ZAŁĄCZNIK I

Dnia 7 lipca 2016 r.

Szanowna Pani Komisarz!

W imieniu Stanów Zjednoczonych Ameryki mam przyjemność niniejszym przekazać pakiet materiałów dotyczących Tarczy Prywatności UE-USA, który stanowi efekt dwóch lat owocnych dyskusji między naszymi zespołami. Pakiet ten, wraz z innymi dostępnymi Komisji materiałami ze źródeł publicznych, daje bardzo solidną podstawę przyjęcia przez Komisję Europejską nowego ustalenia dotyczącego adekwatności (1).

Powinniśmy być dumni z udoskonalenia ram. Tarcza Prywatności opiera się na zasadach, które cieszą się silnym i solidarnym poparciem po obu stronach Atlantyku i których stosowanie usprawniliśmy. Nasza współpraca stworzyła realną możliwość zwiększenia ochrony prywatności na całym świecie.

Pakiet Tarczy Prywatności obejmuje zasady Tarczy Prywatności wraz z pismem, dołączonym jako załącznik 1, od Urzędu ds. Handlu Międzynarodowego Departamentu Handlu, który zarządza programem; w piśmie tym opisano zobowiązania, jakie nasz Departament podjął, aby zapewnić skuteczne funkcjonowanie Tarczy Prywatności. Pakiet obejmuje również załącznik 2, który zawiera inne zobowiązania Departamentu Handlu związane z nowym modelem arbitrażowym dostępnym w ramach Tarczy Prywatności.

Zwróciłam się do moich pracowników o wykorzystanie wszelkich niezbędnych zasobów, aby zapewnić szybkie i pełne wdrożenie ram Tarczy Prywatności oraz terminowe wypełnianie zobowiązań określonych w załącznikach 1 i 2.

Pakiet Tarczy Prywatności obejmuje również inne dokumenty pochodzące od innych agencji Stanów Zjednoczonych, mianowicie:

Zapewniam, że Stany Zjednoczone traktują te zobowiązania poważnie.

W terminie 30 dni od ostatecznego zatwierdzenia ustalenia dotyczącego adekwatności pełen pakiet Tarczy Prywatności zostanie przekazany do rejestru federalnego w celu publikacji.

Cieszymy się na współpracę z Państwem przy wdrażaniu Tarczy Prywatności oraz przy wchodzeniu razem w nową fazę tego procesu.

(1)  Pod warunkiem że decyzja Komisji w sprawie adekwatności ochrony przewidzianej przez Tarczę Prywatności UE-USA ma zastosowanie do Islandii, Liechtensteinu i Norwegii, zasady Tarczę Prywatności UE-USA obejmują zarówno Unię Europejską, jak i te trzy kraje.

ZAŁĄCZNIK II

RAMOWE ZASADY TARCZY PRYWATNOŚCI UE-USA WYDANE PRZEZ DEPARTAMENT HANDLU STANÓW ZJEDNOCZONYCH

I.   OGÓLNY ZARYS

II.   ZASADY

1.   Powiadomienie

2.   Wybór

3.   Odpowiedzialność za wtórne przekazywanie

4.   Bezpieczeństwo

5.   Integralność danych i ograniczenie celowe

6.   Dostęp

7.   Ochrona prawna, egzekwowanie prawa i odpowiedzialność

III.   ZASADY UZUPEŁNIAJĄCE

1.   Dane wrażliwe

2.   Wyjątki dziennikarskie

3.   Odpowiedzialność pośrednia

4.   Przeprowadzanie badań due diligence oraz audytów

5.   Rola organów ochrony danych

6.   Samocertyfikacja

7.   Kontrola

8.   Dostęp

a.   Zasada dostępu w praktyce

b.   Obciążenia związane z udzieleniem dostępu lub koszty udzielenia dostępu

c.   Poufne informacje handlowe

d.   Organizowanie baz danych

e.   Przypadki, w których prawo dostępu może zostać ograniczone

f.   Prawo do uzyskania potwierdzenia oraz do pobierania opłaty na pokrycie kosztów udzielenia dostępu

g.   Powtarzające się lub uporczywe składanie wniosków o udostępnienie danych

Podmiot może wyznaczyć rozsądne ograniczenia co do liczby wniosków o udostępnienie danych składanych przez daną osobę fizyczną, które zostaną rozpatrzone w określonym okresie. Ustanawiając takie ograniczenia, podmiot powinien wziąć pod uwagę takie czynniki jak częstotliwość aktualizowania informacji, cel, w jakim dane mają zostać wykorzystane, oraz charakter informacji.

h.   Oszukańcze wnioski o udostępnienie danych

Podmiot nie jest zobowiązany do zapewnienia dostępu, jeżeli nie otrzyma informacji pozwalających mu na potwierdzenie tożsamości wnioskodawcy.

i.   Termin na odpowiedź

Podmioty powinny odpowiedzieć na wnioski o udostępnienie danych w rozsądnym terminie, w odpowiedni sposób oraz w formie zrozumiałej dla danej osoby fizycznej. Podmiot regularnie przekazujący informacje osobom, których dane dotyczą, może odpowiedzieć na wniosek o udostępnienie danych złożony przez osobę fizyczną w ramach podejmowanych przez siebie regularnie działań w zakresie ujawniania informacji, pod warunkiem że nie będzie to stanowić nadmiernego opóźnienia.

9.   Dane o zasobach ludzkich

a.   Zakres Tarczy Prywatności

b.   Stosowanie zasad ogłoszenia i wyboru

c.   Stosowanie zasady dostępu

Zasada uzupełniająca zawiera wskazówki na temat przyczyn, które mogą uzasadniać odrzucenie wniosku o udzielenie dostępu do danych dotyczących zasobów ludzkich lub ograniczenie dostępu do takich danych. Pracodawcy w Unii Europejskiej muszą oczywiście przestrzegać przepisów krajowych w tym obszarze i zapewnić pracownikom z Unii Europejskiej dostęp do tego rodzaju informacji zgodnie z przepisami obowiązującymi w danym państwie, niezależnie od miejsca, w którym takie dane są przetwarzane i przechowywane. Zgodnie z Tarczą Prywatności podmiot przetwarzający takie dane w Stanach Zjednoczonych jest zobowiązany do współpracy w zakresie udzielenia bezpośredniego dostępu do takich danych albo udostępniania ich za pośrednictwem pracodawcy w UE.

d.   Egzekwowanie prawa

e.   Stosowanie zasady odpowiedzialności za wtórne przekazywanie

W przypadku wystąpienia sporadycznych, związanych z zatrudnieniem potrzeb operacyjnych podmiotu uczestniczącego w programie Tarczy Prywatności dotyczących danych osobowych przekazywanych zgodnie z Tarczą Prywatności, takich jak konieczność rezerwacji biletu lotniczego lub pokoju hotelowego lub konieczność wykupienia polisy ubezpieczeniowej, dopuszcza się możliwość przekazywania danych osobowych niewielkiej liczby pracowników administratorom danych bez konieczności stosowania zasady dostępu lub zawarcia umowy z administratorem będącym osobą trzecią, pomimo że w normalnych warunkach byłoby to wymagane zgodnie z zasadą odpowiedzialności za wtórne przekazywanie, pod warunkiem że podmiot uczestniczący w programie Tarczy Prywatności zapewnił zgodność z zasadami ogłoszenia i wyboru.

10.   Obowiązkowe umowy dotyczące wtórnego przekazywania

a.   Umowy dotyczące przetwarzania danych

b.   Przekazywanie danych w ramach kontrolowanej grupy korporacji lub jednostek

Jeżeli chodzi o przekazywanie danych osobowych między dwoma administratorami danych w ramach kontrolowanej grupy korporacji lub jednostek, zgodnie z zasadą odpowiedzialności za wtórne przekazywanie umowa nie zawsze jest wymagana. Administratorzy danych w ramach kontrolowanej grupy korporacji lub jednostek mogą przeprowadzać tego rodzaju przekazania danych w oparciu o inne instrumenty, takie jak wiążące reguły korporacyjne UE lub inne instrumenty wewnątrzgrupowe (np. programy zgodności i kontroli), przy jednoczesnym zapewnieniu ciągłości ochrony danych osobowych zgodnie z zasadami. W przypadku takich transferów podmiot uczestniczący w programie Tarczy Prywatności pozostaje odpowiedzialny za zapewnienie zgodności z zasadami.

c.   Transfery między administratorami danych

Jeżeli chodzi o transfery między administratorami danych, administrator danych będący odbiorcą nie musi być podmiotem uczestniczącym w programie Tarczy Prywatności ani nie musi zapewniać możliwości skorzystania z niezależnego mechanizmu ochrony prawnej. Podmiot uczestniczący w programie Tarczy Prywatności musi podpisać umowę z będącym osobą trzecią odbiorcą – administratorem danych – który zapewnia poziom ochrony równoważny poziomowi zapewnianemu zgodnie z Tarczą Prywatności, przy czym administrator będący osobą trzecią nie musi być podmiotem uczestniczącym w programie Tarczy Prywatności ani nie musi zapewniać możliwości skorzystania z niezależnego mechanizmu ochrony prawnej, o ile zapewni możliwość skorzystania z równoważnego mechanizmu.

11.   Rozstrzyganie sporów i egzekwowanie

a.   W zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności ustanowiono wymogi w zakresie egzekwowania zasad Tarczy Prywatności. W zasadzie uzupełniającej dotyczącej kontroli opisano, w jaki sposób należy spełniać wymogi przewidziane w lit. a) ppkt (ii) tej zasady. We wspomnianej zasadzie uzupełniającej odniesiono się do postanowień lit. a) ppkt (i) i (iii) – w obydwu tych podpunktach ustanowiono wymóg zapewnienia możliwości skorzystania z niezależnych mechanizmów ochrony prawnej. Mechanizmy te mogą mieć różną postać, ale muszą spełniać wymogi zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności. Podmioty przestrzegają obowiązujących wymogów poprzez: (i) zapewnienie zgodności z programami prywatności opracowanymi przez podmioty sektora prywatnego, w które wkomponowano zasady Tarczy Prywatności i w których przewidziano możliwość skorzystania ze skutecznych mechanizmów egzekwowania przepisów zbliżonych do mechanizmów opisanych w zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności; (ii) zapewnienie zgodności z aktami ustawowymi lub wykonawczymi dotyczącymi nadzoru stanowiącymi podstawę prawną rozpatrywania skarg wnoszonych przez osoby fizyczne i rozstrzygania sporów; oraz (iii) podjęcie zobowiązania do współpracy z organami ochrony danych mającymi swoją siedzibę w Unii Europejskiej lub z ich upoważnionymi przedstawicielami.

b.   Wykaz ten ma w założeniu charakter ilustracyjny i nie jest zawężający. Sektor prywatny może opracować dodatkowe mechanizmy na rzecz egzekwowania przepisów, o ile będą one spełniały wymogi określone w zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności i w zasadach uzupełniających. Należy zwrócić uwagę na fakt, że wymogi określone w zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności są uzupełniające względem wymogu, zgodnie z którym działania wynikające z samoregulacji muszą być wykonalne na podstawie sekcji 5 ustawy o Federalnej Komisji Handlu, w której to sekcji wprowadza się zakaz podejmowania nieuczciwych lub wprowadzających w błąd działań, lub innych ustaw lub przepisów wykonawczych zakazujących podejmowania takich działań.

c.   Aby ułatwić zapewnienie zgodności z zobowiązaniami Tarczy Prywatności i aby wesprzeć stosowne podmioty w zarządzaniu programem, podmioty – a także stosowane przez nie niezależne mechanizmy ochrony prawnej – muszą przekazywać informacje dotyczące Tarczy Prywatności na żądanie Departamentu. Ponadto podmioty muszą szybko rozpatrywać skargi dotyczące przestrzegania przez nie zasad przekazywane przez organy ochrony danych za pośrednictwem Departamentu. W odpowiedzi na skargę należy określić, czy skarga jest zasadna, a jeśli tak – wskazać, w jaki sposób podmiot zamierza rozwiązać zaistniały problem. Departament będzie chronił poufność otrzymywanych informacji zgodnie z prawem obowiązującym w Stanach Zjednoczonych.

d.   Mechanizmy ochrony prawnej

e.   Środki ochrony prawnej i sankcje

Zastosowanie jakichkolwiek środków ochrony prawnej zapewnianych przez organ ds. rozstrzygania sporów powinno skutkować – w stopniu, w jakim będzie to możliwe – uchyleniem lub skorygowaniem skutków nieprzestrzegania zasad przez podmiot oraz zagwarantowaniem, aby dany podmiot w przyszłości przetwarzał dane osobowe zgodnie z zasadami oraz, w stosownych przypadkach, aby zaprzestał przetwarzania danych osobowych osoby fizycznej, która wniosła skargę. Sankcje muszą być dostatecznie rygorystyczne, aby zapewnić przestrzeganie zasad przez podmioty. Wprowadzenie szeregu sankcji o różnym stopniu dotkliwości zapewni organom ds. rozstrzygania sporów możliwość właściwego reagowania na różne przypadki nieprzestrzegania zasad. Sankcje powinny obejmować podanie ustaleń dotyczących nieprzestrzegania zasad do wiadomości publicznej oraz nakazanie usunięcia danych w określonych przypadkach (6). Inne sankcje mogą obejmować zawieszenie lub cofnięcie zezwolenia na prowadzenie działalności, przyznanie osobom fizycznym odszkodowania z tytułu szkody poniesionej wskutek nieprzestrzegania zasad oraz zabezpieczenie roszczenia. Organy ds. rozstrzygania sporów sektora prywatnego i organy samoregulacyjne mają obowiązek zgłaszać właściwemu organowi rządowemu lub – w stosownych przypadkach – właściwym sądom przypadki niewywiązania się przez podmioty uczestniczące w programie Tarczy Prywatności z obowiązku zastosowania się do wydanych przez nie orzeczeń i decyzji oraz powiadomić o tym fakcie Departament.

f.   Działania FTC

FTC zobowiązał się do priorytetowego rozpatrywania zgłoszeń dotyczących domniemanego nieprzestrzegania zasad przekazywanych przez: (i) organy samoregulacyjne ds. prywatności i inne niezależne organy ds. rozpatrywania sporów; (ii) państwa członkowskie UE; oraz (iii) Departament, aby ustalić, czy doszło do naruszenia przepisów sekcji 5 ustawy o FTC, w której ustanowiono zakaz podejmowania nieuczciwych lub wprowadzających w błąd działań lub praktyk handlowych. Jeżeli FTC uzna, że istnieją podstawy, by przypuszczać, że doszło do naruszenia przepisów sekcji 5, może rozstrzygnąć tę kwestie, występując o wydanie administracyjnego nakazu zaprzestania stosowania zaskarżonych praktyk lub wnosząc skargę do federalnego sądu pierwszej instancji (ang. federal district court) – w przypadku jej pomyślnego rozpoznania sąd federalny może wydać nakaz o tej samej treści. Dotyczy to niezgodnych z prawdą deklaracji o przestrzeganiu zasad Tarczy Prywatności lub o przynależności do Tarczy Prywatności składanych przez podmioty, które nie figurują już w wykazie podmiotów uczestniczących w programie Tarczy Prywatności albo które nigdy nie dokonały samocertyfikacji przed Departamentem. FTC może wystąpić o nałożenie kar na gruncie prawa cywilnego z tytułu naruszenia administracyjnego nakazu zaprzestania stosowania zaskarżonych praktyk oraz może wszcząć postępowanie cywilne lub karne dotyczące naruszenia nakazu wydanego przez sąd federalny. FTC powiadomi Departament o wszelkich podejmowanych przez siebie działaniach w tym obszarze. Departament zachęca inne organy rządowe do powiadamiania go o treści ostatecznych postanowień dotyczących wszelkich tego rodzaju zgłoszeń lub innych orzeczeń dotyczących przynależności do Tarczy Prywatności.

g.   Uporczywe nieprzestrzeganie zasad

12.   Wybór – termin na skorzystanie z klauzuli opt-out

13.   Informacje dotyczące podróży

14.   Produkty farmaceutyczne i lecznicze

a.   Stosowanie prawa obowiązującego w państwie członkowskim UE lub zasad Tarczy Prywatności

Przepisy obowiązujące w państwie członkowskim mają zastosowanie przy gromadzeniu danych osobowych i przy wszelkim przetwarzaniu takich danych przed ich przekazaniem Stanom Zjednoczonym. Zasady Tarczy Prywatności mają zastosowanie do danych po ich przekazaniu Stanom Zjednoczonym. W stosownych przypadkach dane wykorzystywane do celów związanych z prowadzeniem badań farmaceutycznych i w innych celach powinny zostać zanonimizowane.

b.   Przyszłe badania naukowe

c.   Wycofanie się z badań klinicznych

Uczestnicy mogą w każdej chwili podjąć decyzję o wycofaniu się z badań klinicznych lub mogą zostać poproszeni o wycofanie się z takich badań. Wszelkie dane osobowe zgromadzone przed wycofaniem się danej osoby z badań klinicznych mogą być w dalszym ciągu przetwarzane razem z pozostałymi danymi zgromadzonymi w trakcie badań klinicznych, o ile uczestnik badania został w jednoznaczny sposób poinformowany o tym fakcie w powiadomieniu przekazanym mu w chwili, gdy wyraził zgodę na udział w badaniu.

d.   Przekazywanie informacji do celów regulacyjnych i do celów związanych ze sprawowaniem nadzoru

Przedsiębiorstwa zajmujące się wytwarzaniem produktów farmaceutycznych i wyrobów medycznych są uprawnione do przekazywania danych osobowych zgromadzonych w trakcie badań klinicznych przeprowadzonych w UE regulatorom rynku w Stanach Zjednoczonych do celów regulacyjnych i do celów związanych ze sprawowaniem nadzoru. Dopuszcza się możliwość dokonywania podobnych transferów danych na rzecz podmiotów innych niż regulatorzy, takich jak siedziby przedsiębiorstw i inni badacze, zgodnie z zasadami powiadomienia i wyboru.

e.   Badania ze „ślepą próbą”

f.   Monitorowanie bezpieczeństwa stosowania i skuteczności produktów

Przedsiębiorstwo zajmujące się wytwarzaniem produktów farmaceutycznych i wyrobów medycznych nie ma obowiązku stosowania zasad Tarczy Prywatności w zakresie zasad powiadomienia, wyboru, odpowiedzialności za wtórne przekazywanie danych i dostępu przy podejmowaniu działań dotyczących monitorowania bezpieczeństwa stosowania i skuteczności wytwarzanych przez siebie produktów, w tym nie ma obowiązku zgłaszania wystąpienia zdarzeń niepożądanych ani monitorowania pacjentów/podmiotów korzystających z określonych produktów leczniczych lub wyrobów medycznych, w zakresie, w jakim zapewnienie zgodności z tymi zasadami uniemożliwia spełnienie wymogów ustawowych. Dotyczy to zarówno sprawozdań przekazywanych przedsiębiorstwom zajmującym się wytwarzaniem produktów farmaceutycznych i wyrobów medycznych na przykład przez świadczeniodawców, jak i sprawozdań przekazywanych przez przedsiębiorstwa zajmujące się wytwarzaniem produktów farmaceutycznych i wyrobów leczniczych agencjom rządowym takim jak Urząd ds. Żywności i Leków.

g.   Dane kodowane za pomocą klucza

Wyniki badań naukowych są zawsze kodowane przez głównego badacza w momencie ich uzyskania za pomocą niepowtarzalnego klucza, aby nie dopuścić do ujawnienia tożsamości poszczególnych osób, których dane dotyczą. Przedsiębiorstwa farmaceutyczne sponsorujące takie badania nie posiadają dostępu do tego klucza. Niepowtarzalny klucz jest znany wyłącznie badaczowi – dzięki temu badacz może ustalić tożsamość osoby biorącej udział w badaniu w wyjątkowych okolicznościach (np. w przypadku konieczności udzielenia takiej osobie pomocy medycznej po zakończeniu badania). Przekazanie danych zakodowanych w opisany powyżej sposób z UE do Stanów Zjednoczonych nie stanowi przypadku przekazania danych osobowych, który podlegałby zasadom Tarczy Prywatności.

15.   Rejestr publiczny i publicznie dostępne informacje

16.   Wnioski o udostępnienie danych składane przez organy publiczne

(1)  Pod warunkiem że decyzja Komisji w sprawie adekwatności ochrony przewidzianej przez Tarczę Prywatności UE-USA ma zastosowanie do Islandii, Liechtensteinu i Norwegii, zasady Tarczę Prywatności UE-USA obejmą zarówno Unię Europejską, jak i te trzy kraje. Z tego względu odniesienia do Unii Europejskiej i jej państw członkowskich będą rozumiane jako obejmujące Islandię, Liechtenstein i Norwegię.

(2)  W zależności od okoliczności przykładami dopuszczalnych celów przetwarzania mogą być cele służące w sposób zasadny relacjom z klientami, zgodność i względy prawne, audyt, bezpieczeństwo i zapobieganie oszustwom, zachowanie praw podmiotu i ich obrona, lub inne cele zgodne z oczekiwaniami, jakie może mieć racjonalna osoba pod względem gromadzenia danych.

(3)  W tym kontekście, jeśli biorąc pod uwagę środki, jakimi można się racjonalnie posłużyć w celu identyfikacji (uwzględniając, między innymi koszty i czas potrzebny do zidentyfikowania danej osoby oraz technologię dostępną w momencie przetwarzania danych), a także formę, w jakiej dane są zatrzymywane, osoba fizyczna może być racjonalnie zidentyfikowana przez podmiot lub osobę trzecią – gdyby ta osoba trzecia miała dostęp do danych – wówczas osoba fizyczna jest „możliwa do zidentyfikowania”.

(4)  Podmiot powinien udzielać odpowiedzi na zapytania osoby fizycznej dotyczące celów przetwarzania danych, kategorii przetwarzanych danych osobowych oraz odbiorców lub kategorii odbiorców, którym dane osobowe są ujawniane.

(5)  Sekcja I.5 zasad.

(6)  Organy ds. rozstrzygania sporów dysponują swobodą uznania co do okoliczności, w jakich zdecydują się na nałożenie tych sankcji. Wrażliwość danych stanowi jeden z czynników, jaki należy wziąć pod uwagę przy podejmowaniu decyzji, czy w danym przypadku zachodzi konieczność usunięcia danych, a także czy podmiot gromadził informacje, korzystał z nich lub ujawniał je z rażącym naruszeniem zasad Tarczy Prywatności.

ZAŁĄCZNIK III

Dnia 7 lipca 2016 r.

Szanowna Pani Komisarz!

Z zadowoleniem stwierdzam, że udało się nam osiągnąć porozumienie w sprawie Tarczy Prywatności UE-USA, w której ramach zostanie powołany rzecznik, za pośrednictwem którego organy w Unii Europejskiej będą mogły składać w imieniu osób fizycznych z UE wnioski dotyczące praktyk Stanów Zjednoczonych w zakresie rozpoznania radioelektronicznego.

W dniu 17 stycznia 2014 r. prezydent Barack Obama zapowiedział ważne reformy dotyczące wywiadu zawarte w dyrektywie politycznej Prezydenta nr 28 (PPD-28). Na mocy tej dyrektywy wyznaczyłem podsekretarz stanu Catherine A. Novelli, która pełni również urząd starszego koordynatora ds. międzynarodowej dyplomacji w dziedzinie technologii informacyjnej, na osobę odpowiedzialną za kontakty z rządami zagranicznymi, które pragną zgłosić swoje obawy dotyczące działań z zakresu rozpoznania radioelektronicznego prowadzonych przez Stany Zjednoczone. Wzorując się na tych doświadczeniach, powołałem Urząd Rzecznika ds. Tarczy Prywatności zgodnie z warunkami określonymi w załączniku A, które zostały zaktualizowane od czasu mojego pisma z dnia 22 lutego 2016 r. Powierzyłem pełnienie tej funkcji podsekretarz Novelli. Podsekretarz Novelli działa niezależnie od Wspólnoty Wywiadowczej Stanów Zjednoczonych, a ja jestem jej bezpośrednim przełożonym.

Poleciłem moim pracownikom, aby przeznaczyli niezbędne środki na wdrożenie tego nowego mechanizmu, i jestem pewien, że będzie to skuteczny środek, który przyczyni się do rozwiania obaw osób fizycznych z Unii.

ZAŁĄCZNIK IV

Dnia 7 lipca 2016 r.

Za pośrednictwem poczty elektronicznej

Szanowna Pani Komisarz!

Federalna Komisja Handlu Stanów Zjednoczonych („FTC”) docenia możliwość przedstawienia sposobu, w jaki stosuje nowe ramy Tarczy Prywatności UE-USA („ramy Tarczy Prywatności” lub „ramy”). Wierzymy, że wspomniane ramy odegrają kluczową rolę w ułatwianiu przeprowadzania transakcji handlowych chroniących prywatność w świecie, który jest coraz bardziej pełny wzajemnych powiązań. Ramy umożliwią przedsiębiorstwom dokonywanie ważnych operacji w gospodarce światowej, przy jednoczesnym zagwarantowaniu, że konsumenci unijni zachowają istotne gwarancje ochrony prywatności. FTC od dawna angażuje się w ochronę prywatności ponad granicami i uczyni priorytet z wdrażania nowych ram. Poniżej opisujemy w zarysie, jak bardzo FTC była zaangażowana w przeszłości w egzekwowanie przepisów dotyczących ochrony prywatności, w tym pierwotnego programu „bezpieczna przystań”, jak również wyjaśniamy jej podejście do wdrażania nowych ram.

