(1)

Reglamentu (ES) 2016/679 (2) nustatytos asmens duomenų perdavimo iš Sąjungoje esančių duomenų valdytojų arba duomenų tvarkytojų į trečiąsias valstybes ir tarptautinėms organizacijoms taisyklės, susijusios su tomis duomenų perdavimo operacijomis, kurioms taikomas tas Reglamentas. Tarptautinio duomenų perdavimo taisyklės nustatytos to Reglamento V skyriuje. Nors asmens duomenų srautas į Europos Sąjungai nepriklausančias valstybes ir iš jų yra labai svarbus siekiant plėsti tarpvalstybinę prekybą ir tarptautinį bendradarbiavimą, Sąjungoje užtikrinamas asmens duomenų apsaugos lygis negali sumažėti duomenis perduodant į trečiąsias valstybes arba tarptautines organizacijas (3).

(2)

Pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį Komisija, priimdama įgyvendinimo aktą, gali nuspręsti, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje užtikrina tinkamo lygio apsaugą. Tokiu atveju asmens duomenys į trečiąją valstybę gali būti perduodami nereikalaujant papildomo leidimo, kaip nustatyta Reglamento (ES) 2016/679 45 straipsnio 1 dalyje ir 103 konstatuojamojoje dalyje.

(3)

Kaip nurodyta Reglamento (ES) 2016/679 45 straipsnio 2 dalyje, priimant sprendimą dėl tinkamumo turi būti remiamasi išsamia trečiosios valstybės teisinės tvarkos analize, apimančia ir duomenų importuotojams taikomas taisykles, ir apribojimus bei apsaugos priemones, taikomas valdžios institucijoms gaunant galimybę susipažinti su asmens duomenimis. Atlikdama vertinimą Komisija turi nustatyti, ar atitinkama trečioji valstybė garantuoja tokio lygio apsaugą, kuri yra „iš esmės lygiavertė“ Sąjungoje užtikrinamai apsaugai (Reglamento (ES) 2016/679104 konstatuojamoji dalis). Ar taip yra, turi būti vertinama pagal Sąjungos teisės aktus, visų pirma Reglamentą (ES) 2016/679, taip pat Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) praktiką (4).

(4)

Kaip Teisingumo Teismas išaiškino savo 2015 m. spalio 6 d. Sprendime Maximillian Schrems / Data Protection Commissioner (5) (Schrems), C-362/14, tam nereikia nustatyti tokio paties apsaugos lygio. Visų pirma, priemonės, kurių siekdama apsaugoti asmens duomenis gali imtis atitinkama trečioji valstybė, gali skirtis nuo Sąjungoje taikomų priemonių, jeigu šios priemonės praktiškai padeda veiksmingai užtikrinti tinkamo lygio apsaugą (6). Todėl pagal tinkamumo standartą nėra reikalaujama Sąjungos taisykles atkartoti papunkčiui. Veikiau pagal šį kriterijų turi būti patikrinta, ar visoje užsienio valstybės sistemoje užtikrinamas reikiamas apsaugos lygis – teisių į privatumą esmė, veiksmingas jų įgyvendinimas, priežiūra ir vykdymo užtikrinimas (7). Be to, pagal tą sprendimą Komisija, taikydama šį standartą, visų pirma turėtų įvertinti, ar atitinkamos trečiosios valstybės teisinėje sistemoje nustatytos taisyklės, kuriomis siekiama apriboti asmenų, kurių duomenys perduodami iš Sąjungos, pagrindinių teisių apribojimus, kuriuos tos valstybės valstybiniams subjektams būtų leidžiama taikyti siekiant teisėtų tikslų, pvz., nacionalinio saugumo, ir užtikrinama veiksminga teisinė apsauga nuo tokio pobūdžio apribojimų (8). Gairių šiuo klausimu pateikiama ir Europos duomenų apsaugos valdybos orientaciniuose tinkamumo kriterijuose, kuriais siekiama išsamiau paaiškinti šį standartą (9).

(5)

Tokiam pagrindinių teisių į privatumą ir duomenų apsaugą apribojimui taikytiną standartą Teisingumo Teismas išsamiau išaiškino savo 2020 m. liepos 16 d. Sprendime Data Protection Commissioner / Facebook Ireland Limited ir Maximillian Schrems (Schrems II), C-311/18, kuriuo Komisijos įgyvendinimo sprendimas (ES) 2016/1250 (10) dėl ankstesnės transatlantinės duomenų srautų reglamentavimo sistemos – ES ir JAV privatumo skydo (toliau – privatumo skydas) – pripažintas negaliojančiu. Teisingumo Teismas nusprendė, kad asmens duomenų apsaugos apribojimai, kurie kyla iš Jungtinių Amerikos Valstijų nacionalinės teisės aktų, susijusių su JAV valdžios institucijų prieiga prie tokių duomenų, perduodamų iš Sąjungos į Jungtines Amerikos Valstijas nacionalinio saugumo tikslais, ir šių institucijų atliekamu jų naudojimu, nėra sureglamentuoti taip, kad atitiktų reikalavimus, iš esmės lygiaverčius Sąjungos teisėje nustatytiems reikalavimams, kiek tai susiję su tokių teisės į duomenų apsaugą apribojimų būtinumu ir proporcingumu (11). Teisingumo Teismas taip pat nusprendė, kad nesuteikiama teisių gynimo priemonė institucijoje, kurioje asmenims, kurių duomenys buvo perduoti į Jungtines Amerikos Valstijas, būtų suteiktos garantijos, iš esmės lygiavertės toms, kurių reikalaujama pagal Chartijos 47 straipsnį dėl teisės į veiksmingą teisinę gynybą (12).

(6)

Po to, kai buvo priimtas Sprendimas Schrems II, Komisija pradėjo derybas su JAV vyriausybe dėl galimo naujo sprendimo dėl tinkamumo, kuris atitiktų Reglamento (ES) 2016/679 45 straipsnio 2 dalies reikalavimus, kaip juos išaiškino Teisingumo Teismas. Po šių diskusijų 2022 m. spalio 7 d. Jungtinės Amerikos Valstijos priėmė Vykdomąjį potvarkį Nr. 14086 dėl JAV signalų žvalgybos veiklos apsaugos priemonių griežtinimo (toliau – VP 14086), o jį papildo JAV generalinio prokuroro paskelbtas Reglamentas dėl Duomenų apsaugos apeliacinio teismo (toliau – GP reglamentas) (13). Be to, atnaujinta komerciniams subjektams, tvarkantiems iš Sąjungos pagal šį Sprendimą perduodamus duomenis, taikoma sistema – ES ir JAV duomenų privatumo sistema (toliau – ES ir JAV DPS arba DPS).

(7)

Komisija atidžiai išnagrinėjo JAV teisę ir praktiką, įskaitant VP 14086 ir GP reglamentą. Remdamasi 9-200 konstatuojamosiose dalyse išdėstytomis faktinėmis aplinkybėmis, Komisija daro išvadą, kad Jungtinės Amerikos Valstijos užtikrina tinkamą asmens duomenų, pagal ES ir JAV DPS Sąjungos (14) duomenų valdytojų arba duomenų tvarkytojų perduodamų Jungtinių Amerikos Valstijų sertifikuotoms organizacijoms, apsaugos lygį.

(8)

Šiuo sprendimu nustatoma, kad Sąjungoje esantys (15) duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis sertifikuotoms organizacijoms Jungtinėse Amerikos Valstijose be papildomo leidimo. Sprendimas nedaro poveikio Reglamento (ES) 2016/679 tiesioginiam taikymui tokioms organizacijoms, kai tenkinamos to Reglamento teritorinės taikymo srities sąlygos, nustatytos to Reglamento 3 straipsnyje.

(9)

ES ir JAV DPS yra pagrįsta sertifikavimo sistema, pagal kurią JAV organizacijos įsipareigoja laikytis tam tikrų privatumo principų – ES ir JAV duomenų privatumo sistemos principų, įskaitant papildomus principus (toliau kartu – Principai), – kuriuos paskelbė JAV Prekybos departamentas ir kurie yra pateikti šio sprendimo I priede (16). Kad atitiktų sertifikavimo pagal ES ir JAV DPS reikalavimus, organizacijos atžvilgiu turi būti galima naudotis Federalinės prekybos komisijos (FPK) arba JAV Transporto departamento tyrimo ir vykdymo užtikrinimo įgaliojimais (17). Principai taikomi iš karto nuo sertifikavimo momento. Kaip išsamiau paaiškinta 48–52 konstatuojamosiose dalyse, ES ir JAV DPS organizacijos privalo kasmet iš naujo atlikdamos sertifikavimą patvirtinti, kad laikosi Principų (18).

(10)

Pagal ES ir JAV DPS užtikrinama apsauga taikoma visiems asmens duomenims, kurie iš Sąjungos perduodami JAV organizacijoms, Prekybos departamentui patvirtinusioms, kad laikosi Principų, išskyrus duomenis, kurie yra renkami siekiant paskelbti, transliuoti ar kitaip viešai perduoti žurnalistinę medžiagą ir informaciją, esančią anksčiau paskelbtoje medžiagoje, platinamoje iš žiniasklaidos archyvų (19). Todėl tokia informacija negali būti perduodama remiantis ES ir JAV DPS.

(11)

Principuose asmens duomenys ir (arba) asmeninė informacija apibrėžiami taip pat, kaip ir Reglamente (ES) 2016/679, t. y. kaip „į BDAR taikymo sritį patenkantys duomenys apie asmenį, kurio tapatybė nustatyta arba gali būti nustatyta, kuriuos organizacija Jungtinėse Amerikos Valstijose gauna iš ES ir kurie yra įrašyti bet kokia forma“ (20). Atitinkamai jie taip pat apima pseudoniminius (arba raktu užkoduotus) mokslinių tyrimų duomenis (įskaitant atvejus, kai šifro raktu su gaunančiąja JAV organizacija nesidalijama) (21). Be to, tvarkymo sąvoka apibrėžiama taip – „automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, saugojimas, pritaikymas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas ar platinimas, taip pat ištrynimas arba sunaikinimas“ (22).

(12)

ES ir JAV DPS taikoma JAV organizacijoms, laikomoms duomenų valdytojais (t. y. asmuo ar organizacija, kuris (-i) vienas (-a) ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones) (23) arba duomenų tvarkytojais (t. y. duomenų valdytojo vardu veikiantis atstovas) (24). JAV duomenų tvarkytojai pagal sutartį privalo veikti tik laikydamiesi ES duomenų valdytojo nurodymų ir padėti jam atsakyti asmenims, kurie naudojasi savo teisėmis pagal Principus (25). Be to, duomenų tvarkymo subrangos atveju duomenų tvarkytojas privalo sudaryti sutartį su duomenų tvarkymo subrangovu, kuria garantuojamas toks pat apsaugos lygis, koks užtikrinamas pagal Principus, ir imtis priemonių, kad tokia sutartis būtų tinkamai vykdoma (26).

(13)

Asmens duomenys turėtų būti tvarkomi teisėtai ir sąžiningai. Jie turėtų būti renkami konkrečiu tikslu ir vėliau naudojami tik tiek, kiek tai nėra nesuderinama su jų tvarkymo tikslu.

(14)

Pagal ES ir JAV DPS tai užtikrinama įvairiais Principais. Pirma, pagal duomenų vientisumo ir tikslo apribojimo principą, panašiai kaip pagal Reglamento (ES) 2016/679 5 straipsnio 1 dalies b punktą, organizacija negali tvarkyti asmens duomenų tokiu būdu, kuris yra nesuderinamas su tikslu, kuriuo jie iš pradžių buvo surinkti arba duomenų subjektas vėliau leido juos tvarkyti (27).

(15)

Antra, prieš naudodama asmens duomenis nauju (pakeistu) tikslu, kuris yra iš esmės kitas, bet vis vien suderinamas su pradiniu tikslu, arba atskleisti juos trečiajai šaliai, organizacija pagal pasirinkimo principą (28) turi suteikti duomenų subjektams galimybę nesutikti (atsisakyti sutikti), taikydama aiškų, suprantamą ir lengvai prieinamą mechanizmą. Svarbu pažymėti, kad šis principas nėra viršesnis už aiškų draudimą tvarkyti duomenis nesuderinamais tikslais (29).

(16)

Tvarkant specialių kategorijų duomenis turėtų būti taikomos konkrečios apsaugos priemonės.

(17)

Laikantis pasirinkimo principo, tvarkant neskelbtiną informaciją, t. y. asmens duomenis apie sveikatos būklę, rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, informaciją apie asmens lytinį gyvenimą arba bet kokią kitą iš trečiosios šalies gautą informaciją, kurią ta šalis laiko neskelbtina ir tvarko kaip neskelbtiną, taikomos konkrečios apsaugos priemonės (30). Tai reiškia, kad visi duomenys, kurie laikomi neskelbtinais pagal Sąjungos duomenų apsaugos teisės aktus (įskaitant duomenis apie seksualinę orientaciją, genetinius duomenis ir biometrinius duomenis), sertifikuotų organizacijų bus laikomi neskelbtinais ir pagal ES ir JAV DPS.

(18)

Paprastai organizacijos turi gauti aiškų asmens sutikimą (t. y. pasirinktą sutikimą), kad neskelbtina informacija būtų naudojama kitais tikslais nei tie, kuriais ta informacija iš pradžių buvo surinkta ar vėliau asmuo ją leido naudoti (pasirinkęs sutikimą), arba atskleidžiama trečiosioms šalims (31).

(19)

Tokio sutikimo nereikia tik tam tikromis aplinkybėmis, kurios yra panašios į Sąjungos duomenų apsaugos teisės aktuose numatytas panašias išimtis, pvz., kai neskelbtini duomenys tvarkomi siekiant apsaugoti asmens gyvybinį interesą, duomenis tvarkyti būtina pareiškiant teisinius reikalavimus arba duomenis tvarkyti reikia vykdant sveikatos priežiūrą ar siekiant nustatyti diagnozę (32).

(20)

Duomenys turėtų būti tikslūs ir, jei reikia, atnaujinami. Duomenys taip pat turi būti tinkami, susiję ir nepertekliniai atsižvelgiant į jų tvarkymo tikslus ir iš esmės saugomi ne ilgiau, nei būtina atsižvelgiant į asmens duomenų tvarkymo tikslus.

(21)

Pagal duomenų vientisumo ir tikslo apribojimo principą (33) asmens duomenys turi būti susiję tik su tuo, kas yra aktualu duomenų tvarkymo tikslu. Be to, tiek, kiek būtina tvarkymo tikslais, organizacijos privalo imtis pagrįstų priemonių užtikrinti, kad asmens duomenys patikimai atitiktų numatomą jų naudojimo paskirtį, būtų tikslūs, išsamūs ir naujausi.

(22)

Be to, asmeninė informacija tokia forma, kokia nustatoma asmens tapatybė arba sudaromos sąlygos nustatyti asmens tapatybę (t. y. asmens duomenų forma) (34), gali būti saugoma tik tol, kol yra naudojama tikslui (-ams), dėl kurio (-ių) iš pradžių buvo surinkta arba vėliau asmuo leido ją naudoti pagal pasirinkimo principą. Ši prievolė neužkerta kelio organizacijoms toliau tvarkyti asmeninę informaciją ilgiau, bet tik tol ir tokiu mastu, kokiu toks tvarkymas pagrįstai padeda siekti vieno iš šių konkrečių tikslų, panašių į Sąjungos duomenų apsaugos teisės aktuose numatytas panašias išimtis: archyvavimo dėl viešojo intereso, žurnalistikos, literatūros ir meno, mokslinių ir istorinių tyrimų ir statistinės analizės (35). Kai asmens duomenys saugomi vienu iš šių tikslų, jų tvarkymui taikomos pagal Principus nustatytos apsaugos priemonės (36).

(23)

Asmens duomenys taip pat turėtų būti tvarkomi taip, kad būtų užtikrintas jų saugumas, įskaitant apsaugą nuo neleidžiamo ar neteisėto tvarkymo ir netyčinio praradimo, sunaikinimo ar sugadinimo. Todėl duomenų valdytojai ir duomenų tvarkytojai turėtų imtis tinkamų techninių ar organizacinių priemonių, kad apsaugotų asmens duomenis nuo galimų grėsmių. Šios priemonės turėtų būti vertinamos atsižvelgiant į techninių galimybių išsivystymo lygį, susijusias sąnaudas ir duomenų tvarkymo pobūdį, aprėptį, aplinkybes ir tikslus, taip pat į asmenų teisėms kylančius pavojus.

(24)

Pagal ES ir JAV DPS tai užtikrinama saugumo principu, pagal kurį, panašiai kaip pagal Reglamento (ES) 2016/679 32 straipsnį, reikalaujama imtis pagrįstų ir tinkamų saugumo priemonių, atsižvelgiant į tvarkant duomenis kylančią riziką ir duomenų pobūdį (37).

(25)

Duomenų subjektai turėtų būti informuoti apie pagrindinius jų asmens duomenų tvarkymo aspektus.

(26)

Tai užtikrinama taikant pranešimo principą (38), pagal kurį, panašiai kaip laikantis skaidrumo reikalavimų pagal Reglamentą (ES) 2016/679, reikalaujama, kad organizacijos informuotų duomenų subjektus apie, inter alia, i) organizacijos dalyvavimą DPS, ii) renkamų duomenų rūšį, iii) duomenų tvarkymo tikslą, iv) trečiųjų šalių, kurioms asmens duomenys gali būti atskleisti, tipą ar tapatybę ir tokio atskleidimo tikslus, v) jų asmens teises, vi) kreipimosi į organizaciją būdus, taip pat vii) galimus teisių gynimo būdus.

(27)

Toks pranešimas turi būti pateikiamas aiškia ir suprantama kalba, kai asmenų pirmą kartą prašoma pateikti asmens duomenis arba kuo greičiau po to, tačiau bet kuriuo atveju prieš naudojant duomenis iš esmės kitu (bet vis vien suderinamu) tikslu nei tas, kuriuo jie buvo surinkti, arba prieš juos atskleidžiant trečiajai šaliai (39).

(28)

Be to, organizacijos privalo viešai paskelbti Principus atitinkančią savo privatumo politiką (arba, žmogiškųjų išteklių duomenų atveju, užtikrinti, kad ji būtų lengvai prieinama atitinkamiems asmenims) ir pateikti nuorodas į Prekybos departamento interneto svetainę (kurioje pateikiama išsamesnės informacijos apie sertifikavimą, duomenų subjektų teises ir galimus teisių gynimo mechanizmus), Duomenų privatumo sistemos sąrašą (DPS sąrašą), kuriame nurodytos dalyvaujančios organizacijos, ir atitinkamo alternatyvaus ginčų sprendimo paslaugų teikėjo interneto svetainę (40).

(29)

Duomenų subjektai turėtų turėti tam tikras teises, kurias duomenų valdytojui arba duomenų tvarkytojui gali būti nurodyta įgyvendinti, visų pirma teisę susipažinti su duomenimis, teisę nesutikti su duomenų tvarkymu ir teisę ištaisyti arba ištrinti duomenis.

(30)

Pagal ES ir JAV DPS susipažinimo su duomenimis principą (41) tokios teisės asmenims suteikiamos. Visų pirma duomenų subjektai turi teisę be pagrindimo gauti organizacijos patvirtinimą, ar ji tvarko su jais susijusius asmens duomenis, gauti tuos duomenis ir gauti informacijos apie duomenų tvarkymo tikslą, tvarkomų asmens duomenų kategorijas ir duomenų gavėjus (jų kategorijas), kuriems atskleidžiami duomenys (42). Organizacijos privalo atsakyti į prašymus leisti susipažinti su duomenimis per pagrįstą laikotarpį (43). Organizacija gali nustatyti pagrįstas ribas, kiek kartų per tam tikrą laikotarpį patenkins konkretaus asmens prašymus leisti susipažinti su duomenimis, ir gali imti ne pernelyg didelį mokestį, jeigu, pvz., prašymai yra akivaizdžiai pertekliniai, visų pirma dėl to, kad yra kartotiniai (44).

(31)

Teisė susipažinti su duomenimis gali būti ribojama tik išimtinėmis aplinkybėmis, panašiomis į numatytąsias pagal Sąjungos duomenų apsaugos teisę, visų pirma tais atvejais, kai būtų pažeistos kitų asmenų teisėtos teisės; kai konkrečiu atveju susiklosčiusiomis aplinkybėmis galimybės susipažinti su duomenimis suteikimo našta ar išlaidos būtų neproporcingos, palyginti su asmens privatumui kylančia rizika (nors išlaidos ir našta nėra lemiami veiksniai nustatant, ar suteikti galimybę susipažinti su duomenimis yra pagrįsta); tiek, kiek atskleidus tokią informaciją veikiausiai kiltų sunkumų apsaugoti svarbius priešingus viešuosius interesus, pvz., nacionalinio saugumo, visuomenės saugumo ar gynybos; informacija apima konfidencialią komercinę informaciją; informacija tvarkoma tik mokslinių tyrimų ar statistikos tikslais (45). Bet koks šios teisės nesuteikimas arba apribojimas turi būti būtinas ir tinkamai pagrįstas, o pareiga įrodyti, kad šie reikalavimai yra įvykdyti, šiuo atveju tenka organizacijai (46). Atlikdama šį vertinimą organizacija visų pirma turi atsižvelgti į asmens interesus (47). Jeigu įmanoma informaciją atskirti nuo kitų duomenų, kuriems taikomas apribojimas, organizacija turi pašalinti saugomą informaciją ir atskleisti likusią informaciją (48).

(32)

Be to, duomenų subjektai turi teisę reikalauti ištaisyti ar pakeisti netikslius duomenis ir reikalauti ištrinti duomenis, kurie buvo tvarkomi pažeidžiant Principus (49). Be to, kaip paaiškinta 15 konstatuojamojoje dalyje, asmenys turi teisę nesutikti ar atsisakyti sutikti, kad jų duomenys būtų tvarkomi iš esmės kitais (bet suderinamais) tikslais nei tie, kuriais duomenys buvo surinkti, ir kad jų duomenys būtų atskleisti trečiosioms šalims. Kai asmens duomenys naudojami tiesioginės rinkodaros tikslais, asmenys turi bendrą teisę bet kuriuo metu atsisakyti sutikti, kad duomenys būtų tvarkomi (50).

(33)

Duomenų subjektui poveikį darančių tik automatizuotu asmens duomenų tvarkymu grindžiamų sprendimų klausimui Principai konkrečiai netaikomi. Tačiau Sąjungoje surinktų asmens duomenų atveju bet kokį automatizuotu duomenų tvarkymu grindžiamą sprendimą paprastai priima duomenų valdytojas Sąjungoje (turintis tiesioginį ryšį su atitinkamu duomenų subjektu), todėl jų tvarkymui tiesiogiai taikomas Reglamentas (ES) 2016/679 (51). Tai apima duomenų perdavimo atvejus, kai duomenis tvarko užsienio valstybės (pvz., JAV) verslo subjektas, veikiantis kaip Sąjungos duomenų valdytojo atstovas (duomenų tvarkytojas) (arba kaip duomenų tvarkymo subrangovas, veikiantis Sąjungos duomenų tvarkytojo, gavusio duomenis iš juos surinkusio Sąjungos duomenų valdytojo, vardu), todėl šiuo pagrindu sprendimą priima tas duomenų valdytojas.

(34)

Tai patvirtinta atliekant antrą metinę privatumo skydo veikimo peržiūrą 2018 m. Komisijos užsakytu tyrimu (52), kuriame padaryta išvada, kad tuo metu nebuvo įrodymų, jog privatumo skydo organizacijos įprastai automatizuotai priimtų sprendimus remdamosi pagal privatumo skydo sistemą perduotais asmens duomenimis.

