(1)

Uredbom (EU) 2016/679 (2) utvrđuju se pravila za prijenos osobnih podataka od voditelja obrade ili izvršitelja obrade u Uniji trećim zemljama i međunarodnim organizacijama u mjeri u kojoj je takav prijenos obuhvaćen njezinim područjem primjene. Pravila o međunarodnim prijenosima podataka utvrđena su u poglavlju V. te uredbe. Iako je protok osobnih podataka u zemlje izvan Europske unije i iz njih bitan za širenje prekogranične trgovine i međunarodne suradnje, razina zaštite osobnih podataka u Uniji ne smije se narušiti prijenosima trećim zemljama ili međunarodnim organizacijama (3).

(2)

U skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 Komisija može u provedbenom aktu odlučiti da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje osigurava primjerenu razinu zaštite. Pod tim uvjetom prijenosi osobnih podataka trećoj zemlji mogu se obavljati bez potrebe za bilo kakvim dodatnim odobrenjem, kako je predviđeno u članku 45. stavku 1. i uvodnoj izjavi 103. Uredbe (EU) 2016/679.

(3)

Kako je navedeno u članku 45. stavku 2. Uredbe (EU) 2016/679, donošenje odluke o primjerenosti mora se temeljiti na sveobuhvatnoj analizi pravnog poretka treće zemlje, koja obuhvaća i pravila koja se primjenjuju na uvoznike podataka i ograničenja i zaštitne mjere u pogledu pristupa tijela javne vlasti osobnim podacima. Komisija u procjeni mora utvrditi jamči li predmetna treća zemlja razinu zaštite koja je „u načelu istovjetna” onoj koja je osigurana u Uniji (uvodna izjava 104. Uredbe (EU) 2016/679). To se ocjenjuje s obzirom na zakonodavstvo Unije, ponajprije na Uredbu (EU) 2016/679, te sudsku praksu Suda Europske unije (Sud) (4).

(4)

Kako je pojasnio Sud u presudi od 6. listopada 2015. u predmetu C-362/14, Maximillian Schrems / Data Protection Commissioner (5) (Schrems), to ne zahtijeva utvrđivanje potpuno istovjetne razine zaštite. Naime, pravna sredstva kojima se predmetna treća zemlja koristi za zaštitu osobnih podataka mogu se razlikovati od onih koja se primjenjuju u Uniji, pod uvjetom da se u praksi pokažu djelotvornima za osiguravanje primjerene razine zaštite (6). Prema tome, standard primjerenosti ne podrazumijeva doslovno ponavljanje pravila Unije. Umjesto toga ispituje se pruža li predmetni strani sustav kao cjelina potrebnu razinu zaštite podataka sadržajem prava na privatnost i njihovom djelotvornom provedbom, nadzorom i ostvarivanjem (7). Nadalje, Komisija bi u skladu s presudom pri primjeni tog standarda prvenstveno trebala ocijeniti sadržava li pravni okvir predmetne treće zemlje pravila za ograničavanje zadiranja u temeljna prava osoba čiji se podaci prenose iz Unije koja su državna tijela te zemlje ovlaštena provoditi kad ostvaruju legitimne ciljeve kao što je nacionalna sigurnost, i pruža li učinkovitu pravnu zaštitu protiv takvog zadiranja (8). Smjernice o tome daju se i u Referentnom dokumentu o primjerenosti Europskog odbora za zaštitu podataka, u kojem se nastoji dodatno pojasniti taj standard (9).

(5)

Standard koji se primjenjuje na takvo zadiranje u temeljna prava na privatnost i zaštitu podataka Sud je dodatno pojasnio u presudi od 16. srpnja 2020. u predmetu C-311/18, Data Protection Commissioner / Facebook Ireland Limited i Maximillian Schrems (Schrems II), kojom je Provedbena odluka Komisije (EU) 2016/1250 (10) o prethodnom okviru za transatlantski protok podataka, europsko-američkom sustavu zaštite privatnosti (sustav zaštite privatnosti), proglašena nevaljanom. Sud je smatrao da ograničenja zaštite osobnih podataka koja proizlaze iz nacionalnog prava Sjedinjenih Američkih Država (SAD) o pristupu američkih javnih tijela podacima prenesenima iz Unije u SAD i njihovoj uporabi tih podataka u svrhe nacionalne sigurnosti nisu uređena na način koji ispunjava zahtjeve koji su u načelu istovjetni zahtjevima iz prava Unije, u skladu s kojima zadiranje u pravo na zaštitu podataka mora biti nužno i proporcionalno (11). Sud je smatrao i da osobe čiji su podaci preneseni u SAD nisu raspolagale pravnim sredstvom pred tijelom koje bi im pružilo jamstva koja su u načelu istovjetna onima propisanima člankom 47. Povelje o pravu na djelotvoran pravni lijek (12).

(6)

Nakon što je donesena presuda u predmetu Schrems II, Komisija je započela pregovore s američkom vladom kako bi se donijela nova odluka o primjerenosti koja bi ispunjavala zahtjeve iz članka 45. stavka 2. Uredbe (EU) 2016/679 kako ih tumači Sud. Pregovori su završeni 7. listopada 2022., kad je SAD donio Izvršni nalog br. 14086 o poboljšanju zaštitnih mjera u američkim aktivnostima elektroničkog izviđanja, koji je dopunjen Uredbom o Žalbenom sudu za zaštitu podataka (DPRC) koju je donio glavni državni odvjetnik SAD-a („Uredba glavnog državnog odvjetnika”) (13). Nadalje, okvir za poslovne subjekte koji obrađuju podatke koji se prenose iz Unije ažuriran je ovom Odlukom o okviru EU-a i SAD-a za privatnost podataka.

(7)

Komisija je pažljivo analizirala američko pravo i praksu, uključujući Izvršni nalog br. 14086 i Uredbu glavnog državnog odvjetnika. Na temelju zaključaka iz uvodnih izjava od 9. do 200. Komisija zaključuje da SAD osigurava primjerenu razinu zaštite osobnih podataka koje u skladu s okvirom EU-a i SAD-a za zaštitu podataka voditelj ili izvršitelj obrade u Uniji (14) prenosi certificiranim organizacijama u SAD-u.

(8)

Ova Odluka znači da za prijenose osobnih podataka od voditelja i izvršitelja obrade u Uniji (15) certificiranim organizacijama u SAD-u nisu potrebna daljnja odobrenja. Ona ne utječe na izravnu primjenu Uredbe (EU) 2016/679 na takve organizacije ako su ispunjeni uvjeti u pogledu teritorijalnog područja primjene te uredbe utvrđeni u njezinu članku 3.

(9)

Okvir EU-a i SAD-a za privatnost podataka temelji se na sustavu certificiranja u okviru kojeg se američke organizacije obvezuju da će se pridržavati skupa načela privatnosti koji čine „Načela okvira EU-a i SAD-a za privatnost podataka” i Dodatna načela (zajedno: „Načela”), koji je objavilo Ministarstvo trgovine SAD-a i koji se nalazi u Prilogu I. ovoj Odluci (16). Da bi ispunila uvjete za certificiranje u skladu s okvirom EU-a i SAD-a za privatnost podataka, organizacija mora podlijegati istražnim i provedbenim ovlastima Savezne trgovinske komisije (FTC) ili Ministarstva prometa SAD-a (17). Načela se primjenjuju odmah nakon certificiranja. Kako je detaljnije objašnjeno u uvodnim izjavama od 47. do 51., svakih godinu dana organizacije uključene u okvir EU-a i SAD-a za privatnost podataka moraju se ponovno certificirati kako bi se potvrdilo da se pridržavaju Načela (18).

(10)

Okvir EU-a i SAD-a za privatnost podataka štiti sve osobne podatke koji se iz Unije prenose organizacijama u SAD-u koje posjeduju certifikat Ministarstva trgovine o pridržavanju Načela, osim podataka koji se prikupljaju za objavljivanje, emitiranje ili druge oblike javnog priopćavanja novinarskih materijala i informacija iz već objavljenih materijala iz medijskih arhiva (19). Stoga se takve informacije ne moraju prenositi u skladu s okvirom EU-a i SAD-a za privatnost podataka.

(11)

Osobni podaci/osobne informacije u Načelima su definirani na isti način kao u Uredbi (EU) 2016/679, tj. kao „podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi i koji su obuhvaćeni područjem primjene Opće uredbe o zaštiti podataka (OUZP) te koje je organizacija u SAD-u primila iz EU-a i koji su zabilježeni u bilo kojem obliku” (20). To znači da obuhvaćaju i pseudonimizirane (ili šifrirane) istraživačke podatke (među ostalim i ako se šifra ne daje američkoj organizaciji koja ih prima) (21). Slično tomu, obrada je definirana kao „svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima, bilo automatiziranim bilo neautomatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje ili širenje te brisanje ili uništavanje” (22).

(12)

Okvir EU-a i SAD-a za privatnost podataka primjenjuje se na organizacije u SAD-u koje se smatra voditeljima obrade (tj. osoba ili organizacija koja sama ili s drugima utvrđuje svrhe i sredstva obrade osobnih podataka) (23) ili izvršiteljima obrade (tj. posrednici koji djeluju u ime voditelja obrade) (24). Izvršitelji obrade iz SAD-a moraju se ugovorno obvezati da će postupati samo prema uputama voditelja obrade iz EU-a i pomagati mu da odgovori pojedincima koji ostvaruju svoja prava u skladu s Načelima (25). Nadalje, u slučaju podobrade izvršitelj obrade mora sklopiti ugovor s izvršiteljem podobrade u kojem se jamči razina zaštite jednaka onoj koja je predviđena Načelima te poduzeti korake za njegovu ispravnu provedbu (26).

(13)

Osobni podaci trebali bi se obrađivati zakonito i pošteno. Trebali bi se prikupljati u određenu svrhu i zatim se upotrebljavati samo ako to nije nespojivo sa svrhom obrade.

(14)

U skladu s okvirom EU-a i SAD-a za privatnost podataka to je osigurano Načelima. Prvo, u skladu s načelom cjelovitosti podataka i ograničavanja svrhe, slično kao u skladu s člankom 5. stavkom 1. točkom (b) Uredbe (EU) 2016/679, organizacija ne smije obrađivati osobne podatke na način koji nije u skladu sa svrhom za koju su izvorno prikupljeni ili za koju je ispitanik naknadno dao odobrenje (27).

(15)

Drugo, prije nego što upotrijebi osobne podatke za novu (izmijenjenu) svrhu koja je bitno drukčija no i dalje u skladu s izvornom svrhom ili ih otkrije trećoj strani, organizacija mora ispitanicima omogućiti prigovor (izuzeće), u skladu s načelom izbora (28), u okviru jasnog, vidljivog i lako dostupnog mehanizma. Važno je istaknuti da to načelo ne zamjenjuje izričitu zabranu neusklađene obrade (29).

(16)

Trebale bi postojati posebne zaštitne mjere ako se obrađuju „posebne kategorije” podataka.

(17)

U skladu s načelom izbora posebne zaštitne mjere primjenjuju se ako se obrađuju „osjetljive informacije”, tj. osobni podaci o medicinskom ili zdravstvenom stanju, rasi ili etničkom podrijetlu, političkim stavovima, vjerskim ili filozofskim uvjerenjima, članstvu u sindikatu ili informacije o spolnom životu pojedinca ili sve druge informacije primljene od treće strane koje ta strana smatra osjetljivima i postupa s njima kao takvima (30). To znači da će sve podatke koji se smatraju osjetljivima u skladu s pravom Unije o zaštiti podataka (uključujući podatke o spolnoj orijentaciji, genetske i biometrijske podatke) certificirane organizacije smatrati osjetljivima i u skladu s okvirom EU-a i SAD-a za privatnost podataka.

(18)

Organizacije u pravilu moraju ishoditi izričitu privolu (tj. pristanak) pojedinaca za uporabu osjetljivih informacija ili njihovo otkrivanje trećim stranama u neku drugu svrhu osim one za koju su izvorno prikupljene ili za koju je pojedinac naknadno dao odobrenje (pristankom) (31).

(19)

Ta privola ne mora se dobiti u ograničenim okolnostima koje su slične usporedivim izuzećima predviđenima pravom Unije o zaštiti podataka, na primjer ako je obrada osjetljivih podataka od životno važnog interesa za osobu, ako je potrebna za postavljanje pravnih zahtjeva ili ako je potrebna da bi se pružila medicinska skrb ili dijagnoza (32).

(20)

Podaci bi trebali biti točni i prema potrebi ažurni. Trebali bi biti i primjereni i relevantni i ne bi trebali biti pretjerani u odnosu na svrhe u koje se obrađuju te bi se načelno trebali čuvati samo onoliko dugo koliko je potrebno u svrhe u koje se osobni podaci obrađuju.

(21)

U skladu s načelom cjelovitosti podataka i ograničavanja svrhe (33) osobni podaci moraju biti ograničeni na ono što je relevantno za svrhu obrade. Nadalje, ako je to potrebno za te svrhe, organizacije moraju poduzeti razumne korake da osobni podaci budu pouzdani za namjeravanu uporabu, točni, potpuni i ažurni.

(22)

Osim toga, osobne informacije mogu se čuvati u obliku kojim se utvrđuje identitet pojedinca ili koji omogućuje utvrđivanje njegova identiteta (dakle u obliku osobnih podataka) (34) samo dok služe svrsi za koju su izvorno prikupljene ili za koju je pojedinac naknadno dao odobrenje u skladu s načelom izbora. Ta obveza ne sprečava organizacije da nastave obrađivati osobne informacije i dulje, ali samo onoliko dugo i u onoj mjeri u kojoj takva obrada razumno služi jednoj od sljedećih posebnih svrha koje su slične usporedivim izuzećima predviđenima pravom Unije o zaštiti podataka: arhiviranju u javnom interesu, novinarstvu, književnosti i umjetnosti, znanstvenim i povijesnim istraživanjima i statističkim analizama (35). Ako se osobni podaci čuvaju u jednu od tih svrha, njihova obrada podliježe zaštitnim mjerama iz Načela (36).

(23)

Osobni podaci trebali bi se obrađivati tako da se jamči njihova sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja. U tu bi svrhu voditelji i izvršitelji obrade trebali poduzeti odgovarajuće tehničke ili organizacijske mjere za zaštitu osobnih podataka od mogućih prijetnji. Te bi mjere trebalo procijeniti uzimajući u obzir najnovija dostignuća, povezane troškove te prirodu, opseg, kontekst i svrhe obrade, kao i rizike za prava pojedinaca.

(24)

U skladu s okvirom EU-a i SAD-a za privatnost podataka to se postiže načelom sigurnosti, kojim je slično kao člankom 32. Uredbom (EU) 2016/679 predviđeno poduzimanje razumnih i odgovarajućih sigurnosnih mjera uzimajući u obzir rizike povezane s obradom i prirodom podataka (37).

(25)

Ispitanike bi trebalo obavijestiti o glavnim obilježjima obrade njihovih osobnih podataka.

(26)

Tomu služi načelo obavješćivanja (38), kojim je slično kao zahtjevima transparentnosti iz Uredbe (EU) 2016/679 predviđeno da organizacije među ostalim obavješćuju ispitanike o i. tome da je organizacija uključena u okvir za privatnost podataka, ii. vrsti prikupljenih podataka, iii. svrsi obrade, iv. vrsti ili identitetu trećih strana kojima bi se osobni podaci mogli otkriti i svrhama za to, v. njihovim pojedinačnim pravima, vi. načinu na koji se obratiti organizaciji i vii. dostupnim oblicima pravne zaštite.

(27)

Ta obavijest mora biti jasno i razumljivo navedena kad se od pojedinaca prvi put traži da dostave osobne podatke ili što prije nakon toga, no u svakom slučaju prije nego što se podaci upotrijebe u neku bitno drukčiju (no usklađenu) svrhu od one u koju su prikupljeni ili prije nego što ih se otkrije trećoj strani (39).

(28)

Osim toga, organizacije moraju objaviti svoje politike zaštite privatnosti kojima se prenose Načela (ili ih, u slučaju podataka o ljudskim resursima, učiniti dostupnima pojedincima na koje se odnose) te navesti poveznice na internetske stranice Ministarstva trgovine (uz dodatne pojedinosti o certificiranju, pravima ispitanika i dostupnim mehanizmima pravne zaštite), popis organizacija uključenih u okvir za privatnost podataka i internetske stranice odgovarajućeg pružatelja usluga alternativnog rješavanja sporova (40).

(29)

Ispitanici bi trebali imati određena prava koja mogu ostvariti u odnosu na voditelja ili izvršitelja obrade, osobito pravo na pristup podacima, pravo na prigovor na obradu i pravo na ispravak ili brisanje podataka.

(30)

Načelom pristupa (41) iz okvira EU-a i SAD-a za privatnost podataka ta su prava osigurana pojedincima. Točnije, ispitanici imaju pravo, bez potrebe za opravdanjem, na to da od organizacije dobiju potvrdu o tome obrađuje li ona osobne podatke koji se odnose na njih, da im dostavi te podatke i da dobiju informacije o svrsi obrade, kategorijama osobnih podataka koji se obrađuju i primateljima (kategorijama primatelja) kojima se podaci otkrivaju (42). Organizacije moraju odgovoriti na zahtjeve za pristup u razumnom roku (43). Organizacija može u razumnoj mjeri ograničiti broj zahtjeva za pristup istog pojedinca kojima će udovoljiti u određenom razdoblju i može naplatiti naknadu koja nije pretjerana, na primjer ako su zahtjevi očigledno pretjerani jer se ponavljaju (44).

(31)

Pravo pristupa može se ograničiti samo u izvanrednim okolnostima koje su slične onima predviđenima pravom Unije o zaštiti podataka, osobito ako bi bila povrijeđena legitimna prava drugih osoba, ako bi teret ili trošak omogućivanja pristupa bio nerazmjeran rizicima za privatnost pojedinca u okolnostima slučaja (iako trošak i teret nisu presudni u odlučivanju o tome je li omogućivanje pristupa razumno), ako je vjerojatno da će otkrivanje narušiti zaštitu bitnih prevladavajućih javnih interesa, kao što su nacionalna sigurnost, javna sigurnost ili obrana, ako informacije sadržavaju povjerljive poslovne informacije ili ako se informacije obrađuju isključivo u istraživačke ili statističke svrhe (45). Svako uskraćivanje ili ograničavanje mora biti nužno i opravdano, a organizacija snosi teret dokazivanja ispunjenosti tih zahtjeva (46). U toj procjeni organizacija mora osobito uzeti u obzir interese pojedinca (47). Ako se predmetne informacije mogu izdvojiti od drugih podataka na koje se primjenjuje ograničenje, organizacija mora ispustiti zaštićene informacije i otkriti ostale informacije (48).

(32)

Nadalje, ispitanici imaju pravo na ispravak ili izmjenu netočnih podataka odnosno brisanje podataka koji su obrađeni u suprotnosti s Načelima (49). Osim toga, kako je objašnjeno u uvodnoj izjavi 15., pojedinci imaju pravo prigovora na obradu njihovih podataka u bitno drukčije (no usklađene) svrhe od onih za koje su podaci prikupljeni te na njihovo otkrivanje trećim stranama odnosno imaju pravo na izuzeće od takve obrade i otkrivanja. Ako se osobni podaci upotrebljavaju u svrhe izravnog marketinga, pojedinci imaju opće pravo na izuzeće od takve obrade u bilo kojem trenutku (50).

(33)

U Načelima se izričito ne spominje pitanje odluka koje utječu na ispitanika, a donesene su isključivo na temelju automatizirane obrade osobnih podataka. No, sve odluke koje se temelje na automatiziranoj obradi osobnih podataka prikupljenih u Uniji obično donosi voditelj obrade u Uniji (koji ima izravan odnos s ispitanikom na kojeg se odnose podaci) i stoga se na njih izravno primjenjuje Uredba (EU) 2016/679 (51). To uključuje scenarije prijenosa u kojima obradu vrši strani (npr. američki) poslovni subjekt koji djeluje kao posrednik (izvršitelj obrade) u ime voditelja obrade u Uniji (ili kao izvršitelj podobrade koji djeluje u ime izvršitelja obrade iz Unije nakon što je podatke dobio od voditelja obrade iz Unije koji ih je prikupio) koji onda na temelju toga donosi odluku.

(34)

To je potvrđeno u studiji čiju je izradu Komisija naručila 2018. u kontekstu drugog godišnjeg preispitivanja funkcioniranja sustava zaštite privatnosti (52) i u kojoj se zaključilo da u trenutku izrade nisu postojali dokazi za to da organizacije uključene u sustav zaštite privatnosti obično donose odluke na temelju automatizirane obrade osobnih podataka prenesenih u okviru tog sustava.

