(1)

Ar Regulu (ES) 2016/679 (2) ir paredzēti noteikumi, saskaņā ar kuriem Savienībā esoši pārziņi vai apstrādātāji var nosūtīt personas datus trešām valstīm un starptautiskām organizācijām, ciktāl šāda nosūtīšana ietilpst regulas piemērošanas jomā. Noteikumi par datu starptautisko nosūtīšanu ir izklāstīti minētās regulas V nodaļā. Lai gan personas datu plūsma uz valstīm ārpus Eiropas Savienības un no tām ir būtiska pārrobežu tirdzniecības un starptautiskās sadarbības paplašināšanas nodrošināšanai, datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām nedrīkst samazināt Savienībā nodrošināto personas datu aizsardzības līmeni (3).

(2)

Atbilstīgi Regulas (ES) 2016/679 45. panta 3. punktam Komisija ar īstenošanas aktu var nolemt, ka trešā valsts, trešās valsts teritorija vai viens vai vairāki konkrēti sektori nodrošina pietiekamu aizsardzības līmeni. Saskaņā ar šo nosacījumu personas datus var nosūtīt uz trešo valsti bez nepieciešamības saņemt jebkādu turpmāku atļauju, kā paredzēts Regulas (ES) 2016/679 45. panta 1. punktā un 103. apsvērumā.

(3)

Kā norādīts Regulas (ES) 2016/679 45. panta 2. punktā, lēmums par aizsardzības līmeņa pietiekamību jāpieņem, pamatojoties uz visaptverošu trešās valsts tiesību sistēmas analīzi, gan attiecībā uz noteikumiem, kas piemērojami datu saņēmējiem, gan attiecībā uz ierobežojumiem un garantijām saistībā ar publisko iestāžu piekļuvi personas datiem. Komisijai novērtējumā jānosaka, vai attiecīgā trešā valsts garantē aizsardzības līmeni, kurš “pēc būtības ir līdzvērtīgs” Savienībā nodrošinātajam (Regulas (ES) 2016/679 104. apsvērums). Vai tas tā ir, ir jāvērtē, ņemot vērā Savienības tiesību aktus, jo īpaši Regulu (ES) 2016/679, kā arī Eiropas Savienības Tiesas (Tiesas) judikatūru (4).

(4)

Kā Tiesa paskaidroja 2015. gada 6. oktobra spriedumā lietā C-362/14 Maximillian Schrems / Data Protection Commissioner (5) (Schrems), nav jākonstatē identisks aizsardzības līmenis. Konkrēti, attiecīgās trešās valsts izmantotie līdzekļi personas datu aizsardzībai var atšķirties no Savienībā izmantotajiem, ja vien tie praksē efektīvi nodrošina pietiekamu aizsardzības līmeni (6). Tāpēc aizsardzības līmeņa pietiekamības standarts neparedz Savienības noteikumu precīzu atkārtošanu. Drīzāk ir jāpārbauda, vai attiecīgās valsts tiesību sistēma spēj nodrošināt nepieciešamo aizsardzības līmeni, ņemot vērā tiesību uz privātumu būtību un to efektīvu īstenošanu, uzraudzību un izpildi (7). Turklāt saskaņā ar minēto spriedumu, piemērojot šo standartu, Komisijai jo īpaši būtu jānovērtē, vai attiecīgās trešās valsts tiesiskajā regulējumā ir paredzēti noteikumi, kuru mērķis ir ierobežot iespējamo iejaukšanos to personu pamattiesībās, kuru dati no Savienības ir nosūtīti uz attiecīgo valsti, – iejaukšanos, ko šīs valsts struktūras ir tiesīgas praktizēt, ja tā kalpo leģitīmam mērķim (piemēram, nacionālā drošība) un vai ir nodrošināta efektīva tiesiskā aizsardzība pret šāda veida iejaukšanos (8). Šajā saistībā norādījumi sniegti arī Eiropas Datu aizsardzības kolēģijas Pietiekamības atsaucēs, kuru mērķis ir sīkāk precizēt šo standartu (9).

(5)

Piemērojamo standartu attiecībā uz šādu iejaukšanos pamattiesībās uz privātumu un datu aizsardzību Tiesa precizēja 2020. gada 16. jūlija spriedumā lietā C-311/18 Data Protection Commissioner / Facebook Ireland Limited and Maximillian Schrems (“Schrems II”), ar kuru tika atzīts par spēkā neesošu Komisijas Īstenošanas lēmums (ES) 2016/1250 (10) par iepriekšējo transatlantisko datu plūsmas sistēmu – ES un ASV privātuma vairogu (privātuma vairogs). Tiesa uzskatīja, ka personas datu aizsardzības ierobežojumi, kas izriet no ASV iekšējā tiesiskā regulējuma par ASV publisko iestāžu piekļuvi no Savienības uz Amerikas Savienotajām Valstīm drošības nolūkos nosūtītiem personas datiem un šādu datu izmantošanu, nav ierobežoti tādā veidā, lai atbilstu prasībām, kas būtībā ir līdzvērtīgas tām, kuras Savienības tiesību aktos ir izvirzītas attiecībā uz šādu iejaukšanos tiesībās uz datu aizsardzību nepieciešamību un samērīgumu (11). Tiesa arī uzskatīja, ka tas nesniedz iestādē izmantojamus tiesību aizsardzības līdzekļus, kas personām, kuru dati tiek nosūtīti uz ASV, sniegtu garantijas, kas būtībā ir līdzvērtīgas tām, kuras ir prasītas Hartas 47. pantā par tiesībām uz efektīvu tiesību aizsardzību (12).

(6)

Pēc sprieduma lietā Schrems II Komisija uzsāka sarunas ar ASV valdību par iespējamu jaunu lēmumu par aizsardzības līmeņa pietiekamību, kas atbilstu Regulas (ES) 2016/679 45. panta 2. punkta prasībām, kā to interpretējusi Tiesa. Šo diskusiju rezultātā ASV 2022. gada 7. oktobrī pieņēma izpildrīkojumu Nr. 14086 “Drošības pasākumu uzlabošana ASV sakaru izlūkošanas darbībām” (IR Nr. 14086), ko papildina ASV Ģenerālprokurora izdotie noteikumi par Datu aizsardzības pārskatīšanas tiesu (“ĢP noteikumi”) (13). Turklāt ir atjaunināts regulējums, kas attiecas uz komercsabiedrībām, kuras apstrādā datus, kas nosūtīti no Savienības saskaņā ar šo lēmumu, – “ES un ASV datu privātuma regulējums” (“ES un ASV DPR” jeb “DPR”).

(7)

Komisija ir rūpīgi izvērtējusi ASV tiesību aktus un praksi, tajā skaitā IR Nr. 14086 un ĢP noteikumus. Pamatojoties uz konstatējumiem, kas izklāstīti 9.–200. apsvērumā, Komisija secina, ka Amerikas Savienotās Valstis nodrošina pietiekamu to personas datu aizsardzības līmeni, kas no Savienībā esoša pārziņa vai apstrādātāja (14) tiek nosūtīti sertificētām Amerikas Savienoto Valstu organizācijām saskaņā ar ES un ASV DPR.

(8)

Saskaņā ar šo lēmumu nav jāsaņem nekāda turpmāka atļauja datu nosūtīšanai no Savienībā iedibinātiem pārziņiem un apstrādātājiem (15) sertificētām organizācijām ASV. Tas neietekmē Regulas (ES) 2016/679 tiešu piemērošanu šādām organizācijām, ja ir izpildīti minētās regulas 3. pantā paredzētie nosacījumi attiecībā uz tās teritoriālo darbības jomu.

(9)

ES un ASV DPR pamatā ir sertifikācijas sistēma, kuras ietvaros organizācijas ASV apņemas ievērot ASV Tirdzniecības ministrijas (DoC) izdoto un šā lēmuma I pielikumā iekļauto privātuma principu kopumu – ES un ASV datu privātuma regulējumu, ieskaitot papildprincipus (kopā saukti “Principi”) (16). Lai varētu saņemt sertifikāciju saskaņā ar ES un ASV DPR, uz organizāciju jāattiecina Federālās tirdzniecības komisijas (FTC) vai ASV Satiksmes ministrijas (DoT) izmeklēšanas un izpildes pilnvaras (17). DPR principus sāk piemērot uzreiz pēc sertifikācijas. Kā sīkāk paskaidrots 48.–52. apsvērumā, ES un ASV DPR organizācijām katru gadu ir atkārtoti jāiegūst sertifikācija, ka tās ievēro DPR principus (18).

(10)

Aizsardzība, ko nodrošina ES un ASV DPR attiecas uz visiem personas datiem, kas no Savienības tiek nosūtīti ASV esošām organizācijām, kuras ir apliecinājušas, ka atbilst DPR principiem DoC, izņemot datus, kas ir savākti publicēšanai, pārraidīšanai vai citām žurnālistikas materiālu publiskas paziņošanas formām, kā arī informāciju iepriekš publicētos materiālos, kas tiek izplatīti no mediju arhīviem (19). Tāpēc šādu informāciju nevar nosūtīt, pamatojoties uz ES un ASV DPR.

(11)

DPR principos personas dati ir definēti tāpat kā Regulā (ES) 2016/679, t. i., kā “jebkādā formā reģistrēti dati, kas attiecas uz identificētu vai identificējamu personu, kura ietilpst VDAR darbības jomā un ko organizācija Amerikas Savienotajās Valstīs ir saņēmusi no ES.” (20) Attiecīgi tie attiecas arī uz pseidonimizētiem (jeb ar šifru kodētiem) pētniecības datiem (arī gadījumos, kad atslēga netiek izpausta ASV saņēmējai organizācijai) (21). Tāpat personas datu “apstrāde” ir definēta kā “jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrēšana, sakārtošana, glabāšana, pielāgošana vai pārveidošana, izgūšana, skatīšana, izmantošana, izpaušana vai izplatīšana un dzēšana vai iznīcināšana.” (22)

(12)

ES un ASV DPR attiecas uz organizācijām ASV, kas kvalificējamas kā pārziņi (t. i., kā persona vai organizācija, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus) (23) vai apstrādātāji (t. i., pārstāvji, kas darbojas pārziņa vārdā) (24). ASV iedibinātiem apstrādātājiem ir jābūt līgumiski saistītiem rīkoties tikai saskaņā ar ES pārziņa norādījumiem un palīdzēt tam sniegt atbildes fiziskām personām, kas īsteno savas tiesības atbilstoši DPR principiem (25). Turklāt, ja apstrādi veic apakšuzņēmums, apstrādātājam ir jānoslēdz līgums ar apakšapstrādātāju, kas garantē tādu pašu aizsardzības līmeni, ko nodrošina DPR principi, un jāveic darbības, lai nodrošinātu tā pienācīgu īstenošanu (26).

(13)

Personas dati būtu jāapstrādā likumīgi un godprātīgi. Personas dati būtu jāvāc konkrētā nolūkā un pēc tam tos var izmantot, ja šāda izmantošana nav nesaderīga ar apstrādes nolūku.

(14)

Saskaņā ar ES un ASV DPR tas tiek nodrošināts, izmantojot dažādus DPR principus. Pirmkārt, saskaņā ar datu integritātes un nolūka ierobežošanas principu, līdzīgi kā saskaņā ar Regulas (ES) 2016/679 5. panta 1. punkta b) apakšpunktu, organizācija nedrīkst apstrādāt personas datus veidā, kas ir nesaderīgs ar nolūku, kuram tie sākotnēji vākti vai kuram datu subjekts pēc tam atļāvis tos izmantot (27).

(15)

Otrkārt, lai personas datus izmantotu jaunam (mainītam) nolūkam, kas ir būtiski atšķirīgs, bet joprojām saderīgs ar sākotnējo nolūku, vai izpaustu tos trešai personai, organizācijai ir jānodrošina datu subjektiem iespēja iebilst (atteikties) saskaņā ar izvēles principu (28), izmantojot skaidru, pamanāmu un viegli pieejamu mehānismu. Svarīgi, ka šis princips neaizstāj skaidro aizliegumu attiecībā uz nesaderīgu apstrādi (29).

(16)

Būtu vajadzīgas īpašas garantijas gadījumos, kad tiek apstrādāti “īpašu kategoriju” dati.

(17)

Saskaņā ar izvēles principu īpašas garantijas piemēro “sensitīvas informācijas” apstrādei, t. i., personas datiem, kas ietver medicīniskos datus vai datus par veselības stāvokli, norāda personas rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībā vai ietver datus par fiziskās personas seksuālo dzīvi vai jebkādu citu informāciju, kas saņemta no trešās personas un ko šī persona identificē un uzskata par sensitīvu (30). Tas nozīmē, ka jebkurus datus, kas saskaņā ar Savienības datu aizsardzības tiesību aktiem tiek uzskatīti par sensitīviem (arī datus par seksuālo orientāciju, ģenētiskos datus un biometriskos datus), sertificētās organizācijas uzskatīs par sensitīviem saskaņā ar ES un ASV DPR.

(18)

Parasti organizācijām no fiziskām personām ir jāsaņem apstiprinoša un nepārprotama piekrišana, lai izmantotu sensitīvu informāciju citiem nolūkiem, nevis tiem, kuriem tā sākotnēji tika vākta vai kuriem to vēlāk atļāvusi persona (ar piekrišanu), vai lai izpaustu to trešām personām (31).

(19)

Šāda piekrišana nav jāsaņem noteiktos apstākļos, kas ir līdzīgi Savienības datu aizsardzības tiesību aktos paredzētajiem izņēmumiem, piemēram, ja sensitīvu datu apstrāde ir personas sevišķi svarīgās interesēs; vajadzīga, lai celtu likumīgas prasības; vajadzīga, lai sniegtu medicīnisko aprūpi vai noteiktu diagnozi (32).

(20)

Datiem vajadzētu būt precīziem un nepieciešamības gadījumā atjauninātiem. Tiem vajadzētu būt arī adekvātiem, atbilstīgiem un nevajadzētu būt pārmērīgiem, ņemot vērā nolūkus, kādos tie tiek apstrādāti, un tie principā nebūtu jāglabā ilgāk nekā nepieciešams nolūkiem, kādos personas datus apstrādā.

(21)

Saskaņā ar datu integritātes un nolūka ierobežojumu principu (33) personas dati ir jāierobežo tādā apmērā, lai tie atbilstu apstrādes nolūkam. Ciktāl tas ir vajadzīgs apstrādes nolūkiem, organizācijai jāveic samērīgi pasākumi, lai nodrošinātu, ka personas dati saistībā ar paredzētajiem nolūkiem ir ticami, precīzi, pilnīgi un atjaunināti.

(22)

Turklāt personas datus var glabāt formā, kas identificē fizisku personu vai padara tās identificēšanu iespējamu, (un tādējādi personas datu formā) (34) tikai tik ilgi, kamēr tas nepieciešams nolūkam(-iem), kam dati sākotnēji tika vākti vai ko fiziskā persona vēlāk atļāva saskaņā ar izvēles principu. Šis pienākums neliedz organizācijām turpināt apstrādāt personas datus ilgāku laiku, bet tikai tik ilgi un tādā mērā, ciktāl šāda apstrāde ir pamatota ar vienu vai vairākiem šādiem īpašiem nolūkiem, kas ir pielīdzināmi Savienības datu aizsardzības tiesību aktos paredzētajiem izņēmumiem: arhivēšana sabiedrības interesēs, žurnālistika, literatūra un māksla, zinātniskā un vēstures pētniecība un statistiskā analīze (35). Ja personas dati tiek saglabāti kādam no šiem nolūkiem, uz to apstrādi attiecas DPR principos paredzētie aizsardzības pasākumi (36).

(23)

Personas dati arī būtu jāapstrādā tā, ka tiek nodrošināta to drošība, kas ietver aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai bojāšanu. Tālab pārziņiem un apstrādātājiem būtu jāveic atbilstoši tehniskie vai organizatoriskie pasākumi, lai aizsargātu personas datus no iespējamiem apdraudējumiem. Šie pasākumi būtu jāizvērtē, ņemot vērā jaunākos sasniegumus, saistītās izmaksas un apstrādes raksturu, apjomu, kontekstu un nolūkus, kā arī riskus attiecībā uz fizisku personu tiesībām.

(24)

Saskaņā ar ES un ASV DPR to garantē drošības princips, kas, līdzīgi kā noteikts Regulas (ES) 2016/679 32. pantā, paredz veikt saprātīgus un atbilstīgus drošības pasākumus, ņemot vērā ar apstrādi saistītos riskus un datu veidu (37).

(25)

Datu subjektiem vajadzētu būt informētiem par viņu personas datu apstrādes galvenajām iezīmēm.

(26)

Tas tiek nodrošināts ar paziņošanas principu (38), kas, līdzīgi kā Regulā (ES) 2016/679 noteiktās pārredzamības prasības, paredz, ka organizācijām ir pienākums informēt datu subjektus cita starpā par i) organizācijas dalību DPR, ii) savākto datu veidu, iii) apstrādes nolūku, iv) to trešo personu veidu vai identitāti, kurām personas dati var tikt izpausti, un šādas izpaušanas nolūkiem, v) viņu individuālajām tiesībām, vi) saziņas veidiem ar organizāciju un vii) pieejamajiem tiesiskās aizsardzības līdzekļiem.

(27)

Šis paziņojums ir jāsniedz skaidrā un viegli saprotamā valodā, kad fiziskas personas pirmo reizi tiek lūgtas sniegt personas datus vai cik drīz vien iespējams pēc tam, bet jebkurā gadījumā pirms dati tiek izmantoti būtiski atšķirīgam (bet saderīgam) nolūkam, nevis tam, kādam tie tika vākti, vai pirms tie tiek izpausti trešai personai (39).

(28)

Papildus tam organizācijām ir jāpublisko sava privātuma politika, kas atspoguļo DPR principus (vai – cilvēkresursu datu gadījumā – jānodrošina, lai tā būtu viegli pieejama attiecīgajām fiziskajām personām), un jānodrošina saites uz DoC tīmekļa vietni (ar plašāku informāciju par sertifikāciju, datu subjektu tiesībām un pieejamajiem tiesību aizsardzības mehānismiem), datu privātuma regulējuma sarakstu (DPR saraksts), kurā uzskaitītas iesaistītās organizācijas, un atbilstoša strīdu alternatīvas izšķiršanas pakalpojumu sniedzēja tīmekļa vietni (40).

(29)

Datu subjektiem būtu jābūt noteiktām tiesībām, kas ir īstenojamas attiecībā uz pārzini vai apstrādātāju, jo īpaši tiesībām piekļūt datiem, tiesībām iebilst pret apstrādi un tiesībām panākt datu labošanu vai dzēšanu.

(30)

Šādas tiesības fiziskām personām nodrošina ES un ASV DPR piekļuves princips (41). Jo īpaši datu subjektiem ir tiesības bez pamatojuma iegūt no organizācijas apstiprinājumu par to, vai tā apstrādā ar viņiem saistītus personas datus, saņemt informāciju par šiem datiem un iegūt informāciju par apstrādes nolūku, apstrādājamo personas datu kategorijām un tiem saņēmējiem (vai to saņēmēju kategorijām), kuriem dati tiek izpausti (42). Organizācijām ir pienākums atbildēt uz piekļuves pieprasījumiem samērīgā termiņā (43). Organizācija var noteikt saprātīgus ierobežojumus attiecībā uz to, cik reižu noteiktā laikposmā tiks izpildīti konkrētas fiziskas personas piekļuves pieprasījumi, un var iekasēt maksu, kas nav pārmērīga, piemēram, ja pieprasījumi ir acīmredzami pārmērīgi, jo īpaši to atkārtošanās dēļ (44).

(31)

Piekļuves tiesības var ierobežot tikai ārkārtas apstākļos, kas ir līdzīgi Savienības datu aizsardzības tiesību aktos paredzētajiem, jo īpaši, ja ar šādu piekļuvi tiktu pārkāptas citu personu likumīgās tiesības; ja piekļuves nodrošināšanas slogs vai izdevumi būtu nesamērīgi ar riskiem, kas konkrētajā gadījumā apdraud fiziskas personas privātumu (lai gan, nosakot, vai piekļuves nodrošināšana ir saprātīga, izdevumi un slogs nav noteicošie faktori); ciktāl informācijas izpaušana varētu būt pretrunā svarīgu sabiedrības interešu aizsardzībai, piemēram, nacionālajai drošībai, sabiedrības drošībai vai aizsardzībai; ja informācija satur konfidenciālu komercinformāciju vai informācija tiek apstrādāta tikai pētniecības vai statistikas nolūkos (45). Jebkādam tiesību izmantošanas atteikumam vai ierobežojumam ir nepieciešams obligāts un pienācīgs pamatojums, un organizācijas pienākums ir pierādīt, ka šīs prasības ir izpildītas (46). Veicot šo novērtējumu, organizācijai ir jo īpaši jāņem vērā fiziskās personas intereses (47). Ja informāciju ir iespējams nošķirt no citiem datiem, uz kuriem attiecas kāds ierobežojums, organizācijai aizsargātā informācija ir jārediģē un pārējā informācija jāatklāj (48).

(32)

Turklāt datu subjektiem ir tiesības panākt neprecīzu datu labošanu vai grozīšanu, kā arī to datu dzēšanu, kas apstrādāti, pārkāpjot DPR principus (49). Turklāt, kā paskaidrots 15. apsvērumā, fiziskām personām ir tiesības iebilst pret savu datu apstrādi, ja to veic nolūkos, kas būtiski atšķiras no (bet ir saderīgi ar) nolūkiem, kādiem dati tika vākti, un pret savu datu izpaušanu trešām personām. Ja personas dati tiek izmantoti tiešās tirgvedības nolūkos, fiziskām personām ir vispārīgas tiesības jebkurā laikā atteikties no to apstrādes (50).

(33)

DPR principos nav konkrēti skatīts jautājums par lēmumiem, kuri skar datu subjektu un ir balstīti vienīgi uz personas datu apstrādi automatizētā veidā. Tomēr attiecībā uz personas datiem, kas vākti Savienībā, ikvienu lēmumu, pamatojoties uz automatizētu apstrādi, parasti pieņems Savienībā esošs pārzinis (kam ir tieša saistība ar attiecīgo datu subjektu), un tam attiecīgi piemēro Regulu (ES) 2016/679 (51). Tas ietver nosūtīšanas scenārijus, kuros apstrādi veic ārvalstu (piemēram, ASV) uzņēmējs, kas rīkojas kā pārstāvis (apstrādātājs) Savienībā esoša pārziņa vārdā (vai kā apakšapstrādātājs, kas rīkojas Savienībā esoša apstrādātāja vārdā, kurš ir saņēmis datus no Savienībā esoša pārziņa, kas tos savācis), kurš uz šā pamata pieņem lēmumu.

(34)

To apstiprināja pētījums, ko Komisija pasūtīja 2018. gadā saistībā ar otro ikgadējo privātuma vairoga darbības pārskatu (52), kurā secināts, ka tolaik nebija pierādījumu, kas liecinātu, ka privātuma vairoga organizācijas parasti veic automatizētu lēmumu pieņemšanu, pamatojoties uz personas datiem, kas nosūtīti saskaņā ar privātuma vairogu.

