(1)

Bij Verordening (EU) 2016/679 (2) zijn de voorschriften vastgesteld voor de doorgifte van persoonsgegevens door verwerkingsverantwoordelijken of verwerkers in de Unie aan derde landen en internationale organisaties, voor zover die doorgiften onder het toepassingsgebied ervan vallen. De voorschriften inzake de internationale doorgifte van gegevens zijn vastgelegd in hoofdstuk V van die verordening. Hoewel het verkeer van persoonsgegevens van en naar landen buiten de Europese Unie noodzakelijk is voor de ontwikkeling van het grensoverschrijdende handelsverkeer en de internationale samenwerking, mogen doorgiften aan derde landen of internationale organisaties (3) niet ten koste gaan van het beschermingsniveau van de persoonsgegevens in de Unie.

(2)

Op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 kan de Commissie door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land een passend beschermingsniveau waarborgt. Onder deze voorwaarde kan de doorgifte van persoonsgegevens aan een derde land plaatsvinden zonder dat verdere toestemming noodzakelijk is, zoals bepaald in artikel 45, lid 1, en overweging 103 van Verordening (EU) 2016/679.

(3)

Zoals bepaald in artikel 45, lid 2, van Verordening (EU) 2016/679 moet de vaststelling van een adequaatheidsbesluit berusten op een grondige analyse van de rechtsorde van het derde land, die zowel de voorschriften betreft die gelden voor de importeurs van gegevens als de beperkingen en waarborgen wat betreft de toegang van overheidsinstanties tot persoonsgegevens. Bij haar beoordeling moet de Commissie nagaan of het betrokken derde land een beschermingsniveau waarborgt dat “in feite overeenkomend” is met het niveau dat in de Unie wordt verzekerd (overweging 104 van Verordening (EU) 2016/679). Of dit het geval is, moet worden beoordeeld aan de hand van de wetgeving van de Unie, met name Verordening (EU) 2016/679, alsook de rechtspraak van het Hof van de Europese Unie (hierna “het Hof” genoemd) (4).

(4)

Zoals het Hof in zijn arrest van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems/Data Protection Commissioner (5) (“Schrems”), heeft verduidelijkt, is het hiervoor niet noodzakelijk dat hetzelfde beschermingsniveau wordt geboden. Met name mogen de middelen die het derde land in kwestie voor de bescherming van de persoonsgegevens tot zijn beschikking heeft, anders zijn dan de middelen die binnen de Unie worden ingezet, zolang zij in de praktijk doeltreffend genoeg blijken om een passend beschermingsniveau te bieden (6). De adequaatheidsnorm vereist daarom niet dat de voorschriften van de Unie integraal worden overgenomen. Het gaat er veeleer om of het betreffende buitenlandse systeem als geheel het vereiste beschermingsniveau biedt, door de invulling van het recht op privacy, de doeltreffende toepassing en afdwingbaarheid daarvan en het toezicht dat wordt uitgeoefend (7). Voorts moet de Commissie volgens dit arrest bij de toepassing van deze norm met name beoordelen of het rechtskader van het betrokken derde land voorziet in regels ter beperking van inmengingen in de grondrechten van de personen van wie de gegevens vanuit de Unie worden doorgegeven, waarbij geldt dat de overheidsinstanties van dat land tot een dergelijke inmenging mogen overgegaan wanneer zij legitieme doelstellingen, zoals de nationale veiligheid, nastreven, en er effectieve rechtsbescherming tegen dat soort inmengingen bestaat (8). De adequaatheidsreferentie van het Europees Comité voor gegevensbescherming, die deze norm verder beoogt te verduidelijken, biedt in dit verband ook een leidraad (9).

(5)

De toepasselijke norm met betrekking tot een dergelijke inmenging in de grondrechten op privacy en gegevensbescherming werd verder verduidelijkt door het Hof in zijn arrest van 16 juli 2020 in zaak C-311/18, Data Protection Commissioner/Facebook Ireland Limited en Maximillian Schrems (hierna “Schrems II”), waarbij Uitvoeringsbesluit (EU) 2016/1250 (10) van de Commissie inzake een eerder trans-Atlantisch kader voor gegevensstromen, het EU-VS-privacyschild (hierna “privacyschild” genoemd), nietig werd verklaard. Het Hof was van oordeel dat de beperkingen van de bescherming van persoonsgegevens die voortvloeien uit het interne recht van de Verenigde Staten inzake de toegang tot en het gebruik door de Amerikaanse overheidsinstanties van dergelijke gegevens die vanuit de Unie naar de Verenigde Staten worden doorgegeven, niet zodanig zijn afgebakend dat wordt voldaan aan vereisten die in grote lijnen overeenkomen met die welke in het Unierecht worden gesteld, wat de noodzaak en de evenredigheid van dergelijke inbreuken op het recht op gegevensbescherming betreft (11). Het Hof was ook van oordeel dat er geen rechtsmiddel bij een orgaan beschikbaar was dat personen wier gegevens aan de Verenigde Staten zijn doorgegeven, waarborgen biedt die in grote lijnen overeenkomen met die welke door artikel 47 van het Handvest betreffende het recht op een doeltreffende voorziening in rechte worden vereist (12).

(6)

Na het arrest Schrems II is de Commissie besprekingen aangegaan met de Amerikaanse overheid met het oog op een mogelijk nieuw adequaatheidsbesluit dat zou voldoen aan de vereisten van artikel 45, lid 2, van Verordening (EU) 2016/679, zoals uitgelegd door het Hof. Als gevolg van deze besprekingen hebben de Verenigde Staten op 7 oktober 2022 uitvoeringsbevel (Executive Order) 14086 “Enhancing Safeguards for US Signals Intelligence Activities” [De waarborgen verbeteren voor activiteiten van de VS op het gebied van signals intelligence (SIGINT — inlichtingen uit het berichtenverkeer)] (EO 14086) vastgesteld, dat wordt aangevuld met een “Regulation on the Data Protection Review Court” (Verordening inzake de toetsingsinstantie voor gegevensbescherming), uitgevaardigd door de U.S. Attorney General (minister van Justitie van de Verenigde Staten) (hierna de “AG Regulation” genoemd) (13). Bovendien is het kader dat van toepassing is op commerciële entiteiten die gegevens verwerken die uit de Unie zijn doorgegeven in het kader van dit besluit — het “EU-VS-kader voor gegevensbescherming” (hierna het “EU-VS-DPF” of het “DPF” genoemd) — geactualiseerd.

(7)

De Commissie heeft de Amerikaanse wetten en praktijken zorgvuldig geanalyseerd, met inbegrip van EO 14086 en de AG Regulation. Op basis van de bevindingen in de overwegingen 9 tot en met 200 concludeert de Commissie dat door de Verenigde Staten een passend beschermingsniveau wordt gewaarborgd voor persoonsgegevens die in het kader van het EU-VS-DPF door een verwerkingsverantwoordelijke of verwerker in de Unie (14) worden doorgegeven aan gecertificeerde organisaties in de Verenigde Staten.

(8)

Dit besluit heeft tot gevolg dat doorgifte door verwerkingsverantwoordelijken en verwerkers in de Unie (15) aan gecertificeerde organisaties in de Verenigde Staten zonder verdere toestemming kan plaatsvinden. Dit doet geen afbreuk aan de directe toepassing van Verordening (EU) 2016/679 op dergelijke entiteiten, voor zover is voldaan aan de voorwaarden betreffende het territoriale toepassingsgebied zoals vastgelegd in artikel 3 van die verordening.

(9)

Het EU-VS-DPF is gebaseerd op een systeem van certificering waarbij Amerikaanse organisaties een reeks privacybeginselen onderschrijven — de beginselen van het EU-VS-kader voor gegevensbescherming, met inbegrip van de aanvullende beginselen (hierna samen “de beginselen” genoemd) — die door het Amerikaanse ministerie van Handel (U.S. Department of Commerce) zijn gepubliceerd en in bijlage I bij dit besluit zijn opgenomen (16). Om in aanmerking te komen voor certificering krachtens het EU-VS-DPF moet een organisatie onderworpen zijn aan de onderzoeks- en handhavingsbevoegdheden van de Federal Trade Commission (FTC) of het Amerikaanse ministerie van Vervoer (U.S. Department of Transportation) (17). De beginselen zijn onmiddellijk na de certificering van toepassing. Zoals in de overwegingen 48 tot en met 52 nader wordt toegelicht, moeten de EU-VS-DPF-organisaties jaarlijks opnieuw certificeren dat zij de beginselen onderschrijven (18).

(10)

De bescherming die het EU-VS-DPF biedt, geldt voor alle persoonsgegevens die vanuit de Unie worden doorgegeven aan organisaties in de VS die bij het ministerie van Handel hebben gecertificeerd dat zij de beginselen onderschrijven, met uitzondering van gegevens die worden verzameld voor publicatie, uitzending of andere vormen van openbare communicatie van journalistiek materiaal en informatie in eerder gepubliceerd materiaal dat uit media-archieven wordt verspreid (19). Deze informatie kan derhalve niet worden doorgegeven op basis van het EU-VS-DPF.

(11)

De beginselen definiëren persoonsgegevens/persoonlijke informatie op dezelfde manier als Verordening (EU) 2016/679, d.w.z. als “gegevens over een geïdentificeerde of identificeerbare persoon die binnen het toepassingsgebied van de AVG vallen en door een organisatie in de Verenigde Staten uit de EU zijn ontvangen en in welke vorm dan ook zijn vastgelegd” (20). Bijgevolg hebben zij ook betrekking op gepseudonimiseerde (of “versleutelde”) onderzoeksgegevens (ook wanneer de sleutel niet wordt gedeeld met de ontvangende Amerikaanse organisatie) (21). Evenzo wordt het begrip verwerking gedefinieerd als “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken of verspreiden, alsmede het wissen of vernietigen van gegevens” (22).

(12)

Het EU-VS-DPF is van toepassing op organisaties in de VS die als verwerkingsverantwoordelijke (d.w.z. als een persoon of organisatie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt) (23) of verwerker (d.w.z. een vertegenwoordiger die namens een verwerkingsverantwoordelijke optreedt) (24) worden aangemerkt. Amerikaanse verwerkers moeten er contractueel toe verbonden zijn dat zij slechts volgens instructies van de EU-verwerkingsverantwoordelijke handelen en die laatste bijstaan bij het geven van antwoord aan natuurlijke personen die hun rechten uit hoofde van de beginselen uitoefenen (25). In het geval van subverwerking moet de verwerker bovendien een overeenkomst met de subverwerker sluiten die hetzelfde beschermingsniveau garandeert als de beginselen, en stappen ondernemen om voor de correcte uitvoering daarvan te zorgen (26).

(13)

Persoonsgegevens moeten op rechtmatige en behoorlijke wijze worden verwerkt. Persoonsgegevens moeten worden verzameld voor een specifiek doel en mogen vervolgens uitsluitend worden gebruikt voor doeleinden die niet onverenigbaar zijn met het doel van de verwerking.

(14)

Onder het EU-VS-DPF wordt dit gewaarborgd via verschillende beginselen. Ten eerste mag een organisatie onder het Data Integrity and Purpose Limitation Principle (beginsel van gegevensintegriteit en doelbinding), vergelijkbaar met artikel 5, lid 1, punt b), van Verordening (EU) 2016/679, geen persoonsgegevens verwerken op een wijze die onverenigbaar is met het doel waarvoor deze oorspronkelijk zijn verzameld of waarvoor de betrokkene later toestemming heeft gegeven (27).

(15)

Ten tweede moet de organisatie, voordat zij persoonsgegevens gebruikt voor een nieuw (gewijzigd) doel dat wezenlijk verschilt maar nog steeds verenigbaar is met het oorspronkelijke doel, of voordat zij deze aan derden verstrekt, de betrokkenen de mogelijkheid bieden om bezwaar te maken (opt-out), overeenkomstig het Choice Principle (keuzebeginsel) (28), door middel van een duidelijk, opvallend en gemakkelijk beschikbaar mechanisme. Belangrijk is dat dit beginsel niet in de plaats treedt van het uitdrukkelijke verbod op onverenigbare verwerking (29).

(16)

Wanneer “bijzondere categorieën” gegevens worden verwerkt, moeten bijzondere waarborgen bestaan.

(17)

Overeenkomstig het keuzebeginsel gelden specifieke waarborgen voor de verwerking van “gevoelige informatie”, d.w.z. persoonsgegevens over medische of gezondheidstoestanden, ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, vakbondslidmaatschap, informatie over het seksleven van de natuurlijke persoon of andere informatie die van derden is ontvangen en door die partij als gevoelig wordt aangemerkt en behandeld (30). Dit betekent dat alle gegevens die krachtens de Uniewetgeving inzake gegevensbescherming als gevoelig worden beschouwd (waaronder gegevens over seksuele geaardheid, genetische gegevens en biometrische gegevens) krachtens het EU-VS-DPF door gecertificeerde organisaties als gevoelig zullen worden behandeld.

(18)

Als algemene regel geldt dat organisaties de uitdrukkelijke toestemming (d.w.z. opt-in) van natuurlijke personen moeten verkrijgen om gevoelige informatie te gebruiken voor andere doeleinden dan die waarvoor ze oorspronkelijk is verzameld of waarvoor de natuurlijke persoon later toestemming heeft gegeven (via opt-in), of om ze aan derden te verstrekken (31).

(19)

Die toestemming hoeft niet te worden verkregen in beperkte omstandigheden die vergelijkbaar zijn met soortgelijke uitzonderingen waarin de EU-wetgeving inzake gegevensbescherming voorziet, bijvoorbeeld wanneer de verwerking van gevoelige gegevens in het vitale belang van een persoon is; ze noodzakelijk is om rechtsvorderingen geldend te maken; of noodzakelijk is voor het verstrekken van medische zorg of het stellen van een diagnose (32).

(20)

De gegevens moeten juist zijn en zo nodig worden geactualiseerd. Ze moeten ook toereikend en ter zake dienend zijn en beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt en mogen in principe niet langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

(21)

Overeenkomstig het beginsel van gegevensintegriteit en doelbinding (33) moeten de persoonsgegevens beperkt blijven tot hetgeen relevant is voor het doel van de verwerking. Bovendien moeten organisaties, voor zover dat nodig is voor de doeleinden van de verwerking, redelijke stappen ondernemen om ervoor te zorgen dat de persoonsgegevens betrouwbaar zijn voor het beoogde gebruik en correct, volledig en actueel zijn.

(22)

Bovendien mag persoonlijke informatie slechts worden opgeslagen in een vorm die een natuurlijke persoon identificeert of identificeerbaar maakt (en dus in de vorm van persoonsgegevens) (34), zolang dit het doel of de doeleinden dient waarvoor die informatie oorspronkelijk is verzameld of waarvoor de natuurlijke persoon later overeenkomstig het keuzebeginsel toestemming heeft gegeven. Deze verplichting belet niet dat organisaties persoonlijke informatie voor langere perioden blijven verwerken, maar alleen voor de termijn en in de mate dat die verwerking redelijkerwijs een van de volgende specifieke doeleinden dient die vergelijkbaar zijn met soortgelijke uitzonderingen waarin de EU-wetgeving inzake gegevensbescherming voorziet: archivering in het openbaar belang, journalistiek, literatuur en kunst, wetenschappelijk en historisch onderzoek en statistische analyse (35). Wanneer persoonsgegevens voor een van deze doeleinden worden bewaard, is de verwerking ervan onderworpen aan de waarborgen van de beginselen (36).

(23)

Persoonsgegevens moeten ook op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Daartoe moeten verwerkingsverantwoordelijken en verwerkers passende technische of organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen mogelijke bedreigingen. Deze maatregelen moeten worden beoordeeld met inachtneming van de stand van de techniek, de daaraan verbonden kosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede de risico’s voor de rechten van natuurlijke personen.

(24)

In het kader van het EU-VS-DPF wordt dit gewaarborgd door het Security Principle (beveiligingsbeginsel), dat, naar analogie van artikel 32 van Verordening (EU) 2016/679, voorschrijft dat redelijke en passende beveiligingsmaatregelen moeten worden genomen, rekening houdend met de risico’s van de verwerking en de aard van de gegevens (37).

(25)

Betrokkenen moeten worden ingelicht over de belangrijkste kenmerken van de verwerking van hun persoonsgegevens.

(26)

Dit wordt gewaarborgd door het Notice Principle (kennisgevingsbeginsel) (38), dat, analoog aan de transparantievereisten van Verordening (EU) 2016/679, organisaties verplicht om betrokkenen te informeren over onder meer i) de deelname van de organisatie aan het DPF, ii) de aard van de verzamelde gegevens, iii) het doel van de verwerking, iv) het type of de identiteit van derden waaraan persoonsgegevens kunnen worden verstrekt en de doeleinden daarvoor, v) hun individuele rechten, vi) hoe zij contact kunnen opnemen met de organisatie en vii) de beschikbare verhaalmechanismemogelijkheden.

(27)

Deze kennisgeving moet in duidelijke en opvallende taal worden gedaan wanneer natuurlijke personen voor het eerst om persoonsgegevens wordt gevraagd of zo spoedig mogelijk daarna, maar in ieder geval voordat de gegevens worden gebruikt voor een wezenlijk ander (maar verenigbaar) doel dan het doel waarvoor ze zijn verzameld, of voordat ze aan derden worden verstrekt (39).

(28)

Bovendien moeten organisaties hun privacybeleid dat de beginselen weerspiegelt, openbaar maken (of, in het geval van personeelsgegevens, gemakkelijk toegankelijk maken voor de betrokken personen) en links verstrekken naar de website van het ministerie van Handel (met nadere informatie over certificering, de rechten van de betrokkenen en de beschikbare beroepsmogelijkheden), de lijst van deelnemende organisaties aan het kader voor gegevensbescherming (DPF-lijst) en de website van een passende aanbieder van alternatieve geschillenbeslechting (40).

(29)

Betrokkenen moeten bepaalde rechten hebben die kunnen worden afgedwongen ten opzichte van de verwerkingsverantwoordelijke of de verwerker, en met name het recht op inzage van de gegevens, het recht om bezwaar te maken tegen de verwerking en het recht op rectificatie of wissing van de gegevens.

(30)

Het Access Principle (toegangsbeginsel) (41) van het EU-VS-DPF verleent natuurlijke personen dergelijke rechten. In het bijzonder hebben betrokkenen het recht om, zonder opgave van redenen, van een organisatie te verlangen dat deze bevestigt of zij persoonsgegevens over hen verwerkt; de gegevens aan hen te laten meedelen; en informatie te verkrijgen over het doel van de verwerking, de categorieën persoonsgegevens die worden verwerkt en de (categorieën) ontvangers aan wie de gegevens worden verstrekt (42). Organisaties moeten binnen een redelijke termijn reageren op verzoeken om toegang (43). Een organisatie kan redelijke grenzen stellen aan het aantal keren dat binnen een bepaalde periode aan verzoeken om toegang van een bepaalde persoon wordt voldaan en kan een vergoeding vragen die niet buitensporig is, bijvoorbeeld wanneer verzoeken duidelijk buitensporig zijn, met name vanwege hun repetitieve karakter (44).

(31)

Het recht van toegang kan alleen worden beperkt in uitzonderlijke omstandigheden die vergelijkbaar zijn met die waarin de EU-wetgeving inzake gegevensbescherming voorziet, met name wanneer de legitieme rechten van anderen zouden worden geschonden; wanneer de lasten of kosten van het verlenen van toegang niet in verhouding zouden staan tot de risico’s voor de persoonlijke levenssfeer van de natuurlijke persoon in de omstandigheden van het geval (hoewel lasten en kosten geen doorslaggevende factoren zijn om te bepalen of het verlenen van toegang redelijk is); voor zover openbaarmaking in strijd zou zijn met belangrijke openbare belangen, zoals de nationale of openbare veiligheid, of defensie; wanneer de informatie vertrouwelijke commerciële informatie bevat; of wanneer de informatie uitsluitend voor onderzoeks- of statistische doeleinden wordt verwerkt (45). Het weigeren of het beperken van een recht moet nodig en naar behoren gerechtvaardigd zijn, waarbij de organisatie moet aantonen dat aan deze voorschriften is voldaan (46). Wanneer de organisatie die beoordeling verricht, moet zij in het bijzonder rekening houden met de belangen van de natuurlijke persoon (47). Wanneer het mogelijk is informatie te scheiden van andere gegevens waarvoor een beperking geldt, moet de organisatie de vertrouwelijke informatie bewerken en de niet-vertrouwelijke informatie beschikbaar stellen (48).

(32)

Bovendien hebben betrokkenen het recht onjuiste gegevens te laten corrigeren of wijzigen en gegevens die in strijd met de beginselen (49) zijn verwerkt, te laten wissen. Tevens hebben natuurlijke personen, zoals uiteengezet in overweging 15, het recht bezwaar te maken tegen/zich te verzetten tegen de verwerking van hun gegevens voor wezenlijk andere (maar verenigbare) doeleinden dan die waarvoor de gegevens zijn verzameld en tegen de verstrekking van hun gegevens aan derden. Wanneer persoonsgegevens worden gebruikt voor direct marketing, hebben personen een algemeen recht om zich te allen tijde te verzetten tegen de verwerking (50).

(33)

De beginselen hebben niet specifiek betrekking op besluiten die gevolgen hebben voor de betrokkene en die uitsluitend gebaseerd zijn op de geautomatiseerde verwerking van persoonsgegevens. Wat betreft de persoonsgegevens die in de Europese Unie zijn verzameld, wordt elk besluit dat is gebaseerd op geautomatiseerde verwerking, echter doorgaans genomen door de verwerkingsverantwoordelijke in de Unie (die een directe relatie met de betrokkene heeft) en is daarom onderworpen aan Verordening (EU) 2016/679 (51). Dit omvat doorgiftescenario’s waarin de verwerking wordt uitgevoerd door een buitenlandse (bijvoorbeeld Amerikaanse) bedrijfsexploitant die handelt als verwerker namens de verwerkingsverantwoordelijke in de Unie (of als subverwerker die handelt namens de verwerker in de Unie, die de gegevens heeft ontvangen van een EU-verwerkingsverantwoordelijke die ze heeft verzameld) die op deze basis de beslissing neemt.

(34)

Dit werd bevestigd door een studie waartoe de Commissie in 2018 opdracht had gegeven in het kader van de tweede jaarlijkse evaluatie van de werking van het privacyschild (52), waarin werd geconcludeerd dat er op dat moment geen aanwijzingen waren dat er normaliter geautomatiseerde besluitvorming werd uitgevoerd door privacyschildorganisaties op basis van persoonsgegevens die in het kader van het privacyschild waren doorgegeven.

(35)

In ieder geval biedt de Amerikaanse wetgeving op gebieden waar ondernemingen waarschijnlijk een beroep doen op de geautomatiseerde verwerking van persoonsgegevens om beslissingen te nemen die de natuurlijke persoon betreffen (bv. kredietverschaffing, aanbiedingen van hypothecaire leningen, werkgelegenheid, huisvesting en verzekeringen), specifieke bescherming tegen ongunstige beslissingen (53). Die wetten voorzien er doorgaans in dat natuurlijke personen het recht hebben om te worden geïnformeerd over de specifieke redenen die aan de beslissing (bv. de weigering van een krediet) ten grondslag liggen, om onvolledige of niet correcte informatie te betwisten (alsook het feit dat met onrechtmatige factoren rekening is gehouden), en om verhaal te halen. Op het gebied van consumentenkrediet bevatten de Fair Credit Reporting Act (wet billijke kredietrapportage, hierna “FCRA”) en de Equal Credit Opportunity Act (wet gelijke kredietkansen, hierna “ECOA”) waarborgen die de consument een vorm van recht op uitleg bieden evenals een recht om de beslissing aan te vechten. Deze wetten zijn relevant op een groot aantal gebieden, waaronder krediet, werkgelegenheid, huisvesting en verzekeringen. Bovendien bieden bepaalde antidiscriminatiewetten, zoals Titel VII van de Civil Rights Act (wet burgerrechten) en de Fair Housing Act (wet billijke huisvesting), natuurlijke personen bescherming tegen modellen die worden gebruikt bij geautomatiseerde besluitvorming die kunnen leiden tot discriminatie op grond van bepaalde kenmerken, en verlenen zij personen het recht om dergelijke, ook geautomatiseerde, besluiten aan te vechten. Met betrekking tot gezondheidsinformatie creëert de privacyregel van de Health Insurance Portability and Accountability Act (wet overdraagbaarheid en verantwoordingsplicht gezondheidsverzekering, hierna “HIPAA”) bepaalde rechten die vergelijkbaar zijn met die van Verordening (EU) 2016/679 wat betreft de toegang tot persoonlijke gezondheidsinformatie. Bovendien moeten medische zorgverleners op grond van richtsnoeren van de Amerikaanse autoriteiten informatie ontvangen waarmee zij personen op de hoogte kunnen stellen van geautomatiseerde besluitvormingssystemen die in de medische sector worden gebruikt (54).

(36)

Deze regels bieden dan ook soortgelijke bescherming als die waarin de EU-wetgeving inzake gegevensbescherming voorziet in de onwaarschijnlijke situatie waarin de EU-VS-DPF-organisatie zelf geautomatiseerde besluiten zou nemen.

(37)

Het beschermingsniveau dat wordt geboden voor persoonsgegevens die worden doorgegeven vanuit de Unie naar organisaties in de Verenigde Staten mag niet worden ondermijnd door de verdere doorgifte van dergelijke gegevens aan ontvangers in de Verenigde Staten of in een ander derde land.

(38)

Volgens het Accountibility for Onward Transfer Principle (beginsel van verantwoording voor de verdere doorgifte) (55) gelden er bijzondere regels voor zogenaamde “verdere doorgiften”, d.w.z. doorgiften van persoonsgegevens van een EU-VS-DPF-organisatie naar een derde-verwerkingsverantwoordelijke of -verwerker, ongeacht of die laatste in de Verenigde Staten of een derde land buiten de Verenigde Staten (en de Unie) is gevestigd. Verdere doorgifte kan alleen plaatsvinden i) voor beperkte en gespecificeerde doeleinden, ii) op basis van een overeenkomst tussen de EU-VS-DPF-organisatie en de derde (56) (of een vergelijkbare regeling binnen een concern (57)) en iv) alleen als die overeenkomst de derde verplicht hetzelfde beschermingsniveau te bieden als het niveau dat door de beginselen wordt gewaarborgd.

(39)

Deze verplichting om hetzelfde beschermingsniveau te bieden als door de beginselen wordt gewaarborgd, in combinatie met het beginsel van gegevensintegriteit en doelbinding, houdt met name in dat de derde de aan hem doorgegeven persoonsgegevens alleen mag verwerken voor doeleinden die niet onverenigbaar zijn met de doeleinden waarvoor ze zijn verzameld of waarvoor de betrokkene later toestemming heeft gegeven (overeenkomstig het keuzebeginsel).

(40)

Het beginsel van verantwoording voor de verdere doorgifte moet worden gelezen in samenhang met het kennisgevingsbeginsel en, in het geval van een verdere doorgifte naar een derde-verwerker (58), het keuzebeginsel, volgens welke betrokkenen moeten worden geïnformeerd (onder andere) over de aard/identiteit van derde-ontvangers, het doel van de verdere doorgifte en de geboden keuze en zich kunnen verzetten (opt-out) of, in het geval van gevoelige gegevens “uitdrukkelijke bevestigende toestemming” moeten geven (opt-in) voor de verdere doorgiften.

(41)

De verplichting hetzelfde beschermingsniveau te bieden als het door de beginselen vereiste niveau geldt voor alle derden die bij de verwerking van de op die manier doorgegeven gegevens zijn betrokken (in de Verenigde Staten of een ander derde land), alsook wanneer de oorspronkelijke derde-ontvanger zelf die gegevens naar een andere derde-ontvanger doorgeeft, bijvoorbeeld met het oog op subverwerking.

(42)

In alle gevallen moet de overeenkomst met de derde-ontvanger erin voorzien dat die laatste de EU-VS-DPF-organisatie ervan in kennis zal stellen als hij vaststelt dat hij niet langer aan die verplichting kan voldoen. Wanneer een dergelijke vaststelling wordt gedaan, moet de verwerking door de derde worden stopgezet of moeten andere redelijke en passende stappen worden ondernomen om de situatie te verhelpen (59).

(43)

In het geval van een verdere doorgifte naar een derde-vertegenwoordiger (m.a.w. een verwerker) geldt aanvullende bescherming. In een dergelijk geval moet de Amerikaanse organisatie ervoor zorgen dat de vertegenwoordiger alleen in haar opdracht handelt en redelijke en passende stappen ondernemen i) om ervoor te zorgen dat de vertegenwoordiger daadwerkelijk de doorgegeven persoonlijke informatie verwerkt op een manier die in overeenstemming is met de verplichtingen van de organisatie uit hoofde van de beginselen, en ii) om na kennisgeving de niet-toegestane verwerking stop te zetten en te verhelpen (60). De organisatie kan door het ministerie van Handel worden verplicht om een samenvatting of een representatief exemplaar van de privacybepalingen van het contract te verstrekken (61). Wanneer zich in een (sub)verwerkingsketen nalevingsproblemen voordoen, wordt de organisatie die optreedt als verantwoordelijke voor de verwerking van de persoonsgegevens in beginsel aansprakelijk gesteld, zoals bepaald in het Recourse, Enforcement and Liability Principle (beginsel inzake verhaal, handhaving en aansprakelijkheid), behalve wanneer zij bewijst dat zij niet verantwoordelijk is voor de gebeurtenis die aanleiding heeft gegeven tot de schade (62).

(44)

Volgens het verantwoordingsbeginsel moeten entiteiten die gegevens verwerken passende technische en organisatorische maatregelen nemen om doeltreffend hun verplichtingen inzake gegevensbescherming te kunnen naleven, en moeten zij de naleving daarvan kunnen aantonen, in het bijzonder ten overstaan van de bevoegde toezichthoudende autoriteit.

(45)

Zodra een organisatie vrijwillig heeft gekozen voor certificering (63) in het kader van het EU-VS-DPF, is haar daadwerkelijke naleving van de beginselen verplicht en afdwingbaar. Krachtens het beginsel inzake verhaal, handhaving en aansprakelijkheid (64) moeten de EU-VS-DPF-organisaties voorzien in doeltreffende mechanismen om de naleving van de beginselen te waarborgen. Organisaties moeten ook maatregelen nemen om te controleren (65) of hun privacybeleid in overeenstemming is met de beginselen en daadwerkelijk wordt nageleefd. Dit kan gebeuren door middel van hetzij een systeem van zelfbeoordeling, dat interne procedures moet omvatten om te garanderen dat de werknemers worden opgeleid om het privacybeleid van de organisatie uit te voeren en dat de naleving periodiek op objectieve wijze wordt geëvalueerd, hetzij externe evaluaties van de naleving, waarvan de methoden onder meer kunnen bestaan in audits, steekproefsgewijze controles of het gebruik van technologische hulpmiddelen.

(46)

Bovendien moeten organisaties gegevens over de uitvoering van hun EU-VS-DPF-praktijken bewaren en op verzoek beschikbaar stellen in het kader van een onderzoek of een klacht over niet-naleving aan een onafhankelijke instantie voor geschillenbeslechting of een bevoegde handhavingsautoriteit (66).

(47)

Het EU-VS-DPF wordt beheerd en gecontroleerd door het ministerie van Handel. Het kader voorziet in toezichts- en handhavingsmechanismen om na te gaan en te garanderen dat EU-VS-DPF-organisaties de beginselen naleven en dat tegen niet-naleving wordt opgetreden. Die mechanismen zijn beschreven in de beginselen (bijlage I) en de verbintenissen van het ministerie van Handel (bijlage III), de FTC (bijlage IV) en het ministerie van Vervoer (bijlage V).

(48)

Om zich in het kader van het EU-VS-DPF te certificeren (of jaarlijks te hercertificeren) moeten organisaties publiekelijk verklaren dat zij zich ertoe verbinden de beginselen na te leven, hun privacybeleid beschikbaar stellen en dit volledig uitvoeren (67). Als onderdeel van hun (her)certificeringsaanvraag moeten organisaties het ministerie van Handel informatie verstrekken over onder meer de naam van de betrokken organisatie, een beschrijving van de doeleinden waarvoor de organisatie persoonsgegevens zal verwerken, de persoonsgegevens die onder de certificering vallen, alsmede de gekozen verificatiemethode, het relevante onafhankelijke verhaalmechanisme en de wettelijke instantie die bevoegd is om de naleving van de beginselen te handhaven (68).

(49)

Organisaties kunnen persoonsgegevens ontvangen op grond van het EU-VS-DPF vanaf de datum waarop zij door het ministerie van Handel op de DPF-lijst zijn geplaatst. Om rechtszekerheid te garanderen en “valse beweringen” te voorkomen, mogen organisaties die voor het eerst gecertificeerd worden, niet publiekelijk verwijzen naar hun naleving van de beginselen voordat het ministerie van Handel heeft vastgesteld dat de certificering van de organisatie volledig is en de organisatie is toegevoegd aan de DPF-lijst (69). Om voor het ontvangen van persoonsgegevens uit de Unie gebruik te mogen blijven maken van het EU-VS-DPF, moeten dergelijke organisaties hun deelname aan het kader jaarlijks opnieuw certificeren. Wanneer een organisatie om welke reden dan ook het EU-VS-DPF verlaat, moet zij alle openbare verklaringen verwijderen waarmee wordt gesuggereerd dat de organisatie blijft deelnemen aan het kader (70).

(50)

Zoals blijkt uit de verbintenissen in bijlage III, zal het ministerie van Handel nagaan of organisaties aan alle certificeringseisen voldoen en een (openbaar) privacybeleid hebben ingevoerd dat de krachtens het kennisgevingsbeginsel vereiste informatie bevat (71). Voortbouwend op de ervaring met het (her)certificeringsproces in het kader van het privacyschild zal het ministerie van Handel een aantal controles uitvoeren, onder meer om na te gaan of het privacybeleid van organisaties een hyperlink bevat naar het juiste klachtenformulier op de website van het relevante mechanisme voor geschillenbeslechting en, wanneer verschillende entiteiten en dochterondernemingen van één organisatie bij een certificeringsaanvraag zijn betrokken, of het privacybeleid van elk van die entiteiten aan de certificeringsvereisten voldoet en gemakkelijk beschikbaar is voor betrokkenen (72). Bovendien zal het ministerie van Handel, waar nodig, kruiscontroles uitvoeren met de FTC en het ministerie van Vervoer om na te gaan of de organisaties onderworpen zijn aan de toezichthoudende instantie die zij in hun (her)certificeringsaanvragen hebben vermeld, en zal het samenwerken met instanties voor alternatieve geschillenbeslechting om na te gaan of de organisaties geregistreerd zijn voor het onafhankelijke verhaalmechanisme dat zij in hun (her)certificeringsaanvraag hebben vermeld (73).

(51)

Het ministerie van Handel zal de organisaties meedelen dat zij, om de (her)certificering te voltooien, alle tijdens de evaluatie geconstateerde problemen moeten aanpakken. Indien een organisatie niet reageert binnen een door het ministerie van Handel vastgestelde termijn (voor hercertificering wordt bijvoorbeeld verwacht dat het proces binnen 45 dagen wordt afgerond) (74) of anderszins haar certificering niet voltooit, wordt de indiening als stopgezet beschouwd. In dat geval kan elke onjuiste voorstelling van zaken over deelname aan of naleving van het EU-VS-DPF aanleiding geven tot handhavingsmaatregelen van de FTC of het ministerie van Vervoer (75).

(52)

Voor een correcte toepassing van het EU-VS-DPF moeten de belanghebbenden, zoals de betrokkenen, degenen die gegevens naar het buitenland doorgeven en de nationale gegevensbeschermingsautoriteiten kunnen vaststellen welke organisaties de beginselen onderschrijven. Om deze transparantie bij het “ingangspunt” te waarborgen, heeft het ministerie van Handel toegezegd de lijst bij te houden en voor het publiek toegankelijk te maken van de organisaties die door certificering de beginselen hebben onderschreven en die onder de rechtsbevoegdheid vallen van ten minste een van de in de bijlagen IV en V bij dit besluit genoemde handhavingsautoriteiten (76). Het ministerie van Handel werkt de lijst bij op basis van de jaarlijks doorgegeven hercertificering van de organisatie en wanneer een organisatie zich terugtrekt of wordt verwijderd uit het EU-VS-DPF. Voorts zal het ministerie van Handel, om ook op het “exitpunt” transparantie te garanderen, een bestand bijhouden en openbaar maken waarin organisaties zijn opgenomen die van de lijst zijn verwijderd, waarbij telkens de reden voor die verwijdering wordt aangegeven (77). Ten slotte zal het een link geven naar de webpagina van de FTC over het EU-VS-DPF, waarop de handhavingsacties van de FTC binnen het kader zijn vermeld (78).

(53)

Het ministerie van Handel zal via verschillende mechanismen voortdurend toezicht houden op de daadwerkelijke naleving van de beginselen door de EU-VS-DPF-organisaties (79). Het zal met name “steekproefsgewijze controles” uitvoeren bij willekeurig geselecteerde organisaties, alsook ad-hocsteekproeven bij specifieke organisaties wanneer potentiële nalevingsproblemen worden vastgesteld (bv. gemeld aan het ministerie van Handel door derden) om na te gaan of i) de contactpunten voor de behandeling van klachten en verzoeken van betrokkenen beschikbaar zijn en reageren; ii) het privacybeleid van de organisatie gemakkelijk beschikbaar is, zowel op haar website als via een hyperlink op de website van het ministerie van Handel; iii) het privacybeleid van de organisatie blijft voldoen aan de certificeringseisen en iv) het door de organisaties gekozen onafhankelijke mechanisme voor geschillenbeslechting beschikbaar is voor de behandeling van klachten (80).

(54)

Indien er geloofwaardige aanwijzingen zijn dat een organisatie haar verbintenissen in het kader van het EU-VS-DPF niet nakomt (ook indien het ministerie van Handel klachten ontvangt of de organisatie niet bevredigend reageert op vragen van het ministerie van Handel), zal het ministerie van Handel van de organisatie verlangen dat zij een gedetailleerde vragenlijst invult en indient (81). Een organisatie die de vragenlijst niet bevredigend en tijdig beantwoordt, wordt doorverwezen naar de bevoegde autoriteit (de FTC of het ministerie van Vervoer) voor eventuele handhavingsmaatregelen (82). Als onderdeel van het toezicht op de naleving in het kader van het privacyschild voerde het ministerie van Handel regelmatig de in overweging 53 genoemde steekproefsgewijze controles uit en hield het voortdurend toezicht op openbare verslagen, waardoor het nalevingsproblemen kon opsporen, aanpakken en oplossen (83). Een organisatie wordt in geval van permanente niet-naleving van de beginselen uit de DPF-lijst verwijderd en moet de in het kader van het EU-VS-DPF ontvangen persoonsgegevens terugbezorgen of wissen (84).

(55)

In andere gevallen van verwijdering, zoals vrijwillige terugtrekking van deelname of verzuim de naleving opnieuw te certificeren, moet de organisatie de gegevens wissen of teruggeven, of mag zij deze bewaren, mits zij jaarlijks aan het ministerie van Handel bevestigt dat zij zich tot de naleving van de beginselen blijft verbinden of met andere toegestane middelen een passende bescherming voor de persoonsgegevens biedt (bv. met behulp van een overeenkomst die de vereisten van de bepalingen dienaangaande van de door de Commissie goedgekeurde modelovereenkomst volledig weerspiegelt) (85). In dit geval moet een organisatie een contactpunt binnen de organisatie aanwijzen voor alle vragen in verband met het EU-VS-DPF.

(56)

Het ministerie van Handel zal zowel ambtshalve als op basis van klachten (bv. ontvangen van gegevensbeschermingsautoriteiten) eventuele valse beweringen inzake deelname aan het EU-VS-DPF of het onterechte gebruik van het keurmerk van het EU-VS-DPF controleren (86). Het ministerie van Handel zal met name voortdurend nagaan of organisaties die i) hun deelname aan het EU-VS-DPF beëindigen, ii) de jaarlijkse hercertificering niet voltooien (d.w.z. ofwel zijn begonnen, maar het jaarlijkse hercertificeringsproces niet tijdig hebben voltooid, ofwel niet eens zijn begonnen met het jaarlijkse hercertificeringsproces), iii) worden geschrapt als deelnemer, met name wegens “permanente niet-naleving”, of iv) een initiële certificering niet voltooien (d.w.z. zijn begonnen, maar het initiële certificeringsproces niet tijdig hebben voltooid), verwijzingen naar het EU-VS-DPF die impliceren dat de organisatie actief deelneemt aan het DPF-kader, uit alle relevante gepubliceerde verwijzingen naar het privacybeleid verwijderen (87). Het ministerie van Handel zal ook op internet zoeken naar verwijzingen naar het EU-VS-DPF in het privacybeleid van organisaties, onder meer om valse beweringen op te sporen van organisaties die nooit hebben deelgenomen aan het EU-VS-DPF (88).

(57)

Wanneer het ministerie van Handel constateert dat verwijzingen naar het EU-VS-DPF niet zijn verwijderd of onterecht worden gebruikt, zal het de organisatie informeren over een mogelijke verwijzing naar de FTC/ministerie van Vervoer (89). Als een organisatie niet op bevredigende wijze reageert, zal het ministerie van Handel de zaak doorverwijzen naar de bevoegde instantie voor mogelijke handhavingsmaatregelen (90). Tegen een verkeerde voorstelling aan het grote publiek over de onderschrijving van de beginselen door een organisatie in de vorm van misleidende verklaringen of praktijken kan handhavend worden opgetreden door de FTC, het ministerie van Vervoer of andere bevoegde Amerikaanse handhavingsautoriteiten. Tegen verkeerde voorstellingen tegenover het ministerie van Handel kan handhavend worden opgetreden op grond van de False Statements Act (wet valse verklaringen) (18 U.S.C. § 1001).

(58)

Om ervoor te zorgen dat in de praktijk een passend niveau van bescherming van persoonsgegevens wordt gewaarborgd, moet er worden voorzien in een onafhankelijke toezichthoudende autoriteit met bevoegdheden tot monitoring en handhaving van de naleving van de gegevensbeschermingsvoorschriften.

(59)

EU-VS-DPF-organisaties moeten onderworpen zijn aan de jurisdictie van de bevoegde Amerikaanse autoriteiten — de FTC en het ministerie van Vervoer — die over de nodige onderzoeks- en handhavingsbevoegdheden beschikken om de naleving van de beginselen daadwerkelijk te waarborgen (91).

(60)

De FTC is een onafhankelijke instantie die bestaat uit vijf commissarissen, die door de president worden benoemd met het advies en de instemming van de Senaat (92). De commissarissen worden benoemd voor een periode van zeven jaar en kunnen alleen door de president worden ontslagen wegens inefficiëntie, plichtsverzuim of ambtsmisdrijven. De FTC mag niet meer dan drie commissarissen van dezelfde politieke partij hebben en de commissarissen mogen tijdens hun benoeming geen andere zakelijke activiteiten, beroepen of functies uitoefenen.

(61)

De FTC kan een onderzoek instellen naar de naleving van de beginselen, alsook naar valse beweringen over de naleving van de beginselen of de deelname aan het EU-VS-DPF door organisaties die niet langer op de DPF-lijst staan of die nooit zijn gecertificeerd (93). De FTC kan naleving afdwingen door administratieve of federale rechterlijke bevelen te vragen (met inbegrip van consent orders die via schikkingen tot stand zijn gekomen) (94) voor voorlopige of permanente bevelen of andere rechtsmiddelen, en zal systematisch toezien op de naleving van dergelijke bevelen (95). In geval van niet-naleving van dergelijke bevelen door organisaties kan de FTC civielrechtelijke sancties en ander herstel vorderen, onder meer voor door de onrechtmatige gedraging veroorzaakte schade. Elk tegen een EU-VS-DPF-organisatie uitgevaardigd consent order zal bepalingen inzake zelfrapportage bevatten (96) en organisaties zullen alle relevante delen over het EU-VS-DPF van bij de FTC ingediende nalevings- of beoordelingsverslagen openbaar moeten maken. Ten slotte zal de FTC online een lijst bijhouden van de organisaties waartegen bevelen van de FTC of een rechterlijke instantie zijn uitgevaardigd in zaken betreffende het EU-VS-DPF (97).

(62)

Met betrekking tot het privacyschild heeft de FTC in ongeveer 22 gevallen handhavingsmaatregelen genomen, zowel met betrekking tot schendingen van specifieke vereisten van het kader (bv. nalaten om aan het ministerie van Handel te bevestigen dat de organisatie de privacyschildbeschermingen bleef toepassen nadat zij het kader had verlaten, nalaten om door middel van een zelfbeoordeling of een externe nalevingscontrole na te gaan of de organisatie aan het kader voldeed) (98) als met betrekking tot valse beweringen over deelname aan het kader (bv. door organisaties die niet de nodige stappen ondernamen om een certificering te verkrijgen, of hun certificering lieten verlopen maar een verkeerde voorstelling gaven van hun verdere deelname) (99). Deze handhavingsactie vloeide onder meer voort uit het proactieve gebruik van administratieve dwangbevelen om bij bepaalde deelnemers aan het privacyschild materiaal te verkrijgen om te controleren op materiële schendingen van de privacyschildverplichtingen (100).

(63)

Meer in het algemeen heeft de FTC de voorbije jaren handhavingsmaatregelen genomen in een aantal zaken betreffende de naleving van specifieke vereisten voor de bescherming van gegevens waarin ook is voorzien in het kader van het EU-VS-DPF, bv. in verband met de beginselen van doelbinding en bewaring van gegevens (101), minimale verwerking van gegevens (102), gegevensbeveiliging (103) en nauwkeurigheid van gegevens (104).

(64)

Het ministerie van Vervoer heeft de exclusieve bevoegdheid om de privacypraktijken van luchtvaartmaatschappijen te reguleren en deelt rechtsbevoegdheid met de FTC met betrekking tot de privacypraktijken van reisbureaus bij de verkoop van luchtvervoer. De functionarissen van het ministerie van Vervoer proberen eerst een schikking te treffen en als dat niet mogelijk is, kunnen zij een handhavingsprocedure inleiden met een hoorzitting voor een bestuursrechter van het ministerie van Vervoer die bevoegd is om administratieve bevelen uit te vaardigen en civiele sancties op te leggen (105). Bestuursrechters genieten op grond van de Administrative Procedure Act (wet bestuursrechtelijke procedure, hierna “APA”) verschillende beschermingsmaatregelen om hun onafhankelijkheid en onpartijdigheid te waarborgen. Zij kunnen bijvoorbeeld alleen om gegronde redenen worden ontslagen; worden bij beurtrol aan zaken toegewezen; mogen geen taken vervullen die onverenigbaar zijn met hun taken en verantwoordelijkheden als bestuursrechter; staan niet onder toezicht van het onderzoeksteam van de autoriteit waarbij zij in dienst zijn (in dit geval het ministerie van Vervoer); en moeten hun rechtsprekende/handhavende functie onpartijdig uitoefenen (106). Het ministerie van Vervoer heeft toegezegd toezicht te houden op handhavingsbevelen en ervoor te zorgen dat bevelen die voortvloeien uit EU-VS-DPF-zaken beschikbaar zijn op zijn website (107).

(65)

Om een passende bescherming en vooral de handhaving van individuele rechten te waarborgen, moeten aan de betrokkene doeltreffende administratieve en gerechtelijke verhaalmechanismemogelijkheden worden verstrekt.

(66)

Het EU-VS-DPF vereist in het beginsel van verhaal, handhaving en aansprakelijkheid dat organisaties natuurlijke personen die door de niet-naleving worden getroffen, verhaalmechanismen bieden en dus voor betrokkenen uit de Unie de mogelijkheid bieden een klacht in te dienen betreffende niet-naleving door EU-VS-DPF-organisaties en die klachten opgelost te zien, indien nodig door een beslissing die een doeltreffend herstel biedt (108). Als onderdeel van hun certificering moeten organisaties voldoen aan de vereisten van dit beginsel door doeltreffende en direct beschikbare onafhankelijke verhaalmechanismen aan te bieden waarmee de klachten van een natuurlijke persoon en geschillen kunnen worden onderzocht en snel worden opgelost zonder kosten voor de natuurlijke persoon (109).

(67)

Organisaties mogen onafhankelijke verhaalmechanismen kiezen in hetzij de Unie hetzij de Verenigde Staten. Zoals in overweging 73 nader wordt toegelicht, omvat dit de mogelijkheid om zich vrijwillig tot samenwerking met de gegevensbeschermingsautoriteiten van de EU te verbinden. Wanneer organisaties personeelsgegevens verwerken, is een dergelijke verbintenis tot samenwerking met de gegevensbeschermingsautoriteiten van de EU verplicht. Andere alternatieven zijn onafhankelijke alternatieve geschillenbeslechting of door de particuliere sector ontwikkelde privacyprogramma’s die de beginselen in hun regels hebben opgenomen. Die programma’s moeten doeltreffende handhavingsmechanismen omvatten overeenkomstig de vereisten van het beginsel van verhaal, handhaving en aansprakelijkheid.

(68)

Het EU-VS-DPF biedt betrokkenen bijgevolg een aantal mogelijkheden om hun rechten te doen handhaven, klachten in te dienen betreffende niet-naleving door EU-VS-DPF-organisaties en hun klachten opgelost te zien, indien nodig met een beslissing die een doeltreffend herstel biedt. Natuurlijke personen kunnen een klacht direct bij een organisatie indienen, bij een onafhankelijke geschillenbeslechtingsinstantie die door de organisatie is aangewezen, bij nationale gegevensbeschermingsautoriteiten, het ministerie van Handel of bij de FTC. In gevallen waarin hun klachten niet zijn opgelost door een van deze verhaalmechanisme- of handhavingsmechanismen, hebben natuurlijke personen ook het recht om bindende arbitrage in te roepen (bijlage I bij bijlage I bij dit besluit). Behalve voor het arbitragepanel, waarvoor bepaalde rechtsmiddelen moeten zijn uitgeput voordat het kan worden ingeroepen, staat het natuurlijke personen vrij om een of alle verhaalmechanismen van hun keuze te gebruiken, en zijn zij niet verplicht om voor het ene of het andere mechanisme te kiezen of een bepaalde volgorde te eerbiedigen.

(69)

Ten eerste kunnen betrokkenen uit de Unie gevallen van niet-naleving van de beginselen aankaarten via rechtstreekse contacten met de EU-VS-DPF-organisaties (110). Om die klachten gemakkelijk op te lossen, moet de organisatie een doeltreffend verhaalmechanisme invoeren om klachten te behandelen. Het privacybeleid van een organisatie moet dus duidelijke informatie voor natuurlijke personen bevatten over een contactpunt, binnen of buiten de organisatie, dat klachten zal behandelen (met inbegrip van relevante vestigingen in de Unie die op vragen of klachten kunnen reageren) en over de aangewezen onafhankelijke geschillenbeslechtingsinstantie (zie overweging 70). Na ontvangst van een klacht van een natuurlijke persoon, direct van de natuurlijke persoon of via het ministerie van Handel na verwijzing door een gegevensbeschermingsautoriteit, moet de organisatie de betrokkene uit de Unie een antwoord geven binnen een termijn van 45 dagen (111). Daarnaast moeten organisaties onmiddellijk reageren op vragen en andere informatieverzoeken van het ministerie van Handel (112) of van een gegevensbeschermingsautoriteit (wanneer de organisatie zich verbonden heeft tot samenwerking met de gegevensbeschermingsautoriteiten) betreffende hun naleving van de beginselen.

(70)

Ten tweede kunnen natuurlijke personen een klacht ook direct indienen bij de onafhankelijke geschillenbeslechtingsinstantie (in de Verenigde Staten of in de Unie) die door een organisatie is aangewezen om individuele klachten te onderzoeken en te beslechten (tenzij deze duidelijk ongegrond of niet ernstig zijn) en kosteloos te voorzien in passend verhaal voor de natuurlijke persoon (113). De sancties en het herstel die door een dergelijke instantie worden opgelegd, moeten zwaar genoeg zijn om de naleving van de beginselen door organisaties te waarborgen en erin voorzien dat de gevolgen van de niet-naleving door de organisatie ongedaan worden gemaakt of worden gecorrigeerd en, afhankelijk van de omstandigheden, dat de verdere verwerking van de desbetreffende persoonsgegevens wordt beëindigd en/of dat deze worden gewist, en dat geconstateerde gevallen van niet-naleving worden bekendgemaakt (114). De door een organisatie aangewezen onafhankelijke geschillenbeslechtingsinstanties moeten op hun openbare websites relevante informatie verstrekken over het EU-VS-DPF en de diensten die zij in het kader daarvan verlenen (115). Zij moeten elk jaar een jaarverslag publiceren met daarin geaggregeerde statistieken met betrekking tot deze diensten (116).

(71)

In het kader van zijn nalevingscontroles zal het ministerie van Handel controleren of alle EU-VS-DPF-organisaties daadwerkelijk geregistreerd staan bij de onafhankelijke verhaalmechanismen waarbij zij beweren geregistreerd te staan (117). Zowel de organisaties als de verantwoordelijke onafhankelijke verhaalmechanismen moeten onmiddellijk reageren op vragen en informatieverzoeken van het ministerie van Handel in verband met het EU-VS-DPF. Het ministerie van Handel zal met onafhankelijke verhaalmechanismen samenwerken om na te gaan of zij op hun websites informatie verstrekken over de beginselen en de diensten die zij in het kader van het EU-VS-DPF verlenen, en of zij jaarverslagen publiceren (118).

(72)

Wanneer de organisatie de uitspraak van een geschillenbeslechtingsinstantie of zelfregulerende instantie niet naleeft, moet deze laatste het ministerie van Handel en de FTC (of een andere Amerikaanse autoriteit die bevoegd is om niet-naleving door de organisatie te onderzoeken) of een bevoegde rechterlijke instantie van deze niet-naleving in kennis stellen (119). Indien een organisatie weigert een definitieve uitspraak van een geschillenbeslechtingsinstantie, een zelfregulerende instantie of een overheidsinstantie na te leven, of indien een dergelijke instantie vaststelt dat een organisatie frequent de beginselen niet naleeft, kan dit als een permanente niet-naleving worden beschouwd, die ertoe leidt dat het ministerie van Handel de organisatie uit de DPF-lijst verwijdert, doch pas nadat het de organisatie daarvan 30 dagen van tevoren in kennis heeft gesteld en de kans heeft gegeven om te reageren (120). Indien de organisatie na verwijdering uit de lijst blijft beweren dat zij het keurmerk van het EU-VS-DPF heeft, zal het ministerie van Handel dit verwijzen naar de FTC of een andere handhavingsinstantie (121).

(73)

Ten derde kunnen natuurlijke personen hun klachten ook indienen bij een nationale gegevensbeschermingsautoriteit in de Unie, die gebruik kan maken van haar corrigerende en onderzoeksbevoegdheden uit hoofde van Verordening (EU) 2016/679. Organisaties moeten medewerking verlenen aan het onderzoek en de oplossing van een klacht door een gegevensbeschermingsautoriteit wanneer het gaat om de verwerking van personeelsgegevens die in het kader van een arbeidsverhouding zijn verzameld of wanneer de betrokken organisatie zich vrijwillig aan het toezicht van gegevensbeschermingsautoriteiten heeft onderworpen (122). Organisaties moeten met name reageren op vragen, gevolg geven aan het advies van de gegevensbeschermingsautoriteit, daaronder begrepen corrigerende of compenserende maatregelen, en de gegevensbeschermingsautoriteit schriftelijk bevestigen dat dergelijke maatregelen zijn genomen (123). Wanneer het door de gegevensbeschermingsautoriteit verstrekte advies niet wordt nageleefd, zal de gegevensbeschermingsautoriteit de zaak doorverwijzen naar het ministerie van Handel (dat organisaties van de EU-VS-DPF-lijst kan verwijderen) of, met het oog op mogelijke handhavingsmaatregelen, naar de FTC of het ministerie van Vervoer (tegen niet samenwerken met de gegevensbeschermingsautoriteiten of niet-naleving van de beginselen kan uit hoofde van het Amerikaanse recht actie worden ingesteld) (124).

(74)

Om de samenwerking voor een doeltreffende behandeling van klachten te vergemakkelijken, hebben zowel het ministerie van Handel als de FTC een speciaal contactpunt opgericht dat verantwoordelijk is voor de rechtstreekse contacten met de gegevensbeschermingsautoriteiten (125). Deze contactpunten helpen gegevensbeschermingsautoriteiten bij vragen over de naleving van de beginselen door een organisatie.

(75)

Het advies van de gegevensbeschermingsautoriteiten (126) wordt uitgebracht nadat beide partijen in het geschil een redelijke kans hebben gekregen om opmerkingen in te dienen en alle gewenste bewijzen te leveren. Het panel zal het advies zo snel geven als een eerlijke rechtsgang toestaat en in de regel binnen 60 dagen na ontvangst van een klacht (127). Als een organisatie niet binnen 25 dagen nadat het advies is uitgebracht, gevolg geeft aan dit advies en hiervoor geen bevredigende verklaring geeft, zal het panel kennisgeven van zijn voornemen om de zaak voor te leggen aan de FTC (of een andere bevoegde Amerikaanse handhavingsinstantie), of om te concluderen dat de verbintenis tot samenwerking ernstig is geschonden. In het eerste geval kan dit leiden tot handhavingsmaatregelen op grond van sectie 5 van de FTC Act (of andere soortgelijke wetten) (128). In het tweede geval zal het panel het ministerie van Handel hiervan op de hoogte brengen, dat de weigering van de organisatie als een permanente niet-naleving zal beschouwen, die ertoe zal leiden dat de organisatie uit de DPF-lijst wordt verwijderd.

(76)

Indien de gegevensbeschermingsautoriteit waarbij de klacht is ingediend, geen of ontoereikende maatregelen heeft genomen om een klacht te behandelen, heeft de individuele klager de mogelijkheid om dergelijk (niet-)optreden aan te vechten bij de nationale rechter van de respectieve EU-lidstaat.

(77)

Natuurlijke personen kunnen ook klachten bij de gegevensbeschermingsautoriteiten indienen wanneer het panel van gegevensbeschermingsautoriteiten niet is aangewezen als de geschillenbeslechtingsinstantie van een organisatie. In die gevallen kan de gegevensbeschermingsautoriteit die klachten verwijzen naar hetzij het ministerie van Handel hetzij de FTC. Om de samenwerking inzake aangelegenheden met betrekking tot individuele klachten en niet-naleving door EU-VS-DPF-organisaties te vergemakkelijken en te vergroten, zal het ministerie van Handel een specifiek contactpunt instellen dat als verbindingspunt fungeert en bijdraagt aan onderzoeken van gegevensbeschermingsautoriteiten met betrekking tot de naleving van de beginselen door een organisatie (129). Evenzo heeft de FTC toegezegd een speciaal contactpunt in te stellen (130).

(78)

Ten vierde heeft het ministerie van Handel toegezegd klachten met betrekking tot de niet-naleving van de beginselen door een organisatie te ontvangen en te controleren, en zich maximaal in te spannen om die op te lossen (131). Hiertoe voorziet het ministerie van Handel in speciale procedures voor gegevensbeschermingsautoriteiten om klachten te verwijzen naar een specifiek contactpunt, die te volgen en contact op te nemen met organisaties om de oplossing ervan te vergemakkelijken (132). Om de verwerking van individuele klachten te bespoedigen, houdt het contactpunt rechtstreeks contact met de respectieve gegevensbeschermingsautoriteit inzake nalevingskwesties en stelt deze in het bijzonder binnen een termijn van ten hoogste 90 dagen na de verwijzing in kennis van de status van klachten (133). Hierdoor kunnen betrokkenen klachten over niet-naleving door EU-VS-DPF-organisaties rechtstreeks bij hun nationale gegevensbeschermingsautoriteit indienen en laten toezenden aan het ministerie van Handel als de Amerikaanse autoriteit die het EU-VS-DPF beheert.

(79)

Wanneer het ministerie van Handel op basis van zijn ambtshalve controles, klachten of andere informatie concludeert dat een organisatie de beginselen permanent niet heeft nageleefd, kan het die organisatie uit de DPF-lijst verwijderen (134). De weigering om een definitieve uitspraak van een zelfregulerende instantie, een onafhankelijke geschillenbeslechtingsinstantie of een overheidsinstantie, waaronder een gegevensbeschermingsautoriteit, na te leven, wordt als een permanente niet-naleving beschouwd (135).

(80)

Ten vijfde moet een EU-VS-DPF-organisatie onderworpen zijn aan de jurisdictie van de Amerikaanse autoriteiten, met name de FTC (136), die over de nodige onderzoeks- en handhavingsbevoegdheden beschikken om de naleving van de beginselen daadwerkelijk te waarborgen. De FTC geeft prioriteit aan zaken in verband met niet-naleving van de beginselen die door onafhankelijke geschillenbeslechtingsinstanties of zelfregulerende organisaties, het ministerie van Handel en gegevensbeschermingsautoriteiten (ambtshalve of naar aanleiding van een klacht) naar haar zijn verwezen om te bepalen of sectie 5 van de FTC Act geschonden is (137). De FTC heeft toegezegd een gestandaardiseerde verwijzingsprocedure tot stand te brengen, een contactpunt aan te wijzen voor verwijzingen van gegevensbeschermingsautoriteiten en informatie over verwijzingen uit te wisselen. Daarnaast kan de FTC rechtstreeks door natuurlijke personen ingediende klachten aanvaarden en op eigen initiatief onderzoeken van het EU-VS-DPF verrichten, met name als onderdeel van haar ruimere onderzoeken van privacykwesties.

(81)

Ten zesde kan de betrokkene uit de Unie, als verhaalmechanisme „in laatste instantie” ingeval zijn klacht door geen van de andere beschikbare verhaalmechanismen naar tevredenheid is opgelost, bindende arbitrage door het panel van het EU-VS-kader voor gegevensbescherming (hierna “EU-VS-DPF-panel” genoemd) inroepenEU de inroepen (138). Organisaties moeten natuurlijke personen informeren over de mogelijkheid om bindende arbitrage in te roepen en zij moeten reageren zodra een natuurlijke persoon die optie inroept door een kennisgeving aan de betrokken organisatie (139).

(82)

Dit EU-VS-DPF-panel bestaat uit een groep van ten minste tien arbiters die zijn aangewezen door het ministerie van Handel en de Commissie op basis van hun onafhankelijkheid, integriteit en ervaring op het gebied van de Amerikaanse privacywetgeving en de Uniewetgeving inzake gegevensbescherming. Voor elk individueel geschil selecteren de partijen uit deze groep een panel van één of drie (140) arbiters.

(83)

Het International Centre for Dispute Resolution (ICDR), de internationale afdeling van de American Arbitration Association (AAA), is door het ministerie van Handel geselecteerd om de arbitrages te beheren. Op de procedures voor het EU-VS-DPF-panel zijn een reeks overeengekomen arbitrageregels en een gedragscode voor aangewezen arbiters van toepassing. De website van het ICDR-AAA verstrekt duidelijke en beknopte informatie aan natuurlijke personen over het arbitragemechanisme en de procedure om arbitrage aan te vragen.

(84)

De tussen het ministerie van Handel en de Commissie overeengekomen arbitrageregels vormen een aanvulling op het EU-VS-DPF, dat verscheidene kenmerken bevat die de toegankelijkheid van dit mechanisme voor de betrokkenen uit de Unie vergroten: i) bij de voorbereiding van een geschil voor het panel mag de betrokkene worden bijgestaan door zijn of haar nationale gegevensbeschermingsautoriteit; ii) hoewel de arbitrage in de Verenigde Staten zal plaatsvinden, kunnen betrokkenen uit de Unie ervoor kiezen hieraan deel te nemen per video- of telefoonconferentie, wat zonder kosten voor de natuurlijke persoon wordt aangeboden; iii) hoewel de taal van de arbitrage in de regel Engels zal zijn, zullen normaal gezien vertolking ter zitting en vertaling op met redenen omkleed verzoek zonder kosten voor de betrokkene worden aangeboden; iv) ten slotte, hoewel elke partij haar eigen advocaatkosten moet dragen indien zij voor het panel door een advocaat wordt vertegenwoordigd, zal het ministerie van Handel een fonds oprichten waarin jaarlijkse bijdragen van de EU-VS-DPF-organisaties worden gestort en waarmee de kosten van de arbitrageprocedure worden gedekt tot maximumbedragen die door de Amerikaanse autoriteiten in overleg met de Commissie worden bepaald (141).

(85)

Het EU-VS-DPF-panel is bevoegd om individuspecifieke, niet-monetaire billijke schadeloosstelling (142) op te leggen die noodzakelijk is om de niet-naleving van de beginselen te verhelpen. Hoewel het panel in zijn uitspraak rekening houdt met het andere herstel dat reeds via andere mechanismen van het EU-VS-DPF is verkregen, kunnen natuurlijke personen nog steeds arbitrage inroepen als zij dat andere herstel ontoereikend achten. Hierdoor zullen betrokkenen uit de Unie arbitrage kunnen inroepen in alle gevallen waarin hun klachten niet naar tevredenheid zijn opgelost door de maatregelen die de EU-VS-DPF-organisaties, onafhankelijke verhaalmechanismen of de bevoegde Amerikaanse autoriteiten (bijvoorbeeld de FTC) hebben genomen of net niet hebben genomen. Arbitrage kan niet worden ingeroepen als een gegevensbeschermingsautoriteit wettelijk bevoegd is om de betrokken klacht met betrekking tot de EU-VS-DPF-organisatie te behandelen, namelijk in die gevallen waarin de organisatie verplicht is om samen te werken met en gevolg te geven aan het advies van de gegevensbeschermingsautoriteiten met betrekking tot de verwerking van in het kader van een arbeidsverhouding verzamelde personeelsgegevens, of zich daar vrijwillig toe heeft verbonden. Natuurlijke personen kunnen de arbitragebeslissing in de Amerikaanse rechterlijke instanties doen handhaven op grond van de Federal Arbitration Act, waardoor een rechtsmiddel gewaarborgd is indien een organisatie de beslissing niet naleeft.

(86)

Ten zevende zijn er, wanneer een organisatie haar verbintenis om de beginselen en het gepubliceerde privacybeleid na te leven niet nakomt, volgens het Amerikaanse recht aanvullende rechtsmiddelen beschikbaar, onder meer om schadevergoeding te verkrijgen. Zo kunnen natuurlijke personen onder bepaalde voorwaarden bij de rechter verhaal halen (met inbegrip van schadevergoeding) op grond van de consumentenwetgeving van de Amerikaanse staten in geval van een bedrieglijke voorstelling van zaken, oneerlijke of misleidende handelingen of praktijken (143), en op grond van het recht inzake onrechtmatige daad (met name op grond van de onrechtmatige daden van inbreuk op de persoonlijke levenssfeer (144), toe-eigening van naam of gelijkenis (145) en openbaarmaking van privéfeiten (146)).

(87)

De verschillende hierboven beschreven verhaalmechanismemogelijkheden zorgen er samen voor dat elke klacht in verband met niet-naleving van het EU-VS-DPF door gecertificeerde organisaties daadwerkelijk zal worden beoordeeld en verholpen.

(88)

De Commissie heeft ook de beperkingen en waarborgen beoordeeld, inclusief de mechanismen voor toezicht en individueel verhaal in het recht van de Verenigde Staten met betrekking tot de verzameling en het daaropvolgende gebruik van persoonsgegevens die door Amerikaanse overheidsinstanties in het openbaar belang, met name voor de handhaving van het strafrecht en de nationale veiligheid, worden doorgegeven aan verwerkingsverantwoordelijken en verwerkers in de VS (overheidstoegang) (147). Bij de beoordeling van de vraag of de voorwaarden waaronder overheidstoegang tot gegevens die op grond van dit besluit aan de Verenigde Staten worden doorgegeven “in feite overeenkomend” zijn met artikel 45, lid 1, van Verordening (EU) 2016/679, zoals uitgelegd door het Hof van Justitie in het licht van het Handvest van de grondrechten, heeft de Commissie met name rekening gehouden met de volgende criteria.

(89)

In het bijzonder moet elke beperking van het recht op bescherming van persoonsgegevens bij wet worden geregeld en moet de rechtsgrondslag die de aantasting van een dergelijk recht mogelijk maakt, zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht bepalen (148). Bovendien moet, om te voldoen aan het evenredigheidsvereiste, dat inhoudt dat afwijkingen en beperkingen van de bescherming van persoonsgegevens slechts van toepassing mogen zijn voor zover zulks in een democratische samenleving strikt noodzakelijk is om specifieke doelstellingen van algemeen belang te verwezenlijken die gelijkwaardig zijn aan die welke door de Unie worden erkend, deze rechtsgrondslag duidelijke en nauwkeurige regels betreffende de werkingssfeer en de toepassing van de betrokken maatregelen vaststellen en minimumwaarborgen opleggen, opdat de personen wier gegevens zijn doorgegeven, over voldoende waarborgen beschikken om hun persoonsgegevens doeltreffend te beschermen tegen het risico van misbruik (149). Deze regels en waarborgen moeten bovendien juridisch bindend en afdwingbaar zijn door natuurlijke personen (150). Betrokkenen moeten met name de mogelijkheid hebben een rechtsvordering in te stellen bij een onafhankelijke en onpartijdige rechterlijke instantie om inzage te krijgen in hun persoonsgegevens of om deze gegevens te laten corrigeren of wissen (151).

(90)

Wat betreft inmenging in persoonsgegevens die in het kader van het EU-VS-DPF worden doorgegeven voor rechtshandhavingsdoeleinden, legt het recht van de Verenigde Staten een aantal beperkingen op aan de toegang tot en het gebruik van persoonsgegevens, en voorziet het in toezichts- en verhaalmechanismen die in overeenstemming zijn met de in overweging 89 van dit besluit bedoelde vereisten. De voorwaarden waaronder deze toegang kan plaatsvinden en de waarborgen die van toepassing zijn op het gebruik van die bevoegdheden worden in de volgende punten in detail beoordeeld. In dit verband heeft de Amerikaanse overheid (via het ministerie van Justitie) ook garanties gegeven over de toepasselijke beperkingen en waarborgen (bijlage VI bij dit besluit).

(91)

Door gecertificeerde Amerikaanse organisaties verwerkte persoonsgegevens die op basis van het EU-VS-DPF vanuit de Unie zouden worden doorgegeven, kunnen door Amerikaanse federale aanklagers en federale opsporingsambtenaren volgens verschillende procedures worden geraadpleegd voor rechtshandhavingsdoeleinden, zoals in de overwegingen 92 tot en met 99 nader wordt toegelicht. Deze procedures zijn op dezelfde wijze van toepassing wanneer informatie wordt verkregen van een Amerikaanse organisatie, ongeacht de nationaliteit of woonplaats van de betrokkenen (152).

(92)

Ten eerste kan een rechter op verzoek van een federale wetshandhavingsfunctionaris of een advocaat van de overheid een bevel tot huiszoeking of inbeslagneming (met inbegrip van elektronisch opgeslagen informatie) uitvaardigen (153). Een dergelijk bevel kan alleen worden uitgevaardigd als er een “redelijk vermoeden” (154) bestaat dat “in beslag te nemen voorwerpen” (bewijsmateriaal van een misdrijf, illegaal in bezit gehouden voorwerpen, of voorwerpen die zijn ontworpen of bestemd voor gebruik of zijn gebruikt bij het plegen van een misdrijf) waarschijnlijk zullen worden gevonden op de in het bevel aangegeven plaats. Het bevel moet de in beslag te nemen goederen of voorwerpen identificeren en de rechter aanwijzen bij wie het bevel moet worden teruggezonden. Een persoon die wordt onderworpen aan een zoeking of wiens eigendom wordt doorzocht, kan verzoeken om vernietiging van bewijs dat is verkregen of afgeleid van een onrechtmatige doorzoeking indien dat bewijs tijdens een strafproces tegen die persoon wordt ingebracht (155). Wanneer een houder van gegevens (bv. een onderneming) op grond van een bevel verplicht is gegevens openbaar te maken, kan hij de verplichting tot openbaarmaking met name aanvechten als een te zware last (156).

(93)

Ten tweede kan een dwangbevel worden uitgevaardigd door een kamer van inbeschuldigingstelling (grand jury) (een door een rechter of magistraat ingestelde onderzoekstak van de rechtbank) in het kader van onderzoeken naar bepaalde ernstige misdrijven (157), gewoonlijk op verzoek van een federale openbaar aanklager, om iemand te verplichten bedrijfsdocumenten, elektronisch opgeslagen informatie of andere tastbare zaken over te leggen of beschikbaar te stellen. Bovendien is het op grond van verschillende wetten toegestaan om administratieve dwangbevelen te gebruiken om bedrijfsgegevens, elektronisch opgeslagen informatie of andere tastbare zaken over te leggen of ter beschikking te stellen in onderzoeken betreffende gezondheidszorgfraude, kindermisbruik, bescherming van de geheime dienst, zaken over gecontroleerde stoffen en onderzoeken van de inspecteur-generaal (Inspector General) waarbij overheidsinstanties betrokken zijn (158). In beide gevallen moet de informatie relevant zijn voor het onderzoek en mag het dwangbevel niet onredelijk zijn, d.w.z. te ruim, te zwaar of belastend (en kan het door de ontvanger van het dwangbevel op die gronden worden aangevochten) (159).

(94)

Voor administratieve dwangbevelen die worden uitgevaardigd voor de toegang van civiele of regelgevende instanties (in het openbaar belang) tot gegevens die in het bezit zijn van ondernemingen in de Verenigde Staten gelden zeer vergelijkbare voorwaarden. De bevoegdheid van instanties met civiele en regelgevende verantwoordelijkheden om dergelijke administratieve dwangbevelen uit te vaardigen, moet bij wet zijn vastgelegd. Het gebruik van een administratief dwangbevel wordt onderworpen aan een “redelijkheidstest”, waarbij wordt vereist dat het onderzoek uit hoofde van een gerechtvaardigd doel wordt verricht, dat de in het kader van het dwangbevel gevraagde informatie relevant is voor dat doel, dat de instantie nog niet beschikt over de informatie die zij met het dwangbevel opvraagt, en dat voor de uitvaardiging van het dwangbevel de nodige administratieve stappen werden gevolgd (160). Jurisprudentie van het Hooggerechtshof heeft ook verduidelijkt dat het algemeen belang bij de gevraagde informatie even zwaar moet wegen als de privacybelangen van personen en organisaties (161). Hoewel het gebruik van een administratief dwangbevel niet vooraf door een rechter moet worden goedgekeurd, wordt het wel aan rechterlijke toetsing onderworpen als de ontvanger het dwangbevel op de hierboven vermelde gronden aanvecht, of als de instantie die het dwangbevel heeft uitgevaardigd, het dwangbevel wil gebruiken in de rechtbank (162). Naast deze algemene overkoepelende beperkingen, kunnen specifieke (strengere) eisen voortvloeien uit afzonderlijke wetten (163).

(95)

Ten derde zijn er verschillende rechtsgrondslagen op basis waarvan rechtshandhavingsinstanties toegang kunnen krijgen tot communicatiegegevens. Een rechter kan een bevel afgeven waarbij toestemming wordt verleend voor het verzamelen van realtime, niet-inhoudgerelateerde kies-, routerings-, adresserings- en SIGINT-informatie over een telefoonnummer of e-mail (door middel van een pen register of een trap and trace device (trackers van berichtenverkeer)), indien hij vaststelt dat de autoriteit heeft verklaard dat de waarschijnlijk te verkrijgen informatie relevant is voor een lopend strafrechtelijk onderzoek (164). Het bevel moet onder meer de identiteit, indien bekend, van de verdachte vermelden; de kenmerken van de communicatie waarop het van toepassing is en een vermelding van het strafbare feit waarop de te verzamelen informatie betrekking heeft. Het gebruik van een pen register of een trap and trace device (trackers van berichtenverkeer) kan worden toegestaan voor een periode van maximaal zestig dagen, die alleen door een nieuw rechterlijk bevel kan worden verlengd.

(96)

Bovendien kan op grond van de Stored Communications Act (165)voor rechtshandhavingsdoeleinden toegang worden verkregen tot abonnee-informatie, verkeersgegevens en opgeslagen communicatie-inhoud waarover internetproviders, telefoonmaatschappijen en andere externe dienstverleners beschikken. Voor het verkrijgen van de opgeslagen inhoud van elektronische communicatie moeten rechtshandhavingsinstanties in principe een huiszoekingsbevel verkrijgen van een rechter op basis van een redelijk vermoeden om aan te nemen dat de desbetreffende account bewijs bevat van een misdrijf (166). Voor het verkrijgen van informatie over abonnees, IP-adressen en bijbehorende tijdcodes, evenals van factuurinformatie kunnen rechtshandhavingsinstanties een dwangbevel gebruiken. Voor de meeste andere opgeslagen, niet-inhoudgerelateerde informatie, zoals e-mailheaders zonder onderwerpregel, moeten rechtshandhavingsinstanties een gerechtelijk bevel verkrijgen, dat zal worden uitgevaardigd als de rechter ervan overtuigd is dat er redelijke gronden zijn om aan te nemen dat de gevraagde informatie relevant is en van materieel belang voor een lopend strafrechtelijk onderzoek.

(97)

Providers die op grond van de Stored Communications Act verzoeken ontvangen, kunnen een klant of abonnee wiens informatie wordt opgevraagd, daarvan vrijwillig in kennis stellen, behalve wanneer de betrokken rechtshandhavingsinstantie een beschermingsbevel verkrijgt dat een dergelijke kennisgeving verbiedt (167). Een dergelijk beschermingsbevel is een rechterlijk bevel op grond waarvan een provider van elektronische communicatiediensten of computerdiensten op afstand, tot wie een bevel, dagvaarding of rechterlijk bevel is gericht, geen andere personen in kennis mag stellen van het bestaan van het bevel, de dagvaarding of het rechterlijk bevel, zolang de rechter dat nodig acht. Beschermingsbevelen worden gegeven als een rechter oordeelt dat er reden is om aan te nemen dat kennisgeving een onderzoek ernstig in gevaar zou brengen of een proces onnodig zou vertragen, bijvoorbeeld omdat dit het leven of de fysieke veiligheid van een persoon in gevaar zou brengen, omdat hij zou vluchten voor vervolging, omdat potentiële getuigen zouden worden geïntimideerd enz. Volgens een memorandum van de viceminister van Justitie (Deputy Attorney General) (dat bindend is voor alle advocaten en functionarissen van het ministerie van Justitie) moeten openbaar aanklagers een gedetailleerde beslissing nemen over de noodzaak van een beschermingsbevel en voor de rechter motiveren hoe in de specifieke zaak aan de wettelijke criteria voor het verkrijgen van een beschermingsbevel is voldaan (168). Het memorandum bepaalt ook dat verzoeken om een beschermingsbevel in het algemeen niet tot doel mogen hebben de kennisgeving langer dan een jaar uit te stellen. Wanneer in uitzonderlijke omstandigheden bevelen van langere duur nodig zijn, kunnen deze alleen worden gevraagd met de schriftelijke instemming van een door de U.S. Attorney (Amerikaanse federale hoofdaanklager) of de bevoegde adjunct-minister van Justitie (Assistant Attorney General) aangewezen toezichthouder. Bovendien moet een openbaar aanklager bij de afsluiting van een onderzoek onmiddellijk nagaan of er een grond is om nog lopende beschermingsbevelen te handhaven en, indien dat niet het geval is, het beschermingsbevel beëindigen en ervoor zorgen dat de dienstverlener daarvan in kennis wordt gesteld (169).

(98)

Rechtshandhavingsinstanties kunnen ook in real time kabel-, mondeling of elektronisch communicatieverkeer aftappen op basis van een gerechtelijk bevel waarin een rechter onder meer vaststelt dat er een redelijk vermoeden is om te geloven dat het afluisteren of de elektronische onderschepping bewijs zal opleveren van een federaal misdrijf of de locatie van een voortvluchtige die vervolging ontvlucht (170).

(99)

Verdere bescherming wordt geboden door verschillende beleidslijnen en richtsnoeren van het ministerie van Justitie, waaronder de richtsnoeren van de minister van Justitie in verband met binnenlandse FBI-operaties (AGG-DOM), die onder meer voorschrijven dat het Federal Bureau of Investigation (de FBI) de minst ingrijpende onderzoeksmethoden als haalbaar gebruikt, rekening houdend met de gevolgen voor de privacy en de burgerlijke vrijheden (171).

(100)

Volgens de verklaringen van de Amerikaanse overheid geldt dezelfde of grotere bescherming zoals hierboven beschreven voor rechtshandhavingsonderzoeken op het niveau van de staten (met betrekking tot onderzoek dat krachtens de wetgeving van de staten wordt uitgevoerd) (172). De bovenvermelde bescherming tegen onredelijke huiszoekingen en inbeslagnemingen wordt met name bevestigd door grondwettelijke bepalingen, evenals wetten en rechtspraak op het niveau van de staten, doordat deze de uitvaardiging van een huiszoekingsbevel vereisen (173). Net zoals bij de bescherming die op federaal niveau wordt geboden, kunnen huiszoekingsbevelen uitsluitend worden uitgevaardigd indien een redelijk vermoeden wordt aangetoond en moeten in die bevelen de te doorzoeken plaats en de betrokken personen of de in beslag te nemen goederen worden beschreven (174).

(101)

Wat het verdere gebruik van door federale rechtshandhavingsinstanties verzamelde gegevens betreft, leggen verschillende wetten, richtsnoeren en normen specifieke waarborgen op. Met uitzondering van de specifieke instrumenten die van toepassing zijn op de activiteiten van de FBI (AGG-DOM en de FBI Domestic Investigations and Operations Guide), zijn de in dit hoofdstuk beschreven voorschriften in het algemeen van toepassing op het verdere gebruik van gegevens door een federale instantie, met inbegrip van gegevens die worden geraadpleegd voor civiele en regelgevende doeleinden. Dit omvat de voorschriften die voortvloeien uit memoranda/regelgeving van het Office of Management and Budget, de Federal Information Security Management Modernization Act, de E-Government Act en de Federal Records Act.

(102)

In overeenstemming met de bevoegdheid die wordt verleend door de Clinger-Cohen Act (P.L. 104-106, Division E) en de Computer Security Act van 1987 (P.L. 100-235), heeft het Office of Management and Budget (bureau voor Beheer en Begroting, hierna “OMB”) circulaire nr. A-130 uitgegeven om algemene bindende richtsnoeren vast te stellen die van toepassing zijn op alle federale instanties (met inbegrip van wetshandhavingsinstanties) wanneer zij persoonsgegevens verwerken (175). De circulaire schrijft met name voor dat alle federale instanties het creëren, verzamelen, gebruiken, verwerken, opslaan, bijhouden, verspreiden en openbaar maken van persoonlijk identificeerbare informatie moeten beperken tot hetgeen wettelijk is toegestaan, relevant is en redelijkerwijs noodzakelijk wordt geacht voor de goede uitvoering van de toegestane taken van de instantie (176). Bovendien moeten federale instanties, voor zover dit redelijkerwijs mogelijk is, ervoor zorgen dat persoonlijk identificeerbare informatie nauwkeurig, relevant, tijdig en volledig is en beperkt wordt tot het minimum dat nodig is voor de goede uitvoering van de taken van een instantie. Meer in het algemeen moeten federale instanties een uitgebreid privacyprogramma opstellen om de naleving van de toepasselijke privacyvoorschriften te waarborgen, een privacybeleid te ontwikkelen en te evalueren en privacyrisico’s te beheren; procedures handhaven om incidenten in verband met de naleving van de privacy op te sporen, te documenteren en te rapporteren; bewustmakings- en opleidingsprogramma’s inzake privacy ontwikkelen voor werknemers en contractanten; en beleid en procedures in te voeren om ervoor te zorgen dat het personeel verantwoordelijk wordt gehouden voor de naleving van de privacyvoorschriften en het beleid (177).

(103)

Bovendien vereist de E-Government Act (178) dat alle federale instanties (met inbegrip van rechtshandhavingsinstanties) informatiebeveiliging instellen die in verhouding staat tot het risico en de omvang van de schade die zou voortvloeien uit ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging of vernietiging; een Chief Information Officer hebben die toeziet op de naleving van de informatiebeveiligingsvoorschriften en jaarlijks een onafhankelijke evaluatie (bijvoorbeeld door een inspecteur-generaal, zie overweging 109) van hun informatiebeveiligingsprogramma en -praktijken uitvoeren (179). Evenzo vereisen de Federal Records Act (de federale archiefwet, FRA) (180) en de aanvullende voorschriften (181) dat informatie in het bezit van federale instanties onderworpen wordt aan waarborgen die de fysieke integriteit van de informatie waarborgen en deze beschermen tegen toegang door onbevoegden.

(104)

Op grond van een federale wettelijke bevoegdheid, waaronder de Federal Information Security Modernisation Act van 2014, hebben het OMB en het National Institute of Standards and Technology (NIST) normen ontwikkeld die bindend zijn voor federale instanties (waaronder rechthandhavingsinstanties) en die verder specificeren welke minimumvereisten op het gebied van informatiebeveiliging moeten worden ingevoerd, waaronder toegangscontroles, zorgen voor bewustmaking en opleiding, noodplannen, reactie op incidenten, audit- en verantwoordingsinstrumenten, zorgen voor systeem- en informatie-integriteit, uitvoeren van privacy- en beveiligingsrisicobeoordelingen enz. (182). Bovendien moeten alle federale instanties (inclusief rechtshandhavingsinstanties), overeenkomstig de richtsnoeren van het OMB, een plan voor de aanpak van datalekken bijhouden en uitvoeren, ook wat betreft het reageren op dergelijke inbreuken en het beoordelen van de risico’s op schade (183).

(105)

Wat de bewaring van gegevens betreft, verplicht de federale archiefwet (184) de federale instanties van de VS (met inbegrip van de rechtshandhavingsinstanties) bewaartermijnen voor hun gegevens vast te stellen (waarna deze moeten worden verwijderd), die moeten worden goedgekeurd door de National Archives and Record Administration (185). De duur van deze bewaartermijn wordt vastgesteld in het licht van verschillende factoren, zoals het soort onderzoek, de vraag of het bewijsmateriaal nog relevant is voor het onderzoek enz. Met betrekking tot de FBI bepalen de AGG-DOM dat de FBI over een dergelijk plan voor het bewaren van gegevens moet beschikken en een systeem moet onderhouden waarmee de status van en de grondslag voor onderzoeken snel kunnen worden teruggevonden.

(106)

Ten slotte bevat circulaire nr. A-130 van het OMB ook bepaalde voorschriften voor de verspreiding van persoonsgegevens. In beginsel moet de verspreiding en openbaarmaking van persoonsgegevens worden beperkt tot wat wettelijk is toegestaan en tot wat relevant en redelijkerwijs noodzakelijk wordt geacht voor de correcte uitvoering van de taken van een instantie (186). Wanneer zij persoonlijk identificeerbare informatie delen met andere overheidsinstanties, moeten de Amerikaanse federale instanties, waar nodig, voorwaarden opleggen (waaronder de uitvoering van specifieke beveiligings- en privacycontroles) die de verwerking van de informatie regelen door middel van schriftelijke overeenkomsten (waaronder contracten, overeenkomsten inzake gegevensgebruik, overeenkomsten inzake informatie-uitwisseling en memoranda van overeenstemming) (187). Wat betreft de gronden waarop informatie mag worden verspreid, bepalen de AGG-DOM en de FBI Domestic Investigations and Operations Guide (188) bijvoorbeeld dat de FBI informatie mag verspreiden wanneer hij daar wettelijk toe verplicht is (bv. in het kader van een internationale overeenkomst) dan wel in bepaalde omstandigheden, bv. aan andere Amerikaanse instanties indien openbaarmaking verenigbaar is met het doeleinde waarvoor de informatie werd verzameld en indien dit verband houdt met zijn verantwoordelijkheden; aan commissies van het Congres; aan buitenlandse instanties indien de informatie verband houdt met hun verantwoordelijkheden en de verspreiding ervan strookt met de belangen van de Verenigde Staten; de verspreiding is met name nodig om de veiligheid of de beveiliging van personen of goederen te beschermen, of om te beschermen tegen een misdrijf of een bedreiging van de nationale veiligheid en de openbaarmaking is verenigbaar met het doeleinde waarvoor de informatie werd verzameld (189).

(107)

De activiteiten van de federale rechtshandhavingsinstanties staan onder toezicht van verschillende instanties (190). Zoals toegelicht in de overwegingen 92 - 99 omvat dit meestal voorafgaand toezicht door de rechterlijke macht, die toestemming moet geven voor individuele maatregelen inzake verzameling voordat deze kunnen worden gebruikt. Daarnaast houden andere instanties toezicht op verschillende stadia in de activiteiten van de rechtshandhavingsinstanties, onder meer op de verzameling en verwerking van persoonsgegevens. Samen zorgen deze gerechtelijke en buitengerechtelijke instanties ervoor dat de rechtshandhavingsinstanties aan onafhankelijk toezicht worden onderworpen.

(108)

Ten eerste bestaan er binnen verschillende diensten met verantwoordelijkheden op het vlak van rechtshandhaving functionarissen voor privacy en burgerlijke vrijheden (Privacy and Civil Liberties Officers) (191). Hoewel de specifieke bevoegdheden van deze functionarissen enigszins kunnen variëren afhankelijk van de rechtsgrondslag, omvatten ze doorgaans het toezicht op de procedures om ervoor te zorgen dat het/de respectieve ministerie/instantie op passende wijze rekening houdt met kwesties in verband met de privacy en de burgerlijke vrijheden, en passende procedures heeft ingevoerd voor de behandeling van klachten van natuurlijke personen die van mening zijn dat er inbreuk is gemaakt op hun privacy of burgerlijke vrijheden. De hoofden van elk ministerie of elke instantie moeten ervoor zorgen dat de functionarissen voor privacy en burgerlijke vrijheden beschikken over het materiaal en de middelen om hun mandaat te vervullen, toegang krijgen tot al het materiaal en personeel dat nodig is om hun taken uit te voeren, en worden geïnformeerd over en geraadpleegd over voorgestelde beleidswijzigingen (192). De functionarissen voor privacy en burgerlijke vrijheden brengen periodiek verslag uit aan het Congres, onder meer over het aantal en de aard van de klachten die het ministerie/de instantie heeft ontvangen en het gevolg dat aan die klachten is gegeven, de uitgevoerde controles en onderzoeken en de gevolgen van de door de functionaris verrichte activiteiten (193).

(109)

Ten tweede houdt een onafhankelijke inspecteur-generaal (Inspector General) toezicht op de activiteiten van het ministerie van Justitie, met inbegrip van de FBI (194). Inspecteurs-generaal zijn wettelijk onafhankelijk (195) en verantwoordelijk voor het uitvoeren van onafhankelijke onderzoeken, audits en inspecties van de programma’s en operaties van het ministerie. Zij hebben toegang tot alle gegevens, verslagen, audits, controles, documenten, papieren, aanbevelingen en ander relevant materiaal, zo nodig door een dwangbevel, en kunnen getuigenverklaringen afnemen (196). Hoewel inspecteurs-generaal niet-bindende aanbevelingen voor corrigerende maatregelen kunnen doen, worden hun verslagen, met inbegrip van de vervolgmaatregelen (of het ontbreken daarvan) (197) openbaar gemaakt en bovendien aan het Congres toegezonden, dat op basis daarvan zijn toezichtfunctie kan uitoefenen (zie overweging 111) (198).

(110)

Ten derde staan ministeries met verantwoordelijkheden op het gebied van rechtshandhaving, voor zover zij terrorismebestrijdingsactiviteiten uitvoeren, onder toezicht van de Privacy and Civil Liberties Oversight Board (raad van toezicht op de privacy en de burgerlijke vrijheden, hierna “PCLOB”), een onafhankelijke instantie binnen de uitvoerende macht die bestaat uit een raad van vijf leden uit beide politieke partijen die door de president voor een vaste ambtstermijn van zes jaar zijn benoemd met goedkeuring van de Senaat (199). Volgens het oprichtingsstatuut is de PCLOB belast met verantwoordelijkheden op het gebied van terrorismebestrijding en de uitvoering daarvan, met het oog op de bescherming van de privacy en de burgerlijke vrijheden. Voor haar controle heeft deze instantie toegang tot alle relevante gegevens, verslagen, audits, controles, documenten, papieren en aanbevelingen van de diensten, inclusief gerubriceerde informatie, en kan zij gesprekken voeren en getuigen oproepen (200). Zij ontvangt de verslagen van de functionarissen voor de burgerlijke vrijheden en de privacy van verschillende federale ministeries/instanties (201), kan aanbevelingen doen aan de overheid en de wetshandhavingsinstanties en brengt regelmatig verslag uit aan de Committees (commissies) van het Congres en de president (202). Verslagen van de PCLOB, ook die aan het Congres, moeten zoveel mogelijk openbaar worden gemaakt (203).

(111)

Ten slotte staan de activiteiten op het gebied van rechtshandhaving onder toezicht van specifieke Committees (commissies) in het Amerikaanse Congres (de commissies voor justitie van het Huis van Afgevaardigden en de Senaat). De commissies voor justitie oefenen hun toezichtfuncties op verschillende manieren uit, met name via hoorzittingen, onderzoeken, evaluaties en verslagen (204).

(112)

Zoals aangegeven, moeten rechtshandhavingsinstanties in de meeste gevallen voorafgaande toestemming van de rechter verkrijgen om persoonsgegevens te verzamelen. Hoewel dit niet vereist is voor administratieve dwangbevelen, zijn deze beperkt tot specifieke situaties en zullen zij onderworpen zijn aan een onafhankelijke rechterlijke toetsing, althans wanneer de overheid om handhaving in rechte verzoekt. In het bijzonder kunnen de ontvangers van administratieve dwangbevelen deze bij de rechter aanvechten op grond van het feit dat ze onredelijk zijn, d.w.z. overdreven, onderdrukkend of belastend (205).

(113)

Natuurlijke personen kunnen eerst en vooral bij de rechtshandhavingsinstanties vragen of klachten indienen betreffende de verwerking van hun persoonsgegevens. Dit omvat de mogelijkheid om te vragen of zij de persoonsgegevens mogen inzien en corrigeren (206). Wat activiteiten in verband met terrorismebestrijding betreft, kunnen natuurlijke personen ook een klacht indienen bij de functionarissen voor privacy en burgerlijke vrijheden (of andere privacyfunctionarissen) binnen de rechtshandhavingsinstanties (207).

(114)

Bovendien voorziet de Amerikaanse wetgeving in een aantal gerechtelijke verhaalmechanismemogelijkheden voor natuurlijke personen tegen een overheidsinstantie of een van haar functionarissen, wanneer die instantie persoonsgegevens verwerkt (208). Die verhaalmechanismemogelijkheden, onder meer op grond van de APA, de Freedom of Information Act (FOIA) en de Electronic Communications Privacy Act (ECPA), staan open voor alle natuurlijke personen, ongeacht hun nationaliteit, onder de toepasselijke voorwaarden.

(115)

De APA (209) voorziet algemeen in gerechtelijke verhaalmechanismemogelijkheden, op grond waarvan personen die onrechtmatig zijn behandeld door een overheid of die door een handeling van de overheid zijn benadeeld, zich tot het gerecht kunnen wenden (210). Dit omvat de mogelijkheid om van de rechterlijke instantie te vorderen dat zij vaststelt dat handelingen, vaststellingen en conclusies van de overheid willekeurig en onvoorspelbaar zijn, misbruik van discretionaire bevoegdheid inhouden of op andere wijze niet aan de wet voldoen, en dat zij die onrechtmatig en zonder gevolg verklaart (211).

(116)

Meer specifiek wordt in titel II van de ECPA (212) een stelsel van wettelijke privacyrechten vastgesteld, waarin de toegang van rechtshandhavingsautoriteiten tot de inhoud van kabel-, mondeling of elektronisch communicatieverkeer dat door derden-providers wordt opgeslagen, is geregeld (213). Deze titel stelt de onrechtmatige toegang (d.w.z. niet toegestaan door een rechterlijke instantie of op andere wijze toelaatbaar) tot dergelijk communicatieverkeer strafbaar en biedt de getroffen natuurlijke persoon de mogelijkheid bij een Amerikaanse federale rechterlijke instantie een civielrechtelijke schadevordering alsook een vordering tot billijk of declaratoir herstel in te stellen tegen een overheidsfunctionaris die opzettelijk dergelijke onrechtmatige handelingen heeft verricht, of tegen de Verenigde Staten.

(117)

Daarnaast bieden verschillende andere wetten natuurlijke personen het recht om tegen een Amerikaanse overheidsinstantie of functionaris een vordering in te stellen met betrekking tot de verwerking van hun persoonsgegevens, zoals de Wiretap Act (214), de Computer Fraud and Abuse Act (215), de Federal Torts Claim Act (216), de Right to Financial Privacy Act (217) en de Fair Credit Reporting Act (218).

(118)

Op grond van de FOIA (219), 5 U.S.C. § 552, heeft eenieder tevens het recht op inzage van gegevens van federale instanties, ook wanneer die de persoonsgegevens van de natuurlijke persoon bevatten. Na uitputting van de administratieve procedures kan een natuurlijke persoon dat recht inroepen voor de rechter, tenzij die gegevens tegen openbaarmaking zijn beschermd op grond van een vrijstelling of een bijzondere uitzondering ten behoeve van de rechtshandhaving (220). In dat geval zal de rechter beoordelen of een vrijstelling van toepassing is of rechtmatig door de betrokken overheidsinstantie is ingeroepen.

(119)

De Amerikaanse wetgeving omvat verschillende beperkingen en waarborgen met betrekking tot de toegang tot en het gebruik van persoonsgegevens met het oog op de nationale veiligheid, en voorziet in toezichts- en verhaalmechanismen op dit gebied die in overeenstemming zijn met de in overweging 89 van dit besluit bedoelde vereisten. De voorwaarden waaronder deze toegang kan plaatsvinden en de waarborgen die van toepassing zijn op het gebruik van deze bevoegdheden worden in de volgende punten in detail beoordeeld.

(120)

Persoonsgegevens die vanuit de Unie worden doorgegeven aan EU-VS-DPF-organisaties kunnen door de Amerikaanse autoriteiten ten behoeve van de nationale veiligheid worden verzameld op basis van verschillende rechtsinstrumenten, met inachtneming van specifieke voorwaarden en waarborgen.

(121)

Zodra persoonsgegevens zijn ontvangen door in de Verenigde Staten gevestigde organisaties, kunnen de inlichtingendiensten van de VS alleen toegang vragen tot die persoonsgegevens ten behoeve van de nationale veiligheid als dit bij wet is toegestaan, met name op grond van de Foreign Intelligence Surveillance Act (FISA) of wettelijke bepalingen die toegang toestaan door middel van national security letters (NSL) (221). De FISA bevat verscheidene rechtsgrondslagen die kunnen worden gebruikt om de persoonsgegevens te verzamelen (en vervolgens te verwerken) van betrokkenen uit de Unie die in het kader van het EU-VS-DPF worden doorgegeven (sectie 105 FISA (222), sectie 302 FISA (223), sectie 402 FISA (224), sectie 501 FISA (225) en sectie 702 FISA (226)), zoals nader beschreven in de overwegingen 142 tot en met 152.

(122)

Inlichtingendiensten van de VS beschikken ook over mogelijkheden om persoonsgegevens buiten de Verenigde Staten te verzamelen, waaronder mogelijk persoonsgegevens in doorvoer tussen de Unie en de Verenigde Staten. De inzameling buiten de Verenigde Staten is gebaseerd op Executive Order 12333 (EO 12333) (227), uitgevaardigd door de president (228).

(123)

Het verzamelen van SIGINT is de vorm van inlichtingenverzameling die het meest relevant is voor deze vaststelling van adequaatheid, aangezien het gaat om het verzamelen van elektronische communicatie en gegevens uit informatiesystemen. Deze verzameling kan worden uitgevoerd door de Amerikaanse inlichtingendiensten, zowel binnen de Verenigde Staten (op basis van de FISA) als tijdens de doorvoer van gegevens naar de Verenigde Staten (op basis van EO 12333).

(124)

Op 7 oktober 2022 heeft de Amerikaanse president EO 14086 over de versterking van de waarborgen voor de Amerikaanse SIGINT uitgevaardigd, waarin beperkingen en waarborgen voor alle Amerikaanse SIGINT-activiteiten zijn vastgelegd. Dit EO vervangt grotendeels Presidential Policy Directive 28(presidentiële beleidsrichtlijn 28, hierna “PPD-28”) (229) en versterkt de voorwaarden, beperkingen en waarborgen die gelden voor alle SIGINT-activiteiten (namelijk op grond van FISA en EO 12333), ongeacht waar deze plaatsvinden (230), en stelt een nieuw verhaalmechanisme in waarmee deze waarborgen kunnen worden ingeroepen en afgedwongen door natuurlijke personen (231) (zie meer in detail de overwegingen 176 tot en met 194). Aldus wordt het resultaat van de besprekingen tussen de EU en de VS na de nietigverklaring door het Hof van het besluit van de Commissie over de adequaatheid van het privacyschild (zie overweging 6) omgezet in Amerikaans recht. Het is derhalve een bijzonder belangrijk element van het in dit besluit beoordeelde rechtskader.

(125)

De bij EO 14086 ingevoerde beperkingen en waarborgen vormen een aanvulling op de beperkingen en waarborgen die zijn bepaald in sectie 702 FISA en EO 12333. De hieronder (in de punten 3.2.1.2 en 3.2.1.3) beschreven voorschriften moeten door de inlichtingendiensten worden nageleefd wanneer zij SIGINT-activiteiten verrichten uit hoofde van sectie 702 FISA en EO 12333, bv. wanneer zij categorieën buitenlandse inlichtingen selecteren/aanwijzen die uit hoofde van sectie 702 FISA moeten worden verkregen; wanneer zij buitenlandse inlichtingen of contra-inlichtingen verzamelen uit hoofde van EO 12333; en wanneer zij besluiten nemen met betrekking tot het specificeren van een individueel doelwit uit hoofde van sectie 702 FISA en EO 12333.

(126)

De in dit Executive Order van de president neergelegde vereisten zijn bindend voor alle inlichtingendiensten. Ze moeten verder worden uitgevoerd via beleidsmaatregelen en procedures van de instanties die ze omzetten in concrete aanwijzingen voor dagelijkse operaties. In dit verband geeft EO 14086 de Amerikaanse inlichtingendiensten maximaal een jaar de tijd om hun bestaande beleidsmaatregelen en procedures bij te werken (d.w.z. uiterlijk 7 oktober 2023) en in overeenstemming te brengen met de eisen van het EO. Dergelijke bijgewerkte beleidsmaatregelen en procedures moeten worden ontwikkeld in overleg met de minister van Justitie, de Civil Liberties Protection Officer (functionaris voor de bescherming van de burgerlijke vrijheden, hierna “CLPO”) van het Office of the Director of National Intelligence (bureau van de directeur van de nationale inlichtingendienst, hierna “ODNI”) en de PCLOB — een onafhankelijk toezichtsorgaan dat bevoegd is om het beleid van de uitvoerende macht en de uitvoering ervan te toetsen met het oog op de bescherming van de privacy en de burgerlijke vrijheden (zie overweging 110 voor de rol en het statuut van de PCLOB) — en openbaar worden gemaakt (232). Bovendien zal de PCLOB, zodra de bijgewerkte beleidslijnen en procedures zijn ingevoerd, een evaluatie uitvoeren om ervoor te zorgen dat zij in overeenstemming zijn met het EO. Binnen 180 dagen na afronding van een dergelijke evaluatie door de PCLOB moet elke inlichtingendienst alle aanbevelingen van de PCLOB zorgvuldig overwegen en uitvoeren of anderszins aanpakken. Op 3 juli 2023 heeft de Amerikaanse overheid dergelijke bijgewerkte beleidsmaatregelen en procedures bekendgemaakt (233).

(127)

EO 14086 stelt een aantal verregaande eisen die gelden voor alle SIGINT-activiteiten (verzamelen, gebruiken, verspreiden enz. van persoonsgegevens).

(128)

Ten eerste moeten deze activiteiten gebaseerd zijn op een wet of een presidentiële machtiging en plaatsvinden in overeenstemming met het Amerikaanse recht, met inbegrip van de grondwet (234).

(129)

Ten tweede moeten er passende waarborgen zijn om ervoor te zorgen dat de privacy en burgerlijke vrijheden integraal deel uitmaken van de planning van dergelijke activiteiten (235).

(130)

Met name mogen SIGINT-activiteiten alleen worden uitgevoerd nadat op basis van een redelijke beoordeling van alle relevante factoren is vastgesteld dat de activiteiten noodzakelijk zijn om een gevalideerde inlichtingenprioriteit te bevorderen (zie overweging 135 voor het begrip “gevalideerde inlichtingenprioriteit”) (236).

(131)

Bovendien mogen dergelijke activiteiten alleen worden uitgevoerd in de mate en op een wijze die evenredig is aan de gevalideerde prioriteit van de inlichtingen waarvoor zij zijn toegestaan (237). Met andere woorden, er moet een juist evenwicht worden gevonden tussen het belang van de nagestreefde inlichtingenprioriteit en de gevolgen voor de privacy en de burgerlijke vrijheden van de betrokken personen, ongeacht hun nationaliteit of de plaats waar zij verblijven (238).

(132)

Om te waarborgen dat deze algemene eisen — die de beginselen van wettigheid, noodzakelijkheid en evenredigheid weerspiegelen — worden nageleefd, zijn de SIGINT-activiteiten onderworpen aan toezicht (zie meer in detail sectie 3.2.2) (239).

(133)

Deze overkoepelende vereisten worden met betrekking tot het verzamelen van SIGINT verder onderbouwd met een aantal voorwaarden en beperkingen die ervoor zorgen dat de inmenging in de rechten van natuurlijke personen beperkt blijft tot hetgeen noodzakelijk en evenredig is om een legitiem doel te bereiken.

(134)

Ten eerste beperkt het EO op twee manieren de gronden waarop gegevens kunnen worden verzameld in het kader van SIGINT-activiteiten. Enerzijds legt het EO de legitieme doelstellingen vast die kunnen worden nagestreefd met het verzamelen van SIGINT, bijvoorbeeld om de vermogens, bedoelingen of activiteiten te begrijpen of te beoordelen van buitenlandse organisaties, met inbegrip van internationale terroristische organisaties, die een actuele of potentiële bedreiging vormen voor de nationale veiligheid van de Verenigde Staten; om te beschermen tegen buitenlandse militaire vermogens en activiteiten; om transnationale bedreigingen te begrijpen of te beoordelen die van invloed zijn op de mondiale veiligheid, zoals klimaatverandering en andere ecologische veranderingen, risico’s voor de volksgezondheid en humanitaire bedreigingen (240). Anderzijds somt het EO bepaalde doelstellingen op die nooit mogen worden nagestreefd met SIGINT-activiteiten, bijvoorbeeld om kritiek, afwijkende meningen of de vrije uiting van ideeën of politieke meningen door personen of de pers te belemmeren; om personen te benadelen op grond van hun etniciteit, ras, geslacht, genderidentiteit, seksuele geaardheid of godsdienst; of om Amerikaanse bedrijven een concurrentievoordeel te geven (241).

(135)

Bovendien kunnen de in EO 14086 vastgelegde legitieme doelstellingen op zichzelf door de inlichtingendiensten niet worden ingeroepen om het verzamelen van SIGINT te rechtvaardigen, maar moeten deze voor operationele doeleinden verder worden uitgewerkt tot concretere prioriteiten waarvoor SIGINT kunnen worden verzameld. Met andere woorden, de feitelijke verzameling kan alleen plaatsvinden om een specifiekere prioriteit te bevorderen. Die prioriteiten worden vastgesteld via een specifiek proces dat gericht is op de naleving van de toepasselijke wettelijke voorschriften, waaronder die betreffende privacy en burgerlijke vrijheden. Meer bepaald worden inlichtingenprioriteiten eerst uitgewerkt door de Director of National Intelligence (via het zogenaamde National Intelligence Priorities Framework — “kader voor de nationale inlichtingenprioriteiten”) en ter goedkeuring voorgelegd aan de president (242). Alvorens inlichtingenprioriteiten aan de president voor te stellen, moet de directeur, overeenkomstig EO 14086, voor elke prioriteit een beoordeling krijgen van de CLPO van het ODNI over de vraag of deze 1) een of meer in het EO genoemde legitieme doelstellingen bevordert; 2) niet is bedoeld voor of naar verwachting zal resulteren in het verzamelen van SIGINT voor een in het EO genoemd verboden doel; en 3) is vastgesteld met inachtneming van de privacy en de burgerlijke vrijheden van alle personen, ongeacht hun nationaliteit of verblijfplaats (243). Indien de directeur het niet eens is met de beoordeling van de CLPO, moeten beide standpunten worden voorgelegd aan de president (244).

(136)

Daarom zorgt dit proces er met name voor dat met privacyoverwegingen rekening wordt gehouden vanaf het eerste stadium waarin de inlichtingenprioriteiten worden uitgewerkt.

(137)

Ten tweede, wanneer eenmaal een inlichtingenprioriteit is vastgesteld, wordt aan de hand van een aantal vereisten beslist of en in hoeverre ter bevordering van die prioriteit SIGINT mag worden verzameld. Deze vereisten operationaliseren de overkoepelende noodzakelijkheids- en evenredigheidsnormen van sectie 2, (a) van het EO.

(138)

Met name mogen SIGINT alleen worden verzameld nadat op basis van een redelijke beoordeling van alle relevante factoren is vastgesteld dat de verzameling noodzakelijk is om een specifieke inlichtingenprioriteit te bevorderen (245). Bij het bepalen of een specifieke activiteit voor het verzamelen van SIGINT nodig is om een gevalideerde inlichtingenprioriteit te bevorderen, moeten de Amerikaanse inlichtingendiensten de beschikbaarheid, haalbaarheid en geschiktheid van andere, minder ingrijpende bronnen en methoden, waaronder diplomatieke en openbare bronnen, in overweging nemen (246). Indien beschikbaar moeten dergelijke alternatieve, minder ingrijpende bronnen en methoden voorrang krijgen (247).

(139)

Wanneer bij de toepassing van dergelijke criteria het verzamelen van SIGINT noodzakelijk wordt geacht, moet dit zo gericht mogelijk plaatsvinden en mag het geen onevenredige gevolgen hebben voor de privacy en de burgerlijke vrijheden (248). Om ervoor te zorgen dat de privacy en de burgerlijke vrijheden niet onevenredig worden aangetast — d.w.z. om een juist evenwicht te vinden tussen de behoeften inzake de nationale veiligheid en de bescherming van de privacy en de burgerlijke vrijheden — moet naar behoren rekening worden gehouden met alle relevante factoren, zoals de aard van het nagestreefde doel; de indringendheid van de verzamelactiviteit, met inbegrip van de duur ervan; de waarschijnlijke bijdrage van de verzameling aan het nagestreefde doel; de redelijkerwijs voorzienbare gevolgen voor natuurlijke personen; en de aard en gevoeligheid van de te verzamelen gegevens (249).

(140)

Wat de aard van de verzameling van SIGINT betreft, moet de verzameling van gegevens binnen de Verenigde Staten, die voor deze vaststelling van adequaatheid het meest relevant is omdat het gaat om gegevens die zijn doorgegeven aan organisaties in de VS, altijd gericht zijn, zoals in de overwegingen 142 tot en met 153 nader wordt toegelicht.

(141)

“Bulksgewijze verzameling” (250) kan alleen worden verricht buiten de Verenigde Staten, op grond van EO 12333. Ook in dit geval moet overeenkomstig EO 14086 prioriteit worden gegeven aan gerichte verzameling (251). Omgekeerd is bulksgewijze verzameling alleen toegestaan wanneer de informatie die nodig is om een gevalideerde inlichtingenprioriteit te bevorderen, redelijkerwijs niet kan worden verkregen door gerichte verzameling (252). Wanneer gegevens bulksgewijs buiten de Verenigde Staten moeten worden verzameld, zijn de specifieke waarborgen van EO 14086 van toepassing (253). Ten eerste moeten methoden en technische maatregelen worden toegepast om de verzamelde gegevens te beperken tot wat nodig is om een gevalideerde inlichtingenprioriteit te bevorderen, terwijl het verzamelen van niet-relevante informatie tot een minimum wordt beperkt (254). Ten tweede beperkt het EO het gebruik van bulksgewijs verzamelde informatie (inclusief bevraging) tot zes specifieke doelstellingen, waaronder bescherming tegen terrorisme, gijzeling en het gevangen houden van personen door of namens een buitenlandse regering, organisatie of persoon; bescherming tegen buitenlandse spionage, sabotage of moord; bescherming tegen bedreigingen in verband met de ontwikkeling, het bezit of de verspreiding van massavernietigingswapens of daarmee verband houdende technologieën en bedreigingen enz. (255). Ten slotte mogen bulksgewijs verzamelde SIGINT alleen worden doorzocht wanneer dat nodig is om een gevalideerde inlichtingenprioriteit te bevorderen, ter verwezenlijking van deze zes doelstellingen en in overeenstemming met beleid en procedures die op passende wijze rekening houden met het effect van de doorzoekingen op de privacy en de burgerlijke vrijheden van alle personen, ongeacht hun nationaliteit of verblijfplaats (256).

(142)

Naast de vereisten van EO 14086 is het verzamelen via SIGINT van gegevens die zijn doorgegeven aan een organisatie in de Verenigde Staten onderworpen aan specifieke beperkingen en waarborgen die worden geregeld in sectie 702 FISA (257). Sectie 702 FISA maakt het mogelijk buitenlandse inlichtingen te verzamelen door niet-Amerikanen van wie redelijkerwijs mag worden aangenomen dat zij zich buiten de Verenigde Staten bevinden, te specificeren als doelwit, met de gedwongen ondersteuning van Amerikaanse aanbieders van elektronische- communicatiediensten (258). Om overeenkomstig sectie 702 FISA buitenlandse inlichtingen te kunnen verzamelen, dienen de minister van Justitie en de Director of National Intelligence jaarlijks verklaringen in bij de Foreign Intelligence Surveillance Court (FISC) waarin categorieën van te verwerven buitenlandse inlichtingen worden vastgesteld (259). De certificeringen moeten vergezeld gaan van procedures om het doelwit te specificeren, minimaliseringsprocedures en procedures voor het doorzoeken, die ook door de FISC worden goedgekeurd en juridisch bindend zijn voor de Amerikaanse inlichtingendiensten.

(143)

De FISC is een onafhankelijke rechterlijke instantie (260) die bij federale wet is ingesteld. Tegen de beslissingen ervan kan beroep worden ingesteld bij de Foreign Intelligence Surveillance Court of Review (FISCR) (261) en in laatste instantie bij het Hooggerechtshof van de Verenigde Staten (262). De FISC (en de FISCR) worden ondersteund door een permanent panel van vijf juristen en vijf technische deskundigen die beschikken over deskundigheid op het gebied van nationale veiligheid en de burgerlijke vrijheden (263). De FISC benoemt uit deze groep een persoon als amicus curiae om te helpen bij de behandeling van verzoeken om een bevel of onderzoek die, volgens de FISC, een nieuwe of belangrijke uitlegging van het recht behelzen, tenzij de FISC oordeelt dat een dergelijke benoeming niet passend is (264). Hierdoor wordt met name gewaarborgd dat in de beoordeling van de FISC privacyoverwegingen naar behoren in aanmerking worden genomen. Ook kan de FISC als amicus curiae een persoon of organisatie aanwijzen die onder meer technische deskundigheid verschaft, wanneer dit wenselijk wordt geacht, of op verzoek een persoon of organisatie toestemming verlenen om als amicus curiae opmerkingen in te dienen (265).

(144)

De FISC toetst de certificeringen en de bijbehorende procedures (met name de procedures om het doelwit te specificeren en de minimaliseringsprocedures) aan de vereisten van de FISA. Indien de FISC vaststelt dat niet aan de vereisten is voldaan, kan zij de certificering geheel of gedeeltelijk afwijzen en eisen dat de procedures worden gewijzigd (266). In dit verband heeft de FISC herhaaldelijk bevestigd dat haar toetsing van de procedures om het doelwit te specificeren en de minimaliseringsprocedures uit hoofde van sectie 702 niet beperkt blijft tot de procedures zoals deze zijn neergeschreven, maar ook betrekking heeft op de wijze waarop de procedures door de overheid worden uitgevoerd (267).

(145)

De National Security Agency (NSA, de inlichtingendienst die krachtens sectie 702 FISA verantwoordelijk is voor targeting) stelt individuele doelwitten vast overeenkomstig door de FISC goedgekeurde procedures voor het specificeren van doelwitten, waarbij de NSA op basis van het geheel van de omstandigheden moet beoordelen of het specificeren van een specifieke persoon als doelwit waarschijnlijk leidt tot het verkrijgen van een categorie van buitenlandse inlichtingen die in een certificering zijn omschreven (268). Deze beoordeling moet specifiek en op feiten gebaseerd zijn, op grond van het analytisch oordeel, de gespecialiseerde opleiding en ervaring van de analist en de aard van de te verkrijgen buitenlandse inlichtingen (269). Het vaststellen van doelwitten wordt uitgevoerd door zogenaamde selectietermen die specifieke communicatievoorzieningen identificeren, zoals het e-mailadres of telefoonnummer van het doelwit, maar nooit sleutelwoorden of namen van personen (270).

(146)

Om te beginnen bepalen de analisten van de NSA niet-Amerikanen in het buitenland waarvoor surveillance volgens hun beoordeling zal leiden tot de in de certificering gespecificeerde relevante buitenlandse inlichtingen (271). Zoals uiteengezet in de procedures voor het specificeren van doelwitten van de NSA kan de NSA alleen surveillance op een doelwit richten wanneer zij reeds iets over het doelwit te weten is gekomen (272). Dit kan volgen uit informatie uit verschillende bronnen, bijvoorbeeld menselijke inlichtingen. Via deze andere bronnen moet de analist ook kennis nemen van een specifieke selectieterm (d.w.z. communicatieaccount) die door het potentiële doelwit wordt gebruikt. Nadat die individuele personen zijn bepaald en na het doorlopen van een uitgebreid evaluatiemechanisme binnen de NSA als doelwit zijn goedgekeurd (273), worden vervolgens de selectietermen bepaald die voor de identificatie van de door de doelwitten gebruikte communicatievoorzieningen (zoals e-mailadressen) zullen worden ingezet (d.w.z. ontwikkeld en toegepast) (274).

(147)

De NSA moet de feitelijke basis voor het specificeren van het doelwit documenteren (275) en na de eerste specificatie als doelwit regelmatig bevestigen dat nog steeds aan de norm voor het specificeren van doelwitten wordt voldaan (276). Zodra niet langer aan de norm voor het specificeren van doelwitten wordt voldaan, moet het verzamelen worden stopgezet (277). De selectie van elk doelwit door de NSA en de registratie van elke geregistreerde doelwitbeoordeling en -motivering worden om de twee maanden gecontroleerd op naleving van de procedures voor het specificeren van doelwitten door ambtenaren van de bureaus voor toezicht op de inlichtingendiensten van het ministerie van Justitie, die verplicht zijn elke schending te melden aan de FISC en aan het Congres (278). De schriftelijke documentatie van de NSA vergemakkelijkt het toezicht van de FISC op de vraag of specifieke personen naar behoren als doelwit worden gespecificeerd, op grond van sectie 702 FISA, overeenkomstig de in de overwegingen 173-174 beschreven toezichtsbevoegdheden van de FISC (279). Ten slotte moet de Director of National Intelligence (DNI) ook elk jaar het totale aantal doelwitten uit hoofde van sectie 702 FISA rapporteren in openbare jaarlijkse statistische transparantieverslagen. Bedrijven die richtlijnen uit hoofde van sectie 702 FISA ontvangen, mogen geaggregeerde gegevens publiceren (via transparantieverslagen) over de verzoeken die zij ontvangen (280).

(148)

Voor de andere rechtsgronden voor het verzamelen van persoonsgegevens die aan organisaties in de VS worden doorgegeven, gelden andere beperkingen en waarborgen. In het algemeen is het bulksgewijs verzamelen van gegevens uitdrukkelijk verboden krachtens sectie 402 FISA (pen registers en trap and trace devices (trackers van berichtenverkeer)) en via het gebruik van national security letters, en is het gebruik van specifieke “selectietermen” vereist (281).

(149)

Om traditionele geïndividualiseerde elektronische surveillance uit te voeren (uit hoofde van sectie 105 FISA), moeten de inlichtingendiensten een aanvraag indienen bij de FISC met een verklaring van de feiten en omstandigheden die de overtuiging rechtvaardigen dat er een redelijk vermoeden is dat de faciliteit wordt gebruikt of op het punt staat te worden gebruikt door een buitenlandse mogendheid of een vertegenwoordiger van een buitenlandse mogendheid (282). De FISC zal onder andere beoordelen of er op basis van de voorgelegde feiten sprake is van een redelijk vermoeden dat dit inderdaad het geval is (283).

(150)

Voor een huiszoeking die moet leiden tot een inspectie, inbeslagneming enz. van informatie, materiaal of eigendom (bv. een computer) op basis van sectie 301 FISA, is een verzoek om een bevel van de FISC vereist (284). In een dergelijk verzoek moet onder meer worden aangetoond dat er een redelijk vermoeden bestaat dat het doelwit van de huiszoeking een buitenlandse mogendheid of een vertegenwoordiger van een buitenlandse mogendheid is; dat de te doorzoeken ruimte of eigendom buitenlandse inlichtingen bevat en dat de te doorzoeken ruimte eigendom is van, gebruikt wordt door, in bezit is van of onderweg is naar of van een (vertegenwoordiger van een) buitenlandse mogendheid (285).

(151)

Evenzo vereist de installatie van pen registers en trap and trace devices (trackers van berichtenverkeer) (overeenkomstig afdeling 402 FISA) een verzoek om een bevel van de FISC (of een Amerikaanse magistrate judge) en het gebruik van een specifieke selectieterm, d.w.z. een term die specifiek een persoon, account enz. aanduidt en wordt gebruikt om, voor zover redelijkerwijs mogelijk, de reikwijdte van de gezochte informatie te beperken (286). Deze bevoegdheid heeft geen betrekking op de inhoud van de communicatie, maar slaat op informatie over de klant of abonnee die van een dienst gebruikmaakt (zoals naam, adres, abonneenummer, soort/duur van de ontvangen dienst, bron/mechanisme van betaling).

(152)

Sectie 501 FISA (287), die het verzamelen van bedrijfsgegevens van een openbaarvervoerbedrijf (d.w.z. een persoon of entiteit die tegen vergoeding personen of goederen vervoert over land, per spoor, over het water of door de lucht), een openbare accommodatie (bv. een hotel, motel of herberg), een autoverhuurbedrijf of een fysieke opslagplaats (d.w.z. die ruimte biedt voor of diensten verleent in verband met de opslag van goederen en materialen) toestaat (288), vereist ook een aanvraag bij de FISC of een magistrate judge. In dit verzoek moeten de opgevraagde gegevens worden vermeld alsmede de specifieke en concrete feiten op grond waarvan kan worden aangenomen dat de persoon op wie de gegevens betrekking hebben een buitenlandse mogendheid of een vertegenwoordiger van een buitenlandse mogendheid is (289).

(153)

National security letters, ten slotte, zijn volgens verschillende wetten toegestaan en stellen onderzoeksinstanties in staat van bepaalde entiteiten (bv. financiële instellingen, kredietinformatiebureaus, aanbieders van elektronische communicatie) bepaalde informatie (met uitzondering van de inhoud van de communicatie) te verkrijgen die is opgenomen in kredietverslagen, financiële bestanden en elektronische abonnee- en transactiebestanden (290). De wet inzake national security letters die toegang tot elektronische communicatie mogelijk maakt, mag alleen door de FBI worden gebruikt en vereist dat in de verzoeken een term wordt gebruikt die een persoon, entiteit, telefoonnummer of account specifiek identificeert en wordt bevestigd dat de informatie relevant is voor een geautoriseerd nationaal veiligheidsonderzoek ter bescherming tegen internationaal terrorisme of clandestiene inlichtingenactiviteiten (291). Ontvangers van een national security letter kunnen deze aanvechten in de rechtbank (292).

(154)

De verwerking van persoonsgegevens die door Amerikaanse inlichtingendiensten via SIGINT worden verzameld, is onderworpen aan een aantal waarborgen.

(155)

Ten eerste moet elke inlichtingendienst zorgen voor passende gegevensbeveiliging en voorkomen dat onbevoegden toegang krijgen tot persoonsgegevens die via SIGINT zijn verzameld. In dit verband wordt in verschillende instrumenten, waaronder wetten, richtsnoeren en normen, nader bepaald aan welke minimumeisen inzake informatiebeveiliging moet worden voldaan (bv. multifactorauthenticatie, encryptie enz.) (293). De toegang tot de verzamelde gegevens moet worden beperkt tot bevoegd en opgeleid personeel dat de informatie nodig heeft om zijn taak uit te voeren (294). Meer in het algemeen moeten de inlichtingendiensten hun werknemers een passende opleiding geven, onder meer over de procedures voor het melden en aanpakken van schendingen van de wet (met inbegrip van EO 14086) (295).

(156)

Ten tweede moeten de inlichtingendiensten voldoen aan de normen van de inlichtingendiensten inzake nauwkeurigheid en objectiviteit, met name wat betreft de kwaliteit en betrouwbaarheid van de gegevens, het in aanmerking nemen van alternatieve informatiebronnen en objectiviteit bij het uitvoeren van analyses (296).

(157)

Ten derde verduidelijkt EO 14086 dat voor persoonsgegevens van niet-Amerikaanse personen dezelfde bewaartermijnen gelden als voor de gegevens van Amerikaanse personen, (297). Inlichtingendiensten moeten specifieke bewaartermijnen vaststellen en/of de factoren definiëren waarmee rekening moet worden gehouden bij het vaststellen van de toepasselijke bewaartermijnen (bv. of de informatie bewijsmateriaal is voor een misdrijf; of de informatie uit buitenlandse inlichtingen bestaat; of de informatie noodzakelijk is om de veiligheid van personen of organisaties, met inbegrip van slachtoffers of doelwitten van internationaal terrorisme, te beschermen), die in verschillende rechtsinstrumenten zijn vastgelegd (298).

(158)

Ten vierde gelden er specifieke regels voor de verspreiding van persoonsgegevens die via SIGINT zijn verzameld. Als algemene vereiste geldt dat persoonsgegevens over niet-Amerikaanse personen alleen mogen worden verspreid als het gaat om hetzelfde soort informatie dat over Amerikaanse personen mag worden verspreid, bijvoorbeeld informatie die nodig is om de veiligheid van een persoon of organisatie te beschermen (zoals doelwitten, slachtoffers of gijzelaars van internationale terroristische organisaties) (299). Bovendien mogen persoonsgegevens niet worden verspreid louter op grond van iemands nationaliteit of land van verblijf of om de vereisten van EO 14086 te omzeilen (300). Verspreiding binnen de Amerikaanse overheid mag alleen plaatsvinden indien een bevoegd en opgeleid persoon een redelijke overtuiging heeft dat de ontvanger de informatie nodig heeft (301) en deze naar behoren zal beschermen (302). Om te bepalen of persoonsgegevens mogen worden verspreid onder ontvangers buiten de Amerikaanse overheid (met inbegrip van een buitenlandse overheid of internationale organisatie), moet rekening worden gehouden met het doel van de verspreiding, de aard en de omvang van de verspreide gegevens en de mogelijke schadelijke gevolgen voor de betrokkene(n) (303).

(159)

Ten slotte moet elke inlichtingendienst, mede om het toezicht op de naleving van de toepasselijke wettelijke voorschriften en de mogelijkheid van doeltreffende verhaalmechanismemogelijkheden te faciliteren, uit hoofde van EO 14086 passende documentatie over het verzamelen van SIGINT bijhouden. De documentatievereisten hebben betrekking op elementen zoals de feitelijke basis voor de beoordeling dat een specifieke verzamelingsactiviteit nodig is om een gevalideerde inlichtingenprioriteit te bevorderen (304).

(160)

Naast de bovenvermelde waarborgen op grond van EO 14086 in verband met het gebruik van gegevens die met behulp van SIGINT zijn verzameld, gelden voor alle Amerikaanse inlichtingendiensten meer algemene voorschriften inzake doelbinding, minimale verwerking van gegevens, gegevensbeveiliging, nauwkeurigheid, bewaring en verspreiding van gegevens, die voortvloeien uit met name Circulaire nr. A-130 van het OMB, de E-Government Act, de Federal Records Act (zie overwegingen 101 - 106) en richtsnoeren van het Committee on National Security Systems (CNSS, comité nationale veiligheidssystemen) (305).

(161)

De activiteiten van de Amerikaanse inlichtingendiensten staan onder toezicht van verschillende instanties.

(162)

Ten eerste vereist EO 14086 dat elke inlichtingendienst beschikt over hoge functionarissen op het gebied van wetgeving, toezicht en naleving om ervoor te zorgen dat de toepasselijke Amerikaanse wetgeving wordt nageleefd (306). Zij moeten met name periodiek toezicht houden op de SIGINT-activiteiten en ervoor zorgen dat alle gevallen van niet-naleving worden verholpen. De inlichtingendiensten moeten deze functionarissen toegang verlenen tot alle relevante informatie om hun toezichthoudende taken uit te voeren en mogen geen acties ondernemen om hun toezichthoudende activiteiten te belemmeren of op ongepaste wijze te beïnvloeden (307). Bovendien moet elk significant geval van niet-naleving (308) dat door een toezichthoudende functionaris of een andere werknemer wordt vastgesteld, onmiddellijk worden gemeld aan het hoofd van de inlichtingendienst en de Director of National Intelligence, die ervoor moet zorgen dat de nodige maatregelen worden genomen om het significante geval van niet-naleving te verhelpen en herhaling ervan te voorkomen (309).

(163)

Deze toezichtfunctie wordt vervuld door functionarissen met een aangewezen nalevingsfunctie, alsmede door functionarissen voor privacy en burgerlijke vrijheden en inspecteurs-generaal (310).

(164)

Net als bij de rechtshandhavingsinstanties zijn er bij alle inlichtingendiensten functionarissen voor privacy en burgerlijke vrijheden (311). De bevoegdheden van deze functionarissen omvatten doorgaans het toezicht op de procedures om ervoor te zorgen dat het/de respectieve ministerie/instantie op passende wijze rekening houdt met kwesties in verband met de privacy en de burgerlijke vrijheden, en passende procedures heeft ingevoerd voor de behandeling van klachten van natuurlijke personen die van mening zijn dat er inbreuk is gemaakt op hun privacy of burgerlijke vrijheden (en in sommige gevallen kunnen ze zelf de bevoegdheid hebben om klachten te onderzoeken, zoals het Office of the Director of National Intelligence (ODNI (312))). De hoofden van de inlichtingendiensten moeten ervoor zorgen dat de functionarissen voor privacy en burgerlijke vrijheden over de middelen beschikken om hun mandaat te vervullen, toegang krijgen tot al het materiaal en personeel dat nodig is om hun taken uit te voeren, en geïnformeerd en geraadpleegd worden over voorgestelde beleidswijzigingen (313). De functionarissen voor de burgerlijke vrijheden en de privacy brengen periodiek verslag uit aan het Congres en de PCLOB, onder meer over het aantal en de aard van de klachten die het ministerie/de instantie heeft ontvangen en het gevolg dat aan die klachten is gegeven, de uitgevoerde controles en onderzoeken en de gevolgen van de door de functionaris verrichte activiteiten (314).

(165)

Ten tweede heeft elk onderdeel van de inlichtingendiensten een onafhankelijke inspecteur-generaal, die onder andere belast is met het toezicht op buitenlandse inlichtingenactiviteiten. Binnen het ODNI is dat het Office of the Inspector General of the Intelligence Community (bureau van de inspecteur-generaal van de inlichtingendiensten), dat uitgebreide rechtsmacht heeft over alle inlichtingendiensten en bevoegd is een onderzoek in te stellen naar klachten of informatie betreffende beschuldigingen van onrechtmatig gedrag of misbruik van gezag, in verband met programma’s en activiteiten van het ODNI en/of de inlichtingendiensten (315). Zoals het geval is voor rechtshandhavingsinstanties (zie overweging 109), zijn deze inspecteurs-generaal wettelijk onafhankelijk (316) en zijn ze verantwoordelijk voor het uitvoeren van audits en onderzoeken met betrekking tot de door de betrokken dienst uitgevoerde programma’s en operaties ten behoeve van nationaal inlichtingenwerk, onder meer wat misbruik of schending van de wet betreft (317). Zij hebben toegang tot alle gegevens, verslagen, audits, controles, documenten, papieren, aanbevelingen en ander relevant materiaal, zo nodig door een dwangbevel, en kunnen getuigenverklaringen afnemen (318). De inspecteurs-generaal verwijzen gevallen van vermoedelijke strafbare feiten voor vervolging door en doen aanbevelingen voor corrigerende maatregelen aan de hoofden van de diensten (319). Hoewel hun aanbevelingen niet bindend zijn, worden hun verslagen, met inbegrip van de follow-up (of het ontbreken daarvan) (320) in het algemeen openbaar gemaakt en toegezonden aan het Congres, dat op basis daarvan zijn eigen toezichtfunctie kan uitoefenen (zie overwegingen 168-169) (321).

(166)

Ten slotte houdt de Intelligence Oversight Board (toezichtsraad inzake inlichtingen, hierna “IOB”), die is opgericht binnen de President’s Intelligence Advisory Board (adviesraad van de president inzake inlichtingen, hierna “PIAB”), toezicht op de naleving van de grondwet en alle geldende regels door de Amerikaanse inlichtingendiensten (322). De PIAB is een adviesorgaan binnen het Executive Office van de president dat bestaat uit 16 door de president benoemde leden van buiten de Amerikaanse overheid. De IOB bestaat uit ten hoogste vijf leden die door de president worden aangewezen uit de leden van de PIAB. Volgens EO 12333 (323) zijn de hoofden van alle inlichtingendiensten verplicht bij de IOB melding te maken van elke inlichtingenactiviteit waarbij er reden is om aan te nemen dat deze onwettig is of in strijd met een Executive Order of een Presidential Directive. Om ervoor te zorgen dat de IOB toegang heeft tot de informatie die hij nodig heeft om zijn functies uit te oefenen, draagt Executive Order 13462 de Director of National Intelligence en de hoofden van de inlichtingendiensten op alle informatie en bijstand te verstrekken die de IOB nodig acht om zijn functies uit te oefenen, voor zover de wet dat toestaat (324). De IOB moet op zijn beurt de president informeren over inlichtingenactiviteiten die naar zijn mening in strijd zijn met de Amerikaanse wetgeving (met inbegrip van Executive Orders) en die niet adequaat worden aangepakt door de minister van Justitie, de Director of National Intelligence of het hoofd van een inlichtingendienst (325). Bovendien moet de IOB de minister van Justitie informeren over mogelijke schendingen van het strafrecht.

(167)

Ten vierde staan de inlichtingendiensten onder toezicht van de PCLOB. Volgens het oprichtingsstatuut is de PCLOB belast met verantwoordelijkheden op het gebied van terrorismebestrijding en de uitvoering daarvan, met het oog op de bescherming van de privacy en de burgerlijke vrijheden. Voor haar controle van het optreden van de inlichtingendiensten heeft deze instantie toegang tot alle relevante gegevens, verslagen, audits, controles, documenten, papieren en aanbevelingen van de diensten, inclusief gerubriceerde informatie, en kan zij gesprekken voeren en getuigen oproepen (326). Zij ontvangt de verslagen van de functionarissen voor de burgerlijke vrijheden en de privacy van verschillende federale ministeries/instanties (327), kan aanbevelingen doen aan de overheid en de inlichtingendiensten en brengt regelmatig verslag uit aan de Committees (commissies) van het Congres en de president (328). Verslagen van de PCLOB, ook die aan het Congres, moeten zoveel mogelijk openbaar worden gemaakt (329). De PCLOB heeft verscheidene toezicht- en follow-upverslagen uitgebracht, waaronder een analyse van de programma’s die op basis van sectie 702 FISA worden uitgevoerd en de bescherming van de privacy in deze context, de uitvoering van PPD-28 en EO 12333 (330). De PCLOB is ook belast met het uitvoeren van specifieke toezichtfuncties met betrekking tot de uitvoering van EO 14086, met name door na te gaan of de procedures van de instanties in overeenstemming zijn met het EO (zie overweging 126) en door de werking van het verhaalmechanisme te evalueren (zie overweging 194).

(168)

Ten vijfde hebben specifieke commissies (Committees) in het Amerikaanse Congres (met name de Intelligence and Judiciary Committees (Commissies inlichtingen en Commissies juridische zaken) van het Huis van Afgevaardigden en de Senaat), naast deze toezichtsmechanismen binnen de uitvoerende macht, verantwoordelijkheden voor het toezicht op alle buitenlandse inlichtingenactiviteiten van de Verenigde Staten. De leden van deze commissies hebben toegang tot gerubriceerde informatie en inlichtingenmethoden en -programma’s (331). De commissies oefenen hun toezichtfuncties op verschillende manieren uit, met name via hoorzittingen, onderzoeken, evaluaties en verslagen (332).

(169)

De commissies van het Congres ontvangen regelmatig verslagen over inlichtingenactiviteiten, onder meer van de minister van Justitie, de Director of National Intelligence, de inlichtingendiensten en andere toezichthoudende instanties (bv. inspecteurs-generaal), zie de overwegingen 164-165. De National Security Act bepaalt met name dat de president ervoor moet zorgen dat de Intelligence Committees van het Congres ten volle en actueel op de hoogte worden gehouden van de inlichtingenactiviteiten van de Verenigde Staten, met inbegrip van alle belangrijke verwachte inlichtingenactiviteiten in de zin van dit subhoofdstuk (333). Bovendien zorgt de president ervoor dat alle illegale inlichtingenactiviteiten onmiddellijk aan de Intelligence Committees van het Congres worden gemeld, evenals de corrigerende maatregelen die zijn genomen of worden gepland in verband met deze illegale activiteiten (334).

(170)

Bovendien vloeien uit specifieke wetten aanvullende rapportageverplichtingen voort. In het bijzonder schrijft de FISA voor dat de minister van Justitie de Intelligence and Judiciary Committees (Commissies inlichtingen en Commissies juridische zaken) van het Huis van Afgevaardigden en de Senaat “ten volle moet informeren” over de activiteiten van de overheid in het kader van bepaalde secties van de FISA (335). De FISA schrijft ook voor dat de overheid de commissies van het Congres moet voorzien van afschriften van alle beslissingen, bevelen of adviezen van de FISC of de FISCR die een “essentiële uitlegging of interpretatie” bevatten van bepalingen van de FISA. Met betrekking tot surveillance op grond van sectie 702 FISA wordt het parlementaire toezicht uitgeoefend door middel van wettelijk verplichte verslagen aan de Intelligence and Judiciary Committees en frequente briefings en hoorzittingen. Die verslagen omvatten een halfjaarlijks verslag van de minister van Justitie waarin de toepassing van sectie 702 FISA wordt beschreven, met bewijsstukken waaronder met name de nalevingsverslagen van het ministerie van Justitie en het ODNI en een beschrijving van eventuele gevallen van niet-naleving (336), en een afzonderlijke halfjaarlijkse beoordeling van de minister van Justitie en de Director of National Intelligence waarin de naleving van de procedures om het doelwit te specificeren en de minimaliseringsprocedures wordt gedocumenteerd (337).

(171)

Overeenkomstig de FISA moet de Amerikaanse overheid bovendien elk jaar aan het Congres (en het publiek) onder andere het aantal gevraagde en ontvangen FISA-bevelen bekendmaken, evenals ramingen van het aantal Amerikanen en niet-Amerikanen die het doelwit van surveillance zijn (338). De USA Freedom Act vereist ook aanvullende openbare verslaggeving over het aantal afgegeven national security letters, opnieuw zowel met betrekking tot Amerikanen als niet-Amerikanen (en biedt de ontvangers van FISA-bevelen en certificeringen, alsook van verzoeken op basis van national security letters, tegelijkertijd de mogelijkheid om onder bepaalde voorwaarden transparantieverslagen op te stellen) (339).

(172)

Meer in het algemeen ondernemen de Amerikaanse inlichtingendiensten verschillende inspanningen om transparantie te verschaffen over hun (buitenlandse) inlichtingenactiviteiten. Zo heeft het ODNI in 2015 beginselen voor transparantie van inlichtingen en een uitvoeringsplan voor transparantie aangenomen en elke inlichtingendienst opgedragen een functionaris voor transparantie van inlichtingen aan te wijzen om transparantie te bevorderen en initiatieven voor transparantie te leiden (340). Als onderdeel van deze inspanningen hebben de inlichtingendiensten delen van beleid, procedures, toezichtsverslagen, verslagen over activiteiten in het kader van sectie 702 FISA en EO 12333, besluiten van de FISC en ander materiaal gederubriceerd en blijven zij dit doen, onder meer op een speciale webpagina “IC on the Record”, beheerd door het ODNI (341).

(173)

Ten slotte is het verzamelen van persoonsgegevens uit hoofde van sectie 702 FISA, naast het toezicht door de in de overwegingen 162 tot en met 168 genoemde toezichthoudende instanties, onderworpen aan het toezicht van de FISC (342). Krachtens regel 13 van het reglement van orde van de FISC moeten de compliance officers van de Amerikaanse inlichtingendiensten alle schendingen van de procedures om het doelwit te specificeren, minimaliseringsprocedures en procedures voor het doorzoeken uit hoofde van sectie 702 FISA melden aan het ministerie van Justitie en het ODNI, die ze op hun beurt melden aan de FISC. Bovendien dienen het ministerie van Justitie en het ODNI halfjaarlijkse gezamenlijke verslagen over het toezicht in bij de FISC, waarin trends in de naleving van de doelstellingen worden vastgesteld; statistische gegevens worden verstrekt; categorieën nalevingsincidenten worden beschreven; in detail wordt beschreven waarom bepaalde incidenten in verband met de naleving van het specificeren van doelwitten hebben plaatsgevonden en wordt aangegeven welke maatregelen de inlichtingendiensten hebben genomen om herhaling te voorkomen (343).

(174)

Indien nodig (bv. indien schendingen van de procedures voor het specificeren van doelwitten worden vastgesteld), kan de FISC de betrokken inlichtingendienst gelasten corrigerende maatregelen te nemen (344). Hierbij kan het gaan om individuele en structurele maatregelen, zoals het beëindigen van de gegevensverwerving en het wissen van onrechtmatig verkregen gegevens, tot een verandering in de praktijk van het verzamelen, maar ook richtsnoeren voor en opleiding van personeel (345). Bovendien bekijkt de FISC bij zijn jaarlijkse toetsing van de certificeringen uit hoofde van sectie 702 naar de gevallen van niet-naleving om te bepalen of de ingediende certificeringen voldoen aan de vereisten van de FISA. Evenzo kan de FISC, indien hij van oordeel is dat de certificeringen van de overheid ontoereikend waren, onder meer wegens bepaalde gevallen van niet-naleving, een zogenaamd deficiency order (nalatigheidsbevel) uitvaardigen waarin de overheid wordt gelast de schending binnen 30 dagen te verhelpen of waarin de overheid wordt gelast de uitvoering van de certificering uit hoofde van sectie 702 te staken of er niet mee te beginnen. Ten slotte beoordeelt de FISC trends die hij waarneemt in nalevingskwesties en kan hij wijzigingen in procedures of aanvullend toezicht en rapportage verlangen om nalevingstrends aan te pakken (346).

(175)

Zoals in deze sectie nader wordt toegelicht, biedt een aantal rechtsmiddelen in de Verenigde Staten betrokkenen uit de Unie de mogelijkheid een rechtszaak aan te spannen voor een onafhankelijk en onpartijdig gerecht met bindende bevoegdheden. Samen stellen zij natuurlijke personen in staat toegang te krijgen tot hun persoonsgegevens, de rechtmatigheid van de toegang van de overheid tot hun gegevens te laten toetsen en, indien een schending wordt vastgesteld, die schending ongedaan te laten maken, onder meer door rectificatie of wissing van hun persoonsgegevens.

(176)

Ten eerste wordt bij EO 14086, aangevuld met de AG Regulation tot oprichting van de Data Protection Review Court, een specifiek verhaalmechanisme ingesteld om klachten van natuurlijke personen over Amerikaanse SIGINT-activiteiten te behandelen en op te lossen. Elke natuurlijke persoon in de EU heeft het recht bij het verhaalmechanisme een klacht in te dienen over een vermeende schending van de Amerikaanse wetgeving inzake SIGINT-activiteiten (bv. EO 14086, sectie 702 FISA, EO 12333) die zijn belangen inzake privacy en burgerlijke vrijheden schaadt (347). Dit verhaalmechanisme staat open voor personen uit landen of regionale organisaties voor economische integratie die door de minister van Justitie van de VS zijn aangewezen als “in aanmerking komende staten” (348). Op 30 juni 2023 zijn de Europese Unie en de drie landen van de Europese Vrijhandelsassociatie die samen de Europese Economische Ruimte vormen door de minister van Justitie overeenkomstig sectie 3,(f), van de EO 14086 aangewezen als “in aanmerking komende staten” (349). Deze aanwijzing doet geen afbreuk aan artikel 4, lid 2, van het Verdrag betreffende de Europese Unie.

(177)

Een betrokkene uit de Unie die een dergelijke klacht wil indienen, moet deze indienen bij een toezichthoudende autoriteit in een EU-lidstaat die bevoegd is voor het toezicht op de verwerking van persoonsgegevens door overheidsdiensten (een gegevensbeschermingsautoriteit) (350). Dit zorgt voor een gemakkelijke toegang tot het verhaalmechanisme doordat personen zich kunnen wenden tot een instantie “dicht bij huis” en waarmee zij in hun eigen taal kunnen communiceren. Na verificatie van de in overweging 178 bedoelde vereisten voor de indiening van een klacht zal de bevoegde gegevensbeschermingsautoriteit de klacht via het secretariaat van het Europees Comité voor gegevensbescherming doorsturen naar het verhaalmechanisme

(178)

Voor het indienen van een klacht bij het verhaalmechanisme gelden lage ontvankelijkheidsvereisten, aangezien natuurlijke personen niet hoeven aan te tonen dat hun gegevens daadwerkelijk het voorwerp zijn geweest van Amerikaanse SIGINT-activiteiten (351). Om het verhaalmechanisme in staat te stellen een toetsing uit te voeren, moet tegelijkertijd bepaalde basisinformatie worden verstrekt, bijvoorbeeld over de persoonsgegevens waarvan redelijkerwijs mag worden aangenomen dat zij naar de VS zijn doorgegeven en de wijze waarop dat is gebeurd; de identiteit van de entiteiten van de Amerikaanse overheid die vermoedelijk bij de vermeende schending betrokken zijn (indien bekend); de grondslag voor de bewering dat een schending van het Amerikaanse recht heeft plaatsgevonden (hoewel ook hier niet hoeft te worden aangetoond dat de persoonsgegevens daadwerkelijk door de Amerikaanse inlichtingendiensten zijn verzameld) en de aard van het gevorderde redres.

(179)

Het initiële onderzoek van klachten bij dit verhaalmechanisme wordt uitgevoerd door de CLPO van het ODNI, wiens bestaande wettelijke rol en bevoegdheden zijn uitgebreid voor die specifieke acties die worden ondernomen overeenkomstig EO 14086 (352). Binnen de inlichtingendiensten is de CLPO er onder meer verantwoordelijk voor dat de bescherming van de burgerlijke vrijheden en de privacy op passende wijze wordt opgenomen in het beleid en de procedures van het ODNI en de inlichtingendiensten; ziet hij toe op de naleving door het ODNI van de toepasselijke voorschriften inzake burgerlijke vrijheden en privacy; en voert hij privacy-effectbeoordelingen uit (353). De CLPO van het ODNI kan alleen door de Director of National Intelligence worden ontslagen om gegronde redenen, d.w.z. in geval van wangedrag, ambtsmisdrijf, inbreuk op de veiligheid, plichtsverzuim of onbekwaamheid (354).

(180)

Bij het uitvoeren van zijn beoordeling heeft de CLPO van het ODNI toegang tot de informatie voor zijn beoordeling en kan hij rekenen op de gedwongen bijstand van functionarissen voor privacy en burgerlijke vrijheden binnen de verschillende inlichtingendiensten (355). Het is de inlichtingendiensten verboden de beoordelingen van de CLPO van het ODNI te belemmeren of op ongepaste wijze te beïnvloeden. Dit geldt ook voor de Director of National Intelligence, die zich niet met de evaluatie mag bemoeien (356). Bij de beoordeling van een klacht moet de CLPO van het ODNI de wet “onpartijdig toepassen”, met inachtneming van zowel de nationale veiligheidsbelangen bij SIGINT-activiteiten als de bescherming van de privacy (357).

(181)

Als onderdeel van zijn onderzoek bepaalt de CLPO van het ODNI of er sprake is van een schending van de toepasselijke Amerikaanse wetgeving en, indien dat het geval is, beslist hij over passende herstelmaatregelen (358). Dit laatste betreft maatregelen die een vastgestelde schending volledig ongedaan maken, zoals beëindiging van de onrechtmatige verkrijging van gegevens, wissing van onrechtmatig verzamelde gegevens, wissing van de resultaten van onrechtmatig verrichte bevragingen van overigens rechtmatig verzamelde gegevens, beperking van de toegang tot rechtmatig verzamelde gegevens tot naar behoren opgeleid personeel, of het terugroepen van inlichtingenrapporten die gegevens bevatten die zonder rechtmatige toestemming zijn verkregen of die onrechtmatig zijn verspreid (359). Beslissingen van de CLPO van het ODNI over individuele klachten (inclusief over de herstelmaatregelen) zijn bindend voor de betrokken inlichtingendiensten (360).

(182)

De CLPO van het ODNI moet de documentatie van zijn onderzoek bijhouden en een gerubriceerd besluit opstellen waarin de grondslag voor zijn feitelijke bevindingen wordt toegelicht, alsmede de vaststelling of er sprake is van een onder EO 14086 vallende schending en de vaststelling van passende herstelmaatregelen (361). Indien uit het onderzoek van de CLPO van het ODNI een schending blijkt van een autoriteit waarop de FISC toezicht houdt, moet de CLPO ook een gerubriceerd verslag indienen bij de adjunct-minister van Justitie voor nationale veiligheid (Assistant Attorney General for National Security), die op zijn beurt verplicht is de niet-naleving te melden aan de FISC, die verdere handhavingsmaatregelen kan nemen (overeenkomstig de in de overwegingen 173-174 beschreven procedure) (362).

(183)

Zodra het onderzoek is afgerond, stelt de CLPO van het ODNI de klager er via de nationale autoriteit van in kennis dat het onderzoek geen onder EO 14086 vallende schendingen aan het licht heeft gebracht of dat de CLPO van het ODNI een besluit heeft genomen dat passende herstelmaatregelen vereist (363). Hierdoor kan de vertrouwelijkheid van activiteiten ter bescherming van de nationale veiligheid worden beschermd, terwijl de betrokkenen een besluit krijgen dat bevestigt dat hun klacht naar behoren is onderzocht en beoordeeld. Dit besluit kan bovendien door de natuurlijke persoon worden aangevochten. Daartoe zal hij worden geïnformeerd over de mogelijkheid om bij de DPRC in beroep te gaan tegen de vaststellingen van de CLPO (zie de overwegingen 184 en verder) en dat, ingeval de zaak bij de rechtbank aanhangig zou worden gemaakt, een bijzondere jurist (special advocate) zal worden gekozen om de belangen van de klager te behartigen (364).

(184)

Elke klager en elk onderdeel van de inlichtingendiensten kan de beslissing van de CLPO van het ODNI laten toetsen door de Data Protection Review Court (DPRC). Dergelijke verzoeken om toetsing moeten worden ingediend binnen 60 dagen na ontvangst van de kennisgeving van de CLPO van het ODNI dat zijn toetsing is voltooid en moeten alle informatie bevatten die de betrokkene aan de DPRC wenst te verstrekken (bv. argumenten inzake rechtsvragen of de toepassing van het recht op de feiten van de zaak) (365). De betrokkenen in de Unie kunnen hun aanvraag opnieuw via de bevoegde gegevensbeschermingsautoriteit (zie overweging 177).

(185)

De DPRC is een onafhankelijke rechterlijke instantie die door de minister van Justitie is ingesteld op grond van EO 14086 (366). Hij bestaat uit ten minste zes rechters, die door de minister van Justitie in overleg met de PCLOB, de minister van Handel en de Director of National Intelligence worden benoemd voor hernieuwbare termijnen van vier jaar (367). De benoeming van rechters door de minister van Justitie is gebaseerd op de criteria die de uitvoerende macht hanteert bij de beoordeling van kandidaten voor de federale rechterlijke macht, waarbij belang wordt gehecht aan eerdere justitiële ervaring (368). Bovendien moeten de rechters beoefenaars van juridische beroepen zijn (d.w.z. actieve leden met een goede reputatie bij de balie en naar behoren gemachtigd voor de advocatuur) en passende ervaring hebben op het gebied van privacy en nationale veiligheidswetgeving. De minister van Justitie moet ernaar streven dat ten minste de helft van de rechters op enig moment eerdere justitiële ervaring heeft en alle rechters moeten over een veiligheidsmachtiging beschikken om toegang te kunnen krijgen tot gerubriceerde nationale veiligheidsinformatie (369).

(186)

Alleen personen die voldoen aan de in overweging 185 genoemde kwalificaties en die op het tijdstip van hun benoeming of in de twee voorafgaande jaren geen werknemer van de uitvoerende macht zijn, kunnen tot lid van de DPRC worden benoemd. Evenzo mogen de rechters tijdens hun ambtstermijn bij de DPRC geen officiële taken of banen binnen de Amerikaanse regering hebben (anders dan als rechter bij de DPRC) (370).

(187)

De onafhankelijkheid van het berechtingsproces wordt bereikt door een aantal garanties. Met name is het de uitvoerende macht (de minister van Justitie en de inlichtingendiensten) verboden zich te mengen in de evaluatie van de DPRC of deze op ongepaste wijze te beïnvloeden (371). De DPRC zelf moet onpartijdig uitspraak doen in zaken (372) en werkt volgens zijn eigen reglement van orde (aangenomen bij meerderheid van stemmen). Bovendien kunnen rechters van de DPRC uitsluitend om gegronde redenen (d.w.z. wangedrag, ambtsmisdrijf, inbreuk op de veiligheid, plichtsverzuim of onbekwaamheid) en uitsluitend door de minister van Justitie worden ontslagen, nadat naar behoren rekening is gehouden met de normen voor federale rechters die zijn neergelegd in de “Rules for Judicial-Conduct and Judicial-Disability Proceedings” (regels voor het gedrag van rechters en voor procedures inzake onbekwaamheid van rechters) (373).

(188)

Verzoeken bij de DPRC worden beoordeeld door panels van drie rechters, waaronder een voorzittende rechter, die moeten handelen in overeenstemming met de gedragscode voor Amerikaanse rechters (374). Elk panel wordt bijgestaan door een bijzondere jurist (special advocate) (375), die toegang heeft tot alle informatie betreffende de zaak, met inbegrip van gerubriceerde informatie (376). De rol van de bijzondere jurist bestaat erin ervoor te zorgen dat de belangen van de klager worden behartigd en dat het panel van de DPRC goed wordt geïnformeerd over alle relevante juridische en feitelijke kwesties (377). Om zijn standpunt ten aanzien van een door een persoon bij de DPRC ingediend verzoek om toetsing nader toe te lichten, kan de bijzondere jurist informatie inwinnen bij de klager door middel van schriftelijke vragen (378).

(189)

De DPRC toetst de vaststellingen van de CLPO van het ODNI (zowel of een schending van het toepasselijke Amerikaanse recht heeft plaatsgevonden als wat betreft de passende corrigerende maatregelen) ten minste op basis van het verslag van het onderzoek van de CLPO van het ODNI, alsook op basis van informatie en opmerkingen van de klager, de bijzondere jurist of een inlichtingendienst (379). Een DPRC-panel heeft toegang tot alle informatie die nodig is om een toetsing uit te voeren, die het kan verkrijgen via de CLPO van het ODNI (het panel kan de CLPO bijvoorbeeld verzoeken zijn dossier aan te vullen met aanvullende informatie of feitelijke bevindingen indien dat nodig is om de toetsing uit te voeren) (380).

(190)

De DPRC kan aan het eind van zijn onderzoek 1) besluiten dat er geen aanwijzingen zijn dat er met betrekking tot de persoonsgegevens van de klager SIGINT-activiteiten hebben plaatsgevonden, 2) besluiten dat de vaststellingen van de CLPO van het ODNI juridisch correct waren en gestaafd werden door materieel bewijsmateriaal, of 3) indien de DPRC het niet eens is met de vaststellingen van de CLPO van het ODNI (of er een schending van de toepasselijke Amerikaanse wetgeving heeft plaatsgevonden of de passende corrigerende maatregelen), zijn eigen vaststellingen doen (381).

(191)

In alle gevallen neemt de DPRC bij meerderheid van stemmen een schriftelijk besluit. Indien de toetsing een schending van de toepasselijke regels aan het licht brengt, worden in het besluit passende corrigerende maatregelen gespecificeerd, zoals wissing van onrechtmatig verzamelde gegevens, wissing van de resultaten van onrechtmatig verrichte bevragingen, beperking van de toegang tot rechtmatig verzamelde gegevens tot naar behoren opgeleid personeel, of het terugroepen van inlichtingenrapporten die gegevens bevatten die zonder rechtmatige toestemming zijn verkregen of die onrechtmatig zijn verspreid (382). De beslissing van de DPRC is bindend en definitief ten aanzien van de bij hem ingediende klacht (383). Bovendien moet de DPRC, indien uit de toetsing een schending blijkt van een autoriteit waarop de FISC toezicht houdt, ook een gerubriceerd verslag indienen bij de adjunct-minister van Justitie voor nationale veiligheid (Assistant Attorney General for National Security), die op zijn beurt verplicht is de niet-naleving te melden aan de FISC, die verdere handhavingsmaatregelen kan nemen (overeenkomstig de in de overwegingen 173-174 beschreven procedure) (384).

(192)

Elk besluit van een DPRC-panel wordt doorgegeven aan de CLPO van het ODNI (385). In gevallen waarin de toetsing door de DPRC op verzoek van de klager heeft plaatsgevonden, wordt de klager er via de nationale autoriteit van in kennis gesteld dat de DPRC zijn toetsing heeft afgerond en dat het onderzoek geen onder EO 14086 vallende schendingen aan het licht heeft gebracht of dat de CLPO van het ODNI een besluit heeft genomen dat passende herstelmaatregelen vereist (386). Het Office of Privacy and Civil Liberties van het ministerie van Justitie houdt een register bij van alle informatie die door de DPRC is onderzocht en alle besluiten die zijn genomen, dat ter beschikking wordt gesteld als niet-bindend precedent voor toekomstige DPRC-panels (387).

(193)

Het ministerie van Handel moet ook een dossier bijhouden voor elke klager die een klacht heeft ingediend (388). Om de transparantie te vergroten, moet het ministerie van Handel ten minste om de vijf jaar contact opnemen met de relevante inlichtingendiensten om na te gaan of informatie met betrekking tot een toetsing door de DPRC is gederubriceerd (389). Indien dit het geval is, zal de betrokkene ervan in kennis worden gesteld dat dergelijke informatie beschikbaar kan zijn krachtens de toepasselijke wetgeving (d.w.z. dat hij/zij toegang kan vragen krachtens de Freedom of Information Act, zie overweging 199).

(194)

Ten slotte zal de goede werking van dit verhaalmechanisme regelmatig en onafhankelijk worden geëvalueerd. Meer bepaald wordt de werking van het verhaalmechanisme overeenkomstig EO 14086 jaarlijks geëvalueerd door de PCLOB, een onafhankelijk orgaan (zie overweging 110) (390). Als onderdeel van deze toetsing zal de PCLOB, onder meer, beoordelen of de CLPO van het ODNI en de DPRC klachten tijdig hebben verwerkt; of zij volledige toegang hebben gekregen tot de noodzakelijke informatie; of de inhoudelijke waarborgen van EO 14086 in het toetsingsproces naar behoren in aanmerking zijn genomen; en of de inlichtingendiensten volledig hebben voldaan aan de vaststellingen van de CLPO van het ODNI en de DPRC. De PCLOB zal over het resultaat van zijn toetsing een verslag opstellen voor de president, de minister van Justitie, de Director of National Intelligence, de hoofden van de inlichtingendiensten, de CLPO van het ODNI en de inlichtingencommissies van het Congres, dat ook in een niet-gerubriceerde versie openbaar zal worden gemaakt — en dat op zijn beurt zal worden gebruikt voor de periodieke evaluatie van de werking van het huidige besluit die door de Commissie zal worden verricht. De minister van Justitie, de Director of National Intelligence, de CLPO van het ODNI en de hoofden van de inlichtingendiensten moeten alle aanbevelingen in die verslagen uitvoeren of er anderszins rekening mee houden. Bovendien zal de PCLOB jaarlijks een openbare verklaring afleggen over de vraag of het verhaalmechanisme klachten verwerkt overeenkomstig de vereisten van EO 14086.

(195)

Naast het bij EO 14086 ingestelde specifieke verhaalmechanisme zijn er voor alle natuurlijke personen (ongeacht hun nationaliteit of woonplaats) ook beroepsmogelijkheden voor gewone Amerikaanse rechtbanken (391).

(196)

In het bijzonder bieden FISA en een verwante wet natuurlijke personen de mogelijkheid om langs civielrechtelijke weg een geldelijke schadevergoeding van de Verenigde Staten vorderen wanneer hen betreffende informatie onrechtmatig en opzettelijk is gebruikt of bekendgemaakt (392); voor de rechter een geldelijke schadevergoeding van Amerikaanse overheidsfunctionarissen in hun persoonlijke hoedanigheid te vorderen (393); en de wettigheid van de surveillance aan te vechten (en trachten de informatie te wissen) ingeval de Amerikaanse overheid voornemens is uit elektronische surveillance verkregen of afgeleide informatie tegen hen te gebruiken of bekend te maken in een gerechtelijke of administratieve procedure in de Verenigde Staten (394). Meer in het algemeen, wanneer de overheid voornemens is tijdens inlichtingenoperaties verkregen informatie te gebruiken tegen een verdachte in een strafzaak, leggen grondwettelijke en wettelijke vereisten (395) de verplichting op bepaalde informatie bekend te maken, zodat de verdachte de wettigheid van de verzameling en het gebruik van het bewijsmateriaal door de overheid kan aanvechten.

(197)

Bovendien zijn er verschillende aanvullende mogelijkheden om gerechtelijke stappen te ondernemen tegen overheidsfunctionarissen vanwege onrechtmatige toegang van de overheid tot of gebruik door de overheid van persoonsgegevens, onder meer voor vermeende doeleinden van nationale veiligheid (te weten de Computer Fraud Abuse Act (396); de Electronic Communications Privacy Act (397); en de Right to Financial Privacy Act (398)). Al deze rechtsvorderingen betreffen specifieke gegevens, doelen en/of soorten toegang (bv. toegang vanop afstand tot een computer via het internet) en zijn onder bepaalde voorwaarden mogelijk (bv. opzettelijke gedragingen, gedragingen buiten de officiële hoedanigheid, geleden schade).

(198)

Een meer algemene verhaalmechanismemogelijkheid wordt geboden door de Administrative Procedure Act (399), op grond waarvan personen die onrechtmatig zijn behandeld door een overheid of die door een handeling van de overheid zijn benadeeld, zich tot het gerecht kunnen wenden (400). Dit omvat de mogelijkheid om van de rechterlijke instantie te vorderen dat zij vaststelt dat handelingen, vaststellingen en conclusies van de overheid willekeurig en onvoorspelbaar zijn, misbruik van discretionaire bevoegdheid inhouden of op andere wijze niet aan de wet voldoen, en dat zij die onrechtmatig en zonder gevolg verklaart (401). Zo oordeelde een federale appellate court in 2015 over een vordering uit hoofde van de APA dat de bulksgewijze verzameling van telefoniemetadata door de Amerikaanse overheid niet was toegestaan op grond van sectie 501 FISA (402).

(199)

Naast de in de overwegingen 176 tot en met 198 genoemde verhaalmechanismemogelijkheden heeft elke natuurlijke persoon ten slotte het recht om op grond van de FOIA toegang te vragen tot bestaande documenten van federale instanties, ook wanneer deze persoonsgegevens van de natuurlijke persoon bevatten (403). Het verkrijgen van die toegang kan ook het instellen van procedures voor gewone rechtbanken vergemakkelijken, onder meer om het belang bij het aanhangig maken van een procedure aan te tonen. Instanties mogen informatie achterhouden die binnen bepaalde opgesomde uitzonderingen valt, waaronder toegang tot gerubriceerde informatie over de nationale veiligheid en informatie over wetshandhavingsonderzoeken (404), maar klagers die niet tevreden zijn met het antwoord hebben de mogelijkheid dit aan te vechten door een bestuursrechtelijke en vervolgens een rechterlijke toetsing (voor federale rechtbanken) aan te vragen (405).

(200)

Uit het bovenstaande volgt dat wanneer Amerikaanse rechtshandhavingsinstanties en nationale veiligheidsdiensten toegang hebben tot persoonsgegevens die binnen het toepassingsgebied van dit besluit vallen, die toegang wordt geregeld door een wettelijk kader waarin de voorwaarden worden vastgesteld waaronder toegang kan plaatsvinden en wordt gewaarborgd dat de toegang en het verdere gebruik van de gegevens worden beperkt tot hetgeen noodzakelijk en evenredig is voor het nagestreefde doel inzake het openbaar belang. Deze waarborgen kunnen worden ingeroepen door natuurlijke personen die effectieve verhaalmechanismerechten genieten.

(201)

De Commissie is van mening dat de Verenigde Staten — via de door het Amerikaanse ministerie van Handel uitgevaardigde beginselen — voor persoonsgegevens die uit de Unie worden doorgegeven aan gecertificeerde organisaties in de Verenigde Staten in het kader van het EU-VS-kader voor gegevensbescherming een beschermingsniveau waarborgen dat in wezen gelijkwaardig is aan het niveau dat door Verordening (EU) 2016/679 wordt gewaarborgd.

(202)

Bovendien is de Commissie van mening dat de effectieve toepassing van de beginselen wordt gewaarborgd door de transparantieverplichtingen en het beheer van het DPF door het ministerie van Handel. Bovendien maken de toezichtsmechanismen en verhaalmechanismemogelijkheden in de Amerikaanse wetgeving het over het geheel genomen mogelijk inbreuken op de gegevensbeschermingsregels op te sporen en in de praktijk te bestraffen en bieden zij de betrokkene rechtsmiddelen om toegang te krijgen tot de hem betreffende persoonsgegevens en, uiteindelijk, deze gegevens te laten rectificeren of wissen.

(203)

Ten slotte is de Commissie, op basis van de beschikbare informatie over de rechtsorde van de VS, met inbegrip van de informatie in de bijlagen VI en VII, van oordeel dat elke inmenging in het algemeen belang, met name ten behoeve van de handhaving van het strafrecht en de nationale veiligheid, door overheidsinstanties van de VS in de grondrechten van de natuurlijke personen wier persoonsgegevens uit de Unie aan de Verenigde Staten worden doorgegeven op grond van het EU-VS-kader voor gegevensbescherming, beperkt zal blijven tot wat strikt noodzakelijk is om de betrokken legitieme doelstelling te bereiken, en dat er doeltreffende rechtsbescherming tegen dergelijke inmenging bestaat. In het licht van de bovenstaande bevindingen moet derhalve worden besloten dat de Verenigde Staten een passend beschermingsniveau in de zin van artikel 45 van Verordening (EU) 2016/679, uitgelegd in het licht van het Handvest van de grondrechten van de Europese Unie, waarborgen voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan organisaties die zijn gecertificeerd op grond van het EU-VS-kader voor gegevensbescherming.

(204)

Aangezien de bij EO 14086 vastgestelde beperkingen, waarborgen en het verhaalmechanisme essentiële elementen zijn van het rechtskader van de VS waarop de beoordeling van de Commissie is gebaseerd, is de vaststelling van dit besluit met name afhankelijk van de vaststelling van bijgewerkte beleidsmaatregelen en procedures ter uitvoering van EO 14086 door alle inlichtingendiensten van de VS en van de aanwijzing van de Unie als bevoegde organisatie voor de toepassing van het verhaalmechanisme, die hebben plaatsgevonden op respectievelijk 3 juli 2023 (zie overweging 126) en 30 juni 2023 (zie overweging 176).

(205)

De lidstaten en hun organen moeten de maatregelen nemen die noodzakelijk zijn om te voldoen aan de handelingen van de instellingen van de Europese Unie, aangezien deze laatste vermoed worden rechtsgeldig te zijn en bijgevolg rechtsgevolgen in het leven roepen zolang zij niet zijn ingetrokken, nietig verklaard in een beroep tot nietigverklaring of ongeldig verklaard na een prejudiciële verwijzing of op een exceptie van onwettigheid.

(206)

Daarom is een krachtens artikel 45, lid 3, van Verordening (EU) 2016/679 vastgesteld adequaatheidsbesluit van de Commissie bindend voor alle organen van de lidstaten waartoe het is gericht, met inbegrip van hun onafhankelijke toezichthoudende autoriteiten. Met name kunnen doorgiften van een verwerkingsverantwoordelijke of verwerker in de Europese Unie aan gecertificeerde organisaties in de Verenigde Staten plaatsvinden zonder dat verdere toestemming noodzakelijk is.

(207)

Er zij aan herinnerd dat, overeenkomstig artikel 58, lid 5, van Verordening (EU) 2016/679 en zoals door het Hof uitgelegd in het arrest in de zaak Schrems (406), wanneer een nationale gegevensbeschermingsautoriteit, ook indien na ontvangst van een klacht, de verenigbaarheid van een adequaatheidsbesluit van de Commissie met de grondrechten van de persoon op privacy en gegevensbescherming in twijfel trekt, het nationale recht moet voorzien in een rechtsmiddel voor die persoon om die grieven aan een nationale rechter voor te leggen die eventueel bij prejudiciële verwijzing het Hof om beoordeling moet verzoeken (407).

(208)

Volgens de rechtspraak van het Hof (408), en zoals is erkend in artikel 45, lid 4, van Verordening (EU) 2016/679, moet de Commissie na de vaststelling van een adequaatheidsbesluit doorlopend toezicht houden op relevante ontwikkelingen in het derde land, teneinde te beoordelen of dit derde land een in wezen gelijkwaardig beschermingsniveau blijft waarborgen. Een dergelijke controle is hoe dan ook vereist wanneer de Commissie informatie ontvangt die aanleiding geeft tot gerechtvaardigde twijfel dienaangaande.

(209)

Daarom moet de Commissie de situatie in de Verenigde Staten met betrekking tot het rechtskader en de feitelijke praktijk voor de verwerking van persoonsgegevens, zoals beoordeeld in dit besluit, voortdurend volgen. Om dit proces te faciliteren, moeten de Amerikaanse autoriteiten de Commissie onverwijld in kennis stellen van wezenlijke ontwikkelingen in de Amerikaanse rechtsorde die gevolgen hebben voor het rechtskader waarop dit besluit van toepassing is, alsook van ontwikkelingen in praktijken in verband met de verwerking van persoonsgegevens die in dit besluit wordt onderzocht, zowel met betrekking tot de verwerking van persoonsgegevens door gecertificeerde organisaties in de Verenigde Staten, als tot de beperkingen en waarborgen die op de toegang tot persoonsgegevens door overheidsinstanties van toepassing zijn.

(210)

Teneinde de Commissie in staat te stellen haar toezichthoudende taak doeltreffend uit te voeren, moeten de lidstaten de Commissie bovendien in kennis stellen van relevante maatregelen van de nationale gegevensbeschermingsautoriteiten, met name inzake vragen of klachten van betrokkenen uit de Unie betreffende de doorgifte van persoonsgegevens vanuit de Unie aan gecertificeerde organisaties in de Verenigde Staten. Voorts moet de Commissie worden geïnformeerd over eventuele aanwijzingen dat de maatregelen van de Amerikaanse overheidsinstanties die verantwoordelijk zijn voor de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten, of voor de nationale veiligheid, met inbegrip van toezichthoudende instanties, niet het vereiste beschermingsniveau waarborgen.

(211)

Op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 (409) moet de Commissie na de vaststelling van dit besluit periodiek nagaan of de bevindingen betreffende de adequaatheid van het door de Verenigde Staten in het kader van het EU-VS-DPF gewaarborgde beschermingsniveau nog steeds feitelijk en juridisch gerechtvaardigd zijn. Aangezien met name EO 14086 en de AG Regulation de instelling van nieuwe mechanismen en de uitvoering van nieuwe waarborgen vereisen, moet dit besluit binnen een jaar na de inwerkingtreding ervan voor het eerst worden geëvalueerd om na te gaan of alle relevante elementen volledig zijn uitgevoerd en in de praktijk effectief functioneren. Na die eerste toetsing, en afhankelijk van het resultaat daarvan, zal de Commissie in nauw overleg met het comité dat is ingesteld bij artikel 93, lid 1, van Verordening (EU) 2016/679 en het Europees Comité voor gegevensbescherming een besluit nemen over de periodiciteit van toekomstige toetsingen (410).

(212)

Voor de uitvoering van de toetsingen moet de Commissie bijeenkomen met het ministerie van Handel, de FTC en het ministerie van Vervoer, in voorkomend geval vergezeld van andere ministeries en instanties die betrokken zijn bij de uitvoering van het EU-VS-DPF, alsmede, voor aangelegenheden die betrekking hebben op de toegang van de overheid tot gegevens, vertegenwoordigers van het ministerie van Justitie, het ODNI (met inbegrip van de CLPO), andere onderdelen van de inlichtingendiensten, de DPRC en de bijzondere juristen (special advocates). Aan die bijeenkomst moet kunnen worden deelgenomen door vertegenwoordigers van de leden van het Europees Comité voor gegevensbescherming.

(213)

De toetsingen moeten betrekking hebben op alle aspecten van de werking van dit besluit die verband houden met de verwerking van persoonsgegevens in de Verenigde Staten, en met name op de toepassing en uitvoering van de beginselen, met bijzondere aandacht voor de bescherming bij verdere doorgifte; relevante ontwikkelingen in de rechtspraak; de doeltreffendheid van de uitoefening van individuele rechten; het toezicht op en de handhaving van de naleving van de beginselen; alsmede de beperkingen en waarborgen met betrekking tot de toegang van de overheid, in het bijzonder de uitvoering en toepassing van de waarborgen die zijn ingevoerd bij EO 14086, ook deze die zijn ingevoerd via beleidsmaatregelen en procedures die door de inlichtingendiensten zijn ontwikkeld; de wisselwerking tussen EO 14086 en sectie 702 FISA en EO 12333; en de doeltreffendheid van de toezichtsmechanismen en de verhaalmechanismemogelijkheden (met inbegrip van de werking van het bij EO 14086 ingestelde nieuwe verhaalmechanisme). Bij dergelijke toetsingen zal er ook aandacht uitgaan naar de samenwerking tussen de gegevensbeschermingsautoriteiten en de bevoegde autoriteiten van de Verenigde Staten, met inbegrip van de ontwikkeling van richtsnoeren en andere interpretatiehulpmiddelen over de toepassing van de principes alsook andere aspecten van de werking van het kader.

(214)

Op basis van de toetsing moet de Commissie een openbaar verslag opstellen dat bij het Europees Parlement en de Raad moet worden ingediend.

(215)

Wanneer uit de beschikbare informatie, met name informatie die voortvloeit uit het toezicht op dit besluit of verstrekt wordt door de autoriteiten in de Verenigde Staten of in de lidstaten, blijkt dat het beschermingsniveau voor gegevens die uit hoofde van dit besluit worden doorgegeven, wellicht niet langer passend is, moet de Commissie de bevoegde Amerikaanse autoriteiten onverwijld daarvan in kennis stellen en verzoeken dat binnen een opgegeven, redelijke termijn geschikte maatregelen worden genomen.

(216)

Indien de bevoegde Amerikaanse autoriteiten die maatregelen bij het verstrijken van die opgegeven termijn niet hebben genomen of anderszins niet aannemelijk hebben kunnen maken dat dit besluit op een passend beschermingsniveau gebaseerd blijft, leidt de Commissie de in artikel 93, lid 2, van Verordening (EU) 2016/679 bedoelde procedure in teneinde dit besluit geheel of gedeeltelijk op te schorten of in te trekken.

(217)

Als alternatief zal de Commissie die procedure inleiden met het oog op wijziging van dit besluit, met name door voor gegevensdoorgiften aanvullende voorwaarden te stellen of door de reikwijdte van de vaststelling van adequaatheid te beperken tot gegevensdoorgiften waarvoor een passend beschermingsniveau blijft gewaarborgd.

(218)

De Commissie moet met name de procedure tot schorsing of intrekking in gang zetten ingeval van:

(219)

De Commissie moet tevens de inleiding van de procedure tot wijziging, schorsing of intrekking van dit besluit overwegen indien de bevoegde Amerikaanse autoriteiten niet de informatie of verduidelijking verstrekken die nodig is voor de beoordeling van het niveau van de bescherming van persoonsgegevens die worden doorgegeven van de Unie aan de Verenigde Staten, of van de naleving van dit besluit. In dit verband moet de Commissie rekening houden met de mate waarin relevante informatie kan worden verkregen uit andere bronnen.

(220)

De Commissie zal om naar behoren gerechtvaardigde dwingende urgente redenen, bijvoorbeeld indien EO 14086 of de AG Regulation zodanig zouden worden gewijzigd dat het in dit besluit beschreven beschermingsniveau wordt ondermijnd of indien de aanwijzing door de minister van Justitie van de Unie als bevoegde organisatie voor de toepassing van het verhaalmechanisme wordt ingetrokken, gebruikmaken van de mogelijkheid om overeenkomstig de in artikel 93, lid 3, van Verordening (EU) 2016/679 bedoelde procedure onmiddellijk toepasselijke uitvoeringshandelingen tot opschorting, intrekking of wijziging van het besluit vast te stellen.

(221)

Het Europees Comité voor gegevensbescherming heeft zijn advies bekendgemaakt (411), waarmee bij het opstellen van dit besluit rekening is gehouden.

(222)

Het Europees Parlement heeft een resolutie over de adequaatheid van de door het EU-VS-kader voor gegevensbescherming geboden bescherming aangenomen (412).

(223)

De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 93, lid 1, van Verordening (EU) 2016/679 ingestelde comité.