(35)

U svakom slučaju, u područjima gdje će poduzeća najvjerojatnije primijeniti automatiziranu obradu osobnih podataka za donošenje odluka koje utječu na pojedinca (npr. odobravanje kredita, ponude hipotekarnih kredita, zapošljavanje, stanovanje i osiguranje) američkim pravom predviđeni su posebni oblici zaštite od negativnih odluka (53). Tim se zakonima obično osigurava pravo pojedinaca na informiranost o konkretnim razlozima na kojima se temelji odluka (npr. odbijanje kredita), na osporavanje nepotpunih ili netočnih informacija (kao i oslanjanja na nezakonite čimbenike) i na pravnu zaštitu. Kad je riječ o potrošačkim kreditima, Zakonom o poštenom izvješćivanju o kreditnoj sposobnosti (Fair Credit Reporting Act – FCRA) i Zakonom o jednakim mogućnostima za dobivanje kredita (Equal Credit Opportunity Act – ECOA) predviđene su zaštitne mjere koje potrošačima omogućuju neki oblik prava na objašnjenje i prava na osporavanje odluke. Ti se zakoni primjenjuju u nizu područja, uključujući kreditiranje, zapošljavanje, stanovanje i osiguranje. Osim toga, određenim zakonima o zabrani diskriminacije, kao što su glava VII. Zakona o građanskim pravima (Civil Rights Act) i Zakon protiv diskriminacije pri prodaji ili iznajmljivanju stambenog prostora (Fair Housing Act), štiti se pojedince od modela koji se upotrebljavaju u automatiziranom donošenju odluka i koji bi mogli dovesti do diskriminacije na temelju određenih značajki te se pojedincima dodjeljuju prava na osporavanje takvih odluka, uključujući automatizirane odluke. Pravilo zaštite privatnosti iz Zakona o prenosivosti i odgovornosti u zdravstvenom osiguranju (Health Insurance Portability and Accountability Act – HIPPA) pak stvara određena prava koja su slična onima iz Uredbe (EU) 2016/679, a odnose se na pristup osobnim zdravstvenim informacijama. Nadalje, prema smjernicama američkih tijela pružatelji zdravstvenih usluga moraju dobiti informacije koje im omogućuju da pojedince informiraju o sustavima za automatizirano donošenje odluka koji se upotrebljavaju u medicinskom sektoru (54).

(36)

Stoga ta pravila pružaju oblike zaštite koji su slični onima predviđenima pravom Unije o zaštiti podataka u malo vjerojatnoj situaciji u kojoj bi organizacija uključena u okvir EU-a i SAD-a za privatnost podataka donosila automatizirane odluke.

(37)

Razina zaštite osobnih podataka koji se prenose iz Unije organizacijama u SAD-u ne smije se ugroziti daljnjim prijenosom tih podataka primateljima u SAD-u ili drugoj trećoj zemlji.

(38)

U skladu s načelom odgovornosti za daljnji prijenos (55) primjenjuju se posebna pravila za „daljnje prijenose”, tj. prijenose osobnih podataka iz organizacije uključene u okvir EU-a i SAD-a za privatnost podataka voditelju ili izvršitelju obrade koji je treća strana, neovisno o tome nalazi li se ta strana u SAD-u ili trećoj zemlji izvan SAD-a (i Unije). Daljnji prijenos dopušten je samo i. u ograničene i određene svrhe, ii. na temelju ugovora između organizacije uključene u okvir EU-a i SAD-a za privatnost podataka i treće strane (56) (ili usporedivog sporazuma grupe poduzeća (57)) i iii. samo ako je treća strana ugovorno obvezana pružati razinu zaštite jednaku onoj koja je zajamčena Načelima.

(39)

Kad se ta obveza pružanja razine zaštite jednake onoj koja je zajamčena Načelima tumači u kombinaciji s načelom cjelovitosti podataka i ograničavanja svrhe, ona prvenstveno znači da treća strana može obrađivati osobne informacije koje su joj prenesene samo u svrhe koje su usklađene sa svrhama u koje su prikupljene ili za koje je pojedinac naknadno dao odobrenje (u skladu s načelom izbora).

(40)

Načelo odgovornosti za daljnji prijenos trebalo bi isto tako tumačiti u vezi s načelom obavješćivanja, a u slučaju daljnjeg prijenosa voditelju obrade koji je treća strana (58) i s načelom izbora prema kojem se ispitanike mora obavijestiti (među ostalim) o vrsti/identitetu primatelja koji je treća strana, svrsi daljnjeg prijenosa i ponuđenom izboru te prema kojem ispitanici imaju pravo na prigovor (izuzeće) ili, u slučaju osjetljivih podataka, na „izričitu privolu” (pristanak) za daljnji prijenos.

(41)

Obveza pružanja razine zaštite jednake onoj koja se zahtijeva Načelima primjenjuje se na sve treće strane uključene u obradu tako prenesenih podataka neovisno o njihovoj lokaciji (SAD ili druga treća zemlja) i kad sam izvorni primatelj koji je treća strana prenese te podatke drugom primatelju koji je treća strana, na primjer u svrhu podobrade.

(42)

U svim slučajevima u ugovoru s primateljem koji je treća strana treba biti navedeno da će, ako utvrdi da više ne može ispunjavati svoju obvezu, primatelj o tome obavijestiti organizaciju uključenu u okvir EU-a i SAD-a za privatnost podataka. Ako se to utvrdi, obrada koju provodi treća strana mora prestati ili se moraju poduzeti drugi razumni i odgovarajući koraci za rješavanje te situacije (59).

(43)

Dodatni oblici zaštite primjenjuju se u slučaju daljnjeg prijenosa posredniku koji je treća strana (tj. izvršitelju obrade). U tom slučaju američka organizacija mora se pobrinuti za to da posrednik postupa samo prema njezinim uputama te mora poduzeti razumne i odgovarajuće korake i. kako bi osigurala da posrednik stvarno obrađuje prenesene osobne informacije u skladu s obvezama organizacije iz Načela i ii. kako bi nakon što primi obavijest, zaustavila i ispravila neovlaštenu obradu (60). Ministarstvo trgovine moglo bi tražiti od organizacije da dostavi sažetak ili reprezentativni primjerak odredbi o zaštiti privatnosti iz ugovora (61). Ako se u lancu (pod)obrade pojave problemi zbog neusklađenosti, organizacija koja je voditelj obrade osobnih podataka u načelu će snositi odgovornost u skladu s načelom pravne zaštite, provedbe i odgovornosti osim ako dokaže da nije odgovorna za događaj zbog kojeg je nastala šteta (62).

(44)

Na temelju načela odgovornosti subjekti koji obrađuju podatke moraju uvesti odgovarajuće tehničke i organizacijske mjere kako bi djelotvorno ispunili svoje obveze u pogledu zaštite podataka te mogli dokazati da su ispunjene, prije svega nadležnom nadzornom tijelu.

(45)

Nakon što se organizacija dobrovoljno odluči za certificiranje (63) u skladu s okvirom EU-a i SAD-a za privatnost podataka, preuzima izvršivu obvezu da stvarno postupa u skladu s Načelima. U skladu s načelom pravne zaštite, provedbe i odgovornosti (64) organizacije uključene u okvir EU-a i SAD-a za privatnost podataka moraju uspostaviti djelotvorne mehanizme za jamčenje usklađenosti s Načelima. Osim toga, organizacije moraju poduzeti mjere kako bi provjerile (65) jesu li njihove politike zaštite privatnosti u skladu s Načelima i potvrdile da se stvarno postupa u skladu s njima. To se može učiniti u okviru sustava samoprocjene, koji mora uključivati unutarnje postupke za osposobljavanje zaposlenika u području provedbe politika zaštite privatnosti organizacije te periodično objektivno preispitivanje usklađenosti ili vanjsko preispitivanje usklađenosti, koje može uključivati reviziju, nasumične provjere ili uporabu tehnologije.

(46)

Osim toga, organizacije moraju čuvati evidenciju o provedbi svoje prakse u skladu s okvirom EU-a i SAD-a za privatnost podataka i, u kontekstu istrage neusklađenosti ili pritužbe zbog neusklađenosti, na zahtjev ih dati na uvid neovisnom tijelu za rješavanje sporova ili nadležnom provedbenom tijelu (66).

(47)

Ministarstvo trgovine upravljat će okvirom EU-a i SAD-a za privatnost podataka i nadzirati ga. Okvir obuhvaća nadzorne i provedbene mehanizme kako bi se moglo provjeriti i osigurati da organizacije uključene u okvir postupaju u skladu s Načelima i kako bi se ispravili svi slučajevi neusklađenosti. Ti su mehanizmi utvrđeni u Načelima (Prilog I.) i obvezama Ministarstva trgovine (Prilog III.), FTC-a (Prilog IV.) i Ministarstva prometa (Prilog V.).

(48)

Za certificiranje u skladu s okvirom EU-a i SAD-a za privatnost podataka (ili godišnje ponovno certificiranje) organizacije moraju javno izjaviti da su se obvezale postupati u skladu s Načelima, omogućiti uvid u svoje politike zaštite privatnosti i u cijelosti ih provoditi (67). Pri podnošenju molbe za (ponovno) certificiranje organizacije moraju dostaviti informacije Ministarstvu trgovine, uključujući naziv predmetne organizacije, opis svrha u koje će organizacija obrađivati osobne podatke, popis osobnih podataka koji će se obuhvatiti certificiranjem te informacije o odabranom načinu provjere, relevantnom neovisnom mehanizmu pravne zaštite i zakonskom tijelu koje je nadležno za osiguranje usklađenosti s Načelima (68).

(49)

Organizacije mogu primati osobne podatke na temelju okvira EU-a i SAD-a za privatnost podataka od datuma kad ih Ministarstvo trgovine unese na popis organizacija uključenih u okvir za privatnost podataka. Radi pravne sigurnosti i izbjegavanja „lažnih izjava” organizacije koje su prvi put u postupku certificiranja ne smiju javno isticati da se pridržavaju Načela prije nego što Ministarstvo trgovine utvrdi da je prijava za certificiranje organizacije dovršena i doda organizaciju na navedeni popis (69). Da bi i dalje mogle primati osobne podatke iz Unije u skladu s okvirom EU-a i SAD-a za privatnost podataka, takve organizacije moraju svake godine ponovno certificirati svoje sudjelovanje u okviru. Ako organizacija napusti okvir EU-a i SAD-a za privatnost podataka iz bilo kojeg razloga, mora ukloniti sve izjave iz kojih bi se moglo zaključiti da i dalje sudjeluje u njemu (70).

(50)

U skladu s obvezama utvrđenima u Prilogu III. Ministarstvo trgovine provjeravat će ispunjavaju li organizacije sve zahtjeve za certificiranje i jesu li uspostavile (javnu) politiku zaštite privatnosti koja sadržava informacije propisane načelom obavješćivanja (71). Oslanjajući se na iskustvo s (ponovnim) certificiranjem u okviru sustava zaštite privatnosti, Ministarstvo trgovine provest će niz provjera kako bi, među ostalim, utvrdilo sadržavaju li politike zaštite privatnosti organizacija poveznicu na ispravan obrazac za pritužbu na internetskim stranicama relevantnog neovisnog mehanizma rješavanja sporova te, ako je više subjekata i podružnica iste organizacije obuhvaćeno prijavom za certificiranje, ispunjavaju li politike zaštite privatnosti svakog od tih subjekata zahtjeve za certificiranje i jesu li lako dostupne ispitanicima (72). Nadalje, Ministarstvo trgovine prema potrebi će stupiti u kontakt s FTC-om i Ministarstvom prometa kako bi provjerilo jesu li organizacije u nadležnosti nadzornog tijela navedenog u prijavi za (ponovno) certificiranje te će surađivati s tijelima za alternativno rješavanje sporova kako bi provjerilo jesu li se organizacije registrirale za neovisni mehanizam pravne zaštite naveden u prijavi za (ponovno) certificiranje (73).

(51)

Ministarstvo trgovine obavijestit će organizacije da, ako žele biti (ponovno) certificirane, moraju riješiti sve probleme utvrđene u preispitivanju. Ako organizacije ne poduzmu mjere u roku koji je utvrdilo Ministarstvo trgovine (na primjer, u slučaju ponovnog certificiranja postupak bi trebao biti dovršen u roku od 45 dana) (74) ili na neki drugi način ne dovrše postupak certificiranja, smatrat će se da su odustale od prijave. U tom slučaju lažno prikazivanje sudjelovanja u okviru EU-a i SAD-a za privatnost podataka ili usklađenosti s okvirom može biti predmet provedbenih mjera FTC-a ili Ministarstva prometa (75).

(52)

Radi pravilne primjene okvira EU-a i SAD-a za privatnost podataka zainteresirane strane, kao što su ispitanici, izvoznici podataka i nacionalna tijela za zaštitu podataka, moraju moći utvrditi koje se organizacije pridržavaju Načela. Kako bi postupak već na samom početku bio transparentan, Ministarstvo trgovine obvezalo se na vođenje i objavu popisa organizacija koje su certificirane da se pridržavaju Načela i u nadležnosti su najmanje jednog provedbenog tijela iz priloga IV. i V. ovoj Odluci (76). Ministarstvo trgovine ažurirat će taj popis na temelju godišnjih prijava organizacija za ponovno certificiranje i svaki put kad se organizacija povuče ili je isključena iz okvira EU-a i SAD-a za privatnost podataka. Osim toga, kako bi i s druge strane sve bilo transparentno, Ministarstvo trgovine vodit će i objavljivati evidenciju organizacija koje su uklonjene s popisa te za svaku navesti razlog zbog kojeg je uklonjena (77). Naposljetku, navest će poveznicu na internetsku stranicu FTC-a o okviru EU-a i SAD-a za privatnost podataka, na kojoj će biti popisane provedbene mjere koje FTC provodi u skladu s okvirom (78).

(53)

Ministarstvo trgovine kontinuirano će raznim mehanizmima pratiti postupaju li organizacije uključene u okvir EU-a i SAD-a za privatnost podataka stvarno u skladu s Načelima (79). Točnije, provodit će „terenske provjere” nasumično odabranih organizacija te ad hoc terenske provjere određenih organizacija kad se utvrde mogući problemi zbog neusklađenosti (npr. ako ih treće strane prijave Ministarstvu trgovine) kako bi provjerilo i. jesu li kontaktne točke za rješavanje pritužbi i zahtjeva ispitanika dostupne i odgovaraju li na njih, ii. je li politika zaštite privatnosti organizacije lako dostupna na njezinim internetskim stranicama i na poveznici na internetskim stranicama Ministarstva trgovine, iii. je li politika zaštite privatnosti organizacije i dalje u skladu sa zahtjevima za certificiranje te iv. je li neovisni mehanizam rješavanja sporova koji je organizacija odabrala dostupan za rješavanje pritužbi (80).

(54)

Ako postoje uvjerljivi dokazi da organizacija ne ispunjava svoje obveze u skladu s okvirom EU-a i SAD-a za privatnost podataka (među ostalim ako Ministarstvo trgovine zaprimi pritužbe ili ako organizacija ne odgovori na njegove upite na zadovoljavajući način), Ministarstvo trgovine zahtijevat će od organizacije da ispuni i dostavi detaljni upitnik (81). Organizaciju koja na upitnik ne odgovori pravodobno i na zadovoljavajući način uputit će se nadležnom tijelu (FTC ili Ministarstvo prometa) radi mogućeg izricanja provedbene mjere (82). Neke od aktivnosti kojima je Ministarstvo trgovine nadziralo usklađenost u okviru sustava zaštite privatnosti bile su redovite terenske provjere iz uvodne izjave 53. i neprekidno praćenje javnih izvješća na temelju kojih je moglo utvrditi, razmotriti i riješiti probleme zbog neusklađenosti (83). Organizacije koje ustrajno ne postupaju u skladu s Načelima uklonit će se s popisa organizacija uključenih u okvir za privatnost podataka te moraju vratiti ili izbrisati osobne podatke koje su primile u skladu s okvirom (84).

(55)

U drugim slučajevima uklanjanja, kao što je dobrovoljno povlačenje iz sudjelovanja ili izostanak ponovnog certificiranja, organizacija mora izbrisati ili vratiti podatke ili ih smije čuvati ako svake godine Ministarstvu trgovine potvrdi da se obvezuje primjenjivati Načela odnosno ako osigura primjerenu zaštitu osobnih podataka drugim odobrenim sredstvima (npr. ugovorom koji je u potpunosti u skladu sa zahtjevima relevantnih standardnih ugovornih odredbi koje je odobrila Komisija) (85). U tom slučaju organizacija mora odrediti i kontaktnu točku za sva pitanja povezana s okvirom EU-a i SAD-a za privatnost podataka.

(56)

Sve lažne izjave o sudjelovanju u okviru EU-a i SAD-a za privatnost podataka odnosno neprimjerenu uporabu certifikacijske oznake tog okvira Ministarstvo trgovine pratit će po službenoj dužnosti i na temelju pritužbi (npr. kad ih primi od tijela za zaštitu podataka) (86). Točnije, Ministarstvo trgovine kontinuirano će provjeravati jesu li organizacije i. koje se povuku iz sudjelovanja u okviru EU-a i SAD-a za privatnost podataka, ii. koje nisu dovršile godišnje ponovno certificiranje (tj. pokrenule su postupak, no nisu ga pravodobno dovršile ili ga uopće nisu pokrenule), iii. koje su uklonjene kao sudionik, prije svega zbog „ustrajne neusklađenosti”, ili iv. koje nisu dovršile početno certificiranje (tj. pokrenule su postupak, no nisu ga pravodobno dovršile) iz objavljenih politika zaštite privatnosti uklonile sva relevantna upućivanja na okvir EU-a i SAD-a za privatnost podataka iz kojih bi se moglo zaključiti da organizacija aktivno sudjeluje u okviru (87). Ministarstvo trgovine pretraživat će i internet kako bi pronašlo upućivanja na okvir EU-a i SAD-a za privatnost podataka u politikama zaštite privatnosti organizacija, među ostalim radi pronalaska lažnih izjava organizacija koje nikad nisu sudjelovale u tom okviru (88).

(57)

Ako Ministarstvo trgovine utvrdi da upućivanja na okvir EU-a i SAD-a za privatnost podataka nisu uklonjena ili se neprimjereno upotrebljavaju, obavijestit će organizaciju o mogućem upućivanju slučaja FTC-u ili Ministarstvu prometa (89). Ako organizacija ne odgovori na zadovoljavajući način, Ministarstvo trgovine uputit će predmet nadležnoj agenciji radi mogućeg izricanja provedbene mjere (90). Organizacija koja obmanjujućim izjavama ili praksom javnosti lažno prikazuje da se pridržava Načela podliježe provedbenim mjerama FTC-a, Ministarstva prometa ili drugih nadležnih američkih provedbenih tijela. Lažno prikazivanje Ministarstvu trgovine kažnjivo je u skladu sa Zakonom o davanju lažnog iskaza (False Statements Act, glava 18. članak 1001. Zakonika SAD-a).

(58)

Kako bi se u praksi osigurala primjerena razina zaštite podataka, trebalo bi uspostaviti neovisno nadzorno tijelo s ovlastima za praćenje i provedbu usklađenosti s pravilima o zaštiti podataka.

(59)

Organizacije uključene u okvir EU-a i SAD-a za privatnost podataka moraju biti u nadležnosti američkih tijela koja imaju istražne i provedbene ovlasti potrebne da bi se stvarno osigurala usklađenost s Načelima, a to su FTC i Ministarstvo prometa (91).

(60)

FTC je neovisno tijelo koje se sastoji od pet povjerenika koje imenuje predsjednik nakon što dobije savjete i suglasnost Senata (92). Povjerenici se imenuju na sedmogodišnji mandat i može ih razriješiti jedino predsjednik zbog neučinkovitog izvršavanja službenih obveza, zanemarivanja dužnosti ili zlouporabe položaja. U FTC-u najviše tri povjerenika smiju pripadati istoj političkoj stranci i povjerenici se tijekom mandata ne smiju baviti nikakvim drugim poslovnim djelatnostima i zanimanjima niti se zaposliti.

(61)

FTC može istraživati usklađenost s Načelima i lažne izjave organizacija koje više nisu na popisu organizacija uključenih u okvir za privatnost podataka ili nikada nisu bile certificirane o tome da se pridržavaju Načela ili sudjeluju u okviru EU-a i SAD-a za privatnost podataka (93). FTC može osigurati usklađenost ishođenjem upravnih ili saveznih sudskih naloga (uključujući „ukaze o suglasnosti” donesene u postupcima nagodbe) (94) za prethodnu zabranu ili zabranu do okončanja postupka ili druga pravna sredstva te će sustavno pratiti izvršenje tih naloga (95). Ako organizacija ne postupi u skladu s tim nalozima, FTC može tražiti izricanje građanskopravnih sankcija i drugih pravnih sredstava, među ostalim za sve štete nastale nezakonitim postupanjem. Svaki ukaz o suglasnosti koji se izda organizaciji uključenoj u okvir EU-a i SAD-a za privatnost podataka morat će sadržavati odredbe o samoizvješćivanju (96), a organizacije će morati objaviti sve relevantne dijelove svojih izvješća o usklađenosti ili procjeni koja su podnijele FTC-u koji se odnose na okvir EU-a i SAD-a za privatnost podataka. Naposljetku, FTC će voditi internetski popis organizacija obuhvaćenih nalogom FTC-a ili sudskim nalogom u predmetima povezanima s okvirom EU-a i SAD-a za privatnost podataka (97).

(62)

U okviru sustava zaštite privatnosti FTC je izrekao provedbene mjere u oko 22 slučaja zbog povreda određenih zahtjeva okvira (npr. organizacija nije potvrdila Ministarstvu trgovine da i dalje primjenjuje oblike zaštite u skladu sa sustavom zaštite privatnosti nakon što je napustila okvir, organizacija nije ni u okviru samoprocjene ni u okviru vanjskog preispitivanja usklađenosti provjerila postupa li u skladu s okvirom) (98) i zbog lažnih izjava o sudjelovanju u okviru (npr. izjave organizacija koje nisu dovršile korake potrebne za certificiranje ili koje su dopustile da im certifikat istekne, no lažno su prikazivale da i dalje sudjeluju u okviru) (99). Do tih provedbenih mjera došlo je, među ostalim, zbog proaktivne uporabe upravnih sudskih poziva za dobivanje dokumenata od određenih sudionika sustava zaštite privatnosti kako bi se provjerilo je li došlo do materijalnih povreda obveza iz sustava zaštite privatnosti (100).

(63)

Općenitije, FTC je posljednjih godina poduzeo provedbene mjere u nizu predmeta koji su se odnosili na usklađenost s posebnim zahtjevima zaštite podataka koji su predviđeni i okvirom EU-a i SAD-a za privatnost podataka, na primjer u pogledu načela ograničavanja svrhe i čuvanja podataka (101), smanjenja količine podataka (102), sigurnosti podataka (103) i točnosti podataka (104).

(64)

Ministarstvo prometa ima isključivu ovlast regulirati praksu zaštite privatnosti zračnih prijevoznika te s FTC-om dijeli nadležnost za praksu zaštite privatnosti posrednika u prodaji karata za usluge zračnog prijevoza. Službenici Ministarstva prometa prvo pokušavaju postići nagodbu, a ako to nije moguće, mogu pokrenuti provedbeni postupak koji uključuje izvođenje dokaza pred upravnim sucem Ministarstva prometa koji ima ovlast izdavati naloge za obustavu i građanskopravne sankcije (105). Neovisnost i nepristranost upravnih sudaca na razne je načine zaštićena Zakonom o upravnom postupku (Administrative Procedure Act – APA). Na primjer, može ih se razriješiti samo iz valjanih razloga, rotiraju se pri dodjeli predmeta, ne mogu obavljati dužnosti koje nisu u skladu s njihovim dužnostima i odgovornostima u svojstvu upravnog suca, ne može ih nadzirati istražni tim tijela koje ih zapošljava (u ovom slučaju Ministarstvo prometa) i moraju nepristrano izvršavati svoju pravosudnu/provedbenu funkciju (106). Ministarstvo prometa obvezalo se da će pratiti izvršenje provedbenih naloga i pobrinuti se za to da su nalozi doneseni u predmetima povezanima s okvirom EU-a i SAD-a za privatnost podataka dostupni na njegovim internetskim stranicama (107).

(65)

Kako bi se osigurala primjerena zaštita, a naročito ostvarivanje prava pojedinca, ispitaniku bi trebalo pružiti djelotvornu upravnu i sudsku zaštitu.

(66)

Odbor za pravne zaštite, provedbe i odgovornosti iz okvira EU-a i SAD-a za privatnost podataka organizacije moraju osigurati pravnu zaštitu pojedinaca na koje utječe neusklađenost, a time i omogućiti ispitanicima iz Unije da podnose pritužbe zbog neusklađenosti organizacija uključenih u okvir EU-a i SAD-a za zaštitu podataka i da se te pritužbe rješavaju, prema potrebi odlukom o djelotvornom pravnom lijeku (108). U okviru certificiranja organizacije moraju ispuniti zahtjeve tog načela uspostavom djelotvornih i lako dostupnih neovisnih mehanizama pravne zaštite u okviru kojih se pritužbe i sporovi svakog pojedinca mogu istražiti i brzo riješiti bez naknade (109).

(67)

Organizacije mogu odabrati neovisne mehanizme pravne zaštite u Uniji ili u SAD-u. Kako je detaljnije objašnjeno u uvodnoj izjavi 73., to uključuje mogućnost da se dobrovoljno obvežu na suradnju s tijelima za zaštitu podataka iz EU-a. Ako organizacije obrađuju podatke o ljudskim resursima, obvezne su surađivati s tijelima za zaštitu podataka iz EU-a. Druge su mogućnosti neovisno alternativno rješavanje sporova ili programi za zaštitu privatnosti razvijeni u privatnom sektoru u čija su pravila ugrađena Načela. Takvi programi moraju sadržavati djelotvorne provedbene mehanizme u skladu sa zahtjevima načela pravne zaštite, provedbe i odgovornosti.

(68)

Stoga su u okviru EU-a i SAD-a za privatnost podataka ispitanicima dostupne razne mogućnosti za ostvarenje njihovih prava, podnošenje pritužbi zbog neusklađenosti organizacija uključenih u okvir i rješavanje njihovih pritužbi, prema potrebi odlukom o djelotvornom pravnom lijeku. Pojedinci mogu podnijeti pritužbu izravno organizaciji, neovisnom tijelu za rješavanje sporova koje odredi organizacija, nacionalnim tijelima za zaštitu podataka, Ministarstvu trgovine ili FTC-u. Ako se njihove pritužbe ne riješe nijednim od tih mehanizama pravne zaštite ili provedbenih mehanizama, pojedinci imaju pravo zatražiti i obvezujuću arbitražu (Prilog I. uz Prilog I. ovoj Odluci). Osim arbitražnog odbora, čija se intervencija može zatražiti tek nakon što se iscrpe određena pravna sredstva, pojedinci se mogu poslužiti bilo kojim ili svim mehanizmima pravne zaštite po svojem izboru i ne moraju odabrati samo jedan ili pratiti poseban redoslijed.

(69)

Prvo, ispitanici iz Unije mogu tražiti rješavanje slučajeva neusklađenosti s Načelima izravnim obraćanjem organizacijama uključenima u okvir EU-a i SAD-a za privatnost podataka (110). Kako bi olakšala rješavanje, organizacija mora uspostaviti djelotvoran mehanizam pravne zaštite za rješavanje takvih pritužbi. Stoga organizacija svojom politikom zaštite privatnosti pojedince mora jasno obavijestiti o unutarnjoj ili vanjskoj kontaktnoj točki koja će rješavati pritužbe (uključujući sve relevantne subjekte u Uniji koji mogu odgovarati na upite ili pritužbe) i o odabranom neovisnom tijelu za rješavanje sporova (vidjeti uvodnu izjavu 70.). Organizacija mora odgovoriti ispitaniku iz Unije u roku od 45 dana od primitka pritužbe izravno od pojedinca ili preko Ministarstva trgovine kojem je pritužbu uputilo tijelo za zaštitu podataka (111). Slično tomu, organizacije moraju brzo odgovoriti na upite i druge zahtjeve za informacije Ministarstva trgovine ili tijela za zaštitu podataka (112) (ako se organizacija obvezala surađivati s tijelom za zaštitu podataka) koji se odnose njihovo pridržavanje Načela.

(70)

Drugo, pojedinci mogu podnijeti pritužbu izravno neovisnom tijelu za rješavanje sporova (u SAD-u ili Uniji) koje organizacija odredi za istragu i rješavanje pojedinačnih pritužbi (osim ako su očito neutemeljene ili neosnovane) te za pružanje odgovarajuće besplatne pravne zaštite pojedincu (113). Sankcije i pravna sredstva koje odredi takvo tijelo moraju biti dovoljno strogi da se njima osigura usklađenost organizacija s Načelima te bi trebali dovesti do toga da organizacija poništi ili ispravi učinke neusklađenosti i, ovisno o okolnostima, prekine daljnju obradu predmetnih osobnih podataka i/ili ih izbriše te objavi informacije o utvrđenoj neusklađenosti (114). Neovisna tijela za rješavanje sporova koje odredi organizacija moraju na svojim javnim internetskim stranicama navesti informacije o okviru EU-a i SAD-a za privatnost podataka i usluge koje pružaju na temelju njega (115). Svake godine moraju objaviti godišnje izvješće s agregiranim statističkim podacima o tim uslugama (116).

(71)

U okviru preispitivanja usklađenosti Ministarstvo trgovine može provjeriti jesu li organizacije uključene u okvir EU-a i SAD-a za privatnost podataka doista registrirane u okviru neovisnih mehanizama pravne zaštite u skladu sa svojim izjavama (117). Organizacije i odgovorni neovisni mehanizmi pravne zaštite moraju brzo odgovoriti na upite i zahtjeve Ministarstva trgovine za informacije povezane s tim okvirom. Ministarstvo trgovine surađivat će s neovisnim mehanizmima pravne zaštite kako bi provjerilo jesu li ti mehanizmi na svojim internetskim stranicama naveli informacije o Načelima i uslugama koje pružaju u skladu s okvirom te objavljuju li godišnja izvješća (118).

(72)

Ako organizacija ne postupi u skladu s odlukom tijela za rješavanje sporova ili samoregulatornog tijela, to tijelo mora o tome obavijestiti Ministarstvo trgovine i FTC (ili drugo američko tijelo nadležno za istragu neusklađenosti organizacije) ili nadležni sud (119). Ako organizacija odbije postupiti u skladu s konačnom odlukom samoregulatornog tijela za zaštitu privatnosti, neovisnog tijela za rješavanje sporova ili vladina tijela ili ako takvo tijelo utvrdi da organizacija često ne postupa u skladu s Načelima, to se može smatrati ustrajnom neusklađenosti, u kojem će slučaju Ministarstvo trgovine, nakon što joj da rok od 30 dana i priliku za odgovor, organizaciju koja ne postupa u skladu s Načelima ukloniti s popisa organizacija uključenih u okvir za privatnost podataka (120). Ako, nakon što je se ukloni s popisa, organizacija i dalje izjavljuje da je certificirana u skladu s okvirom EU-a i SAD-a za privatnost podataka, Ministarstvo trgovine uputit će je FTC-u ili drugoj provedbenoj agenciji (121).

(73)

Treće, pojedinci mogu podnijeti pritužbe i nacionalnom tijelu za zaštitu podataka u Uniji, koje može iskoristiti svoje istražne i korektivne ovlasti na temelju Uredbe (EU) 2016/679. Organizacije su dužne surađivati s tijelima za zaštitu podataka pri istrazi i rješavanju pritužbi ako se one odnose na obradu podataka o ljudskim resursima prikupljenih u kontekstu radnog odnosa ili ako se predmetna organizacija dobrovoljno podvrgnula nadzoru tijela za zaštitu podataka (122). Organizacije prije svega moraju odgovarati na upite, postupati u skladu sa savjetima tijela za zaštitu podataka, među ostalim o korektivnim ili kompenzacijskim mjerama, i dostaviti tijelu za zaštitu podataka pisanu potvrdu da su te mjere poduzete (123). Slučajeve nepostupanja u skladu s njegovim savjetom tijelo za zaštitu podataka upućuje Ministarstvu trgovine (koje može organizacije ukloniti s popisa organizacija uključenih u okvir EU-a i SAD-a za privatnost podataka) odnosno FTC-u ili Ministarstvu prometa, koji mogu naložiti provedbene mjere (nesuradnja s tijelima za zaštitu podataka i neusklađenost s Načelima kažnjivi su u američkom pravu) (124).

(74)

Kako bi se olakšala suradnja radi djelotvornog rješavanja pritužbi, i Ministarstvo trgovine i FTC uspostavili su posebnu kontaktnu točku koja je odgovorna za izravnu komunikaciju s tijelima za zaštitu podataka (125). Te kontaktne točke pomažu tijelima za zaštitu podataka s upitima o usklađenosti organizacije s Načelima.

(75)

Tijelo za zaštitu podataka izdaje savjet (126) nakon što su obje stranke u sporu imale razumnu mogućnost iznijeti primjedbe i dostaviti dokaze. Odbor može dati savjet čim to bude moguće u skladu s propisanim postupkom, u pravilu u roku od 60 dana od primitka pritužbe (127). Ako organizacija ne postupi u skladu sa savjetom u roku od 25 dana od njegova primitka i ne ponudi prihvatljivo objašnjenje za kašnjenje, odbor može poslati obavijest o svojoj namjeri da proslijedi predmet FTC-u (ili drugom nadležnom američkom provedbenom tijelu) ili da zaključi da je došlo do teškog kršenja obveze suradnje. U prvom slučaju to može dovesti do izricanja provedbene mjere u skladu s člankom 5. Zakona o FTC-u (ili sličnim zakonom) (128). U drugom slučaju odbor će obavijestiti Ministarstvo trgovine, koje će odbijanje organizacije da postupi u skladu sa savjetom odbora tijela za zaštitu podataka smatrati ustrajnom neusklađenosti, što će dovesti do uklanjanja organizacije s popisa organizacija uključenih u okvir za privatnost podataka.

(76)

Ako tijelo za zaštitu podataka kojem je upućena pritužba nije poduzelo mjere za njezino rješavanje ili te mjere nisu dovoljne, podnositelj pritužbe može zbog takvog (ne)postupanja pokrenuti postupak pred nacionalnim sudovima nadležne države članice EU-a.

(77)

Pojedinci mogu podnijeti pritužbe tijelima za zaštitu podataka čak i ako organizacija nije odredila njihov odbor kao tijelo za rješavanje sporova. U tim slučajevima tijelo za zaštitu podataka takve pritužbe može uputiti Ministarstvu trgovine ili FTC-u. Radi lakše i bolje suradnje na pitanjima povezanima s pojedinačnim pritužbama i neusklađenosti organizacija uključenih u okvir EU-a i SAD-a za privatnost podataka Ministarstvo trgovine uspostavit će posebnu kontaktnu točku za komunikaciju koja će pomagati s upitima tijela za zaštitu podataka o usklađenosti organizacije s Načelima (129). Slično tomu, FTC se obvezao na uspostavljanje posebne kontaktne točke (130).

(78)

Četvrto, Ministarstvo trgovine obvezalo se da će primati i preispitivati pritužbe zbog neusklađenosti organizacija s Načelima te učiniti sve što može da ih riješi (131). U tu svrhu Ministarstvo trgovine ima uspostavljene posebne postupke kojima tijela za zaštitu podataka upućuju pritužbe posebnoj kontaktnoj točki, prate ih i dodatno komuniciraju s organizacijama radi lakšeg rješavanja pritužbi (132). Kako bi se ubrzala obrada pojedinačnih pritužbi, kontaktna točka izravno komunicira s nadležnim tijelom za zaštitu podataka o problemima zbog neusklađenosti, a posebno ga informira o statusu pritužbi u roku od najviše 90 dana od upućivanja (133). To ispitanicima omogućuje da pritužbe zbog neusklađenosti organizacija uključenih u okvir EU-a i SAD-a za privatnost podataka podnesu izravno svojim nacionalnim tijelima za zaštitu podataka i da ih se proslijedi Ministarstvu trgovine kao američkom tijelu koje upravlja

(79)

Ako na temelju provjera po službenoj dužnosti, pritužbi ili bilo kojih drugih informacija Ministarstvo trgovine zaključi da organizacija ustrajno ne postupa u skladu s Načelima, može je ukloniti s popisa organizacija uključenih u okvir za privatnost podataka (134). Odbijanje postupanja u skladu s konačnom odlukom samoregulatornog tijela za zaštitu privatnosti, neovisnog tijela za rješavanje sporova ili vladina tijela, uključujući tijelo za zaštitu privatnosti, smatrat će se ustrajnom neusklađenosti (135).

(80)

Peto, organizacija uključena u okvir EU-a i SAD-a za privatnost podataka mora biti u nadležnosti američkih tijela, osobito FTC-a (136), koja imaju istražne i provedbene ovlasti potrebne da bi se stvarno osigurala usklađenost s Načelima. FTC daje prednost razmatranju predmeta o neusklađenosti s Načelima koje su mu uputila neovisna tijela za rješavanje sporova ili samoregulatorna tijela, Ministarstvo trgovine i tijela za zaštitu podataka (na vlastitu inicijativu ili na temelju pritužbi) kako bi utvrdio je li došlo do povrede članka 5. Zakona o FTC-u (137). FTC se obvezao uspostaviti standardizirani postupak upućivanja predmeta, odrediti kontaktnu točku kojoj tijela za zaštitu podataka mogu upućivati predmete i razmjenjivati informacije o upućenim predmetima. Osim toga, pritužbe može prihvaćati izravno od pojedinaca i na vlastitu inicijativu pokretati istrage povezane s okvirom EU-a i SAD-a za privatnost podataka, osobito u okviru svojih istraga problema povezanih sa zaštitom privatnosti

(81)

Šesto, kao posljednji mehanizam pravne zaštite koji se upotrebljava samo ako se drugim dostupnim oblicima pravne zaštite pritužba pojedinca ne riješi na zadovoljavajući način, ispitanik iz Unije može zatražiti obvezujuću arbitražu pred Odborom za okvir EU-a i SAD-a za privatnost podataka (138). Organizacija mora obavijestiti pojedince o mogućnosti da zatraže obvezujuću arbitražu te su, odabere li pojedinac tu mogućnost, dužne odgovoriti slanjem obavijesti predmetnoj organizaciji (139).

(82)

Odbor za okvir EU-a i SAD-a za privatnost podataka sastoji se od najmanje deset arbitara koje će imenovati Ministarstvo trgovine i Komisija na temelju njihove neovisnosti, integriteta i iskustva u području američkog prava o zaštiti privatnosti i Unijina prava o zaštiti podataka. Za svaki pojedini spor stranke biraju jednog ili tri (140) arbitra iz te skupine.

(83)

Ministarstvo trgovine odabralo je Međunarodni centar za rješavanje sporova (ICDR), međunarodni odjel Američkog udruženja za arbitražu (AAA), za vođenje arbitraža. Postupci pred Odborom za okvir EU-a i SAD-a za privatnost podataka bit će uređeni nizom usuglašenih pravila arbitraže i kodeksom ponašanja imenovanih arbitara. Na internetskim stranicama Međunarodnog centra za rješavanje sporova Američkog udruženja za arbitražu navedene su jasne i sažete informacije za pojedince o mehanizmu arbitraže i postupku za pokretanje arbitraže.

(84)

Pravila arbitraže koja usuglase Ministarstvo prometa i Komisija dopunjuju okvir EU-a i SAD-a za privatnost podataka čijih nekoliko značajki povećava dostupnost tog mehanizma ispitanicima iz Unije: i. pri pripremi zahtjeva za odbor ispitaniku smije pomoći njegovo nacionalno tijelo za zaštitu podataka, ii. arbitraža će se odvijati u SAD-u, ali ispitanici iz Unije mogu odlučiti sudjelovati videokonferencijom ili telefonskom konferencijom, što će im se besplatno omogućiti, iii. jezik na kojem će se odvijati arbitraža u pravilu će biti engleski, ali će se pri arbitražnom saslušanju ispitaniku na obrazložen zahtjev u načelu pružiti besplatna usluga prevođenja, iv. naposljetku, iako svaka stranka mora snositi vlastite odvjetničke troškove, ako stranku pred odborom zastupa odvjetnik, Ministarstvo trgovine vodit će fond u koji organizacije uključene u okvir EU-a i SAD-a za privatnost podataka svake godine uplaćuju doprinose i iz kojeg se pokrivaju troškovi arbitražnog postupka do najvećeg iznosa koji odrede američka tijela u dogovoru s Komisijom (141).

(85)

Odbor za okvir EU-a i SAD-a za privatnost podataka ima ovlasti odrediti pojedinačnu nenovčanu pravičnu naknadu (142) potrebnu da bi se ispravila neusklađenost s Načelima. Iako odbor pri donošenju odluke uzima u obzir druga pravna sredstva već iskorištena u okviru drugih mehanizama uključenih u okvir EU-a i SAD-a za privatnost podataka, pojedinci ipak mogu pokrenuti arbitražu ako smatraju da ta druga pravna sredstva nisu dostatna. To ispitanicima iz Unije omogućuje da zatraže arbitražu svaki put kad postupanjem ili nepostupanjem organizacija uključenih u okvir EU-a i SAD-a za privatnost podataka, neovisnih mehanizama pravne zaštite ili nadležnih američkih tijela (npr. FTC) nisu na zadovoljavajući način riješene njihove pritužbe. Arbitraža se ne može zatražiti ako tijelo za zaštitu podataka ima pravne ovlasti riješiti predmetnu pritužbu na rad organizacije uključene u okvir EU-a i SAD-a za privatnost podataka, odnosno u slučajevima u kojima je organizacija obvezna ili se dobrovoljno obvezala surađivati i postupati u skladu sa savjetima tijela za zaštitu podataka o obradi podataka o ljudskim resursima prikupljenih u kontekstu radnog odnosa. Pojedinci mogu zatražiti provedbu arbitražne odluke pred američkim sudovima u skladu sa Saveznim zakonom o arbitraži (Federal Arbitration Act), čime im je osigurano pravno sredstvo ako organizacija ne postupi u skladu sa savjetima.

(86)

Sedmo, ako organizacija ne ispunjava svoju obvezu da poštuje Načela i objavljenu politiku zaštite privatnosti, u američkom pravu predviđeni su dodatni oblici sudske zaštite, među ostalim za naknadu štete. Na primjer, pojedinci u određenim okolnostima mogu ostvariti sudsku zaštitu (uključujući naknadu štete) u skladu s državnim potrošačkim zakonima u slučaju lažnog prikazivanja, nepoštenog ili prijevarnog postupanja ili prakse (143) i u skladu s odštetnim pravom (osobito u slučaju štetnih radnji zadiranja u privatni život (144), prisvajanja imena ili lika (145) i javnog objavljivanja privatnih činjenica (146)).

(87)

Opisanim oblicima pravne zaštite osigurava se učinkovito rješavanje svih pritužbi na neusklađenost certificiranih organizacija s okvirom EU-a i SAD-a za privatnost podataka, kao i učinkovito ispravljanje te neusklađenosti.

(88)

Komisija je ocijenila i ograničenja i zaštitne mjere, uključujući mehanizme za nadzor i pravnu zaštitu pojedinaca dostupne u pravu SAD-a u vezi s osobnim podacima prenesenima voditeljima i izvršiteljima obrade u SAD-u koje američka javna tijela prikupljaju i naknadno upotrebljavaju zbog javnog interesa, osobito u svrhe kaznenog progona i nacionalne sigurnosti (vladin pristup) (147). Pri ocjenjivanju ispunjavaju li uvjeti pod kojima je vladi omogućen pristup podacima prenesenima u SAD u skladu s ovom Odlukom test „načelne istovjetnosti” u skladu s člankom 45. stavkom 1. Uredbe (EU) 2016/679, kako je tumači Sud s obzirom na Povelju o temeljnim pravima, Komisija je uzela u obzir nekoliko kriterija.

(89)

Svako ograničenje prava na zaštitu osobnih podataka mora biti predviđeno zakonom, a u samoj se pravnoj osnovi kojom se dopušta zadiranje u takvo pravo mora utvrditi doseg ograničenja ostvarivanja predmetnog prava (148). Nadalje, da bi se ispunio zahtjev proporcionalnosti, prema kojem se odstupanja od zaštite osobnih podataka i ograničenja te zaštite u demokratskom društvu moraju primjenjivati samo ako je to nužno za ostvarenje specifičnih ciljeva od općeg interesa koji su jednakovrijedni onima koje priznaje Unija, u toj pravnoj osnovi moraju biti utvrđena jasna i precizna pravila o dosegu i primjeni predmetnih mjera i moraju se uvesti minimalne zaštitne mjere tako da osobe čiji su podaci preneseni raspolažu dostatnim jamstvima koja omogućuju djelotvornu zaštitu njihovih osobnih podataka od rizika zlouporabe (149). Osim toga, ta pravila i zaštitne mjere moraju biti pravno obvezujući i pojedinci moraju moći tražiti ostvarenje svojeg prava na njih (150). Točnije, ispitanici moraju imati mogućnost pokretanja postupka pred neovisnim i nepristranim sudom radi pristupa svojim osobnim podacima ili njihova ispravka ili brisanja (151).

(90)

Kad je riječ o zadiranju u osobne podatke koji se u skladu s okvirom EU-a i SAD-a za privatnost podataka prenose u svrhe kaznenog progona, pravom SAD-a propisan je niz ograničenja pristupa osobnim podacima i njihove uporabe te su predviđeni mehanizmi nadzora i pravne zaštite koji su u skladu sa zahtjevima iz uvodne izjave 89. ove Odluke. Uvjeti pod kojima je takav pristup moguć i zaštitne mjere koje se primjenjuju na upotrebu tih ovlasti detaljno se ocjenjuju u odjeljcima u nastavku. U tom je pogledu američka vlada (odnosno Ministarstvo pravosuđa) dala jamstva o primjenjivim ograničenjima i zaštitnim mjerama (Prilog VI. ovoj Odluci).

(91)

Da bi u svrhe kaznenog progona pristupili osobnim podacima koje obrađuju certificirane američke organizacije, a koji bi se prenosili iz Unije na temelju okvira EU-a i SAD-a za privatnost podataka, američki savezni tužitelji i savezni agenti provode drukčije postupke, kako je detaljnije objašnjeno u uvodnim izjavama od 92. do 99. Isti se postupci provode i kad se informacije prikupljaju od bilo koje američke organizacije neovisno o državljanstvu ili boravištu dotičnih ispitanika (152).

(92)

Prvo, na zahtjev službenika saveznog tijela kaznenog progona ili odvjetnika u ime vlade sudac može izdati nalog za pretragu ili zapljenu (među ostalim i elektronički pohranjenih podataka) (153). Takav nalog može se izdati samo ako postoji „osnovana sumnja” (154) da se „zapljenjivi predmeti” (dokazi o kaznenom djelu, predmeti u nezakonitom posjedu ili imovina koja je osmišljena, predviđena ili se upotrebljava za počinjenje kaznenog djela) vjerojatno nalaze na mjestu navedenom u nalogu. U nalogu mora biti navedena imovina ili predmet koji će se zaplijeniti te sudac kojem se nalog mora vratiti. Osoba koja je predmet pretrage ili čija je imovina predmet pretrage može podnijeti prijedlog za odbijanje izvođenja dokaza pribavljenih nezakonitom pretragom ili izvedenih na temelju takve pretrage ako se ti dokazi iznesu protiv te osobe u kaznenom postupku (155). Kad je dužan otkriti podatke na temelju naloga, nositelj podataka (npr. poduzeće) obvezu otkrivanja ponajprije može osporavati kao prekomjerno opterećenje (156).

(93)

Drugo, u slučaju istraga određenih teških kaznenih djela (157), najčešće na zahtjev saveznog tužitelja, velika porota (istražni ogranak suda koji sastavlja sudac ili pomoćni sudac) može izdati sudski poziv kako bi se osobu obvezalo da dostavi ili da na uvid poslovne evidencije, elektronički pohranjene informacije ili druge fizičke predmete. Nadalje, određenim propisima ovlašćuju se upravni sudski pozivi na dostavu ili davanje na uvid poslovnih evidencija, elektronički pohranjenih informacija ili drugih fizičkih predmeta u istragama povezanima s prijevarom u zdravstvu, zlostavljanjem djece, zaštitom koju pruža Tajna služba i kontroliranim tvarima te istragama glavnog inspektora (158). U oba slučaja informacije moraju biti relevantne za istragu, a sudski poziv ne smije biti nerazuman, odnosno preopsežan, opresivan ni opterećujući (te ga primatelj može osporavati na temelju tih razloga) (159).

(94)

Upravni sudski pozivi jedan su od glavnih alata za pristup civilnih ili regulatornih tijela (pristup zbog „javnog interesa”) podacima poduzeća u SAD-u, a na njega se primjenjuju vrlo slični uvjeti. Ovlasti agencija s civilnim i regulatornim odgovornostima za izdavanje takvih upravnih sudskih poziva moraju se utvrditi zakonom. Uporaba upravnog sudskog poziva podliježe „provjeri opravdanosti”, u kojoj se ispituje provodi li se istraga u legitimnu svrhu, jesu li informacije zatražene u sudskom pozivu relevantne za tu svrhu, raspolaže li agencija već informacijama koje traži u sudskom pozivu te jesu li poduzeti potrebni administrativni koraci za izdavanje sudskog poziva (160). U sudskoj praksi Vrhovnog suda pojašnjena je i potreba za postizanjem ravnoteže između važnosti javnog interesa u pogledu traženih informacija i važnosti interesa pojedinaca i organizacija u pogledu privatnosti (161). Iako za uporabu upravnog sudskog poziva nije potrebno prethodno sudsko odobrenje, ona podliježe sudskom preispitivanju ako je primatelj osporava na temelju prethodno navedenih razloga ili ako agencija koja ga je izdala želi provesti sudski poziv na sudu (162). Uz ta opća glavna ograničenja posebni (stroži) zahtjevi mogu proizlaziti iz pojedinačnih zakona (163).

(95)

Treće, tijela kaznenog progona mogu dobiti pristup podacima o komunikaciji na temelju nekoliko pravnih osnova. Sud može izdati nalog kojim odobrava prikupljanje informacija o biranim brojevima, preusmjeravanju, adresiranju i signaliziranju bez sadržaja u stvarnom vremenu za telefonski broj ili e-adresu (uređajima za bilježenje ulaznih i izlaznih poziva) ako utvrdi da je tijelo potvrdilo da su informacije koje će se vjerojatno dobiti relevantne za istragu u kaznenom postupku koja je u tijeku (164). U nalogu moraju biti navedeni, među ostalim, identitet osumnjičenika ako je poznat, obilježja komunikacije na koju se nalog odnosi i pravna kvalifikacija kaznenog djela na koje se odnose informacije koje se prikupljaju. Uporaba uređaja za bilježenje ulaznih i izlaznih poziva može se odobriti na najviše 60 dana, a to se razdoblje može produljiti isključivo novim sudskim nalogom.

(96)

Pristup u svrhe kaznenog progona informacijama o pretplatnicima, podacima o prometu i pohranjenom sadržaju komunikacije u posjedu pružatelja internetskih usluga, telefonskih operatera i pružatelja usluga koji su treća strana može se dobiti na temelju Zakona o pohranjenoj komunikaciji (165). Kako bi mogla dobiti pohranjeni sadržaj elektroničke komunikacije, tijela kaznenog progona u načelu moraju od suca ishoditi nalog na temelju osnovane sumnje da predmetni račun sadržava dokaze o kaznenom djelu (166). Informacije o registraciji pretplatnika, IP adrese i povezane vremenske oznake te informacije o naplati ta tijela mogu dobiti na temelju sudskog poziva. Za većinu drugih pohranjenih informacija bez sadržaja, kao što su zaglavlja e-poruka bez predmeta, tijela kaznenog progona moraju ishoditi sudski nalog koji će sudac izdati ako postoji opravdana pretpostavka da su tražene informacije relevantne i bitne za istragu u kaznenom postupku koja je u tijeku.

(97)

Pružatelji koji prime zahtjeve na temelju Zakona o pohranjenoj komunikaciji mogu dobrovoljno obavijestiti klijenta ili pretplatnika čije se informacije traže, osim ako nadležno tijelo kaznenog progona ishodi nalog za zaštitu kojim se zabranjuje obavješćivanje (167). Nalog za zaštitu je sudski nalog kojim se pružatelju usluga elektroničke komunikacije ili računalnih usluga na daljinu kojem je upućen nalog, sudski poziv ili sudski nalog zabranjuje obavješćivanje drugih osoba o postojanju naloga, sudskog poziva ili sudskog naloga na razdoblje koje sud smatra primjerenim. Nalozi za zaštitu izdaju se ako sud utvrdi da postoji razlog za pretpostavku da bi se obavješćivanjem znatno ugrozila istraga ili neopravdano odgodilo suđenje, na primjer jer bi se time ugrozio život ili fizička sigurnost pojedinca, omogućio bijeg od kaznenog progona ili zastrašili mogući svjedoci. Na temelju memoranduma zamjenika glavnog državnog odvjetnika (koji je obvezujući za sve odvjetnike i agente Ministarstva pravosuđa) tužitelji moraju detaljno obrazložiti zašto je nalog o zaštiti potreban i sudu obrazložiti na koji su način u određenom predmetu ispunjeni zakonski kriteriji za ishođenje naloga za zaštitu (168). Njime je ujedno propisano da se u zahtjevu za nalog za zaštitu u pravilu ne smije tražiti odgoda obavješćivanja dulja od godine dana. Ako je u izvanrednim okolnostima potreban nalog duljeg trajanja, njega se može zatražiti samo uz pisanu suglasnost nadzornika kojeg određuje američki glavni državni odvjetnik ili nadležni pomoćnik glavnog državnog odvjetnika. Nadalje, kad zatvara istragu, tužitelj mora odmah procijeniti postoji li osnova za daljnju primjenu važećih naloga za zaštitu te, ako ne postoji, ukinuti nalog za zaštitu i pobrinuti se da se o tome obavijesti pružatelj usluga (169).

(98)

Tijela kaznenog progona isto tako mogu u stvarnom vremenu presretati telefonsku, usmenu ili elektroničku komunikaciju na temelju sudskog naloga u kojem sudac utvrdi, među ostalim, da postoji osnovana sumnja da će se prisluškivanjem ili elektroničkim presretanjem pronaći dokazi o saveznom kaznenom dijelu ili o lokaciji bjegunca od kaznenog progona (170).

(99)

Dodatna zaštita osigurana je politikama i smjernicama Ministarstva pravosuđa, uključujući Smjernice glavnog državnog odvjetnika za domaće operacije FBI-ja (AGG-DOM), kojima je među ostalim propisano da Savezni istražni ured (FBI) mora upotrebljavati istražne metode kojima se najmanje zadire u privatnost, uzimajući u obzir utjecaj na privatnost i građanske slobode (171).

(100)

Prema izjavama američke vlade prethodno opisana, jednaka ili viša razina zaštite primjenjuje se na istrage tijela kaznenog progona na državnoj razini (u pogledu istraga koje se provode u skladu s državnim zakonima) (172). Točnije, ustavne odredbe te zakoni i sudska praksa na državnoj razini potvrđuju prethodno navedenu zaštitu od nerazumnih pretraga i zapljena jer je njima propisano izdavanje naloga za pretragu (173). Slično zaštiti koja se pruža na saveznoj razini, nalozi za pretragu mogu se izdati samo ako se dokaže osnovana sumnja i u njima se mora opisati mjesto koje će se pretraživati i osoba ili stvar koja će se zaplijeniti (174).

(101)

Raznim zakonima, smjernicama i standardima propisane su posebne zaštitne mjere za daljnju uporabu podataka koje su prikupila savezna tijela kaznenog progona. Uz iznimku posebnih instrumenata koji se primjenjuju na aktivnosti FBI-ja (Smjernice glavnog državnog odvjetnika za domaće operacije FBI-ja i Vodič FBI-ja za domaće istrage i operacije), zahtjevi opisani u ovom odjeljku općenito se primjenjuju na sva savezna tijela, odnosno njihovu daljnju uporabu podataka, uključujući podatke kojima se pristupa u civilne ili regulatorne svrhe. To uključuje zahtjeve koji proizlaze iz memoranduma/propisa Ureda za upravljanje i proračun, Zakona o modernizaciji savezne informacijske sigurnosti (Federal Information Security Management Modernization Act), Zakona o e-vladi (E-Government Act) i Zakona o saveznim evidencijama (Federal Records Act – FRA).

(102)

U skladu s ovlastima iz Zakona Clinger–Cohen (dio E Javnog zakona br. 104–106) i Zakona o računalnoj sigurnosti iz 1987. (Computer Security Act) (Javni zakon br. 100–235) Ured za upravljanje i proračun (OMB) izdao je Okružnicu br. A-130 o uspostavljanju općih obvezujućih smjernica za sve savezne agencije (uključujući tijela kaznenog progona) pri rukovanju informacijama na temelju kojih se može utvrditi identitet pojedinca (175). Njome je propisano da sve savezne agencije moraju „ograničiti stvaranje, prikupljanje, uporabu, obradu, pohranu, održavanje, širenje i otkrivanje informacija na temelju kojih se može utvrditi identitet pojedinca na mjeru u kojoj su zakonski ovlaštene za te aktivnosti i u kojoj su te aktivnosti relevantne i opravdano se smatraju nužnima za pravilno izvršavanje funkcija za koje je agencija ovlaštena” (176). Nadalje, u mjeri u kojoj je to razumno izvedivo savezne agencije moraju osigurati točnost, relevantnost, pravodobnost i potpunost informacija na temelju kojih se može utvrditi identitet pojedinca te smanjiti njihovu količinu na onu koja je nužna za pravilno izvršavanje njihovih funkcija. Općenitije govoreći, savezne agencije moraju uspostaviti sveobuhvatan program zaštite privatnosti radi usklađivanja s primjenjivim zahtjevima zaštite privatnosti, izraditi i ocjenjivati politike zaštite privatnosti te upravljati rizicima za privatnost, provoditi postupke za otkrivanje i dokumentiranje slučajeva neusklađenosti s propisima o privatnosti i izvješćivanje o njima, izraditi programe za informiranje i osposobljavanje zaposlenika i izvođača o privatnosti te uspostaviti politike i postupke kojima se osigurava odgovornost osoblja za usklađenost sa zahtjevima i politikama zaštite privatnosti (177).

(103)

Nadalje, Zakonom o e-vladi (178) propisano je da sve savezne agencije (uključujući tijela kaznenog progona) trebaju uvesti oblike zaštite u području informacijske sigurnosti koji su razmjerni riziku od i razini štete koja bi nastala neovlaštenim pristupom, uporabom, otkrivanjem, presretanjem, izmjenom ili uništavanjem, imati glavnog službenika za informacije koji osigurava usklađenost sa zahtjevima informacijske sigurnosti i provesti godišnju neovisnu evaluaciju (npr. može je provesti glavni inspektor, vidjeti uvodnu izjavu 109.) svojeg programa i prakse u području informacijske sigurnosti (179). Slično tomu, u skladu sa Zakonom o saveznim evidencijama (180) i dopunskim propisima (181) na informacije u posjedu saveznih agencija moraju se primjenjivati zaštitne mjere za očuvanje fizičke cjelovitosti informacija i zaštitu od neovlaštenog pristupa njima.

(104)

U skladu s ovlastima iz saveznih zakona, uključujući Zakon o modernizaciji savezne informacijske sigurnosti iz 2014., Ured za upravljanje i proračun i Nacionalni institut za standarde i tehnologiju (NIST) izradili su standarde koji su obvezujući za sve savezne agencije (uključujući tijela kaznenog progona) i u kojima se dodatno preciziraju minimalni zahtjevi informacijske sigurnosti koje treba uspostaviti, uključujući kontrole pristupa, informiranje i osposobljavanje, planiranje djelovanja u nepredvidivim okolnostima, odgovaranje na incidente, alate za reviziju i odgovornost, jamčenje cjelovitosti sustava i informacija te procjene sigurnosnog rizika (182). Nadalje, sve savezne agencije (uključujući tijela kaznenog progona) moraju u skladu sa smjernicama Ureda za upravljanje i proračun imati i provoditi plan postupanja u slučaju povreda podataka, koji uključuje i odgovaranje na takve povrede i procjenu rizika od štete (183).

(105)

Kad je riječ o čuvanju podataka, Zakonom o saveznim evidencijama (184) propisano je da američke savezne agencije (uključujući tijela kaznenog progona) moraju utvrditi razdoblje čuvanja svojih evidencija (nakon kojeg ih treba ukloniti), koje mora odobriti Uprava za nacionalne arhive i evidencije (185). Razdoblje čuvanja utvrđuje se ovisno o raznim čimbenicima, na primjer vrsti istrage ili daljnjoj relevantnosti dokaza za istragu. U Smjernicama glavnog državnog odvjetnika za domaće operacije FBI-ja propisano je da FBI mora imati plan čuvanja evidencija i održavati sustav iz kojeg se odmah može dohvatiti status istraga i osnova po kojoj se provode.

(106)

Naposljetku, u Okružnici Ureda za upravljanje i proračun br. A-130 navedeni su određeni zahtjevi za širenje informacija na temelju kojih se može utvrditi identitet pojedinca. Širenje i otkrivanje informacija na temelju kojih se može utvrditi identitet pojedinca u načelu mora biti ograničeno na mjeru u kojoj je agencija zakonski ovlaštena za te aktivnosti i u kojoj su te aktivnosti relevantne i opravdano se smatraju nužnima za pravilno izvršavanje funkcija agencije (186). Pri dijeljenju informacija na temelju kojih se može utvrditi identitet pojedinca s drugim vladinim tijelima američke savezne agencije prema potrebi moraju u okviru pisanih sporazuma (uključujući ugovore, sporazume o uporabi podataka, sporazume o razmjeni informacija i memorandume o razumijevanju) odrediti uvjete (uključujući provedbu određenih kontrola sigurnosti i privatnosti) za obradu informacija (187). Smjernicama glavnog državnog odvjetnika za domaće operacije FBI-ja i Vodičem FBI-ja za domaće istrage i operacije (188) propisane su osnove za širenje podataka, pa tako FBI može imati pravnu obvezu širiti podatke (npr. na temelju međunarodnog sporazuma) ili mu je dopušteno širiti podatke u određenim okolnostima, na primjer drugim američkim agencijama ako je otkrivanje u skladu sa svrhom u koju su informacije prikupljene i ako je povezano s njihovim odgovornostima, kongresnim odborima, stranim agencijama ako su informacije povezane s njihovim odgovornostima i ako je širenje u skladu s interesima SAD-a, ako je širenje prvenstveno potrebno radi sigurnosti ili zaštite osoba ili imovine odnosno radi zaštite od ili sprečavanja kaznenog djela ili prijetnje nacionalnoj sigurnosti i ako je otkrivanje u skladu sa svrhom u koju su informacije prikupljene (189).

(107)

Aktivnosti saveznih agencija kaznenog progona nadziru razna tijela (190). Kako je objašnjeno u uvodnim izjavama 92.–99., to većinom uključuje prethodni nadzor koji obavljaju pravosudna tijela, koja moraju odobriti pojedinačne mjere prikupljanja prije njihove primjene. Osim toga, druga tijela nadziru različite faze aktivnosti tijela kaznenog progona, uključujući prikupljanje i obradu osobnih podataka. Ta pravosudna i nepravosudna tijela zajedno osiguravaju neovisni nadzor tijela kaznenog progona.

(108)

Prvo, u raznim ministarstvima koja su, među ostalim, odgovorna za kazneni progon rade službenici za privatnost i građanske slobode (191). Iako se konkretne ovlasti tih službenika mogu donekle razlikovati ovisno o zakonu kojim su propisane, one obično obuhvaćaju nadzor postupaka kako bi se osiguralo da predmetno ministarstvo/agencija na primjereni način štiti privatnost i građanske slobode te da je uspostavilo primjerene postupke za rješavanje pritužbi pojedinaca koji smatraju da su im ugrožene privatnost ili građanske slobode. Ministri ili ravnatelji agencija moraju službenicima za privatnost i građanske slobode osigurati materijale i resurse za izvršavanje mandata, kao i pristup svim materijalima i osoblju nužnima za izvršavanje njihovih funkcija, te ih informirati i savjetovati se s njima o predloženim izmjenama politika (192). Službenici za privatnost i građanske slobode periodično izvješćuju Kongres, među ostalim o broju i prirodi pritužbi koje je zaprimilo ministarstvo/agencija, uz navođenje sažetka odgovora na te pritužbe, o provedenim preispitivanjima i istragama te o učinku aktivnosti koje je službenik proveo (193).

(109)

Drugo, aktivnosti Ministarstva pravosuđa, uključujući aktivnosti FBI-ja, nadzire i neovisni glavni inspektor (194). Glavni inspektori zakonski su neovisni (195) i odgovorni za provedbu neovisnih istraga, revizija i inspekcija programa i operacija ministarstva. Imaju pristup svim evidencijama, izvješćima, revizijama, preispitivanjima, dokumentima, spisima, preporukama ili drugim relevantnim materijalima, prema potrebi na temelju sudskog naloga, i mogu uzimati iskaze (196). Iako glavni inspektori izdaju neobvezujuće preporuke korektivnih mjera, njihova izvješća, uključujući ona o daljnjim mjerama (ili nepostojanju takvih mjera) (197), u pravilu se objavljuju i šalju Kongresu, koji na osnovi toga može vršiti svoju nadzornu funkciju (vidjeti uvodnu izjavu 111.) (198).

(110)

Treće, u mjeri u kojoj provode protuterorističke aktivnosti, ministarstva odgovorna za kazneni progon podliježu nadzoru Odbora za nadzor privatnosti i građanskih sloboda (PCLOB), neovisne agencije u okviru izvršne vlasti sastavljene od dvostranačkog peteročlanog odbora koji imenuje predsjednik na fiksni šestogodišnji mandat uz odobrenje Senata (199). U skladu sa zakonom na temelju kojeg je osnovan PCLOB je odgovoran za politike za borbu protiv terorizma i njihovu provedbu u cilju zaštite privatnosti i građanskih sloboda. Za potrebe preispitivanja taj odbor može pristupiti svim relevantnim evidencijama, izvješćima, revizijama, preispitivanjima, dokumentima, spisima i preporukama agencije, uključujući klasificirane podatke, te obavljati razgovore i uzimati iskaze (200). Prima izvješća službenika za građanske slobode i privatnost nekoliko saveznih ministarstava/agencija (201), može davati preporuke državnim tijelima i tijelima kaznenog progona te redovito izvješćuje kongresne odbore i predsjednika (202). Izvješća tog odbora, uključujući ona Kongresu, moraju biti što dostupnija javnosti (203).

(111)

Naposljetku, aktivnosti kaznenog progona nadziru posebni odbori američkog Kongresa (odbori za pravosuđe Zastupničkog doma i Senata). Odbori za pravosuđe provode redoviti nadzor na razne načine, osobito u okviru saslušanja, istraga, preispitivanja i izvješća (204).

(112)

Kako je već navedeno, tijela kaznenog progona većinom moraju ishoditi prethodno sudsko odobrenje za prikupljanje osobnih podataka. Iako to nije obavezno u slučaju upravnih sudskih poziva, ti se pozivi izdaju samo u posebnim situacijama i podliježu neovisnom sudskom preispitivanju barem u slučajevima kad vlada traži provedbu sudskim putem. Naime, primatelji upravnih sudskih poziva mogu ih osporiti na sudu na osnovi toga da su nerazumni, odnosno preopsežni, opresivni ili opterećujući (205).

(113)

Pojedinci mogu najprije podnijeti zahtjeve ili pritužbe tijelima kaznenog progona u vezi s obradom njihovih osobnih podataka. To uključuje mogućnost traženja pristupa osobnim podacima i njihova ispravka (206). Kad je riječ o protuterorističkim aktivnostima, pojedinci mogu podnijeti pritužbu i službenicima za privatnost i građanske slobode (ili drugim službenicima za privatnost) u tijelima kaznenog progona (207).

(114)

Nadalje, u američkom pravu predviđen je niz oblika sudske zaštite pojedinaca protiv javnih tijela ili njihovih službenika ako ta tijela obrađuju osobne podatke (208). Ti oblici zaštite, koji prije svega uključuju Zakon o upravnom postupku (APA), Zakon o pravu na pristup informacijama (Freedom of Information Act – FOIA) i Zakon o zaštiti privatnosti elektroničke komunikacije (Electronic Communications Privacy Act – ECPA), dostupni su svim pojedincima neovisno o državljanstvu u skladu sa svim primjenjivim uvjetima.

(115)

Općenito, u skladu s odredbama Zakona o upravnom postupku (209) koje se odnose na sudsko preispitivanje, „svaka osoba koja je pretrpjela štetu zbog mjere agencije protivne zakonu ili na koju je mjera agencije štetno djelovala odnosno kojoj su mjerom agencije povrijeđena prava” ima pravo tražiti sudsko preispitivanje (210). To uključuje mogućnost da od suda zatraži da „proglasi nezakonitima i ukine mjere, nalaze i zaključke agencija za koje se utvrdi da su […] samovoljni i doneseni iz inata, da čine zlouporabu diskrecijskih prava ili da na drugi način nisu u skladu sa zakonom” (211).

(116)

Točnije, u glavi II. Zakona o zaštiti privatnosti elektroničke komunikacije (212) utvrđuje se sustav zakonskih prava na privatnost i uređuje pristup radi kaznenog progona telefonskoj, usmenoj ili elektroničkoj komunikaciji koju pohranjuju pružatelji usluga koji su treća strana (213). Njome se kriminalizira nezakonit pristup takvoj komunikaciji (tj. koji nije sudski odobren ili inače dopušten) te se oštećenom pojedincu pruža mogućnost da pokrene građanski postupak pred američkim saveznim sudom radi stvarne i kaznene odštete te pravične ili deklarativne naknade protiv vladina dužnosnika koji je samovoljno počinio takve nezakonite radnje ili protiv SAD-a.

(117)

Nadalje, pravo da se podnese tužba protiv američkog javnog tijela ili dužnosnika zbog obrade osobnih podataka dodijeljeno je pojedincima nizom drugih zakona, na primjer Zakonom o prisluškivanju (214), Zakonom o računalnoj prijevari i zlouporabi (215), Saveznim zakonom o tužbi za naknadu građanske štete (216), Zakonom o pravu na privatnost financijskih podataka (217) i Zakonom o poštenom izvješćivanju o kreditnoj sposobnosti (218).

(118)

Nadalje, u skladu sa Zakonom o pravu na pristup informacijama (219) (glava 5. članak 552. Zakonika SAD-a) svaka osoba ima pravo pristupiti evidencijama saveznih agencija, među ostalim ako one sadržavaju osobne podatke pojedinca. Nakon što iscrpi upravnopravna sredstva, pojedinac se može pozvati na takvo pravo na pristup pred sudom, osim ako su takve evidencije zaštićene od javnog objavljivanja izuzećem ili posebnim izuzećem od kaznenog progona (220). U tom će slučaju sud ocijeniti primjenjuje li se izuzeće ili se na njega zakonito poziva relevantno javno tijelo.

(119)

Pravo SAD-a sadržava brojna ograničenja i zaštitne mjere za pristup osobnim podacima i njihovu uporabu u svrhe nacionalne sigurnosti te su njime predviđeni mehanizmi nadzora i pravne zaštite koji su u skladu sa zahtjevima iz uvodne izjave 89. ove Odluke. Uvjeti pod kojima je takav pristup moguć i zaštitne mjere koje se primjenjuju na upotrebu tih ovlasti detaljno se ocjenjuju u odjeljcima u nastavku.

(120)

Osobne podatke koji se prenose iz Unije u organizacije uključene u okvir EU-a i SAD-a za privatnost podataka mogu u svrhe nacionalne sigurnosti prikupljati američka tijela na osnovi raznih pravnih instrumenata uz određene uvjete i zaštitne mjere.

(121)

Nakon što organizacije koje se nalaze u SAD-u prime osobne podatke, američke obavještajne agencije mogu u svrhe nacionalne sigurnosti zatražiti pristup takvim podacima samo ako je to dopušteno zakonom, posebno Zakonom o nadzoru stranih obavještajnih aktivnosti (FISA) i/ili zakonskim odredbama kojima se dopušta pristup uporabom dopisa o nacionalnoj sigurnosti (221). U Zakonu o nadzoru stranih obavještajnih aktivnosti navedeno je nekoliko pravnih osnova koje se mogu upotrijebiti za prikupljanje (i daljnju obradu) osobnih podataka ispitanika iz Unije prenesenih u skladu s okvirom EU-a i SAD-a za privatnost podataka (članci 105. (222), 302. (223), 402. (224), 501. (225) i 702. (226) Zakona o nadzoru stranih obavještajnih aktivnosti), kako je detaljnije opisano u uvodnim izjavama od 142. do 152.

(122)

Američke obavještajne agencije mogu prikupljati osobne podatke i izvan SAD-a, među ostalim osobne podatke u tranzitu između Unije i SAD-a. Prikupljanje podataka izvan SAD-a temelji se na Izvršnom nalogu br. 12333 (227), koji je izdao predsjednik (228).

(123)

Prikupljanje podataka elektroničkim izviđanjem najbitniji je način prikupljanja obavještajnih informacija za utvrđivanje primjerenosti u ovoj Odluci jer podrazumijeva prikupljanje elektroničke komunikacije i podataka iz informacijskih sustava. Američke obavještajne agencije mogu prikupljati podatke na taj način i u SAD-u (na temelju Zakona o nadzoru stranih obavještajnih aktivnosti) i dok su podaci u tranzitu prema SAD-u (na temelju Izvršnog naloga br. 12333).

(124)

Američki predsjednik izdao je 7. listopada 2022. Izvršni nalog br. 14086 o poboljšanju zaštitnih mjera u američkim aktivnostima elektroničkog izviđanja, u kojem se utvrđuju ograničenja i zaštitne mjere za sve takve aktivnosti. Tim izvršnim nalogom uvelike je zamijenjen Predsjednički ukaz o politici br. 28 (PPD-28) (229), postrožuju se uvjeti, ograničenja i zaštitne mjere za sve aktivnosti elektroničkog izviđanja (tj. na temelju Zakona o nadzoru stranih obavještajnih aktivnosti i Izvršnog naloga br. 12333) neovisno o lokaciji na kojoj se provode (230) te se uvodi novi mehanizam pravne zaštite u okviru kojeg pojedinci mogu zatražiti provedbu tih zaštitnih mjera i tražiti ostvarenje svojeg prava na njih (231) (vidjeti detaljnije u uvodnim izjavama od 176. do 194.). Time se u američko pravo prenose ishodi pregovora EU-a i SAD-a održanih nakon što je Sud utvrdio da Komisijina odluka o primjerenosti sustava zaštite privatnosti nije valjana (vidjeti uvodnu izjavu 6.) Stoga je taj nalog posebno važan element pravnog okvira koji se ocjenjuje u ovoj Odluci.

(125)

Ograničenja i zaštitne mjere uvedene Izvršnim nalogom br. 14086 dopunjuju ograničenja i zaštitne mjere iz članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti i Izvršnog naloga br. 12333. Obavještajne agencije moraju primjenjivati zahtjeve opisane u nastavku (u odjeljcima 3.2.1.2. i 3.2.1.3.) kad provode aktivnosti elektroničkog izviđanja u skladu s člankom 702. Zakona o nadzoru stranih obavještajnih aktivnosti i Izvršnim nalogom br. 12333, na primjer pri odabiru/utvrđivanju kategorija stranih obavještajnih informacija koje će se prikupljati u skladu s člankom 702. tog zakona, prikupljanju stranih obavještajnih ili protuobavještajnih informacija u skladu s tim izvršnim nalogom te donošenju pojedinačnih odluka o ciljanom praćenju u skladu s člankom 702. tog zakona i tim izvršnim nalogom.

(126)

Zahtjevi utvrđeni u tom izvršnom nalogu predsjednika obvezujući su za cijelu obavještajnu zajednicu. Mora ih se provesti u okviru agencijskih politika i postupaka kojima se prenose u konkretne upute za svakodnevni rad. U tom je pogledu Izvršnim nalogom br. 14086 predviđeno da američke obavještajne agencije imaju najviše godinu dana da ažuriraju svoje postojeće politike i postupke (tj. do 7. listopada 2023.) kako bi ih uskladile sa zahtjevima iz naloga. Pri ažuriranju politika i postupaka treba se savjetovati s glavnim državnim odvjetnikom, službenikom za zaštitu građanskih sloboda Ureda direktora za nacionalna obavještajna pitanja (ODNI) i PCLOB-om, koji je neovisno nadzorno tijelo ovlašteno za preispitivanje politika izvršne vlasti i njihove provedbe u cilju zaštite privatnosti i građanskih sloboda (za ulogu i status PCLOB-a vidjeti uvodnu izjavu 110.), te ih treba objaviti (232). Nadalje, nakon što se uvedu ažurirane politike i postupci, PCLOB će preispitati njihovu usklađenost s izvršnim nalogom. Nakon što PCLOB završi preispitivanje, svaka obavještajna agencija morat će u roku od 180 dana pažljivo razmotriti i provesti sve preporuke PCLOB-a ili ih na drugi način uzeti u obzir. Američka vlada objavila je 3. srpnja 2023. ažurirane politike i postupke (233).

(127)

Izvršnim nalogom br. 14086 utvrđuje se niz glavnih zahtjeva za sve aktivnosti elektroničkog izviđanja (prikupljanje, uporaba, širenje itd. osobnih podataka).

(128)

Prvo, te aktivnosti moraju se provoditi na temelju zakona ili predsjedničkog odobrenja te u skladu s američkim pravom, uključujući Ustav (234).

(129)

Drugo, moraju se uspostaviti odgovarajuće zaštitne mjere kojima se jamči da se pri planiranju tih aktivnosti vodi računa o privatnosti i građanskim slobodama (235).

(130)

Točnije, aktivnosti elektroničkog izviđanja mogu se provoditi tek „nakon što se, na temelju razumne procjene svih relevantnih čimbenika, utvrdi da su te aktivnosti nužne za ostvarenje potvrđenog obavještajnog prioriteta” (kad je riječ o „potvrđenom obavještajnom prioritetu”, vidjeti uvodnu izjavu 135.) (236).

(131)

Nadalje, te aktivnosti mogu se provoditi samo „u mjeri i na način koji su proporcionalni potvrđenom obavještajnom prioritetu za čije su ostvarenje odobrene” (237). Drugim riječima, mora se postići dobra ravnoteža „između važnosti predviđenog obavještajnog prioriteta te utjecaja na privatnost i građanske slobode pojedinaca u vezi s kojima se provode aktivnosti, neovisno o njihovu državljanstvu ili boravištu” (238).

(132)

Naposljetku, kako bi se zajamčila usklađenost s tim općim zahtjevima, koji se temelje na načelima zakonitosti, nužnosti i proporcionalnosti, aktivnosti elektroničkog izviđanja podliježu nadzoru (vidjeti detaljnije u odjeljku 3.2.2.) (239).

(133)

Te glavne zahtjeve u pogledu prikupljanja podataka elektroničkim izviđanjem dodatno dopunjuje niz uvjeta i ograničenja kojima se osigurava da je zadiranje u prava pojedinaca ograničeno na ono što je nužno i proporcionalno za ostvarenje legitimnog cilja.

(134)

Prvo, razlozi na temelju kojih se podaci mogu prikupljati elektroničkim izviđanjem na dva su načina ograničeni u Izvršnim nalogom. S jedne strane, Izvršnim nalogom utvrđuju se legitimni ciljevi koji se mogu ostvarivati prikupljanjem podataka elektroničkim izviđanjem, na primjer utvrđivanje ili procjena kapaciteta, namjera ili aktivnosti stranih organizacija, uključujući međunarodne terorističke organizacije, koje su prijetnja ili bi mogle biti prijetnja nacionalnoj sigurnosti SAD-a, zaštita od stranih vojnih kapaciteta i aktivnosti, utvrđivanje ili procjena transnacionalnih prijetnji globalnoj sigurnosti, kao što su klimatske i druge ekološke promjene, rizici za javno zdravlje i humanitarne prijetnje (240). S druge strane Izvršni nalog sadržava popis određenih ciljeva koji se nikad ne smiju nastojati ostvariti aktivnostima elektroničkog izviđanja, na primjer suzbijanje kritike, neslaganja ili slobodnog izražavanja ideja ili političkih stajališta pojedinaca ili medija, stavljanje u nepovoljniji položaj osoba na temelju njihova etničkog podrijetla, rase, roda, rodnog identiteta, spolne orijentacije odnosno vjere ili osiguravanje konkurentske prednosti američkim poduzećima (241).

(135)

Osim toga, obavještajne agencije ne mogu se pozvati samo na legitimne ciljeve iz Izvršnog naloga br. 14086 kako bi opravdale prikupljanje podataka elektroničkim izviđanjem, nego ih za operativne potrebe moraju dodatno potkrijepiti konkretnijim prioritetima zbog kojih se podaci prikupljaju elektroničkim izviđanjem. Drugim riječima, podaci se mogu prikupljati samo za ostvarenje konkretnijeg prioriteta. Ti se prioriteti utvrđuju posebnim postupkom kako bi bili usklađeni s primjenjivim pravnim zahtjevima, uključujući zahtjeve u pogledu privatnosti i građanskih sloboda. Točnije, obavještajne prioritete prvo sastavlja direktor za nacionalna obavještajna pitanja (kao dio Okvira za nacionalne obavještajne prioritete) i podnosi ih na odobrenje predsjedniku (242). Prema Izvršnom nalogu br. 14086, prije nego što predsjedniku predloži obavještajne prioritete, direktor mora za svaki prioritet od službenika za zaštitu građanskih sloboda ODNI-ja ishoditi procjenu 1. da se prioritetom nastoji ostvariti jedan ili više legitimnih ciljeva iz Izvršnog naloga, 2. da prioritet nije osmišljen da dovede niti se očekuje da će dovesti do prikupljanja podataka elektroničkim izviđanjem za cilj zabranjen Izvršnim nalogom i 3. da je prioritet postavljen nakon što su se u odgovarajućoj mjeri uzele u obzir privatnost i građanske slobode svih osoba neovisno o njihovu državljanstvu ili boravištu (243). Ako se direktor ne slaže s procjenom službenika za zaštitu građanskih sloboda, oba stajališta moraju se podnijeti predsjedniku (244).

(136)

Stoga se tim postupkom prvenstveno osigurava da se privatnost uzima u obzir već na početku, pri utvrđivanju obavještajnih prioriteta.

(137)

Drugo, nakon utvrđivanja obavještajnog prioriteta mora se ispuniti niz zahtjeva kako bi se odlučilo mogu li se i u kojoj mjeri podaci prikupljati elektroničkim izviđanjem da bi se ostvario taj prioritet. Ti zahtjevi služe provedbi glavnih standarda nužnosti i proporcionalnosti iz članka 2. točke (a) Izvršnog naloga.

(138)

Naime, podaci se mogu prikupljati elektroničkim izviđanjem tek „nakon što se, na temelju razumne procjene svih relevantnih čimbenika, utvrdi da je prikupljanje nužno za ostvarenje određenog obavještajnog prioriteta” (245). Kad utvrđuju je li određena aktivnost prikupljanja podataka elektroničkim izviđanjem nužna za ostvarenje potvrđenog obavještajnog prioriteta, američke obavještajne agencije moraju razmotriti jesu li drugi manje izvori i metode kojima se manje zadire u privatnost, uključujući diplomatske i javne izvore, dostupni, izvedivi i primjereni (246). Ako su dostupni, mora se dati prednost tim alternativnim izvorima i metodama kojima se manje zadire u privatnost (247).

(139)

Ako se primjenom tih kriterija utvrdi da je prikupljanje podataka elektroničkim izviđanjem nužno, prikupljanje podataka mora biti „što usmjerenije” i „ne smij[e] nerazmjerno utjecati na privatnost i građanske slobode” (248). Kako bi se izbjegao nerazmjeran utjecaj na privatnost i građanske slobode, tj. kako bi se postigla dobra ravnoteža između potreba u području nacionalne sigurnosti te zaštite privatnosti i građanskih sloboda, u obzir se moraju uzeti svi relevantni čimbenici, kao što su priroda postavljenog cilja, mjera u kojoj se aktivnostima prikupljanja zadire u privatnost, uključujući njihovo trajanje, vjerojatan doprinos prikupljanja ostvarenju postavljenog cilja, razumno predvidive posljedice za pojedince te priroda i osjetljivost podataka koji će se prikupljati (249).

(140)

Prikupljanje podataka u SAD-u, kao najbitnija vrsta prikupljanja podataka elektroničkim izviđanjem za utvrđivanje primjerenosti u ovoj Odluci jer se odnosi na podatke koji su preneseni u organizacije u SAD-u, uvijek mora biti ciljano, kako je detaljnije objašnjeno u uvodnim izjavama od 142. do 153.

(141)

U skladu s Izvršnim nalogom br. 12333 podaci se mogu „skupno prikupljati” (250) samo izvan SAD-a. U tom se slučaju u skladu s Izvršnim nalogom br. 14086 prednost mora dati ciljanom prikupljanju (251). Stoga je skupno prikupljanje dopušteno samo ako se informacije nužne za ostvarenje potvrđenog obavještajnog prioriteta iz opravdanih razloga ne mogu dobiti ciljanim prikupljanjem (252). Kad je nužno skupno prikupiti podatke izvan SAD-a, primjenjuju se posebne zaštitne mjere iz Izvršnog naloga br. 14086 (253). Prvo, moraju se provesti metode i tehničke mjere za ograničavanje prikupljanja samo na one podatke koji su nužni za ostvarenje potvrđenog obavještajnog prioriteta i na što manju količinu nerelevantnih informacija (254). Drugo, uporaba skupno prikupljenih informacija (uključujući pretraživanje) ograničena je Izvršnim nalogom na šest konkretnih ciljeva, koji uključuju zaštitu od terorizma, uzimanja taoca i zatočeništva u kojem pojedince drži strana vlada, organizacija ili osoba ili u kojem ih se drži u ime strane vlade, organizacije ili osobe, zaštitu od strane špijunaže, sabotaže ili atentata te zaštitu od prijetnji od razvoja, posjedovanja ili širenja oružja za masovno uništenje ili povezanih tehnologija i prijetnji (255). Naposljetku, podaci skupno prikupljeni elektroničkim izviđanjem mogu se pretraživati samo ako je to nužno za ostvarenje potvrđenog obavještajnog prioriteta, ako se time nastoji ostvariti tih šest ciljeva i ako je u skladu s politikama i postupcima kojima se u odgovarajućoj mjeri uzima u obzir utjecaj pretraživanja na privatnost i građanske slobode svih osoba neovisno o njihovu državljanstvu ili boravištu (256).

(142)

Osim zahtjevima iz Izvršnog naloga br. 14086, prikupljanje elektroničkim izviđanjem podataka koji su preneseni u organizaciju u SAD-u podliježe određenim ograničenjima i zaštitnim mjerama iz članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti (257). U skladu s tim člankom strane obavještajne informacije mogu se, uz zakonski obveznu pomoć američkih pružatelja usluga elektroničke komunikacije, prikupljati ciljanim praćenjem osoba koje nisu američki državljani, a za koje se iz opravdanih razloga vjeruje da se nalaze izvan SAD-a (258). Kako bi se strane obavještajne informacije prikupljale u skladu s člankom 702., glavni državni odvjetnik i direktor za nacionalna obavještajna pitanja podnose Sudu za nadzor stranih obavještajnih aktivnosti (FISC) godišnje potvrde o kategorijama stranih obavještajnih informacija koje će se prikupljati (259). Potvrde moraju biti popraćene postupcima ciljanog praćenja, smanjenja količine i pretraživanja, koje također odobrava taj sud i koji su pravno obvezujući za američke obavještajne agencije.

(143)

FISC je neovisni sud (260) osnovan saveznim zakonom na čije se odluke može žaliti Žalbenom sudu za nadzor stranih obavještajnih aktivnosti (FISCR) (261) i, na najvišem stupnju, Vrhovnom sudu SAD-a (262). FISC-u (i FISCR-u) pomaže stalni odbor od pet odvjetnika i pet tehničkih stručnjaka specijaliziranih za pitanja nacionalne sigurnosti i građanskih sloboda (263). Sud iz te skupine imenuje pojedinca koji će služiti kao amicus curiae te pomagati pri razmatranju svakog zahtjeva za nalog ili preispitivanje koji, prema mišljenju suda, čini novo ili značajno tumačenje zakona, osim ako sud smatra da takvo imenovanje nije primjereno (264). Time se prije svega osigurava da su pitanja privatnosti primjereno uključena u procjenu suda. Sud može kad god to smatra primjerenim imenovati i pojedinca ili organizaciju kao amicus curiae koji, među ostalim, pruža tehničke savjete, ili na zahtjev dopustiti pojedincu ili organizaciji da podnesu sažetak amicus curiae (265).

(144)

FISC preispituje jesu li potvrde i povezani postupci (osobito ciljano praćenje i smanjenje količine podataka) usklađeni sa zahtjevima Zakona o nadzoru stranih obavještajnih aktivnosti. Ako smatra da zahtjevi nisu ispunjeni, može odbiti potvrdu u cijelosti ili djelomično te zahtijevati izmjenu postupaka (266). FISC je u tom pogledu u više navrata potvrdio da njegovo preispitivanje postupaka ciljanog praćenja i smanjenja količine podataka u skladu s člankom 702. nije ograničeno na pisani opis postupaka nego obuhvaća i način na koji ih vlada provodi (267).

(145)

Nacionalna sigurnosna agencija (NSA) (obavještajna agencija odgovorna za ciljano praćenje u skladu s člankom 702. Zakona o nadzoru stranih obavještajnih aktivnosti) utvrđuje treba li određenog pojedinca ciljano pratiti u skladu s postupcima za ciljano praćenje koje je odobrio FISC, prema kojima agencija mora na temelju svih okolnosti procijeniti je li vjerojatno da će se ciljanim praćenjem određene osobe prikupiti strane obavještajne informacije navedene u potvrdi (268). Ta procjena mora biti detaljna i temeljiti se na činjenicama te u njoj treba uzeti u obzir analitičko prosuđivanje, specijalizirano osposobljavanje i iskustvo analitičara te prirodu stranih obavještajnih informacija koje će se dobiti (269). Ciljano praćenje provodi se tako da se odrede selektori kojima se označuju određena komunikacijska sredstva, kao što su e-adresa ili telefonski broj ciljane osobe, ali nikada ključne riječi ni imena pojedinaca (270).

(146)

NSA-ovi analitičari prvo će identificirati osobe u inozemstvu koje nisu američki državljani i čijim nadzorom će se, na temelju procjene analitičara, prikupiti relevantni strani obavještajni podaci navedeni u potvrdi (271). Kako je navedeno u NSA-ovim postupcima ciljanog praćenja, NSA može nadzoru podvrgnuti određenu ciljanu osobu tek kad već ima neke informacije o njoj (272). Te informacije mogu potjecati iz raznih izvora, na primjer ljudskih izvora. Analitičar mora iz njih saznati i koji konkretni selektor (tj. komunikacijski račun) upotrebljava potencijalna ciljana osoba. Kad se te izdvojene osobe identificiraju te se ciljano praćenje odobri opsežnim mehanizmom preispitivanja u okviru NSA-a (273), „zadat” će se (odnosno izraditi i primijeniti) selektori kojima se utvrđuju komunikacijska sredstva (kao što su e-adrese) kojima se koriste ciljane osobe (274).

(147)

NSA mora evidentirati činjeničnu osnovu za odabir ciljane osobe (275) i nakon početnog ciljanog praćenja redovito potvrđivati je li i dalje ispunjen standard za ciljano praćenje (276). Kad on više nije ispunjen, prikupljanje podataka mora prestati (277). Svaka dva mjeseca službenici uredâ za nadzor obavještajnih aktivnosti pri Ministarstvu pravosuđa, koji o povredi propisa moraju obavijestiti FISC i Kongres, preispituju jesu li način na koji je NSA odabrao ciljane osobe i njegova evidencija o svakoj evidentiranoj procjeni i obrazloženju za ciljano praćenje u skladu s postupcima ciljanog praćenja (278). NSA-ova pisana dokumentacija olakšava FISC-u da nadzire jesu li pojedinci pravilno ciljano praćeni na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti u skladu sa svojim nadzornim ovlastima opisanima u uvodnim izjavama od 173. do 174. (279) Naposljetku, direktor za nacionalna obavještajna pitanja dužan je svake godine za javna godišnja statistička izvješća o transparentnosti podnijeti izvješće o ukupnom broju ciljanih osoba praćenih na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti. Poduzeća kojima su upućeni nalozi na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti mogu (u izvješćima o transparentnosti) objaviti agregirane podatke o zaprimljenim zahtjevima (280).

(148)

Kad je riječ o drugim pravnim osnovama za prikupljanje osobnih podataka koji su preneseni u organizacije u SAD-u, primjenjuju se razna ograničenja i zaštitne mjere. Skupno prikupljanje podataka općenito je izričito zabranjeno na temelju članka 402. Zakona o nadzoru stranih obavještajnih aktivnosti (ovlast za bilježenje ulaznih i izlaznih poziva) i dopisa o nacionalnoj sigurnosti te se umjesto toga moraju upotrebljavati posebni „čimbenici za odabir” (281).

(149)

Za potrebe tradicionalnog individualiziranog elektroničkog nadzora (u skladu s člankom 105. Zakona o nadzoru stranih obavještajnih aktivnosti) obavještajne agencije moraju FISC-u podnijeti zahtjev koji uključuje izjavu o činjenicama i okolnostima na temelju kojih se vjeruje da postoji osnovana sumnja da se sredstvom koristi ili će se njime koristiti strana sila ili agent strane sile (282). FISC će ocijeniti, među ostalim, postoji li na temelju podnesenih činjenica osnovana sumnja da je to doista tako (283).

(150)

Za potrebe pretrage prostora ili imovine koja bi trebala dovesti do pregleda, zapljene itd. informacija, dokumenata ili imovine (npr. računalni uređaj) u skladu s člankom 301. Zakona o nadzoru stranih obavještajnih aktivnosti FISC-u se mora podnijeti zahtjev za nalog (284). U tom se zahtjevu mora među ostalim dokazati da postoji osnovana sumnja da je osoba koja je predmet pretrage strana sila ili agent strane sile, da se u prostoru ili imovini koja će se pretraživati nalaze strane obavještajne informacije i da je strana sila (ili njezin agent) vlasnik prostora koji će se pretraživati, koristi se njime, uživa posjed tog prostora ili se prenosi s nje ili na nju (285).

(151)

Slično tomu, za postavljanje uređaja za bilježenje ulaznih ili izlaznih poziva (na temelju članka 402. Zakona o nadzoru stranih obavještajnih aktivnosti) potrebni su zahtjev za nalog FISC-a (ili američkog pomoćnog suca) i primjena konkretnog čimbenika za odabir, tj. pojma kojim se točno određuje osoba, račun itd. i koji služi da bi se u najvećoj razumno mogućoj mjeri ograničio opseg traženih informacija (286) Ta se ovlast ne odnosi na sadržaj komunikacije, već joj je svrha informiranje o klijentu ili pretplatniku koji se koristi uslugom (kao što su ime, adresa, pretplatnički broj, trajanje/vrsta primljene usluge, izvor/mehanizam plaćanja).

(152)

U skladu s člankom 501. Zakona o nadzoru stranih obavještajnih aktivnosti (287) za prikupljanje poslovnih evidencija javnog prijevoznika (svaka osoba ili subjekt koji za naknadu prevozi osobe ili imovinu kopnom, zrakom, prugom, vodom ili zrakom), javnog smještajnog objekta (npr. hotel, motel ili prenoćište), subjekta za iznajmljivanje vozila ili subjekta za fizičko skladištenje (koji pruža prostor za skladištenje robe i materijala ili s tim povezane usluge) (288) potrebno je podnijeti zahtjev FISC-u ili pomoćnom sucu. U njemu se moraju navesti tražene evidencije te konkretne i razumljive činjenice zbog kojih se vjeruje da je osoba kojoj evidencije pripadaju strana sila ili agent strane sile (289).

(153)

Naposljetku, dopisi o nacionalnoj sigurnosti temelje se na raznim zakonima, a istražnim agencijama omogućuju da od određenih subjekata (npr. financijske ustanove, agencije za izvješćivanje o kreditnoj sposobnosti, pružatelji elektroničke komunikacije) prikupe određene informacije (isključujući sadržaj komunikacije) koje se nalaze u izvješćima o kreditnoj sposobnosti, financijskim evidencijama i elektroničkim evidencijama o pretplatnicima i transakcijama (290). Propisom o dopisima o nacionalnoj sigurnosti pristup elektroničkoj komunikaciji dopušta se samo FBI-ju te je u njemu utvrđeno da se u zahtjevu mora navesti izraz koji točno određuje osobu, subjekt, telefonski broj ili račun i potvrditi da je informacija relevantna za ovlaštenu istragu u području nacionalne sigurnosti radi zaštite od međunarodnog terorizma ili tajnih obavještajnih aktivnosti (291). Primatelji dopisa o nacionalnoj sigurnosti imaju pravo osporavati ga pred sudom (292).

(154)

Za obradu osobnih podataka koje su američke obavještajne agencije prikupile elektroničkim izviđanjem postoji niz zaštitnih mjera.

(155)

Prvo, svaka obavještajna agencija mora osigurati odgovarajuću sigurnost podataka i spriječiti pristup neovlaštenih osoba osobnim podacima prikupljenima elektroničkim izviđanjem. U tom se pogledu u brojnim instrumentima, uključujući zakone, smjernice i standarde, dodatno preciziraju minimalni zahtjevi informacijske sigurnosti koje treba provesti (npr. višerazinska autentifikacija ili šifriranje) (293). Pristup prikupljenim podacima mora se ograničiti na ovlašteno, osposobljeno osoblje koje mora biti upoznato s informacijama da bi obavilo svoju dužnost (294). Općenitije, obavještajne agencije moraju na odgovarajući način osposobiti svoje zaposlenike, među ostalim za provedbu postupaka za izvješćivanje o povredama zakona i njihovo rješavanje (uključujući Izvršni nalog br. 14086) (295).

(156)

Drugo, obavještajne agencije moraju se pridržavati standarda obavještajne zajednice za točnost i objektivnost, posebno u vezi s jamčenjem kvalitete i pouzdanosti podataka, razmatranjem alternativnih izvora informacija i objektivnosti u izvršavanju analiza (296).

(157)

Treće, u Izvršnom nalogu br. 14086 pojašnjeno je da se na osobne podatke osoba koje nisu američki građani primjenjuju ista razdoblja čuvanja kao i na podatke američkih građana (297). Obavještajne agencije dužne su utvrditi posebna razdoblja čuvanja i/ili čimbenike koji se moraju uzeti u obzir kako bi se utvrdila duljina primjenjivih razdoblja čuvanja (npr. jesu li informacije dokazi o kaznenom djelu, jesu li informacije strane obavještajne informacije, jesu li informacije potrebne za zaštitu sigurnosti osoba ili organizacija, uključujući žrtve ili mete međunarodnog terorizma), koji su utvrđeni u raznim pravnim instrumentima (298).

(158)

Četvrto, na širenje osobnih podataka prikupljenih elektroničkim izviđanjem primjenjuju se posebna pravila. Osobni podaci o osobama koje nisu američki državljani u pravilu se mogu širiti samo ako se iste vrste informacija mogu širiti o američkim državljanima, na primjer informacije potrebne za zaštitu sigurnosti osoba ili organizacija (kao što su mete, žrtve ili taoci međunarodnih terorističkih organizacija) (299). Nadalje, osobni podaci ne smiju se širiti samo na temelju državljanstva ili države boravišta osobe ili u svrhu izbjegavanja zahtjeva iz Izvršnog naloga br. 14086 (300). Podaci se mogu širiti unutar američke vlade samo ako ovlašten i osposobljen pojedinac iz opravdanih razloga vjeruje da primatelj podataka mora biti upoznat s informacijama (301) i da će ih na odgovarajući način zaštititi (302). Kako bi se utvrdilo mogu li se osobni podaci širiti primateljima izvan američke vlade (među ostalim stranim vladama ili međunarodnim organizacijama), moraju se uzeti u obzir svrha širenja, priroda i opseg podataka koji se šire i mogući štetni učinak na dotične osobe (303).

(159)

Naposljetku, kako bi se među ostalim olakšali nadzor usklađenosti s primjenjivim pravnim zahtjevima i djelotvorna pravna zaštita, svaka obavještajna agencija mora u skladu s Izvršnim nalogom br. 14086 voditi odgovarajuću dokumentaciju o prikupljanju podataka elektroničkim izviđanjem. Dokumentacijski zahtjevi obuhvaćaju elemente kao što su činjenična osnova na temelju koje se procjenjuje je li određena aktivnost prikupljanja potrebna za ostvarenje potvrđenog obavještajnog prioriteta (304).

(160)

Osim prethodno navedenih zaštitnih mjera iz Izvršnog naloga br. 14086 za uporabu informacija prikupljenih elektroničkim izviđanjem, sve obavještajne agencije SAD-a podliježu općenitijim zahtjevima u pogledu ograničenja svrhe, smanjenja količine podataka, točnosti, sigurnosti, čuvanja i širenja, posebno na temelju Okružnice Ureda za upravljanje i proračun br. A-130, Zakona o e-upravi, Zakona o saveznim evidencijama (vidjeti uvodne izjave 101.–106.) i smjernica Odbora za sustave nacionalne sigurnosti (CNSS) (305).

(161)

Aktivnosti američkih obavještajnih agencija nadzire nekoliko tijela.

(162)

Prvo, Izvršnim nalogom br. 14086 propisano je da svaka obavještajna agencija mora imati više službenike za pravna pitanja, nadzor i usklađenost kako bi se osigurala usklađenost s primjenjivim američkim pravom (306). Oni moraju redovito nadzirati aktivnosti elektroničkog izviđanja i pobrinuti se za to da se sve neusklađenosti isprave. Obavještajne agencije moraju tim službenicima dati pristup svim informacijama koje su im bitne za izvršavanje njihovih nadzornih funkcija i ne smiju poduzimati ništa što bi ih spriječilo u provedbi nadzornih aktivnosti ili neprimjereno utjecalo na nju (307). Nadalje, o svakom većem slučaju neusklađenosti (308) koji je utvrdio službenik za nadzor ili neki drugi zaposlenik mora se odmah obavijestiti ravnatelja obavještajne agencije i direktora za nacionalna obavještajna pitanja, koji vodi računa o tome da se poduzme sve što je potrebno da se ispravi ta neusklađenost i spriječi njezino ponavljanje (309).

(163)

Tu nadzornu funkciju obavljaju službenici nadležni za usklađenost, ali i službenici za privatnost i građanske slobode te glavni inspektori (310).

(164)

Baš kao i u svim tijelima kaznenog progona, službenici za privatnost i građanske slobode postoje u svim obavještajnim agencijama (311). Ovlasti tih službenika obično obuhvaćaju nadzor postupaka kojima se osigurava da predmetno ministarstvo/agencija na primjereni način štite privatnost i građanske slobode te da su uspostavili primjerene postupke za rješavanje pritužbi pojedinaca koji smatraju da su im povrijeđene privatnost ili građanske slobode (a u nekim slučajevima, kao Ured direktora za nacionalna obavještajna pitanja (ODNI), mogu i sami imati ovlasti istraživati pritužbe (312)). Ravnatelji obavještajnih agencija moraju službenicima za privatnost i građanske slobode osigurati resurse za izvršavanje mandata, kao i pristup svim materijalima i osoblju nužnima za izvršavanje njihovih funkcija, te ih informirati i savjetovati se s njima o predloženim izmjenama politika (313). Službenici za privatnost i građanske slobode periodično izvješćuju Kongres i PCLOB, među ostalim o broju i prirodi pritužbi koje je zaprimilo ministarstvo/agencija, uz navođenje sažetka odgovora na te pritužbe, o provedenim preispitivanjima i istragama te o učinku aktivnosti koje je službenik proveo (314).

(165)

Drugo, svaka obavještajna agencija ima neovisnog glavnog inspektora koji je među ostalim odgovoran za nadzor stranih obavještajnih aktivnosti. U ODNI-ju to je Ured glavnog inspektora obavještajne zajednice koji ima potpunu nadležnost nad cijelom obavještajnom zajednicom i ovlašten je za istrage pritužbi ili informacija o navodnom nezakonitom postupanju ili zlouporabi ovlasti u vezi s ODNI-jem i/ili programima i aktivnostima obavještajne zajednice (315). Baš kao i tijela kaznenog progona (vidjeti uvodnu izjavu 109.), glavni inspektori zakonski su neovisni (316) i odgovorni za provedbu revizija i istraga povezanih s programima i operacijama koje u nacionalne obavještajne svrhe provodi predmetna agencija, među ostalim zbog zlouporabe ili povrede prava (317). Imaju pristup svim evidencijama, izvješćima, revizijama, preispitivanjima, dokumentima, spisima, preporukama ili drugim relevantnim materijalima, prema potrebi na temelju sudskog naloga, i mogu uzimati iskaze (318). Glavni inspektori upućuju slučajeve navodnih povreda kaznenih propisa u postupak kaznenog progona i ravnateljima agencijama preporučuju korektivne mjere (319). Iako su njihove preporuke neobvezujuće, njihova izvješća, uključujući ona o daljnjim mjerama (ili nepostojanju takvih mjera) (320) u pravilu se objavljuju i šalju Kongresu, koji na osnovi toga može vršiti svoju nadzornu funkciju (vidjeti uvodne izjave 168. i 169.) (321).

(166)

Treće, Odbor za nadzor obavještajnih aktivnosti (IOB), koji je uspostavljen u okviru Predsjedničkog savjetodavnog odbora za obavještajne aktivnosti (PIAB), nadzire usklađenost američkih obavještajnih tijela s Ustavom i svim primjenjivim pravilima (322). PIAB je savjetodavno tijelo u okviru Izvršnog ureda predsjednika i ima 16 članova koje predsjednik imenuje iz redova osoba koje nisu dio američke vlade. IOB ima najviše pet članova koje predsjednik imenuje iz redova članova PIAB-a. U skladu s Izvršnim nalogom br. 12333 (323) ravnatelji svih obavještajnih agencija dužni su obavijestiti IOB o obavještajnim aktivnostima za koje je opravdano vjerovati da bi mogle biti nezakonite ili protivne izvršnom nalogu ili predsjedničkom ukazu. Kako bi IOB imao pristup informacijama nužnima za izvršenje svojih funkcija, u Izvršnom nalogu br. 13462 direktora za nacionalna obavještajna pitanja i ravnatelje agencija obvezuje se da, koliko je to dopušteno zakonom, IOB-u pruže sve informacije i pomoć koje su mu potrebne za izvršenje njegovih funkcija (324). IOB je pak dužan obavijestiti predsjednika o obavještajnim aktivnostima kojima se, prema njegovu mišljenju, krše američki zakoni (uključujući izvršne naloge) i u vezi s kojima glavni državni odvjetnik, direktor za nacionalna obavještajna pitanja ili ravnatelj obavještajne agencije ne poduzimaju primjerene mjere (325). IOB je usto dužan obavijestiti glavnog državnog odvjetnika o eventualnoj povredi kaznenog prava.

(167)

Četvrto, obavještajne agencije podliježu nadzoru PCLOB-a. U skladu sa zakonom na temelju kojeg je osnovan PCLOB je odgovoran za politike za borbu protiv terorizma i njihovu provedbu u cilju zaštite privatnosti i građanskih sloboda. Za potrebe preispitivanja aktivnosti obavještajnih agencija taj odbor može pristupiti svim relevantnim evidencijama, izvješćima, revizijama, preispitivanjima, dokumentima, spisima i preporukama agencije, uključujući klasificirane podatke, te obavljati razgovore i uzimati iskaze (326). Prima izvješća službenika za građanske slobode i privatnost nekoliko saveznih ministarstava/agencija (327), može davati preporuke državnim i obavještajnim agencijama te redovito izvješćuje kongresne odbore i predsjednika (328). Izvješća tog odbora, uključujući ona Kongresu, moraju biti što dostupnija javnosti (329). PCLOB je izdao nekoliko izvješća o nadzoru i daljnjim mjerama, uključujući analizu programa koji se provode na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti te analizu zaštite privatnosti u tom kontekstu, provedbe Predsjedničkog ukaza o politici br. 28 i Izvršnog naloga br. 12333 (330). PCLOB-u su povjerene i određene nadzorne funkcije povezane s provedbom Izvršnog naloga br. 14086, koje u prvom redu uključuju preispitivanje jesu li agencijski postupci u skladu s izvršnim nalogom (vidjeti uvodnu izjavu 126.) i ocjenjivanje ispravnosti funkcioniranja mehanizma pravne zaštite (vidjeti uvodnu izjavu 194).

(168)

Peto, osim nadzornih mehanizama u okviru izvršne vlasti nadzorne odgovornosti za sve američke strane obavještajne aktivnosti imaju i pojedini odbori u američkom kongresu (odbori za obavještajna pitanja i odbori za pravosuđe Zastupničkog doma i Senata). Članovi tih odbora imaju pristup klasificiranim podacima te obavještajnim metodama i programima (331). Odbori izvršavaju svoje nadzorne funkcije na razne načine, osobito saslušanjima, istragama, preispitivanjima i izradom izvješća (332).

(169)

Kongresni odbori zaprimaju redovita izvješća o obavještajnim aktivnostima, među ostalim od glavnog državnog odvjetnika, direktora za nacionalna obavještajna pitanja, obavještajnih agencija i drugih nadzornih tijela (npr. glavni inspektori), vidjeti uvodne izjave 164. i 165. Prije svega, u skladu sa Zakonom o nacionalnoj sigurnosti „predsjednik osigurava potpuno i ažurno obavješćivanje kongresnih odbora za obavještajna pitanja o obavještajnim aktivnostima SAD-a, među ostalim o svim bitnim očekivanim obavještajnim aktivnostima u skladu s ovim potpoglavljem” (333). Nadalje, „predsjednik osigurava žurno obavješćivanje kongresnih odbora za obavještajna pitanja o svim nezakonitim obavještajnim aktivnostima te o korektivnim mjerama koje su poduzete ili se planiraju poduzeti u vezi s takvim nezakonitim aktivnostima” (334).

(170)

Osim toga, određenim zakonima propisani su dodatni zahtjevi u pogledu izvješćivanja. U skladu s pojedinim člancima Zakona o nadzoru stranih obavještajnih aktivnosti glavni državni odvjetnik mora o vladinim aktivnostima „u potpunosti obavješćivati” odbore za obavještajna pitanja i odbore za pravosuđe Senata i Zastupničkog doma (335). Tim je zakonom propisano i da je vlada dužna kongresnim odborima dostaviti preslike svih odluka, naloga ili mišljenja FISC-a ili FISCR-a koji uključuju „znatno oblikovanje ili tumačenje” odredbi tog zakona. Parlamentarni nadzor na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti provodi se podnošenjem zakonski obaveznih izvješća odborima za obavještajna pitanja i odborima za pravosuđe te u okviru čestih informativnih sastanaka i saslušanja. To obuhvaća polugodišnja izvješća glavnog državnog odvjetnika o primjeni članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti popraćena dokumentima, uključujući izvješća Ministarstva pravosuđa i ODNI-ja o usklađenosti i opis svih slučajeva neusklađenosti (336), i zasebnu polugodišnju procjenu glavnog državnog odvjetnika i direktora za nacionalna obavještajna pitanja o usklađenosti s postupcima za ciljano praćenje i smanjenje količine podataka (337).

(171)

Osim toga, u skladu sa Zakonom o nadzoru stranih obavještajnih aktivnosti američka vlada mora svake godine izvijestiti Kongres (i javnost) o, među ostalim, broju naloga traženih i primljenih na temelju tog zakona te o procijenjenom broju američkih državljana i osoba koje nisu američki državljani koje su predmet nadzora (338). Tim zakonom propisano je i dodatno izvješćivanje javnosti o broju izdanih dopisa o nacionalnoj sigurnosti za američke državljane i osobe koje nisu američki državljani (no primateljima naloga i potvrda na temelju tog zakona te zahtjeva za dopis o nacionalnoj sigurnosti pod određenim uvjetima dopušteno je izdavanje izvješća o transparentnosti) (339).

(172)

Općenitije, američka obavještajna zajednica na razne se načine trudi osigurati transparentnost svojih (stranih) obavještajnih aktivnosti. Na primjer, ODNI je 2015. donio Načela transparentnosti obavještajnih aktivnosti i Provedbeni plan za transparentnost te je uputio sve obavještajne agencije da imenuju službenika za transparentnost obavještajnih aktivnosti koji će poticati transparentnost i provoditi inicijative za povećanje transparentnosti (340). Obavještajna zajednica usto je deklasificirala dijelove politika, postupaka, izvješća o nadzoru, izvješća o aktivnostima na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti i Izvršnog naloga br. 12333, odluka FISC-a i drugih dokumenata te ih nastavlja objavljivati, među ostalim na internetskoj stranici „IC on the Record” koju ODNI vodi upravo u tu svrhu (341).

(173)

Naposljetku, prikupljanje osobnih podataka na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti ne nadziru samo nadzorna tijela iz uvodnih izjava od 162. do 168. nego i FISC (342). U skladu s pravilom 13. Poslovnika FISC-a službenici za usklađenost u američkim obavještajnim agencijama dužni su o svakoj povredi postupaka za ciljano praćenje na temelju članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti, smanjenje količine podataka i pretraživanje obavijestiti Ministarstvo pravosuđa i ODNI, koji o njima potom obavješćuju FISC. Osim toga, Ministarstvo pravosuđa i ODNI podnose FISC-u zajednička polugodišnja izvješća o procjeni nadzora, u kojima se navode kretanja u području usklađenosti s postupcima za ciljano praćenje, iznose statistički podaci, opisuju kategorije slučajeva neusklađenosti, detaljno opisuju razlozi zbog kojih je došlo do određenih slučajeva neusklađenosti s postupcima za ciljano praćenje te se daje pregled mjera koje su obavještajne agencije poduzele da bi spriječile njihovo ponavljanje (343).

(174)

Prema potrebi (npr. ako se utvrde povrede postupaka za ciljano praćenje) Sud može predmetnoj obavještajnoj agenciji naložiti poduzimanje korektivnih mjera (344). Te mjere mogu biti pojedinačne ili strukturne, na primjer prestanak prikupljanja podataka i brisanje nezakonito dobivenih podataka ili promjena prakse prikupljanja podataka, među ostalim kad je riječ o smjernicama i osposobljavanju za osoblje (345). Nadalje, u godišnjem preispitivanju potvrda na temelju članka 702. FISC razmatra slučajeve neusklađenosti kako bi utvrdio jesu li podnesene potvrde u skladu sa zahtjevima iz Zakona o nadzoru stranih obavještajnih aktivnosti. Slično tomu, ako FISC utvrdi da vladine potvrde nisu dostatne, među ostalim zbog određenih slučajeva neusklađenosti, može izdati „nalog o nedostacima” kojim vladu obvezuje da povredu ispravi u roku od 30 dana ili da prestane odnosno ne počinje upotrebljavati potvrde na temelju članka 702. Naposljetku, FISC ocjenjuje uočena kretanja u problemima zbog neusklađenosti i može zahtijevati mijenjanje postupaka ili dodatni nadzor i izvješćivanje kako bi se ublažila ta kretanja (346).

(175)

Kako je detaljnije objašnjeno u ovom odjeljku, u SAD-u postoje razni oblici zaštite koji ispitanicima iz Unije omogućuju pokretanje postupka pred neovisnim i nepristranim sudom s obvezujućim ovlastima. Zahvaljujući tomu, pojedinci mogu pristupiti svojim osobnim podacima, zakonitost vladina pristupa njihovim podacima može se preispitati, a utvrđena povreda može se ispraviti, među ostalim ispravkom ili brisanjem njihovih osobnih podataka.

(176)

Prvo, poseban mehanizam pravne zaštite uspostavljen je Izvršnim nalogom br. 14086 i dopunjen Uredbom glavnog državnog odvjetnika o osnivanju Žalbenog suda za zaštitu podataka te služi za obradu i rješavanje pritužbi pojedinaca zbog američkih aktivnosti elektroničkog izviđanja. U okviru tog mehanizma svi pojedinci u EU-u imaju pravo podnijeti pritužbu zbog navodne povrede američkog prava kojim su uređene aktivnosti elektroničkog izviđanja (npr. Izvršni nalog br. 14086, članak 702. Zakona o nadzoru stranih obavještajnih aktivnosti, Izvršni nalog br. 12333) koja štetno djeluje na njihovu privatnost i građanske slobode (347). Taj mehanizam pravne zaštite dostupan je pojedincima iz zemalja ili organizacija za regionalnu gospodarsku integraciju za koje je američki glavni državni odvjetnik odredio da su „države koje ispunjavaju uvjete” (348). Glavni državni odvjetnik 30. lipnja 2023. u skladu s člankom 3. točkom (f) Izvršnog naloga br. 14086 odredio je za Europsku uniju i tri zemlje Europskog udruženja slobodne trgovine, koje zajedno čine Europski gospodarski prostor, da su „države koje ispunjavaju uvjete” (349). Time se ne dovodi u pitanje članak 4. stavak 2. Ugovora o Europskoj uniji.

(177)

Ispitanik iz Unije koji želi podnijeti takvu pritužbu mora je podnijeti nadzornom tijelu u državi članici EU-a nadležnom za nadzor obrade osobnih podataka koju provode javna tijela (tijelo za zaštitu podataka) (350). Tako pojedinci mogu lako pristupiti mehanizmu pravne zaštite koji im omogućuje da se obrate tijelu „na kućnom pragu”, s kojim mogu komunicirati na vlastitom jeziku. Nakon provjere zahtjeva za ispunjavanje pritužbe iz uvodne izjave 178. nadležno tijelo za zaštitu podataka proslijedit će pritužbu u mehanizam pravne zaštite preko tajništva Europskog odbora za zaštitu podataka.

(178)

Zahtjevi za podnošenje pritužbe u mehanizam pravne zaštite jednostavni su s obzirom na to da pojedinci ne moraju dokazati da su njihovi podaci bili predmet američkih aktivnosti elektroničkog izviđanja (351). Ipak, kao početnu točku za preispitivanje u okviru mehanizma pravne zaštite, potrebno je dostaviti određene osnovne informacije, na primjer o tome za koje se osobne podatke opravdano vjeruje da su preneseni u SAD i vjerojatno sredstvo njihova prijenosa, o nazivima tijela američke vlade za koja se vjeruje da su sudjelovala u navodnoj povredi (ako je poznato), o osnovi na temelju koje se tvrdi da je došlo do navodne povrede američkog prava (iako se ni za to ne treba dokazati da je neka američka obavještajna agencija doista i prikupila osobne podatke) i o prirodi tražene pravne zaštite.

(179)

Pritužbe u tom mehanizmu pravne zaštite prvo istražuje službenik za zaštitu građanskih sloboda ODNI-ja, kojem su Izvršnim nalogom br. 14086 zakonska uloga i ovlasti proširene upravo na te konkretne aktivnosti (352). U obavještajnoj zajednici službenik za zaštitu građanskih sloboda odgovoran je, među ostalim, za ispravno uvrštavanje pitanja građanskih sloboda i privatnosti u politike i postupke ODNI-ja i obavještajnih agencija, nadzor usklađenosti ODNI-ja s primjenjivim zahtjevima zaštite građanskih sloboda i privatnosti te procjene učinka na privatnost (353). Službenika za zaštitu građanskih sloboda ODNI-ja može razriješiti samo direktor za nacionalna obavještajna pitanja iz opravdanih razloga, tj. u slučaju povrede dužnosti, zlouporabe položaja, povrede sigurnosti, zanemarivanja dužnosti ili nesposobnosti za rad (354).

(180)

Službenik za zaštitu građanskih sloboda ODNI-ja pri preispitivanju može pristupiti informacijama za potrebe svoje procjene i može se osloniti na zakonski obaveznu pomoć službenika za privatnost i građanske slobode iz raznih obavještajnih agencija (355). Obavještajnim agencijama zabranjeno je sprečavati preispitivanja službenika za zaštitu građanskih sloboda ODNI-ja i neprimjereno utjecati na njih. To uključuje direktora za nacionalna obavještajna pitanja, koji se ne smije uplitati u preispitivanje (356). Službenik za zaštitu građanskih sloboda ODNI-ja koji preispituje pritužbu mora „pravo primjenjivati nepristrano” uzimajući u obzir i interese nacionalne sigurnosti u pogledu aktivnosti elektroničkog izviđanja te zaštitu privatnosti (357).

(181)

U okviru preispitivanja službenik za zaštitu građanskih sloboda ODNI-ja utvrđuje je li došlo do povrede primjenjivog američkog prava i, ako jest, odlučuje o primjerenim korektivnim mjerama (358). Riječ je o mjerama koje u potpunosti ispravljaju utvrđenu povredu, kao što su prestanak nezakonitog prikupljanja podataka, brisanje nezakonito prikupljenih podataka, brisanje rezultata neprimjerenih pretraživanja inače zakonito prikupljenih podataka, ograničavanje pristupa zakonito prikupljenim podacima na primjereno osposobljeno osoblje ili povlačenje obavještajnih izvješća s podacima koji su prikupljeni bez zakonitog odobrenja ili su se nezakonito širili (359). Odluke službenika za zaštitu građanskih sloboda ODNI-ja (među ostalim o korektivnim mjerama) obvezujuće su za predmetne obavještajne agencije (360).

(182)

Službenik za zaštitu građanskih sloboda ODNI-ja mora dokumentirati preispitivanje i donijeti klasificiranu odluku u kojoj obrazlaže osnovu za svoja činjenična utvrđenja, kako je utvrdio je li došlo do predmetne povrede i kako je utvrdio koje su korektivne mjere primjerene (361). Ako službenik za zaštitu građanskih sloboda ODNI-ja preispitivanjem otkrije povredu koju je počinilo tijelo koje nadzire FISC, službenik mora izraditi i klasificirano izvješće za pomoćnika glavnog državnog odvjetnika za nacionalnu sigurnost, koji je potom obvezan o neusklađenosti obavijestiti FISC koji može poduzeti daljnje provedbene mjere (u skladu s postupkom opisanim u izjavama od 173. do 174.) (362).

(183)

Nakon što završi preispitivanje, službenik za zaštitu građanskih sloboda ODNI-ja preko nacionalnog tijela obavješćuje podnositelja pritužbe da „preispitivanjem nisu utvrđene predmetne povrede ili je službenik za zaštitu građanskih sloboda ODNI-ja utvrdio koje primjerene korektivne mjere treba provesti” (363). Tako se štiti povjerljivost aktivnosti provedenih radi zaštite nacionalne sigurnosti, dok pojedinci dobivaju odluku koja potvrđuje da je njihova pritužba propisno istražena i riješena. Nadalje, pojedinac može osporavati tu odluku. U tu će se svrhu pojedinac obavijestiti da može podnijeti žalbu DPRC-u radi preispitivanja utvrđenja službenika za zaštitu građanskih sloboda (vidjeti uvodnu izjavu 184. i dalje) i da će se odabrati posebni odvjetnik koji će zastupati interese podnositelja pritužbe ako se predmet povjeri tom sudu (364).

(184)

Svi podnositelji pritužbi i svi subjekti obavještajne zajednice mogu zatražiti preispitivanje odluke službenika za zaštitu građanskih sloboda ODNI-ja pred Žalbenim sudom za zaštitu podataka. Zahtjevi za preispitivanje moraju se podnijeti u roku od 60 dana od zaprimanja obavijesti tog službenika o završetku preispitivanja i sadržavati informacije koje pojedinac želi dati DPRC-u (npr. tvrdnje o pravnim pitanjima ili primjeni prava na činjenice predmeta) (365). Subjekti iz Unije mogu i taj zahtjev podnijeti nacionalnim tijelima (vidjeti uvodnu izjavu 177.).

(185)

DPRC je neovisni sud koji je osnovao glavni državni odvjetnik u skladu s Izvršnim nalogom br. 14086 (366). Sastoji se od najmanje šest sudaca koje na četverogodišnji mandat s mogućnošću produljenja imenuje glavni državni odvjetnik u dogovoru s PCLOB-om, ministrom trgovine i direktorom za nacionalna obavještajna pitanja (367). Pri imenovanju sudaca glavni državni odvjetnik uzima u obzir kriterije koje izvršna vlast primjenjuje u procjeni kandidata za savezne suce i daje prednost osobama s prethodnim sudačkim iskustvom (368). Suci moraju ujedno biti pravni stručnjaci (tj. aktivni članovi koji ispunjavaju sve obveze u komori i propisno su licencirani za obavljanje odvjetničke službe) i imati odgovarajuće iskustvo s propisima o privatnosti i nacionalnoj sigurnosti. Glavni državni odvjetnik nastoji osigurati da u svakom trenutku najmanje polovina odvjetnika ima prethodno sudačko iskustvo, a svi suci moraju proći sigurnosnu provjeru kako bi mogli pristupiti klasificiranim informacijama u području nacionalne sigurnosti (369).

(186)

Samo pojedinci koji ispunjavaju uvjete iz uvodne izjave 185. i nisu zaposleni u izvršnoj vlasti u trenutku imenovanja ili u prethodne dvije godine mogu se imenovati u DPRC. Slično tomu, tijekom svojeg mandata u DPRC-u suci ne smiju preuzimati nikakve službene dužnosti ili se zaposliti u američkoj vladi (osim kao suci DPRC-a) (370).

(187)

Neovisnost postupka odlučivanja postiže se nizom jamstava. Izvršnoj vlasti (glavni državni odvjetnik i obavještajne agencije) zabranjeno je uplitanje u preispitivanje DPRC-a ili neprimjereni utjecaj na njega (371). DPRC je dužan nepristrano odlučivati o predmetima (372) i poslovati u skladu s vlastitim poslovnikom (koji se donosi većinom glasova). Nadalje, suce DPRC-a može razriješiti samo glavni državni odvjetnik, i to samo iz opravdanih razloga (tj. povreda dužnosti, zlouporaba položaja, povreda sigurnosti, zanemarivanje dužnosti ili nesposobnost za rad) nakon što uzme u obzir standarde primjenjive na savezne suce utvrđene u Pravilima za postupke utvrđivanja povrede dužnosti i nesposobnosti za rad sudaca (373).

(188)

Zahtjeve podnesene DPRC-u preispituje sudsko vijeće sastavljeno od tri suca, uključujući predsjedavajućeg suca, koji moraju postupati u skladu s Kodeksom ponašanja za suce SAD-a (374). Svakom sudskom vijeću u radu pomaže posebni odvjetnik (375) koji ima pristup svim informacijama povezanima s predmetom, uključujući klasificirane podatke (376). Posebni odvjetnik odgovoran je za zastupanje interesa podnositelja pritužbe te informiranje sudskog vijeća DPRC-a o svim relevantnim pravnim i činjeničnim pitanjima (377). Kako bi prikupio dodatne informacije za potrebe oblikovanja stajališta o zahtjevu za preispitivanje koji je pojedinac podnio DPRC-u, posebni odvjetnik može podnositelju pritužbe uputiti pisana pitanja (378).

(189)

DPRC preispituje utvrđenja službenika za zaštitu građanskih sloboda ODNI-ja (je li došlo do povrede primjenjivog prava SAD-a i koje su korektivne mjere primjerene) na temelju barem evidencije tog službenika o istrazi te svih informacija i podnesaka podnositelja pritužbe, specijalnog odvjetnika ili obavještajne agencije (379). Sudsko vijeće DPRC-a može pristupiti svim informacijama koje su mu nužne za preispitivanje i može ih dobiti od službenika za zaštitu građanskih sloboda ODNI-ja (sudsko vijeće može npr. zatražiti od tog službenika da dopuni svoju evidenciju dodatnim informacijama ili činjeničnim utvrđenjima ako je to nužno za preispitivanje) (380).

(190)

Kad završi preispitivanje, DPRC može 1. odlučiti da nema dokaza koji upućuju na to da su osobni podaci podnositelja pritužbe bili predmet aktivnosti elektroničkog izviđanja, 2. odlučiti da su utvrđenja službenika za zaštitu građanskih sloboda ODNI-ja pravno točna i potkrijepljena zadovoljavajućim dokazima ili 3. ako se DPRC ne slaže s odlukama tog službenika (o tome je li došlo do povrede primjenjivog američkog prava ili koje su korektivne mjere primjerene), može donijeti vlastitu odluku (381).

(191)

DPRC u svim predmetima donosi pisanu odluku većinom glasova. Ako se preispitivanjem otkrije povreda primjenjivih pravila, u odluci će se navesti primjerene korektivne mjere, što uključuje brisanje nezakonito prikupljenih podataka, brisanje rezultata neispravnih pretraživanja, ograničavanje pristupa zakonito prikupljenim podacima na primjereno osposobljeno osoblje ili povlačenje obavještajnih izvješća s podacima koji su prikupljeni bez zakonitog odobrenja ili su se nezakonito širili (382). DPRC donosi odluke o pritužbama koje su obvezujuće i pravomoćne (383). Nadalje, ako se preispitivanjem otkrije povreda koju je počinilo tijelo koje nadzire FISC, DPRC mora izraditi i klasificirano izvješće za pomoćnika glavnog državnog odvjetnika za nacionalnu sigurnost, koji je potom o neusklađenosti obvezan obavijestiti FISC, koji može poduzeti daljnje provedbene mjere (u skladu s postupkom opisanim u izjavama od 173. do 174.) (384).

(192)

Sve odluke sudskog vijeća DPRC-a prosljeđuju se službeniku za zaštitu građanskih sloboda ODNI-ja (385). Ako DPRC provodi preispitivanje na temelju zahtjeva podnositelja pritužbe, preko nacionalnog tijela obavješćuje se podnositelja pritužbe da je DPRC završio preispitivanje i da „preispitivanjem nisu utvrđene predmetne povrede ili je DPRC utvrdio koje primjerene korektivne mjere treba provesti” (386). Ured za privatnost i građanske slobode pri Ministarstvu pravosuđa vodi evidenciju svih informacija koje DPRC preispituje i svih izdanih odluka pa se buduća sudska vijeća DPRC-a mogu njome poslužiti kao neobvezujućom zbirkom presedana (387).

(193)

Osim toga, Ministarstvo trgovine mora voditi evidenciju o svim podnositeljima pritužbe koji su podnijeli pritužbu (388). Radi veće transparentnosti Ministarstvo trgovine mora najmanje svakih pet godina s nadležnom obavještajnom agencijom provjeriti jesu li informacije o preispitivanju DPRC-a deklasificirane (389). Ako jesu, pojedinca će se obavijestiti da se te informacije mogu dobiti u skladu s primjenjivim pravom (tj. da može zatražiti pristup tim informacijama u skladu sa Zakonom o pravu na pristup informacijama, vidjeti uvodnu izjavu 199.).

(194)

Naposljetku, pravilno funkcioniranje tog mehanizma pravne zaštite redovito će se i neovisno evaluirati. Točnije, u skladu s Izvršnim nalogom br. 14086 PCLOB, neovisno tijelo svake godine mora preispitati funkcioniranje mehanizma pravne zaštite (vidjeti uvodnu izjavu 110.) (390). Pritom će PCLOB, među ostalim, ocijeniti jesu li službenik za zaštitu građanskih sloboda ODNI-ja i DPRC pravodobno riješili pritužbe, jesu li dobili potpun pristup nužnim informacijama, jesu li pri preispitivanju na odgovarajući način uzeli u obzir materijalne zaštitne mjere iz Izvršnog naloga br. 14086 i je li obavještajna zajednica u potpunosti postupila u skladu s odlukama službenika za zaštitu građanskih sloboda ODNI-ja i DPRC-a. PCLOB će izraditi izvješće o ishodu preispitivanja za predsjednika, glavnog državnog odvjetnika, direktora za nacionalna obavještajna pitanja, ravnatelje obavještajnih agencija, službenika za zaštitu građanskih sloboda ODNI-ja i kongresne odbore za obavještajna pitanja, objaviti i njegovu neklasificiranu inačicu te će ga Komisija uzeti u obzir pri periodičnom preispitivanju funkcioniranja ove Odluke. Glavni državni odvjetnik, direktor za nacionalna obavještajna pitanja, službenik za zaštitu građanskih sloboda ODNI-ja i ravnatelji obavještajnih agencija moraju provesti sve preporuke iz tih izvješća ili ih na drugi način uzeti u obzir. Nadalje, PCLOB će izdati godišnju javnu potvrdu o tome rješavaju li se pritužbe u okviru mehanizma pravne zaštite u skladu sa zahtjevima iz Izvršnog naloga br. 14086.

(195)

Uz poseban mehanizam pravne zaštite uspostavljen u skladu s Izvršnim nalogom br. 14086 postoje i drugi oblici pravne zaštite pred redovnim sudovima SAD-a koji su dostupni svim pojedincima (neovisno o državljanstvu ili boravištu) (391).

(196)

Točnije, u skladu sa Zakonom o nadzoru stranih obavještajnih aktivnosti i povezanim zakonom pojedinci mogu pokrenuti građanski postupak protiv SAD-a ako su se informacije o njima nezakonito i samovoljno upotrebljavale ili otkrivale (392), podnijeti tužbu protiv dužnosnika američke vlade kao privatne osobe radi novčane odštete (393) i osporavati zakonitost nadzora (i tražiti uklanjanje informacija) ako američka vlada namjerava upotrijebiti ili otkriti informacije dobivene elektroničkim izviđanjem ili izvedene iz njega protiv osobe u sudskim ili upravnim postupcima u SAD-u (394). Općenitije, ako informacije dobivene obavještajnim aktivnostima vlada namjerava upotrijebiti protiv osumnjičenika u kaznenom predmetu, u skladu s ustavnim i zakonskim zahtjevima (395) dužna je otkriti određene informacije kako bi tuženik mogao osporavati zakonitost vladina prikupljanja i uporabe dokaza.

(197)

Nadalje, postoji nekoliko posebnih oblika zaštite u okviru kojih se nudi podnošenje pravnog sredstva protiv vladinih dužnosnika zbog nezakonitog pristupa vlade osobnim podacima ili njihove uporabe, među ostalim u navodne svrhe nacionalne sigurnosti (tj. Zakon o računalnoj prijevari i zlouporabi (396), Zakon o zaštiti privatnosti elektroničke komunikacije (397) i Zakon o pravu na privatnost financijskih podataka (398)). Svi ti postupci odnose se na konkretne podatke, ciljane osobe i/ili vrste pristupa (npr. daljinski pristup računalu internetom) i dostupni su pod određenim uvjetima (npr. namjerno/samovoljno postupanje, postupanje izvan službene dužnosti, pretrpljena šteta).

(198)

Općenitija pravna zaštita može se ostvariti na temelju Zakona o upravnom postupku (399), prema kojem „svaka osoba koja je pretrpjela štetu zbog mjere agencije protivne zakonu ili na koju je mjera agencije štetno djelovala odnosno kojoj su mjerom agencije povrijeđena prava” ima pravo tražiti sudsko preispitivanje (400). To uključuje mogućnost da od suda zatraži da „proglasi nezakonitima i ukine mjere, nalaze i zaključke agencija za koje se utvrdi da su […] samovoljni i doneseni iz inata, da čine zlouporabu diskrecijskih prava ili da na drugi način nisu u skladu sa zakonom” (401). Na primjer, savezni žalbeni sud u postupku pokrenutom na temelju Zakona o upravnom postupku 2015. donio je odluku da skupno prikupljanje metapodataka o telefonskim pozivima koje je obavljala američka vlada nije dopušteno člankom 501. Zakona o nadzoru stranih obavještajnih aktivnosti (402).

(199)

Naposljetku, uz oblike pravne zaštite navedene u uvodnim izjavama od 176. do 198. svi pojedinci imaju pravo tražiti pristup postojećim evidencijama saveznih agencija u skladu sa Zakonom o pravu na pristup informacijama, među ostalim kad se u njima nalaze osobni podaci pojedinca (403). Dobivanje pristupa može olakšati i pokretanje postupka pred redovnim sudovima, među ostalim kao dokaz aktivne legitimacije. Agencije mogu uskratiti pristup informacijama koje su obuhvaćene određenim propisanim iznimkama, uključujući klasificirane informacije u području nacionalne sigurnosti i informacije o istragama tijela kaznenog progona (404), no podnositelji pritužbi koji nisu zadovoljni njihovim odgovorom mogu ga osporavati u postupku upravnog, a potom i sudskog preispitivanja (pred saveznim sudovima) (405).

(200)

Iz prethodno navedenog proizlazi da je pristup američkih tijela kaznenog progona i tijela za nacionalnu sigurnost osobnim podacima koji su obuhvaćeni područjem primjene ove Odluke uređen pravnim okvirom u kojem su utvrđeni uvjeti za pristup podacima te kojim se pristup podacima i njihova daljnja uporaba ograničavaju na ono što je nužno i proporcionalno postavljenom cilju od javnog interesa. Provedbu tih zaštitnih mjera mogu zatražiti pojedinci koji uživaju prava na djelotvornu pravnu zaštitu.

(201)

Komisija smatra da Načelima, koja je objavilo Ministarstvo trgovine, SAD osigurava razinu zaštite osobnih podataka koji se prenose iz Unije u certificirane organizacije u SAD-u u skladu s okvirom EU-a i SAD-a za privatnost podataka koja je u načelu istovjetna onoj koja se jamči Uredbom (EU) 2016/679.

(202)

Nadalje, Komisija smatra da se djelotvorna primjena Načela jamči obvezama transparentnosti i načinom na koji Ministarstvo trgovine upravlja okvirom za privatnost podataka. Osim toga, nadzorni mehanizmi i oblici pravne zaštite u američkom pravu kao cjelina u praksi omogućuju utvrđivanje kršenja pravila o zaštiti podataka i njihovo kažnjavanje te ispitanicima stavljaju na raspolaganje pravna sredstva za dobivanje pristupa osobnim podacima koji se odnose na njih te u konačnici za ispravak ili brisanje tih podataka.

(203)

Naposljetku, prema dostupnim informacijama o američkom pravnom poretku, uključujući informacije iz priloga VI. i VII., Komisija smatra da će zadiranje američkih javnih tijela u temeljna prava pojedinaca čiji se podaci prenose iz Unije u SAD u skladu s okvirom EU-a i SAD-a za privatnost podataka u javnom interesu, ponajprije u svrhe kaznenog progona i svrhe nacionalne sigurnosti, biti ograničeno na ono što je nužno za ostvarenje predmetnog legitimnog cilja i da postoji učinkovita pravna zaštita protiv takvog zadiranja. Stoga bi, s obzirom na prethodne zaključke, trebalo odlučiti da SAD osigurava primjerenu razinu zaštite u smislu članka 45. Uredbe (EU) 2016/679, kako se tumači s obzirom na Povelju Europske unije o temeljnim pravima, kad je riječ o osobnim podacima koji se prenose iz Europske unije organizacijama certificiranima u skladu s okvirom EU-a i SAD-a za privatnost podataka.

(204)

Budući da su ograničenja, zaštitne mjere i mehanizam pravne zaštite uspostavljeni Izvršnim nalogom br. 14086 ključni elementi američkog pravnog okvira na kojem se temelji Komisijina procjena, donošenje ove Odluke prvenstveno ovisi o donošenju ažuriranih politika i postupaka za provedbu Izvršnog naloga br. 14086 u svim američkim obavještajnim agencijama, što je učinjeno 3. srpnja 2023. (vidjeti uvodnu izjavu 126.), i dodjeljivanju Uniji statusa organizacije koja ispunjava uvjete za potrebe mehanizma pravne zaštite, što je učinjeno 30. lipnja 2023. (vidjeti uvodnu izjavu 176.).

(205)

Države članice i njihova tijela dužni su poduzeti mjere potrebne za usklađivanje s aktima institucija Unije jer se potonji smatraju zakonitima i proizvode pravne učinke do njihova povlačenja, poništenja u postupku za poništenje ili proglašavanja nevažećima nakon zahtjeva za prethodnu odluku ili tužbenog zahtjeva za proglašenje nezakonitosti.

(206)

Stoga je odluka Komisije o primjerenosti donesena u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 obvezujuća za sva tijela država članica kojima je upućena, uključujući njihova neovisna nadzorna tijela. Točnije, za prijenose od voditelja ili izvršitelja obrade u Uniji certificiranim organizacijama u SAD-u nisu potrebna daljnja odobrenja.

(207)

Trebalo bi podsjetiti na to da, u skladu s člankom 58. stavkom 5. Uredbe (EU) 2016/679 i kako je objašnjeno u presudi Suda u predmetu Schrems (406), ako nacionalno tijelo za zaštitu podataka, među ostalim nakon što je zaprimilo pritužbu, ima sumnje u pogledu spojivosti odluke Komisije o primjerenosti s temeljnim pravima pojedinca na privatnost i zaštitu podataka, nacionalnim pravom mora biti predviđeno pravno sredstvo za iznošenje tih prigovora pred nacionalnim sudom, od kojeg se može tražiti da Sudu Europske unije uputi zahtjev za prethodnu odluku (407).

(208)

U skladu sa sudskom praksom Suda (408), a kako je potvrđeno u članku 45. stavku 4. Uredbe (EU) 2016/679, Komisija bi nakon donošenja odluke o primjerenosti trebala kontinuirano pratiti relevantne događaje u trećoj zemlji kako bi ocijenila osigurava li ta treća zemlja i dalje u načelu istovjetnu razinu zaštite. Takva provjera potrebna je, u svakom slučaju, kad Komisija dobije informacije na temelju kojih može opravdano posumnjati u to.

(209)

Stoga bi Komisija trebala kontinuirano pratiti situaciju u SAD-u u pravnom okviru i stvarnoj praksi za obradu osobnih podataka kako je ocijenjeno u ovoj Odluci. Kako bi olakšala taj proces, američka tijela trebala bi odmah obavijestiti Komisiju o svim bitnim promjenama američkog pravnog poretka koje imaju učinak na pravni okvir koji je predmet ove Odluke, kao i o svim promjenama prakse povezane s obradom osobnih podataka koja se ocjenjuje u ovoj Odluci u pogledu obrade osobnih podataka koju provode certificirane organizacije u SAD-u, ali i ograničenja i zaštitnih mjera koji se primjenjuju na pristup javnih tijela osobnim podacima.

(210)

Nadalje, kako bi Komisija mogla djelotvorno obavljati svoju funkciju praćenja, države članice trebale bi je obavješćivati o svim relevantnim mjerama koje poduzimaju nacionalna tijela za zaštitu podataka, naročito u pogledu upita ili pritužbi ispitanika iz Unije o prijenosu osobnih podataka iz Unije certificiranim organizacijama u SAD-u. Komisiju bi trebalo obavijestiti i o svakoj naznaci da se mjerama američkih javnih tijela odgovornih za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili za nacionalnu sigurnost, uključujući nadzorna tijela, ne osigurava potrebna razina zaštite.

(211)

U skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 (409) Komisija bi nakon donošenja ove Odluke trebala periodično preispitati jesu li zaključci o primjerenosti razine zaštite koju Sjedinjene Američke Države osiguravaju u skladu s okvirom EU-a i SAD-a za privatnost podataka i dalje činjenično i pravno opravdani. Budući da su ponajprije Izvršnim nalogom br. 14086 i Uredbom glavnog državnog odvjetnika propisane uspostava novih mehanizama i provedba novih zaštitnih mjera, ovu Odluku trebalo bi prvi put preispitati godinu dana od njezina stupanja na snagu kako bi se provjerilo jesu li svi relevantni elementi u potpunosti provedeni i funkcioniranju li stvarno u praksi. Nakon prvog preispitivanja i ovisno o njegovu ishodu Komisija će u bliskoj suradnji s odborom osnovanim na temelju članka 93. stavka 1. Uredbe (EU) 2016/679 i Europskim odborom za zaštitu podataka odlučiti o periodičnosti budućih preispitivanja (410).

(212)

Za potrebe preispitivanja Komisija bi se trebala sastati s Ministarstvom trgovine, FTC-om i Ministarstvom prometa te prema potrebi s drugim ministarstvima i agencijama uključenima u provedbu okvira EU-a i SAD-a za privatnost podataka, a u vezi s pitanjima povezanima s pristupom vlade podacima s predstavnicima Ministarstva pravosuđa, ODNI-jem (uključujući službenika za zaštitu građanskih sloboda), drugim subjektima obavještajne zajednice, DPRC-om i posebnim odvjetnicima. Sudjelovanje na tom sastanku trebalo bi biti otvoreno za predstavnike članova Europskog odbora za zaštitu podataka.

(213)

Ta bi preispitivanja trebala obuhvatiti sve aspekte funkcioniranja ove Odluke u pogledu obrade osobnih podataka u SAD-u, a posebno primjenu i provedbu Načela, pri čemu bi posebnu pozornost trebalo posvetiti zaštiti koja se pruža u slučaju daljnjeg prijenosa, razvoju relevantne sudske prakse, djelotvornosti ostvarivanja prava pojedinaca, praćenju i osiguravanju usklađenosti s Načelima, kao i ograničenjima i zaštitnim mjerama za pristup vlade, posebice provedbi i primjeni zaštitnih mjera uvedenih Izvršnim nalogom br. 14086 među ostalim u okviru politika i postupaka koje su osmislile obavještajne agencije, međudjelovanju Izvršnog naloga br. 14086 i članka 702. Zakona o nadzoru stranih obavještajnih aktivnosti i Izvršnog naloga br. 12333 te djelotvornosti nadzornih mehanizama i oblika pravne zaštite (uključujući funkcioniranje novog mehanizma pravne zaštite uspostavljenog Izvršnim nalogom br. 14086). U okviru tih preispitivanja pozornost će se posvetiti i suradnji između tijela za zaštitu podataka i nadležnih tijela SAD-a, uključujući pripremu smjernica i drugih instrumenata za tumačenje primjene Načela te drugih aspekata funkcioniranja Okvira.

(214)

Na temelju preispitivanja Komisija bi trebala sastaviti javno izvješće koje podnosi Europskom parlamentu i Vijeću.

(215)

Ako dostupne informacije, naročito one dobivene praćenjem primjene ove Odluke ili one koje dostavljaju američka tijela ili tijela država članica, pokažu da razina zaštite podataka koji se prenose na temelju ove Odluke možda više nije primjerena, Komisija bi o tome trebala bez odgode obavijestiti nadležna američka tijela i zatražiti poduzimanje odgovarajućih mjera u određenom, razumnom roku.

(216)

Ako nakon isteka navedenog roka nadležna američka tijela ne poduzmu te mjere ili na drugi zadovoljavajući način ne dokažu da se ova Odluka i dalje temelji na primjerenoj razini zaštite, Komisija će pokrenuti postupak iz članka 93. stavka 2. Uredbe (EU) 2016/679 radi djelomične ili potpune suspenzije ili stavljanja izvan snage ove Odluke.

(217)

Alternativno, Komisija će pokrenuti taj postupak radi izmjene Odluke, ponajprije utvrđivanjem dodatnih uvjeta za prijenose podataka ili ograničavanjem područja primjene zaključka o primjerenosti samo na prijenose podataka za koje se i dalje osigurava primjerena razina zaštite.

(218)

Točnije, Komisija bi trebala pokrenuti postupak suspenzije ili stavljanja izvan snage u sljedećim slučajevima:

(219)

Komisija bi trebala razmotriti i pokretanje postupka za izmjenu, suspenziju ili stavljanje izvan snage ove Odluke ako nadležna američka tijela ne dostave informacije ili pojašnjenja koja su potrebna za ocjenu razine zaštite osobnih podataka koji se prenose iz Unije u SAD ili usklađenosti s ovom Odlukom. S obzirom na to Komisija bi trebala uzeti u obzir opseg u kojem se relevantne informacije mogu dobiti iz drugih izvora.

(220)

Zbog opravdanih krajnje hitnih razloga, na primjer ako se Izvršni nalog br. 14086 ili Uredba glavnog državnog odvjetnika izmijene tako da se naruši razina zaštite opisana u ovoj Odluci ili ako se Uniji oduzme status organizacije koja ispunjava uvjete za potrebe mehanizma pravne zaštite koji joj je dodijelio glavni državni odvjetnik, Komisija će iskoristiti mogućnost donošenja, u skladu s postupkom iz članka 93. stavka 3. Uredbe (EU) 2016/679, odmah primjenjivih provedbenih akata o suspenziji, stavljanju izvan snage ili izmjeni ove Odluke.

(221)

Europski odbor za zaštitu podataka objavio je svoje mišljenje (411), koje je uzeto u obzir pri pripremi ove Odluke.

(222)

Europski parlament donio je rezoluciju o primjerenosti zaštite koju pruža okvir EU-a i SAD-a za zaštitu podataka (412).

(223)

Mjere predviđene u ovoj Odluci u skladu su s mišljenjem Odbora osnovanog na temelju članka 93. stavka 1. Uredbe (EU) 2016/679,