(35)

Jebkurā gadījumā attiecība uz jomām, kurās uzņēmumi visdrīzāk izmantotu personas datu automatizētu apstrādi, lai pieņemtu lēmumus, kas skar atsevišķu fizisku personu (piemēram, aizdevumu izsniegšana, hipotēku piedāvājumi, nodarbinātība, mājokļi un apdrošināšana), ASV tiesību aktos ir paredzēta īpaša aizsardzība pret nelabvēlīgiem lēmumiem (53). Šajos tiesību aktos parasti noteikts, ka fiziskām personām ir tiesības tikt informētām par īpašiem iemesliem, kas ir lēmuma pamatā (piemēram, atteikums izsniegt kredītu), lai apstrīdētu nepilnīgu vai neprecīzu informāciju (kā arī paļaušanos uz nelikumīgiem elementiem), un pieprasīt tiesisko aizsardzību. Patērētāju kreditēšanas jomā Likumā par godīgu kredītinformāciju (FCRA) un Likumā par vienlīdzīgām kreditēšanas iespējām (ECOA) ir ietverti aizsardzības pasākumi, kas patērētājiem nodrošina zināmas tiesības saņemt paskaidrojumu un apstrīdēt lēmumu. Šie tiesību akti attiecas uz daudzām jomām, tajā skaitā kreditēšanu, nodarbinātību, mājokļiem un apdrošināšanu. Turklāt daži diskriminācijas novēršanas likumi, piemēram, Pilsonisko tiesību likuma (Civil Rights Act) VII sadaļa un Likums par taisnīgumu mājokļu jautājumos (Fair Housing Act), nodrošina fiziskām personām aizsardzību attiecībā uz automatizētā lēmumu pieņemšanā izmantotajiem modeļiem, kas varētu izraisīt diskrimināciju noteiktu pazīmju dēļ, un piešķir fiziskām personām tiesības apstrīdēt šādus (arī automatizētos) lēmumus. Attiecībā uz veselības informāciju Likuma par veselības apdrošināšanas datu pārnesamību un pārskatatbildību (HIPAA) privātuma noteikumos ir paredzētas noteiktas tiesības, kas ir līdzīgas Regulā (ES) 2016/679 paredzētajām tiesībām attiecībā uz piekļuvi personas veselības informācijai. Turklāt ASV iestāžu norādījumu dokumentā noteikts, ka medicīnas pakalpojumu sniedzējiem ir jāsaņem informācija, kas tiem dod iespēju informēt fiziskas personas par medicīnas nozarē izmantotajām automatizētajām lēmumu pieņemšanas sistēmām (54).

(36)

Tāpēc šie noteikumi nodrošina aizsardzību, kas ir līdzīga aizsardzībai, ko nodrošina Savienības datu aizsardzības tiesību akti, maz ticamajā situācijā, kad automatizētus lēmumus pieņemtu pati ES un ASV DPR organizācija.

(37)

Aizsardzības līmeni, kāds piešķirts personas datiem, kurus no Savienības nosūta organizācijām Amerikas Savienotajās Valstīs, nedrīkst samazināt šādu datu tālāka nosūtīšana saņēmējiem Amerikas Savienotajās Valstīs vai citā trešā valstī.

(38)

Saskaņā ar atbildības par tālāku nosūtīšanu principu (55) īpašus noteikumus piemēro tā sauktajai “tālākai nosūtīšanai”, proti ES un ASV DPR organizācijas veiktai personas datu nosūtīšanai pārzinim vai apstrādātājam, kas ir trešā persona, neatkarīgi no tā, vai pēdējais minētais atrodas Amerikas Savienotajās valstīs vai trešā valstī ārpus Amerikas Savienotajām Valstīm (un Savienības). Jebkura tālāka nosūtīšana var notikt tikai i) ierobežotos un konkrētos nolūkos, ii) pamatojoties uz līgumu starp ES un ASV DPR organizāciju un trešo personu (56) (vai salīdzināmu vienošanos uzņēmumu grupā (57)), un iii) tikai tad, ja šajā līgumā ir noteikts, ka trešā persona nodrošina tādu pašu aizsardzības līmeni, kādu garantē DPR principi.

(39)

Šis pienākums nodrošināt tādu pašu aizsardzības līmeni, kādu garantē DPR principi, lasīti kopā ar datu integritātes un nolūka ierobežojuma principu, konkrēti nozīmē, ka trešā persona drīkst apstrādāt tai nosūtītos personas datus tikai tādiem nolūkiem, kas nav nesaderīgi ar nolūkiem, kādiem tie ir vākti vai kādiem tos fiziskā persona vēlāk atļāvusi (saskaņā ar izvēles principu).

(40)

Atbildības par tālāku nosūtīšanu princips būtu jālasa saistībā ar paziņošanas principu un gadījumā, kad tiek veikta tālāka nosūtīšana pārzinim, kas ir trešā persona (58), – ar izvēles principu, saskaņā ar kuru datu subjekti ir jāinformē (cita starpā) par jebkura saņēmēja – trešās personas tipu/identitāti, tālākas nosūtīšanas nolūku, kā arī par piedāvāto izvēli un iespēju iebilst (atteikums) pret tālāku nosūtīšanu vai sensitīvu datu gadījumā – nepieciešamību sniegt “skaidru piekrišanu” (piekrišana) tālākai nosūtīšanu.

(41)

Pienākums nodrošināt tādu pašu aizsardzības līmeni, kādu nosaka DPR principi, attiecas uz visām trešām personām, kas iesaistītas šādi nosūtītu datu apstrādē, neatkarīgi no to atrašanās vietas (ASV vai citā trešā valstī), kā arī uz gadījumiem, kad sākotnējais saņēmējs, kas ir trešā persona, nosūta minētos datus citam saņēmējam, kurš ir trešā persona, piemēram, apakšapstrādes nolūkiem.

(42)

Visos gadījumos līgumā ar saņēmēju, kas ir trešā persona, ir jāparedz, ka saņēmējs informē ES un ASV DPR organizāciju, ja tas konstatē, ka vairs nevar izpildīt savu pienākumu. Ja tas tiek konstatēts, trešajai personai jāpārtrauc apstrāde vai ir jāveic citi pamatoti un atbilstoši pasākumi, lai labotu situāciju (59).

(43)

Papildu aizsardzība ir piemērojama gadījumā, kad tiek veikta tālāka nosūtīšana pārstāvim (t. i., apstrādātājam), kas ir trešā persona. Šādā gadījumā ASV organizācijai ir jānodrošina, ka pārstāvis rīkojas tikai saskaņā ar tās norādījumiem, un jāveic pamatoti un atbilstoši pasākumi, lai i) nodrošinātu, ka pārstāvis faktiski apstrādā nosūtītos personas datus veidā, kas saskan ar organizācijas saistībām atbilstoši DPR principiem, un ii) lai, saņemot paziņojumu, apturētu un labotu neatļautu apstrādi (60). DoC var pieprasīt, lai organizācija iesniedz līguma privātuma noteikumu kopsavilkumu vai to reprezentatīvu kopiju (61). Ja (apakš)apstrādes ķēdē rodas noteikumu ievērošanas problēmas, principā atbildību nes organizācija, kas darbojas kā personas datu pārzinis, kā to paredz tiesību aizsardzības, izpildes un atbildības princips, izņemot gadījumus, kad tā pierāda, ka nav atbildīga par kaitējumu izraisījušo notikumu (62).

(44)

Saskaņā ar pārskatatbildības principu vienībām, kas apstrādā datus, ir jāievieš atbilstoši tehniskie un organizatoriskie pasākumi, lai tās efektīvi izpildītu savus datu aizsardzības pienākumus, un jāspēj pierādīt šādu izpildi, konkrēti – kompetentajai uzraudzības iestādei.

(45)

Tiklīdz organizācija ir brīvprātīgi nolēmusi iegūt sertifikāciju (63) saskaņā ar ES un ASV DPR, tās faktiskā atbilstība DPR principiem ir obligāta un izpildāma. Saskaņā ar tiesību aizsardzības, izpildes un atbildības principu (64) ES un ASV DPR organizācijām ir jānodrošina iedarbīgi mehānismi, ar ko nodrošināt atbilstību DPR principiem. Organizācijām arī jāveic pasākumi, lai apliecinātu (65), ka to publicētā privātuma politika atbilst DPR principiem un faktiski tiek ievērota. To var īstenot vai nu ar pašnovērtēšanas sistēmu, kurā jāiekļauj iekšējās procedūras, ar ko tiek nodrošināts, ka darbinieki tiek apmācīti saistībā ar organizācijas privātuma politikas virzieniem un ka atbilstība tiek regulāri objektīvi pārbaudīta, vai arī ārējām atbilstības pārbaudēm, kuru metodes var iekļaut revīzijas vai izlases veida pārbaudes, vai arī tehnoloģisku rīku izmantošanu.

(46)

Turklāt organizācijām ir jāsaglabā uzskaites dati par ES un ASV DPR prakses īstenošanu un pēc pieprasījuma tie jādara pieejami neatkarīgai strīdu izšķiršanas struktūrai vai kompetentajai izpildes iestādei, ja tiek veikta izmeklēšana vai iesniegta sūdzība par neatbilstību (66).

(47)

ES un ASV DPR pārvaldīs un pārraudzīs DoC. Regulējums paredz pārraudzības un izpildes mehānismus, lai pārbaudītu un nodrošinātu, ka ES un ASV DPR organizācijas ievēro DPR principus un ka tiek novērsta to neievērošana. Šie mehānismi ir izklāstīti DPR principos (I pielikums) un saistībās, ko uzņēmusies DoC (III pielikums), FTC (IV pielikums) un DoT (V pielikums).

(48)

Lai iegūtu sertifikāciju saskaņā ar ES un ASV DPR (vai katru gadu veiktu atkārtotu sertifikāciju), organizācijām ir publiski jāpaziņo par apņemšanos ievērot DPR principus, jādara pieejama sava privātuma politika un tā pilnībā jāīsteno (67). Iesniedzot (atkārtotas) sertifikācijas pieteikumu, organizācijām ir jāiesniedz DoC informācija, kas cita starpā ietver attiecīgās organizācijas nosaukumu, aprakstu par nolūkiem, kādos organizācija apstrādās personas datus, personas dati, uz kuriem attieksies sertifikācija, kā arī informāciju par izvēlēto pārbaudes metodi, attiecīgo neatkarīgo tiesību aizsardzības mehānismu un oficiālo iestādi, kuras jurisdikcijā ir nodrošināt atbilstību DPR principiem (68).

(49)

Organizācijas var saņemt personas datus, pamatojoties uz ES un ASV DPR, no dienas, kad DoC tās ir iekļāvusi DPR sarakstā. Lai nodrošinātu juridisko noteiktību un izvairītos no “viltus apgalvojumiem”, organizācijām, kas sertifikāciju iegūst pirmo reizi, nav atļauts publiski atsaukties uz to, ka tās ievēro DPR principus, pirms DoC nav konstatējusi, ka organizācijas sertifikācijas pieteikums ir pilnīgs, un iekļāvusi organizāciju DPR sarakstā (69). Lai varētu turpināt izmantot ES un ASV DPR personas datu saņemšanai no Savienības, šādai organizācijai ik gadu ir atkārtoti jāsertificē sava dalība regulējuma īstenošanā. Ja organizācija kāda iemesla dēļ izstājas no ES un ASV DPR, tai ir jādzēš visi paziņojumi, kas norāda, ka organizācija turpina piedalīties regulējuma īstenošanā (70).

(50)

Kā atspoguļots III pielikumā izklāstītajās saistībās, DoC pārbaudīs, vai organizācijas atbilst visām sertifikācijas prasībām un ir ieviesušas (publisku) privātuma politiku, kurā ietverta saskaņā ar paziņošanas principu prasītā informācija (71). Pamatojoties uz pieredzi, kas gūta (atkārtotas) sertifikācijas procesā saskaņā ar privātuma vairogu, DoC veiks vairākas pārbaudes, tajā skaitā pārbaudīs, vai organizāciju privātuma politikās ir hipersaite uz pareizo sūdzību iesniegšanas veidlapu attiecīgā strīdu izšķiršanas mehānisma tīmekļa vietnē un, ja sertifikācijas pieteikumā ir iekļautas vairākas vienas organizācijas struktūras un meitasuzņēmumi, vai visu šo struktūru privātuma politikas atbilst sertifikācijas prasībām un ir viegli pieejamas datu subjektiem (72). Turklāt vajadzības gadījumā DoC veiks savstarpējas pārbaudes ar FTC un DoT, lai pārliecinātos, ka uz organizācijām attiecas to (atkārtotas) sertifikācijas pieteikumos norādītā pārraudzības struktūra, un sadarbosies ar strīdu alternatīvas izšķiršanas struktūrām, lai pārliecinātos, ka organizācijas ir reģistrētas to (atkārtotas) sertifikācijas pieteikumos norādītajā neatkarīgajā tiesību aizsardzības mehānismā (73).

(51)

DoC informēs organizācijas, ka, lai pabeigtu (atkārtotu) sertifikāciju, tām ir jānovērš visas pārbaudē konstatētās problēmas. Ja organizācija nesniedz atbildi DoC noteiktajā termiņā (piemēram, attiecībā uz atkārtotu sertifikāciju būtu sagaidāms, ka šis process tiks pabeigts 45 dienu laikā) (74) vai sertifikāciju nepabeidz citu iemeslu dēļ, pieteikums tiek uzskatīts par atsauktu. Šādā gadījumā saistībā ar jebkādu sagrozītu informāciju par dalību vai atbilstību ES un ASV DPR FTC vai DoT var veikt izpildes panākšanas darbības (75).

(52)

Lai nodrošinātu atbilstīgu ES un ASV DPR piemērošanu, ieinteresētajām personām, piemēram, datu subjektiem, datu nosūtītājiem un valsts datu aizsardzības iestādēm (DAI) jābūt spējīgām identificēt tās organizācijas, kuras ievēro DPR principus. Lai nodrošinātu šādu pārredzamību “ieejas punktā”, DoC ir apņēmusies uzturēt un darīt sabiedrībai pieejamu to organizāciju sarakstu, kuras ir sertificējušas savu atbilstību DPR principiem un ir vismaz vienas no šā lēmuma IV un V pielikumā minētajām izpildes iestādēm jurisdikcijā (76). DoC atjauninās sarakstu, pamatojoties uz organizācijas ikgadējo atkārtotas sertifikācijas pieteikumu, kā arī ikreiz, kad organizācija izstāsies vai tiks izslēgta no ES un ASV DPR. Turklāt, lai garantētu pārredzamību arī “izejas punktā”, DoC uzturēs un darīs pieejamu sabiedrībai to organizāciju sarakstu, kas svītrotas no saraksta, un katrā ziņā norādīs šādas svītrošanas iemeslu (77). Visbeidzot, tā norādīs saiti uz FTC tīmekļa vietni, kas veltīta ES un ASV DPR, kurā būs uzskaitītas regulējumā paredzētās FTC izpildes panākšanas darbības (78).

(53)

DoC, izmantojot dažādus mehānismus, pastāvīgi uzraudzīs, vai ES un ASV DPR organizācijas faktiski ievēro DPR principus (79). Jo īpaši tā veiks nejauši izvēlētu organizāciju izlases veida pārbaudes, kā arī konkrētu organizāciju izlases veida pārbaudes uz vietas, ja tiks konstatētas iespējamas atbilstības problēmas (piemēram, par kurām DoC ziņojušas trešās personas), lai pārbaudītu, vai i) ir pieejams(-i) kontaktpunkts(-i), kas izskata sūdzības un datu subjektu pieprasījumus; vai ii) organizācijas privātuma politika ir viegli pieejama gan tās tīmekļa vietnē, gan ar hipersaiti DoC tīmekļa vietnē; vai iii) organizācijas privātuma politika joprojām atbilst sertifikācijas prasībām, un vai iv) organizācijas izvēlētais neatkarīgais strīdu izšķiršanas mehānisms ir pieejams sūdzību izskatīšanai (80).

(54)

Ja pastāvēs ticami pierādījumi, ka organizācija nepilda savas saistības saskaņā ar ES un ASV DPR (arī gadījumā, ja DoC saņem sūdzības vai organizācija sniedz neapmierinošas atbildes uz DoC jautājumiem), DoC prasīs, lai organizācija aizpilda un iesniedz detalizētu anketu (81). Par organizācijām, kas laikus un apmierinoši neatbildēs uz anketas jautājumiem, tiks ziņots attiecīgajai iestādei (FTC vai DoT), lai tās veiktu iespējamas izpildes panākšanas darbības (82). Veicot atbilstības uzraudzības darbības saskaņā ar privātuma vairogu, DoC regulāri veica 53. apsvērumā minētās izlases veida pārbaudes un nepārtraukti uzraudzīja publiskos paziņojumus, kas ļāva tai identificēt, risināt un novērst atbilstības problēmas (83). Organizācijas, kuras pastāvīgi pārkāps DPR principus, tiks dzēstas no DPR saraksta, un tām būs jānodod atpakaļ vai jāizdzēš regulējuma ietvaros saņemtie personas dati (84).

(55)

Citos dzēšanas gadījumos, piemēram, brīvprātīga izstāšanās vai atkārtotas sertifikācijas neveikšanas gadījumā, organizācijai dati ir vai nu jāizdzēš, vai jāatgriež, vai jāsaglabā, ja tā DoC katru gadu apliecina savu apņemšanos turpināt piemērot DPR principus vai nodrošina pietiekamu personas datu aizsardzību citā atļautā veidā (piemēram, izmantojot līgumu, kurā ir pilnībā atspoguļotas attiecīgo līguma standartklauzulu prasības, kuras apstiprinājusi Komisija) (85). Tādā gadījumā organizācijai ir jānorāda arī organizācijas kontaktpunkts attiecībā uz visiem ar ES un ASV DPR saistītajiem jautājumiem.

(56)

DoC uzraudzīs jebkādus nepatiesus apgalvojumus par dalību ES un ASV DPR vai ES un ASV DPR sertifikācijas zīmes neatbilstošu izmantošanu gan ex officio, gan pamatojoties uz sūdzībām (piemēram, kas saņemtas no DAI) (86). Jo īpaši DoC pastāvīgi pārbaudīs, vai organizācijas, kas i) izstājas no dalības ES un ASV DPR, ii) neveic ikgadējo atkārtoto sertifikāciju (t. i., vai nu sāka, bet savlaicīgi nepabeidza ikgadējās atkārtotās sertifikācijas procesu, vai pat nebija sākušas ikgadējo atkārtotās sertifikācijas procesu), iii) ir izslēgtas no dalības noteikumu “pastāvīgas neievērošanas” dēļ vai iv) nav pabeigušas sākotnējo sertifikāciju (t. i., sāka, bet savlaicīgi nepabeidza sākotnējās sertifikācijas procesu), no jebkuras attiecīgās publicētās privātuma politikas svītro atsauces uz ES un ASV DPR, kas norāda, ka attiecīgā organizācija aktīvi piedalās regulējuma īstenošanā (87). DoC arī veiks meklējumus tīmeklī, lai identificētu atsauces uz ES un ASV DPR organizāciju privātuma politikā, ieskaitot lai identificētu organizāciju, kuras nekad nav piedalījušās ES un ASV DPR, nepatiesus apgalvojumus (88).

(57)

Ja DoC konstatēs, ka atsauces uz ES un ASV DPR nav dzēstas vai ir izmantotas nepareizi, tā informēs organizāciju par iespējamo vēršanos FTC/DoT (89). Ja organizācija atbildi nesniegs, DoC jautājumu nodos attiecīgajai iestādei, lai tā veiktu iespējamas izpildes panākšanas darbības (90). FTC, DoT vai citas attiecīgās ASV izpildes iestādes var veikt izpildes panākšanas darbības, ja organizācija, sniedzot maldinošus paziņojumus vai īstenojot maldinošu praksi, sniedz sabiedrībai sagrozītu informāciju, ka ievēro DPR principus. Ja DoC tiek sniegta sagrozīta informācija, piemērojami izpildes pasākumi saskaņā ar Likumu par nepatiesu ziņu sniegšanu (18 U.S.C. § 1001).

(58)

Lai nodrošinātu, ka arī praksē tiek garantēts pietiekams datu aizsardzības līmenis, vajadzētu būt izveidotai neatkarīgai uzraudzības iestādei, kurai uzticētas pilnvaras uzraudzīt un nodrošināt datu aizsardzības noteikumu izpildi.

(59)

ES un ASV DPR organizācijām ir jābūt pakļautām ASV kompetento iestāžu – FTC un DoT – jurisdikcijai, kurām ir nepieciešamās izmeklēšanas un izpildes panākšanas pilnvaras, lai efektīvi nodrošinātu atbilstību DPR principiem (91).

(60)

FTC ir neatkarīga iestāde, ko veido pieci komisāri, kurus ieceļ priekšsēdētājs ar Senāta ieteikumu un piekrišanu (92). Komisārus ieceļ uz septiņiem gadiem, un priekšsēdētājs viņus var atcelt no amata tikai par nerezultatīvu sniegumu, pienākumu nepildīšanu vai ļaunprātīgu rīcību, pildot amata pienākumus. FTC nedrīkst būt vairāk kā trīs komisāri no vienas politiskās partijas, un komisāri laikā, kad tie ir šajā amatā, nedrīkst nodarboties ar citu uzņēmējdarbību, strādāt citā profesijā vai algotā darbā.

(61)

FTC var izmeklēt atbilstību DPR principiem, kā arī nepatiesus apgalvojumus par DPR principu ievērošanu vai dalību ES un ASV DPR, ko sniedz organizācijas, kuras vai nu vairs nav iekļautas DPR sarakstā, vai arī nekad nav saņēmušas attiecīgu sertifikātu (93). FTC var panākt atbilstību, pieprasot administratīvos vai federālās tiesas rīkojumus (arī “piekrišanas rīkojumus”, kas panākti izlīguma ceļā) (94) par pagaidu vai pastāvīgiem aizliegumiem vai citiem koriģējošiem pasākumiem, un sistemātiski uzraudzīs šādu rīkojumu izpildi (95). Ja organizācijas šādus rīkojumus neievēro, FTC var nodot lietu tiesai, lai piemērotu civiltiesiskus sodus un citus tiesiskās aizsardzības līdzekļus, tajā skaitā par jebkādu kaitējumu prettiesiskas rīcības rezultātā. Katrā ES un ASV DPR organizācijai izdotā piekrišanas rīkojumā būs nosacījumi par patstāvīgu ziņošanu (96), un organizācijām būs jāpublisko visas attiecīgās ar ES un ASV DPR saistītās sadaļas, kas iekļautas jebkurā FTC iesniegtajā atbilstības vai novērtējuma ziņojumā. Visbeidzot, FTC uzturēs tiešsaistes sarakstu ar organizācijām, kurām ES un ASV DPR lietās piemēroti FTC vai tiesas rīkojumi (97).

(62)

Attiecībā uz privātuma vairogu FTC ir sākusi izpildes panākšanas darbības aptuveni 22 gadījumos gan saistībā ar konkrētu regulējuma prasību pārkāpumiem (piemēram, ja organizācija nav apstiprinājusi DoC, ka turpina piemērot privātuma vairoga aizsardzību pēc izstāšanās no tā, vai ja, veicot pašnovērtējumu vai ārēju atbilstības pārbaudi, nav pārbaudīts, vai organizācija ievēro minēto regulējumu) (98), gan saistībā ar nepatiesiem apgalvojumiem par dalību regulējumā (piemēram, organizācijas, kas nav veikušas nepieciešamos pasākumus, lai iegūtu sertifikāciju, vai ir pieļāvušas to sertifikācijas izbeigšanos, bet, sagrozot informāciju, norādījušas, ka turpina dalību) (99). Šīs izpildes panākšanas darbības citu starpā izrietēja no proaktīvas administratīvu pavēstu izmantošanas ar nolūku iegūtu materiālus no konkrētiem privātuma vairoga dalībniekiem, lai pārbaudītu, vai nav pieļauti būtiski privātuma vairoga pienākumu pārkāpumi (100).

