1

ELTL artikli 263 alusel esitatud hagis esitab hageja P. Latombe sisuliselt nõude tühistada komisjoni 10. juuli 2023. aasta rakendusotsus (EL) 2023/1795, mis põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb isikuandmete kaitse taseme piisavust ELi-USA andmekaitseraamistiku alusel (ELT 2023, L 231, lk 118; edaspidi „vaidlustatud otsus“).

2

Prantsuse kodanikust hageja väidab, et ta kasutab erinevaid IT‑platvorme, mis koguvad tema isikuandmeid ja edastavad need Ameerika Ühendriikidesse.

3

Seoses isikuandmete edastamisega Euroopa Liidust Ameerika Ühendriikidesse olgu kõigepealt märgitud, et Euroopa Kohus tunnistas 6. oktoobri 2015. aasta kohtuotsusega Schrems (C‑362/14, EU:C:2015:650; edaspidi „kohtuotsus Schrems I“) kehtetuks komisjoni 26. juuli 2000. aasta otsuse 2000/520/EÜ vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ piisava kaitse kohta, mis on ette nähtud programmi Safe Harbor põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja andnud Ameerika Ühendriikide kaubandusministeerium (EÜT 2000, L 215, lk 7).

4

Seejärel tunnistas Euroopa Kohus 16. juuli 2020. aasta kohtuotsusega Facebook Ireland ja Schrems (C‑311/18, EU:C:2020:559; edaspidi „kohtuotsus Schrems II“) kehtetuks komisjoni 12. juuli 2016. aasta rakendusotsuse (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ (ELT 2016, L 207, lk 1; edaspidi „otsus andmekaitseraamistiku Privacy Shield kaitse piisavuse kohta“).

5

Kohtuotsustes Schrems I ja Schrems II sedastas Euroopa Kohus, kellele oli esitatud õigusakti kehtivuse hindamiseks eelotsusetaotlus, muu hulgas, et vastupidi eespool punktides 3 ja 4 nimetatud kaitse piisavuse otsustest nähtuvale Euroopa Komisjoni hinnangule ei taga ei programmi Safe Harbor ega andmekaitseraamistiku Privacy Shield süsteemid, mis reguleerivad isikuandmete edastamist, liidu õigusega tagatud põhiõiguste ja -vabaduste kaitse tasemega sisuliselt samaväärset taset.

6

Pärast Schrems II kohtuotsust alustas komisjon läbirääkimisi Ameerika Ühendriikide valitsusega, et võimaluse korral võtta vastu uus kaitse piisavuse otsus, mis vastaks Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; parandused ELT 2016, L 314, lk 72 ja ELT 2018, L 127, lk 3; edaspidi „isikuandmete kaitse üldmäärus“) artikli 45 lõike 2 nõuetele, nagu neid on tõlgendanud Euroopa Kohus.

7

Ameerika Ühendriikides võeti 7. oktoobril 2022 vastu presidendi täidesaatev korraldus nr 14086 (Executive Order 14086; edaspidi „E.O. 14086“), millega tugevdatakse eraelu puutumatuse kaitsemeetmeid, mis reguleerivad Ameerika Ühendriikide luureasutuste signaalluuretegevust. Seda täidesaatvat korraldust täiendas justiitsministri korraldus nr 5517–2022 (Attorney General Order No 5517–2022, edaspidi „AG korraldus“), millega lisati föderaalõigusnormide koodeksi (Code of Federal Regulations) 28. jaotisse osa 201, mis reguleerib Data Protection Review Courti (andmekaitse järelevalve kohus; edaspidi „DPRC“) moodustamist ja toimimist.

8

Komisjon analüüsis neid Ameerika Ühendriikide õiguslikke arengusuundi ja tegi 10. juulil 2023 isikuandmete kaitse üldmääruse artikli 45 lõike 3 alusel vaidlustatud otsuse, millega kehtestati uus Atlandi-ülene raamistik isikuandmete liikumise kohta liidu ja Ameerika Ühendriikide vahel. Kõnealuse otsuse artiklis 1 on märgitud, et Ameerika Ühendriigid tagavad piisava kaitsetaseme isikuandmetele, mis edastatakse liidust Ameerika Ühendriikides asuvatele organisatsioonidele, mis on kantud „ELi-USA andmekaitseraamistiku“ loetellu (edaspidi „andmekaitseraamistik“), mida haldab ja avaldab kaubandusministeerium (edaspidi „andmekaitseraamistiku organisatsioonid“).

9

Hageja palub Üldkohtul:

10

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, palub Üldkohtul:

11

Komisjon esitas Üldkohtu kodukorra artikli 130 alusel eraldi dokumendina vastuvõetamatuse vastuväite, mis saabus Üldkohtu kantseleisse 1. detsembril 2023.

12

Komisjon väidab, et hagi on vastuvõetamatu, kuna hagejal puudub kaebeõigus ja põhjendatud huvi ning vaidlustatud otsuse osa, mille tühistamist ta taotleb, on ülejäänud otsusest lahutamatu.

13

Hageja vaidlustab komisjoni argumendid ja väidab, et tema hagi on vastuvõetav.

14

Tuleb märkida, et liidu kohtul on õigus iga kohtuasja asjaolusid arvestades hinnata, kas hagi võib korrakohase õigusemõistmise kaalutlustel sisulistel põhjustel rahuldamata jätta, ilma et eelnevalt lahendataks selle vastuvõetavuse küsimus (vt selle kohta 26. veebruari 2002. aasta kohtuotsus nõukogu vs. Boehringer, C‑23/00 P, EU:C:2002:118, punktid 51 ja 52).

15

Seega leiab Üldkohus käesoleva kohtuasja asjaolusid arvestades, et kuna hagi on allpool punktides 16–204 esitatud põhjustel igal juhul põhjendamatu, tuleb korrakohase õigusemõistmise huvides analüüsida selle põhjendatust, tegemata enne otsust vastuvõetavuse küsimuses (vt selle kohta 10. oktoobri 2014. aasta kohtuotsus Marchiani vs. parlament, T‑479/13, ei avaldata, EU:T:2014:866, punkt 23, ja 20. detsembri 2023. aasta kohtuotsus Naturstrom vs. komisjon, T‑60/21, ei avaldata, EU:T:2023:839, punkt 74).

16

Hagi põhjendamiseks esitab hageja viis väidet:

17

Kohtuistungil loobus hageja oma esimesest väitest, mis käsitles määruse nr 1/1958 artiklite 3 ja 4 rikkumist. Seega tuleb üksnes analüüsida tema teist kuni viiendat väidet.

18

Esiteks tuleb märkida, et isikuandmete kaitse üldmääruse artikli 45 lõikes 1 on ette nähtud, et isikuandmeid võib edastada kolmandale riigile, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit tagab isikuandmete kaitse piisava taseme. See säte on esitatud nimetatud määruse V peatükis, mille üldine eesmärk, nagu Euroopa Kohus on märkinud, on kindlustada andmete edastamise korral kolmandasse riiki isikuandmete kõrgetasemelise kaitse järjepidevus, mis on selle määruse alusel tagatud ELi õigusega (vt selle kohta kohtuotsus Schrems II, punkt 93).

19

Siinkohal täpsustas Euroopa Kohus, et nõutud ei ole, et asjaomane kolmas riik tagaks liidu õiguskorras tagatud kaitsega võrdsel tasemel kaitse, vaid isikuandmete kaitse üldmääruse artikli 45 lõikes 1 esitatud väljendit „kaitse piisav tase“ tuleb mõista nii, et see nõuab, et kolmas riik tõepoolest tagab oma riigisisese õigusega või endale võetud rahvusvaheliste kohustustega põhiõiguste ja ‑vabaduste kaitse taseme, mis on sisuliselt samaväärne sellega, mis on liidus selle määrusega tagatud, tõlgendatuna lähtuvalt põhiõiguste hartast (vt selle kohta kohtuotsus Schrems II, punktid 94 ja 162).

20

Euroopa Kohus on samuti otsustanud, et kuigi vahendid, mida kolmas riik kasutab isikuandmete kaitse piisava taseme tagamiseks, võivad erineda nendest, mida kasutatakse liidus direktiivist 95/46 koostoimes põhiõiguste hartaga tulenevate nõuete järgimise tagamiseks, peavad need vahendid siiski praktikas osutuma tõhusaks, et tagada liidus kehtiva kaitsega sisuliselt samaväärne kaitse (kohtuotsus Schrems I, punkt 74).

21

Lisaks leidis Euroopa Kohus, et arvestades esiteks olulist rolli, mis on isikuandmete kaitsel eraelu puutumatuse põhiõiguse seisukohast, ja teiseks nende isikute suurt arvu, kelle põhiõigusi võidakse rikkuda, kui isikuandmeid edastatakse kolmandasse riiki, kus ei ole tagatud kaitse piisavat taset, on komisjoni kaalutlusruum kolmanda riigi tagatava kaitsetaseme piisavuse hindamisel väike, mistõttu tuleb liidu kohtul kontrollida kaitse piisavuse otsuse õiguspärasust rangelt (kohtuotsus Schrems I, punkt 78).

22

Teiseks tuleb silmas pidada, et väljakujunenud kohtupraktika kohaselt tuleb liidu õigusakti õiguspärasuse hindamisel lähtuda selle akti vastuvõtmise ajal esinenud faktilistest ja õiguslikest asjaoludest, mistõttu otsuse vastuvõtmisest hilisemad aktid ei saa mõjutada selle otsuse kehtivust (vt 17. oktoobri 2019. aasta kohtuotsus Alcogroup ja Alcodis vs. komisjon, C‑403/18 P, EU:C:2019:870, punkt 45 ja seal viidatud kohtupraktika, ning 28. jaanuari 2021. aasta kohtuotsus Qualcomm ja Qualcomm Europe vs. komisjon, C‑466/19 P, EU:C:2021:76, punkt 82 ja seal viidatud kohtupraktika). Niisiis tuleb käesolevas asjas analüüsida komisjoni hinnangut vaidlustatud otsuse õiguspärasuse kohta üksnes nende asjaolude alusel, mis olid komisjonile selle hinnangu andmise ajal teada.

23

Seega tuleb hageja väiteid analüüsida selles kontekstis ja hinnata kõigepealt kolmandat, seejärel teist, siis neljandat ja lõpuks viiendat väidet.

24

Kolmandas väites märgib hageja, et komisjon rikkus põhiõiguste harta artikli 47 teist lõiku ja isikuandmete kaitse üldmääruse artikli 45 lõiget 2, kui ta leidis vaidlustatud otsuses, et DPRC kaitseb piisaval tasemel liidu kodanike õigust pöörduda sõltumatusse ja erapooletusse seaduse alusel moodustatud kohtusse.

25

Kõigepealt tuleb ära tuua, et põhiõiguste harta artikli 47 teine lõik on sõnastatud järgmiselt:

„Igaühel on õigus õiglasele ja avalikule asja arutamisele mõistliku aja jooksul sõltumatus ja erapooletus seaduse alusel moodustatud kohtus. Igaühel peab olema võimalus saada nõu ja kaitset ning olla esindatud.“

26

Selgitustest põhiõiguste harta kohta (ELT 2007, C 303, lk 17) nähtub, et harta artikli 47 teine lõik vastab Roomas 4. novembril 1950 allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (edaspidi „EIÕK“) artikli 6 lõikele 1. Kõnealune säte on sõnastatud järgmiselt:

„Igaühel on oma tsiviilõiguste ja -kohustuste või temale esitatud kriminaalsüüdistuse üle otsustamisel õigus õiglasele ja avalikule kohtumenetlusele mõistliku aja jooksul sõltumatus ja erapooletus, seaduse alusel moodustatud kohtus.“

27

Sellega seoses tuleb meeles pidada, et kohtupraktikast tuleneb, et kuna EIÕK ei kujuta endast liidu õiguskorda formaalselt integreeritud instrumenti seni, kuni liit ei ole selle konventsiooniga ühinenud, tuleb teisese õiguse akti kehtivuse kontrollimisel lähtuda üksnes põhiõiguste hartaga tagatud põhiõigustest (3. septembri 2015. aasta kohtuotsus Inuit Tapiriit Kanatami jt vs. komisjon, C‑398/13 P, EU:C:2015:535, punktid 45 ja 46).

28

Kohtupraktikas on siiski tunnustatud, et ühest küljest on vastavalt ELL artikli 6 lõikele 3 EIÕKga tagatud põhiõigused liidu õiguse üldpõhimõtted ja teisest küljest tuleneb harta artikli 52 lõikest 3, et hartas sisalduvate selliste õiguste tähendus ja ulatus, mis vastavad EIÕKga tagatud õigustele, on samad, mis neile EIÕKga ette on nähtud (vt 31. mai 2018. aasta kohtuotsus Korwin-Mikke vs. parlament, T‑770/16, EU:T:2018:320, punkt 38 ja seal viidatud kohtupraktika).