W 2000 r. FTC zobowiązała się publicznie do realizacji programu „bezpieczna przystań”. W tamtym czasie ówczesny przewodniczący FTC Robert Pitofsky wysłał do Komisji Europejskiej pismo, w którym FTC zobowiązuje się do zdecydowanego stosowania zasad dotyczących prywatności określonych w programie „bezpieczna przystań”. FTC nadal podtrzymuje to zobowiązanie poprzez prowadzenie prawie 40 działań służących wykonaniu przepisów prawa, licznych dodatkowych dochodzeń oraz poprzez współpracę z poszczególnymi europejskimi organami ochrony danych („unijne organy ochrony danych”) w sprawach będących przedmiotem wspólnego zainteresowania.

Po tym jak w listopadzie 2013 r. Komisja Europejska zgłosiła obawy dotyczące prowadzenia i wykonania programu „bezpieczna przystań” wspólnie z Departamentem Handlu Stanów Zjednoczonych rozpoczęliśmy konsultacje z urzędnikami z Komisji Europejskiej w celu zbadania sposobów na ich usprawnienie. W trakcie tych konsultacji, w dniu 6 października 2015 r., Trybunał Sprawiedliwości wydał orzeczenie w sprawie Schrems, w którym m.in. unieważnił decyzję Komisji Europejskiej w sprawie adekwatności ochrony przewidzianej w programie „bezpieczna przystań”. Po wydaniu orzeczenia nadal współpracowaliśmy z Departamentem Handlu i Komisją Europejską nad wzmocnieniem ochrony prywatności zapewnianej osobom fizycznym z Unii Europejskiej. Ramy Tarczy Prywatności są wynikiem trwających konsultacji. Podobnie jak było w przypadku programu „bezpieczna przystań” FTC niniejszym zobowiązuje się do zdecydowanego wykonywania nowych ram. Niniejsze pismo stanowi tego świadectwo.

Warto zauważyć, że potwierdzamy nasze zobowiązanie w czterech kluczowych obszarach: 1) nadawania priorytetowego znaczenia zgłoszeniom i dochodzeniom; 2) przeciwdziałania fałszywym lub wprowadzającym w błąd oświadczeniom dotyczącym uczestnictwa w programie Tarczy Prywatności; 3) stałego monitorowania decyzji; oraz 4) zwiększenia zaangażowania i współpracy z unijnymi organami ochrony danych w zakresie egzekwowania prawa. Poniżej przedstawiamy szczegółowe informacje o każdym ze wspomnianych zobowiązań i odpowiedni kontekst o roli FTC w zakresie chronienia prywatności konsumentów i egzekwowania programu „bezpieczna przystań” oraz szerszy kontekst prywatności w Stanach Zjednoczonych (1).

I.   KONTEKST

A.   Działania FTC w zakresie polityki dotyczącej prywatności i jej egzekwowania

FTC przysługują szerokie uprawnienia w dziedzinie wykonywania przepisów z zakresu administracji cywilnej na potrzeby rozpowszechniania ochrony konsumentów i konkurencji w sektorze związanym z działalnością handlową. W zakresie swoich kompetencji obejmujących ochronę konsumentów FTC wprowadza w życie bardzo zróżnicowane przepisy w celu ochrony prywatności i bezpieczeństwa danych konsumentów. W prawie pierwotnym stosowanym przez FTC, czyli w ustawie o Federalnej Komisji Handlu, zakazuje się „nieuczciwych” i „wprowadzających w błąd” czynów lub praktyk handlowych lub wpływających na handel (2). Podanie informacji, zaniechanie lub działanie jest wprowadzające w błąd, jeżeli w istotny sposób wprowadza w błąd konsumenta działającego rozsądnie w danych okolicznościach (3). Czyn lub działanie są nieuczciwe, jeżeli powodują lub mogą spowodować znaczną szkodę konsumenta, której w sposób rozsądny nie da się uniknąć, a której jednocześnie nie równoważą korzyści osiągane przez konsumentów lub konkurencję (4). FTC wykonuje również ustawy szczególne chroniące informacje na temat zdrowia, kredytów i innych kwestii finansowych i informacje internetowe na temat dzieci, oraz wydaje regulacje wdrażające te ustawy.

Na podstawie ustawy o Federalnej Komisji Handlu FTC przysługuje właściwość w obszarze „praktyk handlowych lub wpływających na handel”. FTC nie przysługują uprawnienia na gruncie prawa karnego i w dziedzinie bezpieczeństwa narodowego. FTC nie może także realizować większości innych działań rządowych. Ponadto wprowadzono wyjątki dotyczące właściwości FTC w obszarze związanym z handlem m.in. w odniesieniu do banków, przewoźników lotniczych i zakładów ubezpieczeń oraz wspólnej działalności transportowej dostawców usług telekomunikacyjnych. FTC nie jest właściwa do rozstrzygania spraw dotyczących większości organizacji non-profit, ale przysługuje jej właściwość w odniesieniu do fałszywych organizacji charytatywnych lub innych organizacji non-profit, które w istocie nastawione są na osiągnięcie zysku. FTC przysługuje również właściwość w odniesieniu do organizacji non-profit, które działają na rzecz swoich członków nastawionych na osiągnięcie zysku m.in. poprzez zapewnienie tym członkom znacznych korzyści gospodarczych (5). W niektórych przypadkach właściwość FTC jest zbieżna z właściwością innych agencji egzekwowania prawa.

Wypracowaliśmy bliskie relacje z organami federalnymi i stanowymi oraz ściśle z nimi współpracujemy w celu koordynowania dochodzeń lub, w stosownych przypadkach, dokonania zgłoszeń.

Wykonanie jest kluczowym elementem polityki FTC w zakresie ochrony prywatności. Do tej pory FTC wniósł ponad 500 spraw dotyczących ochrony prywatności i bezpieczeństwa informacji o konsumentach. Sprawy te obejmują zarówno informacje dostępne offline, jak i online oraz obejmują działania służące egzekwowaniu przepisów prawnych przeciwko dużym i małym przedsiębiorstwom, którym zarzuca się, że nie są w stanie właściwie rozporządzać wrażliwymi danymi konsumentów, chronić danych osobowych konsumentów, zainstalowały oprogramowanie szpiegujące lub inne oprogramowanie złośliwe na komputerach konsumentów, złamały zasadę „Proszę nie dzwonić” oraz inne zasady telemarketingowe oraz nieprawidłowo gromadziły i udostępniały dane konsumentów na urządzeniach mobilnych. Działania FTC służące egzekwowaniu przepisów prawnych – zarówno w świecie rzeczywistym, jak i cyfrowym – stanowią ważne przesłanie dla przedsiębiorstw o konieczności ochrony prywatności konsumentów.

FTC wszczęła również szereg inicjatyw politycznych mających na celu zwiększenie prywatności konsumentów, które świadczą o jej działaniach mających na celu wdrażanie regulacji. FTC prowadziła warsztaty i opublikowała sprawozdania, w których rekomenduje najlepsze praktyki ukierunkowane na zwiększenie prywatności w ekosystemie urządzeń przenośnych; zwiększenie przejrzystości branży obejmującej pośredników danych; maksymalizację korzyści związanych z dużym zbiorem danych, przy jednoczesnym ograniczaniu ryzyka, w szczególności dla konsumentów o niskich dochodów, w przypadku których świadczone usługi są na niedostatecznym poziomie, oraz podkreślenie wpływu technologii takich jak rozpoznawanie twarzy i internet rzeczy na prywatność i bezpieczeństwo.

FTC angażuje się również w kształcenie konsumentów i przedsiębiorców, tak aby zwiększyć wpływ swoich działań mających na celu wdrażanie regulacji i inicjatyw rozwoju polityki. FTC korzystała z różnorodnych narzędzi – publikacji, zasobów internetowych, warsztatów i mediów społecznościowych – w celu zapewnienia materiałów dydaktycznych na różne tematy, w tym na temat aplikacji mobilnych, prywatności dzieci i bezpieczeństwa danych. Ostatnio Komisja uruchomiła inicjatywę „Zacznijmy od bezpieczeństwa” (ang. Start With Security), która obejmuje nowe wytyczne dla przedsiębiorstw bazujące na doświadczeniu czerpanym ze spraw prowadzonych przez agencje, które dotyczyły bezpieczeństwa danych oraz obejmuje serię warsztatów w całym kraju. Ponadto FTC od dawna jest liderem w kształceniu konsumentów w zakresie podstawowego bezpieczeństwa komputerowego. W ubiegłym roku nasza strona internetowa OnGuard Online i jej hiszpański odpowiednik, Alerta en Línea, miały 5 mln odsłon.

B.   Ochrona prawna zapewniana konsumentom unijnym przez Stany Zjednoczone

Ramy będą działać w kontekście większego amerykańskiego systemu zapewniającego ochronę prywatności, który będzie również chronił na wiele sposobów konsumentów UE.

Zakaz ustanowiony w ustawie o Federalnej Komisji Handlu dotyczący nieuczciwych lub wprowadzających w błąd czynów lub praktyk nie ogranicza się do ochrony konsumentów amerykańskich przed amerykańskimi spółkami, ponieważ obejmuje te praktyki, które 1) powodują lub mogą spowodować możliwe do przewidzenia szkody w Stanach Zjednoczonych; lub 2) obejmują prowadzenie istotnych operacji w Stanach Zjednoczonych. Ponadto FTC może korzystać ze wszystkich środków ochrony prawnej, w tym służących przywróceniu stanu poprzedniego, które są dostępne w celu ochrony konsumentów krajowych podczas ochrony konsumentów zagranicznych.

W istocie działania służące wykonaniu przepisów prowadzone przez FTC korzystnie wypływają zarówno na amerykańskich, jak i zagranicznych konsumentów. Na przykład postępowania służące wykonaniu sekcji 5 ustawy o Federalnej Komisji Handlu, prowadzone przez FTC, chroniły prywatność amerykańskich i zagranicznych konsumentów W toku sprawy przeciwko pośrednikowi w obrocie informacjami, Accusearch, FTC twierdziła, że sprzedaż poufnych zapisów rozmów osobom trzecim przez przedsiębiorstwo bez wiedzy lub zgody konsumentów stanowiła nieuczciwą praktykę naruszającą sekcję 5 ustawy o Federalnej Komisji Handlu. Accusearch sprzedał informacje dotyczące zarówno konsumentów amerykańskich, jak i zagranicznych (6). Sąd nałożył na Accusearch zakaz dotyczący między innymi wprowadzania do obrotu lub sprzedaży danych osobowych konsumentów bez pisemnej zgody, chyba że uzyskano je zgodnie z prawem z publicznie dostępnych informacji oraz zarządził zwrot zysków w wysokości niemal 200 000 USD (7).

Innym przykładem jest zawarcie porozumienia przez FTC z TRUSTe. To sprawia, że konsumenci, w tym konsumenci w Unii Europejskiej, mogą polegać na oświadczeniach złożonych przez światowy organ samoregulacyjny dotyczących przeprowadzonego przeglądu i certyfikacji krajowych i zagranicznych usług internetowych (8). Co istotne, nasze działanie przeciwko TRUSTe wzmacnia również w większym stopniu system samoregulowania ochrony prywatności poprzez zapewnienie odpowiedzialności jednostek, które odgrywają ważną rolę w programach samoregulacji, w tym transgranicznych ramach ochrony prywatności.

FTC zapewnia również wykonanie innych przepisów szczególnych, których gwarancje rozciągają się na konsumentów niepochodzących ze Stanów Zjednoczonych – przykładem jest ustawa o ochronie prywatności dzieci w internecie. W ustawie o ochronie prywatności dzieci w internecie od operatorów stron i usług internetowych skierowanych do dzieci lub stron internetowych skierowanych do ogółu społeczeństwa, na których świadomie gromadzone są dane osobowe dzieci w wieku poniżej 13 lat, wymaga się między innymi, aby wprowadzili ostrzeżenie dla rodziców i uzyskali możliwą do zweryfikowania zgodę rodziców. Strony internetowe i usługi na serwerach amerykańskich, które podlegają przepisom ustawy o ochronie prywatności dzieci w internecie i na których gromadzone są dane osobowe małoletnich cudzoziemców, muszą spełniać wymogi ustawy o ochronie prywatności dzieci w internecie. Strony i usługi internetowe na serwerach zagranicznych muszą również spełniać wymogi ustawy o ochronie prywatności dzieci w internecie, jeżeli są skierowane do dzieci w Stanach Zjednoczonych lub jeżeli na stronach tych świadomie gromadzone są dane osobowe dzieci w Stanach Zjednoczonych. Poza przepisami amerykańskiego prawa federalnego, których wykonanie FTC egzekwuje, dodatkowe korzyści dla konsumentów z UE zapewniają pewne inne federalne i stanowe przepisy dotyczące ochrony konsumentów i ochrony prywatności.

C.   Wdrażanie programu „bezpieczna przystań”

FTC – w ramach swojego programu stosowania zasad ochrony prywatności i bezpieczeństwa – podejmuje starania, aby chronić konsumentów z UE poprzez wszczynanie postępowań, które mają przeciwdziałać naruszeniom programu „bezpieczna przystań”. FTC wszczęła 39 postępowań dotyczących programu„bezpieczna przystań”: 36 dotyczących domniemanych fałszywych oświadczeń o certyfikacji oraz trzy sprawy – przeciwko Google, Facebookowi i Myspace – dotyczące domniemanych naruszeń programu „bezpieczna przystań” (9). Te sprawy wykazują, że można wyegzekwować certyfikację oraz że nieprzestrzeganie zasad pociąga za sobą skutki. Na podstawie decyzji wydanej w następstwie porozumienia zawierającej zobowiązanie na okres dwudziestu lat Google, Facebooka i Myspace mają wdrożyć kompleksowe programy ochrony prywatności, które muszą zostać odpowiednio opracowane w celu przeciwdziałania zagrożeniom dla ochrony prywatności związanym z rozwojem nowych i istniejących produktów i usług oraz zarządzaniem tymi produktami i usługami, a także w celu ochrony prywatności i poufności danych osobowych. W ramach tych kompleksowych programów ochrony prywatności, których ustanowienie zostało nakazane powyższymi decyzjami, należy wskazać istotne przewidywalne zagrożenia i wprowadzić środki kontroli, aby zapobiec tym zagrożeniom. Przedsiębiorstwa muszą również przeprowadzać regularne i niezależne oceny swoich programów ochrony prywatności; oceny te należy przedkładać FTC. W decyzjach zakazuje się również podawania przez te przedsiębiorstwa fałszywych informacji na temat ich praktyk ochrony prywatności i uczestnictwa w jakimkolwiek programie ochrony prywatności lub bezpieczeństwa. Zakaz ten ma również zastosowanie do działań i praktyk przedsiębiorstw w nowych ramach Tarczy Prywatności. FTC może dochodzić wykonania tych decyzji, występując na drogę sądową w celu nałożenia sankcji na gruncie prawa cywilnego. I faktycznie – w 2012 r. Google zapłacił rekordową karę na gruncie prawa cywilnego wynoszącą 22,5 mln USD Decyzje wydane przez FTC umożliwiają w rezultacie ochronę ponad miliarda konsumentów na całym świecie, w tym setek milionów osób mieszkających w Europie.

FTC skupiła się również na sprawach związanych z fałszywymi, zwodniczymi lub wprowadzającymi w błąd oświadczeniami dotyczącymi uczestnictwa w programie „bezpieczna przystań”. FTC traktuje te oświadczenia poważnie. Na przykład w sprawie FTC przeciwko Karnani FTC w 2011 r. wszczęła postępowanie przeciwko sprzedawcy internetowemu w Stanach Zjednoczonych, twierdząc, że sprzedawca i jego przedsiębiorstwo wprowadzili w błąd brytyjskich konsumentów, sugerując, że siedziba przedsiębiorstwa znajduje się w Zjednoczonym Królestwie, w tym poprzez wykorzystywanie domeny.uk oraz podawanie brytyjskiej waluty i odniesień do brytyjskiego systemu pocztowego (10). Gdy konsumenci otrzymali jednak produkty, odkryli ku swojemu zaskoczeniu, że były one obciążone cłami przywozowymi, przy czym gwarancje były nieważne w Zjednoczonym Królestwie, a z uzyskaniem zwrotu pieniędzy wiązały się dodatkowe koszty. FTC przedstawiła również zarzuty dotyczące wprowadzenia konsumentów w błąd co do uczestnictwa sprzedawcy w programie „bezpieczna przystań”. Należy zauważyć, że wszyscy poszkodowani byli ze Zjednoczonego Królestwa.

Wiele z naszych innych spraw związanych ze stosowaniem programu „bezpieczna przystań” dotyczyło podmiotów, które przystąpiły do programu „bezpieczna przystań”, ale nie dokonały ponownej corocznej certyfikacji, a nadal przedstawiały się jako jego aktywni członkowie. Jak omówiono to dalej poniżej, FTC zobowiązuje się również do przeciwdziałania fałszywym oświadczeniom dotyczącym uczestnictwa w programie Tarczy Prywatności. Ta strategiczna działalność służąca wykonywaniu przepisów prawa uzupełni wzmożone działania Departamentu Handlu podejmowane w celu kontroli przestrzegania wymogów programu w zakresie certyfikacji i ponownej certyfikacji, działania Departamentu związane z monitorowaniem efektywnego przestrzegania tych wymogów, obejmujące wykorzystanie kwestionariuszy wysyłanych do uczestników programu, oraz wzmożone starania Departamentu podejmowane w celu zidentyfikowania fałszywych oświadczeń dotyczących uczestnictwa w programie i przypadków niewłaściwego wykorzystywania jakiegokolwiek znaku certyfikacyjnego bez pozwolenia (11).

II.   OKREŚLANIE PIERWSZEŃSTWA ZGŁOSZEŃ I ICH BADANIE

Podobnie jak w przypadku programu „bezpieczna przystań” tak i w tym programie FTC zobowiązuje się do przyznania pierwszeństwa zgłoszeniom dotyczącym Tarczy Prywatności z państw członkowskich UE. Pierwszeństwo damy również zgłoszeniom dotyczącym nieprzestrzegania wytycznych samoregulacyjnych odnoszących się do ram Tarczy Prywatności otrzymanych od organów samoregulacyjnych i innych niezależnych organów rozstrzygania sporów.

Aby ułatwić dokonywanie zgłoszeń z państw członkowskich UE w ramach programu FTC opracowuje ujednoliconą procedurą dokonywania zgłoszeń i przekazuje wytyczne państwom członkowskim UE na temat rodzaju informacji, które najbardziej ułatwią FTC rozpatrywanie zgłoszeń. W ramach tych starań FTC wyznaczy osobę odpowiedzialną za kontakty ze strony agencji w odniesieniu do zgłoszeń państw członkowskich UE. Największym ułatwieniem jest, gdy organ dokonujący zgłoszenia wstępnie bada domniemane naruszenie i gdy może podjąć współpracę z FTC w toku rozpoznawania sprawy.

Po przyjęciu zgłoszenia z państwa członkowskiego UE lub od organów samoregulacyjnych FTC może podjąć szereg działań, aby zaradzić powstałym problemom. Przykładowo możemy dokonać przeglądu polityk ochrony prywatności przedsiębiorstwa, uzyskać dalsze informacje bezpośrednio od przedsiębiorstwa lub od osób trzecich, podjąć działania następcze wraz z jednostką dokonującą zgłoszenia, ocenić, czy naruszenia odbywają się według określonego schematu lub czy mają wpływ na znaczną liczbę konsumentów, określić, czy zgłoszenie obejmuje kwestie podlegające kompetencji Departamentu Handlu, ocenić, czy pomocne byłoby zwiększenie wiedzy konsumentów lub przedsiębiorstw, i w stosownych przypadkach, wszcząć odpowiednie postępowanie.

FTC zobowiązuje się również do udostępniania informacji na temat zgłoszeń organom egzekwowania prawa dokonującym zgłoszenia, w tym na temat statusu zgłoszenia, z zastrzeżeniem zachowania przepisów i ograniczeń dotyczących poufności. W największym stopniu, na jaki pozwala liczba i rodzaj otrzymanych zgłoszeń, przedstawione informacje będą zawierać ocenę zgłoszonych kwestii, w tym opis istotnych problemów, które w nich podniesiono, i wszelkich działań podjętych w celu zaradzenia naruszeniom prawa w ramach właściwości FTC. FTC przedstawi również organowi dokonującemu zgłoszenia informacje zwrotne dotyczące rodzajów otrzymanych zgłoszeń, aby podnieść efektywność starań, jakie podejmuje w celu przeciwdziałania niezgodnemu z prawem postępowaniu. Jeżeli organ egzekwowania prawa dokonujący zgłoszenia występuje o uzyskanie informacji na temat statusu konkretnego zgłoszenia do celów prowadzenia własnego postępowania służącego egzekwowaniu prawa, wówczas FTC udziela mu odpowiedzi, biorąc pod uwagę liczbę rozpatrywanych zgłoszeń i z zastrzeżeniem wymogów poufności i innych wymogów prawnych.

FTC podejmie również bliską współprace z unijnymi organami ochrony danych, aby udzielić wsparcie na potrzeby egzekwowania prawa. W stosownych przypadkach może ona obejmować udostępnianie informacji i udzielanie wsparcia w badaniu spraw na podstawie amerykańskiej ustawy o bezpieczeństwie w sieci (ang. SAFE WEB Act), która zezwala na udzielanie wsparcia przez FTC zagranicznym organom egzekwowania prawa, jeżeli dany organ jest właściwy do stosowania przepisów zakazujących praktyk w znacznym stopniu podobnych do praktyk zakazanych przepisami, które egzekwuje FTC (12). W ramach tego wsparcia FTC może udostępniać informacje uzyskane w związku z prowadzonym przez siebie dochodzeniem, zarządzić obowiązkowe postępowanie w imieniu unijnego organu ochrony danych prowadzącego własne dochodzenie i pozyskiwać ustne zeznania świadków lub strony oskarżonej o naruszenie w związku z postępowaniem organu ochrony danych służącym egzekwowaniu prawa, z zastrzeżeniem wymogów amerykańskiej ustawy o bezpieczeństwie w sieci. FTC regularnie korzysta ze swoich uprawnień do wspierania innych organów na całym świecie w sprawach dotyczących ochrony prywatności i ochrony konsumentów (13).

Poza określaniem pierwszeństwa zgłoszeń dotyczących Tarczy Prywatności z państw członkowskich UE i od organów samoregulacyjnych (14), FTC zobowiązuje się do badania z urzędu możliwych naruszeń ram Tarczy Prywatności przy zastosowaniu właściwych narzędzi.

Już od ponad dziesięciu lat FTC prowadzi solidny program dochodzenia problemów związanych z ochroną prywatności i bezpieczeństwem, który angażuje podmioty komercyjne. W ramach tego dochodzenia FTC rutynowa bada, czy dana jednostka podawała informacje na temat uczestnictwa w programie „bezpieczna przystań”. Jeżeli jednostka podawała takie informacje, a w postępowaniu wykryto oczywiste naruszenia programu „bezpieczna przystań”, FTC uwzględniała zarzuty naruszenia tego programu w swoich działaniach służących egzekwowaniu przepisów prawa. W ramach nowego programu będziemy nadal prezentować tę aktywną postawę. Co ważniejsze, FTC przeprowadza znacznie więcej postępowań dochodzeniowych w stosunku do liczby tych, które skutkują podjęciem publicznych działań służących egzekwowaniu przepisów prawa. Wiele postępowań FTC kończy się, ponieważ pracownicy FTC nie stwierdzają żadnego oczywistego naruszenia prawa. Ze względu na to, że postępowanie dochodzeniowe prowadzone przez FTC nie są ogólnodostępne i mają charakter poufny, często nie upublicznia się faktu zakończenia postępowania.

Blisko 40 działań służących egzekwowaniu przepisów prawna podjętych przez FTC w związku z programem „bezpieczna przystań” stanowi dowód na zaangażowanie tego podmiotu w aktywne wdrażanie wymogów transgranicznych programów ochrony prywatności. W toku regularnie prowadzonych postępowań dotyczących ochrony prywatności i postępowań sprawdzających FTC będzie wyszukiwać potencjalne naruszenia tych ram.

III.   PRZECIWDZIAŁANIE FAŁSZYWYM LUB WPROWADZAJĄCYM W BŁĄD OŚWIADCZENIOM DOTYCZĄCYM UCZESTNICTWA W PROGRAMIE TARCZY PRYWATNOŚCI

Jak wskazano powyżej FTC podejmie działania przeciwko podmiotom, które podają fałszywe informacje na temat ich uczestnictwa w programie. FTC rozpatrując wnioski, przyzna pierwszeństwo zgłoszeniom z Departamentu Handlu dotyczącym podmiotów, w przypadku których departament stwierdzi, że niezasadnie podają się za obecnych członków programu lub niewłaściwie korzystają z jakiegokolwiek znaku certyfikacyjnego bez pozwolenia.

Ponadto zauważamy, że jeżeli w polityce ochrony prywatności podmiotu zobowiązano się do przestrzegania zasad Tarczy Prywatności, sam fakt, iż podmiot nie dokona lub nie odnowi rejestracji w Departamencie Handlu może skutkować podjęciem przez FTC działań w celu wyegzekwowania tych zobowiązań w ramach programu.