(63)

Plašākā skatījumā FTC pēdējos gados ir īstenojusi izpildes panākšanas darbības vairākās lietās attiecībā uz atbilstību konkrētām arī ES un ASV DPR noteiktajām datu aizsardzības prasībām, piemēram, attiecībā uz nolūka ierobežojuma un datu saglabāšanas principiem (101), datu minimizēšanu (102), datu drošību (103) un datu precizitāti (104).

(64)

DoT ir ekskluzīvas pilnvaras regulēt aviosabiedrību īstenoto privātuma praksi, un kopā ar FTC tai ir jurisdikcija attiecībā uz biļešu pārdevēju piemēroto privātuma praksi gaisa transporta pakalpojumu pārdošanas jomā. DoT amatpersonas vispirms cenšas panākt izlīgumu un, ja tas nav iespējams, var uzsākt izpildes procedūru, kas ietver pierādījumu izskatīšanu, ko veic DoT administratīvo tiesību tiesnesis, kurš ir pilnvarots izdot rīkojumus par darbības pārtraukšanu un noteikt civiltiesiskus sodus (105). Administratīvo tiesību tiesnešiem, lai nodrošinātu viņu neatkarību un objektivitāti, Administratīvā procesa likumā (APA) ir paredzēti vairāki aizsardzības līdzekļi. Piemēram, viņus var atlaist tikai ar pamatotu iemeslu; lietas viņiem tiek piešķirtas rotācijas kārtībā; viņi nedrīkst veikt pienākumus, kas nav savietojami ar viņu pienākumiem un atbildību kā administratīvo tiesību tiesnešiem; viņi nav pakļauti iestādes, kura viņus nodarbina (šajā gadījumā – DoT) izmeklēšanas komandas uzraudzībai; viņiem lietas ir jāiztiesā un izpildes funkcijas jāīsteno, ievērojot objektivitāti (106). DoT ir apņēmusies uzraudzīt izpildes rīkojumus un nodrošināt, lai ES un ASV DPR lietās izdotie rīkojumi būtu pieejami tās tīmekļa vietnē (107).

(65)

Lai nodrošinātu pietiekamu aizsardzību un jo īpaši individuālo tiesību īstenošanu, datu subjektam vajadzētu būt pieejamiem efektīviem administratīvajiem un tiesiskajiem aizsardzības līdzekļiem.

(66)

ES un ASV DPR, piemērojot tiesību aizsardzības, izpildes un atbildības principu, paredz, ka organizācijām jānodrošina tiesību aizsardzības līdzekļi fiziskām personām, kuras ietekmē neatbilstība, un tādējādi Savienības datu subjektiem ir iespēja iesniegt sūdzības par ES un ASV DPR organizāciju neatbilstību un vajadzības gadījumā panākt šo sūdzību atrisināšanu ar lēmumu, ar kuru nodrošina efektīvu tiesiskās aizsardzības līdzekli (108). Sertifikācijas ietvaros organizācijām jāievēro šā principa prasības, paredzot iedarbīgus un viegli pieejamus neatkarīgus tiesību aizsardzības mehānismus, ar kuriem katras fiziskās personas sūdzības un strīdus var izmeklēt un efektīvi atrisināt, neradot izmaksas fiziskajai personai (109).

(67)

Organizācijas var izvēlēties neatkarīgu tiesību aizsardzības mehānismu Savienībā vai Amerikas Savienotajās Valstīs. Kā sīkāk skaidrots 73. apsvērumā, tas ietver iespēju brīvprātīgi apņemties sadarboties ar ES DAI. Ja organizācijas apstrādā cilvēkresursu datus, šāda apņemšanās sadarboties ar ES DAI ir obligāta. Citas alternatīvas ietver neatkarīgas strīdu alternatīvas izšķiršanas mehānismus vai privātajā sektorā izstrādātas privātuma programmas, kuru noteikumos iekļauti DPR principi. Šādās programmās jāietver efektīvi izpildes mehānismi saskaņā ar tiesību aizsardzības, izpildes un atbildības principa prasībām.

(68)

Attiecīgi ES un ASV DPR paredz datu subjektiem vairākas iespējas īstenot savas tiesības, iesniegt sūdzības par ES un ASV DPR organizāciju neatbilstību un panākt viņu sūdzību izskatīšanu, ja nepieciešams, pieņemot lēmumu par efektīvu tiesisko aizsardzību. Fiziskas personas var iesniegt sūdzību tieši organizācijai, neatkarīgas strīdu izšķiršanas struktūrai, kuru izraudzījusies organizācija, valstu DAI, DoC vai FTC. Gadījumos, kad viņu sūdzības nav atrisinātas, izmantojot jebkuru no šiem tiesību aizsardzības vai izpildes mehānismiem, personām ir arī tiesības pieprasīt šķīrējtiesu, kuras lēmums ir saistošs (šā lēmuma I pielikumam pievienoto I pielikumu). Izņemot šķīrējtiesas kolēģiju, kuras gadījumā vispirms ir jāizmanto daži tiesiskās aizsardzības līdzekļi, pirms var pieprasīt šķīrējtiesu, fiziskās personas pēc savas izvēles var brīvi izvēlēties jebkuru vai visus tiesiskās aizsardzības mehānismus, un tām nav pienākuma izdarīt izvēli par labu vienam vai otram mehānismam vai ievērojot noteiktu secību.

(69)

Pirmkārt, Savienības datu subjekti var sekot ar neatbilstību DPR principiem saistītajām lietām, tieši sazinoties ar ES un ASV DPR organizācijām (110). Lai sekmētu strīdu izšķiršanu, organizācijai ir jāievieš efektīvs tiesiskās aizsardzības mehānisms šādu sūdzību izskatīšanai. Tādēļ organizācijas privātuma politikai ir skaidri jāinformē fiziskas personas par kontaktpunktu organizācijā vai ārpus tās, kas izskatīs sūdzības (tajā skaitā jebkuru atbilstīgu iestādi Savienībā, kura var atbildēt uz pieprasījumiem vai sūdzībām), kā arī par izraudzīto neatkarīgas strīdu izšķiršanas struktūru (sk. 70. apsvērumu). Saņemot fiziskas personas sūdzību – gan tieši no pašas fiziskās personas, gan ar DoC starpniecību, kad DAI ir nodevusi to izskatīšanai, organizācijai ir jāsniedz atbilde Savienības datu subjektam 45 dienu laikā (111). Tāpat organizācijām ir nekavējoties jāatbild uz jautājumiem un citiem informācijas pieprasījumiem no DoC vai DAI (112) (gadījumos, kad organizācija ir uzņēmusies saistības sadarboties ar DAI) saistībā ar to, kā tās ievēro DPR principus.

(70)

Otrkārt, personas var iesniegt sūdzību tieši organizācijas norīkotai neatkarīgai strīdu izšķiršanas struktūrai (Amerikas Savienotajās Valstīs vai Savienībā), kas izmeklē un risina fizisku personu sūdzības (ja vien tās nav acīmredzami nepamatotas vai nenozīmīgas) un nodrošina personai atbilstīgu tiesību aizsardzību bez maksas (113). Šādas struktūras piemērotām sankcijām un tiesiskās aizsardzības līdzekļiem ir jābūt pietiekami stingriem, lai nodrošinātu organizāciju atbilstību DPR principiem, un jāparedz organizācijas veikta neatbilstības ietekmes novēršana vai koriģēšana un, atkarībā no apstākļiem, turpmākas attiecīgo datu apstrādes pārtraukšana un/vai to dzēšana, kā arī neatbilstības konstatējumu publicēšana (114). Organizācijas norīkotām neatkarīgām strīdu izšķiršanas struktūrām savās publiskajās tīmekļa vietnēs ir jāiekļauj relevantā informācija par ES un ASV DPR un pakalpojumiem, ko tās sniedz saskaņā ar šo regulējumu (115). Tām katru gadu ir jāpublicē gada ziņojums, kurā sniegta kopējā statistika par šiem pakalpojumiem (116).

(71)

Veicot atbilstības pārbaudes procedūras, DoC var pārbaudīt, vai ES un ASV DPR organizācijas patiešām ir reģistrētas tādos neatkarīgos tiesību aizsardzības mehānismos, kurus tās norādījušas (117). Gan organizācijām, gan atbildīgajiem neatkarīgajiem tiesību aizsardzības mehānismiem ir jāspēj nekavējoties atbildēt uz DoC jautājumiem un informācijas pieprasījumiem saistībā ar ES un ASV DPR. DoC sadarbosies ar neatkarīgiem tiesību aizsardzības mehānismiem, lai pārbaudītu, vai tie savās tīmekļa vietnēs iekļauj informāciju par DPR principiem un par pakalpojumiem, ko tie sniedz saskaņā ar ES un ASV DPR, un vai tie publicē gada pārskatus (118).

(72)

Gadījumos, kad organizācija neievēro strīdu izšķiršanas vai pašregulējuma struktūras nolēmumu, struktūrai par šādu neievērošanu ir jāinformē DoC un FTC (vai cita ASV iestāde ar piekritību izmeklēt organizācijas neatbilstību), vai kompetenta tiesa (119). Ja organizācija atsakās ievērot jebkuras privātuma pašregulējuma, neatkarīgas strīdu izšķiršanas vai valdības iestādes galīgo lēmumu vai gadījumā, ja šāda iestāde konstatē, ka organizācija bieži neievēro DPR principus, to var uzskatīt par pastāvīgu neizpildi, kā rezultātā DoC, vispirms informējot organizāciju, kura nav ievērojusi DPR principus, un dodot tai iespēju 30 dienu laikā atbildēt, svītros šo organizāciju no DPR saraksta (120). Ja pēc svītrošanas no saraksta organizācija turpinās apgalvot, ka ir sertificēta ES un ASV DPR, DoC vērsīsies pie FTC vai citas izpildes iestādes (121).

(73)

Treškārt, arī fiziskas personas Savienībā var vērsties ar sūdzībām valsts DAI, kuras var izmantot izmeklēšanas un tiesību aizsardzības pilnvaras, kuras tām piešķirtās saskaņā ar Regulu (ES) 2016/679. Organizācijām ir pienākums sadarboties, kad DAI veic izmeklēšanu un risina sūdzību – gan tad, ja tā attiecas uz cilvēkresursu datu apstrādi, kuri savākti saistībā ar darba tiesiskajām attiecībām, gan tad, ja attiecīgā organizācija ir brīvprātīgi piekritusi pārraudzībai, ko veic DAI (122). Jo īpaši organizācijām ir jāatbild uz pieprasījumiem, jāievēro DAI sniegtie ieteikumi, tajā skaitā par tiesiskās aizsardzības vai kompensācijas pasākumiem, un jāsniedz DAI rakstveida apstiprinājums par šādu rīcību (123). Ja DAI sniegtie ieteikumi netiek ņemti vērā, DAI šādas lietas nodod DoC (kas organizācijas var svītrot no ES un ASV DPR saraksta) vai, ja nepieciešama izpildes panākšanas darbība, lietas tiek nodotas FTC vai DoT (nesadarbošanās ar DAI un principu neievērošana ir aizliegta saskaņā ar ASV likumiem) (124).

(74)

Lai veicinātu sadarbību efektīvas sūdzību izskatīšanas nolūkā, gan DoC, gan FTC ir izveidojušas īpašu kontaktpunktu, kas ir atbildīgs par tiešu saziņu ar DAI (125). Šie kontaktpunkti sniedz atbalstu saistībā ar DAI pieprasījumiem par organizācijas atbilstību DPR principiem.

(75)

DAI sagatavotos ieteikumus (126) sniedz pēc tam, kad abām strīdā iesaistītajām pusēm ir bijusi pienācīga iespēja sniegt piezīmes un uzrādīt visus pierādījumus, ko tās vēlas. Attiecīgā komisija var sniegt ieteikumus, cik vien drīz to atļaus prasība par pienācīgu izskatīšanu un parasti 60 dienu laikā pēc sūdzības saņemšanas (127). Ja organizācija 25 dienu laikā pēc ieteikuma sniegšanas to neievēro un nesniedz pienācīgu paskaidrojumu par kavēšanos, komisija var paziņot par tās nodomu vai nu iesniegt lietu FTC (vai citai kompetentai ASV izpildes iestādei), vai arī secināt, ka sadarbošanās saistības ir ievērojami pārkāptas. Pirmajā gadījumā rezultāts var būt izpildes panākšanas darbība saskaņā ar FTC likuma 5. pantu (vai līdzīgu tiesību aktu) (128). Otrajā gadījumā komisija informēs DoC, kas organizācijas atteikumu ievērot DAI komisijas ieteikumu uzskatīs par pastāvīgu pārkāpumu, kā rezultātā organizācija tiks svītrota no DPR saraksta.

(76)

Ja DAI, kurai sūdzība ir adresēta, sūdzības atrisināšanas nolūkā nav rīkojusies vai ir rīkojusies nepietiekami, attiecīgajam sūdzības iesniedzējam ir iespēja apstrīdēt šādu (bez)darbību attiecīgās ES dalībvalsts vietējās tiesās.

(77)

Personas var arī iesniegt sūdzību DAI pat tad, ja DAI komisija nav norīkota kā organizācijas strīdu izšķiršanas struktūra. Šādos gadījumos DAI var pārsūtīt šādas sūdzības DoC vai FTC. Lai atvieglotu un pastiprinātu sadarbību jautājumos, kas saistīti ar fizisku personu iesniegtām sūdzībām un ES un ASV DPR organizāciju neatbilstību, DoC izveidos īpašu kontaktpunktu, kas darbosies kā sadarbības koordinators un palīdzēs veikt DAI pieprasījumus par organizācijas atbilstību DPR principiem (129). Tāpat īpašu kontaktpunktu ir apņēmusies izveidot FTC (130).

(78)

Ceturtkārt, DoC ir apņēmusies saņemt, izskatīt un darīt visu iespējamo, lai izskatītu sūdzības par organizācijas neatbilstību DPR principiem (131). Šajā nolūkā DoC nodrošina īpašas procedūras DAI, lai nodotu sūdzības izskatīšanai speciālam kontaktpunktam, izsekotu tās un turpinātu saziņu ar organizācijām, lai sekmētu sūdzību risināšanu (132). Lai paātrinātu fizisku personu iesniegtu sūdzību apstrādi, kontaktpunkts sazinās tieši ar attiecīgo DAI par atbilstības jautājumiem un īpaši informē to par sūdzību statusu periodā, kas nepārsniedz 90 dienas pēc nodošanas izskatīšanai (133). Tas ļauj datu subjektiem iesniegt sūdzības par ES un ASV DPR organizāciju neatbilstību tieši savas valsts DAI un nodrošina, ka tās tiek pārsūtītas DoC kā ASV iestādei, kas pārvalda ES un ASV DPR.

(79)

Ja, pamatojoties uz pārbaudēm, kas veiktas ex officio, sūdzībām vai jebkādu citu informāciju, DoC secinās, ka organizācija ir pastāvīgi pārkāpusi DPR principus, tā dzēsīs šādu organizāciju no DPR saraksta (134). Atteikums ievērot jebkādas privātuma pašregulējuma, neatkarīgas strīdu izšķiršana vai valsts struktūras (tajā skaitā DAI) galīgo lēmumu, tiks uzskatīts par pastāvīgu pārkāpumu (135).

(80)

Piektkārt, ES un ASV DPR organizācijai ir jābūt pakļautai ASV kompetento iestāžu (jo īpaši FTC (136)) jurisdikcijai, kurām ir nepieciešamās izmeklēšanas un izpildes panākšanas pilnvaras, lai efektīvi nodrošinātu atbilstību DPR principiem. FTC prioritārā kārtā izskatīs pieprasījumus par neatbilstību DPR principiem, kuri saņemti no neatkarīgām strīdu izšķiršanas vai pašregulējuma struktūrām, DoC un DAI (rīkojoties pēc pašu iniciatīvas vai saskaņā ar sūdzībām) nosakot, vai ir pārkāpts FTC likuma 5. pants (137). FTC ir uzņēmusies saistības izstrādāt standartizētu nodošanas izskatīšanai procedūru, norīkot iestādē kontaktpunktu DAI nodoto lietu izskatīšanai un apmainīties ar informāciju par izskatīšanai nodotajām lietām. Turklāt tā var pieņemt sūdzības tieši no fiziskām personām un pēc savas iniciatīvas veikt ar ES un ASV DPR saistītu izmeklēšanu, jo īpaši kā daļu no plašākas privātuma jautājumu izmeklēšanas.

(81)

Sestkārt, ja fiziskas personas sūdzība nav apmierinoši atrisināta ne ar vienu citu pieejamo tiesiskās aizsardzības līdzekli, Savienības datu subjekts kā galēju tiesību aizsardzības mehānismu var izmantot iespēju pieprasīt saistošu šķīrējtiesu, ko spriež ES un ASV datu privātuma regulējuma kolēģija (ES un ASV DPR kolēģija) (138). Organizācijām ir jāinformē fiziskas personas par iespēju pieprasīt saistošu šķīrējtiesu, un organizācijām ir pienākums reaģēt, ja fiziska persona ir izmantojusi šo iespēju, iesniedzot paziņojumu attiecīgajai organizācijai (139).

(82)

ES un ASV DPR kolēģijas sastāvā ir vismaz desmit šķīrējtiesnešu, kurus iecēlusi DoC un Komisija, pamatojoties uz viņu neatkarību, godīgumu, kā arī pieredzi ASV privātuma un Savienības datu aizsardzības tiesībās. Katram atsevišķam strīdam puses no šī kopuma izvēlas vienu vai trīs (140) šķīrējtiesnešus.

(83)

DoC šķīrējtiesas procesu pārvaldīšanai izvēlējās Starptautisko strīdu izšķiršanas centru (ICDR) – Amerikas Šķīrējtiesu asociācijas (AAA) starptautisko nodaļu. Lietu izskatīšanu ES un ASV DPR šķīrējtiesas kolēģijā reglamentēs saskaņots šķīrējtiesas reglaments un iecelto šķīrējtiesnešu rīcības kodekss. ICDR AAA tīmekļa vietnē ir sniegta skaidra un kodolīga informācija fiziskām personām par šķīrējtiesas mehānismu un šķīrējtiesas pieteikuma iesniegšanas procedūru.

(84)

Šķīrējtiesas noteikumi, par kuriem vienojušās DoC un Komisija, papildina ES un ASV DPR, kurā ir vairākas iezīmes, kas uzlabo šā mehānisma pieejamību Savienības datu subjektiem: i) sagatavojot prasību kolēģijai, datu subjektam var palīdzēt viņa valsts DAI; ii) lai gan šķīrējtiesa notiks Amerikas Savienotajās Valstīs, Savienības datu subjekti var izvēlēties piedalīties ar videokonferences vai telefonkonferences starpniecību, kas fiziskajai personai tiks nodrošināta bez maksas; iii) kaut arī šķīrējtiesā parasti tiek izmantota angļu valoda, mutiskais tulkojums šķīrējtiesas sēdē un rakstiskais tulkojums principā tiks nodrošināti pēc pamatota pieprasījuma un bez maksas datu subjektam; iv) visbeidzot, lai gan katrai pusei pašai jāsedz sava advokāta honorārs, ja to šķīrējtiesas kolēģijā pārstāv advokāts, DoC uzturēs fondu, kurā ES un ASV DPR organizācijas veiks ikgadējas iemaksas, lai segtu šķīrējtiesas procedūras izmaksas, nepārsniedzot maksimālo summu, ko noteiks ASV iestādes, apspriežoties ar Komisiju (141).

(85)

ES un ASV DPR kolēģijai būs tiesības piemērot fiziskajai personai pielāgotu, taisnīgu nemonetāru koriģējošu pasākumu (142), kas nepieciešams, lai novērstu neatbilstību DPR principiem. Kaut arī, pieņemot lēmumu, šķīrējtiesas kolēģija ņem vērā citus tiesību aizsardzības līdzekļus, kas jau iegūti, izmantojot citus ES un ASV DPR mehānismus, fiziskas personas joprojām var vērsties šķīrējtiesā, ja tās uzskata, ka šie citi tiesiskās aizsardzības līdzekļi ir nepietiekami. Tas ļauj Savienības datu subjektiem pieprasīt šķīrējtiesu visos gadījumos, kad ES un ASV DPR organizācijas neatkarīgu tiesību aizsardzības mehānismu vai ASV kompetento iestāžu (piemēram, FTC) darbība vai bezdarbība nav apmierinoši atrisinājusi viņu sūdzības. Šķīrējtiesas iespēju izmantot nevar, ja DAI ir juridiskas pilnvaras risināt izskatāmo prasību attiecībā uz ES un ASV DPR organizāciju, proti, gadījumos, kad organizācijai ir vai nu pienākums sadarboties un ievērot DAI ieteikumus attiecībā uz cilvēkresursu datu, kas savākti saistībā ar nodarbinātību, apstrādi, vai arī tā ir brīvprātīgi apņēmusies to darīt. Fiziskas personas var prasīt šķīrējtiesas lēmuma izpildi ASV tiesās saskaņā ar Federālo šķīrējtiesas procesa likumu – šādi tiek nodrošināti tiesiskās aizsardzības līdzekļi gadījumā, ja organizācija neievēro noteikumus.

(86)

Septītkārt, ja organizācija neievēro savas saistības ievērot DPR principus un publicēto privātuma politiku, saskaņā ar ASV tiesību aktiem ir pieejami papildu tiesiskās aizsardzības līdzekļi – arī iespēja saņemt kaitējuma kompensāciju. Piemēram, fiziskas personas noteiktos apstākļos var iegūt tiesisko aizsardzību (arī kaitējuma kompensāciju) saskaņā ar štata patērētāju tiesību aktiem krāpnieciski sagrozītas informācijas, negodīgas vai maldinošas rīcības vai prakses gadījumos (143), kā arī saskaņā ar tiesību aktiem par atlīdzināmu kaitējumu (jo īpaši saistībā ar atlīdzināmu kaitējumu, kas attiecas uz vienatnības traucēšanu (144), vārda vai tēla piesavināšanos (145) un privātu faktu publiskošanu (146)).

(87)

Kopā dažādās iepriekš aprakstītas tiesiskās aizsardzības metodes nodrošina, ka jebkura sūdzība par sertificētu organizāciju neatbilstību ES un ASV DPR tiek efektīvi izskatīta un risināta.

(88)

Komisija ir arī novērtējusi ierobežojumus un garantijas, tajā skaitā pārraudzības un individuālās tiesiskās aizsardzības mehānismus, kas Amerikas Savienoto Valstu tiesību aktos pieejami saistībā ar tādu personas datu vākšanu un vēlāku izmantošanu, kurus ASV publiskās iestādes nosūta pārziņiem un apstrādātājiem ASV sabiedrības interesēs, jo īpaši krimināltiesību aizsardzības un nacionālās drošības nolūkos (“valdības piekļuve”) (147). Novērtējot, vai nosacījumi, ar kādiem valdības piekļuve datiem, kas saskaņā ar šo lēmumu nosūtīti uz Amerikas Savienotajām Valstīm, atbilst “līdzvērtības pēc būtības” pārbaudei saskaņā ar Regulas (ES) 2016/679 45. panta 1. punktu, kā to interpretējusi Tiesa, ņemot vērā Pamattiesību hartu, Komisija jo īpaši ņēma vērā vairākus kritērijus.