29

Kohtupraktika kohaselt tuleb seetõttu järjepidevuse huvides ja kahjustamata seejuures liidu õiguse ja Euroopa Liidu Kohtu autonoomiat, tõlgendada põhiõiguste hartas sisalduvaid õigusi, mis vastavad EIÕKga tagatud õigustele, ka Euroopa Inimõiguste Kohtu (edaspidi „EIK“) praktikat silmas pidades (vt selle kohta 9. novembri 2023. aasta kohtuotsus Staatssecretaris van Justitie en Veiligheid (mõiste suur kahju), C‑125/22, EU:C:2023:843, punkt 59, ja 31. mai 2018. aasta kohtuotsus Korwin-Mikke vs. parlament, T‑770/16, EU:T:2018:320, punkt 38).

30

Sellest tuleneb, et kohtupraktika kohaselt peab Euroopa Kohus vastavalt põhiõiguste harta artikli 52 lõikele 3 tagama, et tema harta artikli 47 teise lõigu tõlgendus kindlustab kaitse tasemel, mis ei ole vastuolus EIÕK artikli 6 lõikega 1 – nagu Euroopa Inimõiguste Kohus on seda tõlgendanud – tagatud kaitse tasemega (vt 6. oktoobri 2021. aasta kohtuotsus W. Ż. (kõrgeima kohtu erakorralise kontrolli ja avalike asjade kolleegium – ametisse nimetamine), C‑487/19, EU:C:2021:798, punkt 123 ja seal viidatud kohtupraktika).

31

Samuti tuleb märkida, et isikuandmete kaitse üldmääruse artikli 45 lõikes 2 on sätestatud, et kolmandas riigis tagatava andmekaitse taseme piisavuse hindamisel võtab komisjon arvesse eelkõige järgmist:

32

Neid asjaolusid arvestades tuleb analüüsida hageja poolt käesoleva väite põhjendamiseks esitatud kahte väiteosa.

33

Kolmanda väite esimeses osas väidab hageja, et DPRC ei ole sõltumatu ja erapooletu kohus põhiõiguste harta artikli 47 teise lõigu tähenduses, vaid täitevvõimust sõltuv kohtusarnane organ.

34

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

35

Kõigepealt tuleb märkida, et kohtupraktika kohaselt kujutab kohtute sõltumatuse nõue, mis on olemuslikult õigusemõistmisest lahutamatu, endast õiguse tõhusale kohtulikule kaitsele ja põhiõiguse õiglasele menetlusele põhiolemust, mis on ülimalt tähtis, et tagada kõik õigussubjektile liidu õigusest tulenevad õigused ja ELL artiklis 2 osutatud liikmesriikide ühiste väärtuste, eeskätt õigusriigi väärtuse kaitse (15. juuli 2021. aasta kohtuotsus komisjon vs. Poola (kohtunike distsiplinaarkord), C‑791/19, EU:C:2021:596, punkt 58 ja seal viidatud kohtupraktika). Õigusriigi toimimist iseloomustava võimude lahususe põhimõtte kohaselt tuleb tagada kohtute sõltumatus seadusandlikust ja täidesaatvast võimust (vt 18. mai 2021. aasta kohtuotsus Asociația Forumul Judecătorilor din România jt, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 ja C‑397/19, EU:C:2021:393, punkt 195 ja seal viidatud kohtupraktika).

36

Kohtupraktikas on täpsustatud, et kohtute sõltumatuse nõudel on kaks mõõdet. Esimene, väline mõõde eeldab, et asjaomane organ täidab oma ülesandeid täiesti iseseisvalt, olemata kellegagi hierarhilises või alluvussuhtes ja saamata kelleltki korraldusi või juhiseid, olles seega kaitstud välise sekkumise või surve eest, mis võib vähendada selle organi liikmete otsustusvabadust ja mõjutada nende tehtavaid lahendeid. Teine, sisemine mõõde on seotud erapooletuse mõistega ja selle eesmärk on võrdse distantsi säilitamine menetluse poolte ning huvidega, mis neist igaühel on menetluse eseme vastu. Sisemine mõõde eeldab, et tagatakse objektiivsus ja vaidluse lahendamisel ei võeta arvesse muud huvi peale õigusnormide range kohaldamise (vt 21. detsembri 2021. aasta kohtuotsus Euro Box Promotion jt, C‑357/19, C‑379/19, C‑547/19, C‑811/19 ja C‑840/19, EU:C:2021:1034, punkt 224 ja seal viidatud kohtupraktika).

37

Liidu õigusega nõutavad sõltumatuse ja erapooletuse tagatised eeldavad selliste– eeskätt organi koosseisu, liikmete ametisse nimetamist, ametiaega ning ka taandumise, taandamise ja ametist tagandamise aluseid käsitlevate – normide olemasolu, mis võimaldavad kõrvaldada õigussubjektide õiguspärased kahtlused selles osas, kas nimetatud organ on väljaspool väliste tegurite haardeulatust ja kas ta on vastanduvaid huvisid arvestades neutraalne (vt 15. juuli 2021. aasta kohtuotsus komisjon vs. Poola (kohtunike distsiplinaarkord), C‑791/19, EU:C:2021:596, punkt 59 ja seal viidatud kohtupraktika).

38

Eeltoodut arvestades tuleb uurida kolme argumenti, mis hageja on esitanud kõnealuse väiteosa toetuseks.

39

Esimeses argumendis väidab hageja sisuliselt, et DPRC ei ole sõltumatu ja erapooletu kohus, kuna tema ülesanne on uuesti läbi vaadata Ameerika Ühendriikide riikliku luurejuhi büroo kodanikuvabaduste kaitse ametniku (edaspidi „CLPO“) otsused, mis on seotud Ameerika Ühendriikide riikliku luurejuhi bürooga (Office of the Director of National Intelligence; edaspidi „ODNI“).

40

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, ei nõustu hageja argumendiga.

41

Selguse huvides tuleb täpsustada, et kolmanda väite esimese osa esimest argumenti tuleb tõlgendada nii, et sisuliselt on hageja esiteks seisukohal, et kui menetletakse isikuandmetega seotud kaebust, mille on esitanud liidus asuv andmesubjekt, kes soovib tugineda signaalluuretegevust reguleeriva Ameerika Ühendriikide õigusnormi rikkumisele, mis kahjustab tema huve eraelu puutumatuse ja kodanikuvabaduste kaitse valdkonnas (edaspidi „isikuandmetega seotud kaebus“), ei ole CLPO‑le antud piisavaid kaitsemeetmeid oma sõltumatuse tagamiseks, kuna ta on seotud ODNIga, ja teiseks leiab hageja, et DPRC ei ole sõltumatu ja erapooletu kohus, kuna CLPO‑le kohaldatavad tagatised ei ole piisavad.

42

Kõigepealt tuleb märkida, et CLPO sõltumatuse tagatiste analüüs ei ole asjakohane selle hindamisel, kas DPRC on sõltumatu ja erapooletu kohus. Nimelt on DPRC moodustatud CLPOst sõltumatu järelevalveorganina, kellelt – nagu nähtub vaidlustatud otsuse põhjendusest 184 – on igal isikul, kes on esitanud isikuandmetega seotud kaebuse, ja kõigil luureühenduse üksustel võimalik taotleda CLPO otsuse läbivaatamist ning E.O. 14086‑s on ette nähtud mitu tagatist, et DPRC saaks CLPO otsused uuesti läbi vaadata ja neid vajaduse korral sõltumatult ja erapooletult muuta.

43

Esiteks nähtub vaidlustatud otsuse põhjendustest 185 ja 186 – ilma et hageja sellele vastu vaidleks – et DPRC koosneb vähemalt kuuest kohtunikust, kelle nimetab nelja-aastaseks pikendatavaks ametiajaks ametisse Ameerika Ühendriikide justiitsminister (Attorney General; edaspidi „justiitsminister“), konsulteerides Ameerika Ühendriikide eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoniga (Privacy and Civil Liberties Oversight Board; edaspidi „PCLOB“), Ameerika Ühendriikide kaubandusministri (Secretary of Commerce) ja riikliku luurejuhiga, samade kriteeriumide alusel, mida kohaldatakse föderaalkohtunike suhtes, võttes arvesse eelnevat kohtunikukogemust. Samuti peavad kohtunikud olema juristid, see tähendab advokatuuri aktiivsed liikmed, kellel on õigus advokaadina tegutseda, ning neil peab olema asjakohane kogemus eraelu puutumatuse ja riikliku julgeoleku valdkonnas. Lisaks peab justiitsminister tagama, et vähemalt pooltel kohtunikest oleks eelnev kohtukogemus ja kõik kohtunikud peavad olema läbinud julgeolekukontrolli, et pääseda juurde riigi salastatud julgeolekuteabele. Andmekaitseasju läbivaatavasse kohtusse võib ametisse nimetada ainult isikuid, kellel on nimetatud kvalifikatsioon ja kes ei ole ametisse nimetamise ajal või sellele eelneva kahe aasta jooksul olnud täitevvõimu asutuse töötajad. Samuti ei tohi DPRC kohtunikel oma ametisoleku ajal olla Ameerika Ühendriikide valitsuses ametlikke kohustusi ega töösuhet.

44

Teiseks nähtub vaidlustatud otsuse põhjendustest 188 ja 189 – mida hageja ei ole vaidlustanud –, et CLPO otsused vaatab täies ulatuses läbi DPRC kolmest kohtunikust koosnev kolleegium, keda abistab eriadvokaat. Samas ei tugine DPRC selle uuesti läbivaatamise käigus mitte ainult CLPO uurimise andmetele, vaid ka teabele ja esildistele, mille on edastanud kaebaja, kohtunikke abistav eriadvokaat ja luureasutused, ning vajaduse korral täiendavale teabele, mida ta on nõudnud isikuandmetega seotud kaebuse läbivaatamise käigus. Lisaks peab ta läbivaatamise käigus kohaldama Supreme Court of the United States’i (Ameerika Ühendriikide kõrgeim kohus) asjakohast kohtupraktikat.

45

Kolmandaks nähtub vaidlustatud otsuse põhjendustest 190 ja 191 – ilma et hageja sellele vastu vaidleks –, et DPRC‑l on muutmispädevus, ta ei ole seotud CLPO otsusega ning eriarvamuse korral CLPOga võib ta teha ise otsuse isikuandmetega seotud kaebuse kohta. Lisaks olgu märgitud, et see otsus on siduv ja lõplik ega olene DPRC otsusest. Seega on nii Ameerika Ühendriikide luureasutused kui ka valitsus kohustatud seda järgima.

46

Eeltoodust tuleneb, et E.O. 14086‑s ette nähtud tagatised DPRC toimimise ja pädevuse kohta võimaldavad CLPO tehtud otsuste sõltumatut ja erapooletut läbivaatamist. Hagejal ei ole seega alust väita, et CLPO‑le kohaldatavate tagatiste ebapiisavus mõjutab DPRC sõltumatust ja erapooletust.

47

Igal juhul tuleb CLPO sõltumatuse tagamiseks mõeldud tagatiste väidetava ebapiisavuse kohta märkida järgmist.

48

Tuleb korrata, nagu nähtub vaidlustatud otsuse põhjendustest 176–181, ja hageja ei ole seda vaidlustanud, et E.O. 14086, mida on täiendatud AG korraldusega, kehtestati isikuandmetega seotud kaebuse menetlemiseks spetsiaalne õiguskaitsemehhanism. Selline kaebus tuleb esitada igas liikmesriigis isikuandmete töötlemise üle järelevalvet teostavale järelevalveasutusele, kes edastab selle seejärel CLPO‑le tingimusel, et see sisaldab vaidlustatud otsuse punktis 178 nimetatud andmeid: st teave isikuandmete kohta, mille puhul on alust arvata, et need on Ameerika Ühendriikidesse edastatud; kui see on teada, siis teave vahendite kohta, mille abil need arvatavalt edastati; kui see on teada, siis väidetava rikkumisega arvatavalt seotud Ameerika Ühendriikide valitsusüksuste andmed; alus, mille põhjal väidetakse, et Ameerika Ühendriikide seadusi on rikutud, ja õiguskaitsevahendid, mida taotletakse. Sellise kaebuse puhul peab CLPO kindlaks tegema, kas luureasutus on rikkunud kohaldatavat Ameerika Ühendriikide õigust, ja kui see on nii, siis võib ta anda korralduse võtta parandusmeetmed. CLPO otsus kaebuse kohta on siduv.