(35)

Bet kuriuo atveju srityse, kuriose bendrovės veikiausiai naudos automatizuoto asmens duomenų tvarkymo priemones, kad priimtų asmeniui poveikį darančius sprendimus (pvz., paskolų, hipotekos garantijų, užimtumo, būsto ir draudimo srityse), galioja JAV teisėje nustatytos konkrečios apsaugos nuo neigiamų sprendimų priemonės (53). Tuose teisės aktuose paprastai nustatyta, kad asmenys turi teisę būti informuoti apie konkrečias priimto sprendimo priežastis (pvz., atmetus paskolos prašymą), kad galėtų ginčyti neišsamią arba netikslią informaciją (taip pat remtis neteisėtumo aplinkybėmis) ir siekti apginti savo teises. Vartojimo paskolų srityje Sąžiningo kredito informacijos teikimo akte (FCRA) ir Lygių galimybių gauti kreditą akte (ECOA) nustatytomis apsaugos priemonėmis vartotojams suteikiama tam tikra teisė gauti paaiškinimą ir teisė ginčyti sprendimą. Šie aktai aktualūs įvairiose srityse, be kita ko, paskolų, užimtumo, būsto ir draudimo. Be to, tam tikrais kovos su diskriminacija teisės aktais, pvz., Civilinių teisių akto VII antraštine dalimi ir Sąžiningo apsirūpinimo būstu aktu, asmenims suteikiama apsaugos priemonių, susijusių su automatizuotai priimant sprendimus naudojamais modeliais, kurie galėtų lemti diskriminaciją dėl tam tikrų ypatybių, ir asmenims suteikiamos teisės ginčyti tokius sprendimus, be kita ko, priimtus automatizuotai. Dėl informacijos apie sveikatą, Sveikatos draudimo perkeliamumo ir atskaitomybės akto (HIPAA) taisykle dėl privatumo nustatytos tam tikros teisės, kurios dėl galimybės susipažinti su asmens sveikatos informacija yra panašios į nustatytąsias Reglamente (ES) 2016/679. Be to, JAV valdžios institucijų pateiktose gairėse reikalaujama, kad medicinos paslaugų teikėjai gautų informaciją, leidžiančią jiems informuoti asmenis apie medicinos sektoriuje naudojamas automatizuotas sprendimų priėmimo sistemas (54).

(36)

Taigi menkai tikėtinoje situacijoje, kurioje automatizuotus sprendimus priimtų pati ES ir JAV DPS organizacija, šiomis taisyklėmis suteikiama apsauga, panaši į numatytąją pagal Sąjungos duomenų apsaugos teisę.

(37)

Iš Sąjungos organizacijoms Jungtinėse Amerikos Valstijose perduodamų asmens duomenų apsaugos lygis negali sumažėti tokius duomenis toliau perduodant gavėjui Jungtinėse Amerikos Valstijose arba kitoje trečiojoje valstybėje.

(38)

Pagal atskaitomybės už tolesnį duomenų perdavimą principą (55) tolesniam duomenų perdavimui taikomos specialios taisyklės; tai yra ES ir JAV DPS organizacijos atliekamas asmens duomenų perdavimas trečiajai šaliai duomenų valdytojui arba duomenų tvarkytojui, nepaisant to, ar pastaroji yra Jungtinėse Amerikos Valstijose, ar už Jungtinių Amerikos Valstijų (ir Sąjungos) ribų esančioje trečiojoje valstybėje. Bet koks tolesnis duomenų perdavimas gali būti vykdomas tik i) ribotais ir konkrečiai nurodytais tikslais, ii) remiantis ES ir JAV DPS organizacijos ir trečiosios šalies sutartimi (56) (arba panašiu susitarimu įmonių grupėje (57)) ir iii) tik tuo atveju, jeigu pagal tą sutartį reikalaujama, kad trečioji šalis užtikrintų tokį patį apsaugos lygį, koks yra garantuojamas pagal Principus.

(39)

Ši prievolė užtikrinti tokį pat apsaugos lygį, koks yra garantuojamas pagal Principus, vertinama kartu su duomenų vientisumo ir tikslo apribojimo principu, visų pirma reiškia, kad trečioji šalis gali tvarkyti jai perduotą asmeninę informaciją tik tais tikslais, kurie nėra nesuderinami su tikslais, kuriais ta informacija buvo surinkta arba vėliau asmuo leido ją naudoti (pagal pasirinkimo principą).

(40)

Atskaitomybės už tolesnį duomenų perdavimą principą taip pat reikėtų vertinti kartu su pranešimo principu ir, jeigu duomenys toliau perduodami trečiajai šaliai duomenų valdytojai (58), pasirinkimo principu, pagal kurį duomenų subjektai turi būti informuojami (be kita ko) apie bet kurios trečiosios šalies gavėjos tipą ir (arba) tapatybę, tolesnio duomenų perdavimo tikslą ir siūlomą galimybę rinktis ir gali nesutikti (atsisakyti sutikti) arba, jeigu perduodami neskelbtini duomenys, turi duoti „aiškų sutikimą“ (pasirinktą sutikimą), kad duomenys būtų perduodami toliau.

(41)

Prievolė užtikrinti tokį pat apsaugos lygį, kokio reikalaujama pagal Principus, taikoma visoms trečiosioms šalims, dalyvaujančioms tvarkant taip perduotus duomenis, nepaisant jų buvimo vietos (JAV ar kitoje trečiojoje valstybėje), be kita ko, kai pradinė trečioji šalis gavėja pati tuos duomenis perduoda kitai trečiajai šaliai gavėjai, pvz., duomenų tvarkymo subrangos tikslais.

(42)

Visais atvejais sutartyje su trečiąja šalimi gavėja turi būti nustatyta, kad pastaroji praneš ES ir JAV DPS organizacijai, jeigu nustatys, kad nebegali vykdyti šios prievolės. Tai nustačiusi, trečioji šalis privalo nutraukti duomenų tvarkymą arba turi būti imamasi kitų pagrįstų ir tinkamų priemonių padėčiai ištaisyti (59).

(43)

Jeigu duomenys toliau perduodami trečiajai šaliai, kuri veikia kaip atstovas (t. y. duomenų tvarkytojui), taikomos papildomos apsaugos priemonės. Tokiu atveju JAV organizacija privalo užtikrinti, kad atstovas veiktų tik pagal jos nurodymus, ir imtis pagrįstų ir tinkamų priemonių siekdama i) užtikrinti, kad atstovas veiksmingai tvarkytų asmeninę informaciją, kuri buvo perduota organizacijos prievoles pagal Principus atitinkančiu būdu, ir ii) gavusi pranešimą sustabdyti neleidžiamą duomenų tvarkymą ir ištaisyti susidariusią padėtį (60). Prekybos departamentas gali reikalauti, kad organizacija pateiktų sutarties nuostatų dėl privatumo santrauką arba reprezentatyvią kopiją (61). Jeigu problemų dėl reikalavimų laikymosi kyla duomenų tvarkymo (subrangos) grandinėje, iš esmės atsakomybė tenka organizacijai, kuri veikia kaip asmens duomenų valdytoja, kaip nustatyta pagal teisių gynimo, vykdymo užtikrinimo ir atsakomybės principą, nebent ji įrodo, kad nėra atsakinga už įvykį, dėl kurio buvo padaryta žala (62).

(44)

Pagal atskaitomybės principą duomenis tvarkantys subjektai privalo nustatyti tinkamas technines ir organizacines priemones, kad veiksmingai laikytųsi savo duomenų apsaugos prievolių ir galėtų įrodyti (visų pirma kompetentingai priežiūros institucijai), kad jų laikosi.

(45)

Savanoriškai nusprendusi atlikti sertifikavimą (63) pagal ES ir JAV DPS, organizacija privalo veiksmingai laikytis Principų ir užtikrinti, kad jų būtų laikomasi. Pagal teisių gynimo, vykdymo užtikrinimo ir atsakomybės principą (64) ES ir JAV DPS organizacijos turi parūpinti veiksmingus mechanizmus Principų laikymuisi užtikrinti. Be to, organizacijos privalo imtis priemonių, kad patikrintų (65), ar jų privatumo politika atitinka Principus ir ar jos iš tikrųjų laikomasi. Tai galima padaryti naudojant įsivertinimo sistemą, būtinai apimančią vidaus procedūras, kuriomis užtikrinama, kad darbuotojams būtų rengiami mokymai organizacijos privatumo politikos įgyvendinimo klausimais ir kad būtų periodiškai objektyviai tikrinama, kaip laikomasi reikalavimų, arba vykdant išorės reikalavimų laikymosi peržiūras, pvz., atliekant auditą, vykdant atsitiktines patikras ar naudojantis technologinėmis priemonėmis.

(46)

Be to, organizacijos turi saugoti įrašus, kaip įgyvendina ES ir JAV DPS praktiką ir, gavusios prašymą, pateikti juos nepriklausomai ginčų sprendimo įstaigai arba kompetentingai vykdymo užtikrinimo institucijai, kai atliekamas tyrimas arba nagrinėjamas skundas dėl reikalavimų nesilaikymo (66).

(47)

ES ir JAV DPS administruos ir stebės Prekybos departamentas. Šioje sistemoje numatyti priežiūros ir vykdymo užtikrinimo mechanizmai, skirti tikrinti ir užtikrinti, kad ES ir JAV DPS organizacijos laikytųsi Principų ir kad būtų reaguojama į bet kokį jų nesilaikymo atvejį. Šie mechanizmai apibūdinti Principų nuostatose (I priedas), taip pat Prekybos departamento (III priedas), FPK (IV priedas) ir Transporto departamento (V priedas) prisiimtuose įsipareigojimuose.

(48)

Siekdamos būti sertifikuotos pagal ES ir JAV DPS (arba kasmet atnaujinti sertifikavimą), organizacijos privalo viešai pareikšti, kad įsipareigoja laikytis Principų, sudaryti sąlygas susipažinti su jų privatumo politika ir visapusiškai ją įgyvendinti (67). Teikdamos (pakartotinio) sertifikavimo prašymą, organizacijos turi Prekybos departamentui pateikti informaciją apie, inter alia, atitinkamos organizacijos pavadinimą, tikslų, kuriais organizacija tvarkys asmens duomenis, aprašymą, asmens duomenis, kuriuos apims sertifikavimas, taip pat pasirinktą patikrinimo metodą, atitinkamą nepriklausomą teisių gynimo mechanizmą ir valstybinę įstaigą, turinčią jurisdikciją užtikrinti, kad būtų laikomasi Principų (68).

(49)

Organizacijos gali gauti asmens duomenis pagal ES ir JAV DPS nuo tos dienos, kurią Prekybos departamentas jas įtraukia į DPS sąrašą. Siekiant užtikrinti teisinį tikrumą ir išvengti neteisingų teiginių, pirmą kartą sertifikuojamoms organizacijoms neleidžiama viešai nurodyti, kad laikosi Principų, kol Prekybos departamentas nuspręs, kad organizacijos sertifikavimo dokumentai yra išsamūs, ir įtrauks organizaciją į DPS sąrašą (69). Kad joms ir toliau būtų leidžiama pagal ES ir JAV DPS gauti asmens duomenis iš Sąjungos, tokios organizacijos privalo kasmet pakartotinai atlikdamos sertifikavimą patvirtinti, kad dalyvauja sistemoje. Dėl bet kokių priežasčių pasitraukusi iš ES ir JAV DPS, organizacija privalo pašalinti visus pareiškimus, iš kurių galima suprasti, kad organizacija ir toliau dalyvauja sistemoje (70).

(50)

Kaip matyti iš III priede išdėstytų įsipareigojimų, Prekybos departamentas tikrins, ar organizacijos atitinka visus sertifikavimo reikalavimus ir yra nustačiusios (viešą) privatumo politiką, apimančią pagal pranešimo principą reikalaujamą informaciją (71). Remdamasis patirtimi, įgyta vykdant (pakartotinio) sertifikavimo procesą pagal privatumo skydą, Prekybos departamentas vykdys tam tikras patikras, be kita ko, siekdamas patikrinti, ar organizacijų privatumo politikos dokumentuose yra saitas į tinkamą skundo formą atitinkamo ginčų sprendimo mechanizmo interneto svetainėje, ir, kai į sertifikavimo dokumentus įtraukiami keli vienos organizacijos subjektai ir patronuojamosios įmonės, ar kiekvieno iš tų subjektų privatumo politika atitinka sertifikavimo reikalavimus ir ar duomenų subjektai gali lengvai su ja susipažinti (72). Be to, prireikus Prekybos departamentas su FPK ir Transporto departamentu atliks kryžmines patikras, siekdami patikrinti, ar organizacijas prižiūri jų (pakartotinio) sertifikavimo dokumentuose nurodyta priežiūros įstaiga, ir bendradarbiaus su alternatyvaus ginčų sprendimo įstaigomis, kad patikrintų, ar organizacijos yra užsiregistravusios naudotis jų (pakartotinio) sertifikavimo dokumentuose nurodytu nepriklausomu teisių gynimo mechanizmu (73).

(51)

Prekybos departamentas informuos organizacijas, kad norėdamos užbaigti (pakartotinį) sertifikavimą, jos turi išspręsti visas atliekant peržiūrą nustatytas problemas. Jeigu organizacija per Prekybos departamento nustatytą laikotarpį nepateikia atsakymo (pvz., numatoma, kad pakartotinio sertifikavimo procesas atliekamas per 45 dienas) (74) arba kitaip nebaigia sertifikavimo, laikoma, kad proceso atsisakyta. Tokiu atveju FPK arba Transporto departamentas gali imtis vykdymo užtikrinimo veiksmų dėl bet kokio klaidingo faktų pateikimo apie dalyvavimą ES ir JAV DPS arba šios sistemos reikalavimų laikymąsi (75).

(52)

Kad užtikrintų tinkamą ES ir JAV DPS taikymą, suinteresuotosios šalys, pvz., duomenų subjektai, duomenų eksportuotojai ir nacionalinės duomenų apsaugos institucijos (DAI), privalo turėti galimybę nustatyti organizacijas, kurios laikosi Principų. Siekdamas užtikrinti tokį skaidrumą pradiniame taške, Prekybos departamentas įsipareigojo tvarkyti ir viešai skelbti organizacijų, kurios atlikusios sertifikavimą patvirtino, kad laikosi Principų, ir kurios priklauso bent vienos šio sprendimo IV ir V prieduose nurodytų vykdymo užtikrinimo institucijų jurisdikcijai, sąrašą (76). Prekybos departamentas sąrašą atnaujins atsižvelgdamas į organizacijos metinio pakartotinio sertifikavimo dokumentus ir visais atvejais, kai organizacija pasitraukia ar yra pašalinama iš ES ir JAV DPS. Be to, siekdamas užtikrinti skaidrumą ir galutiniame taške, Prekybos departamentas tvarkys ir viešai skelbs iš sąrašo išbrauktų organizacijų registrą, kiekvienu atveju nurodydamas tokio išbraukimo priežastį (77). Galiausiai jis pateiks nuorodą į ES ir JAV DPS skirtą FPK tinklalapį, kuriame nurodomi FPK vykdymo užtikrinimo veiksmai pagal šią sistemą (78).

(53)

Prekybos departamentas naudodamas įvairius mechanizmus nuolat stebės, ar ES ir JAV DPS organizacijos veiksmingai laikosi Principų (79). Visų pirma jis atliks atsitiktine tvarka atrinktų organizacijų patikrą vietoje, taip pat tam tikrų organizacijų ad hoc patikrą vietoje, jei nustatoma galimų problemų dėl atitikties (pvz., jei apie tai Prekybos departamentui pranešė trečiosios šalys), kad patikrintų, ar i) skundus ir duomenų subjektų prašymus nagrinėjantis (-ys) kontaktinis (-iai) punktas (-ai) yra lengvai pasiekiamas (-i) ir atsako; ii) su organizacijos privatumo politika galima patogiai susipažinti tiek jos interneto svetainėje, tiek per saitą Prekybos departamento interneto svetainėje; iii) organizacijos privatumo politika ir toliau atitinka sertifikavimo reikalavimus, taip pat iv) organizacijų pasirinktas nepriklausomas ginčų sprendimo mechanizmas gali būti naudojamas skundams nagrinėti (80).

(54)

Jeigu yra patikimų įrodymų, kad organizacija nesilaiko savo įsipareigojimų pagal ES ir JAV DPS (be kita ko, jeigu Prekybos departamentas gavo skundų arba organizacija nepateikia tenkinančio atsakymo į Prekybos departamento užklausas), Prekybos departamentas pareikalaus, kad organizacija užpildytų ir pateiktų išsamų klausimyną (81). Tinkamai ir laiku į klausimyną neatsakiusi organizacija bus perduota atitinkamai institucijai (FPK arba Transporto departamentui), kad ši imtųsi galimų vykdymo užtikrinimo veiksmų (82). Vykdydamas atitikties stebėsenos veiklą pagal privatumo skydą, Prekybos departamentas reguliariai atlikdavo 53 konstatuojamojoje dalyje minimas patikras vietoje ir nuolat stebėjo viešas ataskaitas, todėl galėjo nustatyti, nagrinėti ir spręsti atitikties problemas (83). Nuolat Principų nesilaikančios organizacijos bus išbrauktos iš DPS sąrašo ir privalės grąžinti arba ištrinti pagal šią sistemą gautus asmens duomenis (84).

(55)

Kitais išbraukimo iš sąrašo atvejais, pvz., savo noru nustojus dalyvauti sistemoje arba neatlikus pakartotinio sertifikavimo, organizacija privalo tokius duomenis ištrinti arba grąžinti, arba gali juos išsaugoti, jeigu kasmet Prekybos departamentui patvirtina savo įsipareigojimą toliau taikyti Principus arba kitomis leidžiamomis priemonėmis užtikrina tinkamą asmens duomenų apsaugą (pvz., sudarydama sutartį, kuri visiškai atitinka Komisijos patvirtintose standartinėse sutarčių sąlygose nustatytus reikalavimus) (85). Šiuo atveju organizacija taip pat turi nurodyti savo kontaktinį centrą, kuris bus atsakingas už visus su ES ir JAV DPS susijusius klausimus.

(56)

Prekybos departamentas stebės bet kokius neteisingus teiginius apie dalyvavimą ES ir JAV DPS arba netinkamą ES ir JAV DPS sertifikavimo ženklo naudojimą tiek ex officio, tiek reaguodamas į skundus (pvz., gautus iš DAI) (86). Visų pirma, Prekybos departamentas nuolat tikrins, ar organizacijos, kurios i) nustojo dalyvauti ES ir JAV DPS, ii) neatliko metinio pakartotinio sertifikavimo (t. y. pradėjo metinio pakartotinio sertifikavimo procesą, bet jo laiku neužbaigė arba to proceso net nepradėjo), iii) kaip dalyvės yra pašalintos iš sistemos visų pirma dėl „nuolatinio reikalavimų nesilaikymo“ arba iv) neatliko pirminio sertifikavimo (t. y. pradėjo pirminio sertifikavimo procesą, bet jo laiku neužbaigė), iš visų susijusių paskelbtų privatumo politikos priemonių pašalino ES ir JAV DPS nuorodas, iš kurių galima suprasti, kad organizacija aktyviai dalyvauja sistemoje (87). Prekybos departamentas taip pat vykdys paiešką internete siekdamas nustatyti ES ir JAV DPS nuorodas organizacijų privatumo politikos priemonėse, be kita ko, ES ir JAV DPS niekada nedalyvavusių organizacijų neteisingus teiginius (88).

(57)

Nustatęs, kad ES ir JAV DPS nuorodos nebuvo pašalintos arba yra naudojamos netinkamai, Prekybos departamentas informuos organizaciją apie galimą klausimo perdavimą FPK ir (arba) Transporto departamentui (89). Organizacijai nepateikus tenkinančio atsakymo, Prekybos departamentas šį klausimą perduoda atitinkamai agentūrai, kad ši imtųsi galimų vykdymo užtikrinimo veiksmų (90). Kai organizacija klaidina visuomenę dėl savo įsipareigojimo laikytis Principų pateikdama neteisingus teiginius arba taikydama klaidinančią praktiką, vykdymo užtikrinimo veiksmų imasi FPK, Transporto departamentas arba kitos atitinkamos JAV vykdymo užtikrinimo institucijos. Už klaidingą faktų pateikimą Prekybos departamentui baudžiama pagal Melagingų parodymų aktą (JAV kodekso 18 antraštinės dalies 1001 straipsnį).

(58)

Siekiant užtikrinti, kad tinkamas duomenų apsaugos lygis būtų garantuojamas praktiškai, reikalinga nepriklausoma priežiūros institucija, kuriai suteikti įgaliojimai stebėti, kaip laikomasi duomenų apsaugos taisyklių, ir užtikrinti, kad jų būtų laikomasi.

(59)

ES ir JAV DPS organizacijos turi priklausyti kompetentingų JAV valdžios institucijų – FPK ir Transporto departamento – jurisdikcijai, o šios institucijos turi būtinus tyrimo ir vykdymo užtikrinimo įgaliojimus, kad galėtų veiksmingai užtikrinti Principų laikymąsi (91).

(60)

FPK – nepriklausoma institucija, kurią sudaro penki Komisijos nariai, kuriuos Senatui patarus ir pritarus skiria Prezidentas (92). Komisijos nariai skiriami septynerių metų kadencijai, o Prezidentas gali juos atleisti tik dėl neveiksmingumo, pareigų nevykdymo ar netinkamo vykdymo. Daugiau nei trys FPK nariai negali priklausyti tai pačiai partijai, be to, kol yra paskirti, Komisijos nariai negali vykdyti jokio kito verslo, užsiimti profesine veikla ar dirbti.

(61)

FPK gali tirti, kaip laikomasi Principų, taip pat nagrinėti organizacijų, kurios jau nėra įtrauktos į DPS sąrašą arba niekada nebuvo sertifikuotos, neteisingus teiginius apie Principų laikymąsi arba dalyvavimą ES ir JAV DPS (93). FPK gali užtikrinti vykdymą prašydama priimti administracinių arba federalinių teismų nutartis (įskaitant susitarimu pasiektas vadinamąsias susitarimo nutartis) (94) dėl preliminarių ar nuolatinių draudimų ar kitų teisių gynimo priemonių, ir sistemingai stebės, kaip laikomasi tokių nutarčių (95). Jeigu organizacijos tokių nutarčių nesilaiko, FPK gali reikalauti taikyti pinigines nuobaudas ir kitas teisių gynimo priemones, be kita ko, už bet kokią neteisėtu elgesiu padarytą žalą. Kiekvienoje ES ir JAV DPS organizacijai skirtoje susitarimo nutartyje bus nustatyti savarankiško pranešimo reikalavimai (96), o organizacijos privalės viešai skelbti visas su ES ir JAV DPS susijusias FPK pateiktų atitikties arba vertinimo ataskaitų dalis. Galiausiai FPK tvarkys internetinį organizacijų, dėl kurių FPK arba teismas priėmė nutartį su ES ir JAV DPS susijusiose bylose, sąrašą (97).

