec EU–USA pro ochranu údajů“ (EU-U.S. Data Privacy Framework, dále též „rámec pro ochranu údajů“).

(7)

Komise provedla pečlivou analýzu práva a praxe USA, včetně výkonného dekretu č. 14086 a nařízení ministra spravedlnosti. Na základě zjištění stanovených v 9. až 200. bodě odůvodnění Komise došla k závěru, že Spojené státy zajišťují odpovídající úroveň ochrany osobních údajů předávaných na základě rámce EU–USA pro ochranu údajů ze strany správce nebo zpracovatele v Unii (14) certifikovaným organizacím ve Spojených státech.

(8)

Toto rozhodnutí má účinek v tom smyslu, že předávání osobních údajů ze strany správců a zpracovatelů v Unii certifikovaným organizacím ve Spojených státech (15) může probíhat, aniž by bylo nutné získat další povolení. Tímto rozhodnutím není dotčeno přímé uplatňování nařízení (EU) 2016/679 na takové organizace, pokud jsou splněny podmínky týkající se místní působnosti uvedeného nařízení, stanovené v jeho článku 3.

(9)

Rámec EU–USA pro ochranu údajů je založen na systému certifikace, kterým se organizace USA zavazují k dodržování souboru zásad ochrany soukromí – „zásad rámce EU–USA pro ochranu údajů“, včetně doplňkových zásad (společně dále jen „zásady“), které vydalo Ministerstvo obchodu Spojených států a které jsou obsahem přílohy I tohoto rozhodnutí (16). Aby bylo možné získat certifikaci podle rámce EU–USA pro ochranu údajů, musí organizace podléhat vyšetřovacím a donucovacím pravomocem Federální obchodní komise (Federal Trade Commission, FTC) nebo Ministerstva dopravy USA (17). Zásady jsou použitelné bezprostředně po certifikaci. Jak je podrobněji vysvětleno ve 48. až 52. bodě odůvodnění, organizace rámce EU–USA pro ochranu údajů jsou povinny každoročně opětovně získat certifikaci o tom, že tyto zásady dodržují (18).

(10)

Ochrana poskytovaná na základě rámce EU–USA pro ochranu údajů se vztahuje na všechny osobní údaje předávané z Unie organizacím v USA, které u Ministerstva obchodu osvědčily dodržování zásad, s výjimkou údajů, které jsou shromažďovány za účelem zveřejnění, vysílání nebo jiných forem veřejného sdělování novinářských materiálů a informací v dříve zveřejněných materiálech šířených z mediálních archivů (19). Tyto informace proto nelze předávat na základě rámce EU–USA pro ochranu údajů.

(11)

Zásady definují osobní údaje / osobní informace stejným způsobem jako nařízení (EU) 2016/679, tedy jako „údaje o identifikované nebo identifikovatelné fyzické osobě, které spadají do oblasti působnosti obecného nařízení o ochraně osobních údajů, jež organizace ve Spojených státech obdrží z EU a jež jsou zaznamenány v jakékoli formě“ (20). V souladu s tím se vztahují také na pseudonymizované výzkumné údaje (nebo výzkumné údaje „kódované pomocí klíče“) (včetně případů, kdy klíč není sdílen s přijímající organizací v USA) (21). Pojem zpracování je obdobně definován jako „jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění nebo šíření a výmaz nebo zničení“ (22).

(12)

Rámec EU–USA pro ochranu údajů se vztahuje na organizace v USA, které se kvalifikují jako správci (tj. jako osoba nebo organizace, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů) (23) nebo zpracovatelé (tj. zprostředkovatelé jednající jménem správce) (24). Zpracovatelé v USA musí být smluvně zavázáni k tomu, že budou konat pouze na pokyny správce z EU a že mu budou nápomocni při odpovídání fyzickým osobám uplatňujícím svá práva podle zásad (25). Jsou-li údaje navíc zpracovávány externě, musí zpracovatel uzavřít s externím zpracovatelem smlouvu, která zaručí stejnou úroveň ochrany, jakou poskytují zásady, a přijmout opatření k zajištění jejího řádného plnění (26).

(13)

Osobní údaje by měly být zpracovávány zákonným a korektním způsobem. Měly by být shromažďovány za konkrétním účelem a následně používány, pouze pokud to není neslučitelné s účelem zpracování.

(14)

Podle rámce EU–USA pro ochranu údajů je toto zajištěno prostřednictvím různých zásad. Za prvé, podle zásady integrity údajů a účelového omezení, obdobně jako podle čl. 5 odst. 1 písm. b) nařízení (EU) 2016/679, nesmí organizace zpracovávat osobní údaje způsobem, který je neslučitelný s účelem, pro který byly původně shromážděny nebo následně subjektem údajů povoleny (27).

(15)

Za druhé, dříve než organizace použije osobní údaje pro nový (změněný) účel, který je významně odlišný, ale stále slučitelný s původním účelem, nebo než je zpřístupní třetí straně, musí subjektům údajů poskytnout možnost vyslovit nesouhlas (opt-out) v souladu se zásadou možnosti volby (28) prostřednictvím jasného, srozumitelného a snadno dostupného mechanismu. Důležité je, že tato zásada nenahrazuje výslovný zákaz neslučitelného zpracování (29).

(16)

Pokud se zpracovávají „zvláštní kategorie“ údajů, měly by existovat zvláštní záruky.

(17)

V souladu se zásadou možnosti volby se zvláštní záruky vztahují na zpracování „citlivých informací“, tj. osobních údajů vypovídajících o zdravotním stavu, rasovém nebo etnickém původu, politických postojích, náboženském nebo filozofickém přesvědčení, členství v odborových organizacích, informací o sexuálním životě dané osoby nebo jakýchkoli jiných informací získaných od třetí strany, které tato strana označí a považuje za citlivé (30). To znamená, že s jakýmikoliv údaji, které jsou považovány za citlivé podle právních předpisů Unie o ochraně údajů (včetně údajů o sexuální orientaci, genetických údajů a biometrických údajů), bude podle rámce EU–USA pro ochranu údajů certifikovanými organizacemi zacházeno jako s citlivými.

(18)

Obecně platí, že k použití citlivých informací pro jiné účely, než pro které byly původně shromážděny nebo následně fyzickou osobou schváleny (prostřednictvím opt-in), nebo k jejich zpřístupnění třetím stranám musí organizace od fyzických osob získat potvrzující výslovný souhlas (tj. opt-in) (31).

(19)

Takový souhlas nemusí být získán za omezených okolností podobných srovnatelným výjimkám stanoveným v právu Unie v oblasti ochrany údajů, např. pokud je zpracování citlivých údajů v životně důležitém zájmu osoby, je nezbytné pro určení právních nároků, nebo je nezbytné k poskytnutí zdravotní péče nebo určení diagnózy (32).

(20)

Údaje musí být přesné a v případě potřeby aktualizované. Měly by být také přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány, a v zásadě by se neměly uchovávat déle, než je nezbytné pro účely, k nimž jsou dané osobní údaje zpracovávány.

(21)

Podle zásady integrity údajů a účelového omezení (33) musí být osobní údaje omezeny na údaje relevantní k účelu zpracování. Organizace je kromě toho povinna v rozsahu nezbytném pro účely zpracování podniknout přiměřené kroky, aby zajistila spolehlivost osobních údajů pro zamýšlený účel, jejich přesnost, úplnost a aktuálnost.

(22)

Osobní informace lze nadto uchovávat v podobě ztotožňující fyzickou osobu nebo umožňující její ztotožnění (tedy v podobě osobních údajů) (34) jen potud, pokud tyto informace slouží účelu (účelům), pro který byly původně shromážděny nebo následně fyzickou osobou schváleny v souladu se zásadou možnosti volby. Tato povinnost organizacím nebrání v tom, aby nadále zpracovávaly osobní informace po delší období, mohou tak ale činit jen po dobu a v rozsahu, který přiměřeně slouží jednomu z následujících konkrétních účelů, podobně jako srovnatelné výjimky stanovené v právu Unie v oblasti ochrany údajů: archivace ve veřejném zájmu, žurnalistika, literatura a umění, vědecký a historický výzkum a statistická analýza (35). Pokud jsou osobní údaje uchovávány pro jeden z těchto účelů, jejich zpracování podléhá zárukám stanovených v zásadách (36).

(23)

Osobní údaje by také měly být zpracovávány způsobem, který zajišťuje jejich zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Za tímto účelem by správci a zpracovatelé měli přijmout vhodná technická nebo organizační opatření na ochranu osobních údajů před možnými hrozbami. Tato opatření by měla být posuzována s přihlédnutím ke stavu techniky, souvisejícím nákladům a k povaze, rozsahu, kontextu a účelům zpracování i k rizikům pro práva fyzických osob.

(24)

Na základě rámce EU–USA pro ochranu údajů to zajišťuje zásada zabezpečení, která podobně jako článek 32 nařízení (EU) 2016/679 vyžaduje přijetí přiměřených a vhodných bezpečnostních opatření s přihlédnutím k rizikům spojeným se zpracováním a povahou údajů (37).

(25)

Subjekty údajů by měly být informovány o hlavních znacích zpracování jejich osobních údajů.

(26)

To je zajištěno prostřednictvím zásady oznamovací povinnosti (38), která podobně jako požadavky na transparentnost podle nařízení (EU) 2016/679 vyžaduje, aby organizace informovaly subjekty údajů mimo jiné o i) účasti organizace v rámci pro ochranu údajů, ii) druhu shromažďovaných údajů, iii) účelu zpracování, iv) typu nebo totožnosti třetích stran, kterým mohou být osobní údaje zpřístupněny, a o účelech takového zpřístupnění, v) jejich individuálních právech, vi) způsobu kontaktování organizace a vii) dostupných možnostech nápravy.

(27)

Toto oznámení musí být učiněno jasně a zřetelně při první příležitosti, při které je fyzická osoba požádána, aby poskytla své osobní údaje, nebo co možná nejdříve poté, avšak v každém případě předtím, než jsou tyto údaje použity pro účel významně odlišný (ale slučitelný), než pro jaký byly původně shromážděny, nebo před tím, než jsou zpřístupněny třetí straně (39).

(28)

Organizace musí kromě toho zveřejnit své politiky ochrany soukromí odrážející zásady (nebo je v případě údajů o lidských zdrojích snadno zpřístupnit dotčeným osobám) a poskytnout odkazy na internetové stránky Ministerstva obchodu (s dalšími podrobnostmi o certifikaci, právech subjektů údajů a dostupných odvolacích mechanismech), seznam organizací rámce pro ochranu údajů a internetové stránky příslušného poskytovatele alternativního řešení sporů (40).

(29)

Subjekty údajů by měly mít určitá práva, která lze vůči správci nebo zpracovateli vymáhat, zejména právo na přístup k údajům, právo vznést námitku proti zpracování a právo na opravu a výmaz údajů.

(30)

Tato práva poskytuje jednotlivcům zásada práva na přístup (41) rámce EU–USA pro ochranu údajů. Subjekty údajů mají zejména právo na to, aby jim bez nutnosti zdůvodnění organizace potvrdila, zda tato organizace zpracovává osobní údaje, které se jich týkají; aby jim tyto údaje byly sděleny; a získat informace o účelu zpracování, kategoriích zpracovávaných osobních údajů a (kategoriích) příjemců, kterým jsou údaje zpřístupněny (42). Organizace jsou povinny reagovat na žádosti o přístup v přiměřené lhůtě (43). Organizace může přiměřeně omezit počet žádostí o přístup od určité osoby, kterým v daném období vyhoví, a může účtovat poplatek, který není nepřiměřený, např. v případě, že žádosti jsou zjevně nepřiměřené, zvláště z toho důvodu, že se opakují (44).

(31)

Právo na přístup lze omezit pouze za výjimečných okolností podobných těm, které jsou stanoveny v právu Unie v oblasti ochrany údajů, zejména pokud by byla porušena legitimní práva jiných osob; pokud by zátěž nebo náklady spojené s poskytnutím přístupu byly za daných okolností nepřiměřené rizikům pro soukromí jednotlivce (ačkoli náklady a zátěž nejsou rozhodujícími faktory při určování, zda je poskytnutí přístupu přiměřené); v rozsahu, v němž by zveřejnění pravděpodobně ohrozilo důležité veřejné zájmy, jako je např. bezpečnost státu, veřejná bezpečnost nebo obrana; informace obsahují důvěrné obchodní informace; nebo jsou informace zpracovávány výhradně pro účely výzkumu nebo statistiky (45). Jakékoli odepření práva či jeho omezení musí být nezbytné a řádně odůvodněné, přičemž důkazní břemeno toho, že jsou tyto požadavky splněny, leží na organizaci (46). Při tomto posuzování musí organizace přihlížet zejména k zájmům fyzické osoby (47). Pokud je možné oddělit informace od ostatních údajů, na které se vztahuje omezení, musí organizace chráněné informace oddělit a ostatní informace zpřístupnit (48).

(32)

Subjekty údajů mají kromě toho právo na opravu nebo změnu nepřesných údajů a na výmaz údajů, které byly zpracovány v rozporu se zásadami (49). Podle vysvětlení v 15. bodě odůvodnění mají fyzické osoby nadto právo vznést námitku proti zpracování / vyslovit nesouhlas se zpracováním svých údajů pro významně odlišné (ale slučitelné) účely, než pro které byly údaje shromážděny, a proti zpřístupnění svých údajů třetím stranám. Pokud jsou osobní údaje používány pro účely přímého marketingu, mají fyzické osoby obecné právo vyslovit nesouhlas se zpracováním kdykoli (50).

(33)

Zásady se výslovně nezabývají otázkou rozhodnutí, která se dotýkají subjektu údajů a která jsou založena výhradně na automatizovaném zpracování osobních údajů. Pokud však jde o osobní údaje, které byly shromážděny v Unii, jakékoli rozhodnutí založené na automatizovaném zpracování bude obvykle činit správce v Unii (který má přímý vztah s dotyčným subjektem údajů), a vztahuje se tedy na něj nařízení (EU) 2016/679 (51). To zahrnuje situace předávání, kdy zpracování provádí zahraniční (např. americký) podnikatelský subjekt jednající jako zprostředkovatel (zpracovatel) jménem správce v Unii (nebo jako externí zpracovatel jednající jménem zpracovatele z Unie, jenž získal údaje od správce v Unii, který je shromáždil), který na tomto základě činí rozhodnutí.

(34)

To potvrdila studie, kterou si Komise nechala vypracovat v roce 2018 v souvislosti s druhým výročním přezkumem fungování štítu na ochranu soukromí (52) a která dospěla k závěru, že v té době neexistovaly žádné důkazy naznačující, že by organizace štítu na ochranu soukromí běžně prováděly automatizované rozhodování na základě osobních údajů předávaných v rámci štítu na ochranu soukromí.

(35)

V každém případě v oblastech, kde společnosti nejčastěji využívají automatizovaného zpracování osobních údajů pro rozhodování, které má dopad na fyzickou osobu (např. úvěry a půjčky, nabídky hypoték, zaměstnání, bydlení a pojištění), poskytuje právo USA konkrétní ochranu proti negativním rozhodnutím (53). Tyto předpisy obvykle stanoví, že fyzické osoby mají právo být informovány o konkrétních důvodech, které stály za rozhodnutím (např. zamítnutím úvěru), rozporovat neúplné nebo nepřesné informace (jakož i použití nezákonných faktorů) a požadovat nápravu. V oblasti spotřebitelských úvěrů obsahují zákon o spravedlivém informování o úvěrové spolehlivosti (Fair Credit Reporting Act) a zákon o rovné příležitosti k získání úvěru (Equal Credit Opportunity Act) záruky, které spotřebitelům poskytují určitou formu práva na vysvětlení a práva napadnout rozhodnutí. Tyto zákony mají význam v celé řadě oblastí, včetně úvěrů, zaměstnání, bydlení a pojištění. Některé antidiskriminační zákony, jako je hlava VII zákona o občanských právech a zákon o spravedlivém bydlení, poskytují kromě toho fyzickým osobám ochranu s ohledem na modely používané při automatizovaném rozhodování, které by mohlo vést k diskriminaci na základě určitých prvků, a přiznávají fyzickým osobám právo napadnout taková rozhodnutí, včetně automatizovaných rozhodnutí. Pokud jde o zdravotní informace, pravidlo o ochraně soukromí zákona o přenositelnosti zdravotního pojištění a o související odpovědnosti stanoví určitá práva, která jsou podobná právům uvedeným v nařízení (EU) 2016/679, pokud jde o přístup k osobním zdravotním informacím. Pokyny amerických orgánů navíc vyžadují, aby poskytovatelé zdravotní péče obdrželi informace, které jim umožní informovat fyzické osoby o systémech automatizovaného rozhodování používaných ve zdravotnictví (54).

(36)

Proto tato pravidla poskytují ochranu podobnou ochraně poskytované podle práva Unie v oblasti ochrany údajů v nepravděpodobné situaci, kdy by organizace rámce EU–USA pro ochranu údajů samy přijímaly automatizovaná rozhodnutí.

(37)

Úroveň ochrany poskytovaná osobním údajům předávaným z Unie organizacím ve Spojených státech nesmí být oslabena dalším předáváním těchto údajů příjemci ve Spojených státech nebo jiné třetí zemi.

(38)

Podle zásady odpovědnosti za další předávání (55) platí zvláštní pravidla pro tzv. „další předávání“, tj. předávání osobních údajů z organizace rámce EU–USA pro ochranu údajů třetí straně jednající jako správce nebo zpracovatel nehledě na to, zda se tato třetí strana nachází ve Spojených státech nebo ve třetí zemi mimo Spojené státy (a Unii). Jakékoli další předávání může probíhat pouze i) pro omezené a přesně stanovené účely, ii) na základě smlouvy mezi organizací rámce EU–USA pro ochranu údajů a třetí stranou (56) (nebo srovnatelného ujednání v rámci skupiny podniků (57)) a iii) pouze tehdy, pokud tato smlouva stanoví povinnost, aby třetí strana poskytla stejnou úroveň ochrany, jakou zaručují zásady.

(39)

Tato povinnost poskytovat stejnou úroveň ochrany, jakou zaručují zásady, ve spojení se zásadou integrity údajů a účelového omezení znamená zejména to, že třetí strana může zpracovávat osobní údaje, které jí byly předány, pouze pro účely, které nejsou neslučitelné s účely, pro které byly shromážděny nebo následně schváleny fyzickou osobou (v souladu se zásadou možnosti volby).

(40)

Zásadu odpovědnosti za další předávání je třeba vykládat rovněž ve spojení se zásadou oznamovací povinnosti a v případě dalšího předávání správci, který je třetí stranou (58), se zásadou možnosti volby, podle níž musí být subjekty údajů informovány (mimo jiné) o druhu/totožnosti jakéhokoli příjemce, který je třetí stranou, o účelu dalšího předávání, a o nabízené možnosti volby a mohou vyslovit nesouhlas (opt-out), nebo v případě citlivých údajů musí vyslovit „potvrzující výslovný souhlas“ (opt-in) s dalším předáváním.

(41)

Povinnost poskytnout stejnou úroveň ochrany, jakou požadují zásady, se použije na všechny třetí strany, které jsou zapojeny do zpracování takto předávaných údajů nehledě na to, kde se nacházejí (v USA nebo v jiné třetí zemi), jakož i v případě, kdy původní příjemce, který je třetí stranou, sám předá tyto údaje jinému příjemci, který je třetí stranou, např. za účelem externího zpracování.

(42)

Ve všech případech musí být ve smlouvě s příjemcem, který je třetí stranou, stanoveno, že příjemce bude informovat organizaci rámce EU–USA pro ochranu údajů, pokud zjistí, že již nemůže plnit svůj závazek. Je-li takové zjištění učiněno, zpracování touto třetí stranou musí být ukončeno nebo musí být přijaty jiné přiměřené a vhodné kroky k nápravě situace (59).