49

On tõsi, et vaidlustatud otsuse põhjenduses 179 märgib komisjon, et CLPO on ODNI osa ning lisaks oma eripädevusele – milleks on vaadata läbi isikuandmetega seotud kaebusi –, on tema üldisem ülesanne tagada, et kodanikuvabaduste ja eraelu puutumatuse kaitse oleks asjakohaselt lõimitud ODNI ja luureasutuste poliitikasse ja menetlustesse ning et need järgiksid eraelu puutumatuse ja kodanikuvabaduste kaitse valdkonnas kohaldatavaid nõudeid. Siiski tuleb esiteks märkida, nagu on mainitud nimetatud põhjenduses, et CLPO sõltumatuse tagamiseks on E.O. 14086‑s ette nähtud, et CLPO on lubatud ametist vabastada ainult mõjuval põhjusel, see tähendab üleastumise, rikkumiste, turvanõuete rikkumise, kohustuste eiramise või töövõimetuse korral. Teiseks, nagu nähtub vaidlustatud otsuse põhjendusest 180, on luureasutustel ja ODNI‑l keelatud CLPO tööd takistada või sobimatult mõjutada, ta peab isikuandmetega seotud kaebuse läbivaatamisel kohaldama seadust erapooletult, võttes arvesse nii riigi julgeolekuhuve kui ka eraelu puutumatuse kaitset.

50

Nende asjaolude tõttu tuleb kõnealune argument tagasi lükata.

51

Teises argumendis väidab hageja sisuliselt, et DPRC ei ole sõltumatu ja erapooletu kohus, kuna see koosneb kohtunikest, kelle nimetab ametisse justiitsminister, konsulteerides PCLOBga, mis on täitevvõimust sõltuv organ.

52

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, ei nõustu hageja argumendiga.

53

Esiteks ilmneb vaidlustatud otsuse põhjendusest 110, et PCLOB on täitevvõimu sõltumatu asutus. Selle ameti sõltumatus väljendub eelkõige selle koosseisus. Nimelt koosneb see viiest haldusnõukogu liikmest, kes pärinevad kahest parteist ja kelle nimetab ametisse Ameerika Ühendriikide president senati heakskiidul kuueks aastaks. Juhatuse liikmed tuleb valida üksnes nende ametialase kvalifikatsiooni, saavutuste, avaliku maine, kodanikuvabaduste ja eraelu puutumatuse valdkonna teadmiste ning asjakohaste kogemuste alusel ning sõltumata poliitilistest veendumustest. Ühte parteisse kuuluvaid juhatuse liikmeid ei või ühelgi juhul olla rohkem kui kolm. Juhatuse liikmeks nimetatud isik ei tohi juhatuses töötamise ajal olla föderaalvalitsuse valitud ametnik, teenistuja või töötaja muul viisil kui juhatuse liikmena.

54

Sellest järeldub, et kuigi PCLOB on täitevvõimu asutus, on see vastavalt selle asutamismäärusele moodustatud sõltumatu asutusena, mille ülesanne on teostada erapooletut järelevalvet täitevvõimu töö üle, eesmärgiga kaitsta eelkõige eraelu puutumatust ja kodanikuvabadusi. Nagu on märgitud vaidlustatud otsuse põhjenduses 194 – ilma et hageja sellele vastu vaidleks –, peab ta igal aastal kontrollima, kas CLPO ja DPRC on kaebusi menetlenud õigel ajal; kas nad on saanud vajalikule teabele täieliku juurdepääsu; kas nad on kõiki E.O. 14086‑s ette nähtud kaitsemeetmeid arvesse võtnud ja kas luureühendused (Intelligence Community) on nende otsuseid täitnud. Selle kontrolli tulemusel peab PCLOB avalikustama sertifikaadi selle kohta, kas CLPO ja DPRC on neid kaitsemeetmeid järginud. Lisaks peab ta esitama aruande Ameerika Ühendriikide presidendile, justiitsministrile, riiklikule luurejuhile, luureasutuste juhtidele, CLPO‑le ja Ameerika Ühendriikide Kongressi (United States Congress) luurekomiteedele. Aruanne avalikustatakse salastamata versioonis. Justiitsminister, riiklik luurejuht, CLPO ja luureasutuste juhid on kohustatud kõiki selles aruandes sisalduvaid soovitusi rakendama.

55

Neil asjaoludel ei saa asjaolu, et PCLOB on täitevvõimu asutus, iseenesest viia järelduseni, et kuna PCLOBga konsulteeritakse enne DPRC kohtunike ametisse nimetamist, ei ole DPRC sõltumatu ja erapooletu kohus.

56

Teiseks tuleb märkida, et DPRC kohtunike sõltumatuse tagamiseks täitevvõimust on E.O. 14086‑s sätestatud, et nende ametisse nimetamisel peab justiitsminister järgima eespool punktis 43 nimetatud kriteeriume ja tingimusi. Lisaks, nagu nähtub vaidlustatud otsuse põhjendusest 187, võib DPRC kohtuniku ametist vabastada üksnes justiitsminister ja üksnes mõjuval põhjusel, nimelt üleastumise, rikkumiste, turvanõuete rikkumise, kohustuste täitmata jätmise või teovõimetuse tõttu, pärast seda, kui ta on võtnud nõuetekohaselt arvesse föderaalkohtunike suhtes kohaldatavaid standardeid, mis on sätestatud kohtunike käitumisjuhendis ja kohtunike teovõimetuse menetluse eeskirjas.

57

Sellest järeldub, et DPRC kohtunike ametisse nimetamist ja ametist vabastamist käsitlevad eeskirjad ei mõjuta DPRC sõltumatust ja erapooletust.

58

Kolmandaks tuleb märkida, et vaidlustatud otsuse artikli 3 lõike 1 kohaselt on komisjon kohustatud pidevalt jälgima selle õigusraamistiku kohaldamist, millel see otsus põhineb, sealhulgas tingimusi, mille alusel andmeid edastatakse, üksikisikute õigusi teostatakse, ja Ameerika Ühendriikide ametiasutused saavad juurdepääsu käesoleva otsuse alusel edastatud andmetele, eesmärgiga hinnata, kas Ameerika Ühendriigid tagavad jätkuvalt artiklis 1 osutatud piisava kaitsetaseme. Nimetatud artikli lõikes 5 on sätestatud, et kui komisjonil on tõendeid selle kohta, et kaitse piisav tase ei ole enam tagatud, teavitab ta sellest Ameerika Ühendriikide ametiasutusi ja otsustab vajaduse korral vaidlustatud otsuse peatada, muuta, kehtetuks tunnistada või piirata selle kohaldamisala. Sellest tuleneb, et kui Ameerika Ühendriikides muutub vaidlustatud otsuse vastuvõtmise ajal kehtinud õiguslik raamistik, millest lähtudes oli komisjon asunud seisukohale, et DPRC pakub liidu õigusega tagatud kaitsega sisuliselt samaväärset õiguskaitset, siis otsustab komisjon vajaduse korral vaidlustatud otsuse peatada, seda muuta või see kehtetuks tunnistada või selle kohaldamisala piirata.

59

Kõiki neid kaalutlusi arvestades tuleb käesolev argument tagasi lükata.

60

Kolmandas argumendis väidab hageja sisuliselt, et DPRC ei ole sõltumatu ja erapooletu kohus, kuna AG korraldus ei välista võimalust, et selle kohtunike üle võidakse teha muud laadi järelevalvet kui täitevasutuse tavapärane järelevalve.

61

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, ei nõustu hageja argumendiga.

62

Tuleb märkida, et kui toimikust nähtub, et AG korralduse artikli 201.7 punkti d kohaselt ei tohi DPRC kohtunikud olla justiitsministri tavapärase järelevalve all, on vaidlustatud otsuse põhjenduses 187 ka märgitud, et E.O. 14086 kohaselt ei tohi luureasutused ja justiitsminister DPRC töösse sekkuda ega seda sobimatult mõjutada. Lisaks nähtub toimikust, et E.O. 14086 ja AG korraldus piiravad täitevvõimu võimalust mõjutada DPRC tööd, sätestades, et selle kohtunikke võib ametist vabastada üksnes justiitsminister ja seda üksnes eespool punktis 56 nimetatud põhjustel.

63

Neil asjaoludel tuleb käsitletud argument ja seega kolmanda väite esimene osa tervikuna tagasi lükata.

64

Kolmanda väite teises osas väidab hageja, et DPRC ei ole moodustatud seaduse alusel põhiõiguste harta artikli 47 teise lõigu tähenduses, kuna seda ei moodustatud Ameerika Ühendriikide Kongressi vastu võetud seadusega, vaid täitevvõimu aktiga, st justiitsministri otsusega.

65

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

66

Esiteks tuleneb Euroopa Kohtu praktikast, mille kujundamisel on arvestatud EIK praktikat EIÕK artikli 6 lõike 1 kohta (EIK 1. detsembri 2020. aasta otsus Guðmundur Andri Ástráðsson vs. Island, CE:ECHR:2020:1201JUD002637418, punktid 231 ja 233), et kuigi õigus asja arutamisele seaduse alusel moodustatud kohtus kujutab endast autonoomset õigust, on viimati nimetatud õigus siiski väga tihedalt seotud selles sättes ette nähtud sõltumatuse ja erapooletuse tagatistega. Täpsemalt, kuigi igal neis mõistetes ette nähtud nõudel on täpne eesmärk, mis teeb neist õiglase kohtuliku arutamise konkreetsed tagatised, on nende tagatiste eesmärk järgida samu aluspõhimõtteid, milleks on õigusriik ja võimude lahusus. Iga nimetatud nõude alus on kohustus kaitsta usaldust, mida kohtuvõim peab õigussubjektile sisendama, ning kohtuvõimu sõltumatust teistest võimudest (vt 22. veebruari 2022. aasta kohtuotsus Openbaar Ministerie (vahistamismääruse teinud liikmesriigis seaduse alusel moodustatud kohus), C‑562/21 PPU ja C‑563/21 PPU, EU:C:2022:100, punkt 56 ning seal viidatud kohtupraktika, ja 29. märtsi 2022. aasta kohtuotsus Getin Noble Bank, C‑132/20, EU:C:2022:235, punkt 117 ning seal viidatud kohtupraktika).

67

Euroopa Kohus on ka täpsustanud, kajastades EIK praktikat (EIK 8. juuli 2014. aasta kohtuotsus Biagioli vs. San Marino, CE:ECHR:2014:0708DEC000816213, punktid 72–74; vt ka EIK 2. mai 2019. aasta kohtuotsus Pasquini vs. San Marino, CE:ECHR:2019:0502JUD005095616, punktid 100 ja 101 ning seal viidatud kohtupraktika), et väljendi „seaduse alusel moodustatud“ eesmärk on vältida seda, et kohtusüsteemi korraldus jääb täitevvõimu meelevalda, ja tagada, et see valdkond oleks reguleeritud seadusega, mille seadusandlik võim on võtnud vastu kooskõlas tema toimimist ja pädevust käsitlevate normidega. See väljend peegeldab eelkõige õigusriigi põhimõtet ega puuduta mitte üksnes kohtu enda eksisteerimise õiguslikku alust, vaid ka kohtu koosseisu igas kohtuasjas ning mis tahes muid riigisiseseid õigusnorme, mille järgimata jätmine muudab ühe või mitme kohtuniku osalemise asja läbivaatamisel õigusvastaseks, ja mille hulka kuuluvad iseäranis vastava kohtu liikmete sõltumatust ja erapooletust puudutavad sätted (vt 29. märtsi 2022. aasta kohtuotsus Getin Noble Bank, C‑132/20, EU:C:2022:235, punkt 121 ja seal viidatud kohtupraktika).

68

Selles kontekstis on Euroopa Kohus otsustanud, et seaduse alusel moodustatud kohtu nõude rikkumise tuvastamine ja selle tagajärjed sõltuvad üldisest hinnangust teatud hulgale asjaoludele, mis kõik koos soodustavad seda, et õigussubjektidel tekib põhjendatud kahtlus kohtunike sõltumatuse ja erapooletuse suhtes (vt 22. veebruari 2022. aasta kohtuotsus Openbaar Ministerie (vahistamismääruse teinud liikmesriigis seaduse alusel moodustatud kohus), C‑562/21 PPU ja C‑563/21 PPU, EU:C:2022:100, punkt 74 ja seal viidatud kohtupraktika).

69

Nii leidis Euroopa Kohus, et ainuüksi asjaolu, et niisuguses organis nagu riiklik kohtute nõukoda, kes osaleb kohtunike nimetamise menetluses, on ülekaalus seadusandliku võimu valitud liikmed, ei anna iseenesest alust kahelda selle menetluse tulemusel ametisse nimetatud kohtunike sõltumatuses, kuid olukord võib siiski olla teistsugune, kui see asjaolu koostoimes teiste asjakohaste teguritega ja nende valikute tegemise tingimustega tekitab selliseid kahtlusi (vt 22. veebruari 2022. aasta kohtuotsus Openbaar Ministerie (vahistamismääruse teinud liikmesriigis seaduse alusel moodustatud kohus), C‑562/21 PPU ja C‑563/21 PPU, EU:C:2022:100, punkt 75 ja seal viidatud kohtupraktika).

70

Lisaks leidis EIK 1. detsembri 2020. aasta kohtuotsuses Guðmundur Andri Ástráðsson vs. Island (CE:ECHR:2020:1201JUD002637418, punktid 207 ja 212), et täitevvõimul või seadusandjal on lubatud kohtunikke ametisse nimetada tingimusel, et sel viisil ametisse nimetatud kohtunikud on õigusemõistmise ülesannete täitmisel vabad igasugusest survest ja mõjust.