(89)

Jo īpaši, jebkuriem ierobežojumiem, kas skar tiesības uz personas datu aizsardzību, ir jābūt paredzētiem tiesību aktos, un juridiskajam pamatam, kurš pieļauj šādu tiesību ierobežojumu, pašam jānosaka attiecīgo tiesību īstenošanas ierobežojuma darbības joma (148). Turklāt, lai nodrošinātu atbilstību samērīguma prasībai, saskaņā ar kuru atkāpes no personas datu aizsardzības un to ierobežojumi piemērojami tikai tiktāl, ciktāl tas ir absolūti nepieciešams (noteikti vajadzīgs) demokrātiskā sabiedrībā, lai sasniegtu konkrētus vispārējas nozīmes mērķus, kas ir līdzvērtīgi Savienībā atzītajiem, šim juridiskajam pamatam jāparedz skaidri un precīzi noteikumi, kas reglamentē attiecīgo pasākumu darbības jomu un piemērošanu, un jānosaka minimāli aizsardzības pasākumi, lai personām, kuru dati ir nosūtīti, būtu pietiekamas garantijas efektīvai viņu personas datu aizsardzībai pret ļaunprātīgas izmantošanas risku (149). Turklāt šiem noteikumiem un aizsardzības pasākumiem jābūt juridiski saistošiem un fiziskām personām izpildāmiem (150). Datu subjektiem jo īpaši jābūt iespējai celt prasību neatkarīgā un objektīvā tiesā, lai gūtu piekļuvi saviem personas datiem vai panāktu šādu datu labošanu vai dzēšanu (151).

(90)

Attiecībā uz iejaukšanos personas datos, kas nosūtīti saskaņā ar ES un ASV DPR krimināltiesību aizsardzības nolūkos, Amerikas Savienoto Valstu tiesību aktos ir noteikti vairāki ierobežojumi attiecībā uz piekļuvi personas datiem un to izmantošanu, kā arī ir paredzēti pārraudzības un tiesiskās aizsardzības mehānismi, kas atbilst šā lēmuma 89. apsvērumā minētajām prasībām. Nosacījumi, saskaņā ar kuriem var notikt šāda piekļuve, un garantijas, kas piemērojamas šo pilnvaru izmantošanai, ir sīki novērtēti turpmākajās iedaļās. Šajā saistībā ASV valdība (ar Tieslietu ministrijas (DoJ) starpniecību) ir arī sniegusi apliecinājumus par piemērojamiem ierobežojumiem un aizsardzības pasākumiem (šā lēmuma VI pielikums).

(91)

Personas datiem, ko apstrādā sertificētas ASV organizācijas un kas tiktu nosūtīti no Savienības, pamatojoties uz ES un ASV DPR, ASV federālie prokurori un federālie izmeklētāji krimināltiesību aizsardzības nolūkos var piekļūt saskaņā ar dažādām procedūrām, kā sīkāk paskaidrots 92.–99. apsvērumā. Šīs procedūras piemēro vienādi, ja informācija tiek iegūta no jebkuras ASV organizācijas neatkarīgi no attiecīgo datu subjektu valstspiederības vai dzīvesvietas (152).

(92)

Pirmkārt, pēc federālā tiesībaizsardzības iestādes darbinieka vai valdības advokāta pieprasījuma tiesnesis var izdot orderi kratīšanai vai konfiskācijai (arī elektroniski glabātas informācijas) (153). Šādu orderi var izdot tikai tad, ja pastāv “pamatots iemesls” (154), ka orderī norādītajā vietā ir atrodami “konfiscējami priekšmeti” (noziedzīga nodarījuma pierādījumi, nelikumīgi turēti priekšmeti vai manta, kas paredzēta vai plānota izmantošanai vai izmantota noziedzīga nodarījuma izdarīšanā). Orderī jānorāda konfiscējamā manta vai priekšmets un jānorāda tiesnesis, kuram orderis ir jāatgriež. Persona, kas pakļauta kratīšanai vai kuras īpašums ir pakļauts kratīšanai, var pieprasīt neatklāt pierādījumus, kas iegūti nelikumīgas kratīšanas rezultātā vai izriet no šādas kratīšanas, ja šie pierādījumi tiek iesniegti pret šo personu kriminālprocesā (155). Ja datu turētājam (piemēram, uzņēmumam) tiek pieprasīts izpaust datus saskaņā ar orderi, tas var jo īpaši apstrīdēt šādu izpaušanas prasību kā pārmērīgi apgrūtinošu (156).

(93)

Otrkārt, tiesas pavēsti var izdot zvērinātie (tiesas izmeklēšanas daļa, ko sasauc tiesnesis vai miertiesnesis) saistībā ar konkrētu smagu noziegumu (157) izmeklēšanu, parasti pēc federālā prokurora pieprasījuma, lai prasītu kādam iesniegt vai darīt pieejamus komercdarbības dokumentus, elektroniski glabātu informāciju vai citus materiālus vienumus. Papildus tam vairākos federālajos likumos ir atļauts izmantot administratīvās pavēstes, lai panāktu, ka tiek sagatavoti vai darīti pieejami komercdarbības dokumenti, elektroniski glabāta informācija vai citi materiāli vienumi, ko izmantot izmeklēšanās par krāpšanu veselības aprūpes jomā, vardarbīgu izturēšanos pret bērnu, slepenā dienesta aizsardzību, ar kontrolējamām vielām saistītām lietām un ģenerālinspektora veiktajās izmeklēšanās (158). Abos gadījumos informācijai ir jābūt relevantai izmeklēšanai, un tiesas pavēste nedrīkst būt nepamatota, t. i., pārāk vispārīga, patvaļīga vai apgrūtinoša (un tiesas pavēstes saņēmējs to var apstrīdēt, pamatojoties uz šiem iemesliem) (159).

(94)

Ļoti līdzīgi nosacījumi attiecas uz administratīvām pavēstēm, kas izdotas, lai pieprasītu piekļuvi datiem, kuri ir ASV uzņēmumu rīcībā civiliem vai regulatīviem (“sabiedrības interešu”) nolūkiem. Aģentūru, kuras pilda civilas vai regulatīvas funkcijas, pilnvaras izdot šādas administratīvās pavēstes ir jāparedz tiesību aktā. Administratīvās pavēstes izmantošanai tiek piemērota “pamatotības pārbaude”, kas paredz, ka izmeklēšana tiek veikta saskaņā ar likumīgu nolūku, ar pavēsti pieprasītā informācija attiecas uz šo nolūku, ar pavēsti pieprasītā informācija aģentūrai jau nav pieejama un ir izpildīti pavēstes izdošanai nepieciešamie administratīvie soļi (160). Augstākās tiesas judikatūrā arī ir precizēta nepieciešamība līdzsvarot sabiedrības interešu nozīmīgumu pieprasītajā informācijā ar personas un organizācijas privātuma interešu nozīmīgumu (161). Lai arī administratīvās pavēstes izmantošanai nav nepieciešama iepriekšēja tiesas atļauja, to var izvērtēt tiesā, ja uz iepriekšminētā pamata to apstrīd saņēmējs vai ja izdevējaģentūra vēršas tiesā, lai pavēsti izpildītu (162). Papildus šiem vispārīgajiem ierobežojumiem, atsevišķos tiesību aktos var būt paredzētas konkrētas (stingrākas) prasības (163).

(95)

Treškārt, iegūt piekļuvi sakaru datiem krimināltiesību aizsardzības iestādēm ļauj vairāki juridiskie pamati. Tiesa var izdot rīkojumu, ar ko atļauj saistībā ar noteiktu tālruņa numuru vai e-pastu vākt reāllaika informāciju par zvanīšanu, maršrutēšanu, adresēšanu un signalizēšanu, kas nav saistīta ar saturu (izmantojot zvanīto numuru reģistrētāju vai uztveršanas un izsekošanas ierīci), ja tā konstatē, ka iestāde ir apliecinājusi, ka informācija, ko varētu iegūt, ir būtiska notiekošai kriminālizmeklēšanai (164). Rīkojumā cita starpā jānorāda aizdomās turētā identitāte, ja tāda zināma, tos sakaru raksturlielumus, uz kuriem tas attiecas, un paziņojums par nodarījumu, uz kuru attiecas vācamā informācija. Zvanīto numuru reģistrētāju vai uztveršanas un izsekošanas ierīču izmantošanu var atļaut ne ilgāk kā uz sešdesmit dienām, un šo termiņu var pagarināt tikai ar jaunu tiesas rīkojumu.

(96)

Turklāt piekļuvi abonentu informācijai, datplūsmas datiem un saglabātajam saziņas saturam, ko glabā interneta pakalpojumu sniedzēji, tālruņu sakaru uzņēmumi un citi trešo personu pakalpojumu sniedzēji, krimināltiesību aizsardzības nolūkos var iegūt, pamatojoties uz Glabāta saziņas satura likumu (165). Lai iegūtu glabātās elektroniskās saziņas saturu, krimināltiesību aizsardzības iestādēm principā ir jāsaņem no tiesneša attiecīgs orderis, pamatojoties uz pamatotu iemeslu uzskatīt, ka konkrētajā kontā ir noziedzīga nodarījuma pierādījumi (166). Lai iegūtu abonentu reģistrācijas informāciju, IP adreses un saistītos laika zīmolus, kā arī norēķinu informāciju, krimināltiesību aizsardzības iestādes var izmantot pavēsti. Attiecībā uz vairumu pārējās glabātās nesatura informācijas, piemēram, e-vēstuļu galvenēm bez tēmas rindiņas, krimināltiesību aizsardzības iestādei ir jāiegūst tiesas rīkojums, kas tiks izdots, ja tiesnesis būs pārliecināts, ka ir pamatots iemesls uzskatīt, ka pieprasītā informācija ir relevanta un būtiska notiekošai kriminālizmeklēšanai.

(97)

Pakalpojumu sniedzēji, kas saņem pieprasījumus saskaņā ar Glabāta saziņas satura likumu, var brīvprātīgi par to paziņot klientam vai abonentam, kura informācija tiek pieprasīta, izņemot gadījumus, kad attiecīgā krimināltiesību aizsardzības iestāde saņem aizsardzības rīkojumu, kas aizliedz šādu paziņošanu (167). Šāds aizsardzības rīkojums ir tiesas rīkojums, ar kuru elektronisko sakaru pakalpojumu sniedzējam vai attālās datošanas pakalpojumu sniedzējam, kuram adresēts orderis, pavēste vai tiesas rīkojums, pieprasa tik ilgi, cik tiesa uzskata par vajadzīgu, nepaziņot nevienai citai personai par ordera, pavēstes vai tiesas rīkojuma esību. Aizsardzības rīkojumus izdod gadījumos, kad tiesa konstatē, ka ir pamats uzskatīt, ka paziņošana nopietni kaitētu izmeklēšanai vai nepamatoti aizkavētu tiesas procesu, piemēram, tāpēc, ka tiktu apdraudēta personas dzīvība vai fiziskā drošība, notiktu bēgšana no kriminālvajāšanas, potenciālo liecinieku iebiedēšana utt. Ģenerālprokurora vietnieka memorandā (kas ir saistošs visiem DoJ advokātiem un amatpersonām) noteikts, ka prokuroriem ir sīki jāizvērtē aizsardzības rīkojuma izdošanas nepieciešamība un jāiesniedz tiesai pamatojums par to, kā konkrētajā lietā ir izpildīti likumā noteiktie kritēriji aizsardzības rīkojuma iegūšanai (168). Memorandā arī noteikts, ka aizsardzības rīkojumu pieteikumos parasti nedrīkst prasīt, lai paziņošana tiktu atlikta uz laiku, kas ilgāks par vienu gadu. Ja izņēmuma gadījumos varētu būt nepieciešami rīkojumi, kuros norādīts ilgāks laikposms, šādus rīkojumus var pieprasīt tikai ar ASV ģenerālprokurora vai attiecīgā ģenerālprokurora palīga norīkota uzrauga rakstisku piekrišanu. Turklāt prokuroram, izbeidzot izmeklēšanu, ir nekavējoties jāizvērtē, vai ir pamats saglabāt jebkādus spēkā esošos aizsardzības rīkojumus, un, ja tas tā nav, aizsardzības rīkojuma spēkā esība ir jāizbeidz un jānodrošina, ka par to tiek paziņots pakalpojumu sniedzējam (169).

(98)

Krimināltiesību aizsardzības iestādes var arī reāllaikā pārtvert fiksēto tālruņa līniju, mutisko vai elektronisko saziņu, pamatojoties uz tiesas rīkojumu, kurā tiesnesis cita starpā konstatē, ka pastāv pamatots iemesls uzskatīt, ka sarunu noklausīšanās vai elektroniskās saziņas pārtveršana nodrošinās federāla noziedzīga nodarījuma pierādījumus vai informāciju par tādas personas atrašanās vietu, kura izvairās no kriminālvajāšanas (170).

(99)

Papildu aizsardzību nodrošina dažādi Tieslietu ministrijas politikas dokumenti un vadlīnijas, tajā skaitā Ģenerālprokurora vadlīnijas FIB iekšzemes operācijām (AGG DOM), kas cita starpā paredz, ka Federālais izmeklēšanas birojs (FIB) izmanto iespējami mazāk invazīvas izmeklēšanas metodes, ņemot vērā ietekmi uz privātumu un pilsoniskajām brīvībām (171).

(100)

Saskaņā ar ASV valdības apgalvojumiem tāda pati vai lielāka aizsardzība, kāda aprakstīta iepriekš, ir piemērojama tiesībaizsardzības iestāžu veiktai izmeklēšanai štata līmenī (attiecībā uz izmeklēšanu, ko veic saskaņā ar štata likumiem) (172). Jo īpaši, konstitucionāli noteikumi, kā arī štata līmeņa tiesību akti un judikatūra atkārtoti apstiprina iepriekšminētos aizsardzības pasākumus pret nepamatotu kratīšanu un konfiskāciju, paredzot, ka ir jāizdod kratīšanas orderis (173). Līdzīgi federālā līmenī paredzētajai aizsardzībai kratīšanas orderi var izdot, tikai ja tiek apliecināts pamatotas iemesls, un tajā ir jābūt norādītai kratīšanas vietai un personām vai priekšmetiem, kas konfiscējami (174).

(101)

Attiecībā uz federālo krimināltiesību aizsardzības iestāžu savākto datu turpmāku izmantošanu dažādos likumos, pamatnostādnēs un standartos ir paredzētas īpašas garantijas. Izņemot specifiskos instrumentus, kas attiecināmi uz FIB veiktām darbībām (AGG DOM un FIB iekšzemes izmeklēšanas un operāciju vadlīnijas), šajā iedaļā aprakstītās prasības kopumā attiecas uz datu, ieskaitot datus, kam piekļūts civilos vai regulatīvos nolūkos, turpmāku izmantošanu jebkurā federālajā iestādē. Tas ietver prasības, kas izriet no Pārvaldības un budžeta biroja norādījumiem/noteikumiem, Federālā informācijas drošības pārvaldības modernizācijas likuma (Federal Information Security Management Modernization Act), E-pārvaldes likuma (E-Government Act) un Federālā reģistru likuma (Federal Records Act).

(102)

Pamatojoties uz Klingera–Koena likumā (Clinger–Cohen Act) (P.L. 104-106, Division E) un 1987. gada Datordrošības likumā (Computer Security Act) (P.L. 100-235) tam piešķirtajām pilnvarām Pārvaldības un budžeta birojs (OMB) izdeva Circular No. A-130, nosakot vispārēji saistošus norādījumus, kas attiecas uz visām federālajām aģentūrām (ieskaitot tiesībaizsardzības iestādes) identitātes informācijas apstrādes ietvaros (175). Jo īpaši apkārtrakstā ir noteikts, ka visām federālajām aģentūrām ir “jāierobežo identitātes informācijas radīšana, vākšana, izmantošana, apstrāde, glabāšana, uzturēšana, izplatīšana un izpaušana tikai tādā apjomā, kas ir likumīgi atļauts, relevants un pamatoti uzskatāms par nepieciešamu pilnvarotu aģentūras funkciju pienācīgai izpildei” (176). Turklāt, ciktāl praktiski iespējams, federālajām aģentūrām ir jānodrošina, lai identitātes informācija būtu precīza, relevanta, savlaicīga un pilnīga, un jāsamazina tās apjoms līdz minimumam, kas nepieciešams aģentūras funkciju pienācīgai izpildei. Raugoties vispārīgāk, federālajām aģentūrām jāizveido visaptveroša privātuma programma, lai nodrošinātu atbilstību piemērojamām privātuma prasībām, jāizstrādā un jāizvērtē privātuma politika un jāpārvalda privātuma riski; jāuztur procedūras, kas izmantojamas, lai atklātu un dokumentētu privātuma atbilstības incidentus, un ziņotu par tiem; jāizstrādā privātuma izpratnes uzlabošanas un apmācības programmas darbiniekiem un darbuzņēmējiem; kā arī jāievieš politika un procedūras, kas nodrošinātu, ka darbinieki ir atbildīgi par privātuma prasību un politikas ievērošanu (177).

(103)

Turklāt E-pārvaldes likums (178) paredz, ka visām federālajām aģentūrām (arī krimināltiesību aizsardzības iestādēm) jāievieš informācijas drošības aizsardzības pasākumi, kas ir samērīgi ar risku un kaitējuma apmēru, ko varētu radīt neatļauta piekļuve datiem, to izmantošana, izpaušana, bojāšana, pārveidošana vai iznīcināšana; ir vajadzīgs direktors informācijas jautājumos, kas nodrošina atbilstību informācijas drošības prasībām un veic ikgadēju neatkarīgu aģentūras informācijas drošības programmu un prakses izvērtēšanu (to ieceļ, piemēram, ģenerālinspektors; sk. 109. apsvērumu) (179). Tāpat Federālo reģistru likums (FRA) (180) un papildu noteikumi (181) paredz, ka federālo aģentūru rīcībā esošajai informācijai ir jāpiemēro garantijas, ar ko nodrošina informācijas fizisko integritāti un aizsargā to pret neatļautu piekļuvi.

(104)

Saskaņā ar tiesību aktos (tajā skaitā 2014. gada Likumā par federālās informācijas drošības modernizāciju (Federal Information Security Modernisation Act)) noteiktajām federālās varas pilnvarām, OMB un Nacionālais standartu un tehnoloģiju institūts (NIST) ir izstrādājuši standartus, kas ir saistoši federālajām aģentūrām (arī krimināltiesību aizsardzības iestādēm) un kas sīkāk nosaka obligātās informācijas drošības prasības, kuras jāievieš, tajā skaitā piekļuves kontroles, informētības un apmācības nodrošināšana, ārkārtas rīcības plānošana, reaģēšana uz incidentiem, revīzijas un pārskatatbildības rīki, sistēmu un informācijas integritātes nodrošināšana, privātuma un drošības riska novērtējumu veikšana utt (182). Turklāt visām federālajām aģentūrām (arī krimināltiesību aizsardzības iestādēm) saskaņā ar OMB vadlīnijām ir jāuztur un jāīsteno plāns, kurā noteikts, kā rīkoties datu aizsardzības pārkāpumu gadījumos – arī gadījumos, kad jāreaģē uz šādiem pārkāpumiem un jānovērtē kaitējuma risks (183).

(105)

Attiecībā uz datu saglabāšanu FRA (184) ir noteikts, ka ASV federālajām aģentūrām (arī krimināltiesību aizsardzības iestādēm) ir jānosaka savu ierakstu saglabāšanas termiņi (pēc kuriem šādi ieraksti ir jāiznīcina), un Nacionālajai arhīvu un ierakstu administrācijai tas jāapstiprina (185). Šo saglabāšanas termiņu nosaka, ņemot vērā dažādus faktorus, piemēram, izmeklēšanas veidu, to, vai pierādījumi joprojām ir relevanti izmeklēšanai utt. Attiecībā uz FIB AGG DOM ir noteikts, ka FIB ir jāievieš šāds ierakstu saglabāšanas plāns un jāuztur sistēma, kas ļauj ātri iegūt informāciju par izmeklēšanas statusu un pamatojumu.

(106)

Visbeidzot, OMB Circular Nr. A-130 ir arī noteiktas prasības saistībā ar identitātes informācijas izplatīšanu. Principā identitātes informācijas izplatīšana un atklāšana ir jāierobežo līdz tādam apmēram, kas ir likumīgi atļauts, attiecināms un saprātīgi uzskatāms par nepieciešamu, lai pilnvērtīgi izpildītu aģentūras darba uzdevumus (186). Koplietojot identitātes informāciju ar citām valdības iestādēm, ASV federālajām aģentūrām attiecīgā gadījumā ir jāparedz nosacījumi (tajā skaitā īpašu drošības un privātuma kontroles pasākumu īstenošana), kas reglamentē informācijas apstrādi, izmantojot rakstiskas vienošanās (tajā skaitā līgumus, datu izmantošanas nolīgumus, informācijas apmaiņas nolīgumus un saprašanās memorandus) (187). Attiecībā uz informācijas izplatīšanas pamatu AGG DOM un FIB iekšzemes izmeklēšanas un operāciju vadlīnijas (188), piemēram, paredz, ka FIB var būt juridisks pienākums tā rīkoties (piem., saskaņā ar starptautisku līgumu) vai arī informāciju var būt atļauts izplatīt noteiktos apstākļos, piemēram, citām ASV aģentūrām, ja informācijas atklāšana ir saderīga ar nolūku, kādā informācija tika savākta, un šāda rīcība ir saistīta ar pienākumu izpildi; kongresa komitejām; ārvalstu aģentūrām, ja informācija ir saistīta ar to pienākumiem un tās izplatīšana atbilst ASV interesēm; informācijas izplatīšana ir jo īpaši nepieciešama, lai aizsargātu personu vai īpašuma drošumu vai drošību vai lai aizsargātos pret noziedzīgu nodarījumu vai nacionālās drošības apdraudējumu vai tos novērstu, un informācijas atklāšana ir saderīga ar nolūku, kuram informācija ir savākta (189).

(107)

Federālo krimināltiesību aizsardzības iestāžu darbību pārrauga dažādas struktūras (190). Kā paskaidrots 92.–99. apsvērumā, vairumā gadījumu tas ietver sākotnēju tiesas veiktu pārraudzību, kam ir jāatļauj atsevišķi vākšanas pasākumi, pirms tos ir iespējams izmantot. Turklāt citas struktūras pārrauga dažādus krimināltiesību aizsardzības iestāžu darbības posmus, ieskaitot personas datu vākšanu un apstrādi. Kopā šīs tiesas un ārpustiesas struktūras nodrošina, ka tiesībaizsardzības iestādes tiek neatkarīgi pārraudzītas.

(108)

Pirmkārt, dažādās iestādēs, kas atbild par krimināltiesību aizsardzību, ir privātuma un pilsonisko brīvību amatpersonas (191). Lai arī šo amatpersonu konkrētās pilnvaras zināmā mērā var atšķirties atkarībā no pilnvarojošā tiesību akta, parasti tās ietver tādu procedūru uzraudzību, ar kurām nodrošināt, ka attiecīgā ministrija/aģentūra adekvāti izskata privātuma un pilsonisko brīvību jautājumus un ir ieviesusi atbilstošas procedūras, ar kurām risināt sūdzības no fiziskām personām, kas uzskata, ka ir aizskarts viņu privātums un pilsoniskās brīvības. Katras ministrijas vai aģentūras vadītājiem ir jānodrošina, lai privātuma un pilsonisko brīvību amatpersonu rīcībā būtu materiāli un resursi viņu pilnvaru īstenošanai, lai viņiem būtu pieejami visi viņu funkciju veikšanai nepieciešamie materiāli un personāls, lai viņi tiktu informēti par ierosinātajām politikas izmaiņām un ar viņiem apspriestos par tām (192). Privātuma un pilsonisko brīvību amatpersonas periodiski ziņo Kongresam, tajā skaitā par ministrijā/aģentūrā saņemto sūdzību skaitu un raksturu, un sniedz kopsavilkumu par šādu sūdzību izskatīšanu, veiktajām pārbaudēm un izmeklēšanām un amatpersonas veikto darbību ietekmi (193).