(43)

V případě dalšího předání zprostředkovateli, který je třetí stranou (tj. zpracovatel), platí doplňková ochrana. V tomto případě musí organizace USA zajistit, aby zprostředkovatel jednal pouze na základě jejích pokynů, a přijmout přiměřené a vhodné kroky, aby i) zajistila, že zprostředkovatel účinně zpracovává osobní informace předané způsobem, který je v souladu s povinnostmi organizace podle zásad, a ii) na základě oznámení ukončila a napravila nepovolené zpracovávání (60). Ministerstvo obchodu může od organizace požadovat, aby poskytla shrnutí nebo reprezentativní kopii ustanovení smlouvy týkajících se ochrany soukromí (61). Pokud v řetězci (dílčích) zpracování vzniknou problémy s dodržováním předpisů, organizace jednající jako správce osobních údajů v zásadě ponese odpovědnost, jak je uvedeno v zásadě odvolání, prosazování a odpovědnosti, s výjimkou případů, kdy prokáže, že za událost, která vedla ke vzniku škody, není odpovědná (62).

(44)

Podle zásady odpovědnosti se od subjektů zpracovávajících údaje vyžaduje zavedení vhodných technických a organizačních opatření, aby mohly účinně plnit své povinnosti v oblasti ochrany údajů a jejich plnění byly schopny prokázat, zejména příslušnému dozorovému úřadu.

(45)

Jakmile se organizace dobrovolně rozhodne pro certifikaci (63) podle rámce EU–USA pro ochranu údajů, je účinné dodržování zásad z její strany povinné a vymahatelné. Podle zásady odvolání, prosazování a odpovědnosti (64) musí organizace rámce EU–USA pro ochranu údajů poskytnout účinné mechanismy k zajištění dodržování zásad. Organizace musí také přijmout opatření k ověření toho (65), zda jejich politika ochrany soukromí vyhovuje zásadám a je v praxi dodržována. Toto lze provádět buď systémem sebehodnocení, jehož součástí musí být interní postupy, kterými se zajistí, aby zaměstnanci obdrželi školení k provádění politiky ochrany soukromí organizace a aby dodržování této politiky bylo pravidelně a objektivně kontrolováno, anebo externími přezkumy jejího dodržování, které mohou mít podobu auditu, namátkových kontrol nebo použití technologických nástrojů.

(46)

Organizace musí kromě toho uchovávat záznamy o uplatňování svých postupů podle rámce EU–USA pro ochranu údajů a zpřístupnit je na požádání v souvislosti s vyšetřováním nebo stížností na nedodržování předpisů nezávislému subjektu pro řešení sporů nebo příslušnému orgánu pro prosazování práva (66).

(47)

Rámec EU–USA pro ochranu údajů bude spravován a monitorován Ministerstvem obchodu. Tento rámec stanoví mechanismy pro dohled a prosazování, aby se ověřilo a zajistilo, že organizace rámce EU–USA pro ochranu údajů dodržují zásady a že veškeré případy nesouladu jsou řešeny. Tyto mechanismy jsou popsány v zásadách (příloha I) a závazcích přijatých Ministerstvem obchodu (příloha III), Federální obchodní komisí (příloha IV) a Ministerstvem dopravy (příloha V).

(48)

Pro certifikaci podle rámce EU–USA pro ochranu údajů (nebo každoroční opětovnou certifikaci) jsou organizace povinny veřejně deklarovat svůj závazek dodržovat zásady, zpřístupnit své politiky ochrany soukromí a plně je uplatňovat (67). V rámci své žádosti o (opětovnou) certifikaci musí organizace Ministerstvu obchodu předložit informace, které mimo jiné zahrnují název příslušné organizace, popis účelů, pro které bude organizace zpracovávat osobní údaje, osobní údaje, na které se certifikace bude vztahovat, a také zvolenou metodu ověřování, příslušný nezávislý odvolací mechanismus a orgán zřízený zákonem, který má pravomoc vymáhat dodržování zásad (68).

(49)

Organizace mohou přijímat osobní údaje na základě rámce EU–USA pro ochranu údajů ode dne, kdy je Ministerstvo obchodu zařadí na seznam organizací rámce pro ochranu údajů. Aby byla zajištěna právní jistota a zabránilo se „nepravdivým tvrzením“, nesmí organizace, které se certifikují poprvé, veřejně odkazovat na své dodržování zásad dříve, než Ministerstvo obchodu rozhodne, že předložení certifikace organizace je úplné, a zařadí organizaci na seznam organizací rámce pro ochranu údajů (69). Aby tato organizace mohla na základě rámce EU–USA pro ochranu údajů dále přijímat osobní údaje z Unie, musí každý rok svou účast v rámci opětovně certifikovat. Pokud organizace rámec EU–USA pro ochranu údajů z jakéhokoli důvodu opustí, musí odstranit všechna prohlášení, která naznačují, že se organizace nadále rámce účastní (70).

(50)

Jak je zakotveno v závazcích stanovených v příloze III, Ministerstvo obchodu ověří, zda organizace splňují všechny požadavky na certifikaci a zda zavedly (veřejnou) politiku ochrany soukromí obsahující informace požadované podle zásady oznamovací povinnosti (71). Na základě zkušeností s postupem (opětovné) certifikace v rámci štítu na ochranu soukromí bude Ministerstvo obchodu provádět řadu kontrol, mimo jiné za účelem ověření, zda politiky ochrany soukromí organizací obsahují hypertextový odkaz na správný formulář stížnosti na internetových stránkách příslušného mechanismu řešení sporů, a pokud je do žádosti o certifikaci zahrnuto několik subjektů a dceřiných společností jedné organizace, zda politiky ochrany soukromí každého z těchto subjektů splňují požadavky na certifikaci a jsou snadno dostupné subjektům údajů (72). Ministerstvo obchodu bude kromě toho v případě potřeby provádět křížové kontroly s Federální obchodní komisí a Ministerstvem dopravy, aby ověřilo, zda organizace podléhají orgánu dohledu uvedenému v jejich žádostech o (opětovnou) certifikaci, a bude spolupracovat se subjekty pro alternativní řešení sporů, aby ověřilo, zda jsou organizace registrovány k nezávislému odvolacímu mechanismu uvedenému v jejich podáních týkajících se (opětovné) certifikace (73).

(51)

Ministerstvo obchodu bude organizace informovat, že pro dokončení (opětovné) certifikace musí vyřešit všechny problémy zjištěné během jejího přezkumu. V případě, že organizace nereaguje ve lhůtě stanovené Ministerstvem obchodu (například pokud jde o opětovnou certifikaci, očekává se, že proces bude dokončen do 45 dnů) (74) nebo jiným způsobem nedokončí svou certifikaci, bude podání považováno za zrušené. V takovém případě může jakékoli nepravdivé tvrzení ohledně účasti v rámci EU–USA pro ochranu údajů nebo jeho dodržování být předmětem donucovacího opatření ze strany Federální obchodní komise nebo Ministerstva dopravy (75).

(52)

Pro zajištění řádného uplatňování rámce EU–USA pro ochranu údajů musí být zúčastněné strany, jako jsou subjekty údajů, vývozci údajů a vnitrostátní úřady pro ochranu údajů, schopny identifikovat organizace, které zásady přijaly. Za účelem zajištění takové transparentnosti v rámci „místa vstupu“ se Ministerstvo obchodu zavázalo vést a veřejně zpřístupnit seznam organizací, které certifikovaly přijetí zásad a podléhají pravomoci alespoň jednoho z donucovacích orgánů uvedených v přílohách IV a V tohoto rozhodnutí (76). Ministerstvo obchodu bude tento seznam aktualizovat na základě každoročních podáních organizací týkající se opětovné certifikace a pokaždé, když některá organizace rámec EU–USA pro ochranu údajů opustí nebo z něj bude odstraněna. Aby byla rovněž zajištěna transparentnost u „místa výstupu“, Ministerstvo obchodu povede a veřejnosti zpřístupní evidenci organizací, které byly ze seznamu odstraněny, v každém jednotlivém případě s uvedením důvodu pro toto odstranění (77). V neposlední řadě poskytne odkaz na internetové stránky Federální obchodní komise ohledně rámce EU–USA pro ochranu údajů, kde bude uveden seznam donucovacích opatření Federální obchodní komise na základě tohoto rámce (78).

(53)

Ministerstvo obchodu bude průběžně sledovat účinné dodržování zásad ze strany organizací rámce EU–USA pro ochranu údajů prostřednictvím různých mechanismů (79). Zejména bude provádět „kontroly na místě“ náhodně vybraných organizací, jakož i ad hoc kontroly na místě konkrétních organizací, pokud budou zjištěny potenciální problémy s dodržováním zásad (např. nahlášené Ministerstvu obchodu třetími stranami), s cílem ověřit, zda i) jsou k dispozici kontaktní místa pro vyřizování stížností a žádostí subjektů údajů a zda tato kontaktní místa pohotově reagují; ii) je politika ochrany soukromí organizace snadno dostupná jak na jejích internetových stránkách, tak prostřednictvím hypertextového odkazu na internetových stránkách Ministerstva obchodu; iii) je politika ochrany soukromí organizace nadále v souladu s požadavky na certifikaci a iv) zda je pro vyřizování stížností k dispozici organizací zvolený nezávislý mechanismus řešení sporů (80).

(54)

Pokud existují věrohodné důkazy o tom, že organizace nedodržuje své závazky vyplývající z rámce EU–USA pro ochranu údajů (včetně případů, kdy Ministerstvo obchodu obdrží stížnosti nebo organizace uspokojivě nereaguje na dotazy Ministerstva obchodu), bude Ministerstvo obchodu požadovat, aby organizace vyplnila a předložila podrobný dotazník (81). Organizace, která na dotazník uspokojivě a včas neodpoví, bude postoupena příslušnému orgánu (Federální obchodní komisi nebo Ministerstvu dopravy) k případnému uplatnění donucovacího opatření (82). V rámci svých činností sledování dodržován zásad štítu na ochranu soukromí Ministerstvo obchodu pravidelně provádělo kontroly na místě uvedené v 53. bodě odůvodnění a průběžně sledovalo veřejné zprávy, což mu umožnilo identifikovat, řešit a vyřešit problémy s dodržováním zásad (83). Organizace, které soustavně nedodržují zásady, budou odstraněny ze seznamu organizací rámce pro ochranu údajů a musí vrátit nebo vymazat osobní údaje, které na základě tohoto rámce obdržely (84).

(55)

V jiných případech odstranění, například pokud organizace dobrovolně ukončí účast v rámci nebo pokud se opětovně necertifikuje, musí organizace údaje vymazat či vrátit, nebo si je může ponechat, pokud Ministerstvo obchodu každoročně ujistí o svém závazku řídit se i nadále zásadami nebo pokud osobním údajům zajistí odpovídající ochranu jiným povoleným způsobem (např. smlouvou, která plně vyhovuje požadavkům příslušných standardních smluvních doložek schválených Komisí) (85). V tomto případě musí organizace rovněž určit kontaktní místo uvnitř organizace pro veškeré otázky související s rámcem EU–USA pro ochranu údajů.

(56)

Ministerstvo obchodu bude sledovat případná nepravdivá tvrzení o účasti v rámci EU–USA pro ochranu údajů nebo nesprávné použití certifikační značky rámce EU–USA pro ochranu údajů, a to jak z moci úřední, tak na základě stížností (např. přijatých od úřadů pro ochranu osobních údajů) (86). Ministerstvo obchodu bude zejména průběžně ověřovat, zda organizace, které i) vystoupí z rámce EU–USA pro ochranu údajů, ii) nedokončí roční opětovnou certifikaci (tj. buď proces roční opětovné certifikace zahájily, ale nedokončily včas, nebo proces roční opětovné certifikace vůbec nezahájily), iii) jsou jako účastníci odstraněny, zejména pro „soustavné nedodržování předpisů“, nebo iv) nedokončí počáteční certifikaci (tj. proces počáteční certifikace zahájily, ale nedokončily včas), odstraní ze všech příslušných zveřejněných politik ochrany soukromí odkazy na rámec EU–USA pro ochranu údajů, které naznačují, že organizace se rámce aktivně účastní (87). Ministerstvo obchodu bude rovněž provádět vyhledávání na internetu s cílem identifikovat odkazy na rámec EU–USA pro ochranu údajů v politikách ochrany soukromí organizací, mimo jiné za účelem identifikace nepravdivých tvrzení organizací, které se rámce EU–USA pro ochranu údajů nikdy neúčastnily (88).

(57)

V případě, že Ministerstvo obchodu zjistí, že odkazy na rámec EU–USA pro ochranu údajů nebyly odstraněny nebo jsou nesprávně používány, bude organizaci informovat o možném postoupení případu Federální obchodní komisi / Ministerstvu dopravy (89). Pokud organizace nereaguje uspokojivě, Ministerstvo obchodu předá záležitost příslušné agentuře k případnému uplatnění donucovacího opatření (90). Jakékoli uvedení široké veřejnosti v omyl zavádějícími prohlášeními nebo postupy organizace ohledně přijetí zásad je postižitelné Federální obchodní komisí, Ministerstvem dopravy nebo jinými příslušnými donucovacími orgány USA. Uvedení Ministerstva obchodu v omyl je postižitelné podle zákona o nepravdivých tvrzeních (False Statements Act, 18 U.S.C. § 1001).

(58)

Aby se zajistilo, že odpovídající úroveň ochrany údajů je zaručena v praxi, měl by být zřízen nezávislý dozorový úřad oprávněný monitorovat a vymáhat dodržování pravidel v oblasti ochrany údajů.

(59)

Organizace rámce EU–USA pro ochranu údajů musí podléhat pravomoci příslušných orgánů USA – Federální obchodní komise a Ministerstva dopravy –, které mají nezbytné vyšetřovací a donucovací pravomoci, aby účinně zajistily dodržování zásad (91).

(60)

Federální obchodní komise je nezávislý orgán složený z pěti komisařů, kteří jsou jmenováni prezidentem s doporučením a souhlasem senátu (92). Komisaři jsou jmenováni na sedmileté funkční období a mohou být odvoláni prezidentem pouze z důvodu neefektivity, zanedbání povinností nebo nesprávného výkonu funkce. Federální obchodní komise může mít nejvýše tři komisaře z téže politické strany a komisaři nesmějí po dobu svého jmenování vykonávat žádné jiné podnikání, povolání nebo zaměstnání.

(61)

Federální obchodní komise může vyšetřovat dodržování zásad, jakož i nepravdivá tvrzení o dodržování zásad nebo o účasti v rámci EU–USA pro ochranu údajů ze strany organizací, které již nejsou na seznamu organizací rámce pro ochranu údajů nebo se nikdy necertifikovaly (93). Federální obchodní komise může prosazovat dodržování zásad správními příkazy nebo příkazy federálního soudu (včetně soudních smírů, kterých bylo dosaženou dohodou, tzv. consent orders) (94) s cílem uložit předběžné nebo trvalé soudní zákazy nebo jiná nápravná opatření a bude systematicky sledovat dodržování těchto příkazů (95). Pokud organizace takové příkazy neplní, smí Federální obchodní komise usilovat o uložení občanskoprávních sankcí a jiných nápravných opatření, včetně těch za újmu způsobenou nezákonným jednáním. Každý soudní smír vydaný vůči organizaci rámce EU–USA pro ochranu údajů bude obsahovat ustanovení o podávání zpráv (96) a organizace budou povinny zveřejnit veškeré relevantní, rámce EU–USA pro ochranu údajů se týkající části každé hodnotící zprávy nebo zprávy o dodržování zásad předložené Federální obchodní komisi. A konečně Federální obchodní komise povede online seznam organizací, jimž byl vydán příkaz Federální obchodní komise nebo soudní příkaz v případech týkajících se rámce EU–USA pro ochranu údajů (97).

(62)

Pokud jde o štít na ochranu soukromí, Federální obchodní komise přijala donucovací opatření přibližně ve 22 případech, a to jak v souvislosti s porušením konkrétních požadavků rámce (např. nepotvrzení Ministerstvu obchodu, že organizace pokračuje v uplatňování ochrany štítu na ochranu soukromí i poté, co rámec opustila, neověření prostřednictvím sebehodnocení nebo externího přezkumu souladu, že organizace rámec dodržuje) (98), tak v souvislosti s nepravdivými tvrzeními o účasti v tomto rámci (např. ze strany organizací, které nedokončily kroky nezbytné k získání certifikace nebo nechaly vypršet platnost své certifikace, ale nepravdivě uvedly, že se rámce nadále účastní) (99). Tato donucovací opatření mimo jiné vyplynula z proaktivního využívání správních předvolání k získání materiálů od některých účastníků štítu na ochranu soukromí za účelem kontroly, zda nedochází k podstatnému porušování povinností štítu na ochranu soukromí (100).

(63)

Obecněji řečeno, Federální obchodní komise v minulých letech přijala donucovací opatření v řadě případů týkajících se dodržování konkrétních požadavků na ochranu údajů, které jsou rovněž stanoveny podle rámce EU–USA pro ochranu údajů, např. pokud jde o zásady účelového omezení a uchovávání údajů (101), minimalizace údajů (102), zabezpečení údajů (103) a přesnosti údajů (104).

(64)

Ministerstvo dopravy má výlučnou pravomoc regulovat postupy leteckých dopravců v oblasti ochrany soukromí a pravomoc sdílenou s Federální obchodní komisí nad postupy prodejců letenek v oblasti ochrany soukromí. Úředníci Ministerstva dopravy se nejprve snaží dosáhnout dohody, a pokud to není možné, mohou zahájit vykonávací řízení, jehož obsahem je i důkazní řízení před správním soudcem Ministerstva dopravy, který je oprávněn vydávat příkazy ke zdržení se konání a ukládat občanskoprávní sankce (105). Správní soudci požívají několika ochranných opatření podle zákona o správním řízení (Administrative Procedure Act – APA), která zajišťují jejich nezávislost a nestrannost. Například mohou být odvoláni pouze z vážných důvodů; jsou přidělováni k případům na základě rotace; nemohou vykonávat povinnosti, které jsou neslučitelné s jejich povinnostmi a odpovědností jako soudců ve správním soudnictví; nepodléhají dozoru vyšetřovacího týmu orgánu, u něhož jsou zaměstnáni (v tomto případě Ministerstva dopravy), a musí vykonávat svou rozhodovací/vykonávací funkci nestranně (106). Ministerstvo dopravy se zavázalo sledovat příkazy k výkonu rozhodnutí a zajistit, aby příkazy vyplývající z případů rámce EU–USA pro ochranu údajů byly k dispozici na jeho internetových stránkách (107).

(65)

Aby se zajistila odpovídající ochrana a zejména vymáhání individuálních práv, měla by být subjektu údajů poskytnuta účinná správní a soudní náprava.

(66)

Rámec EU–USA pro ochranu údajů prostřednictvím zásady odvolání, prosazování a odpovědnosti vyžaduje, aby organizace poskytly možnost odvolání fyzickým osobám, které jsou postiženy nedodržováním zásad, a tedy možnost, aby subjekty údajů v Unii podávaly stížnosti týkající se nedodržování zásad ze strany organizací rámce EU–USA pro ochranu údajů a aby tyto stížnosti byly vyřešeny, a to v případě potřeby formou rozhodnutí poskytujícího účinnou nápravu (108). V rámci certifikace musí organizace vyhovět požadavkům této zásady, a to tím, že zajistí účinné a snadno dostupné nezávislé odvolací mechanismy, pomocí kterých lze stížnosti fyzických osob a spory vyšetřit a promptně vyřešit, aniž by fyzické osobě vznikly náklady (109).

(67)

Organizace si mohou zvolit nezávislé odvolací mechanismy buď v Unii nebo ve Spojených státech. Jak je podrobněji vysvětleno v 73. bodě odůvodnění, patří sem možnost dobrovolného závazku ke spolupráci s úřady EU pro ochranu osobních údajů. Pokud organizace zpracovávají údaje v oblasti lidských zdrojů, je tento závazek spolupráce s úřady EU pro ochranu osobních údajů povinný. K dalším alternativám patří nezávislé alternativní řešení sporů nebo soukromým sektorem vyvinuté programy na ochranu soukromí, které do svých pravidel začleňují zásady. Programy na ochranu soukromí musí obsahovat účinné donucovací mechanismy v souladu s požadavky zásady odvolání, prosazování a odpovědnosti.