IV.   MONITOROWANIE DECYZJI

FTC potwierdza również swoje zobowiązanie do monitorowania decyzji służących wykonaniu przepisów na potrzeby zapewnienia zgodności z ramami Tarczy Prywatności.

Wymóg przestrzegania ram będziemy realizować za pomocą różnych odpowiednich nakazów w przyszłych decyzjach FTC dotyczących programu. Obejmuje to zakaz podawania fałszywych informacji dotyczących programu i innych programów ochrony prywatności, jeżeli są one podstawą postępowania wszczętego przez FTC.

Z pomocą przychodzą w tym wypadku postępowania przeprowadzone przez FTC w związku z pierwotnym programem „bezpieczna przystań”. We wszystkich decyzjach wydanych w 36 sprawach związanych z fałszywymi lub wprowadzającymi w błąd oświadczeniami dotyczącymi certyfikacji w ramach programu „bezpieczna przystań” zakazano podawania fałszywych informacji na temat uczestnictwa danego przedsiębiorstwa w tym programie lub w jakimkolwiek innym programie ochrony prywatności lub bezpieczeństwa, a także wprowadzono wymóg, aby dane przedsiębiorstwo udostępniało FTC sprawozdania z przestrzegania zasad programu. W sprawach, które wiązały się z naruszeniem zasad programu „bezpieczna przystań”, wobec przedsiębiorstw wprowadzono wymóg wdrażania kompleksowych programów ochrony prywatności i corocznej oceny tych programów przez dwadzieścia lat przez niezależne osoby trzecie oraz przedkładania tej oceny FTC.

Naruszenia decyzji administracyjnych FTC mogą skutkować nałożeniem kar na gruncie prawa cywilnego w wysokości do 16 000 USD za każde naruszenie lub 16 000 USD za każdy dzień trwania naruszenia (15), w przypadku praktyk mających wpływ na wielu konsumentów kary mogą wynieść nawet miliony dolarów. Każda decyzja wydana w następstwie porozumienia zawiera również postanowienia dotyczące sprawozdawczości i przestrzegania zasad. Podmioty, do których skierowana jest decyzja, mają obowiązek przechowywać dokumenty, w których wykazuje się, że przestrzegają zasad przez określony okres. Decyzje należy również udostępnić pracownikom odpowiedzialnym za zapewnienie przestrzegania ich postanowień.

FTC systematycznie monitoruje również przestrzeganie decyzji dotyczących programu„bezpieczna przystań”, co czyni w przypadku wszystkich wydawanych przez siebie decyzji. FTC bardzo poważnie traktuje wykonanie swoich decyzji dotyczących ochrony prywatności i bezpieczeństwa danych i podejmuje w stosownych przypadkach działania służące ich wykonaniu. Przykładowo, jak opisano powyżej, Google zapłacił karę na gruncie prawa cywilnego w wysokości 22,5 mln USD w odpowiedzi na zarzuty naruszenia decyzji wydanej przez FTC. Co istotne, decyzje FTC będą nadal chronić wszystkich konsumentów, którzy mają do czynienia z tym przedsiębiorstwem, na całym świecie, a nie tylko tych konsumentów, którzy złożyli skargę.

Ponadto FTC nadal będzie prowadzić internetowy wykaz przedsiębiorstw podlegających decyzjom dotyczącym stosowania zarówno programu „bezpieczna przystań”, jak i nowych ram Tarczy Prywatności (16). Co więcej, w zasadach Tarczy Prywatności wprowadzono obecnie wymóg wobec przedsiębiorstw podlegających decyzjom FTC lub orzeczeniom sądu wydanym w sprawie nieprzestrzegania zasad, aby podawały one do wiadomości publicznej wszelkie istotne związane z Tarczą Prywatności części jakichkolwiek sprawozdań dotyczących przestrzegania zasad lub sprawozdań oceniających, które przedłożono FTC, w stopniu, na jaki pozwalają na to przepisy i reguły dotyczące poufności.

V.   WSPÓŁPRACA Z UNIJNYMI ORGANAMI OCHRONY DANYCH I WSPÓŁPRACA W ZAKRESIE EGZEKWOWANIA PRAWA

FTC uznaje ważną rolę, jaką odgrywają unijne organy ochrony danych w odniesieniu do zapewnienia przestrzegania zasad programu, i zachęca do pogłębionych konsultacji i zacieśniania współpracy w zakresie egzekwowania prawa. Oprócz prowadzenia wszelkich konsultacji z organami ochrony danych w sprawie kwestii dotyczących konkretnych przypadków FTC zobowiązuje się do brania udziału w okresowych spotkaniach z wyznaczonymi przedstawicielami Grupy Roboczej Art. 29 w celu omówienia zagadnień ogólnych związanych z ulepszaniem współpracy w zakresie egzekwowania prawa w ramach programu. Ponadto FTC będzie uczestniczyć, wraz z Departamentem Handlu, Komisją Europejską i przedstawicielami Grupy Roboczej Art. 29, w corocznym przeglądzie ram programu w celu omówienia jego wdrożenia.

FTC wspiera również opracowywanie narzędzi, które będą służyć pogłębianiu współpracy z unijnymi organami ochrony danych, a także z innymi organami egzekwowania prawa w zakresie ochrony prywatności na całym świecie. Szczególnie ważne było uruchomienie w zeszłym roku przez FTC we współpracy z jej partnerskimi organami egzekwowania prawa w Unii Europejskiej i na całym świecie systemu ostrzegania w ramach Światowej Sieci na rzecz Prywatności (ang. Global Privacy Enforcement Network, „GPEN”) w celu udostępniania informacji na temat dochodzeń i propagowania koordynacji działań w zakresie egzekwowania prawa. Narzędzie ostrzegania w ramach sieci mogłoby okazać się szczególnie przydatne w kontekście programu Tarczy Prywatności. FTC i unijne organy ochrony danych mogłyby wykorzystać je na potrzeby koordynacji dochodzeń w ramach programu i innych tego rodzaju dochodzeń w zakresie ochrony prywatności, w tym jako podstawę udostępniania informacji w celu zapewnienia bardziej skoordynowanej i skuteczniejszej ochrony prywatności konsumentów. Mamy nadzieję na dalszą współpracę z zaangażowanymi unijnymi organami w celu rozpowszechniania systemu ostrzegania Światowej Sieci na rzecz Prywatności i opracowania innych narzędzi na potrzeby usprawnienia współpracy w zakresie egzekwowania prawa w sprawach dotyczących ochrony prywatności, w tym w sprawach związanych z programem Tarczy Prywatności.

FTC z zadowoleniem potwierdza swoje zobowiązanie do egzekwowania nowych ram Tarczy Prywatności. Mamy również nadzieję na dalszą współpracę z naszymi kolegami i koleżankami z UE w ramach działań na rzecz ochrony prywatności konsumentów po obu stronach Atlantyku.

(1)  Dodatkowe informacje o federalnych i stanowych przepisach Stanów Zjednoczonych przedstawiliśmy w załączniku A, zaś podsumowanie naszych ostatnich działań służących egzekwowaniu przepisów prawa dotyczących prywatności i bezpieczeństwa przedstawiliśmy w załączniku B. To podsumowanie dostępne jest również na stronie internetowej FTC pod adresem https://www.ftc.gov/reports/privacy-data-security-update-2015.

(2)  Tytuł 15 § 45 lit. a) U.S.C.

(3)  Zob. oświadczenie polityczne FTC o oszustwie, załączone do sprawy Cliffdale Assocs., Inc., 103 FTC. 110, 174 (1984), dokument dostępny pod adresem: https://www.ftc.gov/public-statements/1983/10/ftc-policy-statement-deception.

(4)  Zob. tytuł 15 § 45 lit. n) U.S.C.; oświadczenie polityczne FTC o nieuczciwości, załączone do sprawy Int'l Harvester Co., 104 FTC. 949, 1070 (1984), dokument dostępny pod adresem: https://www.ftc.gov/public-statements/1980/12/ftc-policy-statement-unfairness.

(5)  Zob. sprawa California Dental Ass'n przeciwko FTC, 526 Stany Zjednoczone 756 (1999).

(6)  Zob. Urząd Komisarza ds. Ochrony Prywatności w Kanadzie, skarga w sprawie PIPEDA przeciwko Accusearch, Inc. prowadzącemu działalność pod firmą Abika.com: https://www.priv.gc.ca/cf-dc/2009/2009_009_0731_e.asp. Urząd Komisarza ds. Ochrony Prywatności w Kanadzie przedłożył pismo w charakterze amicus curiae w postępowaniu odwoławczym w sprawie wszczętej przez FTC i przeprowadził własne dochodzenie, w wyniku którego stwierdził, że praktyki Accusearch naruszyły również prawo Kanady.

(7)  Zob. FTC przeciwko Accusearch, Inc., nr 06CV015D (Sąd pierwszej instancji dla okręgu Wyoming 20.12.2007), utrzymany w mocy wyrokiem Sądu Apelacyjnego, 570 F.3d 1187 (Sąd Apelacyjny dla Dziesiątego Okręgu, 2009).

(8)  Zob. sprawa True Ultimate Standards Everywhere, Inc., nr C-4512 (F.T.C. 12.3.2015) (decyzja i nakaz), dokument dostępny pod adresem: https://www ftc.gov/system/files/documents/cases/150318trust-edo.pdf.

(9)  Zob. sprawa Google, Inc., nr C-4336 (F.T.C. 13 października 2011 r.) (decyzja i nakaz), dokument dostępny pod adresem: https://www.ftc.gov/news-events/press-releases/2011/03/ftc-charges-deceptive-privacy-practices-googles-rollout-its-buzz; sprawa Facebook, Inc., nr C-4365 (F.T.C. 27 lipca 2012 r.) (decyzja i nakaz), dokument dostępny pod adresem: https://www.ftc.gov/news-events/press-releases/2012/08/ftc-approves-final-settlement-facebook; sprawa Myspace LLC, nr C-4369 (F.T.C. 30 sierpnia 2012 r.) (decyzja i nakaz), dokument dostępny pod adresem: https://www.ftc.gov/news-events/press-releases/2012/09/ftc-finalizes-privacy-settlement-myspace.

(10)  Zob. FTC przeciwko Karnani, nr 2:09-cv-05276 (Okręg centralny w Kalifornii 20.5.2011) (orzeczenie ostateczne w wyniku porozumienia stron), dokument dostępny pod adresem: https://www ftc.gov/sites/default/files/documents/cases/2011/06/110609karnanistip.pdf; zob. również Lesley Fair, FTC Business Center Blog, „Around the World in Shady Ways”, https://www.ftc.gov/blog/2011/06/around-world-shady-ways (9 czerwca 2011 r.).

(11)  Pismo Kena Hyatta, pełniącego obowiązki podsekretarza handlu międzynarodowego, administracji handlu międzynarodowego do Věry Jourovej, komisarz ds. sprawiedliwości, konsumentów i równouprawnienia płci.

(12)  Określając, czy powinna skorzystać ze swojego uprawnienia na podstawie amerykańskiej ustawy o bezpieczeństwie w sieci, FTC uwzględnia między innymi: „(A) czy agencja, która wystąpiła o wsparcie, zgodziła się zapewnić lub zapewni wzajemne wsparcie Komisji; (B) czy zrealizowanie wniosku odbyłoby się ze szkodą dla amerykańskiego interesu publicznego; oraz (C) czy dochodzenie lub postępowanie służące egzekwowaniu prawa prowadzone przez agencję, która wystąpiła o wsparcie, dotyczy działań lub praktyk, które powodują lub które mogą spowodować szkodę dla znacznej liczby osób”. Tytuł 15 § 46 lit. j) ppkt 3 U.S.C. To uprawnienie nie ma zastosowania do egzekwowania przepisów prawa konkurencji.

(13)  W latach budżetowych 2012–2015 przykładowo FTC skorzystała ze swojego uprawnienia do udostępniania informacji na podstawie amerykańskiej ustawy o bezpieczeństwie w sieci w odpowiedzi na prawie 60 wniosków od zagranicznych organów i wydała blisko 60 wezwań do przedstawienia dokumentów w postępowaniu cywilnym (takie wezwanie jest odpowiednikiem wezwania administracyjnego), aby wesprzeć dochodzenie w 25 zagranicznych sprawach.

(14)  Chociaż FTC nie rozstrzyga indywidualnych skarg konsumenckich ani nie pośredniczy w ich rozstrzyganiu, FTC potwierdza, że będzie przyznawać pierwszeństwo zgłoszeniom dotyczącym Tarczy Prywatności wniesionym przez unijne organy ochrony danych. Co więcej, FTC wykorzystuje skargi znajdujące się w bazie danych „straż konsumencka” (ang. Consumer Sentinel), do której dostęp ma wiele innych agencji egzekwowania prawa, aby określać tendencje, wskazywać priorytety egzekwowania prawa i identyfikować potencjalne cele dochodzenia. Osoby fizyczne z Unii Europejskiej mogą korzystać z tego samego systemu składania skarg, który jest dostępny dla amerykańskich obywateli, aby złożyć skargę do FTC; jest on dostępny pod adresem: www.ftc.gov/complaint. W przypadku indywidualnych skarg dotyczących Tarczy Prywatności najbardziej użyteczną drogą dla osób fizycznych z Unii Europejskiej może być jednak wnoszenie skarg do organu ochrony danych lub innego pozasądowego organu rozstrzygania sporów w ich państwie członkowskim.

(15)  Tytuł 15 § 45 lit. m) U.S.C.; tytuł 16 § 1.98 kodeksu przepisów federalnych (ang. Code of Federal Regulations, „C.F.R.”).

(16)  Zob. FTC, Business Center, Legal Resources, https://www.ftc.gov/tips-advice/business-center/legal-resources?type=case&field-consumer-protection-topics-tid=251.

ZAŁĄCZNIK V

Dnia 19 lutego 2016 r.

Re: Ramy Tarczy Prywatności UE-USA

Szanowna Pani Komisarz!

Departament Transportu Stanów Zjednoczonych („Departament”) docenia możliwość przedstawienia swojej roli we wspieraniu Tarczy Prywatności UE-USA. Te ramy odgrywają kluczową rolę w ochronie danych osobowych przekazywanych w transakcjach handlowych w świecie coraz bardziej pełnym wzajemnych powiązań. Ramy umożliwiają przedsiębiorstwom prowadzenie ważnych operacji w gospodarce światowej, przy jednoczesnym zapewnieniu utrzymania istotnej ochrony prywatności konsumentów UE.

Departament Transportu po pierwsze publicznie wyraził swoje zobowiązanie do egzekwowania zasad programu „bezpieczna przystań” w piśmie wysłanym do Komisji Europejskiej ponad 15 lat temu. W tym piśmie Departament Transportu zobowiązał się do zdecydowanego egzekwowania zasad dotyczących prywatności określonych w programie „bezpieczna przystań”. Departament Transportu podtrzymuje to zobowiązanie, a niniejsze pismo stanowi tego świadectwo.

W szczególności Departament Transportu odnawia swoje zobowiązanie w następujących obszarach kluczowych. Są to: 1) przyznawanie pierwszeństwa dochodzeniu domniemanych naruszeń Tarczy Prywatności; 2) podejmowanie odpowiednich działań służących egzekwowaniu przepisów prawa wobec jednostek, które składają fałszywe lub wprowadzające w błąd oświadczenia dotyczące certyfikacji Tarczy Prywatności; oraz 3) monitorowanie i publikowanie rozstrzygnięć dotyczących naruszeń Tarczy Prywatności. Przekazujemy informacje na temat przestrzegania każdego z tych zobowiązań i w razie konieczności informacje związane z rolą Departamentu Transportu w obszarze ochrony prywatności konsumentów i stosowania ram Tarczy Prywatności.

I.   KONTEKST

A.   Uprawnienia Departamentu Transportu w zakresie ochrony prywatności

Departament jest bardzo zaangażowany w zapewnianie ochrony informacji dostarczonych przez konsumentów przewoźnikom lotniczym i pośredników sprzedaży biletów. Uprawnienie Departamentu Transportu do podjęcia działania w tym obszarze uregulowano w tytule 49 U.S.C. § 41712, w którym zakazuje się przewoźnikowi lub pośrednikowi sprzedaży biletów stosowania „nieuczciwych lub wprowadzających w błąd praktyk lub nieuczciwych metod konkurencji” w sprzedaży usług transportu lotniczego, które to praktyki lub metody skutkują lub mogą skutkować szkodą dla konsumenta. Przepis § 41712 wzorowano na sekcji 5 ustawy o Federalnej Komisji Handlu (FTC) (tytuł 15 § 45 U.S.C.). Zgodnie ze stosowaną przez nas wykładnią przepisu dotyczącego nieuczciwych lub wprowadzających w błąd praktyk przewoźnik lotniczy lub pośrednik sprzedaży biletów nie może: 1) naruszać warunków swojej polityki ochrony prywatności; ani 2) gromadzić ani też ujawniać informacji prywatnych w sposób, który prowadzi do naruszenia porządku publicznego, jest niemoralny lub skutkuje poważną szkodą dla konsumenta, której nie równoważą jakiekolwiek korzyści wyrównawcze. Zgodnie ze stosowaną przez nas wykładnią § 41712 przewoźnicy i pośrednicy sprzedaży biletów nie mogą: 1) naruszać żadnych przepisów wydanych przez Departament, w których konkretne praktyki ochrony prywatności uznano za nieuczciwe lub wprowadzające w błąd; ani 2) naruszać przepisów ustawy o ochronie prywatności dzieci w internecie ani przepisów wykonawczych do tej ustawy wydanych przez FTC. Na mocy prawa federalnego Departament Transportu dysponuje wyłącznym uprawnieniem do regulowania praktyk ochrony prywatności przewoźników lotniczych i uprawnieniem dzielonym z FTC w odniesieniu do praktyk ochrony prywatności stosowanych przez pośredników sprzedaży biletów w sprzedaży usług transportu lotniczego.

W związku z tym, jeżeli przewoźnik lub pośrednik sprzedaży usług transportu lotniczego publicznie zobowiąże się do przestrzegania zasad ochrony prywatności obowiązujących w ramach Tarczy Prywatności, Departament może skorzystać ze swoich uprawnień ustawowych na podstawie § 41712, aby zapewnić przestrzeganie tych zasad. Jeżeli zatem pasażer przekazuje dane przewoźnikowi lub pośrednikowi sprzedaży biletów, który zobowiązał się do przestrzegania zasad ochrony prywatności w ramach Tarczy Prywatności, jakiekolwiek nieprzestrzeganie tych zasad przez przewoźnika lub pośrednika sprzedaży biletów stanowi naruszenie § 41712.

B.   Praktyki w zakresie egzekwowania prawa

Urząd ds. Egzekwowania Prawa i Prowadzenia Postępowań w Lotnictwie będący jednostką Departamentu (Urząd ds. Egzekwowania Prawa w Lotnictwie) (ang. Office of Aviation Enforcement and Proceedings) prowadzi dochodzenia i rozstrzyga sprawy na podstawie tytułu 49 § 41712 U.S.C. Egzekwuje zakaz ustawowy w § 41712 dotyczący nieuczciwych i wprowadzających w błąd praktyk przede wszystkim w drodze negocjacji, sporządzając orzeczenia zawierające nakaz zaprzestania stosowania kwestionowanych praktyk i orzeczenia, którymi nakłada kary na gruncie prawa cywilnego. Urząd dowiaduje się o potencjalnych naruszeniach głównie ze skarg, jakie otrzymuje od osób fizycznych, biur podróży, przewoźników lotniczych oraz agencji rządowych Stanów Zjednoczonych i zagranicznych instytucji rządowych. Konsumenci mogą wnosić skargi dotyczące ochrony prywatności na przewoźników lotniczych i pośredników sprzedaży biletów za pośrednictwem strony internetowej Departamentu Transportu (1).

Jeżeli nie osiągnięto zasadnego i odpowiedniego porozumienia w sprawie, Urząd ds. Egzekwowania Prawa w Lotnictwie ma prawo wszcząć odpowiednie postępowanie, które obejmuje postępowanie dowodowe przed sędzią administracyjnym w Departamencie Transportu. Sędzia ten ma prawo wydać orzeczenie zawierające nakaz zaprzestania stosowania zaskarżonych praktyk i nałożyć kary cywilne. Naruszenia § 41712 mogą skutkować wydaniem orzeczenia zawierającego nakaz zaprzestania stosowania kwestionowanych praktyk i nałożeniem kar na gruncie prawa cywilnego w wysokości do 27 500 USD za każde naruszenie § 41712.

Departament nie jest uprawniony do zasądzania odszkodowania ani zadośćuczynienia pieniężnego w przypadku skarg wnoszonych przez osoby fizyczne. Departament dysponuje jednak uprawnieniem do zatwierdzania ustaleń będących wynikiem dochodzenia przeprowadzonego przez Urząd ds. Egzekwowania Prawa w Lotnictwie, które dają bezpośrednie korzyści konsumentom (np. w postaci środków pieniężnych, bonów) w celu zrównoważenia kar pieniężnych należnych w innym razie rządowi Stanów Zjednoczonych. Z tego rozwiązania korzystano w przeszłości i można z niego skorzystać również w kontekście zasad ramowych Tarczy Prywatności, jeżeli zajdą określone okoliczności. Powtarzające się przypadki naruszania § 41712 przez przewoźnika lotniczego postawiłyby również pod znakiem zapytania zdolność przewoźnika lotniczego do przestrzegania przepisów, co w drastycznych przypadkach mogłoby doprowadzić do uznania, że utracił on zdolność do prowadzenia działalności, i w związku z tym do utraty licencji na prowadzenie działalności.

Do dziś Departament Transportu otrzymał stosunkowo niewielką liczbę skarg dotyczących domniemanych naruszeń zasad ochrony prywatności przez pośredników sprzedaży biletów lub przewoźników lotniczych. Otrzymane skargi są badane zgodnie z zasadami przedstawionymi powyżej.

C.   Ochrona prawna zapewniana konsumentom unijnym przez Departament Transportu

Zgodnie z § 41712 zakaz nieuczciwych lub wprowadzających w błąd praktyk w transporcie lotniczym lub sprzedaży usług transportu lotniczego ma zastosowanie do amerykańskich i zagranicznych przewoźników lotniczych i pośredników sprzedaży biletów. Departament Transportu często podejmuje działania wobec amerykańskich i zagranicznych przewoźników lotniczych w związku z praktykami, które mają wpływ zarówno na zagranicznych, jak i amerykańskich konsumentów; podstawą tych działań jest fakt, że praktyki przewoźnika lotniczego miały miejsce w toku świadczenia usług transportu lotniczego do lub z Stanów Zjednoczonych. Departament Transportu wykorzystuje i nadal będzie wykorzystywał wszystkie środki ochrony prawnej, które służą ochronie zarówno zagranicznych, jak i amerykańskich konsumentów przed nieuczciwymi lub wprowadzającymi w błąd praktykami stosowanymi w transporcie lotniczym przez jednostki regulowane.

Departament Transportu zapewnia również, w odniesieniu do przewoźników lotniczych, egzekwowanie innych przepisów szczególnych, które rozszerzając zakres ochrony na konsumentów niepochodzących ze Stanów Zjednoczonych – przykładem jest ustawa o ochronie prywatności dzieci w internecie. W ustawie o ochronie prywatności dzieci w internecie przed operatorami stron i usług internetowych skierowanych do dzieci lub stron internetowych skierowanych do ogółu społeczeństwa, na których świadomie gromadzone są dane osobowe dzieci w wieku poniżej 13 lat, wymaga się między innymi, aby wprowadzili ostrzeżenie dla rodziców i uzyskali możliwą do zweryfikowania zgodę rodziców. Strony internetowe i usługi na serwerach amerykańskich, które podlegają przepisom ustawy o ochronie prywatności dzieci w internecie i na których gromadzone są dane osobowe małoletnich cudzoziemców, muszą spełniać wymogi ustawy o ochronie prywatności dzieci w internecie. Strony i usługi internetowe na serwerach zagranicznych muszą również spełniać wymogi ustawy o ochronie prywatności dzieci w internecie, jeżeli są skierowane do dzieci w Stanach Zjednoczonych lub jeżeli na stronach tych świadomie gromadzone są dane osobowe dzieci w Stanach Zjednoczonych. Departament Transportu jest uprawniony do podjęcia działania służącego egzekwowaniu przepisów prawa w stopniu, w jakim amerykańscy lub zagraniczni przewoźnicy lotniczy prowadzący działalność w Stanach Zjednoczonych naruszają ustawę o ochronie prywatności dzieci w internecie.

II.   EGZEKWOWANIE ZASAD TARCZY PRYWATNOŚCI

Jeżeli przewoźnik lotniczy lub pośrednik sprzedaży biletów postanawia zostać uczestnikiem programu Tarczy Prywatności, a Departament otrzymuje skargę, że taki przewoźnik lotniczy lub pośrednik sprzedaży biletów dokonał domniemanego naruszenia zasady programu, Departament podejmie następujące kroki w celu zdecydowanego egzekwowania zasad programu.