(109)

Otrkārt, neatkarīgs ģenerālinspektors pārrauga Tieslietu ministrijas (un arī FIB) darbību (194). Likumā noteikts, ka ģenerālinspektori ir neatkarīgi (195) un atbild par neatkarīgu izmeklēšanu, revīziju un pārbaužu veikšanu attiecībā uz ministrijas programmām un darbībām. Tiem ir piekļuve visiem ierakstiem, atskaitēm, revīziju materiāliem, pārskatiem, dokumentiem, materiāliem, ieteikumiem un citiem relevantiem materiāliem, vajadzības gadījumā ar tiesas pavēsti, un tie var iegūt liecības nopratināšanā (196). Lai arī ģenerālinspektori izdod tikai nesaistošus ieteikumus par korektīvām darbībām, to ziņojumi, arī par turpmāku rīcību (vai tās neveikšanu) (197), parasti tiek publiskoti un nosūtīti Kongresam, kas, pamatojoties uz to, var izmantot savu pārraudzības funkciju (sk. 111. apsvērumu) (198).

(110)

Treškārt, tiktāl, cik tie veic pretterorisma darbības, ministrijas ar krimināltiesību aizsardzības pienākumiem ir pakļautas Privātuma un pilsonisko brīvību pārraudzības padomes (PCLOB) pārraudzībai, kas ir neatkarīga izpildaģentūra, ko veido pieci locekļi no abām partijām, kurus uz fiksētu sešu gadu termiņu amatā ieceļ prezidents ar Senāta apstiprinājumu (199). Saskaņā ar PCLOB dibināšanas statūtiem tai ir uzticēti pienākumi pretterorisma politikas un tās īstenošanas jomā ar mērķi aizsargātu privātumu un pilsoniskās brīvības. Savās pārbaudēs tā var piekļūt visiem attiecīgo aģentūru ierakstiem, atskaitēm, revīziju materiāliem, pārskatiem, dokumentiem, materiāliem un ieteikumiem, veikt nopratināšanu un uzklausīt liecības (200). Tā saņem ziņojumus no dažādu federālo ministriju/aģentūru pilsonisko brīvību un privātuma amatpersonām (201), var izdot tiem ieteikumus valdībai un tiesībaizsardzības iestādēm un regulāri sniedz atskaites Kongresa komitejām un prezidentam (202). Padomes ziņojumi – arī Kongresam adresētajiem – jādara maksimāli pieejami publiski (203).

(111)

Visbeidzot, krimināltiesību aizsardzības darbības pārrauga īpašas ASV Kongresa komitejas (Pārstāvju palātas un Senāta tieslietu komitejas). Tieslietu komitejas regulāri veic dažādas pārraudzības darbības, jo īpaši uzklausīšanas, izmeklēšanas, pārskatu un ziņojumu veidā (204).

(112)

Kā jau norādīts, krimināltiesību aizsardzības iestādēm lielākajā daļā gadījumu ir jāsaņem iepriekšēja tiesas atļauja vākt personas datus. Tas gan nav nepieciešams attiecībā uz administratīvām tiesas pavēstēm, jo tās attiecas tikai uz īpašām situācijām, un saistībā ar tām tiks veikta neatkarīga izskatīšana tiesā – vismaz tad, ja valdība vēlas panākt izpildi tiesā. Jo īpaši, administratīvo pavēstu saņēmēji var apstrīdēt tās tiesā kā nepamatotas, t. i., pārāk vispārīgas, patvaļīgas vai apgrūtinošas (205).

(113)

Fiziskas personas, pirmkārt, var vērsties krimināltiesību aizsardzības iestādēs ar pieprasījumiem vai sūdzībām saistībā ar savu personas datu apstrādi. Tas ietver arī pieprasījumus piekļūt saviem personas datiem vai labot tos (206). Attiecībā uz pretterorisma darbībām fiziskas personas var iesniegt sūdzību tiesībaizsardzības iestāžu privātuma un pilsonisko brīvību amatpersonām (vai citām privātuma aizsardzības amatpersonām) (207).

(114)

Turklāt ASV tiesību aktos personām ir paredzētas vairākas tiesiskās aizsardzības iespējas, lai vērstos pret publisku iestādi vai kādu no tās ierēdņiem, ja šīs iestādes apstrādā personas datus (208). Šie risinājumi, jo īpaši APA, Informācijas brīvības likums (FOIA) un Elektroniskās saziņas privātuma likums (ECPA), ir pieejami visām fiziskām personām neatkarīgi no viņu valstspiederības un ievērojot visus piemērojamos nosacījumus.

(115)

Parasti saskaņā ar APA noteikumiem par izskatīšanu tiesā (209)“ikvienai personai, kam nodarīta juridiska netaisnība aģentūras darbības rezultātā vai ko nelabvēlīgi ietekmē vai neapmierina aģentūras darbība”, ir tiesības vērsties tiesā (210). Tas ietver iespēju lūgt tiesu “apturēt nelikumību un atcelt aģentūras darbību, konstatējumus un secinājumus, kas atzīti par (..) patvaļīgiem, nepamatotiem, pieņemtiem, ļaunprātīgi izmantojot dienesta stāvokli, vai citādi pretrunā tiesību aktiem” (211).

(116)

Konkrēti, Elektroniskās saziņas privātuma likuma (ECPA) (212) II sadaļā ir izklāstīta obligāto privātuma tiesību sistēma un tādējādi reglamentēta tiesībaizsardzības iestāžu piekļuve pa vadiem pārraidītas, mutiskas vai elektroniskas saziņas saturam, kura ierakstus glabā pakalpojumu sniedzēji, kas ir trešās personas (213). Tajā paredzēta kriminālatbildība par nelikumīgu (t. i., bez tiesas atļaujas vai kā citādi neatļautu) piekļuvi šādai saziņai un noteikti tiesību aizsardzības iespējas skartajai personai: pret valdības amatpersonu, kas ir apzināti izdarījusi šādas nelikumīgas darbības, vai pret Amerikas Savienotajām Valstīm iesniegt ASV federālajā tiesā civilprasību par faktisko zaudējumu atlīdzināšanu un zaudējumu atlīdzību ar sodošu raksturu, kā arī par taisnīgu vai skaidrojošu spriedumu.

(117)

Turklāt vairākos tiesību aktos personām ir piešķirtas tiesības celt tiesā prasību pret ASV publisko iestādi vai amatpersonu attiecībā uz personas datu apstrādi, piemēram, Likumā par telefona sarunu noklausīšanos (Wiretap Act) (214), Likumā par datorkrāpšanu un ļaunprātīgu izmantošanu (Computer Fraud and Abuse Act) (215), Federālajā likumā par noteiktiem atlīdzināmiem kaitējumiem (Federal Torts Claim Act) (216), Likumā par tiesībām uz finanšu datu aizsardzību (Right to Financial Privacy Act) (217), un Likumā par godīgu kredītinformāciju (Fair Credit Reporting Act) (218).

(118)

Vienlaikus saskaņā ar FOIA (219), 5 U.S.C. § 552, ikvienai personai ir tiesības iegūt piekļuvi federālo aģentūru datiem, arī tādiem, kas satur attiecīgās personas datus. Pēc administratīvo tiesiskās aizsardzības līdzekļu izsmelšanas fiziska persona var vērsties tiesā, lai izmantotu šīs tiesības, ja vien šo datu publiskošanu neaizliedz izņēmums vai īpaša izslēgšana tiesībaizsardzības nolūkos (220). Tādā gadījumā tiesa izvērtē, vai ir piemērojams kāds izņēmums vai uz tādu likumīgi atsaucas attiecīgā publiskā iestāde.

(119)

Amerikas Savienoto Valstu tiesību aktos ir noteikti vairāki ierobežojumi un garantijas attiecībā uz piekļuvi personas datiem un to izmantošanu nacionālās drošības nolūkos, kā arī ir paredzēti pārraudzības un tiesiskās aizsardzības mehānismi, kas atbilst šā lēmuma 89. apsvērumā minētajām prasībām. Nosacījumi, saskaņā ar kuriem var notikt šāda piekļuve, un garantijas, kas piemērojamas šo pilnvaru izmantošanai, ir sīki novērtēti turpmākajās iedaļās.

(120)

Personas datus, kas no Savienības nosūtīti ES un ASV DPR organizācijām, ASV iestādes var vākt nacionālās drošības nolūkos, pamatojoties uz dažādiem juridiskiem instrumentiem, piemērojot īpašus nosacījumus un garantijas.

(121)

Kad organizācija ASV ir saņēmusi personas datus, ASV izlūkošanas aģentūras nacionālās drošības vajadzībām var pieprasīt piekļuvi šiem datiem tikai saskaņā ar likumu, jo īpaši saskaņā ar Ārējās izlūkošanas uzraudzības likumu (FISA) vai tiesību aktu noteikumiem, kas atļauj piekļuvi ar nacionālās drošības vēstulēm (NSL) (221). FISA ir vairāki juridiskie pamati, kurus var izmantot, lai vāktu (un pēc tam apstrādātu) Savienības datu subjektu personas datus, kas nosūtīti saskaņā ar ES un ASV DPR (FISA (222) 105. pants, FISA 302. pants (223), FISA 402. pants (224), FISA 501. pants (225) un FISA 702. pants (226)), kā sīkāk aprakstīts 142.–152. apsvērumā.

(122)

ASV izlūkošanas aģentūrām ir arī iespējas vākt personas datus ārpus Amerikas Savienotajām Valstīm, un tie var būt personas dati, kuri tiek nosūtīti starp Savienību un Amerikas Savienotajām Valstīm. Datu vākšana ārpus Amerikas Savienotajām Valstīm ir balstīta uz Izpildrīkojumu Nr. 12333 (IR Nr. 12333) (227), ko izdevis prezidents (228).

(123)

Sakaru izlūkdatu vākšana ir izlūkdatu vākšanas veids, kas ir vissvarīgākais saistībā ar šo aizsardzības līmeņa pietiekamības konstatējumu, jo tas attiecas uz elektronisko sakaru un datu vākšanu no informācijas sistēmām. Šādu datu vākšanu ASV izlūkošanas aģentūras var veikt gan Amerikas Savienoto Valstu teritorijā (pamatojoties uz FISA), gan datu nosūtīšanas laikā uz Amerikas Savienotajām Valstīm (pamatojoties uz IR Nr. 12333).

(124)

2022. gada 7. oktobrī ASV prezidents izdeva IR Nr. 14086 par drošības pasākumu uzlabošana Amerikas Savienoto Valstu sakaru izlūkošanas darbībām, nosakot ierobežojumus un garantijas visām ASV sakaru izlūkošanas darbībām. Minētais IR lielā mērā aizstāj Prezidenta politikas direktīvu (PPD 28) (229), stiprina nosacījumus, ierobežojumus un garantijas, kas attiecas uz visām sakaru izlūkošanas darbībām (t. i., uz FISAun IR Nr. 12333 pamata) neatkarīgi no to vietas (230), un ar to izveido jaunu tiesiskās aizsardzības mehānismu, ar kura palīdzību fiziskas personas var atsaukties uz šīm garantijām un tās īstenot (231) (sīkāk skatīt 176.–194. apsvērumu). Tādējādi ar to ASV tiesību aktos tiek ieviesti to sarunu rezultāti, kas notika starp ES un ASV pēc tam, kad Tiesa atzina par spēkā neesošu Komisijas lēmumu par aizsardzības līmeņa pietiekamību, ko nodrošina ES un ASV privātuma vairogs (sk. 6. apsvērumu). Tāpēc tas ir īpaši svarīgs šajā lēmumā novērtētā tiesiskā regulējuma elements.

(125)

IR Nr. 14086 ieviestie ierobežojumi un aizsardzības pasākumi papildina FISA 702. iedaļā un IR Nr. 12333 paredzētos. Izlūkošanas aģentūrām ir jāievēro zemāk (3.2.1.2. un 3.2.1.3. iedaļā) aprakstītās prasības, veicot sakaru izlūkošanas darbības saskaņā ar FISA 702. iedaļu un IR Nr. 12333, proti, atlasot/identificējot ārējās izlūkošanas informācijas kategorijas, kas iegūstamas saskaņā ar FISA 702. iedaļu; vācot ārējās izlūkošanas vai pretizlūkošanas informāciju saskaņā ar IR Nr. 12333; un pieņemot individuālus lēmumus par mērķiem saskaņā ar FISA 702. iedaļu un IR Nr. 12333.

(126)

Prasības, kas noteiktas šajā prezidenta izdotajā izpildrīkojumā, ir saistošas visām izlūkošanas kopienas struktūrām. Tās ir jāīsteno ar aģentūras politiku un procedūrām, ar kurām tās transponē konkrētos ikdienas darbību virzienos. Šajā sakarā IR Nr. 14086 ASV izlūkošanas aģentūrām ir dots ne vairāk kā viens gads laika, lai atjauninātu to esošos politikas dokumentus un procedūras (t. i., līdz 2023. gada 7. oktobrim) un saskaņotu tās ar IR noteiktajām prasībām. Šāda atjaunināta politika un procedūras ir jāizstrādā, apspriežoties ar ģenerālprokuroru, Nacionālās izlūkošanas direktora biroja pilsonisko brīvību aizsardzības amatpersonu (ODNI CLPO) un PCLOB– neatkarīgu pārraudzības struktūru, kas ir pilnvarota pārskatīt izpildvaras politiku un tās īstenošanu, lai aizsargātu privātumu un pilsoniskās brīvības (sk. 110. apsvērumu par PCLOB lomu un statusu) –, un tās ir jādara pieejamas publiski (232). Turklāt, tiklīdz atjauninātā politika un procedūras būs ieviestas, PCLOB veiks pārbaudi, lai nodrošinātu to atbilstību IR. Katrai izlūkošanas aģentūrai 180 dienu laikā pēc tam, kad PCLOB ir pabeigusi šādu pārbaudi, ir rūpīgi jāizvērtē un jāīsteno vai kā citādi jāņem vērā visi PCLOB ieteikumi. ASV valdība 2023. gada 3. jūlijā publicēja šādu atjauninātu politiku un procedūras (233).

(127)

IR Nr. 14086 nosaka vairākas visaptverošas prasības, kas attiecas uz visām sakaru izlūkošanas darbībām (personas datu vākšana, izmantošana, izplatīšana utt.).

(128)

Pirmkārt, šādām darbībām jābūt pamatotām ar likumu vai prezidenta atļauju un veiktām saskaņā ar ASV tiesību aktiem, ieskaitot Konstitūciju (234).

(129)

Otrkārt, ir jāievieš atbilstošas garantijas, lai nodrošinātu, ka privātums un pilsoniskās brīvības ir neatņemama šādu pasākumu plānošanas daļa (235).

(130)

Konkrēti, jebkuras sakaru izlūkošanas darbības var veikt tikai “pēc tam, kad, pamatojoties uz visu attiecīgo faktoru saprātīgu novērtējumu, ir konstatēts, ka darbības ir nepieciešamas, lai sasniegtu apstiprinātu izlūkošanas prioritāti” (attiecībā uz jēdzienu “apstiprināta izlūkošanas prioritāte” skatīt 135. apsvērumu) (236).

(131)

Turklāt šādas darbības drīkst veikt tikai “tādā apjomā un veidā, kas ir samērīgs ar apstiprināto izlūkošanas prioritāti, kuras dēļ tās ir atļautas” (237). Citiem vārdiem sakot, ir jāpanāk pienācīgs līdzsvars “starp izvirzītās izlūkošanas prioritātes svarīgumu un ietekmi uz skarto fizisko personu privātumu un pilsoniskajām brīvībām neatkarīgi no to valstspiederības vai dzīvesvietas” (238).

(132)

Visbeidzot, lai nodrošinātu atbilstību šīm vispārīgajām prasībām, kas atspoguļo likumības, nepieciešamības un samērīguma principu, sakaru izlūkošanas darbības ir pakļautas pārraudzībai (sīkāk skatīt 3.2.2. iedaļā) (239).

(133)

Šīs visaptverošās prasības attiecībā uz sakaru izlūkdatu vākšanu tiek papildus pamatotas ar vairākiem nosacījumiem un ierobežojumiem, kas nodrošina, ka iejaukšanās fizisku personu tiesībās ir minimāli nepieciešamā līmenī un ir samērīga, lai sasniegtu likumīgu mērķi.

(134)

Pirmkārt, IR divējādi ierobežo pamatojumu, saskaņā ar kuru var vākt datus kā daļu no sakaru izlūkošanas darbībām. No vienas puses, IR ir noteikti likumīgi mērķi, kurus var mēģināt sasniegt, vācot sakaru izlūkdatus, piemēram, lai saprastu vai novērtētu tādu ārvalstu organizāciju (arī starptautisku teroristu organizāciju) spējas, nodomus vai darbības, kas rada pašreizējus vai iespējamus draudus ASV nacionālajai drošībai; lai aizsargātu pret ārvalstu militārajām spējām un darbībām; lai izprastu vai novērtētu starptautiskus draudus, kas ietekmē globālo drošību, piemēram, klimata un citas ekoloģiskās pārmaiņas, riskus sabiedrības veselībai un draudus humanitārajai situācijai (240). No otras puses, IR ir uzskaitīti konkrēti mērķi, kurus nekad nedrīkst mēģināt sasniegt ar sakaru izlūkošanas darbībām, piemēram, lai apgrūtinātu fizisku personu vai preses kritiku, nepiekrišanu vai ideju vai politisko uzskatu brīvu paušanu, lai nelabvēlīgi ietekmētu personas, pamatojoties uz viņu etnisko izcelsmi, rasi, dzimti, dzimtisko identitāti, seksuālo orientāciju vai reliģisko pārliecību, vai lai sniegtu konkurences priekšrocības ASV uzņēmumiem (241).

(135)

Turklāt izlūkošanas aģentūras nevar paļauties uz IR Nr. 14086 noteiktajiem likumīgajiem mērķiem kā tādiem, lai attaisnotu sakaru izlūkdatu vākšanu, bet operatīvos nolūkos tie ir jāpamato ar konkrētākām prioritātēm, kuru īstenošanai var vākt sakaru izlūkdatus. Citiem vārdiem sakot, faktiskā vākšana var notikt tikai tādēļ, lai veicinātu konkrētākas prioritātes īstenošanu. Šādas prioritātes tiek noteiktas, izmantojot īpašu procesu, kura mērķis ir nodrošināt atbilstību piemērojamajām juridiskajām prasībām, tajā skaitā tām, kas attiecas uz privātumu un pilsoniskajām brīvībām. Konkrētāk, izlūkošanas prioritātes vispirms izstrādā nacionālās izlūkošanas direktors (izmantojot tā dēvēto Nacionālo izlūkošanas prioritāšu satvaru) un iesniedz tās prezidentam apstiprināšanai (242). Pirms izlūkošanas prioritātes tiek ierosinātas prezidentam, direktoram saskaņā ar IR Nr. 14086 ir jāsaņem ODNI CLPO sagatavots novērtējums par katru prioritāti attiecībā uz to, vai tā 1) sekmē vienu vai vairākus IR uzskaitītos likumīgos mērķus, 2) tā nav paredzēta sakaru izlūkdatu vākšanai, un nav paredzams, ka tās dēļ šādi dati tiks vākti, lai sasniegtu IR uzskaitītos aizliegtos mērķus, un 3) tā tika izveidota, pienācīgi ņemot vērā visu personu privātumu un pilsoniskās brīvības, neatkarīgi no to valstspiederības vai dzīvesvietas (243). Ja direktors nepiekrīt CLPO novērtējumam, abi viedokļi ir jāiesniedz prezidentam (244).

(136)

Tāpēc šis process jo īpaši nodrošina, ka privātuma apsvērumi tiek ņemti vērā jau sākotnējā posmā, kad tiek izstrādātas izlūkošanas prioritātes.

(137)

Otrkārt, kad izlūkošanas prioritāte ir noteikta, lēmumu par to, vai un kādā apjomā var vākt sakaru izlūkdatus, lai veicinātu šādas prioritātes īstenošanu, nosaka vairākas prasības. Ar šīm prasībām tiek praksē ieviesti IR Nr. 2. iedaļas a) punktā noteiktie visaptverošie nepieciešamības un samērīguma standarti.

(138)

Jo īpaši sakaru izlūkdatus drīkst vākt tikai “pēc tam, kad, pamatojoties uz visu attiecīgo faktoru saprātīgu novērtējumu, ir konstatēts, ka vākšana ir nepieciešama, lai veicinātu konkrētas izlūkošanas prioritātes īstenošanu” (245). Nosakot, vai konkrēta sakaru izlūkošanas datu vākšanas darbība ir nepieciešama, lai veicinātu apstiprinātas izlūkošanas prioritātes īstenošanu, ASV izlūkošanas aģentūrām ir jāapsver citu mazāk invazīvu avotu un metožu pieejamība, iespējamība un piemērotība, arī no diplomātiskiem un publiskiem avotiem (246). Prioritāte jāpiešķir šādiem alternatīviem, mazāk invazīviem avotiem un metodēm, ja tādi ir pieejami (247).

(139)

Ja, piemērojot šādus kritērijus, sakaru izlūkdatu vākšana tiek uzskatīta par nepieciešamu, tai jābūt “pēc iespējas pielāgotai” un tā “nedrīkst nesamērīgi ietekmēt privātumu un pilsoniskās brīvības” (248). Lai novērstu nesamērīgu ietekmi uz privātumu un pilsoniskajām brīvībām, t. i., lai panāktu pienācīgu līdzsvaru starp nacionālās drošības vajadzībām un privātuma un pilsonisko brīvību aizsardzību, pienācīgi jāņem vērā visi attiecīgie faktori, piemēram, sasniedzamā mērķa raksturs, vākšanas darbības intensitāte, tajā skaitā tās ilgums, iespējamais vākšanas ieguldījums izvirzītā mērķa sasniegšanā, pamatoti paredzamās sekas fiziskām personām un vācamo datu raksturs un sensitivitāte (249).

(140)

Attiecībā uz sakaru izlūkošanas datu vākšanas veidu – datu vākšanai Amerikas Savienotajās Valstīs, kas ir visrelevantākā attiecībā uz šo aizsardzības līmeņa pietiekamības konstatējumu, jo tā attiecas uz datiem, kuri ir nosūtīti organizācijām ASV, vienmēr jābūt mērķorientētai, kā sīkāk paskaidrots 142.–153. apsvērumā.

(141)

Pamatojoties uz IR Nr. 12333, “lielapjoma datu vākšana” (250) ir veicama tikai ārpus Amerikas Savienotajām Valstīm. Arī šajā gadījumā saskaņā ar IR Nr. 14086 par prioritāru ir jānosaka mērķorientēta vākšana (251). Turpretī lielapjoma datu vākšana ir atļauta tikai tad, ja informāciju, kas nepieciešama, lai veicinātu apstiprinātas izlūkošanas prioritātes īstenošanu, nevar pamatoti iegūt ar mērķorientētu vākšanu (252). Ja ir nepieciešams veikt lielapjoma datu vākšanu ārpus Amerikas Savienotajām Valstīm, saskaņā ar IR Nr. 14086 (253) piemēro īpašas garantijas. Pirmkārt, ir jāpiemēro metodes un tehniskie pasākumi, lai vāktu tikai tādus datus, kas nepieciešami apstiprinātās izlūkošanas prioritātes īstenošanai, vienlaikus līdz minimumam samazinot nerelevantas informācijas vākšanu (254). Otrkārt, IR ierobežo savāktās lielapjoma informācijas izmantošanu (arī vaicājumu procedūras) līdz sešiem konkrētiem mērķiem, tajā skaitā šādiem: aizsardzība pret terorismu, ķīlnieku sagrābšanu un personu turēšanu gūstā, ko veic ārvalstu valdība, organizācija vai persona vai kas tiek veikta to vārdā; aizsardzība pret ārvalstu spiegošanu, sabotāžu vai slepkavībām; aizsardzība pret apdraudējumiem, ko rada masu iznīcināšanas ieroču vai ar tiem saistītu tehnoloģiju izplatīšana un draudi utt. (255) Visbeidzot, ar lielapjoma vākšanas metodēm iegūtas sakaru izlūkdatu informācijas vaicājumu procedūras var veikt tikai tad, ja tas ir nepieciešams, lai sasniegtu apstiprinātu izlūkošanas prioritāti, īstenojot šos sešus mērķus un saskaņā ar politiku un procedūrām, kurās pienācīgi ņemta vērā vaicājumu ietekme uz visu personu privātumu un pilsoniskajām brīvībām neatkarīgi no to valstspiederības vai dzīvesvietas (256).