(68)

V důsledku toho poskytuje rámec EU–USA pro ochranu údajů subjektům údajů řadu možností, jak uplatnit svá práva, podávat stížnosti týkající se nedodržování zásad ze strany organizací rámce mezi EU a USA a dosáhnout vyřešení těchto stížností, a to v případě potřeby formou rozhodnutí poskytujícího účinnou nápravu. Fyzické osoby mohou stížnost předložit přímo organizaci, nezávislému subjektu pro řešení sporů určeného organizací, vnitrostátním úřadům pro ochranu osobních údajů, Ministerstvu obchodu nebo Federální obchodní komisi. V případech, kdy jejich stížnosti nebyly vyřešeny ani jedním z odvolacích či donucovacích mechanismů, mají fyzické osoby také právo využít závazného rozhodčího řízení (příloha I přílohy I tohoto rozhodnutí). Kromě rozhodčího panelu, jehož využití vyžaduje, aby předtím byly vyčerpány určité opravné prostředky, mohou fyzické osoby využít kterýkoli nebo všechny nápravné mechanismy dle vlastní volby a nejsou povinny zvolit si jeden mechanismus na úkor jiného ani postupovat podle jakési určené posloupnosti.

(69)

Za prvé, subjekty údajů z Unie mohou případy nedodržení zásad řešit přímým kontaktováním organizací rámce EU–USA pro ochranu údajů (110). Pro usnadnění řešení musí organizace zavést účinný nápravný mechanismus. Organizace tedy musí fyzické osoby ve své politice ochrany soukromí jasně informovat o kontaktním místě uvnitř organizace nebo mimo ni, které bude vyřizovat stížnosti (včetně jakéhokoli relevantního zařízení v Unii, které může odpovídat na dotazy nebo stížnosti), jakož i o určených nezávislých subjektech pro řešení sporů (viz 70. bod odůvodnění). Po přijetí stížnosti fyzické osoby buď přímo od ní nebo prostřednictvím Ministerstva obchodu v návaznosti na postoupení úřadem pro ochranu osobních údajů musí organizace subjektu údajů z Unie odpovědět do 45 dní (111). Organizace jsou taktéž povinny promptně odpovídat na dotazy a jiné žádosti o informace ze strany Ministerstva obchodu nebo úřadu pro ochranu osobních údajů (112) (pokud se organizace zavázala s úřadem pro ochranu osobních údajů spolupracovat) týkající se toho, zda dodržují zásady.

(70)

Za druhé, fyzické osoby mohou stížnost podat přímo u nezávislého subjektu pro řešení sporů (buď ve Spojených státech, nebo v Unii), který je organizací pověřen k tomu, aby šetřil a řešil stížnosti fyzických osob (nejsou-li zjevně nepodložené nebo bezdůvodné) a zdarma fyzickým osobám poskytoval odpovídající právní ochranu (113). Sankce a opravné prostředky uložené takovým subjektem musí být natolik přísné, aby bylo zaručeno dodržení zásad ze strany organizací, a měly by zajistit, aby organizace účinky nedodržování zásad zvrátily nebo napravily, a v závislosti na okolnostech by měly zajistit ukončení dalšího zpracovávání dotčených osobních údajů a/nebo jejich výmaz, jakož i propagaci zjištění o nedodržení zásad (114). Nezávislé subjekty pro řešení sporů ustanovené organizací jsou povinny na svých veřejných internetových stránkách uvádět příslušné informace týkající se rámce EU–USA pro ochranu údajů a služeb, které v jeho rámci poskytují (115). Každý rok musí zveřejnit výroční zprávu s uvedením souhrnných statistik ohledně těchto služeb (116).

(71)

V rámci svého přezkumu dodržování zásad může Ministerstvo obchodu ověřovat, zda se organizace rámce EU–USA pro ochranu údajů skutečně zaregistrovaly u nezávislých odvolacích mechanismů, u nichž jsou dle vlastního tvrzení registrovány (117). Jak organizace, tak odpovědné nezávislé odvolací mechanismy jsou povinny promptně odpovídat na dotazy a žádosti Ministerstva obchodu o informace týkající se rámce EU–USA pro ochranu údajů. Ministerstvo obchodu bude spolupracovat s nezávislými odvolacími mechanismy, aby ověřilo, zda na svých internetových stránkách uvádějí informace o zásadách a službách, které poskytují na základě rámce EU–USA pro ochranu údajů, a zda zveřejňují výroční zprávy (118).

(72)

V případě, že organizace nedodrží usnesení subjektu pro řešení sporů nebo samoregulačního subjektu, musí tento subjekt takové nedodržení oznámit Ministerstvu obchodu a Federální obchodní komisi (nebo jinému orgánu USA příslušnému vyšetřovat nedodržování zásad organizacemi) nebo příslušnému soudu (119). Odmítne-li se organizace podřídit konečnému rozhodnutí vydanému jakýmkoli samoregulačním subjektem pro otázky ochrany soukromí, nezávislým subjektem pro řešení sporů nebo vládním subjektem, nebo pokud takový subjekt zjistí, že organizace nedodržuje zásady často, může to být chápáno jako soustavné nedodržování zásad s tím výsledkem, že Ministerstvo obchodu poté, co nejprve v třicetidenní lhůtě poskytne organizaci, která nedodržela zásady, možnost vyjádřit se, vyškrtne organizaci ze seznamu organizací rámce pro ochranu údajů (120). Pokud po odstranění ze seznamu organizace nadále tvrdí, že je certifikována v rámci EU–USA pro ochranu údajů, postoupí Ministerstvo obchodu věc Federální obchodní komisi či jinému donucovacímu orgánu (121).

(73)

Za třetí, fyzické osoby mohou podávat stížnosti také u vnitrostátního úřadu pro ochranu osobních údajů v Unii, který může využít svých vyšetřovacích a nápravných pravomocí podle nařízení (EU) 2016/679. Organizace jsou povinny spolupracovat s úřadem pro ochranu osobních údajů na šetření a vyřešení stížnosti, buď pokud se týká zpracování údajů v oblasti lidských zdrojů shromážděných v kontextu zaměstnaneckého vztahu, nebo pokud se příslušná organizace dobrovolně podřídila dohledu úřadů pro ochranu osobních údajů (122). Konkrétně musí organizace odpovídat na dotazy, řídit se doporučeními úřadů pro ochranu osobních údajů, pokud jde mimo jiné o nápravné nebo odškodňující opatření, a předkládat úřadu pro ochranu osobních údajů písemná potvrzení o tom, že bylo přijato příslušné opatření (123). V případě nedodržení doporučení úřadu pro ochranu osobních údajů předá úřad pro ochranu osobních údajů tyto případy Ministerstvu obchodu (které může organizace vyřadit ze seznamu rámce EU–USA pro ochranu údajů) nebo v případě možných donucovacích opatření Federální obchodní komisi nebo Ministerstvu dopravy (nespolupráce s úřady pro ochranu osobních údajů nebo nedodržení zásad je podle amerického práva postižitelné) (124).

(74)

Pro usnadnění spolupráce v zájmu účinného vyřizování stížností zřídily Ministerstvo obchodu i Federální obchodní komise specializované kontaktní místo, které je odpovědné za přímý styk s úřady pro ochranu osobních údajů (125). Tato kontaktní místa pomáhají s dotazy úřadů pro ochranu osobních údajů ohledně dodržování zásad ze strany organizací.

(75)

Doporučení poskytnuté úřady pro ochranu osobních údajů (126) se vydá poté, co byla oběma stranám sporu poskytnuta dostatečná příležitost vyjádřit stanovisko a předložit jakékoli důkazy. Panel může vydat doporučení v co nejkratší době v souladu s požadavkem na spravedlivé řízení a obecně do 60 dní po obdržení stížnosti (127). Jestliže se organizace nepodrobí doporučení do 25 dnů od jeho doručení a zpoždění uspokojivě nevysvětlí, může panel vydat oznámení v tom smyslu, že hodlá buď věc předložit Federální obchodní komisi (či jinému příslušnému donucovacímu orgánu USA), nebo dospět k závěru, že závazek ke spolupráci byl závažným způsobem porušen. V prvním případě to může vést k postihu na základě § 5 zákona o Federální obchodní komisi (nebo jiného právního předpisu) (128). V druhém případě panel informuje Ministerstvo obchodu, které toto odmítnutí organizace podrobit se doporučení panelu úřadů pro ochranu osobních údajů posoudí jako soustavné nedodržování zásad, což povede k odstranění organizace ze seznamu organizací rámce pro ochranu údajů.

(76)

Pokud úřad pro ochranu osobních údajů, jemuž byla stížnost adresována, nepřijme žádná opatření nebo přijme nedostatečná opatření k vyřešení stížnosti, má stěžovatel možnost napadnout tato opatření (nebo jejich absenci) u vnitrostátního soudu příslušného členského státu EU.

(77)

Fyzické osoby mohou stížnosti u úřadů pro ochranu osobních údajů podávat i v případě, kdy panel úřadů pro ochranu osobních údajů nebyl organizací určen jako její subjekt pro řešení sporů. V těchto případech může úřad pro ochranu osobních údajů takové stížnosti postupovat buď Ministerstvu obchodu nebo Federální obchodní komisi. Pro usnadnění a prohloubení spolupráce ve věcech týkajících se stížností fyzických osob a nedodržování zásad ze strany organizací rámce EU–USA pro ochranu údajů zřídí Ministerstvo obchodu specializované kontaktní místo, které bude fungovat jako styčný bod a které bude pomáhat s dotazy úřadů pro ochranu osobních údajů ohledně dodržování zásad ze strany organizací (129). Federální obchodní komise se obdobně zavázala zřídit specializované kontaktní místo (130).

(78)

Za čtvrté, Ministerstvo obchodu se zavázalo přijímat a posuzovat stížnosti na nedodržování zásad ze strany organizace a vynaložit veškeré rozumné úsilí k jejich vyřešení (131). K tomuto účelu poskytuje Ministerstvo obchodu úřadům pro ochranu osobních údajů zvláštní postupy pro postupování stížností specializovanému kontaktnímu místu, jejich sledování a dořešení s organizacemi (132). Aby bylo zpracování jednotlivých stížností co nejrychlejší, kontaktní místo jedná ve věcech dodržování zásad v přímé součinnosti s příslušným úřadem pro ochranu osobních údajů a zejména jej během nejvýše 90 dní od postoupení informuje o stavu stížností (133). To umožňuje subjektům údajů podávat stížnosti na nedodržování zásad ze strany organizací rámce EU–USA pro ochranu údajů přímo svému vnitrostátnímu úřadu pro ochranu osobních údajů a jejich předání Ministerstvu obchodu jako orgánu USA spravujícímu rámec EU–USA pro ochranu údajů.

(79)

Pokud Ministerstvo obchodu na základě vlastních ověření z moci úřední, stížností nebo jiných informací dospěje k závěru, že organizace soustavně zásady nedodržuje, může takovou organizaci odstranit ze seznamu organizací rámce pro ochranu údajů (134). Odmítnutí podřídit se konečnému rozhodnutí vydanému jakýmkoli samoregulačním subjektem pro otázky ochrany soukromí, nezávislým subjektem pro řešení sporů nebo vládním subjektem, včetně úřadu pro ochranu osobních údajů, bude chápáno jako soustavné nedodržování zásad (135).

(80)

Za páté, organizace rámce EU–USA pro ochranu údajů musí podléhat pravomoci orgánů USA, zejména Federální obchodní komisi (136), které mají nezbytné vyšetřovací a donucovací pravomoci, aby účinně zajistily dodržování zásad. Federální obchodní komise prioritně řeší případy nedodržení zásad postoupené nezávislými subjekty pro řešení sporů nebo samoregulačními orgány, Ministerstvem obchodu a úřady pro ochranu osobních údajů (jednajícími z vlastní iniciativy nebo na základě stížnosti) za účelem stanovení, zda byl porušen § 5 zákona o Federální obchodní komisi (137). Federální obchodní komise se zavázala vytvořit standardizovaný postup postupování případů, ustanovit kontaktní místo uvnitř komise pro případy postoupené úřady pro ochranu osobních údajů a sdílet informace o postupovaných případech. Kromě toho může přijímat stížnosti přímo od fyzických osob a z vlastní iniciativy provádět šetření případů souvisejících s rámcem EU–USA pro ochranu údajů, zejména jako součást svých vlastních širších šetření případů porušení soukromí.

(81)

Za šesté, v případě, že žádnou z ostatních dostupných možností nápravy nebyla stížnost fyzické osoby uspokojivě vyřešena, smí subjekt údajů z Unie jako nápravný mechanismus „poslední možnosti“ využít závazné rozhodčí řízení u „panelu rámce EU–USA pro ochranu údajů“ (138). Organizace musí fyzické osoby informovat o tom, že mají možnost využít závazného rozhodčího řízení, a jsou povinny reagovat, jakmile fyzická osoba tuto možnost využila zasláním oznámení dotčené organizaci (139).

(82)

Tento panel rámce EU–USA pro ochranu údajů sestává ze skupiny nejméně deseti rozhodců jmenovaných Ministerstvem obchodu a Komisí na základě jejich nezávislosti, bezúhonnosti a zkušeností v oblasti práva USA o ochraně soukromí i v oblasti práva EU o ochraně údajů. Pro každý jednotlivý spor vyberou strany z této skupiny panel jednoho nebo tří (140) rozhodců.

(83)

Ministerstvo obchodu vybralo k řízení rozhodčích řízení Mezinárodní středisko pro řešení sporů (ICDR), mezinárodní divizi Americké arbitrážní asociace (AAA). Řízení před panelem rámce EU–USA pro ochranu údajů se bude řídit souborem dohodnutých rozhodčích pravidel a kodexem chování jmenovaných rozhodců. Internetové stránky střediska ICDR-AAA poskytují fyzickým osobám jasné a stručné informace o rozhodčím mechanismu a postupu podání rozhodčí žaloby.

(84)

Rozhodčí pravidla dohodnutá mezi Ministerstvem obchodu a Komisí doplňují rámec EU–USA pro ochranu údajů, obsahující několik prvků, jež zlepšují přístupnost tohoto mechanismu pro subjekty údajů v Unii: i) při přípravě podnětů pro panel může subjektu údajů pomáhat jeho vnitrostátní úřad pro ochranu osobních údajů; ii) přestože se řízení bude konat ve Spojených státech, mají subjekty údajů v Unii možnost se jej zúčastnit pomocí videokonferenční nebo telekonferenční služby, která jim bude poskytnuta zdarma; iii) přestože jazykem rozhodčího řízení bude zásadně angličtina, na odůvodněnou žádost bude subjektu údajů během rozhodčího jednání v zásadě a zdarma poskytnuto tlumočení; iv) a konečně poněvadž každá ze stran musí hradit odměnu svého právního zástupce, je-li jím před panelem zastupována, zřídí Ministerstvo obchodu fond financovaný z ročních příspěvků organizací rámce EU–USA pro ochranu údajů, z nějž budou hrazeny náklady rozhodčího řízení až do maximální částky, kterou stanoví orgány USA v konzultaci s Komisí (141).

(85)

Panel rámce EU–USA pro ochranu údajů má pravomoc ukládat individuální, nepeněžité přiměřené opatření (142), které je nezbytné k nápravě nedodržení zásad. Panel sice ve svém rozhodování zohlední jiné opravné prostředky získané prostřednictvím jiných mechanismů rámce EU–USA pro ochranu údajů, pokud však mají fyzické osoby za to, že tyto jiné opravné prostředky jsou nepostačující, mohou využít rozhodčího řízení. To subjektům údajů z Unie umožní, aby využívali rozhodčího řízení ve všech případech, kdy opatření organizací rámce EU–USA pro ochranu údajů, nezávislých odvolacích mechanismů nebo příslušných orgánů USA (například Federální obchodní komise) nebo absence takových opatření jejich stížnost nevyřešila uspokojivým způsobem. Rozhodčího řízení nelze využít, je-li předmětný nárok vůči organizaci rámce EU–USA pro ochranu údajů ze zákona oprávněn řešit úřad pro ochranu osobních údajů, zejména v případech, kdy je organizace buď povinna spolupracovat a řídit se doporučením úřadu pro ochranu osobních údajů, pokud jde o zpracování údajů v oblasti lidských zdrojů shromážděných v souvislosti se zaměstnáváním, nebo se k tomu dobrovolně zavázala sama. Fyzické osoby mohou rozhodnutí rozhodčího řízení vykonávat prostřednictvím soudů USA v souladu s federálním zákonem o rozhodčím řízení (Federal Arbitration Act), a zajistit si tak procesní prostředek pro případ, kdy organizace nedodrží zásady ochrany údajů.

(86)

Za sedmé, pokud organizace poruší svůj závazek dodržovat zásady a politiku ochrany soukromí, kterou zveřejnila, jsou podle práva USA k dispozici dodatečné možnosti soudní nápravy, a to i za účelem získání náhrady škody. Fyzické osoby mohou například za určitých podmínek získat soudní nápravu (včetně náhrady škody) podle spotřebitelského práva jednotlivých států v případech podvodného uvedení v omyl, nekalého nebo klamavého jednání či praktik (143) a podle deliktního práva (zejména podle deliktů narušení soukromí (144), přivlastnění jména nebo podoby (145) a zveřejnění soukromých skutečností (146)).

(87)

Různé výše popsané možnosti nápravy společně zajišťují, že každá stížnost týkající se nedodržování rámce EU–USA pro ochranu údajů ze strany certifikovaných organizací bude účinně posouzena a napravena.

(88)

Komise také posuzovala omezení a záruky, včetně dohledu a jednotlivých nápravných mechanismů dostupných v právu USA, pokud jde o shromažďování a následné používání osobních údajů předávaných správcům a zpracovatelům v USA ze strany orgánů veřejné moci USA pro účely veřejného zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti (dále jen „přístup vlády“) (147). Při posuzování toho, zda podmínky přístupu vlády k údajům předávaným do Spojených států podle tohoto rozhodnutí splňují test „zásadní rovnocennosti‘ podle čl. 45 odst. 1 nařízení (EU) 2016/679, jak je vykládán Soudním dvorem ve světle Listiny základních práv, Komise zohlednila několik kritérií.

(89)

Zejména musí být jakékoli omezení práva na ochranu osobních údajů stanoveno zákonem a samotný právní základ, který umožňuje zásah do takového práva, musí vymezovat rozsah omezení výkonu dotčeného práva (148). Za účelem splnění požadavku přiměřenosti, podle kterého musí být výjimky z ochrany osobních údajů a její omezení činěny v mezích toho, co je v demokratické společnosti nezbytně nutné pro splnění konkrétních cílů obecného zájmu rovnocenných cílům uznaným Unií, musí nadto tento právní základ stanovit jasná a přesná pravidla pro rozsah a použití předmětných opatření a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly předány, měly dostatečné záruky umožňující účinně chránit své osobní údaje proti riziku zneužití (149). Kromě toho musí být tato pravidla a záruky právně závazné a vymahatelné pro jednotlivce (150). Subjektům údajů musí být zejména dána možnost využít právních prostředků před nezávislým a nestranným soudem s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů (151).

(90)

Pokud jde o zásahy do osobních údajů předávaných na základě rámce EU–USA pro ochranu údajů pro účely prosazování trestního práva, právo Spojených států ukládá řadu omezení přístupu k osobním údajům a použití těchto údajů a stanoví v této oblasti dohledové a nápravné mechanismy, které jsou v souladu s požadavky uvedenými v 89. bodě odůvodnění tohoto rozhodnutí. Podmínky, za kterých lze takový přístup uskutečnit, a záruky týkající se využívání těchto pravomocí jsou podrobně posouzeny v následujících oddílech. V tomto ohledu vláda USA (prostřednictvím Ministerstva spravedlnosti) rovněž poskytla ujištění o platných omezeních a zárukách (příloha VI tohoto rozhodnutí).

(91)

K osobním údajům zpracovávaným certifikovanými organizacemi USA, které by byly předávány z Unie na základě rámce EU–USA pro ochranu údajů, mohou mít přístup pro účely prosazování trestního práva federální státní zástupci a federální vyšetřovací agenti USA na základě různých postupů, jak je podrobněji vysvětleno v 92.–99. bodě odůvodnění. Tyto postupy platí stejným způsobem při získávání informací od jakékoli organizace v USA bez ohledu na státní příslušnost nebo místo pobytu dotčených subjektů údajů (152).

(92)

Za prvé, na žádost příslušníka federálního donucovacího orgánu nebo vládního zmocněnce může soudce vydat příkaz k prohlídce nebo zajištění (včetně elektronicky uložených informací) (153). Takový příkaz může být vydán pouze tehdy, pokud existuje „důvodné podezření (154)“, že na místě uvedeném v příkazu budou pravděpodobně nalezeny „zajistitelné věci“ (důkazy o trestném činu, nezákonně držené věci nebo majetek určený k použití nebo použitý při spáchání trestného činu). V příkazu musí být uveden majetek nebo předmět, který má být zajištěn, a soudce, kterému musí být příkaz vrácen. Osoba, která je předmětem prohlídky nebo jejíž majetek je předmětem prohlídky, může usilovat o to, aby byly prohlášeny za neplatné důkazy získané při nezákonné prohlídce nebo z této prohlídky odvozené, pokud jsou tyto důkazy použity proti této osobě během trestního řízení (155). Je-li držitel údajů (např. společnost) povinen zpřístupnit údaje na základě příkazu, může požadavek na zpřístupnění napadnout zejména jako nepřiměřeně zatěžující (156).

(93)

Za druhé, v souvislosti s vyšetřováním určitých závažných trestných činů může velká porota (vyšetřovací složka soudu sestavená soudcem nebo magistrátním soudcem) vydat předvolání (subpoena) (157), obvykle na žádost federálního státního zástupce, aby od někoho požadovala předložení nebo zpřístupnění obchodních záznamů, elektronicky uložených informací nebo jiných hmotných předmětů. Kromě toho různé zákony povolují využití správního předvolání k předložení nebo zpřístupnění obchodních záznamů, elektronicky uložených informací či jiných hmotných předmětů ve vyšetřováních týkajících se podvodů v oblasti zdravotní péče, zneužívání dětí, ochrany tajné služby, případů kontrolovaných látek a ve vyšetřováních generálního inspektora (158). V obou případech musí být informace podstatná pro vyšetřování a předvolání nesmí být nepřiměřené z důvodu přílišné šíře, represivnosti nebo tíže břemene (a příjemce předvolání je může z těchto důvodů napadnout) (159).

(94)

Velmi podobné podmínky se vztahují na správní předvolání vydávaná za účelem získání přístupu k údajům drženým společnostmi v USA pro občanskoprávní nebo regulační účely (z důvodu „veřejného zájmu“). Pravomoc agentur s občanskoprávními a regulačními povinnostmi vydávat taková správní předvolání musí být stanovena v zákoně. Použití správního předvolání podléhá „zkoušce přiměřenosti“, která vyžaduje, aby šetření bylo prováděno na základě legitimního účelu, informace požadované na základě předvolání byly pro tento účel relevantní, agentura již neměla informace, které požaduje na základě předvolání, a byly provedeny nezbytné administrativní kroky k vydání předvolání (160). Judikatura Nejvyššího soudu rovněž objasnila potřebu vyvážit význam veřejného zájmu na požadovaných informacích s významem zájmů na ochranu soukromí osob a organizací (161). Zatímco použití správního předvolání nepodléhá předchozímu soudnímu schválení, stává se předmětem soudního přezkumu v případě, že je příjemce napadne z výše uvedených důvodů, nebo pokud se vydávající agentura snaží předvolání vymáhat u soudu (162). Kromě těchto obecných zastřešujících omezení mohou z jednotlivých zákonů vyplývat zvláštní (přísnější) požadavky (163).

(95)

Za třetí, několik právních základů umožňuje orgánům pro prosazování trestního práva získat přístup ke komunikačním údajům. Soud může vydat příkaz, kterým povolí shromažďování informací v reálném čase o vytáčení, směrování, adresování a signálování, které se netýkají obsahu, ohledně telefonního čísla nebo e-mailu (prostřednictvím použití zařízení pro zaznamenávání informací o odchozí komunikaci sledovaného zařízení (pen register) nebo zařízení pro zaznamenávání informací o příchozí komunikaci sledovaného zařízení (trap and trace)), pokud zjistí, že orgán osvědčil, že informace, které budou pravděpodobně získány, jsou důležité pro probíhající trestní vyšetřování (164). V příkazu musí být mimo jiné uvedena totožnost podezřelého, je-li známa; atributy komunikace, na kterou se vztahuje, a uvedení trestného činu, k němuž se shromažďované informace vztahují. Použití zařízení pro zaznamenávání informací o příchozí nebo odchozí komunikaci sledovaného zařízení může být povoleno na dobu nejvýše šedesáti dnů, kterou lze prodloužit pouze novým soudním příkazem.

(96)

Kromě toho lze na základě zákona o uchovávaných komunikacích získat pro účely prosazování trestního práva přístup k informacím o účastnících, provozním údajům a uchovávanému obsahu komunikací, které mají poskytovatelé internetových služeb, telefonní společnosti a další poskytovatelé služeb, kteří jsou třetí stranou (165). Aby získaly uchovávaný obsah elektronických komunikací, musí orgány pro prosazování trestního práva zpravidla získat od soudce příkaz založený na důvodném podezření, že daný účet obsahuje důkazy o trestném činu (166). Pro získání registračních informací, IP adres a souvisejících časových razítek a fakturačních informací o odběratelích mohou orgány pro prosazování trestního práva využít předvolání. Pro většinu ostatních uchovávaných informací netýkajících se obsahu, jako jsou hlavičky e-mailů bez předmětu, musí orgány pro prosazování trestního práva získat soudní příkaz, který bude vydán, je-li soudce přesvědčen, že existují přiměřené důvody domnívat se, že požadované informace jsou pro probíhající trestní vyšetřování relevantní a závažné.

(97)

Poskytovatelé, kteří obdrží žádosti podle zákona o uchovávaných komunikacích, mohou dobrovolně informovat zákazníka nebo účastníka, jehož informace jsou požadovány, s výjimkou případů, kdy příslušný orgán pro prosazování trestního práva získá ochranný příkaz, který takové oznámení zakazuje (167). Takový ochranný příkaz je soudní příkaz, který požaduje, aby poskytovatel služeb elektronických komunikací nebo služeb dálkové výpočetní techniky, jemuž je určen příkaz, předvolání nebo soudní příkaz, o existenci příkazu, předvolání nebo soudního příkazu neinformoval žádnou jinou osobu, a to po dobu, kterou soud považuje za vhodnou. Ochranné příkazy se vydávají, pokud soud zjistí, že existuje důvod se domnívat, že by oznámení vážně ohrozilo vyšetřování nebo nepřiměřeně zdrželo soudní líčení, např. proto, že by vedlo k ohrožení života nebo fyzické bezpečnosti osoby, útěku před trestním stíháním, zastrašování potenciálních svědků apod. Memorandum zástupce ministra spravedlnosti (které je závazné pro všechny právníky a agenty ministerstva spravedlnosti) vyžaduje, aby státní zástupci podrobně rozhodli o potřebě ochranného příkazu a předložili soudu odůvodnění, jak jsou v konkrétním případě splněna zákonná kritéria pro získání ochranného příkazu (168). Memorandum rovněž stanoví, že žádosti o vydání ochranného příkazu obecně nesmí usilovat o odložení oznámení o více než jeden rok. Pokud by za výjimečných okolností mohly být nezbytné příkazy s delší dobou trvání, lze o ně žádat pouze s písemným souhlasem nadřízeného orgánu určeného ministrem spravedlnosti nebo příslušným náměstkem ministra spravedlnosti USA. Kromě toho musí státní zástupce při ukončení vyšetřování neprodleně posoudit, zda existuje důvod pro zachování případných nevyřízených ochranných příkazů, a pokud tomu tak není, ochranný příkaz ukončit a zajistit, aby o tom byl poskytovatel služeb informován (169).

(98)

Orgány pro prosazování trestního práva mohou rovněž v reálném čase zachycovat odposlech, ústní nebo elektronickou komunikaci na základě soudního příkazu, v němž soudce mimo jiné konstatuje, že existuje důvodné podezření se domnívat, že odposlech nebo elektronický odposlech přinese důkazy o federálním trestném činu nebo o místě pobytu uprchlíka, který se skrývá před trestním stíháním (170).

(99)

Další ochranu poskytují různé politiky a pokyny Ministerstva spravedlnosti, včetně pokynů ministra spravedlnosti pro vnitrostátní operace úřadu FBI (Attorney General Guidelines for Domestic FBI Operations, AGG-DOM), které mimo jiné stanoví povinnost, aby Federální úřad pro vyšetřování (Federal Bureau of Investigation, FBI) používal co nejméně rušivé vyšetřovací metody s ohledem na dopad na soukromí a občanské svobody (171).

(100)

Podle prohlášení vlády USA platí stejná nebo vyšší úroveň ochrany popsaná výše pro vyšetřování donucovacích orgánů na úrovni federálních států (s ohledem na vyšetřování prováděná podle zákonů státu) (172). Zejména ustanovení v ústavních zákonech, jakož i zákony a judikatura na úrovni států potvrzují výše uvedenou ochranu proti nepřiměřeným prohlídkám a zajištěním tím, že vyžadují vydání příkazu k prohlídce (173). Podobně jako ochrana poskytovaná na federální úrovni může být příkaz k prohlídce vydán pouze na základě prokázání důvodného podezření a musí obsahovat popis místa, které má být prohledáno, a osoby nebo věci, které mají být zajištěny (174).

(101)

Pokud jde o další použití údajů shromážděných federálními orgány pro prosazování trestního práva, ukládají různé zákony, pokyny a normy zvláštní záruky. S výjimkou specifických nástrojů vztahujících se na činnost úřadu FBI (pokynů AGG-DOM a operační příručky úřadu FBI pro vnitrostátní vyšetřování) se požadavky popsané v tomto oddíle obecně vztahují na další používání údajů jakýmkoli federálním orgánem, včetně údajů, k nimž se přistupuje pro občanskoprávní nebo regulační účely. To zahrnuje požadavky vyplývající z memorand / nařízení Úřadu pro řízení a rozpočet, federálního zákona o modernizaci řízení informační bezpečnosti, zákona o elektronické veřejné správě a zákona o federálních záznamech.

(102)

V souladu s pravomocí stanovenou Clinger-Cohenovým zákonem (P.L. 104–106, oddíl E) a zákonem o počítačové bezpečnosti z roku 1987 (P.L. 100–235) vydal Úřad pro řízení a rozpočet (OMB) oběžník č. A-130, aby stanovil obecně závazné pokyny, které se vztahují na všechny federální agentury (včetně donucovacích orgánů) při nakládání s informacemi umožňujícími identifikaci osob (175). Oběžník zejména požaduje, aby všechny federální agentury „omezily vytváření, shromažďování, používání, zpracovávání, uchovávání, udržování, šíření a zveřejňování informací umožňujících identifikaci osob na ty, které jsou zákonem povolené, podstatné a přiměřeně považované za nezbytné pro řádný výkon oprávněných funkcí agentury“ (176). Kromě toho musí federální agentury v přiměřeném rozsahu zajistit, aby informace umožňující identifikaci osob byly přesné, relevantní, včasné a úplné a omezené na minimum nezbytné pro řádný výkon funkcí agentury. V obecnějším smyslu musí federální agentury zavést komplexní program ochrany soukromí, aby zajistily soulad s platnými požadavky na ochranu soukromí, vypracovat a vyhodnotit politiky ochrany soukromí a řídit rizika pro ochranu soukromí; udržovat postupy pro zjišťování, dokumentování a hlášení případů porušení ochrany soukromí; vypracovat programy zvyšování povědomí o ochraně soukromí a školení pro zaměstnance a dodavatele a zavést politiky a postupy, které zajistí, aby zaměstnanci odpovídali za dodržování požadavků a politik ochrany soukromí (177).

(103)

Zákon o elektronické veřejné správě (178) navíc stanoví, že všechny federální agentury (včetně orgánů pro prosazování trestního práva) mají povinnost zavést takovou ochranu bezpečnosti informací, která odpovídá riziku a rozsahu škod, jež by vznikly v důsledku neoprávněného přístupu, použití, zveřejnění, narušení, změny nebo zničení; mít vedoucího pracovníka pro informace, který zajistí dodržování požadavků na bezpečnost informací, a provádět každoroční nezávislé hodnocení (např. generálním inspektorem, viz 109. bod odůvodnění) svého programu a postupů v oblasti bezpečnosti informací (179). Podobně zákon o federálních záznamech (Federal Records Act, FRA) (180) a doplňující předpisy stanoví (181), že informace uchovávané federálními agenturami musí podléhat bezpečnostním opatřením zajišťujícím fyzickou integritu informací a jejich ochranu před neoprávněným přístupem.

(104)

Na základě federálních zákonných pravomocí, včetně federálního zákona o modernizaci bezpečnosti informací z roku 2014, vypracovaly Úřad pro řízení a rozpočet a Národní institut pro standardy a technologie normy, které jsou pro federální agentury (včetně orgánů pro prosazování trestního práva) závazné a které dále specifikují minimální požadavky na bezpečnost informací, které musí být zavedeny, včetně kontroly přístupu, zajištění informovanosti a školení, plánování pro nepředvídané události, reakce na incidenty, nástrojů pro audit a odpovědnost, zajištění integrity systému a informací, provádění posouzení rizik v oblasti ochrany soukromí a bezpečnosti atd. (182). Kromě toho musí všechny federální agentury (včetně orgánů pro prosazování trestního práva) v souladu s pokyny Úřadu pro řízení a rozpočet udržovat a provádět plán pro řešení případů porušení zabezpečení údajů, a to i pokud jde o reakci na taková porušení a hodnocení rizik vzniku škody (183).

(105)

Pokud jde o uchovávání údajů, zákon o federálních záznamech (184) stanoví, že federální agentury USA (včetně orgánů pro prosazování trestního práva) mají povinnost zavést lhůty pro uchovávání svých záznamů (po jejichž uplynutí musí být tyto záznamy zlikvidovány), které musí schválit Národní správa archivů a záznamů (185). Délka těchto lhůt pro uchovávání je stanovena s ohledem na různé faktory, jako je typ vyšetřování, zda jsou důkazy stále relevantní pro vyšetřování atd. Pokud jde o úřad FBI, pokyny AGG-DOM stanoví, že úřad FBI musí mít takový plán uchovávání záznamů zaveden a musí mít zavedený systém, který může rychle vyhledat stav a podklady pro vyšetřování.

(106)

V neposlední řadě, oběžník OMB č. A-130 obsahuje také určité požadavky na šíření informací umožňujících identifikaci osob. Šíření a zveřejňování informací umožňujících identifikaci osob se musí v zásadě omezovat na to, co je zákonem povolené, podstatné a přiměřeně považované za nezbytné pro řádný výkon funkcí agentury (186). Při sdílení informací umožňujících identifikaci osob s jinými subjekty státní správy musí federální agentury USA v příslušných případech stanovit podmínky (včetně zavedení konkrétních kontrol zabezpečení a ochrany soukromí), které upravují zpracování informací prostřednictvím písemných dohod (včetně smluv, dohod o používání údajů, dohod o výměně informací a memorand o porozumění) (187). Pokud jde o důvody, na jejichž základě mohou být informace šířeny, pokyny AGG-DOM a operační příručka úřadu FBI pro vnitrostátní vyšetřování (188) například stanoví, že úřad FBI může mít právní povinnost tak učinit (např. na základě mezinárodní dohody) nebo smí za určitých okolností informace šířit, např. jiným americkým agenturám, pokud je zveřejnění slučitelné s účelem, pro který byly informace shromážděny, a souvisí s jejich povinnostmi; výborům Kongresu; zahraničním agenturám, pokud informace souvisí s jejich povinnostmi a šíření je v souladu se zájmy Spojených států; šíření je zejména nezbytné k ochraně bezpečnosti osob nebo majetku nebo k ochraně před trestným činem nebo ohrožením národní bezpečnosti nebo k jejich předcházení a zveřejnění je slučitelné s účelem, pro který byly informace shromážděny (189).

(107)

Činnost federálních orgánů pro prosazování trestního práva podléhá dohledu různých orgánů (190). Jak je vysvětleno v 92.–99. bodě odůvodnění, ve většině případů to zahrnuje předběžný dohled soudních orgánů, které musí schválit jednotlivá opatření související se shromažďováním před jejich použitím. Kromě toho na různé fáze činnosti orgánů pro prosazování trestního práva, včetně shromažďování a zpracování osobních údajů, dohlížejí další orgány. Tyto soudní a nesoudní orgány společně zajišťují, že orgány pro prosazování trestního práva podléhají nezávislému dohledu.

(108)

Za prvé, v rámci různých útvarů s odpovědností za prosazování trestního práva existují úředníci pro ochranu soukromí a občanských svobod (191). V závislosti na pověřovacích aktech se konkrétní pravomoci těchto úředníků sice mohou lišit, ale většinou k nim patří dozor nad postupy, aby bylo zajištěno, že dané ministerstvo/agentura přistupuje k ochraně občanských svobod a soukromí adekvátně, že zavedlo/a odpovídající postupy pro řešení stížností fyzických osob, které mají za to, že jejich soukromí nebo občanské svobody byly porušeny. Vedoucí jednotlivých ministerstev nebo agentur musí zajistit, aby úředníci pro ochranu soukromí a občanských svobod měli k dispozici materiály a zdroje pro plnění svých úkolů, aby měli přístup ke všem materiálům a pracovníkům nezbytným pro výkon svých funkcí a aby byli informováni o navrhovaných změnách politiky a aby s nimi byly konzultovány (192). Úředníci pro ochranu soukromí a občanských svobod předkládají Kongresu pravidelné zprávy, mimo jiné o počtu a povaze stížností obdržených ministerstvem/agenturou, a shrnutí o vyřízení těchto stížností, provedených kontrolách a šetřeních a dopadu kroků podniknutých úředníkem (193).

(109)

Za druhé, na činnost Ministerstva spravedlnosti, včetně úřadu FBI, dohlíží nezávislý generální inspektor (194). Generální inspektoři jsou ze zákona nezávislí (195) a odpovídají za provádění nezávislých vyšetřování, auditů a inspekcí programů a činností ministerstva. Mají přístup ke všem záznamům, zprávám, auditům, přezkumům, dokumentům, listinám, doporučením a dalším relevantním materiálům, v případě potřeby i prostřednictvím předvolání, a mohou vyslýchat (196). Generální inspektoři sice vydávají nezávazná doporučení k nápravě, avšak jejich zprávy, včetně zpráv o následných krocích (nebo jejich absenci) (197) se obecně zveřejňují a předkládají Kongresu, který na tomto základě může vykonat svou funkci dohledu (viz 111. bod odůvodnění) (198).

(110)

Za třetí, v rozsahu, v jakém provádějí protiteroristické činnosti, podléhají útvary s odpovědností za prosazování trestního práva dohledu Výboru pro dohled nad ochranou soukromí a občanských svobod (Privacy and Civil Liberties Oversight Board, PCLOB), nezávislé agentury v rámci výkonné moci zahrnující výbor složený z pěti zástupců obou politických stran jmenovaných prezidentem se souhlasem Senátu na pevné období šesti let (199). Podle svého zakládajícího statutu jsou výboru PCLOB svěřeny povinnosti v oblasti protiteroristické politiky a jejího provádění s ohledem na ochranu soukromí a občanských svobod. V rámci přezkumu může tento výbor přistupovat ke všem relevantním záznamům, zprávám, auditům, přezkumům, dokumentům, listinám a doporučením jednotlivých zpravodajských služeb, včetně utajovaných informací, provádět pohovory a vyslýchat svědky (200). Výboru jsou předkládány zprávy úředníků pro otázky ochrany občanských svobod a soukromí několika federálních ministerstev či služeb (201), přičemž výbor může vydávat doporučení orgánům státní správy a donucovacím orgánům, a naopak výbor předkládá pravidelné zprávy výborům Kongresu a prezidentovi (202). Zprávy výboru, včetně těch, které jsou určeny Kongresu, musí být v maximální možné míře zveřejněny (203).

(111)

V neposlední řadě podléhají činnosti v oblasti prosazování trestního práva dohledu zvláštních výborů v Kongresu USA (výbory Sněmovny reprezentantů a Senátu pro justici). Výbory pro justici provádějí pravidelný dohled různými způsoby, zejména prostřednictvím slyšení, vyšetřování, přezkumů a zpráv (204).

(112)

Jak již bylo uvedeno, orgány pro prosazování trestního práva musí ke shromažďování osobních údajů ve většině případů získat předchozí soudní povolení. Ačkoli se to nevyžaduje v případě správních předvolání, jsou tato předvolání omezena na specifické situace a budou podléhat nezávislému soudnímu přezkumu přinejmenším v případech, kdy vláda usiluje o jejich vymáhání u soudu. Zejména příjemci správních předvolání mohou taková předvolání napadnout u soudu pro jejich nepřiměřenost, tj. proto, že jsou příliš široká, represivní nebo zatěžující (205).

(113)

Fyzické osoby mohou v první řadě podat žádost nebo stížnost orgánům pro prosazování trestního práva ohledně nakládání s jejich osobními údaji. To zahrnuje možnost požádat o přístup k osobním údajům a o jejich opravu (206). Pokud jde o činnosti související s bojem proti terorismu, mohou fyzické osoby rovněž podat stížnost úředníkům pro ochranu soukromí a občanských svobod (nebo jiným úředníkům pro ochranu soukromí) v rámci donucovacích orgánů (207).

(114)

Právo USA dále fyzickým osobám poskytuje několik možností soudní nápravy vůči orgánu veřejné moci nebo jeho úředníkovi v případech, kdy tyto orgány zpracovávají osobní údaje (208). Mezi tyto možnosti patří zejména zákon o správním řízení (Administrative Procedure Act, APA), zákon o svobodě informací (Freedom of Information Act, FOIA) a zákon o soukromí elektronických komunikací (Electronic Communications Privacy Act, ECPA), které mohou využít všechny fyzické osoby bez ohledu na jejich státní příslušnost s výhradou některých platných podmínek.

(115)

Obecně podle zákona o správním řízení (209) má „kdokoli, jemuž krok agentury způsobí právní křivdu nebo kdo je krokem agentury negativně postižen nebo poškozen,“ právo domáhat se soudního přezkumu (210). Sem spadá možnost požádat soud, „aby prohlásil za neplatné nebo zrušil krok, zjištění a závěry agentury, které byly shledány [...] aktem svévole či zvůle, zneužitím diskreční pravomoci či jinak v rozporu se zákonem“ (211).

(116)

Konkrétněji pak hlava II zákona ECPA (212) stanoví systém zákonných práv v oblasti soukromí a jako taková upravuje přístup donucovacích orgánů k obsahu telefonních, ústních nebo elektronických komunikací uložených poskytovateli služeb, kteří jsou třetí stranou (213). Trestně postihuje nezákonný (tj. nepovolený soudem nebo jinak nepřípustný) přístup k takovým komunikacím a dává postižené fyzické osobě možnost právní ochrany podáním občanskoprávní žaloby u federálního soudu USA na náhradu škody skutečné a na náhradu škody ve formě sankce, jakož i na vydání přiměřeného nebo deklaratorního nápravného opatření proti úředníkovi vlády, který takové nezákonné činy vědomě spáchal, nebo proti Spojeným státům.

(117)

Několik dalších zákonů dává fyzickým osobám právo žalovat orgán veřejné moci nebo úředníka USA, pokud jde o zpracování osobních údajů, například zákon o odposleších (Wiretap Act) (214), zákon o počítačových podvodech a zneužití počítače (Computer Fraud and Abuse Act) (215), zákon o deliktních žalobách u federálního soudu (Federal Torts Claim Act) (216), zákon o právu na finanční soukromí (Right to Financial Privacy Act) (217) a zákon o spravedlivém informování o úvěrové spolehlivosti (Fair Credit Reporting Act) (218).

(118)

Podle zákona FOIA (219), 5 U.S.C. § 552, má každá osoba právo získat přístup k záznamům federálního úřadu, a to i v případě, že obsahují její osobní údaje. Po vyčerpání správních opravných prostředků se jednotlivec může tohoto práva na přístup dovolávat u soudu, pokud tyto záznamy nejsou chráněny před zveřejněním na základě výjimky nebo zvláštní výjimky pro prosazování práva (220). V takovém případě soud posoudí, zda se některá z výjimek uplatní nebo zda se na ni příslušný orgán veřejné moci oprávněně odvolal.

(119)

Právo Spojených států ukládá různá omezení a záruky v oblasti přístupu k osobním údajům a použití těchto údajů pro účely národní bezpečnosti a stanoví dohledové a nápravné mechanismy, které jsou v souladu s požadavky uvedenými v 89. bodě odůvodnění tohoto rozhodnutí. Podmínky, za kterých lze takový přístup uskutečnit, a záruky týkající se využívání těchto pravomocí jsou podrobně posouzeny v následujících oddílech.

(120)

Osobní údaje předávané z Unie organizacím rámce EU–USA pro ochranu údajů mohou být shromažďovány orgány USA pro účely národní bezpečnosti na základě různých právních nástrojů za zvláštních podmínek a záruk.

(121)

Jakmile organizace nacházející se ve Spojených státech obdrží osobní údaje, mohou zpravodajské služby USA usilovat o přístup k těmto údajům pro účely národní bezpečnosti pouze na základě zákonného oprávnění, konkrétně podle zákona o dohledu nad zahraniční informační službou (Foreign Intelligence Surveillance Act, FISA) anebo zákonných ustanovení umožňujících přístup prostřednictvím tzv. National Security Letters (NSL) (221). Zákon FISA obsahuje několik právních základů, které lze použít pro sběr (a následné zpracování) osobních údajů subjektů údajů z Unie předávaných na základě rámce EU–USA pro ochranu údajů (§ 105 zákona FISA (222), § 302 zákona FISA (223), § 402 zákona FISA (224), § 501 zákona FISA (225) a § 702 zákona FISA (226)), jak je blíže popsáno ve 142.–152. bodě odůvodnění.

(122)

Zpravodajské služby USA mají rovněž možnosti shromažďovat osobní údaje mimo území Spojených států, což může zahrnovat osobní údaje předávané mezi Unií a Spojenými státy. Shromažďování údajů mimo Spojené státy se zakládá na výkonném dekretu č. 12333 (EO 12333) (227), který vydal prezident (228).

(123)

Shromažďování informací prostřednictvím signálového zpravodajství je formou shromažďování zpravodajských informací, která je pro toto zjištění o odpovídající ochraně nejrelevantnější, neboť se týká shromažďování elektronických komunikací a údajů z informačních systémů. Takové shromažďování mohou zpravodajské služby USA provádět jak na území Spojených států (na základě zákona FISA), tak při předávání údajů do Spojených států (na základě výkonného dekretu č. 12333).

(124)

Dne 7. října 2022 vydal prezident USA výkonný dekret č. 14086 o posílení záruk pro signálové zpravodajství Spojených států, který stanovil omezení a záruky pro veškeré činnosti v oblasti signálového zpravodajství USA. Tento výkonný dekret do značné míry nahrazuje prezidentskou politickou směrnici (Presidential Political Directive, PPD-28) (229), posiluje podmínky, omezení a záruky, které se vztahují na všechny činnosti v oblasti signálového zpravodajství (tj. na základě zákona FISA a výkonného dekretu č. 12333) bez ohledu na to, kde se odehrávají (230), a zavádí nový nápravný mechanismus, jehož prostřednictvím se mohou fyzické osoby těchto záruk dovolávat a vymáhat je (231) (podrobněji viz 176. až 194. bod odůvodnění). Tímto způsobem provádí v právu USA výsledek jednání, která proběhla mezi EU a USA po zrušení rozhodnutí Komise o odpovídající ochraně týkající se štítu na ochranu soukromí Soudním dvorem (viz 6. bod odůvodnění). Jedná se proto o obzvláště důležitý prvek právního rámce posuzovaného v tomto rozhodnutí.

(125)

Omezení a záruky zavedené výkonným dekretem č. 14086 doplňují omezení a záruky stanovené v § 702 zákona FISA a výkonném dekretu č. 12333. Požadavky popsané níže (v oddílech 3.2.1.2 a 3.2.1.3) musí zpravodajské služby uplatňovat při zapojení do činností v oblasti signálového zpravodajství podle § 702 zákona FISA a výkonného dekretu č. 12333, např. při výběru/určení kategorií zahraničních zpravodajských informací, které mají být získány podle § 702 zákona FISA; shromažďování informací získaných zahraniční zpravodajskou činností nebo kontrarozvědkou podle výkonného dekretu č. 12333 a při rozhodování o individuálním cíleném sběru podle § 702 zákona FISA a výkonného dekretu č. 12333.

(126)

Požadavky stanovené v tomto výkonném dekretu vydaném prezidentem jsou závazné pro celou zpravodajskou komunitu. Musí být nadále prováděny prostřednictvím politik a postupů služeb, které je promítnou do konkrétních pokynů pro každodenní činnosti. V tomto ohledu poskytuje výkonný dekret č. 14086 zpravodajským službám USA maximálně jeden rok na aktualizaci svých stávajících politik a postupů (tj. do 7. října 2023), aby je uvedly do souladu s požadavky výkonného dekretu. Tyto aktualizované politiky a postupy musí být vypracovány v konzultaci s ministrem spravedlnosti, úředníkem pro ochranu občanských svobod Úřadu ředitele národních zpravodajských služeb (Civil Liberties Protection Officer of the Director of National Intelligence, dále také jako „úředník ODNI CLPO“) a výborem PCLOB – nezávislým orgánem dohledu oprávněným přezkoumávat politiky výkonné moci a jejich provádění s ohledem na ochranu soukromí a občanských svobod (viz 110. bod odůvodnění, pokud jde o úlohu a postavení výboru PCLOB) – a musí být zveřejněny (232). Jakmile budou aktualizované politiky a postupy zavedeny, výbor PCLOB navíc provede přezkum, aby zajistil jejich soulad s výkonným dekretem. Do 180 dnů od dokončení takového přezkumu ze strany výboru PCLOB musí každá zpravodajská služba pečlivě zvážit a provést nebo jinak řešit všechna doporučení výboru PCLOB. Dne 3. července 2023 vláda USA tyto aktualizované politiky a postupy zveřejnila (233).

(127)

Výkonný dekret č. 14086 stanoví řadu zastřešujících požadavků, které se vztahují na všechny činnosti v oblasti signálového zpravodajství (shromažďování, používání, šíření atd. osobních údajů).

(128)

Za prvé, základem pro tyto činnosti musí být zákon nebo povolení prezidentem a musí být prováděny v souladu s právem USA, včetně Ústavy (234).

(129)

Za druhé, musí být zavedena vhodná ochranná opatření, která zajistí, aby soukromí a občanské svobody byly nedílnou součástí plánování takových činností (235).

(130)

Zejména lze jakoukoli činnost v oblasti signálového zpravodajství provádět pouze „po rozhodnutí, že na základě přiměřeného posouzení všech relevantních faktorů jsou tyto činnosti nezbytné k prosazování potvrzené zpravodajské priority“ (pokud jde o pojem „potvrzená zpravodajská priorita“, viz 135. bod odůvodnění) (236).

(131)

Tyto činnosti mohou být kromě toho prováděny pouze „v rozsahu a způsobem, který je přiměřený potvrzené zpravodajské prioritě, pro kterou byly povoleny“ (237). Jinými slovy, musí být dosaženo náležité rovnováhy „mezi významem sledované zpravodajské priority a dopadem na soukromí a občanské svobody dotčených osob bez ohledu na jejich státní příslušnost nebo místo pobytu“ (238).

(132)

A konečně, aby se zajistilo dodržování těchto obecných požadavků – které odrážejí zásady zákonnosti, nezbytnosti a přiměřenosti –, podléhají činnosti v oblasti signálového zpravodajství dohledu (podrobněji viz oddíl 3.2.2) (239).

(133)

Tyto zastřešující požadavky jsou s ohledem na shromažďování informací prostřednictvím signálového zpravodajství dále odůvodněny řadou podmínek a omezení, které zajišťují, že zásahy do práv jednotlivců jsou omezeny na to, co je nezbytné a přiměřené k dosažení legitimního cíle.

(134)

Za prvé, výkonný dekret omezuje důvody, na jejichž základě lze shromažďovat informace prostřednictvím činností v oblasti signálového zpravodajství, dvěma způsoby. Na jedné straně výkonný dekret stanoví legitimní cíle, které lze sledovat shromažďováním informací prostřednictvím signálového zpravodajství, např. pochopení nebo posouzení možností, záměrů nebo činností zahraničních organizací, včetně mezinárodních teroristických organizací, které představují skutečnou nebo potenciální hrozbu pro národní bezpečnost Spojených států; ochrana před zahraničním vojenským potenciálem a činnostmi; pochopení nebo posouzení nadnárodních hrozeb, které mají dopad na globální bezpečnost, jako jsou klimatické a jiné ekologické změny, rizika pro veřejné zdraví a humanitární hrozby (240). Na druhou stranu výkonný dekret přináší výčet určitých cílů, které nesmí být nikdy sledovány prostřednictvím činností v oblasti signálového zpravodajství, např. za účelem umlčení kritiky, nesouhlasu nebo svobodného vyjadřování myšlenek či politických názorů fyzických osob nebo tisku; za účelem znevýhodnění osob na základě jejich etnického původu, rasy, pohlaví, genderové identity, sexuální orientace nebo náboženství; nebo za účelem poskytnutí konkurenční výhody společnostem USA (241).

(135)

Kromě toho se zpravodajské služby nemohou opírat o legitimní cíle stanovené ve výkonném dekretu č. 14086, aby ospravedlnily shromažďování informací prostřednictvím signálového zpravodajství, ale musí je pro operativní účely dále zdůvodnit na základě konkrétnějších priorit, pro které lze informace prostřednictvím signálového zpravodajství shromažďovat. Jinými slovy, skutečné shromažďování může probíhat pouze za účelem dosažení konkrétnější priority. Tyto priority se stanovují prostřednictvím zvláštního procesu, jehož cílem je zajistit soulad s platnými právními požadavky, včetně požadavků týkajících se soukromí a občanských svobod. Konkrétněji řečeno, zpravodajské priority nejprve vypracovává ředitel národních zpravodajských služeb (prostřednictvím tzv. rámce národních zpravodajských priorit) a předkládá je prezidentovi ke schválení (242). Předtím, než ředitel navrhne prezidentovi zpravodajské priority, musí v souladu s výkonným dekretem č. 14086 získat pro každou prioritu posouzení od úředníka ODNI CLPO, zda každá priorita 1) podporuje jeden nebo více legitimních cílů uvedených ve výkonném dekretu; 2) nebyla navržena ani se nepředpokládá, že by vedla ke shromažďování informací prostřednictvím signálového zpravodajství pro zakázané cíle uvedené ve výkonném dekretu, a 3) byla stanovena po náležitém zvážení soukromí a občanských svobod všech osob bez ohledu na jejich státní příslušnost nebo místo pobytu (243). V případě, že ředitel nesouhlasí s posouzením úředníka CLPO, musí být prezidentovi předložena obě stanoviska (244).

(136)

Tento proces proto zejména zajišťuje, aby se hledisko ochrany soukromí zohledňovalo již v počáteční fázi, kdy se vytvářejí zpravodajské priority.

(137)

Za druhé, jakmile je zpravodajská priorita stanovena, řídí se rozhodnutí o tom, zda a v jakém rozsahu lze pro její prosazení shromažďovat informace prostřednictvím signálového zpravodajství, řadou požadavků. Tyto požadavky realizují zastřešující standardy nezbytnosti a přiměřenosti stanovené v ustanovení § 2 písm. a) výkonného dekretu.

(138)

Zejména lze shromažďovat informace prostřednictvím signálového zpravodajství pouze „na základě rozhodnutí, že podle přiměřeného posouzení všech relevantních faktorů je shromažďování nezbytné k dosažení konkrétní zpravodajské priority“ (245). Při určování, zda je konkrétní činnost shromažďování informací prostřednictvím signálového zpravodajství nezbytná k dosažení potvrzené zpravodajské priority, musí zpravodajské agentury USA zvážit dostupnost, proveditelnost a vhodnost jiných, méně invazivních zdrojů a metod, včetně diplomatických a veřejných zdrojů (246). Pokud jsou tyto alternativní, méně rušivé zdroje a metody k dispozici, musí být upřednostněny (247).

(139)

Pokud je při uplatňování těchto kritérií shromažďování informací prostřednictvím signálového zpravodajství považováno za nezbytné, musí být „co nejvíce přizpůsobeno“ a nesmí „nepřiměřeně ovlivňovat soukromí a občanské svobody“ (248). Aby se zajistilo, že soukromí a občanské svobody nebudou nepřiměřeně dotčeny – tj. aby se dosáhlo náležité rovnováhy mezi potřebami národní bezpečnosti a ochranou soukromí a občanských svobod – je třeba řádně zohlednit všechny relevantní faktory, jako je povaha sledovaného cíle; rušivost shromažďování, včetně délky jeho trvání; pravděpodobný přínos shromažďování k dosažení sledovaného cíle; rozumně předvídatelné důsledky pro fyzické osoby a povaha a citlivost shromažďovaných údajů (249).

(140)

Pokud jde o druh shromažďování informací prostřednictvím signálového zpravodajství, shromažďování údajů v rámci Spojených států, které je pro toto zjištění o odpovídající ochraně nejvýznamnější, neboť se týká údajů, které byly předány organizacím v USA, musí být vždy cílené, jak je podrobněji vysvětleno ve 142. až 153. bodě odůvodnění.

(141)

„Hromadné shromažďování“ (250) může probíhat jen mimo území Spojených států, a to na základě výkonného dekretu č. 12333. I v tomto případě je třeba podle výkonného dekretu č. 14086 upřednostnit cílené shromažďování (251). Naopak hromadné shromažďování je povoleno pouze v případě, že informace nezbytné k prosazení potvrzené zpravodajské priority nelze přiměřeně získat cíleným shromažďováním (252). Pokud je nutné provádět hromadné shromažďování údajů mimo Spojené státy, použijí se zvláštní ochranná opatření podle výkonného dekretu č. 14086 (253). Za prvé musí být použity metody a technická opatření, aby se shromážděné údaje omezily pouze na ty, které jsou nezbytné k prosazení potvrzené zpravodajské priority, a zároveň aby se minimalizovalo shromažďování informací, které nejsou relevantní (254). Za druhé, výkonný dekret omezuje použití hromadně shromážděných informací (včetně dotazování) na šest konkrétních cílů, včetně ochrany před terorismem, braní rukojmí a držení zajatců cizí vládou, organizací nebo jinou osobou nebo jejich jménem; ochrany proti zahraniční špionáži, sabotáži nebo atentátu; ochrany před hrozbami vyplývajícími z vývoje, držení nebo šíření zbraní hromadného ničení nebo souvisejících technologií a hrozeb a tak dále (255). A konečně, jakékoliv dotazování na informace shromážděné hromadně prostřednictvím signálového zpravodajství může probíhat pouze v případě, že je to nezbytné k dosažení potvrzené zpravodajské priority, při sledování těchto šesti cílů a v souladu s politikami a postupy, které náležitě zohledňují dopad dotazování na soukromí a občanské svobody všech osob bez ohledu na jejich státní příslušnost nebo místo jejich pobytu (256).

(142)

Kromě požadavků uvedených ve výkonném dekretu č. 14086 podléhá shromažďování údajů, které byly předány organizaci ve Spojených státech, prostřednictvím signálového zpravodajství zvláštním omezením a zárukám podle § 702 zákona FISA (257). Ustanovení § 702 zákona FISA umožňuje shromažďování zahraničních zpravodajských informací cílením na osoby, které nejsou osobami USA a o nichž se lze důvodně domnívat, že se nacházejí mimo Spojené státy, s povinnou součinností poskytovatelů služeb elektronických komunikací z USA (258). Aby bylo možné shromažďovat zahraniční zpravodajské informace podle § 702 zákona FISA, předkládají Ministr spravedlnosti a ředitel národních zpravodajských služeb každoročně Soudu pro uplatňování zákona FISA (FISC) osvědčení, která určují kategorie zahraničních zpravodajských informací, jež mají být získány (259). K osvědčením musí být přiloženy postupy cíleného výběru, minimalizační postupy a postupy dotazování, které rovněž schvaluje soud a které jsou pro zpravodajské služby USA právně závazné.

(143)

Soud pro uplatňování zákona FISA je nezávislý soud (260) zřízený federálním zákonem, proti jehož rozhodnutím se lze odvolat k Odvolacímu soudu pro uplatňování zákona FISA (261) a nakonec k Nejvyššímu soudu Spojených států (262). Soudu pro uplatňování zákona FISA (i Odvolacímu soudu pro uplatňování zákona FISA) je nápomocen stálý panel pěti právníků a pěti odborných znalců se zkušenostmi ve věcech národní bezpečnosti i občanských svobod (263). Z této skupiny soud jmenuje jednu osobu, která bude soudu jako amicus curiae nápomocna při posuzování žádosti o příkaz nebo přezkum, která podle soudu představuje nový nebo významný výklad práva, ledaže soud shledá, že takové jmenování není vhodné (264). Tím se zejména zajistí, aby soud ve svém hodnocení řádně zohledňoval hledisko ochrany soukromí. Soud může také jmenovat fyzickou osobu nebo organizaci, aby soudu jako amicus curiae poskytly například odborný znalecký posudek, je-li to dle názoru soudu vhodné, nebo na návrh fyzické osoby či organizace svolit k přerušení jednání za účelem vypracování posudku (amicus curiae brief) (265).

(144)

Soud pro uplatňování zákona FISA přezkoumává osvědčení a související postupy (zejména postupy cíleného výběru a minimalizace) z hlediska souladu s požadavky zákona FISA. Pokud se domnívá, že požadavky nejsou splněny, může osvědčení zcela nebo zčásti zamítnout a požádat o změnu postupů (266). V tomto ohledu Soud pro uplatňování zákona FISA opakovaně potvrdil, že se jeho přezkum postupů podle § 702 týkajících se cíleného výběru a minimalizace neomezuje pouze na postupy, jak jsou napsány, ale zahrnuje také to, jak vláda tyto postupy provádí (267).

(145)

Jednotlivá rozhodnutí o cíleném sběru provádí Národní bezpečnostní agentura (NSA – zpravodajská agentura odpovědná za cílený sběr podle § 702 zákona FISA) v souladu s postupy cíleného sběru schválenými Soudem pro uplatňování zákona FISA, které stanoví, že agentura NSA má povinnost na základě všech okolností posoudit, zda je pravděpodobné, že se zacílením na konkrétní osobu získá kategorie zahraničních zpravodajských informací uvedená v osvědčení (268). Toto posouzení musí být konkrétní a založené na faktech a vycházet z analytického úsudku, specializovaného odborného vzdělávání a zkušeností analytika, jakož i z povahy zahraničních zpravodajských informací, které mají být získány (269). Cílený sběr se provádí pomocí tzv. selektorů, které identifikují konkrétní komunikační zařízení, jako je e-mailová adresa nebo telefonní číslo cíle, ale nikdy ne klíčová slova nebo jména osob (270).

(146)

Analytici Národní bezpečnostní agentury nejprve identifikují osoby, které nejsou osobami USA a které se nacházejí v zahraničí a jejichž sledování povede na základě posouzení analytiků k zahraničním zpravodajským činnostem, které jsou konkretizovány v osvědčení (271). Jak je stanoveno v postupech cíleného sběru agentury NSA, agentura NSA může zaměřit sledování na cíl pouze tehdy, když se o tomto cíli již něco dozvěděla (272). To může vyplývat z informací z různých zdrojů, například ze zpravodajství lidských zdrojů. Prostřednictvím těchto dalších zdrojů se analytik musí dozvědět také o konkrétním selektoru (tj. komunikačním účtu), který potenciální cíl používá. Jakmile jsou tyto individualizované osoby identifikovány a jejich cílené sledování schváleno rozsáhlým přezkumným mechanismem uvnitř agentury NSA (273), budou „zaúkolovány“ (tj. vyvinuty a použity) selektory identifikující komunikační prostředky (např. e-mailová adresa) používané cíli (274).

(147)

Agentura NSA musí zdokumentovat věcný základ pro výběr cíle (275) a v pravidelných intervalech po prvotním zacílení potvrdit, že standard zacílení je nadále plněn (276). Jakmile přestane být standard zacílení plněn, musí být sběr ukončen (277). Výběr každého cíle ze strany agentury NSA a záznam o každém zaznamenaném posouzení a zdůvodnění zacílení jsou každé dva měsíce přezkoumávány z hlediska souladu s postupy cíleného sběru úředníky úřadů pro dohled nad zpravodajskými službami na Ministerstvu spravedlnosti, kteří jsou povinni oznámit jakékoli porušení Soudu pro uplatňování zákona FISA a Kongresu (278). Písemná dokumentace agentury NSA usnadňuje Soudu pro uplatňování zákona FISA dohled nad tím, zda jsou konkrétní osoby správně zacíleny podle § 702 zákona FISA, v souladu s jeho dozorovými pravomocemi popsanými v 173. až 174. bodě odůvodnění (279). A konečně, ředitel národních zpravodajských služeb je rovněž povinen každoročně informovat o celkovém počtu cílů podle § 702 zákona FISA ve veřejných výročních statistických zprávách o transparentnosti. Společnosti, které dostávají směrnice podle § 702 zákona FISA, mohou zveřejňovat souhrnné údaje (prostřednictvím zpráv o transparentnosti) o žádostech, které obdržely (280).

(148)

Pokud jde o další právní základy pro shromažďování osobních údajů předávaných organizacím v USA, platí jiná omezení a záruky. Obecně platí, že hromadné shromažďování údajů je výslovně zakázáno na základě § 402 zákona FISA (instalace zařízení k záznamu informací o příchozí a odchozí komunikaci) a prostřednictvím National Security Letters, a místo toho je vyžadováno použití konkrétních „selekčních termínů“ (281).

(149)

K provádění tradičního elektronického sledování fyzických osob (podle § 105 zákona FISA) musí zpravodajské služby Soudu pro uplatňování zákona FISA předložit žádost s uvedením skutečností a okolností, které odůvodňují domněnku, že existuje důvodné podezření, že zařízení je využíváno nebo má být využito cizí mocí nebo agentem cizí moci (282). Soud pro uplatňování zákona FISA mimo jiné posoudí, zda na základě předložených skutečností existuje důvodné podezření, že tomu tak opravdu je (283).

(150)

K provedení prohlídky prostor nebo majetku, která má vyústit v kontrolu, zajištění atd. informací, materiálů nebo majetku (např. počítačového zařízení) na základě § 301 zákona FISA, je nutná žádost o vydání příkazu Soudem pro uplatňování zákona FISA (284). Taková žádost musí mimo jiné prokázat, že existuje důvodné podezření, že cílem prohlídky je cizí moc nebo agent cizí moci; že prostor nebo majetek, které mají být prohledány, obsahuje zahraniční zpravodajské informace a že prostor, který má být prohledán, je ve vlastnictví, užívání, držení (agenta) cizí moci nebo je cizí moci/cizí mocí či agentovi/agentem cizí moci předáván (285).

(151)

Stejně tak instalace zařízení pro zaznamenávání informací o příchozí a odchozí komunikaci (podle § 402 zákona FISA) vyžaduje, aby u Soudu pro uplatňování zákona FISA (nebo u magistrátního soudce USA) byla podána žádost o příkaz a aby byl použit specifický selekční termín, tzn. termín, který konkrétně identifikuje osobu, účet atd. a který má v co největší přijatelné míře omezit záběr vyhledávaných informací (286). Tato pravomoc se netýká obsahu komunikací, nýbrž je zaměřena na informace o zákazníkovi či účastníkovi, který službu používá (např. jméno, adresa, účastnické číslo, délka/druh poskytované služby, zdroj/způsob úhrady).

(152)

Ustanovení § 501 zákona FISA (287), které umožňuje shromažďování obchodních záznamů veřejného dopravce (tj. jakékoli osoby nebo subjektu, který za úplatu přepravuje osoby nebo majetek po zemi, po železnici, po vodě nebo vzduchem), veřejného ubytovacího zařízení (např. hotelu, motelu nebo hostince), půjčovny vozidel nebo fyzického skladovacího zařízení (tj. zařízení, které poskytuje prostory pro skladování zboží a materiálu nebo služby související s tímto skladováním) (288), rovněž vyžaduje podání žádosti u Soudu pro uplatňování zákona FISA nebo u magistrátního soudce. V této žádosti musí být uvedeny požadované záznamy a konkrétní a vypovídající skutečnosti, které zakládají důvod se domnívat, že osoba, jíž se záznamy týkají, je cizí mocí nebo agentem cizí moci (289).

(153)

Konečně, National Security Letters jsou povoleny různými zákony a umožňují vyšetřujícím orgánům získat určité informace (bez obsahu komunikace) od určitých subjektů (např. finančních institucí, agentur poskytujících úvěrové informace, poskytovatelů elektronických komunikací) obsažené v úvěrových zprávách, finančních záznamech, elektronickém odběru a transakčních záznamech (290). Zákon o National Security Letters, který povoluje přístup k elektronické komunikaci, může používat pouze úřad FBI a stanoví, že žádosti musí obsahovat termín, který konkrétně identifikuje osobu, subjekt, telefonní číslo nebo účet, a potvrzení, že informace jsou relevantní pro povolené vyšetřování v oblasti národní bezpečnosti za účelem ochrany před mezinárodním terorismem nebo nezákonnými zpravodajskými činnostmi (291). Příjemci National Security Letters mají právo napadnout je u soudu (292).

(154)

Zpracování osobních údajů shromážděných zpravodajskými službami USA prostřednictvím signálového zpravodajství podléhá řadě záruk.

(155)

Za prvé, každá zpravodajská služba musí zajistit odpovídající zabezpečení údajů a zabránit přístupu neoprávněných osob k osobním údajům shromážděným prostřednictvím signálového zpravodajství. V tomto ohledu různé nástroje, včetně zákonů, pokynů a norem, dále specifikují minimální požadavky na zabezpečení informací, které musí být zavedeny (např. vícefaktorové ověřování, šifrování atd.) (293). Přístup ke shromážděným údajům musí být omezen na oprávněné, vyškolené pracovníky, pro které je znalost informací nezbytná pro plnění jejich úkolů (294). V obecnějším smyslu musí zpravodajské služby svým zaměstnancům poskytnout odpovídající školení, včetně školení v oblasti postupů pro podávání zpráv a řešení porušení zákona (včetně výkonného dekretu č. 14086) (295).

(156)

Za druhé, zpravodajské služby musí dodržovat standardy zpravodajského společenství pro přesnost a objektivitu, zejména pokud jde o zajištění kvality a spolehlivosti údajů, zohlednění alternativních zdrojů informací a objektivitu při provádění analýz (296).

(157)

Za třetí, pokud jde o uchovávání údajů, výkonný dekret č. 14086 objasňuje, že osobní údaje osob, které nejsou osobami USA, podléhají stejným lhůtám uchovávání jako údaje osob USA (297). Zpravodajské služby musí definovat konkrétní lhůty uchovávání a/nebo faktory, které je třeba vzít v úvahu při určování délky použitelných lhůt uchovávání (např. zda jsou informace důkazem trestného činu; zda informace představují zahraniční zpravodajské informace; zda jsou informace potřebné k ochraně bezpečnosti osob nebo organizací, včetně obětí nebo cílů mezinárodního terorismu), které jsou stanoveny v různých právních nástrojích (298).

(158)

Za čtvrté, pokud jde o šíření osobních údajů shromážděných prostřednictvím signálového zpravodajství, platí zvláštní pravidla. Obecně platí, že osobní údaje o osobách, které nejsou osobami USA, mohou být šířeny pouze v případě, že se jedná o stejný druh informací, které mohou být šířeny o osobách USA, např. informace potřebné k ochraně bezpečnosti určité osoby nebo organizace (např. cíle, oběti nebo rukojmí mezinárodních teroristických organizací) (299). Osobní údaje navíc nelze šířit pouze z důvodu státní příslušnosti nebo země pobytu osoby nebo za účelem obejití požadavků výkonného dekretu č. 14086 (300). K šíření v rámci vlády USA může dojít pouze v případě, že oprávněná a vyškolená osoba se důvodně domnívá, že příjemce má potřebu informace znát (301) a bude je náležitě chránit (302). Pro určení, zda lze osobní údaje šířit příjemcům mimo vládu USA (včetně zahraniční vlády nebo mezinárodní organizace), je třeba vzít v úvahu účel šíření, povahu a rozsah šířených údajů a možnost škodlivého dopadu na dotčenou osobu (osoby) (303).

(159)

A konečně, mimo jiné i proto, aby se usnadnil dohled nad dodržováním platných právních požadavků, jakož i účinná náprava, je každá zpravodajská služba povinna podle výkonného dekretu č. 14086 vést příslušnou dokumentaci o shromažďování informací prostřednictvím signálového zpravodajství. Požadavky na dokumentaci zahrnují takové prvky, jako je faktický základ pro posouzení, že určitá sběrná činnost je nezbytná k dosažení potvrzené zpravodajské priority (304).

(160)

Kromě výše uvedených záruk vyplývajících z výkonného dekretu č. 14086 pro používání informací shromážděných prostřednictvím signálového zpravodajství podléhají všechny zpravodajské služby USA obecnějším požadavkům na účelové omezení, minimalizaci, přesnost, zabezpečení, uchovávání a šíření údajů, které vyplývají zejména z oběžníku OMB č. A-130, zákona o elektronické veřejné správě, zákona o federálních záznamech (viz 101.–106. bod odůvodnění) a pokynů Výboru pro národní bezpečnostní systémy (Committee on National Security Systems (dále také jako „výbor CNSS“)) (305).

(161)

Činnost zpravodajských služeb USA podléhá dohledu různých orgánů.

(162)

Za prvé, výkonný dekret č. 14086 stanoví, že každá zpravodajská služba musí mít právní úředníky na vyšší úrovni a úředníky pro dohled a dodržování předpisů, kteří zajistí dodržování platných právních předpisů USA (306). Musí zejména provádět pravidelný dohled nad činnostmi v oblasti signálového zpravodajství a zajišťovat nápravu jakéhokoli nedodržení předpisů. Zpravodajské služby musí těmto úředníkům umožnit přístup ke všem relevantním informacím, aby mohli vykonávat své funkce dohledu, a nesmějí podnikat žádné kroky, které by bránily jejich činnostem dohledu nebo je nepřiměřeně ovlivňovaly (307). Každý závažný případ nedodržení předpisů (308) zjištěný úředníkem pro dohled nebo jiným zaměstnancem musí být kromě toho neprodleně oznámen vedoucímu zpravodajské služby a řediteli národních zpravodajských služeb, kteří musí zajistit, aby byla přijata veškerá nezbytná opatření k nápravě a zabránění opakování závažného případu nedodržení předpisů (309).

(163)

Tuto funkci dohledu plní úředníci s určenou funkcí v oblasti dodržování předpisů, jakož i úředníci pro ochranu soukromí a občanských svobod a generální inspektoři (310).

(164)

Stejně jako v případě orgánů pro prosazování trestního práva existují úředníci pro ochranu soukromí a občanských svobod ve všech zpravodajských službách (311). K pravomocem těchto úředníků většinou patří dozor nad postupy, aby bylo zajištěno, že dané ministerstvo/služba přistupuje k ochraně občanských svobod a soukromí adekvátně a že zavedlo/zavedla odpovídající postupy pro řešení stížností fyzických osob, které mají za to, že jejich soukromí nebo občanské svobody byly porušeny (a v některých případech, např. jako Úřad ředitele národních zpravodajských služeb (Office of the Director of National Intelligence, dále také jako „úřad ODNI“), mohou mít sami pravomoc stížnosti prošetřovat (312)). Vedoucí zpravodajských služeb musí zajistit, aby úředníci pro ochranu soukromí a občanských svobod měli k dispozici zdroje pro plnění svých úkolů, aby měli přístup ke všem materiálům a pracovníkům nezbytným pro výkon svých funkcí a aby byli informováni o navrhovaných změnách politiky a aby s nimi byly konzultovány (313). Úředníci pro ochranu soukromí a občanských svobod předkládají Kongresu a výboru PCLOB pravidelné zprávy, mimo jiné o počtu a povaze stížností obdržených ministerstvem/službou, se shrnutím o vyřízení těchto stížností, provedených kontrolách a šetřeních a dopadu kroků podniknutých úředníkem (314).

(165)

Za druhé, každá zpravodajská služba má nezávislého generálního inspektora, do jehož popisu práce patří mimo jiné dohled nad zahraniční zpravodajskou činností. Sem patří odbor generálního inspektora zpravodajské komunity v rámci úřadu ODNI, kterému je svěřena všeobecná pravomoc nad celou zpravodajskou komunitou a který je oprávněn šetřit stížnosti nebo informace týkající se údajného nezákonného jednání či zneužití pravomoci v souvislosti s programy či činnostmi úřadu ODNI a/nebo zpravodajské komunity (315). Stejně jako v případě orgánů pro prosazování trestního práva (viz 109. bod odůvodnění) jsou tito generální inspektoři ze zákona nezávislí (316) a odpovědní za provádění auditů a vyšetřování týkajících se programů a operací prováděných příslušnou službou pro účely národního zpravodajství, a to i pokud jde o zneužití nebo porušení zákona (317). Mají přístup ke všem záznamům, zprávám, auditům, přezkumům, dokumentům, listinám, doporučením a dalším relevantním materiálům, v případě potřeby i prostřednictvím předvolání, a mohou vyslýchat (318). Generální inspektoři předávají případy podezření na trestné činy k trestnímu stíhání a předkládají vedoucím služeb doporučení k nápravě (319). Zatímco jejich doporučení jsou nezávazná, jejich zprávy, včetně zpráv o následných krocích (nebo jejich absenci) (320) se obecně zveřejňují a předkládají Kongresu, který na tomto základě může vykonat svou funkci dohledu (viz 168.–169. bod odůvodnění) (321).

(166)

Za třetí, Výbor pro dohled nad zpravodajstvím, který je zřízený v rámci Poradního výboru prezidenta pro zpravodajství, dohlíží na to, jak a zda zpravodajské orgány USA dodržují Ústavu USA a veškeré platné předpisy (322). Poradní výbor prezidenta pro zpravodajství je poradní orgán v rámci výkonné kanceláře prezidenta, který se skládá ze šestnácti členů jmenovaných prezidentem z řad osob mimo vládu USA. Výbor pro dohled nad zpravodajstvím se skládá nejvýše z pěti členů jmenovaných prezidentem z řad členů Poradního výboru prezidenta pro zpravodajství. Podle výkonného dekretu č. 12333 (323) jsou vedoucí všech zpravodajských služeb povinni hlásit Výboru pro dohled nad zpravodajstvím jakoukoli zpravodajskou činnost, u níž existuje důvodné podezření, že by mohla být nezákonná nebo v rozporu s výkonným dekretem nebo prezidentskou směrnicí. Aby se zajistilo, že Výbor pro dohled nad zpravodajstvím bude mít přístup k informacím nezbytným pro výkon svých funkcí, nařizuje výkonný dekret č. 13462 řediteli Národního zpravodajství a vedoucím zpravodajských služeb, aby poskytovali veškeré informace a součinnost, jež Výbor pro dohled nad zpravodajstvím určí jako potřebné pro výkon svých funkcí, a to v rozsahu povoleném zákonem (324). Výbor pro dohled nad zpravodajstvím je zase povinen informovat prezidenta o zpravodajských činnostech, o nichž se domnívá, že mohou být v rozporu se zákony USA (včetně výkonných dekretů) a že se jimi ministr spravedlnosti, ředitel národního zpravodajství nebo vedoucí zpravodajské služby dostatečně nezabývají (325). Výbor pro dohled nad zpravodajstvím je kromě toho povinen informovat ministra spravedlnosti o možném porušení trestního práva.

(167)

Za čtvrté, zpravodajské služby podléhají dohledu ze strany výboru PCLOB. Podle jeho zakládajícího statutu jsou výboru PCLOB svěřeny povinnosti v oblasti protiteroristické politiky a jejího provádění s ohledem na ochranu soukromí a občanských svobod. V rámci přezkumu činnosti zpravodajských služeb může tento výbor přistupovat ke všem relevantním záznamům, zprávám, auditům, přezkumům, dokumentům, listinám a doporučením jednotlivých zpravodajských služeb, včetně utajovaných informací, provádět pohovory a vyslýchat svědky (326). Výboru jsou předkládány zprávy úředníků pro otázky ochrany občanských svobod a soukromí několika federálních ministerstev či služeb (327), přičemž výbor může vydávat doporučení orgánům státní správy a zpravodajským službám, a naopak výbor předkládá pravidelné zprávy výborům Kongresu a prezidentovi (328). Zprávy výboru, včetně těch, které jsou určeny Kongresu, musí být v maximální možné míře zveřejněny (329). Výbor PCLOB vydal několik zpráv o dohledu a následných opatřeních, včetně analýzy programů prováděných na základě § 702 zákona FISA a v této souvislosti i ochrany soukromí, provádění směrnice PPD 28 a výkonného dekretu č. 12333 (330). Výbor PCLOB je rovněž pověřen výkonem zvláštních funkcí dohledu, pokud jde o provádění výkonného dekretu č. 14086, zejména přezkoumáváním, zda jsou postupy zpravodajských služeb v souladu s výkonným dekretem (viz 126. bod odůvodnění), a hodnocením fungování nápravného mechanismu (viz 194. bod odůvodnění).

(168)

Za páté, kromě těchto mechanismů dohledu v rámci výkonné moci mají odpovědnost za dohled nad veškerou zahraniční zpravodajskou činností USA zvláštní výbory Kongresu USA (výbory Sněmovny reprezentantů a Senátu pro zpravodajství a pro justici). Členové těchto výborů mají přístup k utajovaným informacím i ke zpravodajským metodám a programům (331). Výbory vykonávají dohled různými způsoby, zejména prostřednictvím slyšení, vyšetřování, přezkumů a zpráv (332).

(169)

Výbory Kongresu dostávají pravidelné zprávy o zpravodajské činnosti, mimo jiné od ministra spravedlnosti, ředitele národních zpravodajských služeb, zpravodajských služeb a dalších orgánů dohledu (např. generálních inspektorů), viz 164. až 165. bod odůvodnění. Konkrétně podle zákona o národní bezpečnosti (National Security Act) „[p]rezident zajistí, aby výbory Kongresu pro zpravodajství byly plně a aktuálně informovány o zpravodajské činnosti Spojených států, včetně o veškeré významné očekávané zpravodajské činnosti, jak je stanoveno v této podkapitole“ (333). Kromě toho „[p]rezident zajistí, aby byly výbory Kongresu pro zpravodajství bezodkladně informovány o veškeré nelegální zpravodajské činnosti i o nápravných opatřeních, jež byla nebo mají být přijata v souvislosti s touto nelegální činností“ (334).

(170)

Ze zvláštních zákonů nadto vyplývají další požadavky na podávání zpráv. Podle zákona FISA je ministr spravedlnosti zejména povinen „plně informovat“ výbory Senátu a Sněmovny reprezentantů pro zpravodajství a pro justici o činnostech vlády podle určitých paragrafů tohoto zákona (335). Vláda je podle tohoto zákona dále povinna těmto výborům Kongresu předkládat kopie veškerých rozhodnutí, příkazů či stanovisek Soudu pro uplatňování zákona FISA nebo Odvolacího soudu pro uplatňování zákona FISA, které obsahují „významný výklad či interpretaci“ ustanovení zákona FISA. Pokud jde o sledování podle § 702 zákona FISA, probíhá parlamentní dohled formou povinných hlášení výborům Kongresu pro zpravodajství a pro justici a častých brífinků a slyšení. Patří k nim pololetní zpráva ministra spravedlnosti o používání § 702 zákona FISA s podkladovými dokumenty, včetně zpráv Ministerstva spravedlnosti a Úřadu ředitele národních zpravodajských služeb o dodržování předpisů a popisu všech případů nesouladu (336), a samostatné pololetní hodnocení ministra spravedlnosti a ředitele národních zpravodajských služeb o dodržování postupů cíleného sběru a minimalizace (337).

(171)

Podle zákona FISA musí vláda USA kromě toho každý rok Kongresu (a veřejnosti) oznamovat počet příkazů vyžádaných a obdržených podle zákona FISA a mimo jiné odhad počtu osob USA a osob, které nejsou osobami USA, které se staly cílem sledování (338). Zákon dále stanoví povinnost zveřejňovat počty vydaných National Security Letters, a to opět jak u osob USA, tak u osob, které nejsou osobami USA (přičemž adresátům příkazů a osvědčení podle zákona FISA i žádostí na základě National Security Letters dovoluje za určitých podmínek vydávat zprávy o transparentnosti) (339).

(172)

Zpravodajská komunita vyvíjí různé snahy o zajištění transparentnosti svých (zahraničních) zpravodajských činností. Například v roce 2015 úřad ODNI přijal Zásady transparentnosti zpravodajských služeb a Plán provádění transparentnosti a nařídil každé zpravodajské službě, aby jmenovala úředníka pro transparentnost zpravodajských služeb, který bude podporovat transparentnost a vést iniciativy v oblasti transparentnosti (340). V rámci těchto snah zpravodajská komunita zveřejnila a nadále zveřejňuje odtajněné části politik, postupů, zpráv o dohledu, zpráv o činnostech podle § 702 zákona FISA a výkonného dekretu č. 12333, rozhodnutí Soudu pro uplatňování zákona FISA a další materiály, a to i na specializované internetové stránce „IC on the Record“, kterou spravuje úřad ODNI (341).

(173)

A konečně, shromažďování osobních údajů podle § 702 zákona FISA podléhá kromě kontroly ze strany orgánů dohledu uvedených v 162. až 168. bodě odůvodnění také dohledu ze strany Soudu pro uplatňování zákona FISA (342). Podle pravidla č. 13 jednacího řádu Soudu pro uplatňování zákona FISA jsou pracovníci odpovědní za dodržování předpisů ve zpravodajských službách USA povinni hlásit veškerá porušení postupů cílení, minimalizace a dotazování podle § 702 zákona FISA Ministerstvu spravedlnosti a úřadu ODNI, které je následně hlásí Soudu pro uplatňování zákona FISA. Kromě toho Ministerstvo spravedlnosti a úřad ODNI předkládají Soudu pro uplatňování zákona FISA pololetní společné hodnotící zprávy o dohledu, které identifikují trendy v oblasti dodržování postupů cíleného sběru; poskytují statistické údaje; popisují kategorie incidentů týkajících se dodržování předpisů; podrobně popisují důvody, proč došlo k určitým incidentům v oblasti dodržování předpisů o cíleném sběru, a uvádějí opatření, která zpravodajské služby přijaly, aby se zabránilo jejich opakování (343).

(174)

V případě potřeby (např. pokud je zjištěno porušení postupů cíleného sběru) může Soud nařídit příslušné zpravodajské službě, aby přijala opatření k nápravě (344). Příslušná nápravná opatření mohou být v rozsahu od individuálních až po strukturální opatření, např. od ukončení získávání údajů a vymazání nezákonně získaných údajů až po změnu praxe shromažďování údajů, včetně pokynů a školení pro zaměstnance (345). Kromě toho Soud pro uplatňování zákona FISA při každoročním přezkumu osvědčení podle § 702 posuzuje případy nedodržení předpisů, aby určil, zda jsou předložená osvědčení v souladu s požadavky zákona FISA. Stejně tak, pokud Soud pro uplatňování zákona FISA zjistí, že vládní osvědčení nebyla dostatečná, a to i z důvodu konkrétních případů nedodržování předpisů, může vydat tzv. příkaz k odstranění nedostatků, který vládě ukládá, aby do 30 dnů porušení napravila, nebo jí ukládá, aby osvědčení podle § 702 přestala nebo nezačala provádět. V neposlední řadě Soud pro uplatňování zákona FISA posuzuje trendy, které v otázkách dodržování předpisů pozoruje, a může požadovat změny postupů nebo dodatečný dohled a podávání zpráv, aby se trendy v dodržování předpisů řešily (346).

(175)

Jak je podrobněji vysvětleno v tomto oddíle, ve Spojených státech existuje řada možností, jak subjektům údajů Unie umožnit podat žalobu k nezávislému a nestrannému soudu se závaznými pravomocemi. Společně umožňují fyzickým osobám získat přístup ke svým osobním údajům, nechat přezkoumat zákonnost přístupu vlády k jejich údajům a v případě zjištění porušení zajistit nápravu tohoto porušení, včetně opravy nebo výmazu jejich osobních údajů.

(176)

Za prvé, podle výkonného dekretu č. 14086, doplněného nařízením ministra spravedlnosti, kterým se zřizuje Soud pro přezkum ochrany údajů, je zřízen zvláštní nápravný mechanismus, který se zabývá stížnostmi fyzických osob týkajícími se činností v oblasti signálového zpravodajství USA a řeší je. Každá fyzická osoba v EU je oprávněna podat nápravnému mechanismu stížnost týkající se údajného porušení právních předpisů USA upravujících činnosti v oblasti signálového zpravodajství (např. výkonného dekretu č. 14086, § 702 zákona FISA, výkonného dekretu č. 12333), které negativně postihuje její zájmy v oblasti soukromí a občanských svobod (347). Tento nápravný mechanismus je k dispozici osobám ze zemí nebo organizací regionální hospodářské integrace, které ministr spravedlnosti USA určil jako „kvalifikované státy“ (348). Dne 30. června 2023 byly Evropská unie a tři země Evropského sdružení volného obchodu, které společně tvoří Evropský hospodářský prostor, ministrem spravedlnosti podle § 3 písm. f) výkonného dekretu č. 14086 označeny za „kvalifikovaný stát“ (349). Tímto označením není dotčen čl. 4 odst. 2 Smlouvy o Evropské unii.

(177)

Subjekt údajů v Unii, který si přeje podat takovou stížnost, ji musí podat dozorovému úřadu v členském státě EU, který je příslušný pro dohled nad zpracováním osobních údajů orgány veřejné moci (350) (úřad pro ochranu osobních údajů). Tím je zajištěn snadný přístup k nápravnému mechanismu, neboť se fyzické osoby mohou obrátit na orgán „v blízkosti svého domova“, s nímž mohou komunikovat ve svém vlastním jazyce. Poté, co se ověří splnění požadavků pro podání stížnosti uvedených ve 178. bodě odůvodnění, předá příslušný úřad pro ochranu osobních údajů stížnost – prostřednictvím sekretariátu Evropského sboru pro ochranu osobních údajů – nápravnému mechanismu.

(178)

Podání stížnosti k nápravnému mechanismu podléhá omezeným požadavkům na přípustnost, neboť fyzické osoby nemusí prokazovat, že jejich údaje byly skutečně předmětem činností v oblasti signálového zpravodajství USA (351). Aby nápravný mechanismus mohl zahájit přezkum, je třeba současně poskytnout určité základní informace, např. o osobních údajích, o nichž se důvodně předpokládá, že byly předány do USA, a o prostředcích, kterými se předpokládá, že byly předány; o totožnosti subjektů vlády USA, o nichž se předpokládá, že se podílely na údajném porušení (pokud jsou známy); o důvodech podporujících tvrzení, že došlo k porušení právních předpisů USA (ačkoli to opět nevyžaduje prokázání, že osobní údaje byly skutečně shromážděny zpravodajskými službami USA), a o povaze požadované nápravy.

(179)

Prvotní šetření stížností předložených tomuto nápravnému mechanismu provádí úředník ODNI CLPO, jehož stávající zákonná úloha a pravomoci byly rozšířeny o tyto konkrétní kroky přijímané podle výkonného dekretu č. 14086 (352). V rámci zpravodajské komunity je úředník CLPO mimo jiné odpovědný za zajištění toho, aby ochrana občanských svobod a soukromí byla vhodně začleněna do politik a postupů úřadu ODNI a zpravodajských služeb; za dohled nad dodržováním příslušných požadavků na občanské svobody a soukromí ze strany úřadu ODNI a za provádění posouzení dopadu na soukromí (353). Úředníka CLPO ODNI může odvolat pouze ředitel národních zpravodajských služeb na základě zákonného důvodu, tj. v případě pochybení, nesprávného postupu, porušení bezpečnosti, zanedbání povinností nebo nezpůsobilosti (354).

(180)

Při provádění přezkumu má úředník CLPO ODNI pro účely svého posouzení přístup k informacím a může se opírat o povinnou součinnost úředníků pro ochranu soukromí a občanských svobod v různých zpravodajských službách (355). Zpravodajské služby mají zakázáno bránit přezkumu prováděnému úředníkem ODNI CLPO nebo jej nepřiměřeně narušovat. To se týká i ředitele národních zpravodajských služeb, který nesmí do přezkumu zasahovat (356). Při přezkoumávání stížnosti musí úředník ODNI CLPO „uplatňovat zákon nestranně“ s přihlédnutím jak k zájmům národní bezpečnosti v rámci činností v oblasti signálového zpravodajství, tak k ochraně soukromí (357).

(181)

V rámci svého přezkumu úředník ODNI CLPO určí, zda došlo k porušení platných právních předpisů USA, a pokud ano, rozhodne o vhodné nápravě (358). Ta se týká opatření, která plně napravují zjištěné porušení, jako je ukončení nezákonného získávání údajů, vymazání nezákonně shromážděných údajů, vymazání výsledků nepatřičně provedených dotazů na jinak zákonně shromážděné údaje, omezení přístupu k zákonně shromážděným údajům na příslušně vyškolený personál nebo stažení zpravodajských zpráv obsahujících údaje, které byly získány bez zákonného oprávnění nebo které byly nezákonně šířeny (359). Rozhodnutí úředníka ODNI CLPO o jednotlivých stížnostech (včetně nápravy) jsou pro dotčené zpravodajské služby závazná (360).

(182)

Úředník ODNI CLPO musí vést dokumentaci o svém přezkumu a vypracovat rozhodnutí v důvěrném režimu, v němž vysvětlí základ pro svá skutková zjištění, uvede, zda k dotčenému porušení došlo, a stanoví vhodnou nápravu (361). Pokud přezkum provedený úředníkem ODNI CLPO odhalí porušení některého z oprávnění podléhajících dohledu Soudu pro uplatňování zákona FISA, musí úředník CLPO rovněž předložit zprávu v důvěrném režimu náměstku ministra spravedlnosti pro národní bezpečnost, který je následně povinen oznámit nedodržení Soudu pro uplatňování zákona FISA, který může přijmout další donucovací opatření (v souladu s postupem popsaným v 173. až 174. bodě odůvodnění) (362).

(183)

Po dokončení přezkumu úředník ODNI CLPO informuje prostřednictvím vnitrostátního orgánu stěžovatele, že „v přezkumu buď nebylo zjištěno žádné dotčené porušení, nebo že úředník ODNI CLPO vydal rozhodnutí, ve kterém je stanovena povinnost vyžadující vhodnou nápravu“ (363). To umožňuje chránit důvěrnost činností prováděných za účelem ochrany národní bezpečnosti a zároveň poskytnout fyzickým osobám rozhodnutí potvrzující, že jejich stížnost byla řádně prošetřena a vyřízena. Proti tomuto rozhodnutí se navíc může fyzická osoba odvolat. Za tímto účelem bude stěžovatel informován o možnosti podat odvolání k Soudu pro přezkum ochrany údajů, aby přezkoumal rozhodnutí úředníka CLPO (viz 184. a další body odůvodnění), a o tom, že v případě, že by bylo odvolání k soudu podáno, bude vybrán zvláštní advokát, který bude hájit zájmy stěžovatele (364).

(184)

Každý stěžovatel, stejně jako každá složka zpravodajské komunity, může požádat o přezkum rozhodnutí úředníka ODNI CLPO u Soudu pro přezkum ochrany údajů. Takové žádosti o přezkum musí být podány do 60 dnů od přijetí oznámení úředníka ODNI CLPO, že jeho přezkum je ukončen, a musí obsahovat veškeré informace, které chce fyzická osoba Soudu pro přezkum ochrany údajů poskytnout (např. argumenty týkající se právních otázek nebo použití právních předpisů na skutkové okolnosti případu) (365). Subjekty údajů z Unie mohou své žádosti podávat opět příslušnému úřadu pro ochranu osobních údajů (viz 177. bod odůvodnění).

(185)

Soudu pro přezkum ochrany údajů je nezávislý soud zřízený ministrem spravedlnosti na základě výkonného dekretu č. 14086 (366). Skládá se z nejméně šesti soudců, které jmenuje ministr spravedlnosti po konzultaci s výborem PCLOB, ministrem obchodu a ředitelem národních zpravodajských služeb na čtyřleté funkční období, které lze prodloužit (367). Při jmenování soudců ministrem spravedlnosti se vychází z kritérií, která výkonná moc používá při posuzování kandidátů na federální soudce, přičemž se přihlíží k případným předchozím soudním zkušenostem (368). Soudci musí být kromě toho praktikující právní odborníci (tj. aktivní členové komory s dobrou pověstí a řádně oprávněni k výkonu právnické praxe) a musí mít odpovídající zkušenosti v oblasti práva na ochranu soukromí a národní bezpečnosti. Ministr spravedlnosti musí usilovat o to, aby alespoň polovina soudců měla předchozí soudní praxi, a všichni soudci musí mít bezpečnostní prověrku, aby mohli mít přístup k utajovaným informacím týkajícím se národní bezpečnosti (369).

(186)

Do funkce k Soudu pro přezkum ochrany údajů mohou být jmenovány pouze fyzické osoby, které splňují kvalifikační požadavky uvedené ve 185. bodě odůvodnění a nejsou zaměstnanci výkonné moci v době svého jmenování ani těmito zaměstnanci v předchozích dvou letech nebyly. Stejně tak nesmí mít soudci během svého funkčního období u Soudu pro přezkum ochrany údajů žádné úřední povinnosti ani pracovní poměr u vládních orgánů USA (kromě funkce soudce u Soudu pro přezkum ochrany údajů) (370).

(187)

Nezávislost rozhodovacího procesu je zajištěna řadou záruk. Zejména je zakázáno, aby výkonná moc (ministr spravedlnosti a zpravodajské služby) zasahovala do přezkumu Soudu pro přezkum ochrany údajů nebo jej nepřiměřeně narušovala (371). Samotný Soud pro přezkum ochrany údajů je povinen rozhodovat případy nestranně (372), přičemž se řídí vlastním jednacím řádem (přijatým většinou hlasů). Soudce Soudu pro přezkum ochrany údajů může kromě toho odvolat pouze ministr spravedlnosti, a to pouze na základě zákonného důvodu (tj. v případě pochybení, nesprávného postupu, narušení bezpečnosti, zanedbání povinností nebo nezpůsobilosti), a to po řádném zohlednění norem platných pro federální soudce, které jsou stanoveny v pravidlech pro řízení týkající se chování soudců a jejich nezpůsobilosti (373).

(188)

Žádosti k Soudu pro přezkum ochrany údajů posuzují senáty složené ze tří soudců, včetně předsedy, kteří musí jednat v souladu s Kodexem chování pro soudce USA (374). Každému senátu je nápomocen zvláštní advokát (375), který má přístup ke všem informacím týkajícím se případu, včetně utajovaných informací (376). Úkolem zvláštního advokáta je zajistit, aby byly zastoupeny zájmy stěžovatele a aby byl senát Soudu pro přezkum ochrany údajů dobře informován o všech relevantních právních a skutkových otázkách (377). Zvláštní advokát může za účelem získání bližších informací pro své stanovisko ohledně žádosti o přezkum podané fyzickou osobou Soudu pro přezkum ochrany údajů požádat stěžovatele o informace prostřednictvím písemných otázek (378).

(189)

Soud pro přezkum ochrany údajů přezkoumává rozhodnutí učiněná úředníkem ODNI CLPO (jak pokud jde o to, zda došlo k porušení platných právních předpisů USA, tak pokud jde o vhodnou nápravu), a to minimálně na základě záznamu z šetření provedeného úředníkem ODNI CLPO, jakož i na základě veškerých informací a podání poskytnutých stěžovatelem, zvláštním advokátem nebo zpravodajskou službou (379). Senát Soudu pro přezkum ochrany údajů má přístup ke všem informacím potřebným k provedení přezkumu, které může získat prostřednictvím úředníka ODNI CLPO (senát může např. požádat úředníka CLPO o doplnění jeho záznamu o další informace nebo skutková zjištění, pokud je to pro provedení přezkumu nezbytné) (380).

(190)

Při zpracování závěrů přezkumu může Soud pro přezkum ochrany údajů 1) rozhodnout, že neexistují důkazy, které by naznačovaly, že došlo k činnostem v oblasti signálového zpravodajství zahrnujícím osobní údaje stěžovatele, 2) rozhodnout, že zjištění úředníka ODNI CLPO byla právně správná a podložena přesvědčivými důkazy, nebo 3) vydat vlastní rozhodnutí, pokud nesouhlasí se zjištěními úředníka ODNI CLPO (ohledně toho, zda došlo k porušení platných právních předpisů USA, nebo ohledně vhodné nápravy) (381).

(191)

V každém případě Soud pro přezkum ochrany údajů přijímá písemné rozhodnutí většinou hlasů. V případě, že přezkum odhalí porušení platných pravidel, v rozhodnutí se uvede případná vhodná náprava, která zahrnuje vymazání nezákonně shromážděných údajů, vymazání výsledků nepatřičně provedených dotazů, omezení přístupu k zákonně shromážděným údajům na příslušně vyškolený personál nebo stažení zpravodajských zpráv obsahujících údaje, které byly získány bez zákonného oprávnění nebo které byly nezákonně šířeny (382). Rozhodnutí Soudu pro přezkum ochrany údajů je závazné a pravomocné, pokud jde o stížnost, která mu byla předložena (383). Pokud přezkum odhalí porušení některého z oprávnění podléhajících dohledu Soudu pro uplatňování zákona FISA, musí Soud pro přezkum ochrany údajů rovněž předložit zprávu v důvěrném režimu náměstku ministra spravedlnosti pro národní bezpečnost, který je následně povinen oznámit nedodržení Soudu pro uplatňování zákona FISA, který může přijmout další donucovací opatření (v souladu s postupem popsaným ve 173. až 174. bodě odůvodnění) (384).

(192)

Každé rozhodnutí senátu Soudu pro přezkum ochrany údajů je předáno úředníkovi ODNI CLPO (385). V případech, kdy byl přezkum Soudu pro přezkum ochrany údajů zahájen na základě žádosti stěžovatele, je stěžovatel prostřednictvím vnitrostátního orgánu vyrozuměn o tom, že Soud pro přezkum ochrany údajů přezkum ukončil a že „v přezkumu buď nebylo zjištěno žádné dotčené porušení, nebo že Soud pro přezkum ochrany údajů vydal rozhodnutí, ve kterém je stanovena povinnost vyžadující vhodnou nápravu“ (386). Úřad pro ochranu soukromí a občanských svobod Ministerstva spravedlnosti vede záznamy o všech informacích, které Soud pro přezkum ochrany údajů přezkoumal, a o všech vydaných rozhodnutích, které jsou k dispozici jako nezávazný precedens pro budoucí senáty Soudu pro přezkum ochrany údajů (387).

(193)

Ministerstvo obchodu je rovněž povinno vést záznamy o každém stěžovateli, který podal stížnost (388). V zájmu zvýšení transparentnosti musí Ministerstvo obchodu nejméně jednou za pět let kontaktovat příslušné zpravodajské služby, aby ověřilo, zda byly informace týkající se přezkumu provedeného Soudem pro přezkum ochrany údajů odtajněny (389). Pokud tomu tak je, bude dotyčná fyzická osoba informována o tom, že tyto informace mohou být k dispozici podle platných právních předpisů (tj. že může požádat o přístup k těmto informacím podle zákona o svobodném přístupu k informacím, viz 199. bod odůvodnění).

(194)

A konečně, správné fungování tohoto nápravného mechanismu bude předmětem pravidelného a nezávislého hodnocení. Konkrétně, podle výkonného dekretu č. 14086 podléhá fungování nápravného mechanismu každoročnímu přezkumu ze strany výboru PCLOB, nezávislého orgánu (viz 110. bod odůvodnění) (390). V rámci tohoto přezkumu bude výbor PCLOB mimo jiné posuzovat, zda úředník ODNI CLPO a Soud pro přezkum ochrany údajů vyřizují stížnosti včas; zda získaly úplný přístup k potřebným informacím; zda byly v procesu přezkumu řádně zohledněny hmotněprávní záruky stanovené ve výkonném dekretu č. 14086 a zda zpravodajská komunita plně dodržela rozhodnutí úředníka ODNI CLPO a Soudu pro přezkum ochrany údajů. Výbor PCLOB vypracuje zprávu o výsledku svého přezkumu určenou prezidentovi, ministru spravedlnosti, řediteli národních zpravodajských služeb, vedoucím zpravodajských služeb, úředníkovi ODNI CLPO a výborům Kongresu pro zpravodajství, která bude rovněž zveřejněna v neutajované verzi – a následně bude podkladem pro pravidelný přezkum fungování tohoto rozhodnutí, který bude provádět Komise. Ministr spravedlnosti, ředitel národních zpravodajských služeb, úředník ODNI CLPO a vedoucí zpravodajských služeb jsou povinni provést nebo jinak řešit všechna doporučení obsažená v těchto zprávách. Kromě toho bude výbor PCLOB každoročně vydávat veřejné osvědčení o tom, zda nápravný mechanismus vyřizuje stížnosti v souladu s požadavky výkonného dekretu č. 14086.

(195)

Kromě zvláštního nápravného mechanismu zřízeného podle výkonného dekretu č. 14086 jsou všem fyzickým osobám (bez ohledu na jejich státní příslušnost nebo bydliště) k dispozici i možnosti nápravy před obecnými soudy USA (391).

(196)

Zákon FISA a související zákon poskytuje fyzickým osobám především možnost domáhat se občanskoprávními žalobami proti Spojeným státům peněžité náhrady škody v případě, kdy informace o nich byly použity nebo zveřejněny nezákonně a vědomě (392); žalovat úředníky vlády USA jednající za svou osobu o peněžitou náhradu škody (393) a napadnout zákonnost sledování (a domáhat se utajení informací) v případě, kdy vláda USA hodlá použít nebo zveřejnit informace získané nebo odvozené z elektronického sledování proti fyzické osobě v soudním nebo správním řízení v USA (394). V obecné rovině, pokud vláda hodlá použít informace získané během zpravodajských operací proti podezřelému v trestním řízení, ústavní a zákonné požadavky (395) ukládají povinnost zpřístupnit určité informace, aby obžalovaný mohl napadnout zákonnost shromažďování a použití důkazů vládou.

(197)

Kromě toho existuje několik zvláštních možností, jak se domáhat právního postihu vůči vládním úředníkům za nezákonný přístup vlády k osobním údajům nebo jejich nezákonné použití, mimo jiné k účelům národní bezpečnosti (tj. zákon o počítačových podvodech a zneužití počítače (Computer Fraud and Abuse Act) (396); zákon o soukromí elektronických komunikací (Electronic Communications Privacy Act) (397) a zákon o právu na finanční soukromí (Right to Financial Privacy Act) (398)). Všechny tyto právní kroky se týkají konkrétních údajů, cílů a/nebo typů přístupu (např. vzdálený přístup k počítači prostřednictvím internetu) a jsou dostupné za určitých podmínek (např. úmyslné/vědomé jednání, zneužití úřední pravomoci, vznik škody).

(198)

Obecnější možnost nápravy nabízí zákon o správním řízení (Administrative Procedure Act, APA) (399), podle kterého „kdokoli, jemuž krok agentury způsobí právní křivdu nebo kdo je krokem agentury negativně postižen nebo poškozen,“ má právo domáhat se soudního přezkumu (400). Sem spadá možnost požádat soud, „aby prohlásil za neplatné nebo zrušil krok, zjištění a závěry agentury, které byly shledány [...] aktem svévole či zvůle, zneužitím diskreční pravomoci či jinak v rozporu se zákonem“ (401). V roce 2015 rozhodl například federální odvolací soud na základě žaloby podle zákona o správním řízení, že hromadný sběr metadat o telefonních hovorech americkou vládou nebyl podle § 501 zákona FISA povolen (402).

(199)

A konečně, kromě možností nápravy uvedených v 176. až 198. bodě odůvodnění má každá fyzická osoba právo žádat o přístup k existujícím záznamům federální služby podle zákona FOIA, a to i v případě, že obsahují osobní údaje dané fyzické osoby (403). Získání takového přístupu může rovněž usnadnit zahájení řízení před obecnými soudy, a to i na podporu prokázání aktivní legitimace. Zpravodajské služby mohou odepřít informace, které spadají pod určité vyjmenované výjimky, včetně přístupu k utajovaným informacím o národní bezpečnosti a informacím týkajícím se vyšetřování donucovacích orgánů (404), ale stěžovatelé, kteří nejsou s odpovědí spokojeni, mají možnost ji napadnout žádostí o správní a následně soudní přezkum (před federálními soudy) (405).

(200)

Z výše uvedeného vyplývá, že pokud donucovací orgány a národní bezpečnostní orgány USA přistupují k osobním údajům spadajícím do oblasti působnosti tohoto rozhodnutí, řídí se takový přístup právním rámcem, který stanoví podmínky, za nichž může přístup probíhat, a je zajištěno, aby byly přístup a další využívání údajů omezeny na to, co je nezbytné a přiměřené sledovaným cílům v oblasti veřejného zájmu. Těchto záruk se mohou dovolávat fyzické osoby, které mají právo na účinnou nápravu.

(201)

Komise se domnívá, že Spojené státy – prostřednictvím zásad vydaných Ministerstvem obchodu USA – zajišťují úroveň ochrany osobních údajů předávaných z Unie certifikovaným organizacím ve Spojených státech na základě rámce EU–USA pro ochranu údajů, která je v zásadě rovnocenná úrovni zaručené nařízením (EU) 2016/679.

(202)

Komise se navíc domnívá, že účinné uplatňování zásad je zaručeno povinnostmi transparentnosti a správou rámce pro ochranu údajů ze strany Ministerstva obchodu. Kromě toho mechanismy dohledu a možnosti nápravy v právu USA jako celek umožňují, aby bylo porušení pravidel ochrany údajů v praxi zjištěno a potrestáno, a nabízejí právní prostředky nápravy tak, aby subjekt údajů získal přístup k osobním údajům, které se ho týkají, a aby mohly být tyto údaje opraveny nebo vymazány.

(203)

Na základě dostupných informací o právním řádu USA, včetně informací obsažených v přílohách VI a VII, se Komise domnívá, že jakýkoli zásah orgánů veřejné moci USA do základních práv fyzických osob, jejichž osobní údaje jsou předávány z Unie do Spojených států na základě rámce EU–USA pro ochranu údajů, který je činěn ve veřejném zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti, bude omezen na to, co je nezbytně nutné k dosažení daného legitimního cíle, a že proti takovému zásahu existuje účinná právní ochrana. S ohledem na výše uvedená zjištění by proto mělo být rozhodnuto, že Spojené státy zajišťují odpovídající úroveň ochrany ve smyslu článku 45 nařízení (EU) 2016/679, vykládaného ve světle Listiny základních práv Evropské unie, pro osobní údaje předávané z Evropské unie organizacím certifikovaným na základě rámce EU–USA pro ochranu údajů.

(204)

Vzhledem k tomu, že omezení, záruky a nápravné mechanismy stanovené výkonným dekretem č. 14086 jsou základními prvky právního rámce Spojených států, z něhož vychází posouzení Komise, je přijetí tohoto rozhodnutí založeno zejména na přijetí aktualizovaných politik a postupů k provedení výkonného dekretu č. 14086 všemi zpravodajskými službami Spojených států a určení Unie jako kvalifikované organizace pro účely nápravného mechanismu, k čemuž došlo dne 3. července 2023 (viz 126. bod odůvodnění) a 30. června 2023 (viz 176. bod odůvodnění).

(205)

Členské státy a jejich orgány musí přijmout opatření nezbytná k dosažení souladu s akty orgánů Unie, neboť jim v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti.

(206)

V důsledku toho je rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé dozorové úřady. Zejména může docházet k předáním od správce nebo zpracovatele v Unii certifikovaným organizacím ve Spojených státech, aniž by bylo nutné získat další povolení.

(207)

Je třeba připomenout, že podle čl. 58 odst. 5 nařízení (EU) 2016/679 a podle vysvětlení Soudního dvora v rozsudku ve věci Schrems (406), jestliže vnitrostátní úřad pro ochranu osobních údajů zpochybňuje, a to i na základě stížnosti, slučitelnost rozhodnutí Komise o odpovídající ochraně se základními právy fyzické osoby na soukromí a ochranu údajů, musí mu vnitrostátní právo poskytnout procesní prostředek, který mu umožní uplatnit tyto výtky před vnitrostátním soudem, který může být povinen předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce (407).

(208)

Podle judikatury Soudního dvora (408) a podle čl. 45 odst. 4 nařízení (EU) 2016/679 by Komise po přijetí rozhodnutí o odpovídající ochraně měla neustále sledovat příslušný vývoj ve třetí zemi, aby mohla posoudit, zda třetí země stále zajišťuje v zásadě rovnocennou úroveň ochrany. Takové ověřování je každopádně závazné tehdy, když Komise obdrží informace vyvolávající v tomto ohledu určité odůvodněné pochybnosti.

(209)

Komise by tedy měla průběžně sledovat situaci ve Spojených státech, pokud jde o právní rámec a skutečnou praxi zpracování osobních údajů, jak jsou posouzeny v tomto rozhodnutí. Aby tento proces usnadnily, měly by orgány USA neprodleně informovat Komisi o důležitých změnách právního řádu USA, které mají dopad na právní rámec, jenž je předmětem tohoto rozhodnutí, jakož i o vývoji postupů souvisejících se zpracováním osobních údajů, které jsou posuzovány v tomto rozhodnutí, a to jak z hlediska zpracování osobních údajů certifikovanými organizacemi ve Spojených státech, tak z hlediska omezení a záruk použitelných na přístup orgánů veřejné moci k osobním údajům.

(210)

Aby Komise navíc mohla účinně plnit svou kontrolní funkci, měly by ji členské státy informovat o veškerých relevantních krocích vnitrostátních úřadů pro ochranu osobních údajů, zejména v souvislosti s dotazy nebo stížnostmi subjektů údajů z Unie týkajícími se předávání osobních údajů z Unie certifikovaným organizacím ve Spojených státech. Komise by rovněž měla být informována o jakýchkoli známkách toho, že kroky orgánů veřejné moci USA odpovědných za prevenci, vyšetřování, odhalování nebo stíhání trestných činů nebo za národní bezpečnost, včetně jakýchkoli orgánů dohledu, nezajišťují požadovanou úroveň ochrany.

(211)

V souladu s čl. 45 odst. 3 nařízení (EU) 2016/679 (409) by Komise po přijetí tohoto rozhodnutí měla pravidelně přezkoumávat, zda zjištění týkající se odpovídající úrovně ochrany zajištěné Spojenými státy na základě rámce EU–USA pro ochranu údajů jsou i nadále skutkově i právně podložená. Vzhledem k tomu, že zejména výkonný dekret č. 14086 a nařízení ministra spravedlnosti stanoví povinnost vytvoření nových mechanismů a zavedení nových záruk, mělo by být toto rozhodnutí podrobeno prvnímu přezkumu do jednoho roku od jeho vstupu v platnost, aby se ověřilo, zda byly všechny příslušné prvky plně provedeny a zda v praxi účinně fungují. Po tomto prvním přezkumu a v závislosti na jeho výsledku Komise v úzké konzultaci s výborem zřízeným podle čl. 93 odst. 1 nařízení (EU) 2016/679 a Evropským sborem pro ochranu osobních údajů rozhodne o pravidelnosti budoucích přezkumů (410).

(212)

Za účelem provedení přezkumů by se Komise měla sejít s Ministerstvem obchodu, Federální obchodní komisí a Ministerstvem dopravy, případně za účasti dalších útvarů a služeb zapojených do provádění rámce EU–USA pro ochranu údajů, jakož i pokud jde o záležitosti týkající se přístupu vlády k údajům, se zástupci Ministerstva spravedlnosti, Úřadu ředitele národních zpravodajských služeb (včetně úředníka CLPO), dalších složek zpravodajské komunity, Soudu pro přezkum ochrany údajů a zvláštních advokátů. Účast na této schůzce by měla být otevřena zástupcům členů Evropského sboru pro ochranu osobních údajů.

(213)

Přezkumy by měly zahrnovat všechny aspekty fungování tohoto rozhodnutí, pokud jde o zpracování osobních údajů ve Spojených státech, a zejména uplatňování a provádění zásad, přičemž zvláštní pozornost by měla být věnována ochraně poskytované v případě dalšího předávání; vývoji relevantní judikatury; účinnosti výkonu individuálních práv; sledování a prosazování souladu se zásadami; jakož i omezením a zárukám, pokud jde o přístup orgánů státní správy, především provádění a uplatňování záruk zavedených výkonným dekretem č. 14086, a to i prostřednictvím politik a postupů vypracovaných zpravodajskými službami; vzájemnému vztahu mezi výkonným dekretem č. 14086 a § 702 zákona FISA a výkonným dekretem č. 12333; a účinnosti dozorových mechanismů a možností nápravy (včetně fungování nového nápravného mechanismu zřízeného podle výkonného dekretu č. 14086). V souvislosti s těmito přezkumy se pozornost zaměří také na spolupráci mezi úřady pro ochranu osobních údajů a příslušnými orgány Spojených států, včetně tvorby pokynů a vývoje dalších výkladových nástrojů týkajících se uplatňování zásad, jakož i dalších aspektů fungování tohoto rámce.

(214)

Na základě přezkumu by Komise měla připravit veřejně přístupnou zprávu, kterou předloží Evropskému parlamentu a Radě.

(215)

Pokud z dostupných informací, zejména z informací vyplývajících ze sledování tohoto rozhodnutí nebo poskytnutých orgány USA nebo členských států, vyplyne, že úroveň ochrany poskytovaná údajům předávaným na základě tohoto rozhodnutí již nemusí být odpovídající, měla by Komise urychleně informovat příslušné orgány USA a požadovat, aby byla ve stanovené a přiměřené lhůtě přijata vhodná opatření.

(216)

Pokud po uplynutí stanovené lhůty příslušné orgány USA tato opatření nepřijmou nebo jiným způsobem uspokojivě neprokážou, že toto rozhodnutí je nadále založeno na odpovídající úrovni ochrany, zahájí Komise postup podle čl. 93 odst. 2 nařízení (EU) 2016/679 s cílem částečně nebo úplně zrušit toho rozhodnutí nebo pozastavit jeho použitelnost.

(217)

Alternativně Komise tento postup zahájí s cílem změnit toto rozhodnutí, zejména tím, že se na předávání údajů budou vztahovat další podmínky nebo že se omezí oblasti působnosti zjištění o odpovídající úrovni ochrany jen na předávání údajů, u nichž je odpovídající úroveň ochrany nadále zaručena.

(218)

Komise by měla zahájit postup vedoucí k pozastavení použitelnosti nebo zrušení zejména v případě:

(219)

Komise by rovněž měla zvážit zahájení postupu vedoucího ke změně, pozastavení použitelnosti nebo zrušení tohoto rozhodnutí, pokud příslušné orgány USA neposkytnou informace nebo objasnění, jež jsou nezbytné k posouzení úrovně ochrany poskytované osobním údajům předávaným z Unie do Spojených států nebo dodržování tohoto rozhodnutí. V tomto směru by Komise měla vzít v potaz míru, do jaké lze relevantní informace získat z jiných zdrojů.

(220)

V závažných, naléhavých a řádně odůvodněných případech, například pokud by výkonný dekret č. 14086 nebo nařízení ministra spravedlnosti byly změněny způsobem, který by oslabil úroveň ochrany popsanou v tomto rozhodnutí, nebo pokud by určení Unie jako kvalifikované organizace pro účely nápravného mechanismu, jež učinil ministr spravedlnosti, bylo odvoláno, využije Komise možnost přijmout postupem podle čl. 93 odst. 3 nařízení (EU) 2016/679 okamžitě použitelné prováděcí akty, kterými se toto rozhodnutí zruší, změní nebo se dočasně pozastaví jeho použitelnost.

(221)

Evropský sbor pro ochranu osobních údajů zveřejnil své stanovisko (411), které bylo při přípravě tohoto rozhodnutí zohledněno.

(222)

Evropský parlament přijal usnesení o odpovídající ochraně poskytované rámcem EU–USA pro ochranu údajů (412).

(223)

Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle čl. 93 odst. 1 nařízení (EU) 2016/679,