(1)

Määruses (EL) 2016/679 (2) on kehtestatud eeskirjad isikuandmete edastamiseks liidus asuvatelt vastutavatelt või volitatud töötlejatelt kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele ulatuses, milles selline edastamine kuulub määruse kohaldamisalasse. Andmete rahvusvahelise edastamise eeskirjad on sätestatud selle määruse V peatükis. Kuigi isikuandmete liikumine Euroopa Liidust väljaspool asuvatesse riikidesse ja neist riikidest Euroopa Liitu on piiriülese kaubanduse ja rahvusvahelise koostöö laiendamiseks hädavajalik, ei tohi andmete edastamisega kolmandatesse riikidesse või rahvusvahelistele organisatsioonidele kahjustada isikuandmete kaitse taset liidus (3).

(2)

Määruse (EL) 2016/679 artikli 45 lõike 3 alusel võib komisjon võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit tagab isikuandmete kaitse piisava taseme. Kui see tingimus on täidetud, võib edastada isikuandmeid sellesse kolmandasse riiki ilma täiendava loata, nagu on sätestatud määruse (EL) 2016/679 artikli 45 lõikes 1 ja põhjenduses 103.

(3)

Nagu on täpsustatud määruse (EL) 2016/679 artikli 45 lõikes 2, tuleb kaitse piisavuse otsuse vastuvõtmisel tugineda kolmanda riigi õiguskorra põhjalikule analüüsile, mis hõlmab nii andmete importijate suhtes kohaldatavaid eeskirju kui ka isikuandmetele juurdepääsul avaliku sektori asutustele kehtestatud piiranguid ja seotud tagatisi. Komisjon peab hindamisel kindlaks määrama, kas kõnealune kolmas riik tagab kaitsetaseme, mis „sisuliselt vastab“ liidus tagatud kaitsetasemele (direktiivi (EL) 2016/679 põhjendus 104). Seda, kas see nii on, tuleb hinnata liidu õigusaktide, eelkõige määruse (EL) 2016/679 ja Euroopa Liidu Kohtu (edaspidi „Euroopa Kohus“) praktika alusel (4).

(4)

Nagu Euroopa Kohus selgitas oma 6. oktoobri 2015. aasta otsuses kohtuasjas C-362/14 Maximillian Schrems vs. Data Protection Commissioner (edaspidi „Schrems“), (5) ei ole nõutav identne kaitsetase. Eelkõige võivad vahendid, mida asjaomane kolmas riik isikuandmete kaitsmiseks kasutab, erineda nendest, mida Euroopa Liidus rakendatakse, kuivõrd need osutuvad praktikas kaitse piisava taseme tagamisel tulemuslikuks (6). Kaitse piisavuse nõue ei eelda seega, et liidu õigusnorme tuleb punkt-punktilt kopeerida. Küsimus on pigem selles, kas välisriigi süsteem tervikuna tagab privaatsusõiguste sisu, nende tõhusa rakendamise, järelevalve ja täitmise tagamise kaudu nõutava isikuandmete kaitse taseme (7). Kõnealuse kohtuotsuse kohaselt peaks komisjon selle nõude kohaldamisel lisaks eelkõige hindama, kas kõnealuse kolmanda riigi õigusraamistik näeb ette eeskirjad, mille eesmärk on piirata sekkumisi nende isikute põhiõigustesse, kelle andmeid liidust edastatakse, kusjuures neid sekkumisi on selle riigi asutustel lubatud toime panna, kui nad taotlevad õiguspäraseid eesmärke, nagu riiklik julgeolek, ja mis tagavad sedalaadi sekkumiste vastu tõhusa õigusliku kaitse (8). Selle kohta annab juhiseid ka Euroopa Andmekaitsenõukogu piisavuse viitedokument, mille eesmärk on seda nõuet veelgi selgitada (9).

(5)

Eraelu puutumatuse ja andmekaitse suhtes kohaldatavat standardit seoses põhiõigustesse sekkumisega selgitas Euroopa Kohus oma 16. juuli 2020. aasta otsuses kohtuasjas C-311/18, Data Protection Commissioner vs. Facebook Ireland Limited ja Maximillian Schrems (Schrems II), millega tunnistati kehtetuks komisjoni rakendusotsus (EL) 2016/1250 (10) varasema Atlandi-ülese andmevoo raamistiku ehk ELi-USA andmekaitseraamistiku Privacy Shield kohta. Euroopa Kohus leidis, et isikuandmete kaitse piirangud, mis tulenevad USA riigisisesest õigusnormidest, mis reguleerivad USA avaliku võimu asutuste õigust pääseda riikliku julgeoleku eesmärgil juurde liidust USAsse edastatavatele isikuandmetele, ei olnud piiritletud viisil, mis vastaks nõuetele, mis on oma andmekaitseõigusesse sekkumise vajalikkuse ja proportsionaalsuse mõttes sisuliselt samaväärsed liidu õigusega (11). Euroopa Kohus leidis ka, et andmesubjektidele, kelle andmeid edastatakse Ameerika Ühendriikidesse, ei ole kättesaadav õiguskaitsevahend sellises organis, kes pakub harta artiklis 47, mis käsitleb õigust tõhusale õiguskaitsevahendile, ette nähtutega sisuliselt samaväärseid kaitsemeetmeid (12).

(6)

Pärast Schrems II kohtuotsust alustas komisjon läbirääkimisi USA valitsusega, et võtta vastu võimalik uus kaitse piisavuse otsus, mis vastaks määruse (EL) 2016/679 artikli 45 lõike 2 nõuetele, nagu Euroopa Kohus neid tõlgendas. Nende arutelude tulemusena võtsid Ameerika Ühendriigid 7. oktoobril 2022 vastu täidesaatva korralduse 14086 „Enhancing Safeguards for US Signals Intelligence Activities“ („USA signaaliluuretegevuse kaitsemeetmete tõhustamine“, edaspidi „korraldus EO 14086“), mida täiendab USA justiitsministri määrus andmekaitseasju läbivaatava kohtu kohta (edaspidi „justiitsministri määrus“) (13). Lisaks on ajakohastatud raamistikku, mida kohaldatakse nende kaubandusüksuste suhtes, kes töötlevad käesoleva otsuse alusel liidust edastatud andmeid, ehk ELi-USA andmekaitseraamistikku.

(7)

Komisjon on USA õigust ja tava, sealhulgas korraldust EO 14086 ja justiitsministri määrust, põhjalikult uurinud. Põhjendustes 9–200 esitatud järelduste põhjal leiab komisjon, et Ameerika Ühendriigid tagavad piisava kaitsetaseme isikuandmetele, mis on ELi-USA andmekaitseraamistiku alusel edastatud liidus asuvalt vastutavalt töötlejalt või volitatud töötlejalt (14) põhimõtete järgimist kinnitanud organisatsioonidele Ameerika Ühendriikides.

(8)

Käesoleva otsuse kohaselt võib edastada isikuandmeid liidus asuvatelt vastutavatelt või volitatud töötlejatelt (15) Ameerika Ühendriikides asuvatele põhimõtete järgimist kinnitanud organisatsioonidele ilma, et oleks vaja taotleda lisaluba. Otsus ei mõjuta selliste organisatsioonide suhtes määruse (EL) 2016/679 otsest kohaldamist, kui täidetud on selle territoriaalse kohaldamisala tingimused, mis on sätestatud määruse artiklis 3.

(9)

ELi-USA andmekaitseraamistik põhineb kinnituste süsteemil, mille kohaselt USA organisatsioonid kohustuvad järgima teatavaid eraelu puutumatuse põhimõtteid ehk ELi-USA andmekaitseraamistiku põhimõtteid, sealhulgas täiendavaid põhimõtteid (edaspidi üheskoos „põhimõtted“), mille on välja andnud Ameerika Ühendriikide kaubandusministeerium ja mis on esitatud käesoleva otsuse I lisas (16). Selleks et saada õigus ELi-USA andmekaitseraamistiku kohasele kinnitamisele, peab organisatsioon tunnustama föderaalse kaubanduskomisjoni või USA transpordiministeeriumi volitusi uurimise läbiviimiseks ja täitmise tagamiseks (17). Põhimõtted rakenduvad kohe pärast kinnitamist. Nagu põhjendustes 48–52 üksikasjalikumalt selgitatud, peavad ELi-USA andmekaitseraamistikus osalevad organisatsioonid põhimõtete järgimist igal aastal uuesti kinnitama (18).

(10)

ELi-USA andmekaitseraamistiku alusel pakutav kaitse kehtib kõigile isikuandmetele, mis edastatakse liidust USAs asuvatele organisatsioonidele, kes on esitanud kaubandusministeeriumile kinnituse põhimõtete järgimise kohta, välja arvatud ajakirjandusliku materjali trükis või eetris avaldamiseks või muul moel avalikuks edastamiseks kogutud andmed ning massiteabevahendite arhiivide levitatavas varem avaldatud materjalis sisalduv teave (19). Seetõttu ei saa sellist teavet ELi-USA andmekaitseraamistiku alusel edastada.

(11)

Põhimõtetes on isikuandmed määratletud samamoodi nagu määruses (EL) 2016/679, st kui „tuvastatud või tuvastatava füüsilise isiku kohta käivad isikuandmete kaitse üldmääruse kohaldamisalasse kuuluvad andmed, mida Ameerika Ühendriikides asuv organisatsioon EList saab ja mis tahes vormis salvestab“ (20). Seega hõlmavad need ka pseudonüümitud (või võtme ja koodiga varustatud) uurimisandmeid (sealhulgas juhul, kui võtit ei jagata vastuvõtva USA organisatsiooniga) (21). Samamoodi on töötlemise mõiste määratletud kui „iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, järelpärimise teostamine, kasutamine, üleandmine või levitamine ja kustutamine või hävitamine“ (22).

(12)

ELi-USA andmekaitseraamistikku kohaldatakse USAs asuvate organisatsioonide suhtes, kes loetakse vastutavaks töötlejaks (st isik või organisatsioon, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid) (23) või volitatud töötlejaks (st vastutava töötleja nimel tegutsevad esindajad) (24). USA volitatud töötlejad peavad olema sõlminud lepingu, mille kohaselt nad tegutsevad ainult juhiste kohaselt, mille nad on saanud ELi vastutavalt töötlejalt, keda nad abistavad põhimõtete kohaseid õigusi kasutavate isikute taotlustele vastamisel (25). Alamtöötlemise korral peab volitatud töötleja sõlmima lisaks alamtöötlejaga lepingu, millega tagatakse põhimõtetes kehtestatuga samal tasemel kaitse, ja astuma samme selle nõuetekohase rakendamise tagamiseks (26).

(13)

Isikuandmeid töödeldakse õiguspäraselt ja õiglaselt. Isikuandmeid tuleks koguda konkreetsel eesmärgil ja kasutada seejärel üksnes määral, mis on kooskõlas töötlemise eesmärgiga.

(14)

ELi-USA andmekaitseraamistikus tagatakse see erinevate põhimõtete abil. Esiteks ei tohi organisatsioon andmete terviklikkuse ja eesmärgi piiramise põhimõtte kohaselt, sarnaselt määruse (EL) 2016/679 artikli 5 lõike 1 punktiga b, töödelda isikuandmeid viisil, mis ei vasta eesmärgile, milleks need algselt koguti või milleks andmesubjekt seejärel loa andis (27).

(15)

Teiseks peab organisatsioon enne isikuandmete kasutamist uuel (muudetud) eesmärgil, mis on oluliselt erinev, kuid vastab siiski algsele eesmärgile, või nende avaldamiseks kolmandale isikule, andma andmesubjektidele kooskõlas valikuvõimaluse põhimõttega (28) võimaluse esitada vastuväide (opt-out) selge, arusaadava ja kergesti kättesaadava mehhanismi kaudu. Oluline on, et see põhimõte ei asenda eesmärgiga vastuolus oleva andmete töötlemise sõnaselget keeldu (29).

(16)

„Eriliiki“ andmete töötlemisel tuleks kohaldada erikaitsemeetmeid.

(17)

Valikuvõimaluse põhimõtte kohaselt kohaldatakse erikaitsemeetmeid juhul, kui töödeldakse „tundlikku teavet“, st isikuandmeid, mis kirjeldavad meditsiinilist või tervislikku seisundit, rassilist või etnilist päritolu, poliitilisi seisukohti, usulisi või filosoofilisi veendumusi, ametiühingusse kuulumist, isiku seksuaalelu puudutavat teavet, või mis tahes muud teavet, mis on saadud kolmandalt isikult ja mille see isik on määratlenud ning mida ta käsitab tundliku teabena (30). See tähendab, et põhimõtete järgimist kinnitanud organisatsioonid käsitavad ELi-USA andmekaitseraamistiku raames tundlikuna kõiki andmeid, mida peetakse tundlikuks liidu andmekaitseõiguse kohaselt (sealhulgas andmed seksuaalse sättumuse kohta, geneetilised andmed ja biomeetrilised andmed).

(18)

Üldreegli kohaselt peavad organisatsioonid saama üksikisikutelt sõnaselge jaatava nõusoleku (st nõustuv valik (opt-in)), et kasutada tundlikku teavet muudel eesmärkidel kui need, milleks andmed algselt koguti või milleks üksikisik algselt loa andis (nõustuva valikuga), või avalikustada need kolmandatele isikutele (31).

(19)

Sellise nõusoleku saamine ei ole nõutav piiratud asjaolude korral, mis on sarnased liidu andmekaitseõiguses sätestatud võrreldavate eranditega, nt kui tundlike andmete töötlemine on isiku elulistes huvides, on vajalik õigusnõuete koostamiseks või on vajalik arstiabi andmiseks või diagnoosi määramiseks (32).

(20)

Andmed peavad olema õiged ja vajaduse korral ka ajakohastatud. Samuti peavad need olema piisavad, asjakohased ja mitte ülemäärased arvestades eesmärki, mille tarvis neid töödeldakse, ning andmeid ei tohiks põhimõtteliselt säilitada kauem kui see on vajalik isikuandmete töötlemise eesmärgi täitmiseks.

(21)

Vastavalt andmete terviklikkuse ja eesmärgi piiramise põhimõttele (33) tohib koguda üksnes töötlemise eesmärgile vastavaid isikuandmeid. Lisaks peavad organisatsioonid võtma töötlemise eesmärkidel vajalikus ulatuses mõistlikke meetmeid, tagamaks et isikuandmed on plaanitud kasutuseks usaldusväärsed, täpsed, täielikud ja ajakohased.

(22)

Lisaks võib isikuandmeid säilitada kujul, mis võimaldab isikut tuvastada või muuta isiku tuvastatavaks (ja seega isikuandmete kujul) (34) ainult seni, kuni see vastab eesmärgile või eesmärkidele, milleks andmed algselt koguti või milleks andmesubjekt seejärel valikuvõimaluse põhimõtte kohaselt loa andis. See kohustus ei takista organisatsioonidel jätkata isikuandmete töötlemist pikema aja vältel, ent ainult nii kaua ja sellises ulatuses, kui see on mõistlikult vajalik järgmistel konkreetsetel liidu andmekaitseõiguses sätestatud võrreldavate eranditega sarnastel eesmärkidel: arhiveerimine avaliku huvi eesmärgil, ajakirjandus, kirjandus ja kunst, teadus- ja ajaloouuringud ning statistiline analüüs (35). Kui isikuandmeid säilitatakse ühel neist eesmärkidest, kohaldatakse töötlemisel põhimõtetega kehtestatud kaitsemeetmeid (36).

(23)

Isikuandmeid tuleks ka töödelda viisil, mis tagab nende turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahju eest. Selleks peaksid vastutavad töötlejad ja volitatud töötlejad võtma asjakohaseid tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid võimalike ohtude eest. Neid meetmeid tuleks hinnata, võttes arvesse tehnika taset ja seonduvaid kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest üksikisikute õigustele tekkivaid riske.

(24)

ELi-USA andmekaitseraamistikus tagatakse see turvalisuse põhimõttega, mille kohaselt tuleb sarnaselt määruse (EL) 2016/679 artikliga 32 võtta mõistlikke ja asjakohaseid turvameetmeid, võttes arvesse töötlemisega kaasnevaid riske ja andmete laadi (37).

(25)

Andmesubjekte tuleks teavitada nende isikuandmete töötlemise põhitunnustest.

(26)

See on tagatud teate põhimõttega, (38) millega sarnaselt määruse (EL) 2016/679 läbipaistvusnõuetega kohustatakse organisatsioone teavitama andmesubjekte muu hulgas järgmisest: i) organisatsiooni osalemine ELi-USA andmekaitseraamistikus, ii) kogutavate andmete liik, iii) töötlemise eesmärk, iv) millist liiki kolmandatele isikutele ja mis eesmärkidel võidakse isikuandmeid avalikustada, v) nende isikute õigused, vi) kuidas organisatsiooniga ühendust võtta ning vii) kättesaadavad õiguskaitsevahendid.

(27)

Selline teade tuleb esitada selges ja arusaadavas keeles, kui üksikisikutel palutakse esmakordselt esitada organisatsioonile isikuandmeid, või pärast seda niipea, kui see on teostatav, kuid igal juhul enne, kui organisatsioon kasutab neid andmeid oluliselt erineval (kuigi kokkusobival) eesmärgil kui see, milleks need algselt koguti, või avaldab need kolmandale isikule (39).

(28)

Lisaks peavad organisatsioonid tegema avalikuks oma põhimõtteid kajastavad privaatsustingimused (või kui tegemist on personaliandmetega, siis tegema need asjaomastele isikutele hõlpsasti kättesaadavaks) ja esitama lingid kaubandusministeeriumi veebisaidile (täpsemate üksikasjadega põhimõtete järgimise kinnitamise, andmesubjektide õiguste ja kättesaadavate kaebuste menetlemise mehhanismide kohta), andmekaitseraamistikuga ühinenute nimekirja juurde ning asjakohase alternatiivse vaidluste lahendamise pakkuja veebisaidile (40).

(29)

Andmesubjektidel peaksid olema teatavad õigused, mida saab vastutava töötleja või volitatud töötleja suhtes täitmisele pöörata, eelkõige õigus andmetele juurde pääseda, õigus esitada töötlemise kohta vastuväiteid ning õigus lasta andmeid parandada ja kustutada.

(30)

Üksikisikutele annab sellised õigused ELi-USA andmekaitseraamistiku juurdepääsu põhimõte (41). Eelkõige on andmesubjektidel õigus ilma põhjendusi esitamata saada organisatsioonilt kinnitus selle kohta, kas organisatsioon töötleb nendega seotud isikuandmeid; saada teavet nende andmete kohta ning saada teavet isikuandmete töötlemise eesmärkide kohta, töödeldavate isikuandmete liikide ja vastuvõtjate (kategooriate) kohta, kellele isikuandmed avalikustatakse (42). Organisatsioonid peavad juurdepääsutaotlustele vastama mõistliku aja jooksul (43). Organisatsioon võib kehtestada mõistlikud piirangud sellele, mitu korda teatava aja jooksul konkreetse isiku juurdepääsutaotlus rahuldatakse, ja võib nõuda tasu, mis ei ole ülemäära suur, nt kui taotlustega on selgelt liiale mindud, eelkõige korduvuse tõttu (44).

(31)

Õigust isikuandmetele juurde pääseda tohib piirata vaid erandlikel juhtudel, mis on sarnased liidu andmekaitseõigusega ette nähtud asjaoludega, eelkõige juhul, kui sellega rikutakse teiste isikute seaduslikke õigusi; kui juurdepääsu võimaldamise tülikus või kulud on asjaomasel juhul ebaproportsionaalsed ohuga üksikisiku eraelu puutumatusele (kuigi kulud ja tülikus ei ole otsustavad tegurid, mis määravad kindlaks, kas juurdepääsu andmine on mõistlik); ulatuses, milles avalikustamine võib häirida olulise vastukaaluga avalike huvide kaitset, näiteks riiklik julgeolek, avalik julgeolek või kaitsekaalutlused; teave sisaldab äriliselt konfidentsiaalset teavet või teavet töödeldakse üksnes uurimis- või statistilistel eesmärkidel (45). Juurdepääsuõiguse keelamine või piiramine peab olema vajalik ja nõuetekohaselt põhjendatud ning organisatsioonil on kohustus tõendada, et need tingimused on täidetud (46). Selle hindamisel peab organisatsioon eelkõige arvestama üksikisiku huve (47). Kui teavet on võimalik eraldada muudest andmetest, mille suhtes kohaldatakse piirangut, peab organisatsioon kaitstud andmed eraldama ja muud andmed kättesaadavaks tegema (48).

(32)

Lisaks on andmesubjektil õigus nõuda ebatäpsete andmete parandamist või muutmist ning selliste andmete kustutamist, mida on töödeldud põhimõtteid rikkudes (49). Lisaks, nagu on selgitatud põhjenduses 15, on üksikisikutel õigus vaidlustada/keelata oma andmete töötlemine, kui töötlemise eesmärgid on (kuigi kokkusobivad) oluliselt erinevad nendest, milleks andmed koguti, ja oma andmete avaldamine kolmandatele isikutele. Kui isikuandmeid kasutatakse otseturunduse eesmärgil, on üksikisikutel üldine õigus töötlemisest igal ajal loobuda (50).

(33)

Põhimõtetes ei ole eraldi käsitletud andmesubjekti mõjutavaid otsuseid, mis põhinevad üksnes isikuandmete automatiseeritud töötlemisel. Igal juhul teeb liidus kogutud isikuandmete puhul kõik automatiseeritud töötlemisel põhinevad otsused tavaliselt liidu vastutav töötleja (kellel on otsene suhe asjaomase andmesubjektiga) ja nende suhtes kohaldatakse seega otse määrust (EL) 2016/679 (51). See kehtib ka edastamisolukordades, kus andmeid töötleb välisriigi (nt USA) ettevõtja, kes tegutseb liidu vastutava töötleja esindajana (volitatud töötlejana) (või liidu volitatud töötleja nimel tegutseva alamtöötlejana, kes on saanud andmed need kogunud liidu vastutavalt töötlejalt) ja teeb selle põhjal otsuse.

(34)

Seda kinnitas uuring, mille komisjon tellis 2018. aastal andmekaitseraamistiku Privacy Shield toimimise teise iga-aastase läbivaatamise (52) raames ja milles jõuti järeldusele, et sel ajal ei olnud tõendeid, mis viitaksid sellele, et tavaliselt tegid andmekaitseraamistikus Privacy Shield osalevad organisatsioonid Privacy Shieldi raames edastatud isikuandmete alusel automatiseeritud otsuseid.