(142)

Papildus IR Nr. 14086 prasībām uz Amerikas Savienotajās Valstīs esošai organizācijai nosūtītiem datiem, kas savākti sakaru izlūkošanas nolūkos, attiecas īpaši ierobežojumi un garantijas, ko reglamentē FISA 702. pants (257). FISA 702. pants ļauj ar ASV elektronisko sakaru pakalpojumu sniedzēju palīdzību, kas sniedzama obligāti, iegūt ārējo izlūkošanas informāciju, novērojot personas, kuras nav ASV personas un par kurām ir pamats uzskatīt, ka tās atrodas ārpus Amerikas Savienotajām Valstīm (258). Lai vāktu ārējās izlūkošanas informāciju saskaņā ar FISA 702. pantu, ģenerālprokurors un nacionālās izlūkošanas direktors katru gadu iesniedz Ārējās izlūkošanas uzraudzības tiesai (FISC) apliecinājumus, kuros noteiktas iegūstamās ārējās izlūkošanas informācijas kategorijas (259). Apliecinājumiem jāpievieno mērķorientēšanas, minimizācijas un vaicājumu procedūras, kuras arī ir apstiprinājusi Tiesa un kuras ir juridiski saistošas ASV izlūkošanas aģentūrām.

(143)

FISC ir neatkarīga tiesa (260), kura izveidota ar federālo likumu un kuras lēmumus var pārsūdzēt Ārējās izlūkošanas uzraudzības pārskatīšanas tiesā (FISCR) (261) un, visbeidzot, Amerikas Savienoto Valstu Augstākajā tiesā (262). FISC (un FISCR) palīdz pastāvīga kolēģija, kuras sastāvā ir pieci juristi un pieci tehniskie speciālisti, kas ir kompetenti gan nacionālās drošības jautājumos, gan pilsonisko brīvību jomā (263). No šīs grupas tiesa ieceļ personu, kas darbojas kā amicus curiae, lai palīdzētu izskatīt jebkuru rīkojuma vai pārskatīšanas pieteikumu, kas, pēc tiesas ieskatiem, sniedz jaunu vai būtisku likuma interpretāciju, ja vien tiesa nesecina, ka šāda iecelšana ir neatbilstīga (264). Tas jo īpaši nodrošina, ka tiesas novērtējumā ir pienācīgi atspoguļoti privātuma apsvērumi. Tiesa var iecelt arī personu vai organizāciju, kas darbojas kā amicus curiae, arī lai sniegtu tehnisko ekspertīzi, kad vien uzskata to par nepieciešamu, vai arī, pamatojoties uz pieprasījumu, ļaut personai vai organizācijai pagarināt amicus curiae darbības termiņu (265).

(144)

FISC izskata sertifikātu un saistīto procedūru (jo īpaši mērķorientēšanas un minimizēšanas procedūru) atbilstību FISA prasībām. Ja tā uzskata, ka prasības nav izpildītas, tā var pilnībā vai daļēji atteikt sertifikāciju un pieprasīt grozīt procedūras (266). Šajā sakarā FISC ir vairākkārt apstiprinājusi, ka, izskatot 702. panta mērķorientēšanas un minimizēšanas procedūras, tā neaprobežojas tikai ar rakstiskām procedūrām, bet izskata arī to, kā šīs procedūras īsteno valdība (267).

(145)

Individualizētus lēmumus par mērķorientēšanu pieņem Nacionālā drošības aģentūra (National Security Agency (NSA) – izlūkošanas aģentūra, kas atbilstīgi FISA 702. pantam ir atbildīga par mērķorientēšanu) saskaņā ar FISC apstiprinātām mērķorientēšanas procedūrām, kuras paredz, ka NSA, pamatojoties uz visu apstākļu kopumu, jānovērtē, vai, veicot mērķtiecīgu izlūkošanu pret konkrētu personu, būs iespējams iegūt sertifikācijas apliecinājumā norādītu ārējās izlūkošanas informācijas kategorija (268). Šim novērtējumam jābūt konkrētam un balstītam uz faktiem, pamatotam ar analītisku vērtējumu, specializētām analītiķa zināšanām un pieredzi, kā arī iegūstamās ārējās izlūkošanas informācijas raksturu (269). Mērķorientēšana tiek veikta, identificējot tā dēvētos selektorus, ar ko identificē konkrētus saziņas līdzekļus, piemēram, izlūkošanas subjekta e-pasta adresi vai tālruņa numuru, bet nekad atslēgvārdus vai fizisku personu vārdus (270).

(146)

NSA analītiķi vispirms identificēs ārvalstīs esošas personas, kuras nav ASV personas un kuru novērošana, pamatojoties uz analītiķu novērtējumu, ļaus iegūt attiecīgos ārējās izlūkošanas datus, kas norādīti apliecinājumā (271). Kā izklāstīts NSA mērķorientēšanas procedūrās, NSA var vērst novērošanu pret kādu izlūkošanas subjektu tikai tad, ja tā par šo subjektu jau ir ieguvusi kādu informāciju (272). Tā var izrietēt no informācijas, kas iegūta no dažādiem avotiem, piemēram, cilvēku veiktas izlūkošanas. Izmantojot šos citus avotus, analītiķim ir jāuzzina arī par konkrētu selektoru (t. i., saziņas kontu), ko izmanto potenciālais izlūkošanas subjekts. Kad ir identificētas atsevišķas personas un to izsekošana ir apstiprināta ar plašu pārskatīšanas mehānismu NSA (273) ietvaros, tiks piešķirti (t. i. izstrādāti un piemēroti) selektori, kas identificē izlūkošanas subjektu sakaru līdzekļus (piemēram, e-pasta adreses) (274).

(147)

NSA ir jādokumentē faktiskais pamats izlūkošanas subjekta izvēlei (275) un regulāri pēc sākotnējās mērķorientēšanas jāapstiprina, ka mērķorientēšanas standarts joprojām tiek ievērots (276). Kad mērķorientēšanas standarts vairs netiek ievērots, informācijas vākšana ir jāpārtrauc (277). NSA veikto katra izlūkošanas subjekta izvēli, kā arī katra reģistrētā mērķorientēšanas novērtējuma un pamatojuma uzskaiti reizi divos mēnešos pārbauda Tieslietu ministrijas izlūkošanas pārraudzības biroju amatpersonas, kurām ir pienākums ziņot FISC un Kongresam par jebkādiem pārkāpumiem (278). NSA rakstiskā dokumentācija atvieglo FISC veikto pārraudzību attiecībā uz to, vai mērķtiecīga vēršanās pret konkrētām fiziskajām personām ir veikta pareizi saskaņā ar FISA 702. pantu un atbilstīgi tās uzraudzības pilnvarām, kas aprakstītas 173. un 174. apsvērumā (279). Visbeidzot, nacionālās izlūkošanas direktoram (DNI) katru gadu publiskos ikgadējos statistikas pārredzamības ziņojumos ir jāziņo arī par kopējo saskaņā ar FISA 702. pantu noteikto izlūkošanas subjektu skaitu. Uzņēmumi, kas saņem FISA 702. panta direktīvas, datus par saņemtajiem pieprasījumiem var publicēt apkopotā veidā (pārredzamības ziņojumos) (280).

(148)

Attiecībā uz citiem juridiskajiem pamatiem personas datu vākšanai, kas nosūtīti organizācijām ASV, piemēro dažādus ierobežojumus un garantijas. Kopumā datu lielapjoma vākšana ir konkrēti aizliegta saskaņā ar FISA 402. pantu (par zvanīto numuru reģistrētāju un uztveršanas un izsekošanas ierīču izmantošanu), tāpat ir aizliegta šāda vākšana ar nacionālās drošības vēstuļu palīdzību, un tā vietā tiek prasīts izmantot īpašus “atlases noteikumus” (281).

(149)

Lai veiktu tradicionālo individualizēto elektronisko novērošanu (saskaņā ar FISA 105. pantu), izlūkošanas aģentūrām jāiesniedz pieteikums FISC, kuram pievienots faktu un apstākļu izklāsts, kas pamato pārliecību, ka pastāv pamatots iemesls uzskatīt, ka attiecīgo saziņas līdzekli izmanto vai gatavojas izmantot sveša vara vai svešas varas aģents (282). FISC citustarp novērtēs, vai, pamatojoties uz iesniegtajiem faktiem, ir pamatots iemesls uzskatīt, ka tas patiešām ir šāds gadījums (283).

(150)

Lai, pamatojoties uz FISA 301. pantu, veiktu kratīšanu telpās vai īpašumā, kuras rezultātā paredzēts pārbaudīt, konfiscēt utt. informāciju, materiālus vai īpašumu (piemēram, datorierīci), ir jāiesniedz FISC rīkojuma saņemšanas (284) pieteikums. Šādā pieteikumā citustarp ir jānorāda, ka ir pamatots iemesls uzskatīt, ka kratīšanas mērķis ir kāda sveša vara vai svešas varas aģents; ka telpā vai īpašumā, kurās veicama kratīšana, ir ārējās izlūkošanas informācija un ka telpas, kurās veicama kratīšana, to izmanto kāda sveša vara (vai tās aģents), tā ir kādas svešas varas (aģenta) īpašumā, valdījumā, turējumā vai tiek pārvesta uz svešu varu (aģentam) vai no tās (no aģenta) (285).

(151)

Tāpat, lai uzstādītu zvanīto numuru reģistrētājus vai uztveršanas un izsekošanas ierīces (saskaņā ar FISA 402. pantu), ir jāiesniedz FISC (vai ASV miertiesneša) rīkojuma saņemšanas pieteikums un jāizmanto īpašs atlases nosacījums, t. i., nosacījums, kas konkrēti identificē personu, kontu utt. un tiek izmantots, lai maksimāli ierobežotu pieprasītās informācijas apmēru (286). Šī pilnvara nav saistīta ar paziņojumu saturu, bet drīzāk ir ar mērķi informēt par klientu vai abonentu, kas izmanto pakalpojumu (piemēram, vārds un uzvārds, adrese, abonenta numurs, saņemtā pakalpojuma ilgums/veids, maksājuma avots/līdzeklis).

(152)

FISA 501. pantā (287), kas ļauj vākt pārvadātāja (t. i., jebkuras personas vai organizācijas, kas par atlīdzību pārvadā cilvēkus vai īpašumu pa sauszemi, dzelzceļu, ūdeni vai gaisu), publiskas izmitināšanas iestādes (piemēram, viesnīcas, moteļa vai kroga), transportlīdzekļu nomas iestādes vai fiziskas noliktavas (t. i., iestādes, kas nodrošina vietu preču un materiālu uzglabāšanai vai sniedz ar to saistītus pakalpojumus) (288) komercdarbības dokumentus, arī noteikts, ka nepieciešams iesniegt pieteikumu FISC vai miertiesnesim. Šajā pieteikumā ir jānorāda pieprasītie dokumenti un konkrēti un skaidri formulēti fakti, kas dod pamatu uzskatīt, ka persona, uz kuru dokumenti attiecas, ir kāda sveša vara vai svešas varas aģents (289).

(153)

Visbeidzot, NSL ir atļautas ar dažādiem likumiem un ļauj izmeklēšanas iestādēm no konkrētām struktūrām (piemēram, finanšu iestādēm, kredītinformācijas aģentūrām, elektronisko sakaru pakalpojumu sniedzējiem) iegūt konkrētu informāciju (kas neietver saziņas saturu), kura iekļauta kredītinformācijā, finanšu pārskatos un elektroniskajos abonentu un darījumu reģistros (290). Likumu par NSL, kas atļauj piekļuvi elektroniskās saziņas saturam, var izmantot tikai FIB, un tajos ir noteikts, ka pieprasījumos ir jāizmanto nosacījums, kas konkrēti identificē personu, struktūru, tālruņa numuru vai kontu, un jāapliecina, ka informācija ir relevanta atļautai nacionālās drošības izmeklēšanai, lai nodrošinātu aizsardzību pret starptautisko terorismu vai slepenām izlūkošanas darbībām (291). NSL saņēmējiem ir tiesības to apstrīdēt tiesā (292).

(154)

Uz to personas datu apstrādi, ko ASV izlūkošanas aģentūras savākušas, izmantojot sakaru izlūkošanu, attiecas vairākas garantijas.

(155)

Pirmkārt, katrai izlūkošanas aģentūrai ir jānodrošina pienācīga datu drošība un jānovērš nepilnvarotu personu piekļuve personas datiem, kas iegūti, izmantojot sakaru izlūkošanu. Šajā sakarā dažādos instrumentos, to skaitā likumos, pamatnostādnēs un standartos, ir sīkāk precizētas obligāti ieviešamas informācijas drošības prasības (piemēram, daudzfaktoru autentifikācija, šifrēšana u. c.) (293). Piekļūt savāktajiem datiem drīkst tikai pilnvaroti, apmācīti darbinieki, kuriem šī informācija ir nepieciešama savu darba pienākumu veikšanai (294). Raugoties vispārīgāk, izlūkošanas aģentūrām ir jānodrošina saviem darbiniekiem atbilstoša apmācība, arī par procedūrām, kuras ievēro, ziņojot par tiesību aktu pārkāpumiem un tos novērš (arī IR Nr. 14086) (295).

(156)

Otrkārt, izlūkošanas aģentūrām ir jāievēro izlūkošanas kopienas precizitātes un objektivitātes standarti, jo īpaši attiecībā uz datu kvalitātes un uzticamības nodrošināšanu, alternatīvu informācijas avotu apsvēršanu un objektivitāti analīžu veikšanā (296).

(157)

Treškārt, attiecībā uz datu saglabāšanu IR Nr. 14086 ir precizēts, ka uz tādu personu personas datiem, kas nav ASV personas, attiecas tie paši saglabāšanas termiņi, kuri attiecas uz ASV personu personas datiem (297). Izlūkošanas aģentūrām ir jānosaka konkrēti saglabāšanas termiņi un/vai faktori, kas jāņem vērā, lai noteiktu atbilstošo saglabāšanas termiņu (piemēram, vai informācija ir noziedzīga nodarījuma pierādījums; vai informācija ir uzskatāma par ārējas izlūkošanas informāciju; vai informācija ir nepieciešama, lai aizsargātu personu vai organizāciju drošību, ieskaitot starptautiskā terorisma upurus vai mērķus), kas ir definēts citos tiesību instrumentos (298).

(158)

Ceturtkārt, īpašus noteikumus piemēro tādu personas datu izplatīšanai, kas iegūti, izmantojot sakaru izlūkošanu. Vispārīga prasība paredz, ka personas datus par personām, kas nav ASV personas, drīkst izplatīt tikai tad, ja tā ir tāda paša veida informācija, kādu var izplatīt par ASV personām, piemēram, informācija, kas vajadzīga, lai aizsargātu kādas personas vai organizācijas drošību (piemēram, starptautisko teroristu organizāciju mērķus, upurus vai ķīlniekus) (299). Turklāt personas datus nedrīkst izplatīt tikai personas valstspiederības vai dzīvesvietas valsts dēļ vai lai apietu IR Nr. 14086 prasības (300). Izplatīšana ASV valdības ietvaros var notikt tikai tad, ja pilnvarotai un apmācītai personai ir pamatota pārliecība, ka saņēmējam šī informācija (301) ir nepieciešama un ka saņēmējs to pienācīgi aizsargās (302). Lai noteiktu, vai personas datus var izplatīt saņēmējiem ārpus ASV valdības (tajā skaitā ārvalstu valdībai vai starptautiskai organizācijai), ir jāņem vērā izplatīšanas nolūks, izplatāmo datu veids un apjoms, kā arī iespējamā negatīvā ietekme uz attiecīgo(-ajām) personu(-ām) (303).

(159)

Visbeidzot, arī lai atvieglotu piemērojamo juridisko prasību ievērošanas pārraudzību, kā arī efektīvu tiesiskās aizsardzības līdzekļu izmantošanu, saskaņā ar IR Nr. 14086 katrai izlūkošanas aģentūrai ir jāglabā atbilstoša dokumentācija par sakaru izlūkdatu vākšanu. Dokumentācijas prasības attiecas uz tādiem elementiem kā faktu bāze novērtējumam, vai konkrēta vākšanas darbība ir nepieciešama, lai veicinātu apstiprinātas izlūkošanas prioritātes īstenošanu (304).

(160)

Papildus minētajiem IR Nr. 14086 paredzētajiem drošības pasākumiem attiecībā uz sakaru izlūkošanas ietvaros savāktajiem datiem uz visām ASV izlūkošanas aģentūrās attiecas arī vispārīgākas prasības par nolūka ierobežošanu, datu minimizēšanu, precizitāti, drošību, saglabāšanu un izplatīšanu, kas izriet jo īpaši no OMB Circular Nr. A-130, E-pārvaldes likuma, Federālā reģistru likuma (sk. 101.–106. apsvērumu) un Nacionālās drošības sistēmu komitejas (CNSS) norādījumiem (305).

(161)

ASV izlūkošanas aģentūru darbību uzrauga dažādas iestādes.

(162)

Pirmkārt, IR Nr. 14086 prasīts, lai katrā izlūkošanas aģentūrā būtu augsta līmeņa juridiskās, pārraudzības un atbilstības amatpersonas, kas nodrošinātu atbilstību piemērojamajiem ASV tiesību aktiem (306). Jo īpaši tām ir periodiski jāpārrauga sakaru izlūkošanas darbības un jānodrošina, ka tiek novērstas jebkādas neatbilstības. Izlūkošanas aģentūrām jānodrošina šādām amatpersonām piekļuve visai relevantajai informācijai, lai tās varētu veikt pārraudzības funkcijas, un aģentūras nedrīkst veikt nekādas darbības, lai kavētu vai neatbilstoši ietekmētu to pārraudzības darbības (307). Turklāt par jebkuru būtisku neatbilstības incidentu (308), ko konstatē pārraudzības amatpersona vai jebkurš cits darbinieks, nekavējoties jāziņo izlūkošanas aģentūras vadītājam un nacionālās izlūkošanas direktoram, kam jānodrošina, ka tiek veikti visi nepieciešamie pasākumi, lai novērstu un nepieļautu būtiska neatbilstības incidenta atkārtošanos (309).

(163)

Šo pārraudzības funkciju veic amatpersonas, kas ir atbildīgas par atbilstības nodrošināšanu, kā arī privātuma un pilsonisko brīvību amatpersonas un ģenerālinspektori (310).

(164)

Tāpat kā krimināltiesību aizsardzības iestāžu gadījumā, privātuma un pilsonisko brīvību amatpersonas ir visās izlūkošanas aģentūrās (311). Šo amatpersonu pilnvaras parasti ietver tādu procedūru uzraudzību, kuras nodrošina, ka attiecīgā ministrija/aģentūra adekvāti izskata ar privātumu un pilsoniskajām brīvībām saistītus jautājumus un ir ieviesusi atbilstošas procedūras, ar kurām risināt sūdzības no fiziskām personām, kas uzskata, ka ir aizskarts viņu privātums un pilsoniskās brīvības (un atsevišķos gadījumos, piemēram Nacionālās izlūkošanas direktora biroja (ODNI) gadījumā, šīm amatpersonām pašām ir tiesības izmeklēt sūdzības (312)). Izlūkošanas aģentūru vadītājiem ir jānodrošina, lai privātuma un pilsonisko brīvību amatpersonām būtu resursi viņu pilnvaru īstenošanai, lai tām būtu pieejami visi viņu funkciju veikšanai nepieciešamie materiāli un personāls, lai viņas tiktu informētas par ierosinātajām politikas izmaiņām un ar viņām apspriestos par tām (313). Privātuma un pilsonisko brīvību amatpersonas periodiski ziņo Kongresam un PCLOB, arī par ministrijā/aģentūrā saņemto sūdzību skaitu un raksturu, un sniedz kopsavilkumu par šādu sūdzību izskatīšanu, veiktajām pārbaudēm un izmeklēšanām un amatpersonas veikto darbību ietekmi (314).

(165)

Otrkārt, katrai izlūkošanas aģentūrai ir neatkarīgs ģenerālinspektors, kura pienākums, cita starpā, ir pārraudzīt ārējās izlūkošanas darbības. ODNI ietvaros tas ir Izlūkošanas kopienas ģenerālinspektora birojs, kam ir visaptveroša kompetence attiecībā uz visu izlūkošanas kopienu un pilnvaras izmeklēt sūdzības vai informāciju saistībā ar apgalvojumiem par nelikumīgu rīcību vai ļaunprātīgu varas izmantošanu saistībā ar ODNI un/vai izlūkošanas kopienas programmām un darbībām (315). Tāpat kā krimināltiesību aizsardzības iestāžu gadījumā (sk. 109. apsvērumu), šādi ģenerālinspektori saskaņā ar likumu ir neatkarīgi (316) un ir atbildīgi par revīziju un izmeklēšanu veikšanu saistībā ar programmām un darbībām, ko attiecīgā aģentūra veic valsts izlūkošanas nolūkos, arī attiecībā uz ļaunprātīgu izmantošanu vai likuma pārkāpšanu (317). Tiem ir piekļuve visiem ierakstiem, atskaitēm, revīziju materiāliem, pārskatiem, dokumentiem, materiāliem, ieteikumiem un citiem relevantiem materiāliem, vajadzības gadījumā ar tiesas pavēsti, un tie var iegūt liecības nopratināšanā (318). Ģenerālinspektori nodod lietas, kurās ir aizdomas par noziedzīgiem nodarījumiem, kriminālvajāšanai un sniedz ieteikumus aģentūru vadītājiem par korektīvām darbībām (319). Kaut arī to ieteikumi nav saistoši, to ziņojumi – arī par turpmāku rīcību (vai tās neveikšanu) (320) – parasti tiek publiskoti un nosūtīti Kongresam, kas, pamatojoties uz tiem, var izmantot savu pārraudzības funkciju (sk. 168. un 169. apsvērumu) (321).

(166)

Treškārt, Izlūkošanas pārraudzības padome (IOB), kas ir izveidota Prezidenta izlūkošanas konsultatīvajā padomē (PIAB) pārrauga to, kā ASV izlūkošanas iestādes ievēro Konstitūciju un visus piemērojamos noteikumus (322). PIAB ir konsultatīva struktūra, kas darbojas Prezidenta izpildbirojā – tās sastāvā ir 16 locekļi, kuri nav saistīti ar ASV valdību un kurus ieceļ prezidents. IOB sastāvā ir ne vairāk kā pieci locekļi, kurus no PIAB locekļu vidus ieceļ priekšsēdētājs. Saskaņā ar IR Nr. 12333 (323) visu izlūkošanas aģentūru vadītājiem ir pienākums ziņot IOB par ikvienu izlūkošanas darbību, par kuru ir pamats uzskatīt, ka tā varētu būt nelikumīga vai pretrunā izpildrīkojumam vai prezidenta direktīvai. Lai nodrošinātu, ka IOB ir piekļuve informācijai, kas nepieciešama tās funkciju veikšanai, izpildrīkojumā Nr. 13462 ir uzdots nacionālās izlūkošanas direktoram un izlūkošanas aģentūru vadītājiem sniegt visu informāciju un palīdzību, ko IOB uzskata par nepieciešamu tās funkciju veikšanai, ciktāl to atļauj likums (324). Savukārt IOB ir pienākums informēt prezidentu par izlūkošanas darbībām, kas, pēc tās domām, varētu būt pretrunā ASV tiesību aktiem (arī izpildrīkojumiem) un ko pienācīgi nenovērš ģenerālprokurors, nacionālās izlūkošanas direktors vai izlūkošanas aģentūras vadītājs (325). Turklāt IOB ir pienākums informēt ģenerālprokuroru par iespējamiem krimināltiesību pārkāpumiem.

(167)

Ceturtkārt, izlūkošanas aģentūrās ir pakļautas PCLOB pārraudzībai. Saskaņā ar PCLOB dibināšanas statūtiem tai ir uzticēti pienākumi pretterorisma politikas un tās īstenošanas jomā ar mērķi aizsargātu privātumu un pilsoniskās brīvības. Pārbaudot izlūkošanas aģentūru darbības, tā var piekļūt visiem attiecīgo aģentūru ierakstiem, atskaitēm, revīziju materiāliem, pārskatiem, dokumentiem, materiāliem un ieteikumiem (arī klasificētai informācijai), veikt nopratināšanu un uzklausīt liecības (326). Tā saņem ziņojumus no dažādu federālo ministriju/aģentūru pilsonisko brīvību un privātuma amatpersonām (327), var izdot ieteikumus valdībai un izlūkošanas aģentūrām un regulāri sniedz atskaites Kongresa komitejām un prezidentam (328). Padomes ziņojumi – arī Kongresam adresētie – jādara maksimāli publiski pieejami (329). PCLOB ir publicējusi vairākus ziņojumus par pārraudzību un turpmākiem pasākumiem, tajā skaitā analīzi par programmām, kas tiek īstenotas, pamatojoties uz FISA 702. pantu, un privātuma aizsardzību šajā kontekstā, kā arī PPD 28 un IR Nr. 12333 īstenošanu (330). PCLOB ir uzdots arī veikt īpašas pārraudzības funkcijas saistībā ar IR Nr. 14086 īstenošanu, jo īpaši pārbaudot, vai aģentūras procedūras atbilst IR (sk. 126. apsvērumu), un izvērtējot tiesiskās aizsardzības mehānisma darbību (sk. 194. apsvērumu).

(168)

Piektkārt, papildus pārraudzības mehānismiem izpildvarā par visu ASV ārējās izlūkošanas darbību pārraudzību atbildīgas ir arī īpašas ASV Kongresa komitejas (Pārstāvju palātas un Senāta Izlūkošanas komiteja un Tieslietu komiteja). Šo komiteju locekļiem ir piekļuve klasificētai informācijai, kā arī izlūkošanas metodēm un programmām (331). Šīs komitejas savas pārraudzības funkcijas īsteno dažādos veidos, jo īpaši uzklausīšanas, izmeklēšanas, pārskatu un ziņojumu veidā (332).

(169)

Kongresa komitejas regulāri saņem ziņojumus par izlūkošanas darbībām, tajā skaitā no ģenerālprokurora, nacionālās izlūkošanas direktora, izlūkošanas aģentūrām un citām pārraudzības struktūrām (piemēram, ģenerālinspektoriem), sk. 164. un 165. apsvērumu. Jo īpaši saskaņā ar Nacionālās drošības likumu “prezidents nodrošina, ka Kongresa izlūkošanas komitejas tiek pilnībā un vienmēr informētas par Amerikas Savienoto Valstu izlūkošanas darbībām, tajā skaitā par jebkādu nozīmīgu gaidāmu izlūkošanas darbību, kas vajadzīga saskaņā ar šo apakšnodaļu” (333). Turklāt “prezidents nodrošina, ka Kongresa izlūkošanas komitejām nekavējoties tiek ziņots par ikvienu izlūkošanas darbību, kā arī ikvienu korektīvu darbību, kas ir veikta vai tiek plānota saistībā ar šādu nelikumīgu rīcību” (334).

(170)

Turklāt no īpašiem likumiem izriet papildu ziņošanas prasības. Piemēram, FISA paredz, ka ģenerālprokuroram ir “pilnībā jāinformē” Senāta un Pārstāvju palātas Izlūkošanas un Tieslietu komitejas par valdības darbībām saskaņā ar atsevišķiem FISA pantiem (335). Tajā arī noteikts, ka valdībai ir jāiesniedz Kongresa komitejām “kopijas visiem lēmumiem, rīkojumiem vai atzinumiem, ko izdevusi FISC vai FISCR un kas ietver”FISA noteikumu “būtisku izskaidrojumu vai interpretāciju”. Attiecībā uz novērošanu saskaņā ar FISA 702. pantu Kongresa palātu īstenotu pārraudzību veic ar likumā noteiktiem ziņojumiem Izlūkošanas un Tieslietu komitejām, kā arī regulārām instruktāžām un uzklausīšanām. Tajā skaitā ir ģenerālprokurora pusgada ziņojums, kurā aprakstīta FISA 702. panta izmantošana, ar pievienotiem apliecinošiem dokumentiem, tajā skaitā Tieslietu ministrijas un ODNI atbilstības ziņojumi un jebkādu neatbilstības gadījumu apraksts (336), kā arī atsevišķs ģenerālprokurora un NID pusgada novērtējums, kurā dokumentēta atbilstība mērķorientēšanas un minimizācijas procedūrām (337).

(171)

Turklāt FISA ir noteikts, ka ASV valdībai katru gadu ir jāatklāj Kongresam (un sabiedrībai) FISA pieprasīto un saņemto rīkojumu skaits, kā arī cita starpā ASV personu un to personu, kas nav ASV personas, skaita aplēses, pret kurām vērsta novērošana (338). Ar likumu ir noteikta papildu publiska ziņošana par izdoto nacionālās drošības vēstuļu skaitu, atkal attiecībā gan uz ASV personām, gan personām, kas nav ASV personas (vienlaikus atļaujot FISA rīkojumu un apliecinājumu, kā arī nacionālās drošības vēstuļu pieprasījumu saņēmējiem noteiktos apstākļos izdot pārredzamības ziņojumus) (339).

(172)

Raugoties vispārīgāk, ASV izlūkošanas kopiena veic dažādus pasākumus, lai nodrošinātu pārredzamību saistībā ar to īstenotajām (ārējās) izlūkošanas darbībām. Piemēram, 2015. gadā ODNI pieņēma izlūkošanas pārredzamības principus un pārredzamības īstenošanas plānu, kā arī uzdeva katrai izlūkošanas aģentūrai iecelt izlūkošanas pārredzamības amatpersonu, lai veicinātu pārredzamību un vadītu pārredzamības iniciatīvas (340). Šo centienu ietvaros izlūkošanas kopienas struktūras ir publiskojušas un turpina publiskot deklasificētas daļas no politikas, procedūrām, pārraudzības ziņojumiem, ziņojumiem par darbībām, kas veiktas saskaņā ar FISA 702. pantu un IR Nr. 12333, FISC lēmumiem un citiem materiāliem, arī tam īpaši paredzētā tīmekļa lapā “IC on the Record”, ko pārvalda ODNI (341).

(173)

Visbeidzot, personas datu vākšanu saskaņā ar FISA 702. pantu papildus 162.–168. apsvērumā minētajai pārraudzības iestāžu veiktajai uzraudzībai pārrauga arī FISC (342). Saskaņā ar FISC reglamenta 13. noteikumu ASV izlūkošanas aģentūru atbilstības amatpersonām par jebkādiem FISA 702. panta mērķorientēšanas, minimizēšanas un vaicājumu procedūru pārkāpumiem ir jāziņo DoJ un ODNI, kas savukārt par tiem ziņo FISC. Turklāt DoJ un ODNI reizi pusgadā iesniedz FISC kopīgus pārraudzības novērtējuma ziņojumus, kuros ir norādītas mērķorientēšanas atbilstības tendences; sniegti statistikas dati; aprakstītas atbilstības incidentu kategorijas; detalizēti aprakstīti iemesli, kādēļ ir notikuši konkrēti mērķorientēšanas atbilstības incidenti, un izklāstīti pasākumi, ko izlūkošanas aģentūras ir veikušas, lai izvairītos no šādu incidentu atkārtošanās (343).

(174)

Vajadzības gadījumā (piemēram, ja tiek konstatēti mērķorientēšanas procedūru pārkāpumi) Tiesa var uzdot attiecīgajai izlūkošanas aģentūrai veikt koriģējošus pasākumus (344). Attiecīgie koriģējošie pasākumi var būt gan individuāli, gan strukturāli, piemēram, no datu iegūšanas pārtraukšanas un nelikumīgi iegūto datu dzēšanas līdz datu vākšanas prakses maiņai, arī attiecībā uz vadlīnijām un darbinieku apmācību (345). Turklāt, katru gadu pārskatot 702. panta sertifikācijas apliecinājumus, FISC izskata neatbilstības incidentus, lai noteiktu, vai iesniegtie apliecinājumi atbilst FISA prasībām. Tāpat, ja FISC konstatē, ka valdības apliecinājumi nav bijuši pietiekami, tajā skaitā konkrētu atbilstības incidentu dēļ, tā var izdot tā dēvēto rīkojumu par nepilnībām, kurā prasīts valdībai 30 dienu laikā novērst pārkāpumu vai kurā prasīts valdībai pārtraukt vai neuzsākt 702. panta apliecinājuma īstenošanu. Visbeidzot, FISC izvērtē konstatēto atbilstības problēmu tendences un var pieprasīt procedūru izmaiņas vai papildu pārraudzības un ziņošanas pasākumus, lai uzlabotu atbilstības tendences (346).

(175)

Kā sīkāk paskaidrots šajā iedaļā, Amerikas Savienotajās Valstīs ir vairāki veidi, kā nodrošināt datu subjektiem Savienībā iespēju celt prasību neatkarīgā un objektīvā tiesā, kas var pieņemt tiesiski saistošus lēmumus. Kopā tie dod iespēju fiziskām personām piekļūt saviem personas datiem, pieprasīt, lai tiktu pārbaudīts, vai valdība to datiem piekļūst likumīgi, un, ja tiek konstatēts pārkāpums, pieprasīt, lai šāds pārkāpums tiktu novērsts – tajā skaitā, lai personas dati tiktu izlaboti vai dzēsti.

(176)

Pirmkārt, saskaņā ar IR Nr. 14086 ir izveidots īpašs tiesiskās aizsardzības mehānisms, ko papildina ĢP noteikumi, ar ko izveido Datu aizsardzības pārskatīšanas tiesu, lai tā izskatītu un risinātu fizisku personu sūdzības par ASV sakaru izlūkošanas darbībām. Ikvienai fiziskai personai no ES ir tiesības iesniegt sūdzību tiesiskās aizsardzības mehānismam par ASV tiesību aktu, ar ko reglamentē sakaru izlūkošanas darbības (piemēram, IR Nr. 14086, FISA 702. pants, IR Nr. 12333) iespējamu pārkāpumu, kas negatīvi ietekmē šīs personas privātuma un pilsonisko brīvību intereses (347). Šis tiesiskās aizsardzības mehānisms ir pieejams fiziskām personām no valstīm vai reģionālām ekonomiskās integrācijas organizācijām, kuras ASV ģenerālprokurors ir atzinis par “kvalificētām valstīm” (348). Eiropas Savienību un trīs Eiropas Brīvās tirdzniecības asociācijas valstis, kas kopā veido Eiropas Ekonomikas zonu, 2023. gada 30. jūnijā ģenerālprokurors saskaņā ar IR Nr. 14086, Section 3(f) EO, atzina par “kvalificētu valsti” (349). Šis apzīmējums neskar Līguma par Eiropas Savienību 4. panta 2. punktu.

(177)

Savienības datu subjektam, kas vēlas iesniegt šādu sūdzību, tā jāiesniedz uzraudzības iestādei ES dalībvalstī, kuras kompetencē ir publisku iestāžu (DAI) veikta personas datu apstrāde (350). Tas nodrošina vieglu piekļuvi tiesiskās aizsardzības mehānismam, ļaujot fiziskām personām vērsties iestādē, kas atrodas “tuvu dzīvesvietai” un ar kuru tās var sazināties savā valodā. Pēc tam kad pārbaudītas 178. apsvērumā minētās prasības attiecībā uz sūdzības iesniegšanu, kompetentā DAI ar Eiropas Datu aizsardzības kolēģijas sekretariāta starpniecību virzīs sūdzību uz tiesiskās aizsardzības mehānismu.

(178)

Sūdzības iesniegšanai tiesiskās aizsardzības mehānismā ir noteiktas zemas pieņemamības prasības, jo fiziskām personām nav jāpierāda, ka ar viņu datiem patiešām veiktas ASV sakaru izlūkošanas darbības (351). Tajā pašā laikā, lai nodrošinātu izejas punktu tiesiskās aizsardzības mehānismam pārbaudes veikšanai, ir jāsniedz noteikta pamatinformācija, piemēram, par personas datiem, par kuriem ir pamats uzskatīt, ka tie ir nosūtīti uz ASV, un līdzekļiem, ar kādiem tie, iespējams, tikuši nosūtīti; to ASV valdības iestāžu identitāte, kuras, domājams, ir iesaistītas iespējamajā pārkāpumā (ja tādas zināmas); pamats apgalvojumam, ka ir noticis ASV tiesību aktu pārkāpums (lai gan arī šajā gadījumā nav nepieciešams pierādīt, ka personas datus patiešām ir vākušas ASV izlūkošanas aģentūras), kā arī pieprasītā koriģējošā pasākuma veids.

(179)

Sākotnējo izmeklēšanu par sūdzībām, kas iesniegtas šim tiesiskās aizsardzības mehānismam, veic ODNI CLPO, kuras pašreizējā likumā noteiktā loma un pilnvaras ir paplašinātas attiecībā uz tām konkrētajām darbībām, kas veiktas saskaņā ar IR Nr. 14086 (352). Izlūkošanas kopienā CLPO cita starpā ir atbildīga par to, lai ODNI un izlūkošanas aģentūru politikā un procedūrās tiktu pienācīgi iekļauta pilsonisko brīvību un privātuma aizsardzība; tā pārrauga, kā ODNI ievēro piemērojamās pilsonisko brīvību un privātuma prasības; un veic ietekmes uz privātumu novērtējumus (353). ODNI CLPO var atbrīvot no amata tikai nacionālās izlūkošanas direktors pamatota iemesla dēļ, proti, pārkāpuma, ļaunprātīgas rīcības, drošības pārkāpuma, nolaidības vai nespējas pildīt amata pienākumus gadījumā (354).

(180)

Veicot pārbaudi, ODNI CLPO ir piekļuve informācijai, kas vajadzīga novērtējuma veikšanai, un šī amatpersona var paļauties uz dažādu izlūkošanas aģentūru privātuma un pilsonisko brīvību amatpersonu palīdzību, kas sniedzama obligāti (355). Izlūkošanas aģentūrām ir aizliegts kavēt vai neatbilstoši ietekmēt ODNI CLPO veiktās pārbaudes. Tas attiecas arī uz nacionālās izlūkošanas direktoru, kurš nedrīkst iejaukties pārbaudē (356). Izskatot sūdzību, ODNI CLPO“tiesību akti jāpiemēro objektīvi”, ņemot vērā gan nacionālās drošības intereses saistībā ar sakaru izlūkošanas darbībām, gan privātuma aizsardzību (357).

(181)

Pārbaudes gaitā ODNI CLPO nosaka, vai ir noticis piemērojamo ASV tiesību aktu pārkāpums, un tādā gadījumā pieņem lēmumu par atbilstošiem korektīviem pasākumiem (358). Ar šādiem korektīviem pasākumiem apzīmē pasākumus, ar kuriem pilnībā novērš konstatēto pārkāpumu, piemēram, pārtrauc nelikumīgu datu iegūšanu, dzēš nelikumīgi iegūtos datus, dzēš neatbilstoši veiktu vaicājumu rezultātus attiecībā uz citādi likumīgi iegūtiem datiem, ierobežo piekļuvi likumīgi iegūtajiem datiem tikai attiecīgi apmācītiem darbiniekiem vai atsauc izlūkošanas ziņojumus, kuros iekļauti dati, kas iegūti bez likumīgas atļaujas vai kas tikuši izplatīti nelikumīgi (359). ODNI CLPO lēmumi par fizisku personu sūdzībām (arī par korektīviem pasākumiem) ir saistoši attiecīgajām izlūkošanas aģentūrām (360).

(182)

ODNI CLPO ir jāsaglabā pārbaudes dokumentācija un jāsagatavo klasificēts lēmums, kurā paskaidrots faktisko konstatējumu pamatojums, sniegts atzinums par to, vai attiecīgais pārkāpums ir noticis, un norādīts atbilstošs korektīvs pasākums (361). Ja ODNI CLPO pārbaudē atklāj kādas FISC pārraudzībā esošas iestādes pārkāpumu, CLPO jāiesniedz arī klasificēts ziņojums nacionālās drošības ģenerālprokurora vietniekam, kura pienākums savukārt ir ziņot par neatbilstību FISC, kas var veikt turpmākas izpildes panākšanas darbības (saskaņā ar 173. un 174. apsvērumā aprakstīto procedūru) (362).

(183)

Kad pārbaude ir pabeigta, ODNI CLPO ar valsts iestādes starpniecību informē sūdzības iesniedzēju, ka “pārbaudē vai nu nav konstatēti nekādi pārkāpumi, vai arī ODNI CLPO ir pieņēmusi lēmumu, kurā pieprasa veikt atbilstošus korektīvus pasākumus” (363). Tas ļauj aizsargāt tādu darbību konfidencialitāti, kas veiktas nolūkā aizsargāt nacionālo drošību, un vienlaikus fiziskajām personām ir sniegts lēmums, kas apliecina, ka viņu sūdzība ir pienācīgi izmeklēta un izskatīta. Turklāt fiziskā persona šo lēmumu var apstrīdēt. Šajā nolūkā fiziskā persona tiks informēta par iespēju pārsūdzēt CLPO lēmumus DPRC (skatīt 184. un nākamos apsvērumus) un par to, ka gadījumā, ja tiks celta prasība Tiesā, tiks izvēlēts īpašs aizstāvis, kas aizstāvēs sūdzības iesniedzēja intereses (364).

(184)

Jebkurš sūdzības iesniedzējs, kā arī katra izlūkošanas kopienas struktūra var lūgt ODNI CLPO lēmuma pārskatīšanu Datu aizsardzības pārskatīšanas tiesā (DPRC). Šādi pārskatīšanas pieteikumi jāiesniedz 60 dienu laikā pēc tam, kad saņemts ODNI CLPO paziņojums par pārbaudes pabeigšanu, un tajos jāiekļauj visa informācija, ko attiecīgā fiziskā persona vēlas sniegt DPRC (piemēram, argumenti par tiesību jautājumiem vai tiesību piemērošanu lietas faktiem) (365). Savienības datu subjekti var atkal iesniegt pieteikumu kompetentajai DAI (sk. 177. apsvērumu).

(185)

DPRC ir neatkarīga tiesa, ko izveidojis ģenerālprokurors, pamatojoties uz IR Nr. 14086 (366). Tās sastāvā ir vismaz seši tiesneši, kurus, apspriežoties ar PCLOB, tirdzniecības sekretāru un nacionālās izlūkošanas direktoru, uz četriem gadiem ieceļ ģenerālprokurors, ar iespēju šo pilnvaru termiņu pagarināt (367). Ģenerālprokurors, ieceļot tiesnešus, vadās pēc kritērijiem, kurus izmanto izpildvara, izvērtējot kandidātus uz federālo tiesu amatiem, kur liela nozīme tiek piešķirta iepriekšējai pieredzei tieslietu jomā (368). Turklāt tiesnešiem ir jābūt praktizējošiem juristiem (t. i., aktīviem advokatūras biedriem ar labu reputāciju un ar atbilstošu licenci praktizēt jurisprudences nozarē), un viņiem ir jābūt atbilstošai pieredzei privātuma un nacionālās drošības tiesību jomā. Ģenerālprokuroram ir jācenšas nodrošināt, lai vismaz pusei tiesnešu jebkurā laikā būtu iepriekšēja pieredze tiesneša amatā, un visiem tiesnešiem ir jābūt drošības pielaidēm, lai varētu piekļūt klasificētai nacionālās drošības informācijai (369).

(186)

DPRC var iecelt tikai tādas fiziskas personas, kuras atbilst 185. apsvērumā minētajām kvalifikācijas prasībām un iecelšanas brīdī nav darbinieki izpildvaras struktūrās vai tādi nav bijuši iepriekšējo divu gadu laikā. Tāpat, kamēr tiesneši pilda amata pienākumus DPRC, viņi nedrīkst pildīt nekādus oficiālus pienākumus vai strādāt ASV valdībā (izņemot tiesneša amatu DPRC) (370).

(187)

Tiesas spriešanas procesa neatkarība tiek nodrošināta ar vairākām garantijām. Jo īpaši izpildvarai (ģenerālprokuroram un izlūkošanas aģentūrām) ir aizliegts iejaukties vai neatbilstoši ietekmēt DPRC veikto pārskatīšanu (371). DPRC pašai ir noteikts pienākums lietas izskatīt objektīvi (372), un tā darbojas saskaņā ar savu reglamentu (kas pieņemts ar balsu vairākumu). Turklāt DPRC tiesnešus var atlaist no amata tikai ģenerālprokurors un tikai pamatotu iemeslu dēļ (t. i., pārkāpuma, ļaunprātīgas rīcības, drošības pārkāpuma, nolaidības vai nespējas pildīt amata pienākumus dēļ), pienācīgi ņēmis vērā federālajiem tiesnešiem piemērojamos standartus, kas paredzēti Noteikumos par procedūrām saistībā ar tiesnešu uzvedību un tiesnešu nespēju pildīt amata pienākumus (Rules for Judicial-Conduct and Judicial-Disability Proceedings) (373).

(188)

Pieteikumus DPRC izskata trīs tiesnešu kolēģijas, tajā skaitā arī kolēģijas sastāva priekšsēdētājs, kam jārīkojas saskaņā ar ASV Tiesnešu rīcības kodeksu (374). Katrai kolēģijai palīdz īpašais aizstāvis (375), kuram ir pieejama visa ar lietu saistītā informācija, arī klasificēta informācija (376). Īpašā aizstāvja uzdevums ir nodrošināt, lai tiktu pārstāvētas sūdzības iesniedzēja intereses un lai DPRC kolēģija būtu labi informēta par visiem relevantajiem tiesību un faktu jautājumiem (377). Lai sīkāk informētu par savu nostāju attiecībā uz pārskatīšanas pieteikumu, ko fiziskas persona iesniegusi DPRC, īpašais aizstāvis rakstisku jautājumu veidā var pieprasīt informāciju no sūdzības iesniedzēja (378).

(189)

DPRC izskata ODNI CLPO izdarītos konstatējumus (gan par to, vai ir noticis piemērojamo ASV tiesību aktu pārkāpums, gan par atbilstošiem korektīviem pasākumiem), pamatojoties vismaz uz ODNI CLPO veiktās izmeklēšanas rezultātiem, kā arī jebkādu informāciju un dokumentāciju, ko iesniedzis sūdzības iesniedzējs, īpašais aizstāvis vai izlūkošanas aģentūra (379). DPRC kolēģijai ir piekļuve visai informācijai, kas nepieciešama pārskatīšanas veikšanai un ko tā var iegūt ar ODNI CLPO starpniecību (kolēģija var, piemēram, lūgt CLPO papildināt tās lietu ar papildu informāciju vai faktiem, ja tas nepieciešams pārskatīšanas veikšanai) (380).

(190)

Noslēdzot pārskatīšanu, DPRC var 1) lemt, ka nav pierādījumu, kas liecinātu, ka ir notikušas sakaru izlūkošanas darbības, kurās iesaistīti sūdzības iesniedzēja personas dati, 2) lemt, ka ODNI CLPO konstatējumi ir juridiski pareizi un pamatoti ar pietiekamiem pierādījumiem, vai, 3) ja DPRC nepiekrīt ODNI CLPO konstatējumiem (vai ir noticis piemērojamo ASV tiesību aktu pārkāpums, vai ir piemēroti atbilstoši korektīvi pasākumi), – izdot savus konstatējumus (381).

(191)

Visās lietās DPRC pieņem rakstisku lēmumu ar balsu vairākumu. Ja pārskatīšanā tiek atklāts piemērojamo noteikumu pārkāpums, lēmumā tiks norādīti visi atbilstošie korektīvie pasākumi, tajā skaitā nelikumīgi savākto datu dzēšana, neatbilstoši veikto vaicājumu rezultātu dzēšana, piekļuves ierobežošana likumīgi vāktiem datiem tikai pienācīgi apmācītiem darbiniekiem vai tādu izlūkošanas ziņojumu atsaukšana, kuros iekļauti dati, kas iegūti bez likumīgas atļaujas vai kas tikuši izplatīti nelikumīgi (382). DPRC lēmums ir saistošs un galīgs attiecībā uz tai iesniegto sūdzību (383). Turklāt, ja pārbaudē atklāj kādas FISC pārraudzībā esošas iestādes pārkāpumu, DPRC ir jāiesniedz arī klasificēts ziņojums nacionālās drošības ģenerālprokurora vietniekam, kura pienākums savukārt ir ziņot par neatbilstību FISC, kas var veikt turpmākas izpildes panākšanas darbības (saskaņā ar 173. un 174. apsvērumā aprakstīto procedūru) (384).

(192)

Katru DPRC kolēģijas lēmumu nosūta ODNI CLPO (385). Gadījumos, kad DPRC pārbaudi sāk pēc sūdzības iesniedzēja pieteikuma, sūdzības iesniedzējs ar valsts iestādes starpniecību tiek informēts, ka DPRC ir pabeigusi pārbaudi un ka “vai nu pārbaudē nav konstatēti nekādi pārbaudāmie pārkāpumi, vai arī DPRC ir pieņēmusi lēmumu, kurā prasa veikt atbilstošus korektīvus pasākumus.” (386) DoJ Privātuma un pilsonisko brīvību birojs glabā visu DPRC pārbaudīto informāciju un visus pieņemtos lēmumus, kas ir pieejami izskatīšanai kā nesaistošs precedents nākamajām DPRC kolēģijām (387).

(193)

DoC ir arī jāuztur reģistrs par visiem sūdzību iesniedzējiem (388). Lai uzlabotu pārredzamību, DoC vismaz reizi piecos gados jāsazinās ar attiecīgajām izlūkošanas aģentūrām, lai pārbaudītu, vai informācija, kas attiecas uz DPRC veikto pārbaudi, ir deklasificēta (389). Šādā gadījumā fiziskā persona tiks informēta par to, ka šāda informācija var būt pieejama saskaņā ar piemērojamiem tiesību aktiem (t. i., ka attiecīgā persona var pieprasīt piekļuvi informācijai saskaņā ar Informācijas brīvības likumu, sk. 199. apsvērumu).

(194)

Visbeidzot, tiks regulāri un neatkarīgi izvērtēta šī tiesiskās aizsardzības mehānisma pareiza darbība. Konkrētāk, saskaņā ar IR Nr. 14086 tiesiskās aizsardzības mehānisma darbību katru gadu pārskata PCLOB, kas ir neatkarīga struktūra (sk. 110. apsvērumu) (390). Veicot šo pārskatīšanu, PCLOB citustarp izvērtēs, vai ODNI CLPO un DPRC sūdzības izskatījušas savlaicīgi, vai tās ir ieguvušas pilnīgu piekļuvi nepieciešamajai informācijai, vai pārskatīšanas procesā ir pienācīgi ņemtas vērā IR Nr. 14086 paredzētās būtiskās garantijas un vai izlūkošanas kopienas struktūras ir pilnībā izpildījušas ODNI CLPO un DPRC noteiktās prasības. PCLOB sagatavos ziņojumu par pārskatīšanas rezultātiem prezidentam, ģenerālprokuroram, nacionālās izlūkošanas direktoram, izlūkošanas aģentūru vadītājiem, ODNI CLPO un Kongresa izlūkošanas komitejām. Tiks publiskota arī šī ziņojuma neklasificēta versija, kas savukārt tiks izmantota Komisijas veiktajā šā lēmuma darbības periodiskajā pārskatīšanā. Ģenerālprokuroram, nacionālās izlūkošanas direktoram, ODNI CLPO un izlūkošanas aģentūru vadītājiem ir jāīsteno vai kā citādi jārisina visi šādos ziņojumos iekļautie ieteikumi. Turklāt PCLOB katru gadu sagatavos publisku apliecinājumu par to, vai tiesiskās aizsardzības mehānisms sūdzības apstrādā atbilstīgi IR Nr. 14086 prasībām.

(195)

Papildus īpašajam tiesiskās aizsardzības mehānismam, kas izveidots saskaņā ar IR Nr. 14086, jebkurai personai (neatkarīgi no valstspiederības vai dzīvesvietas) ir pieejami arī tiesiskās aizsardzības līdzekļi parastajās ASV tiesās (391).

(196)

Jo īpaši FISA un ar to saistītais likums paredz iespēju fiziskām personām celt civilprasību pret Amerikas Savienotajām Valstīm par finansiālu zaudējumu atlīdzināšanu, ja informācija par šīm personām ir apzināti izmantota vai izpausta nelikumīgi (392); iesniegt prasību pret ASV valdības amatpersonām kā privātpersonām par finansiālu zaudējumu atlīdzināšanu (393); un tiesā vai administratīvajā kārtībā ASV apstrīdēt novērošanas likumību (un pieprasīt noklusēt informāciju) gadījumā, ja ASV valdība plāno izmantot vai izpaust jebkādu informāciju, kas iegūta vai atvasināta no elektroniskās novērošanas, kura tikusi vērsta pret attiecīgo fizisko personu (394). Raugoties vispārīgāk, ja valdība plāno izmantot izlūkošanas operāciju laikā iegūto informāciju pret aizdomās turēto personu krimināllietā, konstitucionālās un normatīvās prasības (395) uzliek par pienākumu izpaust noteiktu informāciju, lai apsūdzētais varētu apstrīdēt valdības veiktās pierādījumu vākšanas un izmantošanas likumību.

(197)

Turklāt pastāv vairāki īpaši veidi, kā vērsties tiesā pret valdības amatpersonām par nelikumīgu valdības piekļuvi personas datiem vai to nelikumīgu izmantošanu, arī šķietami nacionālās drošības nolūkos (t. i., Krāpniecības ar datora starpniecību un tā ļaunprātīgas izmantošanas likums (Computer Fraud and Abuse Act) (396); Elektroniskās saziņas privātuma likums (Electronic Communications Privacy Act) (397); un Likums par tiesībām un finanšu datu aizsardzību (Right to Financial Privacy Act) (398)). Visas šīs tiesiskās darbības attiecas uz konkrētiem datiem, mērķiem un/vai piekļuves veidiem (piemēram, attālināta piekļuve datoram, izmantojot internetu), un tās ir iespējamas, ja radušies noteikti apstākļi (piemēram, tīša/ļaunprātīga rīcība, rīcība ārpus dienesta pienākumiem, nodarīts kaitējums).

(198)

Vispārīgāku pārsūdzības iespēju nodrošina APA (399), kurā noteikts, ka “ikvienai personai, kam nodarīta juridiska netaisnība aģentūras darbības rezultātā vai ko nelabvēlīgi ietekmē vai neapmierina aģentūras darbība”, ir tiesības vērsties tiesā (400). Tas ietver iespēju lūgt tiesu “apturēt nelikumību un atcelt aģentūras darbību, konstatējumus un secinājumus, kas atzīti par (..) patvaļīgiem, nepamatotiem, pieņemtiem, ļaunprātīgi izmantojot dienesta stāvokli, vai citādi pretrunā tiesību aktiem” (401). Piemēram, federālā apelācijas tiesa 2015. gadā saistībā ar APA prasību lēma, ka ASV valdības veiktā telefonijas metadatu lielapjoma vākšana nebija atļauta saskaņā ar FISA 501. pantu (402).

(199)

Visbeidzot, papildus 176.–198. apsvērumā minētajiem tiesiskās aizsardzības līdzekļiem ikvienai personai ir tiesības pieprasīt piekļuvi esošajiem federālo aģentūru dokumentiem saskaņā ar FOIA, arī tad, ja tie satur personas datus (403). Šādas piekļuves iegūšana var arī atvieglot tiesvedības uzsākšanu parastajās tiesās – arī lai pierādītu tiesībspēju. Aģentūras var neizpaust informāciju, uz kuru attiecas daži noteikti izņēmumi, tajā skaitā piekļuve klasificētai nacionālās drošības informācijai un informācijai par tiesībaizsardzības izmeklēšanu (404), bet sūdzību iesniedzējiem, kuri nav apmierināti ar atbildi, ir iespēja to apstrīdēt, prasot administratīvu un vēlāk arī tiesas veiktu (federālajās tiesās) pārskatīšanu (405).

(200)

No iepriekš minētā izriet, ka tad, ja ASV tiesībaizsardzības un nacionālās drošības iestādes piekļūst personas datiem, uz kuriem attiecas šis lēmums, šādu piekļuvi reglamentē tiesiskais regulējums, kurā izklāstīti nosacījumi, saskaņā ar kuriem šāda piekļuve var notikt, un nodrošina, ka piekļuve un turpmāka datu izmantošana aprobežojas ar to, kas ir nepieciešams un samērīgs izvirzītajiem sabiedrības interešu mērķiem. Šīs garantijas var pieprasīt fiziskas personas, kurām ir faktiskas tiesības uz tiesisko aizsardzību.

(201)

Komisija uzskata, ka Amerikas Savienotās Valstis ar ASV DoC izdotajiem DPR principiem personas datiem, kas saskaņā ar ES un ASV datu privātuma regulējumu no Savienības tiek nosūtīti sertificētām organizācijām Amerikas Savienotajās Valstīs, nodrošina tādu aizsardzības līmeni, kurš būtībā ir līdzvērtīgs Regulā (ES) 2016/679 garantētajam.

(202)

Turklāt Komisija uzskata, ka DPR principu efektīvu piemērošanu garantē pārredzamības pienākumi un DoC veiktā DPR pārvaldība. Turklāt kopumā ASV tiesību aktos paredzētie pārraudzības mehānismi un tiesiskās aizsardzības līdzekļi ļauj praksē konstatēt datu aizsardzības noteikumu pārkāpumus un piemērot par tiem sodus un nodrošina datu subjektam tiesību aizsardzības līdzekļus, lai tas iegūtu piekļuvi ar to saistītiem personas datiem, un galu galā iespēju labot vai dzēst šādus datus.

(203)

Visbeidzot, pamatojoties uz pieejamo informāciju par ASV tiesisko regulējumu, tajā skaitā VI un VII pielikumā iekļauto informāciju, Komisija uzskata, ka jebkāda ASV valsts iestāžu sabiedrības interesēs veikta iejaukšanās – jo īpaši krimināltiesību aizsardzības un nacionālās drošības nolūkos – to personu pamattiesībās, kuru personas dati tiek nosūtīti no Savienības uz ASV saskaņā ar ES un ASV datu privātuma regulējumu, būs tikai tāda, kas ir absolūti nepieciešama, lai sasniegtu attiecīgo likumīgo mērķi, un ka pret šādu iejaukšanos pastāv efektīva tiesiskā aizsardzība. Tāpēc, ņemot vērā iepriekš minētos konstatējumus, būtu jālemj, ka Amerikas Savienotās Valstis nodrošina pietiekamu aizsardzības līmeni Regulas (ES) 2016/679 45. panta nozīmē, interpretējot to saskaņā ar Eiropas Savienības Pamattiesību hartu, attiecībā uz personas datiem, kas no Eiropas Savienības nosūtīti organizācijām, kuras sertificētas saskaņā ar ES un ASV datu privātuma regulējumu.

(204)

Ņemot vērā, ka IR Nr. 14086 noteiktie ierobežojumi, garantijas un tiesiskās aizsardzības mehānisms ir būtiski elementi ASV tiesiskajā regulējumā, uz kuru balstās Komisijas novērtējums, šā lēmuma pieņemšana jo īpaši balstās uz to, ka visas ASV izlūkošanas aģentūras pieņem atjauninātu politiku un procedūras IR Nr. 14086 īstenošanai, un Savienība tiek atzīta par kvalificētu organizāciju tiesiskās aizsardzības mehānisma vajadzībām – tas ir noticis attiecīgi 2023. gada 3. jūlijā (sk. 126. apsvērumu) un 2023. gada 30. jūnijā (sk. 176. apsvērumu).

(205)

Dalībvalstīm un to struktūrām ir pienākums veikt nepieciešamos pasākumus, lai izpildītu Savienības iestāžu aktus, jo tie tiek uzskatīti par likumīgiem un attiecīgi paredz tiesiskās sekas līdz brīdim, kad tiek atcelti, anulēti saskaņā ar prasību atcelt tiesību aktu vai pasludināti par spēkā neesošiem pēc lūguma sniegt prejudiciālu nolēmumu vai iebildes par nelikumību.

(206)

Tādējādi lēmums par aizsardzības līmeņa pietiekamību, ko Komisija pieņēmusi saskaņā ar Regulas (ES) 2016/679 45. panta 3. punktu, ir saistošs visām dalībvalstu struktūrām, kurām tas adresēts, arī to neatkarīgajām uzraudzības iestādēm. Konkrētāk, pārzinis vai apstrādātājs Savienībā var nosūtīt datus sertificētām organizācijām Amerikas Savienotajās Valstīs bez jebkādas turpmākas atļaujas saņemšanas.

(207)

Vienlaikus būtu jāatgādina, ka saskaņā ar Regulas (ES) 2016/679 58. panta 5. punktu un kā Tiesa paskaidrojusi spriedumā Schrems lietā (406), ja valsts datu aizsardzības iestāde, arī pēc sūdzības saņemšanas, apšauba Komisijas lēmuma par aizsardzības līmeņa pietiekamību atbilstību fiziskas personas pamattiesībām uz privātumu un datu aizsardzību, tai valsts tiesību aktos ir jānodrošina tiesiskās aizsardzības līdzeklis, kas ļauj celt šādus iebildumus valsts tiesā, kurai var būt pienākums lūgt Tiesai sniegt prejudiciālu nolēmumu (407).

(208)

Saskaņā ar Eiropas Savienības Tiesas judikatūru (408) un kā atzīts Regulas (ES) 2016/679 45. panta 4. punktā, Komisijai pēc lēmuma par aizsardzības līmeņa pietiekamību pieņemšanas būtu pastāvīgi jāuzrauga norises attiecīgajā trešā valstī, lai novērtētu, vai trešā valsts joprojām nodrošina pēc būtības līdzvērtīgu aizsardzības līmeni. Vajadzība pēc šāda vērtējuma katrā ziņā rodas, ja Komisija saņem informāciju, kura rada šaubas par to.

(209)

Tāpēc Komisijai būtu pastāvīgi jāuzrauga situācija Amerikas Savienotajās Valstīs attiecībā uz personas datu apstrādes tiesisko regulējumu un faktisko praksi, kas novērtēta šajā lēmumā. Lai sekmētu šo procesu, ASV iestādēm būtu bez kavēšanās jāinformē Komisija par būtiskām ASV tiesiskās kārtības izmaiņām, kas ietekmē tiesisko regulējumu, uz kuru attiecas šis lēmums, kā arī par šajā lēmumā novērtētās personas datu apstrādes prakses maiņu gan attiecībā uz sertificētu organizāciju veiktu personas datu apstrādi Amerikas Savienotajās Valstīs, gan attiecībā uz ierobežojumiem un garantijām, ko piemēro publiskām iestādēm nodrošinātai piekļuvei personas datiem.

(210)

Turklāt, lai Komisija varētu efektīvi pildīt savu uzraudzības funkciju, dalībvalstīm būtu jāinformē Komisija par visām būtiskajām darbībām, ko veikušas valstu datu aizsardzības iestādes, jo īpaši attiecībā uz Savienības datu subjektu vaicājumiem un sūdzībām par personas datu nosūtīšanu no Savienības uz sertificētām organizācijām Amerikas Savienotajās Valstīs. Komisiju vajadzētu informēt arī par visām pazīmēm, kas liecina, ka darbības, kuras veic ASV publiskās iestādes, kas atbild par noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai kriminālvajāšanu vai par nacionālo drošību, tajā skaitā jebkādas pārraudzības struktūras, nenodrošina vajadzīgo aizsardzības līmeni.

(211)

Piemērojot Regulas (ES) 2016/679 45. panta 3. punktu (409), Komisijai pēc šā lēmuma pieņemšanas būtu periodiski jāpārskata, vai konstatējumi par Amerikas Savienoto Valstu nodrošinātā aizsardzības līmeņa pietiekamību saskaņā ar ES un ASV DPR joprojām ir faktiski un juridiski pamatoti. Tā kā IR Nr. 14086 un ĢP noteikumos jo īpaši prasīts izveidot jaunus mehānismus un īstenot jaunas garantijas, šis lēmums pirmo reizi būtu jāpārskata viena gada laikā pēc tā stāšanās spēkā, lai pārbaudītu, vai visi attiecīgie elementi ir pilnībā īstenoti un rezultatīvi praksē. Pēc pirmās pārskatīšanas un atkarībā no tās rezultātiem Komisija ciešā sadarbībā ar komiteju, kas izveidota saskaņā ar Regulas (ES) 2016/679 93. panta 1. punktu, un Eiropas Datu aizsardzības kolēģiju pieņems lēmumu par turpmākas pārskatīšanas periodiskumu (410).

(212)

Lai veiktu pārskatīšanu, Komisijai būtu jātiekas ar DoC, FTC un DoT, vajadzības gadījumā kopā ar citām ministrijām un aģentūrām, kas iesaistītas ES un ASV DPR īstenošanā, kā arī jautājumos, kas attiecas uz valdības piekļuvi datiem – ar DoJ, ODNI (tajā skaitā CLPO), citu izlūkošanas kopienas struktūru un DPRC pārstāvjiem, kā arī īpašajiem aizstāvjiem. Būtu jānodrošina iespēja arī Eiropas Datu aizsardzības kolēģijas pārstāvjiem apmeklēt šādas sanāksmes.

(213)

Pārskatīšanās būtu jāiekļauj visi šā lēmuma darbības aspekti attiecībā uz personas datu apstrādi ASV, un jo īpaši tādi aspekti kā DPR principu piemērošana un īstenošana, īpašu uzmanību pievēršot pieejamiem aizsardzības pasākumiem datu tālākas nosūtīšanas gadījumā; relevantie jaunumi judikatūrā; individuālo tiesību izmantošanas rezultativitāte; DPR principu ievērošanas uzraudzība un izpilde; ierobežojumi un aizsardzības pasākumi attiecībā uz valdības piekļuvi, jo īpaši ar IR Nr. 14086 ieviesto aizsardzības pasākumu īstenošanai un piemērošanai, arī izlūkošanas aģentūru izstrādātās politikas un procedūru ietvaros; IR Nr. 14086, FISA 702. panta un IR Nr. 12333 mijiedarbība; pārraudzības mehānismu un tiesiskās aizsardzības līdzekļu efektivitāte (ieskaitot ar IR Nr. 14086 izveidotos jaunos tiesiskās aizsardzības mehānismus). Saistībā ar šādām pārskatīšanām uzmanība tiks pievērsta arī sadarbībai starp DAI un Amerikas Savienoto Valstu kompetentajām iestādēm, tostarp norādījumu un citu interpretējošu instrumentu izstrādei par DPR principu piemērošanu, kā arī citiem satvara darbības aspektiem.

(214)

Pamatojoties uz pārskatīšanu, Komisijai būtu jāsagatavo publisks ziņojums, kas jāiesniedz Eiropas Parlamentam un Padomei.

(215)

Ja pieejamā informācija, jo īpaši informācija, kas iegūta, uzraugot šo lēmumu, vai informācija, ko sniedz ASV vai dalībvalstu iestādes, atklāj, ka aizsardzības līmenis, kas nodrošināts saskaņā ar šo lēmumu nosūtītajiem datiem, iespējams, vairs nav pietiekams, Komisijai par to būtu ātri jāinformē ASV kompetentās iestādes un jāpieprasa, lai noteiktā un saprātīgā termiņā tiktu veikti attiecīgi pasākumi.

(216)

Ja līdz noteiktā termiņa beigām ASV kompetentās iestādes nav veikušas minētos pasākumus vai kā citādi apmierinoši neparāda, ka šā lēmuma pamatā joprojām ir pietiekams aizsardzības līmenis, Komisija uzsāks Regulas (ES) 2016/679 93. panta 2. punktā minēto procedūru, lai daļēji vai pilnībā apturētu vai atceltu šo lēmumu.

(217)

Alternatīvi Komisija uzsāks minēto procedūru, lai grozītu šo lēmumu, jo īpaši piemērojot papildu nosacījumus datu nosūtīšanai vai ierobežojot aizsardzības līmeņa pietiekamības konstatējuma darbības jomu tikai attiecībā uz tādu datu nosūtīšanu, kam joprojām tiek nodrošināts pietiekams aizsardzības līmenis.

(218)

Konkrēti, Komisijai būtu jāuzsāk apturēšanas vai atcelšanas procedūra, ja:

(219)

Komisijai būtu jāapsver šā lēmuma grozīšanas, apturēšanas vai atcelšanas procedūras sākšana arī gadījumā, ja ASV kompetentās iestādes nesniedz informāciju vai paskaidrojumus, kas nepieciešami, lai novērtētu no Savienības uz Amerikas Savienotajām Valstīm nosūtīto personas datu aizsardzības līmeni vai atbilstību šim lēmumam. Šajā saistībā Komisijai būtu jāņem vērā tas, kādā apmērā attiecīgo informāciju var iegūt no citiem avotiem.

(220)

Pienācīgi pamatotu nenovēršamu steidzamu iemeslu dēļ, piemēram, ja IR Nr. 14086 vai ĢP noteikumi tiktu grozīti tā, ka tiktu apdraudēts šajā lēmumā aprakstītais aizsardzības līmenis, vai ja tiek atsaukts ģenerālprokurora izdotais atzinums par Savienību kā kvalificētu organizāciju tiesiskās aizsardzības mehānisma kontekstā, Komisija izmantos iespēju saskaņā ar Regulas (ES) 2016/679 93. panta 3. punktā minēto procedūru pieņemt nekavējoties piemērojamus īstenošanas aktus, ar kuriem aptur, atceļ vai groza šo lēmumu.

(221)

Eiropas Datu aizsardzības kolēģija ir publiskojusi savu atzinumu (411), un tas tika ņemts vērā, sagatavojot šo lēmumu.

(222)

Eiropas Parlaments ir pieņēmis rezolūciju par ES un ASV datu privātuma regulējuma sniegtās aizsardzības pietiekamību (412).

(223)

Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi komiteja, kura izveidota ar Regulas (ES) 2016/679 93. panta 1. punktu,