71

Sellest kohtupraktikast tuleneb sisuliselt, et selle hindamisel, kas põhiõiguste harta artikli 47 teisest lõigust tulenevad nõuded on täidetud, ei tohi piirduda kohtu moodustamist ja selle töökorda kehtestava õigusakti vormi hindamisega, vaid tuleb kontrollida, kas see õigusakt näeb ette piisavad kaitsemeetmed, mis tagavad kohtu erapooletuse ja sõltumatuse teistest võimuorganitest, eelkõige täitevvõimust.

72

Teiseks tuleb korrata, mida Euroopa Kohus otsustas kohtuotsuses Schrems I ja kohtuotsuses Schrems II, et komisjon ei ole kaitse piisavuse otsuse tegemisel kohustatud tagama, et kolmanda riigi asjakohased sätted on identsed liidus kehtivate sätetega, vaid seda, et need oleksid sisuliselt samaväärsed nendega, mis on tagatud liidu õigusega isikuandmete kaitse üldmääruse alusel koostoimes põhiõiguste hartaga (vt eespool punktid 19 ja 20). Sellest järeldub, et käesolevas asjas peab Üldkohus kontrollima, kas on põhjendatud vaidlustatud otsuses esitatud komisjoni järeldus, et kaitse on piisav ning Ameerika Ühendriikide õigusnormid, mis käsitlevad DPRC asutamist ja toimimist, pakuvad tagatisi, mis on sisuliselt samaväärsed tagatistega, mis on liidu õiguses ette nähtud harta artikli 47 teises lõigus. Sellised tagatised on olemas eelkõige siis, kui selle kohtu moodustamist ja selle töökorda kehtestav õigusakt tagab kohtu erapooletuse ja sõltumatuse teistest võimuorganitest, eelkõige täitevvõimust, ja see ei sõltu asjaolust, kas vormiliselt kujutab see õigusakt endast seadust.

73

Käesolevas asjas nähtub vaidlustatud otsuse põhjendusest 185, ilma et hageja sellele vastu vaidleks, et DPRC moodustati AG korraldusega. Seega ei ole DPRC asutatud seadusandliku võimu, see tähendab Ameerika Ühendriikide Kongressi vastu võetud seadusega, vaid täitevvõimu aktiga. Justiitsminister on nimelt Ameerika Ühendriikide justiitsministeeriumi juht ja Ameerika Ühendriikide föderaalvalitsuse peamine õiguskaitseametnik. Ta on Ameerika Ühendriikide presidendi peamine nõunik kõigis õigusküsimustes ja kuulub tema kabinetti.

74

Selles kontekstis tuleb kontrollida, kas E.O. 14086 ja AG korraldus näevad DPRC sõltumatuse ja erapooletuse tagamiseks ette liidu õigusega sisuliselt samaväärsed tagatised.

75

Sellega seoses tuleb kõigepealt märkida, et toimikust nähtub, ilma et seda oleks vaidlustatud, et:

76

Seejärel tuleb märkida, et esiteks nähtub vaidlustatud otsusest, et:

77

Teiseks, nagu nähtub vaidlustatud otsuse põhjendustest 187–189, peavad DPRC kohtunikud järgima oma ülesannete täitmisel DPRCs järgmisi menetluslikke tagatisi:

78

Viimasena tuleb märkida, et kõrvaldatud on puudused, mille Euroopa Kohus tuvastas kohtuotsuses Schrems II seoses sellega, et puudusid tagatised juhuks, kui täitevvõim tunnistab andmekaitseraamistiku Privacy Shield kehtetuks ja et DPRC otsused ei olnud siduvad. Nimelt nähtub toimikust, et E.O. 14086 piiritleb olukordi, mil justiitsminister võib DPRC kohtunikud ametist vabastada, ja näeb ette, et DPRC otsused on siduvad.

79

Neil asjaoludel tuleb kolmanda väite teine osa tagasi lükata.

80

Seda järeldust ei sea kahtluse alla asjaolu, et toimikust nähtub, et sarnaselt teiste Ameerika Ühendriikide õigussüsteemi kohtutega, kellel on õigus teha otsuseid õigusküsimustes, ei ole DPRC Ameerika Ühendriikide põhiseaduse III artikli alusel asutatud kohtuasutus.

81

Kohtuotsuses Schrems II leidis Euroopa Kohus, et tõhusa kohtuliku kaitse saab tagada nii kohtusüsteemi kuuluv kohus kui ka mis tahes muu „asutus“, mis annab isikutele, kelle andmeid Ameerika Ühendriikidesse edastatakse, põhiõiguste harta artiklis 47 nõututega sisuliselt samaväärsed tagatised (kohtuotsus Schrems II, punkt 197).

82

Arvestades kõiki eelnevaid kaalutlusi, tuleb kolmas väide tervikuna tagasi lükata.

83

Teises väites leiab hageja, et komisjon rikkus põhiõiguste harta artikleid 7 ja 8, kui ta leidis vaidlustatud otsuses, et Ameerika Ühendriigid tagavad piisava kaitse taseme isikuandmete masskogumisel selle riigi luureasutuste poolt.

84

Tuleb märkida, et hagiavalduse lehekülgedel 2 ja 23 ning repliigi leheküljel 4, kus on esitatud teine väide, viitab hageja sellele, et komisjon ei ole rikkunud põhiõiguste harta artikleid 7 ja 8 mitte ainult seoses andmete masskogumisega, vaid ka seoses isikuandmete ulatusliku kogumisega. Selle väite sõnastuse järel esitatud arutluskäikudes keskenduvad hageja argumendid siiski üksnes nende andmete masskogumisele.

85

Niisiis nähtub vaidlustatud otsuse leheküljel 46 olevast 250. joonealusest märkusest ja selle otsuse põhjendusest 141 – ilma et seda oleks vaidlustatud – ning poolte vastustest menetlust korraldava meetme raames ja kohtuistungil esitatud küsimustele, et:

86

Eeltoodust tuleneb, et kuna ulatuslik kogumine ei ole Ameerika Ühendriikides lubatud ja kuna masskogumine võib toimuda ainult väljaspool USAd, piirdub kõnealuse väite ese käesolevas asjas hinnangu andmisega sellele, kas komisjon on rikkunud põhiõiguste harta artikleid 7 ja 8 seoses liidust andmekaitseraamistiku organisatsioonidele edastatavate isikuandmete masskogumisega Ameerika Ühendriikide luureasutuste poolt, ja välja jääb mis tahes isikuandmete kogumine, mis toimub liidu territooriumil, kui Ameerika Ühendriikide või liikmesriikide luureasutused koguvad vajaduse korral isikuandmeid.

87

Teise väite esimeses osas väidab hageja, et komisjon rikkus põhiõiguste harta artikleid 7 ja 8, kui ta leidis vaidlustatud otsuses sisuliselt, et Ameerika Ühendriikides on sisuliselt samaväärne kaitsetase, kui on tagatud liidu õigusega isikuandmete kaitse üldmääruse alusel koostoimes nimetatud hartaga, hoolimata asjaolust, et FISA artiklis 702 on antud Ameerika Ühendriikide luureasutustele võimalus masskoguda teiste riikide kodanike isikuandmeid.

88

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

89

Tuleb märkida, et FISA artikkel 702 ei luba masskogumist, vaid üksnes isikuandmete sihitud kogumist.

90

Seega kuna FISA artikkel 702 ei käsitle isikuandmete masskogumist, ei ole see käesoleval juhul asjakohane.

91

Seetõttu tuleb teise väite esimene osa tagasi lükata.

92

Teise väite teises osas väidab hageja, et komisjon rikkus põhiõiguste harta artikleid 7 ja 8, kuna ta leidis vaidlustatud otsuses, et Ameerika Ühendriikides on sisuliselt samaväärne kaitsetase, kui on tagatud liidu õigusega isikuandmete kaitse üldmääruse alusel koostoimes nimetatud hartaga, hoolimata asjaolust, et E.O. 14086‑s ei kehtestata Ameerika Ühendriikide luureasutustele kohustust saada enne isikuandmete masskogumist kohtu- või haldusasutuse eelnev luba.

93

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

94

Käesoleval juhul nähtub toimikust – ilma et pooled sellele vastu vaidleksid –, et Ameerika Ühendriikide õigus ei kehtesta luureasutustele kohustust saada kohtu- või haldusasutuse eelnev luba enne, kui nad masskoguvad liidust andmekaitseraamistiku organisatsioonidele edastatavaid isikuandmeid.

95

Tuleb kindlaks teha, kas eelneva loa puudumine võib mõjutada vaidlustatud otsuse õiguspärasust, kuna see võib seada kahtluse alla nimetatud otsuse artiklis 1 esitatud järelduse, et Ameerika Ühendriigid tagavad isikuandmete kaitse piisava taseme.

96

Kõigepealt tuleb korrata seda, mida Euroopa Kohus otsustas kohtuotsuses Schrems II, et kaitse piisavuse otsuse õiguspärasuse hindamiseks on vaja hinnata, kas asjaomase kolmanda riigi õigus tagab põhiõiguste ja -vabaduste sisuliselt samaväärse kaitsetaseme, kui on tagatud liidus isikuandmete kaitse üldmäärusega koostoimes põhiõiguste hartaga (vt eespool punkt 19).

97

Eeltoodut arvestades tuleb uurida nelja argumenti, mis hageja on esitanud kõnealuse väiteosa toetuseks.

98

Esimeses argumendis väidab hageja sisuliselt, et nagu otsuses andmekaitseraamistiku Privacy Shield kaitse piisavuse kohta, mille Euroopa Kohus tühistas kohtuotsusega Schrems II eelkõige kohtuliku kontrolli kehtestamata jätmise tõttu, ei tehta kohtulikku järelevalvet isikuandmete masskogumise suhtes, mida kõnealusel juhul viivad läbi Ameerika Ühendriikide luureasutused, ning seda ei reguleeri piisavalt selged ja täpsed eeskirjad.

99

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, ei nõustu hageja argumendiga.

100

Tuleb märkida, et kohtuotsuses Schrems II leidis Euroopa Kohus, et põhiõiguste harta artiklitel 7 ja 8 on oma osa liidus nõutava kaitsetaseme kujundamisel ja sellele tasemele vastavuse peab komisjon olema tuvastanud enne, kui ta saab vastu võtta kaitse piisavuse otsuse isikuandmete kaitse üldmääruse artikli 45 lõike 1 alusel. Euroopa Kohtu hinnangul mõjutab füüsilise isiku isikuandmete mis tahes töötlemine, sealhulgas nende edastamine kolmandasse riiki kaitse piisavuse otsuse raames, nii selle isiku põhiõigust eraelu puutumatusele, mis on tagatud harta artikliga 7, kui ka tema õigust isikuandmete kaitsele, mis on sätestatud harta artiklis 8 (kohtuotsus Schrems II, punktid 169–171).

101

Euroopa Kohus on siiski täpsustanud, et põhiõiguste harta artiklites 7 ja 8 tunnustatud õigused ei ole absoluutsed eelisõigused, vaid nendega tuleb arvestada vastavalt nende ülesandele ühiskonnas (kohtuotsus Schrems II, punkt 172).

102

Põhiõiguste harta artikli 52 lõike 1 kohaselt tohib harta artiklitega 7 ja 8 tunnustatud õiguste ja vabaduste teostamist piirata ainult seadusega ning arvestades nimetatud õiguste ja vabaduste olemust. Lisaks olgu märgitud, et proportsionaalsuse põhimõtte kohaselt võib piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi (kohtuotsus Schrems II, punkt 174).

103

Selles kontekstis otsustas Euroopa Kohus, et presidendi täidesaatva korraldusega nr 12333 (muudetud) Ameerika Ühendriikide luureasutustele antud võimalus pääseda juurde liidust edastatavatele isikuandmetele, ilma et selle juurdepääsu suhtes oleks teostatud mis tahes kohtulikku järelevalvet, ei võimalda piisavalt selgelt ja täpselt piiritleda luureasutuste poolt isikuandmete masskogumise ulatust. Nii leidis ta, et see presidendi täidesaatev korraldus ei vasta liidu õiguses proportsionaalsuse põhimõttest tulenevatele miinimumnõuetele ja sellel korraldusel põhinevad jälgimisprogrammid ei piirdu rangelt vajalikuga (kohtuotsus Schrems II, punktid 183 ja 184).

104

Täpsustada tuleb seda, kuidas tõlgendada kohtuotsuse Schrems II punktis 183 kasutatud väljendit „mis tahes kohtulik järelevalve“.

105

Sellega seoses tuleb märkida, et ükski asjaolu kohtuotsuses Schrems II, eelkõige selle punktis 183 ja väljendis „mis tahes kohtulik järelevalve“, ei viita sellele, et isikuandmete masskogumiseks peab sõltumatu asutus olema andnud eelneva loa. Vastupidi, nimetatud väljendi ja selle kohtuotsuse punktide 186–197 koostoimes tõlgendamisest nähtub, et sellise isikuandmete kogumist lubava otsuse üle peab toimuma vähemalt kohtulik järelkontroll.

106

Käesoleval juhul, nagu on märgitud eespool punktides 24–82, allutavad E.O. 14086 ja AG korraldus Ameerika Ühendriikide luureasutuse signaalluuretegevuse, sealhulgas nende poolt isikuandmete masskogumise DPRC kohtulikule järelkontrollile, mille otsused on lõplikud ja siduvad ning on kohustuslikud nii Ameerika Ühendriikide valitsusele kui ka nimetatud asutustele. Järelikult, vastupidi hageja väidetule ei saa asuda seisukohale, et luureasutuste poolt vaidlustatud otsuse alusel isikuandmete masskogumine ei vasta selles osas kohtuotsusest Schrems II tulenevatele nõuetele.

107

Esimesena tuleb veel märkida, et nagu nähtub vaidlustatud otsuse põhjendusest 141 – ilma et hageja sellele vastu vaidleks –, näeb E.O. 14086 ette, et luureasutused peavad eelistama isikuandmete sihitud kogumist. Seega on masskogumine lubatud ainult siis, kui kinnitatud luureprioriteedi edendamiseks vajalikku teavet ei ole mõistlikult võimalik saada sihitud kogumisega. Sellega seoses tuleb silmas pidada, et nimetatud otsuse põhjendusest 135 nähtub, et kinnitatud luureprioriteedid kehtestatakse erimenetluses, mille eesmärk on tagada vastavus kohaldatavatele õigusnõuetele, sealhulgas eraelu puutumatuse ja kodanikuvabadustega seotud nõuetele. Täpsemalt olgu märgitud, et luureprioriteedid töötab välja riiklik luurejuht ja esitab need kinnitamiseks Ameerika Ühendriikide presidendile. Enne luureprioriteetide Ameerika Ühendriikide presidendile esitamist peab riiklik luurejuht saama CLPO‑lt iga luureprioriteedi kohta hinnangu. Selle hindamise raames peab CLPO kindlaks tegema, kas kõnealune prioriteet edendab üht või mitut E.O. 14086‑s loetletud õiguspärast eesmärki; ega see ei ole kavandatud signaalluureandmete kogumiseks keelatud eesmärgil, ning kas see kehtestati, võttes arvesse kõigi andmesubjektide eraelu puutumatust ja kodanikuvabadusi, olenemata nende kodakondsusest või elukohast.

108

Teisena tuleb märkida, et nagu on rõhutatud vaidlustatud otsuse põhjendustes 127–131, 134 ja 135, ilma et hageja sellele vastu vaidleks, kehtestatakse E.O. 14086-ga üldnõuded, mida kohaldatakse kogu signaalluuretegevuse suhtes, sealhulgas juhul, kui see toimub isikuandmete masskogumise teel.

109

Esiteks peab signaalluuretegevus põhinema õigusaktil või presidendi loal ning toimuma kooskõlas Ameerika Ühendriikide seadustega, sealhulgas põhiseadusega.

110

Teiseks saab signaalluuretegevust hakata läbi viima alles pärast otsust, et kõiki asjakohaseid tegureid mõistlikult hinnates on see vajalik kinnitatud luureprioriteedi edendamiseks.

111

Kolmandaks peab signaalluuretegevus olema proportsionaalne kinnitatud luureprioriteediga, mille jaoks luba anti, et oleks tasakaalus luureprioriteedi tähtsus ja mõju, mida see avaldab mõjutatud isikute eraelu puutumatusele ja kodanikuvabadustele, olenemata nende rahvusest või elukohast.

112

Neljandaks, E.O. 14086‑s on loetletud üldeesmärgid, mida ei tohi signaalluuretegevusega taotleda. Nende hulka kuuluvad eesmärk takistada kriitikat, eriarvamuste või üksikisikute või ajakirjanduse ideede või poliitiliste arvamuste vaba väljendamise mahasurumine; isikute ebasoodsasse olukorda seadmine nende etnilise kuuluvuse, rassi, soo, soolise identiteedi, seksuaalse sättumuse või usutunnistuse tõttu või Ameerika Ühendriikide ettevõtjatele konkurentsieelise loomine.

113

Kolmandana nähtub vaidlustatud otsuse põhjendusest 141 – ilma et hageja sellele vastu vaidleks –, et E.O. 14086-ga kehtestatakse isikuandmete masskogumisele kohaldatavad erikaitsemeetmed.

114

Kõigepealt tuleb märkida, et E.O. 14086‑s on ette nähtud, et tuleb rakendada meetodeid ja tehnilisi meetmeid, et piirduda andmete kogumisel ainult sellega, mis on vajalik kinnitatud luureprioriteedi edendamiseks, minimeerides samas ebaolulise teabe kogumist.

115

Seejärel on E.O. 14086‑s märgitud, et isikuandmeid saab masskoguda üksnes kuuel erieesmärgil (edaspidi „masskogumise erieesmärgid“), milleks on kaitsmine terrorismi, spionaaži, massihävitusrelvade, küberohtude, Ameerika Ühendriikide töötajate või nende liitlaste vastu suunatud ohtude ja rahvusvahelise kuritegevuse eest. Selles õigusaktis on ette nähtud Ameerika Ühendriikide presidendi võimalus neid erieesmärke ajakohastada, kui ilmnevad uued riikliku julgeoleku vajadused, näiteks uus või suurenenud oht riigi julgeolekule, mille puhul ta peab vajalikuks kasutada isikuandmete masskogumist. Põhimõtteliselt peab riiklik luuredirektor sellised ajakohastused avalikustama, välja arvatud juhul, kui Ameerika Ühendriikide president otsustab, et avalikustamine ohustab Ameerika Ühendriikide riiklikku julgeolekut.

116

Kõigele lisaks on E.O. 14086‑s ette nähtud, et päringuid masskogutud signaalluureandmete kohta võib teha ainult siis, kui see on vajalik kinnitatud luureprioriteedi edendamiseks, taotledes neid erieesmärke ning kooskõlas põhimõtete ja menetlustega, milles võetakse asjakohaselt arvesse nende andmepäringute mõju kõigi andmesubjektide eraelu puutumatusele ja kodanikuvabadustele, olenemata nende kodakondsusest või elukohast.

117

Neil asjaoludel ei saa põhjendatult väita, et masskogumise kohaldamine ei oleks piisavalt selgelt ja täpselt piiritletud.

118

Kõiki neid kaalutlusi arvestades tuleb käesolev argument tagasi lükata.

119

Teises argumendis väidab hageja, viidates sõnaselgelt 6. oktoobri 2020. aasta kohtuotsuse La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) punktile 189, et Euroopa Kohus on kinnitanud, et luureasutustel on kohustus enne sideandmete kogumist neid valdavatelt ettevõtjatelt saada selliseks tegevuseks kohtu- või haldusasutuse eelnev luba. Tema sõnul ei ole käesoleval juhul Ameerika Ühendriikide luureasutustel vaja sellist eelnevat luba liidust edastatavate isikuandmete masskogumiseks.

120

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, ei nõustu hageja argumendiga.

121

Tuleb märkida, et 6. oktoobri 2020. aasta kohtuotsuses La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) leidis Euroopa Kohus muu hulgas, et Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11) artikli 15 lõiget 1 koostoimes põhiõiguste harta artiklitega 7, 8 ja 11 ning artikli 52 lõikega 1 tuleb tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, millega on elektroonilise side teenuste osutajatele pandud kohustus andmeliiklus- ja asukohaandmeid reaalajas koguda, kui see on piiratud isikutega, kelle puhul on mõjuv põhjus kahtlustada, et nad on seotud terrorismiga, ning seda kontrollib eelnevalt kohus või sõltumatu haldusasutus (viidatud kohtuotsuse punkt 192).

122

Sellest järeldub, et juhtum, mida käsitleti kohtuasjas, milles tehti 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791), erineb käesolevas asjas kõne all olevast olukorrast. Käesoleval juhul ei ole vaja hinnata, kas elektroonilise side teenuste osutajate vajadus koguda selliste kasutajate andmeliiklus- ja asukohaandmeid, keda kahtlustatakse selles, et nad on ühel või teisel viisil seotud terrorismiga, on kohtu või haldusasutuse eelneva kontrolli all, vaid tuleb kontrollida, kas asjaolu, et Ameerika Ühendriikide õiguses ei ole pandud luureasutusele kohustust saada enne sellesse riiki edastatavate isikuandmete masskogumist kohtu- või haldusasutuse eelnev luba, seab kahtluse alla selle, kui põhjendatud on vaidlustatud otsuses esitatud komisjoni järeldus, et kaitse on piisav.

123

Neil asjaoludel tuleb järeldada, et viide 6. oktoobri 2020. aasta kohtuotsusele La Quadrature du Net jt (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) ei ole käesoleval juhul asjakohane.

124

Seda järeldust ei saa seada kahtluse alla, kui võtta arvesse 30. aprilli 2024. aasta kohtuotsust La Quadrature du Net jt (isikuandmed ja võltsimisvastane võitlus) (C‑470/21, EU:C:2024:370), mille kohta paluti käesoleva kohtuasja pooltel menetlust korraldava meetme abil seisukoht võtta.

125

Kohtuasjas, milles tehti 30. aprilli 2024. aasta kohtuotsus La Quadrature du Net jt (isikuandmed ja võltsimisvastane võitlus) (C‑470/21, EU:C:2024:370), oli küsimus selles, kas õiguspärane oli liikmesriigi ametiasutuse, kelle ülesanne on kaitsta autoriõigusi ja nendega kaasnevaid õigusi nende õiguste suhtes internetis toimepandavate rikkumise eest, juurdepääs üldkasutatavate elektroonilise side teenuste osutajate säilitatavatele identiteediandmetele. Täpsemalt oli see juurdepääs põhjendatud eesmärgiga tuvastada IP-aadressi omanik, kes on tegelenud autoriõigusi või sellega kaasnevaid õigusi rikkuva tegevusega, kuna ta tegi kaitstud teosed internetis ebaseaduslikult teistele isikutele allalaadimiseks kättesaadavaks. Neil asjaoludel otsustas Euroopa Kohus, et kohtu või sõltumatu haldusasutuse eelneva kontrolli:

126

Sellest järeldub, et kohtuasi, milles tehti 30. aprilli 2024. aasta kohtuotsus La Quadrature du Net jt (isikuandmed ja võltsimisvastane võitlus) (C‑470/21, EU:C:2024:370), käsitleb riigisiseste asutuste juurdepääsu IP-aadressile võitluses võltsimise vastu ning et selle kohtuasja ese erineb liidust edastatavate isikuandmete masskogumisest luureasutuste poolt. Seega ei saa nimetatud kohtuotsust arvestades asuda seisukohale, et liidust edastatavate isikuandmete masskogumiseks Ameerika Ühendriikide luureasutuste poolt peab olema eelnev luba.

127

Seega tuleb ka see argument tagasi lükata.

128

Kolmandas argumendis väidab hageja sisuliselt, et EIK leidis 25. mai 2021. aasta kohtuotsuses Big Brother Watch jt vs. Ühendkuningriik (CE:ECHR:2021:0525JUD005817013; edaspidi „kohtuotsus Big Brother Watch“), et isikuandmete ulatuslikuks seireks peab olema sõltumatu asutuse eelnev luba alates hetkest, mil on kindlaks määratud jälgimistoimingu eesmärgid ja ulatus. Tema sõnul ei ole käesoleval juhul vaja sellist eelnevat luba liidust edastatavate isikuandmete masskogumiseks Ameerika Ühendriikide luureasutuste poolt.

129

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, ei nõustu hageja argumendiga.

130

Tuleb märkida, et kohtuasi, milles tehti kohtuotsus Big Brother Watch, puudutas eelkõige küsimust, kas EIÕK artikliga 8 on kooskõlas Ühendkuningriigi varjatud jälgimise eeskirjad, mis andsid luureasutustele võimaluse seirata ulatuslikult elektroonilist sidet ja sellega seotud sideandmeid, see tähendab andmeliiklusandmeid, mis olid seotud seiratud sidega, mis toimus põhimõtteliselt väljaspool Briti saari.

131

Lisaks olgu märgitud, et nagu nähtub eespool punktis 29 viidatud kohtupraktikast, tuleb seetõttu, et EIÕK artiklis 8 on samamoodi nagu põhiõiguste harta artiklis 7 sätestatud õigus era- ja perekonnaelu puutumatusele, harta artikli 7 ulatuse tõlgendamisel arvesse võtta EIK praktika, mis käsitleb EIÕK artiklit 8. Sellest järeldub, et kui Üldkohus peaks leidma, et kohtuotsus Big Brother Watch on käesolevas asjas asjakohane, tuleb harta artikli 7 ulatuse tõlgendamisel arvesse võtta EIK poolt selles kohtuotsuses EIÕK artikli 8 ulatuse kohta esitatud kaalutlusi.