(35)

Igal juhul neis valdkondades, kus ettevõtjad kõige suurema tõenäosusega tuginevad isikuandmete automatiseeritud töötlemisele, et teha üksikisikuid mõjutavaid otsuseid (näiteks laenu andmine, hüpoteeklaenud, tööhõive, eluase ja kindlustus), on USA õigusaktidega ette nähtud konkreetsed kaitsemeetmed negatiivsete otsuste vastu (53). Nendega on üldjuhul sätestatud, et isikul on õigus saada teavet otsuse (näiteks krediidi andmisest keeldumine) aluseks olevate konkreetsete põhjuste kohta, vaidlustada puudulik või ebatäpne teave (samuti toetumine ebaseaduslikele teguritele) ja nõuda heastamist. Tarbijakrediidi valdkonnas sisaldavad õiglase krediidiinfo seadus (Fair Credit Reporting Act (FCRA)) ja võrdsete krediidivõimaluste seadus (Equal Credit Opportunity Act (ECOA)) kaitsemeetmeid, mis annavad tarbijatele teatavas vormis õiguse selgitustele ja õiguse otsus vaidlustada. Need seadused on asjakohased paljudes valdkondades, sealhulgas krediidi, tööhõive, eluaseme ja kindlustuse valdkonnas. Lisaks pakuvad teatavad diskrimineerimisvastased seadused, nagu tsiviilõiguste seaduse (Civil Rights Act) VII jaotis ja õiglase eluaseme seadus (Fair Housing Act), üksikisikutele kaitset seoses automatiseeritud otsuste tegemisel kasutatavate mudelitega, mis võivad põhjustada diskrimineerimist teatavate tunnuste alusel, ja annavad üksikisikutele õiguse sellised otsused, sealhulgas automatiseeritud otsused, vaidlustada. Mis puudutab terviseteavet, siis ravikindlustuse teisaldatavuse seaduse ja vastutuse seaduse (Health Insurance Portability and Accountability Act (HIPAA)) eraelu puutumatuse eeskiri loob seoses isiklikule terviseteabele juurdepääsuga teatavad õigused, mis on sarnased määruse (EL) 2016/679 kohaste õigustega. Lisaks nõutakse USA ametiasutuste juhistes meditsiiniteenuste osutajatelt teavet, mis võimaldab neil teavitada üksikisikuid meditsiinisektoris kasutatavatest automatiseeritud otsustuste tegemise süsteemidest (54).

(36)

Seetõttu pakuvad need normid liidu andmekaitseõigusega sarnast kaitset ebatõenäolises olukorras, kus ELi-USA andmekaitseraamistikus osalev organisatsioon ise teeb automatiseeritud otsuseid.

(37)

Liidust Ameerika Ühendriikide organisatsioonidele edastatavate isikuandmete kaitse taset ei tohi kahjustada selliste andmete edasisaatmine Ameerika Ühendriikides või muus kolmandas riigis asuvale vastuvõtjale.

(38)

Kolmandale isikule andmete edasisaatmise eest vastutuse põhimõtte (55) kohaselt kehtib erieeskiri nn edasisaatmise suhtes, st juhul, kui ELi-USA andmekaitseraamistikus osalev organisatsioon saadab isikuandmed edasi kolmandast isikust vastutavale või volitatud töötlejale, olenemata sellest, kas nimetatud töötleja asub Ameerika Ühendriikides või kolmandas riigis väljaspool Ameerika Ühendriike (ja Euroopa Liitu). Edasisaatmine võib toimuda ainult i) piiratud ja kindlaksmääratud eesmärkidel, ii) ELi-USA andmekaitseraamistikus osaleva organisatsiooni ja kolmanda isiku vahelise lepingu alusel (56) (või võrreldava kontsernisisese kokkuleppe alusel (57)) ja iii) ainult juhul, kui selle lepinguga nõutakse, et kolmas isik pakuks põhimõtetega tagatud kaitsetasemega võrdset kaitset.

(39)

See kohustus tagada põhimõtetega tagatuga sama kaitsetase, tõlgendatuna koos andmete terviklikkuse ja eesmärgi piiramise põhimõttega, tähendab eelkõige seda, et kolmas isik võib talle edasi saadetud isikuandmeid töödelda ainult eesmärkidel, mis ei ole vastuolus eesmärkidega, milleks neid algselt koguti või milleks isik seejärel loa andis (kooskõlas valikuvõimaluse põhimõttega).

(40)

Kolmandale isikule andmete edasisaatmise eest vastutuse põhimõtet tuleks tõlgendada ka koostoimes teate põhimõtte ja kolmandast isikust vastutavale töötlejale edasisaatmise korral valikuvõimaluse põhimõttega, mille kohaselt tuleb andmesubjektidele teada anda (muu hulgas) andmete kolmandast isikust vastuvõtja (58) liik/isik, andmete edasisaatmise eesmärk ja pakutud valik; teavitada tuleb ka võimalusest edasisaatmisest keelduda (opt out) või tundlike andmete korral sellest, et edasisaatmiseks on vaja nende „kinnitavat sõnaselget nõusolekut“ (opt in).

(41)

Kohustus tagada samal tasemel kaitse nagu põhimõtetes nõutud, kehtib kõigile kolmandatele isikutele, kes on andmete töötlemisega seotud, olenemata nende asukohast (USA või muu kolmas riik), samuti juhul, kui algne kolmandast isikust andmete vastuvõtja ise edastab nimetatud andmed muule kolmandast isikust vastuvõtjale, näiteks edasise töötlemise eesmärgil.

(42)

Igal juhul tuleb kolmanda isikuga sõlmitud lepingus sätestada, et nimetatud kolmas isik teavitab ELi-USA andmekaitseraamistikus osalevat organisatsiooni, kui ta leiab, et ei suuda seda kohustust enam täita. Kui selline järeldus tehakse, peab kolmas isik andmete töötlemise lõpetama või tuleb olukorra parandamiseks astuda muid mõistlikke ja asjakohaseid samme (59).

(43)

Andmete edasisaatmisel kolmandast isikust esindajale (st volitatud töötlejale) kehtivad lisakaitsemeetmed. Sellisel juhul peab USA organisatsioon tagama, et esindaja tegutseb üksnes tema antud juhiste kohaselt ning astuma mõistlikke ja asjakohaseid samme, et i) tagada, et nimetatud esindaja töötleb edastatud isikuandmeid ka tegelikkuses kooskõlas organisatsioonile põhimõtetest tulenevate kohustustega ja ii) vastava teate saamisel loata töötlemine peatada ja heastada (60). Kaubandusministeerium võib nõuda, et organisatsioon esitaks lepingu eraelu puutumatuse sätete kokkuvõtte või tüüpkoopia (61). Kui (alam)töötlemise ahelas tekivad vastavusprobleemid, on põhimõtteliselt vastutav isikuandmete vastutava töötlejana tegutsev organisatsioon, nagu on sätestatud kaebuste menetlemise, täitmise tagamise ja vastutuse põhimõttes, välja arvatud juhul, kui ta tõendab, et ta ei vastuta kahju põhjustanud sündmuse eest (62).

(44)

Vastutuse põhimõtte kohaselt peavad andmeid töötlevad üksused kehtestama asjakohased tehnilised ja korralduslikud meetmed, et täita tõhusalt oma andmekaitsekohustusi ja suuta sellist vastavust tõendada, eelkõige pädevale järelevalveasutusele.

(45)

Kui organisatsioon otsustab ELi-USA andmekaitseraamistiku põhimõtete järgimist vabatahtlikult kinnitada, (63) muutub põhimõtete tegelik järgimine tema jaoks kohustuslikuks ja täitmisele pööratavaks. Kaebuste menetlemise, täitmise tagamise ja vastutuse põhimõtte (64) kohaselt peavad ELi-USA andmekaitseraamistikus osalevad organisatsioonid pakkuma tõhusaid mehhanisme põhimõtete järgimise tagamiseks. Samuti peavad organisatsioonid võtma meetmeid, et kontrollida (65) oma privaatsustingimuste vastavust põhimõtetele ja seda, et neid ka tegelikult järgitakse. Kontrollimiseks võib kasutada enesehindamise süsteemi, mis peab hõlmama sisemenetlusi, millega tagatakse, et töötajad saavad organisatsiooni privaatsustingimuste kohaldamise alast koolitust ja et nõuete täitmist kontrollitakse korrapäraselt objektiivsel viisil, või välist vastavuskontrolli, mis võib muu hulgas hõlmata auditeerimist, pistelist kontrolli või tehnoloogiliste vahendite kasutamist.

(46)

Lisaks peavad organisatsioonid hoidma alles dokumendid ELi-USA andmekaitseraamistiku kohaste tavade rakendamise kohta ja tegema need mittevastavuse uurimise või sellekohase kaebuse korral nõudmisel kättesaadavaks sõltumatule vaidluste lahendamise organile või pädevale täitevasutusele (66).

(47)

ELi-USA andmekaitseraamistikku haldab ja jälgib kaubandusministeerium. Raamistikus on ette nähtud järelevalve- ja nõuete täitmise tagamise mehhanismid, et kontrollida ja tagada, et ELi-USA andmekaitseraamistikus osalevad organisatsioonid järgivad põhimõtteid ning et iga järgimata jätmise korral võetakse meetmed. Nimetatud mehhanismid on sätestatud põhimõtetes (I lisa) ja kohustustes, mille on võtnud kaubandusministeerium (III lisa), föderaalne kaubanduskomisjon (IV lisa) ja transpordiministeerium (V lisa).

(48)

ELi-USA andmekaitseraamistiku põhimõtete järgimise kinnitamiseks (või iga-aastaseks korduskinnitamiseks) peavad organisatsioonid avalikult deklareerima oma kohustust põhimõtteid järgida, tegema oma privaatsustingimused kättesaadavaks ja neid täielikult rakendama (67). Korduskinnituse taotluse osana peavad organisatsioonid esitama kaubandusministeeriumile teavet, muu hulgas asjaomase organisatsiooni nimi, eesmärgid, milleks organisatsioon isikuandmeid töötleb, isikuandmed, mida kinnitus hõlmab, samuti valitud kontrollimeetod, asjakohane sõltumatu kaebuste menetlemise mehhanism ja seadusjärgne asutus, kelle pädevuses on põhimõtete järgimise tagamine (68).

(49)

Organisatsioonid võivad saada isikuandmeid ELi-USA andmekaitseraamistiku alusel alates kuupäevast, mil kaubandusministeerium on nad andmekaitseraamistikuga ühinenute nimekirja kandnud. Õiguskindluse tagamiseks ja nn valeväidete vältimiseks ei lubata esmakordselt põhimõtete järgimist kinnitavatel organisatsioonidel põhimõtete järgimisele avalikult viidata enne, kui kaubandusministeerium on kindlaks teinud, et organisatsiooni kinnitus on täielik, ja organisatsioon on lisatud andmekaitseraamistikuga ühinenute nimekirja (69). Selleks et organisatsioonil oleks õigus ELi-USA andmekaitseraamistikule tuginedes jätkuvalt liidust isikuandmeid saada, peab ta enda osalemise raamistikus igal aastal üle kinnitama. Kui organisatsioon lahkub mingil põhjusel ELi-USA andmekaitseraamistikust, peab ta eemaldama kõik avaldused, mis osutavad sellele, et organisatsioon jätkab andmekaitseraamistikus osalemist (70).

(50)

Nagu nähtub III lisas sätestatud kohustustest, kontrollib kaubandusministeerium, kas organisatsioonid vastavad kõigile kinnitamise nõuetele ja kas nad on kehtestanud (avalikud) privaatsustingimused, mis sisaldavad teate põhimõtte kohaselt nõutavat teavet (71). Tuginedes andmekaitseraamistiku Privacy Shield kohase (kordus)kinnitamise protsessiga saadud kogemustele, teeb kaubandusministeerium mitu kontrolli, sealhulgas kontrollib, kas organisatsioonide privaatsustingimused sisaldavad hüperlinki õigele kaebuse esitamise vormile asjakohase vaidluste lahendamise mehhanismi veebisaidil, ja kui põhimõtete järgimise kinnitus hõlmab ühe organisatsiooni mitut üksust ja tütarettevõtjat, siis kas kõigi nende üksuste privaatsustingimused vastavad kinnitamise nõuetele ja on andmesubjektidele hõlpsasti kättesaadavad (72). Lisaks teeb kaubandusministeerium vajaduse korral ristkontrolli föderaalse kaubanduskomisjoni ja transpordiministeeriumiga, et kontrollida, kas organisatsioonid on allutatud nende (kordus)kinnitustes kindlaks määratud järelevalveorganile ja kas nad teevad koostööd alternatiivse vaidluste lahendamise organitega, et kontrollida, kas organisatsioonid on registreeritud nende (kordus)kinnituses märgitud sõltumatus kaebuste menetlemise mehhanismis (73).

(51)

Kaubandusministeerium teavitab organisatsioone sellest, et (kordus)kinnitamise lõpuleviimiseks peavad nad lahendama kõik läbivaatamise käigus tuvastatud probleemid. Kui organisatsioon ei vasta kaubandusministeeriumi määratud aja jooksul (näiteks korduskinnituse puhul eeldatakse, et protsess viiakse lõpule 45 päeva jooksul) (74) või ei suuda muul viisil oma kinnitust valmis saada, loetakse, et esitamisest on loobutud. Sel juhul võib föderaalne kaubanduskomisjon või transpordiministeerium ELi-USA andmekaitseraamistikus osalemise või selle järgimise kohta esitatud valeväidete suhtes täitemeetmeid võtta (75).

(52)

ELi-USA andmekaitseraamistiku nõuetekohase rakendamise tagamiseks peab huvitatud isikutel, nagu andmesubjektid, andmeeksportijad ja riiklikud andmekaitseasutused, olema võimalik kindlaks teha organisatsioonid, kes põhimõtteid järgivad. N-ö sisenemispunktis sellise läbipaistvuse tagamiseks on kaubandusministeerium võtnud kohustuse pidada nimekirja organisatsioonidest, kes on kinnitanud põhimõtete järgimist ning kes kuuluvad vähemalt ühe käesoleva otsuse IV ja V lisas osutatud täitevasutuse pädevusse, (76) ning see nimekiri üldsusele kättesaadavaks teha. Kaubandusministeerium uuendab seda nimekirja iga-aastaste korduskinnituste alusel ja iga kord, kui mõni organisatsioon loobub ELi-USA andmekaitseraamistikus osalemisest või ta eemaldatakse raamistikus osalejate hulgast. Läbipaistvuse tagamiseks ka n-ö väljumispunktis, kogub ja avalikustab kaubandusministeerium lisaks andmeid organisatsioonide kohta, kes on nimekirjast kustutatud, märkides igaühe kohta ära ka kustutamise põhjuse (77). Kõigele lisaks pakub ta linki föderaalse kaubanduskomisjoni ELi-USA andmekaitseraamistiku veebisaidile, kus on loetletud föderaalse kaubanduskomisjoni raamistiku alusel võetud täitemeetmed (78).

(53)

Kaubandusministeerium jälgib erinevate mehhanismide kaudu pidevalt, kas ELi-USA andmekaitseraamistikus osalevad organisatsioonid järgivad põhimõtteid ka tegelikult (79). Eelkõige teeb ta juhuvaliku meetodil välja valitud organisatsioonide pistelisi kontrolle, samuti teatavate organisatsioonide ad hoc pistelisi kontrolle, kui on tuvastatud võimalikud vastavusprobleemid (nt kolmandad isikud on teatanud neist kaubandusministeeriumile), et kontrollida, kas i) kaebusi ja andmesubjekti taotlusi menetlevad kontaktpunktid on kättesaadavad ja valmis nõu andma; ii) organisatsiooni privaatsustingimused on hõlpsasti kättesaadavad nii tema veebisaidil kui ka kaubandusministeeriumi veebisaidile viiva hüperlingi kaudu; iii) organisatsiooni privaatsustingimused vastavad jätkuvalt kinnitamise nõuetele ja iv) organisatsioonide valitud sõltumatu vaidluste lahendamise mehhanism on kaebuste käsitlemiseks kättesaadav (80).

(54)

Kui on usaldusväärseid tõendeid selle kohta, et organisatsioon ei täida oma kohustusi, mis tulenevad ELi-USA andmekaitseraamistikust (sealhulgas juhul, kui kaubandusministeeriumile esitatakse kaebus või kui organisatsioon ei anna kaubandusministeeriumi päringutele rahuldavat vastust), nõuab kaubandusministeerium, et organisatsioon täidaks ja esitaks üksikasjaliku küsimustiku (81). Organisatsiooniga, kes ei vasta küsimustikule rahuldavalt ja õigel ajal, hakkab võimalike täitemeetmete võtmiseks tegelema asjaomane asutus (föderaalne kaubanduskomisjon või transpordiministeerium) (82). Andmekaitseraamistiku Privacy Shield raames tehtud nõuetele vastavuse järelevalves tegi kaubandusministeerium korrapäraselt põhjenduses 53 nimetatud pistelisi kontrolle ja jälgis pidevalt avalikke teateid, mis võimaldas tal vastavusprobleeme tuvastada, käsitleda ja lahendada (83). Organisatsioonid, kes ei ole püsivalt põhimõtteid järginud, kustutatakse andmekaitseraamistikuga ühinenute nimekirjast ning nad peavad tagastama või kustutama isikuandmed, mille nad on raamistiku alusel saanud (84).

(55)

Muudel nimekirjast kustutamise juhtudel, näiteks vabatahtliku lahkumise või korduskinnituse esitamata jätmise korral, peab organisatsioon andmed kas kustutama või tagastama või ta võib selliseid andmeid säilitada, kui ta kinnitab kaubandusministeeriumile igal aastal põhimõtetest kinnipidamist või tagab isikuandmetele asjakohase kaitse teiste lubatud meetoditega (näiteks kasutades lepingut, mis sisaldab komisjoni heaks kiidetud asjakohastes lepingu tüüptingimustes ette nähtud nõudeid täies ulatuses) (85). Sel juhul peab organisatsioon määrama ka oma organisatsioonis kontaktpunkti kõigi ELi-USA andmekaitseraamistikuga seotud küsimuste käsitlemiseks.

(56)

Kaubandusministeerium jälgib nii omal algatusel kui ka kaebuste alusel (nt andmekaitseasutustelt saadud kaebused) kõiki ELi-USA andmekaitseraamistikus osalemise kohta esitatud valeväiteid või andmekaitseraamistikule vastavust kinnitava tähise ebaõiget kasutamist (86). Eelkõige kontrollib kaubandusministeerium pidevalt, kas organisatsioonid, kes i) loobuvad ELi-USA andmekaitseraamistikus osalemisest, ii) ei vii lõpule iga-aastast korduskinnitamist (st organisatsioon kas alustas, kuid ei viinud iga-aastase korduskinnitamise protsessi õigel ajal lõpule, või isegi ei alustanud iga-aastase korduskinnitamise protsessi), iii) on osalejate hulgast eemaldatud, eelkõige „püsiva põhimõtete järgimata jätmise“ tõttu, või iv) põhimõtete järgimise algse kinnituse esitamata jätmise tõttu (st organisatsioon alustas, kuid ei viinud algse kinnitamise protsessi õigel ajal lõpule), eemaldavad kõigist asjakohastest avaldatud privaatsustingimustest viited ELi-USA andmekaitseraamistikule, mis osutavad sellele, et organisatsioon osaleb aktiivselt raamistikus (87). Kaubandusministeerium teeb ka interneti-otsinguid, et tuvastada organisatsioonide privaatsustingimustes viiteid ELi-USA andmekaitseraamistikule, sealhulgas selleks, et tuvastada selliste organisatsioonide esitatud valeväiteid, kes ei ole kunagi ELi-USA andmekaitseraamistikus osalenud (88).

(57)

Kui kaubandusministeerium leiab, et viiteid ELi-USA andmekaitseraamistikule ei ole eemaldatud või neid kasutatakse valesti, teavitab ta organisatsiooni asja võimalikust edastamisest föderaalsele kaubanduskomisjonile või transpordiministeeriumile (89). Kui organisatsioon ei anna rahuldavat vastust, edastab kaubandusministeerium asja võimalike täitemeetmete võtmiseks asjaomasele asutusele (90). Kui organisatsioon esitab avalikkusele kas eksitavate väidete või tavade vormis valeandmeid põhimõtete järgimise kohta, võib föderaalne kaubanduskomisjon, transpordiministeerium või muu USA asjaomane täitevasutus võtta täitemeetmeid. Kaubandusministeeriumile valeandmete esitamise korral võidakse võtta täitemeetmeid valeandmete seaduse (False Statements Act, USA seadustiku 18. jaotise § 1001) alusel.

(58)

Selleks et tagada andmekaitse piisav tase ka praktikas, peaks olema loodud sõltumatu järelevalveasutus, millele on antud volitused jälgida vastavust andmekaitsenormidele ja tagada nende täitmine.

(59)

ELi-USA andmekaitseraamistikus osalevad organisatsioonid peavad olema põhimõtete tõhusaks täitmiseks vajalike uurimis- ja täitmisvolitustega USA pädevate asutuste – föderaalse kaubanduskomisjoni ja transpordiministeeriumi – jurisdiktsiooni all (91).

(60)

Föderaalne kaubanduskomisjon on sõltumatu asutus, mis koosneb viiest volinikust, kelle nimetab ametisse president USA Senati soovitusel ja nõusolekul (92). Volinikud nimetatakse ametisse seitsmeks aastaks ja president võib nad tagasi kutsuda vaid ebatõhususe, kohustuste täitmata jätmise või ametialaste rikkumiste tõttu. Föderaalses kaubanduskomisjonis võib olla kuni kolm volinikku samast parteist ja oma ametiajal ei tohi volinikud tegeleda muu äri-, kutse- või töise tegevusega.

(61)

Föderaalne kaubanduskomisjon võib uurida põhimõtete järgimist, samuti valeväiteid põhimõtetest kinnipidamise või ELi-USA andmekaitseraamistikus osalemise kohta, mida esitavad organisatsioonid, kes ei ole enam andmekaitseraamistikuga ühinenute nimekirjas või ei ole kunagi põhimõtete järgimise kinnitust esitanudki (93). Föderaalne kaubanduskomisjon saab täitmist tagada, taotledes ajutiste või püsivate ettekirjutuste või muude õiguskaitsevahendite saamiseks haldus- või föderaalkohtult määrusi (sealhulgas kokkuleppemäärusi (consent order) kokkuleppemenetluse kaudu) (94) ning jälgib selliste kohtumääruste täitmist süstemaatiliselt (95). Kui organisatsioon selliseid kohtumäärusi ei täida, võib föderaalne kaubanduskomisjon taotleda tsiviilõiguslike sanktsioonide ja muude õiguskaitsevahendite rakendamist, sealhulgas ebaseadusliku tegevusega põhjustatud kahju suhtes. Iga ELi-USA andmekaitseraamistikus osalevale organisatsioonile väljastatav kokkuleppemäärus peab sisaldama aruandlussätteid (96) ja organisatsioonid peavad avalikustama föderaalsele kaubanduskomisjonile esitatavate vastavus- või hindamisaruannete asjakohased osad, mis käsitlevad ELi-USA andmekaitseraamistikku. Peale selle peab föderaalne kaubanduskomisjon internetis nimekirja organisatsioonidest, kellele föderaalne kaubanduskomisjon või kohtud on teinud ELi-USA andmekaitseraamistikuga seotud asjades ettekirjutusi või andnud määrusi (97).

(62)

Seoses andmekaitseraamistikuga Privacy Shield võttis föderaalne kaubanduskomisjon täitemeetmeid ligikaudu 22 juhul, nii raamistiku konkreetsete nõuete rikkumise tõttu (nt suutmatus kinnitada kaubanduskomisjonile, et organisatsioon jätkab andmekaitseraamistiku Privacy Shield kaitsemeetmete rakendamist ka pärast raamistikust lahkumist, suutmatus kontrollida enesehindamise või välise vastavuskontrolli abil, kas organisatsioon järgis raamistikku) (98) kui ka valeväidete tõttu raamistikus osalemise kohta (nt organisatsioonid, kes ei viinud põhimõtete järgimise kinnitamiseks vajalikke samme lõpule või lasid oma kinnitusel aeguda, kuid lõid eksliku mulje, et osalevad jätkuvalt raamistikus) (99). Nende täitemeetmete tulemused tulenesid muu hulgas halduslike korralduste ennetavast kasutamisest, et saada teatavatelt andmekaitseraamistiku Privacy Shield osalejatelt materjale, et kontrollida, kas andmekaitseraamistikuga Privacy Shield seotud kohustusi on oluliselt rikutud (100).

(63)

Üldisemalt on föderaalne kaubanduskomisjon võtnud viimastel aastatel täitemeetmeid mitmes juhtumis, mis on seotud vastavusega teatavatele andmekaitsenõuetele, mis on sätestatud ka ELi-USA andmekaitseraamistikus, nt eesmärgi piiramise ja andmete säilitamise, (101) võimalikult väheste andmete kogumise, (102) andmeturbe (103) ning andmete täpsuse (104) põhimõtte kohta.

(64)

Transpordiministeeriumil on ainuõigus reguleerida lennuettevõtjate eraelu puutumatuse tavasid ja lennutranspordi müügis jagab ta piletimüügiagentide eraelu puutumatuse tavade suhtes pädevust föderaalse kaubanduskomisjoniga. Transpordiministeeriumi ametnike esmane eesmärk on jõuda kokkuleppele ja kui see ei ole võimalik, võivad nad algatada täitemenetluse, mis hõlmab tõenduslikku ärakuulamist transpordiministeeriumi halduskohtus, millel on õigus teha keelustamiskorraldusi ja määrata tsiviiltrahve (105). Halduskohtu kohtunikele on nende sõltumatuse ja erapooletuse tagamiseks kehtestatud haldusmenetluse seadusega (Administrative Procedure Act (APA)) mitu kaitsemeedet. Näiteks võib neid vallandada ainult mõjuval põhjusel; neile määratakse juhtumeid rotatsiooni korras; nad ei tohi täita ülesandeid, mis on vastuolus nende ülesannete ja kohustustega halduskohtunikuna; nende suhtes ei kohaldata neid palganud asutuse (antud juhul transpordiministeeriumi) uurimisrühma järelevalvet ning nad peavad täitma oma otsustus-/täitmisülesandeid erapooletult (106). Transpordiministeerium on kohustunud täitekorraldusi täitma ja tagama, et ELi-USA andmekaitseraamistiku juhtumitega korraldused on tema veebisaidil kättesaadavad (107).

(65)

Piisava kaitse tagamiseks ja eelkõige üksikisiku õiguste täitmise tagamiseks tuleks andmesubjektile tagada tõhus haldus- ja õiguskaitse, sealhulgas kahju hüvitamine.

(66)

ELi-USA andmekaitseraamistiku kaebuste menetlemise, täitmise tagamise ja vastutuse põhimõtte kohaselt peavad organisatsioonid nägema ette kaebuste menetlemise mehhanismi isikutele, keda põhimõtete järgimata jätmine mõjutab, ja seega võimaluse liidu andmesubjektidele esitada kaebusi seoses ELi-USA andmekaitseraamistikus osalevate organisatsioonide nõuetele mittevastavusega ning et saada neile kaebustele lahendus, vajaduse korral tõhusat õiguskaitset pakkuva otsusega (108). Osana põhimõtete järgimise kinnitamisest peavad organisatsioonid vastama selle põhimõtte nõuetele, nähes ette kergesti kättesaadavad sõltumatud kaebuste menetlemise mehhanismid, mille abil iga üksikisiku kaebusi ja vaidlusi uuritakse ja need lahendatakse tulemuslikult, mis toimub üksikisiku jaoks tasuta (109).

(67)

Organisatsioonid võivad valida kas liidus või Ameerika Ühendriikides paiknevad sõltumatud kaebuste menetlemise mehhanismid. Nagu põhjenduses 73 täpsemalt selgitatud, on võimalus võtta vabatahtlikult kohustus teha koostööd ELi andmekaitseasutustega. Kui organisatsioonid töötlevad personaliandmeid, on ELi andmekaitseasutustega koostöö tegemise kohustuse võtmine kohustuslik. Muud võimalused on sõltumatu alternatiivne vaidluste lahendamine või erasektori välja töötatud eraelu puutumatuse programmid, mille normide hulka on lisatud andmekaitseraamistiku põhimõtted. Programmid peavad kooskõlas kaebuste menetlemise, nõuete täitmise tagamise ja vastutuse põhimõtte nõuetega hõlmama tõhusaid nõuete täitmise tagamise mehhanisme.

(68)

Seega annab ELi-USA andmekaitseraamistik andmesubjektidele mitu võimalust oma õiguste kaitsmiseks, ELi-USA andmekaitseraamistikus osalevate organisatsioonide nõuetele mittevastavuse kohta kaebuste esitamiseks ning neile kaebustele lahenduse saamiseks, vajaduse korral tõhusat õiguskaitset pakkuva otsusega. Üksikisikud võivad esitada oma kaebuse otse organisatsioonile, organisatsiooni osutatud sõltumatule vaidluste lahendamise organile, riiklikele andmekaitseasutustele, kaubandusministeeriumile või föderaalsele kaubanduskomisjonile. Juhul kui ühegi sellise kaebuste menetlemise või nõuete täitmise tagamise mehhanismi abil kaebusele lahendust ei leita, on üksikisikutel samuti õigus algatada siduv vahekohtumenetlus (käesoleva otsuse I lisa I lisa). Üksikisikud võivad vabal valikul kasutada ükskõik millist õiguskaitsemehhanismi või neid kõiki ning neil ei ole kohustust eelistada üht mehhanismi teisele ega järgida konkreetset järjekorda; erandiks on vahekohtu kolleegium, kus menetluse algatamise eeltingimuseks on teatavate õiguskaitsevahendite ammendumine.

(69)

Esiteks võivad liidu andmesubjektid esitada kaebuse põhimõtete järgimata jätmise kohta ELi-USA andmekaitseraamistikus osalevatele organisatsioonidele otse (110). Selliste kaebuste lahendamise soodustamiseks peab organisatsioon nende menetlemiseks kehtestama tõhusa õiguskaitsemehhanismi. Organisatsiooni privaatsustingimustes tuleb seega esitada üksikisikutele selge teave, mis käsitleb kas organisatsioonisisest või -välist kontaktpunkti, mille kaudu kaebusi käsitletakse (selleks võib olla ka liidu ükskõik milline asjakohane asutus, kes on pädev järelepärimistele või kaebustele vastama), ning määratud sõltumatut vaidluste lahendamise organit (vt põhjendus 70). Üksikisiku kaebuse saamisel kas otse üksikisikult või kaubandusministeeriumilt, kellele andmekaitseasutus on selle edastanud, peab organisatsioon esitama liidu andmesubjektile vastuse 45 päeva jooksul (111). Samuti peavad organisatsioonid kiiresti vastama päringutele ja muudele teabenõuetele, mille on põhimõtete järgimise kohta esitanud kaubandusministeerium või andmekaitseasutus (112) (juhul kui organisatsioon on kohustunud andmekaitseasutusega koostööd tegema).

(70)

Teiseks võivad üksikisikud esitada kaebuse otse sõltumatule vaidluste lahendamise organile (kas Ameerika Ühendriikides või liidus), kelle organisatsioon on määranud ning kes uurib ja lahendab üksikkaebusi (välja arvatud juhul, kui need on selgelt alusetud või sisutühjad) ning osutab üksikisikutele tasuta vajalikku abi (113). Karistused ja heastamismeetmed, mida selline organ määrab, peavad olema piisavalt ranged, et tagada organisatsioonide vastavus põhimõtetele, ja nendega tuleks ette näha, et organisatsioon heastab mittevastavuse mõju, ning olenevalt olukorrast asjaomaste andmete töötlemise lõpetamine ja/või nende kustutamine, samuti avastatud põhimõtete järgimata jätmise avalikustamine (114). Organisatsiooni määratud sõltumatud vaidluste lahendamise organid peavad oma veebisaidil esitama asjakohase teabe ELi-USA andmekaitseraamistiku ja teenuste kohta, mida nad selle raames osutavad (115). Igal aastal peavad nad avaldama nende vaidluste lahendamise teenuse kohta koondstatistikat sisaldava aruande (116).

(71)

Osana oma vastavuskontrollimeetmetest võib kaubandusministeerium kontrollida, kas ELi-USA andmekaitseraamistikus osalevad organisatsioonid on ka tegelikkuses registreerinud end nende sõltumatute kaebuste menetlemise mehhanismide juures, mille juures registreerumist nad kinnitavad (117). Nii organisatsioonid kui ka vastutavad sõltumatud kaebuste menetlemise mehhanismid peavad kiiresti reageerima kaubandusministeeriumi päringutele ja nõuetele esitada ELi-USA andmekaitseraamistikuga seotud teavet. Kaubandusministeerium teeb koostööd sõltumatute kaebuste menetlemise mehhanismidega, et kontrollida, kas nende veebisaitidel on esitatud teave põhimõtete ja teenuste kohta, mida nad ELi-USA andmekaitseraamistikuga seoses pakuvad, ning et nad avaldavad aastaaruandeid (118).

(72)

Kui organisatsioon ei täida vaidluste lahendamise või iseregulatsiooniorgani otsust, peab nimetatud organ teavitama sellest kaubandusministeeriumit ja föderaalset kaubanduskomisjoni (või muud USA ametiasutust, kellel on pädevus organisatsiooni nõuetele mittevastavust uurida) või pädevat kohut (119). Kui organisatsioon keeldub järgimast mis tahes eraelu puutumatuse iseregulatsiooni-, sõltumatu vaidluste lahendamise või valitsusorgani lõplikku otsust või kui selline organ otsustab, et organisatsioon ei ole korduvalt põhimõtteid järginud, võidakse see lugeda püsivaks põhimõtete järgimata jätmiseks ning kaubandusministeerium kustutab põhimõtteid mittejärginud organisatsiooni andmekaitseraamistikuga ühinenute nimekirjast, teatades sellest kõigepealt 30 päeva ette ja andes organisatsioonile võimaluse vastata (120). Kui organisatsioon väidab pärast nimekirjast kustutamist jätkuvalt, et ta tegutseb kooskõlas ELi-USA andmekaitseraamistiku põhimõtetega, edastab kaubandusministeerium asja föderaalsele kaubanduskomisjonile või muule täitevasutusele (121).

(73)

Kolmandaks võivad üksikisikud esitada oma kaebuse ka liidus asuvale riiklikule andmekaitseasutusele, kes võib kasutada oma uurimis- ja õiguskaitsevolitusi määruse (EL) 2016/679 kohaselt. Organisatsioonidel on kohustus andmekaitseasutuse läbiviidaval uurimisel ja kaebuse lahendamisel koostööd teha, kui kaebus on seotud töösuhte raames kogutud personaliandmete töötlemisega või kui nad on vabatahtlikult nõustunud järelevalveasutuste järelevalvele alluma (122). Eelkõige peavad organisatsioonid vastama päringutele, täitma andmekaitseasutuse soovitusi, sealhulgas heastamis- ja hüvitamismeetmete kohta, ning andmekaitseasutusele kirjalikult kinnitama, et nimetatud meetmed on võetud (123). Kui andmekaitseasutuse nõuandeid ei järgita, edastab andmekaitseasutus sellised juhtumid kaubandusministeeriumile (kes võib organisatsioonid ELi-USA andmekaitseraamistikuga ühinenute nimekirjast kustutada) või võimalike täitemeetmete võtmiseks föderaalsele kaubanduskomisjonile või transpordiministeeriumile (andmekaitseasutustega koostöö tegemisest keeldumine või põhimõtete järgimata jätmine on USA õiguse alusel karistatav) (124).

(74)

Selleks et hõlbustada kaebuste tõhusaks menetlemiseks tehtavat koostööd, on nii kaubandusministeerium kui ka föderaalne kaubanduskomisjon loonud spetsiaalse kontaktpunkti, mis vastutab andmekaitseasutustega otse suhtlemise eest (125). Need kontaktpunktid abistavad andmekaitseasutust päringutega organisatsiooni põhimõtete järgimise kohta.

(75)

Andmekaitseasutuste nõuanded (126) väljastatakse pärast seda, kui kummalgi vaidluse poolel on olnud mõistlik võimalus esitada selgitused ja soovitud tõendid. Kolleegium võib saata nõuande nii kiiresti, kui nõuetekohase menetluse nõue võimaldab, üldjuhul 60 päeva jooksul alates kaebuse saamisest (127). Kui organisatsioon ei järgi nõuannet 25 päeva jooksul pärast selle saamist ning ei ole viivitust rahuldavalt põhjendanud, võib kolleegium teavitada oma kavatsusest suunata küsimus föderaalsele kaubanduskomisjonile (või muule USA pädevale täitevasutusele) või järeldada, et koostöökohustust on tõsiselt rikutud. Esimesel juhul võib see kaasa tuua täitemeetmete võtmise föderaalse kaubanduskomisjoni seaduse (edaspidi „FTC Act“) paragrahvi 5 (või sarnase normi) alusel (128). Teisel juhul teavitab kolleegium kaubandusministeeriumi, kes käsitab organisatsiooni keeldumist andmekaitseasutuste kolleegiumi nõuannet järgida püsiva järgimata jätmisena, mis toob kaasa organisatsiooni kustutamise andmekaitseraamistikuga ühinenute nimekirjast.

(76)

Kui andmekaitseasutus, kellele kaebus on adresseeritud, ei ole kaebuse lahendamisega tegelenud või on seda teinud ebapiisavalt, on üksikisikust kaebuse esitajal võimalus vaidlustada nimetatud tegevus või tegevusetus vastava ELi liikmesriigi riiklikes kohtutes.

(77)

Andmekaitseasutustele võivad kaebusi esitada ka üksikisikud, isegi kui organisatsioon ei ole määranud oma vaidluste lahendamise organiks andmekaitseasutuste kolleegiumi. Sellistel juhtudel võib andmekaitseasutus edastada kaebused kas kaubandusministeeriumile või föderaalsele kaubanduskomisjonile. Koostöö soodustamiseks ja elavdamiseks üksikisikute kaebuste ja ELi-USA andmekaitseraamistikus osalevate organisatsioonide poolse põhimõtete järgimata jätmise valdkonnas loob kaubandusministeerium spetsiaalse kontaktpunkti, kes peab sidet ja osutab andmekaitseasutustele abi organisatsioonide põhimõtetele vastavuse uurimisel (129). Ka föderaalne kaubanduskomisjon on võtnud kohustuse luua spetsiaalne kontaktpunkt (130).

(78)

Neljandaks on kaubandusministeerium kohustunud võtma vastu, vaatama läbi ja püüdma parimal võimalikul viisil lahendada kaebusi põhimõtete järgimata jätmise kohta organisatsioonides (131). Selleks näeb kaubandusministeerium andmekaitseasutustele ette erikorra kaebuste edastamiseks spetsiaalsele kontaktpunktile, nende jälgimiseks ja organisatsioonidega suhtlemiseks, et lahendamisele kaasa aidata (132). Selleks et üksikisikute kaebuste menetlemist kiirendada, teeb kontaktpunkt vastavusküsimustes koostööd otse vastava andmekaitseasutusega ning eelkõige hoiab teda kursis kaebuste seisuga kuni 90 päeva jooksul nende esitamisest (133). See võimaldab andmesubjektidel esitada kaebusi ELi-USA andmekaitseraamistikus osalevate organisatsioonide mittevastavuse kohta otse oma riiklikule andmekaitseasutusele ja lasta saata need kaubandusministeeriumile kui ELi-USA andmekaitseraamistikku haldavale USA asutusele.

(79)

Kui kaubandusministeerium omaalgatuslike kontrollide, kaebuste või muu teabe alusel leiab, et organisatsioon ei ole põhimõtteid püsivalt järginud, kustutab ta selle organisatsiooni andmekaitseraamistikuga ühinenute nimekirjast (134). Püsivaks põhimõtete järgimata jätmiseks loetakse ka eraelu puutumatuse iseregulatsiooni organi, sõltumatu vaidluste lahendamise organi või valitsusasutuse, sealhulgas andmekaitseasutuse lõpliku otsuse täitmisest keeldumist (135).

(80)

Viiendaks peab ELi-USA andmekaitseraamistikus osalev organisatsioon olema põhimõtete tõhusaks täitmiseks vajalike uurimis- ja täitmisvolitustega asutuste, eelkõige föderaalse kaubanduskomisjoni (136) jurisdiktsiooni all. Föderaalne kaubanduskomisjon vaatab eelisjärjekorras läbi esildised, mille on põhimõtetele mittevastavuse kohta edastanud sõltumatud vaidluste lahendamise organid või iseregulatsiooniorganid, kaubandusministeerium ja andmekaitseasutused (omal algatusel või kaebuste põhjal), et teha kindlaks, kas föderaalse kaubanduskomisjoni seaduse (FTC Act) paragrahvi 5 on rikutud (137). Föderaalne kaubanduskomisjon on võtnud kohustuse luua esildiste käsitlemise standardmenetlus, luua andmekaitseasutuste edastatud esildiste jaoks asutusesisene kontaktpunkt ning vahetada tehtud esildistega seotud teavet. Lisaks võib ta kaebusi vastu võtta ka otse üksikisikutelt ning kohustub omal algatusel läbi viima ELi-USA andmekaitseraamistikuga seotud uurimisi, eelkõige eraelu puutumatuse kaitse küsimustega seotud laiema uurimise raames.

(81)

Kuuendaks võib liidu andmesubjekt viimase võimalusena, juhul kui ükski muu ettenähtud õiguskaitsevahend ei ole üksikisiku kaebusele rahuldavat lahendust toonud, algatada siduva vahekohtumenetluse ELi-USA andmekaitseraamistiku kolleegiumis (138). Organisatsioonid peavad teavitama üksikisikuid võimalusest algatada vahekohtumenetlus ning neil on vastamiskohustus, kui üksikisik on nimetatud võimalust kasutanud ja esitanud asjaomasele organisatsioonile sellekohase teate (139).

(82)

ELi-USA andmekaitseraamistiku kolleegium koosneb vähemalt kümnest vahekohtunikust, kelle määravad ametisse kaubandusministeerium ja Euroopa Komisjon lähtuvalt nende sõltumatusest, aususest ja kogemustest USA eraelu puutumatuse kaitse õiguse ja liidu andmekaitseõiguse alal. Iga vaidluse jaoks valivad pooled nimekirjast kolleegiumi ühe kuni kolm (140) vahekohtunikku.

(83)

Kaubandusministeerium valis vahekohtumenetlusi haldama vaidluste lahendamise rahvusvahelise keskuse (International Centre for Dispute Resolution (ICDR)), mis on USA vahekohtute assotsiatsiooni (American Arbitration Association (AAA)) rahvusvaheline osakond. ELi-USA andmekaitseraamistiku kolleegiumi menetlusi reguleerivad kokkulepitud vahekohtureeglid ja ametisse nimetatud vahekohtunike käitumisjuhend. ICDR-AAA veebisait pakub üksikisikutele selget ja kokkuvõtlikku teavet vahekohtumenetluse ja vahekohtusse pöördumise menetluse kohta.

(84)

Kaubandusministeeriumi ja komisjoni vahel kokku lepitud vahekohtureeglid täiendavad ELi-USA andmekaitseraamistikku, mis sisaldab mitut funktsiooni, mis parandavad liidu andmesubjektide juurdepääsu sellele mehhanismile: i) kolleegiumi jaoks nõude ettevalmistamisel võib andmesubjekti abistada tema riiklik andmekaitseasutus; ii) kuigi vahekohut peetakse Ameerika Ühendriikides, võivad liidu andmesubjektid otsustada osaleda video- või telefonikonverentsi teel, mida üksikisikule võimaldatakse tasuta; iii) kuigi vahekohtus kasutatakse üldjuhul inglise keelt, tagatakse vahekohtu istungil suuline tõlge ja kirjalikku tõlget pakutakse põhimõtteliselt siis, kui esitatakse põhjendatud taotlus, ja see on andmesubjektile tasuta; iv) kuigi kumbki pool peab kandma oma advokaaditasud ise, haldab kaubandusministeerium fondi, kuhu teevad igal aastal sissemakseid ELi-USA andmekaitseraamistikus osalevad organisatsioonid, kes peavad katma vahekohtumenetluse kulud maksimaalse summani, mille määravad kindlaks USA ametiasutused, konsulteerides komisjoniga (141).

(85)

ELi-USA andmekaitseraamistiku kolleegiumil on õigus kehtestada „konkreetsele isikule sobivad asjakohased mitterahalised kaitsemeetmed“, (142) mis on vajalikud põhimõte järgimata jätmise heastamiseks. Kuigi kolleegium võtab otsustamisel arvesse ka teisi heastamismeetmeid, mis on ELi-USA andmekaitseraamistiku muude mehhanismide raames juba määratud, võivad üksikisikud siiski pöörduda vahekohtusse, kui nad peavad kõnealuseid muid heastamismeetmeid ebapiisavaks. See võimaldab liidu andmesubjektidel pöörduda vahekohtusse kõigil juhtudel, kus ELi-USA andmekaitseraamistikus osalevate organisatsioonide, sõltumatute kaebuste menetlemise mehhanismide või USA pädevate asutuste (näiteks föderaalse kaubanduskomisjoni) tegevus või tegevusetus ei ole toonud nende kaebustele rahuldavat lahendust. Vahekohtumenetlust ei või algatada, kui andmekaitseasutus ise on ELi-USA andmekaitseraamistikus osaleva organisatsiooni suhtes õiguslikult pädev kõnealust küsimust lahendama, nimelt siis, kui organisatsioon on kohustatud tegema andmekaitseasutustega koostööd ja järgima nende nõuandeid seoses töösuhte raames kogutud personaliandmete töötlemisega või on vabatahtlikult võtnud kohustuse seda teha. Üksikisikud saavad vahekohtu otsuse täitmisele pöörata USA kohtute kaudu föderaalse vahekohtu seaduse (Federal Arbitration Act) alusel, mis tagab õiguskaitse juhuks, kui ettevõtja otsust ei täida.

(86)

Seitsmendaks, kui organisatsioon ei täida oma kohustust järgida põhimõtteid ja avaldada privaatsustingimused, on USA õiguse kohaselt kättesaadavad täiendavad õiguskaitsevahendid, sealhulgas kahju hüvitamiseks. Näiteks võivad üksikisikud teatud tingimustel saada osariigi tarbijakaitseseaduste alusel kohtulikku õiguskaitset (sealhulgas kahju hüvitamine) valeandmete esitamise, ebaõiglaste ja pettusel põhinevate teguviiside ja tavade korral (143) ning lepinguvälist vastutust käsitlevate õigusnormide kohaselt (eelkõige eraellu sekkumise, (144) nime või sarnasuse omastamise (145) ning isiklike andmete avalikustamisega seotud rikkumiste korral (146)).

(87)

Eespool kirjeldatud erinevad õiguskaitsevahendid üheskoos tagavad, et iga kaebus, mis käsitleb ELi-USA andmekaitseraamistiku järgimist kinnitanud organisatsioonide mittevastavust andmekaitseraamistikule, lahendatakse ja heastatakse tõhusalt.

(88)

Komisjon on hinnanud ka piiranguid ja kaitsemeetmeid, sealhulgas Ameerika Ühendriikide õiguses kättesaadavaid järelevalve- ja individuaalse kaitse mehhanisme seoses USA avaliku sektori asutuste poolt avalikus huvis selliste isikuandmete kogumise ja järgneva kasutamisega, mida edastatakse Ameerika Ühendriikides asuvatele vastutavatele töötlejatele ja volitatud töötlejatele, eelkõige kriminaalõiguskaitse ja riikliku julgeoleku eesmärgil (edaspidi „valitsuse juurdepääs“) (147). Selle hindamisel, kas tingimused, mille alusel pääseb valitsus juurde käesoleva otsuse alusel Ameerika Ühendriikidesse edastatud andmetele, vastavad määruse (EL) 2016/679 artikli 45 lõike 1 kohasele sisulise samaväärsuse kriteeriumile, nagu Euroopa Kohus on tõlgendanud põhiõiguste hartat silmas pidades, võttis komisjon arvesse mitut kriteeriumi.

(89)

Eelkõige peavad kõik isikuandmete kaitse õiguse piirangud olema seadusega ette nähtud ja asjaomase õiguse piirangu ulatus peab olema määratletud sellise õiguse riivet võimaldavas õiguslikus aluses (148). Lisaks peab selles õiguslikus aluses olema selleks, et täita proportsionaalsuse nõuet, mille kohaselt tuleb erandeid ja piiranguid isikuandmete kaitsest kohaldada ainult niivõrd, kuivõrd see on demokraatlikus ühiskonnas vältimatult vajalik, et saavutada konkreetsed üldist huvi pakkuvad eesmärgid, mis on samaväärsed liidu tunnustatud eesmärkidega, sätestatud selged ja täpsed eeskirjad, mis reguleerivad kõnealuste meetmete ulatust ja kohaldamist, ning kehtestatud minimaalsed kaitsemeetmed, et isikutel, kelle andmeid on edastatud, oleksid piisavad tagatised oma isikuandmete tõhusaks kaitsmiseks kuritarvitamise riski eest (149). Samuti peavad need normid ja kaitsemeetmed olema õiguslikult siduvad ja üksikisikutele hagetavad (150). Eelkõige peab andmesubjektidel olema võimalus kasutada õiguskaitsevahendeid sõltumatus ja erapooletus kohtus, et tutvuda teda puudutavate isikuandmetega või lasta neisse parandusi teha või neid kustutada (151).

(90)

Mis puudutab ELi-USA andmekaitseraamistiku alusel edastatud isikuandmete riivet kriminaalõiguskaitse eesmärkidel, on Ameerika Ühendriikide õiguses sätestatud isikuandmetele juurdepääsule ja nende kasutamisele mitu piirangut ning ette nähtud järelevalve- ja kahju hüvitamise mehhanismid, mis on kooskõlas käesoleva otsuse põhjenduses 89 osutatud nõuetega. Tingimusi, mille alusel selline juurdepääs võib toimuda, ja nende volituste kasutamisel kohaldatavaid kaitsemeetmeid hinnatakse üksikasjalikult järgmistes jagudes. Sellega seoses on USA valitsus (justiitsministeeriumi kaudu) esitanud kinnitavad avaldused ka kohaldatavate piirangute ja kaitsemeetmete kohta (käesoleva otsuse VI lisa).

(91)

Isikuandmetele, mida töötlevad põhimõtete järgimist kinnitanud USA organisatsioonid ja mis edastatakse liidust ELi-USA andmekaitseraamistiku alusel, võivad kriminaalõiguskaitse eesmärkidel juurde pääseda USA föderaalprokurörid ja föderaalse uurimisasutuse ametnikud erinevate menetluste alusel, nagu on üksikasjalikumalt selgitatud põhjendustes 92–99. Neid menetlusi kohaldatakse samamoodi, kui teavet saadakse mis tahes USA organisatsioonilt, olenemata asjaomaste andmesubjektide kodakondsusest või elukohast (152).

(92)

Esiteks võib kohtunik föderaalse õiguskaitseasutuse ametniku või valitsuse advokaadi taotlusel anda välja läbiotsimis- või arestimismääruse (sealhulgas elektrooniliselt salvestatud teabe kohta) (153). Sellise määruse võib välja anda ainult siis, kui on küllaldane alus (154) arvata, et tõenäoliselt leitakse määruses osutatud kohast „arestitavaid esemeid“ (tõendid kuriteo kohta, ebaseaduslikult saadud esemed või vara, mida kavatsetakse kasutada või on kasutatud kuriteo toimepanemiseks). Määruses tuleb kindlaks määrata arestitav vara või ese ja märkida, millisele kohtunikule tuleb määrus tagastada. Isik, kelle suhtes läbiotsimist kohaldatakse või kelle vara läbi otsitakse, võib võtta meetmeid, et ebaseadusliku otsimise teel saadud tõendusmaterjal loetaks kehtetuks, kui need tõendid esitatakse selle isiku vastu kriminaalmenetluses (155). Kui andmete valdaja (nt ettevõtja) on määruse alusel kohustatud andmed avalikustama, võib ta vaidlustada avalikustamise nõude kui põhjendamatult koormava (156).

(93)

Teiseks võib vandemeeste kogu (grand jury ehk kohtuniku või kohtu-uurija kokku pandud uurimisorgan) väljastada teatavate raskete kuritegude uurimise kontekstis, (157) tavaliselt föderaalprokuröri taotlusel, kohtukorralduse, millega nõuda kelleltki äridokumentide, elektrooniliselt salvestatud teabe või muude materiaalsete esemed esitamist või kättesaadavaks tegemist. Lisaks on mitme põhimäärusega lubatud kasutada halduslikke korraldusi, et esitataks või tehtaks kättesaadavaks äridokumendid, elektrooniliselt säilitatud andmed või muud materiaalsed esemed uurimistes, mis hõlmavad tervishoiupettust, lapse väärkohtlemist, salateenistuse (Secret Service) kaitset, kontrollitavate ainete juhtumeid ning peainspektori uurimisi (158). Mõlemal juhul peab teave olema uurimise seisukohast asjakohane ja kohtukorraldus ei tohi olla ebamõistlik selle laia ulatuse või rõhuva või koormava laadi tõttu (ja kohtukorralduse saaja võib seda nendel põhjustel vaidlustada) (159).

(94)

USA ettevõtjate valduses olevatele andmetele tsiviil- või regulatiivsetel eesmärkidel („avalikes huvides“) juurdepääsuks antavate halduslike korralduste tingimused on sellele väga sarnased. Tsiviil- ja regulatiivsete kohustustega asutuste volitused selliseid halduslikke korraldusi välja anda peavad olema sätestatud põhikirjas. Haldusliku korralduse kasutamist tuleb hinnata nn mõistlikkuse testiga, mille kohaselt on nõutav, et uurimine viidaks läbi õiguspärasel eesmärgil, haldusliku korraldusega nõutav teave on selle eesmärgi jaoks asjakohane, asutusel ei ole veel seda teavet, mida ta haldusliku korralduse abil soovib saada, ja haldusliku korralduse väljastamiseks vajalikud haldustoimingud on tehtud (160). Ülemkohtu praktikas on selgitatud ka vajadust saavutada tasakaal taotletava teabe avaliku huvi aspekti tähtsuse ning isiklike ja organisatsiooniliste eraelu puutumatuse kaitsega seotud huvide tähtsuse vahel (161). Kuigi haldusliku korralduse kasutamiseks ei ole vaja kohtu eelnevat heakskiitu, vaatab kohus selle läbi juhul, kui korralduse saaja selle eespool nimetatud põhjustel vaidlustab või kui korralduse väljastanud asutus soovib selle kohtu kaudu täitmisele pöörata (162). Lisaks neile üldistele piirangutele võivad eri põhimäärustest tuleneda (rangemad) erinõuded (163).

(95)

Kolmandaks võimaldavad mitu õiguslikku alust kriminaalõiguskaitseasutustel saada juurdepääsu sideandmetele. Kohus võib anda määruse, millega lubatakse koguda (pealtkuulamisseadmete abil) telefoninumbri või e-posti kohta reaalajas muid kui sisuandmeid seoses helistamise, marsruutimise, suunamise ja signaaliteabega, kui ta leiab, et asutus on tõendanud, et tõenäoliselt saadav teave on poolelioleva kriminaaluurimise jaoks asjakohane (164). Muu hulgas tuleb kohtumääruses täpsustada kahtlustatav isik, kui see on teada; sidevahendid, mille kohta määrus käib, ja märge süüteo kohta, millega kogutav teave on seotud. Pealtkuulamisseadme kasutamise loa võib anda kuni kuuekümneks päevaks, mida võib pikendada ainult uue kohtumäärusega.

(96)

Lisaks võib salvestatud side seaduse alusel saada kriminaalõiguse täitmise eesmärgil juurdepääsu internetiteenuse osutajate, telefoniteenuse osutajate ja muude kolmandatest isikutest teenuseosutajate valduses olevatele abonendiandmetele, liiklusandmetele ja salvestatud andmesisule (165). Selleks et saada oma valdusse elektroonilise side salvestatud sisu, peavad kriminaalõiguskaitseasutused põhimõtteliselt saama kohtunikult määruse, mis põhineb küllaldasel alusel arvata, et asjaomasel kontol on tõendusmaterjal kuriteo kohta (166). Abonendi registreerimise andmete, IP-aadresside ja seotud ajatemplite ning arveldusandmete jaoks võivad kriminaalõiguskaitseasutused kasutada kohtukorraldust. Enamiku muude salvestatud ilma sisuta andmete (nt teemareata e-kirja päised) jaoks peab kriminaalõiguskaitseasutus saama kohtumääruse, mis väljastatakse, kui kohtunik on veendunud, et on alust arvata, et nõutav teave on käimasoleva kriminaaluurimise jaoks asjakohane ja oluline.

(97)

Teenuseosutajad, kes saavad päringuid salvestatud side seaduse alusel, võivad vabatahtlikult teavitada klienti või abonenti, kelle teavet saada soovitakse, välja arvatud juhul, kui asjaomane kriminaalõiguskaitseasutus saab kaitsemääruse, millega selline teavitamine keelatakse (167). Selline kaitsemäärus on kohtumäärus, millega nõutakse, et elektroonilise side teenuste või kaugandmetöötlusteenuste osutaja, kellele määrus, kohtukorraldus või kohtumäärus on adresseeritud, ei teavitaks teisi isikuid määruse, kohtukorralduse või kohtumääruse olemasolust enne, kuni kohus seda vajalikuks peab. Kaitsemäärus väljastatakse, kui kohus leiab, et on alust arvata, et teavitamine ohustaks tõsiselt uurimist või viivitaks põhjendamatult kohtuprotsessi, nt seetõttu, et see tooks kaasa üksikisiku elu või füüsilise turvalisuse ohtu seadmise, kohtumõistmise eest põgenemise, võimalike tunnistajate hirmutamise jne. Asejustiitsministri memorandumiga (mis on siduv kõigile justiitsministeeriumi advokaatidele ja esindajatele) nõutakse, et prokurörid teeksid üksikasjaliku otsuse kaitsemääruse vajaduse kohta ja esitaksid kohtule põhjenduse selle kohta, kuidas on konkreetses juhtumis täidetud kaitsemääruse saamise seaduslikud kriteeriumid (168). Memorandum nõuab ka seda, et üldjuhul ei tohi kaitsemääruse taotlusega nõutada teavitamise edasilükkamist enam kui üheks aastaks. Kui erandjuhtudel võivad osutuda vajalikuks pikemaajalised määrused, võib selliseid määrusi taotleda ainult USA peaprokuröri või vastava justiitsministri abi määratud järelevalveametniku kirjalikul nõusolekul. Lisaks peab prokurör uurimise lõpus viivitamatult hindama, kas on alust jätta väljastatud kaitsemäärused kehtima, ning kui see nii ei ole, lõpetama kaitsemääruse kehtivuse ja tagama, et sellest teavitatakse teenuseosutajat (169).

(98)

Ka võivad kriminaalõiguskaitseasutused kuulata reaalajas pealt telefonikõnesid, vestlusi või elektroonilist teabevahetust kohtumääruse alusel, milles kohtunik leiab muu hulgas, et on olemas küllaldane alus arvata, et telefoni või elektrooniline pealtkuulamine annab tõendusmaterjali föderaalse kuriteo kohta või süüdistuse eest põgeneva tagaotsitava isiku asukoha kohta (170).

(99)

Täiendavat kaitset pakuvad justiitsministeeriumi erinevad põhimõtted ja suunised, sealhulgas justiitsministri suunised riigisiseste FBI operatsioonide kohta (AGG-DOM), milles on muu hulgas nõue, et föderaalne juurdlusbüroo (FBI) kasutaks võimalikult vähe sekkuvaid uurimismeetodeid, võttes arvesse mõju eraelu puutumatusele ja kodanikuvabadustele (171).

(100)

USA valitsuse kinnituste kohaselt kohaldatakse eespool kirjeldatud samaväärset või tugevamat kaitset ka (osariikide seaduste alusel toimuvatele) osariikide õiguskaitseorganite uurimistele (172). Eelkõige kinnitavad põhiseaduse sätted, samuti osariigi tasandi põhimäärused ja kohtupraktika eespool nimetatud kaitsemeetmeid põhjendamatute läbiotsimiste ja arestimiste vastu nõudega, et väljastada tuleb läbiotsimismäärus (173). Sarnaselt föderaaltasandil pakutava kaitsega võib läbiotsimismääruse välja anda ainult küllaldase aluse tõendamise korral ning määruses tuleb kirjeldada läbiotsitavat kohta ja isikut või arestitavad eset (174).

(101)

Mis puudutab föderaalsete kriminaalõiguskaitseasutuste kogutud andmete edasist kasutamist, on erinevate põhimääruste, suuniste ja standarditega kehtestatud erikaitsemeetmed. Kui FBI tegevuse suhtes kohaldatavad eriõigusaktid (peaprokuröri suunised riigisiseste FBI operatsioonide kohta (AGG-DOM) ning FBI riigisiseste juurdluste ja operatsioonide juhend (Domestic Investigations and Operations Guide)) välja arvata, kehtivad selles jaos kirjeldatud nõuded üldiselt andmete edasisel kasutamisel mis tahes föderaalasutuse poolt, sealhulgas andmete puhul, millele on saadud juurdepääs tsiviil- või regulatiivsetel eesmärkidel. See hõlmab nõudeid, mis tulenevad juhtimis- ja eelarveosakonna (Office of Management and Budget (OMB)) memodest/määrustest, föderaalsest infoturbe juhtimise moderniseerimise seadusest (Federal Information Security Management Modernization Act), e-valitsuse seadusest (E-Government Act ) ja föderaalregistrite seadusest (Federal Records Act).

(102)

Kooskõlas Clinger-Coheni seaduses sätestatud volitustega (Clinger-Cohen Act; P.L. 104-106, Division E) ja 1987. aasta arvutiturbe seadusega (Computer Security Act of 1987; P.L. 100-235), saatis juhtimis- ja eelarveosakond (OMB) välja ringkirja nr A-130, et kehtestada üldised siduvad juhised, mis kehtivad kõigile föderaalasutustele (sealhulgas õiguskaitseasutustele), kui nad käitlevad isikuandmeid (175). Eelkõige on ringkirjas nõue, et kõik föderaalasutused „piirduksid isikuandmete loomisel, kogumisel, kasutamisel, töötlemisel, säilitamisel, hooldamisel, levitamisel ja avaldamisel seaduse alusel lubatud, volitatud asutuse ülesannete jaoks kohase ja mõistlikult vajalikuks peetava teabega“ (176). Lisaks peavad föderaalasutused nii suures ulatuses, kui on mõistlikult teostatav, tagama, et isikuandmed oleksid täpsed, asjakohased, õigeaegsed ja täielikud ning vähendatud asutuse ülesannete nõuetekohaseks täitmiseks vajaliku miinimumini. Üldisemalt peavad föderaalasutused looma tervikliku eraelu puutumatuse programmi, et tagada vastavus kohaldatavatele privaatsusnõuetele, töötada välja privaatsustingimused ja neid hinnata ning hallata privaatsusriske; hoidma töös menetlusi privaatsusnõuetega seotud intsidentide tuvastamiseks, dokumenteerimiseks ja nendest teatamiseks; töötama välja töötajatele ja töövõtjatele eraelu puutumatuse alase teadlikkuse suurendamise ja koolitusprogrammid ning kehtestama reeglid ja menetlused, millega tagatakse töötajate vastavus privaatsusnõutele ja -tingimustele (177).

(103)

Lisaks nõuab e-valitsuse seadus (E-Government Act), (178) et kõik föderaalasutused (sealhulgas kriminaalõiguskaitseasutused) võtaksid kasutusele infoturbe kaitsemeetmed, mis on proportsionaalsed volitamata juurdepääsust, kasutamisest, avalikustamisest, häirest, muutmisest või hävitamisest tuleneva kahju ohu ja ulatusega; et neil oleks tööl infojuht, kes tagab infoturbe nõuete täitmise, ning igal aastal toimuks infoturbeprogrammi ja -tavade sõltumatu hindamine (mille teeb nt peainspektor, vt põhjendus 109) (179). Samamoodi on föderaalregistrite seaduse (Federal Records Act (FRA)) (180) ja täiendavate määruste (181) kohaselt nõutav rakendada föderaalasutuste valduses oleva teabe suhtes kaitsemeetmeid, mis tagavad teabe füüsilise terviklikkuse ja kaitsevad seda volitamata juurdepääsu eest.

(104)

Kooskõlas oma föderaaltasandi õiguspädevusega, sealhulgas 2014. aasta föderaalse infoturbe moderniseerimise seadusega (Federal Information Security Modernisation Act), on OMB ja riiklik standardite ja tehnoloogia instituut (National Institute of Standards and Technologies (NIST)) välja töötanud standardid, mis on föderaalasutustele (sh kriminaalõiguskaitseasutustele) siduvad ja milles täpsustatakse teabeturbe miinimumnõudeid, mis tuleb kehtestada, sealhulgas juurdepääsu kontrolli meetmed, teadlikkuse ja koolituse tagamine, erandolukorra plaanimine, intsidentidele reageerimine, auditeerimis- ja aruandlusvahendid, süsteemi ja teabe terviklikkuse tagamine, eraelu puutumatuse ja turvalisuse riskide hindamine jne (182). Lisaks peavad kõik föderaalasutused (sealhulgas kriminaalõiguskaitseasutused) kooskõlas OMB suunistega pidama ja rakendama andmetega seotud rikkumiste menetlemise kava, sealhulgas sellistele rikkumistele reageerimiseks ja kahjuriskide hindamiseks (183).

(105)

Mis puudutab andmete säilitamist, siis on föderaalregistrite seaduses (FRA) (184) nõue, et USA föderaalasutused (sealhulgas kriminaalõiguskaitseasutused) kehtestaksid oma dokumentidele säilitamistähtajad (mille möödumisel tuleb dokumendid kõrvaldada), mille peab heaks kiitma Ameerika Ühendriikide rahvusarhiiv (National Archives and Records Administration) (185). Säilitamistähtaja pikkus määratakse kindlaks erinevate tegurite alusel, näiteks uurimise liik, see, kas tõendid on uurimise seisukohast endiselt asjakohased jne. FBI kohta on AGG-DOMis ette nähtud, et FBI-l peab selline dokumentide säilitamise kava paigas olema ja ta peab haldama süsteemi, mis võimaldab uurimiste seisu ja aluse viivitamatult teada saada.

(106)

Peale selle sisaldab OMB ringkiri nr A-130 ka teatavaid nõudeid isikuandmete levitamise kohta. Põhimõtteliselt peab isikuandmete levitamine ja avalikustamine piirduma sellega, mis on seaduslikult lubatud, asjakohane ja asutuse ülesannete nõuetekohaseks täitmiseks mõistlikult vajalik (186). Kui USA föderaalasutused jagavad isikuandmeid teiste valitsusasutustega, peavad nad kehtestama vajaduse korral tingimused (sealhulgas konkreetsete turva- ja privaatsuskontrollimeetmete rakendamine), mis reguleerivad teabe töötlemist kirjalike lepingute kaudu (sh lepingud, andmete kasutamise kokkulepped, teabe vahetamise kokkulepped ja vastastikuse mõistmise memorandumid) (187). Mis puudutab põhjuseid, mille korral teavet levitada tohib, siis näiteks peaprokuröri suunistes riigisiseste FBI operatsioonide kohta ning FBI riigisiseste juurdluste ja operatsioonide juhendis (188) on ette nähtud, et FBI võib olla seadusega kohustatud seda tegema (nt rahvusvahelise lepingu alusel) või tal on lubatud teavet levitada teatavate asjaolude korral, nt teistele USA asutustele, kui avalikustamine on kooskõlas teabe kogumise eesmärgiga ja seostub nende kohustustega; kongressi komiteedele; välisriigi asutustele, kui teave on seotud nende kohustustega ja teabe levitamine on kooskõlas Ameerika Ühendriikide huvidega; teabe levitamine on eelkõige vajalik inimeste või vara ohutuse või turvalisuse kaitsmiseks või kuriteo või riigi julgeolekule tekkinud ohu eest kaitsmiseks või kuriteo või julgeolekuohu ärahoidmiseks ning avalikustamine on kooskõlas teabe kogumise eesmärgiga (189).

(107)

Föderaalsete kriminaalõiguskaitseasutuste tegevust kontrollivad eri organid (190). Nagu on selgitatud põhjendustes 92–99, hõlmab see enamikul juhtudel eelkontrolli, mille teevad kohtunikud, kes peavad andmete kogumise üksikmeetmed enne nende kasutamist heaks kiitma. Lisaks jälgivad kriminaalõiguskaitseasutuste tegevuse eri etappe, sealhulgas isikuandmete kogumist ja töötlemist, teised organid. Üheskoos tagavad need kohtu- ja kohtuvälised organid, et õiguskaitseasutuste suhtes tehakse sõltumatut järelevalvet.

(108)

Esiteks tegutsevad eri osakondades eraelu puutumatuse ja kodanikuvabaduste ametnikud, kellel on vastutus kriminaalõiguse täitmise eest (191). Ehkki nende ametnike konkreetsed volitused on volitusnormidest sõltuvalt erinevad, on üldjuhul nende pädevuses teha järelevalvet menetluste üle, millega tagatakse ministeeriumis/asutuses eraelu puutumatuse ja kodanikuvabaduste kaitsega seotud küsimuste nõuetekohane käsitlemine ning et asutus on kehtestatud nõuetekohased menetlused enda eraelu puutumatuse või kodanikuvabaduste rikkumise üle kaevanud üksikisikute kaebuste läbivaatamiseks. Iga osakonna või asutuse juhid peavad tagama, et eraelu puutumatuse ja kodanikuvabaduste ametnikel on oma volituste täitmiseks vajalikud materjalid ja vahendid, neile antakse juurdepääs kõikidele ülesannete täitmiseks vajalikele materjalidele ja töötajatele ning et neid teavitatakse poliitika kavandatud muudatustest ning nendega konsulteeritakse (192). Privaatsus- ja kodanikuvabaduste ametnikud esitavad USA Kongressile korrapäraselt aruandeid, sealhulgas ministeeriumile/asutusele laekunud kaebuste arvu ja laadi kohta ning selliste kaebuste lahendamise kokkuvõtte ja korraldatud läbivaatamiste ja uurimiste ning ametniku tegevuse mõju kohta (193).

(109)

Teiseks hoiab justiitsministeeriumi, sealhulgas FBI tegevusel silma peal sõltumatu peainspektor (194). Peainspektorid on seaduse järgi sõltumatud (195) ja nad vastutavad ministeeriumi programmide ja toimingute sõltumatu uurimise, auditite ja inspekteerimise eest. Neil on juurdepääs kõikidele andmetele, aruannetele, audititele, protokollidele, dokumentidele, poliitikamaterjalidele, soovitustele ja muudele materjalidele, vajaduse korral kohtukorralduse alusel, ning nad võivad võtta tunnistajatelt ütlusi (196). Ehkki peainspektorid annavad üksnes mittesiduvaid soovitusi parandusmeetmete võtmiseks, nende aruanded ja teave aruannete alusel võetud meetmete (või nende puudumise) (197) kohta üldiselt avalikustatakse ning saadetakse USA Kongressile, kes võib nende alusel ise järelevalvet teha (vt põhjendus 111) (198).

(110)

Kolmandaks, kui nad tegelevad terrorismivastase võitlusega, teeb kriminaalõiguse täitmisele pööramise ülesannetega ministeeriumide suhtes järelevalvet eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjon (PCLOB), mis on täitevvõimu sõltumatu asutus, mis koosneb viiest haldusnõukogu liikmest, kelle president nimetab ametisse kahest parteist kuueks aastaks senati heakskiidul (199). Vastavalt selle asutamismäärusele on PCLOB-le usaldatud ülesanded terrorismivastase võitluse poliitika ja selle rakendamise valdkonnas, eesmärgiga kaitsta eraelu puutumatust ja kodanikuvabadusi. Läbivaatamisel on tal juurdepääsuõigus kõikidele asjaomaste asutuste andmetele, aruannetele, audititele, protokollidele, dokumentidele, poliitikamaterjalidele ja soovitustele, sealhulgas salastatud teabele, ning õigus küsitleda isikuid ja võtta tunnistajatelt ütlusi (200). Ta saab aruandeid mitme föderaalministeeriumi/asutuse kodanikuvabaduste ja eraelu puutumatuse kaitse ametnikelt, (201) võib anda valitsusele ja õiguskaitseasutustele soovitusi ning annab korrapäraselt aru USA Kongressi komiteedele ja presidendile (202). Juhatuse aruanded, sealhulgas need, mis esitatakse USA Kongressile, peavad olema võimalikult suures ulatuses avalikult kättesaadavad (203).

(111)

Lõpuks kontrollivad kriminaalõiguse täitmisele pööramist USA Kongressi erikomiteed (vastavalt esindajatekoja ja senati kohtukomitee). Kohtukomiteed teevad korrapärast järelevalvet eri viisidel, eelkõige kuulamiste, uurimiste, läbivaatamiste ja aruannete kaudu (204).

(112)

Nagu märgitud, peavad kriminaalõiguskaitseasutused enamikul juhtudel saama isikuandmete kogumiseks kohtult eelneva loa. Kuigi see ei ole nõutav halduslike korralduste puhul, on need piiratud konkreetsete olukordadega ja nende suhtes kohaldatakse sõltumatut kohtulikku kontrolli vähemalt siis, kui valitsus taotleb täitmist kohtus. Eelkõige võivad halduslike korralduste saajad need kohtus vaidlustada ebamõistlikkuse, st ülemäärasuse, ahistavuse või koormavuse alusel (205).

(113)

Üksikisikud võivad esitada oma isikuandmete käitlemise kohta taotluse või kaebuse kõigepealt kriminaalõiguskaitseasutustele. Sealhulgas on võimalik taotleda juurdepääsu isikuandmetele ja nende parandamist (206). Mis puudutab terrorismivastase võitluse valdkonna meetmeid, võivad üksikisikud esitada kaebuse ka õiguskaitseasutuste eraelu puutumatuse ja kodanikuvabaduste ametnikele (või teistele eraelu puutumatuse ametnikele) (207).

(114)

Lisaks on USA õigusega nähtud üksikisikutele ette mitu õiguskaitsevahendit kaitseks avaliku sektori asutuse või selle ametniku eest juhul, kui sellised asutused töötlevad isikuandmeid (208). Nimetatud vahendid, mille hulka kuulub haldusmenetluse seadus (Administrative Procedure Act (APA)), teabevabaduse seadus (Freedom of Information Act (FOIA)) ja elektroonilise side privaatsuse seadus (Electronic Communications Privacy Act (ECPA)), on kättesaadavad kõigile isikutele hoolimata nende kodakondsusest ja sõltuvalt kohaldatavatest tingimustest.

(115)

Üldiselt on vastavalt APA (209) sätetele, mis käsitlevad kohtulikku läbivaatamist, „igal isikul, kelle õigusi on rikutud ametkonna tegevusega või keda on negatiivselt mõjutanud või kahjustanud ametkonna tegevus“ õigus pöörduda kohtusse (210). See hõlmab võimalust taotleda kohtult, et „tunnistatakse ebaseaduslikuks ja jäetakse arvesse võtmata organi tegevus, uurimistulemused ja järeldused, mis leitakse olevat [...] meelevaldsed, suvalised või põhinevat kaalutusõiguse kuritarvitamisel või mis ei ole muul viisil seadusega kooskõlas“ (211).

(116)

ECPA (212) II jaotisega kehtestatud eraelu puutumatuse õiguste süsteem, mis reguleerib õiguskaitse juurdepääsu kolmandatest isikutest teenusepakkujate poolt säilitatud telefonikõnede, vestluste või elektroonilise teabevahetuse sisule (213). See kriminaliseerib ebaseadusliku (st ilma kohtu loata või muul viisil lubatud) juurdepääsu sellisele teabevahetusele ja annab puudutatud isikule võimaluse esitada tsiviilhagi USA föderaalkohtule, et mõista välja hüvitis tegeliku kahju eest ja karistuslik kahjuhüvitis, samuti õiglase hüvitise või tuvastushagi nimetatud ebaseaduslikud teod tahtlikult toime pannud valitsusametniku vastu või Ameerika Ühendriikide vastu.

(117)

Lisaks sellele võimaldavad veel mitu õigusakti üksikisikutel esitada hagi USA avaliku sektori asutuse või ametniku vastu, näiteks pealtkuulamisseadus (Wiretap Act), (214) arvutipettuste ja sellealase kuritarvitamise seadus (Computer Fraud and Abuse Act), (215) föderaalne õigusvastaselt tekitatud kahju hüvitamise seadus (Federal Torts Claim Act), (216) finantsandmetega seotud eraelu puutumatuse seadus (Right to Financial Privacy Act) (217) ja õiglase krediidiinfo seadus (Fair Credit Reporting Act) (218).

(118)

Samuti on teabevabaduse seaduse (219) sätete (USA seadustiku 5. jaotise § 552) kohaselt igal isikul õigus saada juurdepääs föderaalasutuste dokumentidele, sealhulgas juhul, kui need sisaldavad isiku isikuandmeid. Kui halduslikud õiguskaitsevahendid on ammendatud, võib üksikisik nõuda sellist juurdepääsuõigust kohtu kaudu, välja arvatud juhul, kui need andmed on kaitstud avalikustamise eest erandiga või õiguskorra tagamisega seonduva keeluga (220). Sellisel juhul hindab kohus, kas erand kehtib või kas asjaomane ametiasutus on sellele tuginenud seaduslikult.

(119)

Ameerika Ühendriikide õigusaktid sisaldavad erinevaid piiranguid ja kaitsemeetmeid seoses isikuandmetele juurdepääsu ja nende kasutamisega riigi julgeoleku eesmärgil ning näevad ette järelevalve- ja õiguskaitsemehhanismid, mis on kooskõlas käesoleva otsuse põhjenduses 89 osutatud nõuetega. Tingimusi, mille alusel selline juurdepääs võib toimuda, ja nende volituste kasutamisel kohaldatavaid kaitsemeetmeid hinnatakse üksikasjalikult järgmistes jagudes.

(120)

USA ametiasutused võivad koguda liidust ELi-USA andmekaitseraamistikus osalevatele organisatsioonidele edastatud isikuandmeid riikliku julgeoleku eesmärgil erinevate õiguslike vahendite alusel, võttes arvesse eritingimusi ja kaitsemeetmeid.

(121)

Kui Ameerika Ühendriikides asuvad organisatsioonid on isikuandmed kätte saanud, võivad USA luureasutused taotleda juurdepääsu sellistele andmetele riikliku julgeoleku eesmärgil ainult vastavalt põhimäärusele, eriti välisluure jälitustegevuse seadusele (Foreign Intelligence Surveillance Act (FISA) võivad taotleda) või seadusesätetele, mis lubavad juurdepääsu riikliku julgeoleku teabenõuete (National Security Letter (NSL)) kaudu (221). FISA sisaldab mitut õiguslikku alust, mida võib kasutada ELi-USA andmekaitseraamistiku alusel edastatud liidu andmesubjektide isikuandmete kogumiseks (ja seejärel töötlemiseks) (FISA paragrahv 105, (222) FISA paragrahv 302, (223) FISA paragrahv 402, (224) FISA paragrahv 501 (225) ja FISA paragrahv 702 (226)), nagu on üksikasjalikumalt kirjeldatud põhjendustes 142–152.

(122)

Samuti on USA luureasutustel võimalik koguda väljaspool Ameerika Ühendriike isikuandmeid, mis võivad hõlmata liidu ja Ameerika Ühendriikide vahel edastatavaid isikuandmeid. Andmete kogumine väljaspool Ameerika Ühendriike põhineb presidendi (227) täidesaatval korraldusel 12333 („korraldus EO 12333“) (228).

(123)

Signaaliluureteabe kogumine on teabe kogumise vorm, mis on käesoleva kaitse piisavuse tuvastamise seisukohast kõige olulisem, sest see puudutab elektroonilise side ja andmete kogumist infosüsteemidest. Sellist kogumist võivad läbi viia USA luureasutused nii Ameerika Ühendriikides (FISA alusel) kui ka andmete Ameerika Ühendriikidesse edastamise ajal (korralduse EO 12333 alusel).

(124)

7. oktoobril 2022 andis USA president välja korralduse EO 14086 USA signaaliluure kaitsemeetmete tõhustamise kohta, millega kehtestati piirangud ja kaitsemeetmed kogu USA signaaliluuretegevusele. Nimetatud täidesaatev korraldus asendab suures osas presidendi poliitikasuunise (PPD-28), (229) tugevdab tingimusi, piiranguid ja kaitsemeetmeid, mis kehtivad igasugusele signaaliluuretegevusele (st FISA ja korralduse EO 12333 alusel), olenemata toimumiskohast, (230) ning loob uue õiguskaitsemehhanismi, mille kaudu üksikisikud saavad neid kaitsemeetmeid kasutada ja hageda (231) (vt üksikasjalikumalt põhjendused 176–194). Sellega rakendatakse USA õiguses ELi ja USA vahel peetud kõneluste tulemused pärast seda, kui Euroopa Kohus tunnistas kehtetuks komisjoni piisavusotsuse andmekaitseraamistiku Privacy Shield kohta (vt põhjendus 6). Seetõttu on see käesolevas otsuses hinnatud õigusraamistiku iseäranis oluline element.

(125)

Korraldusega EO 14086 kehtestatud piirangud ja kaitsemeetmed täiendavad FISA paragrahviga 702 ja korraldusega EO 12333 sätestatud piiranguid ja kaitsemeetmeid. Allpool kirjeldatud nõudeid (punktides 3.2.1.2 ja 3.2.1.3) peavad luureasutused kohaldama oma signaaliluuretegevuses FISA paragrahvi 702 ja korralduse EO 12333 kohaselt, nt kui nad valivad / määravad kindlaks hangitava välisluureteabe kategooriaid FISA paragrahvi 702 kohaselt; koguvad välisluureteavet või vastuluureteavet korralduse EO 12333 kohaselt ning teevad individuaalseid sihtimisotsuseid FISA paragrahvi 702 ja korralduse EO 12333 kohaselt.

(126)

Selles presidendi antud täidesaatvas korralduses sätestatud nõuded on siduvad kogu luureühendusele. Nõudeid tuleb edasi arendada asutuse põhimõtete ja menetluste kaudu, millega need võetakse üle igapäevaste toimingute konkreetsetesse juhistesse. Sellega seoses antakse korraldusega EO 14086 USA luureasutustele oma olemasolevate põhimõtete ja menetluste ajakohastamiseks, et viia need kooskõlla korralduse nõuetega, aega kuni üks aasta (st need peavad olema ajakohastatud 7. oktoobriks 2023). Sellised ajakohastatud põhimõtted ja menetlused tuleb välja töötada, konsulteerides justiitsministri, ODNI kodanikuvabaduste kaitse ametniku (ODNI CLPO) ning PCLOBga – sõltumatu järelevalveasutusega, kellel on volitus täitevvõimu põhimõtteid ja nende rakendamist eraelu puutumatuse ja kodanikuvabaduste kaitsmise eesmärgil läbi vaadata (PCLOBi rolli ja staatuse kohta vt põhjendus 110) –, ning üldsusele kättesaadavaks teha (232). Peale selle, kui ajakohastatud põhimõtted ja menetlused on paigas, vaatab PCLOB need läbi, et tagada nende vastavus täidesaatvale korraldusele. 180 päeva jooksul pärast PCLOBi asjaomase läbivaatamise lõpetamist peab iga luureasutus kõiki PCLOBi soovitusi hoolikalt kaaluma ja rakendama või nendega muul viisil edasi tegutsema. 3. juulil 2023 avaldas USA valitsus sellised ajakohastatud põhimõtted ja menetlused (233).

(127)

Korraldusega EO 14086 kehtestatakse mitu üldnõuet, mida kohaldatakse kõigi signaaliluuretegevuste suhtes (isikuandmete kogumine, kasutamine, levitamine jne).

(128)

Esiteks peavad sellised tegevused põhinema õigusaktil või presidendi loal ning toimuma kooskõlas USA seadustega, sealhulgas põhiseadusega (234).

(129)

Teiseks peavad olema kehtestatud asjakohased kaitsemeetmed tagamaks, et eraelu puutumatus ja kodanikuvabadused on selliste tegevuste kavandamisel lahutamatud kaalutlused (235).

(130)

Eelkõige võib igasugust signaaliluuretegevust läbi viia alles pärast seda, kui „kõigi asjakohaste tegurite mõistliku hinnangu põhjal on tehtud kindlaks, et tegevus on vajalik kinnitatud luureprioriteedi edendamiseks“ („kinnitatud luureprioriteedi“ kohta vt põhjendus 135) (236).

(131)

Lisaks võib selliseid tegevusi läbi viia ainult „sel määral ja viisil, mis on proportsionaalne kinnitatud luureprioriteediga, mille jaoks need on loa saanud“ (237). Teisisõnu tuleb õigesti tasakaalustada „luureprioriteedi tähtsust ja mõju, mida see avaldab mõjutatud isikute eraelu puutumatusele ja kodanikuvabadustele, olenemata nende rahvusest või elukohast“ (238).

(132)

Kõigele lisaks, et tagada vastavus nendele üldnõuetele, mis kajastavad seaduslikkuse, vajalikkuse ja proportsionaalsuse põhimõtet, tehakse signaaliluuretegevuste üle järelevalvet (vt täpsem teave põhjendustes 3.2.2) (239).

(133)

Neid üldisi nõudeid on seoses signaaliluureandmete kogumisega täiendavalt toetatud mitme tingimuse ja piiranguga, mis tagavad, et üksikisikute õigustesse sekkumine piirdub sellega, mis on vajalik ja proportsionaalne õiguspärase eesmärgi edendamiseks.

(134)

Esiteks piiratakse korraldusega kahel viisil aluseid, millele tuginedes võib signaaliluuretegevuse raames andmeid koguda. Ühest küljest sätestatakse korralduses õiguspärased eesmärgid, mille jaoks võib signaaliluureandmeid koguda, nt eesmärk mõista või hinnata selliste välismaiste organisatsioonide, sealhulgas rahvusvaheliste terroriorganisatsioonide võimeid, kavatsusi või tegevust, mis kujutavad endast kohest või võimalikku ohtu Ameerika Ühendriikide riiklikule julgeolekule; kaitsta välisriikide sõjalise võimekuse ja tegevuse eest; mõista või hinnata rahvusvahelisi ohte, mis mõjutavad ülemaailmset julgeolekut, nagu kliima- ja muud ökoloogilised muutused, rahvatervise ohud ja humanitaarohud (240). Teisest küljest loetletakse korralduses teatavad eesmärgid, mida ei tohi signaaliluuretegevusega kunagi taotleda, nt kriitika, eriarvamuste või üksikisikute või ajakirjanduse ideede või poliitiliste arvamuste vaba väljendamise mahasurumiseks; isikute ebasoodsasse olukorda seadmiseks nende etnilise kuuluvuse, rassi, soo, soolise identiteedi, seksuaalse sättumuse või usutunnistuse tõttu või USA ettevõtjatele konkurentsieelise loomiseks (241).

(135)

Peale selle ei saa luureasutused signaaliluureandmete kogumise põhjendamiseks korralduses EO 14086 sätestatud õiguspärastele eesmärkidele otse tugineda, vaid neid tuleb operatiivsetel eesmärkidel täiendavalt põhjendada konkreetsemate prioriteetidega, mille jaoks võib neid andmeid koguda. Teisisõnu võib andmeid tegelikult koguda ainult konkreetsema prioriteedi edendamiseks. Sellised prioriteedid kehtestatakse spetsiaalses protsessis, mille eesmärk on tagada vastavus kohaldatavatele õigusnõuetele, sealhulgas eraelu puutumatuse ja kodanikuvabadustega seotud nõuetele. Täpsemalt öeldes töötab luureprioriteedid esmalt välja riiklik luurejuht (nn riiklike luureprioriteetide raamistiku kaudu) ja esitab need kinnitamiseks presidendile (242). Enne luureprioriteetide presidendile esitamist peab riiklik luurejuht kooskõlas korraldusega EO 14086 saama riikliku luurejuhi kodanikuvabaduste kaitse ametnikult (ODNI CLPO) iga luureprioriteedi kohta hinnangu selle kohta, kas see 1) edendab üht või mitut täidesaatvas korralduses loetletud õiguspärast eesmärki; 2) ei ole kavandatud signaaliluureandmete kogumiseks korralduses loetletud keelatud eesmärgil ega põhjusta eeldatavasti seda ning 3) kehtestati, olles arvesse võtnud kõigi isikute eraelu puutumatust ja kodanikuvabadusi, olenemata nende kodakondsusest või elukohast (243). Kui direktor ei nõustu kodanikuvabaduste kaitse ametniku hinnanguga, tuleb presidendile esitada mõlemad seisukohad (244).

(136)

Seetõttu tagab see protsess eelkõige selle, et eraelu puutumatuse kaalutlusi võetakse arvesse luureprioriteetide väljatöötamise algusest peale.

(137)

Teiseks kehtib pärast luureprioriteedi kehtestamist mitu nõuet, mis reguleerivad otsust selle kohta, kas ja mil määral võib sellise prioriteedi edendamiseks koguda signaaliluureandmeid. Need nõuded rakendavad üldisi vajalikkuse ja proportsionaalsuse standardeid, mis on sätestatud täidesaatva korralduse paragrahvi 2 punktis a.

(138)

Eelkõige võib signaaliluureandmeid koguda alles „pärast otsust, et kõigi asjakohaste tegurite mõistliku hinnangu põhjal on kogumine vajalik konkreetse luureprioriteedi edendamiseks“ (245). Selle üle otsustamisel, kas teatav signaaliluureandmete kogumine on vajalik kinnitatud luureprioriteedi edendamiseks, peavad USA luureasutused kaaluma muude, vähem sekkuvate allikate ja meetodite, sealhulgas diplomaatiliste ja avalike allikate kättesaadavust, teostatavust ja asjakohasust (246). Võimaluse korral tuleb eelistada selliseid alternatiivseid, vähem sekkuvaid allikaid ja meetodeid (247).

(139)

Kui selliste kriteeriumide kohaldamise tulemusena peetakse signaaliluureandmete kogumist vajalikuks, peab see toimuma „võimalikult kohandatult“ ega tohi eraelu puutumatust ja kodanikuvabadusi ebaproportsionaalselt mõjutada (248). Tagamaks, et eraelu puutumatust ja kodanikuvabadusi ei mõjutata ebaproportsionaalselt – st et leida õige tasakaal riikliku julgeoleku vajaduste ning eraelu puutumatuse ja kodanikuvabaduste kaitse vahel –, tuleb nõuetekohaselt arvesse võtta kõiki olulisi tegureid, näiteks taotletava eesmärgi laadi; kogumistegevuse sekkuvust, sealhulgas selle kestust; kogumise tõenäolist panust taotletava eesmärgi saavutamisse; mõistlikult ettenähtavad tagajärgi üksikisikutele ning kogutavate andmete laadi ja tundlikkust (249).

(140)

Mis puudutab kogutavate signaaliluureandmete liiki, siis peab andmete kogumine Ameerika Ühendriikides, mis on praeguse kaitse piisavuse tuvastamise jaoks kõige olulisem, sest see puudutab USA organisatsioonidele edastatud andmeid, olema alati sihitud, nagu on üksikasjalikumalt selgitatud põhjendustes 142–153.

(141)

„Masskogumist“ (250) võib kasutada ainult väljaspool Ameerika Ühendriike korralduse EO 12333 alusel andmete kogumisel. Korralduse EO 14086 kohaselt tuleb ka sellisel juhul eelistada sihitud kogumist (251). Seevastu masskogumine on lubatud ainult siis, kui kinnitatud luureprioriteedi edendamiseks vajalikku teavet ei ole võimalik saada sihtud kogmisega (252). Kui on vaja andmeid massiliselt koguda väljaspool Ameerika Ühendriike, kohaldatakse korralduse EO 14086 kohaseid erikaitsemeetmeid (253). Esiteks tuleb rakendada meetodeid ja tehnilisi meetmeid, et piirduda andmete kogumisel ainult sellega, mis on vajalik kinnitatud luureprioriteedi edendamiseks, minimeerides samas asjasse mittepuutuva teabe kogumist (254). Teiseks piiratakse korraldusega võimalikke masskogutud teabe kasutamise (sealhulgas päringute esitamist) erieesmärke kuuele, sealhulgas kaitsmine terrorismi ja pantvangide võtmise eest ning isikute vangistuses hoidmise eest välisriigi valitsuse, organisatsiooni või isiku poolt või nimel; kaitsmine välisriigi spionaaži, sabotaaži või tellitud mõrva eest; kaitsmine massihävitusrelvade või nendega seotud tehnoloogiate arendamisest, omamisest või levikust tulenevate ohtude eest jne (255). Kõigele lisaks võib masskogutud signaaliluureandmete päringuid teha ainult siis, kui see on vajalik kinnitatud luureprioriteedi edendamiseks, taotledes neid kuut eesmärki ning kooskõlas põhimõtete ja menetlustega, milles võetakse asjakohaselt arvesse päringute mõju kõigi isikute eraelu puutumatusele ja kodanikuvabadustele, olenemata nende kodakondsusest või elukohast (256).

(142)

Lisaks korralduse EO 14086 nõuetele kehtivad USAs asuvale organisatsioonile edastatud andmete signaaliluure kaudu kogumisel teatavad piirangud ja kaitsemeetmed, mida reguleerib FISA paragrahv 702 (257). FISA paragrahv 702 võimaldab koguda välisluureteavet, võttes USA elektrooniliste sideteenuste osutajate kohustusliku abiga sihikule USA-välised isikud, kes usutavasti asuvad väljaspool Ameerika Ühendriike (258). Välisluureteabe kogumiseks vastavalt FISA paragrahvile 702 esitavad justiitsminister ja riiklik luurejuht välisluure järelevalve kohtule (Foreign Intelligence Surveillance Court (FISC)) igal aastal sertifikaadid, millega määratakse kindlaks hangitava välisluureteabe kategooriad (259). Sertifikaatidele tuleb lisada sihtimis-, minimeerimis- ja päringumenetlused, mille kiidab heaks ka kohus ja mis on USA luureasutustele õiguslikult siduvad.

(143)

FISC on föderaalseaduse alusel loodud sõltumatu kohus, (260) mille otsuseid saab edasi kaevata välisluure järelevalve apellatsioonikohtusse (FISCR) (261) ja lõpuks ka Ameerika Ühendriikide ülemkohtusse (262). FISCd (ja FISCRi) abistab viiest advokaadist ja viiest tehnilisest eksperdist koosnev alaline kolleegium, millesse kuuluvad riikliku julgeoleku küsimuste ja kodanikuvabaduste eksperdid (263). Kohus määrab nende seast ühe isiku täitma amicus curiae ülesandeid, et aidata läbi vaadata taotlusi või muudatusi, mis kohtu hinnangul sisaldavad õigusnormide uudset või olulist tõlgendust, välja arvatud juhul, kui kohus peab sellise ülesande määramist mittevajalikuks (264). See tagab eelkõige, et kohtu hinnangus võetakse nõuetekohaselt arvesse eraelu puutumatuse kaalutlusi. Kohus võib määrata mõne üksikisiku või organisatsiooni amicus curiae ülesannetesse, sealhulgas tehniliseks eksperdiks, kui ta seda vajalikuks peab, või anda seda taotlevale üksikisikule või organisatsioonile loa esitada amicus curiae memorandum (265).

(144)

FISC vaatab üle sertifikaadid ja nendega seotud menetlused (eelkõige sihtimis- ja minimeerimismenetlused), et tagada vastavus FISA nõuetele. Kui kohus leiab, et nõuded ei ole täidetud, võib ta sertifitseerimisest täielikult või osaliselt keelduda ja nõuda menetluste muutmist (266). Sellega seoses on FISC korduvalt kinnitanud, et paragrahvi 702 kohaste sihtimis- ja minimeerimismenetluste läbivaatamine ei piirdu ainult kirjalike menetlustega, vaid hõlmab ka seda, kuidas valitsus neid menetlusi rakendab (267).

(145)

Individuaalsed sihtimisotsused teeb riiklik julgeolekuasutus (NSA – luureasutus, kes vastutab sihtimise eest FISA paragrahvi 702 alusel) vastavalt FISC heakskiidetud sihtimismenetlustele, mis nõuavad, et NSA hindaks asjaolude kogumi põhjal, kas konkreetse isiku sihtmärgiks võtmisega on tõenäoline saada vastavuskinnituses määratletud kategooria välisluureteavet (268). See hinnang peab olema üksikasjalik ja faktidel põhinev, tuginema analüütilisele hindamisele, analüütiku erikoolitusele ja kogemustele, samuti hangitava välisluureteabe laadile (269). Sihtimiseks selgitatakse välja nn identimistunnused, mis tuvastavad spetsiifilisi sidevahendid, nagu sihtmärgi e-posti aadress või telefoninumber, kuid mitte kunagi märksõnu või isikute nimesid (270).

(146)

Kõigepealt teevad NSA analüütikud kindlaks välismaal asuvad USA-välised isikud, kelle jälgimine võimaldab analüütikute hinnangul saada sertifikaadis sätestatud vajalikke välisluureandmeid (271). Nagu on sätestatud NSA sihtimismenetlustes, võib NSA suunata jälgimise sihtmärgile alles siis, kui ta on sihtmärgi kohta juba midagi teada saanud (272). See võib tuleneda erinevatest allikatest pärit teabest, näiteks inimallikatelt hangitud luureandmetest. Nende muude allikate abil peab analüütik saama teada ka konkreetse identimistunnuse (st sidekonto), mida võimalik sihtmärk kasutab. Pärast nende üksikisikute kindlakstegemist ja nende sihtmärgiks võtmise kinnitamist NSA-sisese põhjaliku kontrollimehhanismi (273) abil võetakse sihtmärkide kasutatavate sidevahendite (nt e-posti aadressid) identimistunnused „ülesandeks“ (st neid arendatakse ja kasutatakse) (274).

(147)

NSA peab dokumenteerima sihtmärgi valimise faktilise aluse (275) ja kinnitama korrapäraste ajavahemike järel pärast esialgset sihtimist, et sihtimisstandardi nõuded on jätkuvalt täidetud (276). Kui sihtimisstandard ei ole enam täidetud, tuleb andmete kogumine peatada (277). NSA iga sihtmärgi valimise ja iga tema dokumenteeritud sihtimishinnangu ja -põhjuse vastavust sihtimismenetlustele kontrollivad iga kahe kuu tagant justiitsministeeriumi luure järelevalve talituste ametnikud, kellel on kohustus teatada kõigist rikkumistest FISC-le ja USA Kongressile (278). NSA kirjalik dokumentatsioon hõlbustab FISC järelevalvet selle üle, kas konkreetsed isikud on FISA paragrahvi 702 alusel võetud sihtmärgiks nõuetekohaselt, kooskõlas tema järelevalvevolitustega, mida on kirjeldatud põhjendustes 173–174 (279). Lõpuks peab riiklik luurejuht avalikes iga-aastastes statistilistes läbipaistvusaruannetes teatama ka FISA paragrahvi 702 kohaste sihtmärkide koguarvu. Ettevõtjad, kes saavad FISA paragrahvi 702 kohased FISA direktiivid, võivad avaldada saadud taotluste kohta koondandmed (läbipaistvusaruannetes) (280).

(148)

USA organisatsioonidele edastatavate isikuandmete kogumise muude õiguslike aluste suhtes kehtivad erinevad piirangud ja kaitsemeetmed. Üldjuhul on andmete masskogumine FISA paragrahviga 402 (väljamineva ja sissetuleva side jälgimise seadmeid lubav norm) sõnaselgelt keelatud ning selle asemel tuleb riikliku julgeoleku teabenõuete kaudu ja kasutada spetsiifilisi valikukriteeriume (281).

(149)

Traditsioonilise individualiseeritud elektroonilise jälgimise läbiviimiseks (kooskõlas FISA paragrahviga 105) peavad luureasutused esitama FISC-le taotluse ülevaatega faktidest ja asjaoludest, millega põhjendatakse küllaldast alust arvata, et rajatist kasutab või hakkab kasutama võõrvõim või võõrvõimu agent (282) . FISC hindab muu hulgas, kas esitatud faktidest lähtudes on olemas küllaldane alus arvata, et see tõepoolest nii on (283).

(150)

Ruumide või vara läbiotsimiseks, mille kavandatud tulemus on teabe, materjali või vara (nt arvutiseadme) kontroll, arestimine vms FISA paragrahvi 301 alusel, tuleb taotleda FISC-lt vastavat määrust (284). Taotluses tuleb muu hulgas näidata, et on olemas küllaldane alus arvata, et läbiotsimise sihtmärk on võõrvõim või võõrvõimu agent; et läbiotsitav ruum või vara sisaldab välisluureteavet ja et läbiotsitav ruum on võõrvõimu (agendi) omanduses, kasutuses, valduses või talle või temalt üleandmise järgus (285).

(151)

Samamoodi eeldab ka pealtkuulamisseadmete paigaldamine loataotlust (kooskõlas FISA paragrahviga 402) FISC kohtunikule (või USA föderaalkohtu magistraadile) ning konkreetse valikukriteeriumi kasutamist, st kriteerium, mis identifitseerib konkreetse isiku, konto vms ja mida kasutatakse tagamaks, et taotletava teabe maht oleks nii väike kui mõistlikult võimalik (286). See volitus ei puuduta side sisu, vaid on suunatud pigem teenust kasutava kliendi või kasutaja andmetele (nagu nimi, aadress, kasutajakood, kasutatud teenuse kestus/liik, maksete tegija / makseviis).

(152)

FISC-le (või USA föderaalkohtu magistraadile) taotluse esitamine on nõutav ka FISA paragrahvi 501 (287) kohaselt, mis võimaldab koguda ühistranspordiettevõtja (st iga isik või üksus, kes transpordib tasu eest inimesi või vara, kasutades maismaa-, raudtee, vee- või lennutransporti), ühiskondliku majutusasutuse (nt hotell, motell või võõrastemaja), sõidukite rendileandja või füüsilise laoruumi (st pakub ruumi või kaupade ja materjalide ladustamisega seotud teenuseid) (288) äridokumente. Taotluses tuleb märkida, milliseid dokumente saada soovitakse ning konkreetsed ja selgelt väljendatavad faktid, mis annavad alust arvata, et isik, keda dokumendid puudutavad, on võõrvõim või võõrvõimu agent (289).

(153)

Kõigele lisaks on erinevate põhimäärustega lubatud riikliku julgeoleku teabenõuded ja need võimaldavad uurimisasutustel hankida teatavatelt üksustelt (nt finantsasutused, krediidiinfoasutused, elektroonilise side pakkujad) teatavat teavet (välja arvatud suhtluse sisu), mis sisaldub krediidiaruannetes, finantsaruannetes, elektroonilistes tarbija- ja tehinguaruannetes (290). Riikliku julgeoleku teabenõuete põhimäärust, mis lubab juurdepääsu elektroonilisele sidele, võib kasutada ainult FBI ja see eeldab, et taotlustes kasutatakse kriteeriumit, mis identifitseerib konkreetselt isiku, üksuse, telefoninumbri või konto, ja kinnitakse, et teave on oluline sanktsioneeritud riikliku julgeolekuga seotud uurimises, mida viiakse läbi kaitseks rahvusvahelise terrorismi või salaluuretegevuse vastu (291). Riikliku julgeoleku teabenõude saanud isikutel on õigus see kohtus vaidlustada (292).

(154)

Kui USA luureasutused töötlevad signaaliluure teel kogutud isikuandmeid, kohaldatakse mitut kaitsemeedet.

(155)

Esiteks peab iga luureasutus tagama asjakohase andmeturbe ja ennetama kõrvaliste isikute juurdepääsu signaaliluure teel kogutud isikuandmetele. Sellega seoses on eri õigusaktides, sealhulgas põhimääruses, suunistes ja standardites täpsustatud infoturbe miinimumnõudeid, mis tuleb kehtestada (nt mitmikautentimine, krüpteerimine jne) (293). Juurdepääs kogutud andmetele peab piirduma volitatud ja koolitatud töötajatega, kes vajavad seda teavet oma ülesannete täitmiseks (294). Üldisemalt peavad luureasutused pakkuma oma töötajatele asjakohast koolitust, sealhulgas õiguse (sealhulgas korralduse EO 14086) rikkumistest teatamise ja nende menetlemise korra kohta (295).

(156)

Teiseks peavad luureasutused järgima luureühenduse täpsuse ja objektiivsuse standardeid, eelkõige seoses andmete kvaliteedi ja usaldusväärsuse tagamisega, alternatiivsete teabeallikate kaalumisega ja objektiivsusega analüüside tegemisel (296).

(157)

Kolmandaks, mis puudutab andmete säilitamist, siis on korralduses EO 14086 selgitatud, et USA-väliste isikute isikuandmete suhtes kehtivad samad säilitamistähtajad nagu USA kodanike andmetele (297). Luureasutused on kohustatud määrama kindlaks konkreetsed säilitamistähtajad ja/või tegurid, mida tuleb kohaldatavate säilitamistähtaegade pikkuse kindlaksmääramisel arvesse võtta (nt kas teave on kuriteo tõendusmaterjal; kas teave on välisluureteave; kas teavet on vaja isikute või organisatsioonide, sealhulgas rahvusvahelise terrorismi ohvrite või sihtmärkide turvalisuse tagamiseks) ja mis on sätestatud eri õigusaktides (298).

(158)

Neljandaks kehtivad signaaliluure teel kogutud isikuandmete levitamise suhtes erinormid. Üldnõude kohaselt võib isikuandmeid mitte-USA isikute kohta levitada ainult siis, kui see hõlmab sama liiki teavet, mida saab levitada USA kodanike kohta, nt teave, mis on vajalik isiku või organisatsiooni ohutuse kaitsmiseks (nt rahvusvaheliste terroriorganisatsioonide sihtmärgid, ohvrid või pantvangid) (299). Lisaks ei tohi isikuandmeid levitada üksnes isiku kodakondsuse või elukohariigi tõttu või korralduse EO 14086 nõuetest kõrvalehoidmise eesmärgil (300). USA valitsuse sisene levitamine võib toimuda ainult siis, kui volitatud ja koolitatud isikul on põhjendatud alust arvata vaja seda teavet teada (301) ja ta kaitseb seda asjakohaselt (302). Selleks et teha kindlaks, kas isikuandmeid võib levitada USA valitsuse välistele vastuvõtjatele (sh välisriigi valitsusele või rahvusvahelisele organisatsioonile), tuleb arvesse võtta levitamise eesmärki, levitatavate andmete laadi ja ulatust ning võimalikku kahjulikku mõju asjaomas(t)ele isiku(te)le (303).

(159)

Kõigele lisaks ja sealhulgas selleks, et hõlbustada järelevalvet kohaldatavate juriidiliste nõuete järgimise üle ja tõhusat kahju hüvitamist, peavad kõik luureasutused korralduse EO 14086 kohaselt säilitama signaaliluureandmete kogumisega seotud asjakohaseid dokumente. Dokumenteerimise nõuded hõlmavad selliseid elemente nagu faktiline alus, millel põhineb hinnang, et konkreetne kogumistegevus on vajalik kinnitatud luureprioriteedi edendamiseks (304).

(160)

Lisaks eespool nimetatud, korralduses EO 14086 signaaliluure teel kogutud teabe kasutamise suhtes sätestatud kaitsemeetmetele kehtivad kõikidele USA luureasutustele eesmärgi piiramise, võimalikult väheste andmete kogumise, andmete täpsuse, turvalisuse, säilitamise ja levitamise üldisemad nõuded, mis tulenevad eelkõige OMB ringkirjast nr A-130, e-valitsuse seadusest, föderaalregistrite seadusest (v (vt põhjendused 101–106) ja riiklike julgeolekusüsteemide komitee (CNSS) juhistest (305).

(161)

USA luureasutuste tegevust kontrollivad erinevad organid.

(162)

Esiteks nõutakse korraldusega EO 14086, et igal luureasutusel oleksid kõrged õigus-, järelevalve- ja vastavusametnikud, et tagada kohaldatava USA õiguse järgimine (306). Eelkõige peavad nad tegema perioodilist järelevalvet signaaliluuretegevuse üle ja tagama, et kõik mittevastavused parandatakse. Luureasutused peavad võimaldama sellistele ametnikele järelevalveülesannete täitmiseks juurdepääsu kogu asjakohasele teabele ega tohi võtta meetmeid nende järelevalvetegevuse takistamiseks või ebakohaseks mõjutamiseks (307). Peale selle tuleb järelevalveametniku või mõne muu töötaja tuvastatud olulisest mittevastavuse juhtumist (308) viivitamatult teatada luureasutuse juhile ja riiklikule luurejuhile, kes peavad tagama, et olulise rikkumisjuhtumi heastamiseks ja selle kordumise ennetamiseks võetakse kõik vajalikud meetmed (309).

(163)

Seda järelevalvefunktsiooni täidavad ametnikud, kellel on määratud nõuetele vastavuse kontrolli ülesanne, samuti eraelu puutumatuse ja kodanikuvabaduste ametnikud ning peainspektorid (310).

(164)

Nagu kriminaalõiguskaitseasutustes on eraelu puutumatuse ja kodanikuvabaduste ametnikud olemas ka kõigis luureasutustes (311). Üldjuhul on nende ametnike pädevuses teha järelevalvet menetluste üle, millega tagatakse, et ministeeriumis/asutuses on eraelu puutumatuse ja kodanikuvabaduste kaitsega seotud küsimusega piisavalt arvestatud ning et asutus on kehtestatud nõuetekohased menetlused enda eraelu puutumatuse või kodanikuvabaduste rikkumise üle kaevanud üksikisikute kaebuste läbivaatamiseks (ning mõningatel asutustel, näiteks riikliku luurejuhi bürool (ODNI), on ka õigus kaebusi iseseisvalt uurida (312)). Luureasutuste juhid peavad tagama, et eraelu puutumatuse ja kodanikuvabaduste ametnikel on oma volituste täitmiseks vajalikud vahendid, et neil on juurdepääs kõikidele oma ülesannete täitmiseks vajalikele materjalidele ja töötajatele ning et neid teavitatakse poliitika kavandatud muudatustest ning nendega konsulteeritakse (313). Privaatsus- ja kodanikuvabaduste ametnikud esitavad USA Kongressile ja eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjonile (PCLOB) korrapäraselt aruandeid, sealhulgas ministeeriumile/asutusele laekunud kaebuste arvu ja laadi kohta ning selliste kaebuste lahendamise kokkuvõtte ja korraldatud läbivaatamiste ja uurimiste ning ametniku tegevuse mõju kohta (314).

(165)

Teiseks on igal luureasutusel oma sõltumatu peainspektor, kelle üks tööülesandeid on jälgida välisluuretegevust. Nende hulka kuulub ODNI koosseisu kuuluv luureühenduse peainspektori büroo, kellel on ulatuslik pädevus kogu luureühenduse suhtes ning õigus uurida kaebusi või teavet väidetava ebaseadusliku tegevuse või võimu kuritarvitamise kohta ODNI ja/või luureühenduse programmides ja tegevustes (315). Nagu kriminaalõiguskaitseasutuste puhul (vt põhjendus 109) on sellised peainspektorid seaduslikult sõltumatud (316) ja vastutavad vastava asutuse riikliku julgeolekuga seotud programmide ja tegevuste auditeerimise ja uurimise eest, sealhulgas kuritarvituste ja seaduserikkumiste puhul (317). Neil on juurdepääs kõikidele andmetele, aruannetele, audititele, protokollidele, dokumentidele, poliitikamaterjalidele, soovitustele ja muudele materjalidele, vajaduse korral kohtukorralduse alusel, ning nad võivad võtta tunnistajatelt ütlusi (318). Peainspektorid edastavad kuriteokahtlusega juhtumid prokuratuurile ja annavad asutuste juhtidele soovitusi parandusmeetmete võtmiseks (319). Ehkki nad annavad üksnes mittesiduvaid soovitusi, nende aruanded ja teave aruannete alusel võetud meetmete (või nende puudumise) (320) kohta üldiselt avalikustatakse ning saadetakse USA Kongressile, kes saab nende alusel ise järelevalvet teha (vt põhjendused 168–169) (321).

(166)

Kolmandaks jälgib USA luureorganite tegevuse vastavust põhiseadusele ja kõigile kehtivatele eeskirjadele presidendi luuretegevuse nõuandekogu (President’s Intelligence Advisory Board (PIAB)) juurde loodud luuretegevuse järelevalve nõukogu (Intelligence Oversight Board (IOB)) (322). PIAB on presidendi kantselei koosseisu kuuluv nõuandev organ, mis koosneb 16 liikmest, kelle nimetab ametisse president väljastpoolt USA valitsust. IOB koosneb kuni viiest liikmest, kelle nimetab ametisse president PIAB liikmete hulgast. Korralduse EO 12333 kohaselt (323) on kõigi luureasutuste juhid kohustatud teavitama IOBd luuretegevusest, mille puhul on alust arvata, et see võib olla ebaseaduslik või vastuolus täidesaatva korralduse või presidendi suunisega. Selleks et tagada IOB-le juurdepääs oma ülesannete täitmiseks vajalikule teabele, paneb täidesaatev korraldus (EO) 13462 riiklikule luurejuhile ja luureasutuste juhtidele kohustuse anda seadusega lubatud piirides teavet ja abi, mida IOB peab oma ülesannete täitmiseks vajalikuks (324). IOB omakorda on kohustatud teavitama presidenti luuretegevusest, mis tema arvates võib rikkuda USA seadusi (sealhulgas täidesaatvaid korraldusi) ja millega justiitsminister, riiklik luurejuht või luureasutuse juht ei ole piisavalt tegelenud (325). Lisaks on IOB kohustatud teavitama justiitsministrit võimalikest kriminaalõiguse rikkumistest.

(167)

Neljandaks alluvad luureasutused PCLOBi järelevalvele. Vastavalt selle asutamismäärusele on PCLOB-le usaldatud ülesanded terrorismivastase võitluse poliitika ja selle rakendamise valdkonnas, eesmärgiga kaitsta eraelu puutumatust ja kodanikuvabadusi. Luureasutuste tegevuse läbivaatamisel on tal juurdepääsuõigus kõikidele asjaomaste asutuste andmetele, aruannetele, audititele, protokollidele, dokumentidele, poliitikamaterjalidele ja soovitustele, sealhulgas salastatud teabele, ning õigus küsitleda isikuid ja võtta tunnistajatelt ütlusi (326). Ta saab aruandeid mitme föderaalministeeriumi/asutuse kodanikuvabaduste ja eraelu puutumatuse kaitse ametnikelt, (327) võib anda valitsus- ja luureasutustele soovitusi ning annab korrapäraselt aru USA Kongressi komiteedele ja presidendile (328). Juhatuse aruanded, sealhulgas need, mis esitatakse USA Kongressile, peavad olema võimalikult suures ulatuses avalikult kättesaadavad (329). PCLOB on välja andnud mitu järelevalve- ja järelkontrolliaruannet, sealhulgas analüüs FISA paragrahvi 702 alusel käivitatud programmide ja eraelu puutumatuse kaitse kohta selles kontekstis, PPD-28 ja korralduse 12333 rakendamise kohta (330). PCLOBi ülesandeks on ka korralduse EO 14086 rakendamisega seotud konkreetsete järelevalveülesannete täitmine, eelkõige kontrollides, kas asutuse menetlused on korraldusega kooskõlas (vt põhjendus 126), ja hinnates õiguskaitsemehhanismi toimimist (vt põhjendus 194).

(168)

Viiendaks on lisaks neile täitevvõimu järelevalvemehhanismidele järelevalvekohustused kogu USA välisluuretegevuse suhtes USA kongressi erikomiteedel, täpsemalt esindajatekoja ja senati luure- ja kohtukomiteel. Nimetatud komiteede liikmetel on juurdepääs salastatud teabele ning luuremeetoditele ja -programmidele (331). Komiteed täidavad järelevalveülesandeid eri viisidel, eelkõige kuulamiste, uurimiste, läbivaatamiste ja aruannete kaudu (332).

(169)

Kongressi komiteed saavad korrapäraselt aruandeid luuretegevuse kohta, sealhulgas justiitsministrilt, riiklikult luurejuhilt, luureasutustelt ja muudelt järelevalveorganitelt (nt peainspektoritelt), vt põhjendused 164–165. Eelkõige peab president vastavalt riikliku julgeoleku seadusele (National Security Act) „tagama, et kongressi luurekomiteedel oleks täielik ja ajakohane teave Ameerika Ühendriikide luuretegevuse kohta, sealhulgas oluliste tulevikus kavandatavate luuretegevuste kohta vastavalt käesoleva alapeatüki nõuetele“ (333). Lisaks peab president „tagama, et kongressi luurekomiteesid teavitatakse viivitamata mis tahes ebaseaduslikust luuretegevusest ja ebaseadusliku tegevusega seoses võetud või kavandatavatest parandusmeetmetest“ (334).

(170)

Lisaks tulenevad täiendavad aruandlusnõuded spetsiifilistest põhimäärustest. Eelkõige nõuab FISA, et justiitsminister peab senati ja esindajatekoja luure- ja kohtukomiteesid mõningate FISA paragrahvide alla kuuluvatest valitsuse tegevustest „täielikult teavitama“ (335). Samuti nõuab see, et valitsus esitaks kongressi komiteedele „koopiad kõikidest FISC või FISCR otsustest, määrustest ja arvamustest, millega „olulisel määral sisustatakse või tõlgendatakse“ FISA sätteid. Mis puudutab FISA paragrahvi 702 kohast jälgimist toimub parlamendi järelevalve luure- ja kohtukomiteedele seaduse alusel esitatavate aruannete ning sagedase teavitamise ja kuulamiste kaudu. Nende hulka kuulub kaks korda aastas esitatav justiitsministri aruanne FISA paragrahvi 702 kasutamise kohta koos tõendavate dokumentidega, sealhulgas justiitsministeeriumi ja ODNI vastavuskontrolli aruannetega ning mittevastavusjuhtumite kirjeldusega, (336) ning samuti kaks korda aastas esitatav justiitsministri ja riikliku luurejuhi hinnang, milles kirjeldatakse sihtimis- ja minimeerimismenetluste järgimist (337).

(171)

Lisaks on FISAs kehtestatud USA valitsusele nõue avaldada igal aastal kongressile (ja üldsusele) muu hulgas taotletud ja saadud FISA kohaste kohtumääruste arv ning luuretegevuse subjektiks olnud USA isikute ja USA-väliste isikute hinnangulise arv (338). Kõnealune seadus nõuab ka välja antud riikliku julgeoleku teabenõuete arvu avalikustamist eraldi USA isikute ja USA-väliste isikute kohta (lubades samas FISA kohaste korralduste ja kinnituste ning riikliku julgeoleku teabenõuete saajatel avaldada teatavatel tingimustel läbipaistvusaruandeid) (339).

(172)

Üldisemalt rakendab USA luureühendus oma (välis)luuretegevuse läbipaistvuse tagamiseks erinevaid meetmeid. Näiteks võttis ODNI 2015. aastal vastu luureandmete läbipaistvuse põhimõtted ja läbipaistvuse rakenduskava ning andis igale luureasutusele ülesande nimetada ametisse luureandmete läbipaistvuse ametnik, et edendada läbipaistvust ja juhtida läbipaistvusalgatusi (340). Nende meetmete raames on luureühendus avalikustanud ja avalikustab jätkuvalt poliitika, menetluste, järelevalvearuannete, FISA paragrahvi 702 ja korralduse 12333 kohaste tegevuste aruannete, FISC otsuste ja muude materjalide saladuse kaitse alt vabastatud osi, sealhulgas spetsiaalsel veebisaidil „IC on the Record“, mida haldab ODNI (341).

(173)

Lõpuks teeb FISA paragrahvi 702 kohase isikuandmete kogumise üle lisaks põhjendustes 162–168 nimetatud järelevalveorganite tehtavale järelevalvele järelevalvet ka FISC (342). Vastavalt FISC kodukorra artiklile 13 on USA luureasutuste järelevalveametnikud kohustatud teatama kõigist FISA paragrahvi 702 kohaste sihtimis-, minimeerimis- ja päringumenetluste rikkumistest justiitsministeeriumile ja ODNI-le, kes omakorda teatavad nendest FISC-le. Lisaks esitavad justiitsministeerium ja ODNI FISC-le kaks korda aastas ühised järelevalve hindamise aruanded, milles määratakse kindlaks sihtimisnõuetele vastavuse suundumused; esitatakse statistilised andmed; kirjeldatakse mittevastavuse juhtumite kategooriaid; kirjeldatakse üksikasjalikult põhjusi, miks teatavad sihtimisnõuete järgimisega seotud juhtumid aset leidsid, ja kirjeldatakse meetmeid, mida luureasutused on kordumise vältimiseks võtnud (343).

(174)

Vajaduse korral (nt kui tuvastatakse sihtimismenetluse rikkumine) võib kohus anda asjaomasele luureasutusele korralduse võtta parandusmeetmeid (344). Kõnealused parandusmeetmed võivad ulatuda individuaalsetest kuni struktuurimeetmeteni, nt andmete kogumise lõpetamisest ja ebaseaduslikult saadud andmete kustutamisest kuni kogumistavade muutmiseni, sealhulgas töötajate juhendamine ja koolitamine (345). Lisaks võtab FISC paragrahvi 702 kohaste sertifikaatide iga-aastasel läbivaatamisel arvesse nõuetele mittevastavuse juhtumeid, et teha kindlaks, kas esitatud sertifikaadid vastavad FISA nõuetele. Samamoodi võib FISC, kui ta leiab, et valitsuse sertifikaadid ei olnud piisavad, sealhulgas konkreetsete vastavusjuhtumite tõttu, anda välja nn puuduste kõrvaldamise korralduse, millega nõutakse, et valitsus parandaks rikkumise 30 päeva jooksul või et valitsus lõpetaks paragrahvi 702 kohase sertifikaadi rakendamise või ei alustaks selle rakendamist. Lõpuks hindab FISC suundumusi, mida ta täheldab vastavusküsimustes, ja võib nõuda vastavussuundumuste käsitlemiseks menetluste muutmist või lisajärelevalvet ja -aruandlust (346).

(175)

Nagu selles jaos üksikasjalikumalt selgitatud, on liidu andmesubjektidel Ameerika Ühendriikides mitu võimalikku viisi, kuidas esitada hagi siduva pädevusega sõltumatusse ja erapooletusse kohtusse. Kõik need viisid koos võimaldavad üksikisikutel pääseda juurde oma isikuandmetele, lasta kontrollida, kas valitsuse juurdepääs nende andmetele on seaduslik, ja rikkumise avastamise korral lasta selline rikkumine heastada, sealhulgas oma isikuandmete parandamise või kustutamise kaudu.

(176)

Esiteks luuakse korralduse EO 14086 alusel spetsiaalne õiguskaitsemehhanism, mida täiendab justiitsministri määrus, millega asutatakse andmekaitseasju läbivaatav kohus, et käsitleda ja lahendada üksikisikute kaebusi USA signaaliluuretegevuse kohta. Igal ELi üksikisikul on õigus esitada õiguskaitsemehhanismile kaebus USA signaaliluuretegevust reguleerivate seaduste (nt korraldus EO 14086, FISA paragrahv 702, korraldus EO 12333) väidetava rikkumise kohta, mis kahjustab nende eraelu puutumatust ja kodanikuvabadusi (347). See õiguskaitsemehhanism on kättesaadav üksikisikutele, kes on pärit riikidest või piirkondlikest majandusintegratsiooni organisatsioonidest, mille USA justiitsminister on tunnistanud „nõuetele vastavateks riikideks“ (348). 30. juunil 2023 määras justiitsminist korralduse EO 14086 paragrahvi 3 punkt f alusel Euroopa Liidu ja kolm Euroopa Vabakaubanduse Assotsiatsiooni riiki, mis koos moodustavad Euroopa Majanduspiirkonna, „nõuetele vastavateks riikideks“ (349). Kõnealune nimetus ei piira Euroopa Liidu lepingu artikli 4 lõike 2 kohaldamist.

(177)

Liidu andmesubjekt, kes soovib sellise kaebuse esitada, peab esitama selle ELi liikmesriigi järelevalveasutusele, kes on pädev tegema järelevalvet isikuandmete töötlemise üle riigi ametiasutustes (DPA) (350). See tagab hõlpsa juurdepääsu õiguskaitsemehhanismile, võimaldades üksikisikutel pöörduda nii-öelda kodulähedase asutuse poole, kellega nad saavad suhelda oma emakeeles. Pärast põhjenduses 178 osutatud kaebuse esitamise nõuete kontrollimist suunab pädev andmekaitseasutus kaebuse Euroopa Andmekaitsenõukogu sekretariaadi kaudu õiguskaitsemehhanismi.

(178)

Kaebuse esitamisel õiguskaitsemehhanismile kehtivad leebed vastuvõetavuse nõuded, sest üksikisikud ei pea tõendama, et nende andme suhtes on tõesti toimunud USA signaaliluuretegevus (351). Samal ajal tuleb õiguskaitsemehhanismile läbivaatamise lähtepunktina anda teatav põhiteave, nt isikuandmete kohta, mille puhul on alust arvata, et need on USAsse edastatud, ja vahendite kohta, mille abil need arvatavalt edastati; väidetava rikkumisega arvatavalt seotud USA valitsusüksuste andmed (kui need on teada); alus, mille põhjal väidetakse, et USA seadusi on rikutud (kuigi ka selle puhul ei ole vaja tõendada, et USA luureagentuurid tõepoolest kogusid isikuandmeid), ja millist abi taotletakse.

(179)

Asjaomasele õiguskaitsemehhanismile esitatud kaebuste esialgse uurimise viib läbi ODNI kodanikuvabaduste kaitse ametnik, kelle kehtivat seadusjärgset rolli ja volitusi on laiendatud korralduse EO 14086 alusel võetud erimeetmetele (352). Luureühenduses vastutab kodanikuvabaduste kaitse ametnik muu hulgas selle eest, et kodanikuvabaduste ja eraelu puutumatuse kaitse oleks asjakohaselt lõimitud ODNI ja luureasutuste põhimõttesse ja menetlustesse; selle jälgimise eest, et ODNI tegutseks vastavuses kohaldatavate kodanikuvabaduste ja privaatsusnõuetega, ning eraelu puutumatusele avalduva mõju hindamise eest (353). ODNI kodanikuvabaduste kaitse ametniku võib riiklik luurejuht vallandada ainult mõjuval põhjusel, st üleastumise, rikkumiste, turvanõuete rikkumise, kohustuste eiramise või töövõimetuse korral (354).

(180)

Kaebuse läbivaatamisel on ODNI kodanikuvabaduste kaitse ametnikul oma hinnangu andmiseks juurdepääs teabele ning ta võib kohustada eri luureasutuste eraelu puutumatuse ja kodanikuvabaduste kaitse ametnikke abi andma (355). Luureasutustel on keelatud ODNI kodanikuvabaduste kaitse ametniku läbivaatamist takistada või seda sobimatult mõjutada. See käib ka riikliku luurejuhi kohta, kes ei tohi läbivaatamisse sekkuda (356). Kaebuse läbivaatamisel peab ODNI kodanikuvabaduste kaitse ametnik kohaldama seadust erapooletult, võttes arvesse nii riigi julgeolekuhuve signaaliluuretegevuses kui ka eraelu puutumatuse kaitset (357).

(181)

Läbivaatamise raames teeb ODNI kodanikuvabaduste kaitse ametnik kindlaks, kas kohaldatavaid USA seadusi on rikutud, ja kui see on nii, otsustab asjakohaste õiguskaitsemeetmete võtmise üle (358). Viimati nimetatu osutab meetmetele, millega tuvastatud rikkumine täielikult parandatakse, näiteks andmete ebaseadusliku hankimise lõpetamine, ebaseaduslikult kogutud andmete kustutamine, ebakorrektselt tehtud päringute või muul viisil ebaseaduslikult kogutud andmete tulemuste kustutamine, seaduslikult kogutud andmetele juurdepääsu piiramine asjakohaselt koolitatud töötajatega või seadusliku loata saadud või ebaseaduslikult levitatud andmeid sisaldavate luurearuannete tagasikutsumine (359). ODNI kodanikuvabaduste kaitse ametniku otsused üksikkaebuste kohta (sealhulgas õiguskaitsemeetmete kohta) on asjaomastele luureasutustele siduvad (360).

(182)

ODNI kodanikuvabaduste kaitse ametnik peab säilitama oma läbivaatamise dokumendid ja esitama salastatud otsuse, milles selgitatakse tema faktiliste järelduste alust, selle kindlaksmääramist, kas käsitletud rikkumine toimus, ja asjakohaste õiguskaitsemeetmete määramist (361). Kui ODNI kodanikuvabaduste kaitse ametniku läbivaatamise käigus tuleb ilmsiks mõne FISC järelevalve alla kuuluva asutuse rikkumine, peab kodanikuvabaduste kaitse ametnik esitama salastatud aruande ka asejustiitsministrile riikliku julgeoleku küsimustes, kes omakorda on kohustatud rikkumisest teavitama FISCd, kes võib võtta täiendavaid täitemeetmeid (kooskõlas põhjendustes 173–174 kirjeldatud menetlusega) (362).

(183)

Kui läbivaatamine on lõpule viidud, teatab ODNI kodanikuvabaduste kaitse ametnik kaebuse esitajale riigi ametiasutuse kaudu, et „läbivaatamise käigus ei tuvastatud ühtegi kaebuses hõlmatud rikkumist“ või et „ODNI kodanikuvabaduste kaitse ametnik tegi otsuse, millega nõutakse asjakohaste õiguskaitsemeetmete võtmist“ (363). See võimaldab kaitsta riigi julgeoleku kaitseks tehtud toimingute konfidentsiaalsust, andes samal ajal üksikisikutele otsuse, mis kinnitab, et nende kaebust on nõuetekohaselt uuritud ja lahendatud. Pealegi võib üksikisik selle otsuse vaidlustada. Selleks teavitatakse teda võimalusest esitada kodanikuvabaduste kaitse ametniku otsuste läbivaatamiseks kaebus andmekaitseasju läbivaatavale kohtule (vt põhjendus 184 jj) ning et juhul, kui kohtusse pöördutakse, valitakse kaebuse esitaja huvidest lähtuvalt eriadvokaat (364).

(184)

Igal kaebuse esitajal ja kõigil luureühenduse üksustel on võimalik taotleda ODNI kodanikuvabaduste kaitse ametniku otsuse läbivaatamist andmekaitseasju läbivaatavas kohtus. Sellised läbivaatamistaotlused tuleb esitada 60 päeva jooksul pärast ODNI kodanikuvabaduste kaitse ametnikult teate saamist selle kohta, et läbivaatamine on lõpule viidud, ning need peavad sisaldama kogu teavet, mida isik soovib andmekaitseasju läbivaatavale kohtule esitada (nt argumendid õigusküsimuste või õiguse kohaldamise kohta juhtumi faktiliste asjaolude suhtes) (365). Liidu andmesubjektid võivad oma taotluse uuesti esitada pädevale andmekaitseasutusele (vt põhjendus 177).

(185)

Andmekaitseasju läbivaatav kohus on sõltumatu kohus, mille asutas justiitsminister korralduse EO 14086 alusel (366). See koosneb vähemalt kuuest kohtunikust, kelle nimetab neljaks aastaks ametisse justiitsminister, konsulteerides eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoniga, kaubandusministri ja riikliku luurejuhiga (367). Kohtunike ametisse nimetamisel lähtub justiitsminister kriteeriumidest, mida täitevvõim kasutab föderaalkohtunike kandidaatide hindamisel, võttes arvesse eelnevat kohtunikukogemust (368). Lisaks peavad kohtunikud olema juristid (st advokatuuri aktiivsed liikmed, kellel on õigus advokaadina tegutseda) ning neil peab olema asjakohane kogemus eraelu puutumatuse ja riikliku julgeoleku valdkonnas. Justiitsminister peab püüdma tagada, et igal ajahetkel oleks vähemalt pooltel kohtunikest eelnev kohtukogemus ja kõik kohtunikud peavad olema läbinud julgeolekukontrolli, et pääseda juurde riigi salastatud riigi julgeolekuteabele (369).

(186)

Andmekaitseasju läbivaatavasse kohtusse võib ametisse nimetada ainult isikud, kellel on põhjenduses 185 nimetatud kvalifikatsioon ja kes ei ole ametisse nimetamise ajal või sellele eelneva kahe aasta jooksul täitevvõimu asutuse töötajad. Samamoodi ei tohi kohtunikel andmekaitseasju läbivaatavas kohtus ametisoleku ajal olla USA valitsuses mingeid ametlikke kohustusi ega töösuhet (välja arvatud andmekaitseasju läbivaatava kohtu kohtunikuna) (370).

(187)

Kohtuotsusprotsessi sõltumatus saavutatakse mitme tagatise abil. Eelkõige ei tohi täitevvõim (justiitsminister ja luureasutused) sekkuda andmekaitseasju läbivaatava kohtu tehtavasse läbivaatamisse või seda sobimatult mõjutada (371). Andmekaitseasju läbivaatav kohus ise on kohustatud kohtuasju erapooletult lahendama (372) ja ta tegutseb oma kodukorra kohaselt (võetakse vastu häälteenamusega). Peale selle võib andmekaitseasju läbivaatava kohtu kohtuniku ametist vabastada vaid justiitsminister ja üksnes mõjuval põhjusel (st üleastumise, rikkumiste, turvanõuete rikkumise, kohustuste täitmata jätmise või teovõimetuse tõttu) pärast seda, kui ta on võtnud nõuetekohaselt arvesse föderaalkohtunike suhtes kohaldatavaid standardeid, mis on sätestatud kohtunike käitumisjuhendis ja kohtunike teovõimetuse menetluse eeskirjas (373).

(188)

Andmekaitseasju läbivaatavale kohtule esitatud taotlused vaatavad läbi kolmest kohtunikust koosnevad kolleegiumid, sealhulgas eesistuja, kes peab tegutsema USA kohtunike käitumisjuhendi kohaselt (374). Iga kolleegiumi abistab eriadvokaat, (375) kellel on juurdepääs kogu juhtumiga seotud teabele, sealhulgas salastatud teabele (376). Eriadvokaadi ülesanne on tagada, et kaebuse esitaja huvid on esindatud ja et andmekaitseasju läbivaatava kohtu kohtunike kolleegium on kõigi asjakohaste õigus- ja faktiküsimustega hästi kursis (377). Selleks et saada lisateavet oma seisukoha kujundamiseks üksikisiku andmekaitseasju läbivaatavale kohtule esitatud läbivaatamistaotluse kohta võib eriadvokaat küsida kaebuse esitajalt teavet kirjalike küsimuste kaudu (378).

(189)

Andmekaitseasju läbivaatav kohus vaatab ODNI kodanikuvabaduste kaitse ametniku tehtud otsused läbi (nii selle kohta, kas kohaldatava USA õiguse rikkumine toimus, kui ka asjakohaste õiguskaitsemeetmete kohta), tuginedes vähemalt ODNI kodanikuvabaduste kaitse ametniku uurimise andmetele, samuti kaebuse esitaja, eriadvokaadi või luureasutuse esitatud teabele ja esildistele (379). Andmekaitseasju läbivaatava kohtu kolleegiumil on juurdepääs kogu teabele, mis on vajalik läbivaatamiseks ja mida ta võib hankida ODNI kodanikuvabaduste kaitse ametniku kaudu (kolleegium võib näiteks nõuda, et kodanikuvabaduste kaitse ametnik täiendaks oma dokumenti lisateabe või faktiliste järeldustega, kui see on läbivaatamiseks vajalik) (380).

(190)

Läbivaatamise lõpetamisel võib andmekaitseasju läbivaatav kohus 1) otsustada, et puuduvad tõendid selle kohta, et kaebuse esitaja isikuandmetega seotud signaaliluuretegevus leidis aset, 2) otsustada, et ODNI kodanikuvabaduste kaitse ametniku otsused olid õiguslikult korrektsed ja neid toetasid olulised tõendid, või 3) kui andmekaitseasju läbivaatav kohus ei nõustu ODNI kodanikuvabaduste kaitse ametniku otsustega (kohaldatava USA õiguse rikkumise toimumise või asjakohaste õiguskaitsemeetmetega), väljastab ta oma otsused (381).

(191)

Kõigil juhtudel võtab andmekaitseasju läbivaatav kohus vastu kirjaliku otsuse häälteenamuse alusel. Kui läbivaatamisel ilmneb kohaldatavate normide rikkumine, määratakse otsuses asjakohased parandusmeetmed, mis hõlmavad ebaseaduslikult kogutud andmete kustutamist, ebakorrektselt tehtud päringute tulemuste kustutamist, seaduslikult kogutud andmetele juurdepääsu piiramist asjakohaselt koolitatud töötajatega või seadusliku loata saadud või ebaseaduslikult levitatud andmeid sisaldavate luurearuannete tagasikutsumist (382). Andmekaitseasju läbivaatava kohtu otsus on talle esitatud kaebuse suhtes siduv ja lõplik (383). Peale selle, kui kohtu läbivaatamise käigus tuleb ilmsiks mõne FISC järelevalve alla kuuluva asutuse rikkumine, peab andmekaitseasju läbivaatav kohus esitama salastatud aruande ka asejustiitsministrile riikliku julgeoleku küsimustes, kes omakorda on kohustatud rikkumisest teavitama FISCd, kes võib võtta täiendavaid täitemeetmeid (kooskõlas põhjendustes 173–174 kirjeldatud menetlusega) (384).

(192)

Kõik andmekaitseasju läbivaatava kohtu kolleegiumi otsused edastatakse ODNI kodanikuvabaduste kaitse ametnikule (385). Juhul kui läbivaatamine andmekaitseasju läbivaatavas kohtus algatati kaebuse esitaja taotluse alusel, teavitatakse kaebuse esitajat riigi ametiasutuse kaudu, et andmekaitseasju läbivaatav kohtus on läbivaatamise lõpetanud ja et „läbivaatamise käigus ei tuvastatud ühtegi kaebuses hõlmatud rikkumist või et andmekaitseasju läbivaatav kohus tegi otsuse, millega nõutakse asjakohaste õiguskaitsemeetmete võtmist“ (386). Justiitsministeeriumi eraelu puutumatuse ja kodanikuvabaduste kaitse amet peab registrit, mis sisaldab kogu andmekaitseasju läbivaatava kohtu poolt läbi vaadatud teavet ja kõiki tehtud otsuseid ning see tehakse tulevaste andmekaitseasju läbivaatava kohtu kolleegiumide jaoks mittesiduva kohtupraktikana kättesaadavaks (387).

(193)

Ka justiitsministeerium peab iga kaebuse esitanud kaebuse esitaja kohta registrit pidama (388). Läbipaistvuse suurendamiseks peab justiitsministeerium asjaomaste luureasutustega vähemalt iga viie aasta järel ühendust võtma, et kontrollida, kas andmekaitseasju läbivaatava kohtu tehtud läbivaatamist puudutava teabe salastatus on kustutatud. (389). Sel juhul teavitatakse isikut, et selline teave võib olla kättesaadav kohaldatava õiguse alusel (st et ta võib taotleda juurdepääsu teabevabaduse seaduse alusel, vt põhjendus 199).

(194)

Lisaks hinnatakse korrapäraselt ja sõltumatult selle õiguskaitsemehhanismi nõuetekohast toimimist. Täpsemalt öeldes vaatab korralduse EO 14086 kohaselt õiguskaitsemehhanismi toimimise igal aastal läbi sõltumatu organ eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjon (PCLOB) (vt põhjendus 110) (390). Selle läbivaatamise käigus hindab PCLOB muu hulgas, kas ODNI kodanikuvabaduste kaitse ametnik ja andmekaitseasju läbivaatav kohus on kaebusi menetlenud õigeaegselt; kas nad on saanud vajalikule teabele täieliku juurdepääsu; kas korralduses EO 14086 sätestatud olulisi kaitsemeetmeid on läbivaatamise käigus nõuetekohaselt arvesse võetud ja kas luureühendus on ODNI kodanikuvabaduste kaitse ametniku ja andmekaitseasju läbivaatava kohtu otsused täielikult täitnud. PCLOB koostab oma läbivaatamise tulemuste kohta aruande presidendile, justiitsministrile, riiklikule luurejuhile, luureasutuste juhtidele, ODNI kodanikuvabaduste kaitse ametnikulule ja kongressi luurekomiteedele, mis avalikustatakse ka salastamata versioonis – ja see omakorda annab teavet käesoleva otsuse toimimise perioodiliseks läbivaatamiseks, mille viib läbi komisjon. Justiitsminister, riiklik luurejuht, ODNI kodanikuvabaduste kaitse ametnik ja luureasutuste juhid on kohustatud kõiki sellistes aruannetes sisalduvaid soovitusi rakendama või muul viisil järgima. Lisaks annab PCLOB igal aastal välja avaliku sertifikaadi selle kohta, kas õiguskaitsemehhanism käsitleb kaebusi kooskõlas korralduse EO 14086 nõuetega.

(195)

Lisaks korralduse EO 14086 alusel kehtestatud konkreetsele õiguskaitsemehhanismidele on õiguskaitsevahendid kõigile üksikisikutele kättesaadavad (olenemata kodakondsusest või elukohast) ka USA tavakohtutes (391).

(196)

Eelkõige annavad FISA ja sellega seotud põhimäärus üksikisikutele võimaluse esitada Ameerika Ühendriikide vastu tsiviilhagi, kui nende kohta käivaid andmeid on ebaseaduslikult ja tahtlikult kasutatud või avaldatud; (392) esitada rahalisi kahjunõudeid otse USA riigiametnike vastu (393) ja vaidlustada jälgimise õiguspärasus (ning otsida võimalusi andmeid mitte avalikustada), kui USA valitsus kavatseb isiku elektroonilise jälgimise käigus kogutud andmeid või neist tuletatud teavet kasutada või avaldada USA kohtu- või haldusmenetluses (394). Üldisemalt, kui valitsus kavatseb kasutada kriminaalasjas kahtlustatava vastu luureoperatsioonide käigus saadud teavet, pannakse põhiseadusest ja seadusest tulenevate nõuetega (395) paika teatavad teabe avalikustamise kohustused, et kostjal oleks võimalik valitsusepoolse tõendite kogumise ja kasutamise seaduslikkus vaidlustada.

(197)

Lisaks on mitu erivahendit õiguskaitse saamiseks valitsusametnike vastu isikuandmetele ebaseadusliku juurdepääsu või isikuandmete kasutamise korral, sealhulgas väidetava riikliku julgeoleku eesmärgi korral (st arvutipettuste ja sellealase kuritarvitamise seadus (396); elektroonilise side privaatsuse seadus (397) ja finantsandmetega seotud eraelu puutumatuse seadus (398)). Kõik need õiguslikud meetmed on seotud konkreetsete andmete, sihtmärkide ja/või juurdepääsu liikidega (nt kaugjuurdepääs arvutile interneti kaudu) ning neile saab tugineda teatavatel tingimustel (nt tahtlik/teadlik tegevus, ametivolituste ületamine, tekitatud kahju).

(198)

Üldisem õiguskaitsevõimalus on olemas APA (399) näol, mille kohaselt on „igal isikul, kelle õigusi on rikutud ametkonna tegevusega või keda on negatiivselt mõjutanud või kahjustanud ametkonna tegevus“, õigus pöörduda kohtusse (400). See hõlmab võimalust taotleda kohtult, et „tunnistatakse ebaseaduslikuks ja jäetakse arvesse võtmata organi tegevus, uurimistulemused ja järeldused, mis leitakse olevat [...] meelevaldsed, suvalised või põhinevat kaalutusõiguse kuritarvitamisel või mis ei ole muul viisil seadusega kooskõlas“ (401). Näiteks otsustas föderaalne apellatsioonikohus 2015. aastal APA kohase nõude kohta, et USA valitsuse poolne telefoniside metaandmete masskogumine ei olnud FISA paragrahvi 501 kohaselt lubatud (402).

(199)

Lisaks põhjendustes 176–198 nimetatud õiguskaitsevahenditele on igal üksikisikul õigus taotleda juurdepääsu olemasolevatele föderaalasutuste dokumentidele FOIA alusel, sealhulgas juhul, kui need dokumendid sisaldavad tema isikuandmeid (403). Sellise juurdepääsu saamine võib hõlbustada ka hagi esitamist tavakohtusse, sealhulgas kaebeõiguse tõendamiseks. Asutused võivad teatavate loetletud erandite alla kuuluvat teavet, sealhulgas juurdepääsu riikliku julgeoleku huvides salastatud teabele ja õiguskaitseorganite uurimisinfole, kinni pidada, (404) kuid vastusega rahulolematutel kaebuse esitajatel on võimalus see vaidlustada, taotledes haldus- ja seejärel kohtulikku läbivaatamist (föderaalkohtutes) (405).

(200)

Eelöeldust järeldub, et kui USA õiguskaitseorganid ja riiklikud julgeolekuasutused pääsevad juurde käesoleva otsuse kohaldamisalasse kuuluvatele isikuandmetele, reguleerib sellist juurdepääsu õigusraamistik, mis sätestab juurdepääsu tingimused ning tagab, et juurdepääs ja andmete edasine kasutamine piirdub sellega, mis on vajalik taotletava avaliku huvi eesmärgi saavutamiseks ja on sellega proportsionaalne. Nendele kaitsemeetmetele võivad tugineda isikud, kellel on tõhusad õiguskaitsevahendid.

(201)

Komisjon leiab, et Ameerika Ühendriigid on USA kaubandusministeeriumi välja antud põhimõtete kaudu taganud ELi-USA andmekaitseraamistiku alusel liidust põhimõtete järgimist kinnitanud USA organisatsioonidele edastatud isikuandmete kaitse taseme, mis on sisuliselt samaväärne sellega, mis on tagatud määrusega (EL) 2016/679.

(202)

Lisaks on komisjon seisukohal, et põhimõtete tõhus kohaldamine on tagatud läbipaistvuskohustuste ja andmekaitseraamistiku haldamisega kaubandusministeeriumi poolt. Lisaks võimaldavad USA õiguses ette nähtud järelevalvemehhanismid ja õiguskaitsevahendid praktikas tuvastada andmekaitsenormide rikkumisi ja nende eest karistada ning pakuvad andmesubjektile õiguskaitsevahendeid temaga seotud isikuandmetele juurdepääsu saamiseks ning vajaduse korral nende parandamiseks või kustutamiseks.

(203)

Kõigele lisaks leiab komisjon USA õiguskorra kohta kättesaadava teabe, sealhulgas VI ja VII lisas sisalduva teabe põhjal, et USA avaliku sektori asutuste igasugune sekkumine avalikes huvides, eelkõige kriminaalõiguse täitmise tagamise ja riikliku julgeoleku eesmärgil, nende üksikisikute põhiõigustesse, kelle isikuandmeid liidust USAsse ELi-USA andmekaitseraamistiku alusel edastatakse, piirdub sellega, mis on rangelt vajalik kõnealuse õiguspärase eesmärgi saavutamiseks, ning et sellise sekkumise vastu on olemas tõhus õiguskaitse. Seetõttu tuleks eespool esitatud järeldusi silmas pidades otsustada, et Ameerika Ühendriigid tagavad isikuandmete kaitse piisava taseme määruse (EL) 2016/679 artikli 45 tähenduses, mida tõlgendatakse Euroopa Liidu põhiõiguste harta valguses, isikuandmete puhul, mis edastatakse Euroopa Liidust organisatsioonidele, kes on kinnitanud ELi-USA andmekaitseraamistiku põhimõtete järgimist.

(204)

Arvestades, et korraldusega EO 14086 kehtestatud piirangud, kaitsemeetmed ja õiguskaitsemehhanism on komisjoni hinnangu aluseks oleva USA õigusraamistiku olulised elemendid, põhineb käesoleva otsuse vastuvõtmine eelkõige sellel, et kõik USA luureasutused on võtnud korralduse EO 14086 rakendamiseks vastu ajakohastatud põhimõtted ja menetlused ning liit on määratud organisatsiooniks, kellel on õigus kasutada õiguskaitsemehhanismi, vastavalt 3. juulil 2023 (vt põhjendus 126) ja 30. juunil 2023 (vt põhjendus 176).

(205)

Liikmesriigid ja nende organid peavad võtma liidu institutsioonide aktide järgimiseks vajalikud meetmed, sest eeldatakse nende õiguspärasust ja need tekitavad seega õiguslikke tagajärgi seni, kuni neid ei ole tagasi võetud, tühistamishagi menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel või õigusvastasuse väite alusel kehtetuks tunnistatud.

(206)

Seega on määruse (EL) 2016/679 artikli 45 lõike 3 alusel komisjoni vastu võetud otsus kaitse piisavuse kohta siduv kõikide otsuse adressaadiks olevate liikmesriikide organitele, sealhulgas sõltumatutele järelevalveasutustele. Eelkõige võib andmeid edastada liidus asuvalt vastutavalt või volitatud töötlejalt põhimõtete järgimist kinnitanud organisatsioonidele Ameerika Ühendriikides ilma, et oleks vaja taotleda lisaluba.

(207)

Tuleb meenutada, et vastavalt määruse (EL) 2016/679 artikli 58 lõikele 5 ja nagu Euroopa Kohus on selgitanud Schremsi kohtuotsuses, (406) peab samas olema liikmesriigi õigusega juhuks, kui riiklik andmekaitseasutus kahtleb (sh laekunud kaebuse põhjal) komisjoni tehtud kaitse piisavuse otsuse kooskõlas üksikisiku põhiõigustega eraelu puutumatusele ja andmekaitsele, ette nähtud õiguskaitsevahend, mis võimaldab tal edastada need vastuväited siseriiklikule kohtule, kellelt võidakse nõuda asja kohta Euroopa Kohtule eelotsusetaotluse esitamist (407).

(208)

Euroopa Kohtu praktika (408) kohaselt ja nagu on tõdetud määruse (EL) 2016/679 artikli 45 lõikes 4, peaks komisjon pidevalt jälgima asjaomaseid muutusi kolmandas riigis pärast kaitse piisavuse otsuse vastuvõtmist, et hinnata, kas kolmas riik tagab endiselt sisuliselt samaväärse kaitsetaseme. Niisugune kontrollimine on igal juhul nõutav, kui komisjonile laekunud teave tekitab kõnealuse küsimuse suhtes põhjendatud kahtluse.

(209)

Seetõttu peaks komisjon olukorda Ameerika Ühendriikides seoses käesolevas otsuses hinnatud isikuandmete töötlemise õigusliku raamistiku ja tegeliku tavaga pidevalt jälgima. Selle protsessi hõlbustamiseks peaksid USA ametiasutused viivitamatult teavitama komisjoni USA õiguskorra olulistest muudatustest, mis mõjutavad käesoleva otsuse esemeks olevat õigusraamistikku, samuti kõigist käesolevas otsuses hinnatud isikuandmete töötlemise tavadega seotud suundumustest nii selles, kuidas töötlevad isikuandmeid Ameerika Ühendriikides asuvad põhimõtete järgimist kinnitanud organisatsioonid, kui ka selles, millised piirangud ja kaitsemeetmed kehtivad isikuandmetele juurdepääsul avaliku sektori asutustele.

(210)

Selleks et komisjonil oleks võimalik oma järelevalve ülesannet tõhusalt täita, peaksid liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida riiklikud andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide päringute või kaebustega, mis puudutavad isikuandmete edastamist liidust Ameerika Ühendriikides asuvatele põhimõtete järgimist kinnitanud organisatsioonidele. Komisjoni tuleks teavitada ka võimalikest märkidest, et kuritegude ennetamise, uurimise, avastamise või nende eest süüdimõistmise või riigi julgeoleku eest vastutavate USA avaliku sektori asutuste tegevus, samuti järelevalveasutuste tegevus ei taga nõutavat kaitsetaset.

(211)

Määruse (EL) 2016/679 artikli 45 lõike 3 (409) kohaldamisel peaks komisjon pärast käesoleva otsuse vastuvõtmist korrapäraselt kontrollima, kas järeldused ELi-USA andmekaitseraamistiku raames Ameerika Ühendriikide poolt tagatava kaitse piisava taseme kohta on endiselt faktiliselt ja õiguslikult põhjendatud. Kuna eelkõige korralduse EO 14086 ja justiitsministri määrusega nõutakse uute mehhanismide loomist ja uute kaitsemeetmete rakendamist, tuleks käesolev otsus läbi vaadata ühe aasta jooksul pärast selle jõustumist, et kontrollida, kas kõik asjakohased elemendid on täielikult rakendatud ja toimivad praktikas tõhusalt. Pärast esimest läbivaatamist ja olenevalt selle tulemustest teeb komisjon tihedas koostöös määruse (EL) 2016/679 artikli 93 lõike 1 alusel loodud komiteega ja Euroopa Andmekaitsenõukoguga otsuse tulevaste läbivaatamiste sageduse kohta (410).

(212)

Läbivaatamiste tegemiseks peaks komisjon kohtuma kaubandusministeeriumi, föderaalse kaubanduskomisjoni ja transpordiministeeriumi esindajatega, kellega on vajaduse korral kaasas teiste ELi-USA andmekaitseraamistiku rakendamises osalevate ministeeriumide ja asutuste esindajad, ning valitsuse andmetele juurdepääsuga seotud küsimuste puhul justiitsministeeriumi, ODNI (sealhulgas kodanikuvabaduste kaitse ametnik), muude luureühenduse üksuste, andmekaitseasju läbivaatava kohtu esindajad ja eriadvokaadid. Sellel kohtumisel peaks olema lubatud osaleda ka Euroopa Andmekaitsenõukogu liikmete esindajatel.

(213)

Läbivaatamine peaks hõlmama kõiki käesoleva otsuse toimimise aspekte, mis on seotud Ameerika Ühendriikides isikuandmete töötlemisega, eelkõige põhimõtete kohaldamist ja rakendamist, pöörates erilist tähelepanu andmete edasisaatmise korral pakutavale kaitsele; asjaomase kohtupraktika arengule; üksikisiku õiguste kasutamise tulemuslikkusele; põhimõtete järgimise seirele ja tagamisele ning piirangutele ja kaitsemeetmetele, mis puudutavad valitsuse juurdepääsu, eriti korraldusega EO 14086 kehtestatud kaitsemeetmete rakendamisele ja kohaldamisele, sealhulgas luureasutuste väljatöötatud poliitika ja menetluste kaudu; korralduse EO 14086 ning FISA paragrahvi 702 ja korralduse EO 12333 vastasmõjule ning järelevalvemehhanismide ja õiguskaitsevõimaluste tõhususele (sealhulgas korralduse EO 14086 alusel loodud uue õiguskaitsemehhanismi toimimisele). Selliste läbivaatamiste raames pööratakse tähelepanu ka andmekaitseasutuste ja Ameerika Ühendriikide pädevate asutuste vahelisele koostööle, sealhulgas põhimõtete kohaldamise ja raamistiku toimimise muude aspektide kohta suuniste ja muude tõlgendamisvahendite väljatöötamisele.

(214)

Läbivaatamise alusel peab komisjon koostama avaliku aruande, mis esitatakse Euroopa Parlamendile ja nõukogule.

(215)

Kui kättesaadavast teabest, eriti käesoleva otsuse järelevalvest tulenevast või Ameerika Ühendriikide või liikmesriikide ametiasutuste esitatud teabest ilmneb, et käesoleva otsuse alusel edastatud andmete kaitse tase ei pruugi enam olla piisav, peaks komisjon viivitamata teavitama sellest Ameerika Ühendriikide pädevaid asutusi ning nõudma, et kindlaksmääratud mõistliku tähtaja jooksul võetakse asjakohaseid meetmeid.

(216)

Kui Ameerika Ühendriikide pädevad asutused ei ole kindlaksmääratud ajavahemiku möödumisel neid meetmeid võtnud või muul viisil rahuldavalt tõendanud, et käesolev otsus põhineb endiselt kaitse taseme piisavusel, algatab komisjon direktiivi (EL) 2016/679 artikli 93 lõikes 2 osutatud menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või kehtetuks tunnistamiseks.

(217)

Teise võimalusena algatab komisjon menetluse otsuse muutmiseks, et eelkõige kehtestada andmete edastamise lisatingimused või piirata kaitse piisavuse otsuse kohaldamisala selliselt, et selle alla kuuluks üksnes andmeedastus, mille puhul on kaitse piisav tase endiselt tagatud.

(218)

Komisjon peaks peatamise või kehtetuks tunnistamise algatama eelkõige juhul, kui:

(219)

Komisjon peab kaaluma ka menetluse algatamist käesoleva otsuse muutmiseks, peatamiseks või kehtetuks tunnistamiseks, kui Ameerika Ühendriikide pädevad asutused ei esita teavet või selgitusi, mida on vaja liidust Ameerika Ühendriikidesse edastatud isikuandmetele võimaldatava kaitsetaseme hindamiseks või käesoleva otsuse täitmiseks. Sellega seoses peab komisjon võtma arvesse võimalusi saada asjakohast teavet muudest allikatest.

(220)

Nõuetekohaselt põhjendatud, tungivalt vajalikul ja kiireloomulisel juhul, näiteks kui korraldust EO 14086 või justiitsministri määrust muudetakse viisil, mis kahjustab käesolevas otsuses kirjeldatud kaitsetaset, või kui justiitsministri otsus määrata liit organisatsiooniks, kellel on õigus kasutada õiguskaitsemehhanismi, tühistatakse, kasutab komisjon võimalust võtta kooskõlas direktiivi (EL) 2016/679 artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid, millega otsus peatatakse või tunnistatakse kehtetuks või seda muudetakse.

(221)

Euroopa Andmekaitsenõukogu avaldas arvamuse, (411) mida on käesoleva otsuse koostamisel arvesse võetud.

(222)

Euroopa Parlament võttis vastu resolutsiooni ELi-USA andmekaitseraamistikuga pakutava kaitse piisavuse kohta (412).

(223)

Käesoleva otsusega ette nähtud meetmed on kooskõlas määruse (EL) 2016/679 artikli 93 lõike 1 alusel loodud komitee arvamusega,