(62)

Dėl privatumo skydo FPK ėmėsi vykdymo užtikrinimo veiksmų maždaug 22 atvejais – tiek dėl konkrečių sistemos reikalavimų pažeidimų (pvz., Prekybos departamentui nebuvo patvirtinta, kad iš sistemos pasitraukusi organizacija toliau taikė privatumo skydo apsaugos priemones, taip pat nei įvykdžius įsivertinimą, nei atlikus išorinę reikalavimų laikymosi peržiūrą nebuvo patvirtinta, kad organizacija laikosi sistemos reikalavimų) (98), tiek dėl neteisingų teiginių apie dalyvavimą sistemoje (pvz., organizacijų, kurios neatliko būtinų veiksmų, kad būtų sertifikuotos, arba sertifikavimo galiojimui pasibaigus klaidingai nurodė, kad toliau dalyvauja sistemoje) (99). Šių vykdymo užtikrinimo veiksmų, inter alia, imtasi aktyviai pasinaudojus administraciniais potvarkiais siekiant gauti medžiagos iš tam tikrų privatumo skydo dalyvių, kad būtų galima patikrinti, ar nėra esminių privatumo skydo įsipareigojimų pažeidimų (100).

(63)

Apskritai pastaraisiais metais FPK ėmėsi vykdymo užtikrinimo veiksmų ne vienu atveju, susijusiu su konkrečių duomenų apsaugos reikalavimų, kurie taip pat numatyti pagal ES ir JAV DPS, pvz., tikslo apribojimo, duomenų saugojimo (101), duomenų kiekio mažinimo (102), duomenų saugumo (103) ir duomenų tikslumo (104) principų, laikymosi.

(64)

Transporto departamentas turi išimtinius įgaliojimus reguliuoti oro vežėjų privatumo užtikrinimo praktiką, o dėl bilietų pardavėjų privatumo užtikrinimo praktikos parduodant oro vežėjų paslaugas jurisdikcija dalijasi su FPK. Transporto departamento pareigūnai pirmiausia siekia susitarimo, o jei tai neįmanoma, gali pradėti vykdymo užtikrinimo procesą, per kurį Transporto departamento administracinės teisės teisėjui, turinčiam įgaliojimus priimti nutartis nutraukti veiksmus ir skirti pinigines nuobaudas, pateikiami įrodymai (105). Siekiant užtikrinti administracinės teisės teisėjų nepriklausomumą ir nešališkumą, teisėjams taikomos kelios apsaugos priemonės pagal Administracinio proceso aktą (APA). Pavyzdžiui, jie gali būti atleisti tik dėl svarios priežasties; bylos jiems skiriamos rotacijos principu; jie negali vykdyti pareigų, nesuderinamų su jų, kaip administracinės teisės teisėjų, pareigomis ir atsakomybe; jie nėra prižiūrimi institucijos, kurioje dirba (šiuo atveju Transporto departamento), tyrimo grupės; savo teisminę ir (arba) vykdymo užtikrinimo funkciją jie privalo vykdyti nešališkai (106). Transporto departamentas įsipareigojo stebėti vykdomuosius dokumentus ir užtikrinti, kad su ES ir JAV DPS bylomis susiję dokumentai būtų skelbiami jo interneto svetainėje (107).

(65)

Siekiant užtikrinti tinkamą apsaugą ir visų pirma asmens teisių įgyvendinimą, duomenų subjektui turėtų būti suteikta veiksmingų administracinių ir teisminių teisių gynimo priemonių.

(66)

Pagal ES ir JAV DPS teisių gynimo, vykdymo užtikrinimo ir atsakomybės principą reikalaujama, kad organizacijos suteiktų dėl reikalavimų nesilaikymo nukentėjusiems asmenims galimybę ginti savo teises, t. y. galimybę Sąjungos duomenų subjektams pateikti skundus, kad ES ir JAV DPS organizacijos nesilaiko reikalavimų, ir reikalauti, kad šie skundai būtų išnagrinėti, prireikus priimant sprendimą, kuriuo nustatoma veiksminga teisių gynimo priemonė (108). Kai vykdomas sertifikavimas, organizacijos privalo atitikti šio principo reikalavimus užtikrindamos veiksmingus ir lengvai prieinamus nepriklausomus teisių gynimo mechanizmus, kuriuos taikant būtų galima asmeniui nemokamai ištirti ir operatyviai išspręsti kiekvieno asmens skundus ir ginčus (109).

(67)

Organizacijos gali pasirinkti Sąjungoje arba Jungtinėse Amerikos Valstijose veikiančius nepriklausomus teisių gynimo mechanizmus. Kaip išsamiau paaiškinta 73 konstatuojamojoje dalyje, tai apima galimybę savanoriškai įsipareigoti bendradarbiauti su ES DAI. Kai organizacijos tvarko žmogiškųjų išteklių duomenis, toks įsipareigojimas bendradarbiauti su ES DAI yra privalomas. Kitos alternatyvos – be kita ko, nepriklausomas alternatyvus ginčų sprendimas arba privačiojo sektoriaus sukurtos privatumo užtikrinimo programos, į kurių taisykles įtraukti Principai. Tokiose programose turi būti nustatyti veiksmingi vykdymo užtikrinimo mechanizmai, atitinkantys teisių gynimo, vykdymo užtikrinimo ir atsakomybės principo reikalavimus.

(68)

Taigi pagal ES ir JAV DPS duomenų subjektams suteikiama įvairių galimybių įgyvendinti savo teises, pateikti skundus dėl organizacijų ES ir JAV DPS reikalavimų nesilaikymo ir reikalauti, kad jų skundai būtų išspręsti, prireikus priimant sprendimą, kuriuo nustatoma veiksminga teisių gynimo priemonė. Asmenys skundą gali pateikti tiesiogiai organizacijai, organizacijos paskirtai nepriklausomai ginčų sprendimo įstaigai, nacionalinėms DAI, Prekybos departamentui arba FPK. Jeigu jų skundai neišnagrinėti nė pagal vieną iš šių teisių gynimo arba vykdymo užtikrinimo mechanizmų, asmenys taip pat turi teisę kreiptis dėl privalomo arbitražo (šio sprendimo I priedo I priedas). Išskyrus arbitražo komisiją, į kurią galima kreiptis tik išnaudojus tam tikras teisių gynimo priemones, asmenys gali savo nuožiūra naudotis bet kuriuo ar visais teisių gynimo mechanizmais ir neprivalo rinktis kažkurio vieno mechanizmo ar jais naudotis konkrečia seka.

(69)

Pirma, Sąjungos duomenų subjektai gali iškelti bylą dėl Principų nesilaikymo tiesiogiai kreipdamiesi į ES ir JAV DPS organizacijas (110). Siekdama palengvinti ginčų sprendimą, organizacija privalo nustatyti veiksmingą teisių gynimo mechanizmą tokiems skundams nagrinėti. Todėl organizacijos privatumo politikoje asmenims turi būti pateikiama aiški informacija apie skundus nagrinėsiantį organizacijoje arba ne organizacijoje veikiantį kontaktinį centrą (įskaitant bet kokį susijusį padalinį Sąjungoje, kuris gali atsakyti į užklausas arba skundus), taip pat apie specialią nepriklausomą ginčų sprendimo įstaigą (žr. 70 konstatuojamąją dalį). Iš paties asmens arba per Prekybos departamentą, kuriam skundą perdavė DAI, gavusi asmens skundą, organizacija Sąjungos duomenų subjektui privalo atsakyti per 45 dienas (111). Be to, reikalaujama, kad organizacijos greitai atsakytų į Prekybos departamento arba DAI (112) (jeigu organizacija įsipareigojo bendradarbiauti su DAI) užklausas ir kitus prašymus pateikti informacijos, kaip organizacijos laikosi Principų.

(70)

Antra, asmenys skundą taip pat gali tiesiogiai pateikti nepriklausomai ginčų sprendimo įstaigai (Jungtinėse Amerikos Valstijose arba Sąjungoje), organizacijos paskirtai tirti ir nagrinėti asmenų pateiktus skundus (išskyrus atvejus, kai jie akivaizdžiai nepagrįsti ar nerimti) ir suteikti asmeniui tinkamas nemokamas teisių gynimo priemones (113). Tokios institucijos nustatytos sankcijos ir teisių gynimo priemonės turi būti pakankamai griežtos, kad priverstų organizacijas laikytis Principų, be to, tomis sankcijomis ir teisių gynimo priemonėmis organizacijos turėtų būti įpareigojamos panaikinti ar ištaisyti reikalavimų nesilaikymo padarinius ir, priklausomai nuo aplinkybių, liautis toliau tvarkius asmens duomenis, kuriems kyla pavojus, ir (arba) juos ištrinti, taip pat viešai paskelbti su reikalavimų nesilaikymu susijusias išvadas (114). Organizacijos paskirtos nepriklausomos ginčų sprendimo įstaigos privalo savo viešose interneto svetainėse pateikti atitinkamą informaciją apie ES ir JAV DPS ir paslaugas, kurias teikia veikdamos šioje sistemoje (115). Kasmet jos privalo skelbti metinę ataskaitą, kurioje pateikiami apibendrinti statistiniai duomenys apie tokias paslaugas (116).

(71)

Laikydamasis savo atitikties peržiūros procedūrų, Prekybos departamentas gali patikrinti, ar ES ir JAV DPS organizacijos iš tikrųjų yra registruotos nepriklausomų teisių gynimo mechanizmų narės, kaip skelbiasi (117). Organizacijos ir atsakingi nepriklausomų teisių gynimo mechanizmų atstovai privalo greitai atsakyti į Prekybos departamento užklausas ir prašymus pateikti su ES ir JAV DPS susijusios informacijos. Prekybos departamentas dirbs su nepriklausomais teisių gynimo mechanizmais siekdamas patikrinti, ar jų interneto svetainėse pateikiama informacijos apie Principus ir paslaugas, jų teikiamas pagal ES ir JAV DPS, ir ar skelbiamos jų metinės ataskaitos (118).

(72)

Jeigu organizacija nesilaiko ginčų sprendimo arba savireguliavimo įstaigos sprendimo, pastaroji privalo apie tai informuoti Prekybos departamentą ir FPK (arba kitą JAV valdžios instituciją, turinčią jurisdikciją atlikti tyrimą, jei organizacija nesilaiko reikalavimų) arba kompetentingą teismą (119). Jeigu organizacija atsisako vykdyti galutinį bet kurios privatumo savireguliavimo įstaigos, nepriklausomos ginčų sprendimo įstaigos ar valdžios institucijos sprendimą, arba kai tokia įstaiga ar institucija nustato, kad organizacija dažnai nesilaiko Principų, tai gali būti laikoma nuolatiniu reikalavimų nesilaikymu, o dėl to Prekybos departamentas, pirmiausia prieš 30 dienų įteikęs pranešimą ir suteikęs galimybę reikalavimų nesilaikiusiai organizacijai pateikti atsakymą, išbrauks organizaciją iš DPS sąrašo (120). Jeigu iš sąrašo išbraukta organizacija toliau teigia, kad yra sertifikuota pagal ES ir JAV DPS, Prekybos departamentas ją perduos FPK arba kitai vykdymo užtikrinimo institucijai (121).

(73)

Trečia, asmenys taip pat gali teikti skundus Sąjungos nacionalinei DAI, o ji gali pasinaudoti savo tyrimų ir vykdymo užtikrinimo įgaliojimais pagal Reglamentą (ES) 2016/679. Organizacijos privalo bendradarbiauti su skundą tiriančia ir sprendžiančia DAI, kai toks skundas susijęs su žmogiškųjų išteklių duomenų, surinktų darbo santykių aplinkybėmis, tvarkymu arba kai atitinkama organizacija savanoriškai sutiko, kad DAI prižiūrėtų jos veiklą (122). Visų pirma organizacijos turi atsakyti į užklausas, paisyti DAI teikiamų rekomendacijų, be kita ko, dėl teisių gynimo ar kompensacinių priemonių, ir pateikti DAI rašytinį patvirtinimą, kad tokių veiksmų imtasi (123). Atvejus, kai DAI rekomendacijų nesilaikoma, DAI perduoda Prekybos departamentui (jis gali išbraukti organizacijas iš ES ir JAV DPS sąrašo) arba, jei gali reikėti vykdymo užtikrinimo veiksmų, – FPK arba Transporto departamentui (pagal JAV teisę už įsipareigojimo bendradarbiauti su DAI arba Principų nesilaikymą gali būti taikomos sankcijos) (124).

(74)

Siekdami palengvinti bendradarbiavimą, kad skundai būtų nagrinėjami veiksmingiau, tiek Prekybos departamentas, tiek FPK įsteigė specialų kontaktinį centrą, atsakingą už tiesioginius ryšius su DAI (125). Šie kontaktiniai centrai padeda tvarkyti DAI užklausas dėl organizacijos atitikties Principams.

(75)

DAI pateiktos rekomendacijos paskelbiamos (126) po to, kai abiem ginčo šalims buvo suteikta pagrįsta galimybė pateikti pastabų ir visus pageidaujamus įrodymus. Kolegija gali pateikti rekomendacijas iškart, kai tik bus įvykdyti tinkamo proceso reikalavimai, paprastai per 60 dienų nuo skundo gavimo dienos (127). Jeigu organizacija per 25 dienas po rekomendacijų pateikimo rekomendacijų neįvykdo ir nepateikia patenkinamo paaiškinimo dėl vėlavimo, kolegija gali pranešti apie savo ketinimus šį klausimą perduoti FPK (ar kitai kompetentingai JAV vykdymo užtikrinimo institucijai) arba nuspręsti, kad esama rimtų įsipareigojimo bendradarbiauti pažeidimų. Pirmuoju atveju pagal FPK akto 5 straipsnį (ar panašų įstatymą) gali būti imamasi vykdymo užtikrinimo veiksmų (128). Antruoju atveju kolegija informuos Prekybos departamentą, o šiam nusprendus, kad organizacijos atsisakymas laikytis DAI kolegijos rekomendacijų laikytinas nuolatiniu reikalavimų nesilaikymu, organizacija bus išbraukta iš DPS sąrašo.

(76)

Jeigu DAI, kuriai skirtas skundas, nesiėmė veiksmų arba ėmėsi nepakankamų veiksmų skundui išnagrinėti, skundą pateikęs asmuo turi galimybę apskųsti tokį (ne)veikimą atitinkamos ES valstybės narės nacionaliniams teismams.

(77)

Asmenys skundus DAI taip pat gali pateikti net jei DAI kolegija nebuvo paskirta organizacijos ginčų sprendimo įstaiga. Tokiais atvejais DAI gali tokius skundus perduoti Prekybos departamentui arba FPK. Siekdamas palengvinti ir sustiprinti bendradarbiavimą klausimais, susijusiais su asmenų skundais ir ES ir JAV DPS organizacijų reikalavimų nesilaikymu, Prekybos departamentas įsteigs specialų kontaktinį centrą, kuris veiks kaip ryšių palaikymo įstaiga ir padės DAI atsakyti į užklausas, kaip organizacija laikosi Principų (129). FPK taip pat įsipareigojo įsteigti specialų kontaktinį centrą (130).

(78)

Ketvirta, Prekybos departamentas įsipareigojo priimti, peržiūrėti ir kuo labiau pasistengti išspręsti skundus dėl to, kad organizacija nesilaiko Principų (131). Šiuo tikslu Prekybos departamentas nustatė DAI skirtas konkrečias procedūras, taikomas perduodant skundus specialiam kontaktiniam centrui, stebint skundų nagrinėjimo eigą ir toliau dirbant su organizacijomis, kad ginčų sprendimas vyktų lengviau (132). Siekdamas pagreitinti asmenų skundų nagrinėjimą, kontaktinis centras ne vėliau kaip per 90 dienų nuo klausimo perdavimo jam dienos, tiesiogiai susisiekia su atitinkama DAI, kad aptartų atitikties klausimus ir visų pirma pateiktų DAI naujausią informaciją apie skundų statusą (133). Todėl duomenų subjektai skundus dėl to, kad ES ir JAV DPS organizacijos nesilaiko reikalavimų, gali tiesiogiai pateikti savo nacionalinei DAI ir ši juos perduos Prekybos departamentui, kuris veikia kaip ES ir JAV DPS administruojanti JAV valdžios institucija.

(79)

Jeigu remdamasis savo ex officio patikrinimais, skundais ar bet kuria kita informacija, Prekybos departamentas padaro išvadą, kad organizacija nuolat nesilaiko Principų, jis gali tokią organizaciją išbraukti iš DPS sąrašo (134). Atsisakymas laikytis kurios nors privatumo savireguliavimo įstaigos, nepriklausomos ginčų sprendimo įstaigos arba valdžios institucijos, įskaitant DAI, galutinio sprendimo bus laikomas nuolatiniu reikalavimų nesilaikymu (135).

(80)

Penkta, ES ir JAV DPS organizacija turi priklausyti JAV valdžios institucijų, visų pirma FPK, jurisdikcijai (136), o šios institucijos turi būtinus tyrimo ir vykdymo užtikrinimo įgaliojimus, kad galėtų veiksmingai užtikrinti Principų laikymąsi. Siekdama nustatyti, ar buvo pažeistas FPK akto 5 straipsnis, FPK pirmiausia nagrinės skundus dėl Principų nesilaikymo, kuriuos jai perdavė nepriklausomos ginčų sprendimo institucijos arba savireguliavimo įstaigos, Prekybos departamentas ir DAI (veikdami savo iniciatyva arba gavę skundą) (137). FPK įsipareigojo sukurti standartizuotą perdavimo procesą, agentūroje paskirti kontaktinį centrą, kuris priims DAI perduotus klausimus, ir keistis informacija apie perduotus klausimus. Be to, FPK gali priimti tiesiogiai asmenų pateiktus skundus ir savo iniciatyva imtis ES ir JAV DPS tyrimų, ypač plačiau nagrinėdama privatumo klausimus.

(81)

Šešta, kraštutiniu atveju, kai nė vienu iš kitų galimų teisių gynimo būdų asmens skundas nebuvo tinkamai išspręstas, Sąjungos duomenų subjektas gali remtis ES ir JAV duomenų privatumo sistemos kolegijos (toliau – ES ir JAV DPS kolegija) vykdomu privalomu arbitražu (138). Organizacijos privalo informuoti asmenis apie galimybę kreiptis dėl privalomo arbitražo ir privalo reaguoti asmeniui pasinaudojus šia galimybe, nusiųsdamos pranešimą atitinkamai organizacijai (139).

(82)

Tą ES ir JAV DPS kolegiją sudaro bent dešimt arbitrų, kuriuos Prekybos departamentas ir Komisija paskiria atsižvelgdami į jų nepriklausomumą, sąžiningumą, taip pat patirtį JAV privatumo ir Sąjungos duomenų apsaugos teisės srityje. Šalys iš visų arbitrų pasirenka vieno arba trijų (140) arbitrų kolegiją, kuri nagrinės jų ginčą.

(83)

Prekybos departamentas arbitražui administruoti pasirinko Amerikos arbitražo asociacijos (AAA) tarptautinį padalinį Tarptautinį ginčų sprendimo centrą (ICDR). ES ir JAV DPS kolegijoje vykstantys procesai bus reglamentuojami sutartomis arbitražo taisyklėmis ir paskirtų arbitrų elgesio kodeksu. ICDR-AAA interneto svetainėje asmenys aiškiai ir glaustai informuojami apie arbitražo mechanizmą ir kreipimosi dėl arbitražo procedūrą.

(84)

Prekybos departamento ir Komisijos sutartomis arbitražo taisyklėmis papildoma ES ir JAV DPS, kuriai būdingos kelios ypatybės, didinančios šio mechanizmo prieinamumą Sąjungos duomenų subjektams: i) parengti kolegijai adresuotą reikalavimą duomenų subjektui gali padėti jo nacionalinė DAI; ii) nors arbitražas vyks Jungtinėse Amerikos Valstijose, Sąjungos duomenų subjektai gali nuspręsti dalyvauti naudodamiesi vaizdo arba telefoninės konferencijos paslaugomis, kurios asmeniui teikiamos nemokamai; iii) nors arbitražas paprastai vyksta anglų kalba, duomenų subjektas, pateikęs pagrįstą prašymą, gali gauti nemokamas vertimo žodžiu arbitražo posėdyje ir vertimo raštu paslaugas; iv) galiausiai nors kiekviena šalis turi sumokėti savo advokato mokesčius, jeigu šaliai kolegijoje atstovauja advokatas, Prekybos departamentas įsteigs fondą, į kurį ES ir JAV DPS organizacijos mokės metines įmokas, ir iš šio fondo bus padengiamos arbitražo proceso išlaidos, kurių maksimalų dydį nustatys JAV valdžios institucijos pasikonsultavusios su Komisija (141).

(85)

ES ir JAV DPS kolegija turi įgaliojimus nustatyti konkrečiam asmeniui skirtą nepiniginę lygiavertę teisių gynimo priemonę (142), kuri yra būtina dėl Principų nesilaikymo susidariusiai padėčiai ištaisyti. Nors priimdama sprendimą kolegija atsižvelgia į kitas teisių gynimo priemones, kurios jau buvo taikomos pagal kitus ES ir JAV DPS mechanizmus, asmenys vis vien gali kreiptis dėl arbitražo, jeigu mano, kad minėtosios kitos teisių gynimo priemonės nepakankamos. Todėl Sąjungos duomenų subjektai gali kreiptis dėl arbitražo visais atvejais, kai dėl ES ir JAV DPS organizacijų, nepriklausomų teisių gynimo mechanizmų arba kompetentingų JAV valdžios institucijų (pvz., FPK) veikimo ar neveikimo jų skundai nebuvo patenkinamai išnagrinėti. Arbitražo negalima taikyti, jeigu DAI turi teisinius įgaliojimus nagrinėti pareikštą reikalavimą, susijusį su ES ir JAV DPS organizacija, t. y. tais atvejais, kai organizacija įpareigojama bendradarbiauti su DAI ir paisyti jos rekomendacijų dėl žmogiškųjų išteklių duomenų, surinktų su darbu susijusiomis aplinkybėmis, tvarkymo arba savanoriškai įsipareigojo tai daryti. Asmenys gali užtikrinti arbitražo sprendimo vykdymą JAV teismuose pagal Federalinį arbitražo aktą – taip užtikrinamas teisių gynimas, jeigu organizacija nesilaiko sprendimo.

(86)

Septinta, kai organizacija nesilaiko savo įsipareigojimo laikytis Principų ir paskelbtos privatumo politikos, pagal JAV teisę galima pasinaudoti papildomomis teisminėmis teisių gynimo priemonėmis, įskaitant žalos atlyginimą. Pavyzdžiui, asmenys gali tam tikromis sąlygomis pasinaudoti teisminėmis teisių gynimo priemonėmis (įskaitant žalos atlyginimą) pagal valstijos vartotojų teisės aktus (klaidingai pateikus faktus, vykdant nesąžiningus ar apgaulingus veiksmus ar praktiką (143)) ir pagal deliktų teisę (visų pirma dėl deliktų, susijusių su kišimusi į asmeninius reikalus (144), pavardės ar atvaizdo nusavinimu (145) ir viešu privačių faktų atskleidimu (146)).

(87)

Kartu įvairiomis pirmiau aprašytomis teisių gynimo priemonėmis užtikrinama, kad kiekvienas skundas dėl sertifikuotų organizacijų ES ir JAV DPS reikalavimų nesilaikymo būtų veiksmingai išnagrinėtas ir ištaisytas.

(88)

Komisija taip pat įvertino apribojimus ir apsaugos priemones, įskaitant pagal Jungtinių Amerikos Valstijų teisės aktus galimus priežiūros ir asmens teisių gynimo mechanizmus, JAV valdžios institucijoms dėl viešojo intereso, visų pirma, baudžiamosios teisėsaugos ir nacionalinio saugumo tikslais, renkant ir vėliau naudojant asmens duomenis, perduotus duomenų valdytojams ir duomenų tvarkytojams JAV (valdžios sektoriaus susipažinimą su informacija) (147). Vertindama, ar sąlygos, kuriomis valdžios sektorius gali susipažinti su duomenimis, perduotais Jungtinėms Amerikos Valstijoms pagal šį sprendimą, atitinka „esminio lygiavertiškumo“ kriterijų pagal Reglamento (ES) 2016/679 45 straipsnio 1 dalį, kaip jį išaiškino Teisingumo Teismas, atsižvelgdamas į Pagrindinių teisių chartiją, Komisija atsižvelgė į kelis kriterijus.