A.   Przyznawanie pierwszeństwa dochodzeniu domniemanych naruszeń

Urząd ds. Egzekwowania Prawa w Lotnictwie wchodzący w skład Departamentu zbada każdą skargę, w której zarzuca się domniemane naruszenie Tarczy Prywatności (w tym skargi otrzymane od unijnych organów ochrony danych), i podejmie działanie służące egzekwowaniu przepisów prawa, jeżeli pojawią się dowody wskazujące na naruszenie. Ponadto Urząd ds. Egzekwowania Prawa w Lotnictwie będzie współpracował z FTC i Departamentem Handlu oraz przyzna pierwszeństwo sprawom dotyczącym zarzutów nieprzestrzegania zobowiązań z zakresu ochrony prywatności w ramach Tarczy Prywatności przez jednostki regulowane.

Po otrzymaniu skargi na domniemane naruszenie ram Tarczy Prywatności Urząd ds. Egzekwowania Prawa w Lotnictwie wchodzący w skład Departamentu może podjąć w toku swojego dochodzenia szereg czynności. Przykładowo Departament może dokonać przeglądu polityk ochrony prywatności pośrednika sprzedaży biletów lub przewoźnika lotniczego, uzyskać dalsze informacje od pośrednika sprzedaży biletów lub przewoźnika lotniczego bądź od osób trzecich, podjąć działania następcze wraz z jednostką dokonującą zgłoszenia oraz ocenić, czy naruszenia odbywają się według określonego schematu lub czy mają wpływ na znaczną liczbę konsumentów. Ponadto określi, czy zgłoszenie obejmuje kwestie podlegające kompetencji Departamentu Handlu lub FTC, oceni, czy pomocne byłoby zwiększenie wiedzy konsumentów lub przedsiębiorstw, i w stosownych przypadkach, rozpocznie postępowanie służące egzekwowaniu prawa.

Jeżeli Departament dowie się o potencjalnych naruszeniach Tarczy Prywatności przez pośredników sprzedaży biletów, podejmie w tej sprawie współpracę z FTC. Będziemy również informować FTC i Departament Handlu na temat wyników wszelkich działań służących egzekwowaniu przepisów prawa w ramach Tarczy Prywatności.

B.   Przeciwdziałanie fałszywym lub wprowadzającym w błąd oświadczeniom dotyczącym uczestnictwa

Departament podtrzymuje zobowiązanie do badania naruszeń Tarczy Prywatności, w tym fałszywych lub wprowadzających w błąd oświadczeń dotyczących uczestnictwa w programie Tarczy Prywatności. Rozpatrując wnioski, przyznamy pierwszeństwo zgłoszeniom z Departamentu Handlu dotyczącym podmiotów, w przypadku których stwierdzimy, że niezasadnie podają się za obecnych członków programu Tarczy Prywatności lub korzystają z jakiegokolwiek znaku certyfikacyjnego Tarczy Prywatności bez pozwolenia.

Ponadto chcielibyśmy zauważyć, że jeżeli w polityce ochrony prywatności podmiotu zobowiązano się do przestrzegania istotnych zasad Tarczy Prywatności, sam fakt, iż podmiot nie dokona lub nie odnowi rejestracji w Departamencie Handlu może skutkować podjęciem przez Departament Transportu działań w celu wyegzekwowania tych zobowiązań.

C.   Monitorowanie i publikowanie decyzji służących egzekwowaniu przepisów w sprawach naruszeń

Urząd ds. Egzekwowania Prawa w Lotnictwie wchodzący w skład Departamentu podtrzymuje również swoje zobowiązanie do monitorowania decyzji na potrzeby zapewnienia zgodności z zasadami programu Tarczy Prywatności. W szczególności, jeżeli urząd wyda decyzję, w której nakaże przewoźnikowi lotniczemu lub pośrednikowi sprzedaży biletów powstrzymanie się od przyszłych naruszeń Tarczy Prywatności i przepisów § 41712, będzie następnie monitorował, czy jednostka przestrzega postanowienia o powstrzymaniu się od tych określonych naruszeń. Ponadto urząd zapewni, aby decyzje wydane w sprawach dotyczących Tarczy Prywatności były dostępne na jego stronie internetowej.

Mamy nadzieję na dalszą współpracę w sprawach związanych z Tarczą Prywatności z naszymi partnerami na poziomie federalnym i zainteresowanymi stronami z Unii Europejskiej.

Mam nadzieję, że te informacje będą dla Państwa pomocne. W razie jakichkolwiek pytań lub potrzeby dalszych informacji jestem do Państwa dyspozycji.

(1)  http://www.transportation.gov/airconsumer/privacy-complaints.

ZAŁĄCZNIK VI

Dnia 22 lutego 2016 r.

Szanowni Państwo!

W ciągu ostatnich dwóch i pół roku Stany Zjednoczone przekazały wiele istotnych informacji w kontekście negocjacji dotyczących Tarczy Prywatności UE-USA na temat gromadzenia danych przez Wspólnotę Wywiadowczą w wyniku rozpoznania radioelektronicznego. Obejmowały one informacje na temat obowiązujących ram prawnych, wielopoziomowego nadzoru nad tymi działaniami, wysokiej przejrzystości tych działań oraz ogólnej ochrony prywatności i wolności obywatelskich w celu wspierania Komisji Europejskiej w określaniu odpowiedniego poziomu tej ochrony, jako że działania te wiązały się z wyjątkiem od zasad Tarczy Prywatności dotyczącym bezpieczeństwa narodowego. W niniejszym piśmie podsumowano przekazane informacje.

I.   DYREKTYWA POLITYCZNA PREZYDENTA NR 28 I PROWADZENIE PRZEZ USA DZIAŁALNOŚCI W ZAKRESIE ROZPOZNANIA RADIOELEKTRONICZNEGO

Wspólnota Wywiadowcza Stanów Zjednoczonych gromadzi dane wywiadowcze w wysoce kontrolowany sposób, w ścisłej zgodności z przepisami prawa amerykańskiego, podlegający wielu szczeblom nadzoru, z uwzględnieniem istotnych priorytetów wywiadu zagranicznego i bezpieczeństwa narodowego. Gromadzenie danych w wyniku rozpoznania radioelektroniczne przez Stany Zjednoczone podlega różnorodnym przepisom prawnym i strategiom politycznych, w tym Konstytucji Stanów Zjednoczonych, ustawie o kontroli wywiadu (tytuł 50 § 1801 i nast. U.S.C.), rozporządzeniu wykonawczemu 12333 i jego procedurom wykonawczym, wytycznym Prezydenta oraz licznym procedurom i wytycznym, zatwierdzonym przez Sąd ds. Nadzoru nad Obcym Wywiadem (ang. Foreign Intelligence Surveillance Court) i Prokuratora Generalnego, którymi wprowadzono dodatkowe zasady dotyczące ograniczenia, zatrzymywania, wykorzystywania i rozpowszechniania danych wywiadowczych (1).

a.   Przegląd dyrektywy politycznej Prezydenta nr 28

W styczniu 2014 r. prezydent Obama wygłosił przemówienie, w którym przedstawił różne reformy obejmujące działania USA w zakresie rozpoznania radioelektronicznego, a także wydał dyrektywę polityczną Prezydenta nr 28 dotyczącą tych działań (2). Prezydent podkreślił, że działania USA w zakresie rozpoznania radioelektronicznego zapewniają większe bezpieczeństwo nie tylko naszego państwa i naszych wolności, lecz również bezpieczeństwa i wolności innych państw, w tym państw członkowskich UE, które korzystają z danych gromadzonych przez amerykańskie agencje wywiadu w celu ochrony własnych obywateli.

W dyrektywie politycznej Prezydenta nr 28 wprowadzono szereg zasad i wymogów, które mają zastosowanie do wszystkich działań USA w zakresie rozpoznania radioelektronicznego i do wszystkich osób, bez względu na obywatelstwo lub miejsce zamieszkania. W szczególności wprowadzono pewne wymogi w odniesieniu do procedur w celu uregulowania gromadzenia, zatrzymywania i rozpowszechniania danych osobowych dotyczących osób niebędących obywatelami i rezydentami Stanów Zjednoczonych, pozyskanych w wyniku rozpoznania radioelektronicznego prowadzonego przez Stany Zjednoczone. Te wymogi przedstawiono bardziej szczegółowo poniżej, ale można je podsumować w następujący sposób:

Stosowanie procedur i form ochrony przewidzianych w niniejszym piśmie do Tarczy Prywatności jest jasne. Gdy dane zostały przekazane korporacjom w Stanach Zjednoczonych zgodnie z zasadami Tarczy Prywatności, lub w praktyce w dowolny sposób, amerykańskie agencje wywiadu mogą uzyskać te dane od tych korporacji tylko wtedy, gdy ich wniosek jest zgodny z ustawą o kontroli wywiadu lub został złożony na podstawie jednego z przepisów ustawowych dotyczących wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego, które omówiono poniżej (3). Ponadto bez potwierdzenia doniesień medialnych sugerujących, że Wspólnota Wywiadowcza Stanów Zjednoczonych gromadzi dane z kabli transatlantyckich, podczas gdy dane są przekazywane do Stanów Zjednoczonych, lub zaprzeczenia tym twierdzeniom: gdyby Wspólnota Wywiadowcza Stanów Zjednoczonych gromadziła dane z kabli transatlantyckich, jej działanie podlegałoby ograniczeniom i gwarancjom przedstawionym w niniejszym dokumencie, w tym wymogom dyrektywy politycznej Prezydenta nr 28.

b.   Ograniczenia gromadzenia danych

W dyrektywie politycznej Prezydenta nr 28 przedstawiono wiele istotnych zasad ogólnych, którym podlega gromadzenie danych w wyniku rozpoznania radioelektronicznego.

Wymóg, aby działalność w zakresie rozpoznania radioelektronicznego była „dostosowana do danych potrzeb” ma zastosowanie do sposobu, w jaki gromadzone są dane w wyniku rozpoznania radioelektronicznego oraz do tego, co faktycznie jest gromadzone. Przykładowo – określając, czy należy zgromadzić dane w wyniku rozpoznania radioelektronicznego, Wspólnota Wywiadowcza musi – w stosownych przypadkach i w miarę możliwości – uwzględnić dostępność innych danych, w tym źródeł dyplomatycznych lub publicznych, i ustalić priorytety gromadzenia danych za pomocą tych środków. Co więcej, w strategiach politycznych jednostek Wspólnoty Wywiadowczej należy wprowadzić wymóg, aby – zawsze, gdy jest to możliwe – gromadzenie danych koncentrowało się na określonych celach lub zagadnieniach związanych z wywiadem zagranicznym przy każdorazowym zastosowaniu wyróżników (np. określonych urządzeń, terminów umożliwiających selekcję i wskaźników).

Ważne jest, aby informacje dostarczone Komisji postrzegać jako całość. O tym, co jest możliwe do zrealizowania, nie decydują osoby fizyczne wedle własnego uznania, ale kwestia ta podlega strategiom politycznym, które agencje wydały na podstawie dyrektywy politycznej Prezydenta nr 28 – którą opublikowano – i innym procesom opisanym w dyrektywie (4). Zgodnie z dyrektywą polityczną Prezydenta nr 28 hurtowe gromadzenie informacji w ramach rozpoznania radioelektronicznego stanowi gromadzenie, które „ze względów technicznych i operacyjnych, jest dokonywane bez wykorzystania wyróżników (np. konkretnych identyfikatorów, terminów umożliwiających selekcję itp.)”. W tym kontekście w dyrektywie politycznej Prezydenta nr 28 uznano, że jednostki Wspólnoty Wywiadowczej muszą w pewnych okolicznościach gromadzić hurtowo dane w wyniku rozpoznania radioelektronicznego, aby określić nowe lub pojawiające się zagrożenia i inne kluczowe dla bezpieczeństwa narodowego informacje, które są często ukryte w dużych i złożonych systemach nowoczesnej światowej komunikacji. W dyrektywie uwzględniono również również obawy dotyczące prywatności i wolności obywatelskich związane z hurtowym gromadzeniem danych w wyniku rozpoznania radioelektronicznego. W dyrektywie politycznej Prezydenta nr 28 nakazano zatem Wspólnocie Wywiadowczej ustalenie wykazu innych rozwiązań, które umożliwiłyby gromadzenie danych w wyniku rozpoznania radioelektronicznego w ukierunkowany sposób zamiast gromadzenia ich hurtowo. W związku z tym jednostki Wspólnoty Wywiadowczej powinny – zawsze, gdy jest to możliwe – gromadzić dane w wyniku rozpoznania radioelektronicznego w sposób ukierunkowany, a nie hurtowy. (5). Zasady te zapewniają, aby wyjątek dotyczący hurtowego gromadzenia danych nie stał się zasadą ogólną.

Koncepcja „zasadności” stanowi podstawową zasadę prawa amerykańskiego. Oznacza, że jednostki Wspólnoty Wywiadowczej nie będą musiały przyjmować jakichkolwiek środków, które są teoretycznie możliwe, ale będą zobowiązane do zrównoważenia swoich działań służących ochronie uzasadnionych interesów w zakresie prywatności i wolności obywatelskich za pomocą praktycznych wymogów dotyczących działalności w zakresie rozpoznania radioelektronicznego. Również w tym wypadku opublikowano strategie polityczne agencji i pewne jest, że sformułowanie „odpowiednio zaplanowane w celu ograniczenia rozpowszechniania i zatrzymywania danych osobowych zgromadzonych w wyniku rozpoznania radioelektronicznego” nie podważa zasady ogólnej.

W dyrektywie politycznej Prezydenta nr 28 przewidziano również, że dane gromadzone hurtowo w wyniku rozpoznania radioelektronicznego można wykorzystywać wyłącznie w sześciu ściśle określonych celach: wykrywania pewnych działań sił zagranicznych i przeciwdziałania im; walki z terroryzmem; przeciwdziałania proliferacji; cyberbezpieczeństwa; wykrywania zagrożeń dla amerykańskich lub sojuszniczych sił zbrojnych i przeciwdziałania tym zagrożeniom; oraz zwalczania transgranicznych zagrożeń przestępstwami, w tym unikania sankcji. Doradca Prezydenta ds. bezpieczeństwa narodowego w porozumieniu z Dyrektorem Krajowych Służb Wywiadowczych będzie co roku dokonywał analizy tych dozwolonych przypadków hurtowego gromadzenia danych w wyniku rozpoznania radioelektronicznego, aby sprawdzić, czy nie należy ich zmienić. Dyrektor Krajowych Służb Wywiadowczych będzie publikował ten wykaz w jak największym możliwym zakresie, na jaki pozwalają wymogi bezpieczeństwa narodowego. Stanowi to istotne i przejrzyste ograniczenie hurtowego gromadzenia danych w wyniku rozpoznania radioelektronicznego.

Ponadto jednostki Wspólnoty Wywiadowczej wdrażające dyrektywę polityczną Prezydenta nr 28 wzmocniły istniejące praktyki i normy analityczne w zakresie zapytań dotyczących niepoddanych ocenie przypadków rozpoznania radioelektronicznego intelligence (6). Analitycy muszą uporządkować swoje zapytania lub inne warunki i techniki wyszukiwania w celu zapewnienia, aby pozwalały one na wskazanie danych wywiadowczych istotnych z perspektywy ważnego zadania z zakresu działań wywiadu zagranicznego lub egzekwowania prawa. W tym celu jednostki Wspólnoty Wywiadowczej muszą zagwarantować, że zapytania dotyczące osób będą koncentrować się na tych kategoriach danych gromadzonych w wyniku rozpoznania radioelektronicznego, które odpowiadają wymogom wywiadu zagranicznego lub egzekwowania prawa, tak aby zapobiec wykorzystaniu danych osobowych w sposób niezgodny z tymi wymogami.

Należy podkreślić, że wszelkie działania z zakresu hurtowego gromadzenia danych związane z komunikacją internetową, jakie przeprowadza Wspólnota Wywiadowcza Stanów Zjednoczonych za pomocą rozpoznania radioelektronicznego, odbywają się w internecie na małą skalę. Ponadto stosowanie ukierunkowanych zapytań, jak opisano powyżej, zapewnia, aby analizie poddawane były wyłącznie te dane, które uznaje się za potencjalnie ważne z punktu widzenia działań wywiadowczych. Ograniczenia te mają na celu ochronę prywatności i wolności obywatelskich wszystkich osób, niezależnie od ich narodowości i miejsca zamieszkania.

Stany Zjednoczone wprowadzają szczegółowe procesy w celu zapewnienia, aby działania w zakresie rozpoznania radioelektronicznego były prowadzone jedynie dla realizacji stosownych celów bezpieczeństwa narodowego. Każdego roku Prezydent, po przeprowadzeniu szeroko zakrojonego i formalnego procesu międzyagencyjnego, ustala najwyższe krajowe priorytety w zakresie gromadzenia danych przez służby wywiadowcze. Dyrektor Krajowych Służb Wywiadowczych jest odpowiedzialny za wpisanie tych priorytetów w ramy amerykańskich priorytetów wywiadowczych. Na mocy dyrektywy politycznej Prezydenta nr 28 wzmocniono i usprawniono proces międzyagencyjny, aby zapewnić przegląd i zatwierdzanie wszystkich priorytetów wywiadowczych Wspólnoty Wywiadowczej przez decydentów wysokiego szczebla. Dyrektywa Wspólnoty Wywiadowczej nr 204, która zawiera dalsze wytyczne dotyczące ram amerykańskich priorytetów wywiadowczych, została uaktualniona w styczniu 2015 r. o wymogi dyrektywy politycznej Prezydenta nr 28 (7). Mimo że ramy amerykańskich priorytetów wywiadowczych są poufne, informacje związane ze szczegółowymi amerykańskimi priorytetami wywiadowczymi w odniesieniu do krajów trzecich są udostępniane co roku w jawnym dokumencie „Ocena zagrożenia globalnego” (ang. Worldwide Threat Assessment) sporządzanym przez Dyrektora Krajowych Służb Wywiadowczych, który jest również ogólnodostępny na stronie internetowej Urzędu Dyrektora Krajowych Służb Wywiadowczych.

Priorytety określone w ramach amerykańskich priorytetów wywiadowczych są stosunkowo ogólne. Obejmują one takie kwestie jak dążenie do zwiększenia potencjału jądrowego oraz w zakresie rakietowych pocisków balistycznych przez określonych przeciwników zagranicznych, skutki korupcji karteli narkotykowych oraz naruszenia praw człowieka w określonych państwach. Mają one zastosowanie nie tylko przy rozpoznaniu radioelektronicznym, lecz we wszystkich działaniach wywiadowczych. Organem odpowiedzialnym za przełożenie priorytetów zawartych w ramach amerykańskich priorytetów wywiadowczych na faktyczne gromadzenie danych w wyniku rozpoznania radioelektronicznego jest Krajowy Komitet Rozpoznania Radioelektronicznego (ang. National Signals Intelligence Committee), czyli SIGCOM. Funkcjonuje on pod auspicjami Dyrektora Agencji Bezpieczeństwa Narodowego (NSA), wyznaczonego na mocy rozporządzenia wykonawczego nr 12333 na „kierownika ds. rozpoznania radioelektronicznego” odpowiedzialnego za nadzór nad rozpoznaniem radioelektronicznym we Wspólnocie Wywiadowczej oraz jego koordynację pod nadzorem zarówno Sekretarza Obrony, jak i Dyrektora Krajowych Służb Wywiadowczych. W SIGCOM zasiadają przedstawiciele wszystkich agencji Wspólnoty Wywiadowczej, a po całkowitym wdrożeniu przez Stany Zjednoczone dyrektywy politycznej Prezydenta nr 28 w jego składzie znajdą się także przedstawiciele wszystkich innych departamentów i agencji, których polityka jest związana z rozpoznaniem radioelektronicznym.

Wszystkie departamenty i agencje USA korzystające z danych pozyskanych w wyniku działań służb wywiadowczych składają wnioski o gromadzenie danych do SIGCOM. SIGCOM rozpatruje te wnioski, upewnia się co do ich zgodności z ramami amerykańskich priorytetów wywiadowczych oraz przydziela im priorytety według poniższych kryteriów.

W procesie dotyczącym wymogów w zakresie rozpoznania radioelektronicznego Stanów Zjednoczonych wymagane jest także wyraźne uwzględnienie innych czynników, mianowicie:

Ponadto pod koniec procesu przeszkolony personel Agencji Bezpieczeństwa Narodowego analizuje priorytety zatwierdzone przez SIGCOM oraz bada i określa konkretne terminy umożliwiające selekcję, takie jak numery telefonów czy adresy e-mail, które mają posłużyć do gromadzenia danych wywiadowczych w ramach realizacji tych priorytetów. Każdy z identyfikatorów musi zostać poddany kontroli i zatwierdzony zanim zostanie wprowadzony do systemów gromadzenia danych NSA. Jednak nawet wtedy miejsce, w którym dokonuje się właściwego gromadzenia danych oraz to, czy działania te zostaną podjęte, będą zależeć częściowo od dodatkowych względów takich jak dostępność odpowiednich środków pozyskiwania danych. Proces ten zapewnia, że cele gromadzenia danych w ramach rozpoznania radioelektronicznego USA odzwierciedlają uzasadnione i istotne potrzeby wywiadu. Oczywiście, gdy gromadzenie danych przebiega zgodnie z ustawą o kontroli wywiadu, Agencja Bezpieczeństwa Narodowego i inne agencje muszą respektować dodatkowe ograniczenia zatwierdzone przez Sąd ds. Nadzoru nad Obcym Wywiadem. Podsumowując, ani Agencja Bezpieczeństwa Narodowego, ani żadna inna agencja wywiadu USA nie decyduje samodzielnie o tym, jakie informacje należy pozyskać.

Proces ten zasadniczo gwarantuje, że wszystkie priorytety wywiadowcze są określane przez decydentów wysokiego szczebla, którzy są w stanie najlepiej zdefiniować wymagania wywiadu USA, oraz że decydenci uwzględniają nie tylko potencjalną wartość informacji, lecz także ryzyko związane z ich pozyskiwaniem, w tym ryzyko dla prywatności, państwowych interesów gospodarczych oraz stosunków międzynarodowych.

Jeśli chodzi o dane przekazywane do Stanów Zjednoczonych zgodnie z Tarczą Prywatności, pomimo że Stany Zjednoczone nie mogą potwierdzić szczegółowych metod i działań służb wywiadowczych ani im zaprzeczyć, wymogi dyrektywy politycznej Prezydenta nr 28 dotyczą wszelkich działań związanych z rozpoznaniem radioelektronicznym prowadzonych przez Stany Zjednoczone, bez względu na rodzaj lub źródło pozyskiwanych informacji. Co więcej, ograniczenia i gwarancje właściwe dla gromadzenia danych w ramach rozpoznania radioelektronicznego dotyczą danych zgromadzonych w ten sposób dla każdego zatwierdzonego celu, zarówno celów stosunków narodowych, jak i bezpieczeństwa narodowego.

Procedury opisane powyżej świadczą o wyraźnym zaangażowaniu w zapobieganie gromadzenia danych w ramach rozpoznania radioelektronicznego w sposób dowolny i bezkrytyczny oraz we wdrażanie – na najwyższych szczeblach naszego rządu – zasady rozsądnego działania. Dyrektywa polityczna Prezydenta nr 28 i agencyjne procedury wdrażające objaśniają nowe i obowiązujące ograniczenia, aby bardziej szczegółowo zobrazować cel, dla którego Stany Zjednoczone stosują rozpoznanie radioelektroniczne i pozyskują w ten sposób informacje. Powinny one zapewnić, że działania w ramach rozpoznania radioelektronicznego są i będą przeprowadzane jedynie dla dalszych uzasadnionych celów wywiadu.

c.   Ograniczenia dotyczące zatrzymywania i rozpowszechniania

Zgodnie z sekcją 4 dyrektywy politycznej Prezydenta nr 28 każdą agencję Wspólnoty Wywiadowczej obowiązują wyraźne ograniczenia dotyczące zatrzymywania i rozpowszechniania danych osobowych osób nieposiadających obywatelstwa Stanów Zjednoczonych pozyskanych w wyniku rozpoznania radioelektronicznego; ograniczenia te są porównywalne do ograniczeń w przypadku obywateli Stanów Zjednoczonych. Zasady te uwzględnione są w procedurach każdej z agencji Wspólnoty Wywiadowczej przedstawionych w lutym 2015 oraz ogólnodostępnych. Aby dane osobowe kwalifikowały się do zatrzymania lub rozpowszechniania jako dane wywiadowcze, muszą dotyczyć zatwierdzonych potrzeb wywiadu, jak określono w procesie ram amerykańskich priorytetów wywiadowczych opisanym powyżej; być zasadnie uznane za dowód przestępstwa lub spełniać jeden z innych warunków do zatrzymania informacji dotyczących obywateli i rezydentów Stanów Zjednoczonych, które to informacje zostały określone w rozporządzeniu wykonawczym nr 12333 sekcja 2.3.

Informacje, które nie klasyfikują się do wyżej wymienionych kategorii, nie mogą być przetrzymywane przez okres dłuższy niż pięć lat, chyba że Dyrektor Krajowych Służb Wywiadowczych wyraźnie określi, że dalsze ich zatrzymanie leży w interesie bezpieczeństwa narodowego Stanów Zjednoczonych. Agencje Wspólnoty Wywiadowczej muszą zatem usunąć informacje dotyczące osób spoza Stanów Zjednoczonych zgromadzone w wyniku rozpoznania radioelektronicznego po pięciu latach od momentu ich pozyskania, chyba że, na przykład, informacje te zostały uznane za istotne wobec zatwierdzonej potrzeby wywiadu, lub jeśliDyrektor Krajowych Służb Wywiadowczych określi, po rozważeniu opinii urzędnika ds. ochrony wolności obywatelskich Urzędu Dyrektora Krajowych Służb Wywiadowczych (ang. ODNI Civil Liberties Protection Officer) oraz urzędników agencji ds. prywatności i wolności obywatelskich, że dalsze zatrzymywanie danych leży w interesie bezpieczeństwa narodowego.

Co więcej, zgodnie ze wszystkimi działaniami agencji wdrażającymi dyrektywę polityczną Prezydenta nr 28 informacje na temat osoby nie mogą być rozpowszechniane jedynie dlatego, że osoba ta nie jest obywatelem lub rezydentem Stanów Zjednoczonych; Urząd Dyrektora Krajowych Służb Wywiadowczych wydałdyrektywę skierowaną do wszystkich agencji Wspólnoty Wywiadowczej (8), by wymóg ten został uwzględniony. Wyraźnie wymaga się, aby personel Wspólnoty Wywiadowczej uwzględniał kwestie ochrony prywatności osób niebędących obywatelami i rezydentami Stanów Zjednoczonych przy sporządzaniu i rozpowszechnianiu sprawozdań służb wywiadowczych. W szczególności dane zgromadzone w wyniku rozpoznania radioelektronicznego dotyczące rutynowych czynności osoby obcego pochodzenia nie byłoby uznane za dane wywiadowcze, które mogłyby być trwale rozpowszechniane lub zatrzymywane jedynie z tego tytułu, chyba że jest to zgodne z jedną z zatwierdzonych potrzeby wywiadu. Stanowi to istotne ograniczenie i odpowiada na obawy Komisji Europejskiej dotyczące szerokiego zakresu definicji danych wywiadowczych określonej w rozporządzeniu wykonawczym nr 12333.

d.   Przestrzeganie zasad i nadzór

Amerykański system nadzoru służb wywiadowczych określa rygorystyczną i wielowarstwową kontrolę, aby zagwarantować przestrzeganie obowiązującego prawa i procedur, włącznie z tymi, które dotyczą gromadzenia, zatrzymywania oraz rozpowszechniania informacji na temat osób niebędących obywatelami i rezydentami Stanów Zjednoczonych pozyskanych w wyniku rozpoznania radioelektronicznego, co zostało określone w dyrektywie politycznej Prezydenta nr 28. W ramach kontroli:

Poza tymi formalnymi mechanizmami nadzoru, Wspólnota Wywiadowcza stosuje szereg mechanizmów, aby zapewnić zgodność z ograniczeniami dotyczącymi gromadzenia danych. Na przykład:

Jak udowodniono w tym wyczerpującym opisie, Wspólnota Wywiadowcza nie decyduje samodzielnie, którym rozmowom się przysłuchiwać ani nie próbuje gromadzić wszystkich możliwych danych, a jej działalność jest nadzorowana. Działania Wspólnoty Wywiadowczej skoncentrowane są na priorytetach wyznaczonych przez decydentów w procesie, w którym zaangażowany jest cały rząd, przy czym proces ten podlega nadzorowi zarówno w obrębie Agencji Bezpieczeństwa Narodowego, jak i przez Urząd Dyrektora Krajowych Służb Wywiadowczych, Departament Sprawiedliwości oraz Departament Obrony.

Dyrektywa zawiera także szereg innych przepisów, aby zapewnić ochronę danych osobowych zgromadzonych w ramach rozpoznania radioelektronicznego, bez względu na narodowość osoby, której dane dotyczą. Na przykład dyrektywa polityczna Prezydenta nr 28 przewiduje procedury w zakresie bezpieczeństwa danych, dostępu oraz jakości służące ochronie danych osobowych zgromadzonych za pośrednictwem rozpoznania radioelektronicznego, jak również obowiązkowe szkolenia mające zagwarantować, że pracownicy rozumieją obowiązek ochrony danych osobowych, niezależnie od narodowości osoby, której te dane dotyczą. W dyrektywie przewiduje się również dodatkowe mechanizmy nadzoru i przestrzegania zasad. Obejmują one okresowe kontrole i przeglądy praktyk związanych z ochroną danych osobowych zgromadzonych w wyniku rozpoznania radioelektronicznego przeprowadzane przez odpowiednich urzędników ds. nadzoru i zgodności. Przegląd obejmuje również ocenę przestrzeganie procedur ochrony tego typu danych przez agencje.

Dodatkowo zgodnie z dyrektywą polityczną Prezydenta nr 28, kwestie związane z osobami, które nie są obywatelami lub rezydentami Stanów Zjednoczonych, będą rozstrzygane na wyższych szczeblach rządu. W przypadku wystąpienia istotnego problemu z przestrzeganiem zasad związanego z danymi osobistymi jakiejkolwiek osoby, które zostały zgromadzone na skutek działań w ramach rozpoznania radioelektronicznego, poza spełnieniem wszelkich innych istniejących wymogów dotyczących zgłaszania, kwestia ta musi dodatkowo zostać bezzwłocznie zgłoszona Dyrektorowi Krajowemu Służb Wywiadowczych. Jeśli problem związany jest z danymi osobowymi dotyczącymi osoby nieposiadającej amerykańskiego obywatelstwa Dyrektor Krajowy Służb Wywiadowczych, podczas konsultacji z Sekretarzem Stanu oraz kierownikiem odpowiedniej agencji Wspólnoty Wywiadowczej, ustali, czy powinny zostać podjęte działania mające na celu poinformowanie odpowiedniego rządu zagranicznego, zgodnie z ochroną źródeł i metod oraz personelu Stanów Zjednoczonych. Co więcej, zgodnie z dyrektywą polityczną Prezydenta nr 28, Sekretarz Stanu wyznaczył urzędnika wysokiego szczebla, podsekretarz stanu Catherine Novelli, na osobę odpowiedzialną za kontakty z rządami zagranicznymi, które pragną zgłosić swoje obawy dotyczące działań z zakresu rozpoznania radioelektronicznego prowadzonych przez Stany Zjednoczone. Ten wysoki stopień zaangażowania jest przykładem starań, jakich rząd Stanów Zjednoczonych podejmuje przez ostatnie kilka lat, aby zwiększyć zaufanie do licznych pokrywających się gwarancji dotyczących danych osobowych, które obecnie obowiązują i dotyczą zarówno danych obywateli i rezydentów Stanów Zjednoczonych, jak i osób niebędących obywatelami i rezydentami Stanów Zjednoczonych.

e.   Streszczenie

Procedury Stanów Zjednoczonych dotyczące gromadzenia, zatrzymywania oraz rozpowszechniania danych zapewniają istotne zabezpieczenia dla danych osobowych wszystkich osób, bez względu na ich narodowość. Procedury te gwarantują w szczególności, że Wspólnota Wywiadowcza skupia się na swojej misji bezpieczeństwa narodowego zgodnie z obowiązującym prawem, rozporządzeniami wykonawczymi oraz dyrektywami prezydenckimi; chroni dane przed nieuprawnionym dostępem, wykorzystaniem i ujawnieniem; oraz prowadzi działania, które poddawane są wielopoziomowym kontrolom i nadzorowi, w tym komisji nadzorczych Kongresu. Dyrektywa polityczna Prezydenta nr 28 oraz wdrażające ją procedury są odzwierciedleniem naszych starań, aby rozszerzyć określoną minimalizację oraz inne istotne zasady ochrony danych na dane osobowe dotyczące wszystkich osób bez względu na ich narodowość. Dane osobowe zgromadzone w wyniku rozpoznania radioelektronicznego Stanów Zjednoczonych podlegają zasadom i wymaganiom amerykańskiego prawa oraz kierownictwu prezydenta, w tym zabezpieczeniom określonym w dyrektywie politycznej Prezydenta nr 28. Zasady i wymagania te gwarantują, że wszystkie osoby są traktowane z godnością i szacunkiem, niezależnie od ich narodowości lub miejsca zamieszkania; uznają one również, że wszystkie osoby mają uzasadnione prawo do ochrony prywatności przy przetwarzaniu ich danych osobowych.

II.   USTAWA O KONTROLI WYWIADU – SEKCJA 702

Gromadzenie danych zgodnie z sekcją 702 ustawy o kontroli wywiadu (11) nie jest „masowe i bezkrytyczne”, lecz skupia się ściśle na danych dotyczących indywidualnie określonych i zasadnych celów; jest wyraźnie dozwolone przez określony organ ustawowy; oraz podlega zarówno niezależnej kontroli sądowej, jak i dokładnym przeglądom i nadzorowi władzy wykonawczej oraz Kongresu. Dane pozyskane zgodnie z sekcją 702 uznaje się za dane zgromadzone w wyniku rozpoznania radioelektronicznego z zastrzeżeniem wymogów dyrektywy politycznej Prezydenta nr 28 (12).

Gromadzenie danych zgodnie z sekcją 702 jest jednym z najcenniejszych źródeł danych chroniącym zarówno Stany Zjednoczone, jak i naszych europejskich partnerów. Kompleksowe informacje na temat działania i nadzoru na podstawie sekcji 702 są dostępne do wglądu publicznego. Liczne oświadczenia złożone w sądzie, orzeczenia sądowe oraz sprawozdania dotyczące nadzoru związane z programem zostały odtajnione i zamieszczone na ogólnodostępnej stronie internetowej Urzędu Dyrektora Krajowych Służb www.icontherecord.tumblr.com. Co więcej, sekcja 702 została poddana kompleksowej analizie przez Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi w sprawozdaniu dostępnym na stronie https://www.pclob.gov/library/702-Report.pdf (13).

Sekcja 702 została uchwalona jako część ustawy z 2008 r. (14) zmieniającej ustawę o kontroli wywiadu po szeroko zakrojonej debacie publicznej w Kongresie. Zezwala się w niej na pozyskiwanie danych wywiadowczych poprzez skoncentrowanie działań na osobach niebędących obywatelami i rezydentami Stanów Zjednoczonych znajdujących się poza terytorium Stanów Zjednoczonych przy obowiązkowej pomocy ze strony amerykańskich dostawców usług łączności elektronicznej. W sekcji 702 upoważnia się Prokuratora Generalnego oraz Dyrektora Krajowych Służb Wywiadowczych – dwóch urzędników na szczeblu gabinetu powoływanych przez prezydenta i zatwierdzanych przez Senat – do przedkładania corocznych certyfikacji do Sądu ds. Nadzoru nad Wywiadem Zagranicznym (15). Certyfikacje te określają szczególne kategorie danych wywiadowczych, które mają być gromadzone, takie jak dane wywiadowcze związane z walką z terroryzmem lub bronią masowego rażenia, i które muszą być klasyfikowane zgodnie z kategoriami danych wywiadowczych określonymi w ustawie o kontroli wywiadu (16). Jak zauważył Zarząd Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, „ograniczenia te nie pozwalają na nieograniczone gromadzenie danych o cudzoziemcach” (17).

Certyfikacje muszą również zawierać procedury „ukierunkowywania” oraz „minimalizacji”, zbadane i zatwierdzone przez Sąd ds. Nadzoru nad Wywiadem Zagranicznym (18). Procedury ukierunkowywania są opracowane w sposób, który gwarantuje, że gromadzenie danych ma miejsce jedynie wtedy, gdy jest dozwolone ustawowo oraz mieści się w zakresie certyfikacji; procedury minimalizacji mają na celu ograniczenie pozyskiwania, rozpowszechniania i zatrzymywania danych dotyczących obywateli i rezydentów Stanów Zjednoczonych oraz zawierają przepisy zapewniające istotną ochronę danych dotyczących również tych osób, które nie są obywatelami i rezydentami Stanów Zjednoczonych, jak opisano poniżej. Co więcej, zgodnie z powyższym, w dyrektywie politycznej Prezydenta nr 28 nakazano, aby Wspólnota Wywiadowcza zapewniła dodatkową ochronę danych osobowych osób niebędących obywatelami i rezydentami Stanów Zjednoczonych i ochrona ta ma zastosowanie do informacji zgromadzonych na mocy sekcji 702.

Gdy sąd zatwierdzi procedury ukierunkowywania oraz minimalizacji, gromadzenie danych zgodnie z sekcją 702 nie będzie polegało na hurtowym lub bezkrytycznym gromadzeniu danych, ale „na skupieniu się na określonych osobach, w przypadku których przeprowadzono zindywidualizowane rozpoznanie”, jak twierdzi Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (19). Gromadzenie danych prowadzone jest przy wykorzystaniu indywidualnych selektorów, takich jak adresy e-mail lub numery telefonów, które według pracowników amerykańskiego wywiadu, są prawdopodobnie wykorzystywane do przekazywania danych wywiadowczych, których rodzaj został uwzględniony w certyfikacji złożonej w sądzie (20). Podstawa wyboru docelowych informacji musi zostać udokumentowana, a dokumentacja każdego selektora musi zostać następnie przejrzana przez Departament Sprawiedliwości (21). Rząd Stanów Zjednoczonych upublicznił informacje, z których wynika, że w 2014 r. około 90 000 osób fizycznych zostało objętych sekcją 702, co stanowi niewielki ułamek społeczności internetowej składającej się z ponad 3 mld użytkowników na całym świecie (22).

Informacje zgromadzone na podstawie sekcji 702 podlegają zatwierdzonym przez sąd procedurom minimalizacji, które zapewniają ochronę osób niebędących obywatelami i rezydentami Stanów Zjednoczonych, jak i osób będących obywatelami i rezydentami Stanów Zjednoczonych, które to procedury zostały upublicznione (23). Na przykład komunikaty obywateli i rezydentów Stanów Zjednoczonych lub osób niebędących obywatelami i rezydentami Stanów Zjednoczonych, zebrane na podstawie sekcji 702, przechowuje się w bazach danych o ścisłej kontroli dostępu. Komunikacja może być przeglądana jedynie przez pracowników służb wywiadowczych, którzy przeszli szkolenie w zakresie procedur minimalizacji ukierunkowanych na ochronę prywatności oraz którym wydano specjalną zgodę na dostęp na potrzeby wykonywania ich zatwierdzonych zadań (24). Wykorzystanie danych ogranicza się do identyfikacji danych wywiadowczych lub dowodów przestępstw (25). Zgodnie z dyrektywą polityczną Prezydenta nr 28 informacje te można upowszechniać jedynie do celów wywiadu zagranicznego lub egzekwowania prawa; nie ma znaczenia fakt, że jedna ze stron wiadomości nie jest ani obywatelem, ani rezydentem Stanów Zjednoczonych (26). Procedury minimalizacji oraz dyrektywa polityczna Prezydenta nr 28 określają również maksymalny okres zatrzymywania danych zgromadzonych na podstawie sekcji 702 (27).

Nadzór nad stosowaniem sekcji 702 jest kompleksowy i prowadzony przez wszystkie trzy gałęzie naszego rządu. Agencje wykonujące ustawę prowadzą wewnętrzny przegląd na wielu szczeblach, w tym na szczeblu niezależnych Inspektorów Generalnych, oraz kontrole dostępu do danych pod kątem technologii. Departament Sprawiedliwości i Urząd Dyrektora Krajowych Służb Wywiadowczych dokonują dokładnego przeglądu sekcji 702 oraz analizują jej stosowanie w celu sprawdzenia, czy jest zgodna z przepisami prawa; na agencjach spoczywa również niezależny obowiązek zgłaszania potencjalnych przypadków niezgodności. Przypadki te są badane, przy czym wszystkie przypadki dotyczące zgodności są zgłaszane Sądowi ds. Nadzoru nad Wywiadem Zagranicznym, prezesowi Rady Nadzoru nad Służbami Wywiadowczymi i Kongresowi, a następnie podejmowane są odpowiednie kroki. (28). Do tej pory nie odnotowano żadnych przypadków umyślnego usiłowania naruszenia przepisów lub ominięcia wymogów prawnych (29).

Sąd ds. Nadzoru nad Wywiadem Zagranicznym odgrywa istotną rolę w wykonywaniu sekcji 702. W sądzie zasiadają niezależni sędziwie federalni, ich kadencja trwa siedem lat, niemniej jednak jak wszyscy sędziowie federalni są zatrudnieni dożywotnio. Jak wspomniano powyżej sąd dokonuje przeglądu rocznych certyfikatów oraz procedur ukierunkowywania i minimalizacji pod względem zgodności z prawem. Ponadto, jak wspomniano powyżej, rząd ma obowiązek niezwłocznie powiadomić sąd o kwestiach zgodności (30), przy czym kilka opinii sądu zostało odtajnionych i upublicznionych, ukazując wyjątkowy stopień kontroli sądowej i niezależności, jaka przysługuje temu sądowi podczas badania tych przypadków.

Wymagające procedury sądowe zostały opisane przez poprzedniego prezesa sądu w piśmie skierowanym do Kongresu, które zostało podane do wiadomości publicznej (31). W wyniku amerykańskiej ustawy o wolności, opisanej poniżej, sądowi przysługuje wyraźne uprawnienie do wyznaczenia adwokata z zewnątrz jako niezależnego adwokata występującego w imieniu ochrony prywatności w przypadkach, które dotyczą nowych lub istotnych zagadnień prawnych (32). Stopień zaangażowania niezależnego sądownictwa krajowego w działania wywiadowcze ukierunkowane na osoby, które nie są ani obywatelami danego kraju ani nie znajdują się na jego terytorium, jest niezwykły, a nawet niespotykany oraz pomaga zapewnić gromadzenie danych na podstawie sekcji 702 w określonych granicach prawnych.

Kongres sprawuje nadzór poprzez ustawowe składanie sprawozdań Komisji ds. Wywiadu i Komisji Sprawiedliwości oraz częste briefingi i przesłuchania. Należą do nich półroczne sprawozdanie Prokuratora Generalnego dokumentujące stosowanie sekcji 702 i wszelkie przypadki niezgodności (33); odrębna ocena półroczna przeprowadzona przez Prokuratora Generalnego i Dyrektora Krajowych Służb Wywiadowczych dokumentująca zgodność z procedurami ukierunkowywania i minimalizacji, w tym zgodność z procedurami służącymi zapewnieniu, aby dane gromadzono dla ważnych celów wywiadowczych (34); oraz roczne sprawozdanie sporządzone przez szefów agencji wywiadowczych, które obejmuje certyfikację potwierdzającą, że dane gromadzone na podstawie sekcji 702 w dalszym ciągu zawierają dane wywiadowcze (35).

Krótko mówiąc, gromadzenie danych zgodnie z sekcją 702 jest dozwolone przez prawo; podlega wielu etapom przeglądu, kontroli sądowej i nadzorowi sądowemu; oraz, jak stwierdził Sąd ds. Nadzoru nad Wywiadem Zagranicznym w odtajnionej niedawno opinii, nie jest „prowadzone w sposób hurtowy lub bezkrytyczny”, ale „poprzez […]decyzje wyraźnie skoncentrowane na konkretnych urządzeniach służących [komunikacji]” (36).

III.   AMERYKAŃSKA USTAWA O WOLNOŚCI

Amerykańska ustawa o wolności, podpisana w czerwcu 2015 r. znacząco zmieniła akty stanowiące podstawę prawną uprawnień amerykańskich organów nadzoru i bezpieczeństwa narodowego oraz zwiększyła przejrzystość publiczną w zakresie korzystania z tych aktów oraz orzeczeń Sądu ds. Nadzoru nad Wywiadem Zagranicznym, jak określono poniżej. (37). Ustawa gwarantuje uprawnienia potrzebne personelowi organów wywiadowczych i organów do ochrony narodu, przy jednoczesnym zapewnieniu, aby prywatność osób fizycznych była właściwie chroniona podczas korzystania z takich uprawnień. Ustawa rozszerza ochronę prywatności i wolności obywatelskich oraz zwiększa przejrzystość.

W ustawie wprowadza się zakaz hurtowego gromadzenia wszelkich rejestrów, w tym zarówno dotyczących obywateli i rezydentów Stanów Zjednoczonych, jak i osób niebędących obywatelami i rezydentami Stanów Zjednoczonych, na podstawie różnych przepisów ustawy o kontroli wywiadu lub poprzez wykorzystanie wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego w formie ustawowo zatwierdzonych wezwań administracyjnych (38). Zakaz ten obejmuje w szczególności metadane telefoniczne dotyczące połączeń między osobami na terytorium Stanów Zjednoczonych oraz osobami poza terytorium Stanów Zjednoczonych, a także będzie obejmował gromadzenie informacji w ramach Tarczy Prywatności na podstawie aktów stanowiących podstawę prawną tych uprawnień. W ustawie tej nakłada się zobowiązanie, aby rząd opierał każdy wniosek o przekazanie danych na podstawie tych aktów na „konkretnym terminie umożliwiającym selekcję” – terminie, który pozwala zidentyfikować określoną osobę, konto, adres lub urządzenie osobiste w sposób, który maksymalnie ogranicza zakres poszukiwanych informacji (39). Przepis ten dodatkowo zapewnia, aby gromadzenie informacji dla celów wywiadowczych było właściwie skoncentrowane i ukierunkowane.

Na mocy ustawy znacząco zmodyfikowano postępowania prowadzone przed Sądem ds. Nadzoru nad Wywiadem Zagranicznym, w wyniku czego zwiększono przejrzystość i zapewniono dodatkowe gwarancje ochrony prywatności. Jak wspomniano powyżej, ustawa umożliwiła utworzenie stałego zespołu prawników, którzy otrzymali poświadczenie bezpieczeństwa, mających doświadczenie w zakresie ochrony prywatności i wolności obywatelskich, gromadzenia danych wywiadowczych, technologii komunikacji lub innych istotnych dziedzinach, którzy mogą zostać powołani do występowania przed sądem jako amicus curiae w sprawach, które wymagają znaczącej lub nowatorskiej interpretacji prawa. Wspomniani prawnicy są uprawnieni do przytaczania argumentów prawnych, które zwiększają ochronę prywatności i wolności obywatelskich osób fizycznych oraz będą mieli dostęp do wszelkich informacji, w tym informacji niejawnych, które sąd uzna za niezbędne do pełnienia przez nich obowiązków (40).

Ustawa opiera się również na niespotykanej dotąd przejrzystości działań wywiadowczych rządu Stanów Zjednoczonych, zobowiązując Dyrektora Krajowych Służb Wywiadowczych, w porozumieniu z Prokuratorem Głównym, do odtajnienia lub opublikowania jawnego podsumowania każdego orzeczenia, decyzji lub opinii wydanej przez Sąd ds. Nadzoru nad Wywiadem Zagranicznym lub Sąd Apelacyjny ds. Kontroli Wywiadu, które zawiera ważną konstrukcję prawną lub interpretację jakiegokolwiek przepisu prawa.

Ponadto ustawa przewiduje ujawnianie licznych informacji na temat gromadzenia danych na podstawie ustawy o kontroli wywiadu i wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego. Stany Zjednoczone muszą co roku ujawniać Kongresowi i społeczeństwu liczbę nakazów i certyfikatów wydawanych na podstawie ustawy o kontroli wywiadu, o które się ubiegano i które otrzymano; szacunki dotyczące liczby obywateli i rezydentów Stanów Zjednoczonych oraz osób niebędących obywatelami i rezydentami Stanów Zjednoczonych objętych obserwacją; oraz, wśród innych informacji, liczbę powołanych amici curiae  (41). W ustawie nakłada się również na rząd obowiązek dodatkowego publicznego zgłaszania liczby wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego dotyczących obywateli i rezydentów Stanów Zjednoczonych oraz osób niebędących obywatelami i rezydentami Stanów Zjednoczonych (42).

Jeżeli chodzi o przejrzystość działalności przedsiębiorstw, w ustawie zapewniono przedsiębiorstwom szereg wariantów publicznego zgłaszania łącznej liczby nakazów i dyrektyw na mocy ustawy o kontroli wywiadu lub wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, które otrzymują od rządu, oraz liczby kont klientów będących przedmiotem tych nakazów (43). Kilka przedsiębiorstw dokonało już takich ujawnień, wyjawiając ograniczoną liczbę klientów, których rejestry były przedmiotem dochodzenia.

Ze wspomnianych sprawozdań dotyczących przejrzystości działalności przedsiębiorstw wynika, że wnioski o udostępnienie amerykańskich danych wywiadowczych dotyczą tylko niewielkiej części danych. Na przykład z jednego z ostatnich sprawozdań z przejrzystości sporządzonego przez duże przedsiębiorstwo wynika, że otrzymało ono wnioski o przedstawienie informacji ze względów bezpieczeństwa narodowego (zgodnie z ustawą o kontroli wywiadu lub wezwaniami do przedstawienia informacji do celów bezpieczeństwa narodowego) dotyczące mniej niż 20 000 jego kont, w okresie gdy miało co najmniej 400 mln abonentów. Innymi słowy wszystkie wnioski w sprawie amerykańskiego bezpieczeństwa narodowego zgłoszone przez to przedsiębiorstwo dotyczyły mniej niż 0,005 % jego abonentów. Nawet jeżeli każdy z tych wniosków odnosił się do danych objętych programem „bezpieczna przystań”, a tak nie jest, oczywiste jest, że wnioski są ukierunkowane i odpowiednie pod względem skali, oraz nie obejmują hurtowego i bezkrytycznego gromadzenia danych.

Ponadto, o ile już w ustawach, w których zatwierdzono wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego, ograniczono okoliczności, w jakich można zabronić odbiorcy takich wezwań ich ujawnienia, o tyle przedmiotowa ustawa stanowi dodatkowo, że takie wymogi dotyczące nieujawniania muszą być okresowo weryfikowane; zawiera wymóg powiadamiania odbiorców wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, gdy fakty nie uzasadniają już wymogu nieujawniania; oraz ujednolica się w niej procedury zaskarżania wymogów nieujawniania (44).

Podsumowując, istotne zmiany wprowadzone amerykańską ustawą o wolności w zakresie uprawnień amerykańskich organów wywiadowczych stanowią wyraźny dowód na szeroko zakrojone wysiłki podejmowane przez Stany Zjednoczone w celu nadania priorytetu ochronie danych osobowych, prywatności i wolności obywatelskich oraz przejrzystości we wszystkich amerykańskich praktykach wywiadowczych.

IV.   PRZEJRZYSTOŚĆ

Oprócz przejrzystości wprowadzonej amerykańską ustawą o wolności, amerykańska Wspólnota Wywiadowcza przekazuje społeczeństwu wiele dodatkowych informacji, dając dobry przykład w odniesieniu do przejrzystości prowadzonych przez nich działań wywiadowczych. Wspólnota Wywiadowcza opublikowała wiele swoich strategii politycznych, procedur, orzeczeń Sądu ds. Nadzoru nad Wywiadem Zagranicznym oraz inne odtajnione materiały, zapewniając wyjątkowo wysoki stopień przejrzystości. Ponadto Wspólnota Wywiadowcza znacząca zwiększyła ilość ujawnianych danych statystycznych na temat korzystania przez rząd z aktów stanowiących podstawę prawną do gromadzenia danych do celów bezpieczeństwa narodowego. W dniu 22 kwietnia 2015 r. Wspólnota Wywiadowcza opublikowała swoje drugie coroczne sprawozdanie przedstawiające dane statystyczne dotyczące częstotliwości korzystania z tych istotnych aktów przez rząd. Urząd Dyrektora Krajowych Służb Wywiadowczych także opublikował na swoich stronach internetowych oraz na stronie internetowej „IC On the Record” – zbiór konkretnych zasad dotyczących przejrzystości (45) – i plan realizacji, który przekłada te zasady na konkretne, wymierne inicjatywy (46). W październiku 2015 r. Dyrektor Krajowych Służb Wywiadowczych zarządził, aby każda agencja wywiadowcza wyznaczała urzędnika ds. przejrzystości danych wywiadowczych wśród swoich kierowników w celu zwiększenia przejrzystości i prowadzenia inicjatyw w zakresie przejrzystości (47). Urzędnik ds. przejrzystości będzie ściśle współpracował z każdym urzędnikiem ds. ochrony prywatności i wolności obywatelskich z agencji wywiadowczej w celu zapewnienia, aby przejrzystość, prywatność i wolności obywatelskie nadal pozostawały głównymi priorytetami.

Dla zilustrowania tych starań w ciągu kilku ostatnich lat główny urzędnik ds. ochrony prywatności i wolności obywatelskich Agencji Bezpieczeństwa Narodowego opublikował kilka jawnych sprawozdań, w tym sprawozdania na temat działań prowadzonych na podstawie sekcji 702, rozporządzenia wykonawczego nr 12333 i amerykańskiej ustawy o wolności (48). Ponadto Wspólnota Wywiadowcza ściśle współpracuje z Radą Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, Kongresem i amerykańską społecznością adwokacką zajmującą się ochroną prywatności w celu zapewnienia większej przejrzystości działań amerykańskich służb wywiadowczych, o ile to możliwe i zgodne z ochroną wrażliwych źródeł i metod wywiadowczych. Jako całość działania amerykańskich służb wywiadowczych są przejrzyste jak działania prowadzone przez jakiekolwiek inne państwo na świecie a nawet bardziej przejrzyste oraz są na tyle przejrzyste na ile to możliwe, aby odpowiadać potrzebie zapewnienia ochrony wrażliwych źródeł i metod.

Podsumowując znaczną przejrzystość, jaką odznaczają się działania amerykańskich służb wywiadowczych, należy wspomnieć o poniższych działaniach.

Ta rozszerzona przejrzystość w dalszym ciągu będzie zwiększana. Wszelkie informacje podawane do wiadomości publicznej zostaną oczywiście udostępnione Departamentowi Handlu i Komisji Europejskiej. Roczny przegląd prowadzony przez Komisję Handlu i Komisję Europejską dotyczący wdrożenia Tarczy Prywatności będzie stanowił okazję dla Komisji Europejskiej do omówienia kwestii poruszonych w związku z upublicznieniem jakichkolwiek nowych informacji oraz wszelkich innych kwestii dotyczących Tarczy Prywatności i jej działania; zdajemy sobie sprawę, że Departament może, według własnego uznania, zaprosić przedstawicieli innych agencji, w tym Wspólnoty Wywiadowczej, do wzięcia udziału w tym przeglądzie. Należy oczywiście pamiętać o mechanizmie przewidzianym dla państw członkowskich UE w dyrektywie politycznej Prezydenta nr 28, który służy do przekazywania obaw związanych z nadzorem wyznaczonemu urzędnikowi Departamentu Stanu.

V.   DOCHODZENIE ROSZCZEŃ

W prawie Stanów Zjednoczonych przewiduje się szereg środków prawnych dla osób fizycznych, które objęte są bezprawną obserwacją elektroniczną dla celów bezpieczeństwa narodowego. Na mocy ustawy o kontroli wywiadu prawo do dochodzenia odszkodowania w sądzie amerykańskim nie jest ograniczone wyłącznie do obywateli i rezydentów Stanów Zjednoczonych. Osobie fizycznej, która może wykazać legitymację procesową, przysługiwałyby środki ochrony prawnej umożliwiające zaskarżenie bezprawnej obserwacji elektronicznej na mocy ustawy o kontroli wywiadu. Na przykład na mocy ustawy o kontroli wywiadu osoby objęte bezprawną obserwacją elektroniczną mogą bezpośrednio dochodzić odszkodowania od amerykańskich urzędników państwowych, w tym odszkodowania sankcyjnego i kosztów zastępstwa procesowego. Zob. tytuł 50 § 1810 U.S.C. Osoby fizyczne, które mają legitymację procesową, mogą także wytoczyć powództwo cywilne o odszkodowanie, w tym koszty postępowania sądowego, przeciwko Stanom Zjednoczonym, w przypadku gdy informacje na ich temat uzyskane w ramach obserwacji elektronicznej na mocy ustawy o kontroli wywiadu zostały bezprawnie i umyślnie wykorzystane lub ujawnione. Zob. tytuł 18 § 2712 U.S.C. Jeżeli rząd zamierza wykorzystać lub ujawnić jakiekolwiek informacje na temat dowolnej osoby poszkodowanej otrzymane lub pozyskane za pomocą obserwacji elektronicznej na mocy ustawy o kontroli wywiadu przeciwko tej osobie w postępowaniu sądowym lub administracyjnym w Stanach Zjednoczonych, musi z wyprzedzeniem powiadomić o swoim zamiarze sąd i daną osobę, które mogą następnie podważyć zgodność nadzoru z prawem i wnieść o zaprzestanie rozpowszechniania informacji. Zob. tytuł 50 § 1806 U.S.C. Ponadto ustawa o kontroli wywiadu przewiduje również sankcje karne dla osób fizycznych, które umyślnie angażują się w bezprawną obserwację elektroniczną na mocy prawa lub które umyślnie korzystają z informacji uzyskanych w ramach bezprawnego dozoru lub ujawniają takie informacje. Zob. tytuł 50 § 1809 U.S.C.

Obywatele Unii mają inne możliwości wystąpienia na drogę sądową przeciwko amerykańskim urzędnikom państwowym za bezprawne wykorzystanie danych lub uzyskanie dostępu do tych danych, w tym przeciwko urzędnikom rządowym, którzy dopuszczają się naruszenia prawa w trakcie bezprawnego dostępu do informacji lub korzystania z informacji do rzekomych celów bezpieczeństwa narodowego. W ustawie o oszustwach i nadużyciach komputerowych ustanowiono zakaz umyślnego uzyskiwania nieuprawnionego dostępu (lub przekraczania granic uprawnionego dostępu) w celu pozyskania informacji z instytucji finansowej, systemu komputerowego rządu Stanów Zjednoczonych lub komputera, do których uzyskano dostęp za pośrednictwem internetu, a także zakaz formułowania gróźb uszkodzenia chronionych komputerów do celów związanych z wyłudzeniem lub popełnieniem oszustwa. Zob. tytuł 18 § 1030 U.S.C. Każda osoba, niezależnie od jej narodowości, która dozna szkody lub poniesie stratę w następstwie naruszenia przepisów tej ustawy, może wytoczyć powództwo przeciwko sprawcy naruszenia (w tym także urzędnikowi państwowemu) o odszkodowanie wyrównawcze oraz o orzeczenie zakazu lub innego słusznego środka zgodnie z sekcją 1030 lit. g), niezależnie od tego, czy w odniesieniu do sprawcy wszczęto postępowanie karne, pod warunkiem że naruszenie wypełnia znamiona przynajmniej jednego rodzaju czynu zabronionego opisanego w ustawie. Ustawa o ochronie danych w łączności elektronicznej reguluje kwestie związane z dostępem rządu do przechowywanych danych przekazywanych drogą elektroniczną oraz do informacji gromadzonych przez dostawców usług komunikacyjnych będących osobami trzecimi na temat abonentów. Zob. tytuł 18 § 2701–2712 U.S.C. Zgodnie z przepisami ustawy o ochronie danych w łączności elektronicznej osoba poszkodowana jest uprawniona do wytoczenia powództwa przeciwko urzędnikom państwowym w związku z umyślnym bezprawnym dostępem do przechowywanych danych. Ustawa ma zastosowanie do wszystkich osób niezależnie od ich obywatelstwa, a sąd może zasądzić wypłatę odszkodowania i pokrycie kosztów zastępstwa procesowego z tytułu naruszenia jej przepisów. Ustawa o prawie do poufności informacji finansowych ogranicza możliwość uzyskania dostępu do przechowywanych w rejestrach bankowych i brokerskich informacji dotyczących klientów indywidualnych przez organy rządu Stanów Zjednoczonych. Zob. tytuł 12 § 3401-3422 U.S.C. Zgodnie z przepisami ustawy o poufności informacji finansowych klient banku lub domu maklerskiego może pozwać rząd Stanów Zjednoczonych, dochodząc odszkodowania ustawowego, faktycznego lub odszkodowania mającego charakter kary z tytułu bezprawnego uzyskania dostępu do rejestrów zawierających dane tego klienta, przy czym w przypadku potwierdzenia, że takiego bezprawnego uzyskania dostępu dopuszczono się umyślnie, przeciwko stosownym urzędnikom rządowym automatycznie wszczęte zostanie postępowanie, które może zakończyć się wyciągnięciem konsekwencji dyscyplinarnych wobec sprawców naruszenia. Zob. tytuł 12 § 3417 U.S.C.

Zgodnie z przepisami ustawy o dostępie do informacji publicznej każda osoba jest uprawniona do uzyskania dostępu do aktualnej wersji prowadzonego przez agencję federalną rejestru zawierającego informacje na dowolny temat – istnieją jednak pewne wyjątki od tego prawa. Zob. tytuł 5 § 552 lit. b) U.S.C. Wśród tych wyjątków należy wymienić ograniczenia w dostępie do informacji niejawnych istotnych dla bezpieczeństwa narodowego, danych osobowych innych osób fizycznych oraz informacji dotyczących dochodzeń prowadzonych przez organy egzekwowania prawa – ograniczenia te są porównywalne z ograniczeniami nakładanymi przez organy krajowe zgodnie z krajowymi przepisami w zakresie dostępu do informacji. Ograniczenia te odnoszą się zarówno do Amerykanów, jak i osób innej narodowości. Sporne decyzje dotyczące udostępniania rejestrów będących przedmiotem wniosku zgodnie z ustawą o dostępie do informacji publicznej można zaskarżyć administracyjnie, a następnie w sądzie federalnym. Sąd jest zobowiązany na nowo ustalić, czy udostępnienie rejestrów zostały wstrzymane zasadnie, tytuł 5 § 552(a)(4)(B) U.S.C., oraz może nakazać rządowi zapewnienie dostępu do rejestrów. W niektórych sprawach sąd obalił stanowisko rządu, zgodnie z którym nie należało dopuścić do ujawnienia informacji z uwagi na ich niejawny charakter (49). Mimo że nie ma możliwości zasądzenia odszkodowania pieniężnego, sąd może zarządzić wypłatę honorariów pełnomocnikom procesowym.

VI.   WNIOSEK

Stany Zjednoczone zgadzają się, że przy podejmowaniu przez nas działań w obszarze rozpoznania radioelektronicznego i prowadzeniu innego rodzaju działalności wywiadowczej należy wziąć pod uwagę fakt, że wszystkie osoby powinny być traktowane z godnością i szacunkiem, niezależnie od ich narodowości lub miejsca zamieszkania, oraz że wszystkie osoby mają uzasadniony interes w dążeniu do zapewnienia poszanowania ich prywatności przy przetwarzaniu dotyczących ich danych osobowych. Stany Zjednoczone podejmują działania w obszarze rozpoznania radioelektronicznego w celu realizacji swoich interesów w obszarze bezpieczeństwa narodowego i polityki zagranicznej oraz w celu zapewnienia ochrony swoim obywatelom i obywatelom państw sojuszniczych i partnerskich. Krótko mówiąc, Wspólnota Wywiadowcza nie prowadzi żadnego rodzaju masowej inwigilacji jakichkolwiek podmiotów, uwzględniając zwykłych obywateli Unii. Gromadzenie informacji w ramach rozpoznania radioelektronicznego odbywa się wyłącznie po uzyskaniu odpowiedniego upoważnienia i zgodnie z ustanowionymi ograniczeniami, wyłącznie po rozważeniu możliwości skorzystania z innych źródeł informacji, w tym źródeł dyplomatycznych i publicznych, oraz w sposób uwzględniający odpowiednie i możliwe do zastosowania rozwiązania alternatywne. W przypadkach, w których jest to możliwe, w ramach działań w obszarze rozpoznania radioelektronicznego należy gromadzić wyłącznie informacje skoncentrowane na osobie namierzanej lub dotyczące określonych zagadnień związanych z wywiadem zagranicznym, każdorazowo stosując wyróżniki.

Polityka Stanów Zjednoczonych w tym obszarze została zatwierdzona w dyrektywie politycznej Prezydenta nr 28. W tym kontekście agencje wywiadowcze Stanów Zjednoczonych nie posiadają kompetencji prawnych, zasobów i zdolności technicznej pozwalających im przechwytywać informacje wymieniane na całym świecie ani woli przechwytywania takich informacji. Wspomniane agencje nie zajmują się czytaniem wiadomości e-mail wszystkich osób w Stanów Zjednoczonych ani – tym bardziej – wszystkich osób na świecie. Zgodnie z dyrektywą polityczną Prezydenta nr 28 Stany Zjednoczone kompleksową ochroną obejmuje się dane osobowe osób niebędących obywatelami i rezydentami Stanów Zjednoczonych, które są gromadzone w ramach działań w obszarze rozpoznania radioelektronicznego. W stopniu, w jakim jest to możliwe, biorąc pod uwagę kwestie związane z bezpieczeństwem narodowym, wspomniana ochrona obejmuje strategie i procedury służące ograniczaniu do minimum przypadków zatrzymywania danych oraz rozpowszechniania danych osobowych dotyczących osób niebędących obywatelami i rezydentami Stanów Zjednoczonych na poziomie porównywalnym z poziomem ochrony, jaki przysługuje obywatelom i rezydentom Stanów Zjednoczonych. Ponadto, jak wskazano powyżej, kompleksowy system nadzoru ustanowiony przez organ powołany zgodnie z sekcją 702 ustawy o kontroli wywiadu jest najlepszym tego rodzaju systemem na świecie. Ponadto istotne zmiany do ustawy o służbie wywiadowczej Stanów Zjednoczonych przewidziane w amerykańskiej ustawie o wolności oraz w inicjatywach Urzędu Dyrektora Krajowych Służb Wywiadowczych na rzecz promowania przejrzystości w ramach Wspólnoty Wywiadowczej w znacznym stopniu przyczynią się do ochrony prywatności i wolności obywatelskich wszystkich osób fizycznych niezależnie od ich przynależności państwowej.

Dnia 21 czerwca 2016 r.

Szanowni Państwo!

W niniejszym piśmie pragnę przekazać Państwu dalsze informacje o tym, w jaki sposób Stany Zjednoczone hurtowo gromadzą dane w wyniku rozpoznania radioelektronicznego. Jak wyjaśniono w przypisie 5 w dyrektywie politycznej Prezydenta nr 28 (zwanej dalej „PPD-28”), „hurtowe” gromadzenie danych dotyczy pozyskiwania względnie dużego wolumenu informacji lub danych gromadzonych w wyniku rozpoznania radioelektronicznego w sytuacji, gdy Wspólnota Wywiadowcza nie może stosować identyfikatora związanego z namierzaną osobą (np. adresu e-mail lub numeru telefonu celu), by skupić gromadzenie danych na konkretnych celach. Nie oznacza to jednak, że tego rodzaju gromadzenie danych jest „masowe” lub „bezkrytyczne”. PPD-28 nakłada także wymóg, zgodnie z którym „[d]ziałania w ramach rozpoznania radioelektronicznego muszą być dostosowane do danych potrzeb”. W celu wypełnienia tego wymogu Wspólnota Wywiadowcza podejmuje działania mające zagwarantować, że nawet gdy nie możemy zastosować konkretnych identyfikatorów, by skupić gromadzenie danych na konkretnych celach, dane, które mają zostać zgromadzone, prawdopodobnie będą zawierać dane wywiadowcze, które będą odpowiadać wymogom sformułowanym przez decydentów w Stanach Zjednoczonych zgodnie z procesem, który objaśniłem w moim poprzednim piśmie; Wspólnota Wywiadowcza minimalizuje także ilość nieistotnych informacji, które są gromadzone.

Przykładowo, Wspólnota Wywiadowcza może zostać poproszona o pozyskanie danych w wyniku rozpoznania radioelektronicznego o działaniach grupy terrorystycznej aktywnej w regionie jednego z państw na Bliskim Wschodzie, która przypuszczalnie szykuje ataki przeciwko państwom w Europie Zachodniej, lecz Wspólnota Wywiadowcza może nie znać imion i nazwisk, numerów telefonów, adresów e-mail lub innych konkretnych identyfikatorów osób fizycznych związanych z taką grupą terrorystyczną. Możemy skoncentrować się na takiej grupie poprzez gromadzenie komunikatów przekazywanych z i do takiego regionu na potrzeby dalszego badania i analizy, by zidentyfikować takie komunikaty dotyczące danej grupy. W ten sposób Wspólnota Wywiadowcza dążyłaby do tego, by możliwie jak najbardziej zawęzić gromadzenie danych. Takie gromadzenie danych byłoby uznane za „hurtowe”, gdyż wykorzystanie wyróżników nie jest wykonalne, lecz takie gromadzenie danych nie ma charakteru „masowego” ani „bezkrytycznego”; raczej jest skoncentrowane na celu w możliwie największy sposób.

Stąd nawet jeśli ukierunkowanie gromadzenia danych poprzez wykorzystanie konkretnych selektorów nie jest możliwe, Stany Zjednoczone nie gromadzą wszystkich komunikatów ze wszystkich narzędzi komunikacyjnych w każdym miejscu na świecie, lecz stosują filtry i inne narzędzia techniczne, by skoncentrować gromadzenie danych na takich narzędziach, które mogą zawierać komunikaty o wartości wywiadowczej. W ten sposób działania Stanów Zjednoczonych w zakresie rozpoznania radioelektronicznego dotyczą jedynie ułamka komunikacji odbywającej się za pośrednictwem internetu.

Ponadto, jak zauważyłem w moim poprzednim piśmie, ponieważ „hurtowe” gromadzenie danych wiąże się z większym ryzykiem gromadzenia nieistotnych komunikatów, PPD-28 ogranicza możliwości korzystania przez Wspólnotę Wywiadowczą z danych gromadzonych masowo w wyniku rozpoznania radioelektronicznego do sześciu konkretnych celów. PPD-28 i polityki agencji wdrażające PPD-28 również nakładają ograniczenia dotyczące zatrzymywania i rozpowszechniania danych osobowych pozyskanych w wyniku rozpoznania radioelektronicznego, niezależnie od tego, czy takie informacje zostały zgromadzone w hurtowy czy w ukierunkowany sposób, a także niezależnie od obywatelstwa danej osoby fizycznej.

„Hurtowe” gromadzenie danych przez Wspólnotę Wywiadowczą nie jest zatem „masowe” ani „bezkrytyczne”, lecz wiąże się ze stosowaniem metod i narzędzi służących do filtrowania gromadzonych danych, tak by skoncentrować gromadzenie danych na materiale, który będzie odpowiadał wymogom wywiadu sformułowanym przez decydentów, jednocześnie minimalizując gromadzenie nieistotnych danych, i opiera się na rygorystycznych przepisach chroniących nieistotne informacje, które można pozyskać. Polityki i procedury opisane w niniejszym piśmie mają zastosowanie do wszystkich danych gromadzonych hurtowo w wyniku rozpoznania radioelektronicznego, w tym wszelkich gromadzonych hurtowo komunikatów przekazywanych z i do Europy, bez potwierdzenia ani zaprzeczenia, że takie gromadzenie danych ma miejsce.

Zwrócili się Państwo również o dodatkowe informacje na temat Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi („PCLOB”) i generalnych inspektorów, i ich organów. PCLOB jest niezależną agencją w strukturze władzy wykonawczej. Członków pięcioosobowej Rady reprezentującej obie partie mianuje Prezydent i zatwierdza Senat (50). Każdy członek Rady powoływany jest na sześcioletnią kadencję. Członkowie Rady i jej personel uzyskują stosowne poświadczenia bezpieczeństwa, tak by mogli wywiązywać się ze wszystkich swoich ustawowych zadań i obowiązków (51).

Zadaniem PCLOB jest zapewnienie, by działania rządu federalnego mające zapobiegać terroryzmowi w sposób wyważony uwzględniały potrzebę ochrony prywatności i wolności obywatelskich. Rada pełni dwie zasadnicze funkcje: nadzorczą i doradczą. PCLOB sama określa swój program i ustala, jakie działania związane z nadzorem lub doradztwem chce realizować.

Jeśli chodzi o funkcję nadzorczą, PCLOB dokonuje przeglądu i analizy działań, jakie władza wykonawcza podejmuje w celu ochrony swojego społeczeństwa przed terroryzmem, i zapewnia, by potrzeba takich działań w sposób wyważony uwzględniała potrzebę ochrony prywatności i wolności obywatelskich (52). W swoim ostatnim zakończonym przeglądzie nadzoru PCLOB skoncentrowała się na programach kontroli realizowanych zgodnie z sekcją 702 FISA (53). Obecnie prowadzi przegląd działań wywiadowczych realizowanych na podstawie dekretu 12333 (54).

Jeśli chodzi o funkcję doradczą, PCLOB zapewnia, by kwestie dotyczące wolności były odpowiednio uwzględniane w trakcie opracowywania i wdrażania przepisów, regulacji i polityk związanych z działaniami na rzecz ochrony społeczeństwa przed terroryzmem (55).

Aby zrealizować swoje zadania, Rada ma przyznane ustawowo prawo dostępu do wszystkich odnośnych rejestrów, sprawozdań, audytów, przeglądów, dokumentów, opracowań, zaleceń i wszelkich innych odnośnych materiałów agencji, uwzględniając informacje niejawne, zgodnie z prawem (56). Ponadto Rada może prowadzić przesłuchania, pobierać oświadczenia lub zeznania publiczne od wszystkich urzędników lub pracowników władzy wykonawczej (57). Rada może także wystąpić na piśmie, by prokurator generalny, w jej imieniu, wydał wezwania zmuszające strony poza strukturą władzy wykonawczej do przekazania istotnych informacji (58).

Wreszcie PCLOB musi przestrzegać ustawowych wymogów w zakresie przejrzystości publicznej. Oznacza to m.in. informowanie opinii publicznej o swoich działaniach poprzez organizowanie posiedzeń jawnych i publiczne udostępnianie swoich sprawozdań, w możliwie jak największym zakresie zgodnie z ochroną informacji niejawnych (59). Ponadto PCLOB jest zobowiązana zgłaszać przypadki, gdy agencja władzy wykonawczej odmówi stosowania się do jej rad.

Generalni inspektorzy we Wspólnocie Wywiadowczej prowadzą audyty, kontrole i przeglądy programów i działań we Wspólnocie Wywiadowczej, by rozpoznać i usunąć zagrożenia systemowe, luki w zabezpieczeniach i niedociągnięcia. Ponadto generalni inspektorzy prowadzą dochodzenia w sprawie skarg lub informacji o zarzutach łamania prawa, przepisów lub regulacji bądź o niewłaściwym zarządzaniu; rażącym marnotrawstwie funduszy; nadużywaniu władzy lub znaczącym i szczególnym zagrożeniu dla zdrowia i bezpieczeństwa publicznego w programach i działaniach Wspólnoty Wywiadowczej. Niezależność generalnych inspektorów stanowi bardzo ważny element obiektywizmu i integralności wszystkich sprawozdań, ustaleń i zaleceń, wydawanych przez inspektorów generalnych. Niektóre z najważniejszych elementów dla zachowania niezależności generalnych inspektorów obejmują proces ich mianowania i usuwania; odrębne organy operacyjne, budżetowe i kadrowe; oraz wymogi dotyczące podwójnej sprawozdawczości względem kierowników agencji władzy wykonawczej i Kongresu.

Kongres ustanowił niezależny urząd generalnego inspektora w każdej agencji władzy wykonawczej, w tym w każdej jednostce Wspólnoty Wywiadowczej (60). Wraz z uchwaleniem ustawy o zatwierdzeniu działań wywiadowczych na rok budżetowy 2015 prawie wszyscy generalni inspektorzy pełniący nadzór nad jednostką Wspólnoty Wywiadowczej są mianowani przez Prezydenta i zatwierdzani przez Senat, w tym Departament Sprawiedliwości USA, Centralną Agencję Wywiadowczą, Agencję Bezpieczeństwa Narodowego i Wspólnotę Wywiadowczą (61). Ponadto tacy generalni inspektorzy są bezstronnymi urzędnikami zatrudnianymi na stałe i mogą zostać usunięci z urzędu tylko przez Prezydenta. Wprawdzie Konstytucja Stanów Zjednoczonych wymaga, by Prezydent był uprawniony do usuwania generalnych inspektorów, z uprawnienia tego rzadko korzysta; Prezydent ma obowiązek przedstawić Kongresowi pisemne uzasadnienie w terminie 30 dni przed usunięciem generalnego inspektora (62). Taki proces mianowania generalnych inspektorów gwarantuje, że urzędnicy władzy wykonawczej nie wywierają nadmiernego wpływu w procesie wyboru, mianowania lub usuwania generalnych inspektorów.

Po drugie, generalni inspektorzy posiadają istotne uprawnienia ustawowe do prowadzenia audytów, dochodzeń i przeglądów programów i operacji władzy wykonawczej. Poza dochodzeniami i przeglądami z zakresu nadzoru wymaganymi w świetle prawa generalni inspektorzy dysponują dużą swobodą uznania co do sprawowania nadzoru w zakresie dokonywania przeglądów wybranych przez siebie programów i działań (63). W trakcie sprawowania takiego nadzoru prawo zapewnia, by generalni inspektorzy posiadali niezależne zasoby w celu wykonywania swoich obowiązków, w tym by byli upoważnieni do zatrudniania własnego personelu i osobnego dokumentowania swoich wniosków budżetowych składanych w Kongresie (64). Prawo zapewnia, by generalni inspektorzy mieli dostęp do informacji niezbędnych do pełnienia swoich obowiązków. Obejmuje to uprawnienie do bezpośredniego dostępu do wszystkich rejestrów i informacji agencji wyszczególniających programy i operacje agencji niezależnie od klasyfikacji; upoważnienie do wezwania do przekazania informacji i dokumentów; oraz upoważnienie do przyjmowania przysiąg (65). W ograniczonych przypadkach kierownik agencji władzy wykonawczej może zabronić wykonywania działań przez generalnego inspektora, jeżeli na przykład audyt lub dochodzenie prowadzone przez generalnego inspektora istotnie zakłóciłyby interesy bezpieczeństwa narodowego Stanów Zjednoczonych. Kierownik korzysta z takiego uprawnienia niezwykle rzadko i – podobnie jak Prezydent w przykładzie podanym powyżej – ma obowiązek przedstawić Kongresowi uzasadnienie zamiaru skorzystania z takiego uprawnienia w terminie 30 dni (66). Dyrektor Krajowych Służb Wywiadowczych nigdy nie skorzystał z takiego uprawnienia w odniesieniu do jakichkolwiek działań generalnych inspektorów.

Po trzecie, generalni inspektorzy mają za zadanie na bieżąco składać kierownikom agencji władzy wykonawczej i Kongresowi wyczerpujące sprawozdania na temat oszustw i innych poważnych problemów, nadużyć i niedociągnięć dotyczących programów i działań władzy wykonawczej (67). Podwójna sprawozdawczość wzmacnia niezależność generalnych inspektorów, gdyż zapewnia przejrzystość procesu nadzoru sprawowanego przez generalnych inspektorów i daje kierownikom agencji możliwość wykonania zaleceń generalnych inspektorów, zanim Kongres podejmie działania ustawodawcze. Dla przykładu, generalni inspektorzy są zobowiązani w świetle prawa do sporządzania półrocznych sprawozdań opisujących takie problemy i podjęte dotychczas działania naprawcze (68). Agencje władzy wykonawczej poważnie traktują ustalenia i zalecenia generalnych inspektorów, a ci ostatni mogą często zawrzeć fakt przyjęcia i wykonania przez agencje zaleceń inspektorów generalnych w takich i innych sprawozdaniach przedstawianych Kongresowi, a w niektórych przypadkach podawanych do wiadomości publicznej (69). Poza podwójną sprawozdawczością generalni inspektorzy odpowiadają również za kierowanie osób we władzy wykonawczej zgłaszających przypadki naruszenia (ang. whistleblowers) do stosownych komisji nadzorczych Kongresu, by ujawniły rzekome oszustwa, przypadki marnotrawstwa lub nadużyć w programach i działaniach władzy wykonawczej. Tożsamość takich osób jest chroniona przed ujawnieniem władzy wykonawczej, która chroni osoby zgłaszające przypadki naruszenia przed ewentualnymi zakazanymi decyzjami personalnymi lub postępowaniami sprawdzającymi, podejmowanymi w odwecie za dokonanie zgłoszenia do generalnego inspektora (70). Ponieważ osoby zgłaszające przypadki naruszenia są często źródłem informacji w dochodzeniach prowadzonych przez generalnych inspektorów, możliwość zgłaszania ich obaw Kongresowi bez wywierania przez władzę wykonawczą wpływu zwiększa skuteczność nadzoru sprawowanego przez generalnych inspektorów. Z uwagi na taką niezależność generalni inspektorzy mogą promować gospodarność, wydajność i odpowiedzialność w agencjach władzy wykonawczej, zachowując obiektywizm i integralność.

Wreszcie Kongres ustanowił Radę generalnych inspektorów ds. integralności i wydajności. Rada zajmuje się m.in. opracowywaniem standardów generalnych inspektorów do celów audytów, dochodzeń i przeglądów; promuje szkolenia; i jest upoważniona do prowadzenia dochodzeń w sprawie zarzutów dotyczących wykroczeń popełnionych przez generalnych inspektorów, co służy temu, by dokładnie przyglądać się generalnym inspektorom, którym powierzono zadanie obserwowania wszystkich pozostałych (71).

Mam nadzieję, że udzielone przeze mnie informacje okażą się pomocne.

(1)  Więcej informacji na temat działań wywiadowczych Stanów Zjednoczonych można znaleźć w internecie i są one ogólnodostępne za pośrednictwem serwisu Wspólnoty Wywiadowczej „IC on the Record” (www.icontherecord.tumblr.com), ogólnodostępnej strony internetowej Urzędu Dyrektora Krajowych Służb Wywiadowczych poświęconej zwiększaniu publicznej widoczności działań wywiadowczych rządu.

(2)  Dostępne pod adresem https://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities.

(3)  Organy egzekwowania prawa lub agencje regulacyjne mogą wystąpić do korporacji o przekazanie danych do celów dochodzeniowych w Stanach Zjednoczonych zgodnie z innymi aktami stanowiącymi podstawę prawną na gruncie przepisów prawa karnego, z zakresu administracji cywilnej i przepisów regulacyjnych, które wykraczają poza zakres niniejszego dokumentu ograniczającego się do aktów stanowiących podstawę prawną na gruncie przepisów z zakresu bezpieczeństwa narodowego.

(4)  Dostępny na stronie www.icontherecord.tumblr.com/ppd-28/2015/privacy-civil-liberties#ppd-28. Procedury te służą wdrożeniu ukierunkowanych i dostosowanych do indywidualnych potrzeb rozwiązań omówionych w niniejszym piśmie, w sposób właściwy dla każdej jednostki Wspólnoty Wywiadowczej.

(5)  Jako przykład można podać procedury Agencji Bezpieczeństwa Narodowego służące wdrożeniu dyrektywy politycznej Prezydenta nr 28, zgodnie z którymi „[z]awsze, gdy jest to możliwe, gromadzenie danych odbywa się przy zastosowaniu co najmniej jednego terminu umożliwiającego selekcję, aby gromadzenie danych mogło skupiać się na konkretnych celach związanych z wywiadem zagranicznym (np. określonych znanych międzynarodowych terrorystach lub grupach terrorystycznych) lub określonych zagadnieniach związanych z wywiadem zagranicznym (np. rozprzestrzenianiu broni masowego rażenia przez zagraniczne siły lub ich przedstawicieli)”.

(6)  Dostępny pod adresem: http://www.dni.gov/files/documents/1017/PPD-28_Status_Report_Oct_2014.pdf.

(7)  Dostępny pod adresem: http://www.dni.gov/files/documents/ICD/ICD%20204%20National%20Intelligence%20Priorities%20Framework.pdf.

(8)  Dyrektywa skierowana do Wspólnoty Wywiadowczej (ICD) 203, dostępna pod adresem http://www.dni.gov/files/documents/ICD/ICD%20203%20Analytic%20Standards.pdf.

(9)  Zob. np. sprawozdanie Departamentu Sprawiedliwości Stanów Zjednoczonych Inspektora Generalnego „Kontrola działań Federalnego Biura Śledczego zgodnie z sekcją 702 ustawy o kontroli wywiadu z 2008 r.” (wrzesień 2012), dokument dostępny pod adresem https://oig.justice.gov/reports/2016/o1601a.pdf.

(10)  Zob. www.dni.gov/clpo.

(11)  Tytuł 50 § 1881a.

(12)  Stany Zjednoczone mogą również uzyskać, zgodnie z innymi przepisami ustawy o kontroli wywiadu nakazy sądowe w sprawie tworzenia danych, w tym danych przekazywanych zgodnie z Tarczą Prywatności. Zob. tytuł 50 § 1801 i nast. U.S.C. Zgodnie z tytułem I i III ustawy o kontroli wywiadu, które zezwalają odpowiednio na obserwację elektroniczną oraz przeszukania, wymagany jest nakaz sądowy (poza nagłymi przypadkami); zawsze należy określić również prawdopodobną przyczynę podejrzeń, że dana osoba działa na korzyść innego kraju lub jest jego agentem. Tytuł IV ustawy o kontroli wywiadu zezwala na stosowanie urządzeń rejestrujących wybierane numery (ang. pen register) oraz urządzeń śledzących (ang. trap and trace) na mocy nakazu sądowego (poza nagłymi przypadkami) w autoryzowanych dochodzeniach służb wywiadowczych i dochodzeniach związanych z kontrwywiadem lub walką z terroryzmem. Tytuł V ustawy o kontroli wywiadu zezwala, na mocy nakazu sądowego (poza nagłymi przypadkami), na uzyskanie rejestrów handlowych istotnych dla autoryzowanych dochodzeń służb wywiadowczych oraz dochodzeń związanych z kontrwywiadem lub walką z terroryzmem. Jak omówiono poniżej, w amerykańskiej ustawie o wolności wyraźnie zakazuje się stosowania nakazów rejestrowania wybieranych numerów lub nakazów w sprawie uzyskania dokumentacji przedsiębiorstwa przewidzianych w ustawie o kontroli wywiadu dla celów hurtowego gromadzenia danych i nakłada się wymóg „konkretnych terminów umożliwiających selekcję”, aby zapewnić wykorzystywanie środków w ukierunkowany sposób.

(13)  Przygotowane przez Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi „Sprawozdanie z programu kontroli funkcjonującego zgodnie z art. 702 ustawy o kontroli wywiadu” (z 2 lipca 2014 r.) („sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi”).

(14)  Zob. Zbiór Ustaw Prawa Publicznego, Pub. L. No. 110-261, 122 Stat. 2436 (2008).

(15)  Zob. tytuł 50 § 1881a lit. a) i b) U.S.C.

(16)  Zob. tamże § 1801 lit. e).

(17)  Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, s. 99.

(18)  Zob. tytuł 50 § 1881a lit. d) i e) U.S.C.

(19)  Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, s. 111.

(20)  Tamże.

(21)  Tamże s. 8; tytuł 50 § 1881a lit. l); zob. także sprawozdanie Dyrektora ds. Wolności Obywatelskich i Prywatności Agencji Bezpieczeństwa Narodowego, „Wykonanie przepisów sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego” (zwane dalej „sprawozdaniem Agencji Bezpieczeństwa Narodowego”) s. 4, dokument dostępny pod adresem: http://icontherecord.tumblr.com/ppd-28/2015/privacy-civil-liberties.

(22)  Sprawozdanie na temat przejrzystości Dyrektora Krajowych Służb Wywiadowczych z 2014 r. dostępne pod adresem: http://icontherecord.tumblr.com/transparency/odni_transparencyreport_cy2014.

(23)  Procedury minimalizacji dostępne pod adresem: http://www.dni.gov/files/documents/ppd-28/2014%20NSA%20702%20Minimization%20Procedures.pdf („NSA Minimization Procedures”); http://www.dni.gov/files/documents/ppd-28/2014%20FBI%20702%20Minimization%20Procedures.pdf; i http://www.dni.gov/files/documents/ppd-28/2014%20CIA%20702%20Minimization%20Procedures.pdf.

(24)  Zob. sprawozdanie Agencji Bezpieczeństwa Narodowego, s. 4.

(25)  Zob. np. procedury minimalizacji Agencji Bezpieczeństwa Narodowego, s. 6.

(26)  Procedury Agencji Wywiadowczej określone w dyrektywie politycznej Prezydenta nr 28 dostępne pod adresem: http://icontherecord.tumblr.com/ppd-28/2015/privacy-civil-liberties.

(27)  Zob. procedury minimalizacji Agencji Bezpieczeństwa Narodowego; sekcja 4 dyrektywy politycznej Prezydenta nr 28.

(28)  Zob. tytuł 50 § 1881 lit. l) U.S.C.; zob. także sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, s. 66–76.

(29)  Zob. półroczna ocena zgodności z procedurami i wytycznymi w oparciu o sekcję 702 ustawy o kontroli wywiadu złożona przez Prokuratora Generalnego i Dyrektora Krajowych Służb Wywiadowczych s. 2–3, dokument dostępny pod adresem: http://www.dni.gov/files/documents/Semiannual%20Assessment%20of%20Compliance%20with%20procedures%20and%20guidelines%20issued%20pursuant%20to%20Sect%20702%20of%20FISA.pdf

(30)  Reguła nr 13 regulaminu Sądu ds. Nadzoru nad Wywiadem Zagranicznym; dokument dostępny pod adresem: http://www.fisc.uscourts.gov/sites/default/files/FISC%20Rules%20of%20Procedure.pdf

(31)  Pismo od Pana Reggiego B. Waltona do Pana Patricka J. Leahy'ego z dnia 29 lipca 2013 r.; dokument dostępne pod adresem: http://fas.org/irp/news/2013/07/fisc-leahy.pdf

(32)  Zob. sekcja 401 amerykańskiej ustawy o wolności, Zbiór Ustaw Prawa Publicznego nr 114-23.

(33)  Zob. tytuł 50 § 1881f U.S.C.

(34)  Zob. tamże § 1881a lit. l) ppkt 1.

(35)  Zob. tamże § 1881a lit. l) ppkt 3. Niektóre z tych sprawozdań zostały utajnione.

(36)  Mem. opinia i zarządzenie, s. 26 (FISC 2014); dokument dostępny pod adresem: http://www.dni.gov/files/documents/0928/FISC%20Memorandum%20Opinion%20and%20Order%2026%20August%202014.pdf

(37)  Amerykańska ustawa o wolności z 2015 r., Pub. L. nr 114–23, § 401, 129 Stat. 268.

(38)  Zob. tamże §§ 103, 201, 501. Wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego są zatwierdzone na mocy różnych ustaw i umożliwiają FBI uzyskanie informacji zawartych w sprawozdaniach kredytowych, dokumentacji finansowej i dokumentacji abonenta elektronicznego i dokumentacji dotyczącej transakcji od niektórych rodzajów przedsiębiorstw, wyłącznie w celu ochrony przed terroryzmem międzynarodowym lub tajnymi działaniami wywiadowczymi. Zob. tytuł 12 § 3414 U.S.C.; tytuł 15 §§ 1681u-1681v U.S.C.; Tytuł 18 § 2709 U.S.C. FBI korzysta zwykle z wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego w celu gromadzenia krytycznych informacji nieobejmujących treści na wczesnych etapach walki z terroryzmem i dochodzeń kontrwywiadu – takich jak informacje na temat tożsamości abonenta rachunku, który mógł komunikować się z przedstawicielami grupy terrorystycznej, np. ISIL. Odbiorcy wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego mają prawo zakwestionować je przed sądem. Zob. tytuł 18 § 3511 U.S.C.

(39)  Zob. tamże.

(40)  Zob. tamże, w § 401.

(41)  Zob. tamże, w § 602.

(42)  Zob. tamże.

(43)  Zob. tamże, w § 603.

(44)  Zob. tamże §§ 502 lit.f) – 503.

(45)  Dostępny pod adresem: http://www.dni.gov/index.php/intelligence-community/intelligence-transparency-principles.

(46)  Dokument dostępny pod adresem: http://www.dni.gov/files/documents/Newsroom/Reports%20and%20Pubs/Principles%20of%20Intelligence%20Transparency%20Implementation%20Plan.pdf.

(47)  Zob. tamże.

(48)  Dokument dostępny pod adresem: https://www.nsa.gov/civil_liberties/_files/nsa_report_on_section_702_program.pdf; https://www.nsa.gov/civil_liberties/_files/UFA_Civil_Liberties_and_Privacy_Report.pdf; https://www.nsa.gov/civil_liberties/_files/UFA_Civil_Liberties_and_Privacy_Report.pdf.

(49)  Zob. np. wyrok w sprawie New York Times przeciwko Departamentowi Sprawiedliwości, 756 F.3d 100 (2d Cir. 2014) i wyrok w sprawie Amerykańska Unia Wolności Obywatelskich przeciwko CIA, 710 F.3d 422 (D.C. Cir. 2014).

(50)  Tytuł 42 § 2000ee lit. a) i h) U.S.C.

(51)  Tytuł 42 § 2000ee lit. k) U.S.C.

(52)  Tytuł 42 § 2000ee lit. d) ppkt 2 U.S.C.

(53)  Zob. pod kątem ogólnym https://www.pclob.gov/library.html#oversightreports.

(54)  Zob. pod kątem ogólnym https://www.pclob.gov/events/2015/may13.html.

(55)  Tytuł 42 § 2000ee lit. d) ppkt 1 U.S.C; Zob. także PCLOB Advisory Function Policy and Procedure, Policy 2015-004 [Polityka i procedura dotycząca funkcji doradczej PCLOB, Polityka na lata 2015-004], dostępne na stronie https://www.pclob.gov/library/Policy-Advisory_Function_Policy_Procedure.pdf.

(56)  Tytuł 42 § 2000ee lit. g) ppkt 1 pkt A U.S.C.

(57)  Tytuł 42 § 2000ee lit. g) ppkt 1 pkt B U.S.C.

(58)  Tytuł 42 § 2000ee lit. g) ppkt 1 pkt D U.S.C.

(59)  Tytuł 42 § 2000ee lit. f) U.S.C.

(60)  Sekcje 2 i 4 ustawy o generalnym inspektorze z 1978 r. wraz z późniejszymi zmianami; sekcja 103H(b) i (e) ustawy o bezpieczeństwie narodowym z 1947 r. wraz z późniejszymi zmianami.; sekcja 17(a) ustawy o Centralnej Agencji Wywiadowczej (zwanej dalej „ustawą o CIA”).

(61)  Zob. Zbiór Ustaw Prawa Publicznego, Pub. L. No. 113-293, 128 Stat. 3990, (19 grudnia 2014 r.). Tylko generalni inspektorzy w Agencji Wywiadu Wojskowego i Państwowej Agencji ds. Wywiadu Geoprzestrzennego nie są mianowani przez Prezydenta; jednakże generalni inspektorzy w Departamencie Obrony Stanów Zjednoczonych i Wspólnocie Wywiadowczej równolegle sprawują właściwość nad tymi agencjami.

(62)  Sekcja 3 ustawy o generalnym inspektorze z 1978 r. wraz z późniejszymi zmianami; sekcja 103H(c) ustawy o bezpieczeństwie narodowym; i sekcja 17(b) ustawy o CIA.

(63)  Zob. sekcje 4(a) i 6(a)(2) ustawy o generalnym inspektorze z 1947 r.; sekcja 103H(e) i (g)(2)(A) ustawy o bezpieczeństwie narodowym; sekcja 17(a) i (c) ustawy o CIA.

(64)  Sekcje 3(d), 6(a)(7) i 6(f) ustawy o generalnym inspektorze; sekcje 103H(d), (i), (j) i (m) ustawy o bezpieczeństwie narodowym; sekcje 17(e)(7) i (f) ustawy o CIA.

(65)  Sekcja 6(a)(1), (3), (4), (5) i (6) ustawy o generalnym inspektorze; sekcje 103H(g)(2) ustawy o bezpieczeństwie narodowym; sekcja 17(e)(1), (2), (4) i (5) ustawy o CIA.

(66)  Zob. np. sekcje 8(b) i 8E(a) ustawy o generalnym inspektorze; sekcja 103H(f) ustawy o bezpieczeństwie narodowym; sekcja 17(b) ustawy o CIA.

(67)  Sekcja 4(e)(5) ustawy o CIA; sekcja 103H(a)(b)(3) i (4) ustawy o bezpieczeństwie narodowym; sekcja 17(a)(2) i (4) ustawy o CIA.

(68)  Sekcja 2(3), 4(a) i 5 ustawy o generalnym inspektorze; sekcja 103H(k) ustawy o bezpieczeństwie narodowym; sekcja 17(d) ustawy o CIA. Generalny inspektor w Departamencie Sprawiedliwości USA udostępnia swoje sprawozdania podawane do wiadomości publicznej na stronie http://oig.justice.gov/reports/all.htm. Podobnie generalny inspektor dla Wspólnoty Wywiadowczej udostępnia swoje półroczne sprawozdania pod adresem: https://www.dni.gov/index.php/intelligence-community/ic-policies-reports/records-requested-under-foia#icig.

(69)  Sekcja 2(3), 4(a) i 5 ustawy o generalnym inspektorze; sekcja 103H(k) ustawy o bezpieczeństwie narodowym; sekcja 17(d) ustawy o CIA. Generalny inspektor w Departamencie Sprawiedliwości USA udostępnia swoje sprawozdania podawane do wiadomości publicznej na stronie http://oig.justice.gov/reports/all.htm. Podobnie generalny inspektor dla Wspólnoty Wywiadowczej udostępnia swoje półroczne sprawozdania pod adresem: https://www.dni.gov/index.php/intelligence-community/ic-policies-reports/records-requested-under-foia#icig.

(70)  Sekcja 7 ustawy o generalnym inspektorze; sekcja 103H(g)(3) ustawy o bezpieczeństwie narodowym; sekcja 17(e)(3) ustawy o CIA.

(71)  Sekcja 11 ustawy o generalnym inspektorze.

ZAŁĄCZNIK VII

Dnia 19 lutego 2016 r.

Szanowni Państwo!

W niniejszym piśmie przedstawiono krótki opis głównych narzędzi dochodzeniowych wykorzystywanych w celu pozyskania danych handlowych i innych informacji przechowywanych w rejestrach prowadzonych przez korporacje w Stanach Zjednoczonych w celach związanych ze ściganiem w sprawach karnych lub w celach leżących w interesie publicznym (na potrzeby organów administracji cywilnej lub regulacyjnych), uwzględniając ograniczenia dostępu przyjęte w aktach stanowiących podstawę prawną (1). Omawiane pisma sądowe nie mają dyskryminacyjnego charakteru, ponieważ służą do pozyskiwania informacji od korporacji w Stanach Zjednoczonych, w tym od spółek, które dokonały samocertyfikacji w ramach Tarczy Prywatności UE-USA, niezależnie od narodowości osoby, której dane dotyczą. Ponadto korporacje, które otrzymują pismo sądowe w Stanach Zjednoczonych, mogą je zaskarżyć w sądzie w opisany poniżej sposób (2).

Szczególne znaczenie w kontekście zatrzymywania danych przez organy publiczne ma czwarta poprawka do konstytucji Stanów Zjednoczonych, która stanowi, że „[p]rawa ludu do nietykalności osobistej, mieszkania, dokumentów i mienia nie wolno naruszać przez bezzasadne przeszukania i zatrzymanie; nakaz w tym przedmiocie można wystawić tylko wówczas, gdy zachodzi wiarygodna przyczyna potwierdzona przysięgą lub zastępującym ją oświadczeniem. Miejsce podlegające przeszukaniu oraz osoby i rzeczy podlegające zatrzymaniu powinny być w nakazie szczegółowo określone”. Czwarta poprawka do konstytucji Stanów Zjednoczonych. Zgodnie z treścią wyroku wydanego przez Sąd Najwyższy Stanów Zjednoczonych w sprawie Berger przeciwko Stanowi Nowy Jork „[p]odstawowym celem przedmiotowej poprawki, który został potwierdzony w niezliczonych orzeczeniach tego Sądu, jest zapewnienie osobom fizycznym prywatności oraz ochrony przed bezpodstawnymi próbami jej naruszenia przez urzędników państwowych”. 388 U.S. 41, 53 (1967) (przytoczono treść wyroku w sprawie Camara przeciwko sądowi miejskiemu w San Francisco, 387 U.S. 523, 528 (1967)). Zgodnie z treścią czwartej poprawki funkcjonariusze w dochodzeniach krajowych są zasadniczo zobowiązani do uzyskania nakazu wydanego przez sąd przed przeprowadzeniem przeszukania. Zob. wyrok w sprawie Katz przeciwko Stanom Zjednoczonym, 389 U.S. 347, 357 (1967). Jeżeli obowiązek uzyskania nakazu nie ma zastosowania w danym przypadku, działanie organów rządowych poddaje się testowi „zasadności” na podstawie czwartej poprawki. W związku z tym gwarancja, że rząd Stanów Zjednoczonych nie będzie posiadał nieograniczonych lub arbitralnych uprawnień w zakresie zatrzymywania prywatnych informacji, została ustanowiona w samej konstytucji.

Uprawnienia organów egzekwowania prawa w sprawach karnych:

Prokuratorzy federalni, którzy są urzędnikami Departamentu Sprawiedliwości, oraz federalni agenci śledczy, w tym agenci Federalnego Biura Śledczego (FBI), agencji egzekwowania prawa w ramach Departamentu Sprawiedliwości, mają prawo nakazać osobom prawnym w Stanach Zjednoczonych przedstawienie dokumentów lub innych informacji przechowywanych w rejestrach do celów dochodzeniowych w postępowaniu karnym za pośrednictwem różnego rodzaju obowiązkowych pism sądowych, takich jak wezwania do stawienia się przed wielką ławą przysięgłych, wezwania administracyjne oraz nakazy przeszukania, i mogą pozyskiwać innego rodzaju informacje na podstawie aktów stanowiących podstawę prawną na szczeblu federalnym do kontroli rozmów telefonicznych oraz instalowania urządzeń rejestrujących połączenia przychodzące na gruncie prawa karnego.

Wezwania do stawienia się przed wielką ławą przysięgłych lub na rozprawie wezwania do stawienia się przed ławą przysięgłych w sprawie karnej są wykorzystywane do wspierania ukierunkowanych dochodzeń prowadzonych przez organy egzekwowania prawa. Wezwanie do stawienia się przed wielką ławą przysięgłych to pismo urzędowe wydawane przez wielką ławę przysięgłych (zazwyczaj na wniosek prokuratora federalnego), którego celem jest zapewnienie wsparcia w ramach prowadzonego przez wielką ławę przysięgłych dochodzenia w sprawie określonego przypadku domniemanego naruszenia przepisów prawa karnego. Wielkie ławy przysięgłych to organ dochodzeniowy sądu, którego skład określa sędzia lub sędzia pokoju. W wezwaniu można zwrócić się do danej osoby o złożenie zeznań w postępowaniu, przedstawienie lub udostępnienie rejestrów związanych z prowadzoną działalnością, przekazanie informacji przechowywanych w formie elektronicznej lub dostarczenie innych przedmiotów materialnych. Informacje muszą mieć istotne znaczenie dla prowadzonego dochodzenia, a wezwanie nie może być nieuzasadnione z uwagi na jego zbyt szeroki zakres lub z uwagi na jego uciążliwy lub obciążający charakter. Odbiorca może sprzeciwić się wezwaniu, powołując się na przywołane powyżej przesłanki. Zob. zasada 17 federalnego kodeksu postępowania karnego. 17. W ściśle określonych okolicznościach wezwania dotyczące przedstawienia dokumentów mogą zostać wystosowane po rozpoznaniu danej sprawy przez wielką ławę przysięgłych.

Akty stanowiące podstawę prawną wezwań administracyjnych:: akty stanowiące podstawę prawną wezwań administracyjnych w postępowaniach karnych lub cywilnych. Jeżeli chodzi o sprawy karne, w szeregu ustaw federalnych dopuszcza się możliwość stosowania wezwań administracyjnych w celu pozyskania rejestrów dotyczących prowadzonej działalności, informacji przechowywanych w formie elektronicznej lub innych przedmiotów materialnych lub uzyskania dostępu do takich rejestrów, informacji lub przedmiotów w ramach postępowań w przedmiocie nadużyć w obszarze opieki zdrowotnej, znęcania się nad dziećmi, ochrony tajnych służb, spraw dotyczących substancji kontrolowanych i prowadzonych przez Inspektora Generalnego dochodzeń przeciwko agencjom rządowym. Jeżeli rząd postanowi wystąpić do sądu o zobowiązanie danego podmiotu do zastosowania się do treści wezwania administracyjnego, odbiorca wezwania – podobnie jak odbiorca wezwania do stawienia się przed wielką ławą przysięgłych – może stwierdzić, że wezwanie jest nieuzasadnione, ponieważ jego zakres jest zbyt szeroki lub ponieważ ma ono uciążliwy lub obciążający charakter.

Nakazy sądowe upoważniające do instalowania urządzeń rejestrujących wybierane numery oraz urządzeń śledzących: zgodnie z przepisami dotyczącymi instalowania urządzeń rejestrujących wybierane numery oraz urządzeń śledzących w sprawach karnych organy egzekwowania prawa mogą uzyskać nakaz sądowy przyznający im uprawnienia do rejestrowania w czasie rzeczywistym informacji billingowych, informacji o trasowaniu, informacji adresowych i informacji przekazywanych w ramach sygnalizacji telekomunikacyjnej dotyczących danego numeru telefonu lub adresu e-mail po upewnieniu się, że przekazywane informacje mają istotne znaczenie dla toczącego się dochodzenia. Zob. tytuł 18 § 3121-3127 U.S.C. Korzystanie z takich urządzeń lub ich instalowanie w sytuacji, w której nie jest to dopuszczalne zgodnie z obowiązującymi przepisami, stanowi przestępstwo federalne.

Ustawa o ochronie danych w łączności elektronicznej: w tytule II ustawy o ochronie danych w łączności elektronicznej przewidziano dodatkowe przepisy regulujące kwestie związane z dostępem rządu do informacji na temat abonentów, danych o ruchu oraz treści komunikatów przechowywanych przez przedsiębiorstwa telekomunikacyjne pełniące funkcję dostawców usług internetowych oraz innych dostawców usług internetowych będących osobami trzecimi, które określa się również mianem ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej, tytuł 18 § 2701–2712 U.S.C. W ustawie o przechowywanych danych przekazywanych za pomocą łączności elektronicznej ustanowiono system ustawowych praw do prywatności, który ogranicza dostęp organów egzekwowania prawa do danych dotyczących klientów i abonentów dostawców usług internetowych innych niż dane określone w prawie konstytucyjnym. W ustawie o przechowywanych danych przekazywanych za pomocą łączności elektronicznej przewidziano możliwość zwiększenia poziomu ochrony prywatności w zależności od inwazyjności metody gromadzenia danych. Aby uzyskać dostęp do danych zgromadzonych przy rejestracji abonentów, ich adresów IP, powiązanych z tymi adresami znaczników czasu oraz informacji billingowych, organy egzekwowania prawa w sprawach karnych muszą uzyskać stosowny nakaz. Aby uzyskać dostęp do większości innych przechowywanych informacji niedotyczących treści, takich jak nagłówki wiadomości e-mail bez tematu, organ egzekwowania prawa musi przedstawić sędziemu konkretne przesłanki faktyczne świadczące o tym, że żądane informacje mają istotne i zasadnicze znaczenie dla toczącego się dochodzenia. Aby uzyskać dostęp do treści komunikatów przekazywanych za pomocą łączności elektronicznej, organy egzekwowania prawa w sprawach karnych muszą zasadniczo uzyskać nakaz wydany przez sędziego na podstawie uzasadnionego podejrzenia, że dane konto użytkownika zawiera dowody popełnienia przestępstwa. W ustawie o przechowywanych danych przekazywanych za pomocą łączności elektronicznej przewidziano również możliwość pociągnięcia odpowiednich osób do odpowiedzialności cywilnej i karnej.

Sądowe nakazy objęcia danej osoby obserwacją wydawane zgodnie z przepisami federalnej ustawy o podsłuchach: ponadto organy egzekwowania prawa mogą przechwytywać w czasie rzeczywistym komunikaty przekazywane za pomocą łączności kablowej, ustnie lub za pomocą łączności elektronicznej do celów związanych z prowadzeniem dochodzeń w sprawach karnych zgodnie z przepisami federalnej ustawy o podsłuchach. Zob. tytuł 18 § 2510-2522 U.S.C. Z takiego aktu stanowiącego podstawę prawną można skorzystać wyłącznie po uzyskaniu nakazu sądowego, w którym sędzia stwierdzi m.in., że istnieje uzasadnione podejrzenie, iż informacje uzyskane dzięki zainstalowaniu podsłuchu lub zastosowaniu środków przechwytywania komunikatów przekazywanych drogą elektroniczną pozwoli uzyskać dowody popełnienia przestępstwa federalnego lub ustalić miejsce pobytu osoby ukrywającej się przed wymiarem sprawiedliwości. W ustawie przewidziano również możliwość pociągnięcia odpowiednich osób do odpowiedzialności cywilnej i karnej z tytułu naruszenia przepisów dotyczących podsłuchów.

Nakaz przeszukania – zasada 41: organy egzekwowania prawa mogą przeprowadzić fizyczne przeszukanie pomieszczeń na terytorium Stanów Zjednoczonych, jeżeli zostaną do tego upoważnione przez sędziego. Organy egzekwowania prawa muszą wykazać sędziemu, że istnieje „uzasadnione podejrzenie”, iż doszło do popełnienia przestępstwa lub że ma dojść do popełnienia przestępstwa, oraz że przedmioty związane z przestępstwem prawdopodobnie znajdują się w miejscu wskazanym w nakazie. Tego rodzaju akt stanowiący podstawę przeszukania często wykorzystuje się w przypadku, gdy fizyczne przeszukanie pomieszczeń przez policję jest konieczne z uwagi na ryzyko zniszczenia dowodów, jeżeli osobie prawnej zostanie dostarczone wezwanie do stawienia się lub inny nakaz przedstawienia danych. Zob. czwarta poprawka do konstytucji Stanów Zjednoczonych (omówiona bardziej szczegółowo powyżej), zasada 41 federalnego kodeksu postępowania karnego. Podmiot, w odniesieniu do którego wydano nakaz przeszukania, może wystąpić o jego uchylenie z uwagi na fakt, że ma on zbyt szeroki zakres, jest nadmiernie uciążliwy lub został uzyskany w nieprawidłowy sposób, a strony poszkodowane posiadające legitymację procesową mogą wystąpić o wyłączenie wszelkich dowodów uzyskanych w rezultacie bezprawnego przeszukania z postępowania. Zob. wyrok w sprawie Mapp przeciwko Ohio, 367 U.S. 643 (1961).

Wytyczne i strategie Departamentu Sprawiedliwości: niezależnie od wspomnianych konstytucyjnych, ustawowych i wynikających z zasad ograniczeń dostępu organów rządowych do danych Prokurator Generalny wydał wytyczne nakładające dodatkowe ograniczenia w obszarze dostępu organów egzekwowania prawa do danych – w wytycznych tych przewidziano również środki ochrony prywatności i wolności obywatelskich. Na przykład w wytycznych Prokuratora Generalnego w sprawie krajowych operacji Federalnego Biura Śledczego (FBI) (wrzesień 2008) (zwanych dalej wytycznymi Prokuratora Generalnego w sprawie FBI) dostępnych pod adresem http://www.justice.gov/archive/opa/docs/guidelines.pdf, ustanowiono ograniczenia w zakresie korzystania ze środków dochodzeniowych w celu gromadzenia informacji na potrzeby dochodzeń dotyczących przestępstw federalnych. Zgodne z treścią tych wytycznych FBI jest zobowiązane do stosowania możliwie jak najmniej inwazyjnych metod śledczych, biorąc pod uwagę ich wpływ na prywatność i wolności obywatelskie oraz potencjalne szkody wizerunkowe, jakie mogą wiązać się z ich stosowaniem. Ponadto w wytycznych podkreślono, że „oczywistym jest, że FBI musi prowadzić swoje dochodzenia i podejmować inne działania w zgodny z prawem i rozsądny sposób, tak aby zapewnić poszanowanie wolności obywatelskich i prywatności praworządnych jednostek i unikać zbędnych ingerencji w ich życie”. Zob. wytyczne Prokuratora Generalnego w sprawie FBI, s. 5. FBI wdrożyło te wytyczne w ramach poradnika dotyczącego prowadzenia dochodzeń i operacji na szczeblu krajowym (DIOG), dostępnego pod adresem https://vault.fbi.gov/FBI%20Domestic%20Investigations%20and%20Operations%20Guide%20(DIOG); dokument ten stanowi kompleksowy podręcznik zawierający szczegółowe informacje o ograniczeniach w zakresie korzystania z narzędzi dochodzeniowych oraz wskazówki służące zapewnieniu ochrony wolności obywatelskich i prywatności w każdym dochodzeniu. Dodatkowe zasady i strategie ograniczające działalność śledczą prokuratorów federalnych zostały ustanowione w podręczniku dla prokuratorów Stanów Zjednoczonych (USAM), który jest również dostępny pod adresem http://www.justice.gov/usam/united-states-attorneys-manual.

Organy administracji cywilnej lub regulacyjne (interes publiczny):

Ustanowiono również istotne ograniczenia w zakresie dostępu do danych posiadanych przez korporacje w Stanach Zjednoczonych przez organy administracji cywilnej lub regulacyjne (tj. ze względu na „interes publiczny”). Agencje o kompetencjach cywilnych i regulacyjnych mogą wezwać korporacje do przekazania dokumentacji dotyczącej prowadzonej działalności, informacji przechowywanych w formie elektronicznej lub innych przedmiotów materialnych. Możliwość korzystania przez tego rodzaju agencje z aktów stanowiących podstawę prawną dla wezwań administracyjnych lub wezwań do udziału w postępowaniu cywilnym jest ograniczona nie tylko postanowieniami ich statutów założycielskich, ale również faktem, że przed ewentualnym wyegzekwowaniem wezwania musi zostać ono poddane niezależnej kontroli sądowej. Zob. np. zasada 45 federalnego kodeksu postępowania cywilnego. Agencje mogą zwrócić się o udzielenie im dostępu wyłącznie do tych danych, które są istotne dla kwestii wchodzących w zakres przysługujących im uprawnień. Ponadto odbiorca wezwania administracyjnego może sprzeciwić się wezwaniu do sądu, przedstawiając dowody świadczące o tym, że agencja nie działała zgodnie z podstawowymi normami racjonalności, jak omówiono powyżej.

Przedsiębiorstwa mogą również podważyć zasadność składanych przez agencje administracyjne wniosków o udostępnienie danych w oparciu o inne podstawy prawne, w zależności od sektora, w którym prowadzą działalność, oraz od rodzaju danych znajdujących się w ich posiadaniu. Na przykład instytucje finansowe mogą zakwestionować zasadność wezwań administracyjnych do udostępnienia określonych rodzajów informacji, argumentując, że takie wezwania naruszają przepisy ustawy o tajemnicy bankowej i przepisów wykonawczych do tej ustawy. Zob. tytuł 31 § 5318 U.S.C., tytuł 31 część X C.F.R. Inne przedsiębiorstwa mogą powołać się na przepisy ustawy o rzetelnej sprawozdawczości kredytowej, zob. tytuł 15 § 1681b U.S.C., lub na szereg innych przepisów sektorowych. Nadużywanie przez agencję aktów stanowiących podstawę prawną do wydawania wezwań może skutkować pociągnięciem agencji do odpowiedzialności lub pociągnięciem urzędników agencji do odpowiedzialności osobistej. Zob. np. ustawa o prawie do prywatności w kwestiach finansowych, tytuł 12 § 3401–3422 U.S.C. Dlatego też sądy w Stanach Zjednoczonych zapewniają stosownym podmiotom ochronę przed nieprawidłowymi żądaniami organów regulacyjnych i sprawują niezależny nadzór nad działalnością agencji federalnych.

Ponadto wszelkie przysługujące organom administracyjnym uprawnienia ustawowe do fizycznego zajęcia rejestrów prowadzonych przez przedsiębiorstwo w Stanach Zjednoczonych w drodze przeszukania administracyjnego muszą być zgodne z wymogami czwartej poprawki. Zob. wyrok w sprawie See przeciwko miastu Seattle, 387 U.S. 541 (1967).

Wniosek

Wszystkie działania w obszarze egzekwowania prawa i wszystkie działania regulacyjne w Stanach Zjednoczonych muszą być prowadzone zgodnie z obowiązującym prawem, przy jednoczesnym uwzględnieniu postanowień konstytucji Stanów Zjednoczonych, ustaw, przepisów i regulacji. Takie działania muszą być również zgodnie z obowiązującymi strategiami oraz wytycznymi Prokuratora Generalnego dotyczącymi działań organów egzekwowania prawa na szczeblu federalnym. Opisane powyżej ramy prawne ograniczają zdolność amerykańskich organów egzekwowania prawa i agencji regulacyjnych do pozyskiwania informacji od korporacji w Stanach Zjednoczonych – niezależnie od tego, czy stosowne informacje dotyczą obywateli i rezydentów Stanów Zjednoczonych czy obywateli państw trzecich – oraz zapewniają możliwość poddawania kontroli sądowej wszelkich żądań udostępnienia danych wystosowywanych na podstawie aktów stanowiących podstawę prawną.

(1)  W niniejszym przeglądzie nie opisano narzędzi dochodzeniowych w obszarze bezpieczeństwa narodowego wykorzystywanych przez organy egzekwowania prawa w dochodzeniach dotyczących terroryzmu lub dochodzeniach dotyczących kwestii związanych z bezpieczeństwem narodowym, w tym wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego dotyczącego określonych informacji pochodzących ze sprawozdań kredytowych, dokumentacji finansowej, dokumentacji abonenta elektronicznego i dokumentacji dotyczącej transakcji – zob. tytuł 12 § 3414 U.S.C.; tytuł 15 § 1681u U.S.C.; tytuł 15 § 1681v U.S.C.; tytuł 18 § 2709 U.S.C. – a także informacji zgromadzonych w ramach obserwacji elektronicznej, nakazów przeszukania, dokumentacji dotyczącej prowadzonej działalności oraz innego rodzaju informacji zgromadzonych zgodnie z przepisami ustawy o kontroli wywiadu, zob. tytuł 50 § 1801 i nast. U.S.C.

(2)  W niniejszym piśmie omówiono federalne organy egzekwowania prawa i organy regulacyjne; w przypadkach naruszenia prawa stanowego dochodzenie prowadzą stany, a postępowanie sądowe toczy się w sądach stanowych. Organy egzekwowania prawa na szczeblu stanowym korzystają z nakazów i wezwań wystawianych zgodnie z prawem stanowym, stosując zasadniczo takie same procedury jak te opisane w niniejszym piśmie, przy czym stanowe pisma sądowe mogą być objęte gwarancjami przewidzianymi w konstytucjach stanowych, których zakres wykracza poza zakres gwarancji przewidzianych w konstytucji Stanów Zjednoczonych. Gwarancje przewidziane w prawie stanowym muszą być co najmniej równoważne środkom przewidzianym w konstytucji Stanów Zjednoczonych, poprzez uwzględnienie co najmniej postanowień czwartej poprawki.

ZAŁĄCZNIK

ROZDZIAŁ I

Definicje

Do celów niniejszego załącznika stosuje się definicje zawarte w rozporządzeniu Rady (WE) nr 1224/2009 (1), rozporządzeniu wykonawczym Komisji (UE) nr 404/2011 (2), rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 1380/2013 (3). Ponadto stosuje się następujące definicje:

1)    Statki aktywne : statki, które brały udział w dowolnych operacjach połowowych (przez co najmniej jeden dzień) w trakcie roku kalendarzowego. Statek, który nie brał udziału w operacjach połowowych w trakcie roku, uznaje się za nieaktywny.

2)    Gatunki anadromiczne : żywe zasoby wodne z cyklem życia rozpoczynającym się od wylęgu w wodach słodkich, po którym następuje migracja do wód słonych, powrót i tarło w wodach słodkich.

3)    Gatunki katadromiczne : żywe zasoby wodne z cyklem życia rozpoczynającym się od wylęgu w wodach słonych, po którym następuje migracja do wód słodkich, powrót i tarło w wodach słonych.

4)    Frakcja połowu : część całkowitego połowu, np. część wyładowanego połowu składająca się z ryb powyżej minimalnego rozmiaru odniesienia do celów ochrony, część wyładowanego połowu składająca się z ryb poniżej minimalnego rozmiaru odniesienia do celów ochrony, część odrzucona składająca się z ryb poniżej minimalnego rozmiaru odniesienia do celów ochrony, odrzuty de minimis lub odrzuty.

5)    Dni na morzu : dowolny nieprzerwany okres 24 godzin (lub jego część), podczas którego statek znajduje się w danym obszarze i pozostaje poza portem.

6)    Dni połowowe : każdy dzień kalendarzowy na morzu, w którym odbywa się operacja połowowa, bez uszczerbku dla międzynarodowych zobowiązań Unii i jej państw członkowskich. Jeden rejs połowowy może zostać zaliczony zarówno do sumy dni połowowych z wykorzystaniem narzędzi biernych, jak i sumy dni połowowych z wykorzystaniem narzędzi aktywnych w ramach tego rejsu.

7)    Łowisko : jednostka geograficzna (lub grupa takich jednostek), w obrębie której (których) prowadzone są połowy. Jednostki te muszą być ustalone na szczeblu regionów morskich na podstawie istniejących obszarów określonych przez regionalne organizacje ds. zarządzania rybołówstwem lub podmioty naukowe.

8)    Segment floty : grupa statków o tej samej klasie długości (długość całkowita) i dominujących narzędziach połowowych w trakcie roku.

9)    Metier : grupa operacji połowowych ukierunkowanych na podobne gatunki (skupiska gatunków), z wykorzystaniem podobnych narzędzi (4), w tym samym okresie roku lub na tym samym obszarze, charakteryzujących się podobnym wzorcem eksploatacji.

10)    Prowadzenie badań na morzu : rejsy wykonywane w celu monitorowania stad i stanu ekosystemów na statku badawczym lub statku przeznaczonym do badań naukowych, który został wyznaczony do tego zadania przez organ odpowiedzialny za realizację krajowego planu działania ustanowionego zgodnie z art. 21 rozporządzenia (UE) nr 508/2014.

ROZDZIAŁ II

Metody gromadzenia danych

Metody i jakość gromadzenia danych są odpowiednie do zamierzonych celów, określonych w art. 25 rozporządzenia (UE) nr 1380/2013, i są zgodne z najlepszymi praktykami oraz odpowiednimi metodykami zalecanymi przez właściwe instytucje naukowe. Metody i wynik ich zastosowania są badane w regularnych odstępach czasu przez niezależne organy naukowe w celu sprawdzenia ich stosowności w odniesieniu do zarządzania wspólną polityką rybołówstwa.

ROZDZIAŁ III

Wymogi dotyczące danych

1.   Zestawy danych

2.   Dane biologiczne na temat stad poławianych w ramach unijnych połowów przemysłowych na wodach Unii i poza wodami Unii oraz w ramach połowów rekreacyjnych na wodach Unii

Dane te obejmują:

3.   Dane służące do oceny wpływu unijnego rybołówstwa na ekosystemy morskie na wodach Unii oraz poza wodami Unii

Dane te obejmują:

4.   Szczegółowe dane dotyczące działalności unijnych statków rybackich  (7) na wodach Unii i poza wodami Unii odnotowywane zgodnie z rozporządzeniem (WE) nr 1224/2009

Dane pozwalające na ocenę działalności unijnych statków rybackich na wodach Unii i poza wodami Unii obejmują zmienne wskazane w tabeli 4. Dane odnotowane, zarejestrowane i przekazane zgodnie z rozporządzeniem (WE) nr 1224/2009 należy udostępniać w postaci danych pierwotnych instytucjom krajowym realizującym plany prac. Jeżeli dane te nie muszą być gromadzone na mocy rozporządzenia (WE) nr 1224/2009 lub jeżeli dane gromadzone na mocy rozporządzenia (WE) nr 1224/2009 nie są na właściwym poziomie rozbicia lub ich jakość bądź zakres nie są wystarczające do zamierzonego wykorzystania w celach naukowych, dane te należy gromadzić w inny sposób poprzez zastosowanie odpowiednich statystycznych metod doboru próby. Te metody umożliwiają oszacowanie zmiennych wymienionych w tabeli 4 na najniższym odpowiednim poziomie geograficznym według segmentu floty (tabela 5A) i metier poziom 6 (tabela 2).

5.   Dane społeczne i ekonomiczne dotyczące rybołówstwa umożliwiające ocenę społecznych i ekonomicznych wyników unijnego sektora rybołówstwa

Dane te obejmują:

6.   Społeczne, gospodarcze i środowiskowe dane dotyczące akwakultury morskiej oraz ewentualnie dotyczące akwakultury słodkowodnej, umożliwiające ocenę społecznych, gospodarczych i środowiskowych wyników unijnego sektora akwakultury

Dane te obejmują: