(1)

Ο κανονισμός (ΕΕ) 2016/679 (2) θεσπίζει τους κανόνες που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην Ένωση προς τρίτες χώρες και διεθνείς οργανισμούς, στον βαθμό που η εν λόγω διαβίβαση εμπίπτει στο πεδίο εφαρμογής του. Οι κανόνες για τις διεθνείς διαβιβάσεις δεδομένων καθορίζονται στο κεφάλαιο V του εν λόγω κανονισμού. Μολονότι η ροή δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ευρωπαϊκής Ένωσης είναι απαραίτητη για την επέκταση του διασυνοριακού εμπορίου και της διεθνούς συνεργασίας, το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχεται στην Ένωση δεν πρέπει να υπονομεύεται από διαβιβάσεις προς τρίτες χώρες ή διεθνείς οργανισμούς (3).

(2)

Σύμφωνα με το άρθρο 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από τρίτη χώρα ή έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα. Υπό την προϋπόθεση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορούν να πραγματοποιούνται χωρίς να χρειάζεται να ζητηθεί άλλη άδεια, όπως προβλέπεται στο άρθρο 45 παράγραφος 1 και στην αιτιολογική σκέψη 103 του κανονισμού (ΕΕ) 2016/679.

(3)

Όπως ορίζεται στο άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, η έκδοση απόφασης επάρκειας πρέπει να βασίζεται σε ολοκληρωμένη ανάλυση της έννομης τάξης της τρίτης χώρας, η οποία καλύπτει τόσο τους κανόνες στους οποίους υπάγονται οι εισαγωγείς δεδομένων όσο και τους περιορισμούς και τις εγγυήσεις σχετικά με την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα. Στην εκτίμησή της, η Επιτροπή πρέπει να προσδιορίζει αν η τρίτη χώρα εγγυάται επίπεδο προστασίας «ουσιωδώς ισοδύναμο» με αυτό που διασφαλίζεται εντός της Ένωσης [αιτιολογική σκέψη 104 του κανονισμού (ΕΕ) 2016/679]. Το αν συντρέχει τέτοια περίπτωση πρέπει να αξιολογηθεί με βάση τη νομοθεσία της Ένωσης, ιδίως τον κανονισμό (ΕΕ) 2016/679, καθώς και τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (στο εξής: ΔΕΕ) (4).

(4)

Όπως έχει διευκρινίσει το ΔΕΕ στην απόφασή του, της 6ης Οκτωβρίου 2015, στην υπόθεση C-362/14, Maximillian Schrems κατά Data Protection Commissioner (5) (στο εξής: Schrems), αυτό δεν συνεπάγεται απαίτηση για το ίδιο ακριβώς επίπεδο προστασίας. Ειδικότερα, τα μέσα που χρησιμοποιεί η τρίτη χώρα για την προστασία των δεδομένων προσωπικού χαρακτήρα μπορούν να διαφέρουν από αυτά που εφαρμόζονται εντός της Ένωσης, εφόσον αποδεικνύονται στην πράξη αποτελεσματικά ώστε να διασφαλίζουν επαρκές επίπεδο προστασίας (6). Συνεπώς, το κριτήριο της επάρκειας δεν επιβάλλει πιστή αντιγραφή των κανόνων της Ένωσης. Το καθοριστικό στοιχείο είναι κυρίως αν, μέσω της ουσίας των δικαιωμάτων για την προστασία της ιδιωτικής ζωής, της αποτελεσματικής εφαρμογής τους, καθώς και της εποπτείας και επιβολής τους, το σύστημα της τρίτης χώρας συνολικά προσφέρει το απαιτούμενο επίπεδο προστασίας (7). Επίσης, σύμφωνα με την εν λόγω απόφαση, κατά την εφαρμογή του προτύπου αυτού, η Επιτροπή θα πρέπει ιδίως να αξιολογεί αν το νομικό πλαίσιο της εν λόγω τρίτης χώρας προβλέπει κανόνες που αποσκοπούν στον περιορισμό των επεμβάσεων στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα διαβιβάζονται από την Ένωση, επεμβάσεις στις οποίες επιτρέπεται να προβαίνουν κρατικοί φορείς της εν λόγω χώρας όταν επιδιώκουν νόμιμους σκοπούς, όπως η εθνική ασφάλεια, και παρέχει αποτελεσματική νομική προστασία από τέτοιου είδους επεμβάσεις (8). Τα «σημεία αναφοράς για την επάρκεια» του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, τα οποία αποσκοπούν στην περαιτέρω αποσαφήνιση του εν λόγω προτύπου, παρέχουν επίσης καθοδήγηση σχετικά με το θέμα αυτό (9).

(5)

Το εφαρμοστέο πρότυπο όσον αφορά την εν λόγω επέμβαση στα θεμελιώδη δικαιώματα της προστασίας της ιδιωτικής ζωής και των δεδομένων διευκρινίστηκε περαιτέρω από το ΔΕΕ στην απόφασή του, της 16ης Ιουλίου 2020, στην υπόθεση C-311/18, Data Protection Commissioner κατά Facebook Ireland Limited και Maximillian Schrems (στο εξής: Schrems II), η οποία ακύρωσε την εκτελεστική απόφαση (ΕΕ) 2016/1250 της Επιτροπής (10) σχετικά με προηγούμενο διατλαντικό πλαίσιο για τη ροή δεδομένων, την ασπίδα προστασίας της ιδιωτικής ζωής ΕΕ–ΗΠΑ (στο εξής: ασπίδα προστασίας της ιδιωτικής ζωής). Το ΔΕΕ έκρινε ότι οι περιορισμοί στην προστασία των δεδομένων προσωπικού χαρακτήρα που απορρέουν από το εθνικό δίκαιο των ΗΠΑ σχετικά με την πρόσβαση και τη χρήση, από δημόσιες αρχές των ΗΠΑ, δεδομένων που διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες για σκοπούς εθνικής ασφάλειας δεν οριοθετούνται με τέτοιον τρόπο ώστε να ανταποκρίνονται σε απαιτήσεις ουσιαστικά ισοδύναμες με εκείνες που επιβάλλει το δίκαιο της Ένωσης, όσον αφορά την αναγκαιότητα και την αναλογικότητα τέτοιων επεμβάσεων στο δικαίωμα στην προστασία των δεδομένων (11). Το ΔΕΕ έκρινε επίσης ότι δεν ήταν διαθέσιμο κανένα μέσο δικαστικής προστασίας ενώπιον οργάνου που να προσφέρει στα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται στις Ηνωμένες Πολιτείες εγγυήσεις ουσιαστικά ισοδύναμες με εκείνες που επιβάλλει το άρθρο 47 του Χάρτη σχετικά με το δικαίωμα αποτελεσματικής προσφυγής (12).

(6)

Μετά την απόφαση Schrems II, η Επιτροπή ξεκίνησε διαβουλεύσεις με την κυβέρνηση των ΗΠΑ με σκοπό την πιθανή έκδοση νέας απόφασης επάρκειας που θα πληρούσε τις απαιτήσεις του άρθρου 45 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, όπως ερμηνεύθηκαν από το ΔΕΕ. Ως αποτέλεσμα των συζητήσεων αυτών, οι Ηνωμένες Πολιτείες εξέδωσαν, στις 7 Οκτωβρίου 2022, το εκτελεστικό διάταγμα 14086 «Ενίσχυση των εγγυήσεων για τις δραστηριότητες των ΗΠΑ σχετικά με τη συλλογή πληροφοριών από σήματα» (Enhancing Safeguards for US Signals Intelligence Activities) (στο εξής: EO 14086), το οποίο συμπληρώνεται από κανονισμό για το Δικαστήριο Ελέγχου της Προστασίας Δεδομένων (Data Protection Review Court), ο οποίος εκδόθηκε από τον γενικό εισαγγελέα των ΗΠΑ (στο εξής: κανονισμός του γενικού εισαγγελέα) (13). Επίσης, επικαιροποιήθηκε το πλαίσιο που ισχύει για εμπορικές οντότητες που επεξεργάζονται δεδομένα τα οποία διαβιβάζονται από την Ένωση βάσει της παρούσας απόφασης, δηλ. του πλαισίου ΕΕ–ΗΠΑ για την προστασία των δεδομένων (στο εξής: «ΠΠΔ ΕΕ–ΗΠΑ» ή «ΠΠΔ»).

(7)

Η Επιτροπή προέβη σε ενδελεχή ανάλυση του δικαίου και της πρακτικής των ΗΠΑ, συμπεριλαμβανομένου του EO 14086 και του κανονισμού του γενικού εισαγγελέα. Βάσει των διαπιστώσεων που αναφέρονται στις αιτιολογικές σκέψεις 9-200, η Επιτροπή καταλήγει στο συμπέρασμα ότι οι Ηνωμένες Πολιτείες της Αμερικής εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στην Ένωση (14) σε πιστοποιημένους οργανισμούς στις Ηνωμένες Πολιτείες στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ.

(8)

Η παρούσα απόφαση έχει ως αποτέλεσμα οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στην Ένωση (15) σε πιστοποιημένους οργανισμούς στις Ηνωμένες Πολιτείες να μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια. Η παρούσα απόφαση δεν θίγει την άμεση εφαρμογή του κανονισμού (ΕΕ) 2016/679 στους εν λόγω οργανισμούς, όταν πληρούνται οι προϋποθέσεις σχετικά με το εδαφικό πεδίο εφαρμογής του εν λόγω κανονισμού που ορίζονται στο άρθρο 3 αυτού.

(9)

Το ΠΠΔ ΕΕ–ΗΠΑ βασίζεται σε ένα σύστημα πιστοποίησης μέσω του οποίου οι οργανισμοί των ΗΠΑ δεσμεύονται να τηρούν ένα σύνολο αρχών προστασίας της ιδιωτικής ζωής, τις αρχές του πλαισίου ΕΕ–ΗΠΑ για την προστασία των δεδομένων, συμπεριλαμβανομένων των συμπληρωματικών αρχών (από κοινού, στο εξής: Αρχές), οι οποίες εκδίδονται από το Υπουργείο Εμπορίου (DoC) των ΗΠΑ και περιλαμβάνονται στο παράρτημα I της παρούσας απόφασης (16). Για να είναι επιλέξιμοι για πιστοποίηση βάσει του ΠΠΔ ΕΕ–ΗΠΑ, οι οργανισμοί πρέπει να υπόκεινται στις εξουσίες διεξαγωγής ερευνών και επιβολής του νόμου της Ομοσπονδιακής Επιτροπής Εμπορίου (Federal Trade Commission, στο εξής: FTC) ή του Υπουργείου Μεταφορών (DoT) (17). Οι Αρχές αρχίζουν να εφαρμόζονται μόλις πραγματοποιηθεί η πιστοποίηση. Όπως εξηγείται λεπτομερέστερα στις αιτιολογικές σκέψεις 48-52, οι οργανισμοί του ΠΠΔ ΕΕ–ΗΠΑ υποχρεούνται να πιστοποιούν εκ νέου την από μέρους τους τήρηση των Αρχών σε ετήσια βάση (18).

(10)

Η προστασία που παρέχεται από το ΠΠΔ ΕΕ–ΗΠΑ εφαρμόζεται ως προς όλα τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς στις ΗΠΑ οι οποίοι έχουν λάβει πιστοποίηση της συμμόρφωσής τους με τις Αρχές από το Υπουργείο Εμπορίου, με εξαίρεση τα δεδομένα που συλλέγονται για δημοσίευση, μετάδοση ή άλλες μορφές δημοσιοποίησης δημοσιογραφικού υλικού και πληροφορίες από προγενέστερα δημοσιευμένο υλικό το οποίο διαδόθηκε από δημοσιογραφικά αρχεία (19). Ως εκ τούτου, οι εν λόγω πληροφορίες δεν μπορούν να διαβιβάζονται βάσει του ΠΠΔ ΕΕ–ΗΠΑ.

(11)

Οι Αρχές ορίζουν τα δεδομένα προσωπικού χαρακτήρα και τις πληροφορίες προσωπικού χαρακτήρα με τον ίδιο τρόπο όπως και ο κανονισμός (ΕΕ) 2016/679, δηλαδή ως «δεδομένα τα οποία αφορούν ένα πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί και τα οποία εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ, διαβιβάζονται σε οργανισμό των Ηνωμένων Πολιτειών από την ΕΕ και καταγράφονται με οποιαδήποτε μορφή» (20). Ως εκ τούτου, καλύπτουν επίσης ψευδωνυμοποιημένα (ή «κωδικοποιημένα με κλείδα») ερευνητικά δεδομένα (συμπεριλαμβανομένων των περιπτώσεων στις οποίες η κλείδα δεν κοινοποιείται στον οργανισμό των ΗΠΑ που τα λαμβάνει) (21). Ομοίως, η επεξεργασία ορίζεται ως «κάθε εργασία ή σειρά εργασιών που πραγματοποιούνται με ή χωρίς τη βοήθεια αυτοματοποιημένων διαδικασιών και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η αποθήκευση, η προσαρμογή ή η τροποποίηση, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση ή η διάδοση, καθώς και η διαγραφή ή η καταστροφή» (22).

(12)

Το ΠΠΔ ΕΕ–ΗΠΑ εφαρμόζεται σε οργανισμούς στις ΗΠΑ που χαρακτηρίζονται ως υπεύθυνοι επεξεργασίας (δηλαδή πρόσωπα ή οργανισμοί οι οποίοι, μόνοι ή από κοινού με άλλους, καθορίζουν τον σκοπό και τον τρόπο επεξεργασίας δεδομένων προσωπικού χαρακτήρα) (23) ή εκτελούντες την επεξεργασία (δηλαδή αντιπρόσωποι που ενεργούν για λογαριασμό υπευθύνου επεξεργασίας) (24). Οι εκτελούντες την επεξεργασία των ΗΠΑ πρέπει να δεσμεύονται βάσει σύμβασης ότι θα ενεργούν μόνο με βάση τις οδηγίες του υπευθύνου επεξεργασίας της ΕΕ και θα τον συνδράμουν ώστε να ανταποκρίνεται σε αιτήματα προσώπων που ασκούν τα δικαιώματά τους δυνάμει των Αρχών (25). Επίσης, σε περίπτωση υπεργολαβίας επεξεργασίας, ο εκτελών την επεξεργασία πρέπει να συνάπτει σύμβαση με τον υπεργολάβο επεξεργασίας η οποία να εγγυάται το ίδιο επίπεδο προστασίας με αυτό που παρέχεται από τις Αρχές και να λαμβάνει μέτρα για τη διασφάλιση της ορθής εφαρμογής της (26).

(13)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και θεμιτή. Τα δεδομένα θα πρέπει να συλλέγονται για συγκεκριμένο σκοπό και, στη συνέχεια, να χρησιμοποιούνται μόνο στο μέτρο που αυτό δεν είναι ασύμβατο με τον σκοπό της επεξεργασίας.

(14)

Στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ, αυτό διασφαλίζεται μέσω διαφορετικών Αρχών. Πρώτον, σύμφωνα με την αρχή της ακεραιότητας των δεδομένων και του περιορισμού του σκοπού, όπως και βάσει του άρθρου 5 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2016/679, ένας οργανισμός δεν μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα με τρόπο που να αντιβαίνει στον σκοπό για τον οποίο συλλέχθηκαν αρχικά ή για τον οποίο δόθηκε μεταγενέστερα άδεια από το υποκείμενο των δεδομένων (27).

(15)

Δεύτερον, πριν να χρησιμοποιήσει δεδομένα προσωπικού χαρακτήρα για νέο (τροποποιημένο) σκοπό που είναι ουσιωδώς διαφορετικός αλλά εξακολουθεί να συνάδει με τον αρχικό σκοπό, ή πριν να τα κοινολογήσει σε τρίτο μέρος, ο οργανισμός πρέπει να παρέχει στα υποκείμενα των δεδομένων τη δυνατότητα αντίταξης (εξαίρεση από τα δεδομένα), σύμφωνα με την αρχή της επιλογής (28), μέσω ενός σαφούς, ευδιάκριτου και άμεσα διαθέσιμου μηχανισμού. Είναι σημαντικό ότι η Αρχή αυτή δεν υπερισχύει της ρητής απαγόρευσης της ασυμβίβαστης επεξεργασίας (29).

(16)

Θα πρέπει να προβλέπονται ειδικές εγγυήσεις για την επεξεργασία «ειδικών κατηγοριών» δεδομένων.

(17)

Σύμφωνα με την αρχή της επιλογής ισχύουν ειδικές εγγυήσεις για την επεξεργασία «ευαίσθητων πληροφοριών», δηλαδή δεδομένων προσωπικού χαρακτήρα με τα οποία προσδιορίζονται λεπτομερώς νοσήματα ή παθήσεις, η φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις, η συμμετοχή σε συνδικαλιστικές οργανώσεις ή πληροφορίες σχετικά με τη σεξουαλική ζωή του προσώπου ή κάθε άλλη πληροφορία που λαμβάνεται από τρίτον η οποία προσδιορίζεται και αντιμετωπίζεται από το εν λόγω μέρος ως ευαίσθητη (30). Αυτό σημαίνει ότι οποιαδήποτε δεδομένα που θεωρούνται ευαίσθητα βάσει της νομοθεσίας της Ένωσης για την προστασία των δεδομένων (συμπεριλαμβανομένων δεδομένων σχετικά με τον γενετήσιο προσανατολισμό, γενετικών δεδομένων και βιομετρικών δεδομένων) θα αντιμετωπίζονται ως ευαίσθητα στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ από τους πιστοποιημένους οργανισμούς.

(18)

Γενικά, οι οργανισμοί πρέπει να λαμβάνουν τη θετική ρητή συγκατάθεση (δηλ. προαιρετική συμμετοχή) των φυσικών προσώπων για τη χρήση ευαίσθητων πληροφοριών για σκοπούς άλλους από εκείνους για τους οποίους συλλέχθηκαν αρχικά ή εγκρίθηκαν στη συνέχεια από το φυσικό πρόσωπο (με προαιρετική συμμετοχή) ή για την κοινολόγησή τους σε τρίτους (31).

(19)

Η εν λόγω συγκατάθεση δεν απαιτείται να λαμβάνεται σε περιορισμένες περιπτώσεις, παρόμοιες με συγκρίσιμες εξαιρέσεις που προβλέπονται στη νομοθεσία της Ένωσης για την προστασία των δεδομένων, π.χ. όταν η επεξεργασία ευαίσθητων δεδομένων είναι προς το ζωτικό συμφέρον ενός προσώπου· είναι αναγκαία για την τεκμηρίωση νομικών αξιώσεων· ή απαιτείται για την παροχή ιατρικής περίθαλψης ή διάγνωσης (32).

(20)

Τα δεδομένα πρέπει να είναι ακριβή και, όπου χρειάζεται, επικαιροποιημένα. Θα πρέπει επίσης να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία και, καταρχήν, να μη διατηρούνται για διάστημα μεγαλύτερο από το αναγκαίο για τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία.

(21)

Σύμφωνα με την αρχή της ακεραιότητας των δεδομένων και του περιορισμού του σκοπού (33), τα δεδομένα προσωπικού χαρακτήρα πρέπει να περιορίζονται σε όσα είναι συναφή με τον σκοπό της επεξεργασίας. Επίσης, οι οργανισμοί πρέπει, στο μέτρο που είναι αναγκαίο για την εξυπηρέτηση των σκοπών της επεξεργασίας, να λαμβάνουν εύλογα μέτρα για να διασφαλίζουν ότι τα δεδομένα προσωπικού χαρακτήρα είναι αξιόπιστα για τη χρήση για την οποία προορίζονται, ακριβή, πλήρη και ενημερωμένα.

(22)

Επίσης, οι πληροφορίες προσωπικού χαρακτήρα μπορούν να διατηρούνται υπό μορφή με την οποία καθίσταται γνωστή ή μπορεί να εξακριβωθεί η ταυτότητα ενός προσώπου (και, κατά συνέπεια, υπό τη μορφή δεδομένων προσωπικού χαρακτήρα) (34) μόνον για το χρονικό διάστημα για το οποίο εξυπηρετούν τον σκοπό ή τους σκοπούς για τους οποίους συλλέχθηκαν αρχικά ή εγκρίθηκαν στη συνέχεια από το φυσικό πρόσωπο σύμφωνα με την αρχή της επιλογής. Η υποχρέωση αυτή δεν παρεμποδίζει τους οργανισμούς να συνεχίσουν την επεξεργασία πληροφοριών προσωπικού χαρακτήρα για μεγαλύτερες περιόδους, αλλά μόνο για το χρονικό διάστημα και στον βαθμό που η εν λόγω επεξεργασία εξυπηρετεί ευλόγως έναν από τους ακόλουθους συγκεκριμένους σκοπούς, παρόμοια προς τις συγκρίσιμες εξαιρέσεις που προβλέπονται στο ενωσιακό δίκαιο για την προστασία των δεδομένων: αρχειοθέτηση προς το δημόσιο συμφέρον, δημοσιογραφία, λογοτεχνία και τέχνη, επιστημονική και ιστορική έρευνα και στατιστική ανάλυση (35). Όταν τα δεδομένα προσωπικού χαρακτήρα τηρούνται για την εξυπηρέτηση ενός από τους σκοπούς αυτούς, η επεξεργασία τους υπόκειται στις εγγυήσεις που παρέχονται από τις Αρχές (36).

(23)

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει επίσης να υποβάλλονται σε επεξεργασία με τρόπο που να εγγυάται την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Για τον σκοπό αυτό, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία θα πρέπει να λαμβάνουν κατάλληλα τεχνικά ή οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από πιθανές απειλές. Τα μέτρα αυτά θα πρέπει να αξιολογούνται λαμβανομένων υπόψη της εξέλιξης της τεχνολογίας, του σχετικού κόστους και της φύσης, της έκτασης, του πλαισίου και των σκοπών της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα των φυσικών προσώπων.

(24)

Στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ, αυτό διασφαλίζεται με την αρχή της ασφάλειας, η οποία απαιτεί, όπως και το άρθρο 32 του κανονισμού (ΕΕ) 2016/679, να λαμβάνονται εύλογα και κατάλληλα μέτρα ασφάλειας, λαμβανομένων υπόψη των κινδύνων που ενέχει η επεξεργασία και η φύση των δεδομένων (37).

(25)

Τα υποκείμενα των δεδομένων θα πρέπει να ενημερώνονται για τα βασικά χαρακτηριστικά της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους.

(26)

Αυτό διασφαλίζεται μέσω της αρχής της κοινοποίησης (38), η οποία, όπως και οι υποχρεώσεις διαφάνειας βάσει του κανονισμού (ΕΕ) 2016/679, απαιτεί από τους οργανισμούς να ενημερώνουν τα υποκείμενα των δεδομένων, μεταξύ άλλων, σχετικά με i) τη συμμετοχή του οργανισμού στο ΠΠΔ, ii) το είδος των δεδομένων που συλλέγονται, iii) τον σκοπό της επεξεργασίας, iv) το είδος ή την ταυτότητα τρίτων στους οποίους ενδέχεται να κοινολογηθούν δεδομένα προσωπικού χαρακτήρα και τους σκοπούς της κοινολόγησης, v) τα ατομικά τους δικαιώματα, vi) τον τρόπο επικοινωνίας με τον οργανισμό και vii) τα διαθέσιμα μέσα προσφυγής.

(27)

Η κοινοποίηση αυτή πρέπει να παρέχεται σε σαφή και ευνόητη γλώσσα, όταν ζητείται για πρώτη φορά από τα φυσικά πρόσωπα να παράσχουν τα δεδομένα προσωπικού χαρακτήρα ή το ταχύτερο δυνατό στη συνέχεια, αλλά, σε κάθε περίπτωση, πριν τα δεδομένα να χρησιμοποιηθούν για σκοπό ουσιωδώς διαφορετικό από εκείνον για τον οποίο συλλέχθηκαν ή πριν κοινολογηθούν σε τρίτους (αλλά συμβατό με αυτόν) (39).

(28)

Επίσης, οι οργανισμοί πρέπει να δημοσιοποιούν τις οικείες πολιτικές για την προστασία των δεδομένων που να αντικατοπτρίζουν τις Αρχές (ή, στην περίπτωση των δεδομένων ανθρώπινου δυναμικού, να τις καθιστούν άμεσα διαθέσιμες στα ενδιαφερόμενα φυσικά πρόσωπα) και να παρέχουν συνδέσμους προς τον δικτυακό τόπο του Υπουργείου Εμπορίου (με περαιτέρω λεπτομέρειες σχετικά με την πιστοποίηση, τα δικαιώματα των υποκειμένων των δεδομένων και τους διαθέσιμους μηχανισμούς προσφυγής), τον κατάλογο του πλαισίου για την προστασία των δεδομένων (στο εξής: κατάλογος του ΠΠΔ) και τον δικτυακό τόπο κατάλληλου παρόχου εναλλακτικού μηχανισμού επίλυσης διαφορών (40).

(29)

Τα υποκείμενα των δεδομένων θα πρέπει να έχουν ορισμένα δικαιώματα τα οποία μπορούν να ασκηθούν έναντι του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ιδίως το δικαίωμα πρόσβασης στα δεδομένα, το δικαίωμα να αντιταχθούν στην επεξεργασία και το δικαίωμα διόρθωσης και διαγραφής των δεδομένων.

(30)

Η αρχή της πρόσβασης (41) που προβλέπεται στο ΠΠΔ ΕΕ–ΗΠΑ παρέχει στα πρόσωπα τα δικαιώματα αυτά. Ειδικότερα, τα υποκείμενα των δεδομένων έχουν, χωρίς να απαιτείται αιτιολόγηση, δικαίωμα λήψης επιβεβαίωσης από οργανισμό σχετικά με τυχόν επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν· κοινοποίησης των δεδομένων σε αυτούς· και λήψης πληροφοριών σχετικά με τον σκοπό της επεξεργασίας, τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τους αποδέκτες (κατηγορίες αποδεκτών) στους οποίους κοινοποιούνται τα δεδομένα (42). Οι οργανισμοί υποχρεούνται να απαντούν στα αιτήματα πρόσβασης εντός εύλογου χρονικού διαστήματος (43). Οι οργανισμοί μπορεί να θέτουν εύλογα όρια στον αριθμό των περιπτώσεων, εντός μια δεδομένης περιόδου, που θα ικανοποιήσουν αιτήματα πρόσβασης από συγκεκριμένο φυσικό πρόσωπο και μπορούν να επιβάλουν τέλη που δεν είναι υπερβολικά, π.χ. όταν τα αιτήματα είναι προδήλως υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους (44).

(31)

Το δικαίωμα πρόσβασης μπορεί να περιορίζεται μόνο σε εξαιρετικές περιστάσεις παρόμοιες με εκείνες που προβλέπονται στο δίκαιο της Ένωσης για την προστασία των δεδομένων, ειδικότερα όταν παραβιάζονται τα νόμιμα δικαιώματα τρίτων· όταν η επιβάρυνση ή τα έξοδα για την παροχή πρόσβασης θα ήταν δυσανάλογα προς τους κινδύνους για την ιδιωτική ζωή του φυσικού προσώπου στη συγκεκριμένη περίπτωση (παρόλο που τα έξοδα και η επιβάρυνση δεν αποτελούν παράγοντες ελέγχου για τον προσδιορισμό του αν η παροχή πρόσβασης είναι εύλογη)· στον βαθμό που η κοινολόγησή τους είναι πιθανόν να παρεμποδίσει τη διασφάλιση σημαντικών δημόσιων συμφερόντων, όπως η εθνική ασφάλεια, η δημόσια ασφάλεια ή η άμυνα· οι πληροφορίες περιέχουν εμπιστευτικές εμπορικές πληροφορίες· ή οι πληροφορίες υποβάλλονται σε επεξεργασία αποκλειστικά για ερευνητικούς ή στατιστικούς σκοπούς (45). Τυχόν άρνηση ή περιορισμός δικαιώματος πρέπει να είναι αναγκαίος και δεόντως αιτιολογημένος, και ο οργανισμός είναι εκείνος που οφείλει να αποδείξει ότι πληρούνται οι συγκεκριμένες απαιτήσεις (46). Κατά τη διενέργεια της εν λόγω αξιολόγησης, ο οργανισμός πρέπει να λαμβάνει ιδιαιτέρως υπόψη τα συμφέροντα του προσώπου (47). Όταν είναι δυνατόν να διαχωριστούν οι πληροφορίες από άλλα δεδομένα στα οποία εφαρμόζεται περιορισμός, ο οργανισμός πρέπει να παραλείπει τις προστατευόμενες πληροφορίες και να παρέχει πρόσβαση στις υπόλοιπες πληροφορίες (48).

(32)

Επίσης, τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ζητούν διόρθωση ή τροποποίηση ανακριβών δεδομένων και να ζητούν τη διαγραφή δεδομένων που έχουν υποστεί επεξεργασία κατά παράβαση των Αρχών (49). Επίσης, όπως εξηγείται στην αιτιολογική σκέψη 15, τα φυσικά πρόσωπα έχουν το δικαίωμα να αντιταχθούν / να εξαιρεθούν από την επεξεργασία των δεδομένων τους για ουσιωδώς διαφορετικούς (αλλά συμβατούς) σκοπούς από εκείνους για τους οποίους συλλέχθηκαν τα δεδομένα και από την κοινολόγηση των δεδομένων τους σε τρίτους. Όταν δεδομένα προσωπικού χαρακτήρα χρησιμοποιούνται για σκοπούς άμεσου μάρκετινγκ, τα φυσικά πρόσωπα έχουν γενικό δικαίωμα εξαίρεσης από την επεξεργασία ανά πάσα στιγμή (50).

(33)

Οι Αρχές δεν ρυθμίζουν συγκεκριμένα το ζήτημα των αποφάσεων που έχουν αντίκτυπο στο υποκείμενο των δεδομένων και βασίζονται αποκλειστικά στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που έχουν συλλεχθεί στην Ένωση, οι αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία λαμβάνονται συνήθως από τον υπεύθυνο επεξεργασίας στην Ένωση (ο οποίος έχει άμεση σχέση με το οικείο υποκείμενο των δεδομένων) και, συνεπώς, εμπίπτουν άμεσα στις διατάξεις του κανονισμού (ΕΕ) 2016/679 (51). Εδώ περιλαμβάνονται οι περιπτώσεις διαβίβασης στις οποίες η επεξεργασία πραγματοποιείται από επιχειρηματικό φορέα της αλλοδαπής (π.χ. των ΗΠΑ), ο οποίος ενεργεί ως αντιπρόσωπος (εκτελών την επεξεργασία) για λογαριασμό του υπευθύνου επεξεργασίας στην Ένωση (ή ως υπεργολάβος για λογαριασμό του εκτελούντος την επεξεργασία στην Ένωση, ο οποίος έλαβε τα δεδομένα από υπεύθυνο επεξεργασίας στην Ένωση που τα συνέλεξε), ο οποίος σε αυτήν τη βάση λαμβάνει τότε την απόφαση.

(34)

Αυτό επιβεβαιώθηκε από μελέτη που ανατέθηκε από την Επιτροπή το 2018 στο πλαίσιο της δεύτερης ετήσιας επανεξέτασης της λειτουργίας της ασπίδας προστασίας της ιδιωτικής ζωής (52), η οποία κατέληξε στο συμπέρασμα ότι, την εποχή εκείνη, δεν υπήρχαν στοιχεία που να αποδεικνύουν ότι πραγματοποιούταν συνήθως αυτοματοποιημένη λήψη αποφάσεων από οργανισμούς της ασπίδας προστασίας της ιδιωτικής ζωής βάσει δεδομένων προσωπικού χαρακτήρα που διαβιβάζονταν στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής.

(35)

Σε κάθε περίπτωση, σε τομείς στους οποίους οι εταιρείες είναι πιθανότερο να καταφύγουν στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα για να λάβουν αποφάσεις που επηρεάζουν το εκάστοτε φυσικό πρόσωπο (π.χ. παροχή πίστωσης, προσφορά ενυπόθηκων δανείων, απασχόληση, στέγαση και ασφάλιση), το δίκαιο των ΗΠΑ προβλέπει ειδικές ρυθμίσεις προστασίας από τη λήψη αρνητικών αποφάσεων (53). Οι εν λόγω νόμοι συνήθως προβλέπουν ότι τα φυσικά πρόσωπα έχουν το δικαίωμα να ενημερώνονται για τους συγκεκριμένους λόγους στους οποίους βασίζεται η απόφαση (π.χ. απόρριψη της χορήγησης πίστωσης), να αμφισβητούν ελλιπείς ή λανθασμένες πληροφορίες (καθώς και το να βασίστηκε η απόφαση σε παράνομους παράγοντες) και να ζητούν επανόρθωση. Στον τομέα της καταναλωτικής πίστης, ο νόμος για την αναφορά της πιστοληπτικής ικανότητας (Fair Credit Reporting Act) και ο νόμος για τις ίσες ευκαιρίες στη λήψη πίστωσης (Equal Credit Opportunity Act) περιλαμβάνουν εγγυήσεις που παρέχουν στους καταναλωτές μια μορφή δικαιώματος για εξηγήσεις και δικαιώματος αμφισβήτησης της απόφασης. Οι εν λόγω νόμοι αφορούν ευρύ φάσμα τομέων, συμπεριλαμβανομένων της πίστωσης, της απασχόλησης, της στέγασης και της ασφάλισης. Επίσης, ορισμένοι νόμοι κατά των διακρίσεων, όπως ο τίτλος VII του νόμου για τα ατομικά δικαιώματα (Civil Rights Act) και ο νόμος για τη δίκαιη στέγαση (Fair Housing Act), παρέχουν στα φυσικά πρόσωπα προστασία όσον αφορά τα μοντέλα που χρησιμοποιούνται στην αυτοματοποιημένη λήψη αποφάσεων, τα οποία θα μπορούσαν να έχουν ως αποτέλεσμα διακρίσεις βάσει ορισμένων χαρακτηριστικών, και παρέχουν στα φυσικά πρόσωπα δικαιώματα προσβολής των εν λόγω αποφάσεων, συμπεριλαμβανομένων των αυτοματοποιημένων. Όσον αφορά τις πληροφορίες για την υγεία, ο κανόνας για την προστασία των δεδομένων του νόμου για τη δυνατότητα μεταφοράς της ασφάλισης υγείας και για τη λογοδοσία (Health Insurance Portability and Accountability Act, στο εξής: HIPAA) δημιουργεί ορισμένα δικαιώματα, παρεμφερή με εκείνα του κανονισμού (ΕΕ) 2016/679 όσον αφορά την πρόσβαση σε προσωπικές πληροφορίες υγείας. Επίσης, σύμφωνα με τις οδηγίες των αρχών των ΗΠΑ, οι πάροχοι ιατρικών υπηρεσιών πρέπει να λαμβάνουν πληροφορίες που τους δίνουν τη δυνατότητα να ενημερώνουν τα φυσικά πρόσωπα σχετικά με τα συστήματα αυτοματοποιημένης λήψης αποφάσεων που χρησιμοποιούνται στον ιατρικό τομέα (54).

(36)

Ως εκ τούτου, οι εν λόγω κανόνες παρέχουν προστασία παρόμοια με εκείνη που παρέχεται βάσει της ενωσιακής νομοθεσίας για την προστασία των δεδομένων στην απίθανη περίπτωση στην οποία θα λαμβάνονταν αυτοματοποιημένες αποφάσεις από τον ίδιο τον οργανισμό του ΠΠΔ ΕΕ–ΗΠΑ.

(37)

Το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς στις Ηνωμένες Πολιτείες δεν πρέπει να υπονομεύεται από την περαιτέρω διαβίβαση των εν λόγω δεδομένων σε αποδέκτες στις Ηνωμένες Πολιτείες ή σε άλλη τρίτη χώρα.

(38)

Σύμφωνα με την αρχή της λογοδοσίας για περαιτέρω διαβίβαση (55), εφαρμόζονται ειδικοί κανόνες για τις αποκαλούμενες «περαιτέρω διαβιβάσεις», δηλαδή τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από οργανισμό του ΠΠΔ ΕΕ–ΗΠΑ σε τρίτο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, ανεξαρτήτως του αν ο τελευταίος βρίσκεται στις Ηνωμένες Πολιτείες ή σε τρίτη χώρα εκτός των ΗΠΑ (και της Ένωσης). Περαιτέρω διαβιβάσεις μπορούν να πραγματοποιούνται μόνον i) για περιορισμένους και καθορισμένους σκοπούς, ii) βάσει σύμβασης μεταξύ του οργανισμού του ΠΠΔ ΕΕ–ΗΠΑ και του τρίτου (56) (ή παρόμοιας συμφωνίας εντός εταιρικού ομίλου (57)) και iii) μόνον εάν η εν λόγω σύμβαση απαιτεί από τον τρίτο να παρέχει το ίδιο επίπεδο προστασίας με εκείνο που διασφαλίζεται από τις Αρχές.

(39)

Αυτή η υποχρέωση παροχής του ίδιου επιπέδου προστασίας με αυτό που εγγυώνται οι Αρχές, σε συνδυασμό με την αρχή της ακεραιότητας των δεδομένων και του περιορισμού του σκοπού, συνεπάγεται κυρίως ότι ο τρίτος μπορεί να επεξεργάζεται τις πληροφορίες προσωπικού χαρακτήρα που του διαβιβάζονται μόνο για σκοπούς που δεν είναι ασύμβατοι με τους σκοπούς για τους οποίους συλλέχθηκαν ή για τους οποίους δόθηκε στη συνέχεια άδεια από το φυσικό πρόσωπο (σύμφωνα με την αρχή της επιλογής).

(40)

Η αρχή της λογοδοσίας για περαιτέρω διαβίβαση θα πρέπει επίσης να ερμηνεύεται σε συνδυασμό με την αρχή της κοινοποίησης και, στην περίπτωση περαιτέρω διαβίβασης σε τρίτο υπεύθυνο επεξεργασίας (58), με την αρχή της επιλογής, σύμφωνα με την οποία τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται (μεταξύ άλλων) σχετικά με το είδος / την ταυτότητα τυχόν τρίτου αποδέκτη, τον σκοπό της περαιτέρω διαβίβασης και τις επιλογές που τους προσφέρονται και μπορούν να αντιτάσσονται (δικαίωμα εξαίρεσης) ή, σε περίπτωση ευαίσθητων δεδομένων, πρέπει να παρέχουν «ρητή συγκατάθεση» (οικειοθελής συμμετοχή) για την περαιτέρω διαβίβαση δεδομένων.

(41)

Η υποχρέωση παροχής του ίδιου επιπέδου προστασίας με αυτό που απαιτείται βάσει των Αρχών ισχύει για κάθε τρίτο και για όλους τους τρίτους που συμμετέχουν στην επεξεργασία των δεδομένων που διαβιβάζονται με τον τρόπο αυτό, ανεξαρτήτως του τόπου στον οποίο βρίσκονται (στις ΗΠΑ ή σε άλλη τρίτη χώρα), καθώς και στην περίπτωση που ο αρχικός τρίτος αποδέκτης διαβιβάζει ο ίδιος τα εν λόγω δεδομένα σε άλλο τρίτο αποδέκτη, για παράδειγμα για σκοπούς επεξεργασίας στο πλαίσιο υπεργολαβίας.

(42)

Σε κάθε περίπτωση, στη σύμβαση με τρίτο αποδέκτη πρέπει να προβλέπεται ότι ο τελευταίος θα ενημερώσει τον οργανισμό του ΠΠΔ ΕΕ–ΗΠΑ εάν αποφασίσει ότι δεν δύναται πλέον να συμμορφώνεται με την υποχρέωσή του. Εάν ληφθεί τέτοιου είδους απόφαση, η επεξεργασία από τον τρίτο πρέπει να παύσει ή πρέπει να ληφθούν άλλα εύλογα και κατάλληλα μέτρα για την επανόρθωση της κατάστασης (59).

(43)

Στην περίπτωση περαιτέρω διαβίβασης σε τρίτο αντιπρόσωπο (δηλ. εκτελούντα την επεξεργασία), εφαρμόζονται πρόσθετες ρυθμίσεις προστασίας. Στην περίπτωση αυτή, ο οργανισμός των ΗΠΑ πρέπει να διασφαλίσει ότι ο αντιπρόσωπος ενεργεί μόνο σύμφωνα με τις οδηγίες του και να λάβει εύλογα και κατάλληλα μέτρα i) για να διασφαλίσει ότι ο αντιπρόσωπος επεξεργάζεται ουσιαστικά τις πληροφορίες προσωπικού χαρακτήρα που διαβιβάζονται με τρόπο συνεπή με τις υποχρεώσεις του οργανισμού δυνάμει των Αρχών και ii) για να εξασφαλίσει τη διακοπή και την αποκατάσταση της μη εγκεκριμένης επεξεργασίας, κατόπιν κοινοποίησης (60). Το Υπουργείο Εμπορίου μπορεί να ζητήσει από τον οργανισμό να παράσχει συνοπτικό ή αντιπροσωπευτικό αντίγραφο των διατάξεων της σύμβασης που αφορούν την προστασία των δεδομένων (61). Σε περίπτωση που προκύψουν προβλήματα συμμόρφωσης στην αλυσίδα (υπεργολαβίας) επεξεργασίας, ο οργανισμός που ενεργεί ως υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα υπέχει καταρχήν ευθύνη, όπως προσδιορίζεται στην αρχή της προσφυγής, της επιβολής του νόμου και της ευθύνης, εκτός εάν αποδείξει ότι δεν είναι υπεύθυνος για το γεγονός που προκαλεί τη ζημία (62).

(44)

Βάσει της αρχής της λογοδοσίας, οι οντότητες που επεξεργάζονται δεδομένα πρέπει να εφαρμόζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να συμμορφώνονται ουσιαστικά με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους, ιδίως στην αρμόδια εποπτική αρχή.

(45)

Άπαξ και ένας οργανισμός αποφασίσει οικειοθελώς να πιστοποιηθεί (63) στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ, η αποτελεσματική συμμόρφωση με τις Αρχές είναι υποχρεωτική και εκτελεστή. Βάσει της αρχής της προσφυγής, της επιβολής του νόμου και της ευθύνης (64), οι οργανισμοί του ΠΠΔ ΕΕ–ΗΠΑ πρέπει να παρέχουν αποτελεσματικούς μηχανισμούς που να διασφαλίζουν τη συμμόρφωση με τις Αρχές. Οι οργανισμοί πρέπει, επίσης, να λαμβάνουν μέτρα προκειμένου να εξακριβώνουν (65) ότι οι πολιτικές τους που αφορούν την προστασία των δεδομένων συνάδουν με τις Αρχές και τηρούνται πραγματικά. Αυτό μπορεί να επιτευχθεί είτε μέσω συστήματος αυτοαξιολόγησης, το οποίο πρέπει να περιλαμβάνει εσωτερικές διαδικασίες που να διασφαλίζουν ότι οι εργαζόμενοι λαμβάνουν κατάρτιση σχετικά με την εφαρμογή των πολιτικών του οργανισμού που αφορούν την προστασία των δεδομένων και ότι η συμμόρφωση ελέγχεται ανά τακτά διαστήματα με αντικειμενικό τρόπο, είτε με εξωτερικούς ελέγχους συμμόρφωσης, για τους οποίους οι σχετικές μέθοδοι μπορεί να περιλαμβάνουν ελεγκτικές διαδικασίες, δειγματοληπτικούς ελέγχους ή τη χρήση τεχνολογικών εργαλείων.

(46)

Επίσης, οι οργανισμοί πρέπει να τηρούν αρχείο σχετικά με την εφαρμογή των πρακτικών που ακολουθούν στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ, στο οποίο θα παρέχουν πρόσβαση, κατόπιν αίτησης στο πλαίσιο έρευνας ή καταγγελίας για μη συμμόρφωση σε ανεξάρτητο όργανο επίλυσης διαφορών ή αρμόδια αρχή επιβολής του νόμου (66).

(47)

Το Υπουργείο Εμπορίου διαχειρίζεται και παρακολουθεί το ΠΠΔ ΕΕ–ΗΠΑ. Το πλαίσιο προβλέπει μηχανισμούς εποπτείας και επιβολής, προκειμένου να επαληθεύεται και να διασφαλίζεται ότι οι οργανισμοί του ΠΠΔ ΕΕ–ΗΠΑ συμμορφώνονται με τις Αρχές και ότι κάθε περίπτωση μη συμμόρφωσης αντιμετωπίζεται. Οι μηχανισμοί αυτοί παρατίθενται στις Αρχές (παράρτημα I) και στις δεσμεύσεις που έχουν αναληφθεί από το Υπουργείο Εμπορίου (παράρτημα III), την FTC (παράρτημα IV) και το Υπουργείο Μεταφορών (παράρτημα V).

(48)

Για να πιστοποιηθούν βάσει του ΠΠΔ ΕΕ–ΗΠΑ (ή για να επαναπιστοποιούνται σε ετήσια βάση), οι οργανισμοί υποχρεούνται να δηλώνουν δημόσια τη δέσμευσή τους να τηρούν τις Αρχές, να δημοσιοποιούν τις πολιτικές τους για την προστασία των δεδομένων και να τις εφαρμόζουν πλήρως (67). Στο πλαίσιο της αίτησής τους για (επανα-)πιστοποίηση, οι οργανισμοί πρέπει να υποβάλουν στο Υπουργείο Εμπορίου πληροφορίες σχετικά, μεταξύ άλλων, με το όνομα του σχετικού οργανισμού, περιγραφή των σκοπών για τους οποίους ο οργανισμός θα επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, τα δεδομένα προσωπικού χαρακτήρα που θα καλύπτονται από την πιστοποίηση, καθώς και τη μέθοδο επαλήθευσης που έχει επιλεγεί, τον σχετικό ανεξάρτητο μηχανισμό προσφυγής και τον επίσημο φορέα στην αρμοδιότητα του οποίου υπάγεται η επιβολή της συμμόρφωσης με τις Αρχές (68).

(49)

Οι οργανισμοί μπορούν να λαμβάνουν δεδομένα προσωπικού χαρακτήρα βάσει του ΠΠΔ ΕΕ–ΗΠΑ από την ημερομηνία ένταξής τους στον κατάλογο του ΠΠΔ από το Υπουργείο Εμπορίου. Προκειμένου να κατοχυρώνεται η ασφάλεια δικαίου και να αποφεύγονται «ψευδείς ισχυρισμοί», οι οργανισμοί που πιστοποιούνται για πρώτη φορά δεν επιτρέπεται να αναφέρονται δημόσια στην από μέρους τους τήρηση των Αρχών πριν το Υπουργείο Εμπορίου να αποφασίσει ότι η αίτηση που υπέβαλε ο οργανισμός για την πιστοποίηση είναι πλήρης και να προσθέσει το οργανισμό στον κατάλογο του ΠΠΔ (69). Προκειμένου να επιτρέπεται στους εν λόγω οργανισμούς να συνεχίσουν να λαμβάνουν δεδομένα προσωπικού χαρακτήρα από την Ένωση βάσει του ΠΠΔ ΕΕ–ΗΠΑ, οι οργανισμοί πρέπει να επαναπιστοποιούν σε ετήσια βάση τη συμμετοχή τους στο πλαίσιο. Όταν ένας οργανισμός αποχωρεί από το ΠΠΔ ΕΕ–ΗΠΑ για οποιονδήποτε λόγο, πρέπει να διαγράφει κάθε δήλωση με την οποία υπονοείται ότι ο οργανισμός εξακολουθεί να συμμετέχει στο πλαίσιο (70).

(50)

Όπως αποτυπώνεται στις δεσμεύσεις που περιλαμβάνονται στο παράρτημα III, το Υπουργείο Εμπορίου θα επαληθεύει αν οι οργανισμοί πληρούν όλες τις απαιτήσεις πιστοποίησης και εφαρμόζουν (δημόσια) πολιτική προστασίας των δεδομένων που περιέχει τις πληροφορίες που απαιτούνται βάσει της αρχής της κοινοποίησης (71). Αξιοποιώντας την πείρα από τη διαδικασία (επανα-)πιστοποίησης στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής, το Υπουργείο Εμπορίου θα διενεργήσει σειρά ελέγχων, μεταξύ άλλων για να εξακριβώσει αν οι πολιτικές των οργανισμών για την προστασία των δεδομένων περιλαμβάνουν υπερσύνδεσμο προς το σωστό έντυπο καταγγελίας στον δικτυακό τόπο του σχετικού μηχανισμού επίλυσης διαφορών και, όταν σε μια αίτηση πιστοποίησης περιλαμβάνονται διάφορες οντότητες και θυγατρικές ενός οργανισμού, αν οι πολιτικές καθεμίας από τις εν λόγω οντότητες για την προστασία των δεδομένων πληρούν τις απαιτήσεις πιστοποίησης και είναι άμεσα διαθέσιμες στα υποκείμενα των δεδομένων (72). Επίσης, όπου απαιτείται, το Υπουργείο Εμπορίου θα διενεργεί διασταυρούμενους ελέγχους με την FTC και το Υπουργείο Μεταφορών για να επαληθεύει ότι οι οργανισμοί υπόκεινται σε φορέα εποπτείας που προσδιορίζεται στις αιτήσεις (επανα-)πιστοποίησής τους και θα συνεργάζεται με φορείς εναλλακτικών μηχανισμών επίλυσης διαφορών για να επαληθεύει ότι οι οργανισμοί έχουν καταχωριστεί στον ανεξάρτητο μηχανισμό προσφυγής που προσδιορίζεται στην οικεία αίτηση (επανα-)πιστοποίησης (73).

(51)

Το Υπουργείο Εμπορίου θα ενημερώνει τους οργανισμούς ότι, προκειμένου να ολοκληρωθεί η (επανα-)πιστοποίηση, πρέπει να αντιμετωπιστούν όλα τα ζητήματα που εντοπίστηκαν κατά τον έλεγχο που διενήργησε. Εάν ένας οργανισμός δεν απαντήσει εντός της προθεσμίας που θέτει το Υπουργείο Εμπορίου (για παράδειγμα, όσον αφορά την επαναπιστοποίηση, η διαδικασία αναμένεται να ολοκληρώνεται εντός 45 ημερών) (74) ή δεν ολοκληρώσει με άλλον τρόπο την πιστοποίησή του, η αίτηση θα θεωρείται ότι έχει εγκαταλειφθεί. Στην περίπτωση αυτή, οποιοσδήποτε ψευδής ισχυρισμός συμμετοχής στο ΔΠΠ ΕΕ–ΗΠΑ ή συμμόρφωσης με αυτό μπορεί να υπόκειται σε μέτρα επιβολής από την FTC ή το Υπουργείο Μεταφορών (75).

(52)

Για τη διασφάλιση της ορθής εφαρμογής του ΠΠΔ ΕΕ–ΗΠΑ, τα ενδιαφερόμενα μέρη, όπως είναι τα υποκείμενα των δεδομένων, οι εξαγωγείς δεδομένων και οι εθνικές αρχές προστασίας των δεδομένων (στο εξής: ΑΠΔ), πρέπει να μπορούν να εντοπίζουν τους οργανισμούς που τηρούν τις Αρχές. Προκειμένου να διασφαλίζεται η εν λόγω διαφάνεια στο «σημείο εισόδου», το Υπουργείο Εμπορίου έχει δεσμευτεί να τηρεί και να θέτει στη διάθεση του κοινού κατάλογο των οργανισμών οι οποίοι έχουν πιστοποιήσει τη συμμόρφωσή τους με τις Αρχές και οι οποίοι υπάγονται στην αρμοδιότητα μίας τουλάχιστον από τις αρχές επιβολής του νόμου που αναφέρονται στα παραρτήματα IV και V της παρούσας απόφασης (76). Το Υπουργείο Εμπορίου θα επικαιροποιεί τον κατάλογο με βάση την ετήσια υποβαλλόμενη αίτηση επαναπιστοποίησης ενός οργανισμού και όποτε ένας οργανισμός αποχωρεί ή διαγράφεται από το ΠΠΔ ΕΕ–ΗΠΑ. Επίσης, προκειμένου να διασφαλίζεται η διαφάνεια και στο «σημείο εξόδου», το Υπουργείο Εμπορίου θα τηρεί και θα θέτει στη διάθεση του κοινού αρχείο των οργανισμών που έχουν διαγραφεί από τον κατάλογο, προσδιορίζοντας σε κάθε περίπτωση τον λόγο της διαγραφής (77). Τέλος, θα παρέχει σύνδεσμο προς την ιστοσελίδα της FTC για το ΠΠΔ ΕΕ–ΗΠΑ, στην οποία θα απαριθμούνται τα μέτρα επιβολής που έχει λάβει η FTC βάσει του πλαισίου (78).

(53)

Το Υπουργείο Εμπορίου θα παρακολουθεί συνεχώς την ουσιαστική τήρηση των Αρχών από τους οργανισμούς του ΠΠΔ ΕΕ–ΗΠΑ μέσω διαφόρων μηχανισμών (79). Ειδικότερα, θα διενεργεί «επιτόπιους ελέγχους» τυχαία επιλεγμένων οργανισμών, καθώς και ad hoc επιτόπιους ελέγχους συγκεκριμένων οργανισμών, όταν εντοπίζονται πιθανά ζητήματα συμμόρφωσης (π.χ. τα οποία καταγγέλλονται στο Υπουργείο Εμπορίου από τρίτους), ώστε να επαληθεύει αν i) το σημείο ή τα σημεία επαφής για τον χειρισμό καταγγελιών και αιτημάτων των υποκειμένων των δεδομένων είναι διαθέσιμα και ανταποκρίνονται· ii) η πολιτική του οργανισμού για την προστασία των δεδομένων είναι άμεσα διαθέσιμη, τόσο στον δικτυακό τόπο του όσο και μέσω υπερσυνδέσμου στον δικτυακό τόπο του Υπουργείου Εμπορίου· iii) η πολιτική του οργανισμού για την προστασία των δεδομένων εξακολουθεί να συμμορφώνεται με τις απαιτήσεις πιστοποίησης και iv) ο ανεξάρτητος μηχανισμός επίλυσης διαφορών που έχουν επιλέξει οι οργανισμοί είναι διαθέσιμος για τη διεκπεραίωση καταγγελιών (80).

(54)

Αν υπάρχουν αξιόπιστες αποδείξεις ότι ένας οργανισμός δεν τηρεί τις δεσμεύσεις του βάσει του ΠΠΔ ΕΕ–ΗΠΑ (μεταξύ άλλων, αν το Υπουργείο Εμπορίου λάβει καταγγελίες ή ο οργανισμός δεν απαντήσει ικανοποιητικά στα ερωτήματα του Υπουργείου Εμπορίου), το Υπουργείο Εμπορίου θα ζητήσει από τον οργανισμό να συμπληρώσει και να υποβάλει λεπτομερές ερωτηματολόγιο (81). Οι οργανισμοί που δεν απαντούν ικανοποιητικά και εγκαίρως στο ερωτηματολόγιο θα παραπέμπονται στην αρμόδια αρχή (FTC ή Υπουργείο Μεταφορών) για ενδεχόμενη λήψη μέτρων επιβολής του νόμου (82). Μεταξύ των δραστηριοτήτων παρακολούθησης της συμμόρφωσης στο πλαίσιο της ασπίδας προστασίας της ιδιωτικής ζωής, το Υπουργείο Εμπορίου πραγματοποιούσε τακτικά τους επιτόπιους ελέγχους που αναφέρονται στην αιτιολογική σκέψη 53 και παρακολουθούσε συνεχώς δημόσιες εκθέσεις, οι οποίες του έδιναν τη δυνατότητα να εντοπίζει, να αντιμετωπίζει και να επιλύει ζητήματα συμμόρφωσης (83). Οι οργανισμοί για τους οποίους διαπιστώνεται επανειλημμένη μη συμμόρφωση με τις Αρχές θα διαγράφονται από τον κατάλογο του ΠΠΔ και θα υποχρεούνται να επιστρέψουν ή να διαγράψουν τα δεδομένα προσωπικού χαρακτήρα τα οποία έχουν παραλάβει βάσει του πλαισίου (84).

(55)

Σε άλλες περιπτώσεις διαγραφής, όπως η οικειοθελής αποχώρηση ή η μη επαναπιστοποίηση, ο οργανισμός πρέπει είτε να διαγράψει είτε να επιστρέψει τα δεδομένα, ή μπορεί να διατηρεί τα εν λόγω δεδομένα, εφόσον επιβεβαιώνει στο Υπουργείο Εμπορίου σε ετήσια βάση τη δέσμευσή του να συνεχίσει να εφαρμόζει τις Αρχές ή παρέχει επαρκή προστασία για τα δεδομένα προσωπικού χαρακτήρα με άλλο επιτρεπόμενο τρόπο (π.χ. με χρήση σύμβασης που αντικατοπτρίζει πλήρως τις απαιτήσεις των σχετικών πρότυπων συμβατικών ρητρών που εγκρίνονται από την Επιτροπή) (85). Σε αυτήν την περίπτωση, ο οργανισμός πρέπει επίσης να ορίσει σημείο επαφής εντός της οργανωτικής δομής του για όλα τα ζητήματα που σχετίζονται με το ΠΠΔ ΕΕ–ΗΠΑ.

(56)

Το Υπουργείο Εμπορίου θα παρακολουθεί κάθε ψευδή ισχυρισμό σχετικά με συμμετοχή στο ΠΠΔ ΕΕ–ΗΠΑ ή τυχόν αθέμιτη χρήση του σήματος πιστοποίησης του ΠΠΔ ΕΕ–ΗΠΑ, τόσο αυτεπάγγελτα όσο και βάσει καταγγελιών (π.χ. που λαμβάνονται από ΑΠΔ) (86). Ειδικότερα, το Υπουργείο Εμπορίου θα επαληθεύει συνεχώς ότι οι οργανισμοί που i) αποσύρουν τη συμμετοχή τους στο ΠΠΔ ΕΕ–ΗΠΑ, δεν ολοκληρώνουν την ετήσια επαναπιστοποίηση (δηλ. ξεκίνησαν αλλά δεν ολοκλήρωσαν εγκαίρως τη διαδικασία ετήσιας επαναπιστοποίησης ή δεν ξεκίνησαν καν τη διαδικασία ετήσιας επαναπιστοποίησης), iii) διαγράφονται από τον κατάλογο συμμετεχόντων, κυρίως λόγω «επανειλημμένης μη συμμόρφωσης» ή iv) δεν ολοκληρώνουν την αρχική πιστοποίηση (δηλ. ξεκίνησαν αλλά δεν ολοκλήρωσαν εγκαίρως τη διαδικασία αρχικής πιστοποίησης), διαγράφονται από κάθε συναφή δημοσιευμένη αναφορά στο ΠΠΔ ΕΕ–ΗΠΑ όσον αφορά την πολιτική για την προστασία των δεδομένων η οποία υποδηλώνει ότι ο οργανισμός συμμετέχει ενεργά στο πλαίσιο (87). Το Υπουργείο Εμπορίου θα πραγματοποιεί επίσης αναζητήσεις στο διαδίκτυο για να εντοπίζει αναφορές στο ΠΠΔ ΕΕ–ΗΠΑ στις πολιτικές των οργανισμών για την προστασία των δεδομένων, μεταξύ άλλων για να εντοπίζει ψευδείς ισχυρισμούς οργανισμών που δεν συμμετείχαν ποτέ στο ΠΠΔ ΕΕ–ΗΠΑ (88).

(57)

Όταν το Υπουργείο Εμπορίου διαπιστώνει ότι αναφορές στο ΠΠΔ ΕΕ–ΗΠΑ δεν έχουν διαγραφεί ή χρησιμοποιούνται με τρόπο ακατάλληλο, θα ενημερώνει τον οργανισμό σχετικά με πιθανή παραπομπή στην FTC ή στο Υπουργείο Μεταφορών (89). Εάν ένας οργανισμός δεν ανταποκριθεί ικανοποιητικά, το Υπουργείο Εμπορίου θα παραπέμπει το θέμα στην αρμόδια υπηρεσία για ενδεχόμενη λήψη μέτρων επιβολής του νόμου (90). Κάθε ψευδής δήλωση προς το ευρύ κοινό στην οποία προβαίνει οργανισμός όσον αφορά την τήρηση των Αρχών εκ μέρους του με τη μορφή παραπλανητικών δηλώσεων ή πρακτικών συνεπάγεται τη λήψη μέτρων επιβολής του νόμου από την FTC, το Υπουργείο Μεταφορών ή από άλλες αρμόδιες αρχές επιβολής του νόμου των ΗΠΑ. Οι ψευδείς δηλώσεις προς το Υπουργείο Εμπορίου συνεπάγονται επιβολή κυρώσεων βάσει του νόμου για την υποβολή ψευδών δηλώσεων (False Statements Act) (τίτλος 18 U.S.C. άρθρο 1001).

(58)

Για να είναι εγγυημένη η διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων στην πράξη, είναι αναγκαία η ύπαρξη ανεξάρτητης εποπτικής αρχής με εξουσίες παρακολούθησης και επιβολής της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων.

(59)

Οι οργανισμοί του ΠΠΔ ΕΕ–ΗΠΑ πρέπει να υπάγονται στην αρμοδιότητα των οικείων αρχών των ΗΠΑ —της FTC και του Υπουργείου Μεταφορών— οι οποίες διαθέτουν τις αναγκαίες εξουσίες έρευνας και επιβολής του νόμου για την αποτελεσματική διασφάλιση της συμμόρφωσης με τις Αρχές (91).

(60)

Η FTC είναι ανεξάρτητη αρχή αποτελούμενη από πέντε επιτρόπους, οι οποίοι διορίζονται από τον πρόεδρο των ΗΠΑ με τη συμβουλή και τη συγκατάθεση της Γερουσίας (92). Οι επίτροποι διορίζονται για επταετή θητεία και μπορούν να καθαιρεθούν μόνο από τον πρόεδρο για λόγους αναποτελεσματικότητας, αμέλειας ή παράβασης καθήκοντος. Η FTC δεν μπορεί να έχει περισσότερους από τρεις επιτρόπους του ίδιου πολιτικού κόμματος και οι επίτροποι δεν μπορούν, κατά τη διάρκεια της θητείας τους, να ασκούν άλλες επιχειρηματικές δραστηριότητες, άλλο επάγγελμα ή να έχουν άλλη εργασία.

(61)

Η FTC μπορεί να ερευνά τη συμμόρφωση με τις Αρχές, καθώς και ψευδείς ισχυρισμούς τήρησης των Αρχών ή συμμετοχής στο ΠΠΔ ΕΕ–ΗΠΑ στους οποίους προβαίνουν οργανισμοί που δεν είναι πια στον κατάλογο του ΠΠΔ ή που δεν έχουν πιστοποιηθεί ποτέ (93). Η FTC μπορεί να επιβάλει τη συμμόρφωση μέσω της έκδοσης διαταγών από διοικητικές αρχές ή ομοσπονδιακά δικαστήρια [συμπεριλαμβανομένων των «διαταγών κατόπιν συμφωνίας» (consent order) που εκδίδονται μέσω διακανονισμού] (94) για προσωρινά ή μόνιμα ασφαλιστικά μέτρα ή άλλα μέσα έννομης προστασίας, και θα παρακολουθεί συστηματικά τη συμμόρφωση με τις εν λόγω διαταγές (95). Σε περίπτωση μη συμμόρφωσης των οργανισμών με τις εν λόγω διαταγές, η FTC μπορεί να επιδιώξει την επιβολή αστικών κυρώσεων και άλλων μέσων έννομης προστασίας, μεταξύ άλλων και για κάθε ζημία που προκλήθηκε από την παράνομη συμπεριφορά. Κάθε διαταγή κατόπιν συμφωνίας που εκδίδεται προς οργανισμό του ΠΠΔ ΕΕ–ΗΠΑ θα περιλαμβάνει διατάξεις σχετικά με ίδια υποβολή εκθέσεων (96) και οι οργανισμοί θα υποχρεούνται να δημοσιοποιούν κάθε συναφές με το ΠΠΔ ΕΕ–ΗΠΑ τμήμα οποιασδήποτε έκθεσης συμμόρφωσης ή αξιολόγησης που υποβάλλεται στην FTC. Τέλος, η FTC θα διατηρεί ηλεκτρονικό κατάλογο των οργανισμών για τους οποίους έχουν εκδοθεί διαταγές από την FTC ή δικαστικές διαταγές σε υποθέσεις που αφορούν το ΠΠΔ ΕΕ–ΗΠΑ (97).

(62)

Όσον αφορά την ασπίδα προστασίας της ιδιωτικής ζωής, η FTC έλαβε μέτρα επιβολής του νόμου σε περίπου 22 περιπτώσεις, τόσο όσον αφορά παραβιάσεις συγκεκριμένων απαιτήσεων του πλαισίου (π.χ. μη επιβεβαίωση στο Υπουργείο Εμπορίου ότι ο οργανισμός συνέχισε να εφαρμόζει τις ρυθμίσεις προστασίας της ασπίδας προστασίας της ιδιωτικής ζωής μετά την αποχώρησή του από το πλαίσιο, μη επαλήθευση, μέσω αυτοαξιολόγησης ή εξωτερικού ελέγχου της συμμόρφωσης, ότι ο οργανισμός συμμορφώθηκε με το πλαίσιο) (98) όσο και όσον αφορά ψευδείς ισχυρισμούς συμμετοχής στο πλαίσιο (π.χ. από οργανισμούς που δεν ολοκλήρωσαν τα αναγκαία βήματα για την απόκτηση πιστοποίησης ή των οποίων η πιστοποίηση έληξε, αλλά ισχυρίζονταν ψευδώς ότι εξακολουθούν να συμμετέχουν στο πλαίσιο) (99). Τα εν λόγω μέτρα επιβολής του νόμου προέκυψαν, μεταξύ άλλων, από την προορατική χρήση διοικητικών κλητεύσεων για τη λήψη υλικού από ορισμένους συμμετέχοντες στην ασπίδα προστασίας της ιδιωτικής ζωής για τον έλεγχο ουσιαστικών παραβιάσεων των υποχρεώσεων της ασπίδας προστασίας (100).

(63)

Γενικότερα, η FTC έχει λάβει τα τελευταία έτη μέτρα επιβολής σε διάφορες περιπτώσεις που αφορούν τη συμμόρφωση με ειδικές απαιτήσεις προστασίας δεδομένων που προβλέπονται επίσης στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ, π.χ. όσον αφορά τις αρχές του περιορισμού του σκοπού και της διατήρησης των δεδομένων (101), της ελαχιστοποίησης των δεδομένων (102), της ασφάλειας των δεδομένων (103) και της ακρίβειας των δεδομένων (104).

(64)

Το Υπουργείο Μεταφορών διαθέτει αποκλειστική αρμοδιότητα να ρυθμίζει τις πρακτικές προστασίας της ιδιωτικής ζωής που εφαρμόζουν οι αεροπορικές εταιρείες και έχει από κοινού αρμοδιότητα με την FTC όσον αφορά τις πρακτικές προστασίας της ιδιωτικής ζωής που εφαρμόζουν οι τουριστικοί πράκτορες κατά την πώληση υπηρεσιών αεροπορικών μεταφορών. Οι υπάλληλοι του Υπουργείου Μεταφορών επιδιώκουν πρωτίστως την επίτευξη συμβιβασμού και, εάν αυτό δεν είναι δυνατόν, μπορούν να κινήσουν διαδικασία επιβολής του νόμου που θα περιλαμβάνει κατάθεση ενώπιον διοικητικού δικαστή του Υπουργείου Μεταφορών, ο οποίος διαθέτει την εξουσία να εκδίδει διοικητικές πράξεις παύσης και παράλειψης και να επιβάλλει αστικές κυρώσεις (105). Ο νόμος για τις διοικητικές διαδικασίες (APA) προβλέπει διάφορες ρυθμίσεις προστασίας οι οποίες διασφαλίζουν την ανεξαρτησία και την αμεροληψία των διοικητικών δικαστών. Για παράδειγμα, οι διοικητικοί δικαστές μπορούν να απολυθούν μόνο για σοβαρό λόγο· αναλαμβάνουν υποθέσεις εκ περιτροπής· δεν μπορούν να ασκούν καθήκοντα που δεν συνάδουν με τα καθήκοντα και τις ευθύνες τους ως διοικητικών δικαστών· δεν υπόκεινται στην εποπτεία της ομάδας διεξαγωγής ερευνών της αρχής στην οποία απασχολούνται (στην προκειμένη περίπτωση, το Υπουργείο Μεταφορών)· και πρέπει να ασκούν τα καθήκοντα απονομής της δικαιοσύνης / επιβολής του νόμου με αμεροληψία (106). Το Υπουργείο Μεταφορών έχει δεσμευτεί να παρακολουθεί τις διαταγές επιβολής του νόμου και να διασφαλίζει ότι οι διαταγές που εκδίδονται σε υποθέσεις που αφορούν το ΠΠΔ ΕΕ–ΗΠΑ είναι διαθέσιμες στον δικτυακό τόπο του (107).

(65)

Για να διασφαλίζεται επαρκής προστασία και, ιδίως, η επιβολή των ατομικών δικαιωμάτων, το υποκείμενο των δεδομένων θα πρέπει να έχει στη διάθεσή του αποτελεσματικά μέσα διοικητικής και δικαστικής προσφυγής.

(66)

Το ΠΠΔ ΕΕ–ΗΠΑ, μέσω της αρχής της προσφυγής, της επιβολής του νόμου και της ευθύνης, προβλέπει ότι οι οργανισμοί πρέπει να παρέχουν μέσα προσφυγής στα πρόσωπα που θίγονται από μη συμμόρφωση και, επομένως, ότι τα υποκείμενα των δεδομένων της Ένωσης έχουν τη δυνατότητα να υποβάλουν καταγγελίες σχετικά με τη μη συμμόρφωση οργανισμών του ΠΠΔ ΕΕ–ΗΠΑ και ότι τα καταγγελλόμενα ζητήματα πρέπει να διευθετούνται, εάν είναι αναγκαίο μέσω απόφασης με την οποία παρέχεται αποτελεσματική έννομη προστασία (108). Στο πλαίσιο της πιστοποίησής τους, οι οργανισμοί πρέπει να πληρούν τις απαιτήσεις αυτής της Αρχής, παρέχοντας αποτελεσματικούς και άμεσα διαθέσιμους ανεξάρτητους μηχανισμούς προσφυγής, μέσω των οποίων καθίσταται δυνατή η διερεύνηση και η άμεση διευθέτηση των καταγγελιών και των διαφορών κάθε προσώπου χωρίς κόστος γι’ αυτό (109).

(67)

Οι οργανισμοί δύνανται να επιλέγουν ανεξάρτητους μηχανισμούς προσφυγής που βρίσκονται είτε στην Ένωση είτε στις Ηνωμένες Πολιτείες. Όπως εξηγείται λεπτομερέστερα στην αιτιολογική σκέψη 73, αυτό περιλαμβάνει τη δυνατότητα οικειοθελούς δέσμευσης για συνεργασία με τις ΑΠΔ της ΕΕ. Όταν οι οργανισμοί επεξεργάζονται δεδομένα ανθρώπινου δυναμικού, η εν λόγω δέσμευση συνεργασίας με τις ΑΠΔ της ΕΕ είναι υποχρεωτική. Άλλες πιθανές εναλλακτικές λύσεις είναι η εναλλακτική επίλυση διαφορών ή προγράμματα προστασίας της ιδιωτικής ζωής που έχουν αναπτυχθεί από τον ιδιωτικό τομέα και στους κανόνες των οποίων έχουν ενσωματωθεί οι Αρχές. Στα προγράμματα αυτά πρέπει να περιλαμβάνονται αποτελεσματικοί μηχανισμοί επιβολής του νόμου σύμφωνα με τις απαιτήσεις της αρχής της προσφυγής, της επιβολής του νόμου και της ευθύνης.

(68)

Κατά συνέπεια, το ΠΠΔ ΕΕ–ΗΠΑ παρέχει στα υποκείμενα των δεδομένων σειρά δυνατοτήτων για την επιβολή των δικαιωμάτων τους, την υποβολή καταγγελιών σχετικά με περιπτώσεις μη συμμόρφωσης οργανισμών της ΕΕ ή των ΗΠΑ και την επίλυση των καταγγελιών τους, εν ανάγκη μέσω απόφασης που παρέχει αποτελεσματική έννομη προστασία. Τα φυσικά πρόσωπα μπορούν να υποβάλουν καταγγελίες απευθείας σε έναν οργανισμό, σε ανεξάρτητο φορέα επίλυσης διαφορών που έχει ορίσει ο οργανισμός, στις εθνικές ΑΠΔ, στο Υπουργείο Εμπορίου ή στην FTC. Στις περιπτώσεις στις οποίες οι καταγγελίες δεν διευθετούνται στο πλαίσιο ενός από τους εν λόγω μηχανισμούς προσφυγής ή επιβολής του νόμου, τα φυσικά πρόσωπα έχουν επίσης το δικαίωμα να επικαλεστούν δεσμευτική διαιτησία (παράρτημα I της παρούσας απόφασης). Εκτός από την επιτροπή διαιτησίας, για την επίκληση της οποίας πρέπει πρώτα να έχουν εξαντληθεί ορισμένα άλλα μέσα προσφυγής, τα φυσικά πρόσωπα είναι ελεύθερα να προσφεύγουν σε οποιονδήποτε ή σε όλους τους μηχανισμούς προσφυγής της επιλογής τους και δεν υποχρεούνται να επιλέγουν έναν μηχανισμό αντί άλλου ή να ακολουθούν συγκεκριμένη σειρά.

(69)

Πρώτον, τα υποκείμενα δεδομένων της ΕΕ μπορούν να δίνουν συνέχεια σε περιπτώσεις μη συμμόρφωσης με τις Αρχές μέσω απευθείας επαφών με τους οργανισμούς του ΠΠΔ ΕΕ–ΗΠΑ (110). Για τη διευκόλυνση της επίλυσης, ο οργανισμός πρέπει να θέτει σε εφαρμογή αποτελεσματικό μηχανισμό προσφυγής για τον χειρισμό των εν λόγω καταγγελιών. Ως εκ τούτου, η πολιτική ενός οργανισμού για την προστασία των δεδομένων πρέπει να ενημερώνει με σαφήνεια το κοινό σχετικά με την ύπαρξη σημείου επαφής, είτε εντός είτε εκτός του οργανισμού, το οποίο θα χειρίζεται τις καταγγελίες (συμπεριλαμβανομένου οποιουδήποτε συναφούς φορέα στην Ένωση που μπορεί να απαντά σε ερωτήματα ή καταγγελίες) και σχετικά με τον εντεταλμένο ανεξάρτητο φορέα επίλυσης διαφορών (βλ. αιτιολογική σκέψη 70). Αμέσως μετά την παραλαβή μιας καταγγελίας, απευθείας από ένα πρόσωπο ή μέσω του Υπουργείου Εμπορίου κατόπιν παραπομπής από ΑΠΔ, ο οργανισμός οφείλει να απαντήσει στο υποκείμενο των δεδομένων της ΕΕ εντός περιόδου 45 ημερών (111). Ομοίως, οι οργανισμοί οφείλουν να απαντούν άμεσα σε ερωτήσεις και άλλα αιτήματα για πληροφορίες που υποβάλλονται από το Υπουργείο Εμπορίου ή από ΑΠΔ (112) (όταν ο οργανισμός έχει δεσμευτεί να συνεργάζεται με τις ΑΠΔ) και αφορούν τη συμμόρφωσή τους με τις Αρχές.

(70)

Δεύτερον, άτομα μπορούν επίσης να υποβάλουν καταγγελία απευθείας σε ανεξάρτητο φορέα επίλυσης διαφορών (είτε στις ΗΠΑ είτε στην Ένωση) που έχει οριστεί από έναν οργανισμό για τη διερεύνηση και την επίλυση ατομικών καταγγελιών (εκτός εάν είναι προφανώς αβάσιμες ή ανούσιες) και για την παροχή κατάλληλου δωρεάν μηχανισμού προσφυγής για φυσικά πρόσωπα (113). Οι κυρώσεις και τα διορθωτικά μέτρα που επιβάλλονται από τον εν λόγω φορέα πρέπει να είναι επαρκώς αυστηρά ώστε να διασφαλίζουν τη συμμόρφωση των οργανισμών με τις Αρχές και θα πρέπει να προβλέπουν την άρση ή τη διόρθωση, εκ μέρους του οργανισμού, των αποτελεσμάτων της έλλειψης συμμόρφωσης και, ανάλογα με τις περιστάσεις, τον τερματισμό της περαιτέρω επεξεργασίας των επίμαχων δεδομένων προσωπικού χαρακτήρα και/ή τη διαγραφή τους, καθώς και τη δημοσιοποίηση των διαπιστώσεων που αφορούν μη συμμόρφωση (114). Οι ανεξάρτητοι φορείς επίλυσης διαφορών που ορίζονται από έναν οργανισμό υποχρεούνται να συμπεριλαμβάνουν στους δημόσιους δικτυακούς τους τόπους συναφείς πληροφορίες για το ΠΠΔ ΕΕ–ΗΠΑ και για τις υπηρεσίες τις οποίες παρέχουν στο πλαίσιο αυτού (115). Σε ετήσια βάση, πρέπει να δημοσιεύουν ετήσια έκθεση στην οποία θα παρατίθενται συγκεντρωτικά στατιστικά στοιχεία σχετικά με τις εν λόγω υπηρεσίες (116).

(71)

Στο πλαίσιο των οικείων διαδικασιών ελέγχου της συμμόρφωσης, το Υπουργείο Εμπορίου μπορεί να εξακριβώνει αν οι οργανισμοί του ΠΠΔ ΕΕ–ΗΠΑ έχουν πράγματι καταχωριστεί στους ανεξάρτητους μηχανισμούς προσφυγής στους οποίους ισχυρίζονται ότι είναι καταχωρισμένοι (117). Τόσο οι οργανισμοί όσο και οι αρμόδιοι ανεξάρτητοι μηχανισμοί προσφυγής υποχρεούνται να απαντούν αμέσως σε ερωτήματα και αιτήματα για παροχή πληροφοριών τα οποία υποβάλλονται από το Υπουργείο Εμπορίου σχετικά με το ΠΠΔ ΕΕ–ΗΠΑ. Το Υπουργείο Εμπορίου θα συνεργάζεται με ανεξάρτητους μηχανισμούς προσφυγής προκειμένου να επαληθεύει ότι αυτοί περιλαμβάνουν στους δικτυακούς τους τόπους πληροφορίες σχετικά με τις Αρχές και τις υπηρεσίες που παρέχουν βάσει του ΠΠΔ ΕΕ–ΗΠΑ και ότι δημοσιεύουν ετήσιες εκθέσεις (118).

(72)

Σε περιπτώσεις που ο οργανισμός δεν συμμορφώνεται με την απόφαση φορέα επίλυσης διαφορών ή αυτορρυθμιζόμενου φορέα, ο εν λόγω φορέας πρέπει να γνωστοποιεί την εν λόγω μη συμμόρφωση στο Υπουργείο Εμπορίου και στην FTC (ή σε άλλη αρχή των ΗΠΑ που έχει αρμοδιότητα για τη διερεύνηση περιπτώσεων μη συμμόρφωσης οργανισμών), ή σε αρμόδιο δικαστήριο (119). Εάν ένας οργανισμός αρνείται να συμμορφωθεί με τελική απόφαση αυτορρυθμιζόμενου φορέα στον τομέα της προστασίας της ιδιωτικής ζωής, ανεξάρτητου φορέα επίλυσης διαφορών ή κυβερνητικού φορέα, ή στην περίπτωση που ο εν λόγω φορέας αποφασίσει ότι ένας οργανισμός επανειλημμένως δεν συμμορφώνεται με τις Αρχές, αυτό μπορεί να θεωρηθεί επανειλημμένη μη συμμόρφωση, με αποτέλεσμα το Υπουργείο Εμπορίου, κατόπιν παροχής προειδοποίησης 30 ημερών και της ευκαιρίας στον μη συμμορφούμενο οργανισμό να απαντήσει, να διαγράψει τον οργανισμό από τον κατάλογο του ΠΠΔ (120). Αν, μετά τη διαγραφή, ο οργανισμός συνεχίσει να ισχυρίζεται ότι είναι πιστοποιημένος βάσει του ΠΠΔ ΕΕ–ΗΠΑ, το Υπουργείο τον παραπέμπει στην FTC ή σε άλλη υπηρεσία επιβολής του νόμου (121).

(73)

Τρίτον, τα πρόσωπα δύνανται επίσης να υποβάλουν τις καταγγελίες τους σε εθνική ΑΠΔ στην Ένωση, η οποία μπορεί να χρησιμοποιήσει τις εξουσίες έρευνας και επανόρθωσης που διαθέτει δυνάμει του κανονισμού (ΕΕ) 2016/679. Οι οργανισμοί υποχρεούνται να συνεργάζονται κατά τη διερεύνηση και την επίλυση καταγγελίας από ΑΠΔ είτε όσον αφορά την επεξεργασία δεδομένων ανθρώπινου δυναμικού που συλλέγονται στο πλαίσιο εργασιακής σχέσης είτε όταν ο αντίστοιχος μηχανισμός έχει οικειοθελώς υποβληθεί στην εποπτεία των ΑΠΔ (122). Συγκεκριμένα, οι οργανισμοί οφείλουν να απαντούν σε ερωτήματα, να συμμορφώνονται με τις συμβουλές που διατυπώνει η ΑΠΔ, μεταξύ άλλων και όσον αφορά διορθωτικά ή αντισταθμιστικά μέτρα, καθώς και να παρέχουν στην ΑΠΔ γραπτή επιβεβαίωση της λήψης των εν λόγω μέτρων (123). Σε περιπτώσεις μη συμμόρφωσης με τις συμβουλές που παρέχει η ΑΠΔ, η ΑΠΔ παραπέμπει τις υποθέσεις αυτές στο Υπουργείο Εμπορίου (το οποίο μπορεί να διαγράψει οργανισμούς από τον κατάλογο του ΠΠΔ ΕΕ–ΗΠΑ) ή, με σκοπό την ενδεχόμενη λήψη μέτρων επιβολής, στην FTC ή στο Υπουργείο Μεταφορών (η μη συνεργασία με τις ΑΠΔ ή η μη συμμόρφωση με τις Αρχές επιδέχεται κυρώσεις βάσει του δικαίου των ΗΠΑ) (124).

(74)

Για να διευκολυνθεί η συνεργασία για την αποτελεσματική διεκπεραίωση των καταγγελιών, τόσο το Υπουργείο Εμπορίου όσο και η FTC έχουν δημιουργήσει ειδικό σημείο επαφής που είναι αρμόδιο για την απευθείας επικοινωνία με τις ΑΠΔ (125). Τα εν λόγω σημεία επαφής συνδράμουν στο να απαντηθούν τα ερωτήματα των ΑΠΔ σχετικά με τη συμμόρφωση ενός οργανισμού με τις Αρχές.

(75)

Οι συμβουλές που παρέχονται από τις ΑΠΔ (126) εκδίδονται εφόσον και οι δύο πλευρές μιας διαφοράς είχαν εύλογη ευκαιρία να υποβάλουν τις παρατηρήσεις τους και να προσκομίσουν τα αποδεικτικά στοιχεία που επιθυμούν. Ο φορέας μπορεί να παρέχει συμβουλές στο συντομότερο χρονικό διάστημα που επιτρέπει η απαίτηση τήρησης των διαδικαστικών εγγυήσεων, και κατά κανόνα εντός 60 ημερών από την παραλαβή μιας καταγγελίας (127). Εάν ένας οργανισμός δεν συμμορφωθεί εντός 25 ημερών από την παροχή της σχετικής συμβουλής και δεν έχει παράσχει ικανοποιητικές εξηγήσεις για την καθυστέρηση, ο φορέας μπορεί να γνωστοποιεί την πρόθεσή του είτε να υποβάλει το θέμα στην FTC (ή σε άλλη αρμόδια αρχή επιβολής του νόμου των ΗΠΑ) είτε να συμπεράνει ότι η δέσμευση συνεργασίας έχει παραβιαστεί σοβαρά. Η πρώτη εναλλακτική επιλογή μπορεί να οδηγήσει σε μέτρα επιβολής του νόμου, βάσει του άρθρου 5 του νόμου για την FTC (ή παρόμοιας νομοθετικής πράξης) (128). Σύμφωνα με τη δεύτερη εναλλακτική επιλογή, ο φορέας θα ενημερώσει το Υπουργείο Εμπορίου, το οποίο θα θεωρήσει την άρνηση του οργανισμού να συμμορφωθεί με τη συμβουλή του φορέα της ΑΠΔ ως επανειλημμένη μη συμμόρφωση που θα οδηγήσει στη διαγραφή του οργανισμού από τον κατάλογο του ΠΠΔ.

(76)

Εάν η ΑΠΔ στην οποία απευθύνεται η καταγγελία δεν προβεί σε καμία ενέργεια ή δεν αναλάβει επαρκή δράση για την αντιμετώπιση μιας καταγγελίας, το καταγγέλλον πρόσωπο έχει τη δυνατότητα να προσφύγει κατά της εν λόγω δράσης (ή αδράνειας) στα εθνικά δικαστήρια του αντίστοιχου κράτους μέλους.

(77)

Τα πρόσωπα μπορούν επίσης να υποβάλουν καταγγελίες στις ΑΠΔ ακόμη και όταν ο φορέας των ΑΠΔ δεν έχει οριστεί ως φορέας επίλυσης διαφορών του οργανισμού. Στις περιπτώσεις αυτές, η ΑΠΔ μπορεί να παραπέμπει τις καταγγελίες αυτές είτε στο Υπουργείο Εμπορίου είτε στην FTC. Προκειμένου να διευκολύνει και να αυξήσει τη συνεργασία σε θέματα σχετικά με καταγγελίες ιδιωτών και περιπτώσεις μη συμμόρφωσης οργανισμών του ΠΠΔ ΕΕ–ΗΠΑ, το Υπουργείο Εμπορίου θα θεσπίσει ειδικό σημείο επαφής που θα ενεργεί ως σύνδεσμος και θα παρέχει συνδρομή σε σχέση με ερωτήματα των ΑΠΔ που αφορούν τη συμμόρφωση ενός οργανισμού με τις Αρχές (129). Ομοίως, και η FTC έχει δεσμευτεί να θεσπίσει ειδικό σημείο επαφής (130).

(78)

Τέταρτον, το Υπουργείο Εμπορίου έχει δεσμευτεί να παραλαμβάνει, να ελέγχει και να πραγματοποιεί τις βέλτιστες δυνατές προσπάθειες για την εξεύρεση λύσης σε καταγγελίες που αφορούν την έλλειψη συμμόρφωσης ενός οργανισμού με τις Αρχές (131). Για τον σκοπό αυτόν, το Υπουργείο Εμπορίου παρέχει ειδικές διαδικασίες βάσει των οποίων οι ΑΠΔ μπορούν να παραπέμπουν καταγγελίες σε ειδικό σημείο επαφής, να παρακολουθούν την εξέλιξή τους και να επικοινωνούν στη συνέχεια με τους οργανισμούς για τη διευκόλυνση της εξεύρεσης λύσης (132). Προκειμένου να επιταχυνθεί η διεκπεραίωση των καταγγελιών ιδιωτών, το σημείο επαφής επικοινωνεί απευθείας με την αντίστοιχη ΑΠΔ για θέματα συμμόρφωσης και, ειδικότερα, την ενημερώνει για την πορεία των καταγγελιών εντός διαστήματος που δεν υπερβαίνει τις 90 ημέρες από την παραπομπή (133). Με τον τρόπο αυτόν παρέχεται στα υποκείμενα των δεδομένων η δυνατότητα να υποβάλουν καταγγελίες σχετικά με τη μη συμμόρφωση οργανισμών του ΠΠΔ ΕΕ–ΗΠΑ απευθείας στην εθνική τους ΑΠΔ και να διασφαλίζουν ότι οι καταγγελίες τους καταλήγουν στο Υπουργείο Εμπορίου ως αρχή των ΗΠΑ που είναι αρμόδια για τη διαχείριση του ΠΠΔ ΕΕ–ΗΠΑ.

(79)

Εάν, με βάση τις αυτεπάγγελτες επαληθεύσεις του, καταγγελίες ή οποιαδήποτε άλλη πληροφορία, το Υπουργείο Εμπορίου καταλήξει στο συμπέρασμα ότι ένας οργανισμός παρουσιάζει επανειλημμένη μη συμμόρφωση με τις Αρχές, θα διαγράφει τον εν λόγω οργανισμό από τον κατάλογο του ΠΠΔ (134). Η άρνηση συμμόρφωσης με τελική απόφαση οποιουδήποτε αυτορρυθμιζόμενου φορέα για την προστασία της ιδιωτικής ζωής, ανεξάρτητου φορέα επίλυσης διαφορών ή κυβερνητικού φορέα, συμπεριλαμβανομένων των ΑΠΔ, θα θεωρείται επανειλημμένη μη συμμόρφωση (135).

(80)

Πέμπτον, οι οργανισμοί του ΠΠΔ ΕΕ–ΗΠΑ πρέπει να υπάγονται στη δικαιοδοσία των αρχών των ΗΠΑ, ειδικότερα της FTC (136), οι οποίες διαθέτουν τις αναγκαίες εξουσίες έρευνας και επιβολής του νόμου για την αποτελεσματική διασφάλιση της συμμόρφωσης με τις Αρχές. Η FTC εξετάζει κατά προτεραιότητα τις υποθέσεις μη συμμόρφωσης με τις Αρχές που παραπέμπονται από ανεξάρτητους φορείς επίλυσης διαφορών ή αυτορρυθμιζόμενους φορείς, το Υπουργείο Εμπορίου και τις ΑΠΔ (που ενεργούν με δική τους πρωτοβουλία ή κατόπιν καταγγελιών) προκειμένου να διαπιστωθεί αν έχει παραβιαστεί το άρθρο 5 του νόμου για την FTC (137). Η FTC έχει δεσμευτεί να δημιουργήσει τυποποιημένη διαδικασία παραπομπής, να ορίσει ένα σημείο επαφής στην υπηρεσία για τις υποθέσεις που παραπέμπονται από ΑΠΔ και να ανταλλάσσει πληροφορίες σχετικά με τις υποθέσεις που παραπέμπονται. Επίσης, μπορεί να αποδέχεται καταγγελίες απευθείας από φυσικά πρόσωπα και να προβαίνει σε έρευνες βάσει του ΠΠΔ ΕΕ–ΗΠΑ αυτεπαγγέλτως, ειδικότερα στο πλαίσιο ευρύτερης έρευνας που διενεργεί σε θέματα προστασίας της ιδιωτικής ζωής.

(81)

Έκτον, ως έσχατη λύση σε επίπεδο μηχανισμών προσφυγής σε περίπτωση που κανένα από τα υπόλοιπα διαθέσιμα μέσα έννομης προστασίας δεν έχει αποδώσει ικανοποιητική λύση σε καταγγελία φυσικού προσώπου, το υποκείμενο των δεδομένων της Ένωσης μπορεί να επικαλεστεί τη δεσμευτική διαιτησία της «επιτροπής του πλαισίου ΕΕ–ΗΠΑ για την προστασία των δεδομένων» (στο εξής: επιτροπή του ΠΠΔ ΕΕ–ΗΠΑ) (138). Οι οργανισμοί πρέπει να ενημερώνουν τα πρόσωπα σχετικά με τη δυνατότητά τους να επικαλούνται τη δεσμευτική διαιτησία και υποχρεούνται να ανταποκρίνονται μόλις ένα πρόσωπο επικαλεστεί την επιλογή αυτή, επιδίδοντας κοινοποίηση στον εμπλεκόμενο οργανισμό (139).

(82)

Η επιτροπή του ΠΠΔ ΕΕ–ΗΠΑ απαρτίζεται από ένα σύνολο τουλάχιστον δέκα διαιτητών που θα οριστούν από το Υπουργείο Εμπορίου και την Επιτροπή με κριτήρια την ανεξαρτησία τους, την ακεραιότητά τους, καθώς και την πείρα που διαθέτουν στο δίκαιο των ΗΠΑ σχετικά με την προστασία της ιδιωτικής ζωής και στο δίκαιο της Ένωσης σχετικά με την προστασία δεδομένων. Για κάθε μεμονωμένη διαφορά, τα εμπλεκόμενα μέρη επιλέγουν από το προαναφερθέν σύνολο μια επιτροπή αποτελούμενη από έναν ή τρεις (140) διαιτητές.

(83)

Το Διεθνές Κέντρο Επίλυσης Διαφορών (International Centre for Dispute Resolution, στο εξής: ICDR), το διεθνές τμήμα της Αμερικανικής Ένωσης Διαιτησίας (American Arbitration Association, στο εξής: AAA), επιλέχθηκε από το Υπουργείο Εμπορίου για τη διαχείριση των διαδικασιών διαιτησίας. Οι διαδικασίες ενώπιον της επιτροπής του ΠΠΔ ΕΕ–ΗΠΑ θα διέπονται από ένα σύνολο συμφωνημένων κανόνων διαιτησίας και τον κώδικα δεοντολογίας για τους διορισμένους διαιτητές. Στον δικτυακό τόπο του ICDR-AAA παρέχονται σαφείς και συνοπτικές πληροφορίες στα πρόσωπα σχετικά με τον μηχανισμό διαιτησίας και τη διαδικασία υποβολής αίτησης για διαιτησία.

(84)

Οι κανόνες διαιτησίας που συμφωνούνται μεταξύ του Υπουργείου Εμπορίου και της Επιτροπής συμπληρώνουν το ΠΠΔ ΕΕ–ΗΠΑ, το οποίο περιλαμβάνει ορισμένα χαρακτηριστικά τα οποία ενισχύουν την προσβασιμότητα του μηχανισμού αυτού για τα υποκείμενα των δεδομένων της Ένωσης: i) κατά την κατάρτιση προσφυγής ενώπιον της επιτροπής, το υποκείμενο των δεδομένων μπορεί να λάβει συνδρομή από την οικεία εθνική ΑΠΔ· ii) παρότι η διαδικασία διαιτησίας θα διεξάγεται στις ΗΠΑ, τα υποκείμενα των δεδομένων της Ένωσης μπορούν να επιλέξουν να συμμετάσχουν μέσω βιντεοδιάσκεψης ή τηλεδιάσκεψης, η οποία θα παρέχεται χωρίς επιβάρυνση στο εν λόγω πρόσωπο· iii) παρότι η γλώσσα που χρησιμοποιείται στη διαδικασία διαιτησίας θα είναι, κατά κανόνα, η αγγλική, κατόπιν αιτιολογημένου αιτήματος του υποκειμένου των δεδομένων θα παρέχονται καταρχήν υπηρεσίες διερμηνείας κατά τη διαδικασία διαιτησίας και υπηρεσίες μετάφρασης, χωρίς επιβάρυνση του εν λόγω προσώπου· iv) τέλος, παρότι καθένα εκ των μερών οφείλει να αναλάβει τα δικά του έξοδα για την αμοιβή δικηγόρου, εφόσον εκπροσωπηθεί από δικηγόρο ενώπιον της επιτροπής, το Υπουργείο Εμπορίου θα διατηρεί ταμείο χρηματοδοτούμενο με ετήσιες εισφορές από τους οργανισμούς του ΠΠΔ ΕΕ–ΗΠΑ, το οποίο θα καλύπτει τα έξοδα της διαδικασίας διαιτησίας έως ορισμένα μέγιστα ποσά που πρόκειται να καθοριστούν από τις αρχές των ΗΠΑ, αφού ζητήσουν τη γνώμη της Επιτροπής (141).

(85)

Η επιτροπή του ΠΠΔ ΕΕ–ΗΠΑ έχει την εξουσία να επιβάλει ειδικά ανά πρόσωπο, μη χρηματικά εύλογα μέτρα επανόρθωσης (142) που είναι απαραίτητα για τη διόρθωση της μη συμμόρφωσης με τις Αρχές. Παρότι η επιτροπή, κατά την έκδοση της απόφασής της, λαμβάνει υπόψη άλλα μέσα έννομης προστασίας που έχουν ήδη εξασφαλιστεί μέσω άλλων μηχανισμών του ΠΠΔ ΕΕ–ΗΠΑ, τα πρόσωπα μπορούν σε κάθε περίπτωση να προσφεύγουν στη διαιτησία, εάν θεωρούν ότι τα εν λόγω άλλα μέσα έννομης προστασίας είναι ανεπαρκή. Με τον τρόπο αυτόν παρέχεται στα υποκείμενα των δεδομένων της Ένωσης η δυνατότητα να επικαλούνται τη διαιτησία σε όλες τις περιπτώσεις που η δράση ή η αδράνεια των οργανισμών του ΠΠΔ ΕΕ–ΗΠΑ, των ανεξάρτητων μηχανισμών προσφυγής ή των αρμόδιων αρχών των ΗΠΑ (για παράδειγμα, της FTC) δεν έχει επιλύσει με ικανοποιητικό τρόπο τις καταγγελίες τους. Επίκληση της διαιτησίας δεν είναι δυνατή, εάν μια ΑΠΔ διαθέτει νόμιμη εξουσία να επιλύσει την επίμαχη προσφυγή σε σχέση με τον οργανισμό του ΠΠΔ ΕΕ–ΗΠΑ, ειδικά σε περιπτώσεις στις οποίες ο οργανισμός είτε είναι υποχρεωμένος να συνεργάζεται και να συμμορφώνεται με τις συμβουλές των ΑΠΔ όσον αφορά την επεξεργασία δεδομένων ανθρώπινου δυναμικού που συλλέγονται στο πλαίσιο απασχόλησης είτε έχει δεσμευτεί οικειοθελώς να το πράττει. Τα φυσικά πρόσωπα μπορούν να επιτύχουν την εκτέλεση της διαιτητικής απόφασης ενώπιον των δικαστηρίων των ΗΠΑ δυνάμει του ομοσπονδιακού νόμου για τη διαιτησία (Federal Arbitration Act), διασφαλίζοντας έτσι ένα ένδικο βοήθημα σε περίπτωση μη συμμόρφωσης ενός οργανισμού.

(86)

Έβδομον, όταν ένας οργανισμός δεν συμμορφώνεται με τη δέσμευσή του να τηρεί τις Αρχές και τη δημοσιευμένη πολιτική του για την προστασία των δεδομένων, διατίθενται πρόσθετα μέσα δικαστικής προσφυγής σύμφωνα με το δίκαιο των ΗΠΑ, μεταξύ άλλων για την καταβολή αποζημίωσης. Για παράδειγμα, πρόσωπα μπορούν, υπό ορισμένες προϋποθέσεις, να ασκήσουν δικαστική προσφυγή (συμπεριλαμβανομένης της προσφυγής για αποζημίωση) βάσει της πολιτειακής νομοθεσίας για την προστασία των καταναλωτών σε περιπτώσεις δόλιας ψευδούς δήλωσης, αθέμιτων ή δόλιων πράξεων ή πρακτικών (143), καθώς και βάσει του δικαίου περί αδικοπραξιών (ιδίως στο πλαίσιο της αδικοπραξίας της παραβίασης του απορρήτου της ιδιωτικής ζωής (144), της ιδιοποίησης ονόματος ή ομοιότητας (145) και της δημοσιοποίησης ιδιωτικών γεγονότων (146)).

(87)

Από κοινού, οι διάφοροι μηχανισμοί προσφυγής που περιγράφονται ανωτέρω διασφαλίζουν ότι κάθε καταγγελία σχετικά με τη μη συμμόρφωση πιστοποιημένων οργανισμών με το ΠΠΔ ΕΕ–ΗΠΑ θα εκδικάζεται και θα επανορθώνεται αποτελεσματικά.

(88)

Η Επιτροπή αξιολόγησε επίσης τους περιορισμούς και τις εγγυήσεις, συμπεριλαμβανομένων των μηχανισμών εποπτείας και ατομικής προσφυγής, που προβλέπει το δίκαιο των Ηνωμένων Πολιτειών όσον αφορά τη συλλογή και επακόλουθη χρήση από δημόσιες αρχές των ΗΠΑ δεδομένων προσωπικού χαρακτήρα που έχουν διαβιβαστεί σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία στις ΗΠΑ προς το δημόσιο συμφέρον, ειδικότερα για σκοπούς επιβολής της ποινικής νομοθεσίας και εθνικής ασφάλειας (στο εξής: πρόσβαση από την κυβέρνηση) (147). Κατά την αξιολόγηση του αν οι όροι υπό τους οποίους η πρόσβαση από την κυβέρνηση στα δεδομένα που διαβιβάζονται στις Ηνωμένες Πολιτείες βάσει της παρούσας απόφασης πληρούν το κριτήριο της «ουσιώδους ισοδυναμίας» σύμφωνα με το άρθρο 45 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679, όπως έχει ερμηνευθεί από το ΔΕΕ υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων, η Επιτροπή έλαβε υπόψη διάφορα κριτήρια.

(89)

Ειδικότερα, κάθε περιορισμός του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να προβλέπεται από τον νόμο και η νομική βάση που επιτρέπει την επέμβαση στο δικαίωμα αυτό πρέπει να καθορίζει η ίδια την έκταση του περιορισμού στην άσκηση του εν λόγω δικαιώματος (148). Επίσης, προκειμένου να πληρούται η απαίτηση της αναλογικότητας, σύμφωνα με την οποία οι παρεκκλίσεις από την προστασία των δεδομένων προσωπικού χαρακτήρα και οι περιορισμοί της πρέπει να εφαρμόζονται μόνο στο μέτρο που είναι απολύτως αναγκαίο σε μια δημοκρατική κοινωνία για την επίτευξη συγκεκριμένων στόχων γενικού συμφέροντος ισοδύναμων με εκείνους που αναγνωρίζει η Ένωση, αυτή η νομική βάση πρέπει να προβλέπει σαφείς και ακριβείς κανόνες που να διέπουν το περιεχόμενο και την εφαρμογή των σχετικών μέτρων και να επιβάλει ελάχιστες απαιτήσεις, ώστε τα πρόσωπα των οποίων τα δεδομένα διαβιβάζονται να έχουν επαρκείς εγγυήσεις οι οποίες να καθιστούν δυνατή την αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα από τους κινδύνους κατάχρησης (149). Επίσης, οι εν λόγω κανόνες και εγγυήσεις πρέπει να είναι νομικά δεσμευτικές και εκτελεστές από φυσικά πρόσωπα (150). Ειδικότερα, τα υποκείμενα των δεδομένων πρέπει να έχουν τη δυνατότητα να ασκήσουν ένδικο βοήθημα ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου προκειμένου να εξασφαλίσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν ή να επιτύχουν τη διόρθωση ή τη διαγραφή τέτοιων δεδομένων (151).

(90)

Όσον αφορά την επέμβαση σε δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται βάσει του ΠΠΔ ΕΕ–ΗΠΑ για σκοπούς επιβολής της ποινικής νομοθεσίας, το δίκαιο των Ηνωμένων Πολιτειών επιβάλλει σειρά περιορισμών στην πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα και προβλέπει μηχανισμούς εποπτείας και προσφυγής που συνάδουν με τις απαιτήσεις που αναφέρονται στην αιτιολογική σκέψη 89 της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να αποκτηθεί τέτοια πρόσβαση και οι εγγυήσεις που ισχύουν για τη χρήση των εν λόγω εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες. Στο πλαίσιο αυτό, η κυβέρνηση των ΗΠΑ (μέσω του Υπουργείου Δικαιοσύνης, DoJ) έχει επίσης παράσχει διαβεβαιώσεις σχετικά με τους περιορισμούς που ισχύουν και τις εγγυήσεις που παρέχονται (παράρτημα VI της παρούσας απόφασης).

(91)

Στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία από πιστοποιημένους οργανισμούς των ΗΠΑ και τα οποία θα διαβιβαστούν από την Ένωση βάσει του ΠΠΔ ΕΕ–ΗΠΑ μπορούν να έχουν πρόσβαση για σκοπούς επιβολής της ποινικής νομοθεσίας ομοσπονδιακοί εισαγγελείς και ομοσπονδιακοί ανακριτικοί υπάλληλοι που διενεργούν έρευνες στις ΗΠΑ βάσει διαφόρων διαδικασιών, όπως εξηγείται λεπτομερέστερα στις αιτιολογικές σκέψεις 92 έως 99. Οι διαδικασίες αυτές εφαρμόζονται με τον ίδιο τρόπο όταν λαμβάνονται πληροφορίες από οποιονδήποτε οργανισμό των ΗΠΑ, ανεξάρτητα από την ιθαγένεια ή τον τόπο διαμονής των ενδιαφερόμενων υποκειμένων των δεδομένων (152).

(92)

Πρώτον, κατόπιν αιτήματος ομοσπονδιακού υπαλλήλου επιβολής του νόμου ή νομικού εκπροσώπου της κυβέρνησης, ένας δικαστής μπορεί να εκδώσει ένταλμα έρευνας ή κατάσχεσης (συμπεριλαμβανομένων των ηλεκτρονικά αποθηκευμένων πληροφοριών) (153). Ένα τέτοιο ένταλμα μπορεί να εκδοθεί μόνον εάν υπάρχει ως «πιθανή αιτία (154)» το ενδεχόμενο να βρεθούν «κατασχέσιμα πράγματα» (αποδεικτικά στοιχεία αξιόποινης πράξης, παρανόμως κατεχόμενα αντικείμενα ή περιουσιακά στοιχεία που αποσκοπούν ή προορίζονται να χρησιμοποιηθούν ή έχουν χρησιμοποιηθεί για τη διάπραξη εγκλήματος) στον τόπο που ορίζεται στο ένταλμα. Το ένταλμα πρέπει να προσδιορίζει το περιουσιακό στοιχείο ή το αντικείμενο που πρόκειται να κατασχεθεί και να ορίζει τον δικαστή στον οποίο πρέπει να επιστραφεί το ένταλμα. Πρόσωπο το οποίο υποβλήθηκε σε έρευνα ή του οποίου περιουσιακά στοιχεία υποβλήθηκαν σε έρευνα μπορεί να προβάλει ένσταση μη συνεκτίμησης των αποδεικτικών στοιχείων που αποκτήθηκαν ή απορρέουν από παράνομη έρευνα, εάν τα εν λόγω αποδεικτικά στοιχεία προβληθούν κατά του συγκεκριμένου προσώπου στο πλαίσιο ποινικής δίκης (155). Όταν ένας κάτοχος δεδομένων (π.χ. μια εταιρεία) υποχρεούται να κοινολογήσει δεδομένα σύμφωνα με ένταλμα, μπορεί κυρίως να αμφισβητήσει την απαίτηση κοινολόγησης ως υπερβολικά επαχθή (156).

(93)

Δεύτερον, κλήτευση μπορεί να εκδοθεί από παραπεμπτικό συμβούλιο ενόρκων (grand jury, ερευνητικό όργανο του δικαστηρίου το οποίο επιλέγεται από δικαστή) στο πλαίσιο ερευνών για ορισμένα σοβαρά εγκλήματα (157), συνήθως κατόπιν αιτήματος ομοσπονδιακού εισαγγελέα, προκειμένου να ζητηθεί από κάποιον να προσκομίσει ή να παράσχει πρόσβαση σε εταιρικά αρχεία, ηλεκτρονικά αποθηκευμένες πληροφορίες ή άλλα υλικά στοιχεία. Επίσης, διάφορες νομοθετικές πράξεις επιτρέπουν τη χρήση διοικητικών κλητεύσεων για την προσκόμιση ή την παροχή πρόσβασης σε εταιρικά αρχεία, ηλεκτρονικά αποθηκευμένες πληροφορίες ή άλλα υλικά στοιχεία σε έρευνες που αφορούν απάτη στον τομέα της υγειονομικής περίθαλψης, παιδική κακοποίηση, προστασία των μυστικών υπηρεσιών, υποθέσεις ελεγχόμενων ουσιών και έρευνες των γενικών επιθεωρητών (158). Και στις δύο περιπτώσεις, οι πληροφορίες πρέπει να αφορούν την έρευνα και η κλήτευση δεν μπορεί να μην έχει εύλογο χαρακτήρα, δηλαδή να είναι υπερβολικά γενική, αδικαιολόγητα αυστηρή ή επαχθής (και μπορεί να αμφισβητηθεί από τον αποδέκτη της κλήτευσης για τους λόγους αυτούς) (159).

(94)

Παρόμοιοι όροι εφαρμόζονται ως προς για τις διοικητικές κλήσεις που εκδίδονται για την αναζήτηση πρόσβασης σε δεδομένα που βρίσκονται στην κατοχή εταιρειών στις ΗΠΑ για μη στρατιωτικούς ή κανονιστικούς σκοπούς («δημόσιο συμφέρον»). Η εξουσία των υπηρεσιών που διαθέτουν αστικές και κανονιστικές αρμοδιότητες να εκδίδουν τέτοιες διοικητικές κλητεύσεις πρέπει να προβλέπεται στη νομοθεσία. Η χρήση διοικητικής κλήτευσης υπόκειται σε «κριτήριο εύλογου χαρακτήρα», σύμφωνα με το οποίο η έρευνα πρέπει να διεξάγεται βάσει νόμιμου σκοπού, οι πληροφορίες που ζητούνται στο πλαίσιο της κλήτευσης να είναι σχετικές με τον εν λόγω σκοπό, η υπηρεσία να μην διαθέτει ήδη τις πληροφορίες που ζητεί με την κλήτευση και να έχουν πραγματοποιηθεί οι αναγκαίες διοικητικές ενέργειες για την έκδοση της κλήτευσης (160). Η νομολογία του Ανώτατου Δικαστηρίου έχει επίσης αποσαφηνίσει την ανάγκη εξισορρόπησης της σημασίας του δημόσιου συμφέροντος όσον αφορά τις πληροφορίες που ζητούνται με τη σημασία προσωπικών και οργανωτικών συμφερόντων προστασίας των δεδομένων (161). Μολονότι η χρήση διοικητικής κλήτευσης δεν υπόκειται σε προηγούμενη δικαστική έγκριση, υπόκειται σε δικαστικό έλεγχο σε περίπτωση αμφισβήτησης από τον αποδέκτη για τους προαναφερθέντες λόγους ή εάν η υπηρεσία που εκδίδει την κλήτευση επιδιώκει την εκτέλεσή της στο δικαστήριο (162). Εκτός από αυτούς τους γενικούς περιορισμούς, ενδέχεται να προκύψουν ειδικές (αυστηρότερες) απαιτήσεις από επιμέρους νομοθετικές διατάξεις (163).

(95)

Τρίτον, διάφορες νομικές βάσεις παρέχουν στις αρχές επιβολής της ποινικής νομοθεσίας τη δυνατότητα να αποκτούν πρόσβαση σε δεδομένα επικοινωνιών. Ένα δικαστήριο μπορεί να εκδώσει διαταγή που να επιτρέπει τη συλλογή πληροφοριών σχετικά με έναν τηλεφωνικό αριθμό ή μια διεύθυνση ηλεκτρονικού ταχυδρομείου, σε πραγματικό χρόνο, όσον αφορά τις κλήσεις πλην του περιεχομένου, τη δρομολόγηση, τον προορισμό και τη σηματοδοσία (μέσω της χρήσης συσκευής καταγραφής κλήσεων ή συσκευής εντοπισμού θέσης), εάν διαπιστώσει ότι η αρχή έχει πιστοποιήσει ότι οι πληροφορίες που ενδέχεται να ληφθούν είναι σημαντικές για εκκρεμή ποινική έρευνα (164). Η διαταγή πρέπει, μεταξύ άλλων, να προσδιορίζει την ταυτότητα του υπόπτου, εάν είναι γνωστή· τα χαρακτηριστικά των επικοινωνιών για τις οποίες ισχύει και δήλωση του αδικήματος το οποίο αφορούν οι πληροφορίες που πρόκειται να συλλεχθούν. Η χρήση συσκευής καταγραφής κλήσεων και συσκευής εντοπισμού θέσης μπορεί να επιτραπεί για μέγιστη περίοδο εξήντα ημερών, η οποία μπορεί να παραταθεί μόνο με νέα δικαστική διαταγή.

(96)

Επίσης, πρόσβαση για σκοπούς επιβολής της ποινικής νομοθεσίας σε πληροφορίες σχετικά με συνδρομητές, δεδομένα σχετικά με την κυκλοφορία και το αποθηκευμένο περιεχόμενο των επικοινωνιών που κατέχουν πάροχοι υπηρεσιών διαδικτύου, εταιρείες τηλεφωνίας και άλλοι πάροχοι υπηρεσιών μπορεί να αποκτηθεί βάσει του νόμου για τις αποθηκευμένες επικοινωνίες (Stored Communications Act) (165). Προκειμένου να ληφθεί το αποθηκευμένο περιεχόμενο ηλεκτρονικών επικοινωνιών, οι αρχές επιβολής της ποινικής νομοθεσίας πρέπει, γενικά, να λαμβάνουν ένταλμα από δικαστή βάσει της πιθανής αιτίας που τις ωθεί να πιστεύουν ότι ο συγκεκριμένος λογαριασμός περιέχει αποδεικτικά στοιχεία εγκλήματος (166). Για πληροφορίες που αφορούν τα στοιχεία εγγραφής των συνδρομητών, τις διευθύνσεις IP και τις αντίστοιχες χρονοσφραγίδες, καθώς και για πληροφορίες χρέωσης, οι αρχές επιβολής της ποινικής νομοθεσίας μπορούν να χρησιμοποιούν κλήτευση. Για τις περισσότερες άλλες αποθηκευμένες πληροφορίες που δεν περιλαμβάνουν περιεχόμενο, όπως οι επικεφαλίδες των μηνυμάτων ηλεκτρονικού ταχυδρομείου χωρίς το θέμα, οι αρχές επιβολής της ποινικής νομοθεσίας πρέπει να λαμβάνουν δικαστική διαταγή, η οποία θα εκδίδεται αν ο δικαστής πειστεί ότι υπάρχουν εύλογοι λόγοι να πιστεύεται ότι οι ζητούμενες πληροφορίες είναι σχετικές και ουσιώδεις για ποινική έρευνα που βρίσκεται σε εξέλιξη.

(97)

Οι πάροχοι που λαμβάνουν αιτήματα βάσει του νόμου για τις αποθηκευμένες επικοινωνίες μπορούν να ειδοποιούν οικειοθελώς έναν πελάτη ή συνδρομητή τον οποίο αφορούν οι πληροφορίες που ζητούνται, εκτός εάν η αρμόδια αρχή επιβολής της ποινικής νομοθεσίας μεριμνήσει για την έκδοση ασφαλιστικών μέτρων που απαγορεύουν την εν λόγω ειδοποίηση (167). Τα εν λόγω ασφαλιστικά μέτρα αποτελούν δικαστική διαταγή με την οποία απαιτείται από πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών ή απομακρυσμένων υπολογιστικών υπηρεσιών προς τον οποίο απευθύνεται ένταλμα, κλήτευση ή δικαστική διαταγή να μην κοινοποιήσει σε κανένα άλλο πρόσωπο την ύπαρξη του εντάλματος, της κλήτευσης ή της δικαστικής διαταγής, για όσο διάστημα το δικαστήριο κρίνει σκόπιμο. Τα ασφαλιστικά μέτρα εκδίδονται εάν το δικαστήριο κρίνει ότι υπάρχει λόγος να πιστεύεται ότι η κοινοποίηση θα έθετε σε σοβαρό κίνδυνο μια έρευνα ή θα καθυστερούσε αδικαιολόγητα μια δίκη, π.χ. διότι θα έθετε σε κίνδυνο τη ζωή ή τη σωματική ασφάλεια ενός προσώπου, θα οδηγούσε σε φυγή πριν από την ποινική δίωξη, σε εκφοβισμό πιθανών μαρτύρων κ.λπ. Υπόμνημα του αναπληρωτή γενικού εισαγγελέα (το οποίο είναι δεσμευτικό για όλους τους νομικούς συμβούλους και εντολοδόχους του Υπουργείου Δικαιοσύνης) απαιτεί από τους εισαγγελείς να προβαίνουν σε λεπτομερή εκτίμηση σχετικά με την ανάγκη έκδοσης ασφαλιστικών μέτρων και να αιτιολογούν στο δικαστήριο τον τρόπο με τον οποίο πληρούνται τα νόμιμα κριτήρια για την έκδοση ασφαλιστικών μέτρων στη συγκεκριμένη περίπτωση (168). Το υπόμνημα απαιτεί επίσης οι αιτήσεις για ασφαλιστικά μέτρα να μην επιδιώκουν, γενικά, την καθυστέρηση της κοινοποίησης για διάστημα μεγαλύτερο του ενός έτους. Όταν, σε εξαιρετικές περιπτώσεις, ενδέχεται να απαιτούνται ασφαλιστικά μέτρα μεγαλύτερης διάρκειας, η σχετική αίτηση μπορεί να υποβάλλεται μόνο με τη γραπτή συμφωνία προϊσταμένου διορισμένου από τον γενικό εισαγγελέα των ΗΠΑ ή κατάλληλο βοηθό του γενικού εισαγγελέα. Επίσης, ο εισαγγελέας πρέπει, κατά την περάτωση μιας έρευνας, να αξιολογήσει αμέσως αν υπάρχει βάση για τη διατήρηση τυχόν ασφαλιστικών μέτρων που έχουν ληφθεί και, αν δεν υπάρχει, να τερματίσει τα ασφαλιστικά μέτρα και να διασφαλίσει ότι ο πάροχος υπηρεσιών ενημερώνεται σχετικά (169).

(98)

Οι αρχές επιβολής της ποινικής νομοθεσίας μπορούν επίσης να υποκλέπτουν σε πραγματικό χρόνο τηλεφωνικές, προφορικές ή ηλεκτρονικές επικοινωνίες βάσει δικαστικής διαταγής, στο πλαίσιο της οποίας ένας δικαστής διαπιστώνει, μεταξύ άλλων, ότι υπάρχουν πιθανοί λόγοι να θεωρηθεί ότι η καταγραφή των τηλεφωνικών ή ηλεκτρονικών επικοινωνιών θα παράσχει στοιχεία που αποδεικνύουν ομοσπονδιακό έγκλημα ή στοιχεία σχετικά με τον τόπο στον οποίο βρίσκεται δραπέτης από τη δικαιοσύνη (170).

(99)

Περαιτέρω ρυθμίσεις προστασίας παρέχονται από διάφορες πολιτικές και κατευθυντήριες γραμμές του Υπουργείου Δικαιοσύνης, συμπεριλαμβανομένων των κατευθυντήριων γραμμών του γενικού εισαγγελέα για τις εγχώριες επιχειρήσεις του Ομοσπονδιακού Γραφείου Ερευνών (στο εξής: AGG-DOM), οι οποίες, μεταξύ άλλων, απαιτούν από το Ομοσπονδιακό Γραφείο Ερευνών (στο εξής: FBI) να χρησιμοποιεί τις λιγότερο παρεμβατικές μεθόδους έρευνας που είναι εφικτές, λαμβάνοντας υπόψη τις επιπτώσεις στην ιδιωτική ζωή και τις ατομικές ελευθερίες (171).

(100)

Σύμφωνα με τις δηλώσεις που υπέβαλε η κυβέρνηση των ΗΠΑ, οι ίδιες ή αυστηρότερες ρυθμίσεις προστασίας που περιγράφονται ανωτέρω ισχύουν για τις έρευνες των αρχών επιβολής του νόμου σε πολιτειακό επίπεδο (σε σχέση με έρευνες που διενεργούνται βάσει πολιτειακών νόμων) (172). Ειδικότερα, συνταγματικές διατάξεις, καθώς και νόμοι και νομολογία σε πολιτειακό επίπεδο επιβεβαιώνουν τις προαναφερθείσες ρυθμίσεις προστασίας έναντι παράλογων ερευνών και κατασχέσεων, απαιτώντας την έκδοση εντάλματος έρευνας (173). Ομοίως με τις ρυθμίσεις προστασίας που προβλέπονται σε ομοσπονδιακό επίπεδο, εντάλματα έρευνας μπορούν να εκδίδονται μόνο εφόσον αποδεικνύεται πιθανή αιτία και πρέπει να περιγράφουν τον τόπο που θα ερευνηθεί και τα πρόσωπα ή τα αντικείμενα που θα συλληφθούν ή θα κατασχεθούν (174).

(101)

Όσον αφορά την περαιτέρω χρήση των δεδομένων που συλλέγονται από τις ομοσπονδιακές αρχές επιβολής της ποινικής νομοθεσίας, διαφορετικές νομοθετικές πράξεις, κατευθυντήριες γραμμές και πρότυπα επιβάλλουν ειδικές εγγυήσεις. Με εξαίρεση τα ειδικά έγγραφα που ισχύουν για τις δραστηριότητες του FBI (κατευθυντήριες γραμμές AGG-DOM και οδηγός του FBI για τις εγχώριες έρευνες και επιχειρήσεις), οι απαιτήσεις που περιγράφονται στην παρούσα ενότητα ισχύουν γενικά για την περαιτέρω χρήση δεδομένων από οποιαδήποτε ομοσπονδιακή αρχή, συμπεριλαμβανομένων των δεδομένων στα οποία παρέχεται πρόσβαση για αστικούς ή κανονιστικούς σκοπούς. Αυτό περιλαμβάνει τις απαιτήσεις που απορρέουν από τα υπομνήματα ή τους κανονισμούς του Γραφείου Διαχείρισης και Προϋπολογισμού, τον νόμο για τον εκσυγχρονισμό της ασφάλειας των ομοσπονδιακών πληροφοριών (Federal Information Security Modernisation Act), τον νόμο για την ηλεκτρονική διακυβέρνηση (E-Government Act) και τον νόμο για τα ομοσπονδιακά αρχεία (Federal Records Act).

(102)

Σύμφωνα με την εξουσία που παρέχεται από τον νόμο Clinger-Cohen (P.L. 104-106, τμήμα E) και τον νόμο για την ασφάλεια των υπολογιστών (Computer Security Act) του 1987 (P.L. 100-235), το Γραφείο Διαχείρισης και Προϋπολογισμού (Office of Management and Budget, στο εξής: OMB) εξέδωσε την εγκύκλιο Α-130 για τη θέσπιση γενικών δεσμευτικών οδηγιών που ισχύουν για όλες τις ομοσπονδιακές υπηρεσίες (συμπεριλαμβανομένων των αρχών επιβολής του νόμου) κατά τον χειρισμό στοιχείων ταυτότητας (175). Ειδικότερα, η εγκύκλιος απαιτεί από όλες τις ομοσπονδιακές υπηρεσίες να «περιορίζουν τη δημιουργία, τη συλλογή, τη χρήση, την επεξεργασία, την αποθήκευση, τη διατήρηση, τη διάδοση και την κοινολόγηση στοιχείων ταυτότητας στις περιπτώσεις που αυτό είναι νομικά επιτρεπτό, συναφές και θεωρείται εύλογα απαραίτητο για την ορθή εκτέλεση των εγκεκριμένων καθηκόντων της υπηρεσίας» (176). Επίσης, στο μέτρο που είναι εύλογα εφικτό, οι ομοσπονδιακές υπηρεσίες πρέπει να διασφαλίζουν ότι τα στοιχεία επικοινωνίας είναι ακριβή, συναφή, επίκαιρα και πλήρη και ότι περιορίζονται στα ελάχιστα αναγκαία για την ορθή εκτέλεση των καθηκόντων μιας υπηρεσίας. Γενικότερα, οι ομοσπονδιακές υπηρεσίες πρέπει να θεσπίζουν ολοκληρωμένο πρόγραμμα για την προστασία της ιδιωτικής ζωής, το οποίο θα διασφαλίζει τη συμμόρφωση με τις ισχύουσες απαιτήσεις προστασίας της ιδιωτικής ζωής, θα αναπτύσσει και θα αξιολογεί πολιτικές για την προστασία της ιδιωτικής ζωής και θα διαχειρίζεται τους κινδύνους για την προστασία της ιδιωτικής ζωής· να διατηρούν διαδικασίες για τον εντοπισμό, την τεκμηρίωση και την αναφορά περιστατικών μη συμμόρφωσης με τις απαιτήσεις προστασίας της ιδιωτική ζωής· να αναπτύσσουν προγράμματα ευαισθητοποίησης και κατάρτισης σχετικά με την προστασία της ιδιωτικής ζωής για τους υπαλλήλους και τους αναδόχους· και να θεσπίζουν πολιτικές και διαδικασίες για να διασφαλίζουν ότι το προσωπικό λογοδοτεί για τη συμμόρφωση με τις απαιτήσεις και τις πολιτικές προστασίας της ιδιωτικής ζωής (177).

(103)

Επίσης, ο νόμος για την ηλεκτρονική διακυβέρνηση (178) απαιτεί από όλες τις ομοσπονδιακές υπηρεσίες (συμπεριλαμβανομένων των αρχών επιβολής της ποινικής νομοθεσίας) να θεσπίσουν μέτρα προστασίας της ασφάλειας των πληροφοριών, ανάλογα με τον κίνδυνο και το μέγεθος της ζημίας που θα προκαλούταν από μη εξουσιοδοτημένη πρόσβαση, χρήση, κοινολόγηση, διακοπή, τροποποίηση ή καταστροφή· να διαθέτουν υπεύθυνο πληροφοριών ο οποίος θα διασφαλίζει τη συμμόρφωση με τις απαιτήσεις ασφάλειας των πληροφοριών και να διενεργούν ετήσια ανεξάρτητη αξιολόγηση (π.χ. από γενικό επιθεωρητή, βλ. αιτιολογική σκέψη 109) του προγράμματος και των πρακτικών τους για την ασφάλεια των πληροφοριών (179). Ομοίως, ο νόμος για τα ομοσπονδιακά αρχεία (Federal Records Act, στο εξής: FRA) (180) και οι συμπληρωματικοί κανονισμοί (181) ορίζουν ότι οι πληροφορίες που βρίσκονται στην κατοχή ομοσπονδιακών υπηρεσιών πρέπει να υπόκεινται σε εγγυήσεις που να διασφαλίζουν τη φυσική ακεραιότητα των πληροφοριών και την προστασία τους από μη εξουσιοδοτημένη πρόσβαση.

(104)

Σύμφωνα με την ομοσπονδιακή θεσμοθετημένη εξουσία, συμπεριλαμβανομένου του νόμου για τον εκσυγχρονισμό της ασφάλειας των ομοσπονδιακών πληροφοριών (Federal Information Security Modernisation Act) του 2014, το OMB και το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (National Institute of Standards and Technology, στο εξής: NIST) έχουν αναπτύξει πρότυπα τα οποία είναι δεσμευτικά για τις ομοσπονδιακές υπηρεσίες (συμπεριλαμβανομένων των αρχών επιβολής της ποινικής νομοθεσίας) και τα οποία προσδιορίζουν περαιτέρω τις ελάχιστες απαιτήσεις ασφάλειας των πληροφοριών που πρέπει να θεσπιστούν, συμπεριλαμβανομένων των ελέγχων πρόσβασης, της διασφάλισης της ευαισθητοποίησης και της κατάρτισης, του σχεδιασμού έκτακτης ανάγκης, της αντιμετώπισης περιστατικών, των εργαλείων λογιστικού ελέγχου και λογοδοσίας, της διασφάλισης της ακεραιότητας των συστημάτων και των πληροφοριών, της διενέργειας εκτιμήσεων κινδύνου για την ιδιωτική ζωή και την ασφάλεια κ.λπ. (182) Επίσης, όλες οι ομοσπονδιακές υπηρεσίες (συμπεριλαμβανομένων των αρχών επιβολής της ποινικής νομοθεσίας) πρέπει, σύμφωνα με τις κατευθυντήριες γραμμές του OMB, να τηρούν και να εφαρμόζουν σχέδιο για τον χειρισμό παραβιάσεων δεδομένων, μεταξύ άλλων όσον αφορά την αντιμετώπιση τέτοιων παραβιάσεων και την αξιολόγηση των κινδύνων ζημίας (183).

(105)

Όσον αφορά τη διατήρηση δεδομένων, ο FRA (184) απαιτεί από τις ομοσπονδιακές υπηρεσίες των ΗΠΑ (συμπεριλαμβανομένων των αρχών επιβολής της ποινικής νομοθεσίας) να καθορίσουν περιόδους διατήρησης των αρχείων τους (μετά τις οποίες τα αρχεία αυτά πρέπει να απορρίπτονται), οι οποίες πρέπει να εγκριθούν από την Εθνική Διοίκηση Αρχείων (National Archives and Record Administration) (185). Η διάρκεια αυτών των περιόδων διατήρησης καθορίζεται με βάση διάφορους παράγοντες, όπως το είδος της έρευνας, το αν τα αποδεικτικά στοιχεία εξακολουθούν να είναι σημαντικά για την έρευνα κ.λπ. Όσον αφορά το FBI, οι κατευθυντήριες γραμμές AGG-DOM προβλέπουν ότι το FBI πρέπει να διαθέτει τέτοιο σχέδιο διατήρησης αρχείων και να διατηρεί σύστημα που να μπορεί να ανακτήσει αμέσως την κατάσταση και τη βάση των ερευνών.

(106)

Τέλος, η εγκύκλιος Α-130 του OMB περιέχει επίσης ορισμένες προϋποθέσεις για τη διάδοση στοιχείων ταυτότητας. Καταρχήν, η διάδοση και η γνωστοποίηση στοιχείων ταυτότητας πρέπει να περιορίζεται σε ό,τι επιτρέπεται από τη νομοθεσία, είναι σχετικό και θεωρείται ευλόγως αναγκαίο για την ορθή εκτέλεση των καθηκόντων μιας υπηρεσίας (186). Κατά την κοινοποίηση στοιχείων ταυτότητας σε άλλες οντότητες της κυβέρνησης, οι ομοσπονδιακές υπηρεσίες των ΗΠΑ πρέπει να επιβάλουν, κατά περίπτωση, προϋποθέσεις (συμπεριλαμβανομένης της εφαρμογής ειδικών ελέγχων ασφάλειας και προστασίας της ιδιωτικής ζωής) που να διέπουν την επεξεργασία των πληροφοριών μέσω γραπτών συμφωνιών (συμπεριλαμβανομένων συμβάσεων, συμφωνιών χρήσης δεδομένων, συμφωνιών ανταλλαγής πληροφοριών και μνημονίων συμφωνίας) (187). Όσον αφορά τους λόγους για τους οποίους μπορούν να διαδοθούν πληροφορίες, οι κατευθυντήριες γραμμές AGG-DOM και ο οδηγός του FBI για τις εγχώριες έρευνες και επιχειρήσεις (188) προβλέπουν, για παράδειγμα, ότι το FBI μπορεί να υποχρεούται νομικά να το πράξει (π.χ. βάσει διεθνούς συμφωνίας) ή επιτρέπεται να διαδίδει πληροφορίες σε ορισμένες περιπτώσεις, π.χ. σε άλλες υπηρεσίες των ΗΠΑ, εάν η γνωστοποίηση είναι συμβατή με τον σκοπό για τον οποίο συλλέχθηκαν οι πληροφορίες και σχετίζεται με τις αρμοδιότητές τους· σε επιτροπές του Κογκρέσου· σε υπηρεσίες της αλλοδαπής, εάν οι πληροφορίες σχετίζονται με τις αρμοδιότητές τους και η διάδοση συνάδει με τα συμφέροντα των Ηνωμένων Πολιτειών· η διάδοση είναι κυρίως αναγκαία για την κατοχύρωση της ασφάλειας ή της προστασίας προσώπων ή περιουσιακών στοιχείων, ή για την προστασία από έγκλημα ή απειλή κατά της εθνικής ασφάλειας, ή την αποτροπή εγκλήματος ή απειλής κατά της εθνικής ασφάλειας, και η γνωστοποίηση είναι συμβατή με τον σκοπό για τον οποίο συλλέχθηκαν οι πληροφορίες (189).

(107)

Οι δραστηριότητες των ομοσπονδιακών υπηρεσιών επιβολής της ποινικής νομοθεσίας υπόκεινται σε εποπτεία από διάφορους φορείς (190). Όπως εξηγείται στις αιτιολογικές σκέψεις 92-99, στις περισσότερες περιπτώσεις αυτό περιλαμβάνει εκ των προτέρων εποπτεία από το δικαστικό σώμα, το οποίο πρέπει να εγκρίνει επιμέρους μέτρα συλλογής, προτού αυτά μπορέσουν να χρησιμοποιηθούν. Επίσης, άλλοι φορείς επιβλέπουν διάφορα στάδια των δραστηριοτήτων των αρχών επιβολής της ποινικής νομοθεσίας, συμπεριλαμβανομένης της συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Από κοινού, τα εν λόγω δικαστικά και μη δικαστικά όργανα διασφαλίζουν ότι οι αρχές επιβολής του νόμου υπόκεινται σε ανεξάρτητη εποπτεία.

(108)

Πρώτον, εντός διαφόρων υπουργείων υπάρχουν υπεύθυνοι προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών, με αρμοδιότητες επιβολής της ποινικής νομοθεσίας (191). Παρότι οι ειδικές εξουσίες των εν λόγω υπαλλήλων μπορεί να διαφέρουν κάπως ανάλογα με τον νόμο μέσω του οποίου τους ανατίθενται οι σχετικές εξουσίες, κατά κανόνα περιλαμβάνουν την εποπτεία των διαδικασιών προκειμένου να διασφαλίζεται ότι το αντίστοιχο υπουργείο / η αντίστοιχη υπηρεσία συνεκτιμά επαρκώς τα ζητήματα προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών και ότι εφαρμόζει επαρκείς διαδικασίες για την αντιμετώπιση καταγγελιών από πρόσωπα που θεωρούν ότι η ιδιωτική τους ζωή ή οι ατομικές τους ελευθερίες έχουν παραβιαστεί. Οι προϊστάμενοι κάθε υπουργείου ή υπηρεσίας πρέπει να διασφαλίζουν ότι οι υπεύθυνοι προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών διαθέτουν το υλικό και τους πόρους για την εκπλήρωση της αποστολής τους, έχουν πρόσβαση σε κάθε υλικό και προσωπικό που είναι αναγκαίο για την εκτέλεση των καθηκόντων τους, ενημερώνονται και γνωμοδοτούν σχετικά με τις προτεινόμενες αλλαγές πολιτικής (192). Οι υπεύθυνοι προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών υποβάλλουν περιοδικές εκθέσεις στο Κογκρέσο, μεταξύ άλλων σχετικά με τον αριθμό και τη φύση των καταγγελιών που λαμβάνει το υπουργείο / η υπηρεσία, καθώς και σύνοψη της έκβασης των εν λόγω καταγγελιών, των ελέγχων και των ερευνών που διενεργήθηκαν, καθώς και τον αντίκτυπο των δραστηριοτήτων που διεξήχθησαν από τον αρμόδιο υπάλληλο (193).

(109)

Δεύτερον, ένας ανεξάρτητος γενικός επιθεωρητής επιβλέπει τις δραστηριότητες του Υπουργείου Δικαιοσύνης, συμπεριλαμβανομένου του FBI (194). Οι γενικοί επιθεωρητές είναι εκ του νόμου ανεξάρτητοι (195) και υπεύθυνοι για τη διεξαγωγή ανεξάρτητων ερευνών, ελέγχων και επιθεωρήσεων των προγραμμάτων και των δραστηριοτήτων του Υπουργείου. Έχουν πρόσβαση σε όλα τα αρχεία, τις εκθέσεις, τους ελέγχους, τις αξιολογήσεις, τα τεκμήρια, τα έγγραφα, τις συστάσεις ή άλλο σχετικό υλικό, εάν χρειάζεται μέσω κλήτευσης, και μπορούν να λαμβάνουν καταθέσεις μαρτύρων (196). Παρότι οι γενικοί επιθεωρητές εκδίδουν μη δεσμευτικές συστάσεις για διορθωτικά μέτρα, οι εκθέσεις τους, συμπεριλαμβανομένων των εκθέσεων σχετικά με τα επακόλουθα μέτρα (ή σχετικά με τη μη λήψη τέτοιων μέτρων) (197) δημοσιοποιούνται γενικά και αποστέλλονται στο Κογκρέσο, το οποίο μπορεί στη βάση αυτή να ασκεί το εποπτικό του καθήκον (βλ. αιτιολογική σκέψη 111) (198).

(110)

Τρίτον, στον βαθμό που ασκούν αντιτρομοκρατικές δραστηριότητες, τα υπουργεία που διαθέτουν αρμοδιότητες επιβολής της ποινικής νομοθεσίας υπόκεινται στην εποπτεία της Επιτροπής Εποπτείας της Ιδιωτικής Ζωής και των Ατομικών Ελευθεριών (PCLOB), μιας ανεξάρτητης υπηρεσίας εντός του εκτελεστικού κλάδου η οποία αποτελείται από δικομματική πενταμελή επιτροπή που διορίζεται από τον πρόεδρο των ΗΠΑ για καθορισμένη εξαετή θητεία με έγκριση της Γερουσίας (199). Σύμφωνα με το καταστατικό της, η PCLOB είναι επιφορτισμένη με αρμοδιότητες στον τομέα των αντιτρομοκρατικών πολιτικών και της εφαρμογής τους, με σκοπό την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών. Στο πλαίσιο του ελέγχου που ασκεί, μπορεί να έχει πρόσβαση σε όλα τα σχετικά αρχεία, τις εκθέσεις, τους ελέγχους, τις αξιολογήσεις, τα τεκμήρια, τα έγγραφα και τις συστάσεις των υπηρεσιών, συμπεριλαμβανομένων διαβαθμισμένων πληροφοριών, να διεξάγει συνεντεύξεις και να λαμβάνει καταθέσεις μαρτύρων (200). Λαμβάνει εκθέσεις από τους υπαλλήλους των διαφόρων ομοσπονδιακών υπουργείων/υπηρεσιών που είναι αρμόδιοι για την προστασία των ατομικών ελευθεριών και της ιδιωτικής ζωής (201), μπορεί να εκδίδει συστάσεις προς τις κυβερνητικές αρχές και τις αρχές επιβολής του νόμου και υποβάλλει τακτικά εκθέσεις σε επιτροπές του Κογκρέσου και στον πρόεδρο (202). Οι εκθέσεις της επιτροπής, συμπεριλαμβανομένων των εκθέσεων προς το Κογκρέσο, πρέπει να δημοσιοποιούνται στον μέγιστο δυνατό βαθμό (203).

(111)

Τέλος, οι δραστηριότητες επιβολής της ποινικής νομοθεσίας υπόκεινται στην εποπτεία ειδικών επιτροπών του Κογκρέσου των ΗΠΑ (των επιτροπών δικαιοσύνης της Βουλής των Αντιπροσώπων και της Γερουσίας). Οι επιτροπές δικαιοσύνης ασκούν τακτική εποπτεία με διάφορους τρόπους, ιδίως μέσω ακροάσεων, ερευνών, επανεξετάσεων και εκθέσεων (204).

(112)

Όπως προαναφέρθηκε, οι αρχές επιβολής της ποινικής νομοθεσίας πρέπει, στις περισσότερες περιπτώσεις, να λαμβάνουν προηγουμένως δικαστική άδεια για τη συλλογή δεδομένων προσωπικού χαρακτήρα. Παρόλο που αυτό δεν απαιτείται για τις διοικητικές κλητεύσεις, αυτές περιορίζονται σε συγκεκριμένες υποθέσεις και υπόκεινται σε ανεξάρτητο δικαστικό έλεγχο, τουλάχιστον σε περιπτώσεις στις οποίες η κυβέρνηση προσφεύγει σε δικαστήριο για να ζητήσει την εκτέλεσή τους. Ειδικότερα, οι αποδέκτες διοικητικής κλήτευσης μπορούν να προσφύγουν δικαστικά κατά της κλήτευσης με την αιτιολογία ότι είναι αδικαιολόγητη, δηλαδή υπερβολικά γενική, αδικαιολόγητα αυστηρή ή επαχθής (205).

(113)

Καταρχάς, τα πρόσωπα μπορούν να υποβάλλουν αιτήματα ή καταγγελίες στις αρχές επιβολής της ποινικής νομοθεσίας σχετικά με τον χειρισμό των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Αυτό περιλαμβάνει τη δυνατότητα να ζητήσουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και τη διόρθωσή τους (206). Όσον αφορά τις δραστηριότητες που σχετίζονται με την καταπολέμηση της τρομοκρατίας, τα πρόσωπα μπορούν επίσης να υποβάλουν καταγγελία στους υπεύθυνους προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών (ή σε άλλους υπαλλήλους προστασίας της ιδιωτικής ζωής) εντός των αρχών επιβολής του νόμου (207).

(114)

Επίσης, το δίκαιο των ΗΠΑ προβλέπει για τα φυσικά πρόσωπα ορισμένα μέσα δικαστικής προσφυγής κατά δημόσιας αρχής ή ενός εκ των υπαλλήλων της, όταν οι εν λόγω αρχές επεξεργάζονται δεδομένα προσωπικού χαρακτήρα (208). Τα εν λόγω μέσα, στα οποία περιλαμβάνονται ειδικότερα ο νόμος για τις διοικητικές διαδικασίες (APA), ο νόμος για την ελευθερία της πληροφόρησης (Freedom of Information Act) και ο νόμος για την προστασία των δεδομένων στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act), είναι ανοικτά σε όλα τα φυσικά πρόσωπα, ανεξαρτήτως της ιθαγένειάς τους, με την επιφύλαξη τυχόν εφαρμοστέων προϋποθέσεων.

(115)

Γενικά, σύμφωνα με τις διατάξεις σχετικά με τον δικαστικό έλεγχο του νόμου για τις διοικητικές διαδικασίες (209), «κάθε πρόσωπο σε βάρος του οποίου υφίσταται άδικη πράξη εξαιτίας ενέργειας μιας υπηρεσίας, ή το οποίο επηρεάζεται δυσμενώς ή θίγεται από ενέργεια υπηρεσίας», δικαιούται να ζητήσει δικαστικό έλεγχο (210). Σε αυτό περιλαμβάνεται η δυνατότητα να ζητήσει από το δικαστήριο να «κρίνει παράνομη και να ακυρώσει κάθε ενέργεια, διαπίστωση και διατύπωση συμπεράσματος υπηρεσίας που κρίνεται ότι είναι […] αυθαίρετη, επιπόλαιη, συνιστά κατάχρηση διακριτικής ευχέρειας ή με άλλον τρόπο δεν συμμορφώνεται με τον νόμο» (211).

(116)

Πιο συγκεκριμένα, στον τίτλο II του ECPA (212) καθορίζεται ένα σύστημα νομικά καθορισμένων δικαιωμάτων προστασίας των δεδομένων το οποίο και διέπει την πρόσβαση των αρχών επιβολής του νόμου στο περιεχόμενο ενσύρματων, προφορικών ή ηλεκτρονικών επικοινωνιών που αποθηκεύεται από τρίτους παρόχους υπηρεσιών (213). Ποινικοποιεί την παράνομη (δηλαδή τη μη εγκεκριμένη από δικαστήριο ή με άλλον τρόπο επιτρεπτή) πρόσβαση στις εν λόγω επικοινωνίες και παρέχει στο θιγόμενο πρόσωπο τη δυνατότητα προσφυγής με την κατάθεση αγωγής σε ομοσπονδιακό δικαστήριο των ΗΠΑ για πραγματική και τιμωρητική αποζημίωση, καθώς και για δίκαιη αποκατάσταση ή αναγνωριστική αγωγή κατά κυβερνητικού λειτουργού που προέβη εσκεμμένα σε τέτοιες παράνομες πράξεις, ή κατά των Ηνωμένων Πολιτειών.

(117)

Επίσης, διάφορα άλλα νομοθετήματα παρέχουν σε πρόσωπα το δικαίωμα να ασκήσουν αγωγή κατά δημόσιας αρχής ή λειτουργού των ΗΠΑ σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, όπως ο νόμος για τις υποκλοπές (Wiretap Act) (214), ο νόμος για την ηλεκτρονική απάτη και κατάχρηση (Computer Fraud and Abuse Act) (215), ο νόμος για τις απαιτήσεις από αδικοπραξίες της ομοσπονδιακής κυβέρνησης (Federal Torts Claim Act) (216), ο νόμος για το δικαίωμα προστασίας των προσωπικών δεδομένων οικονομικού χαρακτήρα (Right to Financial Privacy Act) (217) και ο νόμος για τη δίκαιη αναφορά της πιστοληπτικής ικανότητας (Fair Credit Reporting Act) (218).

(118)

Επίσης, σύμφωνα με τον νόμο για την ελευθερία της πληροφόρησης (στο εξής: FOIA) (219), τίτλος 5 U.S.C. άρθρο 552, κάθε πρόσωπο έχει το δικαίωμα να αποκτά πρόσβαση σε αρχεία ομοσπονδιακών υπηρεσιών, συμπεριλαμβανομένων των περιπτώσεων στις οποίες αυτά περιέχουν δεδομένα προσωπικού χαρακτήρα του προσώπου. Μετά την εξάντληση των διοικητικών ενδίκων βοηθημάτων, ένα πρόσωπο μπορεί να επικαλεστεί το εν λόγω δικαίωμα πρόσβασης στο δικαστήριο, εκτός εάν τα εν λόγω αρχεία προστατεύονται από τη δημοσιοποίηση βάσει απαλλαγής ή ειδικής εξαίρεσης για λόγους επιβολής του νόμου (220). Στην περίπτωση αυτή, το δικαστήριο θα αξιολογήσει αν εφαρμόζεται οποιαδήποτε εξαίρεση ή αν έχει γίνει νόμιμα επίκλησή της από την αρμόδια δημόσια αρχή.

(119)

Το δίκαιο των Ηνωμένων Πολιτειών περιλαμβάνει διάφορους περιορισμούς και διάφορες εγγυήσεις όσον αφορά την πρόσβαση και τη χρήση δεδομένων προσωπικού χαρακτήρα για λόγους εθνικής ασφάλειας και προβλέπει μηχανισμούς εποπτείας και προσφυγής που συνάδουν με τις απαιτήσεις που αναφέρονται στην αιτιολογική σκέψη 89 της παρούσας απόφασης. Οι όροι υπό τους οποίους μπορεί να αποκτηθεί τέτοια πρόσβαση και οι εγγυήσεις που ισχύουν για τη χρήση αυτών των εξουσιών αξιολογούνται λεπτομερώς στις επόμενες ενότητες.

(120)

Τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε οργανισμούς του ΠΠΔ ΕΕ–ΗΠΑ μπορούν να συλλέγονται από αρχές των ΗΠΑ για λόγους εθνικής ασφάλειας βάσει διαφόρων νομικών πράξεων, υπό συγκεκριμένους όρους και εγγυήσεις.

(121)

Μόλις ληφθούν δεδομένα προσωπικού χαρακτήρα από οργανισμούς εγκατεστημένους στις Ηνωμένες Πολιτείες, οι υπηρεσίες πληροφοριών των ΗΠΑ μπορούν να ζητήσουν πρόσβαση στα εν λόγω δεδομένα για σκοπούς εθνικής ασφάλειας μόνον όπως προβλέπεται από τον νόμο, και συγκεκριμένα σύμφωνα με τον νόμο για την παρακολούθηση των επικοινωνιών αλλοδαπών υπηρεσιών πληροφοριών (Foreign Intelligence Surveillance Act, στο εξής: FISA) και/ή κανονιστικές διατάξεις που επιτρέπουν την πρόσβαση μέσω επιστολών εθνικής ασφάλειας (National Security Letters) (221). Ο FISA προβλέπει διάφορες νομικές βάσεις που μπορούν να χρησιμοποιηθούν για τη συλλογή (και, στη συνέχεια, την επεξεργασία) των δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων της Ένωσης τα οποία διαβιβάζονται στο πλαίσιο του ΠΠΔ ΕΕ–ΗΠΑ (άρθρο 105 FISA (222), άρθρο 302 FISA (223), άρθρο 402 FISA (224), άρθρο 501 FISA (225) και άρθρο 702 FISA (226)), όπως περιγράφεται λεπτομερέστερα στις αιτιολογικές σκέψεις 142-152.

(122)

Οι υπηρεσίες πληροφοριών των ΗΠΑ έχουν επίσης τη δυνατότητα να συλλέγουν δεδομένα προσωπικού χαρακτήρα εκτός των Ηνωμένων Πολιτειών, τα οποία μπορεί να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που τελούν υπό διαμετακόμιση μεταξύ της Ένωσης και των Ηνωμένων Πολιτειών. Η συλλογή πληροφοριών εκτός των Ηνωμένων Πολιτειών βασίζεται στο εκτελεστικό διάταγμα 12333 (στο εξής: ΕΟ 12333) (227), το οποίο εκδόθηκε από τον πρόεδρο των ΗΠΑ (228).

(123)

Η συλλογή πληροφοριών σημάτων είναι η σημαντικότερη μορφή συλλογής πληροφοριών για την παρούσα διαπίστωση επάρκειας, δεδομένου ότι αφορά τη συλλογή ηλεκτρονικών επικοινωνιών και δεδομένων από συστήματα πληροφοριών. Τέτοια συλλογή πληροφοριών μπορεί να πραγματοποιείται από τις υπηρεσίες πληροφοριών των ΗΠΑ τόσο εντός των Ηνωμένων Πολιτειών (βάσει του FISA) όσο και ενόσω τα δεδομένα τελούν υπό διαμετακόμιση προς τις Ηνωμένες Πολιτείες (βάσει του ΕΟ 12333).

(124)

Στις 7 Οκτωβρίου 2022 ο πρόεδρος των ΗΠΑ εξέδωσε το εκτελεστικό διάταγμα ΕΟ 14086 σχετικά με την ενίσχυση των εγγυήσεων για τις πληροφορίες σημάτων των Ηνωμένων Πολιτειών (Enhancing Safeguards for United States Signals Intelligence), στο οποίο τίθενται περιορισμοί και εγγυήσεις για όλες τις δραστηριότητες συλλογής πληροφοριών σημάτων των ΗΠΑ. Αυτό το εκτελεστικό διάταγμα αντικαθιστά, σε μεγάλο βαθμό, την προεδρική οδηγία πολιτικής PPD-28 (229), ενισχύει τους όρους, τους περιορισμούς και τις εγγυήσεις που ισχύουν για όλες τις δραστηριότητες συλλογής πληροφοριών σημάτων (δηλ. βάσει του FISA και του EO 12333), ανεξάρτητα από τον τόπο διεξαγωγής τους (230), και θεσπίζει νέο μηχανισμό προσφυγής μέσω του οποίου τα πρόσωπα μπορούν να επικαλούνται και να επιβάλουν τις εν λόγω εγγυήσεις (231) (βλ. λεπτομερέστερα τις αιτιολογικές σκέψεις 176 έως 194). Στο πλαίσιο αυτό, εφαρμόζει στο δίκαιο των ΗΠΑ το αποτέλεσμα των συνομιλιών που πραγματοποιήθηκαν μεταξύ της ΕΕ και των ΗΠΑ μετά την ακύρωση, από το ΔΕΕ, της απόφασης επάρκειας της Επιτροπής σχετικά με την ασπίδα προστασίας της ιδιωτικής ζωής (βλ. αιτιολογική σκέψη 6). Ως εκ τούτου, αποτελεί ιδιαίτερα σημαντικό στοιχείο του νομικού πλαισίου που αξιολογείται στην παρούσα απόφαση.

(125)

Οι περιορισμοί και οι εγγυήσεις που θεσπίζονται με το EO 14086 συμπληρώνουν τους περιορισμούς και τις εγγυήσεις που προβλέπονται στο άρθρο 702 του FISA και στο EO 12333. Οι απαιτήσεις που περιγράφονται κατωτέρω (στα σημεία 3.2.1.2 και 3.2.1.3) πρέπει να εφαρμόζονται από τις υπηρεσίες πληροφοριών όταν συμμετέχουν σε δραστηριότητες συλλογής πληροφοριών σημάτων σύμφωνα με το άρθρο 702 του FISA και το EO 12333, π.χ. κατά την επιλογή ή τον προσδιορισμό κατηγοριών πληροφοριών από την αλλοδαπή που πρέπει να συλλεχθούν σύμφωνα με το άρθρο 702 του FISA· τη συλλογή πληροφοριών από την αλλοδαπή ή πληροφοριών αντικατασκοπείας σύμφωνα με το EO 12333· και τη λήψη αποφάσεων στόχευσης συγκεκριμένων προσώπων βάσει του άρθρου 702 του FISA και του EO 12333.

(126)

Οι απαιτήσεις που καθορίζονται σε αυτό το εκτελεστικό διάταγμα που εκδόθηκε από τον πρόεδρο των ΗΠΑ είναι δεσμευτικές για ολόκληρη την κοινότητα των υπηρεσιών πληροφοριών. Πρέπει να εφαρμοστούν περαιτέρω μέσω πολιτικών και διαδικασιών των υπηρεσιών, με τις οποίες θα αποτυπωθούν σε συγκεκριμένες οδηγίες για τις καθημερινές επιχειρήσεις. Συναφώς, το EO 14086 παρέχει στις υπηρεσίες πληροφοριών των ΗΠΑ μέγιστο διάστημα ενός χρόνου για την επικαιροποίηση των υφιστάμενων πολιτικών και διαδικασιών τους (δηλ. έως τις 7 Οκτωβρίου 2023), ώστε να τις ευθυγραμμίσουν με τις απαιτήσεις του εκτελεστικού διατάγματος. Οι εν λόγω επικαιροποιημένες πολιτικές και διαδικασίες πρέπει να αναπτυχθούν σε συνεννόηση με τον γενικό εισαγγελέα, τον υπεύθυνο προστασίας ατομικών ελευθεριών (Civil Liberties Protection Officer, στο εξής: CLPO) του γραφείου του διευθυντή των εθνικών υπηρεσιών πληροφοριών (Office of the Director of National Intelligence, στο εξής: ODNI) και την Επιτροπή Εποπτείας της Προστασίας της Ιδιωτικής Ζωής και των Ατομικών Ελευθεριών (στο εξής: PCLOB) —ένα ανεξάρτητο όργανο εποπτείας εξουσιοδοτημένο να επανεξετάζει τις πολιτικές της εκτελεστικής εξουσίας και την εφαρμογή τους, με σκοπό την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών (βλ. αιτιολογική σκέψη 110 όσον αφορά τον ρόλο και το καθεστώς της PCLOB)— και να δημοσιοποιηθούν (232). Επίσης, μόλις τεθούν σε εφαρμογή οι επικαιροποιημένες πολιτικές και διαδικασίες, η PCLOB θα προβεί σε επανεξέταση για να διασφαλίσει ότι συνάδουν με το εκτελεστικό διάταγμα. Εντός 180 ημερών από την ολοκλήρωση της εν λόγω επανεξέτασης από την PCLOB, κάθε υπηρεσία πληροφοριών πρέπει να εξετάσει προσεκτικά και να εφαρμόσει ή να ανταποκριθεί με άλλον τρόπο σε όλες τις συστάσεις της PCLOB. Στις 3 Ιουλίου 2023 η κυβέρνηση των ΗΠΑ ενημέρωσε την Ευρωπαϊκή Επιτροπή ότι οι εν λόγω πολιτικές και διαδικασίες έχουν επικαιροποιηθεί (233).

(127)

Το ΕΟ 14086 προβλέπει ορισμένες γενικές απαιτήσεις που ισχύουν για όλες τις δραστηριότητες συλλογής πληροφοριών σημάτων (συλλογή, χρήση, διάδοση κ.λπ. δεδομένων προσωπικού χαρακτήρα).

(128)

Πρώτον, οι εν λόγω δραστηριότητες πρέπει να βασίζονται σε νόμο ή σε άδεια από τον πρόεδρο των ΗΠΑ και να πραγματοποιούνται σύμφωνα με το δίκαιο των ΗΠΑ, συμπεριλαμβανομένου του Συντάγματος (234).

(129)

Δεύτερον, πρέπει να υπάρχουν κατάλληλες εγγυήσεις ώστε να διασφαλίζεται ότι η προστασία της ιδιωτικής ζωής και οι ατομικές ελευθερίες αποτελούν αναπόσπαστο μέρος του σχεδιασμού των εν λόγω δραστηριοτήτων (235).

(130)

Ειδικότερα, οποιαδήποτε δραστηριότητα συλλογής πληροφοριών σημάτων μπορεί να πραγματοποιηθεί μόνο «αφότου διαπιστωθεί, βάσει εύλογης αξιολόγησης όλων των σχετικών παραγόντων, ότι οι δραστηριότητες είναι αναγκαίες για την προώθηση μιας επικυρωμένης προτεραιότητας συλλογής πληροφοριών» (όσον αφορά την έννοια της «επικυρωμένης προτεραιότητας συλλογής πληροφοριών», βλ. αιτιολογική σκέψη 135) (236).

(131)

Επίσης, οι εν λόγω δραστηριότητες μπορούν να διεξάγονται μόνο «στον βαθμό και με τρόπο που είναι ανάλογος προς την επικυρωμένη προτεραιότητα συλλογής πληροφοριών για την οποία έχουν εγκριθεί» (237). Με άλλα λόγια, πρέπει να επιτυγχάνεται κατάλληλη ισορροπία «μεταξύ της σημασίας της επιδιωκόμενης προτεραιότητας συλλογής πληροφοριών και των επιπτώσεων στην προστασία της ιδιωτικής ζωής και στις ατομικές ελευθερίες των θιγόμενων προσώπων, ανεξάρτητα από την ιθαγένειά τους ή τον τόπο διαμονής τους» (238).

(132)

Τέλος, για να διασφαλιστεί η συμμόρφωση με τις εν λόγω γενικές απαιτήσεις —οι οποίες αντικατοπτρίζουν τις αρχές της νομιμότητας, της αναγκαιότητας και της αναλογικότητας— οι δραστηριότητες συλλογής πληροφοριών σημάτων υπόκεινται σε εποπτεία (βλ. λεπτομερέστερα σημείο 3.2.2) (239).

(133)

Οι εν λόγω γενικές απαιτήσεις τεκμηριώνονται περαιτέρω όσον αφορά τη συλλογή πληροφοριών σημάτων μέσω σειράς προϋποθέσεων και περιορισμών που διασφαλίζουν ότι η παρέμβαση στα δικαιώματα των προσώπων περιορίζεται σε ό,τι είναι αναγκαίο και αναλογικό για την προώθηση ενός θεμιτού στόχου.

(134)

Πρώτον, το εκτελεστικό διάταγμα περιορίζει τους λόγους για τους οποίους μπορούν να συλλέγονται δεδομένα στο πλαίσιο δραστηριοτήτων συλλογής πληροφοριών σημάτων με δύο τρόπους. Αφενός, το εκτελεστικό διάταγμα καθορίζει τους θεμιτούς στόχους που μπορούν να επιδιώκονται με τη συλλογή πληροφοριών σημάτων, π.χ. κατανόηση ή αξιολόγηση των ικανοτήτων, των προθέσεων ή των δραστηριοτήτων ξένων οργανώσεων, συμπεριλαμβανομένων διεθνών τρομοκρατικών οργανώσεων, οι οποίες συνιστούν τρέχουσα ή δυνητική απειλή για την εθνική ασφάλεια των Ηνωμένων Πολιτειών· προστασία από ξένες στρατιωτικές ικανότητες και δραστηριότητες· κατανόηση ή αξιολόγηση διακρατικών απειλών που επηρεάζουν την παγκόσμια ασφάλεια, όπως κλιματική και άλλες οικολογικές αλλαγές, κίνδυνοι για τη δημόσια υγεία και ανθρωπιστικές απειλές (240). Αφετέρου, το εκτελεστικό διάταγμα αναφέρει ορισμένους στόχους που δεν πρέπει ποτέ να επιδιώκονται μέσω δραστηριοτήτων συλλογής πληροφοριών σημάτων, π.χ. με σκοπό να εμποδιστούν επικριτικές ή αντίθετες απόψεις ή η ελεύθερη έκφραση ιδεών ή πολιτικών απόψεων από πρόσωπα ή τον Τύπο· με σκοπό να τεθούν σε μειονεκτική θέση πρόσωπα λόγω της εθνοτικής καταγωγής, της φυλής, του φύλου, της ταυτότητας φύλου, του σεξουαλικού προσανατολισμού ή της θρησκείας τους· ή για την παροχή ανταγωνιστικού πλεονεκτήματος σε εταιρείες των ΗΠΑ (241).

(135)

Επίσης, οι υπηρεσίες πληροφοριών δεν μπορούν να επικαλούνται μόνο τους θεμιτούς σκοπούς που αναφέρονται στο EO 14086 για να δικαιολογήσουν τη συλλογή πληροφοριών σημάτων, αλλά πρέπει να τους τεκμηριώνουν περαιτέρω, για επιχειρησιακούς σκοπούς, μέσω πιο συγκεκριμένων προτεραιοτήτων για τις οποίες μπορούν να συλλεχθούν πληροφορίες σημάτων. Με άλλα λόγια, συλλογή μπορεί να πραγματοποιηθεί μόνο για την προώθηση μιας πιο συγκεκριμένης προτεραιότητας. Οι εν λόγω προτεραιότητες καθορίζονται μέσω ειδικής διαδικασίας που αποσκοπεί στη διασφάλιση της συμμόρφωσης με τις ισχύουσες νομικές απαιτήσεις, συμπεριλαμβανομένων εκείνων που αφορούν την προστασία της ιδιωτικής ζωής και τις ατομικές ελευθερίες. Πιο συγκεκριμένα, οι προτεραιότητες συλλογής πληροφοριών αναπτύσσονται πρώτα από τον διευθυντή των εθνικών υπηρεσιών πληροφοριών (μέσω του λεγόμενου πλαισίου εθνικών προτεραιοτήτων συλλογής πληροφοριών) και υποβάλλονται στον πρόεδρο προς έγκριση (242). Πριν να προτείνει στον πρόεδρο τις προτεραιότητες συλλογής πληροφοριών, ο προϊστάμενος πρέπει, σύμφωνα με το ΕΟ 14086, να λάβει, για κάθε προτεραιότητα, αξιολόγηση από τον CLPO του ODNI όσον αφορά το αν η εν λόγω προτεραιότητα 1) προωθεί έναν ή περισσότερους θεμιτούς στόχους που αναφέρονται στο εκτελεστικό διάταγμα· 2) δεν έχει σχεδιαστεί ούτε αναμένεται να οδηγήσει σε συλλογή πληροφοριών σημάτων για απαγορευμένο σκοπό που αναφέρεται στο εκτελεστικό διάταγμα· και 3) καθορίστηκε αφού ελήφθη δεόντως υπόψη η προστασία της ιδιωτικής ζωής και οι ατομικές ελευθερίες όλων των προσώπων, ανεξάρτητα από την ιθαγένειά τους ή τον τόπο κατοικίας τους (243). Σε περίπτωση που ο προϊστάμενος διαφωνεί με την αξιολόγηση του CLPO, και οι δύο απόψεις πρέπει να παρουσιαστούν στον πρόεδρο (244).

(136)

Ως εκ τούτου, η διαδικασία αυτή διασφαλίζει κυρίως ότι λαμβάνονται υπόψη τα ζητήματα προστασίας της ιδιωτικής ζωής από το αρχικό στάδιο κατά το οποίο αναπτύσσονται οι προτεραιότητες συλλογής πληροφοριών.

(137)

Δεύτερον, μόλις καθοριστεί μια προτεραιότητα συλλογής πληροφοριών, ορισμένες απαιτήσεις διέπουν την απόφαση σχετικά με το αν και σε ποιο βαθμό μπορούν να συλλεχθούν πληροφορίες σημάτων για την προώθηση μιας τέτοιας προτεραιότητας. Οι εν λόγω απαιτήσεις θέτουν σε εφαρμογή τα γενικά πρότυπα αναγκαιότητας και αναλογικότητας που καθορίζονται στο άρθρο 2(a) του εκτελεστικού διατάγματος.

(138)

Ειδικότερα, πληροφορίες σημάτων μπορούν να συλλέγονται μόνο «αφού διαπιστωθεί ότι, βάσει εύλογης αξιολόγησης όλων των σχετικών παραγόντων, η συλλογή είναι απαραίτητη για την προώθηση συγκεκριμένης προτεραιότητας συλλογής πληροφοριών» (245). Για να καθορίσουν αν μια συγκεκριμένη δραστηριότητα συλλογής πληροφοριών σημάτων είναι αναγκαία για την προώθηση μιας επικυρωμένης προτεραιότητας συλλογής πληροφοριών, οι υπηρεσίες πληροφοριών των ΗΠΑ πρέπει να εξετάζουν τη διαθεσιμότητα, τη σκοπιμότητα και την καταλληλότητα άλλων λιγότερο παρεμβατικών πηγών και μεθόδων, μεταξύ άλλων διπλωματικών και δημόσιων πηγών (246). Πρέπει να δίνεται προτεραιότητα στις εν λόγω εναλλακτικές, λιγότερο παρεμβατικές πηγές και μεθόδους, όταν είναι διαθέσιμες (247).

(139)

Όταν, κατά την εφαρμογή των εν λόγω κριτηρίων, η συλλογή πληροφοριών σημάτων θεωρείται αναγκαία, πρέπει να είναι «όσο το δυνατόν πιο προσαρμοσμένη» και «να μην επηρεάζει δυσανάλογα την προστασία της ιδιωτικής ζωής και τις ατομικές ελευθερίες» (248). Για να διασφαλιστεί ότι η ιδιωτική ζωή και οι ατομικές ελευθερίες δεν θίγονται δυσανάλογα —δηλαδή για να επιτευχθεί η κατάλληλη ισορροπία μεταξύ των αναγκών εθνικής ασφάλειας και της προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών— πρέπει να λαμβάνονται δεόντως υπόψη όλοι οι σχετικοί παράγοντες, όπως η φύση του επιδιωκόμενου στόχου· ο παρεμβατικός χαρακτήρας της δραστηριότητας συλλογής, συμπεριλαμβανομένης της διάρκειάς της· η πιθανή συμβολή της συλλογής στην επίτευξη του επιδιωκόμενου στόχου· οι ευλόγως προβλέψιμες συνέπειες για τα πρόσωπα· καθώς και η φύση και η ευαισθησία των δεδομένων που θα συλλεχθούν (249).

(140)

Όσον αφορά το είδος της συλλογής πληροφοριών σημάτων, η συλλογή δεδομένων εντός των Ηνωμένων Πολιτειών, η οποία είναι η σημαντικότερη για την παρούσα διαπίστωση επάρκειας, καθώς αφορά δεδομένα που έχουν διαβιβαστεί σε οργανισμούς στις ΗΠΑ, πρέπει πάντα να είναι στοχευμένη, όπως εξηγείται λεπτομερέστερα στις αιτιολογικές σκέψεις 142 έως 153.

(141)

«Μαζική συλλογή» (250) μπορεί να πραγματοποιείται μόνο εκτός των Ηνωμένων Πολιτειών, βάσει του ΕΟ 12333. Επίσης, στην περίπτωση αυτή, σύμφωνα με το ΕΟ 14086, πρέπει να δίνεται προτεραιότητα στη στοχευμένη συλλογή (251). Αντιστρόφως, μαζική συλλογή επιτρέπεται μόνο όταν οι πληροφορίες που είναι αναγκαίες για την προώθηση μιας επικυρωμένης προτεραιότητας συλλογής πληροφοριών δεν μπορούν εύλογα να ληφθούν μέσω στοχευμένης συλλογής (252). Όταν είναι αναγκαία η μαζική συλλογή δεδομένων εκτός των Ηνωμένων Πολιτειών, εφαρμόζονται ειδικές εγγυήσεις βάσει του ΕΟ 14086 (253). Πρώτον, πρέπει να εφαρμόζονται μέθοδοι και τεχνικά μέτρα προκειμένου να περιορίζονται τα δεδομένα που συλλέγονται μόνο σε ό,τι είναι αναγκαίο για την προώθηση μιας επικυρωμένης προτεραιότητας συλλογής πληροφοριών, ενώ παράλληλα ελαχιστοποιείται η συλλογή μη συναφών πληροφοριών (254). Δεύτερον, το εκτελεστικό διάταγμα περιορίζει τη χρήση των πληροφοριών που συλλέγονται μαζικά (συμπεριλαμβανομένης της αναζήτησης) σε έξι συγκεκριμένους στόχους, συμπεριλαμβανομένων της προστασίας από τρομοκρατία, ομηρία και αιχμαλωσία προσώπων από ή για λογαριασμό ξένης κυβέρνησης, οργάνωσης ή προσώπου· της προστασίας από ξένη κατασκοπεία, δολιοφθορά ή δολοφονία· της προστασίας από απειλές σχετικά με την ανάπτυξη, την κατοχή ή τη διάδοση όπλων μαζικής καταστροφής ή συναφείς τεχνολογίες και απειλές κ.λπ (255). Τέλος, κάθε αναζήτηση πληροφοριών σημάτων που λαμβάνονται μαζικά μπορεί να πραγματοποιείται μόνο όταν είναι αναγκαίο για την προώθηση επικυρωμένης προτεραιότητας συλλογής πληροφοριών, για την επίτευξη αυτών των έξι στόχων και σύμφωνα με πολιτικές και διαδικασίες που λαμβάνουν δεόντως υπόψη τον αντίκτυπο των αναζητήσεων στην ιδιωτική ζωή και τις ατομικές ελευθερίες όλων των προσώπων, ανεξάρτητα από την ιθαγένειά τους ή τον τόπο διαμονής τους (256).

(142)

Εκτός από τις απαιτήσεις του ΕΟ 14086, η συλλογή δεδομένων πληροφοριών σημάτων που έχουν διαβιβαστεί σε οργανισμό στις Ηνωμένες Πολιτείες υπόκειται σε ειδικούς περιορισμούς και εγγυήσεις που διέπονται από το άρθρο 702 του FISA (257). Το άρθρο 702 του FISA επιτρέπει τη συλλογή πληροφοριών από την αλλοδαπή μέσω στόχευσης προσώπων που δεν είναι υπήκοοι των ΗΠΑ και πιστεύεται εύλογα ότι βρίσκονται εκτός Ηνωμένων Πολιτειών, με υποχρεωτική παροχή βοήθειας από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών των ΗΠΑ (258). Για τη συλλογή πληροφοριών από την αλλοδαπή σύμφωνα με το άρθρο 702 του FISA, ο γενικός εισαγγελέας και ο διευθυντής των εθνικών υπηρεσιών πληροφοριών υποβάλλουν ετήσιες πιστοποιήσεις στο Δικαστήριο του Νόμου για την Παρακολούθηση Επικοινωνιών Αλλοδαπών Υπηρεσιών Πληροφοριών (Foreign Intelligence Surveillance Court, στο εξής: FISC), το οποίο προσδιορίζει κατηγορίες πληροφοριών από την αλλοδαπή που πρέπει να αποκτώνται (259). Οι πιστοποιήσεις πρέπει να συνοδεύονται από διαδικασίες στόχευσης, ελαχιστοποίησης και αναζήτησης, οι οποίες εγκρίνονται επίσης από το δικαστήριο και είναι νομικά δεσμευτικές για τις υπηρεσίες πληροφοριών των ΗΠΑ.

(143)

Το FISC είναι ανεξάρτητο δικαστήριο (260) το οποίο συστάθηκε με ομοσπονδιακό νόμο και του οποίου οι αποφάσεις μπορούν να προσβληθούν ενώπιον του δευτεροβάθμιου δικαστηρίου για τον νόμο FISA (Foreign Intelligence Surveillance Court of Review, στο εξής: FISCR) (261) και, εν τέλει, του Ανώτατου Δικαστηρίου των Ηνωμένων Πολιτειών (262). Το FISC (και το FISCR) επικουρείται από μόνιμη επιτροπή πέντε δικηγόρων και πέντε τεχνικών εμπειρογνωμόνων που διαθέτουν πείρα σε θέματα εθνικής ασφάλειας, καθώς και ατομικών ελευθεριών (263). Από την εν λόγω ομάδα το δικαστήριο ορίζει ένα πρόσωπο που υπηρετεί ως amicus curiae, προκειμένου να συνδράμει στην εξέταση κάθε αίτησης για διαταγή ή έλεγχο η οποία, κατά την άποψη του δικαστηρίου, παρουσιάζει νέα ή σημαντική ερμηνεία του νόμου, εκτός εάν το δικαστήριο αποφανθεί ότι δεν είναι σκόπιμος αυτός ο ορισμός (264). Με τον τρόπο αυτόν διασφαλίζεται, ειδικότερα, ότι οι παράμετροι προστασίας της ιδιωτικής ζωής αποτυπώνονται δεόντως στην εκτίμηση του δικαστηρίου. Το δικαστήριο μπορεί επίσης να ορίζει ένα πρόσωπο ή οργανισμό που θα υπηρετεί ως amicus curiae, μεταξύ άλλων για την παροχή τεχνικής εμπειρογνωσίας, όποτε το κρίνει σκόπιμο ή, κατόπιν αιτήματος, μπορεί να επιτρέπει σε πρόσωπο ή οργανισμό να υποβάλει υπόμνημα amicus curiae (265).

(144)

Το FISC ελέγχει τις πιστοποιήσεις και τις σχετικές διαδικασίες (ιδίως τις διαδικασίες στόχευσης και ελαχιστοποίησης) για να διαπιστώσει τη συμμόρφωση με τις προϋποθέσεις του FISA. Εάν θεωρεί ότι οι προϋποθέσεις δεν πληρούνται, μπορεί να αρνηθεί την πιστοποίηση, εν όλω ή εν μέρει, και να ζητήσει την τροποποίηση των διαδικασιών (266). Στο πλαίσιο αυτό, το FISC έχει επανειλημμένα επιβεβαιώσει ότι ο έλεγχος των διαδικασιών στόχευσης και ελαχιστοποίησης του άρθρου 702 δεν περιορίζεται στις γραπτές διαδικασίες, αλλά περιλαμβάνει επίσης τον τρόπο με τον οποίο οι διαδικασίες εφαρμόζονται από την κυβέρνηση (267).

(145)

Οι επιμέρους αποφάσεις στόχευσης λαμβάνονται από την Εθνική Υπηρεσία Ασφαλείας (στο εξής: NSA, η υπηρεσία πληροφοριών που είναι αρμόδια για τη στόχευση βάσει του άρθρου 702 του FISA) σύμφωνα με τις εγκεκριμένες από το FISC διαδικασίες στόχευσης, οι οποίες ορίζουν ότι η NSA πρέπει να αξιολογήσει, με βάση το σύνολο των περιστάσεων, αν η στόχευση συγκεκριμένου προσώπου είναι πιθανό να επιφέρει την απόκτηση κατηγορίας πληροφοριών από την αλλοδαπή που προσδιορίζεται σε πιστοποίηση (268). Η αξιολόγηση αυτή πρέπει να εξειδικεύεται και να βασίζεται σε πραγματικά στοιχεία, με βάση την αναλυτική κρίση, την εξειδικευμένη κατάρτιση και πείρα του αναλυτή, καθώς και τη φύση των πληροφοριών που πρόκειται να αποκτηθούν από την αλλοδαπή (269). Η στόχευση πραγματοποιείται με τον προσδιορισμό των λεγόμενων κριτηρίων επιλογής που εντοπίζουν συγκεκριμένα στοιχεία επικοινωνίας, όπως τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή τον αριθμό τηλεφώνου του στόχου, αλλά ποτέ λέξεις-κλειδιά ή ονόματα προσώπων (270).

(146)

Οι αναλυτές της NSA θα προσδιορίζουν πρώτα πρόσωπα που δεν είναι υπήκοοι των ΗΠΑ και βρίσκονται στο εξωτερικό, των οποίων η παρακολούθηση θα οδηγήσει, σύμφωνα με την εκτίμηση των αναλυτών, στις σχετικές πληροφορίες από την αλλοδαπή που προσδιορίζονται στην πιστοποίηση (271). Όπως ορίζεται στις διαδικασίες στόχευσης της NSA, η NSA μπορεί να παρακολουθήσει έναν στόχο μόνον όταν έχει ήδη μάθει κάτι σχετικά με τον στόχο (272). Αυτό μπορεί να προκύπτει από πληροφορίες από διάφορες πηγές, για παράδειγμα από ανθρώπους. Μέσω αυτών των άλλων πηγών, ο αναλυτής πρέπει επίσης να ενημερωθεί για ένα συγκεκριμένο κριτήριο επιλογής (δηλαδή λογαριασμό επικοινωνίας) που χρησιμοποιείται από τον δυνητικό στόχο. Μόλις τα συγκεκριμένα πρόσωπα προσδιοριστούν σε εξατομικευμένη βάση και εφόσον η στόχευσή τους εγκριθεί από εκτενή μηχανισμό ελέγχου εντός της NSA (273), θα «καθορίζονται» (δηλαδή θα καταρτίζονται και θα εφαρμόζονται) κριτήρια επιλογής που προσδιορίζουν στοιχεία επικοινωνίας (όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου) που χρησιμοποιούνται από τους στόχους (274).

(147)

Η NSA πρέπει να τεκμηριώνει την πραγματική βάση για την επιλογή του στόχου (275) και, ανά τακτά χρονικά διαστήματα μετά την αρχική στόχευση, να επιβεβαιώνει ότι το πρότυπο στόχευσης εξακολουθεί να πληρούται (276). Όταν αυτό δεν πληρούται πια, η συλλογή πρέπει να διακόπτεται (277). Η επιλογή κάθε στόχου από την NSA και το αρχείο κάθε καταγεγραμμένης αξιολόγησης στόχευσης, καθώς και το σκεπτικό της, εξετάζονται ως προς τη συμμόρφωση με τις διαδικασίες στόχευσης ανά δίμηνο από υπαλλήλους των γραφείων εποπτείας των υπηρεσιών πληροφοριών του Υπουργείου Δικαιοσύνης, οι οποίοι είναι υποχρεωμένοι να αναφέρουν οποιαδήποτε παραβίαση στο FISC και στο Κογκρέσο (278). Η γραπτή τεκμηρίωση της NSA παρέχει στο FISC τη δυνατότητα να εποπτεύει ευκολότερα αν πραγματοποιείται κατάλληλη στόχευση συγκεκριμένων προσώπων βάσει του άρθρου 702 του FISA, σύμφωνα με τις εποπτικές εξουσίες του που περιγράφονται στις αιτιολογικές σκέψεις 173 και 174 (279). Τέλος, ο διευθυντής των εθνικών υπηρεσιών πληροφοριών (DNI) υποχρεούται επίσης να αναφέρει ετησίως τον συνολικό αριθμό των στόχων βάσει του άρθρου 702 του FISA σε δημόσιες ετήσιες εκθέσεις στατιστικής διαφάνειας. Οι εταιρείες που λαμβάνουν οδηγίες βάσει του άρθρου 702 του FISA μπορούν να δημοσιεύουν συγκεντρωτικά δεδομένα (μέσω εκθέσεων διαφάνειας) σχετικά με τα αιτήματα που λαμβάνουν (280).

(148)

Όσον αφορά τις άλλες νομικές βάσεις για τη συλλογή δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται σε οργανισμούς στις ΗΠΑ, ισχύουν διαφορετικοί περιορισμοί και εγγυήσεις. Γενικά, απαγορεύεται ρητά η μαζική συλλογή δεδομένων βάσει του άρθρου 402 του FISA (άδεια χρήσης συσκευών καταγραφής κλήσεων και συσκευών εντοπισμού θέσης) και μέσω της χρήσης επιστολών εθνικής ασφάλειας, και, αντιθέτως, απαιτείται η χρήση ειδικών «όρων επιλογής» (281).

(149)

Για τη διενέργεια παραδοσιακής εξατομικευμένης ηλεκτρονικής παρακολούθησης (σύμφωνα με το άρθρο 105 του FISA), οι υπηρεσίες πληροφοριών πρέπει να υποβάλουν αίτηση στο FISC με αναφορά των πραγματικών περιστατικών και των περιστάσεων στα οποία βασίζεται η πεποίθηση ότι υπάρχει πιθανή αιτία η εγκατάσταση να χρησιμοποιείται ή να πρόκειται να χρησιμοποιηθεί από ξένη δύναμη ή πράκτορα ξένης δύναμης (282). Το FISC θα αξιολογεί, μεταξύ άλλων, αν, βάσει των υποβαλλόμενων πραγματικών περιστατικών, υπάρχει πιθανή αιτία να συντρέχει πράγματι τέτοια περίπτωση (283).

(150)

Για την πραγματοποίηση έρευνας σε χώρους ή περιουσιακά στοιχεία με σκοπό επιθεώρηση, κατάσχεση κ.λπ. πληροφοριών, υλικού ή περιουσιακών στοιχείων (π.χ. υπολογιστή) βάσει του άρθρου 301 του FISA, απαιτείται αίτηση για την έκδοση διαταγής από το FISC (284). Η εν λόγω αίτηση πρέπει, μεταξύ άλλων, να αποδεικνύει ότι είναι πιθανόν ο στόχος της έρευνας να είναι ξένη δύναμη ή πράκτορας ξένης δύναμης· ότι ο χώρος ή τα περιουσιακά στοιχεία που πρόκειται να ερευνηθούν περιέχει πληροφορίες από την αλλοδαπή και ότι ο χώρος που θα ερευνηθεί είναι στη ιδιοκτησία, χρήση, κατοχή ξένης δύναμης ή πράκτορα ξένης δύναμης ή τελεί υπό διαμετακόμιση σε ή από ξένη δύναμη ή πράκτορα ξένης δύναμης (285).

(151)

Ομοίως, για την εγκατάσταση συσκευών καταγραφής κλήσεων ή συσκευών εντοπισμού θέσης (σύμφωνα με το άρθρο 402 του FISA) απαιτείται αίτηση για την έκδοση διαταγής από το FISC [ή από βοηθό δικαστή ομοσπονδιακού πρωτοδικείου (U.S. Magistrate Judge)] και η χρήση ειδικού όρου επιλογής, ήτοι ενός όρου που προσδιορίζει ειδικά ένα πρόσωπο, έναν λογαριασμό κ.λπ. και χρησιμοποιείται για να περιορίσει το πεδίο των ζητούμενων πληροφοριών στον μέγιστο βαθμό που αυτό είναι ευλόγως εφικτό (286). Η άδεια αυτή δεν αφορά το περιεχόμενο των επικοινωνιών, αλλά στοχεύει μάλλον σε πληροφορίες για τον πελάτη ή συνδρομητή που χρησιμοποιεί μια υπηρεσία (όπως το όνομα, τη διεύθυνση, τον αριθμό συνδρομητή, τη διάρκεια/το είδος της ληφθείσας υπηρεσίας, την πηγή/τον μηχανισμό πληρωμής).

(152)

Το άρθρο 501 του FISA (287), το οποίο επιτρέπει τη συλλογή των εταιρικών αρχείων ενός κοινού μεταφορέα (δηλαδή οποιουδήποτε προσώπου ή φορέα που μεταφέρει πρόσωπα ή περιουσιακά στοιχεία οδικώς, σιδηροδρομικώς, αεροπορικώς ή δια θαλάσσης έναντι αποζημίωσης), μιας εγκατάστασης παροχής διαμονής (π.χ. ξενοδοχείου, πανδοχείου), μιας εγκατάστασης ενοικίασης οχημάτων ή μιας εγκατάστασης φυσικής αποθήκευσης (δηλ. η οποία παρέχει χώρο ή υπηρεσίες σχετικές με την αποθήκευση αγαθών και υλικών) (288), απαιτεί επίσης την υποβολή αίτησης στο FISC ή σε βοηθό δικαστή ομοσπονδιακού πρωτοδικείου. Στην αίτηση αυτή πρέπει να προσδιορίζονται τα ζητούμενα αρχεία και τα συγκεκριμένα και σαφή πραγματικά περιστατικά που οδηγούν στο συμπέρασμα ότι το πρόσωπο στο οποίο αναφέρονται τα αρχεία είναι ξένη δύναμη ή πράκτορας ξένης εξουσίας (289).

(153)

Τέλος, επιστολές εθνικής ασφάλειας εγκρίνονται βάσει διαφόρων νομοθετημάτων και επιτρέπουν στις αρμόδιες για την έρευνα υπηρεσίες να λαμβάνουν ορισμένες πληροφορίες (μη συμπεριλαμβανομένου του περιεχομένου των επικοινωνιών) από ορισμένες οντότητες (π.χ. χρηματοπιστωτικά ιδρύματα, φορείς υποβολής εκθέσεων πιστοληπτικής ικανότητας, παρόχους ηλεκτρονικών επικοινωνιών) που περιέχονται σε εκθέσεις πιστοληπτικής ικανότητας, χρηματοοικονομικά αρχεία και ηλεκτρονικά αρχεία συνδρομητών και συναλλαγών (290). Ο νόμος για τις επιστολές εθνικής ασφάλειας που επιτρέπει την πρόσβαση σε ηλεκτρονικές επικοινωνίες μπορεί να χρησιμοποιείται μόνο από το FBI και απαιτεί στα αιτήματα να χρησιμοποιείται όρος που προσδιορίζει συγκεκριμένα ένα πρόσωπο, μια οντότητα, έναν αριθμό τηλεφώνου ή έναν λογαριασμό και πιστοποιείται ότι οι πληροφορίες είναι συναφείς με εγκεκριμένη έρευνα εθνικής ασφάλειας για την προστασία από διεθνή τρομοκρατία ή παράνομες δραστηριότητες συλλογής πληροφοριών (291). Οι αποδέκτες επιστολής εθνικής ασφάλειας έχουν το δικαίωμα να προσφύγουν κατά αυτής στο δικαστήριο (292).

(154)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που συλλέγονται από τις υπηρεσίες πληροφοριών των ΗΠΑ μέσω πληροφοριών σημάτων υπόκειται σε ορισμένες εγγυήσεις.

(155)

Πρώτον, κάθε υπηρεσία πληροφοριών πρέπει να κατοχυρώνει την κατάλληλη ασφάλεια των δεδομένων και να αποτρέπει την πρόσβαση μη εξουσιοδοτημένων προσώπων σε δεδομένα προσωπικού χαρακτήρα που συλλέγονται μέσω πληροφοριών σημάτων. Στο πλαίσιο αυτό, διάφορα μέσα, μεταξύ των οποίων νομοθετικές πράξεις, κατευθυντήριες γραμμές και πρότυπα, προσδιορίζουν περαιτέρω τις ελάχιστες απαιτήσεις ασφάλειας των πληροφοριών που πρέπει να θεσπιστούν (π.χ. πολυπαραγοντική επαλήθευση ταυτότητας, κρυπτογράφηση κ.λπ.) (293). Πρόσβαση στα συλλεγόμενα δεδομένα πρέπει να έχει μόνο εξουσιοδοτημένο και εκπαιδευμένο προσωπικό που χρειάζεται να γνωρίζει τις πληροφορίες για την εκτέλεση της αποστολής του (294). Γενικότερα, οι υπηρεσίες πληροφοριών πρέπει να παρέχουν κατάλληλη κατάρτιση στους υπαλλήλους τους, μεταξύ άλλων σχετικά με τις διαδικασίες για την καταγγελία και την αντιμετώπιση παραβιάσεων του νόμου (συμπεριλαμβανομένου του EO 14086) (295).

(156)

Δεύτερον, οι υπηρεσίες πληροφοριών πρέπει να συμμορφώνονται με τα πρότυπα ακρίβειας και αντικειμενικότητας της κοινότητας των υπηρεσιών πληροφοριών, ειδικότερα όσον αφορά τη διασφάλιση της ποιότητας και της αξιοπιστίας των δεδομένων, την εξέταση εναλλακτικών πηγών πληροφοριών και την αντικειμενικότητα κατά τη διενέργεια αναλύσεων (296).

(157)

Τρίτον, όσον αφορά τη διατήρηση δεδομένων, το EO 14086 διευκρινίζει ότι τα δεδομένα προσωπικού χαρακτήρα προσώπων που δεν είναι υπήκοοι των ΗΠΑ υπόκεινται στις ίδιες περιόδους διατήρησης με εκείνες που ισχύουν για τα δεδομένα υπηκόων των ΗΠΑ (297). Οι υπηρεσίες πληροφοριών υποχρεούνται να καθορίζουν συγκεκριμένες περιόδους διατήρησης και/ή τους παράγοντες που πρέπει να λαμβάνονται υπόψη για τον προσδιορισμό της διάρκειας των εφαρμοστέων περιόδων διατήρησης (π.χ. κατά πόσον οι πληροφορίες αποτελούν απόδειξη εγκλήματος· κατά πόσον οι πληροφορίες συνιστούν πληροφορίες από την αλλοδαπή· κατά πόσον οι πληροφορίες είναι απαραίτητες για την προστασία της ασφάλειας προσώπων ή οργανισμών, συμπεριλαμβανομένων θυμάτων ή στόχων διεθνούς τρομοκρατίας), οι οποίες καθορίζονται σε διάφορες νομικές πράξεις (298).

(158)

Τέταρτον, ισχύουν ειδικοί κανόνες όσον αφορά τη διάδοση δεδομένων προσωπικού χαρακτήρα που συλλέγονται μέσω πληροφοριών σημάτων. Ως γενική απαίτηση, τα δεδομένα προσωπικού χαρακτήρα που αφορούν πρόσωπα που δεν είναι υπήκοοι των ΗΠΑ μπορούν να διαδίδονται μόνο εάν περιλαμβάνουν το ίδιο είδος πληροφοριών που μπορούν να διαδοθούν σχετικά με υπηκόους των ΗΠΑ, π.χ. πληροφορίες που απαιτούνται για την προστασία της ασφάλειας ενός προσώπου ή μιας οργάνωσης (όπως είναι οι στόχοι, τα θύματα ή οι όμηροι διεθνών τρομοκρατικών οργανώσεων) (299). Επίσης, δεν επιτρέπεται η διάδοση δεδομένων προσωπικού χαρακτήρα αποκλειστικά και μόνο λόγω της ιθαγένειας ή της χώρας διαμονής ενός προσώπου ή με σκοπό την καταστρατήγηση των απαιτήσεων του ΕΟ 14086 (300). Διάδοση εντός της κυβέρνησης των ΗΠΑ μπορεί να πραγματοποιηθεί μόνον εάν εξουσιοδοτημένο και εκπαιδευμένο πρόσωπο έχει εύλογη πεποίθηση ότι ο αποδέκτης είναι αναγκαίο να γνωρίζει τις πληροφορίες (301) και θα τις προστατεύσει δεόντως (302). Για να προσδιοριστεί αν δεδομένα προσωπικού χαρακτήρα μπορούν να διαδοθούν σε αποδέκτες εκτός της κυβέρνησης των ΗΠΑ (συμπεριλαμβανομένης αλλοδαπής κυβέρνησης ή διεθνούς οργανισμού), πρέπει να λαμβάνονται υπόψη ο σκοπός της διάδοσης, η φύση και η έκταση των δεδομένων που διαδίδονται, καθώς και το ενδεχόμενο επιζήμιων επιπτώσεων για το/τα ενδιαφερόμενο/-α πρόσωπο/-α (303).

(159)

Τέλος, μεταξύ άλλων προκειμένου να διευκολυνθεί η εποπτεία της συμμόρφωσης με τις ισχύουσες νομικές απαιτήσεις, καθώς και η αποτελεσματική έννομη προστασία, κάθε υπηρεσία πληροφοριών υποχρεούται βάσει του EO 14086 να τηρεί κατάλληλη τεκμηρίωση σχετικά με τη συλλογή πληροφοριών σημάτων. Οι απαιτήσεις τεκμηρίωσης καλύπτουν στοιχεία όπως η πραγματική βάση επί της οποίας εκτιμήθηκε ότι μια συγκεκριμένη δραστηριότητα συλλογής είναι αναγκαία για την προώθηση επικυρωμένης προτεραιότητας συλλογής πληροφοριών (304).

(160)

Εκτός από τις προαναφερθείσες εγγυήσεις του EO 14086 για τη χρήση πληροφοριών που συλλέγονται μέσω πληροφοριών σημάτων, όλες οι υπηρεσίες πληροφοριών των ΗΠΑ υπόκεινται σε γενικότερες απαιτήσεις σχετικά με τον περιορισμό του σκοπού, την ελαχιστοποίηση, την ακρίβεια, την ασφάλεια, τη διατήρηση και τη διάδοση των δεδομένων, σύμφωνα ιδίως με την εγκύκλιο A-130 του OMB , τον νόμο για την ηλεκτρονική διακυβέρνηση, τον νόμο για τα ομοσπονδιακά αρχεία (βλ. αιτιολογικές σκέψεις 101-106) και τις κατευθυντήριες γραμμές της Επιτροπής Συστημάτων Εθνικής Ασφάλειας (CNSS) (305).

(161)

Οι δραστηριότητες των υπηρεσιών πληροφοριών των ΗΠΑ υπόκεινται σε εποπτεία από διάφορους φορείς.

(162)

Πρώτον, το ΕΟ 14086 απαιτεί από κάθε υπηρεσία πληροφοριών να διαθέτει υψηλόβαθμους λειτουργούς στους τομείς της νομοθεσίας, της εποπτείας και της συμμόρφωσης, ώστε να διασφαλίζεται η συμμόρφωση με το εφαρμοστέο δίκαιο των ΗΠΑ (306). Ειδικότερα, οι λειτουργοί αυτοί πρέπει να διενεργούν περιοδική εποπτεία των δραστηριοτήτων συλλογής πληροφοριών σημάτων και να διασφαλίζουν την αποκατάσταση οποιωνδήποτε περιπτώσεων μη συμμόρφωσης. Οι υπηρεσίες πληροφοριών πρέπει να παρέχουν στους εν λόγω λειτουργούς πρόσβαση σε όλες τις σχετικές πληροφορίες για την εκτέλεση των εποπτικών τους καθηκόντων και δεν μπορούν να λαμβάνουν μέτρα για να παρεμποδίζουν ή να επηρεάζουν αθέμιτα τις εποπτικές τους δραστηριότητες (307). Επίσης, κάθε σημαντικό περιστατικό μη συμμόρφωσης (308) που εντοπίζεται από λειτουργό με αρμοδιότητες εποπτείας ή οποιονδήποτε άλλο υπάλληλο πρέπει να αναφέρεται αμέσως στον επικεφαλής της υπηρεσίας πληροφοριών και στον διευθυντή των εθνικών υπηρεσιών πληροφοριών, ο οποίος πρέπει να διασφαλίζει ότι λαμβάνονται όλα τα αναγκαία μέτρα για την αντιμετώπιση και την πρόληψη της επανάληψης του σημαντικού περιστατικού μη συμμόρφωσης (309).

(163)

Αυτά τα εποπτικά καθήκοντα επιτελούνται από υπαλλήλους με καθορισμένο ρόλο συμμόρφωσης, καθώς και από υπαλλήλους υπεύθυνους για την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών και γενικούς επιθεωρητές (310).

(164)

Όπως και στην περίπτωση των αρχών επιβολής της ποινικής νομοθεσίας, υπεύθυνοι για την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών υπάρχουν σε όλες τις υπηρεσίες πληροφοριών (311). Οι ειδικές εξουσίες των εν λόγω υπαλλήλων κατά κανόνα περιλαμβάνουν την εποπτεία των διαδικασιών προκειμένου να διασφαλίζεται ότι το αντίστοιχο υπουργείο / η αντίστοιχη υπηρεσία συνεκτιμά επαρκώς τα ζητήματα προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών και ότι εφαρμόζει επαρκείς διαδικασίες για την αντιμετώπιση καταγγελιών από πρόσωπα που θεωρούν ότι η ιδιωτική τους ζωή ή οι ατομικές τους ελευθερίες έχουν παραβιαστεί (και σε ορισμένες περιπτώσεις, όπως στην περίπτωση του ODNI, ενδέχεται να έχουν οι ίδιες οι υπηρεσίες εξουσία διερεύνησης των καταγγελιών (312)). Οι επικεφαλής των υπηρεσιών πληροφοριών πρέπει να διασφαλίζουν ότι οι υπεύθυνοι προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών διαθέτουν τους πόρους για την εκπλήρωση της αποστολής τους, έχουν πρόσβαση σε κάθε υλικό και προσωπικό που είναι αναγκαίο για την εκτέλεση των καθηκόντων τους, ενημερώνονται και γνωμοδοτούν σχετικά με τις προτεινόμενες αλλαγές πολιτικής (313). Οι υπεύθυνοι προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών υποβάλλουν περιοδικές εκθέσεις στο Κογκρέσο και στην PCLOB, μεταξύ άλλων σχετικά με τον αριθμό και τη φύση των καταγγελιών που λαμβάνει το υπουργείο / η υπηρεσία, καθώς και σύνοψη της έκβασης των εν λόγω καταγγελιών, των ελέγχων και των ερευνών που διενεργήθηκαν, καθώς και του αντικτύπου των δραστηριοτήτων που διεξήχθησαν από τον αρμόδιο υπάλληλο (314).

(165)

Δεύτερον, κάθε υπηρεσία πληροφοριών διαθέτει ανεξάρτητο γενικό επιθεωρητή με αρμοδιότητα, μεταξύ άλλων, την εποπτεία των δραστηριοτήτων συλλογής πληροφοριών από την αλλοδαπή. Αυτό περιλαμβάνει, στο πλαίσιο του ODNI, ένα Γραφείο Γενικού Επιθεωρητή της Κοινότητας των Υπηρεσιών Πληροφοριών με πλήρη δικαιοδοσία επί του συνόλου της κοινότητας των υπηρεσιών πληροφοριών, το οποίο είναι εξουσιοδοτημένο να διερευνά καταγγελίες ή πληροφορίες σχετικά με ισχυρισμούς περί παράνομης συμπεριφοράς ή κατάχρησης εξουσίας, σε σχέση με το ODNI και/ή προγράμματα και δραστηριότητες της κοινότητας των υπηρεσιών πληροφοριών (315). Όπως ισχύει και στην περίπτωση των αρχών επιβολής της νομοθεσίας (βλ. αιτιολογική σκέψη 109), οι εν λόγω γενικοί επιθεωρητές είναι βάσει νόμου ανεξάρτητοι (316) και αρμόδιοι για τη διεξαγωγή ελέγχων και ερευνών σχετικά με τα προγράμματα και τις επιχειρήσεις που εκτελούνται από την αντίστοιχη υπηρεσία για σκοπούς συλλογής πληροφοριών από υπηρεσίες σε εθνικό επίπεδο, μεταξύ άλλων για κατάχρηση ή παράβαση του νόμου (317). Έχουν πρόσβαση σε όλα τα αρχεία, τις εκθέσεις, τους ελέγχους, τις αξιολογήσεις, τα τεκμήρια, τα έγγραφα, τις συστάσεις ή άλλο σχετικό υλικό, εάν χρειάζεται μέσω κλήτευσης, και μπορούν να λαμβάνουν καταθέσεις μαρτύρων (318). Οι γενικοί επιθεωρητές παραπέμπουν τις υποθέσεις εικαζόμενων παραβάσεων της ποινικής νομοθεσίας για δίωξη και διατυπώνουν συστάσεις για διορθωτικές ενέργειες στους επικεφαλής των υπηρεσιών (319). Παρότι οι συστάσεις τους δεν είναι δεσμευτικές, οι εκθέσεις τους, συμπεριλαμβανομένων των εκθέσεων σχετικά με τα επακόλουθα μέτρα (ή σχετικά με τη μη λήψη τέτοιων μέτρων) (320) δημοσιοποιούνται γενικά και αποστέλλονται στο Κογκρέσο, το οποίο μπορεί, στη βάση αυτή, να ασκεί το εποπτικό του καθήκον (βλ. αιτιολογικές σκέψεις 168-169) (321).

(166)

Τρίτον, η Επιτροπή Εποπτείας Υπηρεσιών Πληροφοριών (Intelligence Oversight Board, στο εξής: ΙΟΒ), η οποία έχει συσταθεί στο πλαίσιο της συμβουλευτικής επιτροπής του προέδρου για τις υπηρεσίες πληροφοριών (President’s Intelligence Advisory Board, στο εξής: PIAB), επιβλέπει τη συμμόρφωση των υπηρεσιών πληροφοριών των ΗΠΑ με το Σύνταγμα και όλους τους ισχύοντες κανόνες (322). Η PIAB είναι συμβουλευτικό όργανο εντός του Εκτελεστικού Γραφείου του προέδρου, το οποίο αποτελείται από 16 μέλη που διορίζονται από τον πρόεδρο εκτός της κυβέρνησης των ΗΠΑ. Η IOB αποτελείται κατ’ ανώτατο όριο από πέντε μέλη που ορίζονται από τον πρόεδρο μεταξύ των μελών της PIAB. Σύμφωνα με το ΕΟ 12333 (323), οι επικεφαλής όλων των υπηρεσιών πληροφοριών υποχρεούνται να αναφέρουν στην IOB κάθε δραστηριότητα συλλογής πληροφοριών για την οποία υπάρχει λόγος να πιστεύεται ότι ενδέχεται να είναι παράνομη ή αντίθετη προς εκτελεστικό διάταγμα ή προεδρική οδηγία. Για να διασφαλιστεί ότι η IOB έχει πρόσβαση στις πληροφορίες που είναι αναγκαίες για την εκτέλεση των καθηκόντων της, το εκτελεστικό διάταγμα 13462 (στο εξής: EO 13462) δίνει εντολή στον διευθυντή των εθνικών υπηρεσιών πληροφοριών και στους επικεφαλής των υπηρεσιών πληροφοριών να παρέχουν κάθε πληροφορία και συνδρομή που η IOB κρίνει ότι είναι αναγκαία για την εκτέλεση των καθηκόντων της, στον βαθμό που επιτρέπεται από τον νόμο (324). Η IOB καλείται με τη σειρά της να ενημερώνει τον πρόεδρο σχετικά με τις δραστηριότητες συλλογής πληροφοριών που θεωρεί ότι ενδέχεται να παραβιάζουν τη νομοθεσία των ΗΠΑ (συμπεριλαμβανομένων των εκτελεστικών διαταγμάτων) και δεν αντιμετωπίζονται επαρκώς από τον γενικό εισαγγελέα, τον διευθυντή των εθνικών υπηρεσιών πληροφοριών ή τον προϊστάμενο μιας υπηρεσίας πληροφοριών (325). Επίσης, η IOB υποχρεούται να ενημερώνει τον γενικό εισαγγελέα σχετικά με πιθανές παραβιάσεις του ποινικού δικαίου.

(167)

Τέταρτον, οι υπηρεσίες πληροφοριών υπόκεινται στην εποπτεία της PCLOB. Σύμφωνα με το καταστατικό της, η PCLOB είναι επιφορτισμένη με αρμοδιότητες στον τομέα των αντιτρομοκρατικών πολιτικών και της εφαρμογής τους, με σκοπό την προστασία της ιδιωτικής ζωής και των ατομικών ελευθεριών. Στο πλαίσιο του ελέγχου που ασκεί επί της δράσης των υπηρεσιών πληροφοριών, μπορεί να έχει πρόσβαση σε όλα τα σχετικά αρχεία, τις εκθέσεις, τους ελέγχους, τις αξιολογήσεις, τα τεκμήρια, τα έγγραφα και τις συστάσεις των υπηρεσιών, συμπεριλαμβανομένων διαβαθμισμένων πληροφοριών, να διεξάγει συνεντεύξεις και να λαμβάνει καταθέσεις μαρτύρων (326). Λαμβάνει εκθέσεις από τους υπαλλήλους των διαφόρων ομοσπονδιακών υπουργείων/υπηρεσιών που είναι αρμόδιοι για την προστασία των ατομικών ελευθεριών και της ιδιωτικής ζωής (327), μπορεί να εκδίδει συστάσεις προς την κυβέρνηση και τις υπηρεσίες πληροφοριών, και υποβάλλει τακτικά εκθέσεις σε επιτροπές του Κογκρέσου και στον πρόεδρο (328). Οι εκθέσεις της επιτροπής, συμπεριλαμβανομένων των εκθέσεων προς το Κογκρέσο, πρέπει να δημοσιοποιούνται στον μέγιστο δυνατό βαθμό (329). Η PCLOB έχει εκδώσει διάφορες εκθέσεις εποπτείας και επακολούθησης, συμπεριλαμβανομένης ανάλυσης των προγραμμάτων που υλοποιούνται βάσει του άρθρου 702 του FISA και της προστασίας της ιδιωτικής ζωής στο πλαίσιο αυτό, της εφαρμογής της PPD 28 και του EO 12333 (330). Η PCLOB είναι επίσης επιφορτισμένη με την εκτέλεση ειδικών καθηκόντων εποπτείας όσον αφορά την εφαρμογή του ΕΟ 14086, ιδίως ελέγχοντας αν οι διαδικασίες των υπηρεσιών συνάδουν με το EO (βλ. αιτιολογική σκέψη 126) και αξιολογώντας τη διορθωτική λειτουργία του μηχανισμού προσφυγής (βλ. αιτιολογική σκέψη 194).

(168)

Πέμπτον, εκτός από τους μηχανισμούς εποπτείας εντός της εκτελεστικής εξουσίας, ειδικές επιτροπές στο Κογκρέσο των ΗΠΑ (επιτροπές πληροφοριών και δικαιοσύνης της Βουλής των Αντιπροσώπων και της Γερουσίας) διαθέτουν εποπτικές αρμοδιότητες σχετικά με όλες τις δραστηριότητες των ΗΠΑ που αφορούν συλλογή πληροφοριών από την αλλοδαπή. Τα μέλη των επιτροπών αυτών έχουν πρόσβαση σε διαβαθμισμένες πληροφορίες, καθώς και στις μεθόδους και στα προγράμματα συλλογής πληροφοριών (331). Οι επιτροπές ασκούν τα εποπτικά τους καθήκοντα με διάφορους τρόπους, ιδίως μέσω ακροάσεων, ερευνών, επανεξετάσεων και εκθέσεων (332).

(169)

Οι επιτροπές του Κογκρέσου λαμβάνουν τακτικές εκθέσεις σχετικά με τις δραστηριότητες συλλογής πληροφοριών, μεταξύ άλλων από τον γενικό εισαγγελέα, τον διευθυντή των εθνικών υπηρεσιών πληροφοριών, τις υπηρεσίες πληροφοριών και άλλους εποπτικούς φορείς (π.χ. γενικούς επιθεωρητές), βλ. αιτιολογικές σκέψεις 164 και 165. Ειδικότερα, σύμφωνα με τον νόμο για την εθνική ασφάλεια, «[ο] πρόεδρος διασφαλίζει ότι οι επιτροπές πληροφοριών του Κογκρέσου τηρούνται πλήρως και διαρκώς ενήμερες για τις δραστηριότητες συλλογής πληροφοριών των Ηνωμένων Πολιτειών, συμπεριλαμβανομένης οποιασδήποτε σημαντικής προβλεπόμενης δραστηριότητας συλλογής πληροφοριών που απαιτείται από το παρόν υποκεφάλαιο» (333). Επίσης, «[ο] πρόεδρος διασφαλίζει ότι αναφέρεται αμέσως στις επιτροπές πληροφοριών του Κογκρέσου κάθε παράνομη δραστηριότητα συλλογής πληροφοριών, καθώς και κάθε διορθωτική ενέργεια που έχει αναληφθεί ή προγραμματίζεται σε σχέση με την εν λόγω παράνομη δραστηριότητα» (334).

(170)

Επίσης, πρόσθετες απαιτήσεις υποβολής εκθέσεων απορρέουν από ειδικές νομοθετικές πράξεις. Για παράδειγμα, ο FISA απαιτεί από τον γενικό εισαγγελέα να «ενημερώνει πλήρως» τις επιτροπές πληροφοριών και δικαιοσύνης της Γερουσίας και της Βουλής των Αντιπροσώπων σχετικά με τις δραστηριότητες της κυβέρνησης βάσει ορισμένων άρθρων του FISA (335). Απαιτεί επίσης από την κυβέρνηση να υποβάλει στις επιτροπές του Κογκρέσου αντίγραφα όλων των αποφάσεων, διαταγών ή γνωμοδοτήσεων του FISC ή του FISCR που περιλαμβάνουν «σημαντική διατύπωση ή ερμηνεία» διατάξεων του FISA. Όσον αφορά την παρακολούθηση δυνάμει του άρθρου 702 του FISA, η κοινοβουλευτική εποπτεία ασκείται μέσω της εκ του νόμου επιβεβλημένης υποβολής εκθέσεων προς τις επιτροπές πληροφοριών και δικαιοσύνης, καθώς και μέσω συχνών ενημερώσεων και ακροάσεων. Μεταξύ αυτών συγκαταλέγεται μια εξαμηνιαία έκθεση του γενικού εισαγγελέα στην οποία περιγράφεται η χρήση του άρθρου 702 του FISA, με έγγραφα τεκμηρίωσης που περιλαμβάνουν τις εκθέσεις συμμόρφωσης του Υπουργείου Δικαιοσύνης και του ODNI, καθώς και περιγραφή τυχόν περιστατικών μη συμμόρφωσης (336), και μια χωριστή εξαμηνιαία αξιολόγηση από τον γενικό εισαγγελέα και τον προϊστάμενο των εθνικών υπηρεσιών πληροφοριών όπου τεκμηριώνεται η συμμόρφωση με τις διαδικασίες στόχευσης και ελαχιστοποίησης (337).

(171)

Επίσης, σύμφωνα με τον FISA, η κυβέρνηση των ΗΠΑ πρέπει να γνωστοποιεί στο Κογκρέσο (και στο κοινό), κάθε έτος, τον αριθμό των διαταγών δυνάμει του FISA που έχουν ζητηθεί και ληφθεί, καθώς και εκτιμήσεις του αριθμού των προσώπων —υπηκόων των ΗΠΑ και μη— που αποτέλεσαν στόχο παρακολούθησης, μεταξύ άλλων (338). Ο νόμος απαιτεί ακόμη τη δημόσια υποβολή πρόσθετων εκθέσεων σχετικά με τον αριθμό των επιστολών εθνικής ασφάλειας που έχουν εκδοθεί, επίσης τόσο για υπηκόους των ΗΠΑ όσο και για πρόσωπα που δεν είναι υπήκοοι των ΗΠΑ (ενώ, ταυτόχρονα, επιτρέπει στους αποδέκτες διαταγών και πιστοποιήσεων δυνάμει του FISA, καθώς και αιτημάτων βάσει επιστολών εθνικής ασφάλειας, να εκδίδουν εκθέσεις διαφάνειας υπό ορισμένες προϋποθέσεις) (339).

(172)

Γενικότερα, η κοινότητα των υπηρεσιών πληροφοριών των ΗΠΑ πραγματοποιεί διάφορες προσπάθειες για να διασφαλίσει τη διαφάνεια σχετικά με τις οικείες δραστηριότητες συλλογής πληροφοριών (από την αλλοδαπή). Για παράδειγμα, το 2015 το ODNI εξέδωσε αρχές για τη διαφάνεια της συλλογής πληροφοριών και ένα σχέδιο εφαρμογής της διαφάνειας, και ανέθεσε σε κάθε υπηρεσία πληροφοριών να ορίσει υπεύθυνο διαφάνειας που θα προωθεί τη διαφάνεια και θα ηγείται πρωτοβουλιών για τη διαφάνεια (340). Στο πλαίσιο των προσπαθειών αυτών, η κοινότητα των υπηρεσιών πληροφοριών έχει δημοσιοποιήσει και εξακολουθεί να δημοσιοποιεί αποχαρακτηρισμένα τμήματα πολιτικών, διαδικασιών, εκθέσεων εποπτείας, εκθέσεων δραστηριοτήτων βάσει του άρθρου 702 του FISA και του ΕΟ 12333, αποφάσεων του FISC και άλλου υλικού, μεταξύ άλλων στην ειδική ιστοσελίδα «IC on the Record», την οποία διαχειρίζεται το ODNI (341).

(173)

Τέλος, η συλλογή δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 702 του FISA υπόκειται, εκτός από την εποπτεία από τα εποπτικά όργανα που αναφέρονται στις αιτιολογικές σκέψεις 162 έως 168, και στην εποπτεία του FISC (342). Σύμφωνα με τον κανόνα 13 του εσωτερικού κανονισμού του FISC, οι υπεύθυνοι συμμόρφωσης στις υπηρεσίες πληροφοριών των ΗΠΑ υποχρεούνται να αναφέρουν τυχόν παραβιάσεις των διαδικασιών στόχευσης, ελαχιστοποίησης και αναζήτησης βάσει του άρθρου 702 του FISA στο Υπουργείο Δικαιοσύνης και στο ODNI, τα οποία με τη σειρά τους τις αναφέρουν στο FISC. Επίσης, το Υπουργείο Δικαιοσύνης και το ODNI υποβάλλουν εξαμηνιαίες κοινές εκθέσεις αξιολόγησης της εποπτείας στο FISC, στις οποίες προσδιορίζονται οι τάσεις όσον αφορά τη συμμόρφωση με τις αρχές στόχευσης· παρέχονται στατιστικά στοιχεία· περιγράφονται κατηγορίες περιστατικών που αφορούν τη συμμόρφωση· περιγράφονται λεπτομερώς οι λόγοι για τους οποίους σημειώθηκαν ορισμένα περιστατικά συμμόρφωσης που αφορούν τη στόχευση και περιγράφονται τα μέτρα που έλαβαν οι υπηρεσίες πληροφοριών για τη μη επανεμφάνισή τους (343).

(174)

Όταν είναι αναγκαίο (π.χ. εάν εντοπιστούν παραβάσεις των διαδικασιών στόχευσης, το δικαστήριο μπορεί να διατάξει τη σχετική υπηρεσία πληροφοριών να λάβει διορθωτικά μέτρα (344). Τα εν λόγω διορθωτικά μέτρα μπορεί να ποικίλλουν από μεμονωμένα έως διαρθρωτικά μέτρα, π.χ. από την παύση της συλλογής δεδομένων και τη διαγραφή των παρανόμως αποκτηθέντων δεδομένων μέχρι την αλλαγή της πρακτικής συλλογής, μεταξύ άλλων όσον αφορά την καθοδήγηση και την κατάρτιση του προσωπικού (345). Επίσης, κατά την ετήσια επανεξέταση των πιστοποιήσεων βάσει του άρθρου 702, το FISC εξετάζει περιστατικά μη συμμόρφωσης για να διαπιστώσει αν οι υποβληθείσες πιστοποιήσεις συμμορφώνονται με τις απαιτήσεις του FISA. Ομοίως, εάν το FISC διαπιστώσει ότι οι πιστοποιήσεις της κυβέρνησης δεν ήταν επαρκείς, μεταξύ άλλων λόγω συγκεκριμένων περιστατικών μη συμμόρφωσης, μπορεί να εκδώσει το λεγόμενο «διάταγμα ανεπάρκειας» με το οποίο απαιτεί από την κυβέρνηση να αντιμετωπίσει την παραβίαση εντός 30 ημερών ή απαιτεί από την κυβέρνηση να παύσει ή να μην αρχίσει να εφαρμόζει την πιστοποίηση του άρθρου 702. Τέλος, το FISC αξιολογεί τις τάσεις που παρατηρεί σε θέματα συμμόρφωσης και ενδέχεται να απαιτήσει αλλαγές στις διαδικασίες ή πρόσθετη εποπτεία και υποβολή εκθέσεων για την αντιμετώπιση των τάσεων συμμόρφωσης (346).

(175)

Όπως εξηγείται λεπτομερέστερα στο παρόν σημείο, ορισμένοι μηχανισμοί στις Ηνωμένες Πολιτείες παρέχουν στα υποκείμενα δεδομένων της Ένωσης τη δυνατότητα να προσφύγουν ενώπιον ανεξάρτητου και αμερόληπτου δικαστηρίου με δεσμευτικές εξουσίες. Από κοινού, επιτρέπουν στα πρόσωπα να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, να ελέγχουν τη νομιμότητα της πρόσβασης της κυβέρνησης στα δεδομένα τους και, σε περίπτωση που διαπιστωθεί παραβίαση, να εξασφαλίζουν την επανόρθωση της εν λόγω παραβίασης, μεταξύ άλλων μέσω της διόρθωσης ή της διαγραφής των δεδομένων προσωπικού χαρακτήρα που τα αφορούν.

(176)

Πρώτον, θεσπίζεται συγκεκριμένος μηχανισμός προσφυγής, βάσει του EO 14086, ο οποίος συμπληρώνεται από τον κανονισμό του γενικού εισαγγελέα για τη σύσταση του Δικαστηρίου Ελέγχου της Προστασίας Δεδομένων (Data Protection Review Court, στο εξής: DPRC), για τον χειρισμό και την επίλυση καταγγελιών από φυσικά πρόσωπα σχετικά με δραστηριότητες συλλογής πληροφοριών σημάτων των ΗΠΑ. Οποιοδήποτε πρόσωπο στην ΕΕ έχει το δικαίωμα να υποβάλει καταγγελία στον μηχανισμό προσφυγής σχετικά με εικαζόμενη παραβίαση της νομοθεσίας των ΗΠΑ που διέπει τις δραστηριότητες συλλογής πληροφοριών σημάτων (π.χ. EO 14086, άρθρο 702 του FISA, EO 12333), η οποία επηρεάζει αρνητικά τα συμφέροντά του όσον αφορά την προστασία της ιδιωτικής ζωής και τις ατομικές ελευθερίες του (347). Αυτός ο μηχανισμός προσφυγής είναι στη διάθεση προσώπων από χώρες ή οργανισμούς περιφερειακής οικονομικής ολοκλήρωσης που έχουν χαρακτηριστεί από τον γενικό εισαγγελέα των ΗΠΑ ως «κράτη που πληρούν τις σχετικές προϋποθέσεις» (348). Στις 30 Ιουνίου 2023 η Ευρωπαϊκή Ένωση και οι τρεις χώρες της Ευρωπαϊκής Ζώνης Ελευθέρων Συναλλαγών που από κοινού απαρτίζουν τον Ευρωπαϊκό Οικονομικό Χώρο προσδιορίστηκαν από τον Γενικό Εισαγγελέα βάσει του άρθρου 3 στοιχείο (f) του EO 14086 ως «κράτη που πληρούν τις σχετικές προϋποθέσεις» (349). Ο εν λόγω προσδιορισμός δεν θίγει το άρθρο 4 παράγραφος 2 της Συνθήκης για την Ευρωπαϊκή Ένωση.

(177)

Ένα υποκείμενο των δεδομένων της Ένωσης που επιθυμεί να υποβάλει τέτοια καταγγελία πρέπει να την καταθέσει σε εποπτική αρχή κράτους μέλους της ΕΕ, αρμόδια για την εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές (350). Με τον τρόπο αυτό διασφαλίζεται εύκολη πρόσβαση στον μηχανισμό προσφυγής, καθώς επιτρέπεται στα πρόσωπα να απευθύνονται σε αρχή «κοντά στο σπίτι τους» και με την οποία μπορούν να επικοινωνούν στη γλώσσα τους. Μετά την επαλήθευση των απαιτήσεων υποβολής καταγγελίας της αιτιολογικής σκέψης 178, η αρμόδια ΑΠΔ διαβιβάζει, μέσω της γραμματείας του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, την καταγγελία στον μηχανισμό προσφυγής.

(178)

Η υποβολή καταγγελίας στον μηχανισμό προσφυγής υπόκειται σε χαμηλές προϋποθέσεις παραδεκτού, καθώς τα πρόσωπα δεν χρειάζεται να αποδείξουν ότι τα δεδομένα τους έχουν πράγματι αποτελέσει αντικείμενο δραστηριοτήτων συλλογής πληροφοριών σημάτων των ΗΠΑ (351). Ταυτόχρονα, για να τεθεί μια αφετηρία για την επανεξέταση από τον μηχανισμό προσφυγής, πρέπει να παρέχονται ορισμένες βασικές πληροφορίες, π.χ. όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που εικάζεται ευλόγως ότι έχουν διαβιβαστεί στις ΗΠΑ και τα μέσα με τα οποία πιστεύεται ότι έχουν διαβιβαστεί· τα στοιχεία ταυτότητας των οντοτήτων της κυβέρνησης των ΗΠΑ που θεωρείται ότι εμπλέκονται στην εικαζόμενη παραβίαση (αν είναι γνωστά)· τη βάση του ισχυρισμού ότι υπήρξε παραβίαση του δικαίου των ΗΠΑ (παρόλο που αυτό δεν απαιτεί να αποδειχθεί ότι δεδομένα προσωπικού χαρακτήρα πράγματι συλλέχθηκαν από υπηρεσίες πληροφοριών των ΗΠΑ) και τη φύση των μέτρων επανόρθωσης που ζητούνται.

(179)

Η αρχική διερεύνηση των καταγγελιών στον εν λόγω μηχανισμό προσφυγής διενεργείται από τον CLPO του ODNI, του οποίου ο υφιστάμενος νομικός ρόλος και οι εξουσίες έχουν επεκταθεί για τις συγκεκριμένες δράσεις που αναλαμβάνονται σύμφωνα με το ΕΟ 14086 (352). Εντός της κοινότητας των υπηρεσιών πληροφοριών, ο CLPO είναι, μεταξύ άλλων, αρμόδιος να διασφαλίζει ότι η προστασία των ατομικών ελευθεριών και της ιδιωτικής ζωής ενσωματώνεται δεόντως στις πολιτικές και τις διαδικασίες του ODNI και των υπηρεσιών πληροφοριών· να εποπτεύει τη συμμόρφωση του ODNI με τις ισχύουσες απαιτήσεις για την προστασία των ατομικών ελευθεριών και της ιδιωτικής ζωής· και να διενεργεί εκτιμήσεις των επιπτώσεων στην προστασία της ιδιωτικής ζωής (353). Ο CLPO του ODNI μπορεί να παυθεί μόνο από τον διευθυντή των εθνικών υπηρεσιών πληροφοριών εάν υπάρχει λόγος, δηλαδή σε περίπτωση παραπτώματος, κακής συμπεριφοράς, παραβίασης της ασφάλειας, αμέλειας ή ανικανότητας (354).

(180)

Κατά τη διενέργεια της εξέτασής του, ο CLPO του ODNI έχει πρόσβαση στις πληροφορίες για την αξιολόγησή του και μπορεί να βασίζεται στην επιβεβλημένη συνδρομή των υπευθύνων προστασίας της ιδιωτικής ζωής και των ατομικών ελευθεριών στις διάφορες υπηρεσίες πληροφοριών (355). Απαγορεύεται στις υπηρεσίες πληροφοριών να εμποδίζουν ή να επηρεάζουν με αθέμιτο τρόπο τις αξιολογήσεις του CLPO του ODNI. Η εν λόγω απαγόρευση περιλαμβάνει τον διευθυντή των εθνικών υπηρεσιών πληροφοριών, ο οποίος δεν πρέπει να παρεμβαίνει στην εξέταση (356). Κατά την εξέταση μιας καταγγελίας, ο CLPO του ODNI πρέπει να εφαρμόζει τη νομοθεσία «αμερόληπτα», λαμβάνοντας υπόψη τόσο τα συμφέροντα εθνικής ασφάλειας στις δραστηριότητες συλλογής πληροφοριών σημάτων όσο και τις ρυθμίσεις για την προστασία της ιδιωτικής ζωής (357).

(181)

Στο πλαίσιο της εξέτασής του, ο CLPO του ODNI καθορίζει αν έχει σημειωθεί παραβίαση του εφαρμοστέου δικαίου των ΗΠΑ και, εάν έχει σημειωθεί, αποφασίζει σχετικά με την κατάλληλη αποκατάσταση (358). Η αποκατάσταση αφορά μέτρα που αποκαθιστούν πλήρως μια διαπιστωθείσα παραβίαση, όπως η παύση της παράνομης απόκτησης δεδομένων, η διαγραφή δεδομένων που έχουν συλλεχθεί παράνομα, η διαγραφή των αποτελεσμάτων ανάρμοστων αναζητήσεων δεδομένων που έχουν άλλως συλλεχθεί νόμιμα, η παροχή δυνατότητας πρόσβασης σε δεδομένα που έχουν συλλεχθεί νόμιμα μόνο σε κατάλληλα εκπαιδευμένο προσωπικό ή η ανάκληση αναφορών πληροφοριών που περιέχουν δεδομένα που αποκτήθηκαν χωρίς νόμιμη άδεια ή που διαδόθηκαν παράνομα (359). Οι αποφάσεις του CLPO του ODNI σχετικά με καταγγελίες ιδιωτών (συμπεριλαμβανομένης της αποκατάστασης) είναι δεσμευτικές για τις οικείες υπηρεσίες πληροφοριών (360).

(182)

Ο CLPO του ODNI πρέπει να τηρεί έγγραφα τεκμηρίωσης της εξέτασής του και να συντάσσει διαβαθμισμένη απόφαση που να εξηγεί τη βάση των πραγματικών διαπιστώσεών του, την απόφαση σχετικά με το αν έχει διαπραχθεί καλυπτόμενη παράβαση και την απόφαση σχετικά με την κατάλληλη αποκατάσταση (361). Εάν από την εξέταση του CLPO του ODNI προκύψει παραβίαση από οποιαδήποτε αρχή που υπόκειται στην εποπτεία του FISC, ο CLPO πρέπει επίσης να υποβάλει διαβαθμισμένη έκθεση στον βοηθό γενικό εισαγγελέα εθνικής ασφάλειας, ο οποίος με τη σειρά του υποχρεούται να αναφέρει τη μη συμμόρφωση στο FISC, το οποίο μπορεί να λάβει περαιτέρω μέτρα επιβολής του νόμου (σύμφωνα με τη διαδικασία που περιγράφεται στις αιτιολογικές σκέψεις 173 και 174) (362).

(183)

Μόλις ολοκληρωθεί η εξέταση, ο CLPO του ODNI ενημερώνει τον καταγγέλλοντα, μέσω της εθνικής αρχής, ότι «είτε δεν εντοπίστηκαν κατά την εξέταση καλυπτόμενες παραβάσεις είτε ο CLPO του ODNI εξέδωσε απόφαση με την οποία απαιτείται κατάλληλη αποκατάσταση» (363). Αυτό καθιστά δυνατή την προστασία του απορρήτου των δραστηριοτήτων που διεξάγονται για την προστασία της εθνικής ασφάλειας, παρέχοντας παράλληλα στα πρόσωπα απόφαση με την οποία επιβεβαιώνεται ότι η καταγγελία τους διερευνήθηκε και κρίθηκε δεόντως. Επίσης, το ενδιαφερόμενο πρόσωπο έχει δυνατότητα να προσβάλει την απόφαση αυτή. Για τον σκοπό αυτό, θα ενημερωθεί για τη δυνατότητα προσφυγής στο DPRC για τον έλεγχο των διαπιστώσεων του CLPO (βλ. αιτιολογική σκέψη 184 και επόμενες) και ότι, σε περίπτωση που το DPRC επιληφθεί της υπόθεσης, θα επιλεγεί ειδικός συνήγορος για να υπερασπιστεί το συμφέρον του καταγγέλλοντος (364).

(184)

Κάθε καταγγέλλων, καθώς και κάθε μονάδα της κοινότητας των υπηρεσιών πληροφοριών, μπορεί να ζητήσει τον έλεγχο της απόφασης του CLPO του ODNI ενώπιον του DPRC. Οι εν λόγω αιτήσεις ελέγχου πρέπει να υποβάλλονται εντός 60 ημερών από την παραλαβή κοινοποίησης από τον CLPO του ODNI ότι η εξέτασή του ολοκληρώθηκε και να περιλαμβάνουν κάθε πληροφορία που το πρόσωπο επιθυμεί να παράσχει στο DPRC (π.χ. επιχειρήματα σχετικά με νομικά ζητήματα ή την εφαρμογή του δικαίου στα πραγματικά περιστατικά της υπόθεσης) (365). Τα υποκείμενα των δεδομένων της Ένωσης μπορούν να υποβάλουν εκ νέου την αίτησή τους στην αρμόδια ΑΠΔ (βλ. αιτιολογική σκέψη 177).

(185)

Το DPRC είναι ανεξάρτητο δικαστήριο που έχει συσταθεί από τον γενικό εισαγγελέα βάσει του ΕΟ 14086 (366). Απαρτίζεται από τουλάχιστον έξι δικαστές, οι οποίοι διορίζονται από τον γενικό εισαγγελέα σε συνεννόηση με την PCLOB, τον υπουργό Εμπορίου και τον διευθυντή των εθνικών υπηρεσιών πληροφοριών για ανανεώσιμη τετραετή θητεία (367). Ο διορισμός δικαστών από τον γενικό εισαγγελέα βασίζεται στα κριτήρια που χρησιμοποιεί η εκτελεστική εξουσία κατά την αξιολόγηση των υποψηφίων για το ομοσπονδιακό δικαστικό σώμα, με συνεκτίμηση τυχόν προηγούμενης δικαστικής πείρας (368). Επίσης, οι δικαστές πρέπει να είναι επαγγελματίες του νομικού κλάδου (δηλαδή ενεργά μέλη του δικηγορικού συλλόγου με καλή φήμη, τα οποία κατέχουν τη δέουσα άδεια άσκησης της δικηγορίας) και να διαθέτουν κατάλληλη πείρα στο δίκαιο για την προστασία της ιδιωτικής ζωής και την εθνική ασφάλεια. Ο γενικός εισαγγελέας πρέπει να προσπαθεί να διασφαλίσει ότι τουλάχιστον οι μισοί δικαστές, ανά πάσα στιγμή, διαθέτουν δικαστική πείρα και όλοι οι δικαστές πρέπει να κατέχουν διαπιστεύσεις ασφάλειας για να έχουν πρόσβαση σε διαβαθμισμένες πληροφορίες εθνικής ασφάλειας (369).

(186)

Μόνο πρόσωπα που διαθέτουν τα προσόντα που αναφέρονται στην αιτιολογική σκέψη 185 και δεν είναι υπάλληλοι της εκτελεστικής εξουσίας κατά τη στιγμή του διορισμού τους ή κατά τα δύο προηγούμενα έτη μπορούν να διορίζονται στο DPRC. Ομοίως, κατά τη διάρκεια της θητείας τους στο DPRC, οι δικαστές δεν μπορούν να έχουν επίσημα καθήκοντα ή να απασχολούνται στην κυβέρνηση των ΗΠΑ (σε άλλη θέση εκτός από δικαστές του DPRC) (370).

(187)

Η ανεξαρτησία της διαδικασίας απονομής δικαιοσύνης επιτυγχάνεται μέσω διαφόρων εγγυήσεων. Ειδικότερα, η εκτελεστική εξουσία (ο γενικός εισαγγελέας και οι υπηρεσίες πληροφοριών) απαγορεύεται να παρεμβαίνει ή να επηρεάζει αδικαιολόγητα τον έλεγχο που διενεργεί το DPRC (371). Το ίδιο το DPRC καλείται να εκδικάζει αμερόληπτα υποθέσεις (372) και λειτουργεί σύμφωνα με τον εσωτερικό κανονισμό του (που εγκρίνεται κατά πλειοψηφία). Επίσης, οι δικαστές του DPRC μπορούν να απολυθούν μόνο από τον γενικό εισαγγελέα και μόνο αν υπάρχει λόγος (π.χ. παράπτωμα, κακόβουλη συμπεριφορά, παραβίαση της ασφάλειας, αμέλεια ή ανικανότητα), αφού ληφθούν δεόντως υπόψη τα πρότυπα που ισχύουν για τους ομοσπονδιακούς δικαστές και ορίζονται στους κανόνες για τη συμπεριφορά των δικαστών και τις διαδικασίες περιορισμού της δικαστικής δραστηριότητας (Rules for Judicial-Conduct and Judicial-Disability Proceedings) (373).

(188)

Οι αιτήσεις προς το DPRC εξετάζονται από τριμελή τμήματα δικαστών, συμπεριλαμβανομένου ενός προεδρεύοντος δικαστή, οι οποίοι πρέπει να ενεργούν σύμφωνα με τον κώδικα δεοντολογίας των δικαστών των ΗΠΑ (374). Κάθε τμήμα επικουρείται από ειδικό συνήγορο (375), ο οποίος έχει πρόσβαση σε όλες τις πληροφορίες που αφορούν την υπόθεση, συμπεριλαμβανομένων των διαβαθμισμένων πληροφοριών (376). Ο ρόλος του ειδικού συνηγόρου είναι να διασφαλίζει την εκπροσώπηση των συμφερόντων του καταγγέλλοντος και την επαρκή ενημέρωση του τμήματος του DPRC για όλα τα σημαντικότερα νομικά και πραγματικά ζητήματα (377). Για να τεκμηριώσει περαιτέρω τη θέση του σχετικά με αίτηση ελέγχου που υποβάλλει ένα πρόσωπο στο DPRC, ο ειδικός συνήγορος μπορεί να ζητήσει πληροφορίες από τον καταγγέλλοντα μέσω γραπτών ερωτήσεων (378).

(189)

Το DPRC ελέγχει τις αποφάσεις του CLPO του ODNI (τόσο για το αν υπήρξε παραβίαση του εφαρμοστέου δικαίου των ΗΠΑ όσο και όσον αφορά την κατάλληλη αποκατάσταση) με βάση, τουλάχιστον, τα πρακτικά της έρευνας του CLPO του ODNI, καθώς και τυχόν πληροφορίες και παρατηρήσεις που παρασχέθηκαν από τον καταγγέλλοντα, τον ειδικό συνήγορο ή κάποια υπηρεσία πληροφοριών (379). Το τμήμα του DPRC έχει πρόσβαση σε όλες τις πληροφορίες που είναι αναγκαίες για τη διενέργεια του ελέγχου, τις οποίες μπορεί να λάβει μέσω του CLPO του ODNI (το τμήμα μπορεί, για παράδειγμα, να ζητήσει από τον CLPO να συμπληρώσει το αρχείο του με πρόσθετες πληροφορίες ή πραγματικά πορίσματα, εάν είναι αναγκαίο για τη διενέργεια του ελέγχου) (380).

(190)

Κατά την ολοκλήρωση του ελέγχου του, το DPRC μπορεί 1) να αποφασίσει ότι δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι πραγματοποιήθηκαν δραστηριότητες συλλογής πληροφοριών σημάτων που αφορούν δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντος, 2) να αποφασίσει ότι οι αποφάσεις του CLPO του ODNI ήταν νομικά ορθές και τεκμηριωμένες με ουσιώδη αποδεικτικά στοιχεία ή, 3) εάν το DPRC διαφωνεί με τις αποφάσεις του CLPO του ODNI (για το αν υπήρξε παραβίαση του εφαρμοστέου δικαίου των ΗΠΑ ή για την κατάλληλη αποκατάσταση), να εκδώσει τις δικές του αποφάσεις (381).

(191)

Σε όλες τις περιπτώσεις, το DPRC εκδίδει γραπτή απόφαση κατά πλειοψηφία. Εάν ο έλεγχος αποκαλύψει παραβίαση των εφαρμοστέων κανόνων, στην απόφαση θα προσδιορίζεται οποιαδήποτε κατάλληλη αποκατάσταση, η οποία μπορεί να περιλαμβάνει διαγραφή δεδομένων που έχουν συλλεχθεί παράνομα, διαγραφή των αποτελεσμάτων ανάρμοστων αναζητήσεων δεδομένων, παροχή δυνατότητας πρόσβασης σε δεδομένα που συλλέχθηκαν νόμιμα μόνο σε κατάλληλα εκπαιδευμένο προσωπικό ή ανάκληση αναφορών πληροφοριών που περιέχουν δεδομένα που αποκτήθηκαν χωρίς νόμιμη άδεια ή που διαδόθηκαν παράνομα (382). Η απόφαση του DPRC είναι δεσμευτική και τελεσίδικη όσον αφορά την καταγγελία που υποβάλλεται ενώπιόν του (383). Επίσης, αν ο έλεγχος αποκαλύψει παραβίαση από οποιαδήποτε αρχή που υπόκειται στην εποπτεία του FISC, το DPRC πρέπει επίσης να υποβάλει διαβαθμισμένη έκθεση στον βοηθό γενικό εισαγγελέα εθνικής ασφάλειας, ο οποίος με τη σειρά του υποχρεούται να αναφέρει τη μη συμμόρφωση στο FISC, το οποίο μπορεί να λάβει περαιτέρω μέτρα επιβολής του νόμου (σύμφωνα με τη διαδικασία που περιγράφεται στις αιτιολογικές σκέψεις 173 και 174) (384).

(192)

Κάθε απόφαση τμήματος του DPRC διαβιβάζεται στον CLPO του ODNI (385). Στις περιπτώσεις που ο έλεγχος από το DPRC ενεργοποιήθηκε με αίτηση του καταγγέλλοντος, ο καταγγέλλων ενημερώνεται μέσω της εθνικής αρχής ότι το DPRC ολοκλήρωσε τον έλεγχό του και ότι «είτε δεν εντοπίστηκαν κατά τον έλεγχο καλυπτόμενες παραβάσεις είτε το DPRC εξέδωσε απόφαση με την οποία απαιτείται κατάλληλη αποκατάσταση» (386). Το OPCL του Υπουργείου Δικαιοσύνης τηρεί αρχείο όλων των πληροφοριών που εξετάστηκαν από το DPRC και όλων των αποφάσεων που εκδόθηκαν, το οποίο είναι διαθέσιμο για εξέταση ως μη δεσμευτικό προηγούμενο για μελλοντικά τμήματα του DPRC (387).

(193)

Το Υπουργείο Εμπορίου υποχρεούται επίσης να τηρεί αρχείο για κάθε καταγγέλλοντα που υπέβαλε καταγγελία (388). Για να ενισχυθεί η διαφάνεια, το Υπουργείο Εμπορίου πρέπει, τουλάχιστον ανά πενταετία, να επικοινωνεί με τις αρμόδιες υπηρεσίες πληροφοριών για να επαληθεύει αν πληροφορίες που αφορούν ελέγχους από το DPRC έχουν αποχαρακτηριστεί (389). Στην περίπτωση αυτή, το ενδιαφερόμενο πρόσωπο θα ενημερώνεται ότι οι εν λόγω πληροφορίες μπορεί να είναι διαθέσιμες βάσει του εφαρμοστέου δικαίου (δηλαδή ότι μπορεί να ζητήσει πρόσβαση βάσει του νόμου για την ελευθερία της πληροφόρησης, βλ. αιτιολογική σκέψη 199).

(194)

Τέλος, η ορθή λειτουργία αυτού του μηχανισμού προσφυγής θα υπόκειται σε τακτική και ανεξάρτητη αξιολόγηση. Ειδικότερα, σύμφωνα με το ΕΟ 14086, η λειτουργία του μηχανισμού προσφυγής υπόκειται σε ετήσιο έλεγχο από την PCLOB, έναν ανεξάρτητο φορέα (βλ. αιτιολογική σκέψη 110) (390). Στο πλαίσιο του ελέγχου αυτού, η PCLOB θα αξιολογεί, μεταξύ άλλων, αν ο CLPO του ODNI και το DPRC διεκπεραίωσαν εγκαίρως τις καταγγελίες· αν απόκτησαν πλήρη πρόσβαση στις απαραίτητες πληροφορίες· αν οι ουσιαστικές εγγυήσεις του ΕΟ 14086 ελήφθησαν δεόντως υπόψη κατά τη διαδικασία ελέγχου· και αν η κοινότητα των υπηρεσιών πληροφοριών συμμορφώθηκε πλήρως με τις αποφάσεις του CLPO του ODNI και του DPRC. Η PCLOB θα συντάσσει έκθεση σχετικά με το αποτέλεσμα του ελέγχου της προς τον πρόεδρο των ΗΠΑ, τον γενικό εισαγγελέα, τον διευθυντή των εθνικών υπηρεσιών πληροφοριών, τους επικεφαλής των υπηρεσιών πληροφοριών, τον CLPO του ODNI και τις επιτροπές πληροφοριών του Κογκρέσου, η οποία θα δημοσιοποιείται επίσης σε μη διαβαθμισμένη έκδοση —και, με τη σειρά της, θα χρησιμοποιείται για το περιοδικό έλεγχο της λειτουργίας της παρούσας απόφασης που θα διενεργείται από την Επιτροπή. Ο γενικός εισαγγελέας, ο διευθυντής των εθνικών υπηρεσιών πληροφοριών, ο CLPO του ODNI και οι επικεφαλής των υπηρεσιών πληροφοριών υποχρεούνται να εφαρμόζουν ή να ανταποκρίνονται με άλλο τρόπο σε όλες τις συστάσεις που περιλαμβάνονται στις εν λόγω εκθέσεις. Επίσης, η PCLOB θα προβαίνει σε ετήσια δημόσια πιστοποίηση σχετικά με το αν ο μηχανισμός προσφυγής διεκπεραιώνει καταγγελίες σύμφωνα με τις απαιτήσεις του ΕΟ 14086.

(195)

Εκτός από τον ειδικό μηχανισμό προσφυγής που θεσπίστηκε με το EO 14086, όλα τα πρόσωπα (ανεξαρτήτως ιθαγένειας ή τόπου διαμονής) έχουν στη διάθεσή τους μηχανισμούς προσφυγής ενώπιον των τακτικών δικαστηρίων των ΗΠΑ (391).

(196)

Ειδικότερα, ο FISA και ένας συναφής νόμος παρέχουν σε φυσικά πρόσωπα τη δυνατότητα να ασκούν αγωγή χρηματικής αποζημίωσης κατά των Ηνωμένων Πολιτειών, όταν πληροφορίες σχετικά με αυτά έχουν χρησιμοποιηθεί ή αποκαλυφθεί παράνομα και εσκεμμένα (392)· να ασκούν αγωγή κατά υπαλλήλων της κυβέρνησης των ΗΠΑ που ενεργούν υπό την προσωπική τους ιδιότητα για χρηματική αποζημίωση (393)· και να αμφισβητούν τη νομιμότητα παρακολούθησης (και να επιδιώκουν τη μη γνωστοποίηση των πληροφοριών) σε περίπτωση που η κυβέρνηση των ΗΠΑ προτίθεται να χρησιμοποιήσει ή να κοινολογήσει τυχόν πληροφορίες που έχουν ληφθεί ή αντληθεί από ηλεκτρονική παρακολούθηση σε βάρος του ενδιαφερομένου προσώπου στο πλαίσιο δικαστικής ή διοικητικής διαδικασίας στις ΗΠΑ (394). Γενικότερα, εάν η κυβέρνηση προτίθεται να χρησιμοποιήσει πληροφορίες που αποκτήθηκαν κατά τη διάρκεια επιχειρήσεων συλλογής πληροφοριών κατά υπόπτου σε ποινική υπόθεση, οι συνταγματικές και νομικές απαιτήσεις (395) επιβάλλουν υποχρεώσεις κοινολόγησης ορισμένων πληροφοριών, ώστε ο κατηγορούμενος να μπορεί να αμφισβητήσει τη νομιμότητα της συλλογής και χρήσης των αποδεικτικών στοιχείων από την κυβέρνηση.

(197)

Επίσης, υπάρχουν διάφορα συγκεκριμένα μέσα προσφυγής κατά κυβερνητικών λειτουργών για παράνομη πρόσβαση ή χρήση δεδομένων προσωπικού χαρακτήρα από την κυβέρνηση, μεταξύ άλλων με την επίκληση σκοπών εθνικής ασφάλειας [δηλαδή ο νόμος για την ηλεκτρονική απάτη και κατάχρηση (Computer Fraud and Abuse Act) (396)· ο νόμος για την προστασία των δεδομένων στις ηλεκτρονικές επικοινωνίες (Electronic Communications Privacy Act) (397)· και ο νόμος για το δικαίωμα προστασίας των προσωπικών δεδομένων οικονομικού χαρακτήρα (Right to Financial Privacy Act) (398)]. Όλα αυτά τα νομικά μέσα αφορούν συγκεκριμένα δεδομένα, στόχους και/ή είδη πρόσβασης (π.χ. απομακρυσμένη πρόσβαση ηλεκτρονικού υπολογιστή μέσω του διαδικτύου) και διατίθενται υπό ορισμένες προϋποθέσεις (π.χ. εσκεμμένη/εκ προθέσεως συμπεριφορά, συμπεριφορά εκτός της επίσημης ιδιότητας, βλάβη που υπέστη ο ενάγων).

(198)

Μια γενικότερης φύσης δυνατότητα έννομης προστασίας προσφέρεται από τον νόμο για τις διοικητικές διαδικασίες (Administrative Procedure Act) (399), σύμφωνα με τον οποίο «κάθε πρόσωπο σε βάρος του οποίου υφίσταται άδικη πράξη εξαιτίας ενέργειας μιας υπηρεσίας, ή το οποίο επηρεάζεται δυσμενώς ή θίγεται από ενέργεια υπηρεσίας», δικαιούται να ζητήσει δικαστικό έλεγχο (400). Σε αυτό περιλαμβάνεται η δυνατότητα να ζητήσει από το δικαστήριο να «κρίνει παράνομη και να ακυρώσει κάθε ενέργεια, διαπίστωση και διατύπωση συμπεράσματος υπηρεσίας που κρίνεται ότι είναι […] αυθαίρετη, επιπόλαιη, συνιστά κατάχρηση διακριτικής ευχέρειας ή με άλλον τρόπο δεν συμμορφώνεται με τον νόμο» (401). Για παράδειγμα, το 2015 ένα ομοσπονδιακό εφετείο αποφάνθηκε σε υπόθεση, βάσει του νόμου για τις διοικητικές διαδικασίες, ότι η μαζική συλλογή μεταδεδομένων τηλεφωνίας από την κυβέρνηση των ΗΠΑ δεν ήταν εξουσιοδοτημένη βάσει του άρθρου 501 του FISA (402).

(199)

Τέλος, εκτός από τα μέσα προσφυγής που αναφέρονται στις αιτιολογικές σκέψεις 176 έως 198, κάθε πρόσωπο έχει το δικαίωμα να ζητήσει πρόσβαση στα υφιστάμενα αρχεία ομοσπονδιακών υπηρεσιών στο πλαίσιο του νόμου για την ελευθερία της πληροφόρησης, μεταξύ άλλων όταν αυτά περιέχουν τα δεδομένα προσωπικού χαρακτήρα του εν λόγω προσώπου (403). Η απόκτηση της εν λόγω πρόσβασης μπορεί επίσης να διευκολύνει την κίνηση διαδικασιών ενώπιον των τακτικών δικαστηρίων, μεταξύ άλλων προς υποστήριξη της απόδειξης της ύπαρξης έννομου συμφέροντος. Οι υπηρεσίες μπορούν να αρνηθούν την παροχή πληροφοριών που εμπίπτουν σε ορισμένες αναφερόμενες εξαιρέσεις, συμπεριλαμβανομένης της πρόσβασης σε διαβαθμισμένες πληροφορίες εθνικής ασφάλειας και πληροφορίες σχετικά με έρευνες επιβολής του νόμου (404), αλλά οι καταγγέλλοντες που δεν είναι ικανοποιημένοι με την απάντηση έχουν τη δυνατότητα να την προσβάλουν ζητώντας διοικητικό και, στη συνέχεια, δικαστικό έλεγχο (ενώπιον των ομοσπονδιακών δικαστηρίων) (405).

(200)

Από τα ανωτέρω συνάγεται ότι, όταν οι αρχές επιβολής του νόμου ή οι αρχές εθνικής ασφάλειας των ΗΠΑ αποκτούν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα που εμπίπτουν στο πεδίο εφαρμογής της παρούσας απόφασης, η εν λόγω πρόσβαση διέπεται από νομικό πλαίσιο που καθορίζει τους όρους υπό τους οποίους μπορεί να πραγματοποιηθεί η πρόσβαση και διασφαλίζει ότι η πρόσβαση στα δεδομένα και η περαιτέρω χρήση τους περιορίζονται στα όρια του αναγκαίου και του αναλογικού σε σχέση με τον επιδιωκόμενο σκοπό επιβολής του νόμου ή εθνικής ασφάλειας. Τα πρόσωπα που έχουν πραγματικά δικαιώματα προσφυγής μπορούν να επικαλεστούν τις εν λόγω εγγυήσεις.

(201)

Η Επιτροπή θεωρεί ότι οι Ηνωμένες Πολιτείες —μέσω των Αρχών που έχει εκδώσει το Υπουργείο Εμπορίου των ΗΠΑ— διασφαλίζουν επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση σε πιστοποιημένους οργανισμούς στις Ηνωμένες Πολιτείες βάσει του πλαισίου ΕΕ–ΗΠΑ για την προστασία των δεδομένων το οποίο είναι ουσιωδώς ισοδύναμο με αυτό που εγγυάται ο κανονισμός (ΕΕ) 2016/679.

(202)

Επίσης, η Επιτροπή θεωρεί ότι η αποτελεσματική εφαρμογή των Αρχών διασφαλίζεται από τις υποχρεώσεις διαφάνειας και τη διαχείριση του ΔΙΠ από το Υπουργείο Εμπορίου. Επιπρόσθετα, οι μηχανισμοί εποπτείας και τα μέσα προσφυγής που προβλέπονται συνολικά στο δίκαιο των ΗΠΑ καθιστούν δυνατό τον εντοπισμό και την έμπρακτη τιμωρία των παραβιάσεων των κανόνων προστασίας των δεδομένων και παρέχουν στο υποκείμενο των δεδομένων μέσα έννομης προστασίας για την απόκτηση πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που το αφορούν και, ενδεχομένως, για τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(203)

Τέλος, με βάση τις διαθέσιμες πληροφορίες σχετικά με την έννομη τάξη των ΗΠΑ, συμπεριλαμβανομένων των πληροφοριών που περιλαμβάνονται στα παραρτήματα VI και VII, η Επιτροπή θεωρεί ότι οποιαδήποτε παρέμβαση που γίνεται προς το δημόσιο συμφέρον, ιδίως για σκοπούς επιβολής του ποινικού δικαίου και εθνικής ασφάλειας, από τις δημόσιες αρχές των ΗΠΑ στα θεμελιώδη δικαιώματα των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες βάσει του πλαισίου ΕΕ–ΗΠΑ για την προστασία των δεδομένων θα περιορίζεται στον απολύτως αναγκαίο βαθμό για την επίτευξη του εν λόγω νόμιμου σκοπού και ότι υφίσταται αποτελεσματική δικαστική προστασία από τέτοιου είδους επέμβαση. Ως εκ τούτου, υπό το πρίσμα των ανωτέρω διαπιστώσεων, θα πρέπει να αποφασιστεί ότι οι Ηνωμένες Πολιτείες διασφαλίζουν επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 45 του κανονισμού (ΕΕ) 2016/679, ερμηνευόμενο βάσει του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, για τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ευρωπαϊκή Ένωση σε οργανισμούς πιστοποιημένους βάσει του πλαισίου ΕΕ–ΗΠΑ για την προστασία των δεδομένων.

(204)

Δεδομένου ότι οι περιορισμοί, οι εγγυήσεις και ο μηχανισμός προσφυγής που θεσπίστηκαν με το EO 14086 αποτελούν ουσιώδη στοιχεία του νομικού πλαισίου των ΗΠΑ στο οποίο βασίζεται η αξιολόγηση της Επιτροπής, η έγκριση της παρούσας απόφασης βασίζεται κυρίως στην έγκριση επικαιροποιημένων πολιτικών και διαδικασιών για την εφαρμογή του EO 14086 από όλες τις υπηρεσίες πληροφοριών των ΗΠΑ και στον χαρακτηρισμό της Ένωσης ως οργανισμού που πληροί τις προϋποθέσεις για τους σκοπούς του μηχανισμού προσφυγής, διαδικασίες που πραγματοποιήθηκαν αντίστοιχα στις 3 Ιουλίου 2023 (βλ. αιτιολογική σκέψη 126) και 30 Ιουνίου 2023 (βλ. αιτιολογική σκέψη 176).

(205)

Τα κράτη μέλη και τα όργανά τους υποχρεούνται να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφώνονται με τις πράξεις των θεσμικών οργάνων της Ένωσης, καθώς αυτές τεκμαίρονται νόμιμες και, ως εκ τούτου, παράγουν έννομα αποτελέσματα έως ότου τυχόν ανακληθούν, ακυρωθούν κατόπιν προσφυγής ακύρωσης ή κριθούν ανίσχυρες κατόπιν προδικαστικής παραπομπής ή κατόπιν ένστασης έλλειψης νομιμότητας.

(206)

Κατά συνέπεια, απόφαση επάρκειας που εκδίδεται από την Επιτροπή βάσει του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται, συμπεριλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους. Ιδίως, διαβιβάσεις από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ένωση προς πιστοποιημένους οργανισμούς στις Ηνωμένες Πολιτείες μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια.

(207)

Θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 58 παράγραφος 5 του κανονισμού (ΕΕ) 2016/679 και όπως εξήγησε το ΔΕΕ στην απόφαση Schrems (406), όταν μια εθνική αρχή προστασίας των δεδομένων αμφισβητεί, μεταξύ άλλων κατόπιν καταγγελίας, τη συμβατότητα απόφασης επάρκειας που έχει εκδώσει η Επιτροπή με τα θεμελιώδη δικαιώματα του προσώπου στην προστασία της ιδιωτικής ζωής και των δεδομένων, το εθνικό δίκαιο πρέπει να της παρέχει μέσα ένδικης προστασίας ώστε να μπορεί να προβάλει τις αιτιάσεις αυτές ενώπιον εθνικού δικαστηρίου, το οποίο μπορεί να χρειαστεί να υποβάλει προδικαστικό ερώτημα στο ΔΕΕ (407).

(208)

Σύμφωνα με τη νομολογία του ΔΕΕ (408) και όπως αναγνωρίζεται στο άρθρο 45 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679, η Επιτροπή θα πρέπει να παρακολουθεί σε συνεχή βάση τις σχετικές εξελίξεις στην τρίτη χώρα μετά την έκδοση απόφασης επάρκειας, προκειμένου να αξιολογεί αν η τρίτη χώρα εξακολουθεί να παρέχει ουσιωδώς ισοδύναμο επίπεδο προστασίας. Ο έλεγχος αυτός είναι, σε κάθε περίπτωση, επιβεβλημένος, όταν περιέρχονται στην Επιτροπή πληροφορίες που προκαλούν δικαιολογημένες αμφιβολίες ως προς το ζήτημα αυτό.

(209)

Κατά συνέπεια, η Επιτροπή θα πρέπει να παρακολουθεί σε συνεχή βάση την κατάσταση στις Ηνωμένες Πολιτείες όσον αφορά το νομικό πλαίσιο και την εφαρμοζόμενη πρακτική για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αξιολογούνται στην παρούσα απόφαση. Για τη διευκόλυνση αυτής της διαδικασίας, οι αρχές των ΗΠΑ θα πρέπει να ενημερώνουν αμέσως την Επιτροπή για κάθε ουσιαστική αλλαγή στην έννομη τάξη των ΗΠΑ η οποία έχει αντίκτυπο στο νομικό πλαίσιο που αποτελεί το αντικείμενο της παρούσας απόφασης, καθώς και για κάθε εξέλιξη στις πρακτικές που σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα οι οποίες αξιολογούνται στην παρούσα απόφαση, τόσο όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πιστοποιημένους οργανισμούς στις Ηνωμένες Πολιτείες όσο και όσον αφορά τους περιορισμούς και τις εγγυήσεις που ισχύουν για την πρόσβαση δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα.

(210)

Επιπροσθέτως, για να μπορεί η Επιτροπή να εκτελέσει με αποτελεσματικότητα το καθήκον της παρακολούθησης, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για κάθε συναφή δράση των εθνικών αρχών προστασίας δεδομένων, ιδίως σε σχέση με ερωτήσεις ή καταγγελίες από υποκείμενα των δεδομένων της Ένωσης σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ένωση σε πιστοποιημένους οργανισμούς στις Ηνωμένες Πολιτείες. Η Επιτροπή θα πρέπει επίσης να ενημερώνεται για κάθε ένδειξη ότι οι ενέργειες των δημόσιων αρχών των ΗΠΑ που είναι αρμόδιες για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή για την εθνική ασφάλεια, συμπεριλαμβανομένων των εποπτικών φορέων, δεν διασφαλίζουν το απαιτούμενο επίπεδο προστασίας.

(211)

Κατ’ εφαρμογή του άρθρου 45 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679 (409), η Επιτροπή, μετά την έκδοση της παρούσας απόφασης, θα πρέπει κατά διαστήματα να επανεξετάζει αν οι διαπιστώσεις σχετικά με την επάρκεια του επιπέδου προστασίας που εγγυώνται οι Ηνωμένες Πολιτείες βάσει του ΠΠΔ ΕΕ–ΗΠΑ εξακολουθούν να είναι βάσιμες ενόψει των πραγματικών και νομικών συνθηκών. Δεδομένου ότι, ιδίως, το ΕΟ 14086 και ο κανονισμός του γενικού εισαγγελέα απαιτούν τη δημιουργία νέων μηχανισμών και την εφαρμογή νέων εγγυήσεων, η παρούσα απόφαση θα πρέπει να υποβληθεί σε πρώτη επανεξέταση εντός ενός έτους από την έναρξη ισχύος της, προκειμένου να εξακριβωθεί αν όλα τα σχετικά στοιχεία έχουν εφαρμοστεί πλήρως και λειτουργούν αποτελεσματικά στην πράξη. Μετά την πρώτη αυτή επανεξέταση και ανάλογα με την έκβασή της, η Επιτροπή θα αποφασίσει, σε στενή διαβούλευση με την επιτροπή που συστάθηκε βάσει του άρθρου 93 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679 και με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, σχετικά με την περιοδικότητα των μελλοντικών επανεξετάσεων (410).

(212)

Για την εκτέλεση των επανεξετάσεων, η Επιτροπή θα πρέπει να συσκέπτεται με το Υπουργείο Εμπορίου, την FTC και το Υπουργείο Μεταφορών, συνοδευόμενα, κατά περίπτωση, από άλλα υπουργεία και υπηρεσίες που συμμετέχουν στην εφαρμογή του ΠΠΔ ΕΕ–ΗΠΑ, καθώς και, για θέματα που αφορούν πρόσβαση της κυβέρνησης σε δεδομένα, εκπροσώπους του Υπουργείου Δικαιοσύνης, του ODNI (συμπεριλαμβανομένου του CLPO), άλλες μονάδες της κοινότητας των υπηρεσιών πληροφοριών, το DPRC, καθώς και τους ειδικούς συνηγόρους. Η συμμετοχή στη συνάντηση αυτή θα πρέπει να είναι ανοικτή στους εκπροσώπους των μελών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

(213)

Οι επανεξετάσεις θα πρέπει να καλύπτουν όλες τις πτυχές της λειτουργίας της παρούσας απόφασης όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ, και ιδίως την εφαρμογή και την υλοποίηση των Αρχών, με ιδιαίτερη προσοχή στην προστασία που παρέχεται στην περίπτωση των περαιτέρω διαβιβάσεων· τις σχετικές εξελίξεις στη νομολογία· την αποτελεσματικότητα της άσκησης των ατομικών δικαιωμάτων· την παρακολούθηση και την επιβολή της συμμόρφωσης με τις Αρχές· καθώς και τους περιορισμούς και τις εγγυήσεις όσον αφορά την πρόσβαση της κυβέρνησης, ιδίως την υλοποίηση και την εφαρμογή των εγγυήσεων που θεσπίστηκαν με το EO 14086, μεταξύ άλλων μέσω πολιτικών και διαδικασιών που αναπτύσσονται από τις υπηρεσίες πληροφοριών· την αλληλεπίδραση μεταξύ του EO 14086, του άρθρου 702 του FISA και του EO 12333· και την αποτελεσματικότητα των μηχανισμών εποπτείας και των μέσων προσφυγής (συμπεριλαμβανομένης της λειτουργίας του νέου μηχανισμού προσφυγής που θεσπίστηκε βάσει του EO 14086). Στο πλαίσιο αυτών των ελέγχων, θα δοθεί επίσης προσοχή στη συνεργασία μεταξύ των ΑΠΔ και των αρμόδιων αρχών των Ηνωμένων Πολιτειών, συμπεριλαμβανομένης της ανάπτυξης κατευθυντήριων γραμμών και άλλων ερμηνευτικών εργαλείων για την εφαρμογή των αρχών, καθώς και για άλλες πτυχές της λειτουργίας του πλαισίου.

(214)

Βάσει της επανεξέτασης, η Επιτροπή θα πρέπει να καταρτίζει δημόσια έκθεση που θα υποβάλλεται στο Ευρωπαϊκό Κοινοβούλιο και στο Συμβούλιο.

(215)

Σε περίπτωση που οι διαθέσιμες πληροφορίες, ιδίως οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης ή που παρέχονται από τις αρχές των ΗΠΑ ή των κρατών μελών, αποκαλύπτουν ότι το επίπεδο προστασίας που παρέχεται στα δεδομένα που διαβιβάζονται βάσει της παρούσας απόφασης ενδέχεται να μην είναι πια επαρκές, η Επιτροπή θα πρέπει να ενημερώσει αμέσως σχετικά τις αρμόδιες αρχές των ΗΠΑ και να ζητήσει τη λήψη κατάλληλων μέτρων εντός καθορισμένου εύλογου χρονικού διαστήματος.

(216)

Εάν, κατά τη λήξη του εν λόγω καθορισμένου χρονικού διαστήματος, οι αρμόδιες αρχές των ΗΠΑ δεν έχουν λάβει τα εν λόγω μέτρα ή δεν αποδείξουν με άλλον τρόπο ικανοποιητικά ότι η παρούσα απόφαση εξακολουθεί να βασίζεται σε επαρκές επίπεδο προστασίας, η Επιτροπή θα κινήσει τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679 με σκοπό τη μερική ή πλήρη αναστολή ή κατάργηση της παρούσας απόφασης.

(217)

Εναλλακτικά, η Επιτροπή θα κινήσει την εν λόγω διαδικασία για την τροποποίηση της απόφασης, ιδίως με την υποβολή των διαβιβάσεων δεδομένων σε πρόσθετες προϋποθέσεις ή με τον περιορισμό του πεδίου εφαρμογής της διαπίστωσης επάρκειας μόνο στις διαβιβάσεις δεδομένων για τις οποίες εξακολουθεί να διασφαλίζεται επαρκές επίπεδο προστασίας.

(218)

Ειδικότερα, η Επιτροπή θα πρέπει να κινεί τη διαδικασία αναστολής ή κατάργησης σε περίπτωση:

(219)

Η Επιτροπή θα πρέπει επίσης να εξετάζει το ενδεχόμενο κίνησης της διαδικασίας τροποποίησης, αναστολής ή κατάργησης της παρούσας απόφασης, εάν οι αρμόδιες αρχές των ΗΠΑ δεν παρέχουν τις αναγκαίες πληροφορίες ή διευκρινίσεις για την αξιολόγηση του επιπέδου προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από την Ένωση στις Ηνωμένες Πολιτείες ή όσον αφορά τη συμμόρφωση με την παρούσα απόφαση. Συναφώς, η Επιτροπή θα πρέπει να λαμβάνει υπόψη αν οι συναφείς πληροφορίες μπορούν να εξασφαλιστούν από άλλες πηγές.

(220)

Όταν συντρέχουν δεόντως αιτιολογημένοι επιτακτικοί λόγοι επείγουσας ανάγκης, για παράδειγμα εάν το ΕΟ 14086 ή ο κανονισμός του γενικού εισαγγελέα τροποποιηθούν με τρόπο που να υπονομεύει το επίπεδο προστασίας που περιγράφεται στην παρούσα απόφαση ή εάν ο γενικός εισαγγελέας ανακαλέσει τον χαρακτηρισμό της Ένωσης ως οργανισμού που πληροί τις προϋποθέσεις για τους σκοπούς του μηχανισμού προσφυγής, η Επιτροπή θα χρησιμοποιεί τη δυνατότητα να εκδίδει, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 93 παράγραφος 3 του κανονισμού (ΕΕ) 2016/679, εκτελεστικές πράξεις άμεσης εφαρμογής για την αναστολή, την κατάργηση ή την τροποποίηση της παρούσας απόφασης.

(221)

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε τη γνώμη του (411), η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(222)

Το Ευρωπαϊκό Κοινοβούλιο ενέκρινε ψήφισμα σχετικά με την επάρκεια της προστασίας που παρέχεται από το πλαίσιο ΕΕ–ΗΠΑ για την προστασία των δεδομένων (412).

(223)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 93 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679.