(89)

Visų pirma, bet koks teisės į asmens duomenų apsaugą apribojimas turi būti numatytas įstatyme, o pačiame teisiniame pagrinde, kuriuo remiantis leidžiama apriboti tokią teisę, turi būti apibrėžta atitinkamos teisės įgyvendinimo apribojimo apimtis (148). Be to, siekiant įvykdyti proporcingumo reikalavimą, pagal kurį nuo asmens duomenų apsaugos nukrypti leidžiančios nuostatos ir asmens duomenų apsaugos apribojimai neviršytų to, kas griežtai būtina demokratinėje visuomenėje siekiant konkrečių bendrojo intereso tikslų, kurie yra lygiaverčiai Sąjungos pripažįstamiems tikslams, pagal tokį teisinį pagrindą turi būti nustatytos aiškios ir tikslios taisyklės, kuriomis reglamentuojamas atitinkamų priemonių apimtis ir taikymas, ir nustatytos minimalios apsaugos priemonės, kad asmenys, kurių duomenys buvo perduoti, turėtų pakankamai garantijų ir galėtų veiksmingai apsaugoti savo asmens duomenis nuo piktnaudžiavimo pavojų (149). Be to, šios taisyklės ir apsaugos priemonės turi būti teisiškai privalomos ir asmenys turi turėti galimybę užtikrinti jų vykdymą (150). Visų pirma, duomenų subjektai turi turėti galimybę imtis teisinių veiksmų nepriklausomame ir nešališkame teisme, kad galėtų susipažinti su savo asmens duomenimis arba reikalauti ištaisyti arba ištrinti tokius duomenis (151).

(90)

Dėl asmens duomenų, perduodamų pagal ES ir JAV DPS, apribojimų baudžiamosios teisėsaugos tikslais, Jungtinių Amerikos Valstijų teisėje nustatyti keli galimybės susipažinti su asmens duomenimis ir jų naudojimo apribojimai, taip pat numatyti priežiūros ir teisių gynimo mechanizmai, atitinkantys šio sprendimo 89 konstatuojamojoje dalyje nurodytus reikalavimus. Paskesniuose skirsniuose išsamiai įvertinamos sąlygos, kuriomis tokia galimybė susipažinti su duomenimis gali būti suteikta, ir naudojantis tokiais įgaliojimais taikomos apsaugos priemonės. Šiuo atžvilgiu JAV vyriausybė (per Teisingumo departamentą) taip pat pateikė patikinimą dėl taikomų apribojimų ir apsaugos priemonių (šio sprendimo VI priedas).

(91)

Su sertifikuotų JAV organizacijų tvarkomais asmens duomenimis, kurie būtų perduodami iš Sąjungos remiantis ES ir JAV DPS, baudžiamosios teisėsaugos tikslais gali susipažinti JAV federaliniai prokurorai ir federaliniai tyrėjai, laikydamiesi skirtingų procedūrų, kaip išsamiau paaiškinta 92–99 konstatuojamosiose dalyse. Šios procedūros taikomos taip pat, kaip ir gaunant informaciją iš bet kurios JAV organizacijos, neatsižvelgiant į atitinkamų duomenų subjektų pilietybę ar gyvenamąją vietą (152).

(92)

Pirma, federalinio teisėsaugos pareigūno arba vyriausybės advokato prašymu teisėjas gali išduoti kratos arba konfiskavimo orderį (be kita ko, elektroniškai saugomos informacijos) (153). Toks orderis gali būti išduotas tik jei yra „tikėtina priežastis“ (154) manyti, kad orderyje nurodytoje vietoje veikiausiai bus rasta „konfiskuotinų objektų“ (nusikalstamos veikos įrodymų, neteisėtai laikomų daiktų arba nusikalstamai veikai vykdyti sukurto, numatyto naudoti arba panaudoto turto). Orderyje turi būti nurodytas konfiskuotinas turtas ar daiktas, taip pat nurodytas teisėjas, kuriam turi būti grąžintas orderis. Asmuo, kurio paties arba kurio turto krata atliekama, gali imtis veiksmų, kad panaikintų įrodymus, gautus arba įgytus neteisėtai atlikus kratą, jeigu tie įrodymai pateikiami prieš tą asmenį baudžiamajame procese (155). Kai reikalaujama, kad duomenų turėtojas (pvz., bendrovė) atskleistų duomenis pagal orderį, jis reikalavimą atskleisti duomenis visų pirma gali ginčyti dėl pernelyg didelės naštos (156).

(93)

Antra, tiriant tam tikrus sunkius nusikaltimus, paprastai federalinio prokuroro prašymu, didžioji žiuri (teismo tyrimo skyrius, kurį sudaro teisėjas arba magistratas) gali išduoti potvarkį (157), kuriame reikalaujama, kad asmuo pateiktų veiklos įrašus, elektroniškai saugomą informaciją ar kitus materialius daiktus arba leistų su jais susipažinti. Be to, vykdant tyrimus, susijusius su sukčiavimu sveikatos priežiūros srityje, smurtu prieš vaikus, slaptosios tarnybos apsauga, kontroliuojamų medžiagų bylomis ir generalinių inspektorių tyrimais, pagal įvairius įstatymus leidžiama naudoti administracinius potvarkius reikalaujant pateikti veiklos įrašus, elektroniškai saugomą informaciją ar kitus materialius daiktus arba leisti su jais supažinti (158). Abiem atvejais informacija turi būti susijusi su tyrimu, o potvarkis negali būti nepagrįstas, t. y. pernelyg platus, sunkiai įvykdomas ar sukeliantis per didelę naštą (ir potvarkio gavėjas gali jį užginčyti dėl šių priežasčių) (159).

(94)

Labai panašios sąlygos taikomos administraciniams potvarkiams, išduotiems norint susipažinti su JAV bendrovių turimais duomenimis civiliniais ar reguliavimo (viešojo intereso) tikslais. Civilinės ir reguliavimo sričių pareigų turinčių agentūrų įgaliojimai priimti administracinius potvarkius turi būti nustatyti įstatyme. Administracinis potvarkis turi būti naudojamas atlikus „pagrįstumo patikrinimą“, pagal kurį reikalaujama, kad tyrimas būtų atliekamas siekiant teisėto tikslo, pagal potvarkį prašoma informacija būtų susijusi su tuo tikslu, agentūra dar neturėtų informacijos, kurios ji prašo potvarkyje, ir išduodant potvarkį būtų atlikti visi būtini administraciniai veiksmai (160). Aukščiausiojo Teismo praktikoje taip pat išaiškintas poreikis pasiekti pusiausvyrą tarp viešojo intereso, susijusio su prašoma informacija, ir asmenų bei organizacijų privatumo interesų svarbos (161). Nors administraciniam potvarkiui nereikia išankstinio teismo leidimo, jam taikoma teisminė peržiūra tuo atveju, kai potvarkio gavėjas užginčija pirmiau nurodytus pagrindus arba jeigu išduodančioji agentūra siekia užtikrinti potvarkio vykdymą teisme (162). Be šių bendrų apribojimų atskiruose įstatymuose gali būti nustatyti konkretūs (griežtesni) reikalavimai (163).

(95)

Trečia, baudžiamosios teisėsaugos institucijos susipažinti su ryšių duomenimis gali remdamosi keliais teisiniais pagrindais. Teismas gali priimti nutartį, kuria leidžiama tikruoju laiku rinkti su turiniu nesusijusią skambinimo, nukreipimo, adresavimo ar signalizavimo informaciją apie telefono numerį arba el. pašto adresą (naudojant renkamų numerių registratorių arba gaunamų skambučių sekiklį), jeigu nustato, kad institucija patvirtino, jog informacija, kuri veikiausiai bus gauta, yra svarbi vykstančiam baudžiamajam tyrimui (164). Nutartyje turi būti nurodyta, inter alia, įtariamojo tapatybė, jei žinoma; ryšių, kuriems ji taikoma, požymiai ir nusikalstama veika, su kuria susijusi rinktina informacija. Naudoti renkamų numerių registratorių arba gaunamų skambučių sekiklį gali būti leidžiama ne ilgiau kaip šešiasdešimt dienų, o šis laikotarpis gali būti pratęstas tik nauja teismo nutartimi.

(96)

Be to, galimybę baudžiamosios teisėsaugos tikslais susipažinti su informacija apie abonentą, srauto duomenimis ir saugomu ryšių turiniu, kuriuos turi interneto paslaugų teikėjai, telefono bendrovės ir kiti trečiųjų šalių paslaugų teikėjai, galima gauti pagal Saugomų ryšių duomenų aktą (165). Kad gautų saugomą elektroninių ryšių turinį, baudžiamosios teisėsaugos institucijos iš esmės iš teisėjo turi gauti orderį, remdamosi tikėtina priežastimi manyti, kad atitinkamoje paskyroje yra nusikalstamos veikos įrodymų (166). Norėdamos gauti abonento registracijos informaciją, IP adresus ir susijusias laiko žymas, taip pat sąskaitų informaciją, baudžiamosios teisėsaugos institucijos gali naudotis potvarkiu. Dėl didžiosios dalies kitos saugomos su turiniu nesusijusios informacijos, pvz., el. laiškų antraščių be temos eilutės, baudžiamosios teisėsaugos institucija turi gauti teismo nutartį, o ši bus išduota teisėjui įsitikinus, kad yra pagrįstų priežasčių manyti, jog prašoma informacija yra svarbi ir reikšminga vykstančiam baudžiamajam tyrimui.

(97)

Pagal Saugomų ryšių duomenų aktą prašymus gavę paslaugų teikėjai gali savanoriškai apie tai pranešti klientui ar abonentui, kurio informacijos prašoma, išskyrus atvejus, kai atitinkama baudžiamosios teisėsaugos institucija gauna apsaugos orderį, kuriuo toks pranešimas draudžiamas (167). Toks apsaugos orderis yra teismo nutartis, kuria reikalaujama, kad elektroninių ryšių paslaugų arba nuotolinių kompiuterinių paslaugų teikėjas, kuriam skirtas orderis, potvarkis ar teismo nutartis, apie tą orderį, potvarkį ar teismo nutartį nepraneštų jokiam kitam asmeniui tol, kol, teismo manymu, tai reikalinga. Apsaugos orderiai išduodami teismui nustačius, kad yra priežasčių manyti, jog pranešimas gerokai pakenktų tyrimui arba nepagrįstai užvilkintų bylos nagrinėjimą, pvz., dėl to, kad kiltų pavojus asmens gyvybei ar fiziniam saugumui, būtų vengiama baudžiamojo persekiojimo, būtų bauginami galimi liudytojai ir kt. Generalinio prokuroro pavaduotojo memorandumu (kuris yra privalomas visiems Teisingumo departamento advokatams ir atstovams) reikalaujama, kad prokurorai išsamiai išnagrinėtų, ar reikia apsaugos orderio, ir pateiktų teismui pagrindimą, kaip konkrečiu atveju tenkinami įstatyme nustatyti apsaugos orderio išdavimo kriterijai (168). Memorandume taip pat reikalaujama, kad prašymuose išduoti apsaugos orderius įprastai nebūtų siekiama pranešimą atidėti ilgiau kaip vieniems metams. Jeigu išskirtinėmis aplinkybėmis gali prireikti ilgesnės trukmės orderių, tokių orderių galima prašyti tik gavus raštišką JAV prokuroro arba atitinkamo generalinio prokuroro pavaduotojo paskirto priežiūros pareigūno sutikimą. Be to, baigdamas tyrimą prokuroras turi nedelsdamas įvertinti, ar yra pagrindo toliau vykdyti galiojančius apsaugos orderius, o jei nėra, nutraukti apsaugos orderio galiojimą ir užtikrinti, kad apie tai būtų pranešta paslaugų teikėjui (169).

(98)

Baudžiamosios teisėsaugos institucijos taip pat gali tikruoju laiku perimti laidinių, žodinių ar elektroninių ryšių duomenis, remdamosi teismo nutartimi, kurioje teisėjas, inter alia, nustato, kad yra tikėtina priežastis manyti, jog slapta pasiklausant pokalbių arba perimant elektroninius duomenis bus gauta federalinės nusikalstamos veikos įrodymų arba bus nustatyta nuo baudžiamojo persekiojimo besislapstančio asmens buvimo vieta (170).

(99)

Papildomos apsaugos priemonės užtikrinamos įvairiomis Teisingumo departamento politikos priemonėmis ir gairėmis, tarp jų Generalinio prokuroro gairėmis dėl Federalinio tyrimų biuro (FTB) vidaus operacijų (AGG-DOM), kuriose, inter alia, reikalaujama, kad FTB naudotų kuo mažiau intervencinius tyrimo metodus, atsižvelgdamas į poveikį privatumui ir piliečių laisvėms (171).

(100)

Pagal JAV vyriausybės pateiktus pareiškimus, valstijų lygmens teisėsaugos tyrimams (pagal valstijų įstatymus vykdomiems tyrimams) taikomos pirmiau aprašytos tokios pačios arba dar griežtesnės apsaugos priemonės (172). Visų pirma konstitucinėmis nuostatomis, taip pat valstijų įstatymais ir teismų praktika pakartotinai patvirtinamos pirmiau minėtos apsaugos nuo nepagrįstų kratų ir arešto priemonės, nustatant reikalavimą išduoti kratos orderį (173). Panašiai, kaip ir taikant federaliniu lygmeniu užtikrinamas apsaugos priemones, kratos orderiai gali būti išduodami tik įrodžius tikėtiną priežastį, o juose turi būti aprašyta vieta, kurioje ketinama daryti kratą, ir nurodytas areštuotinas asmuo arba daiktas (174).

(101)

Su tolesniu federalinių baudžiamosios teisėsaugos institucijų surinktų duomenų naudojimu susijusios specialios apsaugos priemonės nustatomos įvairiuose įstatymuose, gairėse ir standartuose. Išskyrus konkrečias priemones, taikomas FTB veiklai (AGG-DOM ir FTB vidaus tyrimų ir operacijų vadovą), šiame skirsnyje aprašyti reikalavimai bendrai taikomi, kai bet kuri federalinė institucija toliau naudoja duomenis, įskaitant tuos, su kuriais galima susipažinti civiliniais ar reguliavimo tikslais. Tarp jų – reikalavimai, nustatyti Valdymo ir biudžeto tarnybos pranešimuose ir (arba) taisyklėse, Federaliniame informacijos saugumo valdymo modernizavimo akte, E. valdžios akte ir Federalinių registrų akte.

(102)

Vadovaudamasi Clingerio ir Coheno aktu (Viešosios teisės rink. 104–106, E skyrius) ir 1987 m. Kompiuterių saugumo aktu (Viešosios teisės rink. 100–235) suteiktais įgaliojimais, Valdymo ir biudžeto tarnyba (VBT) paskelbė aplinkraštį Nr. A-130, kuriame nustatė bendras privalomas gaires, taikomas visoms federalinėms agentūroms (įskaitant teisėsaugos institucijas) tvarkant asmens tapatybės informaciją (175). Visų pirma aplinkraštyje reikalaujama, kad visos federalinės agentūros „apribotų asmens tapatybės informacijos kūrimą, rinkimą, naudojimą, tvarkymą, saugojimą, priežiūrą, platinimą ir atskleidimą tiek, kiek tai teisiškai leidžiama, yra aktualu ir pagrįstai laikoma būtina įgaliotosios agentūros funkcijoms tinkamai vykdyti“ (176). Be to, federalinės agentūros privalo, kiek tai pagrįstai įmanoma, užtikrinti, kad asmens tapatybės informacija būtų tiksli, aktuali, laiku atnaujinama ir išsami ir kad jos kiekis būtų sumažintas iki agentūros funkcijoms tinkamai vykdyti būtino minimumo. Apskritai federalinės agentūros turi įdiegti išsamią privatumo užtikrinimo programą, kad užtikrintų atitiktį taikomiems privatumo reikalavimams, parengti ir įvertinti privatumo politiką ir valdyti riziką privatumui; prižiūrėti su privatumo reikalavimų laikymusi susijusių incidentų nustatymo, dokumentavimo ir pranešimo apie juos procedūras; rengti darbuotojų ir rangovų informuotumo apie privatumą ir mokymo programas; įdiegti politikos priemones ir procedūras, kuriomis būtų užtikrinama, kad darbuotojai būtų laikomi atsakingais už privatumo reikalavimų ir politikos laikymąsi (177).

(103)

Be to, E. valdžios akte (178) reikalaujama, kad visos federalinės agentūros (įskaitant baudžiamosios teisėsaugos institucijas) įdiegtų informacijos saugumo užtikrinimo priemones, atitinkančias žalos, kuri būtų padaryta dėl neteisėto susipažinimo su informacija, jos naudojimo, atskleidimo, sutrikdymo, pakeitimo ar sunaikinimo, riziką ir dydį, paskirtų vyriausiąjį informacijos pareigūną, kuris užtikrintų, kad būtų laikomasi informacijos saugumo reikalavimų, ir atliktų savo informacijos saugumo programos ir praktikos metinį nepriklausomą vertinimą (pvz., tai galėtų atlikti generalinis inspektorius, žr. 109 konstatuojamąją dalį) (179). Be to, pagal Federalinių registrų aktą (FRA) (180) ir papildomus reglamentus (181) reikalaujama, kad federalinių agentūrų turimai informacijai būtų taikomos apsaugos priemonės, kuriomis užtikrinamas informacijos fizinis vientisumas ir ji apsaugoma nuo neteisėtos prieigos.

(104)

Remdamiesi federaliniais teisės aktais, įskaitant 2014 m. Federalinį informacijos saugumo modernizavimo aktą, suteiktais įgaliojimais, VBT ir Nacionalinis standartų ir technologijų institutas (NIST) parengė standartus, kurie yra privalomi federalinėms agentūroms (įskaitant baudžiamosios teisėsaugos institucijas) ir kuriuose papildomai patikslinami nustatytini minimalūs informacijos saugumo reikalavimai, įskaitant galimybės susipažinti su informacija kontrolę, informuotumo užtikrinimą ir mokymą, nenumatytų atvejų planavimą, reagavimą į incidentus, audito ir atskaitomybės priemones, sistemų ir informacijos vientisumo užtikrinimą, privatumo ir saugumo rizikos vertinimus ir kt. (182) Be to, visos federalinės agentūros (įskaitant baudžiamosios teisėsaugos institucijas), vadovaudamosi VBT gairėmis, privalo turėti ir įgyvendinti duomenų saugumo pažeidimų nagrinėjimo planą, be kita ko, apimantį su reagavimu į tokius pažeidimus ir žalos rizikos vertinimu susijusius aspektus (183).

(105)

Dėl duomenų saugojimo FRA (184) reikalaujama, kad JAV federalinės agentūros (įskaitant baudžiamosios teisėsaugos institucijas) nustatytų savo įrašų saugojimo laikotarpius (kuriems pasibaigus tokie įrašai turi būti sunaikinami), o juos turi patvirtinti Nacionalinė archyvų ir įrašų administracija (185). Tokio saugojimo laikotarpio trukmė nustatoma atsižvelgiant į įvairius veiksnius, pvz., tyrimo rūšį, tai, ar įrodymai vis dar svarbūs tyrimui, ir kt. Dėl FTB AGG-DOM nustatyta, kad FTB turi būti parengęs tokį įrašų saugojimo planą ir turėti sistemą, kuri leistų greitai sužinoti tyrimų statusą ir pagrindą.

(106)

Galiausiai VBT aplinkraštyje Nr. A-130 taip pat nustatyti tam tikri asmens tapatybės informacijos platinimo reikalavimai. Iš esmės, asmens tapatybės informacija turi būti platinama ir atskleidžiama tiek tiek, kiek tai teisiškai leidžiama, yra aktualu ir pagrįstai laikoma būtina įgaliotosios agentūros funkcijoms tinkamai vykdyti (186). JAV federalinės agentūros, dalydamosi asmens tapatybės informacija su kitais vyriausybės subjektais, prireikus privalo nustatyti sąlygas (įskaitant konkrečių saugumo ir privatumo kontrolės priemonių įgyvendinimą), kuriomis tokios informacijos tvarkymas reglamentuojamas rašytiniais susitarimais (be kita ko, sutartimis, duomenų naudojimo susitarimais, keitimosi informacija susitarimais ir susitarimo memorandumais) (187). Dėl galimų informacijos platinimo pagrindų AGG-DOM ir FTB vidaus tyrimų ir operacijų vadove (188), pavyzdžiui, numatoma, kad FTB gali būti taikomas teisinis reikalavimas platinti informaciją (pvz., pagal tarptautinį susitarimą) arba jam gali būti leidžiama ją platinti (pvz., kitoms JAV agentūroms) tam tikromis aplinkybėmis, pvz., jei atskleidimas yra suderinamas su tikslu, kuriuo informacija buvo surinkta, ir yra susijęs su jo atsakomybės sritimis; Kongreso komitetams; užsienio agentūroms, jeigu informacija yra susijusi su jų atsakomybės sritimis, o jos platinimas atitinka Jungtinių Amerikos Valstijų interesus; ją platinti visų pirma būtina siekiant užtikrinti asmenų ar turto saugą ar saugumą arba apsaugoti nuo nusikalstamos veikos ar grėsmės nacionaliniam saugumui arba užkirsti tam kelią, o atskleidimas yra suderinamas su tikslu, kuriuo informacija buvo surinkta (189).

(107)

Federalinių baudžiamosios teisėsaugos agentūrų veiklą prižiūri įvairios įstaigos (190). Kaip paaiškinta 92–99 konstatuojamosiose dalyse, daugeliu atvejų tai yra išankstinė priežiūra, vykdoma teisminių institucijų, kurios, prieš pradedant taikyti individualias rinkimo priemones, turi suteikti tam leidimą. Įvairius baudžiamosios teisėsaugos institucijų veiklos etapus, įskaitant asmens duomenų rinkimą ir tvarkymą, prižiūri kitos įstaigos. Šios teisminės ir neteisminės institucijos kartu užtikrina, kad teisėsaugos institucijų veikla būtų nepriklausomai prižiūrima.

(108)

Pirma, įvairiuose baudžiamosios teisėsaugos įgaliojimų turinčiuose departamentuose dirba privatumo ir piliečių laisvių apsaugos pareigūnai (191). Nors konkretūs šių pareigūnų įgaliojimai gali šiek tiek skirtis priklausomai nuo įstatymo, kuriuo nustatomi įgaliojimai, paprastai šie įgaliojimai apima procedūrų priežiūrą siekiant užtikrinti, kad atitinkamas departamentas ar agentūra tinkamai atsižvelgtų į privatumo ir piliečių laisvių aspektus ir nustatytų tinkamas procedūras asmenų, manančių, kad jų privatumas arba piliečių laisvės buvo pažeistos, pateiktiems skundams nagrinėti. Kiekvieno departamento ar agentūros vadovai turi užtikrinti, kad privatumo ir piliečių laisvių apsaugos pareigūnai turėtų medžiagos ir išteklių savo įgaliojimams vykdyti, galėtų naudotis visa medžiaga ir darbuotojų paslaugomis, reikalingais jų funkcijoms vykdyti, ir būtų informuojami apie siūlomus politikos pakeitimus ir dėl tokių pakeitimų su jais būtų konsultuojamasi (192). Privatumo ir piliečių laisvių apsaugos pareigūnai periodiškai teikia ataskaitas Kongresui, be kita ko, nurodydami departamento ar agentūros gautų skundų skaičių ir pobūdį, taip pat tokių skundų nagrinėjimo, atliktų peržiūrų bei tyrimų ir pareigūno vykdytos veiklos poveikio santrauką (193).