132

Sellega seoses tuleb korrata, et kohtuotsuses Big Brother Watch võttis EIK seisukoha Ühendkuningriigi luureteenistuste poolt põhimõtteliselt väljaspool Briti saari teostatud elektroonilise side ja sellega seotud sideandmete massjälgimise õiguspärasuse küsimuses.

133

Nagu aga märkisid käesoleva kohtuasja pooled oma vastuses menetlust korraldavale meetmele ja kohtuistungil, on EIK kohtuotsuses Big Brother Watch esitatud arutluskäik käesoleval juhul asjakohane, kuna isikuandmete massjälgimist, mis oli kõne all nimetatud kohtuotsuse aluseks olnud kohtuasjas, võib pidada vaidlustatud otsuse esemeks olevat masskogumist hõlmavaks.

134

Esiteks tuleb märkida, et kui kohtuotsuse Big Brother Watch prantsuskeelses versioonis on andmekogumise kohta kasutatud väljendit interception en masse, siis ingliskeelses versioonis kasutatakse väljendit bulk interception, mis vastab täpsemalt prantsuskeelsele mõistele interception en vrac.

135

Teiseks, erinevalt sihitud seirest määratles EIK kohtuotsuses Big Brother Watch kõne all oleva andmeseire kui seire, mis ei puuduta konkreetseid isikuid ning võib seetõttu mõjutada suurt hulka isikuid ja nende sideandmeid ning seega olla väga laiaulatuslik, kuna see võimaldab eelkõige koguda teavet välisluure käigus ja avastada teadaolevatelt või teadmata isikutelt tulenevaid uusi ohte. Lisaks leidis EIK, et kuna massjälgimise eesmärk on riikliku julgeoleku kaitse, viisid pädevad asutused seda üldjuhul läbi varjatult, mis tähendab, et nad avalikustasid vaid vähe teavet või ei avalikustanud nad seda üldse selle süsteemi toimimise kohta (vt selle kohta kohtuotsus Big Brother Watch, punkt 322).

136

Kolmandaks leidis EIK kohtuotsuses Big Brother Watch, et kuigi kõik massjälgimise eeskirjad ei olnud välja töötatud sama alusel ja nende rakendamise kord võib muutuda, ilma et alati järgitaks ranget ajatelge, on ulatuslik seire mitmeetapiline protsess, mis toimub sisuliselt neljas järgmises etapis (edaspidi „seireetapid“):

137

Sellest järeldub, et selline isikuandmete masskogumine, mis on vaidlustatud otsuse ese, kuulub EIK kohtuotsuses Big Brother Watch määratletud esimese seireetapi alla, kuna see seisneb suurele hulgale isikutele kuuluvate liidust edastatavate isikuandmete kogumises riigi julgeoleku kaitse eesmärgil.

138

Sellest lähtuvalt tuleb kohtuotsuse Big Brother Watch tulemid võtta arvesse, kui hinnatakse sellise isikuandmete kaitse üldmääruse artikli 45 lõike 3 alusel vastu võetud kaitse piisavuse otsuse õiguspärasust nagu on vaidlustatud otsus.

139

Sellega seoses tuleb esimesena märkida, et kohtuotsuses Big Brother Watch täpsustas EIK, et EIÕK artikkel 8 ei keela massjälgimise kasutamist riigi julgeoleku või muude oluliste riigi huvide kaitsmiseks tõsiste väliste ohtude eest ning et riikidel on ulatuslik kaalutlusruum, et määrata kindlaks, millist liiki seire-eeskirju nad vajavad (kohtuotsus Big Brother Watch, punkt 347).

140

Teisena märkis EIK, et isikuandmete massjälgimisele kohaldatavad kaitsemeetmed peavad olema terviklikud ja moodustama üheskoos mis tahes massjälgimise süsteemi nurgakivi, see tähendab:

141

Kolmandana leidis EIK, et kuigi EIÕK artikkel 8 on kohaldatav kõigi seireetappide suhtes, suureneb vajadus kaitsemeetmete järele menetluse eri etappides, mille käigus suureneb eraelu puutumatuse õiguse riive intensiivsus. Seega leiab ta, et menetluse lõpus, kui analüüsitakse konkreetset isikut puudutavat teavet või kui analüütik uurib side sisu, on kaitsemeetmed kõige olulisemad (vt selle kohta kohtuotsus Big Brother Watch, punktid 330 ja 331).

142

Neljandana leidis EIK, et kuna praktikas ei ole võimalik hõlmata kõiki identimistunnuseid, mida luureasutused kasutavad eelneva loa piires kogutud side filtreerimiseks, siis tuleb selle loa ulatust piirata nii, et see hõlmaks vähemalt kasutatavate identimistunnuste liike või kategooriaid (kohtuotsus Big Brother Watch, punkt 354).

143

Käesoleval juhul tuleb ühelt poolt meelde tuletada, mida Euroopa Kohus leidis kohtuotsustes Schrems I ja Schrems II, et komisjon ei ole kaitse piisavuse otsuse puhul kohustatud tagama, et kolmanda riigi asjakohased sätted on identsed liidus kehtivate sätetega, vaid et need on sisuliselt samaväärsed (vt eespool punktid 19 ja 20).

144

Teiselt poolt tuleb märkida, et kuna Ameerika Ühendriikide luureasutuste poolt isikuandmete masskogumise, mis on käesoleva vaidluse raames vaidlustatud, võib samastada andmepüügiga, mis toimub esimeses seireetapis, mille EIK määratles kohtuotsuses Big Brother Watch, on selles masskogumise konkreetses etapis luureasutuste kaalutlusõigust piiravate kaitsemeetmete järele väiksem vajadus, kui võtta arvesse sellise seire konteksti. Nimelt on käesolevas asjas kõne all üksnes isikuandmete esialgne massjälgimine luureasutuste poolt, mitte hilisem tegevus, mis ei ole hagi ese ja mis võib olenevalt olukorrast seisneda konkreetsete identimistunnuste kohaldamises, kogutud andmete kontrollimises ning nende hilisemas kasutamises või edastamises.

145

Sellest järeldub, et eelneva loa nõude kehtestamine ei ole ainus kaitsemeede, mis isikuandmete massjälgimisega peab kaasnema, vaid see on üks teguritest, mis üheskoos moodustavad mis tahes massjälgimise eeskirjade nurgakivi. Sellega seoses tuleb meelde tuletada, et Ameerika Ühendriikide kehtiv õigus näeb ette õigusnormid, mis reguleerivad piisavalt selgelt ja täpselt seda, kuidas Ameerika Ühendriikide luureasutused isikuandmeid masskoguvad (vt eespool punktid 107–116) ja see annab andmesubjektidele, keda nende andmete edastamine puudutab, õiguse tõhusale õiguskaitsevahendile DPRCs (vt eespool punktid 33–63). Lisaks on vaidlustatud otsuse põhjendustes 162–169 märgitud, ilma et hageja sellele oleks vastu vaielnud, et luureasutuste tegevust kontrollib PCLOB, mis – nagu nähtub eespool punktist 54 – on moodustatud sõltumatu asutusena. Samuti teostavad nende tegevuse üle järelevalvet esiteks õigus-, järelevalve- ja vastavusametnikud, kes igas luureasutuses vastutavad selle õiguse järelevalve ja järgimise eest; teiseks on igal luureasutusel oma sõltumatu peainspektor, kelle tööülesanne on jälgida välisluuretegevust, ning kolmandaks jälgib Ameerika Ühendriikide asutuste tegevuse õiguspärasust Ameerika Ühendriikide presidendi luuretegevuse nõuandekogu (President’s Intelligence Advisory Board (PIAB)) juurde loodud Ameerika Ühendriikide luuretegevuse järelevalve nõukogu (Intelligence Oversight Board (IOB)) ning neljandaks teevad Ameerika Ühendriikide kongressi erikomisjonid järelevalvet kogu Ameerika Ühendriikide välisluuretegevuse üle.

146

Neid kaalutlusi arvestades ei saa järeldada, et asjaolust, et Ameerika Ühendriikide luureasutuse poolt liidust edastatavate isikuandmete esialgseks masskogumiseks ei ole ette nähtud eelneva loa nõuet, on piisav asumaks seisukohale, et võttes arvesse kohtuotsuses Big Brother Watch antud juhiseid, ei ole Ameerika Ühendriikide õiguses ette nähtud sisuliselt samaväärseid kaitsemeetmeid kui on ette nähtud liidu õiguses.

147

Seega ei saa käsitletud argumendiga nõustuda.

148

Neljandas argumendis väidab hageja, et 28. veebruari 2023. aasta arvamuses 5/2023 Euroopa Komisjoni rakendusotsuse eelnõu kohta, mis käsitleb isikuandmete piisavat kaitset ELi-USA andmekaitseraamistiku alusel (edaspidi „arvamus 5/2023“) rõhutas Euroopa Andmekaitsenõukogu (edaspidi „andmekaitsenõukogu“) isikuandmete masskogumise eelneva loa tähtsust. Hageja sõnul ei ole käsitletaval juhul nõutav selline eelnev luba liidust edastatavate isikuandmete masskogumiseks Ameerika Ühendriikide luureasutuste poolt.

149

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, ei nõustu hageja argumendiga.

150

Tuleb märkida, et andmekaitsenõukogu esitas arvamuse 5/2023 isikuandmete kaitse üldmääruse artikli 70 lõike 1 punkti s alusel. Selles sättes on ette nähtud, et andmekaitsenõukogu võib omal algatusel või komisjoni taotlusel esitada komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis.

151

Samas piirdub isikuandmete kaitse üldmääruse artikli 70 lõike 1 kohaselt andmekaitsenõukogu tegevus aga nõuandva funktsiooniga arvamuste, suuniste, soovituste ja parimate tavade koostamisel, ega tekita siduvaid õiguslikke tagajärgi (vt selle kohta Euroopa Kohtu presidendi 29. novembri 2023. aasta määrus andmekaitsenõukogu vs. SRB, C‑413/23 P, ei avaldata, EU:C:2023:1036, punkt 11). Seega ei ole see arvamus siduv komisjonile, kes on vaba hindama, kas asjaomase riigi õigus annab üldiselt isikuandmete masskogumise suhtes liidu õigusega sisuliselt samaväärset kaitsetaseme. Igal juhul tuleb tõdeda, et selles arvamuses ei märkinud andmekaitsenõukogu, et isikuandmete masskogumisele eelkontrolli kehtestamata jätmine takistaks tingimata komisjonil andmast positiivset hinnangut andmekaitseraamistikuga antava isikuandmete kaitse taseme piisavuse kohta. Vastupidi, ta märkis sama arvamuse punktis 165, et see hinnang sõltub kõigist juhtumi asjaoludest ja eelkõige sellest, kas Ameerika Ühendriigid on kehtestanud kohtuliku järelkontrolli ja õiguskaitsevahendid.

152

Selles kontekstis ei võimalda arvamus 5/2023 asuda seisukohale, et Ameerika Ühendriikide luureasutuste poolt liidust edastatavate isikuandmete masskogumiseks peab olema eelnev luba ning et kõnealuse riigi antav kaitse ei ole sisuliselt samaväärne liidu õigusega tagatud kaitsega.

153

Seega tuleb käesolev argument ja seega teise väite teine osa tervikuna tagasi lükata.

154

Teise väite kolmandas osas väidab hageja, et komisjon rikkus põhiõiguste harta artikleid 7 ja 8, kui ta leidis vaidlustatud otsuses, et Ameerika Ühendriikides on sisuliselt samaväärne kaitsetase, kui on tagatud liidu õigusega isikuandmete kaitse üldmääruse alusel koostoimes selle hartaga, hoolimata asjaolust, et E.O. 14086 annab Ameerika Ühendriikide presidendile riigi julgeoleku kaalutlustel õiguse lubada masskogumise erieesmärkide salajast ajakohastamist. Täpsemalt leiab ta, et vastupidi sellele, mida otsustas EIK 4. detsembri 2015. aasta otsuses Roman Zakharov vs. Venemaa (CE:ECHR:2015:1204JUD004714306; edaspidi „kohtuotsus Zakharov“), ei võimalda presidendile antud volitus neid erieesmärke ajakohastada andmesubjektidel, keda isikuandmete edastamine puudutab, täpselt kindlaks teha millises õiguslikus raamistikus neid andmeid Ameerika Ühendriikides töödeldakse.

155

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

156

Tuleb märkida, et kohtuotsuses Zakharov leidis EIK, et era- ja perekonnaelu puutumatuse põhiõigusesse ei saa EIÕK artikli 8 lõike 2 alusel sekkuda muul moel kui kooskõlas seadusega (kohtuotsus Zakharov, punkt 227). Euroopa Kohtu sõnul tähendab väljend „kooskõlas seadusega“ seda, et asjaomane isik peab saama vaidlusaluse meetme õigusliku alusega tutvuda ja selle mõju peab olema ettearvatav (kohtuotsus Zakharov, punkt 228). Side pealtkuulamise valdkonnas ei tähenda „ettearvatavus“ seda, et isikul peab olema võimalik ette näha, millal ametiasutused tema sidet pealt kuulavad, vaid sisuliselt peavad piirangud tema õigusele era- ja perekonnaelu puutumatusele tulenema selgetest reeglitest (kohtuotsus Zakharov, punkt 229).