(109)

Antra, Teisingumo departamento, įskaitant FTB, veiklą prižiūri nepriklausomas generalinis inspektorius (194). Generaliniai inspektoriai yra teisiškai nepriklausomi (195) ir atsakingi už departamento programų ir operacijų nepriklausomus tyrimus, auditą ir patikrinimus. Jie turi galimybę susipažinti su visais įrašais, ataskaitomis, audito medžiaga, peržiūrų medžiaga, dokumentais, užrašais, rekomendacijomis ar kita susijusia medžiaga, prireikus remdamiesi potvarkiu, be to, gali priimti parodymus (196). Nors generaliniai inspektoriai teikia neprivalomas rekomendacijas dėl taisomųjų veiksmų, jų ataskaitos, be kita ko, dėl tolesnių veiksmų (arba neveikimo) (197), paprastai skelbiamos viešai ir siunčiamos Kongresui, o šis tuo pagrindu gali vykdyti savo priežiūros funkciją (žr. 111 konstatuojamąją dalį) (198).

(110)

Trečia, baudžiamosios teisėsaugos įgaliojimų turinčius departamentus, vykdančius kovos su terorizmu veiklą, prižiūri Privatumo ir piliečių laisvių priežiūros valdyba (PCLOB), nepriklausoma vykdomosios valdžios agentūra, kurią sudaro dvipartinė penkių narių valdyba, Senatui pritarus Prezidento skiriama nustatytai šešerių metų kadencijai (199). Pagal PCLOB steigimo sutartį jai patikėta atsakomybė kovos su terorizmu politikos ir jos įgyvendinimo srityje, siekiant apsaugoti privatumą ir piliečių laisves. Atlikdama peržiūrą, ji gali susipažinti su visais aktualiais agentūros įrašais, ataskaitomis, audito medžiaga, peržiūrų medžiaga, dokumentais, užrašais ir rekomendacijomis, įskaitant įslaptintą informaciją, rengti pokalbius ir išklausyti parodymus (200). Ji gauna ataskaitas iš kelių federalinių departamentų ar agentūrų piliečių laisvių ir privatumo apsaugos pareigūnų (201), gali teikti rekomendacijas vyriausybei ir teisėsaugos institucijoms ir reguliariai teikia ataskaitas Kongreso komitetams bei Prezidentui (202). Valdybos ataskaitos, įskaitant ataskaitas Kongresui, turi būti kuo plačiau skelbiamos viešai (203).

(111)

Galiausiai baudžiamosios teisėsaugos veiklą prižiūri specialūs JAV Kongreso komitetai (Atstovų Rūmų ir Senato teismų komitetai). Teismų komitetai vykdo reguliarią priežiūrą įvairiais būdais, visų pirma rengdami posėdžius, vykdydami tyrimus, peržiūras ir teikdami ataskaitas (204).

(112)

Kaip nurodyta, baudžiamosios teisėsaugos institucijos daugeliu atvejų privalo gauti išankstinį teismo leidimą rinkti asmens duomenis. Nors administraciniams potvarkiams tai nebūtina, jie išduodami tik konkrečiais atvejais ir bus atliekama jų nepriklausoma teisminė peržiūra bent tais atvejais, kai valdžios institucijos siekia vykdymo užtikrinimo teisme. Visų pirma administracinių potvarkių gavėjai gali juos užginčyti teisme, motyvuodami tuo, kad jie yra nepagrįsti, t. y. pernelyg platūs, sunkiai įvykdomi ar sukeliantys per didelę naštą (205).

(113)

Asmenys pirmiausia gali teikti prašymus ar skundus baudžiamosios teisėsaugos institucijoms dėl jų asmens duomenų tvarkymo. Jie taip pat gali prašyti prieigos prie asmens duomenų ir prašyti leisti juos ištaisyti (206). Dėl veiklos, susijusios su kova su terorizmu, asmenys taip pat gali pateikti skundą teisėsaugos institucijų privatumo ir piliečių laisvių apsaugos pareigūnams (arba kitiems privatumo apsaugos pareigūnams) (207).

(114)

Be to, JAV teisėje numatyta įvairių asmenims prieinamų teisminių teisių gynimo būdų prieš valdžios instituciją arba jos pareigūną šiems tvarkant asmens duomenis (208). Tokiais būdais, visų pirma nustatytais Administracinio proceso akte (APA), Informacijos laisvės akte (FOIA) ir Elektroninių ryšių privatumo akte (ECPA), gali pasinaudoti visi asmenys, nepaisant jų pilietybės, laikydamiesi taikomų sąlygų.

(115)

Paprastai pagal APA teisminės peržiūros nuostatas (209)„asmuo, kuris dėl agentūros veiksmų patyrė neigiamų teisinių padarinių, nukentėjo arba jo padėtis pablogėjo“, turi teisę kreiptis dėl teisminės peržiūros (210). Tai apima galimybę prašyti, kad teismas „agentūros veiksmus, sprendimus ir išvadas, kurie, kaip nustatyta <...> yra šališki, savavališki, kilę iš piktnaudžiavimo įgaliojimais ar kitaip neatitinka įstatymų, pripažintų neteisėtais ir panaikintų“ (211).

(116)

Konkrečiau, ECPA (212) II antraštinėje dalyje įtvirtinta įstatymu nustatytų teisių į privatumą sistema, pagal kurią iš esmės reglamentuojama teisėsaugos institucijų galimybė susipažinti su laidinių, žodinių ar elektroninių ryšių turiniu, kurį saugo trečiosios šalys paslaugų teikėjai (213). Šiuo aktu kriminalizuojamas neteisėtas (t. y. teismo nesankcionuotas arba kitaip neleistinas) susipažinimas su tokių ryšių duomenimis, o nukentėjusiam asmeniui suteikiama galimybė pareikšti civilinį ieškinį JAV federaliniame teisme dėl faktinės ir baudinės žalos, taip pat lygiavertės arba deklaratyviosios teisių gynimo priemonės taikymo valdžios pareigūno, kuris sąmoningai įvykdė tokius neteisėtus veiksmus, arba Jungtinių Amerikos Valstijų atžvilgiu.

(117)

Be to, keliais kitais įstatymais, kaip antai Pokalbių pasiklausymo aktu (214), Kompiuterinio sukčiavimo ir piktnaudžiavimo aktu (215), Federaliniu deliktinių reikalavimų aktu (216), Teisės į finansinį privatumą aktu (217) ir Sąžiningo kredito informacijos teikimo aktu (218), asmenims suteikiama teisė pareikšti ieškinį JAV valdžios institucijai arba pareigūnui dėl jų asmens duomenų tvarkymo.

(118)

Be to, pagal FOIA (219), JAV kodekso 5 antraštinės dalies 552 straipsnį kiekvienas asmuo turi teisę susipažinti su federalinės agentūros įrašais, įskaitant atvejus, kai juose yra jo asmens duomenys. Išnaudojęs administracines teisių gynimo priemones, asmuo gali pasinaudoti tokia teise susipažinti su dokumentais teisme, išskyrus atvejus, kai tokie įrašai nuo viešo atskleidimo saugomi taikant išimtį arba specialią vykdymo užtikrinimo netaikymo sąlygą (220). Šiuo atveju teismas įvertins, ar taikoma kokia nors išimtis arba ar atitinkama valdžios institucija ja rėmėsi teisėtai.

(119)

Jungtinių Amerikos Valstijų teisėje nustatyti įvairūs galimybės susipažinti su asmens duomenimis ir juos naudoti nacionalinio saugumo tikslais apribojimai ir apsaugos priemonės, taip pat numatyti priežiūros ir teisių gynimo mechanizmai, kurie atitinka šio sprendimo 89 konstatuojamojoje dalyje nurodytus reikalavimus. Paskesniuose skirsniuose išsamiai įvertinamos sąlygos, kuriomis tokia galimybė susipažinti su duomenimis gali būti suteikta, ir naudojantis tokiais įgaliojimais taikomos apsaugos priemonės.

(120)

Iš Sąjungos ES ir JAV DPS organizacijoms perduodamus asmens duomenis JAV valdžios institucijos nacionalinio saugumo tikslais gali rinkti remdamosi įvairiomis teisinėmis priemonėmis, laikydamosi konkrečių sąlygų ir apsaugos priemonių.

(121)

Po to, kai Jungtinėse Amerikos Valstijose įsikūrusios organizacijos gavo asmens duomenis, JAV žvalgybos agentūros nacionalinio saugumo tikslais gali prašyti leisti susipažinti su tokiais duomenimis tik jei tai leidžiama pagal įstatymus, visų pirma pagal Užsienio žvalgybos informacijos sekimo aktą (FISA) arba įstatymų nuostatas, pagal kurias leidžiama susipažinti su duomenimis naudojant nacionalinio saugumo raštus (NSR) (221). FISA nustatyti keli teisiniai pagrindai, kuriais remiantis gali būti renkami (ir vėliau tvarkomi) pagal ES ir JAV DPS perduodami Sąjungos duomenų subjektų asmens duomenys (FISA 105 straipsnis (222), FISA 302 straipsnis (223), FISA 402 straipsnis (224), FISA 501 straipsnis (225) ir FISA 702 straipsnis (226)), kaip išsamiau aprašyta 142–152 konstatuojamosiose dalyse.

(122)

JAV žvalgybos agentūros taip pat turi galimybių rinkti asmens duomenis ne Jungtinėse Amerikos Valstijose, galimai įskaitant asmens duomenis, perduodamus tranzitu tarp Sąjungos ir Jungtinių Amerikos Valstijų. Duomenų rinkimas ne Jungtinėse Amerikos Valstijose grindžiamas Prezidento (227) išleistu Vykdomuoju potvarkiu Nr. 12333 (VP 12333) (228).

(123)

Signalų žvalgybos duomenų rinkimas – žvalgybos duomenų rinkimo forma, aktualiausia šiai išvadai dėl tinkamumo, nes yra susijusi su elektroninių ryšių informacijos ir duomenų rinkimu iš informacinių sistemų. Tokiu būdu JAV žvalgybos agentūros gali rinkti duomenis tiek Jungtinėse Amerikos Valstijose (remdamosi FISA), tiek duomenis perduodant į Jungtines Amerikos Valstijas (remdamosi VP 12333).

(124)

2022 m. spalio 7 d. JAV prezidentas paskelbė VP 14086 dėl Jungtinių Amerikos Valstijų signalų žvalgybos apsaugos priemonių griežtinimo, kuriame visai JAV signalų žvalgybos veiklai nustatyti apribojimai ir apsaugos priemonės. Šiuo vykdomuoju potvarkiu, kuriuo iš esmės pakeičiama Prezidento politikos direktyva Nr. 28 (PPD-28) (229), sugriežtinamos sąlygos, apribojimai ir apsaugos priemonės, taikomi visai signalų žvalgybos veiklai (t. y. remiantis FISA ir VP 12333), nepriklausomai nuo to, kur ji vykdoma (230), ir sukuriamas naujas teisių gynimo mechanizmas, pagal kurį asmenys gali pasinaudoti šiomis apsaugos priemonėmis ir užtikrinti jų vykdymą (231) (išsamesnės informacijos pateikiama 176–194 konstatuojamosiose dalyse). Tokiu būdu JAV teisėje įgyvendinami ES ir JAV derybų, vykusių Teisingumo Teismui Komisijos sprendimą dėl privatumo skydo tinkamumo pripažinus negaliojančiu (žr. 6 konstatuojamąją dalį), rezultatai. Todėl tai yra ypač svarbus šiame sprendime vertinamos teisinės sistemos elementas.

(125)

VP 14086 nustatytais apribojimais ir apsaugos priemonėmis papildomi FISA 702 straipsnyje ir VP 12333 nustatyti apribojimai ir apsaugos priemonės. Toliau (3.2.1.2 ir 3.2.1.3 skirsniuose) aprašytus reikalavimus žvalgybos agentūros turi taikyti vykdydamos signalų žvalgybos veiklą pagal FISA 702 straipsnį ir VP 12333, pvz., atrinkdamos ir (arba) nustatydamos pagal FISA 702 straipsnį gautinos užsienio žvalgybos informacijos kategorijas; rinkdamos užsienio žvalgybos ar kontržvalgybos duomenis pagal VP 12333 ir priimdamos individualius konkrečius sprendimus pagal FISA 702 straipsnį ir VP 12333.

(126)

Šiame Prezidento paskelbtame vykdomajame potvarkyje nustatyti reikalavimai privalomi visai žvalgybos bendruomenei. Jie turi būti toliau įgyvendinami taikant agentūrų politiką ir procedūras, kad virstų konkrečiais nurodymais kasdienei veiklai. Šiuo atžvilgiu VP 14086 JAV žvalgybos agentūroms nustatomas ne ilgesnis kaip vienų metų laikotarpis esamai politikai ir procedūroms atnaujinti (t. y. iki 2023 m. spalio 7 d.), kad jos atitiktų vykdomajame potvarkyje nustatytus reikalavimus. Tokia atnaujinta politika ir procedūros turi būti parengtos konsultuojantis su generaliniu prokuroru, Nacionalinės žvalgybos direktoriaus tarnybos piliečių laisvių apsaugos pareigūnu (ODNI CLPO) ir PCLOB – nepriklausoma priežiūros įstaiga, įgaliota peržiūrėti vykdomosios valdžios politiką ir jos įgyvendinimą, siekiant apsaugoti privatumą ir piliečių laisves (žr. 110 konstatuojamąją dalį dėl PCLOB vaidmens ir statuso), – ir turi būti skelbiamos viešai (232). Be to, kai atnaujinta politika ir procedūros bus įdiegtos, PCLOB atliks peržiūrą, siekdama užtikrinti, kad jos atitiktų vykdomąjį potvarkį. Per 180 dienų po to, kai PCLOB užbaigs tokią peržiūrą, kiekviena žvalgybos agentūra turi atidžiai apsvarstyti ir įgyvendinti visas PCLOB rekomendacijas arba kitaip į jas atsižvelgti. 2023 m. liepos 3 d. JAV vyriausybė paskelbė minėtą atnaujintą politiką ir procedūras (233).

(127)

VP 14086 nustatyti tam tikri bendrieji reikalavimai, taikomi visai signalų žvalgybos veiklai (asmens duomenų rinkimui, naudojimui, platinimui ir kt.).

(128)

Pirma, tokia veikla turi būti grindžiama įstatymu arba Prezidento įgaliojimu ir vykdoma laikantis JAV teisės, įskaitant Konstituciją (234).

(129)

Antra, turi būti įdiegtos tinkamos apsaugos priemonės, kuriomis būtų užtikrinama, kad privatumas ir piliečių laisvės būtų neatsiejami tokios veiklos planavimo aspektai (235).

(130)

Visų pirma bet kokia signalų žvalgybos veikla gali būti vykdoma tik „remiantis pagrįstu visų aktualių veiksnių įvertinimu nustačius, kad tokia veikla yra būtina siekiant įgyvendinti patvirtintą žvalgybos prioritetą“ (dėl sąvokos „patvirtintas žvalgybos prioritetas“ žr. 135 konstatuojamąją dalį) (236).

(131)

Be to, tokia veikla gali būti vykdoma tik „tokiu mastu ir tokiu būdu, kuris yra proporcingas patvirtintam žvalgybos prioritetui, dėl kurio buvo suteiktas leidimas“ (237). Kitaip tariant, turi būti pasiekta tinkama pusiausvyra „tarp žvalgybos prioriteto įgyvendinimo svarbos ir poveikio atitinkamų asmenų privatumui ir piliečių laisvėms, nepaisant tų asmenų pilietybės ar gyvenamosios vietos“ (238).

(132)

Galiausiai, siekiant užtikrinti, kad būtų laikomasi šių bendrųjų reikalavimų, kurie atspindi teisėtumo, būtinumo ir proporcingumo principus, signalų žvalgybos veikla yra prižiūrima (išsamesnės informacijos pateikiama 3.2.2 skirsnyje) (239).

(133)

Šie bendrieji reikalavimai dėl signalų žvalgybos duomenų rinkimo papildomi įvairiomis sąlygomis ir apribojimais, kuriais užtikrinama, kad asmenų teisės būtų ribojamos tik tiek, kiek yra būtina ir proporcinga siekiant teisėto tikslo.

(134)

Pirma, vykdomuoju potvarkiu dvejopai apribojami pagrindai, kuriais remiantis gali būti renkami duomenys vykdant signalų žvalgybos veiklą. Viena vertus, vykdomajame potvarkyje nurodomi teisėti tikslai, kurių gali būti siekiama renkant signalų žvalgybos duomenis, pvz., suprasti ar įvertinti užsienio organizacijų, įskaitant tarptautines teroristines organizacijas, pajėgumus, ketinimus ar veiklą, kurie kelia arba gali kelti grėsmę Jungtinių Amerikos Valstijų nacionaliniam saugumui; apsaugoti nuo užsienio karinių pajėgumų ir veiklos; suprasti ar įvertinti tarpvalstybinio pobūdžio grėsmes, darančias poveikį pasaulio saugumui, pvz., klimato ir kitus ekologinius pokyčius, riziką visuomenės sveikatai ir humanitarines grėsmes (240). Kita vertus, vykdomajame potvarkyje nurodomi tam tikri tikslai, kurių vykdant signalų žvalgybos veiklą niekada negali būti siekiama, pvz., sudaryti sunkesnes sąlygas asmenims ar žiniasklaidai kritikuoti, prieštarauti arba laisvai reikšti idėjas ar politines pažiūras; sudaryti nepalankias sąlygas asmenis dėl jų etninės kilmės, rasės, lyties, lytinės tapatybės, seksualinės orientacijos ar religijos; suteikti konkurencinį pranašumą JAV bendrovėms (241).

(135)

Be to, siekdamos pagrįsti signalų žvalgybos duomenų rinkimą, žvalgybos agentūros negali tiesiog remtis VP 14086 nustatytais teisėtais tikslais, bet turi juos operatyviniais tikslais papildomai paremti konkretesniais prioritetais, pagal kuriuos gali būti renkami signalų žvalgybos duomenys. Kitaip tariant, faktiškai duomenys gali būti renkami tik siekiant įgyvendinti konkretesnį prioritetą. Tokie prioritetai nustatomi vykdant specialų procesą, kuriuo siekiama užtikrinti, kad būtų laikomasi taikomų teisinių reikalavimų, be kita ko, susijusių su privatumu ir piliečių laisvėmis. Konkrečiau, žvalgybos prioritetus pirmiausia parengia Nacionalinės žvalgybos direktorius (pagal vadinamąją Nacionalinę žvalgybos prioritetų sistemą) ir pateikia Prezidentui patvirtinti (242). Prieš siūlydamas žvalgybos prioritetus Prezidentui, direktorius pagal VP 14086 privalo iš Nacionalinės žvalgybos direktoriaus tarnybos piliečių laisvių apsaugos pareigūno (ODNI CLPO) gauti kiekvieno prioriteto vertinimą, ar 1) pagal jį siekiama vieno ar kelių vykdomajame potvarkyje nurodytų teisėtų tikslų; 2) jis nebuvo skirtas ar numatytas tam, kad signalų žvalgybos duomenys būtų renkami vykdomajame potvarkyje nurodytu draudžiamu tikslu ir 3) jis buvo nustatytas tinkamai atsižvelgus į visų asmenų privatumą ir piliečių laisves, nepaisant jų pilietybės ar gyvenamosios vietos (243). Jeigu direktorius su CLPO vertinimu nesutinka, Prezidentui turi būti pateikiamos abi nuomonės (244).

(136)

Todėl šiuo procesu visų pirma užtikrinama, kad į privatumo aspektus būtų atsižvelgiama nuo pradinio etapo, kuriame nustatomi žvalgybos prioritetai.

(137)

Antra, kai žvalgybos prioritetas jau nustatytas, sprendimas, ar galima rinkti signalų žvalgybos duomenis ir kokiu mastu tai galima daryti įgyvendinant tą prioritetą, priimamas paisant kelių reikalavimų. Šiais reikalavimais praktiškai įgyvendinami bendrieji būtinumo ir proporcingumo standartai, nustatyti Vykdomojo potvarkio 2 straipsnio a dalyje.

(138)

Visų pirma signalų žvalgybos duomenys gali būti renkami tik „remiantis pagrįstu visų aktualių veiksnių įvertinimu nustačius, kad duomenis rinkti būtina siekiant įgyvendinti konkretų žvalgybos prioritetą“ (245). Nustatydamos, ar konkreti signalų žvalgybos duomenų rinkimo veikla yra būtina siekiant įgyvendinti patvirtintą žvalgybos prioritetą, JAV žvalgybos agentūros turi apsvarstyti, ar galima naudotis kitais mažiau intervenciniais šaltiniais ir metodais, be kita ko, iš diplomatinių ir viešų šaltinių, ir ar tokie šaltiniai ir metodai yra įmanomi ir tinkami (246). Jeigu įmanoma, pirmumas turi būti teikiamas tokiems alternatyviems, mažiau intervenciniams šaltiniams ir metodams (247).

(139)

Kai taikant tokius kriterijus nusprendžiama, kad rinkti signalų žvalgybos duomenis būtina, tai turi būti daroma „kuo labiau pritaikant“ ir „nedarant neproporcingo poveikio privatumui ir piliečių laisvėms“ (248). Siekiant užtikrinti, kad privatumui ir piliečių laisvėms nebūtų daromas neproporcingas poveikis, t. y. siekiant tinkamos nacionalinio saugumo poreikių ir privatumo bei piliečių laisvių apsaugos pusiausvyros, reikia deramai atsižvelgti į visus aktualius veiksnius, kaip antai į siekiamo tikslo pobūdį; duomenų rinkimo veiklos intervencinį pobūdį, įskaitant jos trukmę; tikėtiną duomenų rinkimo indėlį siekiant tikslo; pagrįstai numatomas pasekmes asmenims; numatomų rinkti duomenų pobūdį ir būtinybę jų neskelbti (249).

(140)

Atsižvelgiant į signalų žvalgybos duomenų rinkimo tipą, duomenų rinkimas Jungtinėse Amerikos Valstijose, kuris yra aktualiausias šiai išvadai dėl tinkamumo, nes yra susijęs su organizacijoms JAV perduotais duomenimis, visada turi būti tikslinis, kaip išsamiau paaiškinta 142–153 konstatuojamosiose dalyse.

(141)

Vadinamasis masinis duomenų rinkimas (250) gali būti atliekamas tik ne Jungtinėse Amerikos Valstijose, remiantis VP 12333. Pagal VP 14086 ir tokiu atveju pirmumas turi būti teikiamas tiksliniam rinkimui (251). Priešingai, masinis duomenų rinkimas leidžiamas tik tuo atveju, jei informacijos, būtinos patvirtintam žvalgybos prioritetui įgyvendinti, pagrįstai negalima gauti duomenis renkant tikslingai (252). Kai būtina ne Jungtinėse Amerikos Valstijose vykdyti masinį duomenų rinkimą, pagal VP 14086 taikomos specialios apsaugos priemonės (253). Pirma, turi būti taikomi metodai ir techninės priemonės, kad duomenų būtų renkama ne daugiau, nei būtina patvirtintam žvalgybos prioritetui įgyvendinti, taip pat būtų renkama kuo mažiau nesusijusios informacijos (254). Antra, vykdomajame potvarkyje nustatyta, kad masiškai surinkta informacija (įskaitant užklausas) gali būti naudojama tik šešiais konkrečiais tikslais, be kita ko, siekiant užtikrinti apsaugą nuo užsienio valstybės valdžios, organizacijos ar asmens arba jų vardu vykdomo terorizmo, įkaitų paėmimo ir asmenų laisvės apribojimo; siekiant užtikrinti apsaugą nuo užsienio šnipinėjimo, sabotažo ar nužudymo; siekiant užtikrinti apsaugą nuo masinio naikinimo ginklų ar susijusių technologijų kūrimo, turėjimo ar platinimo grėsmės ir susijusių grėsmių (255). Galiausiai bet kokia užklausa dėl masiškai gaunamų signalų žvalgybos duomenų gali būti teikiama tik jei tai būtina patvirtintam žvalgybos prioritetui įgyvendinti, siekiant tų šešių tikslų ir laikantis politikos bei procedūrų, kuriomis tinkamai atsižvelgiama į užklausų poveikį visų asmenų privatumui ir piliečių laisvėms, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą (256).

(142)

Organizacijai Jungtinėse Amerikos Valstijose perduotų duomenų signalų žvalgybos duomenų rinkimui taikomi ne tik VP 14086 nustatyti reikalavimai, bet ir specialūs apribojimai bei apsaugos priemonės, reglamentuojami FISA 702 straipsniu (257). Pagal FISA 702 straipsnį leidžiama rinkti užsienio žvalgybos informaciją stebint ne JAV piliečius, kaip pagrįstai manoma, esančius ne Jungtinėse Amerikos Valstijose, naudojantis būtinąja JAV elektroninių ryšių paslaugų teikėjų pagalba (258). Kad galėtų rinkti užsienio žvalgybos informaciją pagal FISA 702 straipsnį, generalinis prokuroras ir Nacionalinės žvalgybos direktorius Užsienio žvalgybos stebėjimo teismui (FISC) pateikia metinius sertifikatus, kuriuose nurodomos gautinos užsienio žvalgybos informacijos kategorijos (259). Kartu su sertifikavimu turi būti nurodomos asmenų, kurių informaciją norima rinkti, nustatymo, duomenų kiekio mažinimo ir užklausų teikimo procedūros, kurias taip pat patvirtina Teismas ir kurios JAV žvalgybos agentūroms yra teisiškai privalomos.

(143)

FISC – federaliniu įstatymu įsteigtas nepriklausomas teismas (260), kurio sprendimai gali būti skundžiami Užsienio žvalgybos stebėjimo apeliaciniam teismui (FISCR) (261) ir galiausiai Jungtinių Amerikos Valstijų Aukščiausiajam Teismui (262). FISC (ir FISCR) padeda nuolatinė penkių teisininkų ir penkių techninių ekspertų kolegija, turinti kompetenciją spręsti nacionalinio saugumo ir su piliečių laisvėmis susijusius klausimus (263). Iš šios grupės teismas paskiria asmenį, kuris veikia kaip amicus curiae ir padeda nagrinėti visus prašymus dėl nutarties arba peržiūros, kai, teismo nuomone, pateikiamas naujas ar reikšmingas teisės paaiškinimas, nebent teismas nustato, kad paskirti tokį asmenį netikslinga (264). Taip visų pirma užtikrinama, kad teismo vertinime būti tinkamai atsižvelgiama į privatumo aspektus. Teismas taip pat gali paskirti asmenį arba organizaciją, kuris (-i) veiktų kaip amicus curiae, be kita ko, teiktų technines konsultacijas, kai mano, kad tai tikslinga, arba gavęs prašymą suteikti asmeniui arba organizacijai leidimą pateikti amicus curiae raštą (265).

(144)

FISC peržiūri sertifikatus ir susijusias procedūras (visų pirma asmenų, kurių informaciją norima rinkti, nustatymo ir duomenų kiekio mažinimo procedūras), ar jie atitinka FISA reikalavimus. Jeigu mano, kad reikalavimų nesilaikoma, jis gali visiškai arba iš dalies atsisakyti išduoti sertifikatą ir prašyti iš dalies pakeisti procedūras (266). Šiuo atžvilgiu FISC ne kartą patvirtino, kad peržiūri ne tik 702 straipsnyje pateiktus asmenų, kurių informaciją norima rinkti, nustatymo ir duomenų kiekio mažinimo procedūrų aprašymus, bet ir tai, kaip valdžios sektorius įgyvendina šias procedūras (267).

(145)

Individualius sprendimus dėl asmenų, kurių informaciją norima rinkti, nustatymo priima Nacionalinio saugumo agentūra (NSA, žvalgybos agentūra, atsakinga už asmenų, kurių informaciją norima rinkti, nustatymą pagal FISA 702 skirsnį) laikydamasi FISC patvirtintų asmenų, kurių informaciją norima rinkti, nustatymo procedūrų, pagal kurias reikalaujama, kad NSA, atsižvelgdama į visas aplinkybes, įvertintų, ar renkant konkretaus asmens informaciją veikiausiai bus gauta sertifikate nurodytos tam tikros kategorijos užsienio žvalgybos informacijos (268). Toks vertinimas turi būti individualus ir pagrįstas faktais, paremtas analitiko analitiniu vertinimu, specialiu išsilavinimu ir patirtimi, taip pat turi būti atsižvelgiama į gautinos užsienio žvalgybos informacijos pobūdį (269). Asmenys, kurių informaciją norima rinkti, nustatomi identifikuojant vadinamuosius atrinktuvus, kuriais nustatomos konkrečios ryšio priemonės, pvz., objekto el. pašto adresą ar telefono numerį, bet ne raktinius žodžius ar asmenų vardus ir pavardes (270).

(146)

NSA analitikai pirmiausia nustatys užsienyje esančius ne JAV piliečius, kuriuos stebint, analitikų vertinimu, bus gauta sertifikate nurodytos atitinkamos užsienio žvalgybos informacijos (271). Kaip nurodyta NSA asmenų, kurių informaciją norima rinkti, nustatymo procedūrose, NSA gali tiesiogiai stebėti objektą tik kai jau turi tam tikrų žinių apie jį (272). Tam gali būti remiamasi įvairių šaltinių, pvz., žmonių žvalgybos, informacija. Iš tokių kitų šaltinių analitikas taip pat turi gauti žinių apie konkretų atrinktuvą (t. y. ryšių paskyrą), naudojamą asmens, kurio informaciją gali būti norima rinkti. Nustačius tokius konkrečius asmenis ir NSA pagal išsamų peržiūros mechanizmą (273) patvirtinus jų nustatymą, bus pradedami naudoti (t. y. parengiami ir taikomi) ryšių priemones leidžiantys nustatyti atrinktuvai (pvz., el. pašto adresai) (274).

(147)

NSA turi dokumentuoti faktinį asmens, kurio informaciją norima rinkti, pasirinkimo pagrindą (275) ir reguliariais intervalais po pradinio tokio asmens nustatymo patvirtinti, kad asmenų, kurių informaciją norima rinkti, nustatymo standarto vis dar laikomasi (276). Kai asmenų, kurių informaciją norima rinkti, nustatymo standarto nebesilaikoma, duomenų rinkimas turi būti nutrauktas (277). Teisingumo departamento žvalgybos priežiūros tarnybų pareigūnai kas du mėnesius peržiūri, ar NSA kiekvieną asmenį, kurio informaciją norima rinkti, atrenka ir kiekvieną užfiksuotą asmenų, kurių informaciją norima rinkti, nustatymo vertinimą ir pagrindimą registruoja laikydamasi asmenų, kurių informaciją norima rinkti, nustatymo procedūrų, ir privalo apie bet kokį pažeidimą pranešti FISC ir Kongresui (278). Remiantis NSA rašytiniais dokumentais FISC lengviau prižiūrėti, ar konkretūs asmenys tinkamai nustatomi pagal FISA 702 straipsnį, laikantis 173 ir 174 konstatuojamosiose dalyse aprašytų priežiūros įgaliojimų (279). Galiausiai taip pat reikalaujama, kad Nacionalinės žvalgybos direktorius kasmet viešose metinėse statistikos skaidrumo ataskaitose nurodytų bendrą asmenų, kurių informacija renkama pagal FISA 702 straipsnį, skaičių. Nurodymus pagal FISA 702 straipsnį gaunančios bendrovės gali skelbti suvestinius gautų prašymų duomenis (per skaidrumo ataskaitas) (280).

(148)

Kitiems JAV organizacijoms perduodamų asmens duomenų rinkimo teisiniams pagrindams taikomi skirtingi apribojimai ir apsaugos priemonės. Apskritai pagal FISA 402 straipsnį (dėl įgaliojimų dėl renkamų numerių registratorių ir gaunamų skambučių sekiklių) ir remiantis NSR masiškai rinkti duomenis konkrečiai draudžiama – vietoj to reikalaujama taikyti konkrečias atrankos sąlygas (281).

(149)

Kad galėtų vykdyti tradicinį individualizuotą elektroninį stebėjimą (pagal FISA 105 straipsnį), žvalgybos agentūros turi pateikti prašymą FISC, kuriame nurodomi faktai ir aplinkybės, kuriais remiamasi siekiant pagrįsti įsitikinimą, kad yra tikėtina priežastis manyti, jog užsienio valstybė arba užsienio valstybės agentas naudojasi arba ketina naudotis ta priemone (282). FISC, be kita ko, įvertins, ar, remiantis pateiktais faktais, yra tikėtina priežastis manyti, kad iš tikrųjų taip yra (283).

(150)

Norint pagal FISA 301 straipsnį atlikti patalpų ar turto kratą, per kurią numatoma patikrinti, konfiskuoti ar pan. informaciją, medžiagą ar turtą (pvz., kompiuterinį įrenginį), būtina pateikti prašymą, kad FISC išduotų orderį (284). Tokiame prašyme, inter alia, turi būti įrodyta, jog yra tikėtina priežastis manyti, kad kratos objektas yra užsienio valstybė arba užsienio valstybės agentas, kad patalpoje ar turto vienete, kurių kratą numatoma atlikti, yra užsienio žvalgybos informacijos ir kad patalpa, kurios kratą numatoma atlikti, priklauso užsienio valstybei (ar jos agentui), yra jos (jo) naudojama, valdoma arba jai (jam) ar jos (jo) perduodama (285).

(151)

Taip pat norint įrengti renkamų numerių registratorius arba gaunamų skambučių sekiklius (pagal FISA 402 straipsnį), reikia pateikti prašymą, kad FISC (arba JAV magistratas) išduotų orderį, ir taikyti konkrečią atrankos sąlygą, t. y. sąlygą, pagal kurią konkrečiai identifikuojamas asmuo, paskyra ir kt. ir kuo labiau, kiek pagrįstai įmanoma, apribojama siekiamos gauti informacijos apimtis (286). Šis įgaliojimas nesusijęs su ryšių turiniu, bet labiau taikomas informacijai apie klientą arba abonentą, kuris naudojasi paslauga (pvz., vardas ir pavardė, adresas, abonento numeris, gautos paslaugos trukmė ir (arba) rūšis, mokėjimo šaltinis ir (arba) būdas).

(152)

FISA 501 straipsnyje (287), pagal kurį leidžiama rinkti viešojo transporto vežėjo (t. y. asmens ar subjekto, už atlygį vežančio žmones ar turtą sausumos, geležinkelių, vandens ar oro transporto priemonėmis), viešosios apgyvendinimo įstaigos (pvz., viešbučio, motelio ar svečių namų), transporto priemonių nuomos įstaigos ar fizinės saugyklos (kurioje suteikiama vietos prekėms ir medžiagoms saugoti arba teikiamos susijusios paslaugos) (288) verslo įrašus, taip pat reikalaujama pateikti prašymą FISC arba magistratui. Tokiame prašyme reikia nurodyti norimus gauti įrašus ir konkrečius bei aiškius faktus, dėl kurių yra priežasčių manyti, kad asmuo, su kuriuo susiję įrašai, yra užsienio subjektas arba užsienio valstybės agentas (289).

(153)

Galiausiai, pagal įvairius įstatymus leidžiama naudoti NSR, o pagal NSR leidžiama tyrimus atliekančioms agentūroms iš tam tikrų subjektų (pvz., finansų įstaigų, kredito informaciją teikiančių agentūrų, elektroninių ryšių teikėjų) gauti tam tikrą informaciją (neįskaitant ryšių turinio), pateikiamą kredito ataskaitose, finansiniuose įrašuose ir elektroniniuose abonentų bei sandorių įrašuose (290). NSR įstatymu, pagal kurį leidžiama prieiga prie elektroninių ryšių, gali naudotis tik FTB, taip pat pagal jį reikalaujama, kad prašymuose būtų nurodoma sąlyga, pagal kurią konkrečiai identifikuojamas asmuo, subjektas, telefono numeris arba paskyra, ir patvirtinama, kad informacija yra svarbi įgaliotam nacionalinio saugumo tyrimui, siekiant užtikrinti apsaugą nuo tarptautinio terorizmo arba slaptos žvalgybos veiklos (291). NSR gavėjai turi teisę jį ginčyti teisme (292).

(154)

Tvarkant JAV žvalgybos agentūrų signalų žvalgybos būdu surinktus asmens duomenis taikomos įvairios apsaugos priemonės.

(155)

Pirma, kiekviena žvalgybos agentūra privalo užtikrinti pakankamą duomenų saugumą ir neleisti leidimo neturintiems asmenims susipažinti su signalų žvalgybos būdu surinktais asmens duomenimis. Šiuo atžvilgiu įvairiose priemonėse, įskaitant įstatymus, gaires ir standartus, išsamiau apibrėžiami nustatytini minimalūs informacijos saugumo reikalavimai (pvz., daugiaveiksnis tapatumo nustatymas, šifravimas ir kt.) (293). Galimybė susipažinti su surinktais duomenimis turi būti suteikiama tik įgaliotiems, mokymus baigusiems darbuotojams, kuriems reikia žinoti informaciją, kad galėtų vykdyti savo užduotis (294). Apskritai žvalgybos agentūros turi rengti tinkamus mokymus savo darbuotojams, be kita ko, apie pranešimo apie įstatymų (įskaitant VP 14086) pažeidimus ir tų pažeidimų nagrinėjimo procedūras (295).

(156)

Antra, žvalgybos agentūros privalo laikytis žvalgybos bendruomenės tikslumo ir objektyvumo standartų, visų pirma susijusių su duomenų kokybės ir patikimumo užtikrinimu, alternatyvių informacijos šaltinių apsvarstymu ir objektyvumu atliekant analizę (296).

(157)

Trečia, dėl duomenų saugojimo VP 14086 aiškiai nurodoma, kad ne JAV piliečių asmens duomenims taikomi tokie pat saugojimo laikotarpiai kaip ir JAV piliečių duomenims, (297). Žvalgybos agentūros privalo nustatyti konkrečius saugojimo laikotarpius ir (arba) veiksnius, į kuriuos reikia atsižvelgti nustatant taikomų saugojimo laikotarpių trukmę (pvz., ar informacija yra nusikaltimo įrodymas; ar informacija yra užsienio žvalgybos informacija; ar informacija reikalinga siekiant apsaugoti asmenų ar organizacijų, įskaitant tarptautinio terorizmo aukas ar taikinius, saugumą), kurie nustatyti įvairiose teisinėse priemonėse (298).

(158)

Ketvirta, signalų žvalgybos būdu surinktų asmens duomenų platinimui taikomos specialios taisyklės. Paprastai ne JAV piliečių asmens duomenys gali būti platinami tik jei jie apima tos pačios rūšies informaciją, kuri gali būti platinama apie JAV piliečius, pvz., informaciją, reikalingą asmens ar organizacijos (pvz., tarptautinių teroristinių organizacijų taikinių, aukų ar įkaitų) saugumui užtikrinti (299). Be to, asmens duomenys negali būti platinami vien dėl asmens pilietybės ar gyvenamosios valstybės arba siekiant apeiti VP 14086 reikalavimus (300). JAV valdžios sektoriuje informacija gali būti platinama tik jei įgaliotas ir mokymus baigęs asmuo pagrįstai mano, kad gavėjui reikia žinoti tą informaciją (301) ir jis ją tinkamai apsaugos (302). Siekiant nustatyti, ar asmens duomenys gali būti platinami JAV valdžios sektoriui nepriklausantiems gavėjams (įskaitant užsienio vyriausybę ar tarptautinę organizaciją), būtina atsižvelgti į platinimo tikslą, platinamų duomenų pobūdį ir apimtį, taip pat į žalingo poveikio atitinkamam (-iems) asmeniui (-ims) galimybę (303).

(159)

Galiausiai, be kita ko, siekiant palengvinti taikomų teisinių reikalavimų laikymosi priežiūrą ir veiksmingą teisių gynimą, pagal VP 14086 kiekviena žvalgybos agentūra privalo saugoti atitinkamus dokumentus apie signalų žvalgybos duomenų rinkimą. Dokumentacijos reikalavimai apima tokius elementus kaip faktinis pagrindas, kuriuo remiantis vertinama, ar konkreti duomenų rinkimo veikla yra būtina siekiant įgyvendinti patvirtintą žvalgybos prioritetą (304).

(160)

Be pirmiau minėtų VP 14086 numatytų apsaugos priemonių, taikomų naudojant informaciją, surinktą vykdant signalų žvalgybą, visoms JAV žvalgybos agentūroms taikomi bendresnio pobūdžio reikalavimai dėl tikslo apribojimo, duomenų kiekio mažinimo, tikslumo, saugumo, saugojimo ir platinimo, visų pirma pagal VBT aplinkraštį Nr. A-130, E. valdžios aktą, Federalinių registrų aktą (žr. 101–106 konstatuojamąsias dalis) ir Nacionalinių saugumo sistemų komiteto (CNSS) gaires (305).

(161)

JAV žvalgybos agentūrų veiklą prižiūri įvairios įstaigos.

(162)

Pirma, VP 14086 reikalaujama, kad kiekviena žvalgybos agentūra turėtų vyresniuosius teisės, priežiūros ir atitikties užtikrinimo pareigūnus, kurie užtikrintų, kad būtų laikomasi taikomų JAV teisės aktų (306). Visų pirma jie turi vykdyti periodinę signalų žvalgybos veiklos priežiūrą ir užtikrinti, kad bet koks reikalavimų nesilaikymas būtų ištaisytas. Žvalgybos agentūros privalo tokiems pareigūnams sudaryti sąlygas susipažinti su visa aktualia informacija, kad jie galėtų vykdyti priežiūros funkcijas, ir negali imtis veiksmų, kurie jiems trukdytų vykdyti priežiūros veiklą arba tokiai veiklai darytų nederamą įtaką (307). Be to, apie visus už priežiūrą atsakingo pareigūno ar bet kurio kito darbuotojo nustatytus reikšmingus reikalavimų nesilaikymo incidentus (308) turi būti nedelsiant pranešama žvalgybos agentūros vadovui ir Nacionalinės žvalgybos direktoriui, o šie turi užtikrinti, kad būtų imtasi visų būtinų veiksmų siekiant ištaisyti padėtį ir neleisti, kad reikšmingas reikalavimų nesilaikymo incidentas pasikartotų (309).

(163)

Šią priežiūros funkciją vykdo pareigūnai, kuriems pavesta rūpintis, kad būtų laikomasi reikalavimų, taip pat privatumo ir piliečių laisvių apsaugos pareigūnai ir generaliniai inspektoriai (310).

(164)

Kaip ir baudžiamosios teisėsaugos institucijose, privatumo ir piliečių laisvių apsaugos pareigūnai veikia ir visose žvalgybos agentūrose (311). Šių pareigūnų įgaliojimai paprastai apima procedūrų priežiūrą siekiant užtikrinti, kad atitinkamas departamentas ar agentūra tinkamai atsižvelgtų į privatumo ir piliečių laisvių aspektus ir nustatytų tinkamas procedūras, kaip turi būti nagrinėjami asmenų, manančių, kad jų privatumas arba piliečių laisvės buvo pažeisti, skundai (o kai kuriais atvejais, panašiai kaip ir ODNI, jie gali turėti įgaliojimus skundus tirti patys (312)). Žvalgybos agentūrų vadovai turi užtikrinti, kad privatumo ir piliečių laisvių apsaugos pareigūnai turėtų išteklių savo įgaliojimams vykdyti, galėtų naudotis visa medžiaga ir darbuotojų paslaugomis, reikalingais jų funkcijoms vykdyti, ir būtų informuojami apie siūlomus politikos pakeitimus ir dėl tokių pakeitimų su jais būtų konsultuojamasi (313). Privatumo ir piliečių laisvių apsaugos pareigūnai periodiškai teikia ataskaitas Kongresui ir PCLOB, be kita ko, nurodydami departamento ar agentūros gautų skundų skaičių ir pobūdį, taip pat tokių skundų nagrinėjimo, atliktų peržiūrų bei tyrimų ir pareigūno vykdytos veiklos poveikio santrauką (314).

(165)

Antra, kiekviena žvalgybos agentūra turi nepriklausomą generalinį inspektorių, be kita ko, atsakingą už užsienio žvalgybos veiklos priežiūrą. Taigi ODNI struktūroje veikia žvalgybos bendruomenės Generalinio inspektoriaus tarnyba, turinti plačią jurisdikciją visai žvalgybos bendruomenei ir įgaliojimus tirti skundus ar informaciją, susijusius su įtariamu neteisėtu elgesiu ar piktnaudžiavimu įgaliojimais, kiek tai susiję su ODNI ir (arba) žvalgybos bendruomenės programomis ir veikla (315). Kaip ir baudžiamosios teisėsaugos institucijose (žr. 109 konstatuojamąją dalį), tokie generaliniai inspektoriai yra teisiškai nepriklausomi (316) ir atsakingi už auditą ir tyrimus, susijusius su nacionalinės žvalgybos tikslais atitinkamos agentūros vykdomomis programomis ir operacijomis, be kita ko, dėl piktnaudžiavimo teise ar teisės pažeidimo (317). Jie turi galimybę susipažinti su visais įrašais, ataskaitomis, audito medžiaga, peržiūrų medžiaga, dokumentais, užrašais, rekomendacijomis ar kita susijusia medžiaga, prireikus remdamiesi potvarkiu, be to, gali priimti parodymus (318). Generaliniai inspektoriai įtariamų baudžiamųjų pažeidimų atvejus perduoda baudžiamajam persekiojimui ir agentūrų vadovams teikia rekomendacijas dėl taisomųjų veiksmų (319). Nors jų rekomendacijos neprivalomos, jų ataskaitos, be kita ko, dėl tolesnių veiksmų (arba neveikimo) (320), paprastai skelbiamos viešai ir siunčiamos Kongresui, o šis tuo pagrindu gali vykdyti savo priežiūros funkciją (žr. 168 ir 169 konstatuojamąsias dalis) (321).

(166)

Trečia, Prezidento žvalgybos patariamojoje taryboje (PIAB) įsteigta Žvalgybos priežiūros valdyba (IOB) prižiūri, kaip JAV žvalgybos institucijos laikosi Konstitucijos ir visų taikomų taisyklių (322). PIAB yra Prezidento vykdomosios tarnybos patariamasis organas, kurį sudaro 16 narių, Prezidento skiriamų ne iš JAV vyriausybės. IOB sudaro daugiausia penki nariai, Prezidento skiriami iš PIAB narių. Pagal VP 12333 (323) visų žvalgybos agentūrų vadovai privalo pranešti IOB apie bet kokią žvalgybos veiklą, jei yra priežasčių manyti, kad ji gali būti neteisėta arba prieštarauti vykdomajam potvarkiui ar Prezidento direktyvai. Siekiant užtikrinti, kad IOB galėtų susipažinti su informacija, kurios reikia jos funkcijoms vykdyti, VP 13462 nurodoma Nacionalinės žvalgybos direktoriui ir žvalgybos agentūrų vadovams teikti visą informaciją ir pagalbą, kurios, IOB nuomone, reikia jos funkcijoms vykdyti, kiek tai leidžiama pagal įstatymus (324). IOB savo ruožtu privalo informuoti Prezidentą apie žvalgybos veiklą, kuria, jos nuomone, gali būti pažeidžiama JAV teisė (įskaitant vykdomuosius potvarkius), o generalinis prokuroras, Nacionalinės žvalgybos direktorius ar žvalgybos agentūros vadovas į tai deramai neatsižvelgia (325). Be to, apie galimus baudžiamosios teisės pažeidimus IOB privalo informuoti generalinį prokurorą.

(167)

Ketvirta, žvalgybos agentūras prižiūri PCLOB. Pagal PCLOB steigimo sutartį jai patikėta atsakomybė kovos su terorizmu politikos ir jos įgyvendinimo srityje, siekiant apsaugoti privatumą ir piliečių laisves. Peržiūrėdama žvalgybos agentūrų veiksmus, ji gali susipažinti su visais aktualiais agentūros įrašais, ataskaitomis, audito medžiaga, peržiūrų medžiaga, dokumentais, užrašais ir rekomendacijomis, įskaitant įslaptintą informaciją, rengti pokalbius ir išklausyti parodymus (326). Ji gauna ataskaitas iš kelių federalinių departamentų ar agentūrų piliečių laisvių ir privatumo apsaugos pareigūnų (327), gali teikti rekomendacijas vyriausybei ir žvalgybos agentūroms ir reguliariai teikia ataskaitas Kongreso komitetams ir Prezidentui (328). Valdybos ataskaitos, įskaitant ataskaitas Kongresui, turi būti kuo plačiau skelbiamos viešai (329). PCLOB paskelbė keletą priežiūros ir tolesnių veiksmų ataskaitų, įskaitant pagal FISA 702 straipsnį vykdomų programų ir privatumo apsaugos tomis aplinkybėmis analizės, taip pat PPD 28 ir VP 12333 įgyvendinimo ataskaitas (330). PCLOB taip pat įpareigota vykdyti konkrečias priežiūros funkcijas, susijusias su VP 14086 įgyvendinimu, visų pirma peržiūrėti, ar agentūros procedūros atitinka vykdomąjį potvarkį (žr. 126 konstatuojamąją dalį), ir įvertinti, ar tinkamai veikia teisių gynimo mechanizmas (žr. 194 konstatuojamąją dalį).

(168)

Penkta, be vykdomosios valdžios priežiūros mechanizmų, už visos JAV užsienio žvalgybos veiklos priežiūrą taip pat atsakingi konkretūs JAV Kongreso komitetai (Atstovų Rūmų ir Senato žvalgybos ir teismų komitetai). Šių komitetų nariai gali susipažinti su įslaptinta informacija, taip pat su žvalgybos metodais ir programomis (331). Komitetai vykdo priežiūros funkcijas įvairiais būdais, visų pirma rengdami posėdžius, vykdydami tyrimus, peržiūras ir teikdami ataskaitas (332).

(169)

Kongreso komitetai be kita ko, iš generalinio prokuroro, Nacionalinės žvalgybos direktoriaus, žvalgybos agentūrų ir kitų priežiūros įstaigų (pvz., generalinių inspektorių) reguliariai gauna ataskaitas dėl žvalgybos veiklos (žr. 164 ir165 konstatuojamąsias dalis). Visų pirma, pagal Nacionalinio saugumo aktą „Prezidentas užtikrina, kad Kongreso žvalgybos komitetai būtų išsamiai ir laiku informuojami apie Jungtinių Amerikos Valstijų žvalgybos veiklą, įskaitant visus numatomus reikšmingus žvalgybos veiksmus, kaip reikalaujama pagal šį straipsnio punktą“ (333). Be to, „Prezidentas užtikrina, kad Kongreso žvalgybos komitetams nedelsiant būtų pranešama apie bet kokią neteisėtą žvalgybos veiklą, taip pat apie visus taisomuosius veiksmus, kurių buvo imtasi arba kurių planuojama imtis dėl tokios neteisėtos veiklos“ (334).

(170)

Be to, papildomų ataskaitų teikimo reikalavimų kyla iš konkrečių įstatymų. Visų pirma, FISA reikalaujama, kad generalinis prokuroras „išsamiai informuotų“ Senato ir Atstovų Rūmų žvalgybos ir teismų komitetus apie vyriausybės veiklą pagal tam tikrus FISA straipsnius (335). Jame taip pat reikalaujama, kad vyriausybė pateiktų Kongreso komitetams visų FISC arba FISCR sprendimų, nutarčių ar nuomonių, kuriose pateikiamas FISA nuostatų „reikšmingas vertinimas ar aiškinimas“, kopijas. Stebėjimo pagal FISA 702 straipsnį parlamentinė priežiūra vykdoma žvalgybos ir teismų komitetams teikiant pagal įstatymą reikalaujamas ataskaitas, taip pat reguliariai rengiant informacinius susirinkimus ir posėdžius. Tai apima generalinio prokuroro pusmečio ataskaitas, kuriose aprašomas FISA 702 straipsnio taikymas ir prie kurių pridedami patvirtinamieji dokumentai, be kita ko, Teisingumo departamento ir ODNI reikalavimų laikymosi ataskaitos ir bet kokių reikalavimų nesilaikymo incidentų aprašymas (336), taip pat atskiras generalinio prokuroro ir Nacionalinės žvalgybos direktoriaus atliekamas pusmečio vertinimas, kuriame dokumentuojama, kaip laikomasi asmenų, kurių informaciją norima rinkti, nustatymo ir duomenų kiekio mažinimo procedūrų (337).

(171)

Be to, pagal FISA reikalaujama, kad JAV vyriausybė kasmet Kongresui (ir visuomenei) nurodytų pagal FISA prašomų ir išduotų nutarčių skaičių, taip pat, be kita ko, JAV ir ne JAV piliečių, kurių informaciją norima rinkti, apytikslį skaičių (338). Akte taip pat reikalaujama papildomai viešai nurodyti išduotų NSR skaičių – taip pat tiek dėl JAV, tiek dėl ne JAV piliečių (kartu leidžiama FISA nutarčių ir sertifikatų, taip pat prašymų dėl NSR gavėjams tam tikromis sąlygomis paskelbti skaidrumo ataskaitas) (339).

(172)

Apskritai JAV žvalgybos bendruomenė deda įvairias pastangas, kad užtikrintų savo (užsienio) žvalgybos veiklos skaidrumą. Pavyzdžiui, 2015 m. ODNI priėmė Žvalgybos skaidrumo principus ir Skaidrumo įgyvendinimo planą ir nurodė kiekvienai žvalgybos agentūrai paskirti žvalgybos skaidrumo užtikrinimo pareigūną, kuris skatintų skaidrumą ir vadovautų skaidrumo užtikrinimo iniciatyvoms (340). Dėdama šias pastangas, žvalgybos bendruomenė viešai paskelbė ir toliau skelbia išslaptintas politikos, procedūrų, priežiūros ataskaitų, pagal FISA 702 straipsnį ir VP 12333 teikiamų veiklos ataskaitų, FISC sprendimų ir kitos medžiagos dalis, be kita ko, specialiame ODNI tvarkomame tinklalapyje „IC on the Record“ (341).

(173)

Galiausiai asmens duomenų rinkimą pagal FISA 702 straipsnį prižiūri ne tik 162–168 konstatuojamosiose dalyse nurodytos priežiūros įstaigos, bet ir FISC (342). Pagal FISC darbo tvarkos taisyklių 13 taisyklę už reikalavimų laikymąsi atsakingi JAV žvalgybos agentūrų pareigūnai privalo apie visus su asmenų, kurių informaciją norima rinkti, nustatymo, duomenų kiekio mažinimo ir užklausų teikimo procedūromis susijusius FISA 702 straipsnio pažeidimus pranešti Teisingumo departamentui ir ODNI, o šie apie tai praneša FISC. Be to, Teisingumo departamentas ir ODNI kas pusmetį FISC teikia bendras priežiūros vertinimo ataskaitas, kuriose nurodomos asmenų, kurių informaciją norima rinkti, nustatymo atitikties tendencijos; pateikiama statistinių duomenų; apibūdinamos su reikalavimų laikymusi susijusių incidentų kategorijos; išsamiai apibūdinamos priežastys, dėl kurių įvyko tam tikri su reikalavimų laikymusi susiję incidentai, ir nurodomos priemonės, kurių ėmėsi žvalgybos agentūros, kad tokie atvejai nesikartotų (343).

(174)

Prireikus (pvz., nustačius asmenų, kurių informaciją norima rinkti, nustatymo procedūrų pažeidimų) Teismas gali nurodyti atitinkamai žvalgybos agentūrai imtis taisomųjų veiksmų (344). Atitinkamos teisių gynimo priemonės gali būti įvairios – nuo individualių iki struktūrinių priemonių, pvz., nuo duomenų gavimo nutraukimo ir neteisėtai gautų duomenų ištrynimo iki duomenų rinkimo praktikos pakeitimo, įskaitant gaires ir darbuotojų mokymus (345). Be to, atlikdamas metinę pagal 702 straipsnį išduodamų sertifikatų peržiūrą FISC apsvarsto reikalavimų nesilaikymo incidentus siekdamas nustatyti, ar pateikti sertifikatai atitinka FISA reikalavimus. Taip pat nustatęs, kad vyriausybės sertifikatų nepakako, be kita ko, dėl konkrečių su reikalavimų laikymusi susijusių incidentų, FISC gali paskelbti vadinamąjį įsaką pašalinti trūkumus, kuriuo reikalaujama, kad vyriausybė per 30 dienų ištaisytų pažeidimą, arba reikalaujama, kad vyriausybė nutrauktų sertifikavimą pagal 702 straipsnį arba jo nepradėtų. Galiausiai FISC vertina nagrinėjant reikalavimų laikymosi problemas pastebėtas tendencijas ir gali pareikalauti pakeisti procedūras arba užtikrinti papildomą priežiūrą ir ataskaitų teikimą, kad būtų atsižvelgta į reikalavimų laikymosi tendencijas (346).

(175)

Kaip išsamiau paaiškinta šiame skirsnyje, Jungtinėse Amerikos Valstijose Sąjungos duomenų subjektams suteikiama galimybė keliais būdais imtis teisinių veiksmų nepriklausomame ir nešališkame teisme, turinčiame privalomus įgaliojimus. Visais šiais būdais kartu asmenys gali susipažinti su savo asmens duomenimis, pasiekti, kad būtų peržiūrėtas valdžios sektoriaus galimybių susipažinti su jų duomenimis teisėtumas ir, nustačius pažeidimą, toks pažeidimas būtų ištaisytas, be kita ko, ištaisant ar ištrinant jų asmens duomenis.

(176)

Pirma, pagal VP 14086 sukuriamas specialus teisių gynimo mechanizmas, kurį papildo GP reglamentas, kuriuo įsteigiamas Duomenų apsaugos apeliacinis teismas, nagrinėsiantis ir spręsiantis asmenų skundus dėl JAV signalų žvalgybos veiklos. Kiekvienas asmuo ES turi teisę pateikti skundą pagal teisių gynimo mechanizmą dėl įtariamo JAV teisės aktų, kuriais reglamentuojama signalų žvalgybos veikla (pvz., VP 14086, FISA 702 straipsnio, VP 12333), pažeidimo, turinčio neigiamą poveikį su privatumu ir piliečių laisvėmis susijusiems jo interesams (347). Šiuo teisių gynimo mechanizmu gali naudotis asmenys iš valstybių arba regioninių ekonominės integracijos organizacijų, kurias JAV generalinis prokuroras pripažino reikalavimus atitinkančiomis valstybėmis (348). 2023 m. birželio 30 d. Europos Sąjungą ir tris Europos laisvosios prekybos asociacijos šalis, kurios kartu sudaro Europos ekonominę erdvę, generalinis prokuroras pagal VP 14086 3 straipsnio f punktą pripažino reikalavimus atitinkančiomis valstybėmis (349). šis pripažinimas nedaro poveikio Europos Sąjungos sutarties 4 straipsnio 2 daliai;

(177)

Tokį skundą norintis pateikti Sąjungos duomenų subjektas turi jį pateikti ES valstybės narės priežiūros institucijai, kurios kompetencija – prižiūrėti valdžios institucijų atliekamą asmens duomenų tvarkymą (350). Taip užtikrinamos sąlygos lengvai pasinaudoti teisių gynimo mechanizmu, nes asmenims suteikiama galimybė kreiptis į instituciją „arčiau namų“, su kuria jie gali bendrauti savo kalba. Patikrinusi, ar laikomasi 178 konstatuojamojoje dalyje nurodytų skundo pateikimo reikalavimų, kompetentinga DAI per Europos duomenų apsaugos valdybos sekretoriatą skundą perduos nagrinėti pagal teisių gynimo mechanizmą.

(178)

Teikiant skundą pagal teisių gynimo mechanizmą taikomi nedideli priimtinumo reikalavimai, nes asmenims nereikia įrodyti, kad su jų duomenimis iš tiesų buvo vykdoma JAV signalų žvalgybos veikla (351). Tuo pat metu, siekiant nustatyti teisių gynimo mechanizmo pradžios tašką, kad būtų galima atlikti peržiūrą, turi būti pateikta tam tikra pagrindinė informacija, pvz., susijusi su asmens duomenimis, kurie, kaip pagrįstai manoma, buvo perduoti JAV, ir priemonėmis, kuriomis, kaip manoma, jie buvo perduoti; JAV vyriausybės subjektų, kurie, kaip manoma, dalyvavo darant įtariamą pažeidimą, tapatybe (jei žinoma); pagrindu, kuriuo remiantis teigiama, kad buvo pažeista JAV teisė (nors tam taip pat nereikia įrodyti, kad JAV žvalgybos agentūros iš tikrųjų rinko asmens duomenis), ir prašomos teisės gynimo priemonės pobūdžiu.

(179)

Pirminį pagal šį teisių gynimo mechanizmą pateiktų skundų nagrinėjimą atlieka ODNI CLPO, kurio dabartinis teisės aktais nustatytas vaidmuo ir įgaliojimai išplėsti, kad jis galėtų imtis tokių konkrečių veiksmų pagal VP 14086 (352). Žvalgybos bendruomenėje CLPO, inter alia, yra atsakingas už užtikrinimą, kad piliečių laisvių ir privatumo apsauga būtų tinkamai įtraukta į ODNI ir žvalgybos agentūrų politiką ir procedūras; priežiūrą, kaip ODNI laikosi taikomų piliečių laisvių ir privatumo reikalavimų; poveikio privatumui vertinimus (353). Nacionalinės žvalgybos direktorius gali atleisti ODNI CLPO tik dėl svarios priežasties, t. y. netinkamo elgesio, piktnaudžiavimo, saugumo pažeidimo, pareigų nevykdymo ar neveiksmingumo (354).

(180)

Atlikdamas peržiūrą ODNI CLPO gali susipažinti su informacija, kad atliktų vertinimą, ir gali kliautis privaloma įvairių žvalgybos agentūrų privatumo ir piliečių laisvių apsaugos pareigūnų pagalba (355). Žvalgybos agentūroms draudžiama trukdyti arba daryti nederamą įtaką ODNI CLPO peržiūroms. Tai taikoma ir Nacionalinės žvalgybos direktoriui – jis taip pat negali kištis atliekant peržiūrą (356). Nagrinėdamas skundą, ODNI CLPO privalo teisės aktus taikyti „nešališkai“, atsižvelgdamas tiek į nacionalinio saugumo interesus vykdant signalų žvalgybos veiklą, tiek į privatumo apsaugą (357).

(181)

Atlikdamas peržiūrą ODNI CLPO nustato, ar taikomi JAV teisės aktai buvo pažeisti, o jei buvo, priima sprendimą dėl tinkamo žalos ištaisymo (358). Pastarajame nurodomos priemonės, kuriomis nustatytas pažeidimas visiškai ištaisomas, pvz., neteisėto duomenų gavimo nutraukimas, neteisėtai surinktų duomenų ištrynimas, netinkamai pateiktų užklausų dėl apskritai teisėtai surinktų duomenų rezultatų ištrynimas, galimybės susipažinti su teisėtai surinktais duomenimis suteikimas tik tinkamai parengtiems darbuotojams arba žvalgybos ataskaitų, kuriose yra neturint teisėto leidimo gautų arba neteisėtai platinamų duomenų, atšaukimas (359). ODNI CLPO sprendimai dėl asmenų skundų (be kita ko, dėl žalos ištaisymo) atitinkamoms žvalgybos agentūroms yra privalomi (360).

(182)

ODNI CLPO privalo saugoti savo peržiūros dokumentus ir parengti įslaptintą sprendimą, kuriame būtų paaiškintas pagrindas, kuriuo remiantis jis nustatė faktus, nutarimas, ar atitinkamas pažeidimas buvo padarytas, ir nutarimas, kaip tinkamai ištaisyti žalą (361). Jeigu ODNI CLPO atlikus peržiūrą nustatoma, kad pažeidimą padarė kuri nors FISC prižiūrima institucija, CLPO taip pat privalo pateikti įslaptintą ataskaitą generalinio prokuroro padėjėjui nacionalinio saugumo klausimais, šis privalo apie reikalavimų nesilaikymą pranešti FISC, o pastarasis gali imtis tolesnių vykdymo užtikrinimo veiksmų (laikydamasis 173 ir 174 konstatuojamosiose dalyse aprašytos procedūros) (362).

(183)

Užbaigęs peržiūrą, ODNI CLPO per nacionalinę instituciją informuoja skundą pateikusį asmenį, kad „per peržiūrą atitinkamų pažeidimų nenustatyta arba ODNI CLPO priėmė nutarimą, kuriuo reikalaujama tinkamai ištaisyti žalą“ (363). Taip užtikrinamas veiklos, vykdomos siekiant užtikrinti nacionalinį saugumą, konfidencialumas, o asmenims pateikiamas sprendimas, kuriuo patvirtinama, kad jų skundas buvo tinkamai išnagrinėtas ir dėl jo priimtas sprendimas. Be to, šį sprendimą asmuo gali ginčyti. Šiuo tikslu jis bus informuojamas apie galimybę kreiptis į DPRC dėl CLPO nutarimų peržiūros (žr. 184 ir tolesnes konstatuojamąsias dalis) ir apie tai, kad, jei bus kreipiamasi į Teismą, bus išrinktas specialus advokatas skundą pateikusio asmens interesams ginti (364).

(184)

Bet kuris skundą pateikęs asmuo ir kiekvienas žvalgybos bendruomenės subjektas gali prašyti ODNI CLPO sprendimą peržiūrėti Duomenų apsaugos apeliaciniame teisme (DPRC). Tokie prašymai dėl peržiūros turi būti pateikti per 60 dienų nuo ODNI CLPO pranešimo, kad peržiūra baigta, gavimo dienos ir juose turi būti pateikta visa informacija, kurią asmuo nori pateikti DPRC (pvz., argumentai dėl teisės klausimų arba teisės taikymo bylos faktams) (365). Sąjungos duomenų subjektai prašymą gali dar kartą pateikti kompetentingai DAI (žr. 177 konstatuojamąją dalį).

(185)

DPRC yra nepriklausomas teismas, įsteigtas generalinio prokuroro, remiantis VP 14086 (366). Jį sudaro bent šeši teisėjai, kuriuos skiria generalinis prokuroras, pasikonsultavęs su PCLOB, Prekybos sekretoriumi ir Nacionalinės žvalgybos direktoriumi, ketverių metų kadencijai, kuri gali būti pratęsta (367). Generaliniam prokurorui skiriant teisėjus remiamasi kriterijais, kuriuos taiko vykdomoji valdžia vertindama kandidatus į federalines teismines institucijas, daugiau reikšmės skiriant bet kokiai ankstesnei darbo teisme patirčiai (368). Be to, teisėjai turi būti praktikuojantys teisininkai (t. y. aktyvūs ir geros reputacijos advokatūros nariai, turintys tinkamą licenciją verstis teisės praktika) ir turėti pakankamai patirties privatumo ir nacionalinio saugumo teisės srityse. Generalinis prokuroras turi stengtis užtikrinti, kad bent pusė teisėjų bet kuriuo metu turėtų ankstesnės darbo teisme patirties, taip pat visi teisėjai turi turėti patikimumo pažymėjimus, kad galėtų susipažinti su įslaptinta nacionalinio saugumo informacija (369).

(186)

Į DPRC gali būti skiriami tik asmenys, kurie paskyrimo metu arba per pastaruosius dvejus metus atitinka 185 konstatuojamojoje dalyje nurodytus kvalifikacijos reikalavimus ir nėra vykdomosios valdžios institucijų darbuotojai. Be to, kadencijos DPRC metu teisėjai negali eiti jokių oficialių pareigų ar dirbti JAV vyriausybėje (išskyrus DPRC teisėjų pareigas) (370).

(187)

Sprendimų priėmimo proceso nepriklausomumas užtikrinamas įvairiomis garantijomis. Visų pirma vykdomajai valdžiai (generaliniam prokurorui ir žvalgybos agentūroms) draudžiama kištis į DPRC vykdomą peržiūrą arba daryti jai nederamą įtaką (371). Pats DPRC turi bylose priimti nešališkus sprendimus (372) ir veikia pagal savo darbo tvarkos taisykles (priimtas balsų dauguma). Be to, DPRC teisėjus gali atleisti tik generalinis prokuroras ir tik dėl svarios priežasties (t. y. netinkamo elgesio, piktnaudžiavimo, saugumo pažeidimo, pareigų nevykdymo ar neveiksmingumo), deramai atsižvelgdamas į federaliniams teisėjams taikomus standartus, išdėstytus Teismų elgesio ir teismų nepajėgumo procedūrų taisyklėse (373).

(188)

DPRC pateiktus prašymus nagrinėja trijų teisėjų kolegijos, įskaitant pirmininkaujantį teisėją, kuris privalo veikti pagal JAV teisėjų elgesio kodeksą (374). Kiekvienai kolegijai padeda specialusis advokatas (375), kuris gali susipažinti su visa su byla susijusia informacija, įskaitant įslaptintą informaciją (376). Specialiojo advokato vaidmuo – užtikrinti, kad būtų atstovaujama skundą pateikusio asmens interesams ir kad DPRC kolegija būtų gerai informuota apie visus aktualius teisinius ir faktinius klausimus (377). Norėdamas išsamiau pagrįsti savo poziciją dėl asmens DPRC pateikto prašymo atlikti peržiūrą, specialusis advokatas gali prašyti skundą pateikusio asmens pateikti informacijos raštu užduodamas klausimų (378).

(189)

DPRC peržiūri ODNI CLPO priimtus nutarimus (tiek tai, ar buvo pažeista taikoma JAV teisė, tiek dėl tinkamo žalos ištaisymo), remdamasis bent ODNI CLPO tyrimo įrašais, taip pat bet kokia skundą pateikusio asmens, specialiojo advokato arba žvalgybos agentūros pateikta informacija ir pastabomis (379). DPRC kolegija gali susipažinti su visa peržiūrai atlikti būtina informacija, kurią gali gauti per ODNI CLPO (pvz., kolegija gali prašyti, kad CLPO papildytų savo įrašą papildoma informacija arba nustatytais faktais, jei to reikia peržiūrai atlikti) (380).

(190)

Baigdamas peržiūrą DPRC gali: 1) nuspręsti, jog nėra įrodymų, kad buvo vykdoma signalų žvalgybos veikla, susijusi su skundą pateikusio asmens duomenimis, 2) nuspręsti, kad ODNI CLPO nutarimai buvo teisiškai teisingi ir pagrįsti esminiais įrodymais, arba 3) jei nesutinka su ODNI CLPO nutarimais (dėl to, ar buvo pažeisti taikomi JAV teisės aktai arba dėl tinkamo žalos ištaisymo), priimti savo nutarimus (381).

(191)

Visais atvejais DPRC balsų dauguma priima raštišką sprendimą. Jeigu atliekant peržiūrą nustatoma, kad taikomos taisyklės buvo pažeistos, sprendime nurodoma, kaip tinkamai ištaisyti žalą, įskaitant neteisėtai surinktų duomenų ištrynimą, netinkamai atliktų užklausų rezultatų ištrynimą, galimybės susipažinti su teisėtai surinktais duomenimis suteikimą tik tinkamai parengtiems darbuotojams arba žvalgybos ataskaitų, kuriose yra neturint teisėto leidimo gautų arba neteisėtai platinamų duomenų, atšaukimą (382). DPRC sprendimas dėl jam pateikto skundo yra privalomas ir galutinis (383). Be to, jeigu atlikus peržiūrą nustatoma, kad pažeidimą padarė kuri nors FISC prižiūrima institucija, DPRC taip pat privalo pateikti įslaptintą ataskaitą generalinio prokuroro padėjėjui nacionalinio saugumo klausimais, šis privalo apie reikalavimų nesilaikymą pranešti FISC, o pastarasis gali imtis tolesnių vykdymo užtikrinimo veiksmų (laikydamasis 173 ir 174 konstatuojamosiose dalyse aprašytos procedūros) (384).

(192)

Kiekvienas DPRC kolegijos sprendimas perduodamas ODNI CLPO (385). Jeigu DPRC peržiūra buvo pradėta gavus skundą pateikusio asmens prašymą, skundą pateikusiam asmeniui per nacionalinę instituciją pranešama, kad DPRC užbaigė peržiūrą ir kad „per peržiūrą atitinkamų pažeidimų nenustatyta arba DPRC priėmė nutarimą, kuriuo reikalaujama tinkamai ištaisyti žalą“ (386). Teisingumo departamento Privatumo ir piliečių laisvių tarnyba saugo visos DPRC peržiūrėtos informacijos ir visų paskelbtų sprendimų įrašus ir pateikia juos būsimoms DPRC kolegijoms, kad jos galėtų į tai atsižvelgti kaip į neprivalomą precedentą (387).

(193)

Taip pat reikalaujama, kad Prekybos departamentas saugotų įrašus apie kiekvieną skundą pateikusį asmenį (388). Kad būtų padidintas skaidrumas, Prekybos departamentas privalo bent kas penkerius metus kreiptis į atitinkamas žvalgybos agentūras, kad patikrintų, ar su DPRC atliekama peržiūra susijusi informacija yra išslaptinta (389). Jeigu taip yra, asmeniui bus pranešta, kad tokia informacija gali būti prieinama pagal taikomus teisės aktus (t. y. kad asmuo gali prašyti leisti su ja susipažinti pagal Informacijos laisvės aktą; žr. 199 konstatuojamąją dalį).

(194)

Galiausiai bus atliekamas reguliarus ir nepriklausomas vertinimas, ar šis teisių gynimo mechanizmas veikia tinkamai. Konkrečiau, pagal VP 14086 teisių gynimo mechanizmo veikimą kasmet peržiūri nepriklausoma įstaiga PCLOB (žr. 110 konstatuojamąją dalį) (390). Atlikdama šią peržiūrą, PCLOB, be kita ko, įvertins, ar ODNI CLPO ir DPRC skundus išnagrinėjo laiku; ar jiems buvo sudarytos sąlygos visapusiškai susipažinti su reikiama informacija; ar peržiūros procese tinkamai atsižvelgta į VP 14086 nustatytas esmines apsaugos priemones ir ar žvalgybos bendruomenė visapusiškai laikėsi ODNI CLPO ir DPRC nutarimų. PCLOB pateiks savo peržiūros rezultatų ataskaitą Prezidentui, generaliniam prokurorui, Nacionalinės žvalgybos direktoriui, žvalgybos agentūrų vadovui, ODNI CLPO ir Kongreso žvalgybos komitetams, taip pat bus viešai paskelbta jos neįslaptinta redakcija, be to, ja bus remiamasi Komisijai atliekant periodinę šio sprendimo veikimo peržiūrą. Generalinis prokuroras, Nacionalinės žvalgybos direktorius, ODNI CLPO ir žvalgybos agentūrų vadovai privalo įgyvendinti visas į tokias ataskaitas įtrauktas rekomendacijas arba kitaip į jas atsižvelgti. Be to, PCLOB kasmet vykdys viešą sertifikavimą, atsižvelgdama į tai, ar skundų nagrinėjimas pagal teisių gynimo mechanizmą atitinka VP 14086 reikalavimus.

(195)

Visų asmenų (nepaisant pilietybės ar gyvenamosios vietos) teisių gynimą galima užtikrinti ne tik pagal VP 14086 nustatytu specialiu teisių gynimo mechanizmu, bet ir kreipiantis į JAV bendrosios kompetencijos teismus (391).

(196)

Visų pirma FISA ir susijusiuose įstatymuose numatyta galimybė asmenims pareikšti civilinį ieškinį dėl piniginio žalos atlyginimo Jungtinėms Amerikos Valstijoms, kai informacija apie juos buvo neteisėtai ir tyčia panaudota arba atskleista (392); pareikšti ieškinį dėl piniginio žalos atlyginimo JAV vyriausybės pareigūnams kaip individualiems asmenims (393) ir ginčyti stebėjimo teisėtumą (ir prašyti panaikinti informaciją), jeigu JAV vyriausybė ketina naudoti arba atskleisti bet kokią informaciją, gautą arba įgytą vykdant asmens elektroninį stebėjimą JAV teismo arba administraciniuose procesuose (394). Apskritai, jei vyriausybė ketina naudoti informaciją, gautą vykdant žvalgybos operacijas, prieš įtariamąjį baudžiamojoje byloje, Konstitucija ir įstatymais nustatytais reikalavimais (395) įpareigojama atskleisti tam tikrą informaciją, kad atsakovas galėtų ginčyti vyriausybės vykdomo įrodymų rinkimo ir naudojimo teisėtumą.

(197)

Be to, esama konkrečių būdų pasinaudoti teisių gynimo priemonėmis prieš valdžios sektoriaus pareigūnus dėl neteisėto valdžios sektoriaus susipažinimo su asmens duomenimis arba neteisėto jų naudojimo, be kita ko, tariamais nacionalinio saugumo tikslais (t. y. pagal Kompiuterinio sukčiavimo ir piktnaudžiavimo aktą (396), Elektroninių ryšių privatumo aktą (397) ir Teisės į finansinį privatumą aktą (398)). Visi tokie teisiniai veiksmai susiję su konkrečiais duomenimis, susipažinimo su jais tikslais ir (arba) tipais (pvz., nuotolinė prieiga prie kompiuterio per internetą) ir gali būti pradėti tam tikromis sąlygomis (pvz., sąmoningas ar tyčinis elgesys, elgesys veikiant kaip privačiam asmeniui, patirta žala).

(198)

APA (399) nustatyta bendresnio pobūdžio galimybė ginti teises, pagal kurią „asmuo, kuris dėl agentūros veiksmų patyrė neigiamų teisinių padarinių, nukentėjo arba jo padėtis pablogėjo“, turi teisę kreiptis dėl teisminės peržiūros (400). Tai apima galimybę prašyti, kad teismas „agentūros veiksmus, sprendimus ir išvadas, kurie, kaip nustatyta <...> yra šališki, savavališki, kilę iš piktnaudžiavimo įgaliojimais ar kitaip neatitinka įstatymų, pripažintų neteisėtais ir panaikintų“ (401). Pavyzdžiui, 2015 m. federalinis apeliacinis teismas dėl pagal APA pateikto ieškinio priėmė sprendimą, kad JAV vyriausybės masinis telefonijos metaduomenų rinkimas nebuvo leidžiamas pagal FISA 501 straipsnį (402).

(199)

Galiausiai, be 176–198 konstatuojamosiose dalyse nurodytų teisių gynimo būdų, kiekvienas asmuo turi teisę prašyti leisti susipažinti su esamais federalinių agentūrų įrašais pagal FOIA, įskaitant atvejus, kai juose yra to asmens duomenų (403). Gavus tokią galimybę taip pat gali būti lengviau iškelti bylą bendrosios kompetencijos teismuose, be kita ko, tai gali padėti įrodyti „patirtą žalą“. Agentūros gali neatskleisti informacijos, kuriai taikomos tam tikros išvardytos išimtys, įskaitant galimybę susipažinti su įslaptinta nacionalinio saugumo informacija ir su teisėsaugos tyrimais susijusia informacija (404), tačiau skundą pateikę asmenys, kurių netenkina atsakymas, turi galimybę jį užginčyti prašydami administracinės ir vėliau teisminės peržiūros (federaliniuose teismuose) (405).

(200)

Iš to, kas išdėstyta, darytina išvada, kad kai JAV teisėsaugos ir nacionalinio saugumo institucijos susipažįsta su asmens duomenimis, kuriems taikomas šis sprendimas, toks susipažinimas su duomenimis reglamentuojamas pagal teisinę sistemą, kurioje nustatytos sąlygos, pagal kurias galimybė susipažinti su duomenimis gali būti suteikta, ir kuriuo užtikrinama, kad su duomenimis susipažįstama ir jie toliau naudojami tik tiek, kiek būtina ir proporcinga atsižvelgiant į siekiamą viešojo intereso tikslą. Šiomis apsaugos priemonėmis gali remtis asmenys, turintys teisę į veiksmingą teisių gynimą.

(201)

Komisija mano, kad Jungtinės Amerikos Valstijos, taikydamos JAV Prekybos departamento paskelbtus Principus, užtikrina pagal ES ir JAV duomenų privatumo sistemą iš Sąjungos sertifikuotoms organizacijoms Jungtinėse Amerikos Valstijose perduodamų asmens duomenų apsaugos lygį, kuris yra iš esmės lygiavertis Reglamentu (ES) 2016/679 užtikrinamai apsaugai.

(202)

Be to, Komisija mano, kad veiksmingas Principų taikymas užtikrinamas skaidrumo įpareigojimais ir Prekybos departamento administruojama DPS. Be to, JAV teisėje numatytais priežiūros mechanizmais ir teisių gynimo būdais apskritai sudaromos sąlygos praktiškai nustatyti duomenų apsaugos taisyklių pažeidimus ir už juos taikyti sankcijas, o duomenų subjektui suteikiama teisių gynimo priemonių, kad jis galėtų gauti galimybę susipažinti su asmens duomenimis, kurie yra susiję su juo, ir galiausiai ištaisyti ar ištrinti tokius duomenis.

(203)

Galiausiai, remdamasi turima informacija apie JAV teisinę tvarką, įskaitant VI ir VII prieduose pateikiamą informaciją, Komisija mano, kad bet koks JAV valdžios institucijų vykdomas asmenų, kurių asmens duomenys iš Sąjungos perduodami į Jungtines Amerikos Valstijas pagal ES ir JAV duomenų privatumo sistemą, pagrindinių teisių ribojimas viešojo intereso tikslais, visų pirma baudžiamosios teisėsaugos ir nacionalinio saugumo tikslais, bus griežtai apribojamas jį taikant tik tada, kai būtina atitinkamam teisėtam tikslui pasiekti, ir kad egzistuoja veiksminga teisinė apsauga tokio ribojimo atžvilgiu. Todėl, atsižvelgiant į pirmiau pateiktas išvadas, turėtų būti nuspręsta, kad Jungtinės Amerikos Valstijos užtikrina tinkamą asmens duomenų, perduodamų iš Europos Sąjungos pagal ES ir JAV duomenų privatumo sistemą sertifikuotoms organizacijoms, apsaugos lygį, kaip nustatyta Reglamento (ES) 2016/679 45 straipsnyje, aiškinamame atsižvelgiant į Europos Sąjungos pagrindinių teisių chartiją.

(204)

Atsižvelgiant į tai, kad VP 14086 nustatyti apribojimai, apsaugos priemonės ir teisių gynimo mechanizmas yra esminiai JAV teisinės sistemos, kuria remiasi Komisijos vertinimas, elementai, šio sprendimo priėmimas visų pirma priklauso nuo to, ar visos JAV žvalgybos agentūros patvirtino atnaujintą VP 14086 įgyvendinimo politiką bei procedūras ir ar Sąjunga teisių gynimo mechanizmo tikslais paskelbta reikalavimus atitinkančia organizacija atitinkamai 2023 m. liepos 3 d. (žr. 126 konstatuojamąją dalį) ir 2023 m. birželio 30 d. (žr. 176 konstatuojamąją dalį.).

(205)

Valstybės narės ir jų institucijos privalo imtis priemonių, kurios yra būtinos siekiant užtikrinti atitiktį Sąjungos institucijų aktams, nes preziumuojama, kad Sąjungos institucijų aktai yra teisėti, todėl sukelia teisinių pasekmių, kol nėra pripažinti netekusiais galios, panaikinti patenkinus ieškinį dėl panaikinimo, paskelbti negaliojančiais išnagrinėjus prašymą priimti prejudicinį sprendimą arba neteisėtumu grindžiamą prieštaravimą.

(206)

Todėl Komisijos sprendimas dėl tinkamumo, kurį ji priėmė pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį, yra privalomas visoms valstybių narių, kurioms yra skirtas, institucijoms, įskaitant tų valstybių narių nepriklausomas priežiūros institucijas. Visų pirma Sąjungoje esantys duomenų valdytojai arba duomenų tvarkytojai duomenis sertifikuotoms organizacijoms Jungtinėse Amerikos Valstijose gali perduoti be papildomo leidimo.

(207)

Reikėtų priminti, kad pagal Reglamento (ES) 2016/679 58 straipsnio 5 dalį ir kaip išaiškinta Teisingumo Teismo sprendime Schrems (406), jeigu nacionalinei duomenų apsaugos institucijai kyla klausimų, be kita ko, kai pateikiamas skundas, dėl Komisijos sprendimo dėl tinkamumo derėjimo su asmens pagrindinėmis teisėmis į privatumą ir duomenų apsaugą, nacionalinėje teisėje jai turi būti numatyta teisinė teisių gynimo priemonė, kad ji šiuos prieštaravimus galėtų pareikšti nacionaliniame teisme, o šiam gali reikėti pateikti Teisingumo Teismui prašymą priimti prejudicinį sprendimą (407).

(208)

Remiantis Teisingumo Teismo praktika (408), ir, kaip pripažįstama Reglamento (ES) 2016/679 45 straipsnio 4 dalyje, Komisija po sprendimo dėl tinkamumo priėmimo turėtų nuolat stebėti atitinkamus pokyčius trečiojoje valstybėje, kad įvertintų, ar ta trečioji valstybė vis dar užtikrina iš esmės lygiavertį apsaugos lygį. Tokia patikra turi būti atliekama visais atvejais, kai Komisija gauna informacijos, dėl kurios jai šiuo atžvilgiu kyla pagrįstų abejonių.

(209)

Todėl Komisija turėtų nuolat stebėti su šiame sprendime įvertinta asmens duomenų tvarkymo teisine sistema ir faktine praktika susijusią padėtį Jungtinėse Amerikos Valstijose. Kad palengvintų šį procesą, JAV valdžios institucijos turėtų nedelsdamos informuoti Komisiją apie esminius JAV teisinės tvarkos pokyčius, kurie turi poveikio pagal šį sprendimą reglamentuojamai teisinei sistemai, taip pat apie bet kokius praktikos, susijusios su šiame sprendime įvertintu asmens duomenų tvarkymu, pokyčius, kiek tai susiję su sertifikuotų organizacijų Jungtinėse Amerikos Valstijose vykdomu asmens duomenų tvarkymu, taip pat apribojimais ir apsaugos priemonėmis, taikomais valdžios institucijoms susipažįstant su asmens duomenimis.

(210)

Be to, tam, kad Komisija galėtų veiksmingai vykdyti stebėsenos funkciją, valstybės narės turėtų Komisijai pranešti apie visus susijusius veiksmus, kurių ėmėsi nacionalinės duomenų apsaugos institucijos, visų pirma dėl Sąjungos duomenų subjektų užklausų ar skundų, susijusių su asmens duomenų perdavimu iš Sąjungos sertifikuotoms organizacijoms Jungtinėse Amerikos Valstijose. Komisijai taip pat reikėtų pranešti apie bet kokius požymius, kad JAV valdžios institucijų, atsakingų už nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą už jas, arba atsakingų už nacionalinį saugumą, įskaitant visas priežiūros įstaigas, veiksmais reikiamo lygio apsauga neužtikrinama.

(211)

Taikydama Reglamento (ES) 2016/679 (409) 45 straipsnio 3 dalį, Komisija, priėmus šį sprendimą, turėtų periodiškai peržiūrėti, ar su Jungtinių Amerikos Valstijų pagal ES ir JAV DPS užtikrinamo apsaugos lygio tinkamumu susijusios išvados vis dar yra faktiškai ir teisiškai pagrįstos. Kadangi visų pirma VP 14086 ir GP reglamente reikalaujama sukurti naujus mechanizmus ir įgyvendinti naujas apsaugos priemones, šis sprendimas pirmą kartą turėtų būti peržiūrėtas per vienus metus nuo įsigaliojimo, siekiant patikrinti, ar visi susiję elementai yra visiškai įgyvendinti ir veiksmingai veikia praktiškai. Po pirmosios peržiūros, atsižvelgdama į jos rezultatus, Komisija, glaudžiai konsultuodamasi su pagal Reglamento (ES) 2016/679 93 straipsnio 1 dalį įsteigtu komitetu ir Europos duomenų apsaugos valdyba, nuspręs, kaip dažnai ateityje reikia atlikti peržiūras (410).

(212)

Kad atliktų peržiūras, Komisija turėtų susitikti su Prekybos departamento, FPK ir Transporto departamento, taip pat prireikus su kitų departamentų ir agentūrų, dalyvaujančių įgyvendinant ES ir JAV DPS, atstovais, o dėl klausimų, susijusių su valdžios sektoriaus galimybe susipažinti su duomenimis, – su Teisingumo departamento, ODNI (įskaitant CLPO), kitų žvalgybos bendruomenės subjektų ir DPRC atstovais, taip pat specialiaisiais advokatais. Turėtų būti suteiktos galimybės tokiame susitikime dalyvauti Europos duomenų apsaugos valdybos atstovams.

(213)

Peržiūros turėtų apimti visus šio sprendimo veikimo aspektus, susijusius su asmens duomenų tvarkymu Jungtinėse Amerikos Valstijose, visų pirma Principų taikymą ir įgyvendinimą, ypatingą dėmesį skiriant toliau perduodant duomenis taikomoms apsaugos priemonėms; atitinkamiems teismų praktikos pokyčiams; naudojimosi asmens teisėmis veiksmingumui; stebėsenai, kaip laikomasi Principų, ir užtikrinimui, kad jų būtų laikomasi; taip pat apribojimams ir apsaugos priemonėms, susijusiems su valdžios sektoriaus galimybėmis susipažinti su informacija, visų pirma VP 14086 nustatytų apsaugos priemonių įgyvendinimui ir taikymui, be kita ko, taikant žvalgybos agentūrų parengtą politiką ir procedūras; VP 14086 ir FISA 702 straipsnio bei VP 12333 sąveikai ir priežiūros mechanizmų bei teisių gynimo priemonių veiksmingumui (įskaitant naujo teisių gynimo mechanizmo, nustatyto pagal VP 14086, veikimą). Atliekant tokias peržiūras dėmesys bus skiriamas ir DAI bei Jungtinių Amerikos Valstijų kompetentingų institucijų bendradarbiavimui, įskaitant gairių ir kitų aiškinamųjų priemonių, susijusių su Principų taikymu ir kitais sistemos veikimo aspektais, rengimą.

(214)

Remdamasi peržiūra, Komisija turėtų parengti viešą ataskaitą, kuri bus teikiama Europos Parlamentui ir Tarybai.

(215)

Jeigu iš turimos informacijos, ypač iš informacijos, surinktos vykdant šio sprendimo įgyvendinimo stebėseną arba pateiktos JAV arba valstybių narių valdžios institucijų, paaiškėja, kad tinkamas pagal šį sprendimą perduodamų duomenų apsaugos lygis galbūt jau neužtikrinamas, Komisija turėtų nedelsdama apie tai informuoti kompetentingas JAV institucijas ir paprašyti per nustatytą pagrįstą terminą imtis tinkamų priemonių.

(216)

Jeigu pasibaigus tam nustatytam terminui kompetentingos JAV institucijos nesiima tokių priemonių arba kitaip įtikinamai neįrodo, kad šis sprendimas ir toliau grindžiamas tinkamu apsaugos lygiu, Komisija pradės Reglamento (ES) 2016/679 93 straipsnio 2 dalyje nurodytą procedūrą, siekdama iš dalies arba visiškai sustabdyti šio sprendimo galiojimą arba jį panaikinti.

(217)

Kita vertus, Komisija pradės tą procedūrą siekdama iš dalies pakeisti sprendimą, visų pirma nustatydama, kad duomenų perdavimui turi būti taikomos papildomos sąlygos, arba apribodama išvadą dėl duomenų apsaugos tinkamumo taip, kad ji būtų taikoma tik tokiam duomenų perdavimui, kurį vykdant ir toliau užtikrinama tinkamo lygio apsauga.

(218)

Komisija galiojimo sustabdymo arba panaikinimo procedūrą visų pirma turėtų pradėti, jeigu:

(219)

Komisija taip pat turėtų apsvarstyti galimybę pradėti procedūrą dėl šio sprendimo pakeitimo, galiojimo sustabdymo ar panaikinimo, jeigu JAV kompetentingos institucijos nepateikia informacijos arba paaiškinimų, kurie yra būtini norint įvertinti užtikrinamą iš Sąjungos į Jungtines Amerikos Valstijas perduodamų asmens duomenų apsaugos lygį arba tai, kaip laikomasi šio sprendimo. Šiuo atžvilgiu Komisija turėtų atsižvelgti į tai, kiek atitinkamos informacijos galima gauti iš kitų šaltinių.

(220)

Dėl tinkamai pagrįstų skubos priežasčių, pvz., jei VP 14086 arba GP reglamentas būtų iš dalies pakeisti taip, kad būtų sumažintas šiame sprendime apibūdintas apsaugos lygis, arba generalinis prokuroras atšauks Sąjungos pripažinimą teisių gynimo mechanizmo tikslais reikalavimus atitinkančia organizacija, Komisija pasinaudos galimybe laikydamasi Reglamento (ES) 2016/679 93 straipsnio 3 dalyje nurodytos procedūros priimti nedelsiant taikytinus įgyvendinimo aktus, kuriais sustabdomas šio sprendimo galiojimas, šis sprendimas panaikinamas arba iš dalies keičiamas.

(221)

Europos duomenų apsaugos valdyba paskelbė savo nuomonę (411), į kurią buvo atsižvelgta rengiant šį sprendimą.

(222)

Europos Parlamentas priėmė rezoliuciją dėl ES ir JAV duomenų privatumo sistema užtikrinamos apsaugos tinkamumo (412).

(223)

Šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2016/679 93 straipsnio 1 dalį įsteigto komiteto nuomonę,