157

Samuti tuleb meelde tuletada, et vastavalt eespool punktis 29 viidatud kohtupraktikale, tuleb põhjusel, et EIÕK artiklis 8 on samamoodi nagu põhiõiguste harta artiklis 7 sätestatud õigus era- ja perekonnaelu puutumatusele, harta artikli 7 tõlgendamisel arvesse võtta EIÕK artiklit 8 käsitlevat EIK praktikat, mis hõlmab seega ka kohtuotsust Zakharov.

158

Sellega seoses nähtub E.O. 14086 2. jao punkti c alapunkti ii alapunktist C, et Ameerika Ühendriikide presidendile antud õigus ajakohastada masskogumise erieesmärkide loetelu ei ole piiramatu, vaid on piiratud üksnes juhtudega, mil selline ajakohastamine on vajalik riigi julgeoleku uute vajaduste tõttu, nagu uus või suurenenud oht riigi julgeolekule, mille puhul saaks kasutada isikuandmete masskogumist. Lisaks nähtub sellest sättest ja Ameerika Ühendriigid kinnitasid seda ka kohtuistungil, et presidendi poolt nende erieesmärkide ajakohastamine ei ole salajane, vaid riiklik luurejuht avalikustab selle, välja arvatud juhul, kui president leiab, et selline avalikustamine ise kujutab endast ohtu tema riigi julgeolekule. Lisaks kehtivad isegi sellisel juhul masskogumise suhtes kõik E.O. 14086‑s ette nähtud kaitsemeetmed ja piirangud ning kui isik esitab isikuandmetega seotud kaebuse, teeb selle üle järelevalvet CLPO ja vajaduse korral vaatab DPRC selle uuesti läbi.

159

Selles kontekstis ei saa asuda seisukohale, et Ameerika Ühendriikide presidendile antud õigus ajakohastada masskogumise erieesmärkide loetelu on vastuolus nõuetega, mille EIK määras kindlaks kohtuotsuses Zakharov.

160

Seega tuleb teise väite kolmas osa ja seega see väide tervikuna tagasi lükata.

161

Neljandas väites leiab hageja, et komisjon rikkus isikuandmete kaitse üldmääruse artiklit 22, kuna ta ei näinud vaidlustatud otsuses ette sätet, mis annab andmesubjektidele õiguse, et nende kohta ei tehtaks otsuseid, mis põhinevad täielikult isikuandmete automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toovad kaasa neid puudutavaid õiguslikke tagajärgi või avaldavad neile märkimisväärset mõju (edaspidi „täielikult automatiseeritud otsused“).

162

Kõigepealt tuleb märkida, et isikuandmete kaitse üldmääruse artikli 22 sõnastus on järgmine:

„1.   Andmesubjektil on õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

2.   Lõiget 1 ei kohaldata, kui otsus

163

Samuti tuleb märkida, et isikuandmete kaitse üldmääruse artikli 22 lõikes 1 kasutatud mõiste „profiilianalüüs“ on sama määruse artikli 4 lõikes 4 määratletud kui „igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega“.

164

Sellest järeldub, et isikuandmete kaitse üldmääruse artikli 22 kohaselt on igal andmesubjektil õigus sellele, et tema kohta ei võetaks otsust, mis põhineb üksnes isikuandmete automatiseeritud töötlemisel, sealhulgas juhul, kui see meede seisneb tema tegevuse teatud aspektide analüüsimises ja prognoosimises.

165

Vaidlustatud otsusest nähtub aga, et selles ei käsitleta eraldi täielikult automatiseeritud otsuseid.

166

Seega tuleb otsustada, kas selline väljajätt võib mõjutada vaidlustatud otsuse õiguspärasust, kuna see võib seada kahtluse alla otsuse artiklis 1 esitatud järelduse, et Ameerika Ühendriigid tagavad isikuandmete kaitse piisava taseme.

167

Hageja neljanda väite põhjendamiseks esitatud kolme väiteosa tuleb analüüsida selles kontekstis, alustades esimesest ja kolmandast väiteosast, mida tuleb analüüsida koos.

168

Neljanda väite esimeses ja kolmandas osas väidab hageja esiteks, et asjaolu, et täielikult automatiseeritud otsuseid teevad üldjuhul liidus asuvad vastutavad töötlejad, kelle suhtes kohaldatakse isikuandmete kaitse üldmäärust, ei anna tagatist muude juhtumite korral. Teiseks märgib ta, et asjaolu, et Ameerika Ühendriikide õiguses on kehtestatud valdkonnapõhised kaitsemeetmed juhtudeks, kui otsuste tegemine ei kuulu nimetatud määruse kohaldamisalasse, ei ole käesoleval juhul oluline, kuna see asjaolu ei võimalda järeldada, et üldiselt tagavad asjaomase riigi poolt kõigi täielikult automatiseeritud otsuste suhtes kohaldatavad kaitsemeetmed selle määruse artikliga 22 tagatud kaitsega samaväärse kaitse.

169

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

170

Tuleb märkida, et vaidlustatud otsuse põhjendusest 33 nähtub, et liidust Ameerika Ühendriikidesse isikuandmete edastamise puhul tuleb täielikult automatiseeritud otsuste vastuvõtmisega seoses eristada kolme olukorda.

171

Esiteks võib täielikult automatiseeritud otsuseid teha liidu vastutav töötleja, kes on kogunud liidus andmesubjektide isikuandmeid. Sellega seoses tuleb märkida, et isikuandmete kaitse üldmääruse artikli 4 lõikes 7 on vastutav töötleja määratletud kui füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Selle olukorra puhul peab vastutav töötleja selliste otsuste tegemisel järgima selle määruse artiklis 22 ette nähtud nõudeid, kuna selle määruse artikli 3 lõike 1 kohaselt kohaldatakse tema suhtes sedasama määrust.

172

Teiseks võib täielikult automatiseeritud otsuseid teha liidu vastutava töötleja esindajana tegutsev kolmandas riigis asuv volitatud töötleja, kellele liidu vastutav töötleja on edastanud isikuandmed, mis ta on liidus kogunud, või liidu volitatud töötleja nimel tegutsev alamtöötleja, kellele liidu vastutav töötleja on edastanud andmed, mis ta on liidus kogunud. Sellega seoses tuleb täpsustada, et isikuandmete kaitse üldmääruse artikli 4 punktis 8 on volitatud töötleja määratletud kui füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel. Olukorras, kus välismaised volitatud töötlejad tegutsevad liidu vastutava töötleja või volitatud töötleja nimel, kohaldatakse neile selle määruse artikli 3 lõike 1 alusel sedasama määrust. Seega peab nii vastutav töötleja kui ka volitatud töötleja selliste otsuste puhul järgima selle määruse artiklis 22 ette nähtud nõudeid.

173

Kolmandaks võivad täielikult automatiseeritud otsuseid teha vastutavad või volitatud töötlejad, kes ei asu liidus, kuid kellel on suhe liidus asuva andmesubjektiga, sest ta pakub talle kaupu või teenuseid või jälgib tema käitumist. Selliseks olukorraks on isikuandmete kaitse üldmääruse artikli 3 lõikes 2 samuti ette nähtud, et seda määrust kohaldatakse vastutava töötleja ja välismaise volitatud töötleja suhtes. Seega peavad täielikult automatiseeritud otsused vastama nimetatud määruse artiklis 22 ette nähtud nõuetele.

174

Vaidlustatud otsusest ilmneb järelikult, et olukorrad, kus täielikult automatiseeritud otsused ei kuulu isikuandmete kaitse üldmääruse artikli 22 kohaldamisalasse, on vähetähtsad ja piirduvad juhtudega, kus andmekaitseraamistiku organisatsioonid koguvad isikuandmeid otse liidus, ent ei paku liidu kodanikele kaupu või teenuseid ega jälgi nende käitumist selle määruse artikli 3 lõike 2 tähenduses.

175

Vaidlustatud otsuse põhjendustest 35 ja 36 nähtub aga – ilma et hageja sellele vastu vaidleks –, et nendes olukordades on Ameerika Ühendriikide õiguses ette nähtud samalaadsed valdkonnapõhised kaitsemeetmed nagu isikuandmete kaitse üldmääruses sellistes valdkondades nagu laenu andmine, hüpoteeklaenud, tööhõive, eluase ja kindlustus, kus on tõenäolisem, et andmekaitseraamistiku organisatsioonid teevad täielikult automatiseeritud otsuseid.

176

Tarbijakrediidi valdkonnas sisaldavad õiglase krediidiinfo seadus (Fair Credit Reporting Act) ja võrdsete krediidivõimaluste seadus (Equal Credit Opportunity Act) kaitsemeetmeid, mis annavad tarbijatele teatavas vormis õiguse selgitustele ja õiguse vaidlustada täielikult automatiseeritud otsus. Nimetatud seadusi kohaldatakse paljudes valdkondades, sealhulgas krediidi, tööhõive, eluaseme ja kindlustuse valdkonnas. Lisaks annavad tsiviilõiguste seaduse (Civil Rights Act) VII jaotis ja õiglase eluaseme seadus (Fair Housing Act) üksikisikutele kaitse seoses automatiseeritud otsuste tegemisel kasutatavate mudelitega, mis võivad põhjustada diskrimineerimist konkreetsete tunnuste alusel, ja annavad neile õiguse sellised otsused vaidlustada. Lisaks, mis puudutab terviseteavet, siis on ravikindlustuse teisaldatavuse seaduse ja vastutuse seaduse (Health Insurance Portability and Accountability Act) alusel kehtestatud Ameerika Ühendriikide ametiasutuste juhistes nõutud, et meditsiiniteenuste osutajad peavad saama teavet, mis võimaldab neil teavitada üksikisikuid meditsiinisektoris kasutatavatest täielikult automatiseeritud otsustuste tegemise süsteemidest.

177

Selles kontekstis ei saa vastupidi hageja väidetele asuda seisukohale, et Ameerika Ühendriikide õiguses ette nähtud valdkonnapõhised kaitsemeetmed ei ole käesoleval juhul asjakohased, sest need ei ole sama üldkohaldatavad kui isikuandmete kaitse üldmääruse artikkel 22.

178

Sellega seoses tuleb korrata, et kohtuotsustes Schrems I ja Schrems II otsustas Euroopa Kohus, et ei ole nõutud, et asjaomane kolmas riik tagaks liidu õiguskorras tagatud kaitsega võrdsel tasemel kaitse, vaid isikuandmete kaitse üldmääruse artikli 45 lõikes 1 esitatud väljendit „kaitse piisav tase“ tuleb mõista nii, et see nõuab, et kolmas riik tõepoolest tagaks oma riigisisese õigusega või endale võetud rahvusvaheliste kohustustega põhiõiguste ja -vabaduste kaitse taseme, mis on sisuliselt samaväärne sellega, mis on liidus selle määrusega tagatud, tõlgendatuna lähtuvalt põhiõiguste hartast (vt eespool punktid 19 ja 20).

179

Lisaks leidis Euroopa Kohus kohtuotsuses Schrems I, et kuigi vahendid, mida kolmas riik kasutab isikuandmete kaitse piisava taseme tagamiseks, võivad olla erinevad nendest, mida kasutatakse liidus, peavad need vahendid siiski praktikas osutuma tõhusaks, et tagada liidus tagatuga sisuliselt samaväärne kaitse (vt eespool punkt 20).

180

Kõiki neid kaalutlusi arvestades tuleb neljanda väite esimene ja kolmas osa tagasi lükata.

181

Neljanda väite teises osas väidab hageja, et käesoleval juhul ei ole tähtsust asjaolul, et täielikult automatiseeritud otsuseid käsitlevas uuringus – millele on viidatud vaidlustatud otsuse põhjenduses 34 ja mille komisjon tellis 2018. aastal ning mille tulemused on esitatud komisjoni 19. detsembri 2018. aasta aruande COM(2018) 860 (final) Euroopa Parlamendile ja nõukogule andmekaitseraamistiku Privacy Shield toimimise teise iga-aastase läbivaatamise kohta (edaspidi „2018. aasta uuring“) punktis 4.1.5 – on järeldatud, et puuduvad tõendid, et andmekaitseraamistikus Privacy Shield osalevad Ameerika Ühendriikide organisatsioonid on teinud täielikult automatiseeritud otsuseid. Täpsemalt väidab ta, et see uuring viitab otsusele andmekaitseraamistiku Privacy Shield kaitse piisavuse kohta, mille Euroopa Kohus tühistas kohtuotsusega Schrems II, ega võta arvesse praegust olukorda, mida iseloomustab täielikult tehisintellektil põhinevate täielikult automatiseeritud teenuste äärmiselt kiire areng.

182

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

183

Eelkõige nähtub 2018. aasta uuringust, et esiteks ei andnud miski sel ajal alust järeldada, et Ameerika Ühendriikide ettevõtjad, kes osalesid andmekaitseraamistikus Privacy Shield, oleksid teinud täielikult automatiseeritud otsuseid, ja teiseks olid Ameerika Ühendriigid kohaldanud valdkondlikke õigusakte sellistes valdkondades nagu tarbijakrediit, tööhõive, eluase, kindlustus ja tervishoid, kus oli tõenäolisem, et tehakse täielikult automatiseeritud otsuseid.

184

Sellega seoses tuleb esiteks märkida, et 2018. aasta uuringut ei ole otsuses andmekaitseraamistiku Privacy Shield kaitse piisavuse kohta tsiteeritud ja komisjon tellis selle uuringu pärast nimetatud otsuse jõustumist. Seega ei ole käesolevas asjas oluline, et Euroopa Kohus tühistas selle otsuse kohtuotsusega Schrems II. Pealegi ei tühistanud Euroopa Kohus kohtuotsusega Schrems II nimetatud otsust uuringus märgitud asjaolude alusel.

185

Teiseks on küll tõsi, et 2018. aasta uuringus ei ole võetud arvesse faktilist ja õiguslikku olukorda Ameerika Ühendriikides 2023. aastal, mil vaidlustatud otsus vastu võeti, vaid 2018. aastal, kui see uuring tehti. Komisjoni 23. oktoobri 2019. aasta aruanne COM(2019) 495 (final) Euroopa Parlamendile ja nõukogule andmekaitseraamistiku Privacy Shield toimimise kolmanda iga-aastase läbivaatamise kohta kinnitas siiski, et need juhtumid, kus andmekaitseraamistikus Privacy Shield osalevad Ameerika Ühendriikide organisatsioonid olid vastu võtnud täielikult automatiseeritud otsuseid, on vähetähtsad. Nimelt oli selles aruandes muu hulgas märgitud, et andmekaitseraamistikus Privacy Shield osalevate Ameerika Ühendriikide organisatsioonide arv, kes olid teinud täielikult automatiseeritud otsuseid, on väike ning et nende organisatsioonide otsustel ei olnud üldjuhul õiguslikke tagajärgi ja need ei tekitanud andmesubjektidele muid tagajärgi.

186

Kolmandaks tuleb märkida, et hageja ei ole oma menetlusdokumentides esitanud ühtegi tõendit, mis võimaldaks asuda seisukohale, et pärast 2018. aasta uuringu läbiviimist olid Ameerika Ühendriikide organisatsioonid teinud täielikult automatiseeritud otsuseid, ega ole õiguslikult piisavalt selgitanud, miks muudab tehisintellekti areng selle uuringu asjakohatuks.

187

Neil asjaoludel tuleb neljanda väite teine osa ja seega see väide tervikuna tagasi lükata.

188

Viiendas väites leiab hageja, et komisjon rikkus isikuandmete kaitse üldmääruse artiklit 32 koostoimes sama määruse artikli 45 lõikega 2, kui ta leidis vaidlustatud otsuses, et sisuliselt annavad Ameerika Ühendriigid liidus tagatud kaitsega samaväärsel tasemel kaitse, arvestades, et Ameerika Ühendriikide vastutavad töötlejad ja volitatud töötlejad kehtestavad sobivad tehnilised ja korralduslikud meetmed, mille eesmärk on tagada liidust sellesse riiki edastatavate isikuandmete töötlemise turvalisus.

189

Sellega seoses väidab hageja esiteks, et vaidlustatud otsuse I lisa II jao punkti 4 alapunktis a on piirdutud sätestamisega, et andmekaitseraamistiku organisatsioonid peavad rakendama mõistlikke ja kohaseid turbemeetmeid üksnes siis, kui nad tekitavad, säilitavad, kasutavad või levitavad isikuandmeid. Seega ei nõuta tema väitel turbemeetmeid juhuks, kui need organisatsioonid loevad liidust pärit isikuandmeid. Hageja väidab, et andmete lugemine kuulub siiski isikuandmete kaitse üldmääruse artikli 4 lõikes 2 sisalduva mõiste „isikuandmete töötlemine“ alla kuuluvate toimingute hulka.

190

Teiseks väidab hageja, et vaidlustatud otsuse I lisa III jao punkti 6 alapunktis f on ette nähtud, et Ameerika Ühendriikide organisatsioonid, kes lahkuvad andmekaitseraamistikust, peavad jätkuvalt järgima selles otsuses sisalduvaid põhimõtteid, sealhulgas töötlemise turvalisust puudutavaid põhimõtteid seni, kuni nad säilitavad, kasutavad või avalikustavad liidust Ameerika Ühendriikidesse edastatud isikuandmeid, kuid ei näe sellist kohustust ette juhuks, kui need organisatsioonid loevad isikuandmeid.

191

Komisjon, keda toetavad Iirimaa ja Ameerika Ühendriigid, vaidleb hageja argumentidele vastu.

192

Kõigepealt tuleb meelde tuletada, et isikuandmete kaitse üldmääruse artikli 32 sõnastus on järgmine:

„1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

2.   Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.“

193

Seejärel olgu märgitud, et isikuandmete kaitse üldmääruse artikli 4 lõikes 2 on sama määruse artiklis 32 kasutatud mõiste „isikuandmete töötlemine“ määratletud järgmiselt: „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine“.

194

Kohtupraktika kohaselt nähtub eelkõige isikuandmete kaitse üldmääruse artikli 4 lõikes 2 kasutatud väljendist „[mis tahes] toiming“, et liidu seadusandja soovis anda mõistele „töötlemine“ laia ulatuse, mida kinnitab selles sättes nimetatud toimingute mitteammendav loetelu, mis selgub väljendist „nagu“ (vt 7. märtsi 2024. aasta kohtuotsus Endemol Shine Finland, C‑740/22, EU:C:2024:216, punkt 29 ja seal viidatud kohtupraktika).

195

Lõpuks tuleb märkida, et asjaolude hulgas, mida komisjon peab isikuandmete kaitse üldmääruse artikli 45 lõike 2 punkti a alusel kolmanda riigi antava kaitsetaseme hindamisel arvesse võtma, kuuluvad selle riigi poolt isikuandmetele kohaldatavad turbemeetmed.

196

Eeltoodut arvestades tuleb uurida koos mõlemat argumenti, mis hageja on esitanud kõnealuse väite toetuseks.

197

Sellega seoses tuleb meelde tuletada, et vaidlustatud otsuse I lisa II jao punkti 4 alapunkt a on sõnastatud järgmiselt:

„Organisatsioonid, kes tekitavad, säilitavad, kasutavad või levitavad isikuandmeid, peavad rakendama mõistlikke ja kohaseid ettevaatusabinõusid andmete kaitsmiseks kadumise, väärkasutuse ja volitamata juurdepääsu, avalikustamise, muutmise ja hävitamise eest, võttes nõuetekohaselt arvesse töötlemisega seotud riske ning isikuandmete laadi.“

198

Lisaks on vaidlustatud otsuse I lisa III jao punkti 6 alapunkti f sõnastus järgmine:

„Organisatsioon peab kohaldama põhimõtteid kõikide EList […] andmekaitseraamistikule tuginedes saadud isikuandmete suhtes. Kohustus järgida põhimõtteid ei ole ajaliselt piiratud andmete puhul, mida organisatsioon sai ajal, kui tal oli õigus […] andmekaitseraamistiku hüvedele; see kohustus tähendab, et organisatsioon jätkab põhimõtete kohaldamist selliste andmete suhtes nii kaua, kuni organisatsioon neid säilitab, kasutab või avalikustab, isegi kui ta seejärel mis tahes põhjusel […] andmekaitseraamistikust lahkub.“

199

Sellest järeldub, et vaidlustatud otsuse I lisa II jao punkti 4 alapunkt a ja III jao punkti 6 alapunkt f ei puuduta kõiki isikuandmete töötlemise vorme isikuandmete kaitse üldmääruse artikli 4 lõike 2 tähenduses. Vastupidi, ühelt poolt piiritleb esimene neist punktidest andmekaitseraamistiku organisatsioonide kohustuse võtta turbemeetmeid üksnes juhtudel, mil nad isikuandmeid loovad, haldavad, kasutavad või levitavad. Teiselt poolt näeb teine nimetatud punkt ette, et organisatsioonid, kes lahkuvad andmekaitseraamistikust, peavad jätkama vaidlustatud otsuses sisalduvate põhimõtete kohaldamist seni, kuni nad säilitavad, kasutavad või avalikustavad liidust Ameerika Ühendriikidesse edastatud isikuandmeid.

200

Esiteks tuleb meelde tuletada, et kohtuotsustes Schrems I ja Schrems II leidis Euroopa Kohus siiski, et ei ole vaja, et kolmandas riigis oleks tagatud samasugune õiguslik kaitse, nagu on tagatud liidu õiguskorras (vt eespool punktid 19 ja 20). Sellest järeldub, et kuigi komisjon märgib vaidlustatud otsuses, et selle otsuse vastuvõtmise ajal kehtinud Ameerika Ühendriikide õigus tagab kaitsetaseme, mis on sisuliselt samaväärne liidu õiguses ettenähtuga, ei ole vaja, et see otsus sisaldaks täpselt samu mõisteid, kui kasutatakse isikuandmete kaitse üldmääruses.

201

Teiseks, vaidlustatud otsuse I lisa II jao punkti 4 alapunktis a esitatud põhimõtteid tuleb tõlgendada, lähtudes selle otsuse põhjenduses 23 esitatud asjaoludest, milles on sarnaselt isikuandmete kaitse üldmääruse artikliga 32 ette nähtud järgmist:

„Isikuandmeid tuleks ka töödelda viisil, mis tagab nende turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise ning juhusliku kaotsimineku, hävimise või kahju eest. Selleks peaksid vastutavad töötlejad ja volitatud töötlejad võtma asjakohaseid tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid võimalike ohtude eest. Neid meetmeid tuleks hinnata, võttes arvesse tehnika taset ja seonduvaid kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest üksikisikute õigustele tekkivaid riske.“

202

Kolmandaks tuleb märkida, et vaidlustatud otsuse I lisa II jao punkti 4 alapunktis a kasutatud mõisted „tekitama“, „säilitama“, „kasutama“ ja „levitama“ ning sama lisa III jao punkti 6 alapunktis f kasutatud mõisted „säilitama“, „kasutama“ ja „avalikustama“ kujutavad endast isikuandmete kaitse üldmääruse artikli 32 tähenduses isikuandmete „töötlemises“ seisneva toimingu konkreetseid tegevusi ja et sarnaselt selle artikliga on nende eesmärk hõlmata isikuandmetega seotud toiminguid.

203

Neljandaks on nii vaidlustatud otsuse I lisa II jao punkti 4 alapunktis a kui ka sama lisa III jao punkti 6 alapunktis f esitatud mõiste „kasutama“ määratletud kui millegi tarvitamine konkreetsel eesmärgil või otstarbel. Sellest vaatenurgast lähtudes hõlmab isikuandmete kasutamine ka nende lugemist niivõrd, kuivõrd juba määratluse kohaselt on andmete kasutamiseks vaja neile eelnevalt juurde pääseda ja seega neid lugeda. Sellest tuleneb, et hageja argument, mille kohaselt ei ole vaidlustatud otsuses nõutud ühtegi turbemeedet juhuks, kui andmekaitseraamistiku organisatsioonid loevad liidust pärit isikuandmeid, ei ole põhjendatud.

204

Kõiki neid asjaolusid arvestades tuleb viies väide tagasi lükata ja seega jätta hagi tervikuna rahuldamata.

205

Vastavalt kodukorra artikli 134 lõikele 1 on kohtuvaidluse kaotanud pool kohustatud hüvitama kohtukulud, kui vastaspool on seda nõudnud.

206

Kuna komisjon on nõudnud kohtukulude väljamõistmist hagejalt ja hageja on kohtuvaidluse kaotanud, tuleb komisjoni kohtukulud, sealhulgas ajutiste meetmete kohaldamise menetluse kulud, välja mõista hagejalt, kes ühtlasi kannab ise oma kohtukulud.

207

Kodukorra artikli 138 lõike 1 alusel kannavad menetlusse astunud liikmesriigid ja institutsioonid ise oma kohtukulud. Sellest tulenevalt kannab Iirimaa ise oma kohtukulud.

208

Lisaks võib Üldkohus kodukorra artikli 138 lõike 3 alusel otsustada, et menetlusse astuja, keda ei ole selle artikli lõigetes 1 ja 2 nimetatud, kannab ise oma kohtukulud. Käesolevas asjas tuleb otsustada, et Ameerika Ühendriigid kannavad ise oma kohtukulud.

Esitatud põhjendustest lähtudes

ÜLDKOHUS (kümnes koda laiendatud koosseisus)

otsustab: