Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32023D1795

Vykonávacie rozhodnutie Komisie (EÚ) 2023/1795 z 10. júla 2023 podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o primeranej úrovni ochrany osobných údajov na základe rámca pre ochranu osobných údajov medzi EÚ a USA [oznámené pod číslom C(2023) 4745] (Text s významom pre EHP)

C/2023/4745

Ú. v. EÚ L 231, 20.9.2023, p. 118–229 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2023/1795/oj

20.9.2023   

SK

Úradný vestník Európskej únie

L 231/118


VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2023/1795

z 10. júla 2023

podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o primeranej úrovni ochrany osobných údajov na základe rámca pre ochranu osobných údajov medzi EÚ a USA

[oznámené pod číslom C(2023) 4745]

(Text s významom pre EHP)

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (1), a najmä na jeho článok 45 ods. 3,

keďže:

1.   ÚVOD

(1)

V nariadení (EÚ) 2016/679 (2) sa stanovujú pravidlá prenosu osobných údajov od prevádzkovateľov alebo sprostredkovateľov v Únii do tretích krajín a medzinárodným organizáciám, pokiaľ tieto prenosy patria do rozsahu jeho pôsobnosti. Pravidlá upravujúce medzinárodné prenosy údajov sa stanovujú v kapitole V uvedeného nariadenia. Hoci je pre rozmach cezhraničného obchodu a medzinárodnej spolupráce nevyhnutný tok osobných údajov do krajín mimo Európskej únie aj z takýchto krajín, prenosy do tretích krajín alebo medzinárodným organizáciám nesmú ohrozovať zabezpečovanú úroveň ochrany osobných údajov v Únii (3).

(2)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 môže Komisia prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine zaručujú primeranú úroveň ochrany. Pod touto podmienkou sa prenosy osobných údajov do tretej krajiny môžu uskutočňovať bez potreby získania ďalšieho povolenia, ako sa stanovuje v článku 45 ods. 1 a v odôvodnení 103 nariadenia (EÚ) 2016/679.

(3)

Ako sa uvádza v článku 45 ods. 2 nariadenia (EÚ) 2016/679, prijatie rozhodnutia o primeranosti musí vychádzať z komplexnej analýzy právneho poriadku tretej krajiny, pričom sa vzťahuje na pravidlá uplatniteľné na dovozcov údajov, ako aj na obmedzenia a záruky týkajúce sa prístupu k osobným údajom zo strany orgánov verejnej moci. Komisia musí v rámci svojho posúdenia určiť, či predmetná tretia krajina zaručuje úroveň ochrany, ktorá „v zásade zodpovedá“ úrovni zabezpečenej v rámci Únie [odôvodnenie 104 nariadenia (EÚ) 2016/679]. Či ide o tento prípad, sa posúdi na základe právnych predpisov Únie, najmä nariadenia (EÚ) 2016/679, ako aj judikatúry Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) (4).

(4)

Ako objasnil Súdny dvor v rozsudku zo 6. októbra 2015 vo veci C-362/14, Maximillian Schrems/Data Protection Commissioner (5) (ďalej len „Schrems“), nie je potrebné, aby bola zaistená rovnaká úroveň ochrany. Konkrétne prostriedky, ktoré dotknutá tretia krajina využíva na ochranu osobných údajov, sa môžu líšiť od prostriedkov využívaných v Únii, pokiaľ sa v praxi preukáže, že sa nimi účinne zabezpečuje primeraná úroveň ochrany (6). V záujme dosiahnutia štandardu primeranosti teda nie je potrebné, aby pravidlá druhej krajiny do detailu zodpovedali pravidlám Únie. Namiesto toho sa skôr overuje, či príslušný zahraničný systém ako celok zabezpečuje prostredníctvom hmotnoprávnej úpravy práv na súkromie a ich účinného uplatňovania, presadzovania, ako aj dohľadu nad nimi, požadovanú úroveň ochrany (7). Okrem toho podľa uvedeného rozsudku by Komisia pri uplatňovaní tohto štandardu mala predovšetkým posúdiť, či sa v právnom rámci dotknutej tretej krajiny stanovujú pravidlá, ktorých cieľom je obmedzenie zásahov do základných práv osôb, ktorých údaje sú prenesené z Únie, teda zásahov, ktoré by subjekty verejnej moci danej krajiny boli oprávnené uskutočniť v rámci sledovania legitímnych cieľov, akým je napríklad národná bezpečnosť, a či sa v ňom poskytuje účinná právna ochrana pred zásahmi tohto druhu (8). Usmernenie v tomto smere sa poskytuje aj v Referenčnom kritériu primeranosti Európskeho výboru pre ochranu údajov, v ktorom sa tento štandard podrobnejšie objasňuje (9).

(5)

Uplatniteľný štandard, pokiaľ ide o takýto zásah do základných práv na súkromie a ochranu údajov, Súdny dvor podrobnejšie objasnil v rozsudku zo 16. júla 2020 vo veci C-311/18, Data Protection Commissioner/Facebook Ireland Limited a Maximillian Schrems (ďalej len „Schrems II“), ktorým bolo zrušené vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 (10) o predchádzajúcom rámci pre transatlantický tok údajov, ktorým bol štít na ochranu osobných údajov medzi EÚ a USA (ďalej len „štít na ochranu osobných údajov“). Súdny dvor dospel k záveru, že obmedzenia ochrany osobných údajov, ktoré vyplývajú z vnútroštátnej právnej úpravy Spojených štátov týkajúcej sa prístupu amerických orgánov verejnej moci k údajom prenášaným z Únie do Spojených štátov na účely národnej bezpečnosti a ich používania týmito orgánmi, nie sú vymedzené takým spôsobom, aby zodpovedali požiadavkám, ktoré sú v podstate rovnocenné požiadavkám podľa práva Únie, pokiaľ ide o nevyhnutnosť a primeranosť takýchto zásahov do práva na ochranu údajov (11). Súdny dvor takisto dospel k záveru, že nie je dostupný žiadny opravný prostriedok pred orgánom, ktorý ponúka osobám, ktorých údaje boli prenesené do Spojených štátov, záruky, ktoré sú v podstate rovnocenné so zárukami vyžadovanými podľa článku 47 Charty o práve na účinný prostriedok nápravy (12).

(6)

V nadväznosti na rozsudok vo veci Schrems II Komisia začala rozhovory s vládou USA s cieľom dospieť k prípadnému novému rozhodnutiu o primeranosti, ktoré by spĺňalo požiadavky článku 45 ods. 2 nariadenia (EÚ) 2016/679 podľa výkladu Súdneho dvora. Na základe týchto rokovaní Spojené štáty prijali 7. októbra 2022 vykonávacie nariadenie č. 14086 „Zlepšovanie záruk v rámci činností signálového spravodajstva USA“ (ďalej len „vykonávacie nariadenie č. 14086“), ktoré je doplnené nariadením o Súde pre preskúmanie dodržiavania ochrany údajov, ktoré vydal generálny prokurátor USA (ďalej len „nariadenie generálneho prokurátora“) (13). Okrem toho bol aktualizovaný rámec vzťahujúci sa na obchodné subjekty spracúvajúce údaje prenášané z Únie podľa tohto rozhodnutia – „rámec pre ochranu osobných údajov medzi EÚ a USA“.

(7)

Komisia dôkladne analyzovala právne predpisy a prax v USA vrátane vykonávacieho nariadenia č. 14086 a nariadenia generálneho prokurátora. Na základe zistení uvedených v odôvodneniach 9 – 200 Komisia dospela k záveru, že Spojené štáty zaisťujú primeranú úroveň ochrany osobných údajov prenášaných podľa rámca pre ochranu osobných údajov medzi EÚ a USA od prevádzkovateľa alebo sprostredkovateľa v Únii (14) organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad.

(8)

Na základe tohto rozhodnutia sa môžu prenosy osobných údajov od prevádzkovateľov a sprostredkovateľov v Únii (15) organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, uskutočňovať bez potreby získania ďalšieho povolenia. Nemá to vplyv na priame uplatňovanie nariadenia (EÚ) 2016/679 na také organizácie, v prípade ktorých sú splnené podmienky týkajúce sa územného rozsahu uvedeného nariadenia stanovené v jeho článku 3.

2.   RÁMEC PRE OCHRANU OSOBNÝCH ÚDAJOV MEDZI EÚ A USA

2.1.   Osobná a vecná pôsobnosť

2.1.1.    Organizácie, ktoré osvedčili svoje dodržiavanie zásad

(9)

Rámec pre ochranu osobných údajov medzi EÚ a USA je založený na systéme osvedčovania, prostredníctvom ktorého sa organizácie v USA zaväzujú dodržiavať súbor zásad ochrany súkromia – „zásady rámca pre ochranu osobných údajov medzi EÚ a USA“ vrátane doplnkových zásad (ďalej spoločne len „zásady“), ktoré vydalo ministerstvo obchodu USA (ďalej len „ministerstvo obchodu“) a ktoré sú uvedené v prílohe I k tomuto rozhodnutiu (16). Na to, aby bola organizácia oprávnená na osvedčenie na základe rámca pre ochranu osobných údajov medzi EÚ a USA, musí podliehať vyšetrovacím právomociam a právomociam presadzovania práva Federálnej obchodnej komisie (ďalej len „FTC“) alebo ministerstva dopravy USA (ďalej len „ministerstvo dopravy“) (17). Zásady sa uplatňujú ihneď po osvedčení. Ako sa podrobnejšie vysvetľuje v odôvodneniach 48 – 52, organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA sú povinné každoročne opätovne osvedčiť svoje dodržiavanie zásad (18).

2.1.2.    Vymedzenie pojmov osobné údaje, prevádzkovateľ a „zástupca“

(10)

Ochrana, ktorú poskytuje rámec pre ochranu osobných údajov medzi EÚ a USA, sa vzťahuje na všetky osobné údaje prenášané z Únie organizáciám v USA, ktoré ministerstvu obchodu osvedčili svoje dodržiavanie zásad, s výnimkou údajov, ktoré sa získavajú na účely uverejnenia v tlači, vysielania rozhlasom alebo televíziou alebo na účely iných foriem zverejňovania publicistického materiálu a informácií v už uverejnenom materiáli rozšírenom z mediálnych archívov (19). Takéto informácie preto nemožno prenášať na základe rámca pre ochranu osobných údajov medzi EÚ a USA.

(11)

V zásadách sa osobné údaje/osobné informácie vymedzujú rovnakým spôsobom ako v nariadení (EÚ) 2016/679, t. j. ako „údaje o identifikovanej alebo identifikovateľnej fyzickej osobe patriace do rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov, ktoré získava organizácia v Spojených štátoch z EÚ a ktoré sú zaznamenané v akejkoľvek forme“ (20). V súlade s tým zahŕňajú aj pseudonymizované (alebo „kľúčom kódované“) výskumné údaje (vrátane prípadov, keď sa kľúč nesprístupňuje získavajúcej organizácii v USA) (21). Podobne sa pojem spracúvanie vymedzuje ako „akákoľvek operácia alebo súbor operácií s osobnými údajmi, napríklad získavanie, zaznamenávanie, usporadúvanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, sprístupňovanie alebo poskytovanie a vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“ (22).

(12)

Rámec pre ochranu osobných údajov medzi EÚ a USA sa vzťahuje na organizácie v USA, ktoré spĺňajú podmienky ako prevádzkovatelia (t. j. ako osoby alebo organizácie, ktoré samy alebo spoločne s inými určujú účely a prostriedky spracúvania osobných údajov) (23) alebo ako sprostredkovatelia (t. j. ako zástupcovia konajúci v mene prevádzkovateľa) (24). Sprostredkovatelia v USA sa musia zmluvne zaviazať, že budú konať len na pokyny prevádzkovateľa z EÚ a pomáhať mu pri odpovedaní fyzickým osobám, ktoré si uplatnia svoje práva v zmysle zásad (25). Okrem toho v prípade subsprostredkovania spracúvania musí sprostredkovateľ uzavrieť so subsprostredkovateľom zmluvu, ktorou sa zaručí rovnaká úroveň ochrany, akú poskytujú zásady, a musí prijať opatrenia na zabezpečenie jej riadneho vykonávania (26).

2.2.   Zásady rámca pre ochranu osobných údajov medzi EÚ a USA

2.2.1.    Obmedzenie účelu a možnosť voľby

(13)

Osobné údaje by sa mali spracúvať zákonným a spravodlivým spôsobom. Mali by sa spracúvať na konkrétny účel a následne by sa mali používať, len pokiaľ to nie je nezlučiteľné s daným účelom spracúvania.

(14)

Podľa rámca pre ochranu osobných údajov medzi EÚ a USA sa to zabezpečuje prostredníctvom rôznych zásad. Po prvé podľa zásady integrity údajov a obmedzenia účelu, podobne ako podľa článku 5 ods. 1 písm. b) nariadenia (EÚ) 2016/679, organizácia nesmie spracúvať osobné údaje spôsobom, ktorý nie je zlučiteľný s účelom, na ktorý boli pôvodne získané alebo následne schválené dotknutou osobou (27).

(15)

Po druhé, než organizácia použije osobné údaje na nový (zmenený) účel, ktorý sa od pôvodného účelu podstatne odlišuje, ale je s ním naďalej v súlade, alebo než ich sprístupní tretej strane, v súlade so zásadou možnosti voľby (28) musí dotknutým osobám poskytnúť možnosť namietať (vyjadriť nesúhlas) prostredníctvom jasného, zreteľného a ľahko dostupného mechanizmu. Je dôležité poznamenať, že táto zásada nenahrádza výslovný zákaz nezlučiteľného spracovania (29).

2.2.2.    Spracúvanie osobitných kategórií osobných údajov

(16)

Na spracúvanie „osobitných kategórií“ údajov by sa mali vzťahovať osobitné záruky.

(17)

V súlade so zásadou možnosti voľby sa osobitné záruky vzťahujú na spracúvanie „citlivých informácií“, t. j. osobných údajov týkajúcich sa liečebnej starostlivosti alebo zdravotného stavu, rasového alebo etnického pôvodu, politických názorov, náboženskej viery alebo svetonázoru, členstva v odborových zväzoch, informácií o sexuálnom živote fyzickej osoby alebo akýchkoľvek iných informácií získaných od tretej strany, ktoré táto tretia strana označila za citlivé a s ktorými zaobchádza ako s citlivými (30). To znamená, že organizácie, ktoré osvedčili svoje dodržiavanie zásad, budú so všetkými údajmi, ktoré sa podľa právnych predpisov Únie o ochrane údajov považujú za citlivé (vrátane údajov o sexuálnej orientácii, genetických údajov a biometrických údajov), zaobchádzať podľa rámca pre ochranu osobných údajov medzi EÚ a USA ako s citlivými údajmi.

(18)

Vo všeobecnosti musia organizácie od fyzických osôb získať potvrdzujúci výslovný súhlas (t. j. vyjadrenie súhlasu), ak sa citlivé informácie majú využiť na iný účel než ten, na ktorý boli pôvodne získané alebo následne schválené fyzickou osobou (prostredníctvom vyjadrenia súhlasu), alebo ak sa majú sprístupniť tretím stranám (31).

(19)

Takýto súhlas nie je nutné získať za obmedzených okolností, ktoré sú podobné porovnateľným výnimkám stanoveným v právnych predpisoch Únie o ochrane údajov, napr. ak je spracúvanie citlivých údajov v životne dôležitom záujme osoby, je potrebné na uplatnenie právnych nárokov alebo je nevyhnutné na účely poskytnutia zdravotnej starostlivosti alebo stanovenia diagnózy (32).

2.2.3.    Presnosť, minimalizácia a bezpečnosť údajov

(20)

Údaje by mali byť presné a v prípade potreby by sa mali aktualizovať. Mali by byť aj primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracúvajú, a v zásade by sa nemali uchovávať dlhšie, ako je nevyhnutné na účely, na ktoré sa osobné údaje spracúvajú.

(21)

Podľa zásady integrity údajov a obmedzenia účelu (33) musia byť osobné údaje obmedzené na to, čo je relevantné na účely spracovania. Okrem toho musia organizácie v rozsahu nevyhnutnom na účely spracovania prijať primerané opatrenia, aby zaistili spoľahlivosť osobných údajov na zamýšľaný účel, ich presnosť, úplnosť a aktuálnosť.

(22)

Navyše možno osobné informácie uchovávať vo forme, ktorou sa fyzická osoba identifikuje alebo ktorá ju robí identifikovateľnou (a teda vo forme osobných údajov) (34), len pokiaľ to slúži na účely, na ktoré boli pôvodne získané alebo následne schválené fyzickou osobou podľa zásady možnosti voľby. Táto povinnosť organizáciám nebráni v tom, aby pokračovali v spracúvaní osobných informácií dlhší čas, ale len počas obdobia a v rozsahu, v akom takéto spracúvanie odôvodnene slúži na jeden z týchto osobitných účelov, ktoré sú podobné porovnateľným výnimkám stanoveným v právnych predpisoch Únie o ochrane údajov: archivácia, žurnalistika, literatúra a umenie, vedecký a historický výskum a štatistická analýza (35). Ak sa osobné údaje uchovávajú na jeden z týchto účelov, ich spracúvanie podlieha zárukám stanoveným v zásadách (36).

(23)

Osobné údaje by sa mali spracúvať spôsobom, ktorým sa zaistí ich bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Na tento účel by prevádzkovatelia a sprostredkovatelia mali prijať vhodné technické alebo organizačné opatrenia na ochranu osobných údajov pred možnými hrozbami. Tieto opatrenia by sa mali posúdiť s prihliadnutím na najmodernejšie postupy, súvisiace náklady a povahu, rozsah, súvislosti a účel spracúvania, ako aj na riziká, ktoré predstavujú pre práva jednotlivcov.

(24)

Na základe rámca pre ochranu osobných údajov medzi EÚ a USA sa to zabezpečuje prostredníctvom zásady bezpečnosti, podľa ktorej sa podobne ako v článku 32 nariadenia (EÚ) 2016/679 vyžaduje, aby sa prijali primerané a vhodné bezpečnostné opatrenia s prihliadnutím na riziká spojené so spracúvaním a s povahou údajov (37).

2.2.4.    Transparentnosť

(25)

Dotknuté osoby by mali byť informované o hlavných znakoch spracúvania ich osobných údajov.

(26)

To sa zabezpečuje prostredníctvom zásady oznámenia (38), podľa ktorej sa podobne ako v prípade požiadaviek na transparentnosť podľa nariadenia (EÚ) 2016/679 vyžaduje, aby organizácie informovali dotknuté osoby okrem iného o i) zapojení organizácie do rámca pre ochranu osobných údajov; ii) druhu získavaných údajov; iii) účele spracúvania; iv) druhu alebo totožnosti tretích strán, ktorým sa môžu osobné údaje sprístupniť, a účeloch sprístupňovania osobných údajov; v) ich individuálnych právach; vi) spôsobe, ako možno organizáciu kontaktovať, a o vii) dostupných možnostiach dosiahnutia nápravy.

(27)

Toto oznámenie musí byť poskytnuté v jasnom a zrozumiteľnom jazyku vtedy, keď sa od fyzických osôb po prvýkrát požaduje poskytnutie osobných údajov, alebo čo možno najskôr po tom, ale v každom prípade pred tým, ako sú dané údaje použité na podstatne odlišný (ale zlučiteľný) účel než ten, na ktorý boli získané, alebo pred tým, ako sú sprístupnené tretej strane (39).

(28)

Okrem toho musia organizácie zverejniť svoje podmienky ochrany súkromia zohľadňujúce zásady (alebo v prípade údajov o ľudských zdrojoch poskytnúť dotknutým fyzickým osobám jednoduchý prístup) a uviesť odkazy na webové sídlo ministerstva obchodu (s ďalšími podrobnosťami o osvedčovaní, právach dotknutých osôb a dostupných mechanizmoch nápravy), zoznam organizácií zapojených do rámca pre ochranu osobných údajov (ďalej len „zoznam zapojených organizácií“) a webové sídlo vhodného poskytovateľa alternatívneho riešenia sporov (40).

2.2.5.    Individuálne práva

(29)

Dotknuté osoby by mali mať určité práva, ktoré možno uplatniť voči prevádzkovateľovi alebo sprostredkovateľovi, najmä právo na prístup k údajom, právo namietať proti spracúvaniu a právo na opravu a vymazanie údajov.

(30)

Tieto práva fyzickým osobám zabezpečuje zásada prístupu (41) podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Dotknuté osoby majú predovšetkým právo získať od organizácie potvrdenie o tom, či spracúva osobné údaje, ktoré sa ich týkajú, právo získať od nej dané údaje a právo získať informácie o účele spracúvania, kategóriách spracúvaných osobných údajov a príjemcoch (kategóriách príjemcov), ktorým sa údaje sprístupňujú (42), a to bez nutnosti odôvodniť svoju žiadosť. Organizácie sú povinné odpovedať na žiadosti o prístup v primeranej lehote (43). Organizácia môže primerane obmedziť počet prípadov, v ktorých sa v rámci určitého časového obdobia vyhovie žiadostiam určitej fyzickej osoby o prístup, a môže si účtovať poplatok, ktorý nie je neprimerane vysoký, napríklad v prípade zjavne neprimeraných žiadostí o prístup, najmä z dôvodu ich opakujúceho sa charakteru (44).

(31)

Právo na prístup možno obmedziť len za výnimočných okolností podobných tým, ktoré sú stanovené v právnych predpisoch Únie o ochrane údajov, najmä ak by boli porušené legitímne práva iných osôb, ak by zaťaženie alebo náklady spojené s poskytnutím prístupu boli neúmerné rizikám pre súkromie jednotlivca za daných okolností (hoci náklady a zaťaženie nie sú kontrolnými faktormi pri určovaní toho, či je poskytnutie prístupu primerané), pokiaľ je pravdepodobné, že predmetné sprístupnenie je v rozpore s ochranou dôležitých protikladných verejných záujmov, ako je napríklad národná bezpečnosť alebo obrana, ak informácie obsahujú dôverné obchodné informácie alebo ak sa informácie spracúvajú výlučne na výskumné alebo štatistické účely (45). Akékoľvek odopretie alebo obmedzenie práva musí byť nevyhnutné a riadne odôvodnené, pričom organizácia nesie bremeno preukazovania, že tieto požiadavky sú splnené (46). Pri tomto posúdení musí organizácia osobitne zohľadniť záujmy príslušnej fyzickej osoby (47). Ak sa dané informácie dajú oddeliť od iných údajov podliehajúcich obmedzeniu, organizácia musí chránené informácie odčleniť a sprístupniť zvyšné informácie (48).

(32)

Dotknuté osoby majú okrem toho právo na opravu alebo zmenu nesprávnych údajov a na vymazanie údajov, ktoré boli spracované v rozpore so zásadami (49). Okrem toho, ako je vysvetlené v odôvodnení 15, fyzické osoby majú právo namietať proti spracúvaniu svojich údajov/vyjadriť nesúhlas s ich spracúvaním na účely, ktoré sú podstatne odlišné (ale zlučiteľné) od účelov, na ktoré boli údaje získané, a právo namietať proti sprístupneniu svojich údajov tretím stranám/vyjadriť nesúhlas s takýmto sprístupnením. Ak sa osobné údaje používajú na účely priameho marketingu, fyzické osoby majú všeobecné právo kedykoľvek vyjadriť nesúhlas so spracovaním (50).

(33)

V zásadách sa osobitne nerieši otázka rozhodnutí s vplyvom na dotknutú osobu výlučne na základne automatizovaného spracúvania osobných údajov. Pokiaľ ide o osobné údaje získané v Únii, každé rozhodnutie založené na automatizovanom spracúvaní však zvyčajne prijme prevádzkovateľ v Únii (ktorý má priamy vzťah s príslušnou dotknutou osobou), a preto sa naň vzťahuje nariadenie (EÚ) 2016/679 (51). To zahŕňa situácie prenosu, v ktorých spracúvanie vykonáva zahraničný (napríklad americký) hospodársky subjekt konajúci ako zástupca (sprostredkovateľ) v mene prevádzkovateľa v Únii (alebo ako subsprostredkovateľ konajúci v mene sprostredkovateľa v Únii, ktorý dostal údaje od prevádzkovateľa z Únie, ktorý ich získal), ktorý na tomto základe následne prijme rozhodnutie.

(34)

Bolo to potvrdené v štúdii, ktorú Komisia zadala v roku 2018 v kontexte druhého každoročného preskúmania fungovania štítu na ochranu osobných údajov (52), v ktorej sa dospelo k záveru, že v tom čase neexistovali žiadne dôkazy, ktoré by naznačovali, že automatizované rozhodovanie zvyčajne vykonávajú organizácie zapojené do štítu na ochranu osobných údajov na základe osobných údajov prenášaných v rámci štítu na ochranu osobných údajov.

(35)

V každom prípade v oblastiach, v ktorých sa spoločnosti s najväčšou pravdepodobnosťou uchyľujú k automatizovanému spracovaniu osobných údajov v záujme prijatia rozhodnutí, ktoré sa dotýkajú danej fyzickej osoby (napríklad poskytovanie úverov, ponuky hypoték, zamestnanie, bývanie a poistenie), sa v právnych predpisoch USA poskytujú osobitné ochranné prvky pred nepriaznivými rozhodnutiami (53). V týchto zákonoch sa obvykle stanovuje, že fyzické osoby majú právo byť informované o osobitných dôvodoch, na základe ktorých sa rozhodnutie (napríklad zamietnutie úveru) prijalo, právo namietať proti neúplným alebo nepresným informáciám (ako aj proti opieraniu sa o nezákonné faktory) a právo dožadovať sa nápravy. Pokiaľ ide o oblasť spotrebiteľských úverov, zákon o náležitom podávaní informácií o úverovej schopnosti (Fair Credit Reporting Act – FCRA) a zákon o rovnakých úverových príležitostiach (Equal Credit Opportunity Act – ECOA) obsahujú záruky, ktoré spotrebiteľom poskytujú určitú formu práva na vysvetlenie a práva napadnúť rozhodnutie. Tieto zákony sú relevantné v širokej škále oblastí vrátane poskytovania úverov, zamestnania, bývania a poistenia. Okrem toho určité antidiskriminačné zákony, ako napríklad hlava VII zákona o občianskych právach (Civil Rights Act) a zákon o spravodlivom bývaní (Fair Housing Act), poskytujú fyzickým osobám ochranu v súvislosti s modelmi používanými pri automatizovanom rozhodovaní, ktoré by mohli viesť k diskriminácii na základe určitých charakteristík, a stanovuje sa v nich právo fyzických osôb napadnúť takéto rozhodnutia vrátane automatizovaných rozhodnutí. Pokiaľ ide o zdravotné informácie, na základe pravidla ochrany súkromia začleneného v zákone o prenosnosti a zúčtovateľnosti zdravotného poistenia (Health Insurance Portability and Accountability Act – HIPAA) vznikajú určité práva, ktoré sú podobné právam stanoveným v nariadení (EÚ) 2016/679, pokiaľ ide o prístup k osobným zdravotným informáciám. Ďalej sa v usmerneniach orgánov USA vyžaduje, aby poskytovatelia zdravotnej starostlivosti získavali informácie, ktoré im umožnia informovať fyzické osoby o automatizovaných systémoch rozhodovania používaných v zdravotníctve (54).

(36)

Tieto pravidlá preto poskytujú ochranu podobnú ochrane stanovenej v právnych predpisoch Únie o ochrane údajov v nepravdepodobnej situácii, v ktorej by automatizované rozhodnutia prijímala samotná organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA.

2.2.6.    Obmedzenia týkajúce sa následných prenosov

(37)

Úroveň ochrany osobných údajov prenášaných z Únie organizáciám v USA nesmie byť oslabená ďalším prenosom takýchto údajov príjemcovi v Spojených štátoch alebo inej tretej krajine.

(38)

Podľa zásady zodpovednosti za následný prenos (55) sa uplatňujú osobitné pravidlá v prípade tzv. následných prenosov, t. j. prenosov osobných údajov od organizácie zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA prevádzkovateľovi alebo sprostredkovateľovi, ktorý je treťou stranou, bez ohľadu na to, či sa tento prevádzkovateľ alebo sprostredkovateľ nachádza v Spojených štátoch, alebo v tretej krajine mimo Spojených štátov (a Únie). Akýkoľvek následný prenos sa môže uskutočniť len i) na obmedzené a konkrétne účely; ii) na základe zmluvy medzi organizáciou zapojenou do rámca pre ochranu osobných údajov medzi EÚ a USA a treťou stranou (56) (alebo porovnateľnej dohody v rámci skupiny podnikov (57)) a iii) iba v prípade, že v danej zmluve sa od tretej strany vyžaduje poskytovanie rovnakej úrovne ochrany, ako je ochrana zaručená zásadami.

(39)

Táto povinnosť poskytnúť rovnakú úroveň ochrany, akú zaručujú zásady, v spojení so zásadou integrity údajov a obmedzenia účelu konkrétne znamená, že tretia strana môže spracúvať osobné informácie, ktoré jej boli prenesené, len na účely, ktoré nie sú nezlučiteľné s účelmi, na ktoré boli získané alebo následne schválené fyzickou osobou (v súlade so zásadou možnosti voľby).

(40)

Zásada zodpovednosti za následný prenos by sa zároveň mala chápať v spojení so zásadou oznámenia a v prípade následného prenosu prevádzkovateľovi, ktorý je treťou stranou (58), so zásadou možnosti voľby, podľa ktorých musia byť dotknuté osoby informované (okrem iného) o type/totožnosti každého príjemcu, ktorý je treťou stranou, účele následného prenosu a o ponúkanej možnosti voľby a môžu namietať (vyjadriť nesúhlas) alebo, v prípade citlivých údajov, musia poskytnúť „potvrdzujúci výslovný súhlas“ (vyjadrenie súhlasu) s následným prenosom.

(41)

Povinnosť poskytnúť rovnakú úroveň ochrany, aká sa vyžaduje v zásadách, sa vzťahuje na všetky tretie strany zapojené do spracovania takto prenášaných údajov bez ohľadu na to, kde sa nachádzajú (v USA alebo inej tretej krajine), ako aj v prípade, keď samotný pôvodný príjemca, ktorý je treťou stranou, vykoná prenos týchto údajov inému príjemcovi – tretej strane, napríklad na účely subsprostredkovania spracúvania.

(42)

Vo všetkých prípadoch musí byť v zmluve s príjemcom, ktorý je treťou stranou, stanovené, že ak daný príjemca prijme rozhodnutie, že túto povinnosť viac nedokáže plniť, oznámi to organizácii zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA. Spracovanie treťou stranou sa pri takomto rozhodnutí musí ukončiť, prípadne sa musia prijať iné odôvodnené a primerané kroky s cieľom napraviť túto situáciu (59).

(43)

V prípade následného prenosu zástupcovi (t. j. sprostredkovateľovi), ktorý je treťou stranou, sa uplatňujú ďalšie ochranné opatrenia. Organizácia v USA musí v takom prípade zabezpečiť, aby zástupca konal len na základe jej pokynov, a prijať odôvodnené a primerané kroky i) s cieľom zaistiť, aby zástupca účinne spracúval osobné informácie prenášané spôsobom, ktorý je v súlade s povinnosťami organizácie v zmysle zásad, a ii) s cieľom zastaviť a na základe oznámenia napraviť nepovolené spracovanie (60). Ministerstvo obchodu môže od organizácie požadovať, aby poskytla zhrnutie alebo reprezentatívnu kópiu ustanovení o ochrane súkromia obsiahnutých v zmluve (61). V prípade vzniku problémov s dodržiavaním predpisov v (sub)spracovateľskom reťazci bude zodpovednosť v zásade niesť organizácia konajúca ako prevádzkovateľ osobných údajov, ako sa uvádza v zásade nápravy, presadzovania a zodpovednosti, s výnimkou prípadu, keď preukáže, že nie je zodpovedná za okolnosť, ktorá viedla k vzniku škody (62).

2.2.7.    Zodpovednosť

(44)

Podľa zásady zodpovednosti sa od subjektov, ktoré spracúvajú údaje, vyžaduje, aby zaviedli vhodné technické a organizačné opatrenia v záujme účinného dodržiavania svojich povinností v oblasti ochrany údajov a aby vedeli takéto dodržiavanie preukázať, najmä príslušnému dozornému orgánu.

(45)

Keď sa organizácia dobrovoľne rozhodne predložiť osvedčenie (63) na základe rámca pre ochranu osobných údajov medzi EÚ a USA, účinné dodržiavanie zásad sa pre ňu stáva povinným a vymáhateľným. Podľa zásady nápravy, presadzovania a zodpovednosti (64) musia organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA poskytnúť účinné mechanizmy na zabezpečenie dodržiavania zásad. Organizácie musia zároveň prijať opatrenia na overenie (65), či sú ich podmienky ochrany súkromia v súlade so zásadami a či sa skutočne dodržiavajú. Môžu to vykonať buď prostredníctvom systému samoposúdenia, ktorý musí zahŕňať interné postupy na zabezpečenie odbornej prípravy zamestnancov zameranej na uplatňovanie podmienok ochrany súkromia organizácie a pravidelného preskúmania ich dodržiavania objektívnym spôsobom, alebo prostredníctvom externých posúdení dodržiavania zásad, ktorých metódy môžu zahŕňať audit, náhodné kontroly či využívanie technologických nástrojov.

(46)

Organizácie musia navyše uchovávať záznamy o vykonávaní svojich postupov rámca pre ochranu osobných údajov medzi EÚ a USA a na požiadanie ich sprístupniť nezávislému orgánu pre riešenie sporov alebo príslušnému orgánu presadzovania práva v súvislosti s vyšetrovaním alebo so sťažnosťou týkajúcou sa nedodržiavania zásad (66).

2.3.   Správa, dohľad a presadzovanie

(47)

Rámec pre ochranu osobných údajov medzi EÚ a USA bude spravovať a monitorovať ministerstvo obchodu. V rámci sa stanovujú mechanizmy dohľadu a presadzovania s cieľom overiť a zabezpečiť dodržiavanie zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA a zaistiť riešenie všetkých prípadov nedodržiavania zásad. Tieto mechanizmy sú vymedzené v zásadách (príloha I) a v záväzkoch, ktoré prijalo ministerstvo obchodu (príloha III), FTC (príloha IV) a ministerstvo dopravy (príloha V).

2.3.1.    Opätovné osvedčovanie

(48)

Na účely osvedčenia na základe rámca pre ochranu osobných údajov medzi EÚ a USA (alebo na účely každoročného opätovného osvedčenia) sa od organizácií vyžaduje, aby verejne vyhlásili svoj záväzok dodržiavať zásady, sprístupnili svoje podmienky ochrany súkromia a v plnej miere ich vykonávali (67). Organizácie musia v rámci svojej žiadosti o (opätovné) osvedčenie predložiť ministerstvu obchodu určité informácie, a to okrem iného názov príslušnej organizácie, opis účelov, na ktoré bude organizácia spracúvať osobné údaje, informácie o osobných údajoch, na ktoré sa osvedčenie bude vzťahovať, ako aj o zvolenej metóde overovania, príslušnom nezávislom mechanizme nápravy a zákonom zriadenom orgáne, ktorý má právomoc presadzovať dodržiavanie zásad (68).

(49)

Organizácie môžu získavať osobné údaje na základe rámca pre ochranu osobných údajov medzi EÚ a USA odo dňa, keď ich ministerstvo obchodu zaradí do zoznamu zapojených organizácií. Aby sa zabezpečila právna istota a zabránilo sa „nepravdivým tvrdeniam“, organizácie podstupujúce proces osvedčenia po prvýkrát nesmú verejne odkazovať na svoje dodržiavanie zásad skôr, než ministerstvo obchodu vydá rozhodnutie o úplnosti predloženého osvedčenia a danú organizáciu doplní do zoznamu zapojených organizácií (69). Ak takéto organizácie chcú zotrvať v rámci pre ochranu osobných údajov medzi EÚ a USA, aby mohli získavať osobné údaje z Únie, musia každoročne opätovne osvedčovať svoje zapojenie doň. Keď organizácia z akéhokoľvek dôvodu opustí rámec pre ochranu osobných údajov medzi EÚ a USA, musí odstrániť všetky vyhlásenia naznačujúce, že daná organizácia je do tohto rámca naďalej zapojená (70).

(50)

Ako sa uvádza v záväzkoch stanovených v prílohe III, ministerstvo obchodu overí, či organizácie spĺňajú všetky požiadavky na osvedčovanie a či majú zavedené (zverejnené) podmienky ochrany súkromia obsahujúce informácie požadované podľa zásady oznámenia (71). Na základe skúseností s procesom (opätovného) osvedčovania v rámci štítu na ochranu osobných údajov bude ministerstvo obchodu vykonávať viaceré kontroly vrátane overovania, či podmienky organizácií v oblasti ochrany súkromia obsahujú hypertextový odkaz na správny formulár sťažnosti na webovom sídle príslušného mechanizmu riešenia sporov, a v prípadoch, keď predložené osvedčenie zahŕňa viacero subjektov a dcérskych spoločností jednej organizácie, či podmienky každého z týchto subjektov v oblasti ochrany súkromia spĺňajú požiadavky na osvedčovanie a či sú dotknutým osobám ľahko dostupné (72). Okrem toho bude ministerstvo obchodu v prípade potreby vykonávať krížové kontroly s FTC a ministerstvom dopravy s cieľom overiť, či organizácie podliehajú orgánu dohľadu určenému v predloženom (opätovnom) osvedčení, a bude spolupracovať s orgánmi pre alternatívne riešenie sporov s cieľom overiť, či sú organizácie zaregistrované v nezávislom mechanizme nápravy uvedenom v predloženom (opätovnom) osvedčení (73).

(51)

Ministerstvo obchodu bude organizácie informovať, že na dokončenie (opätovného) osvedčenia musia vyriešiť všetky problémy zistené počas preskúmania. Ak organizácia neodpovie v lehote stanovenej ministerstvom obchodu (napríklad pri opätovnom osvedčení sa očakáva dokončenie procesu do 45 dní) (74) alebo ak sa jej z iných dôvodov nepodarí dokončiť proces osvedčenia, bude sa to považovať za upustenie od predloženej žiadosti. V takom prípade môže FTC alebo ministerstvo dopravy v súvislosti s akýmikoľvek nepravdivými vyhláseniami o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA alebo o jeho dodržiavaní prijať opatrenia presadzovania práva (75).

(52)

V záujme riadneho uplatňovania rámca pre ochranu osobných údajov medzi EÚ a USA musia zainteresované strany, napríklad dotknuté osoby, vývozcovia údajov a vnútroštátne orgány pre ochranu osobných údajov, byť schopné určiť tie organizácie, ktoré dodržiavajú zásady. S cieľom zaistiť túto transparentnosť v „mieste vstupu“ sa ministerstvo obchodu zaviazalo viesť a sprístupňovať verejnosti zoznam organizácií, ktoré osvedčili svoje dodržiavanie zásad a ktoré patria do právomoci prinajmenšom jedného z orgánov presadzovania práva uvedených v prílohách IV a V k tomuto rozhodnutiu (76). Ministerstvo obchodu bude tento zoznam aktualizovať na základe predložených informácií o každoročnom opätovnom osvedčení organizácie a vždy, keď organizácia odstúpi od rámca pre ochranu osobných údajov medzi EÚ a USA alebo je z neho vyradená. Okrem toho s cieľom zaručiť transparentnosť aj v „mieste výstupu“ bude ministerstvo obchodu viesť a sprístupňovať verejnosti záznamy o organizáciách, ktoré boli zo zoznamu vyradené, pričom v každom prípade uvedie dôvod vyradenia (77). Napokon poskytne hypertextový odkaz na webovú stránku FTC venovanú rámcu pre ochranu osobných údajov medzi EÚ a USA, na ktorej sa budú uvádzať opatrenia presadzovania práva, ktoré FTC na základe rámca prijala (78).

2.3.2.    Monitorovanie dodržiavania zásad

(53)

Ministerstvo obchodu bude prostredníctvom rôznych mechanizmov priebežne monitorovať účinné dodržiavanie zásad organizáciami zapojenými do rámca pre ochranu osobných údajov medzi EÚ a USA (79). Konkrétne bude vykonávať „kontroly na mieste“ v náhodne vybraných organizáciách, ako aj ad hoc kontroly na mieste v konkrétnych organizáciách v prípade, že sa zistia potenciálne problémy s dodržiavaním zásad (napr. ak ich ministerstvu obchodu nahlásia tretie strany), s cieľom overiť, i) či je k dispozícii kontaktné miesto na vybavovanie sťažností a žiadostí dotknutých osôb a či na takéto sťažnosti a žiadosti reaguje; ii) či sú podmienky organizácie v oblasti ochrany súkromia ľahko dostupné na webovom sídle organizácie, ako aj prostredníctvom hypertextového odkazu na webovom sídle ministerstva obchodu; iii) či podmienky organizácie v oblasti ochrany súkromia naďalej spĺňajú požiadavky na osvedčovanie a iv) či je nezávislý mechanizmus riešenia sporov, ktorý si organizácia vybrala, dostupný na riešenie sťažností (80).

(54)

Ak existujú dôveryhodné dôkazy o tom, že si organizácia neplní záväzky podľa rámca pre ochranu osobných údajov medzi EÚ a USA (vrátane prípadov, keď ministerstvo obchodu dostane sťažnosti alebo keď organizácia uspokojivo neodpovie na otázky ministerstva obchodu), ministerstvo obchodu bude od organizácie vyžadovať, aby vyplnila a predložila podrobný dotazník (81). Organizácia, ktorá tento dotazník uspokojivo a včas nevyplní, bude postúpená príslušnému orgánu (FTC alebo ministerstvu dopravy) na účely prípadných opatrení presadzovania práva (82). V rámci svojich činností monitorovania dodržiavania zásad v rámci štítu na ochranu osobných údajov ministerstvo obchodu pravidelne vykonávalo kontroly na mieste uvedené v odôvodnení 53 a nepretržite monitorovalo verejné reportáže, vďaka čomu mohlo identifikovať problémy s dodržiavaním zásad, zaoberať sa nimi a vyriešiť ich (83). Organizácie, ktoré trvalo nedodržiavajú zásady, budú vyradené zo zoznamu zapojených organizácií a budú musieť vrátiť alebo vymazať osobné údaje, ktoré na základe rámca získali (84).

(55)

V ostatných prípadoch vyradenia, napríklad v prípade dobrovoľného odstúpenia od rámca alebo nepredloženia opätovného osvedčenia, organizácia buď musí údaje vymazať, resp. vrátiť, alebo si ich môže ponechať pod podmienkou, že ministerstvu obchodu každoročne potvrdí záväzok pokračovať v dodržiavaní zásad alebo poskytne primeranú ochranu osobných údajov inými povolenými prostriedkami (napr. prostredníctvom zmluvy, ktorá plne odzrkadľuje požiadavky príslušných štandardných zmluvných doložiek schválených Komisiou) (85). V takom prípade musí organizácia zároveň určiť kontaktné miesto v rámci organizácie pre všetky otázky súvisiace s rámcom pre ochranu osobných údajov medzi EÚ a USA.

2.3.3.    Identifikácia a riešenie nepravdivých tvrdení o zapojení

(56)

Ministerstvo obchodu bude monitorovať všetky nepravdivé tvrdenia o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA alebo prípady nevhodného používania certifikačnej značky rámca pre ochranu osobných údajov medzi EÚ a USA, a to ex officio aj na základe sťažností (napr. od orgánov pre ochranu osobných údajov) (86). Ministerstvo obchodu bude predovšetkým priebežne overovať, či organizácie, ktoré i) odstúpili od rámca pre ochranu osobných údajov medzi EÚ a USA; ii) nedokončili proces každoročného opätovného osvedčenia (t. j. buď s ním začali, ale nedokončili ho včas, alebo s ním ani nezačali); iii) boli z rámca vyradené predovšetkým z dôvodu „trvalého nedodržiavania zásad“ alebo iv) nedokončili proces prvého osvedčenia (t. j. začali s ním, ale nedokončili ho včas), odstránili zo všetkých príslušných zverejnených podmienok ochrany súkromia odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA, ktoré naznačujú, že daná organizácia je do tohto rámca aktívne zapojená (87). Ministerstvo obchodu bude takisto vykonávať vyhľadávania na internete s cieľom identifikovať odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA v podmienkach organizácií v oblasti ochrany súkromia, a to aj s cieľom identifikovať nepravdivé tvrdenia organizácií, ktoré neboli do rámca pre ochranu osobných údajov medzi EÚ a USA nikdy zapojené (88).

(57)

Ak ministerstvo obchodu zistí, že odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA neboli odstránené alebo sa používajú nesprávne, informuje danú organizáciu o možnosti postúpenia veci FTC/ministerstvu dopravy (89). Ak organizácia nereaguje uspokojivým spôsobom, ministerstvo obchodu vec postúpi príslušnému orgánu na účely prípadných opatrení presadzovania práva (90). Akékoľvek nepravdivé vyhlásenie pre verejnosť v súvislosti s dodržiavaním zásad organizáciou vo forme zavádzajúcich vyhlásení alebo praktík je postihnuteľné zo strany FTC, ministerstva dopravy alebo iných príslušných orgánov presadzovania práva USA. Nepravdivé vyhlásenia predložené ministerstvu obchodu sú postihnuteľné podľa zákona o nepravdivých vyhláseniach (False Statements Act, hlava 18 § 1001 Zákonníka Spojených štátov).

2.3.4.    Presadzovanie

(58)

S cieľom zaistiť, aby bola primeraná úroveň ochrany údajov zabezpečená v praxi, by mal byť zriadený nezávislý dozorný orgán, ktorý bude mať právomoc monitorovať a presadzovať dodržiavanie pravidiel ochrany údajov.

(59)

Organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA musia podliehať právomoci príslušných orgánov USA – FTC a ministerstva dopravy –, ktoré majú potrebné vyšetrovacie právomoci a právomoci v oblasti presadzovania práva na účinné zabezpečenie dodržiavania zásad (91).

(60)

FTC je nezávislý orgán zložený z piatich komisárov, ktorých vymenúva prezident na základe odporúčania a súhlasu Senátu (92). Komisári sa vymenúvajú na sedemročné funkčné obdobie a môže ich odvolať len prezident z dôvodu neefektívnosti, zanedbania povinností alebo zneužitia právomoci. Vo FTC nesmú byť viac než traja komisári z tej istej politickej strany a komisári nesmú počas svojho funkčného obdobia vykonávať žiadnu inú činnosť, funkciu ani zamestnanie.

(61)

FTC môže preskúmavať dodržiavanie zásad, ako aj nepravdivé tvrdenia o dodržiavaní zásad alebo zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA v prípade organizácií, ktoré už nie sú v zozname zapojených organizácií alebo nikdy nevykonali proces osvedčenia (93). FTC môže dodržiavanie zásad presadzovať predložením veci správnemu alebo federálnemu súdu [a to aj s cieľom dospieť k príkazu o súhlase (consent order), ktorý je výsledkom urovnávania sporov] (94) na účely vydania predbežného alebo trvalého súdneho príkazu či iných prostriedkov nápravy a bude systematicky monitorovať ich splnenie (95). Ak organizácia takéto príkazy nesplní, FTC môže požadovať občianskoprávne sankcie a iné prostriedky nápravy vrátane náhrady prípadnej ujmy spôsobenej protiprávnym konaním. Každý príkaz o súhlase vydaný organizácii zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA bude obsahovať ustanovenia o predkladaní správ dotknutou organizáciou (96) a organizácie budú povinné zverejniť všetky príslušné oddiely týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA obsiahnuté v akejkoľvek správe o dodržiavaní zásad alebo o posúdení, ktorú predložili FTC. Napokon bude FTC viesť online zoznam organizácií, na ktoré sa vzťahujú správne opatrenia FTC alebo súdne príkazy v prípadoch súvisiacich s rámcom pre ochranu osobných údajov medzi EÚ a USA (97).

(62)

Pokiaľ ide o štít na ochranu osobných údajov, FTC prijala opatrenia presadzovania práva približne v 22 prípadoch, a to v súvislosti s porušením osobitných požiadaviek rámca (napr. v prípadoch, keď organizácia po odstúpení od rámca nepotvrdila ministerstvu obchodu, že naďalej uplatňuje ochranu podľa štítu na ochranu osobných údajov, alebo neposkytla overenie prostredníctvom samoposúdenia alebo externého posúdenia dodržiavania rámca) (98), ako aj v súvislosti s nepravdivými tvrdeniami o zapojení do rámca (napr. zo strany organizácií, ktoré nedokončili potrebné kroky na získanie osvedčenia alebo ktorých osvedčenie prepadlo, ale napriek tomu uvádzali nepravdivé tvrdenia o svojom pokračujúcom zapojení do rámca) (99). Tieto opatrenia presadzovania práva boli okrem iného výsledkom aktívneho využívania administratívnych výziev s cieľom získať od určitých účastníkov štítu na ochranu osobných údajov materiály na účely preverenia závažných porušení povinností vyplývajúcich zo štítu na ochranu osobných údajov (100).

(63)

Vyjadrené všeobecnejšie, FTC v posledných rokoch prijala opatrenia na presadzovanie práva vo viacerých prípadoch týkajúcich sa dodržiavania osobitných požiadaviek na ochranu údajov, ktoré existujú aj v rámci pre ochranu osobných údajov medzi EÚ a USA, napr. pokiaľ ide o zásady obmedzenia účelu a uchovávania údajov (101), minimalizácie údajov (102), bezpečnosti údajov (103) a presnosti údajov (104).

(64)

Ministerstvo dopravy má výlučnú právomoc regulovať postupy leteckých spoločností v oblasti ochrany súkromia, pričom sa o právomoc, pokiaľ ide o postupy v oblasti ochrany súkromia pri predaji leteniek, delí s FTC. Úradníci ministerstva dopravy sa v prvom rade zameriavajú na dosiahnutie urovnania a, ak to nie je možné, môžu začať vykonávacie konanie zahŕňajúce vypočutie dôkazov pred správnym sudcom ministerstva dopravy, ktorý je oprávnený vydávať príkazy na zdržanie sa konania a ukladať občianskoprávne sankcie (105). Na správnych sudcov sa vzťahuje viacero ochranných opatrení podľa zákona o správnom konaní (Administrative Procedure Act – APA), aby sa zabezpečila ich nezávislosť a nestrannosť. Napríklad môžu byť odvolaní len zo závažných dôvodov, veci sú im prideľované na rotačnom základe, nesmú vykonávať povinnosti, ktoré sú v rozpore s ich povinnosťami a úlohami správnych sudcov, nepodliehajú dohľadu vyšetrovacieho tímu orgánu, v ktorom sú zamestnaní (v tomto prípade ministerstvo dopravy), a musia vykonávať svoju funkciu v oblasti rozhodovania/presadzovania nestranne (106). Ministerstvo dopravy sa zaviazalo monitorovať vykonávacie príkazy a zabezpečiť, aby boli príkazy vyplývajúce z prípadov týkajúcich sa rámca pre ochranu osobných údajov medzi EÚ a USA zverejnené na jeho webovom sídle (107).

2.4.   Prostriedky nápravy

(65)

V záujme zabezpečenia primeranej ochrany, a najmä uplatňovania individuálnych práv, by dotknutá osoba mala mať k dispozícii účinné správne a súdne prostriedky nápravy.

(66)

Na základe rámca pre ochranu osobných údajov medzi EÚ a USA sa od organizácií prostredníctvom zásady nápravy, presadzovania a zodpovednosti vyžaduje, aby fyzickým osobám, ktorých sa nedodržiavanie zásad dotýka, poskytli prostriedky nápravy, a teda možnosť pre dotknuté osoby z Únie podať sťažnosť v súvislosti s nedodržiavaním zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA a dosiahnuť vyriešenie danej sťažnosti, a to v prípade potreby aj na základe rozhodnutia poskytujúceho účinný prostriedok nápravy (108). Organizácie musia ako súčasť svojho osvedčenia splniť požiadavky tejto zásady zabezpečením účinných a ľahko dostupných nezávislých mechanizmov nápravy, na základe ktorých možno sťažnosti a spory každej fyzickej osoby vyšetriť a bezodkladne vyriešiť bez toho, aby danej osobe vznikli akékoľvek náklady (109).

(67)

Organizácie si môžu vybrať nezávislé mechanizmy nápravy buď v Únii, alebo v USA. Ako sa podrobnejšie vysvetľuje v odôvodnení 73, zahŕňa to možnosť dobrovoľne sa zaviazať k spolupráci s orgánmi EÚ pre ochranu osobných údajov. Ak organizácie spracúvajú údaje o ľudských zdrojoch, takýto záväzok spolupracovať s orgánmi EÚ pre ochranu osobných údajov je povinný. Medzi ďalšie alternatívy patrí nezávislé alternatívne riešenie sporov alebo programy ochrany súkromia vytvorené súkromným sektorom, v prípade ktorých sú zásady začlenené do ich pravidiel. Programy ochrany súkromia musia zahŕňať účinné mechanizmy presadzovania v súlade s požiadavkami zásady nápravy, presadzovania a zodpovednosti.

(68)

Na základe rámca pre ochranu osobných údajov medzi EÚ a USA sa preto dotknutým osobám poskytuje niekoľko možností na uplatnenie svojich práv, podanie sťažnosti týkajúcej sa nedodržiavania zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA a dosiahnutie vyriešenia ich sťažnosti, a to v prípade potreby na základe rozhodnutia poskytujúceho účinný prostriedok nápravy. Fyzické osoby môžu sťažnosť predložiť priamo organizácii, nezávislému orgánu pre riešenie sporov určenému organizáciou, vnútroštátnym orgánom pre ochranu osobných údajov, ministerstvu obchodu alebo FTC. V prípadoch, keď sa ich sťažnosti nevybavia na základe žiadneho z týchto mechanizmov nápravy alebo presadzovania práva, majú fyzické osoby takisto právo využiť záväzné rozhodcovské konanie (príloha I k prílohe I k tomuto rozhodnutiu). Okrem rozhodcovského výboru, v prípade ktorého sa požaduje, aby sa pred jeho využitím už vyčerpali určité prostriedky nápravy, môžu fyzické osoby využiť ktorýkoľvek mechanizmus nápravy alebo všetky mechanizmy nápravy podľa vlastného výberu a nie sú povinné prednostne si zvoliť jeden mechanizmus ani dodržať osobitné poradie.

(69)

Po prvé dotknuté osoby z Únie môžu riešiť prípady nedodržiavania zásad prostredníctvom priamej komunikácie s organizáciami zapojenými do rámca pre ochranu osobných údajov medzi EÚ a USA (110). V záujme uľahčenia riešenia musí organizácia zaviesť účinný mechanizmus nápravy na riešenie týchto sťažností. Podmienky ochrany súkromia organizácie musia preto obsahovať jasnú informáciu o kontaktnom mieste vnútri alebo mimo organizácie, ktoré sa bude zaoberať sťažnosťami (vrátane prípadnej prevádzkarne v Únii, ktorá môže odpovedať na otázky alebo sťažnosti), ako aj o určenom nezávislom orgáne pre riešenie sporov (pozri odôvodnenie 70). Po prijatí sťažnosti fyzickej osoby, priamo od fyzickej osoby alebo prostredníctvom ministerstva obchodu na základe postúpenia orgánom pre ochranu osobných údajov, musí organizácia poskytnúť dotknutej osobe z Únie odpoveď v lehote 45 dní (111). Organizácie takisto musia pohotovo odpovedať na otázky a iné žiadosti o informácie od ministerstva obchodu alebo orgánu pre ochranu osobných údajov (112) (ak sa organizácia zaviazala spolupracovať s orgánmi pre ochranu osobných údajov), ktoré sa týkajú ich dodržiavania zásad.

(70)

Po druhé fyzické osoby môžu predložiť sťažnosť aj priamo nezávislému orgánu pre riešenie sporov (v USA alebo v Únii) určenému organizáciou, ktorý bude vyšetrovať a riešiť ich sťažnosti (pokiaľ nie sú zjavne neopodstatnené alebo nezmyselné) a bezplatne poskytovať fyzickým osobám vhodné prostriedky nápravy (113). Sankcie a prostriedky nápravy uložené takýmto orgánom musia byť dostatočne prísne, aby sa zabezpečilo, že organizácie budú dodržiavať zásady, a mali by poskytovať spôsob, akým organizácia odstráni alebo napraví účinky nedodržania zásad, a v závislosti od okolností aj možnosť ukončenia ďalšieho spracovania príslušných osobných údajov a/alebo ich vymazania, ako aj povinnosť zverejniť zistenia o nedodržaní zásad (114). Nezávislé orgány pre riešenie sporov určené organizáciou sú povinné uvádzať na svojom verejnom webovom sídle príslušné informácie o rámci pre ochranu osobných údajov medzi EÚ a USA a o službách, ktoré na jeho základe poskytujú (115). Každý rok musia zverejniť výročnú správu so súhrnnými štatistickými údajmi o týchto službách (116).

(71)

Ministerstvo obchodu môže v rámci svojich postupov preskúmania dodržiavania zásad overiť, či sa organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA skutočne zaregistrovali v nezávislých mechanizmoch nápravy, o ktorých to tvrdia (117). Organizácie aj zodpovedné nezávislé mechanizmy nápravy sú povinné rýchlo reagovať na otázky a žiadosti ministerstva obchodu o informácie týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA. Ministerstvo obchodu bude spolupracovať s nezávislými mechanizmami nápravy s cieľom overiť, či na svojom webovom sídle uvádzajú informácie o zásadách a službách, ktoré poskytujú na základe rámca pre ochranu osobných údajov medzi EÚ a USA, a či zverejňujú výročné správy (118).

(72)

Ak organizácia nesplní rozhodnutie orgánu pre riešenie sporov alebo samoregulačného orgánu, tento orgán musí túto skutočnosť oznámiť ministerstvu obchodu a FTC (alebo inému orgánu USA s právomocou vyšetrovať nedodržiavanie zásad organizáciou), prípadne príslušnému súdu (119). Ak organizácia odmietne vyhovieť konečnému rozhodnutiu akéhokoľvek samoregulačného orgánu, ktorý sa zaoberá ochranou súkromia, nezávislého orgánu pre riešenie sporov alebo štátneho orgánu, alebo ak tento orgán rozhodne, že organizácia často nedodržiava zásady, môže sa to považovať za pretrvávajúce nedodržiavanie zásad, pričom výsledkom bude, že ministerstvo obchodu po tom, ako organizácii, ktorá nedodržala zásady, najprv 30 dní vopred poskytne oznámenie a príležitosť na odpoveď, vyškrtne túto organizáciu zo zoznamu zapojených organizácií (120). Ak organizácia po tom, ako bola vyradená zo zoznamu, naďalej uvádza, že disponuje osvedčením podľa rámca pre ochranu osobných údajov medzi EÚ a USA, ministerstvo obchodu vec postúpi FTC alebo inému orgánu presadzovania práva (121).

(73)

Po tretie môžu fyzické osoby svoje sťažnosti podať aj vnútroštátnemu orgánu pre ochranu osobných údajov v Únii, ktorý môže využiť svoju vyšetrovaciu právomoc a právomoc prijímať nápravné opatrenia podľa nariadenia (EÚ) 2016/679. Organizácie majú povinnosť spolupracovať pri vyšetrovaní a riešení sťažnosti zo strany orgánu pre ochranu osobných údajov, buď ak sa týka spracúvania údajov o ľudských zdrojoch získaných v rámci pracovnoprávneho vzťahu, alebo ak sa príslušné organizácie dobrovoľne podrobili dohľadu orgánov pre ochranu osobných údajov (122). Organizácie predovšetkým musia odpovedať na otázky, dodržiavať odporúčania orgánu pre ochranu osobných údajov, a to aj v súvislosti s opravnými alebo kompenzačnými opatreniami, a predložiť orgánu pre ochranu osobných údajov písomné potvrdenie, že takéto opatrenia boli prijaté (123). V prípade nedodržania odporúčania, ktoré poskytol orgán pre ochranu osobných údajov, orgán pre ochranu osobných údajov postúpi takéto prípady ministerstvu obchodu (ktoré môže odstrániť organizácie zo zoznamu zapojených organizácií) alebo, pokiaľ ide o možné opatrenia na presadzovanie práva, FTC alebo ministerstvu dopravy (v prípade nespolupráce s orgánmi pre ochranu osobných údajov alebo nedodržania zásad možno podľa práva USA využiť právne prostriedky nápravy) (124).

(74)

S cieľom uľahčiť spoluprácu pri účinnom vybavovaní sťažností ministerstvo obchodu aj FTC zriadili osobitné kontaktné miesto, ktoré je zodpovedné za priamu komunikáciu s orgánmi pre ochranu osobných údajov (125). Tieto kontaktné miesta pomáhajú s otázkami orgánov pre ochranu osobných údajov týkajúcimi sa dodržiavania zásad organizáciou.

(75)

Odporúčania orgánov pre ochranu osobných údajov (126) sa vydajú po tom, ako obe strany sporu dostanú primeranú možnosť vyjadriť sa a poskytnúť akékoľvek dôkazy podľa svojho želania. Výbor môže poskytnúť odporúčanie tak rýchlo, ako to umožní požiadavka na náležitý proces, a spravidla do 60 dní od prijatia sťažnosti (127). Ak určitá organizácia do 25 dní odo dňa doručenia odporúčaní nekoná v súlade s nimi a neposkytne žiadne uspokojujúce vysvetlenie omeškania, výbor môže oznámiť svoj zámer buď predložiť záležitosť FTC (alebo inému orgánu presadzovania práva USA), alebo dospieť k záveru, že záväzok spolupracovať bol závažným spôsobom porušený. V prvom prípade to môže viesť k začatiu konania vo veci presadzovania podľa oddielu 5 zákona o FTC (alebo podľa podobného zákona) (128). V druhom prípade výbor informuje ministerstvo obchodu, ktoré posúdi odmietnutie organizácie dodržať odporúčanie výboru orgánov pre ochranu osobných údajov ako pretrvávajúce nedodržiavanie zásad, čo bude mať za následok vyradenie organizácie zo zoznamu zapojených organizácií.

(76)

Ak orgán pre ochranu osobných údajov, ktorému bola sťažnosť predložená, prijal nedostatočné alebo neprijal žiadne opatrenia na riešenie sťažnosti, má každý sťažovateľ možnosť napadnúť toto konanie (nekonanie) na vnútroštátnych súdoch príslušného členského štátu EÚ.

(77)

Fyzické osoby môžu predložiť sťažnosti orgánom pre ochranu osobných údajov dokonca aj v prípade, keď výbor orgánov pre ochranu osobných údajov nebol určený ako orgán pre riešenie sporov danej organizácie. Orgán pre ochranu osobných údajov môže v týchto prípadoch postúpiť takéto sťažnosti buď ministerstvu obchodu, alebo FTC. V záujme uľahčenia a posilnenia spolupráce v otázkach týkajúcich sa sťažností fyzických osôb a nedodržiavania zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA zriadi ministerstvo obchodu vyhradené kontaktné miesto, ktoré bude plniť úlohu sprostredkovateľa a pomáhať s otázkami orgánov pre ochranu osobných údajov týkajúcimi sa dodržiavania zásad organizáciou (129). FTC sa takisto zaviazala zriadiť osobitné kontaktné miesto (130).

(78)

Po štvrté ministerstvo obchodu sa zaviazalo prijímať a preskúmavať sťažnosti týkajúce sa nedodržiavania zásad organizáciou a vyvinúť maximálne úsilie o ich vybavenie (131). Na tieto účely ministerstvo obchodu stanovilo pre orgány pre ochranu osobných údajov osobitné postupy na postupovanie sťažností vyhradenému kontaktnému miestu, ich sledovanie a následnú komunikáciu s organizáciami s cieľom uľahčiť ich vybavovanie (132). V záujme urýchlenia spracovania sťažností fyzických osôb kontaktné miesto v otázkach dodržiavania zásad komunikuje priamo s príslušným orgánom pre ochranu osobných údajov, a predovšetkým mu poskytuje aktuálne informácie o stave sťažnosti v lehote najviac 90 dní od jej postúpenia (133). To dotknutým osobám umožňuje podávať sťažnosti týkajúce sa nedodržiavania zásad zo strany spoločností zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA priamo svojmu vnútroštátnemu orgánu pre ochranu osobných údajov, ktorý ich postúpi ministerstvu obchodu ako orgánu, ktorý má v USA na starosti správu rámca pre ochranu osobných údajov medzi EÚ a USA.

(79)

Ak ministerstvo obchodu na základe svojich overení ex officio, na základe sťažností alebo akýchkoľvek iných informácií dospeje k záveru, že organizácia trvale nedodržiava zásady, môže takú organizáciu vyradiť zo zoznamu zapojených organizácií (134). Odmietnutie vyhovieť konečnému rozhodnutiu akéhokoľvek samoregulačného orgánu, ktorý sa zaoberá ochranou súkromia, nezávislého orgánu na riešenie sporov alebo štátneho orgánu vrátane orgánu pre ochranu osobných údajov sa bude považovať za trvalé nedodržiavanie zásad (135).

(80)

Po piate organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA musí podliehať právomoci orgánov USA, konkrétne FTC (136), ktoré majú potrebné vyšetrovacie právomoci a právomoci v oblasti presadzovania práva na účinné zabezpečenie dodržiavania zásad. FTC sa pri stanovovaní, či bol porušený oddiel 5 zákona o FTC, prioritne zaoberá prípadmi nedodržania zásad postúpenými nezávislými orgánmi pre riešenie sporov alebo samoregulačnými orgánmi, ministerstvom obchodu a orgánmi pre ochranu osobných údajov (ktoré konajú z vlastného podnetu alebo na základe sťažností) (137). FTC sa zaviazala vytvoriť štandardizovaný proces postupovania, určiť kontaktné miesto v rámci svojej štruktúry na prijímanie prípadov postúpených orgánmi pre ochranu osobných údajov a vymieňať si informácie o postúpených prípadoch. Okrem toho môže prijímať sťažnosti priamo od fyzických osôb a vykonávať vyšetrovania týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA z vlastného podnetu, najmä ako súčasť rozsiahlejších vyšetrovaní otázok ochrany súkromia.

(81)

Po šieste v prípade, že sa sťažnosť fyzickej osoby uspokojivo nevyriešila žiadnymi inými dostupnými možnosťami dosiahnutia nápravy, môže sa dotknutá osoba z Únie dovolávať záväzného rozhodcovského konania pred „výborom pre rámec pre ochranu osobných údajov medzi EÚ a USA“ ako mechanizmom nápravy „poslednej inštancie“ (138). Organizácie musia fyzické osoby informovať o možnosti využiť záväzné rozhodcovské konanie a sú povinné odpovedať po tom, ako osoba využila túto možnosť doručením oznámenia dotknutej organizácii (139).

(82)

Tento výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA tvorí skupina najmenej desiatich rozhodcov, ktorých určí ministerstvo obchodu a Komisia na základe ich nezávislosti, bezúhonnosti, ako aj skúseností s právnymi predpismi USA a Únie v oblasti ochrany údajov. V každom jednotlivom spore účastníci vyberú z tejto skupiny výbor zložený z jedného alebo troch (140) rozhodcov.

(83)

Ministerstvo obchodu vybralo na plnenie funkcie správy rozhodcovských konaní Medzinárodné centrum pre riešenie sporov (ICDR), ktoré je útvarom Amerického arbitrážneho združenia (AAA) pre medzinárodné záležitosti. Konania pred výborom pre rámec pre ochranu osobných údajov medzi EÚ a USA sa budú riadiť súborom dohodnutých pravidiel rozhodcovského konania a kódexom správania pre vymenovaných rozhodcov. Na webovom sídle ICDR-AAA sa poskytujú jasné a stručné informácie pre fyzické osoby o rozhodcovskom mechanizme a postupe podania návrhu na rozhodcovské konanie.

(84)

Pravidlami rozhodcovského konania dohodnutými medzi ministerstvom obchodu a Komisiou sa dopĺňa rámec pre ochranu osobných údajov medzi EÚ a USA, ktorý obsahuje niekoľko prvkov, ktorými sa posilňuje prístupnosť tohto mechanizmu pre dotknuté osoby z Únie: i) pri príprave sťažnosti výboru môže dotknutej osobe pomôcť príslušný vnútroštátny orgán pre ochranu osobných údajov; ii) keďže rozhodcovské konanie sa bude konať v USA, dotknuté osoby z Únie sa môžu rozhodnúť zúčastniť sa prostredníctvom videokonferencie alebo telefonickej konferencie, a to bez toho, aby im tým vznikli nejaké náklady; iii) keďže jazykom, ktorý sa bude používať v rozhodcovskom konaní, bude spravidla angličtina, tlmočenie a preklad v rámci rozhodcovského konania sa dotknutej osobe poskytnú v zásade na základe odôvodnenej žiadosti a bezplatne, iv) a napokon, hoci každý účastník si náklady na právneho zástupcu hradí sám, ak je zastúpený pred výborom právnym zástupcom, ministerstvo obchodu bude udržiavať fond s ročnými príspevkami od organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA, z ktorého sa budú hradiť trovy rozhodcovského konania až do maximálnej sumy, ktorú stanovia orgány USA po konzultácii s Komisiou (141).

(85)

Výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA má právomoc uložiť nepeňažnú spravodlivú náhradu pre konkrétnu osobu (142) potrebnú na nápravu nedodržania zásad. Hoci výbor pri rozhodovaní zohľadní aj iné prostriedky nápravy, ktoré už boli dosiahnuté prostredníctvom iných mechanizmov v rámci pre ochranu osobných údajov medzi EÚ a USA, fyzické osoby môžu vždy využiť rozhodcovské konanie, ak sa domnievajú, že tieto iné prostriedky nápravy sú nedostatočné. Dotknutým osobám z Únie to umožňuje využiť rozhodcovské konanie vo všetkých prípadoch, keď sa v dôsledku konania alebo nekonania organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA, nezávislých mechanizmov nápravy alebo príslušných orgánov USA (napríklad FTC) ich sťažnosti uspokojivo nevyriešia. Rozhodcovského konania sa nemožno dovolávať, ak má orgán pre ochranu osobných údajov podľa právnych predpisov právomoc riešiť danú sťažnosť týkajúcu sa organizácie zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA, najmä v tých prípadoch, kde je organizácia buď povinná spolupracovať a dodržiavať odporúčania orgánov pre ochranu osobných údajov, pokiaľ ide o spracovanie údajov o ľudských zdrojoch v súvislosti s pracovným pomerom, alebo sa k tomu dobrovoľne zaviazala. Fyzické osoby môžu vymáhať rozhodcovské rozhodnutia na súdoch USA podľa federálneho zákona o rozhodcovskom konaní, čím sa zabezpečuje právny prostriedok nápravy v prípade, že organizácia rozhodcovské rozhodnutie nevykoná.

(86)

Po siedme, ak si organizácia neplní záväzok dodržiavať zásady a zverejnené podmienky ochrany súkromia, podľa amerických právnych predpisov sú k dispozícii ďalšie možnosti dosiahnutia súdnej nápravy vrátane možnosti získať náhradu škody. Fyzické osoby môžu napríklad za určitých podmienok dosiahnuť súdnu nápravu (vrátane náhrady škody) podľa právnych predpisov na ochranu spotrebiteľa jednotlivých štátov v prípadoch podvodného nepravdivého vyhlásenia, nekalého alebo klamlivého konania alebo takýchto praktík (143) a podľa práva občianskoprávnych deliktov (najmä v prípade občianskoprávnych deliktov porušenia súkromia (144), privlastnenia si mena alebo podoby (145) a zverejnenia skutočností súkromného života (146)).

(87)

Jednotlivými možnosťami dosiahnutia nápravy uvedenými vyššie sa spoločne zabezpečuje, aby sa o každej sťažnosti týkajúcej sa nesúladu s rámcom pre ochranu osobných údajov medzi EÚ a USA zo strany organizácií, ktoré osvedčili svoje dodržiavanie zásad, riadne rozhodlo a aby sa dosiahla náprava.

3.   PRÍSTUP K OSOBNÝM ÚDAJOM PRENÁŠANÝM Z EURÓPSKEJ ÚNIE ORGÁNMI VEREJNEJ MOCI V SPOJENÝCH ŠTÁTOCH A ICH POUŽÍVANIE TÝMITO ORGÁNMI

(88)

Komisia takisto posúdila obmedzenia a záruky vrátane mechanizmov dohľadu a individuálnych prostriedkov nápravy, ktoré sú v americkom práve k dispozícii vo vzťahu k získavaniu a následnému používaniu osobných údajov prenášaných prevádzkovateľmi a sprostredkovateľmi v USA, ktoré vo verejnom záujme uskutočňujú americké orgány verejnej moci, a to najmä na účely presadzovania práva v trestných veciach a na účely národnej bezpečnosti (ďalej len „prístup vlády“) (147). Komisia pri posudzovaní toho, či podmienky, na základe ktorých sa vláde poskytuje prístup k údajom prenášaným do Spojených štátov podľa tohto rozhodnutia, spĺňajú kritérium „zásadnej rovnocennosti“ v súlade s článkom 45 ods. 1 nariadenia (EÚ) 2016/679, ako ho vykladá Súdny dvor so zreteľom na Chartu základných práv, zohľadnila viaceré kritériá.

(89)

Konkrétne akékoľvek obmedzenie práva na ochranu osobných údajov musí byť stanovené zákonom a v samotnom právnom základe, ktorý povoľuje zasahovanie do takéhoto práva, sa musí vymedziť, v akom rozsahu možno uplatňovanie príslušného práva obmedziť (148). Okrem toho v záujme splnenia požiadavky proporcionality, podľa ktorej sa v demokratickej spoločnosti musia výnimky z ochrany osobných údajov a obmedzenia ochrany osobných údajov uplatňovať len do prísne nevyhnutnej miery, aby boli splnené konkrétne ciele všeobecného záujmu, ktoré sú rovnocenné s cieľmi uznávanými Úniou, sa v tomto právnom základe musia stanovovať jasné a presné pravidlá upravujúce rozsah a uplatňovanie takýchto opatrení a zavádzať minimálne záruky, aby osoby, ktorých údaje boli prenesené, mali dostatočné záruky umožňujúce účinne chrániť ich osobné údaje pred rizikom zneužitia (149). Tieto pravidlá a záruky musia byť navyše právne záväzné a vymáhateľné fyzickými osobami (150). Dotknuté osoby musia mať najmä možnosť uplatniť právne prostriedky nápravy pred nezávislým a nestranným súdom, aby mali prístup k svojim osobným údajom, alebo dosiahnuť opravu alebo vymazanie takýchto údajov (151).

3.1.   Prístup a používanie zo strany orgánov verejnej moci Spojených štátov na účely presadzovania práva v trestných veciach

(90)

Pokiaľ ide o zasahovanie do osobných údajov prenášaných na základe rámca pre ochranu osobných údajov medzi EÚ a USA na účely presadzovania práva v trestných veciach, v práve Spojených štátov sa ukladá viacero obmedzení prístupu k osobným údajom a ich používania a poskytujú sa mechanizmy dohľadu a nápravy, ktoré sú v súlade s požiadavkami uvedenými v odôvodnení 89 tohto rozhodnutia. Podmienky, za ktorých sa takýto prístup môže uskutočniť, a záruky, ktoré sa vzťahujú na uplatnenie týchto právomocí, sa podrobne posudzujú v nasledujúcich oddieloch. V tejto súvislosti vláda USA (prostredníctvom ministerstva spravodlivosti) poskytla aj uistenie týkajúce sa uplatniteľných obmedzení a záruk (príloha VI k tomuto rozhodnutiu).

3.1.1.    Právne základy, obmedzenia a záruky

3.1.1.1.   Obmedzenia a záruky, pokiaľ ide o získavanie osobných údajov na účely presadzovania práva v trestných veciach

(91)

K osobným údajom spracúvaným organizáciami v USA, ktoré osvedčili svoje dodržiavanie zásad, prenášaným z Únie na základe rámca pre ochranu osobných údajov medzi EÚ a USA môžu získať prístup americkí federálni prokurátori a federálni vyšetrovací agenti na účely presadzovania práva v trestných veciach v rámci rôznych postupov, ako sa podrobnejšie vysvetľuje v odôvodneniach 92 – 99. Tieto postupy sa uplatňujú rovnakým spôsobom, ako keď sa informácie získavajú od ktorejkoľvek organizácie v USA, bez ohľadu na štátnu príslušnosť alebo miesto bydliska dotknutých osôb (152).

(92)

Po prvé sudca môže na žiadosť federálneho úradníka pre presadzovanie práva alebo právneho zástupcu vlády vydať príkaz na domovú prehliadku alebo na zaistenie (vrátane elektronicky uložených informácií) (153). Takýto príkaz možno vydať len v prípade existencie „dôvodnosti“ (probable cause(154), teda dôvodného zistenia, že na mieste označenom v súdnom príkaze sa pravdepodobne nachádzajú „predmety podliehajúce zaisteniu“ (dôkazy o trestnom čine, nezákonne držané predmety alebo majetok, ktorý je určený na použitie alebo bol použitý na spáchanie trestného činu). V príkaze musí byť identifikovaný majetok alebo predmet, ktorý sa má zaistiť, a určený sudca, ktorému sa má príkaz vrátiť. Osoba, ktorá sa podrobuje domovej prehliadke alebo ktorej majetok je predmetom prehliadky, môže podať návrh na zákaz použitia dôkazov získaných alebo vyvodených z nezákonnej prehliadky, ak sa tieto dôkazy predložia proti danej osobe počas trestného konania (155). Ak sa od držiteľa údajov (napr. spoločnosti) vyžaduje, aby sprístupnil údaje na základe príkazu, môže predovšetkým napadnúť požiadavku na sprístupnenie ako neprimerane zaťažujúcu (156).

(93)

Po druhé veľká porota (vyšetrovacia zložka súdu zostavená sudcom alebo magistrátnym sudcom) môže vydať výzvu v súvislosti s vyšetrovaním určitých závažných trestných činov (157), a to zvyčajne na žiadosť federálneho prokurátora, s cieľom požadovať od niekoho, aby predložil alebo sprístupnil obchodné záznamy, elektronicky uložené informácie alebo iné hmotné predmety. Okrem toho sa v rôznych zákonoch povoľuje používanie administratívnych výziev na predloženie alebo sprístupnenie obchodných záznamov, elektronicky uložených informácií alebo iných hmotných predmetov súvisiacich s vyšetrovaním podvodov v zdravotníctve, zneužívania detí, ochrany tajnej služby, prípadov kontrolovaných látok a s vyšetrovaním generálneho inšpektora (158). V oboch prípadoch musia byť informácie relevantné pre dané vyšetrovanie a výzva nesmie byť neopodstatnená, t. j. nekonkrétna, obmedzujúca alebo neprimerane zaťažujúca (čo sú dôvody, na základe ktorých môže príjemca výzvy predmetnú výzvu napadnúť) (159).

(94)

Veľmi podobné podmienky sa vzťahujú na administratívne výzvy vydané s cieľom získať prístup k údajom v držbe spoločností v USA na civilné alebo regulačné účely (z hľadiska verejného záujmu). Právomoc agentúr s civilnou a regulačnou zodpovednosťou vydávať takéto administratívne výzvy musí byť stanovená v zákone. Použitie administratívnej výzvy podlieha „kritériu primeranosti“, čo si vyžaduje, aby sa vyšetrovanie vykonávalo na legitímny účel, aby informácie požadované na základe výzvy boli na tento účel relevantné, aby agentúra ešte nemala k dispozícii informácie, ktoré požaduje na základe výzvy, a aby sa vykonali potrebné administratívne kroky na vydanie výzvy (160). V judikatúre najvyššieho súdu sa takisto objasnila potreba vyvážiť význam verejného záujmu v súvislosti s požadovanými informáciami s významom osobných a organizačných záujmov v oblasti súkromia (161). Hoci použitie administratívnej výzvy nepodlieha predchádzajúcemu súdnemu schváleniu, podlieha súdnemu preskúmaniu v prípade námietky príjemcu z uvádzaných dôvodov alebo ak sa vydávajúca agentúra snaží o presadenie výzvy na súde (162). Okrem týchto všeobecných hlavných obmedzení môžu z jednotlivých zákonov vyplývať osobitné (prísnejšie) požiadavky (163).

(95)

Po tretie viaceré právne základy umožňujú orgánom činným v trestnom konaní získať prístup k údajom o komunikácii. Súd môže vydať príkaz, ktorým sa povoľuje získavanie informácií v reálnom čase o vytáčaní, smerovaní, adresovaní a signalizovaní, bez obsahu samotnej komunikácie, týkajúcich sa určitého telefónneho čísla alebo e-mailovej adresy (prostredníctvom záznamníkov zdrojov a cieľov elektronickej komunikácie), ak dospeje k záveru, že daný orgán potvrdil, že informácie, ktoré sa pravdepodobne získajú, sú relevantné pre prebiehajúce vyšetrovanie trestného činu (164). V príkaze sa musí okrem iného uviesť totožnosť podozrivej osoby, ak je známa, atribúty komunikácie, na ktorú sa príkaz vzťahuje, a vyhlásenie o trestnom čine, ktorého sa takto získavané informácie týkajú. Používanie záznamníkov zdrojov a cieľov elektronickej komunikácie môže byť povolené najviac na obdobie šesťdesiatich dní, ktoré možno predĺžiť len novým súdnym príkazom.

(96)

Okrem toho na účely presadzovania práva v trestných veciach možno na základe zákona o uloženej komunikácii (Stored Communications Act(165) získať prístup k informáciám o účastníkoch, prevádzkovým údajom a uloženému obsahu komunikácie v držbe poskytovateľov internetových služieb, telefónnych spoločností a iných poskytovateľov služieb, ktorí sú tretími stranami. Na získanie uloženého obsahu elektronickej komunikácie musia orgány činné v trestnom konaní v zásade získať od sudcu príkaz na základe dôvodnosti domnienky, že predmetné konto obsahuje dôkaz o trestnom čine (166). Na získanie registračných údajov účastníkov, IP adries a príslušných časových pečiatok, ako aj fakturačných údajov, môžu orgány činné v trestnom konaní využiť výzvu. Na získanie väčšiny iných uložených informácií bez obsahu samotnej komunikácie, ako sú napríklad hlavičky e-mailov bez predmetu, musí orgán činný v trestnom konaní získať súdny príkaz, ktorý sudca vydá, ak je presvedčený o tom, že existujú opodstatnené dôvody domnievať sa, že požadované informácie sú relevantné a podstatné pre prebiehajúce vyšetrovanie trestného činu.

(97)

Poskytovatelia, ktorí dostanú žiadosť podľa zákona o uloženej komunikácii, to môžu na dobrovoľnom základe oznámiť zákazníkovi alebo účastníkovi, ktorého informácie sa požadujú, s výnimkou prípadov, keď príslušný orgán činný v trestnom konaní získa ochranný príkaz, v ktorom sa takéto oznámenie zakazuje (167). Ochranný príkaz je súdny príkaz, ktorým sa poskytovateľovi elektronických komunikačných služieb alebo diaľkových počítačových služieb, ktorému sú príkaz, výzva alebo súdny príkaz určené, ukladá povinnosť neoznámiť existenciu daného príkazu, výzvy alebo súdneho príkazu žiadnej inej osobe, pokiaľ to súd považuje za vhodné. Ochranný príkaz sa vydá vtedy, keď súd dospeje k záveru, že existuje dôvod domnievať sa, že oznámenie by vážne ohrozilo vyšetrovanie alebo neprimerane oneskorilo súdne konanie, napr. preto, že by viedlo k ohrozeniu života alebo fyzickej bezpečnosti osoby, k úteku pred trestným stíhaním, k zastrašovaniu potenciálnych svedkov atď. V memorande zástupcu generálneho prokurátora (ktoré je záväzné pre všetkých prokurátorov a zástupcov ministerstva spravodlivosti) sa vyžaduje, aby prokurátori podrobne určili potrebu ochranného príkazu a poskytli súdu odôvodnenie toho, ako sú v konkrétnom prípade splnené zákonné kritériá na získanie ochranného príkazu (168). V memorande sa ďalej vyžaduje, aby sa v návrhoch na ochranný príkaz vo všeobecnosti nestanovovalo dodatočné oznámenie s odstupom dlhším ako jeden rok. Ak by za výnimočných okolností bol potrebný príkaz s dlhším trvaním, žiadosť o vydanie takéhoto príkazu podlieha písomnému súhlasu dozorného úradníka určeného generálnym prokurátorom USA alebo príslušným námestníkom generálneho prokurátora. Okrem toho musí prokurátor pri ukončení vyšetrovania okamžite posúdiť, či existuje dôvod na zachovanie prípadných naďalej platných ochranných príkazov, a ak nie, zrušiť ochranný príkaz a zabezpečiť, aby bol poskytovateľ služieb o tom upovedomený (169).

(98)

Orgány činné v trestnom konaní môžu takisto odpočúvať prebiehajúcu telefonickú, ústnu alebo elektronickú komunikáciu na základe súdneho príkazu, v ktorom sudca dospel okrem iného k záveru, že je dôvodné domnievať sa, že odpočúvanie alebo elektronické zachytenie poskytne dôkaz o federálnom zločine alebo o pobyte utečenca unikajúceho pred stíhaním (170).

(99)

Ďalšiu ochranu poskytujú rôzne politiky a usmernenia ministerstva spravodlivosti vrátane usmernení generálneho prokurátora k domácim operáciám FBI (Attorney General Guidelines for Domestic FBI Operations – AGG-DOM), v ktorých sa okrem iného vyžaduje, aby Federálny úrad pre vyšetrovanie (FBI) používal dostupné vyšetrovacie metódy, ktoré menej zasahujú do súkromia, so zohľadnením ich účinku na súkromie a občianske slobody (171).

(100)

Podľa vyhlásení vlády USA sa na vyšetrovania v rámci presadzovania práva na úrovni jednotlivých štátov vzťahuje už uvedená rovnaká alebo vyššia ochrana (pokiaľ ide o vyšetrovania vykonávané podľa právnych predpisov jednotlivých štátov) (172). Najmä ústavné ustanovenia, ako aj zákony a judikatúra na štátnej úrovni opätovne potvrdzujú uvedenú ochranu pred neprimeranými prehliadkami a zaisteniami tým, že vyžadujú vydanie príkazu na domovú prehliadku (173). Príkazy na domovú prehliadku sa môžu podobne ako záruky na federálnej úrovni vydávať len na základe preukázania dôvodnosti a musia obsahovať opis miesta, ktoré sa má prehľadať, a osoby alebo veci, ktoré sa majú zaistiť (174).

3.1.1.2.   Ďalšie používanie získaných informácií

(101)

V súvislosti s ďalším používaním údajov získaných federálnymi orgánmi činnými v trestnom konaní sa v rôznych zákonoch, usmerneniach a normách ukladajú osobitné záruky. S výnimkou osobitných nástrojov, ktoré sa vzťahujú na činnosti FBI (AGG-DOM a usmernenia FBI k domácim vyšetrovaniam a operáciám), sa požiadavky opísané v tomto oddiele vo všeobecnosti vzťahujú na ďalšie používanie údajov akýmkoľvek federálnym orgánom vrátane údajov, ku ktorým sa získava prístup na civilné alebo regulačné účely. Patria sem požiadavky vyplývajúce z memoránd/nariadení Úradu pre riadenie a rozpočet, federálneho zákona o modernizácii v oblasti riadenia informačnej bezpečnosti, zo zákona o elektronickej verejnej správe a zákona o záznamoch federálnych agentúr.

(102)

V súlade s právomocou uloženou v Clingerovom-Cohenovom zákone (Clinger-Cohen Act, Pub. L. 104-106, oddiel E) a zákone z roku 1987 o počítačovej bezpečnosti (Computer Security Act, Pub. L. 100-235) vydal Úrad pre riadenie a rozpočet (OMB) obežník č. A-130 stanovujúci všeobecne záväzné usmernenia, ktoré sa vzťahujú na všetky federálne agentúry (vrátane orgánov presadzovania práva) v situáciách, keď nakladajú s informáciami o totožnosti (175). V obežníku sa predovšetkým vyžaduje, aby všetky federálne agentúry „obmedzili vytváranie, získavanie, používanie, spracúvanie, ukladanie, uchovávanie, poskytovanie a sprístupňovanie informácií o totožnosti na to, čo je zákonne povolené, relevantné a odôvodnene považované za potrebné na riadny výkon funkcií oprávnenej agentúry“ (176). Okrem toho, pokiaľ je to prakticky uskutočniteľné, federálne agentúry musia zabezpečiť, aby boli informácie o totožnosti presné, relevantné, aktuálne a úplné a aby boli obmedzené na minimum potrebné na riadny výkon funkcií agentúry. Vo všeobecnosti musia federálne agentúry zaviesť komplexný program ochrany súkromia s cieľom zabezpečiť súlad s platnými požiadavkami na ochranu súkromia, vypracovať a vyhodnotiť podmienky ochrany súkromia a riadiť riziká v oblasti ochrany súkromia, zachovávať postupy na odhaľovanie, dokumentovanie a nahlasovanie incidentov týkajúcich sa dodržiavania ochrany súkromia, vypracovať programy na zvyšovanie informovanosti o ochrane súkromia a programy odbornej prípravy pre zamestnancov a dodávateľov a zaviesť politiky a postupy na zabezpečenie toho, aby zamestnanci niesli zodpovednosť za dodržiavanie požiadaviek a podmienok ochrany súkromia (177).

(103)

Okrem toho sa v zákone o elektronickej verejnej správe (E-Government Act(178) vyžaduje, aby všetky federálne agentúry (vrátane orgánov činných v trestnom konaní) zaviedli ochranu bezpečnosti informácií úmernú riziku a rozsahu ujmy, ktorá by vznikla v dôsledku neoprávneného prístupu, používania, sprístupnenia, narušenia, zmeny alebo zničenia, aby mali hlavného úradníka pre informácie na zaistenie súladu s požiadavkami na bezpečnosť informácií a aby svoj program a postupy v oblasti informačnej bezpečnosti každoročne podrobili nezávislému hodnoteniu (napr. hodnotenie generálnym inšpektorom, pozri odôvodnenie 109) (179). Podobne sa v zákone o záznamoch federálnych agentúr (Federal Records Act – FRA) (180) a doplňujúcich právnych predpisoch (181) vyžaduje, aby informácie, ktorými disponujú federálne agentúry, podliehali zárukám zabezpečujúcim fyzickú integritu informácií a ich ochranu pred neoprávneným prístupom.

(104)

Podľa federálnych právnych predpisov vrátane federálneho zákona z roku 2014 o modernizácii v oblasti informačnej bezpečnosti (Federal Information Security Modernisation Act) vypracoval úrad OMB a Národný normalizačný a technologický inštitút (NIST) normy, ktoré sú záväzné pre federálne agentúry (vrátane orgánov činných v trestnom konaní) a v ktorých sa ďalej špecifikujú minimálne požiadavky na bezpečnosť informácií, ktoré sa musia zaviesť, vrátane kontrol prístupu, zabezpečenia informovanosti a odbornej prípravy, plánovania pre prípad nepredvídaných udalostí, reakcie na incidenty, nástrojov auditu a zodpovednosti, zabezpečenia integrity systémov a informácií, vykonávania posúdení rizík v oblasti ochrany súkromia a bezpečnosti atď. (182) Okrem toho v súlade s usmerneniami úradu OMB musia všetky federálne agentúry (vrátane orgánov činných v trestnom konaní) zachovávať a vykonávať plán riešenia prípadov porušenia ochrany údajov, a to aj pokiaľ ide o reakciu na takéto porušenia a posudzovanie rizík ujmy (183).

(105)

Pokiaľ ide o uchovávanie údajov, v zákone o záznamoch federálnych agentúr (184) sa od federálnych agentúr USA (vrátane orgánov činných v trestnom konaní) vyžaduje, aby stanovili obdobia uchovávania svojich záznamov (po ktorých uplynutí sa predmetné záznamy musia odstrániť), ktoré musí schváliť Národná správa archívov a záznamov (185). Dĺžka týchto období uchovávania sa určuje na základe rôznych faktorov ako druh vyšetrovania, či sú dôkazy pre vyšetrovanie naďalej relevantné atď. Pokiaľ ide o FBI, v usmerneniach AGG-DOM sa stanovuje, že FBI musí mať zavedený takýto plán uchovávania záznamov a viesť systém, v ktorom možno rýchlo získať informácie o stave vyšetrovania a jeho základe.

(106)

Napokon obežník úradu OMB č. A-130 obsahuje aj určité požiadavky týkajúce sa poskytovania informácií o totožnosti. Šírenie a sprístupňovanie osobne identifikovateľných informácií sa v zásade musí obmedziť na to, čo je zákonne povolené, relevantné a považované za primerane nevyhnutné na riadny výkon funkcií agentúry (186). Federálne agentúry USA musia pri výmene informácií o totožnosti s inými subjektmi verejnej správy podľa potreby stanoviť podmienky (vrátane vykonávania osobitných kontrol bezpečnosti a ochrany súkromia), ktorými sa riadi spracúvanie informácií, a to prostredníctvom písomných dohôd (vrátane zmlúv, dohôd o používaní údajov, dohôd o výmene informácií a memoránd o porozumení) (187). Pokiaľ ide o dôvody, na základe ktorých možno informácie šíriť, v usmerneniach AGG-DOM a v usmerneniach FBI k domácim vyšetrovaniam a operáciám (188) sa napríklad stanovuje, že FBI môže mať právnu povinnosť tak konať (napr. podľa medzinárodnej dohody) alebo je oprávnený informácie šíriť za určitých okolností, napríklad iným agentúram USA, ak je poskytnutie zlučiteľné s účelom, na ktorý sa informácie získali, a súvisí s ich úlohami; kongresovým výborom; zahraničným agentúram, ak sa informácie týkajú ich povinností a šírenie je v súlade so záujmami Spojených štátov; šírenie je potrebné najmä na ochranu a bezpečnosť osôb alebo majetku alebo na ochranu pred trestným činom alebo ohrozením v oblasti národnej bezpečnosti alebo na predchádzanie trestnej činnosti alebo ohrozeniu v oblasti národnej bezpečnosti a sprístupnenie je zlučiteľné s účelom, na ktorý sa informácie získali (189).

3.1.2.    Dohľad

(107)

Konanie federálnych orgánov činných v trestnom konaní podlieha dohľadu rôznych orgánov (190). Ako sa vysvetľuje v odôvodneniach 92 – 99, vo väčšine prípadov to zahŕňa predchádzajúci dohľad zo strany súdnictva, ktoré musí povoliť individuálne opatrenia na získavanie údajov pred ich použitím. Okrem toho iné orgány dohliadajú na rôzne fázy činnosti orgánov presadzovania práva v trestných veciach vrátane získavania a spracúvania osobných údajov. Tieto justičné a iné ako justičné orgány spoločne zabezpečujú, aby orgány presadzovania práva podliehali nezávislému dohľadu.

(108)

Po prvé v rámci rôznych ministerstiev poverených zodpovednosťou v oblasti presadzovania práva v trestných veciach pôsobia úradníci pre ochranu súkromia a občianskych slobôd (191). Hoci konkrétne právomoci týchto úradníkov sa môžu mierne líšiť v závislosti od povoľujúceho zákona, zvyčajne zahŕňajú dohľad nad postupmi s cieľom zabezpečiť, aby príslušné ministerstvo/agentúra primerane zohľadňovali otázky ochrany súkromia a občianskych slobôd a zaviedli vhodné postupy vybavovania sťažností fyzických osôb, ktoré sa domnievajú, že bolo narušené ich súkromie alebo občianske slobody. Všetci ministri, resp. riaditelia agentúr, musia zabezpečiť, aby úradníci pre ochranu súkromia a občianskych slobôd disponovali materiálmi a zdrojmi na plnenie svojho mandátu, mali prístup ku všetkým materiálom a zamestnancom potrebným na vykonávanie svojich funkcií, boli informovaní o navrhovaných zmenách podmienok ochrany a aby sa s nimi v súvislosti s takýmito zmenami konzultovalo (192). Úradníci pre ochranu súkromia a občianskych slobôd pravidelne podávajú správy Kongresu, ktoré okrem iného zahŕňajú informácie o počte a povahe sťažností prijatých ministerstvom/agentúrou a zhrnutia riešení týchto sťažností, vykonaných preskúmaní a zodpovedaných otázok a vplyvu činností vykonaných úradníkom (193).

(109)

Po druhé, okrem toho na činnosti ministerstva spravodlivosti vrátane FBI dohliada nezávislý generálny inšpektor (194). Generálni inšpektori sú zo zákona nezávislí (195) a zodpovední za vykonávanie nezávislých vyšetrovaní, auditov a inšpekcií programov a operácií ministerstva. Majú prístup ku všetkým záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám, odporúčaniam alebo iným relevantným materiálom, v prípade potreby aj prostredníctvom výzvy, a môžu prijímať výpovede svedkov (196). Hoci generálni inšpektori vydávajú nezáväzné odporúčania na nápravné opatrenia, ich správy vrátane správ o následných opatreniach (alebo ich neexistencii) (197) sa vo všeobecnosti zverejňujú a posielajú Kongresu, ktorý môže na tomto základe vykonávať svoju funkciu dohľadu (pozri odôvodnenie 111) (198).

(110)

Po tretie, pokiaľ útvary zodpovedné za presadzovanie trestného práva vykonávajú protiteroristické činnosti, podliehajú dohľadu Rady pre dohľad nad ochranou súkromia a občianskych slobôd (PCLOB), nezávislej agentúry v rámci výkonnej zložky zloženej z päťčlennej rady z dvoch strán, ktorú vymenúva prezident na pevne stanovené obdobie šiestich rokov so súhlasom Senátu (199). Rada PCLOB je podľa svojich stanov poverená úlohami v oblasti politík boja proti terorizmu a ich vykonávania s ohľadom na ochranu súkromia a občianskych slobôd. Pri preskúmavaní má prístup ku všetkým relevantným záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám a odporúčaniam agentúr vrátane utajovaných skutočností, môže viesť vypočúvania a prijímať výpovede svedkov (200). Prijíma správy od úradníkov pre ochranu občianskych slobôd a súkromia z viacerých federálnych ministerstiev/agentúr (201), môže vydávať odporúčania vládnym orgánom a orgánom presadzovania práva a pravidelne podáva správy výborom Kongresu a prezidentovi (202). Správy rady vrátane správ určených Kongresu sa musia v čo najväčšej možnej miere zverejňovať (203).

(111)

Napokon činnosti v oblasti presadzovania práva v trestných veciach podliehajú dohľadu osobitných výborov Kongresu USA (výbory Snemovne reprezentantov a Senátu pre súdnictvo). Výbory pre súdnictvo vykonávajú pravidelný dohľad rôznymi spôsobmi, najmä prostredníctvom vypočutí, vyšetrovaní, preskúmaní a správ (204).

3.1.3.    Prostriedky nápravy

(112)

Ako už bolo uvedené, orgány činné v trestnom konaní musia vo väčšine prípadov na získavanie osobných údajov získať predchádzajúce súdne povolenie. Administratívne výzvy tejto požiadavke síce nepodliehajú, ale sú obmedzené na osobitné situácie a sú predmetom nezávislého súdneho preskúmania prinajmenšom v prípadoch, keď sa vláda usiluje o ich presadenie na súde. Príjemcovia administratívnych výziev môžu tieto výzvy na súde napadnúť z dôvodu, že sú neopodstatnené, t. j. nekonkrétne, obmedzujúce alebo neprimerane zaťažujúce (205).

(113)

Fyzické osoby môžu predovšetkým podávať žiadosti alebo sťažnosti orgánom presadzovania práva v trestných veciach v súvislosti so zaobchádzaním s ich osobnými údajmi. Zahŕňa to aj možnosť požiadať o prístup k osobným údajom a o ich opravu (206). Pokiaľ ide o činnosti súvisiace s bojom proti terorizmu, fyzické osoby môžu podať sťažnosť aj úradníkom pre ochranu súkromia a občianskych slobôd (alebo iným úradníkom pre ochranu súkromia) v rámci orgánov presadzovania práva (207).

(114)

V práve USA sa navyše stanovuje niekoľko možností súdnej nápravy pre fyzické osoby, a to voči orgánu verejnej moci alebo niektorému z jeho úradníkov, ak tieto orgány spracovávajú osobné údaje (208). Tieto možnosti, ktoré vyplývajú najmä zo zákona o správnom konaní (Administrative Procedure Act – APA), zákona o slobodnom prístupe k informáciám (Freedom of Information Act – FOIA) a zákona o ochrane súkromia v rámci elektronickej komunikácie (Electronic Communications Privacy Act – ECPA), môžu využiť všetky fyzické osoby bez ohľadu na štátnu príslušnosť, s výhradou akýchkoľvek uplatniteľných podmienok.

(115)

Vo všeobecnosti má v zmysle ustanovení zákona APA (209) týkajúcich sa súdneho preskúmania „každá osoba, ktorá utrpí právnu krivdu v dôsledku činnosti agentúry, alebo ktorú činnosť agentúry nepriaznivo postihuje alebo poškodzuje“, nárok dožadovať sa súdneho preskúmania (210). To zahŕňa možnosť požiadať súd, aby „činnosť agentúry, zistenia a závery, ktoré sa považujú za […] svojvoľné, nevypočítateľné alebo za zneužitie právomoci, alebo inak v nesúlade so zákonom, vyhlásil za protiprávne a zrušil ich“ (211).

(116)

Konkrétnejšie, v hlave II zákona ECPA (212) sa uvádza systém zákonných práv v oblasti ochrany súkromia a ako takým sa ním upravuje prístup orgánov presadzovania práva k obsahu telefonickej, ústnej alebo elektronickej komunikácie, ktorú uchovávajú poskytovatelia služieb, ktorí sú tretími stranami (213). Trestne sa ním postihuje nezákonný prístup (t. j. nie povolený súdom alebo inak prípustný) k tejto komunikácii a poskytuje sa ním možnosť nápravy pre dotknuté osoby prostredníctvom podania občianskoprávnej žaloby na federálnom súde USA o náhradu skutočnej škody a represívnu náhradu škody, ako aj spravodlivé alebo deklaratórne nápravné opatrenie voči štátnemu úradníkovi, ktorý vedome spáchal tieto nezákonné činy, alebo voči USA.

(117)

Navyše niekoľko ďalších zákonov poskytuje fyzickým osobám právo podať žalobu na orgán verejnej moci USA alebo úradníka, pokiaľ ide o spracovanie ich osobných údajov, napríklad zákon o odpočúvaní (Wiretap Act(214), zákon o počítačových podvodoch a zneužívaní (Computer Fraud and Abuse Act(215), federálny zákon o žalobe za ujmu (Federal Torts Claim Act(216), zákon o práve na ochranu osobných finančných údajov (Right to Financial Privacy Act(217) a zákon o náležitom podávaní informácií o úverovej schopnosti (Fair Credit Reporting Act(218).

(118)

Takisto podľa zákona FOIA (219), hlavy 5 § 552 Zákonníka Spojených štátov, má každá osoba právo získať prístup k záznamom federálnej agentúry vrátane tých, ktoré obsahujú osobné údaje tejto fyzickej osoby. Po vyčerpaní správnych opravných prostriedkov sa fyzická osoba môže dovolávať takéhoto práva na prístup na súde, pokiaľ tieto záznamy nie sú chránené pred zverejnením na základe výnimky alebo osobitného vylúčenia týkajúceho sa presadzovania práva (220). V tomto prípade súd posúdi, či sa uplatňuje nejaká výnimka alebo či sa jej v súlade so zákonom dovoláva príslušný orgán verejnej moci.

3.2.   Prístup a použitie zo strany orgánov verejnej moci USA na účely národnej bezpečnosti

(119)

Právo Spojených štátov obsahuje rôzne obmedzenia a záruky týkajúce sa prístupu k osobným údajom a ich používania na účely národnej bezpečnosti a poskytuje mechanizmy dohľadu a nápravy, ktoré sú v súlade s požiadavkami uvedenými v odôvodnení 89 tohto rozhodnutia. Podmienky, za ktorých sa takýto prístup môže uskutočniť, a záruky, ktoré sa vzťahujú na uplatnenie týchto právomocí, sa podrobne posudzujú v nasledujúcich oddieloch.

3.2.1.    Právne základy, obmedzenia a záruky

3.2.1.1.   Platný právny rámec

(120)

Orgány USA môžu získavať osobné údaje prenášané z Únie organizáciám zapojeným do rámca pre ochranu osobných údajov medzi EÚ a USA v záujme národnej bezpečnosti na základe rôznych právnych nástrojov za osobitných podmienok a záruk.

(121)

Keď organizácie v Spojených štátoch prijali osobné údaje, spravodajské agentúry USA môžu žiadať o prístup k týmto údajom na účely národnej bezpečnosti len na základe zákona, konkrétne podľa zákona o sledovaní v rámci zahraničného spravodajstva (Foreign Intelligence Surveillance Act – FISA) alebo podľa zákonných ustanovení, ktorými sa povoľuje prístup prostredníctvom príkazov na vydanie informácií z dôvodu národnej bezpečnosti (National Security Letters – NSL) (221). Zákon FISA obsahuje niekoľko právnych základov, ktoré možno použiť na získavanie (a následné spracúvanie) osobných údajov dotknutých osôb z Únie prenášaných na základe rámca pre ochranu osobných údajov medzi EÚ a USA (oddiely 105 (222), 302 (223), 402 (224), 501 (225) a 702 (226) zákona FISA), ako sa podrobnejšie opisuje v odôvodneniach 142 – 152.

(122)

Spravodajské agentúry USA majú takisto možnosti získavať osobné údaje mimo Spojených štátov, ktoré môžu zahŕňať osobné údaje prenášané medzi Úniou a Spojenými štátmi. Získavanie mimo Spojených štátov sa zakladá na vykonávacom nariadení č. 12333 (227), ktoré vydal prezident (228).

(123)

Získavanie spravodajských informácií prostredníctvom signálového spravodajstva predstavuje formu získavania spravodajských informácií, ktorá je pre tento záver o primeranosti najrelevantnejšia, keďže sa týka získavania elektronických komunikácií a údajov z informačných systémov. Takéto údaje môžu spravodajské agentúry USA získavať tak v rámci Spojených štátov (na základe zákona FISA), ako aj pri prenose údajov do Spojených štátov (na základe vykonávacieho nariadenia č. 12333).

(124)

Prezident USA vydal 7. októbra 2022 vykonávacie nariadenie č. 14086 o posilnení záruk v prípade signálového spravodajstva Spojených štátov, v ktorom sa stanovujú obmedzenia a záruky pre všetky činnosti signálového spravodajstva USA. Týmto vykonávacím nariadením sa vo veľkej miere nahrádza prezidentská politická smernica (PPD-28) (229), posilňujú sa ním podmienky, obmedzenia a záruky, ktoré sa vzťahujú na všetky činnosti signálového spravodajstva (t. j. na základe zákona FISA a vykonávacieho nariadenia č. 12333) bez ohľadu na to, kde sa uskutočňujú (230), a zavádza sa ním nový mechanizmus nápravy, prostredníctvom ktorého môžu fyzické osoby tieto záruky uplatniť a presadzovať (231) (pozri podrobnejšie odôvodnenia 176 – 194). Do práva USA sa ním teda implementuje výsledok rozhovorov, ktoré sa uskutočnili medzi EÚ a USA po tom, ako Súdny dvor zrušil rozhodnutie Komisie o primeranosti štítu na ochranu osobných údajov (pozri odôvodnenie 6). Je preto mimoriadne dôležitým prvkom právneho rámca, ktorý sa posudzuje v tomto rozhodnutí.

(125)

Obmedzenia a záruky zavedené vykonávacím nariadením č. 14086 dopĺňajú obmedzenia a záruky stanovené v oddiele 702 zákona FISA a vo vykonávacom nariadení č. 12333. Požiadavky opísané ďalej (v oddieloch 3.2.1.2 a 3.2.1.3) musia spravodajské agentúry uplatňovať pri zapájaní sa do činností signálového spravodajstva podľa oddielu 702 zákona FISA a vykonávacieho nariadenia č. 12333, napr. pri výbere/identifikácii kategórií zahraničných spravodajských informácií, ktoré sa majú získať podľa oddielu 702 zákona FISA; zhromažďovaní zahraničných spravodajských informácií alebo informácií kontrarozviedky podľa vykonávacieho nariadenia č. 12333 a prijímaní individuálnych rozhodnutí o zacielení podľa oddielu 702 zákona FISA a vykonávacieho nariadenia č. 12333.

(126)

Požiadavky stanovené v tomto vykonávacom nariadení vydanom prezidentom sú záväzné pre všetky spravodajské služby. Musia sa ďalej plniť prostredníctvom politík a postupov agentúr, ktorými sa transponujú do konkrétnych smerníc týkajúcich sa každodenných operácií. V tejto súvislosti sa vo vykonávacom nariadení č. 14086 pre spravodajské agentúry USA stanovuje lehota jedného roka na aktualizáciu ich existujúcich politík a postupov (t. j. do 7. októbra 2023) s cieľom zosúladiť ich s požiadavkami vykonávacieho nariadenia. Takéto aktualizované politiky a postupy sa musia vypracovať po konzultácii s generálnym prokurátorom, úradníkom pre ochranu občianskych slobôd (CLPO) Úradu riaditeľa národnej spravodajskej služby (ODNI) a radou PCLOB – nezávislým orgánom dohľadu oprávneným na preskúmanie politík výkonných zložiek a ich vykonávania s cieľom chrániť súkromie a občianske slobody (pokiaľ ide o úlohu a postavenie rady PCLOB, pozri odôvodnenie 110) – a musia byť verejne dostupné (232). Okrem toho po zavedení aktualizovaných politík a postupov vykoná rada PCLOB preskúmanie s cieľom zabezpečiť ich súlad s vykonávacím nariadením. Každá spravodajská agentúra musí do 180 dní od ukončenia takéhoto preskúmania radou PCLOB starostlivo zvážiť a implementovať alebo inak riešiť všetky odporúčania rady PCLOB. Vláda USA 3. júla 2023 uverejnila takéto aktualizované politiky a postupy (233).

3.2.1.2.   Obmedzenia a záruky, pokiaľ ide o získavanie osobných údajov na účely národnej bezpečnosti

(127)

Vo vykonávacom nariadení č. 14086 sa stanovuje niekoľko ďalekosiahlych požiadaviek, ktoré sa vzťahujú na všetky činnosti signálového spravodajstva (získavanie, využívanie, poskytovanie atď. osobných údajov).

(128)

Po prvé základom takýchto činností musí byť zákon alebo prezidentské povolenie a musia sa vykonávať v súlade s právom USA vrátane Ústavy (234).

(129)

Po druhé musia byť zavedené primerané záruky na zabezpečenie toho, aby súkromie a občianske slobody boli neoddeliteľnou súčasťou plánovania takýchto činností (235).

(130)

Konkrétne možno akúkoľvek činnosť signálového spravodajstva vykonávať len „na základe zistenia založeného na primeranom posúdení všetkých relevantných faktorov, že dané činnosti sú potrebné na dosiahnutie validovanej priority spravodajstva“ (pokiaľ ide o pojem „validovaná priorita spravodajstva“, pozri odôvodnenie 135) (236).

(131)

Okrem toho sa takéto činnosti môžu vykonávať len „v rozsahu a spôsobom, ktorý je primeraný validovanej priorite spravodajstva, na ktorú boli schválené“ (237). Inými slovami, musí sa dosiahnuť správna rovnováha „medzi významom sledovanej priority spravodajstva a vplyvom na súkromie a občianske slobody dotknutých fyzických osôb bez ohľadu na ich štátnu príslušnosť alebo pobyt“ (238).

(132)

Napokon s cieľom zabezpečiť súlad s týmito všeobecnými požiadavkami, ktoré odrážajú zásady zákonnosti, nevyhnutnosti a proporcionality, podliehajú činnosti signálového spravodajstva dohľadu (pozri podrobnejšie oddiel 3.2.2) (239).

(133)

Tieto všeobecné požiadavky sú v súvislosti so získavaním signálového spravodajstva ďalej podporené viacerými podmienkami a obmedzeniami, ktorými sa zabezpečuje, aby sa zasahovanie do práv fyzických osôb obmedzovalo na to, čo je nevyhnutné a primerané na dosiahnutie legitímneho cieľa.

(134)

Po prvé sa vo vykonávacom nariadení obmedzujú dôvody, na základe ktorých možno získavať údaje v rámci činností signálového spravodajstva, a to dvoma spôsobmi. Na jednej strane sa vo vykonávacom nariadení stanovujú legitímne ciele, ktoré možno sledovať získavaním signálového spravodajstva, ako napríklad pochopenie alebo posúdenie spôsobilostí, zámerov alebo činností zahraničných organizácií vrátane medzinárodných teroristických organizácií, ktoré predstavujú aktuálnu alebo potenciálnu hrozbu pre národnú bezpečnosť Spojených štátov, ochrana pred zahraničnými vojenskými spôsobilosťami a činnosťami, pochopenie alebo posúdenie nadnárodných hrozieb, ktoré majú vplyv na globálnu bezpečnosť, ako napríklad zmena klímy a iné ekologické zmeny, riziká pre verejné zdravie a humanitárne hrozby (240). Na druhej strane sa vo vykonávacom nariadení uvádzajú určité ciele, ktoré sa nikdy nesmú sledovať prostredníctvom činností signálového spravodajstva, ako napríklad potláčanie kritiky, nesúhlasu alebo slobodného prejavu myšlienok či politických názorov jednotlivcov alebo médií, znevýhodňovanie osôb na základe ich etnickej a rasovej príslušnosti, pohlavia, rodovej identity, sexuálnej orientácie alebo vierovyznania alebo poskytovanie konkurenčnej výhody americkým spoločnostiam (241).

(135)

Spravodajské agentúry sa navyše na zdôvodnenie získavania signálového spravodajstva nemôžu odvolávať len na samotné legitímne ciele stanovené vo vykonávacom nariadení č. 14086, ale musia tieto činnosti na operačné účely ďalej odôvodniť konkrétnejšími prioritami, v záujme ktorých možno získavať signálové spravodajstvo. Inými slovami, v praxi sa signálové spravodajstvo môže získavať len s cieľom dosiahnuť konkrétnejšiu prioritu. Takéto priority sa stanovujú prostredníctvom osobitného postupu zameraného na zabezpečenie súladu s uplatniteľnými právnymi požiadavkami vrátane tých, ktoré sa týkajú ochrany súkromia a občianskych slobôd. Postup prebieha konkrétnejšie tak, že priority spravodajstva najskôr vypracuje riaditeľ národnej spravodajskej služby (na základe tzv. rámca národných priorít spravodajstva), ktorý ich predloží prezidentovi na schválenie (242). Pred tým, ako riaditeľ navrhne prezidentovi priority spravodajstva, musí v súlade s vykonávacím nariadením č. 14086 získať posudok úradníka pre ochranu občianskych slobôd úradu ODNI, v ktorom sa určí, či dané priority 1. slúžia na dosiahnutie jedného alebo viacerých legitímnych cieľov uvedených vo vykonávacom nariadení; 2. neboli navrhnuté tak, aby získavanie signálového spravodajstva slúžilo na niektorý zo zakázaných cieľov uvedených vo vykonávacom nariadení, ani či sa neočakáva, že by k tomu viedli, a 3. boli vypracované po primeranom zvážení ochrany súkromia a občianskych slobôd všetkých osôb bez ohľadu na ich štátnu príslušnosť alebo pobyt (243). V prípade, že riaditeľ s posudkom úradníka pre ochranu občianskych slobôd nesúhlasí, obe stanoviská sa musia predložiť prezidentovi (244).

(136)

Týmto postupom sa teda zabezpečuje najmä to, aby sa pri vypracúvaní priorít spravodajstva zohľadňovali aspekty ochrany súkromia už od počiatočnej fázy.

(137)

Po druhé po stanovení priority spravodajstva sa rozhodnutie o tom, či a do akej miery možno na dosiahnutie tejto priority získavať informácie prostredníctvom signálového spravodajstva, riadi viacerými požiadavkami. Týmito požiadavkami sa do praxe premietajú všeobecné štandardy nevyhnutnosti a proporcionality stanovené v oddiele 2 písm. a) vykonávacieho nariadenia.

(138)

Signálové spravodajstvo možno získavať len „na základe zistenia založeného na primeranom posúdení všetkých relevantných faktorov, že takéto získavanie je potrebné na dosiahnutie konkrétnej priority spravodajstva“ (245). Pri určovaní toho, či je konkrétna činnosť získavania signálového spravodajstva potrebná na dosiahnutie validovanej priority spravodajstva, musia spravodajské agentúry USA zvážiť dostupnosť, uskutočniteľnosť a vhodnosť iných zdrojov a metód, ktoré menej zasahujú do súkromia, a to aj spomedzi diplomatických a verejných zdrojov (246). Ak sú k dispozícii takéto alternatívne zdroje a metódy, ktoré menej zasahujú do súkromia, musia sa uprednostniť (247).

(139)

Ak sa po uplatnení týchto kritérií dospeje k záveru, že získavanie signálového spravodajstva je potrebné, musí byť „čo najviac prispôsobené konkrétnemu prípadu“ a nesmie „neprimerane ovplyvňovať ochranu súkromia a občianskych slobôd“ (248). V záujme zabezpečenia toho, aby nebola neprimerane ovplyvnená ochrana súkromia a občianskych slobôd, t. j. aby sa dosiahla správna rovnováha medzi potrebami národnej bezpečnosti a ochranou súkromia a občianskych slobôd, sa musia náležite zohľadniť všetky relevantné faktory, ako napríklad povaha sledovaného cieľa, miera, v akej činnosť získavania spravodajstva zasahuje do súkromia, vrátane trvania tejto činnosti, pravdepodobný prínos získavania spravodajstva k sledovanému cieľu, primerane predvídateľné dôsledky pre fyzické osoby a charakter a citlivosť údajov, ktoré sa majú získavať (249).

(140)

Pokiaľ ide o druh získavania signálového spravodajstva, získavanie údajov v rámci Spojených štátov, ktoré je pre tento záver o primeranosti najrelevantnejšie, keďže zahŕňa údaje prenesené organizáciám v USA, musí byť vždy cielené, ako sa podrobnejšie vysvetľuje v odôvodneniach 142 – 153.

(141)

„Hromadné získavanie“ (250) možno uskutočňovať len mimo Spojených štátov na základe vykonávacieho nariadenia č. 12333. Aj v tomto prípade sa podľa vykonávacieho nariadenia č. 14086 musí uprednostniť cielené získavanie (251). Naopak, hromadné získavanie je povolené len vtedy, keď informácie potrebné na dosiahnutie validovanej priority spravodajstva nemožno primerane získať cieleným spôsobom (252). Ak je potrebné hromadne získavať údaje mimo Spojených štátov, uplatňujú sa osobitné záruky podľa vykonávacieho nariadenia č. 14086 (253). Po prvé sa musia použiť metódy a technické opatrenia s cieľom obmedziť získavané údaje len na to, čo je potrebné na dosiahnutie validovanej priority spravodajstva, a zároveň sa musí minimalizovať získavanie nesúvisiacich informácií (254). Po druhé sa využívanie hromadne získaných informácií (vrátane vyhľadávania) vo vykonávacom nariadení obmedzuje na šesť konkrétnych cieľov, medzi ktoré patrí ochrana pred terorizmom, braním rukojemníkov a zadržiavaním fyzických osôb zahraničnou vládou, organizáciou alebo osobou alebo v ich mene, ochrana pred zahraničnou špionážou, sabotážou alebo atentátmi, ochrana pred hrozbami vyplývajúcimi z nadobudnutia alebo zo šírenia zbraní hromadného ničenia alebo súvisiacich technológií a pred inými hrozbami atď. (255) Napokon akékoľvek vyhľadávanie v signálovom spravodajstve, ktoré bolo získané hromadne, možno uskutočniť, len ak je to potrebné na dosiahnutie validovanej priority spravodajstva pri sledovaní uvedených šiestich cieľov a v súlade s politikami a postupmi, v ktorých sa primerane zohľadňuje vplyv vyhľadávania na ochranu súkromia a občianskych slobôd všetkých osôb bez ohľadu na ich štátnu príslušnosť alebo pobyt (256).

(142)

Okrem požiadaviek vykonávacieho nariadenia č. 14086 sa na získavanie údajov prostredníctvom signálového spravodajstva, ktoré boli prenesené organizácii v Spojených štátoch, vzťahujú osobitné obmedzenia a záruky upravené v oddiele 702 zákona FISA (257). Oddiel 702 zákona FISA oprávňuje na získavanie zahraničných spravodajských informácií zacielením na osoby, ktoré nie sú občanmi ani rezidentmi USA a o ktorých sa primerane usudzuje, že sa nachádzajú mimo Spojených štátov, a to s povinnou spoluprácou amerických poskytovateľov elektronických komunikačných služieb (258). Na účely získavania zahraničných spravodajských informácií podľa oddielu 702 zákona FISA generálny prokurátor a riaditeľ národnej spravodajskej služby každoročne predkladajú Súdu pre sledovanie v rámci zahraničného spravodajstva (FISC) certifikácie, v ktorých sa identifikujú kategórie zahraničných spravodajských informácií, ktoré sa majú získavať (259). Certifikácie musia byť sprevádzané postupmi zacielenia, minimalizácie a vyhľadávania, ktoré súd takisto schvaľuje a ktoré sú pre spravodajské agentúry USA právne záväzné.

(143)

FISC je nezávislý súd (260) zriadený federálnym zákonom, proti ktorého rozhodnutiam sa možno odvolať na Revíznom súde pre sledovanie v rámci zahraničného spravodajstva (FISCR) (261) a v konečnom dôsledku na Najvyššom súde Spojených štátov (262). Súd FISC (a FISCR) je podporovaný stálym výborom piatich prokurátorov a piatich technických expertov, ktorí majú odborné znalosti v otázkach národnej bezpečnosti a občianskych slobôd (263). Z tejto skupiny súd vymenuje osobu, ktorá bude slúžiť ako amicus curiae a pomáhať pri posudzovaní všetkých návrhov na príkaz alebo preskúmanie, ktoré podľa názoru súdu predstavujú nový alebo významný výklad zákona, pokiaľ súd nezistí, že také vymenovanie nie je vhodné (264). Tým sa najmä zabezpečuje, aby sa v posúdení súdu náležite zohľadnili otázky ochrany súkromia. Súd môže takisto vymenovať osobu alebo organizáciu za amicus curiae (a to aj s cieľom poskytovať technické odborné znalosti) vždy, keď to považuje za vhodné, prípadne môže na základe návrhu povoliť osobe alebo organizácii, aby predložili informácie amicus curiae (265).

(144)

Súd FISC preskúmava certifikácie a súvisiace postupy (najmä postupy zacielenia a minimalizácie) z hľadiska súladu s požiadavkami zákona FISA. Ak dospeje k záveru, že požiadavky nie sú splnené, môže certifikácie úplne alebo čiastočne zamietnuť a požiadať o zmenu postupov (266). V tejto súvislosti súd FISC opakovane potvrdil, že jeho preskúmanie postupov zacielenia a minimalizácie podľa oddielu 702 sa neobmedzuje na postupy v písomnej podobe, ale zahŕňa aj to, akým spôsobom vláda tieto postupy vykonáva (267).

(145)

Individualizované rozhodnutia o zacielení prijíma Národná bezpečnostná agentúra (NSA, spravodajská agentúra zodpovedná za zacielenie podľa oddielu 702 zákona FISA) v súlade s postupmi zacielenia schválenými súdom FISC, v ktorých sa od NSA vyžaduje, aby na základe všetkých okolností posúdila, či je pravdepodobné, že zacielením na konkrétnu osobu sa získajú zahraničné spravodajské informácie kategórie určenej v certifikácii (268). Toto posúdenie musí byť podrobné a založené na faktoch, musí vychádzať z analytického úsudku, zo špecializovanej odbornej prípravy a skúseností analytika, ako aj z povahy zahraničných spravodajských informácií, ktoré sa majú získavať (269). Zacielenie sa vykonáva určením tzv. selektorov, ktorými sa identifikujú konkrétne komunikačné kanály ako e-mailová adresa alebo telefónne číslo cieľa, nikdy však kľúčové slová ani mená fyzických osôb (270).

(146)

Analytici NSA najskôr identifikujú osoby, ktoré nie sú občanmi ani rezidentmi USA, nachádzajúce sa v zahraničí, ktorých sledovanie bude na základe posúdenia analytikov viesť k získaniu relevantných zahraničných spravodajských informácií stanovených v certifikácii (271). Ako sa uvádza v postupoch zacielenia NSA, NSA môže sledovanie upriamiť na cieľ, len ak už má o cieli nejaké poznatky (272). Tieto poznatky môžu vyplývať z informácií z rôznych zdrojov, napríklad od rozviedky. Prostredníctvom týchto iných zdrojov musí analytik zistiť aj konkrétny selektor (t. j. komunikačné konto), ktorý potenciálny cieľ používa. Po identifikovaní týchto individualizovaných osôb a schválení ich zacielenia prostredníctvom rozsiahleho mechanizmu preskúmania v rámci NSA (273) sa určia (t. j. vypracujú a uplatnia) selektory, ktorými sa identifikujú komunikačné kanály (napríklad e-mailové adresy) používané cieľmi (274).

(147)

NSA musí zdokumentovať faktické východisko výberu cieľa (275) a v pravidelných intervaloch po počiatočnom zacielení potvrdiť, že sú naďalej splnené kritériá zacielenia (276). Ak už kritériá zacielenia nie sú splnené, získavanie spravodajstva sa musí ukončiť (277). Výber každého cieľa, ktorý vykonala NSA, a jej záznamy o každom zaznamenanom posúdení a zdôvodnení zacielenia podliehajú preskúmaniu úradníkmi orgánu ministerstva spravodlivosti pre dohľad nad spravodajskými službami, ktorí každé dva mesiace overia ich súlad s postupmi zacielenia, pričom sú povinní oznámiť akékoľvek porušenie súdu FISC a Kongresu (278). Písomná dokumentácia NSA uľahčuje súdu FISC dohľad nad tým, či zacielenie na konkrétne osoby náležite spĺňa podmienky oddielu 702 zákona FISA, pričom súd FISC tento dohľad vykonáva v súlade so svojimi právomocami dohľadu opísanými v odôvodneniach 173 – 174 (279). Napokon sa od riaditeľa národnej spravodajskej služby (DNI) takisto vyžaduje, aby každoročne informoval o celkovom počte cieľov podľa oddielu 702 zákona FISA vo verejných výročných štatistických správach v záujme transparentnosti. Spoločnosti, ktoré dostanú príkaz podľa oddielu 702 zákona FISA, môžu zverejniť súhrnné údaje (prostredníctvom správ v záujme transparentnosti) o prijatých žiadostiach (280).

(148)

Pokiaľ ide o ostatné právne základy na získavanie osobných údajov prenášaných organizáciám v USA, uplatňujú sa rôzne obmedzenia a záruky. Hromadné získavanie údajov je vo všeobecnosti osobitne zakázané podľa oddielu 402 zákona FISA (povolenie pre záznamníky zdrojov a cieľov elektronickej komunikácie) a prostredníctvom príkazov na vydanie informácií z dôvodu národnej bezpečnosti, pričom sa namiesto toho vyžaduje používanie konkrétnych „selektorov“ (281).

(149)

Na vykonávanie klasického individualizovaného elektronického sledovania (podľa oddielu 105 zákona FISA) musia spravodajské agentúry predložiť súdu FISC návrh s uvedením skutočností a okolností, o ktoré sa opiera dôvodnosť domnienky, že daný komunikačný kanál využíva alebo má využívať zahraničná mocnosť alebo agent zahraničnej mocnosti (282). Súd FISC okrem iného posúdi, či je na základe predložených skutočností dôvodné domnievať sa, že to tak naozaj je (283).

(150)

Na vykonanie prehliadky priestorov alebo majetku, ktorej účelom je preskúmanie, zaistenie atď. informácií, materiálov alebo majetku (napr. počítačového zariadenia) na základe oddielu 301 zákona FISA, sa vyžaduje podanie návrhu na vydanie príkazu súdu FISC (284). V takomto návrhu musí byť okrem iného preukázaná dôvodnosť domnienky, že cieľom prehliadky je zahraničná mocnosť alebo agent zahraničnej mocnosti, že v priestoroch alebo majetku, ktorý sa má prehľadať, sa nachádzajú zahraničné spravodajské informácie a že priestory, ktoré sa majú prehľadať, sú vo vlastníctve, v užívaní, držbe (agenta) zahraničnej mocnosti alebo v procese prevodu so zapojením (agenta) zahraničnej mocnosti (285).

(151)

Podobne sa aj na inštaláciu záznamníkov zdrojov a cieľov elektronickej komunikácie (podľa oddielu 402 zákona FISA) vyžaduje podanie návrhu na vydanie príkazu súdu FISC (alebo magistrátneho sudcu USA) a použitie konkrétneho selektora, teda výrazu, ktorý konkrétne identifikuje osobu, konto atď. a používa sa na čo najväčšie prakticky možné obmedzenie rozsahu vyhľadávaných informácií (286). Povolenie sa netýka obsahu komunikácie, ale skôr sa zameriava na informácie o zákazníkovi alebo účastníkovi využívajúcom určitú službu (ako je meno, adresa, číslo účastníka, dĺžka/druh získanej služby, zdroj/mechanizmus platby).

(152)

V oddiele 501 zákona FISA (287), v ktorom sa povoľuje získavanie obchodných záznamov od bežného dopravcu (t. j. akákoľvek osoba alebo subjekt prepravujúci osoby alebo majetok pozemnou, železničnou, vodnou alebo leteckou dopravou za náhradu), verejného ubytovacieho zariadenia (napr. hotel, motel alebo hostinec), zariadenia na prenájom vozidiel alebo zariadenia poskytujúceho služby fyzického uskladnenia (t. j. ktoré poskytuje priestor na uskladnenie tovaru a materiálov alebo služby súvisiace s uskladnením tovaru a materiálov) (288), sa takisto vyžaduje podanie návrhu súdu FISC alebo magistrátnemu sudcovi. V danom návrhu musia byť uvedené požadované záznamy a konkrétne a vysvetliteľné skutočnosti, na základe ktorých sa možno domnievať, že osoba, ktorej sa záznamy týkajú, je zahraničnou mocnosťou alebo agentom zahraničnej mocnosti (289).

(153)

Napokon sa na základe rôznych zákonov vydávajú príkazy na vydanie informácií z dôvodu národnej bezpečnosti, ktoré vyšetrovacím agentúram umožňujú získať od určitých subjektov (napr. finančných inštitúcií, agentúr poskytujúcich informácie o úverovej schopnosti, poskytovateľov elektronických komunikačných služieb) určité informácie (bez obsahu komunikácie) obsiahnuté v záznamoch o úverovej schopnosti, finančných záznamoch a záznamoch o elektronickom odbere a transakciách (290). Príkazy na vydanie informácií z dôvodu národnej bezpečnosti, ktorými sa povoľuje prístup k elektronickej komunikácii, môže používať len FBI a vyžaduje sa pri nich, aby sa v žiadostiach uvádzal selektor, ktorý konkrétne identifikuje osobu, subjekt, telefónne číslo alebo konto, a aby sa v nich potvrdzovalo, že informácie sú relevantné pre povolené vyšetrovanie týkajúce sa národnej bezpečnosti s cieľom zaistiť ochranu proti medzinárodnému terorizmu alebo tajným spravodajským činnostiam (291). Príjemcovia príkazov na vydanie informácií z dôvodu národnej bezpečnosti majú právo napadnúť ich na súde (292).

3.2.1.3.   Ďalšie používanie získaných informácií

(154)

Spracúvanie osobných údajov získaných spravodajskými agentúrami USA prostredníctvom signálového spravodajstva podlieha viacerým zárukám.

(155)

Po prvé každá spravodajská agentúra musí zaistiť primeranú bezpečnosť údajov a zabrániť neoprávnenému prístupu k osobným údajom získaným prostredníctvom signálového spravodajstva. V tejto súvislosti sa v rôznych nástrojoch vrátane zákonov, usmernení a noriem bližšie špecifikujú minimálne požiadavky na bezpečnosť informácií, ktoré sa musia zaviesť (napr. dvojstupňová autentifikácia, šifrovanie atď.) (293). Prístup k získaným údajom musí byť obmedzený na oprávnených zamestnancov, ktorí absolvovali odbornú prípravu a potrebujú poznať dané informácie, aby mohli plniť svoju úlohu (294). Spravodajské agentúry musia svojim zamestnancom vo všeobecnosti poskytovať primeranú odbornú prípravu, a to aj pokiaľ ide o postupy oznamovania a riešenia porušení zákona (vrátane vykonávacieho nariadenia č. 14086) (295).

(156)

Po druhé spravodajské agentúry musia dodržiavať spravodajské štandardy týkajúce sa presnosti a objektivity, najmä pokiaľ ide o zabezpečenie kvality a spoľahlivosti údajov, zváženie alternatívnych zdrojov informácií a objektívnosť pri vykonávaní analýz (296).

(157)

Po tretie, pokiaľ ide o uchovávanie údajov, vo vykonávacom nariadení č. 14086 sa objasňuje, že na osobné údaje osôb, ktoré nie sú občanmi ani rezidentmi USA, sa vzťahujú rovnaké lehoty uchovávania ako na údaje občanov/rezidentov USA (297). Od spravodajských agentúr sa vyžaduje, aby vymedzili konkrétne obdobia uchovávania a/alebo faktory, ktoré sa musia zohľadniť pri určovaní dĺžky uplatniteľných lehôt uchovávania (napr. či sú informácie dôkazom o trestnom čine, či informácie predstavujú zahraničné spravodajské informácie, či sú informácie potrebné na ochranu bezpečnosti osôb alebo organizácií vrátane obetí alebo cieľov medzinárodného terorizmu), ktoré sú stanovené v rôznych právnych nástrojoch (298).

(158)

Po štvrté, pokiaľ ide o poskytovanie osobných údajov získaných prostredníctvom signálového spravodajstva, uplatňujú sa osobitné pravidlá. Vo všeobecnosti platí, že osobné údaje o osobách, ktoré nie sú občanmi ani rezidentmi USA, sa môžu poskytovať, len ak ide o rovnaký druh informácií, ktorých poskytovanie je povolené v prípade občanov/rezidentov USA, napr. informácie potrebné na ochranu bezpečnosti osoby alebo organizácie (ako sú ciele, obete alebo rukojemníci medzinárodných teroristických organizácií) (299). Osobné údaje sa navyše nesmú poskytovať len z dôvodu štátnej príslušnosti alebo krajiny pobytu osoby ani s cieľom obísť požiadavky vykonávacieho nariadenia č. 14086 (300). Poskytovanie v rámci vlády USA sa môže uskutočniť len na základe odôvodneného predpokladu oprávnenej a vyškolenej osoby, že príjemca potrebuje dané informácie poznať (301) a zaistí ich primeranú ochranu (302). Na určenie toho, či sa osobné údaje môžu poskytnúť príjemcom mimo vlády USA (vrátane zahraničnej vlády alebo medzinárodnej organizácie), sa musí zohľadniť účel ich poskytnutia, povaha a rozsah poskytnutých údajov a možný škodlivý vplyv na dotknutú osobu (osoby) (303).

(159)

Napokon sú všetky spravodajské agentúry povinné podľa vykonávacieho nariadenia č. 14086 viesť primeranú dokumentáciu o získavaní signálového spravodajstva, a to aj s cieľom uľahčiť dohľad nad dodržiavaním platných právnych požiadaviek, ako aj účinnú nápravu. Požiadavky na dokumentáciu sa vzťahujú na prvky ako faktické východisko posúdenia, že konkrétna činnosť získavania údajov je potrebná na dosiahnutie validovanej priority spravodajstva (304).

(160)

Okrem uvedených záruk vykonávacieho nariadenia č. 14086 týkajúcich sa používania informácií získaných prostredníctvom signálového spravodajstva podliehajú všetky spravodajské agentúry USA aj všeobecnejším požiadavkám na obmedzenie účelu, minimalizáciu údajov, presnosť, bezpečnosť, uchovávanie a šírenie, najmä na základe obežníka úradu OMB č. A-130, zákona o elektronickej verejnej správe, zákona o záznamoch federálnych agentúr (pozri odôvodnenia 101 – 106) a usmernenia Výboru pre systémy národnej bezpečnosti (CNSS) (305).

3.2.2.    Dohľad

(161)

Činnosti spravodajských agentúr USA podliehajú dohľadu rôznych orgánov.

(162)

Po prvé vo vykonávacom nariadení č. 14086 sa vyžaduje, aby každá spravodajská agentúra mala vyšších úradníkov v oblasti práva, dohľadu a dodržiavania predpisov s cieľom zabezpečiť dodržiavanie platných právnych predpisov USA (306). Musia predovšetkým vykonávať pravidelný dohľad nad činnosťami signálového spravodajstva a zabezpečiť nápravu akéhokoľvek nedodržania predpisov. Spravodajské agentúry musia takýmto úradníkom poskytnúť prístup ku všetkým relevantným informáciám, aby mohli vykonávať svoje funkcie dohľadu, a nesmú prijímať žiadne opatrenia, ktoré by bránili ich činnostiam dohľadu alebo ich neprimerane ovplyvňovali (307). Okrem toho sa každý významný prípad nedodržania predpisov (308), ktorý zistil úradník dohľadu alebo akýkoľvek iný zamestnanec, musí bezodkladne oznámiť riaditeľovi spravodajskej agentúry a riaditeľovi národnej spravodajskej služby, ktorí musia zabezpečiť prijatie všetkých potrebných opatrení na nápravu, ako aj na zabránenie opätovnému výskytu závažných prípadov nedodržania predpisov (309).

(163)

Túto funkciu dohľadu plnia úradníci s určenou úlohou v oblasti dodržiavania predpisov, ako aj úradníci pre ochranu súkromia a občianskych slobôd a generálni inšpektori (310).

(164)

Rovnako ako v prípade orgánov činných v trestnom konaní pôsobia vo všetkých spravodajských službách úradníci pre ochranu súkromia a občianskych slobôd (311). Právomoci týchto úradníkov zvyčajne zahŕňajú dohľad nad postupmi s cieľom zabezpečiť, aby príslušné ministerstvo/agentúra primerane zohľadňovali otázky ochrany súkromia a občianskych slobôd a zaviedli vhodné postupy vybavovania sťažností fyzických osôb, ktoré sa domnievajú, že bolo narušené ich súkromie alebo občianske slobody (a v niektorých prípadoch, napríklad Úrad riaditeľa národnej spravodajskej služby – ODNI, môžu mať sami právomoc vyšetrovať sťažnosti (312)). Riaditelia spravodajských agentúr musia zabezpečiť, aby úradníci pre ochranu súkromia a občianskych slobôd disponovali zdrojmi na plnenie svojho mandátu, mali prístup ku všetkým materiálom a zamestnancom potrebným na vykonávanie svojich funkcií, boli informovaní o navrhovaných zmenách podmienok ochrany a aby sa s nimi v súvislosti s takýmito zmenami konzultovalo (313). Úradníci pre ochranu súkromia a občianskych slobôd pravidelne podávajú správy Kongresu a rade PCLOB, ktoré okrem iného zahŕňajú informácie o počte a povahe sťažností prijatých ministerstvom/agentúrou so zhrnutím riešení týchto sťažností, vykonaných preskúmaní a zodpovedaných otázok a vplyvu činností vykonaných úradníkom (314).

(165)

Po druhé každá spravodajská agentúra má nezávislého generálneho inšpektora, ktorý okrem iného zodpovedá za dohľad nad zahraničnou spravodajskou činnosťou. V rámci úradu ODNI to zahŕňa Úrad generálneho inšpektora pre spravodajské služby s rozsiahlou právomocou nad všetkými spravodajskými službami, ktorý je oprávnený vyšetrovať sťažnosti alebo informácie týkajúce sa obvinení z nezákonného konania alebo zo zneužitia právomoci v súvislosti s programami a činnosťami úradu ODNI a/alebo spravodajských služieb (315). Podobne ako pri orgánoch činných v trestnom konaní (pozri odôvodnenie 109) sú títo generálni inšpektori zo zákona nezávislí (316) a zodpovední za vykonávanie auditov a vyšetrovaní v súvislosti s programami a operáciami vykonávanými príslušnou agentúrou na účely národného spravodajstva vrátane prípadov zneužitia alebo porušenia zákona (317). Majú prístup ku všetkým záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám, odporúčaniam alebo iným relevantným materiálom, v prípade potreby aj prostredníctvom výzvy, a môžu prijímať výpovede svedkov (318). Generálni inšpektori oznamujú prípady podozrenia z porušenia predpisov na účely trestného stíhania a predkladajú riaditeľom agentúr odporúčania na nápravné opatrenia (319). Hoci ich odporúčania sú nezáväzné, ich správy vrátane správ o následných opatreniach (alebo ich neexistencii) (320) sa vo všeobecnosti zverejňujú a posielajú Kongresu, ktorý môže na tomto základe vykonávať svoju vlastnú funkciu dohľadu (pozri odôvodnenia 168 – 169) (321).

(166)

Po tretie Výbor pre dohľad nad spravodajskou službou (IOB) zriadený v rámci Poradného výboru prezidenta pre spravodajskú službu (PIAB) dohliada na dodržiavanie Ústavy a všetkých príslušných predpisov spravodajskými orgánmi USA (322). Výbor PIAB je poradný orgán v rámci Úradu prezidenta, ktorý má 16 členov vymenovaných prezidentom mimo vlády USA. Výbor IOB tvorí najviac päť členov, ktorých vymenúva prezident spomedzi členov výboru PIAB. Podľa vykonávacieho nariadenia č. 12333 (323) sú riaditelia všetkých spravodajských agentúr povinní oznámiť výboru IOB každú spravodajskú činnosť, v súvislosti s ktorou existuje dôvod domnievať sa, že môže byť protiprávna alebo v rozpore s vykonávacím nariadením alebo prezidentskou smernicou. S cieľom zabezpečiť, aby mal výbor IOB prístup k informáciám potrebným na vykonávanie svojich funkcií, sa vo vykonávacom nariadení č. 13462 riaditeľovi národnej spravodajskej služby a riaditeľom spravodajských agentúr nariaďuje, aby výboru v rozsahu povolenom zákonom poskytovali všetky informácie a súčinnosť, ktoré výbor IOB považuje za potrebné na vykonávanie svojich funkcií (324). Výbor IOB je zas povinný informovať prezidenta o spravodajských činnostiach, o ktorých sa domnieva, že môžu byť v rozpore s právom USA (vrátane vykonávacích nariadení) a že sa nimi generálny prokurátor, riaditeľ národnej spravodajskej služby ani riaditeľ dotknutej spravodajskej agentúry primerane nezaoberajú (325). Ďalej je výbor IOB povinný informovať generálneho prokurátora o možných porušeniach trestného práva.

(167)

Po štvrté spravodajské agentúry podliehajú dohľadu rady PCLOB. Rada PCLOB je podľa svojich stanov poverená úlohami v oblasti politík boja proti terorizmu a ich vykonávania s ohľadom na ochranu súkromia a občianskych slobôd. Pri preskúmavaní činnosti spravodajských agentúr má prístup ku všetkým relevantným záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám a odporúčaniam agentúr vrátane utajovaných skutočností, môže viesť vypočúvania a prijímať výpovede svedkov (326). Prijíma správy od úradníkov pre ochranu občianskych slobôd a súkromia z viacerých federálnych ministerstiev/agentúr (327), môže vydávať odporúčania vládnym a spravodajským agentúram a pravidelne podáva správy výborom Kongresu a prezidentovi (328). Správy rady vrátane správ určených Kongresu sa musia v čo najväčšej možnej miere zverejňovať (329). Rada PCLOB vydala niekoľko správ o dohľade a následných opatreniach vrátane analýzy programov vykonávaných na základe oddielu 702 zákona FISA a ochrany súkromia v tejto súvislosti, vykonávania smernice PPD 28 a vykonávacieho nariadenia č. 12333 (330). Rada PCLOB je zároveň poverená vykonávaním osobitných funkcií dohľadu, pokiaľ ide o implementovanie vykonávacieho nariadenia č. 14086, najmä preskúmavaním toho, či sú postupy agentúr v súlade s vykonávacím nariadením (pozri odôvodnenie 126), a vyhodnocovaním správneho fungovania mechanizmu nápravy (pozri odôvodnenie 194).

(168)

Po piate popri mechanizmoch dohľadu v rámci exekutívnej zložky vykonávajú úlohy dohľadu nad všetkými zahraničnými spravodajskými činnosťami USA aj osobitné výbory Kongresu USA (výbory Snemovne reprezentantov a Senátu pre spravodajskú službu a súdnictvo). Členovia týchto výborov majú prístup k utajovaným skutočnostiam, ako aj k spravodajským metódam a programom (331). Výbory vykonávajú svoje funkcie dohľadu rôznymi spôsobmi, najmä prostredníctvom vypočutí, vyšetrovaní, preskúmaní a správ (332).

(169)

Výborom Kongresu sú pravidelne predkladané správy o spravodajských činnostiach, a to aj od generálneho prokurátora, riaditeľa národnej spravodajskej služby, spravodajských agentúr a iných orgánov dohľadu (napr. generálnych inšpektorov), pozri odôvodnenia 164 – 165. Konkrétne podľa zákona o národnej bezpečnosti „[p]rezident zabezpečí, aby výbory Kongresu pre spravodajskú službu boli v plnej miere a ihneď informované o spravodajských činnostiach USA vrátane všetkých významných očakávaných spravodajských činností, ktoré sa vyžadujú podľa tejto podkapitoly“ (333). Zároveň „[p]rezident zabezpečí, aby sa každá protiprávna spravodajská činnosť, ako aj všetky nápravné opatrenia, ktoré boli prijaté alebo sa plánujú prijať v súvislosti s touto protiprávnou činnosťou, urýchlene oznámili výborom Kongresu pre spravodajskú službu“ (334).

(170)

Navyše z osobitných zákonov vyplývajú ďalšie požiadavky na podávanie správ. Konkrétne v zákone FISA sa vyžaduje, aby generálny prokurátor „plne informoval“ výbory Senátu a Snemovne reprezentantov pre spravodajskú službu a súdnictvo o činnostiach vlády podľa určitých častí zákona FISA (335). Ďalej sa v ňom vyžaduje, aby vláda poskytla výborom Kongresu kópie všetkých rozhodnutí, nariadení alebo stanovísk súdu FISC alebo súdu FISCR, ktoré obsahujú „významné vysvetlenia alebo výklady“ ustanovení zákona FISA. Pokiaľ ide o sledovanie podľa oddielu 702 zákona FISA, parlamentný dohľad sa vykonáva prostredníctvom zákonom požadovaných správ pre výbory pre spravodajskú službu a súdnictvo, ako aj prostredníctvom častých brífingov a vypočutí. Patrí medzi ne polročná správa generálneho prokurátora o uplatňovaní oddielu 702 zákona FISA s podpornými dokumentmi, ktoré zahŕňajú správy ministerstva spravodlivosti a úradu ODNI o dodržiavaní predpisov a opis akýchkoľvek prípadov nedodržania predpisov (336), a samostatné polročné posúdenie generálneho prokurátora a riaditeľa národnej spravodajskej služby, v ktorom sa dokumentuje dodržiavanie postupov zacielenia a minimalizácie (337).

(171)

Podľa zákona FISA je navyše vláda USA povinná Kongresu (a verejnosti) každý rok sprístupniť informácie okrem iného o počte vyžiadaných a prijatých príkazov podľa zákona FISA, ako aj odhady počtu občanov a rezidentov USA a iných osôb, ktorí boli predmetom sledovania (338). V zákone sa takisto vyžaduje podávanie ďalších verejných správ o počte vydaných príkazov na vydanie informácií z dôvodu národnej bezpečnosti (NSL), opäť v súvislosti s občanmi alebo rezidentmi USA aj inými osobami (pričom zároveň umožňuje príjemcom príkazov a certifikácií podľa zákona FISA a žiadostí NSL vydávať za určitých podmienok správy na účely zabezpečenia transparentnosti) (339).

(172)

Spravodajská služba USA vo všeobecnosti vyvíja rôznorodé úsilie na zabezpečenie transparentnosti svojich (zahraničných) spravodajských činností. Napríklad v roku 2015 prijal úrad ODNI zásady transparentnosti spravodajstva a plán vykonávania transparentnosti a nariadil, aby každá spravodajská agentúra vymenovala svojho úradníka pre transparentnosť spravodajstva s cieľom podporiť transparentnosť a viesť iniciatívy v oblasti transparentnosti (340). V rámci tohto úsilia spravodajské služby zverejnili a naďalej zverejňujú odtajnené časti politík, postupov, správ o dohľade, správ o činnostiach podľa oddielu 702 zákona FISA a vykonávacieho nariadenia č. 12333, rozhodnutí súdu FISC a iných materiálov, a to aj na osobitnej webovej stránke „IC on the Record“ (spravodajské služby verejne), ktorú spravuje úrad ODNI (341).

(173)

Napokon okrem orgánov dohľadu, ako sa uvádza v odôvodneniach 162 – 168, dohliada na získavanie osobných údajov podľa oddielu 702 zákona FISA aj súd FISC (342). Podľa pravidla 13 rokovacieho poriadku súdu FISC sú úradníci spravodajských agentúr USA zodpovední za dodržiavanie predpisov povinní oznámiť akékoľvek porušenie oddielu 702 zákona FISA v súvislosti s postupmi zacielenia, minimalizácie a vyhľadávania ministerstvu spravodlivosti a úradu ODNI, ktoré prípad následne oznámia súdu FISC. Okrem toho ministerstvo spravodlivosti a úrad ODNI predkladajú súdu FISC spoločné polročné hodnotiace správy o dohľade, v ktorých sa identifikujú trendy v oblasti dodržiavania predpisov v súvislosti so zacielením, uvádzajú štatistické údaje, opisujú kategórie prípadov nedodržania predpisov, podrobne opisujú dôvody, pre ktoré došlo k jednotlivým prípadom nedodržania predpisov v súvislosti so zacielením, a uvádzajú opatrenia, ktoré spravodajské agentúry prijali, aby zabránili ich opakovaniu (343).

(174)

V prípade potreby (napr. ak sa zistia porušenia postupov zacielenia) môže súd príslušnej spravodajskej agentúre nariadiť, aby prijala nápravné opatrenia (344). Predmetné prostriedky nápravy môžu siahať od individuálnych až po štrukturálne opatrenia, napr. od ukončenia získavania údajov a vymazania nezákonne získaných údajov až po zmenu v postupoch získavania, a to aj pokiaľ ide o usmernenia a odbornú prípravu pre zamestnancov (345). Súd FISC navyše počas svojho ročného preskúmania certifikácií podľa oddielu 702 posudzuje prípady nedodržania predpisov s cieľom určiť, či predložené certifikácie spĺňajú požiadavky zákona FISA. Podobne, ak súd FISC dospeje k záveru, že vládne certifikácie nie sú dostatočné, a to aj z dôvodu konkrétnych prípadov nedodržania predpisov, môže vydať tzv. príkaz na odstránenie nedostatkov (deficiency order), v ktorom sa od vlády vyžaduje, aby porušenie do 30 dní napravila, alebo v ktorom sa od vlády vyžaduje, aby ukončila certifikáciu podľa oddielu 702 alebo aby nezačala s jej vykonávaním. Napokon súd FISC posudzuje trendy pozorované v súvislosti s dodržiavaním predpisov a môže požadovať zmeny postupov alebo dodatočný dohľad a podávanie správ s cieľom riešiť tieto trendy (346).

3.2.3.    Prostriedky nápravy

(175)

Ako sa podrobnejšie vysvetľuje v tomto oddiele, dotknuté osoby z Únie majú v Spojených štátoch viaceré možnosti, ako podať žalobu na nezávislý a nestranný súd so záväznými právomocami. Spoločne umožňujú fyzickým osobám prístup k vlastným osobným údajom, preskúmanie zákonnosti prístupu vlády k ich údajom a v prípade zistenia porušenia aj nápravu takéhoto porušenia, a to aj vo forme opravy alebo vymazania ich osobných údajov.

(176)

Po prvé vo vykonávacom nariadení č. 14086, doplnenom nariadením generálneho prokurátora, ktorým sa zriaďuje Súd pre preskúmanie dodržiavania ochrany údajov, sa zaviedol osobitný mechanizmus nápravy na vybavovanie a riešenie sťažností fyzických osôb týkajúcich sa činností signálového spravodajstva USA. Každá fyzická osoba v EÚ je oprávnená podať mechanizmu nápravy sťažnosť v súvislosti s údajným porušením právnych predpisov USA upravujúcich činnosti signálového spravodajstva (napr. vykonávacieho nariadenia č. 14086, oddielu 702 zákona FISA, vykonávacieho nariadenia č. 12333), ktoré nepriaznivo ovplyvňuje jej záujmy v oblasti ochrany súkromia a občianskych slobôd (347). Tento mechanizmus nápravy je k dispozícii fyzickým osobám z krajín alebo organizácií regionálnej hospodárskej integrácie, ktoré generálny prokurátor USA označil za „oprávnené štáty“ (348). Dňa 30. júna 2023 generálny prokurátor označil Európsku úniu a tri krajiny Európskeho združenia voľného obchodu, ktoré spolu tvoria Európsky hospodársky priestor, podľa oddielu 3 písm. f) vykonávacieho nariadenia č. 14086 za „oprávnený štát“ (349). Týmto označením nie je dotknutý článok 4 ods. 2 Zmluvy o Európskej únii.

(177)

Dotknutá osoba z Únie, ktorá chce podať takúto sťažnosť, ju musí predložiť orgánu pre dohľad v členskom štáte EÚ, ktorý je príslušný pre dohľad nad spracúvaním osobných údajov orgánmi verejnej moci (orgán pre ochranu osobných údajov) (350). Tým sa zabezpečuje jednoduchý prístup k mechanizmu nápravy, keďže fyzické osoby sa môžu obrátiť na orgán „blízko domova“, s ktorým môžu komunikovať vo svojom vlastnom jazyku. Po overení požiadaviek na podanie sťažnosti podľa odôvodnenia 178 príslušný orgán pre ochranu osobných údajov postúpi sťažnosť prostredníctvom sekretariátu Európskeho výboru pre ochranu údajov do mechanizmu nápravy.

(178)

Na podanie sťažnosti mechanizmu nápravy sa nevzťahujú žiadne prísne požiadavky prípustnosti, keďže fyzické osoby nemusia preukázať, že ich údaje boli skutočne predmetom činností signálového spravodajstva USA (351). Zároveň je však nutné poskytnúť určité základné informácie ako východiskový bod pre mechanizmus nápravy na začatie preskúmania, napr. o akých osobných údajoch sa odôvodnene predpokladá, že boli prenesené do USA, a akými prostriedkami boli údajne prenesené, totožnosť vládnych subjektov USA, o ktorých sa predpokladá, že sú zapojené do údajného porušenia (ak sú známe), z akého základu vychádza tvrdenie, že došlo k porušeniu právnych predpisov USA (hoci to opäť neznamená nutnosť preukázať, že dané osobné údaje skutočne získali spravodajské agentúry USA), a aký druh nápravy sa požaduje.

(179)

Prvotné vyšetrovanie sťažností predložených tomuto mechanizmu nápravy vykonáva úradník pre ochranu občianskych slobôd úradu ODNI, ktorého existujúca zákonná úloha a právomoci boli rozšírené o tieto konkrétne opatrenia prijímané podľa vykonávacieho nariadenia č. 14086 (352). V rámci spravodajských služieb je úradník pre ochranu občianskych slobôd okrem iného zodpovedný za zabezpečenie toho, aby bola ochrana občianskych slobôd a súkromia primerane začlenená do politík a postupov úradu ODNI a spravodajských agentúr, za dohľad nad tým, aby úrad ODNI dodržiaval platné požiadavky týkajúce sa ochrany občianskych slobôd a súkromia, a za vykonávanie posúdení vplyvu na súkromie (353). Úradník pre ochranu občianskych slobôd úradu ODNI môže byť odvolaný riaditeľom národnej spravodajskej služby len zo závažného dôvodu, t. j. v prípade pochybenia, zneužitia právomoci, porušenia bezpečnosti, zanedbania povinností alebo nespôsobilosti (354).

(180)

Pri vykonávaní preskúmaní má úradník pre ochranu občianskych slobôd úradu ODNI prístup k informáciám podliehajúcim jeho posúdeniu a môže sa opierať o povinnú spoluprácu úradníkov pre ochranu súkromia a občianskych slobôd v rôznych spravodajských agentúrach (355). Spravodajské agentúry nesmú úradníkovi pre ochranu občianskych slobôd úradu ODNI brániť v preskúmaniach ani ich nenáležite ovplyvňovať. Platí to aj pre riaditeľa národnej spravodajskej služby, ktorý nesmie do preskúmania zasahovať (356). Pri preskúmavaní sťažnosti musí úradník pre ochranu občianskych slobôd úradu ODNI „uplatňovať právne predpisy nestranne“ so zreteľom na záujmy národnej bezpečnosti pri činnostiach signálového spravodajstva, ako aj na ochranu súkromia (357).

(181)

Úradník pre ochranu občianskych slobôd úradu ODNI v rámci svojho preskúmania určí, či došlo k porušeniu platných právnych predpisov USA, a ak áno, rozhodne o primeranej náprave (358). Primeranou nápravou sa myslia opatrenia, ktorými sa zistené porušenie v plnej miere napraví, napríklad ukončenie nezákonného získavania údajov, vymazanie nezákonne získaných údajov, vymazanie výsledkov nenáležite vykonaných vyhľadávaní v inak zákonne získaných údajoch, obmedzenie prístupu k zákonne získaným údajom na zamestnancov s primeranou odbornou prípravou alebo stiahnutie spravodajských správ obsahujúcich údaje získané bez zákonného povolenia alebo nezákonne poskytnuté údaje (359). Rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI o jednotlivých sťažnostiach (vrátane nápravy) sú pre dotknuté spravodajské agentúry záväzné (360).

(182)

Úradník pre ochranu občianskych slobôd úradu ODNI musí uchovávať dokumentáciu o svojom preskúmaní a vypracovať rozhodnutie klasifikované ako utajované, v ktorom vysvetlí východisko svojich skutkových zistení, určí, či došlo k predmetnému porušeniu, a určí primeranú nápravu (361). Ak sa v preskúmaní úradníka pre ochranu občianskych slobôd úradu ODNI odhalí porušenie, ktorého sa dopustil ktorýkoľvek orgán podliehajúci dohľadu súdu FISC, úradník pre ochranu občianskych slobôd musí zároveň predložiť správu klasifikovanú ako utajovaná námestníkovi generálneho prokurátora pre národnú bezpečnosť, ktorý je zas povinný oznámiť prípad nedodržania predpisov súdu FISC, a ten môže prijať ďalšie opatrenia na presadzovanie práva (v súlade s postupom opísaným v odôvodneniach 173 – 174) (362).

(183)

Po ukončení preskúmania úradník pre ochranu občianskych slobôd úradu ODNI informuje sťažovateľa prostredníctvom vnútroštátneho orgánu, že „preskúmaním sa buď nezistilo žiadne z predmetných porušení, alebo úradník pre ochranu občianskych slobôd úradu ODNI vydal rozhodnutie vyžadujúce primeranú nápravu“ (363). Zabezpečuje sa tým obrana dôvernosti činností vykonávaných na ochranu národnej bezpečnosti a zároveň tak fyzické osoby získajú rozhodnutie potvrdzujúce, že ich sťažnosť bola riadne vyšetrená a bolo v súvislosti s ňou rozhodnuté. Fyzická osoba môže navyše toto rozhodnutie napadnúť. Na tento účel bude informovaná, že sa môže odvolať na Súde pre preskúmanie dodržiavania ochrany údajov s cieľom preskúmať zistenia úradníka pre ochranu občianskych slobôd (pozri odôvodnenie 184 a nasl.), a o tom, že ak sa obráti na súd, bude jej pridelený osobitný advokát, ktorý bude obhajovať jej záujmy sťažovateľa (364).

(184)

Každý sťažovateľ, ako aj každá zložka spravodajských služieb môže požiadať o preskúmanie rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI pred Súdom pre preskúmanie dodržiavania ochrany údajov (DPRC). Takéto návrhy na preskúmanie sa musia predložiť do 60 dní od prijatia oznámenia od úradníka pre ochranu občianskych slobôd úradu ODNI o ukončení preskúmania a musia obsahovať všetky informácie, ktoré chce fyzická osoba poskytnúť súdu DPRC (napr. argumenty k právnym otázkam alebo uplatňovanie právnych predpisov na skutkové okolnosti prípadu) (365). Dotknuté osoby z Únie môžu opäť návrh predložiť príslušnému orgánu pre ochranu osobných údajov (pozri odôvodnenie 177).

(185)

DPRC je nezávislý súd zriadený generálnym prokurátorom na základe vykonávacieho nariadenia č. 14086 (366). Tvorí ho najmenej šesť sudcov, ktorých na štvorročné obnoviteľné funkčné obdobie vymenúva generálny prokurátor po porade s radou PCLOB, ministrom obchodu a riaditeľom národnej spravodajskej služby (367). Vymenovanie sudcov generálnym prokurátorom vychádza z kritérií používaných exekutívnou zložkou pri posudzovaní uchádzačov o pozície vo federálnom súdnictve, pričom sa kladie dôraz na všetku predchádzajúcu prax v súdnictve (368). Sudcovia okrem toho musia byť príslušníkmi právnického povolania (t. j. aktívni, spôsobilí členovia advokátskej komory s riadnym oprávnením na výkon advokátskej praxe) a musia mať primerané skúsenosti v oblasti práva na ochranu súkromia a národnej bezpečnosti. Generálny prokurátor sa musí usilovať zabezpečiť, aby v ktoromkoľvek okamihu mala aspoň polovica sudcov predchádzajúce skúsenosti v súdnictve a aby všetci sudcovia mali bezpečnostnú previerku umožňujúcu prístup k utajovaným skutočnostiam týkajúcim sa národnej bezpečnosti (369).

(186)

Na súd DPRC môžu byť vymenované len osoby, ktoré spĺňajú podmienky uvedené v odôvodnení 185 a ktoré v čase vymenovania nie sú a ani v predchádzajúcich dvoch rokoch neboli zamestnancami exekutívnej zložky. Podobne počas funkčného obdobia na súde DPRC nesmú sudcovia plniť žiadne úradné povinnosti ani byť zamestnaní v rámci vlády USA (s výnimkou plnenia funkcie sudcu na súde DPRC) (370).

(187)

Nezávislosť procesu rozhodovania sa dosahuje prostredníctvom viacerých záruk. Konkrétne exekutívna zložka (generálny prokurátor a spravodajské agentúry) nesmie zasahovať do preskúmania na súde DPRC ani ho neprimerane ovplyvňovať (371). Samotný súd DPRC je povinný rozhodovať vo veciach nestranne (372), pričom sa riadi vlastným rokovacím poriadkom (ktorý sa prijíma väčšinou hlasov). Ďalej sudcovia DPRC môžu byť odvolaní len generálnym prokurátorom a len zo závažného dôvodu (t. j. v prípade pochybenia, zneužitia právomoci, porušenia bezpečnosti, zanedbania povinností alebo nespôsobilosti) po náležitom zohľadnení štandardov platných pre federálnych sudcov, ktoré sú stanovené v Pravidlách správania sudcov a konaní o nespôsobilosti sudcov (Judicial-Conduct and Judicial-Disability Proceedings(373).

(188)

Návrhy podané na súd DPRC preskúmavajú senáty tvorené troma sudcami vrátane predsedajúceho sudcu, ktorí musia konať v súlade s Kódexom správania sudcov USA (Code of Conduct for U.S. Judges(374). Každému senátu pomáha osobitný advokát (375), ktorý má prístup ku všetkým informáciám týkajúcim sa prípadu vrátane utajovaných skutočností (376). Úlohou osobitného advokáta je zabezpečiť, aby boli zastúpené záujmy sťažovateľa a aby bol senát súdu DPRC náležite informovaný o všetkých relevantných právnych a skutkových otázkach (377). Osobitný advokát môže sťažovateľa požiadať o informácie prostredníctvom písomných otázok s cieľom podrobnejšie doložiť svoje stanovisko k návrhu na preskúmanie pred súdom DPRC podanému fyzickou osobou (378).

(189)

Súd DPRC preskúma rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI (o tom, či došlo k porušeniu platných právnych predpisov USA, aj o primeranej náprave) minimálne na základe záznamov z vyšetrovania úradníka pre ochranu občianskych slobôd úradu ODNI, ako aj všetkých informácií a podaní poskytnutých sťažovateľom, osobitným advokátom alebo spravodajskou agentúrou (379). Senát súdu DPRC má prístup ku všetkým informáciám potrebným na vykonanie preskúmania, ktoré môže získať od úradníka pre ochranu občianskych slobôd úradu ODNI (senát môže napr. požiadať úradníka pre ochranu občianskych slobôd, aby doplnil svoje záznamy o dodatočné informácie alebo skutkové zistenia, ak je to potrebné na vykonanie preskúmania) (380).

(190)

Pri ukončení preskúmania môže súd DPRC 1. rozhodnúť, že neexistujú dôkazy, ktoré by naznačovali, že došlo k činnostiam signálového spravodajstva zahŕňajúcim osobné údaje sťažovateľa; 2. rozhodnúť, že rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI boli z právneho hľadiska správne a podložené zásadnými dôkazmi, alebo 3. ak súd DPRC nesúhlasí s rozhodnutiami úradníka pre ochranu občianskych slobôd úradu ODNI (o tom, či došlo k porušeniu platných právnych predpisov USA, alebo o primeranej náprave), vydať vlastné rozhodnutia (381).

(191)

Vo všetkých prípadoch súd DPRC prijme písomné rozhodnutie väčšinou hlasov. Ak sa preskúmaním odhalí porušenie platných pravidiel, v rozhodnutí sa stanoví akákoľvek primeraná náprava, ktorá zahŕňa vymazanie nezákonne získaných údajov, vymazanie výsledkov nenáležite vykonaných vyhľadávaní, obmedzenie prístupu k zákonne získaným údajom na zamestnancov s primeranou odbornou prípravou alebo stiahnutie spravodajských správ obsahujúcich údaje získané bez zákonného povolenia alebo nezákonne poskytnuté údaje (382). Rozhodnutie súdu DPRC je záväzné a konečné vo vzťahu k sťažnosti, ktorá mu bola predložená (383). Navyše, ak sa v preskúmaní odhalí porušenie, ktorého sa dopustil ktorýkoľvek orgán podliehajúci dohľadu súdu FISC, súd DPRC musí zároveň predložiť správu klasifikovanú ako utajovaná námestníkovi generálneho prokurátora pre národnú bezpečnosť, ktorý je zas povinný oznámiť prípad nedodržania predpisov súdu FISC, a ten môže prijať ďalšie opatrenia na presadzovanie práva (v súlade s postupom opísaným v odôvodneniach 173 – 174) (384).

(192)

Každé rozhodnutie súdu DPRC sa zasiela úradníkovi pre ochranu občianskych slobôd úradu ODNI (385). V prípadoch, keď bolo preskúmanie súdu DPRC iniciované na základe návrhu sťažovateľa, vnútroštátny orgán informuje sťažovateľa, že súd DPRC dokončil svoje preskúmanie a že „preskúmaním sa buď nezistilo žiadne z predmetných porušení, alebo súd DPRC vydal rozhodnutie vyžadujúce primeranú nápravu“ (386). Úrad ministerstva spravodlivosti pre ochranu súkromia a občianskych slobôd vedie záznamy o všetkých informáciách preskúmaných súdom DPRC a o všetkých vydaných rozhodnutiach, ktoré sú k dispozícii budúcim senátom súdu DPRC na posúdenie ako nezáväzný precedens (387).

(193)

Ministerstvo obchodu je takisto povinné viesť záznamy o každom sťažovateľovi, ktorý podal sťažnosť (388). V záujme zvýšenia transparentnosti musí ministerstvo obchodu najmenej každých päť rokov kontaktovať príslušné spravodajské agentúry s cieľom overiť, či boli informácie týkajúce sa preskúmania súdom DPRC odtajnené (389). Ak áno, dotknutá fyzická osoba bude informovaná o dostupnosti takýchto informácií podľa uplatniteľného práva (t. j. že daná osoba môže požiadať o prístup podľa zákona o slobodnom prístupe k informáciám, pozri odôvodnenie 199).

(194)

Napokon správne fungovanie tohto mechanizmu nápravy bude podliehať pravidelnému a nezávislému hodnoteniu. Konkrétnejšie podľa vykonávacieho nariadenia č. 14086 podlieha fungovanie mechanizmu nápravy každoročnému preskúmaniu radou PCLOB ako nezávislým orgánom (pozri odôvodnenie 110) (390). V rámci tohto preskúmania rada PCLOB okrem iného posúdi, či úradník pre ochranu občianskych slobôd úradu ODNI a súd DPRC spracovali sťažnosti včas, či získali úplný prístup k potrebným informáciám, či sa v procese preskúmania náležite zohľadnili vecné záruky vykonávacieho nariadenia č. 14086 a či spravodajské služby v plnej miere dodržali rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI a súdu DPRC. Rada PCLOB vypracuje správu o výsledku svojho preskúmania, ktorá sa predloží prezidentovi, generálnemu prokurátorovi, riaditeľovi národnej spravodajskej služby, riaditeľom spravodajských agentúr, úradníkovi pre ochranu občianskych slobôd úradu ODNI a výborom Kongresu pre spravodajskú službu a ktorá sa zároveň zverejní v odtajnenej verzii – a následne bude podkladom pre pravidelné preskúmanie fungovania tohto rozhodnutia, ktoré bude vykonávať Komisia. Generálny prokurátor, riaditeľ národnej spravodajskej služby, úradník pre ochranu občianskych slobôd úradu ODNI a riaditelia spravodajských agentúr sú povinní splniť alebo inak riešiť všetky odporúčania uvedené v takýchto správach. Okrem toho rada PCLOB každoročne vydá verejné osvedčenie potvrdzujúce, či mechanizmus nápravy spracúva sťažnosti v súlade s požiadavkami vykonávacieho nariadenia č. 14086.

(195)

Popri osobitnom mechanizme nápravy zriadenom podľa vykonávacieho nariadenia č. 14086 sú všetkým fyzickým osobám (bez ohľadu na štátnu príslušnosť alebo miesto pobytu) dostupné aj možnosti dosiahnutia nápravy na všeobecných súdoch USA (391).

(196)

V zákone FISA a súvisiacom právnom predpise sa predovšetkým stanovuje, že fyzické osoby majú možnosť podať občianskoprávnu žalobu o peňažné odškodné proti Spojeným štátom, keď boli informácie o nich nezákonne a úmyselne použité alebo sprístupnené (392), žalovať osobne štátnych úradníkov USA o peňažné odškodné (393) a napadnúť zákonnosť sledovania (s cieľom vylúčiť použitie daných informácií) v prípade, že vláda USA chce proti tejto fyzickej osobe použiť alebo sprístupniť akékoľvek informácie získané alebo odvodené z elektronického sledovania v súdnom alebo správnom konaní v USA (394). Všeobecnejšie platí, že ak má vláda v úmysle použiť informácie získané počas spravodajských operácií proti podozrivej osobe v trestnom konaní, ústavné a zákonné požiadavky (395) ukladajú povinnosť sprístupniť určité informácie, aby žalovaný mohol napadnúť zákonnosť získavania a použitia dôkazov vládou.

(197)

Navyše existuje niekoľko osobitných možností, ktoré možno využiť v snahe uplatniť prostriedok nápravy proti štátnym úradníkom za nezákonný prístup vlády k osobným údajom alebo za ich používanie, a to aj na údajné účely národnej bezpečnosti [t. j. zákon o počítačových podvodoch a zneužívaní (Computer Fraud and Abuse Act(396), zákon o ochrane súkromia v rámci elektronickej komunikácie (Electronic Communications Privacy Act(397) a zákon o práve na ochranu osobných finančných údajov (Right to Financial Privacy Act(398)]. Všetky tieto druhy žalôb sa týkajú špecifických údajov, cieľov a/alebo druhov prístupu (napr. vzdialeného prístupu k počítaču cez internet) a sú k dispozícii za určitých podmienok (napr. úmyselné/zámerné konanie, konanie mimo úradnej právomoci, utrpená ujma).

(198)

V zákone o správnom konaní (Administrative Procedure Act – APA) (399) sa ponúka všeobecnejšia možnosť nápravy, podľa ktorej „každá osoba, ktorá utrpí právnu krivdu pre konanie agentúry, alebo ktorú konanie agentúry nepriaznivo postihuje alebo poškodzuje“, má nárok dožadovať sa súdneho preskúmania (400). To zahŕňa možnosť požiadať súd, aby „činnosť agentúry, zistenia a závery, ktoré sa považujú za […] svojvoľné, nevypočítateľné alebo za zneužitie právomoci, alebo inak v nesúlade so zákonom, vyhlásil za protiprávne a zrušil ich“ (401). Napríklad federálny odvolací súd v roku 2015 rozhodol vo veci nároku podľa zákona APA, že vláda USA nie je oprávnená na hromadné získavanie metaúdajov telefónie podľa oddielu 501 zákona FISA (402).

(199)

Napokon každá fyzická osoba má popri možnostiach dosiahnutia nápravy uvedených v odôvodneniach 176 – 198 právo požiadať o prístup k existujúcim záznamom federálnych agentúr podľa zákona o slobodnom prístupe k informáciám (Freedom of Information Act – FOIA), čo zahŕňa aj prípady, keď tieto záznamy obsahujú osobné údaje fyzickej osoby (403). Získanie takéhoto prístupu môže zároveň uľahčiť začatie konania na všeobecných súdoch, a to s cieľom doložiť preukázanie aktívnej legitimácie. Agentúry môžu odmietnuť poskytnúť informácie podliehajúce určitým konkrétnym výnimkám, medzi ktoré patrí aj prístup k utajovaným skutočnostiam týkajúcim sa národnej bezpečnosti a informáciám týkajúcim sa vyšetrovaní v oblasti presadzovania práva (404), ale sťažovatelia, ktorí s takouto odpoveďou nie sú spokojní, majú možnosť ju napadnúť prostredníctvom návrhu na administratívne a následne súdne preskúmanie (na federálnych súdoch) (405).

(200)

Z uvedeného vyplýva, že ak orgány presadzovania práva USA a národné bezpečnostné orgány majú prístup k osobným údajom patriacim do rozsahu pôsobnosti tohto rozhodnutia, takýto prístup upravuje právny rámec, v ktorom sa stanovujú podmienky, za ktorých sa prístup môže získať, pričom zabezpečuje, že prístup k údajom a ich ďalšie používanie sú obmedzené na to, čo je nevyhnutné a primerané na sledované ciele verejného záujmu. Na tieto záruky sa môžu odvolávať fyzické osoby, ktoré majú právo na účinnú nápravu.

4.   ZÁVER

(201)

Komisia sa domnieva, že Spojené štáty prostredníctvom zásad vydaných ministerstvom obchodu USA zaisťujú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, podľa rámca pre ochranu osobných údajov medzi EÚ a USA, ktorá v zásade zodpovedá ochrane zaručenej nariadením (EÚ) 2016/679.

(202)

Komisia sa ďalej domnieva, že účinné uplatňovanie zásad je zaručené povinnosťami týkajúcimi sa transparentnosti a správou rámca pre ochranu osobných údajov zo strany ministerstva obchodu. Okrem toho mechanizmy dohľadu a možnosti dosiahnutia nápravy v práve USA ako celok umožňujú v praxi odhaliť a postihnúť porušenia pravidiel ochrany údajov a poskytujú dotknutej osobe právne prostriedky nápravy na získanie prístupu k osobným údajom, ktoré sa jej týkajú, a prípadne na dosiahnutie opravy alebo vymazania takýchto údajov.

(203)

Napokon, na základe dostupných informácií o právnom poriadku USA vrátane informácií uvedených v prílohách VI a VII sa Komisia domnieva, že akýkoľvek zásah orgánov verejnej moci USA vo verejnom záujme, a najmä na účely presadzovania práva v trestných veciach a na účely národnej bezpečnosti do základných práv fyzických osôb, ktorých osobné údaje sa prenášajú z Únie do Spojených štátov podľa rámca pre ochranu osobných údajov medzi EÚ a USA, sa obmedzí na to, čo je nevyhnutne potrebné na dosiahnutie dotknutého legitímneho cieľa, a že existuje účinná právna ochrana proti takémuto zásahu. Vzhľadom na uvedené zistenia by sa preto malo rozhodnúť, že Spojené štáty zabezpečujú v zmysle článku 45 nariadenia (EÚ) 2016/679, vykladaného so zreteľom na Chartu základných práv Európskej únie, primeranú úroveň ochrany osobných údajov prenášaných z Európskej únie organizáciám osvedčeným podľa rámca pre ochranu osobných údajov medzi EÚ a USA.

(204)

Vzhľadom na to, že obmedzenia, záruky a mechanizmy nápravy stanovené vo vykonávacom nariadení č. 14086 sú základnými prvkami právneho rámca USA, z ktorých vychádza posúdenie Komisie, prijatie tohto rozhodnutia je založené najmä na prijatí aktualizovaných politík a postupov na implementovanie vykonávacieho nariadenia č. 14086 všetkými spravodajskými agentúrami USA, ku ktorému došlo 3. júla 2023 (pozri odôvodnenie 126), a označením Únie za oprávnenú organizáciu na účely mechanizmu nápravy, ku ktorému došlo 30. júna 2023 (pozri odôvodnenie 176).

5.   ÚČINKY TOHTO ROZHODNUTIA A OPATRENIA ORGÁNOV PRE OCHRANU OSOBNÝCH ÚDAJOV

(205)

Členské štáty a ich orgány sú povinné prijať opatrenia potrebné na dosiahnutie súladu s aktmi inštitúcií Únie, keďže tieto akty požívajú prezumpciu zákonnosti a majú z tohto dôvodu právne účinky dovtedy, kým neboli derogované, zrušené v konaní o žalobe o neplatnosť alebo vyhlásené za neplatné v nadväznosti na návrh na začatie prejudiciálneho konania alebo námietku nezákonnosti.

(206)

Rozhodnutie Komisie o primeranosti prijaté podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 je preto záväzné pre všetky orgány členských štátov, ktorým je určené, vrátane ich nezávislých dozorných orgánov. Konkrétne sa môžu prenosy od prevádzkovateľa alebo sprostredkovateľa v Únii organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, uskutočňovať bez potreby získania akéhokoľvek ďalšieho povolenia.

(207)

Zároveň treba pripomenúť, že podľa článku 58 ods. 5 nariadenia (EÚ) 2016/679 a objasnenia Súdneho dvora v rozsudku vo veci Schrems (406) platí, že ak vnútroštátny orgán pre ochranu osobných údajov spochybňuje, a to aj na základe sťažnosti, zlučiteľnosť rozhodnutia Komisie o primeranosti so základnými právami jednotlivca na súkromie a ochranu údajov, vo vnútroštátnom práve sa mu musí poskytnúť právny prostriedok nápravy umožňujúci uplatniť tieto výhrady na vnútroštátnom súde, ktorý môže mať povinnosť podať návrh na začatie prejudiciálneho konania na Súdnom dvore (407).

6.   MONITOROVANIE A PRESKÚMAVANIE TOHTO ROZHODNUTIA

(208)

Podľa judikatúry Súdneho dvora (408), a ako sa uznáva v článku 45 ods. 4 nariadenia (EÚ) 2016/679, by mala Komisia po prijatí rozhodnutia o primeranosti nepretržite monitorovať príslušný vývoj v tretej krajine s cieľom posúdiť, či tretia krajina aj naďalej zabezpečuje v zásade zodpovedajúcu úroveň ochrany. Takéto overenie je v každom prípade potrebné, keď Komisia dostane informácie, na základe ktorých vzniknú dôvodné pochybnosti v tomto ohľade.

(209)

Komisia by preto mala neustále monitorovať situáciu v Spojených štátoch, pokiaľ ide o právny rámec a skutočnú prax spracúvania osobných údajov, ktoré sa posudzujú v tomto rozhodnutí. Aby sa tento proces uľahčil, orgány Spojených štátov by mali bezodkladne informovať Komisiu o podstatnom vývoji právneho poriadku USA, ktorý má vplyv na právny rámec, ktorý je predmetom tohto rozhodnutia, ako aj o akomkoľvek vývoji postupov týkajúcich sa spracúvania osobných údajov posudzovaných v tomto rozhodnutí, pokiaľ ide o spracúvanie osobných údajov organizáciami v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, ako aj o obmedzenia a záruky, ktoré sú uplatniteľné na prístup orgánov verejnej moci k osobným údajom.

(210)

Navyše, aby Komisia mohla účinne vykonávať svoju monitorovaciu funkciu, mali by ju členské štáty informovať o všetkých relevantných opatreniach, ktoré prijali vnútroštátne orgány pre ochranu osobných údajov, najmä pokiaľ ide o otázky alebo sťažnosti dotknutých osôb z Únie týkajúce sa prenosu osobných údajov z Únie organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad. Komisia by mala byť informovaná aj o akýchkoľvek známkach toho, že opatrenia amerických orgánov verejnej moci zodpovedných za predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo za národnú bezpečnosť vrátane akýchkoľvek orgánov dohľadu nezabezpečujú požadovanú úroveň ochrany.

(211)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 (409) by Komisia mala po prijatí tohto rozhodnutia pravidelne preskúmavať, či sú závery týkajúce sa primeranosti úrovne ochrany, ktorú zabezpečujú Spojené štáty podľa rámca pre ochranu osobných údajov medzi EÚ a USA, naďalej skutkovo a právne odôvodnené. Keďže najmä v prípade vykonávacieho nariadenia č. 14086 a nariadenia generálneho prokurátora sa vyžaduje vytvorenie nových mechanizmov a zavedenie nových záruk, toto rozhodnutie by sa malo podrobiť prvému preskúmaniu do jedného roka od nadobudnutia účinnosti, aby sa overilo, či boli všetky relevantné prvky v plnej miere implementované a či účinne fungujú v praxi. Po tomto prvom preskúmaní a v závislosti od jeho výsledku Komisia v úzkej spolupráci s výborom zriadeným podľa článku 93 ods. 1 nariadenia (EÚ) 2016/679 a s Európskym výborom pre ochranu údajov rozhodne o intervale budúcich preskúmaní (410).

(212)

V záujme vykonávania preskúmaní by sa Komisia mala stretnúť s ministerstvom obchodu, FTC a ministerstvom dopravy, ku ktorým by sa podľa potreby mali pripojiť ďalšie ministerstvá a agentúry zapojené do vykonávania rámca pre ochranu osobných údajov medzi EÚ a USA, a v otázkach týkajúcich sa prístupu vlády k údajom aj so zástupcami ministerstva spravodlivosti, úradu ODNI (vrátane úradníka pre ochranu občianskych slobôd), iných zložiek spravodajských služieb, súdu DPRC a s osobitnými advokátmi. Na tomto stretnutí by mali mať možnosť zúčastniť sa zástupcovia členov Európskeho výboru pre ochranu údajov.

(213)

Preskúmania by mali zahŕňať všetky aspekty fungovania tohto rozhodnutia, pokiaľ ide o spracúvanie osobných údajov v Spojených štátoch, a najmä uplatňovanie a vykonávanie zásad, pričom osobitnú pozornosť treba venovať ochrane zabezpečovanej v prípade následných prenosov, vývoju príslušnej judikatúry, účinnosti výkonu individuálnych práv, monitorovaniu a presadzovaniu dodržiavania zásad, ako aj obmedzeniam a zárukám, pokiaľ ide o prístup vlády, a to najmä vykonávaniu a uplatňovaniu záruk zavedených vykonávacím nariadením č. 14086, a to aj prostredníctvom politík a postupov vypracovaných spravodajskými agentúrami, vzájomnému pôsobeniu medzi vykonávacím nariadením č. 14086, oddielom 702 zákona FISA a vykonávacím nariadením č. 12333 a účinnosti mechanizmov dohľadu a možnostiam dosiahnutia nápravy (vrátane fungovania nového mechanizmu nápravy zriadeného podľa vykonávacieho nariadenia č. 14086). V súvislosti s takýmito preskúmaniami sa pozornosť bude venovať aj spolupráci medzi orgánmi pre ochranu osobných údajov a príslušnými orgánmi Spojených štátov vrátane vypracovania usmernení a iných výkladových nástrojov týkajúcich sa uplatňovania zásad, ako aj iných aspektov fungovania rámca.

(214)

Komisia by na základe preskúmania mala vypracovať verejnú správu, ktorá sa má predložiť Európskemu parlamentu a Rade.

7.   POZASTAVENIE, ZRUŠENIE ALEBO ZMENA TOHTO ROZHODNUTIA

(215)

Ak dostupné informácie, najmä informácie vyplývajúce z monitorovania tohto rozhodnutia alebo poskytnuté orgánmi USA alebo členských štátov, odhalia, že úroveň ochrany poskytovaná údajom prenášaným podľa tohto rozhodnutia už nemusí byť primeraná, Komisia by o tom mala bezodkladne informovať príslušné orgány USA a požiadať o prijatie náležitých opatrení v stanovenej primeranej lehote.

(216)

Ak po uplynutí uvedenej stanovenej lehoty príslušné orgány USA neprijmú takéto opatrenia alebo inak uspokojivo nepreukážu, že toto rozhodnutie sa naďalej zakladá na primeranej úrovni ochrany, Komisia začne postup uvedený v článku 93 ods. 2 nariadenia (EÚ) 2016/679 s cieľom čiastočne alebo úplne pozastaviť platnosť tohto rozhodnutia alebo ho zrušiť.

(217)

Alternatívne Komisia začne postup s cieľom zmeniť toto rozhodnutie, najmä podriadením prenosu údajov dodatočným podmienkam alebo obmedzením rozsahu konštatovanej primeranosti len na tie prenosy údajov, pri ktorých je naďalej zabezpečená primeraná úroveň ochrany.

(218)

Komisia by mala začať konanie o pozastavení alebo zrušení najmä v prípade:

(a)

existencie známok toho, že organizácie, ktoré získali osobné údaje z Únie podľa tohto rozhodnutia, nedodržiavajú zásady a že príslušné orgány dohľadu a presadzovania práva takéto nedodržiavanie účinne neriešia;

(b)

existencie známok toho, že orgány USA nedodržiavajú platné podmienky a obmedzenia prístupu orgánov verejnej moci USA na účely presadzovania práva a národnej bezpečnosti k osobným údajom prenášaným podľa rámca pre ochranu osobných údajov medzi EÚ a USA, alebo

(c)

neschopnosti účinne riešiť sťažnosti dotknutých osôb z Únie, a to aj zo strany úradníka pre ochranu občianskych slobôd úradu ODNI a/alebo súdu DPRC.

(219)

Komisia by mala zvážiť začatie postupu vedúceho k zmene, pozastaveniu platnosti alebo zrušeniu tohto rozhodnutia aj v prípade, že príslušné orgány USA neposkytnú informácie alebo objasnenia potrebné na posúdenie úrovne ochrany zabezpečovanej pre osobné údaje prenášané z Únie do Spojených štátov alebo na dodržiavanie tohto rozhodnutia. Komisia by mala v tejto súvislosti zohľadniť, do akej miery možno príslušné informácie získať z iných zdrojov.

(220)

Komisia využije možnosť prijať v súlade s postupom uvedeným v článku 93 ods. 3 nariadenia (EÚ) 2016/679 okamžite uplatniteľné vykonávacie akty, ktorými sa pozastaví platnosť tohto rozhodnutia, zruší sa alebo sa zmení toto rozhodnutie, a to z riadne odôvodnených vážnych a naliehavých dôvodov, napríklad ak by došlo k zmene vykonávacieho nariadenia č. 14086 alebo nariadenia generálneho prokurátora spôsobom, že by sa oslabila úroveň ochrany opísaná v tomto rozhodnutí, alebo ak by došlo k zrušeniu označenia Únie za oprávnenú organizáciu na účely mechanizmu nápravy, ktoré vydal generálny prokurátor.

8.   ZÁVEREČNÉ ÚVAHY

(221)

Európsky výbor pre ochranu údajov uverejnil svoje stanovisko (411), ktoré bolo zohľadnené pri príprave tohto rozhodnutia.

(222)

Európsky parlament prijal uznesenie o primeranosti ochrany poskytovanej rámcom pre ochranu osobných údajov medzi EÚ a USA (412).

(223)

Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 ods. 1 nariadenia (EÚ) 2016/679,

PRIJALA TOTO ROZHODNUTIE:

Článok 1

Na účely článku 45 nariadenia (EÚ) 2016/679 Spojené štáty zabezpečujú primeranú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v Spojených štátoch zapísaným v „zozname organizácií zapojených do rámca pre ochranu osobných údajov“, ktorý vedie a zverejňuje ministerstvo obchodu USA, v súlade s oddielom I bodom 3 prílohy I.

Článok 2

Vždy, keď príslušné orgány v členských štátoch uplatnia svoje právomoci podľa článku 58 nariadenia (EÚ) 2016/679, aby ochránili fyzické osoby v súvislosti so spracúvaním ich osobných údajov, pokiaľ ide o prenosy údajov uvedené v článku 1 tohto rozhodnutia, dotknutý členský štát o tejto skutočnosti bezodkladne informuje Komisiu.

Článok 3

1.   Komisia nepretržite monitoruje uplatňovanie právneho rámca, ktorý je predmetom tohto rozhodnutia, vrátane podmienok, za ktorých sa uskutočňujú následné prenosy, uplatňujú individuálne práva a za ktorých majú orgány verejnej moci USA prístup k údajom preneseným na základe tohto rozhodnutia, s cieľom posúdiť, či Spojené štáty naďalej zabezpečujú primeranú úroveň ochrany, ako sa uvádza v článku 1.

2.   Členské štáty a Komisia sa budú navzájom informovať o prípadoch, keď sa zdá, že orgány v Spojených štátoch so zákonnou právomocou presadzovať dodržiavanie zásad stanovených v prílohe I neposkytujú účinné mechanizmy odhaľovania a dohľadu umožňujúce identifikovať a v praxi postihovať porušovanie zásad stanovených v prílohe I.

3.   Členské štáty a Komisia sa budú navzájom informovať o všetkých náznakoch, že zásahy orgánov verejnej moci USA zodpovedných za národnú bezpečnosť, presadzovanie práva alebo iné verejné záujmy do práv fyzických osôb na ochranu osobných údajov presahujú rámec toho, čo je potrebné a primerané, a/alebo že neexistuje účinná právna ochrana pred takými zásahmi.

4.   Po jednom roku od dátumu oznámenia tohto rozhodnutia členským štátom a následne v intervale podľa rozhodnutia v úzkej spolupráci s výborom zriadeným podľa článku 93 ods. 1 nariadenia (EÚ) 2016/679 a s Európskym výborom pre ochranu údajov Komisia vyhodnotí záver uvedený v článku 1 ods. 1 na základe všetkých dostupných informácií vrátane informácií, ktoré získala prostredníctvom preskúmania uskutočneného spolu s príslušnými orgánmi Spojených štátov.

5.   Ak má Komisia informácie o tom, že primeraná úroveň ochrany už nie je zabezpečená, informuje príslušné orgány USA. V prípade potreby rozhodne v súlade s článkom 45 ods. 5 nariadenia (EÚ) 2016/679 o pozastavení platnosti, zmene alebo zrušení tohto rozhodnutia alebo obmedzení jeho rozsahu pôsobnosti. Komisia môže takéto rozhodnutie prijať aj vtedy, ak v dôsledku nedostatočnej spolupráce vlády USA nedokáže určiť, či Spojené štáty naďalej zabezpečujú primeranú úroveň ochrany.

Článok 4

Toto rozhodnutie je určené členským štátom.

V Bruseli 10. júla 2023

Za Komisiu

Didier REYNDERS

člen Komisie


(1)   Ú. v. EÚ L 119, 4.5.2016, s. 1.

(2)  Pre jednoduchšiu orientáciu sa v prílohe VIII uvádza zoznam skratiek použitých v tomto rozhodnutí.

(3)  Pozri odôvodnenie 101 nariadenia (EÚ) 2016/679.

(4)  Spomedzi najnovších pozri vec C-311/18, Facebook Ireland a Schrems (ďalej len „Schrems II“), ECLI:EU:C:2020:559.

(5)  Vec C-362/14, Maximillian Schrems/Data Protection Commissioner (ďalej len „Schrems“), ECLI:EU:C:2015:650, bod 73.

(6)  Vec Schrems, bod 74.

(7)  Pozri oznámenie Komisie Európskemu parlamentu a Rade Výmena a ochrana osobných údajov v globalizovanom svete [COM(2017) 7] z 10. 1. 2017, oddiel 3.1, s. 6 – 7.

(8)  Vec Schrems, body 88 – 89.

(9)  Európsky výbor pre ochranu údajov, Referenčné kritérium primeranosti, WP 254 rev. 01, k dispozícii na tomto odkaze: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108.

(10)  Vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 z 12. júla 2016 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA (Ú. v. EÚ L 207, 1.8.2016, s. 1).

(11)  Vec Schrems II, bod 185.

(12)  Vec Schrems II, bod 197.

(13)  Hlava 28 časť 302 kódexu federálnych právnych predpisov.

(14)  Toto rozhodnutie má význam pre EHP. Dohodou o Európskom hospodárskom priestore (ďalej len „Dohoda o EHP“) sa vnútorný trh Európskej únie rozširuje o tri štáty EHP – Island, Lichtenštajnsko a Nórsko. Spoločný výbor EHP prijal 6. júla 2018 rozhodnutie, ktorým sa nariadenie (EÚ) 2016/679 začlenilo do prílohy XI k Dohode o EHP; uvedené rozhodnutie nadobudlo účinnosť 20. júla 2018. Spomínané nariadenie preto patrí do rozsahu pôsobnosti uvedenej dohody. Na účely tohto rozhodnutia sa preto majú odkazy na EÚ a členské štáty EÚ chápať ako odkazy na štáty EHP.

(15)  Toto rozhodnutie nemá vplyv na požiadavky nariadenia (EÚ) 2016/679, ktoré sa vzťahujú na subjekty (prevádzkovateľov a sprostredkovateľov) v Únii, ktoré prenášajú údaje, napríklad pokiaľ ide o obmedzenie účelu, minimalizáciu údajov, transparentnosť a bezpečnosť údajov [pozri aj článok 44 nariadenia (EÚ) 2016/679].

(16)  Pozri v tejto súvislosti rozsudok vo veci Schrems, bod 81, v ktorom Súdny dvor potvrdil, že systém samoosvedčovania môže zabezpečiť primeranú úroveň ochrany.

(17)  Oddiel I bod 2 prílohy I. FTC má širokú právomoc v oblasti obchodných činností s určitými výnimkami, napr. pokiaľ ide o banky, letecké spoločnosti, poisťovacie činnosti a bežné prenosové činnosti poskytovateľov telekomunikačných služieb (hoci v rozhodnutí odvolacieho súdu USA pre deviaty obvod z 26. februára 2018 vo veci FTC/AT&T sa potvrdilo, že FTC má právomoc v oblasti iných ako bežných prenosových činností takýchto subjektov). Pozri aj poznámku pod čiarou č. 2 v prílohe IV. Ministerstvo dopravy má právomoc presadzovať dodržiavanie pravidiel leteckými spoločnosťami a predajcami cestovných lístkov (v prípade leteckej dopravy), pozri oddiel A prílohy V.

(18)  Oddiel III bod 6 prílohy I.

(19)  Oddiel III bod 2 prílohy I.

(20)  Oddiel I bod 8 písm. a) prílohy I.

(21)  Oddiel III bod 14 písm. g) prílohy I.

(22)  Oddiel I bod 8 písm. b) prílohy I.

(23)  Oddiel I bod 8 písm. c) prílohy I.

(24)  Pozri napr. oddiel II bod 2 písm. b), bod 3 písm. b) a bod 7 písm. d) prílohy I, v ktorých sa objasňuje, že zástupcovia konajú v mene prevádzkovateľa na základe jeho pokynov a osobitných zmluvných záväzkov.

(25)  Oddiel III bod 10 písm. a) prílohy I. Pozri aj usmernenie, ktoré vypracovalo ministerstvo obchodu po konzultácii s Európskym výborom pre ochranu údajov v rámci štítu na ochranu osobných údajov a v ktorom sa objasnili povinnosti amerických sprostredkovateľov, ktorí dostávajú osobné údaje z Únie na základe rámca. Keďže tieto pravidlá sa nezmenili, príslušné usmernenie/často kladené otázky sú s ohľadom na rámec pre ochranu osobných údajov medzi EÚ a USA naďalej relevantné (https://www.privacyshield.gov/article?id=Processing-FAQs).

(26)  Oddiel II bod 3 písm. b) prílohy I.

(27)  Oddiel II bod 5 písm. a) prílohy I. Zlučiteľné účely môžu zahŕňať vykonávanie auditov, predchádzanie podvodom alebo iné účely, ktoré sú v súlade s primeranými očakávaniami v súvislosti so získavaním údajov (pozri poznámku pod čiarou č. 6 v prílohe I).

(28)  Oddiel II bod 2 písm. a) prílohy I. Nevzťahuje sa to na prípady, keď organizácia poskytuje osobné údaje sprostredkovateľovi, ktorý koná v jej mene a na základe jej pokynov [oddiel II bod 2 písm. b) prílohy I]. V tomto prípade však organizácia musí mať uzavretú zmluvu a zabezpečiť súlad so zásadou zodpovednosti za následný prenos, ako sa podrobnejšie opisuje v odôvodnení 43. Uplatňovanie zásady možnosti výberu (ako aj zásady oznámenia) môže byť navyše obmedzené v prípadoch, keď sa osobné údaje spracúvajú v kontexte náležitej starostlivosti (ako súčasť procesu možného zlúčenia alebo prevzatia) alebo auditov, a to v rozsahu a na tak dlho, ako je to potrebné na splnenie zákonných požiadaviek alebo požiadaviek verejného záujmu, alebo v rozsahu a na tak dlho, ako by uplatňovanie týchto zásad poškodzovalo oprávnené záujmy organizácie v osobitnom kontexte vyšetrovaní alebo auditov týkajúcich sa náležitej starostlivosti (oddiel III bod 4 prílohy I). V doplnkovej zásade 15 [oddiel III bod 15 písm. a) a b) prílohy I] sa takisto stanovuje výnimka zo zásady možnosti voľby (ako aj zo zásad oznámeniazodpovednosti za následný prenos) v prípade osobných údajov z verejne dostupných zdrojov (pokiaľ vývozca údajov z EÚ neuvedie, že tieto informácie podliehajú obmedzeniam, ktoré si vyžadujú uplatňovanie uvedených zásad) alebo osobných údajov získaných zo záznamov, ktoré sú vo všeobecnosti prístupné pre verejnosť na nahliadnutie (pokiaľ nie sú skombinované s informáciami z neverejných záznamov a pokiaľ sú dodržané všetky podmienky na nahliadnutie). Podobne sa v doplnkovej zásade 14 [oddiel III bod 14 písm. f) prílohy I] stanovuje výnimka zo zásady možnosti voľby (ako aj zo zásad oznámeniazodpovednosti za následný prenos) v prípade spracúvania osobných údajov farmaceutickou spoločnosťou alebo spoločnosťou vyrábajúcou zdravotnícke pomôcky na účely činností monitorovania bezpečnosti a účinnosti výrobkov, pokiaľ dodržiavanie zásad narúša plnenie regulačných požiadaviek.

(29)  Týka sa to všetkých prenosov údajov podľa rámca pre ochranu osobných údajov medzi EÚ a USA vrátane prípadov, keď sa prenosy týkajú údajov zhromaždených v súvislosti s pracovnoprávnym vzťahom. Hoci organizácia v USA, ktorá osvedčila svoje dodržiavanie zásad, môže teda v zásade používať údaje o ľudských zdrojoch na iné účely, ktoré nesúvisia s pracovnoprávnym pomerom (napríklad určité marketingové oznámenia), musí dodržiavať zákaz nezlučiteľného spracovania a okrem toho to môže robiť len v súlade so zásadami oznámeniamožnosti voľby. Organizácia môže výnimočne použiť osobné údaje na dodatočný zlučiteľný účel bez poskytnutia oznámeniamožnosti voľby, ale len v rozsahu a na obdobie potrebné na to, aby sa zabránilo ohrozeniu schopnosti organizácie uskutočňovať povýšenia, vymenovania alebo iné podobné rozhodnutia týkajúce sa zamestnania [pozri oddiel III bod 9 písm. b) bod iv) prílohy I]. Zákazom toho, aby organizácie v USA prijali akékoľvek represívne opatrenie voči zamestnancovi za vykonanie takejto voľby vrátane akéhokoľvek obmedzenia pracovných príležitostí, sa zaistí, že napriek vzťahu podriadenosti a súvisiacej závislosti sa na zamestnanca nebude vyvíjať tlak, a tak bude môcť vykonať skutočnú slobodnú voľbu. Pozri oddiel III bod 9 písm. b) bod i) prílohy I.

(30)  Oddiel II bod 2 písm. c) prílohy I.

(31)  Oddiel II bod 2 písm. c) prílohy I.

(32)  Oddiel III bod 1 prílohy I.

(33)  Oddiel II bod 5 prílohy I.

(34)  Pozri poznámku pod čiarou č. 7 v prílohe I, v ktorej sa objasňuje, že fyzická osoba sa považuje za „identifikovateľnú“ vtedy, keď by organizácia alebo tretia strana dokázali túto fyzickú osobu primerane identifikovať, a to pri zohľadnení prostriedkov identifikácie, ktoré sa s primeranou pravdepodobnosťou použijú (okrem iného s prihliadnutím na náklady a čas potrebný na identifikáciu a technológie dostupné v čase spracovania).

(35)  Oddiel II bod 5 písm. b) prílohy I.

(36)   Tamže.

(37)  Oddiel II bod 4 písm. a) prílohy I. Ďalej, pokiaľ ide o údaje o ľudských zdrojoch, v rámci pre ochranu osobných údajov medzi EÚ a USA sa od zamestnávateľov vyžaduje, aby vyhoveli zamestnancom uprednostňujúcim ochranu svojho súkromia obmedzením prístupu k ich osobným údajom, anonymizovaním určitých údajov alebo pridelením kódov alebo pseudonymov [oddiel III bod 9 písm. b) bod iii) prílohy I].

(38)  Oddiel II bod 1 prílohy I.

(39)  Oddiel II bod 1 písm. b) prílohy I. Doplnková zásada 14 [oddiel III bod 14 písm. b) a c) prílohy I] obsahuje osobitné ustanovenia týkajúce sa spracúvania osobných údajov v kontexte výskumu v oblasti zdravia a klinického skúšania. Táto zásada predovšetkým umožňuje organizáciám spracúvať údaje z klinického skúšania aj po tom, ako sa osoba rozhodne odstúpiť od účasti na skúšaní, pokiaľ bola táto skutočnosť jasne uvedená v oznámení poskytnutom v čase, keď daná fyzická osoba súhlasila so svojou účasťou. Podobne v prípadoch, keď organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA získa osobné údaje na účely výskumu v oblasti zdravia, môže ich použiť pri novej výskumnej činnosti, len ak je to v súlade so zásadami oznámeniamožnosti voľby. V tomto prípade by oznámenie fyzickej osobe malo v zásade poskytovať informácie o akýchkoľvek konkrétnych použitiach údajov v budúcnosti (napr. v súvisiacich štúdiách). Ak od začiatku nie je možné zahrnúť všetky budúce použitia údajov (pretože nové výskumné využitie by mohlo vyplynúť z nových poznatkov alebo vývoja v oblasti medicíny/výskumu), musí sa uviesť vysvetlenie, že údaje môžu byť použité v rámci aktivít budúceho medicínskeho a farmaceutického výskumu, ktoré nemožno vopred predvídať. Ak takéto ďalšie použitie nie je v súlade so všeobecnými výskumnými účelmi, na ktoré boli údaje získané (t. j. ak sú nové účely podstatne odlišné, ale stále zlučiteľné s pôvodným účelom, pozri odôvodnenia 14 – 15), je potrebné získať nový súhlas (t. j. vyjadrenie súhlasu). Pozri aj osobitné obmedzenia/výnimky zo zásady oznámenia opísané v poznámke pod čiarou č. 28.

(40)  Oddiel III bod 6 písm. d) prílohy I.

(41)  Pozri aj doplnkovú zásadu „Prístup“ (oddiel III bod 8 prílohy I).

(42)  Oddiel III bod 8 písm. a) body i) – ii) prílohy I.

(43)  Oddiel III bod 8 písm. i) prílohy I.

(44)  Oddiel III bod 8 písm. f) body i) – ii) a oddiel III bod 8 písm. g) prílohy I.

(45)  Oddiel III bod 4, oddiel III bod 8 písm. b), c), e), bod 14 písm. e), f) a bod 15 písm. d) prílohy I.

(46)  Oddiel III bod 8 písm. e) bod ii) prílohy I. Organizácia musí fyzickú osobu informovať o dôvodoch odopretia/obmedzenia a poskytnúť kontaktné miesto pre akékoľvek ďalšie otázky, oddiel III bod 8 písm. a) bod iii).

(47)  Oddiel III bod 8 písm. a) body ii) – iii) prílohy I.

(48)  Oddiel III bod 8 písm. a) bod i) prílohy I.

(49)  Oddiel II bod 6 a oddiel III bod 8 písm. a) bod i) prílohy I.

(50)  Oddiel III body 8 a 12 prílohy I.

(51)  Naopak, vo výnimočnom prípade, keď má organizácia v USA priamy vzťah s dotknutou osobou z Únie, pôjde spravidla o dôsledok toho, že osobe v Únii ponúkala tovar alebo služby alebo monitorovala jej správanie. V takom prípade bude samotná organizácia v USA patriť do rozsahu pôsobnosti nariadenia (EÚ) 2016/679 (článok 3 ods. 2), a teda bude musieť priamo dodržiavať právne predpisy Únie v oblasti ochrany údajov.

(52)  SWD(2018) 497 final, oddiel 4.1.5. Štúdia sa zameriavala na i) rozsah, v akom organizácie v USA zapojené do štítu na ochranu osobných údajov prijímajú rozhodnutia, ktoré sa dotýkajú fyzických osôb, na základe automatizovaného spracúvania osobných údajov prenášaných od spoločností v EÚ v rámci štítu na ochranu osobných údajov, a ii) záruky pre fyzické osoby, ktoré sa vo federálnych právnych predpisoch USA v takýchto situáciách stanovujú, a podmienky uplatňovania týchto záruk.

(53)  Pozri napríklad zákon o rovnakých úverových príležitostiach (Equal Credit Opportunity Act, hlava 15 § 1691 a nasl. Zákonníka Spojených štátov), zákon o náležitom podávaní informácií o úverovej schopnosti (Fair Credit Reporting Act, hlava 15 § 1681 a nasl. Zákonníka Spojených štátov) alebo zákon o spravodlivom bývaní (Fair Housing Act, hlava 42 § 3601 a nasl. Zákonníka Spojených štátov). Spojené štáty sa navyše zaviazali dodržiavať zásady Organizácie pre hospodársku spoluprácu a rozvoj v oblasti umelej inteligencie, ktoré okrem iného zahŕňajú zásady transparentnosti, vysvetliteľnosti, bezpečnosti a zodpovednosti.

(54)  Pozri napr. usmernenie dostupné na stránke 2042-What personal health information do individuals have a right under HIPAA to access from their health care providers and health plans? | HHS.gov (K akým osobným zdravotným informáciám uchovávaným poskytovateľmi zdravotnej starostlivosti a v plánoch zdravotnej starostlivosti majú fyzické osoby právo na prístup podľa zákona HIPAA?).

(55)  Pozri oddiel II bod 3 prílohy I a doplnkovú zásadu „Povinné uzatváranie zmlúv v prípade následných prenosov“ (oddiel III bod 10 prílohy I).

(56)  Odchylne od tejto všeobecnej zásady môže organizácia vykonávať následný prenos osobných údajov malého počtu zamestnancov bez uzatvorenia zmluvy s príjemcom, ak ide o príležitostné prevádzkové potreby súvisiace so zamestnaním, ako napríklad rezervácia letenky, hotelovej izby alebo zabezpečenie poistného krytia. Aj v tomto prípade však organizácia naďalej musí dodržiavať zásady oznámeniamožnosti voľby [pozri oddiel III bod 9 písm. e) prílohy I].

(57)  Pozri doplnkovú zásadu „Povinné uzatváranie zmlúv v prípade následných prenosov“ [oddiel III bod 10 písm. b) prílohy I]. Hoci sa touto zásadou umožňujú prenosy, ktoré sa zakladajú aj na nezmluvných nástrojoch (napr. programy v rámci skupiny týkajúce sa dodržiavania predpisov a kontroly), z textu jasne vyplýva, že týmito nástrojmi sa musí vždy „zaistiť nepretržitosť ochrany osobných informácií v zmysle zásad“. Okrem toho vzhľadom na skutočnosť, že organizácia v USA, ktorá osvedčila svoje dodržiavanie zásad, zostáva zodpovednou za dodržiavanie zásad, bude mať silnú motiváciu použiť nástroje, ktoré sú v praxi skutočne účinné.

(58)  Fyzické osoby nebudú mať právo vyjadriť nesúhlas v prípadoch, v ktorých sa osobné údaje prenášajú tretej strane, ktorá koná ako zástupca vykonávajúci úlohy v mene organizácie v USA a na základe jej pokynov. To si však vyžaduje zmluvu so zástupcom a organizácia v USA bude niesť zodpovednosť za zaručenie ochrany stanovenej v zásadách tým, že uplatní svoje právomoci vydať pokyny.

(59)  Situácia sa líši v závislosti od toho, či je tretia strana prevádzkovateľom alebo sprostredkovateľom (zástupcom). Pri prvom scenári sa v zmluve s treťou stranou musí stanoviť, že tretia strana ukončí spracovanie alebo prijme iné odôvodnené a primerané kroky s cieľom napraviť situáciu. Pri druhom scenári je prijatie týchto opatrení na organizácii zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA – ako tej, ktorá má kontrolu nad spracovaním a podľa ktorej pokynov zástupca koná. Pozri oddiel II bod 3 prílohy I.

(60)  Oddiel II bod 3 písm. b) prílohy I.

(61)   Tamže.

(62)  Oddiel II bod 7 písm. d) prílohy I.

(63)  Pozri aj doplnkovú zásadu „Samoosvedčovanie“ (oddiel III bod 6 prílohy I).

(64)  Pozri aj doplnkovú zásadu „Riešenie sporov a presadzovanie“ (oddiel III bod 11 prílohy I).

(65)  Pozri aj doplnkovú zásadu „Overovanie“ (oddiel III bod 7 prílohy I).

(66)  Oddiel III bod 7 prílohy I.

(67)  Oddiel I bod 2 prílohy I.

(68)  Oddiel III bod 6 písm. b) prílohy I a príloha III, pozri oddiel „Overovanie požiadaviek na samoosvedčovanie“.

(69)  Poznámka pod čiarou č. 12 v prílohe I.

(70)  Oddiel III bod 6 písm. h) prílohy I.

(71)  Oddiel III bod 6 písm. a) a poznámka pod čiarou č. 12 v prílohe I, ako aj príloha III, pozri oddiel „Overovanie požiadaviek na samoosvedčovanie“.

(72)  Oddiel „Overovanie požiadaviek na samoosvedčovanie“ prílohy III.

(73)  Podobne bude ministerstvo obchodu spolupracovať s treťou stranou, ktorá bude plniť funkciu správcu finančných prostriedkov získaných na základe výberu poplatkov pre výbor orgánov pre ochranu osobných údajov (pozri odôvodnenie 73), s cieľom overiť, či organizácie, ktoré si vybrali dané orgány pre ochranu osobných údajov za svoj nezávislý mechanizmus nápravy, zaplatili poplatok za príslušný rok. Pozri oddiel „Overovanie požiadaviek na samoosvedčovanie“ prílohy III.

(74)  Poznámka pod čiarou č. 2 v prílohe III.

(75)  Pozri oddiel „Overovanie požiadaviek na samoosvedčovanie“ prílohy III.

(76)  Informácie o riadení zoznamu zapojených organizácií sa nachádzajú v prílohe III (pozri úvod v časti „Správa rámcového programu na ochranu osobných údajov a dohľad nad ním vykonávané ministerstvom obchodu“) a v prílohe I [oddiel I body 3 a 4, ako aj oddiel III bod 6 písm. d) a bod 11 písm. g)].

(77)  Príloha III, pozri úvod v časti „Správa rámcového programu na ochranu osobných údajov a dohľad nad ním vykonávané ministerstvom obchodu“.

(78)  Pozri oddiel „Prispôsobenie webového sídla rámca pre ochranu osobných údajov konkrétnym adresátom“ prílohy III.

(79)  Pozri oddiel „Vykonávanie pravidelných preskúmaní súladu a posúdení ex officio na základe rámcového programu na ochranu osobných údajov“ prílohy III.

(80)  V rámci svojich monitorovacích činností môže ministerstvo obchodu využívať rôzne nástroje, a to aj na preverovanie nefunkčných odkazov na podmienky ochrany súkromia alebo na aktívne monitorovanie mediálneho spravodajstva s cieľom zachytiť reportáže poskytujúce dôveryhodné dôkazy o nedodržiavaní zásad.

(81)  Pozri oddiel „Vykonávanie pravidelných preskúmaní súladu a posúdení ex officio na základe rámcového programu na ochranu osobných údajov“ prílohy III.

(82)  Pozri oddiel „Vykonávanie pravidelných preskúmaní súladu a posúdení ex officio na základe rámcového programu na ochranu osobných údajov“ prílohy III.

(83)  Počas druhého každoročného preskúmania štítu na ochranu osobných údajov ministerstvo obchodu informovalo, že vykonalo kontroly na mieste v 100 organizáciách a v 21 prípadoch zaslalo dotazníky o dodržiavaní zásad (pričom následne boli zistené problémy odstránené), pozri dokument Komisie SWD(2018) 497 final, s. 9. Podobne ministerstvo obchodu počas tretieho každoročného preskúmania štítu na ochranu osobných údajov oznámilo, že prostredníctvom monitorovania verejných reportáží odhalilo tri incidenty a začalo s vykonávaním kontrol na mieste v 30 spoločnostiach za mesiac, čo v 28 % prípadov viedlo k následnému zaslaniu dotazníka o dodržiavaní zásad (v nadväznosti na čo boli zistené problémy okamžite odstránené, resp. v troch prípadoch boli vyriešené po písomnom varovaní), pozri dokument Komisie SWD(2019) 495 final, s. 8.

(84)  Oddiel III bod 11 písm. g) prílohy I. Trvalé nedodržiavanie zásad nastane najmä vtedy, keď organizácia odmietne splniť konečné rozhodnutie samoregulačného orgánu v oblasti ochrany súkromia, nezávislého orgánu na riešenie sporov alebo orgánu presadzovania práva.

(85)  Oddiel III bod 6 písm. f) prílohy I.

(86)  Oddiel „Vyhľadávanie nepravdivých tvrdení o zapojení do rámca a ich riešenie“ prílohy III.

(87)   Tamže.

(88)   Tamže.

(89)   Tamže.

(90)  V rámci štítu na ochranu osobných údajov ministerstvo obchodu počas tretieho každoročného preskúmania rámca oznámilo, že identifikovalo 669 prípadov nepravdivých tvrdení o zapojení do rámca (od októbra 2018 do októbra 2019), z ktorých väčšina bola vyriešená po písomnom varovaní ministerstva obchodu, pričom 143 prípadov bolo postúpených FTC (pozri odôvodnenie 62 ďalej). Pozri dokument Komisie SWD(2019) 495 final, s. 10.

(91)  Organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA musí verejne vyhlásiť svoj záväzok, že bude dodržiavať zásady, zverejňovať svoje podmienky ochrany súkromia v súlade s týmito zásadami a že ich bude v plnej miere uplatňovať. Nedodržanie tejto požiadavky je postihnuteľné podľa oddielu 5 zákona o FTC, ktorým sa zakazujú nekalé a klamlivé praktiky v rámci obchodu alebo tie, ktoré majú naň vplyv (hlava 15 § 45 Zákonníka Spojených štátov), a podľa hlavy 49 § 41712 Zákonníka Spojených štátov, v ktorej sa dopravcom alebo predajcom leteniek zakazuje dopúšťať sa nekalých alebo klamlivých praktík v leteckej doprave alebo pri predaji leteniek.

(92)  Hlava 15 § 41 Zákonníka Spojených štátov.

(93)  Príloha IV.

(94)  Na základe informácií od FTC nemá FTC právomoc vykonávať inšpekcie na mieste v oblasti ochrany súkromia. Má však právomoc vyžadovať od organizácií, aby predložili dokumenty a poskytli svedecké výpovede (pozri oddiel 20 zákona o FTC) a v prípade nesplnenia týchto požiadaviek môže v záujme ich presadenia využiť súdny systém.

(95)  Pozri oddiel „Požadovanie a monitorovanie príkazov“ prílohy IV.

(96)  Správnymi opatreniami FTC alebo súdnymi príkazmi sa môže od spoločností vyžadovať, aby zaviedli programy ochrany súkromia a pravidelne predkladali FTC správy alebo posúdenia nezávislých tretích strán týkajúce sa týchto programov.

(97)  Oddiel „Požadovanie a monitorovanie príkazov“ prílohy IV.

(98)  Dokument Komisie SWD(2019) 495 final, s. 11.

(99)  Pozri zoznam prípadov na webovom sídle FTC na adrese https://www.ftc.gov/business-guidance/privacy-security/privacy-shield. Pozri aj dokumenty Komisie SWD(2017) 344 final, s. 17, SWD(2018) 497 final, s. 12 a SWD(2019) 495 final, s. 11.

(100)  Pozri napr. Prepared Remarks of Chairman Joseph Simons at the Second Privacy Shield Annual Review (ftc.gov) (Vypracované poznámky predsedu Josepha Simonsa v rámci druhého výročného preskúmania štítu na ochranu osobných údajov).

(101)  Pozri napr. príkaz FTC vo veci Drizly, LLC., v ktorom sa okrem iného vyžadovalo, aby spoločnosť 1. zničila všetky osobné údaje, ktoré získala a ktoré nie sú nevyhnutné na poskytovanie výrobkov alebo služieb spotrebiteľom, 2. nezhromažďovala či neuchovávala osobné informácie, pokiaľ to nie je nevyhnutné na osobitné účely uvedené v harmonograme uchovávania.

(102)  Pozri napr. príkaz FTC vo veci CafePress (24. marca 2022), v ktorom sa okrem iného vyžadovala minimalizácia množstva získavaných údajov.

(103)  Pozri napr. opatrenia FTC na presadzovanie práva vo veciach Drizzly, LLC a CafePress, v rámci ktorých vyžadovala, aby príslušné spoločnosti zaviedli osobitný bezpečnostný program alebo osobitné bezpečnostné opatrenia. Okrem toho, pokiaľ ide o porušenia ochrany údajov, pozri aj príkaz FTC z 27. januára 2023 vo veci Chegg, urovnanie dosiahnuté so spoločnosťou Equifax v roku 2019 (https://www.ftc.gov/news-events/news/press-releases/2019/07/equifax-pay-575-million-part-settlement-ftc-cfpb-states-related-2017-data-breach).

(104)  Pozri napr. vec RealPage, Inc (16. októbra 2018), v ktorom FTC prijala opatrenia na presadzovanie práva v rámci zákona FCRA voči spoločnosti preverujúcej nájomcov, ktorá vlastníkom nehnuteľností a spoločnostiam spravujúcim nehnuteľnosti poskytovala podkladové správy o jednotlivcoch na základe historických informácií týkajúcich sa prenájmov, informácií z verejných záznamov (vrátane histórie trestnej činnosti a núteného vysťahovania) a úverových informácií, ktoré sa použili ako faktor pri určovaní oprávnenosti na bývanie. FTC zistila, že táto spoločnosť neprijala primerané opatrenia na zabezpečenie presnosti informácií, ktoré poskytovala na základe svojho nástroja automatického rozhodovania.

(105)  Pozri oddiel „Postupy presadzovania práva“ prílohy V.

(106)  Pozri hlavu 5 § 3105, § 7521 písm. a), § 554 písm. d) a § 556 písm. b) bod 3 Zákonníka Spojených štátov.

(107)  Príloha V, pozri oddiel „Monitorovanie a zverejňovanie vykonávacích príkazov týkajúcich sa porušení rámca pre ochranu osobných údajov medzi EÚ a USA“.

(108)  Oddiel II bod 7 prílohy I.

(109)  Oddiel III bod 11 prílohy I.

(110)  Oddiel III bod 11 písm. d) bod i) prílohy I.

(111)  Oddiel III bod 11 písm. d) bod i) prílohy I.

(112)  Ide o zodpovedný orgán určený výborom orgánov pre ochranu osobných údajov, ktorý je stanovený v doplnkovej zásade „Úloha orgánov pre ochranu osobných údajov“ (oddiel III bod 5 prílohy I).

(113)  Oddiel III bod 11 písm. d) prílohy I.

(114)  Oddiel II bod 7 a oddiel III bod 11 písm. e) prílohy I.

(115)  Oddiel III bod 11 písm. d) bod ii) prílohy I.

(116)  Vo výročnej správe sa musí uvádzať: 1. celkový počet sťažností súvisiacich s rámcom pre ochranu osobných údajov medzi EÚ a USA prijatých počas vykazovaného roku; 2. druhy prijatých sťažností; 3. kvalitatívne parametre riešenia sporov, napríklad čas potrebný na spracovanie sťažností, a 4. výsledky prijatých sťažností, najmä počet a druh uložených prostriedkov nápravy alebo sankcií.

(117)  Oddiel „Overovanie požiadaviek na samoosvedčovanie“ prílohy I.

(118)  Pozri oddiel „Uľahčenie spolupráce s orgánmi pre alternatívne riešenie sporov, ktoré poskytujú služby súvisiace so zásadami“ prílohy III. Pozri aj oddiel III bod 11 písm. d) body ii) – iii) prílohy I.

(119)  Pozri oddiel III bod 11 písm. e) prílohy I.

(120)  Pozri oddiel III bod 11 písm. g) prílohy I, najmä body ii) a iii).

(121)  Pozri oddiel „Vyhľadávanie nepravdivých tvrdení o zapojení do rámca a ich riešenie“ prílohy III.

(122)  Oddiel II bod 7 písm. b) prílohy I.

(123)  Oddiel III bod 5 prílohy I.

(124)  Oddiel III bod 5 písm. c) bod ii) prílohy I.

(125)  Príloha III (pozri oddiel „Uľahčenie spolupráce s orgánmi pre ochranu osobných údajov“) a príloha IV (pozri oddiely „Prioritné vybavovanie podnetov a vyšetrovanie“ a „Spolupráca pri presadzovaní práva s orgánmi EÚ pre ochranu osobných údajov“).

(126)  Orgány pre ochranu osobných údajov by mali na základe svojej kompetencie v oblasti organizovania svojej práce a vzájomnej spolupráce stanoviť rokovací poriadok neformálneho výboru orgánov pre ochranu osobných údajov.

(127)  Oddiel III bod 5 písm. c) bod i) prílohy I.

(128)  Oddiel III bod 5 písm. c) bod ii) prílohy I.

(129)  Pozri oddiel „Uľahčenie spolupráce s orgánmi pre ochranu osobných údajov“ prílohy III.

(130)  Pozri oddiely „Prioritné vybavovanie podnetov a vyšetrovanie“ a „Spolupráca pri presadzovaní práva s orgánmi EÚ pre ochranu osobných údajov“ prílohy IV.

(131)  Príloha III, pozri napr. oddiel „Uľahčenie spolupráce s orgánmi pre ochranu osobných údajov“.

(132)  Oddiel II bod 7 písm. e) prílohy I a oddiel „Uľahčenie spolupráce s orgánmi pre ochranu osobných údajov“ prílohy III.

(133)   Tamže.

(134)  Oddiel III bod 11 písm. g) prílohy I.

(135)  Oddiel III bod 11 písm. g) prílohy I.

(136)  Organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA musí verejne vyhlásiť svoj záväzok, že bude dodržiavať zásady, zverejňovať svoje podmienky ochrany súkromia v súlade s týmito zásadami a že ich bude v plnej miere uplatňovať. Nedodržanie tejto požiadavky je postihnuteľné podľa oddielu 5 zákona o FTC, ktorým sa zakazujú nekalé a klamlivé praktiky v rámci obchodu alebo tie, ktoré majú naň vplyv.

(137)  Pozri aj podobné záväzky prijaté ministerstvom dopravy, príloha V.

(138)  Pozri prílohu I „Model rozhodcovského konania“ k prílohe I.

(139)  Pozri oddiel II bod 1 písm. a) bod xi) a oddiel II bod 7 písm. c) prílohy I.

(140)  Na počte rozhodcov vo výbore sa musia dohodnúť účastníci.

(141)  Časť G bod 6 prílohy I k prílohe I.

(142)  Fyzické osoby si nesmú v rozhodcovskom konaní nárokovať náhradu škody; využitie rozhodcovského konania však neznamená stratu možnosti nárokovať si náhradu škody na všeobecných súdoch v USA.

(143)  Pozri napr. štátne právne predpisy na ochranu spotrebiteľa v Kalifornii [Občiansky zákonník štátu Kalifornia (West), § 1750 – 1785, zákon o prostriedkoch nápravy pre spotrebiteľov], v Dištrikte Kolumbia (Zákonník Dištriktu Kolumbia, § 28 – 3901), na Floride (Zbierka zákonov štátu Florida, § 501.201 – 501.213, zákon o klamlivých a nekalých obchodných praktikách), v štáte Illinois (hlava 815 Zbierky zákonov štátu Illinois, 505/1 – 505/12, zákon o podvodoch na spotrebiteľoch a o klamlivých obchodných praktikách), v Pensylvánii [hlava 73 Zbierky zákonov štátu Pensylvánia, § 201-1 – 201-9.3 (West), zákon o nekalých obchodných praktikách a ochrane spotrebiteľa].

(144)  Tzn. v prípade úmyselného zasahovania do súkromných záležitostí alebo vecí jednotlivca spôsobom, ktorý by bol bežne veľmi neprístojný [§ 652 písm. b) Restatement (2nd) of Torts].

(145)  Tento delikt sa bežne spája s prípadmi privlastnenia si a použitia mena alebo podoby jednotlivca s cieľom propagovať podnik alebo výrobok alebo na iný podobný obchodný účel [pozri § 652C Restatement (2nd) of Torts].

(146)  Tzn. keď sa zverejnia informácie týkajúce sa súkromného života jednotlivca, pričom je to bežne veľmi neprístojné a z pohľadu záujmu verejnosti nie je opodstatnené dané informácie zverejňovať [§ 652D Restatement (2nd) of Torts].

(147)  Je to relevantné aj vzhľadom na oddiel I bod 5 prílohy I. Podľa tohto oddielu a podobne ako podľa všeobecného nariadenia o ochrane údajov môže dodržiavanie požiadaviek na ochranu údajov a práv, ktoré sú súčasťou zásad ochrany súkromia, podliehať obmedzeniam. Takéto obmedzenia však nie sú absolútne, ale možno sa na ne odvolávať len za niekoľkých podmienok, napríklad v rozsahu nevyhnutnom na splnenie požiadaviek súdneho príkazu alebo verejného záujmu, presadzovania práva alebo národnej bezpečnosti. V tejto súvislosti a v záujme jasnosti sa v tomto oddiele odkazuje aj na podmienky stanovené vo vykonávacom nariadení č. 14086, ktoré sa posudzujú okrem iného v odôvodneniach 127 – 141.

(148)  Pozri vec Schrems II, body 174 – 175 a citovanú judikatúru. Čo sa týka prístupu orgánov verejnej moci členských štátov, pozri aj vec C-623/17, Privacy International, ECLI:EU:C:2020:790, bod 65; a spojené veci C-511/18, C-512/18 a C-520/18, La Quadrature du Net a i., ECLI:EU:C:2020:791, bod 175.

(149)  Pozri vec Schrems II, body 176 a 181, ako aj citovanú judikatúru. Pokiaľ ide o prístup orgánov verejnej moci členských štátov, pozri aj vec Privacy International, bod 68; a La Quadrature du Net a i., bod 132.

(150)  Pozri vec Schrems II, body 181 – 182.

(151)  Pozri vec Schrems I, bod 95 a vec Schrems II, bod 194. V tejto súvislosti Súdny dvor Európskej únie zdôraznil najmä to, že dodržiavanie článku 47 Charty základných práv, v ktorom sa zaručuje právo na účinný prostriedok nápravy pred nezávislým a nestranným súdom, „prispieva k úrovni ochrany požadovanej v rámci Únie a […] Komisia [ho musí] konštatovať skôr, než prijme rozhodnutie o primeranosti podľa článku 45 ods. 1 nariadenia“ (EÚ) 2016/679 (vec Schrems II, bod 186).

(152)  Pozri prílohu VI. V súvislosti so zákonom o odpočúvaní (Wiretap Act), zákonom o uloženej komunikácii (Stored Communications Act) a zákonom o záznamníkoch zdrojov (Pen Register Act) (podrobnejšie v odôvodneniach 95 – 98) pozri napríklad vec Suzlon Energy Ltd/Microsoft Corp., 671 F.3d 726, 729 (9. obvod, 2011).

(153)  Pravidlo 41 Federálneho trestného poriadku. Najvyšší súd v rozsudku z roku 2018 potvrdil, že orgány presadzovania práva musia mať príkaz na domovú prehliadku alebo spĺňať podmienky výnimky z nutnosti mať príkaz na domovú prehliadku aj v prípade prístupu k historickým záznamom o polohe mobilného telefónu, ktoré poskytujú komplexný prehľad o pohybe používateľa a v súvislosti s ktorými používateľ môže odôvodnene očakávať ochranu svojho súkromia, pokiaľ ide o takéto informácie [vec Timothy Ivory Carpenter/Spojené štáty americké, č. 16-402, 585 U.S. (2018)]. Takéto údaje preto vo všeobecnosti nemožno získať od mobilného operátora pomocou súdneho príkazu na základe opodstatnených dôvodov domnievať sa, že predmetné informácie sú relevantné a podstatné pre prebiehajúce vyšetrovanie trestného činu, ale vyžaduje sa v súvislosti s nimi preukázanie existencie dôvodnosti pri použití príkazu.

(154)  Podľa Najvyššieho súdu „dôvodnosť“ je „praktický, netechnický“ stupeň zistenia opierajúci sa o „skutkové a praktické faktory každodenného života, na základe ktorých je bežné a obozretné konať“ [vec Illinois/Gates, 462 U.S. 213, 232 (1983)]. Pokiaľ ide o príkazy na domovú prehliadku, dôvodnosť existuje vtedy, keď je primerane pravdepodobné, že výsledkom domovej prehliadky bude odhalenie dôkazu o trestnom čine (idem).

(155)  Vec Mapp/Ohio, 367 U.S. 643 (1961).

(156)  Pozri vec In re Application of United States, 610 F.2d 1148, 1157 (3. obvod, 1979) (v ktorej sa rozhodlo, že „náležitý proces si vyžaduje, aby sa pred tým, ako sa telefonickej spoločnosti nariadi poskytnutie“ súčinnosti pri vykonaní príkazu na domovú prehliadku, „uskutočnilo vypočutie o miere súvisiacej záťaže“) a vec In re Application of United States, 616 F.2d 1122 (9. obvod, 1980).

(157)  V Piatom dodatku k Ústave USA sa vyžaduje schválenie obžaloby veľkou porotou v prípade „obzvlášť závažného alebo inak hanebného trestného činu“. Veľkú porotu tvorí 16 až 23 členov a jej úlohou je stanoviť existenciu dôvodnosti domnienky, že bol spáchaný trestný čin. Na dosiahnutie tohto záveru majú veľké poroty vyšetrovacie právomoci, ktoré im umožňujú vydávať výzvy.

(158)  Pozri prílohu VI.

(159)  Pravidlo 17 Federálneho trestného poriadku.

(160)  Pozri vec Spojené štáty/Powell, 379 U.S. 48 (1964).

(161)  Oklahoma Press Publishing Co./Walling, 327 U.S. 186 (1946).

(162)  Najvyšší súd objasnil, že v prípade napadnutia administratívnej výzvy musí súd zvážiť, či 1. vyšetrovanie sa vedie na zákonom povolený účel, 2. vydanie predmetnej výzvy patrí do právomoci Kongresu a 3. „požadované dokumenty sú relevantné pre vyšetrovanie“. Súdny dvor tiež poznamenal, že požiadavka administratívnej výzvy musí byť „primeraná“, t. j. vyžaduje sa, aby „určenie dokumentov, ktoré sa majú predložiť, bolo primerané, aby nešlo nad rámec únosnosti a aby spĺňalo účely príslušného vyšetrovania“, vrátane „konkretizácie opisu miesta, ktoré sa má prehľadať, a osôb alebo vecí, ktoré sa majú zaistiť“.

(163)  Napríklad v zákone o práve na ochranu osobných finančných údajov sa stanovuje právomoc vládneho orgánu získať finančné záznamy v držbe finančnej inštitúcie na základe administratívnej výzvy, a to len ak 1. existuje dôvod domnievať sa, že požadované záznamy sú relevantné pre legitímne vyšetrovanie v rámci presadzovania práva, a 2. zákazníkovi bola poskytnutá kópia výzvy alebo predvolania spolu s oznámením obsahujúcim primeranú špecifikáciu povahy vyšetrovania (hlava 12 § 3405 Zákonníka Spojených štátov). Ďalším príkladom je zákon o náležitom podávaní informácií o úverovej schopnosti, ktorý zakazuje spotrebiteľským spravodajským agentúram zverejňovať spotrebiteľské správy v reakcii na žiadosti v rámci administratívnych výziev (pričom im umožňuje reagovať len na výzvy veľkej poroty alebo súdne príkazy, hlava 15 § 1681 a nasl. Zákonníka Spojených štátov). Pokiaľ ide o prístup k informáciám o komunikácii, uplatňujú sa osobitné požiadavky zákona o uloženej komunikácii, a to aj s ohľadom na možnosť použitia administratívnych výziev (podrobný prehľad je uvedený v odôvodneniach 96 – 97).

(164)  Hlava 18 § 3123 Zákonníka Spojených štátov.

(165)  Hlava 18 § 2701 – 2713 Zákonníka Spojených štátov.

(166)  Hlava 18 § 2701 písm. a) až b) bod 1 písm. A) Zákonníka Spojených štátov. Ak je dotknutý účastník alebo zákazník informovaný (buď vopred, alebo za určitých okolností prostredníctvom dodatočného oznámenia), obsahové informácie uložené na obdobie dlhšie ako 180 dní možno získať aj na základe administratívnej výzvy alebo predvolania pred veľkú porotu [hlava 18 § 2701 písm. b) bod 1 písm. B) Zákonníka Spojených štátov], alebo súdneho príkazu {ak existujú opodstatnené dôvody domnievať sa, že informácie sú relevantné a podstatné pre prebiehajúce vyšetrovanie trestného činu [hlava 18 § 2701 písm. d) Zákonníka Spojených štátov]}. V súlade s rozhodnutím federálneho odvolacieho súdu však štátni vyšetrovatelia vo všeobecnosti žiadajú o príkaz sudcu na domovú prehliadku s cieľom získať obsah súkromnej komunikácie alebo uložené údaje od komerčného poskytovateľa komunikačných služieb. Vec Spojené štáty/Warshak, 631 F.3d 266 (6. obvod, 2010).

(167)  Hlava 18 § 2705 písm. b) Zákonníka Spojených štátov.

(168)  Pozri memorandum zástupcu generálneho prokurátora Roda Rosensteina z 19. októbra 2017 o reštriktívnejších podmienkach v súvislosti s návrhmi na ochranný príkaz (alebo súdny zákaz sprístupnenia), dostupný na adrese https://www.justice.gov/criminal-ccips/page/file/1005791/download.

(169)  Memorandum zástupkyne generálneho prokurátora Lisy Monacovej z 27. mája 2022 o doplňujúcich podmienkach v súvislosti s návrhmi na ochranný príkaz podľa hlavy 18 § 2705 písm. b) Zákonníka Spojených štátov.

(170)  Hlava 18 § 2510 – 2522 Zákonníka Spojených štátov.

(171)  Usmernenia generálneho prokurátora k domácim operáciám Federálneho úradu pre vyšetrovanie (FBI) (september 2008), k dispozícii na adrese http://www.justice.gov/archive/opa/docs/guidelines.pdf. Ďalšie pravidlá a politiky, ktoré predpisujú obmedzenia vyšetrovacích činností federálnych prokurátorov, sú stanovené v príručke pre prokurátorov USA (United States Attorneys' Manual), ktorá je k dispozícii na adrese http://www.justice.gov/usam/united-states-attorneys-manual. Od týchto usmernení sa možno odchýliť len na základe predchádzajúceho súhlasu riaditeľa FBI, zástupcu riaditeľa alebo výkonného námestníka riaditeľa určeného riaditeľom s výnimkou prípadov, keď takýto súhlas nemožno získať z dôvodu bezprostrednosti alebo závažnosti ohrozenia bezpečnosti osôb alebo majetku, alebo národnej bezpečnosti (v takom prípade je potrebné čo najskôr informovať riaditeľa alebo inú povoľujúcu osobu). O prípadnom nedodržaní usmernení musí FBI informovať ministerstvo spravodlivosti, ktoré následne informuje generálneho prokurátora a zástupcu generálneho prokurátora.

(172)  Poznámka pod čiarou č. 2 v prílohe VI. Pozri tiež napr. Arnold/City of Cleveland, 67 Ohio St.3d 35, 616 N.E.2d 163, 169 (1993) („V oblasti individuálnych práv a občianskych slobôd predstavuje Ústava Spojených štátov, pokiaľ sa vzťahuje na štáty, úroveň, pod ktorú rozhodnutia štátnych súdov nemôžu ísť“); Cooper/Kalifornia, 386 U.S. 58, 62, 87 S.Ct. 788, 17 L.Ed.2d 730 (1967) („Naše rozhodnutie samozrejme nemá vplyv na právomoc štátu stanoviť prísnejšie normy pre prehliadky a zaistenia, než ako to vyžaduje federálna ústava, ak sa tak rozhodne.“); Petersen/City of Mesa, 63 P.3d 309, 312 (Ariz. Ct. App. 2003) („Zatiaľ čo ústava Arizony môže stanovovať prísnejšie normy pre prehliadky a zaistenia, než ako stanovuje federálna ústava, súdy v Arizone nemôžu poskytovať menšiu ochranu než Štvrtý dodatok“).

(173)  Väčšina štátov prevzala ochranu stanovenú v Štvrtom dodatku do svojich ústav. Pozri ústavu Alabamy, článok I ods. 5; ústavu Aljašky, článok I ods. 14; 1; ústavu Arkansasu, článok II ods. 15; ústavu Kalifornie, článok I ods. 13; ústavu Colorada, článok II ods. 7; ústavu Connecticutu, článok I ods. 7; ústavu Delawaru, článok I ods. 6; ústavu Floridy, článok I ods. 12; ústavu Georgie, článok I ods. I bod XIII; ústavu Havaja, článok I ods. 7; ústavu Idaha, článok I ods. 17; ústavu Illinoisu, článok I ods. 6; ústavu Indiany, článok I ods. 11; ústavu Iowy, článok I ods. 8; ústavnú listinu práv Kansasu, článok 15; ústavu Kentucky, článok 10; ústavu Louisiany, článok I ods. 5; ústavu Mainu, článok I ods. 5; ústavnú deklaráciu práv Massachusettsu, článok 14; ústavu Michiganu, článok I ods. 11; ústavu Minnesoty, článok I ods. 10; ústavu Mississippi, článok III ods. 23; ústavu Missouri, článok I ods. 15; ústavu Montany, článok II ods. 11; ústavu Nebrasky, článok I ods. 7; ústavu Nevady, článok I ods. 18; ústavu New Hampshiru, časť 1 článok 19; ústavu N. J., článok II ods. 7; ústavu Nového Mexika, článok II ods. 10; ústavu New Yorku, článok I ods. 12; ústavu Severnej Dakoty, článok I ods. 8; ústavu Ohia, článok I ods. 14; ústavu Oklahomy, článok II ods. 30; ústavu Oregonu, článok I ods. 9; ústavu Pensylvánie, článok I ods. 8; ústavu Rhode Island, článok I ods. 6; ústavu Južnej Karolíny, článok I ods. 10; ústavu Južnej Dakoty, článok VI ods. 11; ústavu Tennessee, článok I ods. 7; ústavu Texasu, článok I ods. 9; ústavu Utahu, článok I ods. 14; ústavu Vermontu, kapitola I článok 11; ústavu Západnej Virgínie, článok III ods. 6; ústavu Wisconsinu, článok I ods. 11; ústavu Wyomingu, článok I ods. 4. Iné (napr. Maryland, Severná Karolína a Virgínia) zakotvili vo svojich ústavách osobitný text týkajúci sa príkazov, ktorý bol súdne vyložený tak, že sa ním poskytuje podobná alebo vyššia ochrana ako podľa Štvrtého dodatku (pozri deklaráciu práv Marylandu, článok 26; ústavu Severnej Karolíny, článok I ods. 20; ústavu Virgínie, článok I ods. 10 a príslušnú judikatúru, napr. Hamel/State, 943 A.2d 686, 701 (Md. Ct. Spec. App. 2008); State/Johnson, 861 S.E.2d 474, 483 (N.C. 2021) a Lowe/Commonwealth, 337 S.E.2d 273, 274 (Va. 1985). Napokon Arizona a Washington majú ústavné ustanovenia, ktoré chránia súkromie všeobecnejšie (ústava Arizony, článok 2 ods. 8; ústava Washingtonu, článok I ods. 7), ktoré súdy vykladajú tak, že poskytujú väčšiu ochranu než Štvrtý dodatok [pozri napr. State/Bolt, 689 P.2d 519, 523 (Ariz. 1984), State/Ault, 759 P.2d 1320, 1324 (Ariz. 1988), State/Myrick, 102 Wn.2d 506, 511, 688 P.2d 151, 155 (1984) , State/Young, 123 Wn.2d 173, 178, 867 P.2d 593, 598 (1994) ].

(174)  Pozri napr. trestný zákon Kalifornie, § 1524,3 písm. b); pravidlo 3.6 – 3.13 trestného poriadku Alabamy; oddiel 10.79.035; revidovaný kódex Washingtonu; oddiel 19.2 – 59 kapitoly 5 hlavy 19.2 trestného poriadku, kódex Virgínie.

(175)  T. j. „s informáciami, ktoré možno použiť na rozlíšenie alebo sledovanie totožnosti fyzickej osoby, či už samostatne, alebo v kombinácii s inými informáciami, ktoré sú spojené alebo ktoré možno spojiť s konkrétnou fyzickou osobou“, pozri obežník úradu OMB č. A-130, s. 33 (vymedzenie pojmu „informácie o totožnosti“).

(176)  Obežník úradu OMB č. A-130, Riadenie informácií ako strategického zdroja, dodatok II, Zodpovednosť za riadenie informácií o totožnosti, Federálny register, zv. 81, č. 49689 (28. júla 2016), s. 17.

(177)  § 5 písm. a) až h) dodatku II.

(178)  Hlava 44 kapitola 36 Zákonníka Spojených štátov.

(179)  Hlava 44 § 3544 – 3545.

(180)  Zákon FAC, hlava 44 § 3105 Zákonníka Spojených štátov.

(181)  Hlava 36 § 1228,150 a nasl., § 1228,228 Kódexu federálnych právnych predpisov a dodatok A.

(182)  Pozri napr. obežník úradu OMB č. A-130, NIST SP 800 – 53, Rev. 5, Security and Privacy Controls for Information Systems and Organizations (Kontroly bezpečnosti a ochrany súkromia v rámci informačných systémov a organizácií) (10. decembra 2020) a normy inštitútu NIST Federal Information Processing Standards 200: Minimum Security Requirements for Federal Information and Information Systems (Federálne normy spracúvania informácií 200: Minimálne bezpečnostné požiadavky na federálne informácie a informačné systémy).

(183)  Memorandum 17-12 „ Preparing for and Responding to a Breach of Personally Identifiable Information “ (Príprava a reakcia na porušenie ochrany informácií o totožnosti), k dispozícii na adrese https://obamawhitehouse.archives.gov/sites/default/files/omb/memoranda/2017/m-17-12_0.pdf a obežník úradu OMB č. A-130. Napríklad postupy ministerstva spravodlivosti v reakcii na porušenia ochrany údajov, pozri https://www.justice.gov/file/4336/download.

(184)  Zákon FRA, hlava 44 § 3101 a nasl. Zákonníka Spojených štátov.

(185)  Národná správa archívov a záznamov má právomoc posudzovať postupy agentúr v oblasti riadenia záznamov a môže určiť, či je ďalšie uchovávanie určitých záznamov opodstatnené [hlava 44 § 2904 písm. c), § 2906 Zákonníka Spojených štátov].

(186)  Obežník úradu OMB č. A-130, oddiel 5 písm. f) bod 1 písm. d).

(187)  Obežník úradu OMB č. A-130, § 3 písm. d) dodatku I.

(188)  Pozri tiež usmernenia FBI k domácim vyšetrovaniam a operáciám (DIOG), oddiel 14.

(189)  AGG-DOM, oddiel VI písm. B) a C); usmernenia FBI k domácim vyšetrovaniam a operáciám (DIOG), oddiel 14.

(190)  Mechanizmy uvedené v tomto oddiele sa vzťahujú aj na získavanie a používanie údajov federálnymi orgánmi na civilné a regulačné účely. Federálne civilné a regulačné agentúry podliehajú kontrole zo strany príslušných generálnych inšpektorov a dohľadu Kongresu vrátane vládneho kontrolného úradu, agentúry Kongresu pre audit a vyšetrovanie. Pokiaľ agentúra nemá určeného úradníka pre ochranu súkromia a občianskych slobôd – pozíciu, ktorá sa zvyčajne nachádza v agentúrach, ako je ministerstvo spravodlivosti a ministerstvo vnútornej bezpečnosti (DHS) z dôvodu ich zodpovednosti v oblasti presadzovania práva a národnej bezpečnosti – tieto povinnosti prislúchajú vysokému úradníkovi agentúry pre ochranu súkromia (SAOP). Všetky federálne agentúry sú zo zákona povinné určiť SAOP, ktorý nesie zodpovednosť za zabezpečenie súladu agentúry so zákonmi o ochrane súkromia a za dohľad nad súvisiacimi záležitosťami. Pozri napr. OMB M-16-24, Úloha a určenie vysokých úradníkov agentúry pre ochranu súkromia (2016).

(191)  Pozri hlavu 42 § 2000ee-1 Zákonníka Spojených štátov. Patrí medzi ne napríklad ministerstvo spravodlivosti, ministerstvo vnútornej bezpečnosti a FBI. V rámci ministerstva vnútornej bezpečnosti je okrem toho hlavný úradník pre ochranu súkromia zodpovedný za zachovávanie a posilňovanie ochrany súkromia a podporu transparentnosti v rámci ministerstva (hlava 6 § 142 oddiel 222 Zákonníka Spojených štátov). Všetky systémy, technológie, formuláre a programy ministerstva vnútornej bezpečnosti, v rámci ktorých sa získavajú osobné údaje alebo ktoré majú vplyv na ochranu súkromia, podliehajú dohľadu hlavného úradníka pre ochranu súkromia, ktorý má prístup ku všetkým záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám, odporúčaniam a iným materiálom, ktoré má ministerstvo k dispozícii a ktoré sú v prípade potreby dostupné na základe výzvy. Úradník pre ochranu súkromia musí Kongresu každoročne podávať správy o činnostiach ministerstva, ktoré majú vplyv na ochranu súkromia, vrátane sťažností na porušovanie ochrany súkromia.

(192)  Hlava 42 § 2000ee-1 písm. d) Zákonníka Spojených štátov.

(193)  Pozri hlavu 42 § 2000ee-1 písm. f) body 1 – 2 Zákonníka Spojených štátov. Napríklad v správe hlavného úradníka ministerstva spravodlivosti pre ochranu súkromia a občianskych slobôd a Úradu pre ochranu súkromia a občianskych slobôd za obdobie od októbra 2020 do marca 2021 sa uvádza, že sa vykonalo 389 preskúmaní v oblasti ochrany súkromia vrátane informačných systémov a iných programov (https://www.justice.gov/d9/pages/attachments/2021/05/10/2021-4-21opclsection803reportfy20sa1_final.pdf).

(194)  Zákonom z roku 2002 o vnútornej bezpečnosti (Homeland Security Act) bol zároveň zriadený Úrad generálneho inšpektora na ministerstve vnútornej bezpečnosti.

(195)  Generálni inšpektori sú vymenúvaní nastálo a môže ich odvolať jedine prezident, ktorý musí Kongresu písomne oznámiť dôvody odvolania.

(196)  Pozri § 6 zákona z roku 1978 o generálnych inšpektoroch.

(197)  V tejto súvislosti pozri napríklad prehľad odporúčaní Úradu generálneho inšpektora v rámci ministerstva spravodlivosti a rozsahu, v akom boli vykonané prostredníctvom následných opatrení ministerstva a agentúry, https://oig.justice.gov/sites/default/files/reports/22-043.pdf.

(198)  Pozri § 4 ods. 5 a § 5 zákona z roku 1978 o generálnych inšpektoroch. Napríklad Úrad generálneho inšpektora v rámci ministerstva spravodlivosti nedávno uverejnil polročnú správu Kongresu (1. októbra 2021 – 31. marca 2022, https://oig.justice.gov/node/23596), ktorá obsahuje prehľad o jeho auditoch, hodnoteniach, inšpekciách, osobitných preskúmaniach a vyšetrovaniach programov a operácií ministerstva spravodlivosti. Tieto činnosti zahŕňali vyšetrovanie bývalého dodávateľa v súvislosti s neoprávneným zverejnením elektronického sledovania (odpočúvania fyzickej osoby) v rámci prebiehajúceho vyšetrovania, ktoré viedlo k odsúdeniu daného dodávateľa. Úrad generálneho inšpektora takisto uskutočnil vyšetrovanie programov a postupov v oblasti informačnej bezpečnosti agentúr ministerstva spravodlivosti, ktorého súčasťou bolo testovanie účinnosti politík, postupov a praxe v oblasti informačnej bezpečnosti v rámci reprezentatívnej podskupiny systémov agentúr.

(199)  Členovia rady sa musia vyberať výlučne na základe ich odbornej kvalifikácie, dosiahnutých výsledkov, verejného postavenia, odborných znalostí v oblasti občianskych slobôd a súkromia a príslušných skúseností a bez ohľadu na politickú príslušnosť. V žiadnom prípade nesmie mať rada viac než troch členov z tej istej politickej strany. Osoba vymenovaná do rady nesmie počas výkonu funkcie v rade zastávať žiadnu funkciu voleného činiteľa, úradníka ani zamestnanca federálnej vlády okrem funkcie člena rady. Pozri hlavu 42 § 2000ee písm. h) Zákonníka Spojených štátov.

(200)  Hlava 42 § 2000ee písm. g) Zákonníka Spojených štátov.

(201)  Pozri hlavu 42 § 2000ee-1 písm. f) bod 1 písm. A) bod iii) Zákonníka Spojených štátov. Patrí medzi ne prinajmenšom ministerstvo spravodlivosti, ministerstvo obrany a ministerstvo vnútornej bezpečnosti, ako aj každé iné ministerstvo, agentúra alebo prvok exekutívy určený radou PCLOB ako vhodný na zahrnutie.

(202)  Hlava 42 § 2000ee písm. e) Zákonníka Spojených štátov.

(203)  Hlava 42 § 2000ee písm. f) Zákonníka Spojených štátov.

(204)  Výbory napríklad usporadúvajú tematické vypočutia (pozri napr. nedávne vypočutie pred výborom Snemovne reprezentantov pre súdnictvo na tému „digitálne záťahy“, https://judiciary.house.gov/calendar/eventsingle.aspx?EventID=4983), ako aj pravidelné vypočutia v oblasti dohľadu, napr. FBI a ministerstva spravodlivosti, pozri https://www.judiciary.senate.gov/meetings/08/04/2022/oversight-of-the-federal-bureau-of-investigation, https://judiciary.house.gov/calendar/eventsingle.aspx?EventID=4966 a https://judiciary.house.gov/calendar/eventsingle.aspx?EventID=4899.

(205)  Pozri prílohu VI.

(206)  Obežník úradu OMB č. A-130, dodatok II, oddiel 3 písm. a) a f), v ktorom sa vyžaduje, aby federálne agentúry zabezpečili primeraný prístup a opravu na žiadosť fyzických osôb a zaviedli postupy na prijímanie a riešenie sťažností a žiadostí súvisiacich s ochranou súkromia.

(207)  Pozri hlavu 42 § 2000ee-1 Zákonníka Spojených štátov, pokiaľ ide napríklad o ministerstvo spravodlivosti a ministerstvo vnútornej bezpečnosti. Pozri aj memorandum úradu OMB M-16-24, Úloha a určenie vysokých úradníkov agentúry pre ochranu súkromia.

(208)  Mechanizmy nápravy uvedené v tomto oddiele sa vzťahujú aj na získavanie a používanie údajov federálnymi orgánmi na civilné a regulačné účely.

(209)  Hlava 5 § 702 Zákonníka Spojených štátov.

(210)  Predmetom súdneho preskúmania je vo všeobecnosti len „konečné“ konanie agentúry – a nie „predbežné, procesné alebo priebežné“ konanie agentúry. Pozri hlavu 5 § 704 Zákonníka Spojených štátov.

(211)  Hlava 5 § 706 ods. 2 písm. A) Zákonníka Spojených štátov.

(212)  Hlava 18 § 2701 – 2712 Zákonníka Spojených štátov.

(213)  Zákonom ECPA sa ochraňuje komunikácia, ktorú uchovávajú dve určené triedy poskytovateľov sieťových služieb, konkrétne poskytovatelia: i) elektronických komunikačných služieb, ako je napríklad telefónia alebo e-mail; ii) diaľkových počítačových služieb, napríklad služby počítačového úložiska alebo služby spracovania.

(214)  Hlava 18 § 2510 a nasl. Zákonníka Spojených štátov. V zmysle zákona o odpočúvaní (hlava 18 § 2520 Zákonníka Spojených štátov) môže osoba, ktorej telefonická, ústna alebo elektronická komunikácia sa zachytáva, sprístupňuje alebo zámerne používa, podať občianskoprávnu žalobu za porušenie zákona o odpočúvaní, pričom za istých okolností môže podať žalobu aj na konkrétneho štátneho úradníka alebo na Spojené štáty. V súvislosti so získavaním informácií bez obsahu samotnej komunikácie (napríklad IP adresy, adresy odosielateľa/príjemcu e-mailu) pozri aj hlavu 18 kapitolu „Záznamníky zdrojov a cieľov elektronickej komunikácie“ (hlava 18 § 3121 – 3127 a v súvislosti s občianskoprávnou žalobou § 2707 Zákonníka Spojených štátov).

(215)  Hlava 18 § 1030 Zákonníka Spojených štátov. V zmysle zákona o počítačových podvodoch a zneužívaní môže osoba podať žalobu na akúkoľvek osobu, pokiaľ ide o úmyselný neoprávnený prístup (alebo prekročenie oprávneného prístupu) s cieľom získať informácie od finančnej inštitúcie, z počítačového systému vlády USA alebo iného uvedeného počítača, pričom za istých okolností možno žalovať aj konkrétneho štátneho úradníka.

(216)  Hlava 28 § 2671 a nasl. Zákonníka Spojených štátov. V zmysle federálneho zákona o žalobe za ujmu môže osoba za istých okolností podať žalobu na USA, pokiaľ ide o „nedbanlivostný alebo protiprávny čin alebo opomenutie akéhokoľvek zamestnanca štátu, ktorý koná v rozsahu pôsobnosti svojej funkcie alebo zamestnania“.

(217)  Hlava 12 § 3401 a nasl. Zákonníka Spojených štátov. V zmysle zákona o práve na ochranu osobných finančných údajov môže osoba za istých okolností podať žalobu na Spojené štáty, pokiaľ ide o získanie alebo sprístupnenie chránených finančných záznamov v rozpore so zákonom. Prístup vlády k chráneným finančným záznamom je vo všeobecnosti zakázaný, pokiaľ vláda nepodá žiadosť na základe právoplatnej výzvy alebo príkazu na domovú prehliadku alebo, pričom toto ustanovenie podlieha obmedzeniam, formálnu písomnú žiadosť a fyzickej osobe, o ktorej informácie sa žiada, nebude doručené oznámenie o takejto žiadosti.

(218)  Hlava 15 § 1681 – 1681x Zákonníka Spojených štátov. V zmysle zákona o náležitom podávaní informácií o úverovej schopnosti môže osoba podať žalobu na akúkoľvek osobu, ktorá nesplní požiadavky (predovšetkým potrebu právoplatného povolenia) týkajúce sa získavania, poskytovania a použitia informácií o úverovej schopnosti zákazníkov, pričom za istých okolností možno podať žalobu na vládnu agentúru.

(219)  Hlava 5 § 552 Zákonníka Spojených štátov.

(220)  Tieto vylúčenia sú však presne vymedzené. Napríklad podľa hlavy 5 § 552 písm. b) bodu 7 Zákonníka Spojených štátov sú práva v zmysle zákona FOIA vylúčené v prípade „záznamov alebo informácií zostavených na účely presadzovania práva, ale len v rozsahu, v akom by sa v súvislosti so zostavením týchto záznamov alebo informácií na účely presadzovania práva A) mohlo odôvodnene očakávať, že budú predstavovať zásah do konania na presadenie práva; B) zbavila osoba práva na spravodlivý proces alebo nezaujaté rozhodnutie; C) mohlo primerane očakávať, že budú predstavovať bezdôvodné narušenie súkromia; D) mohlo primerane očakávať, že sa v nich odhalí totožnosť dôverného zdroja, vrátane štátnej, miestnej alebo zahraničnej agentúry alebo orgánu alebo akejkoľvek súkromnej inštitúcie, ktorá poskytla informácie na dôvernom základe, a v prípade záznamu alebo informácií zostavených orgánom činným v trestnom konaní v priebehu vyšetrovania trestného činu alebo agentúrou vykonávajúcou zákonné vyšetrovanie týkajúce sa spravodajstva v oblasti národnej bezpečnosti, informácie poskytnuté dôverným zdrojom; E) odhalili techniky a postupy vyšetrovania alebo trestného stíhania v oblasti presadzovania práva, alebo by sa odhalili usmernenia pre vyšetrovanie alebo trestné stíhanie v oblasti presadzovania práva, keby sa dalo primerane očakávať, že na základe tohto odhalenia by hrozilo obchádzanie zákona; alebo F) mohlo primerane očakávať, že ohrozia život alebo telesnú bezpečnosť akejkoľvek fyzickej osoby“. Zároveň, „vždy pri podaní žiadosti, ktorá zahŕňa prístup k záznamom (v súvislosti so zostavením ktorých by sa dalo primerane očakávať, že bude zasahovať do konania na presadenie práva) a A) vyšetrovanie alebo konanie zahŕňa možné porušenie trestného práva; a B) existuje dôvod domnievať sa, že i) osoba, ktorá je predmetom vyšetrovania alebo konania, si nie je vedomá, že konanie prebieha; ii) v súvislosti s odhalením existencie záznamov by sa dalo primerane očakávať, že bude zasahovať do konania na presadenia práva, môže agentúra len počas takého obdobia, keď táto okolnosť pretrváva, považovať záznamy za také, ktoré nepodliehajú požiadavkám tohto oddielu.“ [hlava 5 § 552 písm. c) bod 1 Zákonníka Spojených štátov].

(221)  Hlava 12 § 3414, hlava 15 § 1681u – 1681v a hlava 18 § 2709 Zákonníka Spojených štátov. Pozri odôvodnenie 153.

(222)  Hlava 50 § 1804 Zákonníka Spojených štátov, ktorý sa týka tradičného individualizovaného elektronického sledovania.

(223)  Hlava 50 § 1822 Zákonníka Spojených štátov, ktorý sa týka fyzického prehľadania priestorov na účely zahraničného spravodajstva.

(224)  Hlava 50 § 1842 v spojení s § 1841 ods. 2 a hlavou 18 oddielom 3127 Zákonníka Spojených štátov, ktorý sa týka inštalácie záznamníkov zdrojov a cieľov elektronickej komunikácie.

(225)  Hlava 50 § 1861 Zákonníka Spojených štátov, ktorý FBI umožňuje predložiť „návrh na príkaz, ktorým sa bežný dopravca, verejné ubytovacie zariadenie, zariadenie poskytujúce služby fyzického uskladnenia alebo zariadenie na prenájom vozidiel poveruje uvoľnením záznamov, ktoré má v držbe, na účely vyšetrovania s cieľom získať zahraničné spravodajské informácie alebo na účely vyšetrovania medzinárodného terorizmu“.

(226)  Hlava 50 § 1881a Zákonníka Spojených štátov, ktorý zložkám spravodajských služieb USA umožňuje – s povinnou spoluprácou poskytovateľov elektronických komunikačných služieb – získať prístup k informáciám vrátane obsahu internetovej komunikácie, ktorá pochádza od amerických spoločností a je zacielená na určité osoby, ktoré nie sú občanmi ani rezidentmi USA a nachádzajú sa mimo územia Spojených štátov.

(227)  Vykonávacie nariadenie č. 12333: Spravodajská činnosť USA, Federálny register, zv. 40, č. 235 (8. decembra 1981, zmenené 30. júla 2008). Vo vykonávacom nariadení č. 12333 sa vo všeobecnosti vymedzujú ciele, pokyny, povinnosti a úlohy v spravodajstve USA (vrátane úloh jednotlivých zložiek spravodajských služieb) a stanovujú sa v ňom všeobecné parametre vykonávania spravodajskej činnosti.

(228)  Podľa článku II Ústavy USA zodpovednosť za zaistenie národnej bezpečnosti vrátane zhromažďovania zahraničných spravodajských informácií patrí do právomoci prezidenta ako vrchného veliteľa ozbrojených síl.

(229)  Vykonávacím nariadením č. 14086 sa nahrádza predchádzajúca prezidentská smernica – PPD 28 – s výnimkou jej oddielu 3 a doplňujúcej prílohy k nej (v ktorej sa vyžaduje, aby spravodajské agentúry každoročne preskúmali svoje priority a požiadavky v oblasti signálového spravodajstva s prihliadnutím na prínosy činností signálového spravodajstva pre národné záujmy USA, ako aj na riziko, ktoré tieto činnosti predstavujú) a s výnimkou oddielu 6 (ktorý obsahuje všeobecné ustanovenia), pozri memorandum o národnej bezpečnosti týkajúce sa čiastočného zrušenia prezidentskej politickej smernice 28, ktoré je k dispozícii na adrese https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/national-security-memorandum-on-partial-revocation-of-presidential-policy-directive-28/.

(230)  Pozri oddiel 5 písm. f) vykonávacieho nariadenia č. 14086, v ktorom sa vysvetľuje, že vykonávacie nariadenie má rovnaký rozsah pôsobnosti ako smernica PPD-28, ktorá sa podľa poznámky pod čiarou č. 3 vzťahovala na činnosti signálového spravodajstva vykonávané s cieľom získavať komunikáciu alebo informácie o komunikácii, s výnimkou činností signálového spravodajstva vykonávaných s cieľom testovať alebo rozvíjať spôsobilosti signálového spravodajstva.

(231)  V tejto súvislosti pozri napr. oddiel 5 písm. h) vykonávacieho nariadenia č. 14086, v ktorom sa objasňuje, že záruky vo vykonávacom nariadení vytvárajú právny nárok a fyzické osoby ich môžu presadzovať prostredníctvom mechanizmu nápravy.

(232)  Pozri oddiel 2 písm. c) bod iv) písm. C) vykonávacieho nariadenia č. 14086.

(233)  https://www.intel.gov/ic-on-the-record-database/results/oversight/1278-odni-releases-ic-procedures-implementing-new-safeguards-in-executive-order-14086.

(234)  Oddiel 2 písm. a) bod i) vykonávacieho nariadenia č. 14086.

(235)  Oddiel 2 písm. a) bod ii) vykonávacieho nariadenia č. 14086.

(236)  Oddiel 2 písm. a) bod ii) písm. A) vykonávacieho nariadenia č. 14086. Signálové spravodajstvo však nemusí byť nevyhnutne jediným prostriedkom na dosiahnutie aspektov validovanej priority spravodajstva. Získavanie signálového spravodajstva sa môže napríklad použiť na zabezpečenie alternatívnych spôsobov validácie (napr. na potvrdenie informácií získaných z iných spravodajských zdrojov) alebo na zachovanie spoľahlivého prístupu k rovnakým informáciám [oddiel 2 písm. c) bod i) písm. A) vykonávacieho nariadenia č. 14086].

(237)  Oddiel 2 písm. a) bod ii) písm. B) vykonávacieho nariadenia č. 14086.

(238)  Oddiel 2 písm. a) bod ii) písm. B) vykonávacieho nariadenia č. 14086.

(239)  Oddiel 2 písm. a) bod iii) v spojení s oddielom 2 písm. d) vykonávacieho nariadenia č. 14086.

(240)  Oddiel 2 písm. b) bod i) vykonávacieho nariadenia č. 14086. Vzhľadom na vymedzený zoznam legitímnych cieľov vo vykonávacom nariadení, ktorý nezahŕňa možné budúce hrozby, sa vykonávacím nariadením prezidentovi umožňuje tento zoznam aktualizovať, ak sa objavia nové požiadavky národnej bezpečnosti, ako sú nové hrozby pre národnú bezpečnosť. Takéto aktualizácie je nutné v zásade zverejniť, pokiaľ prezident nerozhodne, že by zverejnenie predstavovalo riziko pre národnú bezpečnosť Spojených štátov [oddiel 2 písm. b) bod i) písm. B) vykonávacieho nariadenia č. 14086].

(241)  Oddiel 2 písm. b) bod ii) vykonávacieho nariadenia č. 14086.

(242)  Oddiel 102A zákona o národnej bezpečnosti a oddiel 2 písm. b) bod iii) vykonávacieho nariadenia č. 14086.

(243)  Vo výnimočných prípadoch (najmä ak tento postup nemožno vykonať z dôvodu potreby riešiť novú alebo vyvíjajúcu sa požiadavku spravodajstva) môže takéto priority stanoviť priamo prezident alebo riaditeľ zložky spravodajských služieb, ktorí v zásade musia uplatniť rovnaké kritériá ako tie, ktoré sú opísané v oddiele 2 písm. b) bode iii) písm. A) bodoch 1 – 3, pozri oddiel 4 písm. n) vykonávacieho nariadenia č. 14086.

(244)  Oddiel 2 písm. b) bod iii) písm. C) vykonávacieho nariadenia č. 14086.

(245)  Oddiel 2 písm. b) a oddiel 2 písm. c) bod i) písm. A) vykonávacieho nariadenia č. 14086.

(246)  Oddiel 2 písm. c) bod i) písm. A) vykonávacieho nariadenia č. 14086.

(247)  Oddiel 2 písm. c) bod i) písm. A) vykonávacieho nariadenia č. 14086.

(248)  Oddiel 2 písm. c) bod i) písm. B) vykonávacieho nariadenia č. 14086.

(249)  Oddiel 2 písm. c) bod i) písm. B) vykonávacieho nariadenia č. 14086.

(250)  T. j. získavanie veľkého množstva signálového spravodajstva, ktoré sa z technických alebo prevádzkových dôvodov získava bez použitia diskriminantov (napríklad bez použitia konkrétnych identifikátorov alebo selektorov), pozri oddiel 4 písm. b) vykonávacieho nariadenia č. 14086. Podľa vykonávacieho nariadenia č. 14086, a ako sa ďalej vysvetľuje v odôvodnení 141, hromadné získavanie podľa vykonávacieho nariadenia č. 12333 sa uskutočňuje, len ak je to potrebné na dosiahnutie validovaných priorít spravodajstva, a podlieha viacerým obmedzeniam a zárukám určeným na zabezpečenie toho, aby sa prístup k údajom nerealizoval na neselektívnom základe. Hromadné získavanie preto treba odlišovať od získavania, ktoré sa uskutočňuje na všeobecnom a neselektívnom základe („masové sledovanie“) bez obmedzení a záruk.

(251)  Oddiel 2 písm. c) bod ii) písm. A) vykonávacieho nariadenia č. 14086.

(252)  Oddiel 2 písm. c) bod ii) písm. A) vykonávacieho nariadenia č. 14086.

(253)  Osobitné pravidlá vykonávacieho nariadenia č. 14086 týkajúce sa hromadného získavania sa vzťahujú aj na cielenú činnosť získavania signálového spravodajstva, v rámci ktorej sa dočasne využívajú údaje získané bez diskriminantov (napr. konkrétne selektory alebo identifikátory), t. j. hromadne (čo je možné len mimo územia Spojených štátov). Neplatí to v prípade, keď sa takéto údaje používajú len na podporu počiatočnej technickej fázy cielenej činnosti získavania signálového spravodajstva a uchovávajú sa len počas krátkeho obdobia potrebného na dokončenie tejto fázy a ihneď potom sa vymažú [oddiel 2 písm. c) bod ii) písm. D) vykonávacieho nariadenia č. 14086]. V tomto prípade je jediným účelom prvotného získavania bez diskriminantov umožniť cielené získavanie informácií použitím konkrétneho identifikátora alebo selektora. V tomto scenári sa do vládnych databáz vkladajú len údaje, ktoré vyplynuli z použitia určitého diskriminantu, zatiaľ čo ostatné údaje sa zničia. Takéto cielené získavanie sa preto naďalej riadi všeobecnými pravidlami platnými pre získavanie signálového spravodajstva vrátane oddielu 2 písm. a) až b) a oddielu 2 písm. c) bodu i) vykonávacieho nariadenia č. 14086.

(254)  Oddiel 2 písm. c) bod ii) písm. A) vykonávacieho nariadenia č. 14086.

(255)  Oddiel 2 písm. c) bod ii) písm. B) vykonávacieho nariadenia č. 14086. V prípade, že sa objavia nové požiadavky národnej bezpečnosti, napríklad nové hrozby pre národnú bezpečnosť, prezident môže tento zoznam aktualizovať. Takéto aktualizácie je nutné v zásade zverejniť, pokiaľ prezident nerozhodne, že by zverejnenie predstavovalo riziko pre národnú bezpečnosť Spojených štátov [oddiel 2 písm. c) bod ii) písm. C) vykonávacieho nariadenia č. 14086]. Pokiaľ ide o vyhľadávanie hromadne získavaných údajov, pozri oddiel 2 písm. c) bod iii) písm. D) vykonávacieho nariadenia č. 14086.

(256)  Oddiel 2 písm. a) bod ii) písm. A) v spojení s oddielom 2 písm. c) bodom iii) písm. D) vykonávacieho nariadenia č. 14086. Pozri aj prílohu VII.

(257)  Hlava 50 § 1881 Zákonníka Spojených štátov.

(258)  Hlava 50 § 1881a písm. a) Zákonníka Spojených štátov. Konkrétne, ako uviedla rada PCLOB, sledovanie podľa oddielu 702 „predstavuje výlučne zacielenie na konkrétne osoby, [ktoré nie sú občanmi ani rezidentmi USA] v súvislosti s ktorými sa prijalo individualizované rozhodnutie“ [Rada pre dohľad nad ochranou súkromia a občianskych slobôd, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (Správa o programe sledovania vykonávanom podľa oddielu 702 zákona o sledovaní v rámci zahraničného spravodajstva), 2. júla 2014, Section 702 Report (Správa podľa oddielu 702), s. 111]. Pozri aj NSA CLPO, NSA's Implementation of Foreign Intelligence surveillance Act Section 702 (Vykonávanie oddielu 702 zákona o sledovaní v rámci zahraničného spravodajstva zo strany NSA), 16. apríla 2014. Pojem „poskytovateľ elektronických komunikačných služieb“ je vymedzený v hlave 50 § 1881 písm. a) bode 4 Zákonníka Spojených štátov.

(259)  Hlava 50 § 1881a písm. g) Zákonníka Spojených štátov.

(260)  Súd FISC sa skladá zo sudcov, ktorých vymenúva predseda Najvyššieho súdu Spojených štátov z radov úradujúcich sudcov obvodných súdov USA, ktorých predtým vymenoval prezident a potvrdil Senát. Sudcovia, ktorí majú doživotné funkčné obdobie a môžu byť odvolaní len zo závažných dôvodov, majú na súde FISC sedemročné funkčné obdobie s nejednotným začiatkom. V zákone FISA sa vyžaduje, aby sa sudcovia vyberali aspoň zo siedmich rôznych súdnych obvodov USA. Pozri hlavu 50 § 1803 písm. a) Zákonníka Spojených štátov. Sudcom pomáhajú skúsení súdni úradníci, ktorí pracujú ako právnici súdu a pripravujú právne analýzy žiadostí týkajúcich sa získavania údajov. Pozri list ctihodného Reggieho B. Waltona, predsedajúceho sudcu Súdu USA pre sledovanie v rámci zahraničného spravodajstva, ctihodnému Patrickovi J. Leahymu, predsedovi Výboru Senátu USA pre súdnictvo (29. júla 2013) (ďalej len „Waltonov list“), s. 2, k dispozícii na adrese https://fas.org/irp/news/2013/07/fisc-leahy.pdf.

(261)  Súd FISCR sa skladá zo sudcov, ktorých vymenúva predseda Najvyššieho súdu USA a ktorí sa vyberajú z radov sudcov obvodných súdov alebo odvolacích súdov USA a majú sedemročné funkčné obdobie s nejednotným začiatkom. Pozri hlavu 50 § 1803 písm. b) Zákonníka Spojených štátov.

(262)  Pozri hlavu 50 § 1803 písm. b), § 1861a písm. f), § 1881a písm. h) a § 1881a písm. i) bod 4 Zákonníka Spojených štátov.

(263)  Hlava 50 § 1803 písm. i) bod 1 a § 1803 písm. i) bod 3 písm. A) Zákonníka Spojených štátov.

(264)  Hlava 50 § 1803 písm. i) bod 2 písm. A) Zákonníka Spojených štátov.

(265)  Hlava 50 § 1803 písm. i) bod 2 písm. B) Zákonníka Spojených štátov.

(266)  Pozri napr. stanovisko súdu FISC z 18. októbra 2018, k dispozícii na adrese https://www.intelligence.gov/assets/documents/702%20Documents/declassified/2018_Cert_FISC_Opin_18Oct18.pdf, ako potvrdil Revízny súd pre sledovanie v rámci zahraničného spravodajstva vo svojom stanovisku z 12. júla 2019, k dispozícii na adrese https://www.intelligence.gov/assets/documents/702%20Documents/declassified/2018_Cert_FISCR_Opinion_12Jul19.pdf.

(267)  Pozri napr. FISC, Memorandum Opinion and Order (stanovisko a vyhláška), s. 35 (18. novembra 2020) (povolené na zverejnenie 26. apríla 2021) (príloha D).

(268)  Hlava 50 § 1881a písm. a) Zákonníka Spojených štátov, postupy používané Národnou bezpečnostnou agentúrou pri zacielení na osoby, ktoré nie sú občanmi ani rezidentmi Spojených štátov a o ktorých sa odôvodnene usudzuje, že sa nachádzajú mimo Spojených štátov, s cieľom získať zahraničné spravodajské informácie podľa oddielu 702 zákona z roku 1978 o sledovaní v rámci zahraničného spravodajstva, v znení zmien, marec 2018 (postupy zacielenia NSA), k dispozícii na adrese https://www.intelligence.gov/assets/documents/702%20Documents/declassified/2018_Cert_NSA_Targeting_27Mar18.pdf, s. 1 – 4, ďalej vysvetlené v správe rady PCLOB, s. 41 – 42.

(269)  Postupy zacielenia NSA, s. 4.

(270)  Pozri PCLOB, Section 702 Report (Správa podľa oddielu 702), s. 32 – 33, 45 s ďalšími odkazmi. Pozri aj Semiannual Assessment of Compliance with Procedures and Guidelines Issued Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (Polročné posúdenie dodržiavania postupov a usmernení podľa oddielu 702 zákona o sledovaní v rámci zahraničného spravodajstva) predložené generálnym prokurátorom a riaditeľom Národnej spravodajskej služby, vykazované obdobie: 1. december 2016 – 31. máj 2017, s. 41 (október 2018), k dispozícii na adrese: https://www.dni.gov/files/icotr/18th_Joint_Assessment.pdf.

(271)  PCLOB, Section 702 Report (Správa podľa oddielu 702), s. 42 – 43.

(272)  Postupy zacielenia NSA, s. 2.

(273)  PCLOB, Section 702 Report (Správa podľa oddielu 702), s. 46. NSA musí napríklad overiť, či existuje spojitosť medzi cieľom a selektorom, zdokumentovať zahraničné spravodajské informácie, ktoré chce získať, tieto informácie musia skontrolovať a schváliť dvaja vysokopostavení analytici NSA a celý proces bude sledovať úrad ODNI a ministerstvo spravodlivosti na účely následného preskúmania dodržiavania zásad. Pozri NSA CLPO, NSA's Implementation of Foreign Intelligence surveillance Act Section 702 (Vykonávanie oddielu 702 zákona o sledovaní v rámci zahraničného spravodajstva zo strany NSA), 16. apríla 2014.

(274)  Hlava 50 § 1881a písm. h) Zákonníka Spojených štátov.

(275)  Postupy zacielenia NSA, s. 8. Pozri aj PCLOB, Section 702 Report (Správa podľa oddielu 702), s. 46. Neposkytnutie písomného odôvodnenia predstavuje prípad nedodržania pravidiel týkajúcich sa dokumentácie, ktorý sa musí oznámiť súdu FISC a Kongresu. Pozri Semiannual Assessment of Compliance with Procedures and Guidelines Issued Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (Polročné posúdenie dodržiavania postupov a usmernení podľa oddielu 702 zákona o sledovaní v rámci zahraničného spravodajstva) predložené generálnym prokurátorom a riaditeľom Národnej spravodajskej služby, vykazované obdobie: 1. december 2016 – 31. máj 2017, s. 41 (október 2018), DOJ/ODNI Compliance Report to FISC for Dec. 2016 – May 2017 (Správa ministerstva spravodlivosti/úradu ODNI určená súdu FISC o dodržiavaní súladu za december 2016 – máj 2017), s. A-6, k dispozícii na adrese https://www.dni.gov/files/icotr/18th_Joint_Assessment.pdf.

(276)  Pozri U.S. Government Submission to Foreign Intelligence Surveillance Court, 2015 Summary of Notable Section 702 Requirements (Podanie návrhu vlády USA na Súd pre sledovanie v rámci zahraničného spravodajstva, zhrnutie významných požiadaviek podľa oddielu 702 z roku 2015), s. 2 – 3 (15. júla 2015) a informácie uvedené v prílohe VII.

(277)  Pozri U.S. Government Submission to Foreign Intelligence Surveillance Court, 2015 Summary of Notable Section 702 Requirements (Podanie návrhu vlády USA na Súd pre sledovanie v rámci zahraničného spravodajstva, zhrnutie významných požiadaviek podľa oddielu 702 z roku 2015), s. 2 – 3 (15. júla 2015), v ktorom sa stanovuje, že „[a]k vláda neskôr dospeje k záveru, že pokračujúce sledovanie určeného selektora cieľa zrejme nebude viesť k získaniu zahraničných spravodajských informácií, je nutné sledovanie určeného selektora bezodkladne ukončiť, pričom odklad ukončenia môže predstavovať prípad nedodržania pravidiel, ktorý podlieha oznámeniu“. Pozri aj informácie uvedené v prílohe VII.

(278)  PCLOB, Section 702 Report (Správa podľa oddielu 702), s. 70 – 72, pravidlo 13 písm. b) rokovacieho poriadku Súdu Spojených štátov pre sledovanie v rámci spravodajstva, k dispozícii na https://www.fisc.uscourts.gov/sites/default/files/FISC%20Rules%20of%20Procedure.pdf.

(279)  Pozri aj DOJ/ODNI Compliance Report to FISC for Dec. 2016 – May 2017 (Správa ministerstva spravodlivosti/úradu ODNI určená súdu FISC o dodržiavaní súladu za december 2016 – máj 2017), s. A-6.

(280)  Hlava 50 § 1874 Zákonníka Spojených štátov.

(281)  Hlava 50 § 1842 písm. c) bod 3 Zákonníka Spojených štátov a v súvislosti s príkazmi na vydanie informácií z dôvodu národnej bezpečnosti hlava 12 § 3414 písm. a) bod 2), hlava 15 § 1681u, hlava 15 § 1681v písm. a) a hlava 18 § 2709 písm. a) Zákonníka Spojených štátov.

(282)   „Agenti zahraničnej mocnosti“ môžu zahŕňať osoby, ktoré nie sú občanmi ani rezidentmi USA a zapájajú sa do medzinárodného terorizmu alebo medzinárodného šírenia zbraní hromadného ničenia (vrátane prípravných krokov) [hlava 50 § 1801 písm. b) bod 1 Zákonníka Spojených štátov].

(283)  Hlava 50 § 1804 Zákonníka Spojených štátov. Pokiaľ ide o výber konkrétnych selektorov, pozri aj § 1841 ods. 4.

(284)  Hlava 50 § 1821 ods. 5 Zákonníka Spojených štátov.

(285)  Hlava 50 § 1823 písm. a) Zákonníka Spojených štátov.

(286)  Hlava 50 § 1842 v spojení s § 1841 ods. 2 a hlavou 18 oddielom 3127 Zákonníka Spojených štátov.

(287)  Hlava 50 § 1862 Zákonníka Spojených štátov.

(288)  Hlava 50 § 1861 – 1862 Zákonníka Spojených štátov.

(289)  Hlava 50 § 1862 písm. b) Zákonníka Spojených štátov.

(290)  Hlava 12 § 3414, hlava 15 § 1681u – 1681v a hlava 18 § 2709 Zákonníka Spojených štátov.

(291)  Hlava 18 § 2709 písm. b) Zákonníka Spojených štátov.

(292)  Napr. hlava 18 § 2709 písm. d) Zákonníka Spojených štátov.

(293)  Oddiel 2 písm. c) bod iii) písm. B) bod 1 vykonávacieho nariadenia č. 14086. Pozri aj hlavu VIII zákona o národnej bezpečnosti (v ktorej sa podrobne opisujú požiadavky na prístup k utajovaným skutočnostiam), oddiel 1.5 vykonávacieho nariadenia č. 12333 (v ktorom sa od riaditeľov spravodajských agentúr vyžaduje, aby dodržiavali usmernenia o výmene informácií a bezpečnosti, ochranu informácií a iné právne požiadavky), oddiel 42 „Národná politika v oblasti bezpečnosti telekomunikačných a informačných systémov národnej bezpečnosti“ smernice o národnej bezpečnosti (v ktorom sa nariaďuje Výboru pre systémy národnej bezpečnosti, aby ministerstvám a výkonným agentúram poskytoval bezpečnostné usmernenia týkajúce sa systémov národnej bezpečnosti) a oddiel 8 „Zlepšenie kybernetickej bezpečnosti v rámci systémov národnej bezpečnosti, ministerstva obrany a spravodajských služieb“ memoranda o národnej bezpečnosti (v ktorom sa stanovujú harmonogramy a usmernenia týkajúce sa vykonávania požiadaviek kybernetickej bezpečnosti v prípade systémov národnej bezpečnosti vrátane viacstupňovej autentifikácie, šifrovania, cloudových technológií a služieb detekcie koncových bodov).

(294)  Oddiel 2 písm. c) bod iii) písm. B) bod 2 vykonávacieho nariadenia č. 14086. K osobným údajom, v prípade ktorých nebolo prijaté konečné rozhodnutie o uchovávaní, možno navyše získať prístup len na účely prijatia alebo doloženia takéhoto rozhodnutia alebo na účely vykonávania oprávnených administratívnych, skúšobných, vývojových, bezpečnostných funkcií alebo funkcií dohľadu [oddiel 2 písm. c) bod iii) písm. B) bod 3 vykonávacieho nariadenia č. 14086].

(295)  Oddiel 2 písm. d) bod ii) vykonávacieho nariadenia č. 14086.

(296)  Oddiel 2 písm. c) bod iii) písm. C) vykonávacieho nariadenia č. 14086.

(297)  Oddiel 2 písm. c) bod iii) písm. A) bod 2 písm. a) až c) vykonávacieho nariadenia č. 14086. Vo všeobecnosti musí každá agentúra zaviesť politiky a postupy určené na minimalizovanie poskytovania a uchovávania osobných údajov získaných prostredníctvom signálového spravodajstva [oddiel 2 písm. c) bod iii) písm. A) vykonávacieho nariadenia č. 14086].

(298)  Pozri napr. oddiel 309 zákona o povolení spravodajstva na rozpočtový rok 2015 (Intelligence Authorization Act for Fiscal Year 2015), postupy minimalizácie prijaté jednotlivými spravodajskými agentúrami podľa oddielu 702 zákona FISA a schválené súdom FISC, postupy schválené generálnym prokurátorom a v súlade so zákonom FRA (podľa ktorého sa vyžaduje, aby federálne agentúry USA vrátane národných bezpečnostných agentúr stanovili lehoty uchovávania svojich záznamov, ktoré musí schváliť Národná správa archívov a záznamov).

(299)  Oddiel 2 písm. c) bod iii) písm. A) bod 1 písm. a) a oddiel 5 písm. d) vykonávacieho nariadenia č. 14086 v spojení s oddielom 2.3 vykonávacieho nariadenia č. 12333.

(300)  Oddiel 2 písm. c) bod iii) písm. A) bod 1 písm. b) a e) vykonávacieho nariadenia č. 14086.

(301)  Pozri napr. usmernenia AGG-DOM, v ktorých sa okrem iného stanovuje, že FBI môže šíriť informácie len vtedy, ak príjemca potrebuje dané informácie poznať na splnenie svojej úlohy alebo na ochranu verejnosti.

(302)  Oddiel 2 písm. c) bod iii) písm. A) bod 1 písm. c) vykonávacieho nariadenia č. 14086. Spravodajské agentúry môžu napríklad šíriť informácie za okolností, ktoré sú relevantné pre vyšetrovanie trestného činu alebo súvisia s trestným činom, a to napríklad aj formou šírenia varovaní pred hrozbami zabitia, vážnej ujmy na zdraví alebo únosu, šírenia informácií o kybernetických hrozbách, incidentoch alebo reakciách na narušenie a informovania obetí alebo varovania potenciálnych obetí trestných činov.

(303)  Oddiel 2 písm. c) bod iii) písm. A) bod 1 písm. d) vykonávacieho nariadenia č. 14086.

(304)  Oddiel 2 písm. c) bod iii) písm. E) vykonávacieho nariadenia č. 14086.

(305)  Pozri politiku CNSS č. 22, Politika riadenia kybernetickobezpečnostných rizík a pokyn CNSS č. 1253, kde sa uvádzajú podrobné usmernenia o bezpečnostných opatreniach, ktoré sa majú zaviesť v prípade systémov národnej bezpečnosti.

(306)  Oddiel 2 písm. d) bod i) písm. A) až B) vykonávacieho nariadenia č. 14086.

(307)  Oddiel 2 písm. d) bod i) písm. B) až C) vykonávacieho nariadenia č. 14086.

(308)  T. j. systémové alebo úmyselné nedodržanie platných právnych predpisov USA, ktoré by mohlo ohroziť povesť alebo integritu zložky spravodajských služieb alebo inak spochybniť primeranosť činnosti spravodajských služieb, a to aj vzhľadom na akýkoľvek významný vplyv na záujmy dotknutej osoby alebo osôb v oblasti ochrany súkromia a občianskych slobôd, pozri oddiel 5 písm. l) vykonávacieho nariadenia č. 14086.

(309)  Oddiel 2 písm. d) bod iii) vykonávacieho nariadenia č. 14086.

(310)  Oddiel 2 písm. d) bod i) písm. B) vykonávacieho nariadenia č. 14086.

(311)  Pozri hlavu 42 § 2000ee-1 Zákonníka Spojených štátov. Patrí medzi ne napríklad ministerstvo zahraničných vecí, ministerstvo spravodlivosti, ministerstvo vnútornej bezpečnosti, ministerstvo obrany, NSA, Ústredná spravodajská služba (CIA), FBI a úrad ODNI.

(312)  Pozri oddiel 3 písm. c) vykonávacieho nariadenia č. 14086.

(313)  Hlava 42 § 2000ee-1 písm. d) Zákonníka Spojených štátov.

(314)  Pozri hlavu 42 § 2000ee-1 písm. f) body 1 a 2 Zákonníka Spojených štátov. Napríklad v správe Úradu NSA pre občianske slobody, súkromie a transparentnosť za obdobie od januára 2021 do júna 2021 sa uvádza, že úrad vykonal 591 preskúmaní vplyvu na občianske slobody a súkromie v rôznych kontextoch, napr. pokiaľ ide o získavanie údajov, opatrenia a rozhodnutia týkajúce sa výmeny informácií, rozhodnutia o uchovávaní údajov atď., pričom zohľadnil rôzne faktory, ako sú množstvo a druh informácií súvisiacich s danou činnosťou, zapojené osoby, účel a predpokladané použitie údajov, zavedené záruky na zmiernenie potenciálnych rizík pre súkromie atď. (https://media.defense.gov/2022/Apr/11/2002974486/-1/-1/1/REPORT%207_CLPT%20JANUARY%20-%20JUNE%202021%20_FINAL.PDF). Podobne aj v správach Úradu CIA pre súkromie a občianske slobody za obdobie od januára do júna 2019 sa uvádzajú informácie o činnostiach úradu v oblasti dohľadu, napr. o preskúmaní dodržiavania usmernení generálneho prokurátora podľa vykonávacieho nariadenia č. 12333, pokiaľ ide o uchovávanie a poskytovanie informácií, vydaných usmernení k vykonávaniu smernice PPD 28 a požiadaviek na identifikáciu a riešenie porušení ochrany údajov, ako aj o preskúmaniach týkajúcich sa používania osobných údajov a zaobchádzania s nimi (https://www.cia.gov/static/9d762fbef6669c7e6d7f17e227fad82c/2019-Q1-Q2-CIA-OPCL-Semi-Annual-Report.pdf).

(315)  Tohto generálneho inšpektora vymenúva prezident s potvrdením Senátu a môže ho odvolať iba prezident.

(316)  Generálni inšpektori sú vymenúvaní nastálo a môže ich odvolať jedine prezident, ktorý musí Kongresu písomne oznámiť dôvody odvolania. To nutne neznamená, že nepodliehajú vôbec žiadnym pokynom. V niektorých prípadoch môže riaditeľ ministerstva zakázať generálnemu inšpektorovi začať, vykonávať alebo dokončiť audit alebo vyšetrovanie, ak to považuje za nevyhnutné na ochranu dôležitých národných (bezpečnostných) záujmov. Kongres však musí byť informovaný o uplatnení tejto právomoci a na tomto základe môže voči príslušnému riaditeľovi vyvodiť zodpovednosť. Pozri napr. zákon z roku 1978 o generálnych inšpektoroch, § 8 (generálny inšpektor ministerstva obrany), § 8E (generálny inšpektor ministerstva spravodlivosti), § 8G písm. d) bod 2 písm. A), B) (generálny inšpektor NSA), hlavu 50 § 403q písm. b) Zákonníka Spojených štátov (generálny inšpektor CIA), zákon o povolení spravodajstva na rozpočtový rok 2010 (Intelligence Authorization Act For Fiscal Year 2010), oddiel 405 písm. f) (generálny inšpektor spravodajských služieb).

(317)  Zákon z roku 1978 o generálnych inšpektoroch, v znení zmien, Pub. L. 117-108 z 8. apríla 2022. Ako sa napríklad vysvetľuje v polročných správach generálneho inšpektora NSA adresovaných Kongresu za obdobie od 1. apríla 2021 do 31. marca 2022, generálny inšpektor NSA vykonal hodnotenia zaobchádzania s osobnými údajmi občanov/rezidentov USA získanými podľa vykonávacieho nariadenia č. 12333, procesu čistenia údajov signálového spravodajstva, automatizovaného nástroja zacielenia, ktorý používa NSA, a súladu s pravidlami týkajúcimi sa dokumentácie a vyhľadávania v súvislosti so získavaním údajov podľa oddielu 702 zákona FISA a v tejto súvislosti vydal niekoľko odporúčaní (pozri https://oig.nsa.gov/Portals/71/Reports/SAR/NSA%20OIG%20SAR%20-%20APR%202021%20-%20SEP%202021%20-%20Unclassified.pdf?ver=IwtrthntGdfEb-EKTOm3gg%3d%3d, s. 5 – 8 a https://oig.nsa.gov/Portals/71/Images/NSAOIGMAR2022.pdf?ver=jbq2rCrJ00HJ9qDXGHqHLw%3d%3d&timestamp=1657810395907, s. 10 – 13). Pozri aj nedávne audity a vyšetrovania, ktoré vykonal generálny inšpektor spravodajských služieb v súvislosti s bezpečnosťou informácií a neoprávneným zverejnením utajovaných skutočností národnej bezpečnosti (https://www.dni.gov/files/ICIG/Documents/Publications/Semiannual%20Report/2021/ICIG_Semiannual_Report_April_2021_to_September_2021.pdf, s. 8, 11 a https://www.dni.gov/files/ICIG/Documents/News/ICIGNews/2022/Oct21_SAR/Oct%202021-Mar%202022%20ICIG%20SAR_Unclass_FINAL.pdf, s. 19 – 20).

(318)  Pozri § 6 zákona z roku 1978 o generálnych inšpektoroch.

(319)  Pozri tamže, § 4, 6-5.

(320)  Pokiaľ ide o následné opatrenia v nadväznosti na správy a odporúčania generálnych inšpektorov, pozri napr. odpoveď na správu generálneho inšpektora ministerstva spravodlivosti, v ktorej sa dospelo k záveru, že návrhy FBI predkladané súdu FISC v rokoch 2014 až 2019 neboli dostatočne transparentné, čo viedlo k reformám s cieľom zlepšiť dodržiavanie predpisov, dohľad a zodpovednosť v rámci FBI (napr. riaditeľ FBI nariadil viac než 40 nápravných opatrení vrátane 12 nápravných opatrení vzťahujúcich sa konkrétne na postup podľa zákona FISA, ktoré sa týkali dokumentácie, dohľadu, vedenia spisov, odbornej prípravy a auditov) (pozri https://www.justice.gov/opa/pr/department-justice-and-federal-bureau-investigation-announce-critical-reforms-enhance a https://oig.justice.gov/reports/2019/o20012.pdf). Pozri napríklad aj audit generálneho inšpektora ministerstva spravodlivosti týkajúci sa úloh a povinností úradu generálneho poradcu FBI pri dohľade nad dodržiavaním platných právnych predpisov, politík a postupov týkajúcich sa činností FBI v oblasti národnej bezpečnosti a dodatok 2 obsahujúci list od FBI, v ktorom sa prijímajú všetky odporúčania. V tejto súvislosti sa v dodatku 3 uvádza prehľad následných opatrení a informácie, ktoré generálny inšpektor požadoval od FBI, aby mohol svoje odporúčania uzavrieť (https://oig.justice.gov/sites/default/files/reports/22-116.pdf).

(321)  Pozri § 4 ods. 5 a § 5 zákona z roku 1978 o generálnych inšpektoroch.

(322)  Pozri vykonávacie nariadenie č. 13462.

(323)  Oddiel 1.6 písm. c) vykonávacieho nariadenia č. 12333.

(324)  Oddiel 8 písm. a) vykonávacieho nariadenia č. 13462.

(325)  Oddiel 6 písm. b) vykonávacieho nariadenia č. 13462.

(326)  Hlava 42 § 2000ee písm. g) Zákonníka Spojených štátov.

(327)  Pozri hlavu 42 § 2000ee-1 písm. f) bod 1 písm. A) bod iii) Zákonníka Spojených štátov. Patrí medzi ne prinajmenšom ministerstvo spravodlivosti, ministerstvo obrany, ministerstvo vnútornej bezpečnosti, riaditeľ národnej spravodajskej služby a Ústredná spravodajská služba, ako aj každé iné ministerstvo, agentúra alebo prvok exekutívy určený radou PCLOB ako vhodný na zahrnutie.

(328)  Hlava 42 § 2000ee písm. e) Zákonníka Spojených štátov.

(329)  Hlava 42 § 2000ee písm. f) Zákonníka Spojených štátov.

(330)  K dispozícii na adrese https://www.pclob.gov/Oversight.

(331)  Hlava 50 § 3091 Zákonníka Spojených štátov.

(332)  Výbory napríklad usporadúvajú tematické vypočutia (pozri napr. nedávne vypočutie pred výborom Snemovne reprezentantov pre súdnictvo na tému „digitálne záťahy“, https://judiciary.house.gov/calendar/eventsingle.aspx?EventID=4983, vypočutie pred výborom Snemovne reprezentantov pre spravodajskú službu o využívaní umelej inteligencie spravodajskými službami, https://docs.house.gov/Committee/Calendar/ByEvent.aspx?EventID=114263) a pravidelné vypočutia v oblasti dohľadu, napr. FBI a úseku ministerstva spravodlivosti pre národnú bezpečnosť, pozri https://www.judiciary.senate.gov/meetings/08/04/2022/oversight-of-the-federal-bureau-of-investigation, https://judiciary.house.gov/calendar/eventsingle.aspx?EventID=4966 a https://judiciary.house.gov/calendar/eventsingle.aspx?EventID=4899. Ako príklad vyšetrovania pozri vyšetrovanie výboru Senátu pre spravodajskú službu týkajúce sa ruského zasahovania do volieb v USA v roku 2016, https://www.intelligence.senate.gov/publications/report-select-committee-intelligence-united-states-senate-russian-active-measures. Pokiaľ ide o podávanie správ, pozri napr. prehľad činností (dohľadu) výboru v správe výboru Senátu pre spravodajskú službu za obdobie od 4. januára 2019 do 3. januára 2021 adresovanej Senátu, https://www.intelligence.senate.gov/publications/report-select-committee-intelligence-united-states-senate-covering-period-january-4.

(333)  Pozri hlavu 50 § 3091 písm. a) bod 1 Zákonníka Spojených štátov. Toto ustanovenie obsahuje všeobecné požiadavky na dohľad Kongresu v oblasti národnej bezpečnosti.

(334)  Pozri hlavu 50 § 3091 písm. b) Zákonníka Spojených štátov.

(335)  Pozri hlavu 50 § 1808, 1846, 1862, 1871 a 1881f Zákonníka Spojených štátov.

(336)  Pozri hlavu 50 § 1881f Zákonníka Spojených štátov.

(337)  Pozri hlavu 50 § 1881a písm. l) bod 1 Zákonníka Spojených štátov.

(338)  Hlava 50 § 1873 písm. b) Zákonníka Spojených štátov. Navyše podľa oddielu 402 „riaditeľ národnej spravodajskej služby po konzultácii s generálnym prokurátorom vykoná preskúmanie na účely odtajnenia každého rozhodnutia, príkazu alebo stanoviska vydaného Súdom pre sledovanie v rámci zahraničného spravodajstva alebo Revíznym súdom pre sledovanie v rámci zahraničného spravodajstva [ktoré sú vymedzené v oddiele 601 písm. e)], ktoré obsahuje významné vysvetlenie alebo výklad akéhokoľvek právneho ustanovenia vrátane akéhokoľvek nového alebo významného vysvetlenia alebo výkladu pojmu ‚konkrétny selektor‘, a v súlade s týmto preskúmaním zverejní v najväčšej uskutočniteľnej miere každé také rozhodnutie, príkaz alebo stanovisko“.

(339)  Hlava 50 § 1873 písm. b) bod 7 a § 1874 Zákonníka Spojených štátov.

(340)  https://www.dni.gov/index.php/ic-legal-reference-book/the-principles-of-intelligence-transparency-for-the-ic.

(341)  Pozri „IC on the Record“ na adrese https://icontherecord.tumblr.com/.

(342)  V minulosti súd FISC dospel k záveru, že „[s]údu je zrejmé, že vykonávacie agentúry, ako aj [úrad ODNI] a [úsek ministerstva spravodlivosti pre národnú bezpečnosť] venujú značné zdroje na plnenie svojich úloh v oblasti dodržiavania predpisov a dohľadu podľa oddielu 702. Prípady nedodržania predpisov sa vo všeobecnosti odhalia rýchlo a prijmú sa primerané nápravné opatrenia vrátane prečistenia informácií, ktoré boli získané nenáležite alebo ktoré inak podliehajú požiadavkám na zničenie podľa platných postupov“. Súd FISC, Memorandum Opinion and Order (stanovisko a vyhláška) [hlavička upravená] (2014), k dispozícii na adrese https://www.dni.gov/files/documents/0928/FISC%20Memorandum%20Opinion%20and%20Order%2026%20August%202014.pdf.

(343)  Pozri napr. DOJ/ODNI FISA 702 Compliance Report to FISC for June 2018 – Nov. 2018 (Správa ministerstva spravodlivosti/úradu ODNI určená súdu FISC o dodržiavaní súladu podľa oddielu 702 zákona FISA za jún 2018 – november 2018), s. 21 – 65.

(344)  Hlava 50 § 1803 písm. h) Zákonníka Spojených štátov. Pozri aj PCLOB, Section 702 Report (Správa podľa oddielu 702), s. 76. Pozri ďalej stanovisko a vyhlášku súdu FISC z 3. októbra 2011 ako príklad príkazu na odstránenie nedostatkov, v ktorom sa vláde nariadilo zabezpečiť nápravu zistených nedostatkov do 30 dní. K dispozícii na adrese https://www.dni.gov/files/documents/0716/October-2011-Bates-Opinion-and%20Order-20140716.pdf. Pozri Waltonov list, oddiel 4, s. 10 – 11. Pozri aj stanovisko súdu FISC z 18. októbra 2018, k dispozícii na adrese https://www.intelligence.gov/assets/documents/702%20Documents/declassified/2018_Cert_FISC_Opin_18Oct18.pdf, ako potvrdil Revízny súd pre sledovanie v rámci zahraničného spravodajstva vo svojom stanovisku z 12. júla 2019, k dispozícii na adrese https://www.intelligence.gov/assets/documents/702%20Documents/declassified/2018_Cert_FISCR_Opinion_12Jul19.pdf, v ktorom súd FISC okrem iného nariadil vláde, aby splnila určité požiadavky na oznamovanie, dokumentáciu a podávanie správ vo vzťahu k súdu FISC.

(345)  Pozri napr. FISC, Memorandum Opinion and Order (stanovisko a vyhláška), s. 76 (6. decembra 2019) (povolené na zverejnenie 4. septembra 2020), v ktorom súd FISC nariadil vláde, aby do 28. februára 2020 predložila písomnú správu o krokoch, ktoré podnikla na zlepšenie postupov identifikácie a vymazávania správ obsahujúcich informácie podľa oddielu 702 zákona FISA, ktoré boli stiahnuté z dôvodov nedodržania predpisov, ako aj o iných záležitostiach. Pozri aj prílohu VII.

(346)  Pozri prílohu VII.

(347)  Pozri oddiel 4 písm. k) bod iv) vykonávacieho nariadenia č. 14086, v ktorom sa stanovuje, že sťažnosť musí mechanizmu nápravy predložiť sťažovateľ, ktorý koná vo vlastnom mene (t. j. nie ako zástupca vlády, mimovládnej či medzivládnej organizácie). Pojem „nepriaznivo postihnutý“ nevyžaduje, aby sťažovateľ dosiahol určitú prahovú hodnotu na prístup k mechanizmu nápravy (v tejto súvislosti pozri odôvodnenie 178). Skôr sa objasňuje, že úradník pre ochranu občianskych slobôd úradu ODNI a súd DPRC majú právomoc napraviť porušenia právnych predpisov USA upravujúcich činnosti signálového spravodajstva, ktoré majú nepriaznivý vplyv na individuálne záujmy sťažovateľa v oblasti ochrany súkromia a občianskych slobôd. Naopak, porušenia požiadaviek podľa platných právnych predpisov USA, ktoré nie sú určené na ochranu jednotlivcov (napr. rozpočtové požiadavky), by nepatrili do právomoci úradníka pre ochranu občianskych slobôd úradu ODNI a súdu DPRC.

(348)  Oddiel 3 písm. f) vykonávacieho nariadenia č. 14086.

(349)  https://www.justice.gov/opcl/executive-order-14086.

(350)  Oddiel 4 písm. d) bod v) vykonávacieho nariadenia č. 14086.

(351)  Pozri oddiel 4 písm. k) body i) – iv) vykonávacieho nariadenia č. 14086.

(352)  Oddiel 3 písm. c) bod iv) vykonávacieho nariadenia č. 14086. Pozri aj zákon z roku 1947 o národnej bezpečnosti, hlava 50 § 403-3d oddiel 103D Zákonníka Spojených štátov, týkajúci sa úlohy úradníka pre ochranu občianskych slobôd v rámci úradu ODNI.

(353)  Hlava 50 § 3029 písm. b) Zákonníka Spojených štátov.

(354)  Oddiel 3 písm. c) bod iv) vykonávacieho nariadenia č. 14086.

(355)  Oddiel 3 písm. c) bod iii) vykonávacieho nariadenia č. 14086.

(356)  Oddiel 3 písm. c) bod iv) vykonávacieho nariadenia č. 14086.

(357)  Oddiel 3 písm. c) bod i) písm. B) body i) a iii) vykonávacieho nariadenia č. 14086.

(358)  Oddiel 3 písm. c) bod i) vykonávacieho nariadenia č. 14086.

(359)  Oddiel 4 písm. a) vykonávacieho nariadenia č. 14086.

(360)  Oddiel 3 písm. c), d) vykonávacieho nariadenia č. 14086.

(361)  Oddiel 3 písm. c) bod i) písm. F) až G) vykonávacieho nariadenia č. 14086.

(362)  Pozri aj oddiel 3 písm. c) bod i) písm. D) vykonávacieho nariadenia č. 14086.

(363)  Oddiel 3 písm. c) bod i) písm. E) bod 1 vykonávacieho nariadenia č. 14086.

(364)  Oddiel 3 písm. c) bod i) písm. E) body 2 – 3 vykonávacieho nariadenia č. 14086.

(365)  Oddiel 201.6 písm. a) až b) nariadenia generálneho prokurátora.

(366)  Oddiel 3 písm. d) bod i) a nariadenie generálneho prokurátora. Najvyšší súd Spojených štátov uznal možnosť generálneho prokurátora zriaďovať nezávislé orgány s rozhodovacou právomocou vrátane rozhodovania o jednotlivých prípadoch, pozri najmä veci Spojené štáty ex rel. Accardi/Shaughnessy, 347 U.S. 260 (1954) a Spojené štáty/Nixon, 418 U.S.683, 695 (1974). Súlad s jednotlivými požiadavkami vykonávacieho nariadenia č. 14086, ako sú napr. kritériá a postup menovania a odvolávania sudcov DPRC, podlieha najmä dohľadu generálneho inšpektora ministerstva spravodlivosti (pozri aj odôvodnenie 109 o zákonných oprávneniach generálnych inšpektorov).

(367)  Oddiel 3 písm. d) bod i) písm. A) vykonávacieho nariadenia č. 14086 a oddiel 201.3 písm. a) nariadenia generálneho prokurátora.

(368)  Oddiel 201.3 písm. b) nariadenia generálneho prokurátora.

(369)  Oddiel 3 písm. d) bod i) písm. B) vykonávacieho nariadenia č. 14086.

(370)  Oddiel 3 písm. d) bod i) písm. A) vykonávacieho nariadenia č. 14086 a oddiel 201.3 písm. a) a c) nariadenia generálneho prokurátora. Osoby vymenované na súd DPRC sa môžu podieľať na mimosúdnych činnostiach vrátane obchodných a finančných činností, neziskových činností obstarávania finančných prostriedkov a zvereneckých činností, ako aj vykonávať právnu prax, pokiaľ takéto činnosti nenarúšajú nestranný výkon ich povinností ani účinnosť alebo nezávislosť súdu DPRC [oddiel 201.7 písm. c) nariadenia generálneho prokurátora].

(371)  Oddiel 3 písm. d) body iii) až iv) vykonávacieho nariadenia č. 14086 a oddiel 201.7 písm. d) nariadenia generálneho prokurátora.

(372)  Oddiel 3 písm. d) bod i) písm. D) vykonávacieho nariadenia č. 14086 a oddiel 201.9 nariadenia generálneho prokurátora.

(373)  Oddiel 3 písm. d) bod iv) vykonávacieho nariadenia č. 14086 a oddiel 201.7 písm. d) nariadenia generálneho prokurátora. Pozri aj vec Bumap/Spojené štáty, 252 U.S. 512, 515 (1920), v rámci ktorej došlo k potvrdeniu dávnej zásady práva USA, že právomoc odvolať je odvodená od právomoci vymenovať [ako to pripomenul aj úrad právneho poradcu ministerstva spravodlivosti v publikácii The Constitutional Separation of Powers Between the President and Congress (Ústavná deľba právomocí medzi prezidentom a Kongresom), 20 Op. O.L.C. 124, 166 (1996)].

(374)  Oddiel 3 písm. d) bod i) písm. B) vykonávacieho nariadenia č. 14086 a oddiel 201.7 písm. a) až c) nariadenia generálneho prokurátora. Úrad ministerstva spravodlivosti pre ochranu súkromia a občianskych slobôd (OPCL), ktorý je poverený poskytovaním administratívnej podpory súdu DPRC a osobitným advokátom (pozri oddiel 201.5 nariadenia generálneho prokurátora), vyberie trojčlenný senát na rotačnom základe s cieľom zabezpečiť, aby bol v každom senáte aspoň jeden sudca s predchádzajúcimi skúsenosťami v súdnictve (ak takéto skúsenosti nemá žiadny zo sudcov senátu, úrad OPCL ako prvého vyberie predsedajúceho sudcu).

(375)  Oddiel 201.4 nariadenia generálneho prokurátora. Generálny prokurátor po porade s ministrom obchodu, riaditeľom národnej spravodajskej služby a radou PCLOB vymenuje najmenej dvoch osobitných advokátov na dvojročné obnoviteľné funkčné obdobie. Osobitní advokáti musia mať primerané skúsenosti v oblasti práva na ochranu súkromia a národnej bezpečnosti, musia byť skúsenými obhajcami a aktívnymi, spôsobilými členmi advokátskej komory s riadnym oprávnením na výkon advokátskej praxe. Okrem toho nesmú byť v čase svojho prvého vymenovania ani počas predchádzajúcich dvoch rokov zamestnancami exekutívnej zložky. Pri každom preskúmaní návrhu predsedajúci sudca vyberie osobitného advokáta, ktorý pomáha senátu, pozri oddiel 201.8 písm. a) nariadenia generálneho prokurátora.

(376)  Oddiel 201.8 písm. c) a oddiel 201.11 nariadenia generálneho prokurátora.

(377)  Oddiel 3 písm. d) bod i) písm. C) vykonávacieho nariadenia č. 14086 a oddiel 201.8 písm. e) nariadenia generálneho prokurátora. Osobitný advokát nekoná ako zástupca sťažovateľa ani nemá so sťažovateľom vzťah obhajca-klient.

(378)  Pozri oddiel 201.8 písm. d) a e) nariadenia generálneho prokurátora. Tieto otázky najskôr preskúma úrad OPCL po konzultácii s príslušnou zložkou spravodajských služieb s cieľom identifikovať a vylúčiť akékoľvek utajované, dôverné alebo chránené informácie pred tým, ako budú otázky postúpené sťažovateľovi. Dodatočné informácie, ktoré osobitný advokát dostane v odpovedi na takéto otázky, sú zahrnuté v podaniach osobitného advokáta pre súd DPRC.

(379)  Oddiel 3 písm. d) bod i) písm. D) vykonávacieho nariadenia č. 14086.

(380)  Oddiel 3 písm. d) bod iii) vykonávacieho nariadenia č. 14086 a oddiel 201.9 písm. b) nariadenia generálneho prokurátora.

(381)  Oddiel 3 písm. d) bod i) písm. E) vykonávacieho nariadenia č. 14086 a oddiel 201.9 písm. c) až e) nariadenia generálneho prokurátora. Podľa vymedzenia pojmu „primeraná náprava“ v oddiele 4 písm. a) vykonávacieho nariadenia č. 14086 musí DPRC pri rozhodovaní o nápravnom opatrení na úplné riešenie porušenia zohľadniť „spôsoby, ktorými sa zvyčajne rieši zistené porušenie“, t. j. DPRC okrem iných faktorov zváži, ako boli podobné problémy s dodržiavaním predpisov v minulosti napravené s cieľom zabezpečiť, aby bola náprava účinná a primeraná.

(382)  Oddiel 4 písm. a) vykonávacieho nariadenia č. 14086.

(383)  Oddiel 3 písm. d) bod ii) vykonávacieho nariadenia č. 14086 a oddiel 201.9 písm. g) nariadenia generálneho prokurátora. Vzhľadom na to, že rozhodnutie súdu DPRC je konečné a záväzné, žiadna iná výkonná alebo správna inštitúcia/orgán (vrátane prezidenta Spojených štátov) nemôže rozhodnutie súdu DPRC zrušiť. Toto bolo potvrdené aj v judikatúre Najvyššieho súdu, ktorý objasnil, že delegáciou výlučnej právomoci generálneho prokurátora v rámci výkonnej zložky moci vydávať záväzné rozhodnutia na nezávislý orgán sa generálny prokurátor vzdáva možnosti akýmkoľvek spôsobom ovplyvniť znenie rozhodnutia tohto orgánu [pozri Spojené štáty ex rel. Accardi/Shaughnessy, 347 U.S. 260 (1954)].

(384)  Oddiel 3 písm. d) bod i) písm. F) vykonávacieho nariadenia č. 14086 a oddiel 201.9 písm. i) nariadenia generálneho prokurátora.

(385)  Oddiel 201.9 písm. h) nariadenia generálneho prokurátora.

(386)  Oddiel 3 písm. d) bod i) písm. H) vykonávacieho nariadenia č. 14086 a oddiel 201.9 písm. h) nariadenia generálneho prokurátora. Pokiaľ ide o povahu oznámenia, pozri oddiel 201.9 písm. h) bod 3 nariadenia generálneho prokurátora.

(387)  Oddiel 201.9 písm. j) nariadenia generálneho prokurátora.

(388)  Oddiel 3 písm. d) bod v) písm. A) vykonávacieho nariadenia č. 14086.

(389)  Oddiel 3 písm. d) bod v) vykonávacieho nariadenia č. 14086.

(390)  Oddiel 3 písm. e) vykonávacieho nariadenia č. 14086. Pozri aj https://documents.pclob.gov/prod/Documents/EventsAndPress/4db0a50d-cc62-4197-af2e-2687b14ed9b9/Trans-Atlantic%20Data%20Privacy%20Framework%20EO%20press%20release%20(FINAL).pdf.

(391)  Prístup k týmto možnostiam je podmienený preukázaním „aktívnej legitimácie“. Toto kritérium, ktoré sa uplatňuje na každú fyzickú osobu bez ohľadu na štátnu príslušnosť, vychádza z článku III Ústavy USA, podľa ktorého sa súdna moc vzťahuje len na skutočné prípady a spory. Podľa Najvyššieho súdu musia byť splnené tieto podmienky: 1. fyzická osoba utrpela „faktickú ujmu“ (injury in fact) (t. j. ujmu na právne chránenom záujme, ktorá je konkrétna a špecifická a skutočná alebo bezprostredná); 2. medzi ujmou a konaním napadnutým na súde existuje príčinná súvislosť a 3. predpoklad, že kladným rozhodnutím súdu sa ujma vyrieši, je pravdepodobný, a nie špekulatívny [pozri vec Lujan/Defenders of Wildlife, 504 U.S. 555 (1992)].

(392)  Hlava 18 § 2712 Zákonníka Spojených štátov.

(393)  Hlava 50 § 1810 Zákonníka Spojených štátov.

(394)  Hlava 50 § 1806 Zákonníka Spojených štátov.

(395)  Pozri Brady/Maryland, 373 U.S. 83 (1963) a Jencksov zákon (Jencks Act), hlavu 18 § 3500 Zákonníka Spojených štátov.

(396)  Hlava 18 § 1030 Zákonníka Spojených štátov.

(397)  Hlava 18 § 2701 – 2712 Zákonníka Spojených štátov.

(398)  Hlava 12 § 3417 Zákonníka Spojených štátov.

(399)  Hlava 5 § 702 Zákonníka Spojených štátov.

(400)  Predmetom súdneho preskúmania je vo všeobecnosti len „konečné“ konanie agentúry – a nie „predbežné, procesné alebo priebežné“ konanie agentúry. Pozri hlavu 5 § 704 Zákonníka Spojených štátov.

(401)  Hlava 5 § 706 ods. 2 písm. A) Zákonníka Spojených štátov.

(402)  Vec ACLU/Clapper, 785 F.3d 787 (2. obvod, 2015) Program hromadného získavania údajov telefónie napadnutý v týchto veciach bol ukončený zákonom USA o slobode (USA FREEDOM Act) v roku 2015.

(403)  Hlava 5 § 552 Zákonníka Spojených štátov. Podobné zákony existujú aj na úrovni jednotlivých štátov.

(404)  V takom prípade fyzická osoba zvyčajne dostane iba štandardnú odpoveď, ktorou agentúra odmietne potvrdiť alebo vyvrátiť existenciu akýchkoľvek záznamov. Pozri vec ACLU/CIA, 710 F.3d 422 (D.C. Cir. 2014). Kritériá a trvanie utajenia sú uvedené vo vykonávacom nariadení č. 13526, v ktorom sa vo všeobecnosti stanovuje, že sa musí určiť konkrétny dátum alebo udalosť, ktoré sú relevantné na účely zrušenia utajenia, a to pokiaľ trvá obdobie citlivosti informácií z hľadiska národnej bezpečnosti, pričom po jeho uplynutí sa utajenie informácií musí automaticky zrušiť (pozri oddiel 1.5 vykonávacieho nariadenia č. 13526).

(405)  Súd prijme nové rozhodnutie o tom, či sa záznamy zadržiavajú oprávnene, a môže vláde nariadiť, aby poskytla prístup k záznamom [hlava 5 § 552 písm. a) bod 4 písm. B) Zákonníka Spojených štátov].

(406)  Vec Schrems, bod 65.

(407)  Vec Schrems, bod 65: „V tomto ohľade je úlohou vnútroštátneho zákonodarcu stanoviť prostriedky nápravy umožňujúce dotknutému vnútroštátnemu dozornému orgánu uplatniť výhrady, ktoré považuje za dôvodné, na vnútroštátnych súdoch, aby tieto podali, ak majú rovnaké pochybnosti ako tento orgán, pokiaľ ide o platnosť rozhodnutia Komisie, návrh na začatie prejudiciálneho konania na účely preskúmania platnosti tohto rozhodnutia“.

(408)  Vec Schrems, bod 76.

(409)  Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 „[v]o vykonávacom akte sa stanoví mechanizmus pravidelného preskúmania, […] v ktorom sa zohľadnia všetky významné zmeny v tretej krajine alebo medzinárodnej organizácii“.

(410)  V článku 45 ods. 3 nariadenia (EÚ) 2016/679 sa stanovuje, že pravidelné preskúmanie sa musí uskutočniť „najmenej raz za štyri roky“. Pozri aj Európsky výbor pre ochranu údajov, Referenčné kritériá primeranosti, WP 254 rev. 01.

(411)  Stanovisko č. 5/2023 k návrhu vykonávacieho rozhodnutia Európskej komisie o primeranej ochrane osobných údajov podľa rámca pre ochranu osobných údajov medzi EÚ a USA z 28. februára 2023.

(412)  Uznesenie Európskeho parlamentu z 11. mája 2023 o primeranosti ochrany poskytovanej rámcom ochrany osobných údajov medzi EÚ a USA [2023/2501(RSP)].


PRÍLOHA I

ZÁSADY RÁMCA PRE OCHRANU OSOBNÝCH ÚDAJOV MEDZI EÚ A USA VYDANÉ MINISTERSTVOM OBCHODU USA

I.   PREHĽAD

1.

Napriek tomu, že Spojené štáty a Európska únia (ďalej len „EÚ“) majú rovnaký záväzok posilniť ochranu súkromia, právny štát a rovnako uznávajú význam transatlantických tokov údajov pre našich občanov, naše hospodárstva a spoločnosti, Spojené štáty majú odlišný prístup k ochrane súkromia než EÚ. Spojené štáty uplatňujú odvetvový prístup založený na kombinácii právnych predpisov, regulácie a samoregulácie. Ministerstvo obchodu USA (ďalej len „ministerstvo“) vydalo z titulu svojej zákonnej právomoci posilňovať, podporovať a rozvíjať medzinárodný obchod (hlava 15 § 1512 Zákonníka Spojených štátov) zásady rámca pre ochranu osobných údajov medzi EÚ a USA vrátane doplnkových zásad (ďalej spoločne len „zásady“) a prílohu I k zásadám (ďalej len „príloha I“). Tieto zásady boli vypracované na základe konzultácií s Európskou komisiou (ďalej len „Komisia“), predstaviteľmi priemyslu a inými zainteresovanými stranami v záujme uľahčenia obchodu medzi Spojenými štátmi a EÚ. Zásady, ktoré sú kľúčovou zložkou rámca pre ochranu osobných údajov medzi EÚ a USA, poskytujú organizáciám v Spojených štátoch spoľahlivý mechanizmus na prenos osobných údajov z EÚ do Spojených štátov a zároveň zabezpečujú, aby dotknuté osoby z EÚ naďalej požívali účinné záruky a ochranu, ako sa vyžaduje v európskych právnych predpisoch, pokiaľ ide o spracúvanie ich osobných údajov v prípadoch, keď boli prenesené do krajín mimo EÚ. Zásady sú určené výlučne pre oprávnené organizácie v Spojených štátoch, ktoré získavajú osobné údaje z EÚ, aby mohli splniť požiadavky rámca pre ochranu osobných údajov medzi EÚ a USA a získať tak prospech z rozhodnutia Komisie o primeranosti (1). Zásady nemajú vplyv na uplatňovanie nariadenia (EÚ) 2016/679 (ďalej len „všeobecné nariadenie o ochrane údajov“) (2), ktoré sa vzťahuje na spracúvanie osobných údajov v členských štátoch EÚ. Zároveň sa nimi neobmedzujú povinnosti týkajúce sa ochrany súkromia, ktoré sa inak uplatňujú podľa práva USA.

2.

Aby sa organizácia mohla na účely prenosov osobných údajov z EÚ opierať o rámec pre ochranu osobných údajov medzi EÚ a USA, musí ministerstvu (alebo jeho zástupcovi) osvedčiť svoje dodržiavanie zásad. Hoci sú rozhodnutia organizácií o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA úplne dobrovoľné, účinné dodržiavanie jeho zásad je povinné: organizácie, ktoré poskytnú ministerstvu osvedčenie o svojom dodržiavaní zásad a verejne vyhlásia svoj záväzok dodržiavať zásady, musia postupovať v úplnom súlade s týmito zásadami. Ak sa organizácia chce zapojiť do rámca pre ochranu osobných údajov medzi EÚ a USA, musí a) podliehať vyšetrovacím právomociam a právomociam presadzovania práva Federálnej obchodnej komisie (ďalej len „FTC“), ministerstva dopravy USA (ďalej len „ministerstvo dopravy“) alebo iného zákonom zriadeného orgánu, ktorý účinne zabezpečí dodržiavanie zásad (v budúcnosti možno zákonom zriadené orgány USA uznané EÚ uviesť v prílohe); b) verejne vyhlásiť, že sa zaväzuje dodržiavať zásady; c) zverejniť svoje podmienky ochrany súkromia v súlade s týmito zásadami a d) v plnej miere ich vykonávať (3). Nedodržanie tejto požiadavky organizáciou je postihnuteľné zo strany FTC podľa oddielu 5 zákona o Federálnej obchodnej komisii (Federal Trade Commission Act), ktorým sa zakazujú nekalé alebo klamlivé praktiky v rámci obchodu alebo tie, ktoré majú naň vplyv (hlava 15 § 45 Zákonníka Spojených štátov), zo strany ministerstva dopravy podľa hlavy 49 § 41712 Zákonníka Spojených štátov, v ktorej sa dopravcom alebo predajcom leteniek zakazuje dopúšťať sa nekalých alebo klamlivých praktík v leteckej doprave alebo pri predaji leteniek, alebo podľa ďalších zákonov alebo iných právnych predpisov, ktorými sa zakazuje takéto konanie.

3.

Ministerstvo bude viesť a sprístupní verejnosti oficiálny zoznam organizácií v USA, ktoré ministerstvu osvedčili svoje dodržiavanie zásad a vyhlásili svoj záväzok dodržiavať zásady (ďalej len „zoznam organizácií zapojených do rámca pre ochranu osobných údajov“). Výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA sú zabezpečené od dátumu, keď ministerstvo zaradí organizáciu do zoznamu organizácií zapojených do rámca pre ochranu osobných údajov. Ministerstvo vyradí zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov organizácie, ktoré dobrovoľne odstúpia od rámca pre ochranu osobných údajov medzi EÚ a USA alebo nedokončia proces každoročného opätovného osvedčenia na ministerstve, pričom tieto organizácie musia buď naďalej uplatňovať zásady vo vzťahu k osobným informáciám, ktoré získali na základe rámca pre ochranu osobných údajov medzi EÚ a USA, a každoročne ministerstvu potvrdiť svoj záväzok pokračovať v tomto konaní (t. j. pokiaľ si dané informácie ponechajú), alebo poskytovať „primeranú“ ochranu daných informácií inými povolenými prostriedkami (napríklad prostredníctvom zmluvy, ktorá v plnej miere odzrkadľuje požiadavky príslušných štandardných zmluvných doložiek prijatých Komisiou), alebo informácie vrátiť, resp. vymazať. Ministerstvo vyradí zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov aj organizácie, ktoré trvale nedodržiavajú zásady, pričom tieto organizácie musia vrátiť alebo vymazať osobné informácie, ktoré získali na základe rámca pre ochranu osobných údajov medzi EÚ a USA. Vyradenie organizácie zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov znamená, že organizácia viac nie je oprávnená mať prospech z rozhodnutia Komisie o primeranosti a nemôže získavať osobné informácie z EÚ.

4.

Ministerstvo bude takisto viesť a sprístupní verejnosti oficiálny zoznam organizácií v USA, ktoré predtým ministerstvu osvedčili svoje dodržiavanie zásad, ale boli vyradené zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov. Ministerstvo uvedie jasné varovanie, že tieto organizácie nie sú zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA, že vyradenie zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov znamená, že takéto organizácie nemôžu tvrdiť, že dodržiavajú zásady rámca pre ochranu osobných údajov medzi EÚ a USA, a nesmú uvádzať žiadne vyhlásenia ani vykonávať zavádzajúce praktiky, ktoré by naznačovali ich zapojenie do rámca pre ochranu osobných údajov medzi EÚ a USA, a že takéto organizácie už nie sú oprávnené využívať výhody vyplývajúce z rozhodnutia Komisie o primeranosti, tzn. získavať osobné informácie z EÚ. Voči organizácii, ktorá naďalej tvrdí, že je zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA, alebo uvádza iné nepravdivé vyhlásenia týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA po tom, ako bola vyradená zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov, môže FTC, ministerstvo dopravy alebo iné orgány presadzovania práva prijať opatrenia presadzovania práva.

5.

Dodržiavanie týchto zásad môže byť obmedzené: a) v rozsahu potrebnom na splnenie súdneho príkazu alebo požiadaviek verejného záujmu, presadzovania práva alebo národnej bezpečnosti vrátane prípadov, keď zo zákonov alebo z nariadení vlády vyplývajú protichodné povinnosti; b) zákonmi, súdnymi príkazmi alebo nariadeniami vlády, v ktorých sa stanovujú výslovné oprávnenia, za predpokladu, že pri vykonávaní každého takéhoto oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je obmedzené v rozsahu potrebnom na splnenie nadradených legitímnych záujmov presadzovaných daným oprávnením, alebo c) ak účinok všeobecného nariadenia o ochrane údajov umožňuje výnimky alebo odchýlky za podmienok, ktoré sú v ňom stanovené, za predpokladu, že takéto výnimky alebo odchýlky sa uplatňujú v porovnateľných súvislostiach. V tejto súvislosti záruky stanovené v práve USA na ochranu súkromia a občianskych slobôd zahŕňajú záruky požadované vo vykonávacom nariadení č. 14086 (4) za podmienok, ktoré sú v ňom stanovené (vrátane požiadaviek na nevyhnutnosť a proporcionalitu). V súlade s cieľom zvyšovať ochranu súkromia by sa organizácie mali snažiť vykonávať tieto zásady v úplnosti a transparentne, a to aj vynakladaním úsilia, aby vo svojich podmienkach ochrany súkromia uvádzali, v akých prípadoch sa budú uplatňovať výnimky zo zásad povolené na základe písmena b). Z tých istých dôvodov sa predpokladá, že tam, kde je v súlade so zásadami a/alebo s právom USA možná voľba medzi určitými alternatívami, si organizácie podľa možnosti zvolia vyššiu úroveň ochrany.

6.

Organizácie sú povinné uplatňovať zásady na všetky osobné údaje prenášané na základe rámca pre ochranu osobných údajov medzi EÚ a USA po tom, ako sa zapojili do rámca pre ochranu osobných údajov medzi EÚ a USA. Organizácia, ktorá sa rozhodne rozšíriť výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA na osobné informácie o ľudských zdrojoch prenášané z EÚ v súvislosti s pracovnoprávnymi vzťahmi, musí túto skutočnosť uviesť pri predložení osvedčenia o svojom dodržiavaní zásad ministerstvu a musí spĺňať požiadavky stanovené v doplnkovej zásade týkajúcej sa samoosvedčovania.

7.

Na otázky výkladu zásad a súladu s nimi, ako aj príslušných pravidiel ochrany súkromia, ktoré uplatňujú organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA, sa uplatňuje právo USA s výnimkou prípadov, keď sa takéto organizácie zaviazali spolupracovať s orgánmi EÚ pre ochranu osobných údajov. Pokiaľ nie je stanovené inak, všetky ustanovenia zásad sa uplatňujú tam, kde sú relevantné.

8.

Vymedzenie pojmov:

a)

„Osobné údaje“ a „osobné informácie“ sú údaje o identifikovanej alebo identifikovateľnej fyzickej osobe patriace do rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov, ktoré získava organizácia v Spojených štátoch z EÚ a ktoré sú zaznamenané v akejkoľvek forme.

b)

„Spracúvanie“ osobných údajov je akákoľvek operácia alebo súbor operácií s osobnými údajmi, napríklad získavanie, zaznamenávanie, usporadúvanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, sprístupňovanie alebo poskytovanie a vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

c)

„Prevádzkovateľ“ je osoba alebo organizácia, ktorá sama alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.

9.

Dňom nadobudnutia účinnosti zásad a prílohy I k zásadám je deň nadobudnutia účinnosti rozhodnutia Európskej komisie o primeranosti.

II.   ZÁSADY

1.   OZNÁMENIE

a)

Organizácia musí informovať fyzické osoby o:

i)

svojom zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA a poskytnúť odkaz na zoznam organizácií zapojených do rámca pre ochranu osobných údajov alebo jeho webovú adresu;

ii)

druhoch získavaných osobných údajov, a ak je to vhodné, o subjektoch v USA alebo dcérskych spoločnostiach v USA patriacich pod danú organizáciu, ktoré takisto dodržiavajú zásady;

iii)

svojom záväzku dodržiavať zásady v súvislosti so všetkými osobnými údajmi získanými z EÚ na základe rámca pre ochranu osobných údajov medzi EÚ a USA;

iv)

účeloch, na ktoré získava a používa osobné informácie o nich;

v)

spôsobe kontaktovania organizácie v prípade akýchkoľvek otázok alebo sťažností vrátane akýchkoľvek príslušných prevádzkární v EÚ, ktoré môžu odpovedať na takéto otázky alebo sťažnosti;

vi)

druhu alebo totožnosti tretích strán, ktorým sprístupňuje osobné informácie, ako aj o účeloch tohto konania;

vii)

práve fyzických osôb na prístup k svojim osobným údajom;

viii)

možnostiach a prostriedkoch, ktoré daná organizácia poskytuje fyzickým osobám, ak chcú obmedziť využívanie a sprístupňovanie svojich osobných údajov;

ix)

nezávislom orgáne pre riešenie sporov, ktorého úlohou je vybavovanie sťažností a bezplatné poskytovanie nápravy pre fyzické osoby, a o tom, či ide o: 1. výbor vytvorený orgánmi pre ochranu osobných údajov; 2. poskytovateľa alternatívneho riešenia sporov so sídlom v EÚ alebo 3. poskytovateľa alternatívneho riešenia sporov so sídlom v Spojených štátoch;

x)

skutočnosti, že podlieha vyšetrovacím právomociam a právomociam presadzovania práva FTC, ministerstva dopravy alebo ktoréhokoľvek iného oprávneného zákonom zriadeného orgánu USA;

xi)

možnosti fyzickej osoby využiť za určitých podmienok možnosť záväzného rozhodcovského konania (5);

xii)

požiadavke na sprístupnenie osobných informácií v reakcii na zákonné žiadosti orgánov verejnej moci, a to aj s cieľom splniť požiadavky národnej bezpečnosti alebo presadzovania práva, a

xiii)

svojej zodpovednosti v prípadoch následných prenosov tretím stranám.

b)

Toto oznámenie musí byť poskytnuté v jasnom a zrozumiteľnom jazyku vtedy, keď sa od fyzických osôb po prvýkrát požaduje poskytnutie osobných informácií danej organizácii, alebo čo možno najskôr po tom, ale v každom prípade pred tým, ako daná organizácia využije takéto informácie na iný účel než ten, na ktorý boli pôvodne získané alebo spracúvané prenášajúcou organizáciou, alebo pred tým, ako ich daná organizácia po prvýkrát sprístupní tretej strane.

2.   MOŽNOSŤ VOĽBY

a)

Organizácia musí fyzickým osobám ponúknuť možnosť rozhodnúť sa (t. j. možnosť vyjadriť nesúhlas), či sa ich osobné informácie i) môžu sprístupniť tretej strane alebo ii) môžu využiť na účel, ktorý sa podstatne odlišuje od účelu (účelov), na ktorý boli pôvodne získané alebo následne schválené danými fyzickými osobami. Fyzickým osobám sa musia poskytnúť jasné, zreteľné a ľahko dostupné mechanizmy na uskutočnenie takejto voľby.

b)

Odchylne od predchádzajúceho písmena nie je potrebné poskytnúť možnosť voľby, keď sa údaje sprístupnia tretej strane, ktorá koná ako zástupca a plní úlohu (úlohy) v mene organizácie a podľa jej pokynov. Organizácia však musí so zástupcom vždy uzavrieť zmluvu.

c)

Čo sa týka citlivých informácií (t. j. osobných informácií týkajúcich sa liečebnej starostlivosti alebo zdravotného stavu, rasového alebo etnického pôvodu, politických názorov, náboženskej viery alebo svetonázoru, členstva v odborových zväzoch alebo informácií týkajúcich sa sexuálneho života fyzickej osoby), organizácie musia od fyzických osôb získať potvrdzujúci výslovný súhlas (t. j. vyjadrenie súhlasu), ak sa príslušné informácie majú i) sprístupniť tretej strane alebo ii) využiť na iný účel než ten, na ktorý boli pôvodne získané alebo následne schválené fyzickými osobami prostredníctvom uskutočnenia voľby vyjadrením súhlasu. Organizácia by mala navyše zaobchádzať s akýmikoľvek osobnými informáciami získanými od tretej strany ako s citlivými, ak ich tretia strana označí ako citlivé a zaobchádza s nimi ako s citlivými.

3.   ZODPOVEDNOSŤ ZA NÁSLEDNÝ PRENOS

a)

Aby mohli organizácie preniesť osobné informácie tretej strane, ktorá koná ako prevádzkovateľ, musia postupovať v súlade so zásadami oznámenia a možnosti voľby. Organizácie musia takisto uzavrieť zmluvu s prevádzkovateľom, ktorý je treťou stranou, v ktorej sa stanoví, že takéto údaje sa môžu spracovávať výhradne na obmedzené a konkrétne účely v súlade so súhlasom a že príjemca zabezpečí rovnakú úroveň ochrany ako tieto zásady a oznámi organizácii, ak prijme rozhodnutie, že už ďalej nemôže plniť túto povinnosť. V zmluve musí byť stanovené, že po prijatí takého rozhodnutia prevádzkovateľ, ktorý je treťou stranou, ukončí spracúvanie alebo prijme iné primerané a vhodné opatrenia na nápravu.

b)

Aby mohla organizácia preniesť osobné údaje tretej strane, ktorá koná ako zástupca, musí: i) prenášať takéto údaje len na obmedzené a konkrétne účely; ii) zistiť, či je zástupca povinný zabezpečiť prinajmenšom rovnakú úroveň ochrany súkromia, ako sa vyžaduje podľa zásad; iii) prijať primerané a vhodné opatrenia na zabezpečenie toho, aby zástupca účinne spracúval prenesené osobné informácie spôsobom, ktorý je v súlade s povinnosťami organizácie podľa zásad; iv) požadovať od zástupcu, aby oznámil organizácii, ak prijme rozhodnutie, že už ďalej nemôže plniť svoju povinnosť zabezpečiť rovnakú úroveň ochrany, ako sa vyžaduje podľa zásad; v) na základe oznámenia vrátane oznámenia podľa bodu iv) prijať primerané a vhodné opatrenia na zastavenie a nápravu neoprávneného spracúvania a vi) poskytnúť ministerstvu na vyžiadanie zhrnutie alebo reprezentatívnu kópiu príslušných ustanovení o ochrane súkromia zo zmluvy uzavretej s týmto zástupcom.

4.   BEZPEČNOSŤ

a)

Organizácie, ktoré vytvárajú, uchovávajú, využívajú alebo poskytujú osobné informácie, musia uskutočniť primerané a vhodné opatrenia, aby zabránili strate týchto informácií, ich zneužitiu a neoprávnenému prístupu k nim, ich sprístupneniu, zmene a zničeniu, pričom zohľadnia riziká spojené so spracúvaním a s povahou osobných údajov.

5.   INTEGRITA ÚDAJOV A OBMEDZENIE ÚČELU

a)

Osobné informácie musia byť v súlade so zásadami obmedzené na informácie, ktoré sú relevantné na účely spracovania (6). Organizácia nesmie spracúvať osobné informácie spôsobom, ktorý je nezlučiteľný s účelmi, na ktoré boli získané alebo následne schválené danou fyzickou osobou. V rozsahu nevyhnutnom na tieto účely musí organizácia prijať primerané opatrenia, aby zaistila spoľahlivosť osobných údajov na zamýšľaný účel, ich presnosť, úplnosť a aktuálnosť. Organizácia musí dodržiavať zásady po celý čas, čo takéto informácie uchováva.

b)

Informácie sa môžu uchovávať vo forme, ktorá identifikuje alebo umožňuje identifikáciu (7) fyzickej osoby, iba dovtedy, kým slúžia na účely spracúvania v zmysle bodu 5 písm. a). Táto povinnosť nebráni organizáciám spracúvať osobné informácie počas dlhšieho obdobia, a to na také obdobie a v takom rozsahu, aby takéto spracúvanie primerane slúžilo na účely archivovania vo verejnom záujme, novinárskej práce, literatúry a umenia, vedeckého alebo historického výskumu a štatistickej analýzy. V týchto prípadoch sa na takéto spracúvanie vzťahujú iné zásady a ustanovenia rámca pre ochranu osobných údajov medzi EÚ a USA. Organizácie by mali prijať primerané a vhodné opatrenia na plnenie tohto ustanovenia.

6.   PRÍSTUP

a)

Fyzické osoby musia mať prístup k svojim osobným informáciám, ktoré má organizácia v držbe, a musia mať možnosť tieto informácie opraviť, zmeniť alebo vymazať, ak sú nepresné alebo boli spracované v rozpore so zásadami, s výnimkou prípadov, keď by zaťaženie alebo výdavky súvisiace s poskytnutím prístupu neboli v danom prípade úmerné ohrozeniu súkromia fyzickej osoby alebo keď by tým boli porušené práva iných osôb než daná fyzická osoba.

7.   NÁPRAVA, PRESADZOVANIE A ZODPOVEDNOSŤ

a)

Účinná ochrana súkromia musí zahŕňať spoľahlivé mechanizmy zabezpečujúce dodržiavanie týchto zásad, prostriedky nápravy pre fyzické osoby dotknuté nedodržiavaním zásad, ako aj dôsledky pre príslušnú organizáciu v prípade nedodržiavania zásad. Takéto mechanizmy musia prinajmenšom zahŕňať:

i)

ľahko dostupné nezávislé mechanizmy nápravy, prostredníctvom ktorých sa vyšetrujú a urýchlene riešia sťažnosti a spory fyzických osôb bez toho, aby im vznikli akékoľvek náklady, a s odkazom na zásady a priznávajú sa náhrady, ak sa tak stanovuje v platných právnych predpisoch alebo iniciatívach súkromného sektora;

ii)

následné postupy na overenie toho, či sú osvedčenia a tvrdenia organizácií o ich postupoch v oblasti ochrany súkromia pravdivé a či sa postupy v oblasti ochrany súkromia vykonávajú tak, ako sú prezentované, a to najmä v prípadoch nedodržiavania zásad, a

iii)

povinnosti napraviť problémy, ktoré vznikli v dôsledku nedodržiavania zásad organizáciami vyhlasujúcimi, že zásady dodržiavajú, a vyvodenie dôsledkov pre takéto organizácie. Sankcie musia byť dostatočne prísne, aby zabezpečili dodržiavanie zásad organizáciami.

b)

Organizácie a ich vybrané nezávislé mechanizmy nápravy budú rýchlo reagovať na otázky a žiadosti ministerstva o informácie týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA. Všetky organizácie musia pohotovo reagovať na sťažnosti týkajúce sa dodržiavania zásad, ktoré postúpia orgány členského štátu EÚ prostredníctvom ministerstva. Organizácie, ktoré sa rozhodli spolupracovať s orgánmi pre ochranu osobných údajov, vrátane organizácií, ktoré spracúvajú údaje o ľudských zdrojoch, musia v súvislosti s vyšetrovaním a vybavovaním sťažností odpovedať priamo takýmto orgánom.

c)

Organizácie sú povinné postúpiť nároky na rozhodcovské konanie a dodržiavať podmienky stanovené v prílohe I za predpokladu, že fyzická osoba sa dovolávala záväzného rozhodcovského konania tým, že doručila príslušnej organizácii oznámenie podľa postupov a podmienok stanovených v prílohe I.

d)

V súvislosti s následným prenosom je zapojená organizácia zodpovedná za spracúvanie osobných informácií, ktoré získava na základe rámca pre ochranu osobných údajov medzi EÚ a USA, a následne ich prenáša tretej strane konajúcej ako zástupca v jej mene. Zapojená organizácia je naďalej zodpovedná podľa zásad, ak jej zástupca spracúva takéto osobné informácie spôsobom, ktorý je v rozpore so zásadami, pokiaľ organizácia nepreukáže, že nie je zodpovedná za okolnosť, ktorá viedla k vzniku škody.

e)

Ak je v súvislosti s organizáciou vydaný súdny príkaz vychádzajúci z nedodržiavania zásad alebo príkaz zákonom zriadeného orgánu USA (napr. FTC alebo ministerstva dopravy), ktorý je uvedený v zásadách, resp. v budúcej prílohe k zásadám, vychádzajúci z nedodržiavania zásad, daná organizácia zverejní všetky príslušné oddiely týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA obsiahnuté v akejkoľvek správe o dodržiavaní zásad alebo o posúdení, ktorú predložila súdu alebo zákonom zriadenému orgánu USA, a to v rozsahu spĺňajúcom požiadavky na dôvernosť. Ministerstvo zriadilo vyhradené kontaktné miesto, na ktoré sa môžu obrátiť orgány pre ochranu osobných údajov v prípade akýchkoľvek problémov s dodržiavaním zásad zo strany zapojených organizácií. FTC a ministerstvo dopravy sa budú prioritne zaoberať podnetmi týkajúcimi sa nedodržiavania zásad od ministerstva a orgánov členských štátov EÚ a budú si v súvislosti s týmito podnetmi včas vymieňať informácie s orgánmi postupujúceho štátu, a to v rámci existujúcich obmedzení týkajúcich sa dôvernosti údajov.

III.   DOPLNKOVÉ ZÁSADY

1.   Citlivé údaje

a)

Organizácia nemusí získať potvrdzujúci výslovný súhlas (t. j. vyjadrenie súhlasu) v súvislosti s citlivými údajmi, ak je spracovanie:

i)

vykonávané v životne dôležitom záujme dotknutej osoby alebo inej osoby;

ii)

potrebné na uplatnenie právnych nárokov alebo na obhajobu;

iii)

nevyhnutné na účely poskytnutia zdravotnej starostlivosti alebo stanovenia diagnózy;

iv)

vykonávané v priebehu zákonnej činnosti nadácie, združenia alebo akéhokoľvek iného neziskového subjektu majúceho politický, filozofický, náboženský alebo odborársky cieľ a pod podmienkou, že sa spracúvanie týka výlučne členov príslušného subjektu alebo osôb, ktoré sú s ním v pravidelnom kontakte v súvislosti s jeho cieľmi, a že sa údaje nesprístupnia tretej strane bez súhlasu dotknutých osôb;

v)

potrebné na výkon povinností príslušnej organizácie v oblasti pracovného práva, alebo

vi)

vykonávané v súvislosti s údajmi, ktoré príslušná fyzická osoba preukázateľne zverejnila.

2.   Výnimky pre novinársku činnosť

a)

Vzhľadom na ústavnú ochranu slobody tlače v USA v prípadoch, keď sa práva na slobodnú tlač zakotvené v Prvom dodatku k Ústave USA stretávajú so záujmami v oblasti ochrany súkromia, musí sa vyváženie týchto záujmov so zreteľom na činnosti osôb alebo organizácií v USA riadiť Prvým dodatkom.

b)

Požiadavkám zásad nepodliehajú osobné informácie zhromažďované na účely uverejnenia v tlači, vysielania rozhlasom alebo televíziou alebo na účely iných foriem zverejňovania publicistického materiálu bez ohľadu na to, či sa použijú, alebo nie, ani informácie nachádzajúce sa v už uverejnenom materiáli rozšírenom z mediálnych archívov.

3.   Druhotná zodpovednosť

a)

Poskytovatelia internetových služieb, telekomunikační operátori ani iné organizácie nenesú zodpovednosť podľa zásad, ak v mene inej organizácie len prenášajú, presmerovávajú, prepájajú alebo dočasne ukladajú informácie. Rámec pre ochranu osobných údajov medzi EÚ a USA nezakladá sekundárnu zodpovednosť. Pokiaľ určitá organizácia len ďalej odovzdáva údaje prenášané tretími stranami a nerozhoduje o účeloch a prostriedkoch spracúvania týchto osobných údajov, nie je zodpovedná.

4.   Vykonávanie hĺbkovej analýzy a auditov

a)

Činnosť audítorov a investičných bankárov môže zahŕňať spracúvanie osobných údajov bez súhlasu alebo vedomia fyzickej osoby. Je to povolené v rámci zásad oznámenia, možnosti voľby a prístupu a za okolností, ktoré sú opísané ďalej.

b)

Verejné akciové spoločnosti a súkromné akciové spoločnosti vrátane zapojených organizácií sa pravidelne podrobujú auditom. Takéto audity, najmä také, ktoré sú zamerané na potenciálne protiprávne konanie, môžu byť ohrozené, ak sa predčasne zverejnia. Podobne aj zapojené organizácie sa v prípade možného zlúčenia alebo prevzatia budú musieť podrobiť hĺbkovej analýze alebo ju samy vykonať. To bude často zahŕňať získavanie a spracúvanie osobných údajov, ako napríklad informácií o vedúcich pracovníkoch a iných kľúčových zamestnancoch. Predčasné zverejnenie by mohlo zabrániť transakcii alebo dokonca porušiť platné predpisy o cenných papieroch. Investiční bankári, právni zástupcovia zapojení do hĺbkovej analýzy, alebo audítori vykonávajúci audit môžu spracúvať informácie bez vedomia fyzickej osoby len v rozsahu potrebnom a počas obdobia potrebného na to, aby splnili zákonné požiadavky alebo požiadavky verejného záujmu, a za iných okolností, za ktorých by uplatňovaním týchto zásad boli dotknuté oprávnené záujmy príslušnej organizácie. Tieto oprávnené záujmy zahŕňajú monitorovanie dodržiavania právnych záväzkov organizáciou a legitímnu účtovnícku činnosť a potrebu zachovania dôvernosti v súvislosti s prípadnými akvizíciami, fúziami, spoločnými podnikmi alebo inými podobnými transakciami vykonávanými investičnými bankármi alebo audítormi.

5.   Úloha orgánov pre ochranu osobných údajov

a)

Organizácie budú plniť svoj záväzok spolupracovať s orgánmi pre ochranu osobných údajov, ako je uvedené ďalej. Podľa rámca pre ochranu osobných údajov medzi EÚ a USA sa musia organizácie v USA, ktoré získavajú osobné údaje z EÚ, zaviazať, že budú uplatňovať účinné mechanizmy na zabezpečenie dodržiavania zásad. Konkrétne, ako je to stanovené v zásade nápravy, presadzovania a zodpovednosti, musia zapojené organizácie: a) i) poskytnúť možnosť nápravy pre fyzické osoby, ktorých sa údaje týkajú; a) ii) zabezpečiť následné postupy umožňujúce overiť, či sú ich osvedčenia a tvrdenia o postupoch v oblasti ochrany súkromia pravdivé, a a) iii) plniť povinnosť napraviť problémy, ktoré vznikli v dôsledku nedodržiavania zásad, a prijať príslušné sankcie za porušenie týchto zásad. Organizácia môže spĺňať písmeno a) body i) a iii) zásady nápravy, presadzovania a zodpovednosti, ak dodržiava požiadavky na spoluprácu s orgánmi pre ochranu osobných údajov stanovené v tejto časti.

b)

Organizácia sa zaväzuje k spolupráci s orgánmi pre ochranu osobných údajov tým, že v rámci osvedčenia o svojom dodržiavaní rámca pre ochranu osobných údajov medzi EÚ a USA poskytne ministerstvu obchodu (pozri doplnkovú zásadu týkajúcu sa samoosvedčovania) vyhlásenie o tom, že:

i)

sa rozhodla splniť požiadavku v písmene a) bodoch i) a iii) zásady nápravy, presadzovania a zodpovednosti tým, že sa zaviazala spolupracovať s orgánmi pre ochranu osobných údajov;

ii)

bude spolupracovať s orgánmi pre ochranu osobných údajov pri vyšetrovaní a riešení sťažností vznesených na základe zásad a

iii)

bude dodržiavať všetky odporúčania vydané orgánmi pre ochranu osobných údajov, ak budú orgány pre ochranu osobných údajov toho názoru, že daná organizácia musí prijať osobitné opatrenia s cieľom dodržiavať zásady vrátane nápravných alebo kompenzačných opatrení v prospech fyzických osôb dotknutých akýmkoľvek nedodržiavaním zásad, a poskytne orgánom pre ochranu osobných údajov písomné potvrdenie, že sa takéto opatrenia vykonali.

c)

Fungovanie výborov orgánov pre ochranu osobných údajov

i)

Spolupráca orgánov pre ochranu osobných údajov bude zabezpečená vo forme informácií a odporúčaní takto:

1.

Odporúčania orgánov pre ochranu osobných údajov sa budú poskytovať prostredníctvom neformálneho výboru orgánov pre ochranu osobných údajov zriadeného na úrovni EÚ, ktorý okrem iného pomôže zabezpečiť harmonizovaný a jednotný prístup.

2.

Výbor bude dotknutým organizáciám v USA poskytovať odporúčania k nevyriešeným sťažnostiam fyzických osôb týkajúcim sa zaobchádzania s osobnými informáciami, ktoré boli prenesené z EÚ na základe rámca pre ochranu osobných údajov medzi EÚ a USA. Cieľom týchto odporúčaní bude zabezpečiť, aby sa zásady uplatňovali správne, pričom tieto odporúčania budú zahŕňať všetky prostriedky nápravy vo vzťahu k príslušnej fyzickej osobe (fyzickým osobám), ktoré budú orgány pre ochranu osobných údajov považovať za primerané.

3.

Výbor bude takéto odporúčania poskytovať na základe podnetov dotknutých organizácií a/alebo sťažností podaných priamo fyzickými osobami voči organizáciám, ktoré sa zaviazali spolupracovať s orgánmi pre ochranu osobných údajov na účely rámca pre ochranu osobných údajov medzi EÚ a USA, pričom bude takéto fyzické osoby povzbudzovať a podľa potreby im pomáhať, aby najskôr využili interné mechanizmy na vybavovanie sťažností, ktoré daná organizácia poskytuje.

4.

Odporúčania budú poskytnuté až po tom, čo obe strany sporu mali primeranú možnosť vyjadriť sa a predložiť všetky dôkazy, ktoré chceli. Výbor sa bude snažiť poskytnúť odporúčania tak rýchlo, ako mu to umožňuje táto požiadavka týkajúca sa náležitého postupu. Vo všeobecnosti sa výbor bude snažiť poskytnúť odporúčania do 60 dní od doručenia sťažnosti alebo podnetu a podľa možnosti rýchlejšie.

5.

Výbor zverejní výsledky svojho posúdenia sťažností, ktoré mu boli predložené, ak to bude považovať za vhodné.

6.

Poskytnutie odporúčania prostredníctvom výboru nezakladá vo vzťahu k výboru alebo vo vzťahu k jednotlivým orgánom pre ochranu osobných údajov žiadnu zodpovednosť.

ii)

Ako bolo uvedené v predchádzajúcom texte, organizácie, ktoré sa rozhodnú pre tento spôsob riešenia sporov, sa musia zaviazať, že budú dodržiavať odporúčania orgánov pre ochranu osobných údajov. Ak sa určitá organizácia nepodrobí odporúčaniu do 25 dní odo dňa jeho vydania a neposkytne žiadne uspokojujúce vysvetlenie omeškania, výbor oznámi svoj zámer buď predložiť danú záležitosť FTC, ministerstvu dopravy alebo inému federálnemu alebo štátnemu orgánu USA so zákonnými právomocami v záujme prijatia opatrení na presadenie odporúčaní v prípadoch podvodu alebo nepravdivého vyhlásenia, alebo svoj zámer rozhodnúť o tom, že dohoda o spolupráci bola závažným spôsobom porušená, a preto sa musí považovať za neplatnú. V poslednom uvedenom prípade výbor informuje ministerstvo, aby sa mohol náležite upraviť zoznam organizácií zapojených do rámca pre ochranu osobných údajov. Akékoľvek nesplnenie záväzku spolupracovať s orgánmi pre ochranu osobných údajov, ako aj nedodržanie zásad bude žalovateľné ako klamlivá praktika podľa oddielu 5 zákona o FTC (hlava 15 § 45 Zákonníka Spojených štátov), hlavy 49 § 41712 Zákonníka Spojených štátov alebo podľa iného podobného zákona.

d)

Organizácia, ktorá chce rozšíriť výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA na údaje o ľudských zdrojoch prenášané z EÚ v súvislosti s pracovnoprávnymi vzťahmi, sa musí zaviazať, že vo vzťahu k takýmto údajom bude spolupracovať s orgánmi pre ochranu osobných údajov (pozri doplnkovú zásadu týkajúcu sa údajov o ľudských zdrojoch).

e)

Organizácie, ktoré sa rozhodnú pre túto možnosť, budú povinné platiť ročný poplatok určený na pokrytie prevádzkových nákladov výboru. Môžu byť dodatočne požiadané, aby uhradili akékoľvek potrebné výdavky na preklad súvisiace s posudzovaním, ktoré výbor uskutočňuje vo vzťahu k podnetom alebo sťažnostiam týkajúcim sa týchto organizácií. Výšku poplatku určí ministerstvo po konzultácii s Komisiou. Výber poplatku môže vykonávať tretia strana vybraná ministerstvom, aby plnila funkciu správcu finančných prostriedkov získaných na tento účel. Ministerstvo bude úzko spolupracovať s Komisiou a orgánmi pre ochranu osobných údajov pri stanovovaní vhodných postupov rozdeľovania finančných prostriedkov získaných prostredníctvom výberu poplatku, ako aj iných procesných a administratívnych aspektov výboru. Ministerstvo a Komisia sa môžu dohodnúť na zmene frekvencie výberu poplatku.

6.   Samoosvedčovanie

a)

Výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA sú zabezpečené od dátumu, keď ministerstvo zaradí organizáciu do zoznamu organizácií zapojených do rámca pre ochranu osobných údajov. Ministerstvo zaradí organizáciu do zoznamu organizácií zapojených do rámca pre ochranu osobných údajov až po tom, ako rozhodne o úplnosti prvotného osvedčenia organizácie o dodržiavaní zásad, a vyradí organizáciu z uvedeného zoznamu, ak organizácia dobrovoľne odstúpi, nedokončí proces každoročného opätovného osvedčenia alebo ak trvale nedodržiava zásady (pozri doplnkovú zásadu týkajúcu sa riešenia sporov a presadzovania práva).

b)

Na účely prvotného samoosvedčenia alebo následného opätovného osvedčenia podľa rámca pre ochranu osobných údajov medzi EÚ a USA musí organizácia pri každej príležitosti predložiť ministerstvu vyhlásenie vedúceho pracovníka v mene danej organizácie podstupujúcej proces samoosvedčenia, resp. opätovného osvedčenia, o dodržiavaní zásad danou organizáciou (8), ktoré obsahuje prinajmenšom tieto informácie:

i)

názov organizácie v USA podstupujúcej proces samoosvedčenia alebo opätovného osvedčenia, ako aj názvy všetkých jej subjektov v USA alebo dcérskych spoločností v USA, ktoré takisto dodržiavajú zásady a ktoré chce organizácia zahrnúť;

ii)

opis činnosti danej organizácie s ohľadom na osobné informácie, ktoré by sa získavali z EÚ podľa rámca pre ochranu osobných údajov medzi EÚ a USA;

iii)

opis príslušných podmienok ochrany súkromia danej organizácie vo vzťahu k takýmto osobným informáciám vrátane:

1.

ak má organizácia webové sídlo, príslušnej webovej adresy, na ktorej sú podmienky ochrany súkromia k dispozícii, alebo ak organizácia nemá verejné webové sídlo, informácií o tom, kde sú verejnosti sprístupnené podmienky ochrany súkromia, a

2.

dňa nadobudnutia účinnosti týchto podmienok ochrany súkromia;

iv)

kontaktné miesto v rámci organizácie na vybavovanie sťažností, žiadostí o prístup a akýchkoľvek iných záležitostí vyplývajúcich zo zásad (9) vrátane:

1.

mena, pracovného zaradenia (podľa potreby), e-mailovej adresy a telefónneho čísla príslušnej osoby (príslušných osôb) alebo príslušného kontaktného miesta (príslušných kontaktných miest) v rámci organizácie a

2.

príslušnej poštovej adresy organizácie v USA;

v)

osobitný zákonom zriadený orgán, ktorý je oprávnený vypočuť prípadné sťažnosti voči danej organizácii týkajúce sa možných nekalých alebo klamlivých praktík a porušenia zákonov alebo iných právnych predpisov upravujúcich ochranu súkromia (a ktorý je uvedený v zásadách alebo v budúcej prílohe k zásadám);

vi)

názov prípadného programu v oblasti ochrany súkromia, ktorého je daná organizácia členom;

vii)

metódu overovania (t. j. prostredníctvom samoposúdenia alebo externých posúdení dodržiavania zásad vrátane informácií o tretej strane, ktorá takéto posúdenia vykonáva) (10) a

viii)

príslušný nezávislý mechanizmus (mechanizmy) nápravy, ktorý je k dispozícii na vyšetrovanie nevyriešených sťažností týkajúcich sa zásad (11).

c)

Ak chce organizácia rozšíriť výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA na informácie o ľudských zdrojoch prenášané z EÚ na využitie v súvislosti s pracovnoprávnymi vzťahmi, môže tak urobiť, ak existuje zákonom zriadený orgán s právomocou vybavovať sťažnosti voči danej organizácii vyplývajúce zo spracúvania informácií o ľudských zdrojoch, ktorý je uvedený v zásadách alebo v budúcej prílohe k zásadám. Daná organizácia musí túto skutočnosť okrem toho uviesť vo svojom prvotnom osvedčení o dodržiavaní zásad, ako aj vo všetkých opätovných osvedčeniach a musí vyhlásiť, že sa zaväzuje spolupracovať s príslušným orgánom alebo orgánmi EÚ v súlade s doplnkovými zásadami týkajúcimi sa údajov o ľudských zdrojoch, resp. úlohy orgánov pre ochranu osobných údajov, a že bude dodržiavať odporúčania poskytnuté týmito orgánmi. Organizácia musí takisto ministerstvu predložiť kópiu svojich podmienok ochrany súkromia v oblasti ľudských zdrojov a poskytnúť informácie o dostupnosti podmienok ochrany súkromia na nahliadnutie pre dotknutých zamestnancov.

d)

Ministerstvo bude viesť a verejne sprístupní zoznam organizácií zapojených do rámca pre ochranu osobných údajov, ktoré predložili úplné prvotné samoosvedčenie, a bude tento zoznam aktualizovať na základe úplných každoročných opätovných osvedčení, ako aj oznámení prijatých v súlade s doplnkovou zásadou týkajúcou sa riešenia sporov a presadzovania práva. Takéto opätovné osvedčenia sa musia predkladať najmenej raz ročne, v opačnom prípade bude organizácia vyradená zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov a už viac nebude môcť využívať výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA. Všetky organizácie, ktoré ministerstvo zaradilo do zoznamu rámca pre ochranu osobných údajov, musia mať zavedené príslušné politiky ochrany súkromia, ktoré sú v súlade so zásadou oznámenia, a musia v týchto politikách ochrany súkromia uvádzať, že dodržiavajú zásady (12). Ak sú podmienky organizácie v oblasti ochrany súkromia k dispozícii online, musia obsahovať hypertextový odkaz na webové sídlo ministerstva venované rámcu pre ochranu osobných údajov a hypertextový odkaz na webové sídlo alebo príslušný formulár na predkladanie sťažností nezávislému mechanizmu nápravy, ktorý je pre fyzické osoby bezplatne dostupný na vyšetrovanie nevyriešených sťažností týkajúcich sa zásad.

e)

Zásady sa uplatňujú ihneď po samoosvedčení. Zapojené organizácie, ktoré v minulosti vykonali proces samoosvedčenia podľa štítu na ochranu osobných údajov medzi EÚ a USA, budú musieť aktualizovať svoje podmienky ochrany súkromia tak, aby sa v nich po novom odkazovalo na „zásady rámca pre ochranu osobných údajov medzi EÚ a USA“. Takéto organizácie aktualizujú tento odkaz čo najskôr a v každom prípade najneskôr do troch mesiacov odo dňa nadobudnutia účinnosti zásad rámca pre ochranu osobných údajov medzi EÚ a USA.

f)

Organizácia musí uplatňovať zásady v súvislosti so všetkými osobnými údajmi získanými z EÚ na základe rámca pre ochranu osobných údajov medzi EÚ a USA. Záväzok dodržiavať zásady nie je časovo obmedzený vo vzťahu k osobným údajom získavaným v priebehu obdobia, v ktorom daná organizácia využíva výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA. Záväzok organizácie znamená, že bude vo vzťahu k takýmto údajom naďalej uplatňovať zásady tak dlho, ako ich bude uchovávať, využívať alebo sprístupňovať, a to dokonca aj vtedy, ak následne od rámca pre ochranu osobných údajov medzi EÚ a USA z akéhokoľvek dôvodu odstúpi. Organizácia, ktorá chce odstúpiť od rámca pre ochranu osobných údajov medzi EÚ a USA, to musí ministerstvu vopred oznámiť. V predmetnom oznámení sa zároveň musí uvádzať, čo organizácia urobí s osobnými údajmi, ktoré získala na základe rámca pre ochranu osobných údajov medzi EÚ a USA (t. j. či si údaje ponechá, vráti ich alebo ich vymaže, a ak si údaje ponechá, akými povolenými prostriedkami bude poskytovať ich ochranu). Organizácia, ktorá odstúpi od rámca pre ochranu osobných údajov medzi EÚ a USA, ale chce si takéto údaje ponechať, musí ministerstvu každoročne potvrdiť svoj záväzok pokračovať v uplatňovaní zásad na dané údaje alebo poskytovať „primeranú“ ochranu údajov inými povolenými prostriedkami (napríklad prostredníctvom zmluvy, ktorá v plnej miere odzrkadľuje požiadavky príslušných štandardných zmluvných doložiek prijatých Komisiou), v opačnom prípade musí organizácia dané informácie vrátiť alebo vymazať (13). Organizácia, ktorá odstúpi od rámca pre ochranu osobných údajov medzi EÚ a USA, musí zo všetkých príslušných podmienok ochrany súkromia odstrániť všetky odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA, ktoré naznačujú, že organizácia je do rámca pre ochranu osobných údajov medzi EÚ a USA naďalej zapojená a je oprávnená využívať výhody, ktoré z neho vyplývajú.

g)

Organizácia, ktorá v dôsledku zmeny podnikovej štruktúry, napríklad fúzie, prevzatia, konkurzu alebo rozpustenia, prestane existovať ako samostatná právnická osoba, to musí vopred oznámiť ministerstvu. V oznámení by sa malo zároveň uvádzať, či subjekt, ktorý je výsledkom zmeny podnikovej štruktúry, bude i) naďalej zapojený do rámca pre ochranu osobných údajov medzi EÚ a USA prostredníctvom existujúceho samoosvedčenia; ii) vykoná proces samoosvedčenia ako nová organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA (napr. ak nový subjekt alebo nástupnícky subjekt nedisponuje vlastným predchádzajúcim samoosvedčením, na základe ktorého by sa mohol zapojiť do rámca pre ochranu osobných údajov medzi EÚ a USA), alebo iii) zavedie iné záruky, napríklad písomnú dohodu, ktorými zabezpečí pokračujúce uplatňovanie zásad na všetky osobné údaje, ktoré organizácia získala podľa rámca pre ochranu osobných údajov medzi EÚ a USA a ktoré si daný subjekt ponechá. V prípade, že sa neuplatňuje bod i), ii) ani iii), všetky osobné údaje získané podľa rámca pre ochranu osobných údajov medzi EÚ a USA sa musia bezodkladne vrátiť alebo vymazať.

h)

Keď organizácia z akéhokoľvek dôvodu opustí rámec pre ochranu osobných údajov medzi EÚ a USA, musí odstrániť všetky vyhlásenia naznačujúce, že daná organizácia je do rámca pre ochranu osobných údajov medzi EÚ a USA naďalej zapojená alebo že je oprávnená využívať výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA. Ak sa používala certifikačná značka rámca pre ochranu osobných údajov medzi EÚ a USA, musí odstrániť aj túto značku. Akékoľvek nepravdivé vyhlásenie pre verejnosť týkajúce sa dodržiavania zásad organizáciou môže byť žalovateľné FTC, ministerstvom dopravy alebo iným príslušným vládnym orgánom. Nepravdivé vyhlásenia pre ministerstvo môžu byť žalovateľné podľa zákona o nepravdivých vyhláseniach (False Statements Act) (hlava 18 § 1001 Zákonníka Spojených štátov).

7.   Overovanie

a)

Organizácie musia zabezpečiť následné postupy na overenie toho, či sú ich osvedčenia a tvrdenia o postupoch v oblasti ochrany súkromia na základe rámca pre ochranu osobných údajov medzi EÚ a USA pravdivé a či sa tieto postupy v oblasti ochrany súkromia vykonávajú tak, ako sa prezentuje, a v súlade so zásadami.

b)

Aby organizácia splnila požiadavky na overovanie stanovené v zásade nápravy, presadzovania a zodpovednosti, musí takéto osvedčenia a tvrdenia overovať buď prostredníctvom samoposúdenia, alebo prostredníctvom externých posúdení dodržiavania zásad.

c)

Ak sa organizácia rozhodne pre samoposúdenie, v takomto overení sa musí preukázať, že jej podmienky ochrany súkromia vzťahujúce sa na osobné informácie získané z EÚ sú presné, komplexné, ľahko dostupné, v súlade so zásadami a vykonávané v plnej miere (t. j. dodržiavané). Takisto musí uviesť, že fyzické osoby sú informované o všetkých interných mechanizmoch na vybavovanie sťažností a o nezávislom mechanizme (nezávislých mechanizmoch) nápravy, prostredníctvom ktorého (ktorých) môžu podávať sťažnosti, že organizácia má zavedené postupy odbornej prípravy zamestnancov v oblasti vykonávania jej podmienok ochrany súkromia a postupy na postihovanie zamestnancov v prípade nedodržania týchto podmienok a že organizácia má zavedené interné postupy na pravidelné objektívne preskúmavanie dodržiavania požiadaviek uvedených v predchádzajúcom texte. Vyhlásenie osvedčujúce vykonanie samoposúdenia musí byť podpísané vedúcim pracovníkom alebo iným oprávneným zástupcom organizácie najmenej raz za rok a musí byť na požiadanie sprístupnené fyzickým osobám alebo v súvislosti s vyšetrovaním, alebo so sťažnosťou týkajúcou sa nedodržiavania zásad.

d)

Ak sa organizácia rozhodne pre externé posúdenie dodržiavania zásad, v takomto overení sa musí preukázať, že jej podmienky ochrany súkromia vzťahujúce sa na osobné informácie získané z EÚ sú presné, komplexné, ľahko dostupné, v súlade so zásadami a vykonávané v plnej miere (t. j. dodržiavané). Takisto musí uviesť, že fyzické osoby sú informované o mechanizme (mechanizmoch), prostredníctvom ktorého (ktorých) môžu podávať sťažnosti. Spôsoby posudzovania môžu bez obmedzenia zahŕňať audit, náhodné kontroly, používanie „návnad“ alebo prípadne využívanie technologických nástrojov. Vyhlásenie osvedčujúce úspešne vykonanie externého posúdenia dodržiavania zásad musí byť podpísané buď posudzovateľom, alebo vedúcim pracovníkom, alebo iným oprávneným zástupcom organizácie najmenej raz za rok a musí byť na požiadanie sprístupnené fyzickým osobám alebo v súvislosti s vyšetrovaním, alebo so sťažnosťou týkajúcou sa dodržiavania zásad.

e)

Organizácie musia uchovávať záznamy o vykonávaní svojich postupov v oblasti ochrany súkromia podľa rámca pre ochranu osobných údajov medzi EÚ a USA a musia ich v súvislosti s vyšetrovaním alebo so sťažnosťou týkajúcou sa nedodržiavania zásad na požiadanie sprístupniť nezávislému orgánu pre riešenie sporov zodpovednému za vyšetrovanie sťažností alebo orgánu, ktorý je príslušný rozhodovať v prípadoch nekalých a klamlivých praktík. Organizácie takisto musia bezodkladne reagovať na otázky a iné žiadosti ministerstva o informácie týkajúce sa dodržiavania zásad zo strany organizácie.

8.   Prístup

a)   Zásada prístupu v praxi

i)

Podľa zásad je právo na prístup k osobným informáciám základom ochrany súkromia. Konkrétne umožňuje fyzickým osobám overovať správnosť informácií, ktoré sa o nich uchovávajú. Podľa zásady prístupu majú fyzické osoby právo:

1.

získať od organizácie potvrdenie o tom, či organizácia spracúva alebo nespracúva osobné údaje, ktoré sa ich týkajú (14);

2.

získať takéto údaje, aby si mohli overiť ich presnosť a zákonnosť spracovania, a

3.

dať tieto údaje opraviť, zmeniť alebo vymazať, ak sú nepresné alebo spracúvané v rozpore so zásadami.

ii)

Fyzické osoby nemusia odôvodňovať svoje žiadosti o prístup k vlastným údajom. Pri reagovaní na žiadosti fyzických osôb o prístup by sa organizácie mali predovšetkým riadiť dôvodmi, ktoré viedli k príslušným žiadostiam. Napríklad, ak je žiadosť o prístup nejasná alebo rozsahom všeobecná, organizácia môže s fyzickou osobou nadviazať dialóg, aby lepšie pochopila motiváciu danej žiadosti a lokalizovala zodpovedajúce informácie. Organizácia sa môže zaujímať o to, s ktorou organizačnou súčasťou (s ktorými organizačnými súčasťami) danej organizácie príslušná fyzická osoba komunikovala, a/alebo o povahu či využitie informácií, ktoré sú predmetom žiadosti o prístup.

iii)

V súlade so základnou povahou prístupu k osobným informáciám by sa organizácie mali vždy v dobrej viere snažiť poskytnúť prístup. Napríklad, ak je potrebné určité informácie chrániť a možno ich ľahko oddeliť od iných osobných informácií, ktorých sa týka žiadosť o prístup, organizácia by mala chránené informácie odčleniť a sprístupniť zvyšné informácie. Ak organizácia rozhodne, že v niektorom konkrétnom prípade by sa mal prístup obmedziť, mala by fyzickej osobe požadujúcej prístup poskytnúť vysvetlenie, prečo sa takto rozhodla, a mala by ju informovať o kontaktnom mieste, na ktoré sa môže obrátiť v prípade ďalších otázok.

b)   Zaťaženie alebo výdavky súvisiace s poskytnutím prístupu

i)

Právo na prístup k osobným údajom sa môže vo výnimočných prípadoch obmedziť, ak by boli porušené legitímne práva osôb iných než daná fyzická osoba, alebo v prípadoch, keď by zaťaženie alebo výdavky súvisiace s poskytnutím prístupu boli v danom prípade neúmerné rizikám pre súkromie fyzickej osoby. Výdavky a zaťaženie sú významnými faktormi a mali by sa brať do úvahy, ale nie sú určujúce pri rozhodovaní o tom, či je poskytnutie prístupu opodstatnené.

ii)

Napríklad, ak sa dané osobné informácie využívajú na prijatie rozhodnutí, ktoré sa významným spôsobom dotknú danej fyzickej osoby (napríklad zamietnutie alebo priznanie dôležitých výhod, ako je napríklad poistné, hypotéka alebo práca), potom by organizácia v súlade s ostatnými ustanoveniami doplnkových zásad mala tieto informácie sprístupniť dokonca aj vtedy, ak je toto poskytnutie relatívne zložité alebo nákladné. Ak požadované osobné informácie nie sú citlivé alebo sa nevyužívajú na prijatie rozhodnutí, ktoré sa významným spôsobom dotknú danej fyzickej osoby, ale sú ľahko dostupné a ich poskytnutie nie je nákladné, organizácia by mala poskytnúť prístup k takýmto informáciám.

c)   Dôverné obchodné informácie

i)

Dôverné obchodné informácie sú informácie, vo vzťahu ku ktorým určitá organizácia podnikla kroky na ich ochranu pred sprístupnením, pretože takéto zverejnenie by zvýhodnilo konkurenta na trhu. Organizácie môžu zamietnuť alebo obmedziť prístup, pokiaľ by sa poskytnutím úplného prístupu odhalili ich vlastné dôverné obchodné informácie, ako napríklad marketingové odhady alebo kategorizácie vypracované danou organizáciou, alebo dôverné obchodné informácie inej organizácie, na ktoré sa vzťahuje zmluvná povinnosť zachovania dôvernosti.

ii)

Ak možno dôverné obchodné informácie ľahko oddeliť od iných osobných informácií, ktorých sa týka žiadosť o prístup, organizácia by mala dôverné obchodné informácie odčleniť a sprístupniť nedôverné informácie.

d)   Organizácia databáz

i)

Prístup je možné poskytnúť tak, že organizácia sprístupní relevantné osobné informácie fyzickej osobe, pričom sa nevyžaduje, aby organizácia poskytla fyzickej osobe prístup k svojej databáze.

ii)

Prístup k osobným informáciám sa musí poskytnúť len vtedy, ak organizácia dané informácie uchováva. Samotná zásada prístupu nezakladá povinnosť uchovávať, udržiavať, reorganizovať alebo reštrukturalizovať súbory s osobnými informáciami.

e)   Prípady obmedzenia prístupu

i)

Keďže organizácie sa musia vždy v dobrej viere snažiť poskytnúť fyzickým osobám prístup k ich osobným údajom, okolnosti, za ktorých môžu takýto prístup obmedziť, sú obmedzené a akékoľvek dôvody na obmedzenie prístupu musia byť konkrétne uvedené. Rovnako ako na základe všeobecného nariadenia o ochrane údajov môže organizácia obmedziť prístup k informáciám, pokiaľ je pravdepodobné, že takéto sprístupnenie je v rozpore s ochranou dôležitých protikladných verejných záujmov, ako je napríklad národná bezpečnosť, obrana alebo verejná bezpečnosť. Okrem toho, ak sa osobné informácie spracúvajú výlučne na účely výskumu alebo štatistiky, môže byť prístup zamietnutý. Iné dôvody na zamietnutie alebo obmedzenie prístupu k osobným informáciám sú:

1.

ovplyvnenie výkonu alebo presadzovania práva alebo občianskoprávneho konania, vrátane prevencie, vyšetrovania alebo odhaľovania trestných činov, alebo práva na spravodlivý proces;

2.

sprístupnenie, pri ktorom by sa porušili legitímne práva alebo dôležité záujmy iných osôb;

3.

porušovanie zákonnej alebo inej profesionálnej výsady alebo povinnosti;

4.

ovplyvňovanie vyšetrovania bezpečnosti pri práci alebo konania vo veci pracovných sťažností alebo v súvislosti s plánovaním zmien v obsadzovaní funkcií v rámci určitej spoločnosti a s reorganizáciou určitej spoločnosti alebo

5.

porušovanie dôvernosti potrebnej v súvislosti s monitorovacími, kontrolnými alebo regulačnými funkciami týkajúcimi sa správneho hospodárskeho alebo finančného riadenia alebo porušovanie dôvernosti budúcich alebo prebiehajúcich rokovaní s účasťou organizácie.

ii)

Organizácia, ktorá si nárokuje výnimku, má povinnosť preukázať jej nevyhnutnosť a uviesť dôvody na obmedzenie prístupu a kontaktné miesto, na ktoré sa môžu fyzické osoby obrátiť v prípade ďalších otázok.

f)   Právo na získanie potvrdenia a účtovanie poplatkov na pokrytie nákladov súvisiacich s poskytnutím prístupu

i)

Fyzická osoba má právo získať potvrdenie o tom, či daná organizácia má, alebo nemá osobné údaje, ktoré sa jej týkajú. Fyzická osoba má takisto právo získať takéto osobné údaje, ktoré sa jej týkajú. Organizácia môže účtovať poplatok, ktorý nie je neprimerane vysoký.

ii)

Účtovanie poplatku môže byť opodstatnené napríklad v prípade zjavne neprimeraných žiadostí o prístup, najmä z dôvodu ich opakujúceho sa charakteru.

iii)

Prístup nemôže byť zamietnutý z dôvodu nákladov, ak príslušná fyzická osoba ponúka zaplatenie nákladov.

g)   Opakované alebo obťažujúce žiadosti o prístup

i)

Organizácia môže primerane obmedziť počet prípadov, v ktorých sa v rámci určitého časového obdobia vyhovie žiadostiam určitej fyzickej osoby o prístup. Pri stanovovaní takýchto obmedzení by organizácia mala zohľadniť faktory ako frekvencia aktualizácie informácií, účel, na ktorý sa dané údaje využívajú, a povaha daných informácií.

h)   Podvodné žiadosti o prístup

i)

Organizácia nemusí poskytnúť prístup k osobným informáciám, pokiaľ jej nie sú predložené dostatočné informácie, ktoré jej umožnia potvrdiť totožnosť osoby, ktorá podáva žiadosť.

i)   Časový rámec na odpovede

i)

Organizácie by mali odpovedať na žiadosti o prístup v primeranej lehote, vhodným spôsobom a vo forme, ktorá je pre fyzickú osobu zrozumiteľná. Organizácia, ktorá pravidelne poskytuje údaje dotknutým osobám, môže splniť žiadosť fyzickej osoby o prístup prostredníctvom pravidelného zverejňovania, ak by to nespôsobilo nadmerné oneskorenie.

9.   Údaje o ľudských zdrojoch

a)   Rozsah pôsobnosti rámca pre ochranu osobných údajov medzi EÚ a USA

i)

Ak organizácia v EÚ prenáša osobné informácie o svojich zamestnancoch (bývalých alebo súčasných) získané v súvislosti s pracovnoprávnym vzťahom do materského, pridruženého alebo nepridruženého podniku, ktorý poskytuje služby v Spojených štátoch a ktorý je zapojený do rámca pre ochranu osobných údajov medzi EÚ a USA, na daný prenos sa vzťahujú výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA. V takýchto prípadoch získavanie informácií a ich spracúvanie pred prenosom podlieha vnútroštátnym právnym predpisom členského štátu EÚ, v ktorom boli dané informácie získané, a musia byť rešpektované akékoľvek podmienky alebo obmedzenia vo vzťahu k prenosu týchto informácií stanovené týmito predpismi.

ii)

Zásady sú relevantné len vtedy, keď sa prenášajú individuálne identifikované alebo identifikovateľné záznamy alebo keď sa poskytuje prístup k takýmto záznamom. Štatistické výkazy založené na súhrnných údajoch o zamestnancoch, ktoré neobsahujú žiadne osobné údaje, ani využívanie anonymizovaných údajov nepredstavujú ohrozenie súkromia.

b)   Uplatňovanie zásad oznámenia a možnosti voľby

i)

Organizácia v USA, ktorá získala informácie z EÚ týkajúce sa zamestnancov podľa rámca pre ochranu osobných údajov medzi EÚ a USA, môže tieto informácie sprístupniť tretím stranám alebo ich využívať na rôzne účely len v súlade so zásadami oznámenia a možnosti voľby. Napríklad v prípade, že chce organizácia využiť osobné informácie získané v rámci pracovnoprávneho vzťahu na účely nesúvisiace s pracovnoprávnymi vzťahmi, ako napríklad na marketingovú komunikáciu, daná organizácia v USA musí pred tým, než tak urobí, poskytnúť dotknutým fyzickým osobám možnosť voľby, pokiaľ tieto fyzické osoby už nedali svoj súhlas na využitie daných informácií na takéto účely. Také použitie musí byť zlučiteľné s účelmi, na ktoré boli osobné informácie získané alebo následne schválené danou fyzickou osobou. Navyše takáto možnosť voľby sa nesmie použiť na obmedzenie pracovných príležitostí alebo na represívne konanie voči takýmto zamestnancom.

ii)

Treba podotknúť, že určité všeobecne uplatniteľné podmienky na prenos z niektorých členských štátov EÚ môžu vylučovať iné možnosti využitia takýchto informácií dokonca aj po prenose mimo EÚ a takéto podmienky sa budú musieť rešpektovať.

iii)

Zamestnávatelia by navyše mali vynaložiť primerané úsilie na to, aby vyhoveli preferenciám zamestnancov, pokiaľ ide o ochranu súkromia. To by napríklad mohlo znamenať obmedzenie prístupu k osobným údajom, anonymizovanie určitých údajov alebo pridelenie kódov alebo pseudonymov v prípadoch, keď sa na účely riadenia nevyhnutne nevyžadujú skutočné mená.

iv)

Organizácia nemusí poskytnúť oznámenie a možnosť voľby, pokiaľ a tak dlho, ako je to potrebné na zabránenie tomu, aby bola dotknutá schopnosť organizácie uskutočňovať povýšenia, vymenovania alebo prijímať iné podobné rozhodnutia týkajúce sa zamestnancov.

c)   Uplatňovanie zásady prístupu

i)

Doplnková zásada týkajúca sa prístupu poskytuje usmernenie, pokiaľ ide o dôvody, ktoré môžu opodstatňovať zamietnutie alebo obmedzenie prístupu na požiadanie v súvislosti s ľudskými zdrojmi. Zamestnávatelia v EÚ musia prirodzene dodržiavať miestne právne predpisy a zabezpečiť, aby mali zamestnanci v rámci EÚ prístup k takýmto informáciám, tak, ako to vyžaduje právo v ich domovských krajinách, bez ohľadu na to, na akom mieste sa údaje spracúvajú a uchovávajú. Podľa rámca pre ochranu osobných údajov medzi EÚ a USA sa vyžaduje, aby organizácia, ktorá spracúva takéto údaje v Spojených štátoch, spolupracovala pri poskytovaní takéhoto prístupu buď priamo, alebo prostredníctvom zamestnávateľa v EÚ.

d)   Presadzovanie

i)

Pokiaľ sa osobné informácie využívajú len v rámci pracovnoprávnych vzťahov, prvotnú zodpovednosť za údaje vo vzťahu k zamestnancovi nesie organizácia v EÚ. To znamená, že ak európski zamestnanci podajú sťažnosti týkajúce sa porušovania ich práv na ochranu údajov a nie sú spokojní s výsledkami interného posúdenia, konania o sťažnosti a odvolacieho konania (alebo iného postupu na predkladanie sťažností uplatniteľného podľa kolektívnej zmluvy), tieto sťažnosti by sa mali podať na štátny alebo národný orgán pre ochranu osobných údajov alebo na úrad práce v jurisdikcii, v ktorej daný zamestnanec pracuje. Týka sa to aj prípadov, keď je za údajné nesprávne zaobchádzanie s osobnými informáciami spomínaných zamestnancov zodpovedná organizácia v USA, ktorá získala dané informácie od zamestnávateľa, čo znamená, že ide o údajné porušenie zásad. Toto bude najúčinnejší spôsob riešenia často sa prekrývajúcich práv a povinností ukladaných miestnym pracovným právom a pracovnými dohodami, ako aj právom v oblasti ochrany údajov.

ii)

Organizácia v USA zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA, ktorá využíva údaje z EÚ o ľudských zdrojoch prenášané z EÚ v súvislosti s pracovnoprávnym vzťahom a ktorá chce, aby sa na takéto prenosy vzťahoval rámec pre ochranu osobných údajov medzi EÚ a USA, sa preto musí zaviazať, že v takýchto prípadoch bude spolupracovať pri vyšetrovaniach príslušných orgánov EÚ a bude dodržiavať odporúčania týchto orgánov.

e)   Uplatňovanie zásady zodpovednosti za následný prenos

i)

Pokiaľ ide o príležitostné prevádzkové potreby zapojenej organizácie súvisiace so zamestnaním so zreteľom na osobné údaje prenášané podľa rámca pre ochranu osobných údajov medzi EÚ a USA, ako napríklad rezervácia letenky, hotelovej izby alebo zabezpečenie poistného krytia, prenosy osobných údajov malého počtu zamestnancov prevádzkovateľom sa môžu vykonávať bez uplatňovania zásady prístupu alebo bez uzavretia zmluvy s prevádzkovateľom, ktorý je treťou stranou, ako sa to vyžaduje v iných prípadoch podľa zásady zodpovednosti za následný prenos, pokiaľ zapojená organizácia dodržala zásady oznámenia a možnosti voľby.

10.   Povinné uzatváranie zmlúv v prípade následných prenosov

a)   Zmluvy o spracúvaní údajov

i)

Ak sa osobné údaje prenášajú z EÚ do Spojených štátov len na účely spracúvania, zmluva sa bude vyžadovať bez ohľadu na zapojenie sprostredkovateľa do rámca pre ochranu osobných údajov medzi EÚ a USA.

ii)

Od prevádzkovateľov v EÚ sa vždy vyžaduje, aby v prípade, že sa prenos vykonáva len na účely spracúvania údajov, uzavreli zmluvu, a to bez ohľadu na to, či sa operácia spracúvania vykonáva v rámci EÚ alebo mimo nej, a bez ohľadu na zapojenie sprostredkovateľa do rámca pre ochranu osobných údajov medzi EÚ a USA. Účelom zmluvy je zaistiť, aby sprostredkovateľ:

1.

konal len na základe pokynov prevádzkovateľa;

2.

zabezpečoval zavedenie vhodných technických a organizačných opatrení na ochranu osobných údajov pred náhodným alebo nezákonným zničením, náhodnou stratou, zmenou, neoprávneným sprístupnením alebo prístupom a aby vedel, či je povolený následný prenos, a

3.

vzhľadom na povahu spracúvania pomáhal prevádzkovateľovi pri odpovedaní fyzickým osobám, ktoré uplatňujú svoje práva na základe zásad.

iii)

Keďže zapojené organizácie poskytujú primeranú ochranu, zmluvy s takýmito organizáciami len na účely spracúvania si nevyžadujú predchádzajúce povolenie.

b)   Prenosy v rámci kontrolovanej skupiny spoločností alebo subjektov

i)

Keď sa osobné informácie prenášajú medzi dvoma prevádzkovateľmi v rámci kontrolovanej skupiny spoločností alebo subjektov, podľa zásady zodpovednosti za následný prenos sa vždy nevyžaduje uzavretie zmluvy. Prevádzkovatelia v rámci kontrolovanej skupiny spoločností alebo subjektov môžu založiť svoje prenosy na iných nástrojoch, ako napríklad na záväzných vnútropodnikových pravidlách EÚ alebo iných vnútroskupinových nástrojoch (napr. programy dodržiavania predpisov a kontroly), a zabezpečiť tak kontinuitu ochrany osobných informácií podľa zásad. V prípade takýchto prenosov je zapojená organizácia naďalej zodpovedná za dodržiavanie zásad.

c)   Prenosy medzi prevádzkovateľmi

i)

V prípade prenosov medzi prevádzkovateľmi nemusí byť prijímajúci prevádzkovateľ zapojenou organizáciou ani nemusí mať nezávislý mechanizmus nápravy. Zapojená organizácia musí uzavrieť zmluvu s prijímajúcim prevádzkovateľom, ktorý je treťou stranou, ktorá zabezpečuje rovnakú úroveň ochrany, aká je dostupná podľa rámca pre ochranu osobných údajov medzi EÚ a USA, pričom sa nevyžaduje, aby prevádzkovateľ, ktorý je treťou stranou, bol zapojenou organizáciou alebo mal nezávislý mechanizmus nápravy, za predpokladu, že poskytne rovnocenný mechanizmus.

11.   Riešenie sporov a presadzovanie práva

a)

V zásade nápravy, presadzovania a zodpovednosti sa stanovujú požiadavky na presadzovanie rámca pre ochranu osobných údajov medzi EÚ a USA. Spôsob plnenia požiadaviek písmena a) bodu ii) tejto zásady je stanovený v doplnkovej zásade týkajúcej sa overovania. Táto doplnková zásada sa vzťahuje na písmeno a) body i) a iii), v ktorých sa vyžadujú nezávislé mechanizmy nápravy. Tieto mechanizmy môžu mať rôznu podobu, musia však spĺňať požiadavky zásady nápravy, presadzovania a zodpovednosti. Organizácie tieto požiadavky splnia nasledujúcim spôsobom: i) dodržiavaním programov v oblasti ochrany súkromia vypracovaných súkromným sektorom, v prípade ktorých sú zásady začlenené do ich pravidiel a ktorých súčasťou sú účinné mechanizmy presadzovania zodpovedajúce opisu v zásade nápravy, presadzovania a zodpovednosti; ii) podrobením sa zákonným alebo regulačným dozorným orgánom, ktoré zabezpečujú vybavovanie sťažností fyzických osôb a riešenie sporov alebo iii) prijatím záväzku spolupracovať s orgánmi pre ochranu osobných údajov so sídlom v EÚ alebo s ich oprávnenými zástupcami.

b)

Vymenované spôsoby majú ilustratívny, a nie obmedzujúci charakter. Súkromný sektor môže zaviesť ďalšie mechanizmy na zabezpečenie presadzovania, pokiaľ tieto mechanizmy budú spĺňať požiadavky zásady nápravy, presadzovania a zodpovednosti a doplnkových zásad. Treba upozorniť na to, že požiadavky zásady nápravy, presadzovania a zodpovednosti sú doplnením požiadavky, podľa ktorej musí byť samoregulačné úsilie vymáhateľné podľa oddielu 5 zákona o FTC (hlava 15 § 45 Zákonníka Spojených štátov), v ktorom sa zakazuje nekalé alebo klamlivé konanie, hlavy 49 § 41712 Zákonníka Spojených štátov, v ktorom sa dopravcom alebo predajcom leteniek zakazuje dopúšťať sa nekalých alebo klamlivých praktík v leteckej doprave alebo pri predaji leteniek, alebo podľa iného právneho predpisu či nariadenia, v ktorom sa takéto konanie zakazuje.

c)

S cieľom pomôcť zabezpečiť dodržiavanie záväzkov podľa rámca pre ochranu osobných údajov medzi EÚ a USA a podporiť správu programu musia organizácie, ako aj ich nezávislé mechanizmy nápravy na požiadanie poskytnúť ministerstvu informácie týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA. Organizácie musia navyše pohotovo odpovedať na sťažnosti týkajúce sa ich dodržiavania zásad, postúpené orgánmi pre ochranu osobných údajov prostredníctvom ministerstva. V rámci takejto odpovede by sa malo riešiť, či je sťažnosť opodstatnená, a ak áno, ako organizácia napraví daný problém. Ministerstvo bude chrániť dôvernosť prijatých informácií v súlade s právom USA.

d)

Mechanizmy nápravy

i)

Fyzické osoby by mali byť nabádané, aby pred tým, než sa obrátia na nezávislé mechanizmy nápravy, podali svoje prípadné sťažnosti príslušnej organizácii. Organizácie musia fyzickej osobe odpovedať do 45 dní od prijatia sťažnosti. To, či je určitý mechanizmus nápravy nezávislý, je faktická otázka, ktorú možno zodpovedať najmä preukázaním nestrannosti, transparentnej štruktúry a financovania, ako aj preukázaním predchádzajúcej činnosti. Podľa zásady nápravy, presadzovania a zodpovednosti, musí byť mechanizmus nápravy, ktorý majú fyzické osoby k dispozícii, ľahko dostupný a bezplatný. Nezávislé orgány pre riešenie sporov by mali prešetriť každú sťažnosť, ktorú dostanú od fyzických osôb, pokiaľ tieto sťažnosti nie sú očividne nepodložené alebo neodôvodnené. To nevylučuje možnosť, že nezávislý orgán pre riešenie sporov prevádzkujúci mechanizmus nápravy zavedie požiadavky súvisiace s oprávnenosťou podania sťažnosti; takéto požiadavky však musia byť transparentné a odôvodnené (napríklad požiadavka na vylúčenie sťažností, ktoré nepatria do rámca pôsobnosti daného programu alebo patria na posúdenie inému fóru) a ich výsledkom by nemalo byť narušenie záväzku prešetrovať oprávnené sťažnosti. Okrem toho by mechanizmy nápravy mali fyzickým osobám poskytovať úplné a ľahko dostupné informácie o tom, ako prebieha postup riešenia sporov v prípade, že podajú sťažnosť. Takéto informácie by mali zahŕňať upozornenie na postupy daného mechanizmu v oblasti ochrany súkromia, a to v súlade so zásadami. Mechanizmy nápravy by takisto mali spolupracovať na vypracovaní nástrojov, ako sú štandardné formuláre na podávanie sťažností, aby tak uľahčili proces riešenia sťažností.

ii)

Nezávislé mechanizmy nápravy musia na svojich verejných webových sídlach uvádzať informácie týkajúce sa zásad a služieb, ktoré poskytujú podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Tieto informácie musia zahŕňať: 1. informácie o požiadavkách zásad týkajúcich sa nezávislých mechanizmov nápravy alebo odkaz na tieto požiadavky; 2. odkaz na webové sídlo ministerstva venované rámcu pre ochranu osobných údajov; 3. vysvetlenie, že ich služby riešenia sporov podľa rámca pre ochranu osobných údajov medzi EÚ a USA sú pre fyzické osoby bezplatné; 4. opis spôsobu, akým možno podať sťažnosť týkajúcu sa zásad; 5. časový rámec vybavovania sťažností týkajúcich sa zásad a 6. opis rozsahu možných prostriedkov nápravy.

iii)

Nezávislé mechanizmy nápravy musia zverejňovať výročnú správu so súhrnnými štatistickými údajmi o svojich službách riešenia sporov. Vo výročnej správe sa musí uvádzať: 1. celkový počet sťažností týkajúcich sa zásad prijatých počas vykazovaného roku; 2. druhy prijatých sťažností; 3. kvalitatívne parametre riešenia sporov, napríklad čas potrebný na spracovanie sťažností, a 4. výsledky prijatých sťažností, najmä počet a druh uložených prostriedkov nápravy alebo sankcií.

iv)

Ako sa stanovuje v prílohe I, fyzické osoby majú k dispozícii možnosť rozhodcovského konania, prostredníctvom ktorého sa v prípade zvyšných nárokov určí, či zapojená organizácia porušila záväzky, ktoré má voči fyzickej osobe na základe zásad, a či takéto porušenie ostane úplne alebo čiastočne nenapravené. Táto možnosť je dostupná len na tieto účely. Táto možnosť nie je dostupná napríklad v prípade výnimiek zo zásad (15) alebo v prípade tvrdení týkajúcich sa primeranosti rámca pre ochranu osobných údajov medzi EÚ a USA. Podľa tejto možnosti rozhodcovského konania má „výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA“ (zložený z jedného alebo troch rozhodcov, podľa dohody účastníkov sporu) právomoc nariadiť spravodlivú nepeňažnú náhradu (ako napríklad prístup k predmetným údajom fyzickej osoby, ich opravu, vymazanie alebo vrátenie) pre konkrétnu fyzickú osobu potrebnú na nápravu porušenia zásad, ktorá sa týka výhradne danej fyzickej osoby. Fyzické osoby a zapojené organizácie budú môcť požiadať o súdne preskúmanie a výkon rozhodnutí rozhodcovského konania podľa práva USA na základe federálneho zákona o rozhodcovskom konaní (Federal Arbitration Act).

e)

Prostriedky nápravy a sankcie

i)

Výsledkom akýchkoľvek prostriedkov nápravy stanovených nezávislým orgánom pre riešenie sporov by malo byť to, že daná organizácia v možnom rozsahu zvráti alebo napraví nedodržiavanie zásad, a to, že ďalšie spracúvanie údajov danou organizáciou bude v súlade so zásadami a v prípadoch, keď je to vhodné, bude ukončené spracúvanie osobných údajov fyzickej osoby, ktorá podala sťažnosť. Sankcie musia byť dostatočne prísne, aby sa zabezpečilo dodržiavanie zásad danou organizáciou. Rozsah sankcií rôzneho stupňa prísnosti umožní orgánom pre riešenie sporov primerane reagovať na rozličné stupne nedodržiavania zásad. Sankcie by mali zahŕňať uverejnenie zisteného nedodržiavania zásad, ako aj požiadavku vymazania údajov za určitých okolností (16). Iné sankcie by mohli zahŕňať pozastavenie a odobratie oprávnenia používať pečiatku, kompenzáciu pre fyzické osoby za straty spôsobené v dôsledku nedodržiavania zásad a príkazné opatrenia. Nezávislé orgány pre riešenie sporov zo súkromného sektora a samoregulačné orgány musia oznámiť prípady, keď zapojené organizácie nerešpektujú ich rozhodnutia, príslušnému vládnemu orgánu, prípadne súdom, a ministerstvu.

f)

Činnosť FTC

i)

FTC sa zaviazala, že bude prioritne preskúmavať podnety týkajúce sa údajného nedodržiavania zásad prijaté od: i) samoregulačných orgánov v oblasti ochrany súkromia a iných nezávislých orgánov pre riešenie sporov; ii) členských štátov EÚ a iii) ministerstva s cieľom určiť, či bol porušený oddiel 5 zákona o FTC zakazujúci nekalé alebo klamlivé konanie alebo praktiky v rámci obchodovania. Ak FTC dospeje k záveru, že má dôvod domnievať sa, že bol porušený oddiel 5, môže danú vec vyriešiť tak, že bude žiadať príkaz na zdržanie sa konania zakazujúci namietané praktiky, alebo tak, že podá sťažnosť na federálny obvodný súd, výsledkom čoho by v prípade kladného rozhodnutia mohol byť príkaz federálneho súdu s tým istým účinkom. To zahŕňa nepravdivé tvrdenia o dodržiavaní zásad alebo o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA v prípade organizácií, ktoré už nie sú v zozname organizácií zapojených do rámca pre ochranu osobných údajov alebo nikdy nevykonali proces samoosvedčenia. V prípade porušenia administratívneho príkazu na zdržanie sa konania môže FTC dosiahnuť uloženie občianskoprávnych sankcií a v prípade porušenia príkazu federálneho súdu môže iniciovať občianskoprávne alebo trestné konanie za pohŕdanie súdom. FTC oznámi každé prijaté opatrenie ministerstvu. Ministerstvo nabáda ostatné vládne orgány, aby ho informovali o konečnom vybavení takýchto podnetov alebo o iných rozhodnutiach nariaďujúcich dodržiavanie zásad.

g)

Trvalé nedodržiavanie zásad

i)

Ak určitá organizácia trvale nedodržiava zásady, nie je už ďalej oprávnená využívať výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA. Organizácie, ktoré trvale nedodržiavajú zásady, budú ministerstvom vyradené zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov a musia vrátiť alebo vymazať osobné informácie, ktoré získali na základe rámca pre ochranu osobných údajov medzi EÚ a USA.

ii)

Trvalé nedodržiavanie zásad nastane vtedy, keď organizácia, ktorá osvedčila svoje dodržiavanie zásad ministerstvu, odmietne splniť konečné rozhodnutie ktoréhokoľvek samoregulačného orgánu v oblasti ochrany súkromia, nezávislého orgánu pre riešenie sporov alebo vládneho orgánu, alebo v prípadoch, keď takýto orgán vrátane ministerstva rozhodne, že určitá organizácia často nedodržiava zásady až do tej miery, že jej tvrdenie o dodržiavaní zásad nie je viac vierohodné. V prípadoch, keď takéto rozhodnutie prijme iný orgán než ministerstvo, musí organizácia tieto skutočnosti bezodkladne oznámiť ministerstvu. Ak to neurobí, môže byť žalovateľná podľa zákona o nepravdivých vyhláseniach (False Statements Act) (hlava 18 § 1001 Zákonníka Spojených štátov). Skutočnosť, že sa organizácia už nezapája do samoregulačného programu súkromného sektora v oblasti ochrany súkromia alebo už nevyužíva nezávislý mechanizmus riešenia sporov, ju nezbavuje povinnosti dodržiavať zásady a neplnenie tejto povinnosti by sa považovalo za trvalé nedodržiavanie zásad.

iii)

Ministerstvo vyradí organizáciu zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov z dôvodu trvalého nedodržiavania zásad, a to aj v reakcii na akékoľvek oznámenie o takomto nedodržiavaní od samotnej organizácie, samoregulačného orgánu v oblasti ochrany súkromia alebo iného nezávislého orgánu pre riešenie sporov, alebo vládneho orgánu, pričom však najskôr zašle organizácii oznámenie s 30-dňovou lehotou na odpoveď (17). V zozname organizácií zapojených do rámca pre ochranu osobných údajov vedenom ministerstvom bude zodpovedajúcim spôsobom jasne uvedené, ktoré organizácie majú zabezpečené a ktoré organizácie už nemajú zabezpečené výhody vyplývajúce z rámca pre ochranu osobných údajov medzi EÚ a USA.

iv)

Organizácia, ktorá podáva žiadosť o účasť v samoregulačnom orgáne s cieľom opätovne splniť kritériá rámca pre ochranu osobných údajov medzi EÚ a USA, musí poskytnúť tomuto orgánu úplné informácie o svojom predchádzajúcom zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA.

12.   Možnosť voľby – časové súvislosti vyjadrenia nesúhlasu s využívaním osobných informácií („opt out“)

a)

Vo všeobecnosti je cieľom zásady možnosti voľby zabezpečiť, aby sa osobné informácie využívali a sprístupňovali spôsobmi, ktoré sú zlučiteľné s očakávaniami a rozhodnutiami danej fyzickej osoby. To znamená, že fyzická osoba by mala mať možnosť vyjadriť nesúhlas s tým, aby sa jej osobné informácie využili na priamy marketing, a to kedykoľvek, s ohľadom na primeranú lehotu stanovenú danou organizáciou, ktorú potrebuje napríklad na to, aby vyjadrenie nesúhlasu fyzickej osoby s využívaním jej osobných informácií nadobudlo účinnosť. Organizácia môže takisto požadovať dostatočné informácie na potvrdenie totožnosti fyzickej osoby požadujúcej ukončenie využívania jej osobných informácií. V Spojených štátoch môžu fyzické osoby uplatniť túto možnosť voľby prostredníctvom využitia centrálneho programu vyjadrenia nesúhlasu. V každom prípade by fyzická osoba mala mať k dispozícii ľahko dostupný a z hľadiska výdavkov prístupný mechanizmus na využitie tejto možnosti.

b)

Podobne môže organizácia využívať informácie na určité priame marketingové účely, keď nie je prakticky možné poskytnúť fyzickej osobe príležitosť vyjadriť nesúhlas pred použitím daných informácií, ak daná organizácia zároveň (a kedykoľvek na požiadanie) poskytne fyzickej osobe takúto možnosť odmietnuť (bez toho, že by fyzickej osobe vznikli nejaké náklady), aby jej boli doručované akékoľvek ďalšie priame marketingové oznámenia, a ak organizácia vyhovie želaniu danej fyzickej osoby.

13.   Cestovné informácie

a)

Informácie týkajúce sa rezervácií v rámci osobnej leteckej dopravy a iné informácie týkajúce sa cestovania, ako napríklad informácie o osobách často využívajúcich letecké služby alebo informácie o hotelových rezerváciách a zvláštnych požiadavkách na zaobchádzanie, ako napríklad o jedle zodpovedajúcom náboženským požiadavkám alebo o potrebe fyzickej pomoci, možno organizáciám so sídlom mimo EÚ prenášať vo viacerých odlišných prípadoch. Podľa všeobecného nariadenia o ochrane údajov sa osobné údaje môžu v prípade neexistencie rozhodnutia o primeranosti preniesť do tretej krajiny, ak sú poskytnuté primerané záruky ochrany údajov podľa článku 46 všeobecného nariadenia o ochrane údajov, alebo v osobitných situáciách, ak je splnená jedna z podmienok článku 49 všeobecného nariadenia o ochrane údajov (napr. ak dotknutá osoba s prenosom výslovne súhlasila). Organizácie v USA, ktoré sa zapojili do rámca pre ochranu osobných údajov medzi EÚ a USA, poskytujú primeranú ochranu osobných údajov, a preto môžu prijímať prenosy údajov z EÚ na základe článku 45 všeobecného nariadenia o ochrane údajov bez toho, aby museli zaviesť nástroj prenosu podľa článku 46 všeobecného nariadenia o ochrane údajov či spĺňať podmienky článku 49 uvedeného nariadenia. Keďže rámec pre ochranu osobných údajov medzi EÚ a USA zahŕňa osobitné pravidlá týkajúce sa citlivých informácií, takéto informácie (ktoré môže byť potrebné získavať napríklad v súvislosti s poskytovaním potrebnej fyzickej pomoci zákazníkom) možno zahrnúť do prenosov zapojeným organizáciám. Vo všetkých prípadoch však musí organizácia prenášajúca dané informácie rešpektovať právo členského štátu EÚ, v ktorom pôsobí, ktoré môže okrem iného ukladať osobitné podmienky pre zaobchádzanie s citlivými údajmi.

14.   Farmaceutické výrobky a medicínske produkty

a)   Uplatňovanie právnych predpisov EÚ/členských štátov alebo zásad

i)

Právne predpisy EÚ/členských štátov sa vzťahujú na získavanie osobných údajov a na akékoľvek spracúvanie, ktoré sa vykonáva pred prenosom do Spojených štátov. Zásady sa na tieto údaje vzťahujú po tom, ako sa prenesú do Spojených štátov. Ak je to vhodné, údaje využívané na farmaceutický výskum a iné účely by mali byť anonymizované.

b)   Budúci vedecký výskum

i)

Osobné údaje získané v rámci osobitných lekárskych alebo farmaceutických výskumných štúdií hrajú často významnú úlohu v budúcom vedeckom výskume. Ak sa osobné údaje získané v rámci jednej výskumnej štúdie prenesú organizácii v USA zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA, táto organizácia môže tieto údaje využívať v novej výskumnej činnosti, ak sa pri prvej štúdii poskytlo oznámenie a možnosť voľby. Takéto oznámenie by malo poskytnúť informácie o akomkoľvek budúcom osobitnom využití daných údajov, ako napríklad následnom využívaní v pravidelných intervaloch, v súvisiacich štúdiách alebo v rámci marketingu.

ii)

Je zrejmé, že nie je možné presne vymedziť všetky budúce možnosti využitia daných údajov, pretože nové výskumné využitie by mohlo vyplynúť z nových poznatkov uplatnených na pôvodné údaje, nových objavov a pokroku v medicíne a z vývoja v oblasti verejného zdravia a regulačného systému. Tam, kde je to vhodné, by preto oznámenie malo obsahovať vysvetlenie, že osobné údaje môžu byť použité v rámci aktivít budúceho lekárskeho a farmaceutického výskumu, ktoré nemožno vopred predvídať. Ak využívanie údajov nie je zlučiteľné s hlavným účelom (hlavnými účelmi) výskumu, na ktorý (ktoré) boli dané údaje pôvodne získané alebo na ktorý (ktoré) dala fyzická osoba následne súhlas, je potrebné získať nový súhlas.

c)   Rozhodnutie odstúpiť od účasti na klinickom skúšaní

i)

Účastníci sa môžu kedykoľvek rozhodnúť odstúpiť od účasti na klinickom skúšaní alebo môžu byť o to kedykoľvek požiadaní. Všetky osobné údaje získané pred odstúpením od účasti na skúšaní môžu byť naďalej spracúvané spolu s inými údajmi získanými v rámci klinického skúšania, avšak len vtedy, ak to bolo príslušnému účastníkovi objasnené v oznámení v čase, keď súhlasil s účasťou.

d)   Prenosy na účely regulácie a dohľadu

i)

Farmaceutické spoločnosti a spoločnosti vyrábajúce zdravotnícke pomôcky majú povolené poskytovať osobné údaje z klinických skúšaní uskutočnených v EÚ regulačným orgánom v Spojených štátoch na účely regulácie alebo dohľadu. Podobné prenosy sa môžu uskutočňovať aj iným stranám než regulačným orgánom, ako napríklad na iné miesta, kde má určitá spoločnosť prevádzky, a iné vedecké pracoviská, a to v súlade so zásadami oznámenia a možnosti voľby.

e)   Zaslepené štúdie

i)

V záujme zabezpečenia objektivity pri mnohých klinických skúšaniach nemôže byť účastníkom a často ani výskumníkom poskytnutý prístup k informáciám o tom, akým liečebným metódam sú podrobení jednotliví účastníci. Ak by bol takýto prístup umožnený, ohrozila by sa platnosť príslušnej výskumnej štúdie a jej výsledkov. Účastníkom takýchto klinických skúšaní (označovaných ako „zaslepené štúdie“) sa nemusí poskytnúť prístup k údajom o ich liečbe počas skúšania, pokiaľ im takéto obmedzenie bolo vysvetlené v čase, keď sa rozhodovali o svojej účasti na skúšaní, a ak by sprístupnenie takýchto informácií ohrozilo integritu príslušného výskumu.

ii)

Súhlas s účasťou na určitom skúšaní za týchto podmienok je vlastne zrieknutím sa práva na prístup k predmetným informáciám. Po ukončení skúšania a analýze výsledkov by účastníci mali mať prístup k svojim údajom, ak oň požiadajú. Mali by oň v prvom rade požiadať lekára alebo iného poskytovateľa zdravotnej starostlivosti, ktorý im poskytol ošetrenie v rámci klinického skúšania, alebo následne zadávateľskú organizáciu.

f)   Bezpečnosť výrobkov a monitorovanie účinnosti

i)

Farmaceutická spoločnosť alebo spoločnosť vyrábajúca zdravotnícke pomôcky nemusí uplatňovať zásady, pokiaľ ide o zásady oznámenia, možnosti voľby, zodpovednosti za následný prenos a prístupu, v rámci svojich činností monitorovania bezpečnosti výrobkov a účinnosti vrátane podávania správ o nežiaducich udalostiach a sledovania stavu pacientov/subjektov užívajúcich určité lieky alebo používajúcich zdravotnícke pomôcky, pokiaľ je dodržiavanie zásad v rozpore s dodržiavaním regulačných požiadaviek. Platí to tak vo vzťahu k správam poskytovaným napríklad poskytovateľmi zdravotnej starostlivosti farmaceutickým spoločnostiam a spoločnostiam vyrábajúcim zdravotnícke pomôcky, ako aj vo vzťahu k správam poskytovaným farmaceutickými spoločnosťami a spoločnosťami vyrábajúcimi zdravotnícke pomôcky vládnym agentúram, napríklad Americkému úradu pre potraviny a lieky.

g)   Kľúčom kódované údaje

i)

Výskumné údaje hlavný vedúci pracovník výskumu vždy zakóduje v ich pôvodnom stave osobitným kľúčom, aby sa neodhalila totožnosť jednotlivých dotknutých osôb. Farmaceutickým spoločnostiam zadávajúcim takýto výskum sa tento kľúč neposkytne. Tento osobitný kľúčový kód má k dispozícii len spomínaný výskumný pracovník, aby mohol za určitých okolností identifikovať osobu, ktorá je predmetom výskumu (napríklad v prípade, že je potrebná následná lekárska starostlivosť). Prenos takto zakódovaných údajov z EÚ do Spojených štátov, ktoré podľa práva EÚ predstavujú osobné údaje z EÚ, podlieha zásadám.

15.   Verejné záznamy a verejne dostupné informácie

a)

Organizácia musí v prípade údajov z verejne dostupných zdrojov uplatňovať zásady bezpečnosti, integrity údajov a obmedzenia účelu, ako aj nápravy, presadzovania a zodpovednosti. Tieto zásady sa vzťahujú aj na osobné údaje získané z verejných záznamov (t. j. záznamov uchovávaných vládnymi agentúrami alebo subjektmi na akejkoľvek úrovni, do ktorých môže verejnosť vo všeobecnosti nahliadať).

b)

Zásady oznámenia, možnosti voľby alebo zodpovednosti za následný prenos nie je potrebné uplatňovať na informácie obsiahnuté vo verejných záznamoch, pokiaľ nie sú kombinované s informáciami obsiahnutými v neverejných záznamoch a pokiaľ sa rešpektujú všetky podmienky týkajúce sa potreby nahliadania stanovené príslušnou jurisdikciou. Vo všeobecnosti takisto nie je potrebné uplatňovať zásady oznámenia, možnosti voľby alebo zodpovednosti za následný prenos na verejne dostupné informácie, pokiaľ subjekt z EÚ prenášajúci dané údaje neuvedie, že takéto informácie podliehajú obmedzeniam, ktoré vyžadujú, aby daná organizácia na zamýšľané účely využívania týchto informácií uplatňovala predmetné zásady. Organizácie nebudú zodpovedné za to, ako takéto informácie využívajú tí, ktorí ich získali z uverejnených materiálov.

c)

Keď sa zistí, že určitá organizácia zámerne zverejnila osobné informácie v rozpore so zásadami, aby mohla, resp. aby iní mohli využívať výhody vyplývajúce z týchto výnimiek, prestane spĺňať kritériá na využívanie výhod vyplývajúcich z rámca pre ochranu osobných údajov medzi EÚ a USA.

d)

Na informácie z verejných záznamov nie je potrebné uplatňovať zásadu prístupu, pokiaľ nie sú kombinované s inými osobnými informáciami (s výnimkou malých množstiev informácií používaných na zaradenie alebo organizovanie informácií vo verejných záznamoch), je však potrebné rešpektovať všetky podmienky nahliadania stanovené príslušnou jurisdikciou. Naopak, v prípadoch, keď sú informácie z verejných záznamov kombinované s inými informáciami z neverejných záznamov (iných ako tie, ktoré boli osobitne uvedené v predchádzajúcom texte), organizácia musí poskytnúť prístup ku všetkým takýmto informáciám za predpokladu, že nepodliehajú iným povoleným výnimkám.

e)

Podobne ako pri informáciách z verejných záznamov nie je potrebné poskytovať prístup k informáciám, ktoré už sú verejne dostupné širokej verejnosti, pokiaľ nie sú kombinované s informáciami, ktoré nie sú verejne dostupné. To znamená, že organizácie, ktorých predmetom podnikania je predaj verejne dostupných informácií, môžu pri odpovedaní na žiadosti o prístup k osobným informáciám účtovať obvyklý poplatok danej organizácie. Fyzické osoby môžu prípadne požiadať o prístup k informáciám o sebe organizáciu, ktorá dané údaje pôvodne získala.

16.   Žiadosti o prístup zo strany orgánov verejnej moci

a)

S cieľom zabezpečiť transparentnosť vo vzťahu k oprávneným žiadostiam o prístup k osobným informáciám zo strany orgánov verejnej moci môžu zapojené organizácie dobrovoľne vydávať pravidelné správy o transparentnosti týkajúce sa počtu žiadostí o osobné informácie, ktoré prijali od orgánov verejnej moci na účely presadzovania práva alebo vnútroštátnej bezpečnosti, pokiaľ je takéto zverejnenie povolené na základe platných právnych predpisov.

b)

Informácie, ktoré zapojené organizácie poskytujú v týchto správach, spolu s informáciami poskytnutými spravodajskými službami a ďalšími informáciami možno použiť ako podklady pri pravidelnom spoločnom preskúmaní fungovania rámca pre ochranu osobných údajov medzi EÚ a USA v súlade so zásadami.

c)

Neexistencia oznámenia podľa písmena a) bodu xii) zásady oznámenia organizácii nebráni ani neovplyvňuje jej schopnosť odpovedať na akúkoľvek zákonnú žiadosť.


(1)  Ak sa rozhodnutie Komisie o primeranosti ochrany poskytovanej rámcom pre ochranu osobných údajov medzi EÚ a USA uplatní aj na Island, Lichtenštajnsko a Nórsko, rámec pre ochranu osobných údajov medzi EÚ a USA sa bude vzťahovať na EÚ aj na uvedené tri krajiny. Všetky odkazy na EÚ a jej členské štáty sa teda budú chápať tak, že zahŕňajú aj Island, Lichtenštajnsko a Nórsko.

(2)  NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).

(3)  Zásady štítu na ochranu osobných údajov medzi EÚ a USA boli zmenené na „zásady rámca pre ochranu osobných údajov medzi EÚ a USA“. (Pozri doplnkovú zásadu týkajúcu sa samoosvedčovania).

(4)  Vykonávacie nariadenie zo 7. októbra 2022 o posilnení záruk v prípade činností signálového spravodajstva Spojených štátov.

(5)  Pozri napr. písmeno c) zásady nápravy, presadzovania a zodpovednosti.

(6)  V závislosti od okolností môžu byť príkladom zlučiteľných účelov spracúvania také účely, ktoré primerane slúžia v oblasti vzťahov so zákazníkmi, posudzovania súladu a právnych aspektov, vykonávania auditu, bezpečnosti a predchádzania podvodom, ochrany alebo obhajovania zákonných práv organizácie, alebo iné účely, ktoré sú v súlade s primeranými očakávaniami v súvislosti so získavaním údajov.

(7)  V tejto súvislosti sa fyzická osoba považuje za „identifikovateľnú“, ak by vzhľadom na prostriedky identifikácie, ktoré sa s primeranou pravdepodobnosťou použijú (okrem iného s prihliadnutím na náklady a čas potrebný na identifikáciu a technológie dostupné v čase spracovania), a formu, v akej sa údaje uchovávajú, organizácia alebo tretia strana mohli fyzickú osobu primerane identifikovať, ak by mali prístup k jej údajom.

(8)  Vyhlásenie sa musí predložiť prostredníctvom webového sídla ministerstva venovaného rámcu pre ochranu osobných údajov a musí ho predložiť osoba v rámci organizácie, ktorá je oprávnená predkladať v mene organizácie a všetkých jej subjektov vyhlásenia v súvislosti s dodržiavaním zásad.

(9)  Hlavná „kontaktná osoba organizácie“ ani „vedúci pracovník organizácie“ nesmú mať vo vzťahu k organizácii externé postavenie (napr. postavenie externého poradcu alebo externého konzultanta).

(10)  Pozri doplnkovú zásadu týkajúcu sa overovania.

(11)  Pozri doplnkovú zásadu týkajúcu sa riešenia sporov a presadzovania práva.

(12)  Organizácia, ktorá podstupuje proces samoosvedčenia po prvýkrát, nesmie v konečnej verzii svojich podmienok ochrany súkromia tvrdiť, že je zapojená do rámca pre ochranu súkromia medzi EÚ a USA, pokým jej ministerstvo neoznámi, že tak môže robiť. Organizácia musí ministerstvu poskytnúť návrh svojich podmienok ochrany súkromia, ktoré sú v súlade so zásadami, pri predložení prvotného samoosvedčenia. Keď ministerstvo rozhodne, že prvotné samoosvedčenie organizácie je v ostatných aspektoch úplné, oznámi organizácii, že by mala dokončiť (napr. uverejnením, ak je to relevantné) zavedenie svojich podmienok ochrany súkromia spĺňajúcich požiadavky rámca pre ochranu osobných údajov medzi EÚ a USA. Ihneď po dokončení zavedenia podmienok ochrany súkromia o tom musí organizácia ministerstvo bezodkladne informovať, pričom ministerstvo následne zaradí organizáciu do zoznamu organizácií zapojených do rámca pre ochranu osobných údajov.

(13)  Ak sa organizácia v čase svojho odstúpenia rozhodne ponechať si osobné údaje, ktoré získala na základe rámca pre ochranu osobných údajov medzi EÚ a USA, a každoročne ministerstvu potvrdzovať, že na takéto údaje naďalej uplatňuje zásady, musí ministerstvu raz ročne po svojom odstúpení preukázať (tzn. pokiaľ a pokým organizácia neposkytne „primeranú“ ochranu takýchto údajov inými povolenými prostriedkami, resp. pokiaľ a pokým nevráti alebo nevymaže všetky takéto údaje a neoznámi to ministerstvu), čo s týmito osobnými údajmi urobila, čo urobí s akýmikoľvek osobnými údajmi, ktoré si naďalej ponecháva, a kto plní funkciu stáleho kontaktného miesta pre otázky súvisiace so zásadami.

(14)  Organizácia by mala odpovedať na žiadosti fyzických osôb týkajúce sa účelov spracovania, kategórií príslušných osobných údajov a príjemcov či kategórií príjemcov, ktorým sa osobné údaje sprístupňujú.

(15)  Zásady, prehľad, bod 5.

(16)  Nezávislé orgány pre riešenie sporov majú právomoc rozhodovať o tom, za akých okolností tieto sankcie uplatnia. Citlivosť predmetných údajov je jedným z faktorov, ktorý treba zohľadniť pri rozhodovaní o tom, či sa má požadovať vymazanie údajov, ako aj v prípadoch, keď organizácia získala, použila alebo sprístupnila informácie v očividnom rozpore so zásadami.

(17)  Ministerstvo v oznámení uvedie lehotu kratšiu ako 30 dní, v ktorej musí organizácia na oznámenie odpovedať.


PRÍLOHA I: MODEL ROZHODCOVSKÉHO KONANIA

V tejto prílohe I sú uvedené podmienky, za základe ktorých sú organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA podľa zásady nápravy, presadzovania a zodpovednosti povinné postúpiť nároky na rozhodcovské konanie. Možnosť záväzného rozhodcovského konania opísaná ďalej sa vzťahuje na určité „zostatkové“ nároky týkajúce sa údajov podliehajúcich rámcu pre ochranu osobných údajov medzi EÚ a USA. Účelom tejto možnosti je zabezpečiť rýchly, nezávislý a spravodlivý mechanizmus, podľa výberu fyzických osôb, na riešenie akýchkoľvek údajných porušení zásad, ktoré neboli vyriešené prostredníctvom žiadnych iných mechanizmov rámca pre ochranu osobných údajov medzi EÚ a USA.

A)   Rozsah pôsobnosti

Túto možnosť rozhodcovského konania má fyzická osoba k dispozícii na určenie toho, či v súvislosti so zostatkovými nárokmi zapojená organizácia porušila svoje povinnosti podľa zásad voči danej fyzickej osobe a či takéto porušenie ostalo úplne alebo čiastočne nenapravené. Táto možnosť je dostupná len na tieto účely. Táto možnosť nie je dostupná napríklad v prípade výnimiek zo zásad (1) alebo v prípade tvrdení týkajúcich sa primeranosti rámca pre ochranu osobných údajov medzi EÚ a USA.

B)   Dostupné prostriedky nápravy

Podľa tejto možnosti rozhodcovského konania má „výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA“ (rozhodcovský výbor zložený z jedného alebo troch rozhodcov, podľa dohody účastníkov sporu) právomoc nariadiť spravodlivú nepeňažnú náhradu (ako napríklad prístup k predmetným údajom fyzickej osoby, ich opravu, vymazanie alebo vrátenie) pre konkrétnu fyzickú osobu potrebnú na nápravu porušenia zásad, ktorá sa týka výhradne danej fyzickej osoby. Je to jediná právomoc výboru pre rámec pre ochranu osobných údajov medzi EÚ a USA týkajúca sa prostriedkov nápravy. Pri zvažovaní prostriedkov nápravy musí výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA zohľadniť iné prostriedky nápravy, ktoré už boli uložené inými mechanizmami podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Nie sú k dispozícii žiadne náhrady škody, nákladov, poplatkov ani iné prostriedky nápravy. Každý účastník znáša svoje vlastné náklady na právneho zástupcu.

C)   Požiadavky pred rozhodcovským konaním

Fyzická osoba, ktorá sa rozhodne pre túto možnosť rozhodcovského konania, musí pred uplatnením nároku v rozhodcovskom konaní vykonať tieto kroky: 1. predložiť údajné porušenie zásad priamo organizácii a poskytnúť jej možnosť záležitosť vyriešiť v lehote stanovenej v písmene d) bode i) doplnkovej zásady týkajúcej sa riešenia sporov a presadzovania práva; 2. využiť nezávislý mechanizmus nápravy podľa zásad, ktorý je pre fyzické osoby bezplatný, a 3. prostredníctvom svojho orgánu pre ochranu osobných údajov bezplatne postúpiť záležitosť ministerstvu a poskytnúť ministerstvu možnosť vynaložiť maximálne úsilie na vyriešenie záležitosti v lehotách stanovených v liste Správy medzinárodného obchodu v rámci ministerstva.

Táto možnosť rozhodcovského konania sa nesmie uplatniť, ak to isté údajné porušenie zásad 1. bolo už predtým predmetom záväzného rozhodcovského konania; 2. bolo predmetom právoplatného rozsudku vyneseného v súdnom konaní, v ktorom bola daná fyzická osoba účastníkom, alebo 3. bolo predtým vysporiadané oboma účastníkmi. Ďalej sa táto možnosť nesmie uplatniť, ak orgán pre ochranu osobných údajov 1. má právomoc podľa doplnkovej zásady týkajúcej sa úlohy orgánov pre ochranu údajov alebo doplnkovej zásady týkajúcej sa údajov o ľudských zdrojoch, alebo 2. má právomoc vyriešiť údajné porušenie priamo s organizáciou. Právomoc orgánu pre ochranu osobných údajov na riešenie rovnakého nároku voči prevádzkovateľovi v EÚ nebráni uplatneniu tejto možnosti rozhodcovského konania voči odlišnej právnickej osobe, ktorá nie je viazaná právomocou daného orgánu pre ochranu osobných údajov.

D)   Záväzný charakter rozhodnutí

Rozhodnutie fyzickej osoby uplatniť túto možnosť záväzného rozhodcovského konania je úplne dobrovoľné. Rozhodcovské rozsudky budú záväzné pre všetky strany rozhodcovského konania. Uplatnením rozhodcovského konania sa fyzická osoba vzdáva možnosti požadovať náhradu za to isté údajné porušenie v rámci iného fóra, pričom ale platí výnimka, že pokiaľ nepeňažná spravodlivá náhrada nie je úplne uspokojivým prostriedkom nápravy pre takéto porušenie, uplatnenie rozhodcovského konania zo strany fyzickej osoby nebude brániť nároku na náhradu škody, ktorý je inak dostupný na súdoch.

E)   Preskúmanie a výkon

Fyzické osoby a zapojené organizácie budú môcť požiadať o súdne preskúmanie a výkon rozhodnutí rozhodcovského konania podľa práva USA na základe federálneho zákona o rozhodcovskom konaní (2). Všetky takéto veci sa musia predložiť na federálny obvodný súd, ktorého územné pokrytie zahŕňa hlavné miesto podnikania zapojenej organizácie.

Účelom tejto možnosti rozhodcovského konania je riešiť individuálne spory, pričom rozhodcovské rozhodnutia nemajú plniť funkciu presvedčivého alebo záväzného precedensu vo veciach týkajúcich sa iných účastníkov vrátane budúcich rozhodcovských konaní na súdoch EÚ alebo USA, alebo konaní FTC.

F)   Rozhodcovský výbor

Účastníci si vyberú rozhodcov výboru pre rámec pre ochranu osobných údajov medzi EÚ a USA zo zoznamu rozhodcov opísaného ďalej.

Ministerstvo a Komisia v súlade s platnými právnymi predpismi vypracujú zoznam aspoň 10 rozhodcov vybraných na základe nezávislosti, bezúhonnosti a odborných znalostí. V súvislosti s týmto postupom sa uplatňujú tieto pravidlá:

Rozhodcovia:

1.

sú uvedení v zozname počas troch rokov, ak nenastanú výnimočné okolnosti alebo závažné dôvody na ich vyradenie zo zoznamu, pričom ministerstvo môže po predchádzajúcom oznámení Komisii toto obdobie predĺžiť o ďalšie trojročné obdobia;

2.

neriadia sa žiadnymi pokynmi účastníkov sporu, zapojenej organizácie, USA, EÚ či ktoréhokoľvek členského štátu EÚ ani žiadneho iného vládneho orgánu, orgánu verejnej moci či orgánu presadzovania práva, ani k týmto subjektom nie sú pridružení a

3.

musia byť oprávnení vykonávať advokátsku prax v Spojených štátoch, byť odborníkmi na právne predpisy USA v oblasti ochrany súkromia a mať odborné znalosti právnych predpisov EÚ v oblasti ochrany údajov.

G)   Rozhodcovské konania

Ministerstvo a Komisia sa v súlade s platnými právnymi predpismi dohodli na prijatí rozhodcovských pravidiel, ktorými sa riadia konania pred výborom pre rámec pre ochranu osobných údajov medzi EÚ a USA (3). V prípade potreby zmeniť pravidlá, ktorými sa riadi konanie, sa ministerstvo a Komisia dohodnú na zmene týchto pravidiel, alebo ak je to vhodné, na prijatí odlišného súboru existujúcich, zaužívaných postupov rozhodcovských konaní USA s prihliadnutím na všetky tieto skutočnosti:

1.

Fyzická osoba môže začať záväzné rozhodcovské konanie za predpokladu, že sú splnené podmienky pred rozhodcovským konaním uvedené v predchádzajúcom texte, doručením „oznámenia“ organizácii. Toto oznámenie musí obsahovať zhrnutie krokov, ktoré boli prijaté podľa časti C s cieľom vyriešiť nárok, opis údajného porušenia a podľa uváženia fyzickej osoby aj akékoľvek podkladové dokumenty a materiály a/alebo právnu analýzu týkajúcu sa údajného nároku.

2.

Vypracujú sa postupy, aby sa zaistilo, že to isté údajné porušenie predložené fyzickou osobou nebude predmetom duplicitných prostriedkov nápravy alebo konaní.

3.

Súbežne s rozhodcovským konaním môže prebiehať konanie FTC.

4.

Na týchto rozhodcovských konaniach sa nesmie zúčastniť žiadny zástupca USA, EÚ či ktoréhokoľvek členského štátu EÚ ani iného vládneho orgánu, orgánu verejnej moci či orgánu presadzovania práva, pričom orgány pre ochranu osobných údajov môžu na žiadosť fyzickej osoby z EÚ poskytovať pomoc jedine v rámci vypracovania oznámenia, ale nesmú mať prístup k zisteniu ani akýmkoľvek iným materiálom týkajúcim sa týchto rozhodcovských konaní.

5.

Rozhodcovské konanie prebieha v Spojených štátoch a fyzická osoba sa môže rozhodnúť pre účasť prostredníctvom videokonferencie alebo telefonickej konferencie, pričom táto možnosť jej bude poskytnutá bezplatne. Nebude sa vyžadovať osobná účasť.

6.

Jazykom rozhodcovského konania bude angličtina, pokiaľ sa účastníci nedohodnú inak. Na základe odôvodnenej žiadosti a pri zohľadnení skutočnosti, či fyzickú osobu zastupuje právny zástupca, sa fyzickej osobe na rozhodcovskom vypočutí bezplatne poskytnú tlmočnícke služby, ako aj preklad materiálov rozhodcovského konania, pokiaľ výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA nedospeje k záveru, že za okolností predmetného rozhodcovského konania by to viedlo k neopodstatneným alebo neprimeraným nákladom.

7.

S materiálmi, ktoré sa predložili rozhodcom, sa bude zaobchádzať dôverne a budú sa používať jedine v súvislosti s rozhodcovským konaním.

8.

V prípade potreby sa môže povoliť individuálne sprístupnenie zistení, s ktorými budú účastníci zaobchádzať dôverne a ktoré sa budú používať jedine v súvislosti s rozhodcovským konaním.

9.

Rozhodcovské konanie sa ukončí do 90 dní od doručenia oznámenia dotknutej organizácii, pokiaľ sa účastníci nedohodnú inak.

H)   Náklady

Rozhodcovia by mali vykonať primerané kroky s cieľom minimalizovať náklady alebo poplatky za rozhodcovské konania.

Ministerstvo v súlade s platnými právnymi predpismi uľahčí vedenie fondu, do ktorého budú zapojené organizácie povinné odvádzať príspevky, ktoré budú sčasti závisieť od veľkosti organizácie a ktoré pokryjú náklady rozhodcovského konania vrátane poplatkov pre rozhodcu, a to do maximálnej výšky („stropy“). Fond bude spravovať tretia strana, ktorá bude ministerstvu pravidelne podávať správy o jeho fungovaní. Ministerstvo bude v spolupráci s treťou stranou pravidelne preskúmavať fungovanie fondu vrátane potreby upraviť výšku príspevkov alebo stropov, pokiaľ ide o náklady rozhodcovského konania, pričom okrem iného zohľadní počet, náklady a načasovanie rozhodcovských konaní, vychádzajúc z predpokladu, že zapojeným organizáciám nevznikne neprimerané finančné zaťaženie. Ministerstvo oznámi Komisii výsledok týchto preskúmaní vykonaných s treťou stranou a vopred jej oznámi akékoľvek úpravy výšky príspevkov. Náklady na právneho zástupcu nie sú pokryté v tomto ustanovení ani v rámci žiadneho fondu podľa tohto ustanovenia.


(1)  Zásady, prehľad, bod 5.

(2)  V kapitole 2 federálneho zákona o rozhodcovskom konaní (Federal Arbitration Act – FAA) sa stanovuje, že „[r]ozhodcovská dohoda alebo rozhodcovské rozhodnutie, ktoré vyplýva z právneho vzťahu, či už zmluvného, alebo nie, ktorý sa považuje za obchodnú zmluvu vrátane transakcie alebo za dohodu opísanú v [oddiele 2 zákona FAA], patrí do rozsahu pôsobnosti dohovoru [z 10. júna 1958 o uznaní a výkone cudzích rozhodcovských rozhodnutí, 21 U.S.T. 2519, T.I.A.S. č. 6997 (ďalej len ‚Dohovor o uznaní a výkone cudzích rozhodcovských rozhodnutí‘)]“. Hlava 9 § 202 Zákonníka Spojených štátov. V zákone FAA sa ďalej stanovuje, že „[d]ohoda alebo rozhodnutie vyplývajúce z takéhoto vzťahu, ktorý je výlučne medzi občanmi Spojených štátov, sa považujú za také, ktoré nepatria do rozsahu pôsobnosti [Dohovoru o uznaní a výkone cudzích rozhodcovských rozhodnutí], pokiaľ takýto vzťah nezahŕňa majetok nachádzajúci sa v zahraničí, neplánuje sa výkon alebo presadzovanie práva v zahraničí alebo nemá žiadny iný primeraný vzťah s jedným alebo viacerými cudzími štátmi“. Tamže. Podľa kapitoly 2 „ktorýkoľvek účastník rozhodcovského konania môže podať návrh na ktorýkoľvek súd, ktorý je príslušný podľa tejto kapitoly, na príkaz potvrdzujúci rozhodnutie voči ktorémukoľvek inému účastníkovi rozhodcovského konania. Súd potvrdí rozhodnutie, pokiaľ nezistí jeden z dôvodov zamietnutia alebo odkladu uznania či výkonu rozhodnutia uvedeného v spomínanom [Dohovore o uznaní a výkone cudzích rozhodcovských rozhodnutí]“. Tamže. § 207 Zákonníka Spojených štátov. V kapitole 2 sa ďalej stanovuje, že „[o]bvodné súdy Spojených štátov […] sú pôvodne príslušné vo veciach […] žaloby alebo konania [podľa Dohovoru o uznaní a výkone cudzích rozhodcovských rozhodnutí] bez ohľadu na sumu, ktorá je predmetom sporu“. Tamže. § 203 Zákonníka Spojených štátov.

V kapitole 2 sa takisto stanovuje, že „kapitola 1 sa vzťahuje na žaloby a konania začaté podľa tejto kapitoly, pokiaľ daná kapitola nie je v rozpore s touto kapitolou alebo [Dohovorom o uznaní a výkone cudzích rozhodcovských rozhodnutí] ratifikovaným Spojenými štátmi“. Tamže. § 208 Zákonníka Spojených štátov. V kapitole 1 sa zase stanovuje, že „[p]ísomné ustanovenie v […] zmluve, ktorá potvrdzuje obchodnú transakciu, o urovnaní sporu vyplývajúceho z takejto zmluvy alebo transakcie prostredníctvom rozhodcovského konania alebo o odmietnutí plniť danú zmluvu ako celok alebo ktorúkoľvek jej časť, alebo písomná dohoda o postúpení existujúceho sporu vyplývajúceho z takejto zmluvy, transakcie alebo odmietnutia na rozhodcovské konanie sú platné, neodvolateľné a vymáhateľné, pokiaľ neexistujú podľa zákona alebo zásady ekvity dôvody na zrušenie zmluvy“. Tamže. § 2 Zákonníka Spojených štátov. V kapitole 1 sa ďalej stanovuje, že „ktorýkoľvek účastník rozhodcovského konania môže podať na určený súd návrh na príkaz potvrdzujúci rozhodnutie, pričom súd musí v nadväznosti na to takýto príkaz vydať, pokiaľ sa rozhodnutie nezruší, nezmení alebo neopraví, ako sa to stanovuje v oddieloch 10 a 11 [zákona FAA]“. Tamže. § 9 Zákonníka Spojených štátov.

(3)  Ministerstvo vybralo na plnenie funkcie správy rozhodcovských konaní podľa prílohy I k zásadám a na plnenie funkcie správy fondu pre rozhodcovské konania opísaného v uvedenej prílohe Medzinárodné centrum pre riešenie sporov (ICDR), ktoré je útvarom Amerického arbitrážneho združenia (AAA) pre medzinárodné záležitosti (ďalej spoločne len „ICDR-AAA“). Ministerstvo a Komisia sa 15. septembra 2017 dohodli na prijatí súboru rozhodcovských pravidiel, ktorými sa majú riadiť záväzné rozhodcovské konania opísané v prílohe I k zásadám, ako aj na prijatí kódexu správania pre rozhodcov, ktorý je v súlade so všeobecne uznávanými etickými normami pre rozhodcov v obchodných veciach a s prílohou I k zásadám. Ministerstvo a Komisia sa dohodli na upravení rozhodcovských pravidiel a kódexu správania tak, aby sa v nich zohľadňovali aktualizácie podľa rámca pre ochranu osobných údajov medzi EÚ a USA, a ministerstvo bude pri začlenení týchto aktualizácií spolupracovať s ICDR-AAA.


PRÍLOHA II

Image 1

MINISTERSTVO OBCHODU SPOJENÝCH ŠTÁTOV

ministerka obchodu

Washington, D.C. 20230

6. júla 2023

Vážený pán Didier Reynders

komisár pre spravodlivosť

Európska komisia

Rue de la Loi/Wetstraat 200

1049 Brussels

Belgicko

Vážený pán komisár Reynders,

v mene Spojených štátov amerických si Vám dovoľujem zaslať súbor dokumentov týkajúcich sa rámca pre ochranu osobných údajov medzi EÚ a USA, v ktorých sa spoločne s vykonávacím nariadením č. 14086 o posilnení záruk v prípade činností signálového spravodajstva Spojených štátov a hlavou 28 časťou 201 Kódexu federálnych právnych predpisov, ktorou sa menia nariadenia ministerstva spravodlivosti s cieľom zriadiť „Súd pre preskúmanie dodržiavania ochrany údajov“, odrážajú dôležité a podrobné rokovania na posilnenie ochrany súkromia a občianskych slobôd. Výsledkom týchto rokovaní sú nové záruky zabezpečujúce nevyhnutnosť a primeranosť činností signálového spravodajstva USA pri dosahovaní vymedzených cieľov národnej bezpečnosti a nový mechanizmus pre fyzické osoby v Európskej únii (ďalej len „EÚ“) na dosiahnutie nápravy v prípade, že sa domnievajú, že na ne boli nezákonne zacielené činnosti signálového spravodajstva, ktoré spoločne zaistia ochranu osobných údajov z EÚ. Rámec pre ochranu osobných údajov medzi EÚ a USA podporí inkluzívne a konkurencieschopné digitálne hospodárstvo. Obaja môžeme byť hrdí na zlepšenia začlenené do tohto rámca, ktoré posilnia ochranu súkromia na celom svete. Tento súbor dokumentov spolu s vykonávacím nariadením, nariadeniami a ďalšími materiálmi dostupnými z verejných zdrojov predstavuje veľmi dobré východisko pre nový záver Európskej komisie o primeranosti (1).

Priložené sú tieto materiály:

Zásady rámca pre ochranu osobných údajov EÚ a USA vrátane doplnkových zásad (ďalej spoločne len „zásady“) a prílohy I k zásadám (ide o prílohu, v ktorej sa uvádzajú podmienky, za ktorých sú organizácie zapojené do rámca pre ochranu osobných údajov povinné postúpiť určité zostatkové nároky súvisiace s osobnými údajmi podliehajúcimi zásadám na rozhodcovské konanie),

list Správy medzinárodného obchodu v rámci ministerstva poverenej správou rámcového programu na ochranu osobných údajov, v ktorom sa opisujú záväzky, ktoré naše ministerstvo prijalo s cieľom zabezpečiť účinné fungovanie rámca pre ochranu osobných údajov medzi EÚ a USA,

list Federálnej obchodnej komisie, v ktorom sa opisuje spôsob, akým uvedený orgán presadzuje zásady,

list ministerstva dopravy, v ktorom sa opisuje spôsob, akým uvedené ministerstvo presadzuje zásady,

list vypracovaný Úradom riaditeľa národnej spravodajskej služby, ktorý sa týka záruk a obmedzení uplatniteľných na orgány národnej bezpečnosti USA, a

list vypracovaný ministerstvom spravodlivosti, ktorý sa týka záruk a obmedzení, pokiaľ ide o prístup vlády USA na účely presadzovania práva a verejného záujmu.

Kompletný súbor dokumentov týkajúcich sa rámca pre ochranu osobných údajov medzi EÚ a USA bude uverejnený na webovom sídle ministerstva venovanom rámcu pre ochranu osobných údajov a zásady a príloha I k zásadám nadobudnú účinnosť v deň nadobudnutia účinnosti rozhodnutia Európskej komisie o primeranosti.

Ubezpečujem Vás, že Spojené štáty pristupujú k týmto záväzkom so všetkou vážnosťou. Tešíme sa na budúcu spoluprácu s Vami pri vykonávaní rámca pre ochranu osobných údajov medzi EÚ a USA a na spoločný začiatok novej etapy tohto procesu.

S úctou

Image 2

Gina M. RAIMONDO


(1)  Ak sa rozhodnutie Komisie o primeranosti ochrany poskytovanej rámcom pre ochranu osobných údajov medzi EÚ a USA uplatní aj na Island, Lichtenštajnsko a Nórsko, súbor dokumentov rámca pre ochranu osobných údajov medzi EÚ a USA sa bude vzťahovať na Európsku úniu aj na uvedené tri krajiny.


PRÍLOHA III

Image 3

12. decembra 2022

Vážený pán Didier Reynders

komisár pre spravodlivosť

Európska komisia

Rue de la Loi/Wetstraat 200

1049 Brussels

Belgicko

Vážený pán komisár Reynders,

v mene Správy medzinárodného obchodu (ďalej len „ITA“) si Vám dovoľujem zaslať opis záväzkov, ktoré ministerstvo obchodu (ďalej len „ministerstvo“) prijalo s cieľom zabezpečiť ochranu osobných údajov prostredníctvom správy rámcového programu na ochranu osobných údajov a dohľadu nad ním. Dokončenie rámca pre ochranu osobných údajov medzi EÚ a USA znamená dôležitý medzník pre ochranu súkromia a pre podniky na oboch brehoch Atlantického oceána, pretože fyzickým osobám v EÚ poskytne záruku ochrany ich údajov a právne prostriedky nápravy na riešenie problémov týkajúcich sa ich údajov a umožní, aby tisíce podnikov mohli naďalej investovať a venovať sa obchodným činnostiam na druhej strane Atlantického oceána, v prospech našich hospodárstiev a občanov. Rámec pre ochranu osobných údajov medzi EÚ a USA je výsledkom rokov intenzívnej práce a spolupráce s Vami a Vašimi kolegami v Európskej komisii (ďalej len „Komisia“). Tešíme sa na ďalšiu spoluprácu s Komisiou pri zabezpečovaní účinného fungovania výsledkov nášho spoločného úsilia.

Rámec pre ochranu osobných údajov medzi EÚ a USA bude veľmi prínosný pre fyzické osoby i podniky. Po prvé prináša dôležitý súbor opatrení na ochranu súkromia, pokiaľ ide o údaje fyzických osôb v EÚ prenášané do Spojených štátov. Zapojeným organizáciám v USA sa ním ukladá povinnosť vypracovať vyhovujúce podmienky ochrany súkromia, verejne sa zaviazať k dodržiavaniu „zásad rámca pre ochranu osobných údajov medzi EÚ a USA“ vrátane doplnkových zásad (ďalej spoločne len „zásady“) a prílohy I k zásadám (ide o prílohu, v ktorej sa uvádzajú podmienky, za ktorých sú organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA povinné postúpiť určité zostatkové nároky súvisiace s osobnými údajmi podliehajúcimi zásadám na rozhodcovské konanie), na základe čoho je tento záväzok vymáhateľný podľa práva USA (1), každoročne opätovne osvedčiť ministerstvu svoje dodržiavanie zásad, umožniť fyzickým osobám v EÚ bezplatné a nezávislé riešenie sporov a podliehať vyšetrovacím právomociam a právomociam presadzovania práva zákonom zriadeného orgánu USA uvedeného v zásadách [napr. Federálnej obchodnej komisie (ďalej len „FTC“) a ministerstva dopravy] alebo zákonom zriadeného orgánu USA uvedeného v budúcej prílohe k zásadám. Zatiaľ čo rozhodnutie organizácie osvedčiť svoje dodržiavanie zásad je dobrovoľné, po tom, ako sa organizácia verejne zaviaže dodržiavať rámec pre ochranu osobných údajov medzi EÚ a USA, sa jej záväzok stáva vymáhateľným podľa práva USA zo strany FTC, ministerstva dopravy alebo iného zákonom zriadeného orgánu USA v závislosti od toho, ktorý orgán má nad zapojenou organizáciou právomoc. Po druhé rámec pre ochranu osobných údajov medzi EÚ a USA umožní podnikom v Spojených štátoch vrátane dcérskych spoločností európskych podnikov nachádzajúcich sa v Spojených štátoch získavať osobné údaje z Európskej únie, čím sa uľahčia toky údajov podporujúce transatlantický obchod. Toky údajov medzi Spojenými štátmi a Európskou úniou sú najväčšie na svete a sú základom hospodárskych vzťahov medzi USA a EÚ na úrovni 7,1 bilióna USD, vďaka čomu existujú milióny pracovných miest na oboch stranách Atlantického oceánu. Podniky, ktoré sa opierajú o transatlantické toky údajov, pôsobia vo všetkých priemyselných odvetviach a zahŕňajú jednak veľké spoločnosti uvedené v zozname 500 najúspešnejších podnikov sveta zostavenom časopisom Fortune a jednak mnoho malých a stredných podnikov. Transatlantické toky údajov umožňujú organizáciám v USA spracúvať údaje potrebné v súvislosti s ponukou tovaru, služieb a pracovných príležitostí fyzickým osobám v Európe.

Ministerstvo je odhodlané úzko a produktívne spolupracovať s našimi partnermi z EÚ v záujme účinnej správy rámcového programu na ochranu osobných údajov a dohľadu nad ním. Odrazom tohto záväzku je rozvoj a ďalšie zdokonaľovanie rôznych zdrojov ministerstva s cieľom pomôcť organizáciám pri procese samoosvedčovania, vytvorenie webového sídla na poskytovanie cielených informácií zainteresovaným stranám, spolupráca s Komisiou a európskymi orgánmi pre ochranu údajov s cieľom vypracovať usmernenia, v ktorých sa objasnia dôležité prvky rámca pre ochranu osobných údajov medzi EÚ a USA, osvetová činnosť na podporu lepšieho pochopenia povinností organizácií v oblasti ochrany údajov, ako aj dohľad nad dodržiavaním požiadaviek programu organizáciami a jeho monitorovanie.

Naša prebiehajúca spolupráca s hodnotnými partnermi z EÚ umožní ministerstvu zabezpečiť, aby rámec pre ochranu osobných údajov medzi EÚ a USA účinne fungoval. Vláda Spojených štátov už dlhé roky spolupracuje s Komisiou pri presadzovaní spoločných zásad ochrany údajov, pričom spoločne prekonávame rozdiely v našich právnych prístupoch a podporujeme obchod a hospodársky rast v Európskej únii a Spojených štátoch. Veríme, že rámec pre ochranu osobných údajov medzi EÚ a USA, ktorý je príkladom tejto spolupráce, umožní Komisii vydať nové rozhodnutie o primeranosti, na základe ktorého budú môcť organizácie využívať rámec pre ochranu osobných údajov medzi EÚ a USA na prenos osobných údajov z Európskej únie do Spojených štátov v súlade s právom EÚ.

Správa rámcového programu na ochranu osobných údajov a dohľad nad ním vykonávané ministerstvom obchodu

Ministerstvo je pevne odhodlané vykonávať účinnú správu rámcového programu na ochranu osobných údajov a dohľad na ním, pričom vynaloží primerané úsilie a vyčlení primerané zdroje na zabezpečenie tohto výsledku. Ministerstvo bude viesť a sprístupní verejnosti oficiálny zoznam organizácií v USA, ktoré vykonali proces samoosvedčenia na ministerstve a deklarovali svoj záväzok dodržiavať zásady (ďalej len „zoznam organizácií zapojených do rámca pre ochranu osobných údajov“), ktorý bude aktualizovať na základe každoročných opätovných osvedčení predkladaných zapojenými organizáciami a z ktorého bude vyraďovať organizácie, ktoré od rámca odstúpia, nedokončia každoročný proces opätovného osvedčenia v súlade s postupmi ministerstva, alebo v prípade ktorých sa dospeje k záveru, že trvale nedodržiavajú zásady. Ministerstvo bude takisto viesť a sprístupní verejnosti oficiálne záznamy o organizáciách v USA, ktoré boli vyradené zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov, pričom v každom prípade uvedie dôvod vyradenia organizácie. Uvedený oficiálny zoznam a záznamy budú pre verejnosť naďalej k dispozícii na webovom sídle ministerstva venovanom rámcu pre ochranu osobných údajov. Na webovom sídle rámca pre ochranu osobných údajov sa bude na jasne viditeľnom mieste nachádzať vysvetlenie, že každá organizácia, ktorá bola vyradená zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov, nesmie viac uvádzať tvrdenia, že sa zapája do rámca pre ochranu osobných údajov medzi EÚ a USA alebo dodržiava jeho zásady a že môže získavať osobné informácie podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Takáto organizácia však musí naďalej uplatňovať zásady vo vzťahu k osobným informáciám, ktoré získala počas svojho zapojenia do rámca pre ochranu osobných údajov medzi EÚ a USA, pokiaľ si tieto informácie ponecháva. V záujme naplnenia svojho všeobecného trvalého záväzku týkajúceho sa účinnej správy rámcového programu na ochranu osobných údajov a dohľadu nad ním sa ministerstvo konkrétne zaväzuje:

Overovanie požiadaviek na samoosvedčovanie

Pred dokončením prvotného samoosvedčenia alebo každoročného opätovného osvedčenia (ďalej spoločne len „samoosvedčovanie“) a zaradením organizácie do zoznamu organizácií zapojených do rámca pre ochranu osobných údajov, resp. ponechaním organizácie v tomto zozname, ministerstvo overí, či daná organizácia prinajmenšom splnila príslušné požiadavky stanovené v doplnkovej zásade týkajúcej sa samoosvedčovania, pokiaľ ide o informácie, ktoré musí organizácia pri samoosvedčovaní ministerstvu poskytnúť, a či v primeranom čase predložila príslušné podmienky ochrany súkromia, v ktorých sú fyzické osoby informované o všetkých 13 vymenovaných prvkoch stanovených v zásade oznámenia. Ministerstvo overí, či organizácia:

uviedla identifikačné údaje organizácie predkladajúcej samoosvedčenie, ako aj všetkých subjektov v USA alebo dcérskych spoločností v USA patriacich pod organizáciu predkladajúcu samoosvedčenie, ktoré takisto dodržiavajú zásady a ktoré daná organizácia chce do samoosvedčenia zahrnúť,

poskytla požadované kontaktné údaje organizácie [napr. kontaktné údaje konkrétnej osoby (konkrétnych osôb) a/alebo oddelenia (oddelení) v rámci organizácie predkladajúcej samoosvedčenie, ktoré sú zodpovedné za vybavovanie sťažností, žiadostí o prístup a akýchkoľvek iných otázok vyplývajúcich z rámca pre ochranu osobných údajov medzi EÚ a USA],

opísala účel (účely), na ktorý (ktoré) by získavala a používala osobné informácie z Európskej únie,

uviedla, aké osobné informácie by z Európskej únie podľa rámca pre ochranu osobných údajov medzi EÚ a USA získavala, a teda na aké osobné informácie by sa vzťahovalo jej samoosvedčenie,

ak má organizácia verejné webové sídlo, či poskytla webovú adresu, na ktorej sú na tomto webovom sídle ľahko dostupné príslušné podmienky ochrany súkromia, alebo ak organizácia nemá verejné webové sídlo, či poskytla ministerstvu kópiu príslušných podmienok ochrany súkromia a kde sú tieto podmienky ochrany súkromia sprístupnené dotknutým fyzickým osobám (t. j. dotknutým zamestnancom, ak ide o podmienky ochrany súkromia v oblasti ľudských zdrojov, alebo verejnosti, ak nejde o podmienky ochrany súkromia v oblasti ľudských zdrojov),

do príslušných podmienok ochrany súkromia v primeranom čase (t. j. v prípade prvotného samoosvedčenia najskôr len v návrhu podmienok ochrany súkromia priloženom k podaniu, v opačnom prípade v konečnej, resp. zverejnenej verzii podmienok ochrany súkromia) zahrnula vyhlásenie, že dodržiava zásady, a hypertextový odkaz na webové sídlo ministerstva venované rámcu pre ochranu osobných údajov alebo jeho webovú adresu (napr. domovskú stránku alebo webovú stránku zoznamu organizácií zapojených do rámca pre ochranu osobných údajov),

do príslušných podmienok ochrany súkromia v primeranom čase zahrnula všetkých 12 ďalších vymenovaných prvkov stanovených v zásade oznámenia (napr. možnosť dotknutej osoby v EÚ využiť za určitých podmienok záväzné rozhodcovské konanie, povinnosť sprístupniť osobné informácie v reakcii na oprávnené žiadosti orgánov verejnej moci vrátane povinnosti splniť požiadavky národnej bezpečnosti alebo presadzovania práva a svoju zodpovednosť v prípadoch následných prenosov tretím stranám),

uviedla osobitný zákonom zriadený orgán, ktorý je oprávnený vypočuť prípadné sťažnosti voči danej organizácii týkajúce sa možných nekalých alebo klamlivých praktík a porušenia zákonov alebo iných právnych predpisov upravujúcich ochranu súkromia (a ktorý je uvedený v zásadách alebo v budúcej prílohe k zásadám),

uviedla program v oblasti ochrany súkromia, ktorého je členom,

uviedla, či ako príslušnú metódu (t. j. následné postupy, ktoré musí zabezpečiť) na overenie svojho dodržiavania zásad uplatňuje „samoposúdenie“ (t. j. interné overenie) alebo „externé posúdenie dodržiavania zásad“ (t. j. overenie treťou stranou), a ak ako príslušnú metódu uviedla externé posúdenie dodržiavania zásad, či uviedla aj tretiu stranu, ktorá toto posúdenie uskutočnila,

uviedla vhodný nezávislý mechanizmus nápravy, ktorý je dostupný na riešenie sťažností podaných na základe zásad a ktorý dotknutým fyzickým osobám bezplatne poskytuje primeraný prostriedok nápravy,

ak si organizácia vybrala nezávislý mechanizmus nápravy ponúkaný orgánom pre alternatívne riešenie sporov zo súkromného sektora, či do príslušných podmienok ochrany súkromia zahrnula hypertextový odkaz alebo webovú adresu príslušného webového sídla mechanizmu, ktorý je k dispozícii na vyšetrovanie nevyriešených sťažností podaných na základe zásad, alebo formulára tohto mechanizmu na podávanie sťažností,

ak je organizácia povinná (t. j. pokiaľ ide o údaje o ľudských zdrojoch prenášané z Európskej únie v súvislosti s pracovnoprávnym vzťahom), resp. ak sa sama rozhodla, spolupracovať s príslušnými orgánmi pre ochranu údajov pri vyšetrovaní a riešení sťažností podaných na základe zásad, či deklarovala svoj záväzok spolupracovať s orgánmi pre ochranu osobných údajov a dodržiavať ich súvisiace odporúčania týkajúce sa prijatia konkrétnych opatrení na dodržiavanie zásad.

Ministerstvo takisto overí, či je predložené samoosvedčenie organizácie v súlade s jej príslušnými podmienkami ochrany súkromia. Ak chce organizácia predkladajúca samoosvedčenie zahrnúť ktorýkoľvek zo svojich subjektov v USA alebo ktorúkoľvek zo svojich dcérskych spoločností v USA, ktoré majú vlastné príslušné podmienky ochrany súkromia, ministerstvo preskúma aj príslušné podmienky ochrany súkromia takýchto zahrnutých subjektov alebo dcérskych spoločností s cieľom zaistiť, aby obsahovali všetky požadované prvky stanovené v zásade oznámenia.

Ministerstvo bude spolupracovať so zákonom zriadenými orgánmi (napr. FTC a ministerstvom dopravy) pri overovaní, či organizácie podliehajú právomoci príslušného zákonom zriadeného orgánu uvedeného v predloženom samoosvedčení, pokiaľ bude mať ministerstvo dôvod pochybovať o tom, že danej právomoci skutočne podliehajú.

Ministerstvo bude spolupracovať s orgánmi pre alternatívne riešenie sporov zo súkromného sektora pri overovaní, či sú organizácie aktívne zaregistrované na účely nezávislého mechanizmu nápravy uvedeného v predloženom samoosvedčení, a bude s týmito orgánmi spolupracovať pri overovaní, či sú organizácie aktívne zaregistrované na účely externého posúdenia dodržiavania zásad uvedeného v predloženom samoosvedčení, v prípadoch, keď tieto orgány môžu ponúkať oba druhy služieb.

Ministerstvo bude spolupracovať s treťou stranou, ktorú vybralo, aby plnila funkciu správcu finančných prostriedkov získaných na základe výberu poplatku výboru orgánov pre ochranu osobných údajov (t. j. ročného poplatku určeného na pokrytie prevádzkových nákladov výboru orgánov pre ochranu osobných údajov), pri overovaní, či organizácie, ktoré si vybrali orgány pre ochranu osobných údajov za svoj nezávislý mechanizmus nápravy, zaplatili poplatok za príslušný rok.

Ministerstvo bude spolupracovať s treťou stranou, ktorú vybralo na plnenie funkcie správy rozhodcovských konaní podľa prílohy I k zásadám a na plnenie funkcie správy fondu pre rozhodcovské konania opísaného v uvedenej prílohe, pri overovaní, či organizácie prispeli do predmetného rozhodcovského fondu.

Ak ministerstvo počas preskúmania predložených samoosvedčení organizácií zistí akékoľvek problémy, oznámi dotknutým organizáciám, že musia všetky tieto problémy vyriešiť v primeranej lehote určenej ministerstvom (2). Ministerstvo organizáciám takisto oznámi, že ak neodpovedia v lehotách určených ministerstvom alebo ak z iných dôvodov nedokončia proces samoosvedčenia v súlade s postupmi ministerstva, bude sa to považovať za upustenie od predloženia samoosvedčenia a že v prípade akýchkoľvek nepravdivých vyhlásení o zapojení organizácie do rámca pre ochranu osobných údajov medzi EÚ a USA alebo o jeho dodržiavaní môže FTC, ministerstvo dopravy alebo iný príslušný vládny orgán prijať opatrenia presadzovania práva. Ministerstvo bude organizácie informovať prostredníctvom kontaktných údajov, ktoré mu organizácie poskytli.

Uľahčenie spolupráce s orgánmi pre alternatívne riešenie sporov, ktoré poskytujú služby súvisiace so zásadami

Ministerstvo bude spolupracovať s orgánmi pre alternatívne riešenie sporov zo súkromného sektora poskytujúcimi nezávislé mechanizmy nápravy, ktoré sú dostupné na vyšetrovanie nevyriešených sťažností podaných na základe zásad, pri overovaní, či prinajmenšom spĺňajú požiadavky stanovené v doplnkovej zásade týkajúcej sa riešenia sporov a presadzovania práva. Ministerstvo overí, či:

na svojich verejných webových sídlach uvádzajú informácie týkajúce sa zásad a služieb, ktoré poskytujú podľa rámca pre ochranu osobných údajov medzi EÚ a USA, ktoré musia zahŕňať: 1. informácie o požiadavkách zásad týkajúcich sa nezávislých mechanizmov nápravy alebo hypertextový odkaz na tieto požiadavky; 2. hypertextový odkaz na webové sídlo ministerstva venované rámcu pre ochranu osobných údajov; 3. vysvetlenie, že ich služby riešenia sporov podľa rámca pre ochranu osobných údajov medzi EÚ a USA sú pre fyzické osoby bezplatné; 4. opis spôsobu, akým možno podať sťažnosť týkajúcu sa zásad; 5. časový rámec vybavovania sťažností týkajúcich sa zásad a 6. opis rozsahu možných prostriedkov nápravy. Ministerstvo bude orgány včas informovať o podstatných zmenách v činnostiach ministerstva v oblasti dohľadu nad rámcovým programom na ochranu osobných údajov a jeho správy v prípade, že sa takéto zmeny majú prijať alebo už boli prijaté a sú relevantné z hľadiska úlohy týchto orgánov podľa rámca pre ochranu osobných údajov medzi EÚ a USA,

uverejňujú výročnú správu obsahujúcu súhrnné štatistické údaje týkajúce sa ich služieb riešenia sporov, ktoré musia zahŕňať: 1. celkový počet sťažností týkajúcich sa zásad prijatých počas vykazovaného roku; 2. druhy prijatých sťažností; 3. kvalitatívne parametre riešenia sporov, napríklad čas potrebný na spracovanie sťažností, a 4. výsledky prijatých sťažností, najmä počet a druh uložených prostriedkov nápravy alebo sankcií. Ministerstvo poskytne orgánom konkrétne doplňujúce usmernenia k tomu, aké informácie by mali tieto výročné správy obsahovať, v ktorých podrobne opíše predmetné požiadavky (napr. uvedenie konkrétnych kritérií, ktoré musí sťažnosť spĺňať, aby sa považovala za sťažnosť súvisiacu so zásadami na účely výročnej správy) a vymedzí ďalšie druhy informácií, ktoré by mali orgány uviesť (napr. ak orgán poskytuje aj službu overovania v súvislosti so zásadami, mal by opísať, ako predchádza prípadným skutočným či potenciálnym konfliktom záujmov v situáciách, keď organizácii poskytuje služby overovania aj služby riešenia sporov). V doplňujúcich usmerneniach ministerstva bude stanovená aj lehota na zverejnenie výročných správ orgánov za príslušné vykazované obdobie.

Následné opatrenia v prípade organizácií, ktoré chcú byť alebo boli vyradené zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov

Ak chce organizácia odstúpiť od rámca pre ochranu osobných údajov medzi EÚ a USA, ministerstvo bude požadovať, aby táto organizácia odstránila zo všetkých príslušných podmienok ochrany súkromia všetky odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA, ktoré naznačujú, že organizácia je do rámca pre ochranu osobných údajov medzi EÚ a USA zapojená a že môže získavať osobné údaje podľa rámca pre ochranu osobných údajov medzi EÚ a USA (pozri opis záväzku ministerstva vyhľadávať nepravdivé tvrdenia o zapojení do rámca). Ministerstvo bude takisto vyžadovať, aby organizácia vyplnila a predložila ministerstvu príslušný dotazník, v ktorom potvrdí:

svoje želanie odstúpiť od rámca,

čo urobí s osobnými údajmi, ktoré získala na základe rámca pre ochranu osobných údajov medzi EÚ a USA počas svojho zapojenia doň: a) či si dané údaje ponechá, bude na ne naďalej uplatňovať zásady a každoročne ministerstvu potvrdí svoj záväzok uplatňovať na ne zásady; b) či si dané údaje ponechá a bude im poskytovať „primeranú“ ochranu inými povolenými prostriedkami alebo c) či vráti alebo vymaže všetky takéto údaje do určeného dátumu, a

kto v rámci organizácie bude plniť funkciu stáleho kontaktného miesta pre otázky týkajúce sa zásad.

Ak si organizácia vyberie možnosť opísanú v písmene a), ministerstvo bude takisto požadovať, aby organizácia po svojom odstúpení od rámca každý rok (t. j. do jedného roka od odstúpenia a následne každoročne, pokiaľ a pokým organizácia neposkytne „primeranú“ ochranu takýchto údajov inými povolenými prostriedkami, resp. pokiaľ a pokým nevráti alebo nevymaže všetky takéto údaje a neoznámi to ministerstvu) vyplnila a predložila ministerstvu príslušný dotazník, v ktorom potvrdí, čo s týmito osobnými údajmi urobila, čo urobí s akýmikoľvek osobnými údajmi, ktoré si naďalej ponecháva, a kto v rámci organizácie bude plniť funkciu stáleho kontaktného miesta pre otázky týkajúce sa zásad.

Ak samoosvedčenie organizácie prepadlo (t. j. ak organizácia nedokončila proces každoročného opätovného osvedčenia dodržiavania zásad ani nebola vyradená zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov z iného dôvodu, napríklad z dôvodu odstúpenia), ministerstvo jej nariadi, aby vyplnila a predložila ministerstvu príslušný dotazník, v ktorom potvrdí, či chce od rámca odstúpiť alebo predložiť opätovné osvedčenie:

a ak chce od rámca odstúpiť, ďalej potvrdí, čo urobí s osobnými údajmi, ktoré získala na základe rámca pre ochranu osobných údajov medzi EÚ a USA počas svojho zapojenia doň (pozri predchádzajúci opis skutočností, ktoré musí organizácia potvrdiť, ak chce od rámca odstúpiť),

a ak má v úmysle predložiť opätovné osvedčenie, ďalej potvrdí, že v čase, keď bolo jej osvedčenie prepadnuté, uplatňovala zásady na osobné údaje, ktoré získala podľa rámca pre ochranu osobných údajov medzi EÚ a USA, a vysvetlí, aké kroky prijme na odstránenie nevyriešených problémov, ktoré spôsobili oneskorené predloženie opätovného osvedčenia.

Ak je organizácia vyradená zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov z niektorého z týchto dôvodov: a) odstúpenie od rámca pre ochranu osobných údajov medzi EÚ a USA; b) nedokončenie každoročného procesu opätovného osvedčenia dodržiavania zásad (t. j. buď s ním organizácia začala, ale nedokončila ho včas, alebo s ním ani nezačala) alebo c) „trvalé nedodržiavanie zásad“, ministerstvo zašle oznámenie kontaktnej osobe (kontaktným osobám) uvedenej (uvedeným) v predloženom samoosvedčení organizácie, v ktorom uvedie dôvod vyradenia a vysvetlí, že organizácia nesmie viac uvádzať žiadne priame ani nepriame tvrdenia, že sa zapája do rámca pre ochranu osobných údajov medzi EÚ a USA alebo dodržiava jeho zásady a že môže získavať osobné údaje podľa rámca pre ochranu osobných údajov medzi EÚ a USA. V tomto oznámení, ktoré môže obsahovať aj ďalšie špecifické informácie týkajúce sa konkrétnych dôvodov vyradenia, bude uvedené, že voči organizáciám, ktoré uvádzajú nepravdivé vyhlásenia o svojom zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA alebo dodržiavaní jeho zásad, vrátane organizácií, ktoré uvádzajú, že sú zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA, po tom, ako boli vyradené zo zoznamu organizácií zapojených do rámca pre ochranu osobných údajov, môže FTC, ministerstvo dopravy alebo iný príslušný vládny orgán prijať opatrenia presadzovania práva.

Vyhľadávanie nepravdivých tvrdení o zapojení do rámca a ich riešenie

Ministerstvo bude v prípadoch, keď organizácia: a) odstúpi od zapojenia do rámca pre ochranu osobných údajov medzi EÚ a USA; b) nedokončí proces každoročného opätovného osvedčenia dodržiavania zásad (t. j. buď s ním začala, ale nedokončila ho včas, alebo s ním ani nezačala); c) bola zo zapojenia do rámca pre ochranu osobných údajov medzi EÚ a USA vyradená predovšetkým z dôvodu „trvalého nedodržiavania zásad“ alebo d) nedokončila proces prvotného osvedčenia dodržiavania zásad (t. j. začala s ním, ale nedokončila ho včas), overovať ex officio, či príslušné zverejnené podmienky ochrany súkromia danej organizácie neobsahujú odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA, ktoré naznačujú, že organizácia je do rámca pre ochranu osobných údajov medzi EÚ a USA zapojená a že môže získavať osobné údaje podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Ak ministerstvo takéto odkazy nájde, oznámi organizácii, že danú vec podľa potreby postúpi príslušnej agentúre na účely prípadných opatrení presadzovania práva, pokiaľ organizácia bude naďalej uvádzať nepravdivé vyhlásenia o svojom zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA. Ministerstvo bude organizáciu informovať prostredníctvom kontaktných údajov, ktoré mu organizácia poskytla, alebo v prípade potreby inými primeranými spôsobmi. Ak organizácia predmetné odkazy neodstráni ani nepredloží samoosvedčenie dodržiavania zásad podľa rámca pre ochranu osobných údajov medzi EÚ a USA v súlade s postupmi ministerstva, ministerstvo vec postúpi ex officio FTC, ministerstvu dopravy alebo inému príslušnému orgánu presadzovania práva, alebo prijme iné vhodné opatrenia na zabezpečenie riadneho používania certifikačnej známky rámca pre ochranu osobných údajov medzi EÚ a USA.

Ministerstvo bude vynakladať ďalšie úsilie o odhaľovanie nepravdivých tvrdení o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA a prípadov neoprávneného používania certifikačnej značky rámca pre ochranu osobných údajov medzi EÚ a USA, a to aj pokiaľ ide o organizácie, ktoré na rozdiel od organizácií uvedených v predchádzajúcom bode s procesom samoosvedčenia ani len nikdy nezačali (napr. bude vykonávať vyhľadávania na internete s cieľom identifikovať v podmienkach ochrany súkromia organizácií odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA). Ak ministerstvo na základe tohto úsilia odhalí nepravdivé tvrdenia o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA a prípady neoprávneného používania certifikačnej značky rámca pre ochranu osobných údajov medzi EÚ a USA, oznámi organizácii, že danú vec podľa potreby postúpi príslušnej agentúre na účely prípadných opatrení presadzovania práva, pokiaľ organizácia bude naďalej uvádzať nepravdivé vyhlásenia o svojom zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA. Ministerstvo bude organizáciu informovať prostredníctvom kontaktných údajov, ktoré mu organizácia poskytla, ak existujú, alebo v prípade potreby inými primeranými spôsobmi. Ak organizácia predmetné odkazy neodstráni ani nepredloží samoosvedčenie dodržiavania zásad podľa rámca pre ochranu osobných údajov medzi EÚ a USA v súlade s postupmi ministerstva, ministerstvo vec postúpi ex officio FTC, ministerstvu dopravy alebo inému príslušnému orgánu presadzovania práva, alebo prijme iné vhodné opatrenia na zabezpečenie riadneho používania certifikačnej známky rámca pre ochranu osobných údajov medzi EÚ a USA.

Ministerstvo bezodkladne preskúma a bude riešiť konkrétne opodstatnené sťažnosti týkajúce sa nepravdivých tvrdení o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA, ktoré ministerstvo dostane (napr. sťažnosti prijaté od orgánov pre ochranu osobných údajov, nezávislých mechanizmov nápravy poskytovaných orgánmi pre alternatívne riešenie sporov zo súkromného sektora, dotknutých osôb, podnikov v EÚ a USA a od iných druhov tretích strán) a

Ministerstvo môže prijať iné vhodné nápravné opatrenia. Nepravdivé vyhlásenia pre ministerstvo môžu byť žalovateľné podľa zákona o nepravdivých vyhláseniach (False Statements Act) (hlava 18 § 1001 Zákonníka Spojených štátov).

Vykonávanie pravidelných preskúmaní súladu a posúdení ex officio rámcového programu na ochranu osobných údajov

Ministerstvo bude priebežne monitorovať účinné dodržiavanie zásad organizáciami zapojenými do rámca pre ochranu osobných údajov medzi EÚ a USA s cieľom identifikovať problémy, ktoré si môžu vyžadovať následné opatrenia. Ministerstvo bude konkrétne ex officio vykonávať bežné kontroly na mieste v náhodne vybraných organizáciách zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA, ako aj ad hoc kontroly na mieste v konkrétnych organizáciách zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA v prípade, že sa zistia potenciálne nedostatky pri dodržiavaní zásad (napr. ak takéto nedostatky ministerstvu nahlásia tretie strany), s cieľom overiť: a) či je (sú) k dispozícii kontaktné miesto (miesta) zodpovedné za vybavovanie sťažností, žiadostí o prístup a iných otázok vyplývajúcich z rámca pre ochranu osobných údajov medzi EÚ a USA; b) v relevantných prípadoch, či sú verejné podmienky ochrany súkromia organizácie ľahko dostupné pre verejnosť na nahliadnutie na verejnom webovom sídle organizácie, ako aj prostredníctvom hypertextového odkazu v zozname organizácií zapojených do rámca pre ochranu osobných údajov; c) či sú podmienky ochrany súkromia organizácie naďalej v súlade s požiadavkami na samoosvedčovanie opísanými v zásadách a d) či je nezávislý mechanizmus nápravy určený organizáciou dostupný na riešenie sťažností podaných na základe rámca pre ochranu osobných údajov medzi EÚ a USA. Ministerstvo bude takisto aktívne monitorovať mediálne spravodajstvo s cieľom zachytiť reportáže poskytujúce dôveryhodné dôkazy o nedodržiavaní zásad organizáciami zapojenými do rámca pre ochranu osobných údajov medzi EÚ a USA.

Ministerstvo obchodu bude v rámci svojich postupov preskúmania dodržiavania zásad požadovať, aby organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA vyplnili a predložili ministerstvu podrobný dotazník v prípade, že: a) ministerstvo dostane akúkoľvek konkrétnu, opodstatnenú sťažnosť týkajúcu sa dodržiavania zásad organizáciou; b) organizácia uspokojivo neodpovie na žiadosti ministerstva o informácie týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA alebo c) existujú dôveryhodné dôkazy o tom, že si organizácia neplní záväzky podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Ak ministerstvo zašle organizácii takýto podrobný dotazník a organizácia ho uspokojivo nevyplní, ministerstvo organizácii oznámi, že danú vec podľa potreby postúpi príslušnej agentúre na účely prípadných opatrení presadzovania práva, pokiaľ organizácia ministerstvu nezašle včasnú a uspokojivú odpoveď. Ministerstvo bude organizáciu informovať prostredníctvom kontaktných údajov, ktoré mu organizácia poskytla, alebo v prípade potreby inými primeranými spôsobmi. Ak organizácia neposkytne včasnú a uspokojivú odpoveď, ministerstvo ex officio postúpi vec FTC, ministerstvu dopravy alebo inému príslušnému orgánu presadzovania práva, alebo prijme iné vhodné opatrenia na zabezpečenie dodržiavania zásad. Ministerstvo podľa potreby konzultuje preskúmania dodržiavania zásad s príslušnými orgánmi pre ochranu osobných údajov a

Ministerstvo bude pravidelne posudzovať správu rámcového programu na ochranu osobných údajov a dohľad nad ním s cieľom zabezpečiť, aby bolo jeho monitorovacie úsilie vrátane akéhokoľvek úsilia vynaloženého používaním vyhľadávacích nástrojov (napr. pri preverovaní nefunkčných odkazov na podmienky ochrany súkromia zverejnené organizáciami zapojenými do rámca pre ochranu osobných údajov medzi EÚ a USA) primerané na riešenie existujúcich problémov a akýchkoľvek nových problémov bezprostredne po ich vzniku.

Prispôsobenie webového sídla rámca pre ochranu osobných údajov konkrétnym adresátom

Ministerstvo prispôsobí webové sídlo rámca pre ochranu osobných údajov so zreteľom na tieto skupiny adresátov: fyzické osoby v EÚ, podniky v EÚ, podniky v USA a orgány pre ochranu osobných údajov. Zahrnutie obsahu zameraného priamo na fyzické osoby a podniky v EÚ v mnohých smeroch uľahčí dosiahnutie transparentnosti. Pokiaľ ide o fyzické osoby z EÚ, na webovom sídle budú zreteľne vysvetlené: 1. práva, ktoré rámec pre ochranu osobných údajov medzi EÚ a USA poskytuje fyzickým osobám v EÚ; 2. mechanizmy nápravy dostupné pre fyzické osoby v EÚ v prípade, že sa domnievajú, že organizácia porušila svoj záväzok dodržiavať zásady, a 3. ako možno nájsť informácie o samoosvedčení organizácie podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Pokiaľ ide o podniky v EÚ, webové sídlo uľahčí overenie týchto skutočností: 1. či je organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA; 2. na aký druh informácií sa vzťahuje samoosvedčenie organizácie podľa rámca pre ochranu osobných údajov medzi EÚ a USA; 3. aké podmienky ochrany súkromia sa vzťahujú na predmetné informácie a 4. akú metódu organizácia používa na overenie svojho dodržiavania zásad. Pokiaľ ide o podniky v USA, na webovom sídle budú zreteľne vysvetlené: 1. výhody zapojenia do rámca pre ochranu osobných údajov medzi EÚ a USA; 2. spôsob, ako sa do rámca pre ochranu osobných údajov medzi EÚ a USA možno zapojiť, ako vykonať proces opätovného osvedčenia a ako možno od rámca pre ochranu osobných údajov medzi EÚ a USA odstúpiť, a 3. ako Spojené štáty spravujú a presadzujú rámec pre ochranu osobných údajov medzi EÚ a USA. Začlenenie materiálov zameraných priamo na orgány pre ochranu osobných údajov (napr. informácií o vyhradenom kontaktnom mieste ministerstva pre orgány pre ochranu osobných údajov a hypertextového odkazu na obsah súvisiaci so zásadami na webovom sídle FTC) uľahčí spoluprácu aj transparentnosť. Ministerstvo bude zároveň ad hoc spolupracovať s Komisiou a Európskym výborom pre ochranu údajov (ďalej len „EDPB“) pri vypracovaní doplňujúcich materiálov na aktuálne témy (napr. odpovedí na často kladené otázky), ktoré sa zverejnia na webovom sídle rámca pre ochranu osobných údajov v prípadoch, keď by takéto informácie uľahčili efektívnu správu rámcového programu na ochranu osobných údajov a dohľad nad ním.

Uľahčenie spolupráce s orgánmi pre ochranu osobných údajov

Ministerstvo bude mať v záujme zintenzívnenia spolupráce s orgánmi pre ochranu osobných údajov kontaktné miesto v rámci ministerstva, ktoré bude pôsobiť ako prostredník vo vzťahoch s orgánmi pre ochranu osobných údajov. Ak sa orgán pre ochranu osobných údajov domnieva, že organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA nedodržiava zásady, a to aj na základe sťažnosti podanej fyzickou osobou v EÚ, bude sa môcť obrátiť na vyhradené kontaktné miesto ministerstva a požiadať o ďalšiu kontrolu danej organizácie. Ministerstvo vynaloží maximálne úsilie na uľahčenie riešenia sťažnosti s organizáciou zapojenou do rámca pre ochranu osobných údajov medzi EÚ a USA. Do 90 dní od doručenia sťažnosti poskytne orgánu pre ochranu osobných údajov aktuálne informácie. Vyhradené kontaktné miesto bude prijímať aj podnety týkajúce sa organizácií, ktoré uvádzajú nepravdivé tvrdenia o svojom zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA. Vyhradené kontaktné miesto bude sledovať všetky podnety od orgánov pre ochranu osobných údajov doručené na ministerstvo a ministerstvo v rámci spoločného preskúmania opísaného ďalej vypracuje správu, v ktorej súhrnne zanalyzuje sťažnosti doručené za každý rok. Vyhradené kontaktné miesto bude pomáhať orgánom pre ochranu osobných údajov v prípade žiadostí o informácie týkajúce sa samoosvedčenia konkrétnej organizácie alebo jej zapojenia do rámca pre ochranu osobných údajov medzi EÚ a USA a bude odpovedať na otázky orgánov pre ochranu osobných údajov týkajúce sa plnenia konkrétnych požiadaviek rámca pre ochranu osobných údajov medzi EÚ a USA. Ministerstvo bude zároveň spolupracovať s Komisiou a EDPB na procesných a administratívnych aspektoch výboru orgánov pre ochranu osobných údajov, ako aj pri stanovovaní vhodných postupov rozdeľovania finančných prostriedkov získaných prostredníctvom výberu poplatku určeného výboru orgánov pre ochranu osobných údajov. Očakávame, že Komisia bude spolupracovať s ministerstvom s cieľom uľahčiť riešenie akýchkoľvek otázok, ktoré môžu vzniknúť v súvislosti s týmito postupmi. Ministerstvo navyše poskytne orgánom pre ochranu osobných údajov materiály týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA, ktoré budú môcť uvádzať na vlastných webových sídlach v záujme väčšej transparentnosti pre fyzické osoby v EÚ a podniky v EÚ. Lepšia informovanosť o rámci pre ochranu osobných údajov medzi EÚ a USA a právach a povinnostiach, ktoré z neho vyplývajú, by mala uľahčiť zisťovanie problémov bezprostredne po ich vzniku a pomôcť pri ich následnom primeranom riešení.

Plnenie záväzkov ministerstva podľa prílohy I k zásadám

Ministerstvo si bude plniť záväzky podľa prílohy I k zásadám vrátane vedenia zoznamu rozhodcov vybraných spoločne s Komisiou na základe nezávislosti, bezúhonnosti a odborných znalostí a v prípade potreby vrátane podpory tretej strany, ktorú ministerstvo vybralo na plnenie funkcie správy rozhodcovských konaní podľa prílohy I k zásadám a na plnenie funkcie správy fondu pre rozhodcovské konania opísaného v uvedenej prílohe (3). Ministerstvo bude s touto treťou stranou spolupracovať okrem iného pri overovaní, či má táto tretia strana webové sídlo s usmerneniami k rozhodcovskému konaniu vrátane: 1. informácií, ako začať konanie a predložiť dokumenty; 2. zoznamu rozhodcov vedeného na ministerstve a spôsobu výberu rozhodcov z tohto zoznamu; 3. pravidiel, ktorými sa riadi rozhodcovské konanie, a kódexu správania pre rozhodcov prijatého ministerstvom a Komisiou (4) a 4. informácií o výbere a úhrade poplatkov pre rozhodcu. Ministerstvo bude okrem toho v spolupráci s treťou stranou pravidelne preskúmavať fungovanie fondu pre rozhodcovské konania vrátane potreby upraviť výšku príspevkov alebo stropov (t. j. maximálne sumy), pokiaľ ide o náklady rozhodcovského konania, pričom okrem iného zohľadní počet, náklady a načasovanie rozhodcovských konaní, vychádzajúc z predpokladu, že organizáciám zapojeným do rámca pre ochranu osobných údajov medzi EÚ a USA nevznikne neprimerané finančné zaťaženie. Ministerstvo oznámi Komisii výsledok týchto preskúmaní vykonaných s treťou stranou a vopred jej oznámi akékoľvek úpravy výšky príspevkov.

Vykonávanie spoločných preskúmaní fungovania rámca pre ochranu osobných údajov medzi EÚ a USA

Ministerstvo a ďalšie agentúry budú podľa potreby pravidelne organizovať stretnutia s Komisiou, so zainteresovanými orgánmi pre ochranu osobných údajov a s príslušnými zástupcami EDPB, na ktorých bude ministerstvo informovať o aktuálnom vývoji rámca pre ochranu osobných údajov medzi EÚ a USA. Súčasťou stretnutí bude diskusia o aktuálnych otázkach týkajúcich sa fungovania, vykonávania rámcového programu na ochranu osobných údajov, dohľadu nad ním a jeho presadzovania. Na stretnutiach sa podľa potreby môže diskutovať aj o súvisiacich témach, napríklad o iných mechanizmoch prenosu údajov, pri ktorých sa využívajú záruky podľa rámca pre ochranu osobných údajov medzi EÚ a USA.

Aktualizácia právnych predpisov

Ministerstvo vynaloží primerané úsilie na informovanie Komisie o podstatných zmenách v práve Spojených štátov, pokiaľ sú relevantné z hľadiska rámca pre ochranu osobných údajov medzi EÚ a USA v oblasti ochrany osobných údajov a obmedzení a záruk vzťahujúcich sa na prístup orgánov USA k osobným údajom a na ich následné použitie.

Prístup vlády USA k osobným údajom

Spojené štáty vydali vykonávacie nariadenie č. 14086 o posilnení záruk v prípade činností signálového spravodajstva Spojených štátov a hlavu 28 časť 201 Kódexu federálnych právnych predpisov, ktorou sa menia nariadenia ministerstva spravodlivosti s cieľom zriadiť Súd pre preskúmanie dodržiavania ochrany údajov (ďalej len „DPRC“), ktoré poskytujú silnú ochranu osobných údajov v kontexte prístupu vlády k údajom na účely národnej bezpečnosti. Poskytovaná ochrana zahŕňa: posilnenie záruk ochrany súkromia a občianskych slobôd s cieľom zabezpečiť nevyhnutnosť a primeranosť činností signálového spravodajstva USA pri dosahovaní vymedzených cieľov národnej bezpečnosti, vytvorenie nového mechanizmu nápravy disponujúceho nezávislou a záväznou právomocou a posilnenie existujúceho prísneho a viacstupňového dohľadu nad činnosťami signálového spravodajstva USA. Prostredníctvom tejto ochrany môžu fyzické osoby v EÚ požiadať o nápravu prostredníctvom nového viacstupňového mechanizmu nápravy, ktorý zahŕňa nezávislý súd DPRC zložený z členov vybraných spomedzi osôb mimo vlády USA, ktorí budú mať plnú právomoc rozhodovať o nárokoch a podľa potreby ukladať nápravné opatrenia. Ministerstvo bude viesť záznamy o fyzických osobách v EÚ, ktoré predložia kvalifikovanú sťažnosť podľa vykonávacieho nariadenia č. 14086 a hlavy 28 časti 201 Kódexu federálnych právnych predpisov. Päť rokov od dátumu tohto listu a následne každých päť rokov bude ministerstvo kontaktovať príslušné agentúry s cieľom zistiť, či boli informácie týkajúce sa preskúmania kvalifikovaných sťažností, prípadne preskúmania akýchkoľvek žiadostí o preskúmanie predložených súdu DPRC, odtajnené. Ak boli takéto informácie odtajnené, ministerstvo v spolupráci s príslušným orgánom pre ochranu údajov o tom informuje fyzickú osobu v EÚ. Tieto zlepšenia potvrdzujú, že s osobnými údajmi z EÚ prenášanými do Spojených štátov sa bude zaobchádzať spôsobom, ktorý je v súlade s právnymi požiadavkami EÚ, pokiaľ ide o prístup vlády k údajom.

So zreteľom na zásady, vykonávacie nariadenie č. 14086, hlavu 28 časť 201 Kódexu federálnych právnych predpisov a sprievodné listy a materiály vrátane záväzkov ministerstva týkajúcich sa správy rámcového programu na ochranu osobných údajov a dohľadu nad ním očakávame, že Komisia dospeje k záveru, že rámec pre ochranu osobných údajov medzi EÚ a USA poskytuje primeranú ochranu na účely práva EÚ a organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA budú môcť pokračovať v prenose údajov z Európskej únie. Takisto očakávame, že prenosy organizáciám v USA uskutočňované na základe štandardných zmluvných doložiek EÚ alebo záväzných vnútropodnikových pravidiel EÚ budú môcť vďaka podmienkam uvedených ustanovení prebiehať ešte ľahšie.

S úctou

Image 4

Marisa LAGO


(1)  Organizácie, ktoré osvedčili svoj záväzok dodržiavať zásady rámca pre ochranu osobných údajov medzi EÚ a USA a chcú využívať výhody zapojenia do rámca pre ochranu osobných údajov medzi EÚ a USA, musia dodržiavať „zásady rámca pre ochranu osobných údajov medzi EÚ a USA“. Tento záväzok dodržiavať „zásady rámca pre ochranu osobných údajov medzi EÚ a USA“ musí byť začlenený do podmienok ochrany súkromia takýchto zapojených organizácií čo najskôr a v každom prípade najneskôr do troch mesiacov odo dňa nadobudnutia účinnosti „zásad rámca pre ochranu osobných údajov medzi EÚ a USA“. [Pozri písmeno e) doplnkovej zásady týkajúcej sa samoosvedčovania].

(2)  Napríklad pri opätovnom osvedčení sa očakáva vyriešenie všetkých takýchto problémov do 45 dní, pokiaľ ministerstvo neurčí inú primeranú lehotu.

(3)  Ministerstvo obchodu vybralo na plnenie funkcie správy rozhodcovských konaní podľa prílohy I k zásadám a na plnenie funkcie správy fondu pre rozhodcovské konania opísaného v uvedenej prílohe Medzinárodné centrum pre riešenie sporov (ICDR), ktoré je útvarom Amerického arbitrážneho združenia (AAA) pre medzinárodné záležitosti (ďalej spoločne len „ICDR-AAA“).

(4)  Ministerstvo a Komisia sa 15. septembra 2017 dohodli na prijatí súboru rozhodcovských pravidiel, ktorými sa majú riadiť záväzné rozhodcovské konania opísané v prílohe I k zásadám, ako aj na prijatí kódexu správania pre rozhodcov, ktorý je v súlade so všeobecne uznávanými etickými normami pre rozhodcov v obchodných veciach a s prílohou I k zásadám. Ministerstvo a Komisia sa dohodli na upravení rozhodcovských pravidiel a kódexu správania tak, aby sa v nich zohľadňovali aktualizácie podľa rámca pre ochranu osobných údajov medzi EÚ a USA, a ministerstvo bude pri začlenení týchto aktualizácii spolupracovať s ICDR-AAA.


PRÍLOHA IV

Image 5

úrad predsedníčky

SPOJENÉ ŠTÁTY AMERICKÉ

Federálna obchodná komisia

WASHINGTON, D.C. 20580

9. júna 2023

Didier Reynders

komisár pre spravodlivosť

Európska komisia

Rue de la Loi/Wetstraat 200

1049 Brussels

Belgicko

Vážený pán komisár Reynders,

Federálna obchodná komisia Spojených štátov (ďalej len „FTC“) oceňuje možnosť opísať svoju úlohu pri presadzovaní zásad rámca pre ochranu osobných údajov medzi EÚ a USA. FTC sa dlhodobo angažuje v oblasti cezhraničnej ochrany spotrebiteľa a ochrany súkromia a sme odhodlaní presadzovať aspekty tohto rámca týkajúce sa obchodného sektora. FTC plní túto úlohu už od roku 2000, keď bol prijatý rámec bezpečného prístavu medzi USA a EÚ, a neskôr od roku 2016 v súvislosti s rámcom štítu na ochranu osobných údajov medzi EÚ a USA (1). Dňa 16. júla 2020 Súdny dvor Európskej únie (ďalej len „Súdny dvor“) zrušil rozhodnutie Európskej komisie o primeranosti, ktoré bolo základom štítu na ochranu osobných údajov medzi EÚ a USA, z dôvodov, ktoré sa netýkali zásad v oblasti obchodu presadzovaných FTC. USA a Európska komisia odvtedy viedli rokovania o rámci pre ochranu osobných údajov medzi EÚ a USA s cieľom riešiť uvedené rozhodnutie Súdneho dvora.

Dovoľujem si potvrdiť záväzok FTC dôsledne presadzovať zásady rámca pre ochranu osobných údajov medzi EÚ a USA. Potvrdzujeme svoj záväzok najmä v týchto troch kľúčových oblastiach: 1. prioritné vybavovanie podnetov a vyšetrovanie; 2. požadovanie a monitorovanie príkazov a 3. spolupráca v oblasti presadzovania práva s orgánmi EÚ pre ochranu údajov.

I.   Úvod

a)   Presadzovanie ochrany súkromia Federálnou komisiou pre obchod a jej práca v oblasti politík

FTC má široké právomoci v oblasti presadzovania občianskeho práva v záujme ochrany spotrebiteľa a hospodárskej súťaže v obchodnej sfére. Ako súčasť svojho mandátu v oblasti ochrany spotrebiteľa FTC presadzuje širokú škálu zákonov na ochranu súkromia a bezpečnosti spotrebiteľov a ich údajov. V základnom zákone, ktorý FTC presadzuje, zákone o FTC (FTC Act), sa zakazuje „nekalé“ alebo „klamlivé“ konanie alebo praktiky v obchode alebo ovplyvňujúce obchod (2). FTC presadzuje aj cielené predpisy na ochranu informácií týkajúcich sa zdravia, úverovej schopnosti a ďalších finančných záležitostí, ako aj online informácií o deťoch a vydala nariadenia, ktorými sa každý z týchto predpisov vykonáva (3).

FTC takisto v poslednom čase pracuje na množstve iniciatív na posilnenie našej práce v oblasti ochrany súkromia. V auguste 2022 FTC oznámila, že zvažuje prijatie pravidiel na obmedzenie škodlivého komerčného sledovania a nedbanlivosti v súvislosti s bezpečnosťou osobných údajov (4). Cieľom projektu je zhromaždiť rozsiahly súbor podnetov od verejnosti ako východisko pre prijatie rozhodnutia o tom, či by FTC mala zaviesť pravidlá na riešenie komerčného sledovania a postupov týkajúcich sa bezpečnosti osobných údajov a ako by tieto pravidlá prípadne mali vyzerať. Uvítali sme pripomienky zainteresovaných strán z EÚ k tejto aj k ďalším iniciatívam.

Naďalej usporadúvame konferencie „PrivacyCon“, na ktorých sa stretávajú poprední výskumní pracovníci, aby diskutovali o najnovšom výskume a trendoch týkajúcich sa ochrany súkromia spotrebiteľov a bezpečnosti údajov. Takisto sme zvýšili schopnosť našej agentúry držať krok s technologickým vývojom, ktorý je ústredným bodom veľkej časti našej práce v oblasti ochrany súkromia, a budujeme rastúci tím technológov a interdisciplinárnych výskumných pracovníkov. Zároveň sme, ako viete, oznámili otvorenie spoločného dialógu s Vami a Vašimi kolegami v Európskej komisii, v ktorom chceme riešiť témy súvisiace s ochranou súkromia, ako napríklad temné vzorce a obchodné modely charakterizované všadeprítomným získavaním osobných údajov (5). Nedávno sme takisto s cieľom riešiť škody v online prostredí, ktoré identifikoval Kongres, vydali správu pre Kongres upozorňujúcu na škodlivé dôsledky spojené s používaním umelej inteligencie. Táto správa vyvolala obavy týkajúce sa nepresnosti, zaujatosti, diskriminácie a pozvoľného stupňovania komerčného sledovania (6).

b)   Právna ochrana USA v prospech spotrebiteľov v EÚ

Rámec pre ochranu osobných údajov medzi EÚ a USA funguje v kontexte širšej oblasti ochrany súkromia v USA, v rámci ktorej sú viacerými spôsobmi chránení aj spotrebitelia v EÚ. Zákaz nekalého alebo klamlivého konania alebo praktík v zákone o FTC sa neobmedzuje na ochranu spotrebiteľov v USA pred spoločnosťami z USA, keďže zahŕňa postupy, ktoré 1. spôsobujú alebo môžu spôsobiť primerane predvídateľnú ujmu v Spojených štátoch alebo 2. predstavujú závažné konanie v Spojených štátoch. FTC môže ďalej pri ochrane zahraničných spotrebiteľov využívať všetky prostriedky nápravy, ktoré sú k dispozícii na ochranu domácich spotrebiteľov (7).

FTC takisto presadzuje ďalšie cielené zákony, ktorými sa ochrana rozširuje na spotrebiteľov mimo USA, ako je napríklad zákon o ochrane súkromia detí v rámci online sietí (Children’s Online Privacy Protection Act – COPPA). V zákone COPPA sa okrem iného požaduje, aby prevádzkovatelia webových sídiel a online služieb zameraných na deti alebo stránok určených pre širokú verejnosť, na ktorých sa úmyselne získavajú osobné informácie od detí mladších ako 13 rokov, poskytovali upozornenie pre rodičov a získavali overiteľný súhlas rodičov. Webové sídla a služby prevádzkované poskytovateľmi so sídlom v USA, na ktoré sa vzťahuje zákon COPPA a na ktorých sa získavajú osobné informácie od detí zo zahraničia, musia spĺňať požiadavky stanovené v uvedenom zákone. Webové sídla a online služby prevádzkované poskytovateľmi so sídlom v zahraničí musia tiež spĺňať požiadavky stanovené v zákone COPPA, ak sa zameriavajú na deti v Spojených štátoch alebo sa na nich úmyselne získavajú osobné informácie od detí v Spojených štátoch. Navyše okrem federálnych zákonov USA, ktoré presadzuje FTC, môžu ďalšie výhody pre spotrebiteľov v EÚ prinášať aj iné federálne a štátne zákony v oblasti ochrany spotrebiteľa, porušovania ochrany osobných údajov a ochrany súkromia.

c)   Činnosť FTC v oblasti presadzovania práva

FTC konala vo veciach patriacich do rámca bezpečného prístavu medzi USA a EÚ aj do rámca štítu na ochranu osobných údajov medzi EÚ a USA a pokračovala v presadzovaní štítu na ochranu osobných údajov medzi EÚ a USA aj po tom, ako Súdny dvor zrušil rozhodnutie o primeranosti rámca štítu na ochranu osobných údajov medzi EÚ a USA (8). Viacero nedávnych podnetov FTC obsahovalo dôvody týkajúce sa údajného porušovania ustanovení štítu na ochranu osobných údajov medzi EÚ a USA rôznymi podnikmi, napríklad v konaniach proti spoločnostiam Twitter (9), CafePress (10) a Flo (11). Ako súčasť opatrenia presadzovania práva proti spoločnosti Twitter FTC vymohla od tejto spoločnosti 150 miliónov USD za porušenie predchádzajúceho príkazu FTC, pričom išlo o praktiky, ktoré mali dosah na viac než 140 miliónov zákazníkov, vrátane porušenia zásady 5 štítu na ochranu osobných údajov medzi EÚ a USA (integrita údajov a obmedzenie účelu). V príkaze agentúry sa navyše vyžaduje, aby spoločnosť Twitter umožňovala používateľom používať bezpečné metódy viacstupňovej autentifikácie, ktoré od používateľov nevyžadujú poskytnutie telefónneho čísla.

Vo veci CafePress FTC tvrdila, že spoločnosť nezabezpečila citlivé informácie spotrebiteľov, zatajovala závažné porušenie ochrany osobných údajov a porušila zásadu 2 (možnosť voľby), zásadu 4 (bezpečnosť) a zásadu 6 (prístup) štítu na ochranu osobných údajov medzi EÚ a USA. V príkaze FTC sa vyžaduje, aby spoločnosť nahradila neprimerané spôsoby autentifikácie viacstupňovou autentifikáciou, podstatne obmedzila množstvo údajov, ktoré získava a uchováva, používala šifrovanie pri číslach sociálneho zabezpečenia a aby si nechala posúdiť svoje programy informačnej bezpečnosti treťou stranou a poskytla FTC verziu posúdenia, ktorú možno zverejniť.

Vo veci Flo FTC tvrdila, že aplikácia na sledovanie plodných dní sprístupňovala zdravotné informácie používateliek poskytovateľom analýzy údajov, ktorí sú tretími stranami, napriek záväzku zachovať dôvernosť takýchto informácií. V podnete FTC sa osobitne poukazuje na interakciu spoločnosti so spotrebiteľkami v EÚ a uvádza sa v ňom, že spoločnosť Flo porušila zásadu 1 (oznámenie), zásadu 2 (možnosť voľby), zásadu 3 (zodpovednosť za následný prenos) a zásadu 5 (integrita údajov a obmedzenie účelu) štítu na ochranu osobných údajov. V príkaze agentúry sa okrem iného vyžaduje, aby spoločnosť Flo informovala dotknuté používateľky o sprístupnení ich osobných údajov a aby všetkým tretím stranám, ktoré získali tieto zdravotné informácie používateliek, dala pokyn zničiť tieto údaje. Dôležité je, že príkazy FTC chránia všetkých spotrebiteľov na celom svete, ktorí prichádzajú do styku s podnikom USA, nielen tých, ktorí podali sťažnosť.

V minulosti sa mnohé prípady presadzovania bezpečného prístavu medzi USA a EÚ a štítu na ochranu osobných údajov medzi EÚ a USA týkali organizácií, ktoré vykonali prvotné samoosvedčenie na ministerstve obchodu, ale nevykonali následný každoročný proces opätovného samoosvedčenia, pričom sa však naďalej prezentovali ako aktuálne zapojené organizácie. Iné prípady sa týkali nepravdivých tvrdení o zapojení organizácií, ktoré nikdy nedokončili prvotné samoosvedčenie na ministerstve obchodu. Do budúcna predpokladáme, že sa vo svojom proaktívnom úsilí v oblasti presadzovania zásad budeme zameriavať na podobné druhy závažných porušení zásad rámca pre ochranu osobných údajov medzi EÚ a USA, aké sa vyskytli vo veciach Twitter, CafePress a Flo. Ministerstvo obchodu bude medzitým spravovať proces samoosvedčovania a dohliadať naň, viesť oficiálny zoznam organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA a zaoberať sa ďalšími záležitosťami týkajúcimi sa tvrdení o zapojení do programu (12). Je dôležité poznamenať, že organizácie uvádzajúce tvrdenia o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA môžu podliehať presadzovaniu hmotnoprávnych požiadaviek zásad rámca pre ochranu osobných údajov medzi EÚ a USA aj vtedy, keď nevykonajú, resp. opätovne nevykonajú, proces samoosvedčenia na ministerstve obchodu.

II.   Prioritné vybavovanie podnetov a vyšetrovanie

Podobne ako v prípade rámca bezpečného prístavu medzi USA a EÚ a rámca štítu na ochranu osobných údajov medzi EÚ a USA sa FTC zaväzuje prioritne vybavovať podnety týkajúce sa zásad rámca pre ochranu osobných údajov medzi EÚ a USA od ministerstva obchodu a členských štátov EÚ. Takisto sa budeme prioritne zaoberať podnetmi týkajúcimi sa nedodržiavania zásad rámca pre ochranu osobných údajov medzi EÚ a USA od samoregulačných organizácií v oblasti ochrany súkromia a iných nezávislých orgánov pre riešenie sporov.

V záujme ľahšieho podávania podnetov na základe rámca pre ochranu osobných údajov medzi EÚ a USA vypracovala FTC štandardizovaný postup podávania podnetov a poskytla členským štátom EÚ usmernenia o druhu informácií, ktoré by FTC najlepšie pomohli pri vyšetrovaní podnetov. V rámci tohto úsilia FTC určila svoje kontaktné miesto pre podnety postúpené členskými štátmi EÚ. Najužitočnejšie je, ak postupujúci orgán vykoná predbežné vyšetrovanie údajného porušenia pravidiel a môže pri vyšetrovaní spolupracovať s FTC.

Po prijatí takéhoto podnetu od ministerstva obchodu, členského štátu EÚ, samoregulačnej organizácie alebo iných nezávislých orgánov pre riešenie sporov môže FTC vykonať celú škálu opatrení na riešenie nastolených problémov. Môžeme napríklad preskúmať podmienky ochrany súkromia organizácie, získať ďalšie informácie priamo od organizácie alebo od tretích strán, ďalej konzultovať s postupujúcim subjektom, posúdiť, či ide o systematické porušovanie pravidiel alebo či je postihnutý značný počet spotrebiteľov, určiť, či podnet poukazuje na problémy, ktoré sú v právomoci ministerstva obchodu, posúdiť, či by bolo prínosné vynaložiť ďalšie úsilie o informovanie účastníkov trhu, a v prípade potreby začať vykonávacie konanie.

Okrem prioritného vybavovania podnetov týkajúcich sa zásad rámca pre ochranu osobných údajov medzi EÚ a USA od ministerstva obchodu, členských štátov EÚ a samoregulačných organizácií v oblasti ochrany súkromia alebo iných nezávislých orgánov pre riešenie sporov (13) bude FTC podľa potreby ďalej vyšetrovať závažné porušenia zásad rámca pre ochranu osobných údajov medzi EÚ a USA z vlastnej iniciatívy, pričom bude využívať rôzne nástroje. FTC v rámci svojho programu zameraného na vyšetrovanie problémov s ochranou súkromia a bezpečnosťou zahŕňajúcich obchodné organizácie bežne kontrolovala, či dotknutý subjekt uvádzal vyhlásenia týkajúce sa štítu na ochranu osobných údajov medzi EÚ a USA. Ak subjekt takéto vyhlásenia uvádzal a vyšetrovaním sa odhalilo zjavné porušenie zásad štítu na ochranu osobných údajov medzi EÚ a USA, FTC začlenila obvinenie z porušenia zásad štítu na ochranu osobných údajov medzi EÚ a USA do svojich opatrení presadzovania práva. V tomto aktívnom prístupe budeme pokračovať aj v kontexte zásad rámca pre ochranu osobných údajov medzi EÚ a USA.

III.   Požadovanie a monitorovanie príkazov

FTC zároveň potvrdzuje svoj záväzok podávať návrhy na vydanie vykonávacích príkazov a monitorovať ich s cieľom zabezpečiť dodržiavanie zásad rámca pre ochranu osobných údajov medzi EÚ a USA. V budúcich uzneseniach FTC týkajúcich sa zásad rámca pre ochranu osobných údajov medzi EÚ a USA budeme dodržiavanie zásad rámca pre ochranu osobných údajov medzi EÚ a USA vyžadovať prostredníctvom rôznych vhodných predbežných opatrení. Porušenie správnych uznesení FTC môže viesť k uloženiu občianskoprávnej sankcie vo výške až 50 120 USD za každé nesplnenie príkazu alebo 50 120 USD denne za pokračujúce neplnenie (14), čo v prípade praktík, ktoré sa týkajú mnohých spotrebiteľov, môže viesť k sumám vo výške miliónov dolárov. V každom príkaze o súhlase (consent order) sú zahrnuté aj ustanovenia o podávaní správ a dodržiavaní predpisov. Subjekty, na ktoré sa uznesenie vzťahuje, musia stanovený počet rokov uchovávať dokumenty preukazujúce, že dodržiavajú predpisy. S príkazmi sa musia oboznámiť aj zamestnanci zodpovední za zaistenie plnenia príkazu.

FTC systematicky monitoruje dodržiavanie existujúcich príkazov týkajúcich sa zásad štítu na ochranu osobných údajov medzi EÚ a USA, ako to robí so všetkými svojimi príkazmi, a v prípade potreby podáva žaloby na ich presadenie (15). Dôležité je, že príkazy FTC budú naďalej chrániť všetkých spotrebiteľov na celom svete, ktorí prichádzajú do styku s daným podnikom, nielen tých, ktorí podali sťažnosť. Napokon bude FTC viesť online zoznam spoločností, na ktoré sa vzťahujú príkazy vydané v súvislosti s presadzovaním zásad rámca pre ochranu osobných údajov medzi EÚ a USA (16).

IV.   Spolupráca s orgánmi EÚ pre ochranu osobných údajov pri presadzovaní práva

FTC uznáva významnú úlohu, ktorú môžu mať orgány EÚ pre ochranu osobných údajov v otázke dodržiavania zásad rámca pre ochranu osobných údajov medzi EÚ a USA, a povzbudzuje na intenzívnejšie konzultácie a spoluprácu pri presadzovaní práva. Je vskutku čoraz dôležitejšie zastávať koordinovaný prístup k výzvam, ktoré prináša súčasný vývoj na digitálnom trhu a obchodné modely založené na intenzívnom využívaní údajov. FTC si bude vymieňať informácie o podnetoch s postupujúcimi orgánmi presadzovania práva vrátane informácií o stave vybavovania podnetov v súlade s právnymi predpismi a obmedzeniami týkajúcimi sa dôvernosti. Pokiaľ to bude možné vzhľadom na počet prijatých podnetov a ich druh, poskytované informácie budú zahŕňať hodnotenie postúpených vecí vrátane opisu závažných nastolených problémov a každé opatrenie prijaté na riešenie porušení zákona v právomoci FTC. FTC takisto poskytne postupujúcemu orgánu spätnú väzbu o druhoch podnetov, aby sa zvýšila účinnosť úsilia o riešenie protiprávneho konania. Ak postupujúci orgán presadzovania práva požaduje informácie o stave vybavovania konkrétneho podnetu na účely vedenia vlastného vykonávacieho konania, FTC odpovie so zohľadnením počtu posudzovaných podnetov a v súlade so zásadami dôvernosti a ďalšími právnymi požiadavkami.

FTC bude takisto úzko spolupracovať s orgánmi EÚ pre ochranu osobných údajov s cieľom poskytovať im pomoc pri presadzovaní predpisov. V určitých prípadoch by táto spolupráca mohla zahŕňať výmenu informácií a pomoc pri vyšetrovaní na základe zákona USA o bezpečnom internete (SAFE WEB Act), ktorý oprávňuje FTC na pomoc zahraničným orgánom presadzovania práva, ak zahraničný orgán presadzuje právne predpisy zakazujúce postupy značne podobné postupom zakázaným na základe právnych predpisov, ktoré presadzuje FTC (17). Ako súčasť tejto pomoci môže FTC poskytovať informácie, ktoré získala v súvislosti so svojím vyšetrovaním, začať donucovací postup v mene orgánu EÚ pre ochranu osobných údajov, ktorý vykonáva svoje vlastné vyšetrovanie, a pokúšať sa o získanie ústneho svedectva svedkov alebo žalovaných v súvislosti s vykonávacím konaním orgánu pre ochranu osobných údajov, v súlade s požiadavkami zákona USA o bezpečnom internete. FTC pravidelne využíva túto právomoc na pomoc iným orgánom na celom svete vo veciach ochrany súkromia a spotrebiteľov.

Okrem konzultácií s orgánmi EÚ pre ochranu osobných údajov v konkrétnych veciach sa FTC bude zúčastňovať na pravidelných stretnutiach s určenými zástupcami Európskeho výboru pre ochranu údajov (ďalej len „EDPB“) s cieľom všeobecne prerokovať, ako zlepšiť spoluprácu pri presadzovaní právnych predpisov. FTC sa bude takisto spolu so zástupcami ministerstva obchodu, Európskej komisie a EDPB zapájať do pravidelného preskúmania rámca pre ochranu osobných údajov medzi EÚ a USA s cieľom diskutovať o jeho vykonávaní. FTC takisto podnecuje tvorbu nástrojov, ktoré posilnia spoluprácu pri presadzovaní pravidiel s orgánmi EÚ pre ochranu osobných údajov, ako aj s ďalšími orgánmi na presadzovanie ochrany súkromia na celom svete. FTC s potešením potvrdzuje svoj záväzok presadzovať aspekty rámca pre ochranu osobných údajov medzi EÚ a USA. Považujeme partnerstvo s kolegami z EÚ za kľúčovú súčasť zaisťovania ochrany súkromia pre našich, ako aj Vašich občanov.

S úctou

Image 6

Lina M. KHAN

predsedníčka, Federálna obchodná komisia


(1)  List predsedníčky Edith Ramirezovej adresovaný komisárke Európskej komisie pre spravodlivosť, spotrebiteľov a rodovú rovnosť Věre Jourovej, v ktorom sa opisuje presadzovanie nového rámca štítu na ochranu osobných údajov medzi EÚ a USA Federálnou obchodnou komisiou (29. februára 2016), k dispozícii na adrese https://www.ftc.gov/legal-library/browse/cases-proceedings/public-statements/letter-chairwoman-edith-ramirez-vera-jourova-commissioner-justice-consumers-gender-equality-european. FTC sa zároveň predtým zaviazala presadzovať program bezpečného prístavu medzi USA a EÚ. List predsedu FTC Roberta Pitofskeho adresovaný riaditeľovi GR Európskej komisie pre vnútorný trh Johnovi Moggovi (14. júla 2000), k dispozícii na adrese https://www.federalregister.gov/documents/2000/07/24/00-18489/issuance-of-safe-harbor-principles-and-transmission-to-european-commission. Týmto listom sa nahrádzajú predchádzajúce záväzky.

(2)  Hlava 15 § 45 písm. a) Zákonníka Spojených štátov. FTC nemá právomoc v oblasti presadzovania práva v trestných veciach ani v oblasti národnej bezpečnosti. Rovnako nemá FTC dosah na väčšinu ďalších vládnych opatrení. Okrem tohto existujú výnimky v právomoci FTC, pokiaľ ide o obchodné činnosti vrátane činnosti bánk, leteckých spoločností, poisťovní a bežných prenosových činností poskytovateľov telekomunikačných služieb. FTC nemá právomoc ani vo vzťahu k väčšine neziskových organizácií, má však právomoc vo vzťahu k fiktívnym charitatívnym organizáciám alebo iným neziskovým organizáciám, ktorých činnosť je v skutočnosti zameraná na vytváranie zisku. FTC má právomoc aj vo vzťahu k neziskovým organizáciám, ktoré svojou činnosťou vytvárajú zisk pre svojich na zisk zameraných členov vrátane poskytovania významných hospodárskych výhod týmto členom. V niektorých prípadoch sa právomoc FTC prekrýva s právomocou iných orgánov presadzovania práva. Vybudovali sme si pevné pracovné vzťahy s federálnymi a štátnymi orgánmi a v prípade potreby s nimi úzko spolupracujeme pri koordinácii vyšetrovaní alebo vybavovaní podnetov.

(3)  Pozri FTC, Privacy and Security (súkromie a bezpečnosť), https://www.ftc.gov/business-guidance/privacy-security.

(4)  Pozri tlačovú správu Federálnej obchodnej komisie, FTC Explores Rules Cracking Down on Commercial Surveillance and Lax Data Security Practices (FTC skúma možnosť prijať pravidlá na obmedzenie komerčného sledovania a nedbanlivosti v súvislosti s bezpečnosťou osobných údajov) (11. augusta 2022), https://www.ftc.gov/news-events/news/press-releases/2022/08/ftc-explores-rules-cracking-down-commercial-surveillance-lax-data-security-practices.

(5)  Pozri spoločné tlačové vyhlásenie komisára Európskej komisie pre spravodlivosť Didiera Reyndersa a predsedníčky Federálnej obchodnej komisie Spojených štátov Liny Khanovej (30. marca 2022), https://www.ftc.gov/system/files/ftc_gov/pdf/Joint%20FTC-EC%20Statement%20informal%20dialogue%20consumer%20protection%20issues.pdf.

(6)  Pozri tlačovú správu Federálnej obchodnej komisie, FTC Report Warns About Using Artificial Intelligence to Combat Online Problems (FTC varuje pred používaním umelej inteligencie ako riešenia problémov v online prostredí) (16. júna 2022), https://www.ftc.gov/news-events/news/press-releases/2022/06/ftc-report-warns-about-using-artificial-intelligence-combat-online-problems.

(7)  Hlava 15 § 45 písm. a) bod 4 písm. B) Zákonníka Spojených štátov. Okrem toho pojem „nekalé alebo klamlivé konanie alebo praktiky“ zahŕňa konanie alebo praktiky v rámci zahraničného obchodu, ktoré i) spôsobujú alebo pravdepodobne spôsobia primerane predvídateľnú ujmu v Spojených štátoch, alebo ii) predstavujú závažné konanie v Spojených štátoch. Hlava 15 § 45 písm. a) bod 4 písm. A) Zákonníka Spojených štátov.

(8)  Pozri zoznam vecí, ktorými sa zaoberala FTC, týkajúcich sa bezpečného prístavu a štítu na ochranu osobných údajov v dodatku A.

(9)  Pozri tlačovú správu Federálnej obchodnej komisie, FTC Charges Twitter with Deceptively Using Account Security Data to Sell Targeted Ads (FTC obvinila spoločnosť Twitter zo zavádzania v súvislosti s údajmi na zabezpečenie účtu, ktoré táto spoločnosť používala na predaj cielenej reklamy) (25. mája 2022), https://www.ftc.gov/news-events/news/press-releases/2022/05/ftc-charges-twitter-deceptively-using-account-security-data-sell-targeted-ads.

(10)  Pozri tlačovú správu Federálnej obchodnej komisie, FTC Takes Action Against CafePress for Data Breach Cover Up (FTC koná proti spoločnosti CafePress vo veci zatajenia porušenia ochrany osobných údajov) (15. marca 2022), https://www.ftc.gov/news-events/news/press-releases/2022/03/ftc-takes-action-against-cafepress-data-breach-cover.

(11)  Pozri tlačovú správu Federálnej obchodnej komisie, FTC Finalizes Order with Flo Health, a Fertility-Tracking App that Shared Sensitive Health Data with Facebook, Google, and Others (FTC finalizuje príkaz určený spoločnosti Flo Health v súvislosti s aplikáciou na sledovanie plodných dní, ktorá poskytovala citlivé zdravotné údaje spoločnostiam Facebook, Google a ďalším spoločnostiam) (22. júna 2021), https://www.ftc.gov/news-events/news/press-releases/2021/06/ftc-finalizes-order-flo-health-fertility-tracking-app-shared-sensitive-health-data-facebook-google.

(12)  List tajomníčky ministerstva obchodu pre medzinárodný obchod Marisy Lagovej komisárovi Európskej komisie pre spravodlivosť Didierovi Reyndersovi (12. decembra 2022).

(13)  Hoci FTC nerieši sťažnosti jednotlivých spotrebiteľov ani pri nich nevystupuje ako mediátor, potvrdzuje, že sa bude prioritne zaoberať podnetmi týkajúcimi sa zásad rámca pre ochranu osobných údajov medzi EÚ a USA postúpenými orgánmi EÚ pre ochranu osobných údajov. FTC okrem toho používa sťažnosti vo svojej databáze na ochranu spotrebiteľov, ktorá je prístupná mnohým ďalším orgánom presadzovania práva, s cieľom zisťovať trendy, určovať priority presadzovania pravidiel a identifikovať potenciálne ciele vyšetrovania. Fyzické osoby v EÚ môžu používať na podávanie sťažností FTC rovnaký systém ako spotrebitelia v USA, ktorý je dostupný na adrese https://reportfraud.ftc.gov/. Pokiaľ však ide o sťažnosti fyzických osôb súvisiace so zásadami rámca na ochranu osobných údajov medzi EÚ a USA, pre fyzické osoby v EÚ môže byť najužitočnejšie, aby svoje sťažnosti predkladali orgánu pre ochranu osobných údajov svojho členského štátu alebo nezávislému orgánu pre riešenie sporov.

(14)  Hlava 15 § 45 písm. m) Zákonníka Spojených štátov, hlava 16 § 1.98. Táto suma sa pravidelne upravuje o infláciu.

(15)  Minulý rok FTC v hlasovaní schválila zjednodušenie procesu vyšetrovania opakovaných porušení. Pozri tlačovú správu Federálnej obchodnej komisie, FTC Authorizes Investigations into Key Enforcement Priorities (FTC schválila vedenie vyšetrovaní týkajúcich sa kľúčových priorít presadzovania práva) (1. júla 2021), https://www.ftc.gov/news-events/news/press-releases/2021/07/ftc-authorizes-investigations-key-enforcement-priorities.

(16)  Pozri FTC, štít na ochranu osobných údajov, https://www.ftc.gov/business-guidance/privacy-security/privacy-shield.

(17)  Pri rozhodovaní, či využiť svoju právomoc podľa zákona USA o bezpečnom internete, FTC okrem iného zvažuje: „A) či žiadajúci orgán súhlasil, že poskytne alebo bude poskytovať Komisii recipročnú pomoc; B) či by splnenie požiadavky nepoškodilo verejný záujem Spojených štátov a C) či sa vyšetrovanie alebo vykonávacie konanie žiadajúceho orgánu týka konania alebo praktík, ktoré spôsobujú alebo môžu spôsobiť ujmu značnému počtu osôb.“ Hlava 15 § 46 písm. j) bod 3 Zákonníka Spojených štátov. Táto právomoc sa nevzťahuje na presadzovanie právnych predpisov týkajúcich sa hospodárskej súťaže.


Dodatok A

Presadzovanie štítu na ochranu osobných údajov a zásady bezpečného prístavu

 

Číslo zhrnutia/spisu FTC

Vec

Odkaz

 

 

 

 

1

spis FTC č. 2023062

vec č. 3:22-cv-03070 (N.D. Cal.)

US/Twitter, Inc.

Twitter

2

spis FTC č. 192 3209

vo veci Residual Pumpkin Entity, LLC, predtým pod názvom CafePress, a PlanetArt, LLC, pod názvom CafePress

CafePress

3

spis FTC č. 192 3133

zhrnutie č. C-4747

vo veci Flo Health, Inc.

Flo Health

4

spis FTC č. 192 3050

zhrnutie č. C-4723

vo veci Ortho-Clinical Diagnostics, Inc.

Ortho-Clinical

5

spis FTC č. 192 3092

zhrnutie č. C-4709

vo veci T&M Protection, LLC

T&M Protection

6

spis FTC č. 192 3084

zhrnutie č. C-4704

vo veci TDARX, Inc.

TDARX

7

spis FTC č. 192 3093

zhrnutie č. C-4706

vo veci Global Data Vault, LLC

Global Data

8

spis FTC č. 192 3078

zhrnutie č. C-4703

vo veci Incentive Services, Inc.

Incentive Services

9

spis FTC č. 192 3090

zhrnutie č. C-4705

vo veci Click Labs, Inc.

Click Labs

10

spis FTC č. 182 3192

zhrnutie č. C-4697

vo veci Medable, Inc.

Medable

11

spis FTC č. 182 3189

zhrnutie č. 9386

vo veci NTT Global Data Centers Americas, Inc., ako nástupnícky subjekt v záujme RagingWire Data Centers, Inc.

RagingWire

12

spis FTC č. 182 3196

zhrnutie č. C-4702

vo veci Thru, Inc.

Thru

13

spis FTC č. 182 3188

zhrnutie č. C-4698

vo veci DCR Workforce, Inc.

DCR Workforce

14

spis FTC č. 182 3194

zhrnutie č. C-4700

vo veci LotaData, Inc.

LotaData

15

spis FTC č. 182 3195

zhrnutie č. C-4701

vo veci EmpiriStat, Inc.

EmpiriStat

16

spis FTC č. 182 3193

zhrnutie č. C-4699

vo veci 214 Technologies, Inc., aj pod názvom Trueface.ai

Trueface.ai

17

spis FTC č. 182 3107

zhrnutie č. 9383

vo veci Cambridge Analytica, LLC

Cambridge Analytica

18

spis FTC č. 182 3152

zhrnutie č. C-4685

vo veci SecureTest, Inc.

SecurTest

19

spis FTC č. 182 3144

zhrnutie č. C-4664

vo veci VenPath, Inc.

VenPath

20

spis FTC č. 182 3154

zhrnutie č. C-4666

vo veci SmartStart Employment Screening, Inc.

SmartStart

21

spis FTC č. 182 3143

zhrnutie č. C-4663

vo veci mResourceLLC, pod názvom Loop Works LLC

mResource

22

spis FTC č. 182 3150

zhrnutie č. C-4665

vo veci Idmission LLC

IDmission

23

spis FTC č. 182 3100

zhrnutie č. C-4659

vo veci ReadyTech Corporation

ReadyTech

24

spis FTC č. 172 3173

zhrnutie č. C-4630

vo veci Decusoft, LLC

Decusoft

25

spis FTC č. 172 3171

zhrnutie č. C-4628

vo veci Tru Communication, Inc.

Tru

26

spis FTC č. 172 3172

zhrnutie č. C-4629

vo veci Md7, LLC

Md7.

30

spis FTC č. 152 3198

zhrnutie č. C-4543

vo veci Jhayrmaine Daniels (pod názvom California Skate-Line)

Jhayrmaine Daniels

31

spis FTC č. 152 3190

zhrnutie č. C-4545

vo veci Dale Jarrett Racing Adventure, Inc.

Dale Jarrett

32

spis FTC č. 152 3141

zhrnutie č. C-4540

vo veci Golf Connect, LLC

Golf Connect

33

spis FTC č. 152 3202

zhrnutie č. C-4546

vo veci Inbox Group, LLC

Inbox Group

34

spis č. 152 3187

zhrnutie č. C-4542

vo veci IOActive, Inc.

IOActive

35

spis FTC č. 152 3140

zhrnutie č. C-4549

vo veci Jubilant Clinsys, Inc.

Jubilant

36

spis FTC č. 152 3199

zhrnutie č. C-4547

vo veci Just Bagels Manufacturing, Inc.

Just Bagels

37

spis FTC č. 152 3138

zhrnutie č. C-4548

vo veci NAICS Association, LLC

NAICS

38

spis FTC č. 152 3201

zhrnutie č. C-4544

vo veci One Industries Corp.

One Industries

39

spis FTC č. 152 3137

zhrnutie č. C-4550

vo veci Pinger, Inc.

Pinger

40

spis FTC č. 152 3193

zhrnutie č. C-4552

vo veci SteriMed Medical Waste Solutions

SteriMed

41

spis FTC č. 152 3184

zhrnutie č. C-4541

vo veci Contract Logix, LLC

Contract Logix

42

spis FTC č. 152 3185

zhrnutie č. C-4551

vo veci Forensics Consulting Solutions, LLC

Forensics Consulting

43

spis FTC č. 152 3051

zhrnutie č. C-4526

vo veci American Int'l Mailing, Inc.

AIM

44

spis FTC č. 152 3015

zhrnutie č. C-4525

vo veci TES Franchising, LLC

TES

45

spis FTC č. 142 3036

zhrnutie č. C-4459

vo veci American Apparel, Inc.

American Apparel

46

spis FTC č. 142 3026

zhrnutie č. C-4469

vo veci Fantage.com, Inc.

Fantage

47

spis FTC č. 142 3017

zhrnutie č. C-4461

vo veci Apperian, Inc.

Apperian

48

spis FTC č. 142 3018

zhrnutie č. C-4462

vo veci Atlanta Falcons Football Club, LLC

Atlanta Falcons

49

spis FTC č. 142 3019

zhrnutie č. C-4463

vo veci Baker Tilly Virchow Krause, LLP

Baker Tilly

50

spis FTC č. 142 3020

zhrnutie č. C-4464

vo veci BitTorrent, Inc.

BitTorrent

51

spis FTC č. 142 3022

zhrnutie č. C-4465

vo veci Charles River Laboratories, Int'l

Charles River

52

spis FTC č. 142 3023

zhrnutie č. C-4466

vo veci DataMotion, Inc.

DataMotion

53

spis FTC č. 142 3024

zhrnutie č. C-4467

vo veci DDC Laboratories, Inc., pod názvom DNA Diagnostics Center

DDC

54

spis FTC č. 142 3028

zhrnutie č. C-4470

vo veci Level 3 Communications, LLC

Level 3

55

spis FTC č. 142 3025

zhrnutie č. C-4468

vo veci PDB Sports, Ltd., pod názvom Denver Broncos Football Club, LLP

Broncos

56

spis FTC č. 142 3030

zhrnutie č. C-4471

vo veci Reynolds Consumer Products, Inc.

Reynolds

57

spis FTC č. 142 3031

zhrnutie č. C-4472

vo veci Receivable Management Services Corporation

Receivable Mgmt

58

spis FTC č. 142 3032

zhrnutie č. C-4473

vo veci Tennessee Football, Inc.

Tennessee Football

59

spis FTC č. 102 3058

zhrnutie č. C-4369

vo veci Myspace LLC

Myspace

60

spis FTC č. 092 3184

zhrnutie č. C-4365

vo veci Facebook, Inc.

Facebook

61

spis FTC č. 092 3081

občianskoprávny spor č. 09-CV-5276 (C.D. Cal.)

FTC/Javian Karnani a Balls of Kryptonite, LLC, pod názvom Bite Size Deals, LLC, a Best Priced Brands, LLC

Balls of Kryptonite

62

spis FTC č. 102 3136

zhrnutie č. C-4336

vo veci Google, Inc.

Google

63

spis FTC č. 092 3137

zhrnutie č. C-4282

vo veci World Innovators, Inc.

World Innovators

64

spis FTC č. 092 3141

zhrnutie č. C-4271

vo veci Progressive Gaitways LLC

Progressive Gaitways

65

spis FTC č. 092 3139

zhrnutie č. C-4270

vo veci Onyx Graphics, Inc.

Onyx Graphics

66

spis FTC č. 092 3138

zhrnutie č. C-4269

vo veci ExpatEdge Partners, LLC

ExpatEdge

67

spis FTC č. 092 3140

zhrnutie č. C-4281

vo veci Directors Desk LLC

Directors Desk

68

spis FTC č. 092 3142

zhrnutie č. C-4272

vo veci Collectify LLC

Collectify


PRÍLOHA V

Image 7

6. júla 2023

Komisár Didier Reynders

Európska komisia

Rue de la Loi/Wetstraat 200

1049 Brussels

Belgicko

Vážený pán komisár Reynders,

Ministerstvo dopravy Spojených štátov amerických (ďalej len „ministerstvo“ alebo „MD“) oceňuje poskytnutú možnosť opísať svoju úlohu pri presadzovaní zásad rámca pre ochranu osobných údajov medzi EÚ a USA. Rámec pre ochranu osobných údajov medzi EÚ a USA zohráva kľúčovú úlohu pri ochrane osobných údajov poskytovaných počas obchodných transakcií v čoraz viac prepojenom svete. Umožní podnikom vykonávať dôležité operácie v globálnom hospodárstve a zároveň zabezpečí spotrebiteľom v EÚ zachovanie dôležitej ochrany osobných údajov.

MD najskôr v liste zaslanom Európskej komisii pred viac ako 22 rokmi verejne vyjadrilo svoj záväzok presadzovať rámec bezpečného prístavu medzi USA a EÚ a neskôr tento záväzok potvrdilo a rozšírilo v liste z roku 2016 týkajúcom sa rámca štítu na ochranu osobných údajov medzi EÚ a USA. V uvedených listoch sa MD zaviazalo k dôslednému presadzovaniu zásad bezpečného prístavu medzi USA a EÚ a neskôr zásad štítu na ochranu osobných údajov medzi EÚ a USA. MD rozširuje tento záväzok na zásady rámca pre ochranu osobných údajov medzi EÚ a USA a tento list je potvrdením uvedeného záväzku.

MD potvrdzuje svoj záväzok najmä v týchto kľúčových oblastiach: 1. priorizácia vyšetrovania údajných porušení zásad rámca pre ochranu osobných údajov medzi EÚ a USA; 2. prijímanie náležitých opatrení presadzovania práva voči subjektom uvádzajúcim nepravdivé alebo klamlivé tvrdenia o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA a 3. monitorovanie a zverejňovanie vykonávacích príkazov týkajúcich sa porušovania zásad rámca pre ochranu osobných údajov medzi EÚ a USA. Poskytujeme informácie o každom z týchto záväzkov a na objasnenie nevyhnutného kontextu uvádzame relevantné informácie o úlohe MD pri ochrane súkromia spotrebiteľov a presadzovaní zásad rámca pre ochranu osobných údajov medzi EÚ a USA.

1.   Súvislosti

A.   Právomoc MD v oblasti ochrany súkromia

Ministerstvo je pevne odhodlané zabezpečovať ochranu informácií poskytovaných

spotrebiteľmi leteckým spoločnostiam a predajcom leteniek. Právomoc MD konať v tejto oblasti je zakotvená v hlave 49 oddiele 41712 Zákonníka Spojených štátov, v ktorom sa dopravcom alebo predajcom leteniek zakazuje dopúšťať sa „nekalých alebo klamlivých praktík“ v leteckej doprave alebo pri predaji leteniek. Vzorom pre oddiel 41712 je

oddiel 5 zákona o Federálnej obchodnej komisii (Federal Trade Commission Act) (hlava 15 § 45 Zákonníka Spojených štátov). MD nedávno vydalo nariadenia, v ktorých sa v súlade s precedensom MD aj Federálnej obchodnej komisie (ďalej len „FTC“) vymedzujú nekalé a klamlivé praktiky (hlava 14 § 399.79 Kódexu federálnych právnych predpisov). Praktiky sú konkrétne „nekalé“, ak spôsobujú alebo pravdepodobne spôsobia závažnú ujmu, ktorej sa nemožno primerane vyhnúť, pričom táto ujma nie je vyvážená

výhodami pre spotrebiteľov alebo hospodársku súťaž. Praktika je pre spotrebiteľov „klamlivá“, ak je pravdepodobné, že sa ňou bude v podstatnej veci zavádzať spotrebiteľ konajúci za daných okolností primerane. Vec je podstatná, ak je pravdepodobné, že ovplyvnila správanie alebo rozhodnutie spotrebiteľa v súvislosti s výrobkom alebo so službou. Okrem týchto všeobecných zásad MD konkrétne vykladá oddiel 41712 tak, že sa ním dopravcom a cestovným kanceláriám zakazuje: 1. porušovať príslušné podmienky ochrany súkromia; 2. porušovať akékoľvek pravidlo vydané ministerstvom, ktoré označuje konkrétne postupy v oblasti ochrany súkromia ako nekalé alebo klamlivé, alebo 3. porušovať zákon o ochrane súkromia detí v rámci online sietí (Children's Online Privacy Protection Act – COPPA) alebo pravidlá FTC na vykonávanie zákona COPPA, alebo 4. nedodržiavať zásady rámca pre ochranu osobných údajov medzi EÚ a USA, ak sú zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA (1).

Ako už bolo uvedené, podľa federálnych právnych predpisov má MD výlučnú právomoc regulovať postupy leteckých spoločností v oblasti ochrany súkromia, pričom sa o právomoc, pokiaľ ide o postupy v oblasti ochrany osobných údajov pri predaji leteniek, delí s FTC.

To znamená, že ak sa dopravca alebo predajca leteniek verejne zaviaže k dodržiavaniu zásad rámca pre ochranu osobných údajov medzi EÚ a USA, môže ministerstvo využiť zákonnú právomoc podľa oddielu 41712 na zabezpečenie dodržiavania týchto zásad. To znamená, že ak cestujúci poskytne informácie dopravcovi alebo predajcovi leteniek, ktorý sa zaviazal dodržiavať zásady rámca pre ochranu osobných údajov medzi EÚ a USA, každé nedodržanie týchto zásad dopravcom alebo predajcom leteniek bude predstavovať porušenie oddielu 41712.

B.   Postupy presadzovania práva

Úrad ministerstva pre ochranu spotrebiteľa v leteckej doprave (OACP) (2) vyšetruje a vedie trestné stíhanie vo veciach podľa hlavy 49 oddielu 41712 Zákonníka Spojených štátov. Presadzuje uplatňovanie zákonného zákazu nekalých a klamlivých praktík podľa oddielu 41712 najmä prostredníctvom rokovaní, prípravy príkazov na zdržanie sa konania a vypracovávaním uznesení o vymeraní občianskoprávnych sankcií. Úrad získava informácie o možných porušeniach prevažne prostredníctvom sťažností od fyzických osôb, cestovných kancelárií, leteckých spoločností a amerických a zahraničných vládnych agentúr. Spotrebitelia môžu sťažnosti na letecké spoločnosti a predajcov leteniek týkajúce sa ochrany súkromia podávať prostredníctvom webového sídla MD (3).

Ak sa v rámci danej veci nedosiahne primerané a vhodné urovnanie, má úrad OACP právomoc začať vykonávacie konanie zahŕňajúce dokazovanie vypočúvaním pred správnym sudcom MD. Správny sudca má právomoc vydávať príkazy na zdržanie sa konania a ukladať občianskoprávne sankcie. Porušenie oddielu 41712 môže mať za následok vydanie príkazu na zdržanie sa konania a uloženie občianskoprávnych sankcií do výšky 37 377 USD za každé porušenie oddielu 41712.

Ministerstvo nemá právomoc priznať náhradu škody alebo poskytnúť peňažné odškodnenie jednotlivým sťažovateľom. Ministerstvo má však právomoc schvaľovať urovnania, ktoré vzídu z vyšetrovaní začatých jeho úradom OACP a z ktorých majú spotrebitelia priamy prospech (napr. hotovosť, kupóny), ako náhradu za peňažné pokuty, ktoré by sa inak museli zaplatiť vláde USA. Dialo sa to v minulosti a môže sa to diať aj v súvislosti so zásadami rámca pre ochranu osobných údajov medzi EÚ a USA, ak si to vyžiadajú okolnosti. Opakované porušovanie oddielu 41712 zo strany niektorej leteckej spoločnosti by takisto vzbudilo pochybnosti o pripravenosti danej leteckej spoločnosti dodržiavať zásady, čo by v mimoriadne závažných prípadoch mohlo viesť k tomu, že sa daná letecká spoločnosť nebude viac považovať za prevádzkyschopnú a bude jej odňaté oprávnenie na prevádzkovanie hospodárskej činnosti.

MD dostalo do dnešného dňa pomerne málo sťažností týkajúcich sa údajných porušení ochrany súkromia predajcami leteniek alebo leteckými spoločnosťami. Keď k nim dôjde, vyšetrujú sa v súlade s uvedenými zásadami.

C.   Právna ochrana poskytovaná MD v prospech spotrebiteľov v EÚ

Podľa oddielu 41712 sa zákaz nekalých alebo klamlivých praktík v leteckej doprave alebo pri predaji leteniek vzťahuje na amerických a zahraničných leteckých dopravcov, ako aj na predajcov leteniek. MD často prijíma opatrenia proti americkým a zahraničným leteckým spoločnostiam z dôvodu praktík, ktoré sa dotýkajú zahraničných aj amerických spotrebiteľov, na základe toho, že k praktikám leteckej spoločnosti došlo počas poskytovania prepravy do Spojených štátov alebo zo Spojených štátov. MD využíva a bude naďalej využívať všetky prostriedky nápravy, ktoré má k dispozícii, na ochranu zahraničných aj amerických spotrebiteľov pred nekalými alebo klamlivými praktikami v leteckej doprave zo strany regulovaných subjektov.

MD vo vzťahu k leteckým spoločnostiam takisto presadzuje ďalšie cielené zákony, ktorými sa ochrana rozširuje na spotrebiteľov mimo USA, ako je napríklad zákon o ochrane súkromia detí v rámci online sietí (Children’s Online Privacy Protection Act – COPPA). V zákone COPPA sa okrem iného vyžaduje, aby prevádzkovatelia webových sídiel a online služieb zameraných na deti alebo stránok určených pre širokú verejnosť, ktoré úmyselne získavajú osobné informácie od detí mladších ako 13 rokov, poskytovali upozornenie pre rodičov a získavali overiteľný súhlas rodičov. Webové sídla a služby prevádzkované poskytovateľmi so sídlom v USA, na ktoré sa vzťahuje zákon COPPA a na ktorých sa získavajú osobné informácie od detí zo zahraničia, musia spĺňať požiadavky stanovené v uvedenom zákone. Webové sídla a online služby prevádzkované poskytovateľmi so sídlom v zahraničí musia tiež spĺňať požiadavky stanovené v zákone COPPA, ak sa zameriavajú na deti v Spojených štátoch alebo sa na nich úmyselne získavajú osobné informácie od detí v Spojených štátoch. Pokiaľ americké alebo zahraničné letecké spoločnosti pôsobiace v Spojených štátoch porušujú zákon COPPA, MD má právomoc prijímať opatrenia presadzovania práva.

II.   Presadzovanie zásad rámca pre ochranu osobných údajov medzi EÚ a USA

Ak sa letecká spoločnosť alebo predajca leteniek rozhodne zapojiť do rámca pre ochranu osobných údajov medzi EÚ a USA a ministerstvo dostane sťažnosť, že takáto letecká spoločnosť alebo takýto predajca leteniek údajne porušil zásady rámca pre ochranu osobných údajov medzi EÚ a USA, ministerstvo prijme tieto kroky na dôrazné presadenie zásad rámca pre ochranu osobných údajov medzi EÚ a USA.

A.   Prioritné vyšetrovanie údajných porušení

Úrad OACP ministerstva vyšetrí každú sťažnosť na údajné porušovanie zásad rámca pre ochranu osobných údajov medzi EÚ a USA

vrátane sťažností prijatých od orgánov EÚ pre ochranu osobných údajov a v prípade potvrdenia porušenia na základe dôkazov prijme opatrenia presadzovania práva. Úrad OACP bude okrem toho spolupracovať s FTC a ministerstvom obchodu a prioritne sa zaoberať oznámeniami o údajnom nedodržiavaní záväzkov v oblasti ochrany súkromia, ktoré regulované subjekty prijali na základe rámca pre ochranu osobných údajov medzi EÚ a USA.

Po prijatí oznámenia o údajnom porušení rámca pre ochranu osobných údajov medzi EÚ a USA môže úrad OACP prijať rôzne opatrenia ako súčasť svojho vyšetrovania. Môže napríklad preskúmať podmienky ochrany súkromia predajcu leteniek alebo leteckej spoločnosti, získať ďalšie informácie od predajcu leteniek alebo leteckej spoločnosti, alebo od tretích strán, obrátiť sa znovu na postupujúci subjekt a posúdiť, či ide o systematické porušovanie pravidiel alebo či je postihnutý značný počet spotrebiteľov. Ďalej určí, či sa daný prípad týka záležitostí patriacich do rozsahu pôsobnosti ministerstva obchodu alebo FTC, posúdi, či by pomohlo vzdelávanie spotrebiteľov a podnikov, a v prípade potreby začne vykonávacie konanie.

Ak ministerstvo získa informáciu o možnom porušovaní zásad rámca pre ochranu osobných údajov medzi EÚ a USA zo strany predajcov leteniek, bude konanie vo veci koordinovať s FTC. Zároveň budeme FTC a ministerstvo obchodu informovať o výsledku všetkých opatrení presadzovania zásad rámca pre ochranu osobných údajov medzi EÚ a USA.

B.   Riešenie nepravdivých alebo klamlivých tvrdení o zapojení do rámca

Ministerstvo je odhodlané vyšetrovať porušenia zásad rámca pre ochranu osobných údajov medzi EÚ a USA vrátane nepravdivých alebo klamlivých tvrdení o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA. Budeme prioritne vybavovať podnety ministerstva obchodu týkajúce sa organizácií, v prípade ktorých ministerstvo obchodu zistí, že neoprávnene tvrdia, že sú zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA, alebo že bez povolenia používajú certifikačnú značku rámca pre ochranu osobných údajov medzi EÚ a USA.

Ďalej poznamenávame, že ak sa v podmienkach ochrany súkromia organizácie uvádza, že dodržiava zásady rámca pre ochranu osobných údajov medzi EÚ a USA, samotná skutočnosť, že daná organizácia nevykoná, resp. opätovne nevykoná, proces samoosvedčenia na ministerstve obchodu, ju pravdepodobne neuchráni od presadzovania predmetných záväzkov zo strany MD.

C.   Monitorovanie a zverejňovanie vykonávacích príkazov týkajúcich sa porušení rámca pre ochranu osobných údajov medzi EÚ a USA

Úrad OACP ministerstva zároveň zostáva naďalej odhodlaný podľa potreby monitorovať vykonávacie príkazy s cieľom zaistiť dodržiavanie zásad rámca pre ochranu osobných údajov medzi EÚ a USA. Konkrétne, ak úrad vydá príkaz nariaďujúci leteckej spoločnosti alebo predajcovi leteniek, aby sa zdržali budúcich porušení zásad rámca pre ochranu osobných údajov medzi EÚ a USA a oddielu 41712, bude monitorovať, či daný subjekt dodržiava ustanovenie o zdržaní sa konania uvedené v príkaze. Úrad ďalej zabezpečí, aby boli príkazy vo veciach zásad rámca pre ochranu osobných údajov medzi EÚ a USA zverejnené na jeho webovom sídle.

Tešíme sa na pokračujúcu spoluprácu s našimi federálnymi partnermi a so zainteresovanými stranami z EÚ v záležitostiach rámca pre ochranu osobných údajov medzi EÚ a USA.

Dúfam, že tieto informácie budú pre Vás užitočné. Ak máte ešte nejaké otázky alebo potrebujete ďalšie informácie, môžete sa so mnou kedykoľvek skontaktovať.

S úctou

Image 8

Pete BUTTIGIEG


(1)  https://www.transportation.gov/individuals/aviation-consumer-protection/privacy.

(2)  Predošlý názov bol Úrad pre presadzovanie predpisov a konania v oblasti letectva.

(3)  http://www.transportation.gov/airconsumer/privacy-complaints.


PRÍLOHA VI

Image 9

Ministerstvo spravodlivosti USA

Trestnoprávny úsek

Úrad námestníka generálneho prokurátora

Washington, D.C. 20530

23. júna 2023

Pani Ana Gallego Torres

generálna riaditeľka pre spravodlivosť a spotrebiteľov

Európska komisia

Rue Montoyer/Montoyerstraat 59

1049 Brussels

Belgicko

Vážená pani generálna riaditeľka Gallego Torresová,

tento list obsahuje stručný prehľad primárnych vyšetrovacích nástrojov používaných na získanie ekonomických údajov a ďalších zaznamenaných informácií od spoločností v USA na účely presadzovania práva v trestných veciach alebo verejného záujmu (občianskoprávneho a regulačného) vrátane obmedzení prístupu stanovených v príslušných oprávneniach (1). Žiadne z týchto zákonných postupov opísaných v tomto liste nie sú diskriminačné, pretože sa používajú na získanie informácií od spoločností v Spojených štátoch vrátane tých spoločností, ktoré predložia samoosvedčenie prostredníctvom rámca pre ochranu osobných údajov medzi EÚ a USA, bez ohľadu na štátnu príslušnosť alebo pobyt dotknutej osoby. Okrem toho, spoločnosti, ktoré v USA dostanú súdny príkaz, môžu tento príkaz napadnúť na súde, ako je uvedené ďalej (2).

Osobitný význam vzhľadom na zaistenie údajov orgánmi verejnej moci má Štvrtý dodatok k Ústave USA, v ktorom sa stanovuje, že „[p]rávo národa na ochranu osobnej a domovej slobody, písomností a majetku nesmie byť porušované neoprávnenými prehliadkami a zaisteniami; nesmie byť vydaný ani žiadny príkaz, ktorý by sa neopieral o dôvodné zistenia, doložené prísahou alebo potvrdené iným spôsobom, a ktorý by neobsahoval presné určenie miesta, ktoré má byť prehľadané, a presný opis osôb a vecí, ktoré majú byť zaistené.“ Ústava USA, IV. dodatok. Ako stanovil Najvyšší súd USA vo veci Berger/Štát New York, „[z]ákladným účelom tohto dodatku, ako v mnohých rozhodnutiach potvrdil tento súd, je chrániť súkromie a bezpečnosť fyzických osôb voči svojvoľným zásahom vládnych úradníkov.“ 388 U.S. 41, 53 (1967) [citácia z rozhodnutia vo veci Camara/Mestský súd San Francisca, 387 U.S. 523, 528 (1967)]. V prípade vnútroštátnych vyšetrovaní trestných činov sa vo Štvrtom dodatku vo všeobecnosti vyžaduje, aby vyšetrovatelia získali pred vykonaním prehliadky súdny príkaz. Pozri vec Katz/Spojené štáty, 389 U.S. 347, 357 (1967). Stupeň zistenia na vydanie príkazu, ako sú požiadavky na dôvodnosť a konkrétnosť, sa vzťahuje na príkazy na fyzickú prehliadku priestorov a zaistenie, ako aj na príkazy týkajúce sa uloženého obsahu elektronických komunikácií vydané podľa zákona o uloženej komunikácii (Stored Communications Act), ako sa uvádza ďalej. Ak sa neuplatňuje požiadavka súdneho príkazu, činnosť úradníkov vlády naďalej podlieha skúške „primeranosti“ podľa Štvrtého dodatku. Samotná Ústava teda zaručuje, že vláda USA nemá neobmedzenú či svojvoľnú právomoc zaistiť súkromné informácie (3).

Orgány činné v trestnom konaní:

Federálni prokurátori, ktorí sú úradníkmi ministerstva spravodlivosti, a federálni vyšetrovací agenti vrátane agentov FBI (Federal Bureau of Investigation), orgánu presadzovania práva v rámci ministerstva spravodlivosti, si môžu vynútiť predloženie dokumentov a iných zaznamenaných informácií od spoločností v USA na účely vyšetrovania trestného činu prostredníctvom niekoľkých typov zákonných konaní vrátane predvolania pred veľkú porotu, administratívnej výzvy a príkazu na domovú prehliadku a ďalšie komunikácie môžu získať prostredníctvom povolení na odpočúvanie a použitie záznamníkov zdrojov a cieľov elektronickej komunikácie na účely federálneho vyšetrovania trestného činu.

Predvolanie pred veľkú porotu alebo predvolanie na súd: Predvolania v trestnom konaní sa používajú na podporu cielených vyšetrovaní orgánov činných v trestnom konaní. Predvolanie pred veľkú porotu je oficiálna žiadosť vydaná veľkou porotou (zvyčajne na žiadosť federálneho prokurátora) na podporu vyšetrovania, ktoré veľká porota vedie v prípade určitého podozrenia z porušenia trestného práva. Veľké poroty sú vyšetrovacou zložkou súdu a zostavuje ich sudca alebo magistrátny sudca. V predvolaní sa môže od niekoho vyžadovať, aby vypovedal na súde alebo aby predložil či sprístupnil obchodné záznamy, informácie uložené elektronicky alebo iné hmotné predmety. Informácie musia byť relevantné pre vyšetrovanie a predvolanie nesmie byť neopodstatnené z dôvodu nekonkrétnosti, obmedzovania alebo neprimeraného zaťažovania. Príjemca môže na základe týchto dôvodov podať námietku voči predvolaniu. Pozri federálne pravidlá trestného konania, č. 17. V určitých prípadoch sa predvolania na súd z dôvodu predloženia dokumentov môžu použiť po tom, ako v prípade veľká porota schválila obžalobu.

Povolenie na administratívnu výzvu: Pri vyšetrovaniach trestných činov alebo občianskoprávnych vyšetrovaniach je možné využiť povolenie na administratívnu výzvu. V súvislosti s trestným konaním viaceré federálne zákony povoľujú používanie administratívnych výziev na predloženie alebo sprístupnenie obchodných záznamov, informácií uložených elektronicky alebo iných hmotných predmetov súvisiacich s vyšetrovaním podvodov v zdravotníctve, zneužívania detí, ochrany tajnej služby, prípadov kontrolovaných látok a vyšetrovaním generálneho inšpektora so zapojením vládnych agentúr. Ak sa štátny orgán pokúša presadiť na súde administratívnu výzvu, príjemca tejto výzvy, podobne ako príjemca predvolania pred veľkú porotu, môže argumentovať, že výzva nie je opodstatnená, pretože je nekonkrétna, obmedzujúca alebo neprimerane zaťažujúca.

Súdne príkazy na použitie záznamníkov zdrojov a cieľov elektronickej komunikácie: Podľa ustanovení trestného práva o používaní záznamníkov zdrojov a cieľov elektronickej komunikácie môže orgán presadzovania práva získať súdny príkaz na zaobstaranie informácií v reálnom čase o vytáčaní, smerovaní, adresovaní a signalizovaní týkajúcich sa určitého telefónneho čísla alebo e-mailu, bez obsahu samotnej komunikácie, na základe potvrdenia, že poskytnuté informácie sú relevantné pre prebiehajúce vyšetrovanie trestného činu. Pozri hlavu 18 § 3121 – 3127 Zákonníka Spojených štátov. Nezákonné použitie alebo inštalovanie takéhoto zariadenia je federálny zločin.

Zákon o ochrane súkromia v rámci elektronickej komunikácie (Electronic Communications Privacy Act – ECPA): Ďalšie pravidlá upravujú prístup vlády k informáciám o účastníkoch, údajom o prenosoch údajov a obsahu komunikácií uchovávanom poskytovateľmi internetových služieb (internet service providers – ISP), telefónnymi spoločnosťami, ako aj inými poskytovateľmi služieb podľa hlavy II zákona ECPA, ktorá sa nazýva aj zákon o uloženej komunikácii (Stored Communications Act – SCA), hlava 18 § 2701 – 2712 Zákonníka Spojených štátov. V zákone SCA sa stanovuje systém zákonných práv na ochranu súkromia, ktoré obmedzujú prístup orgánov presadzovania práva k údajom nad rámec tých, ktoré vyžaduje ústavné právo od zákazníkov a účastníkov poskytovateľov internetových služieb. Zákon SCA zaisťuje zvýšenú úroveň ochrany osobných údajov podľa stupňa zásahu do súkromia pri ich získavaní. Na získanie registračných údajov účastníkov, IP adries a príslušných časových pečiatok, ako aj fakturačných údajov, musia orgány činné v trestnom konaní dosiahnuť vydanie príslušnej výzvy. Na získanie väčšiny iných uložených informácií bez obsahu samotnej komunikácie, ako sú napríklad hlavičky e-mailov bez predmetu, musia orgány presadzovania práva predložiť sudcovi konkrétne skutočnosti preukazujúce, že požadované informácie sú relevantné a podstatné pre prebiehajúce vyšetrovanie trestného činu. Na získanie uloženého obsahu elektronickej komunikácie musia vo všeobecnosti orgány činné v trestnom konaní získať od sudcu príkaz na základe dôvodnosti domnienky, že predmetné konto obsahuje dôkaz o trestnom čine. V zákone SCA sa takisto stanovuje občianskoprávna zodpovednosť a trestné sankcie (4).

Súdne príkazy na sledovanie podľa federálneho zákona o odpočúvaní (Federal Wiretap Law): Orgány presadzovania práva môžu okrem toho odpočúvať prebiehajúcu telefonickú, ústnu alebo elektronickú komunikáciu na účely vyšetrovania trestného činu podľa federálneho zákona o odpočúvaní. Pozri hlavu 18 § 2510 – 2523 Zákonníka Spojených štátov. Môžu tak robiť iba na základe súdneho príkazu, v ktorom sudca dospel okrem iného k záveru, že je dôvodné domnievať sa, že odpočúvanie alebo elektronické zachytenie poskytne dôkaz o federálnom zločine alebo o pobyte osoby unikajúcej pred trestným stíhaním. V zákone sa stanovuje občianskoprávna zodpovednosť a trestné sankcie za porušenie ustanovení o odpočúvaní.

Príkaz na domovú prehliadku – federálne pravidlá trestného konania, pravidlo č. 41: Orgány presadzovania práva môžu fyzicky prehľadať priestory v USA, ak na to majú povolenie od sudcu. Vyšetrovateľ musí sudcovi na základe doloženia dôvodnosti preukázať, že bol spáchaný alebo má byť spáchaný trestný čin a predmety súvisiace s trestným činom sa pravdepodobne nachádzajú na mieste označenom v príkaze na domovú prehliadku. Toto povolenie sa často používa vtedy, keď je potrebné fyzické prehľadanie priestorov políciou z dôvodu nebezpečenstva, že dôkazy môžu byť zničené, ak by bolo vo vzťahu k spoločnosti vydané predvolanie alebo iný príkaz na predloženie údajov. Osoba, ktorá sa podrobuje domovej prehliadke alebo ktorej majetok je predmetom prehliadky, môže podať návrh na zákaz použitia dôkazov získaných alebo vyvodených z nezákonnej prehliadky, ak sa tieto dôkazy predložia proti danej osobe počas trestného konania. Pozri vec Mapp/Ohio, 367 U.S. 643 (1961). Ak sa od držiteľa údajov vyžaduje, aby sprístupnil údaje na základe príkazu, účastník, na ktorého sa vzťahuje príkaz, môže napadnúť požiadavku na sprístupnenie ako neprimerane zaťažujúcu. Pozri vec In re Application of United States, 610 F.2d 1148, 1157 (3. obvod, 1979) (v ktorej sa rozhodlo, že „náležitý proces si vyžaduje, aby sa pred tým, ako sa telefonickej spoločnosti nariadi poskytnutie“ súčinnosti pri vykonaní príkazu na domovú prehliadku, „uskutočnilo vypočutie o miere súvisiacej záťaže“) a vec In re Application of United States, 616 F.2d 1122 (9. obvod, 1980) (v ktorej sa dospelo k rovnakému záveru na základe dozornej právomoci súdu).

Usmernenia a postupy ministerstva spravodlivosti: Okrem týchto ústavných a zákonných obmedzení a obmedzení založených na pravidlách, ktoré limitujú prístup vlády k údajom, vydal generálny prokurátor usmernenia, ktoré ešte viac obmedzujú prístup orgánov presadzovania práva k údajom, a zahŕňajú aj ochranu súkromia a občianskych slobôd. Napríklad v usmerneniach Attorney General’s Guidelines for Domestic FBI Operations (Usmernenia generálneho prokurátora k domácim operáciám FBI, september 2008) (ďalej len „usmernenia GP pre FBI“), k dispozícii na adrese http://www.justice.gov/archive/opa/docs/guidelines.pdf, sa stanovujú limity na používanie vyšetrovacích prostriedkov na získanie informácií súvisiacich s vyšetrovaniami, ktoré sa týkajú federálnych zločinov. V týchto usmerneniach sa vyžaduje, aby FBI používala dostupné vyšetrovacie metódy, ktoré menej zasahujú do súkromia, so zohľadnením ich účinku na súkromie a občianske slobody a možné poškodenie dobrého mena. Okrem toho sa v nich uvádza, že „je samozrejmé, že FBI musí viesť svoje vyšetrovania a ostatné činnosti zákonným a primeraným spôsobom, ktorý rešpektuje slobodu a súkromie a vyhýba sa nepotrebným zásahom do životov ľudí dodržiavajúcich zákony.“ Pozri usmernenia GP pre FBI, s. 5. FBI vykonáva tieto usmernenia prostredníctvom príručky FBI Domestic Investigations and Operations Guide (DIOG) (Príručka FBI pre domáce vyšetrovania a operácie), ktorá je k dispozícii na adrese https://vault.fbi.gov/FBI%20Domestic%20Investigations%20and%20Operations%20Guide%20%28DIOG%29. Je to komplexná príručka, ktorá obsahuje podrobné limity používania vyšetrovacích nástrojov a usmernenie na zabezpečenie ochrany občianskych slobôd a súkromia v rámci každého vyšetrovania. Ďalšie pravidlá a politiky, ktoré predpisujú obmedzenia vyšetrovacích činností federálnych prokurátorov, sú stanovené v príručke Justice Manual (Príručka ministerstva spravodlivosti), ktorá je k dispozícii aj online na adrese https://www.justice.gov/jm/justicemanual.

Občianskoprávne a regulačné orgány (verejný záujem):

Existujú aj významné obmedzenia prístupu občianskoprávnych a regulačných orgánov (t. j. „z hľadiska verejného záujmu“) k údajom v držbe spoločností v Spojených štátoch. Agentúry s občianskoprávnymi a regulačnými zodpovednosťami môžu spoločnostiam vydávať výzvy na predloženie obchodných záznamov, informácií uložených elektronicky a ďalších hmotných predmetov. Tieto agentúry majú obmedzenia pri výkone svojich právomocí na vydávanie administratívnych alebo občianskoprávnych výziev, a to nielen na základe ich ustanovujúcich zákonov, ale aj z dôvodu nezávislého súdneho preskúmania výziev pred prípadným súdnym konaním. Pozri napr. federálne pravidlá občianskoprávneho konania, č. 45. Agentúry môžu vyžadovať prístup iba k údajom, ktoré súvisia so záležitosťami v rámci rozsahu pôsobnosti ich regulácie. Navyše príjemca administratívnej výzvy môže podať námietku voči výkonu tejto výzvy na súde predložením dôkazu, že agentúra nekonala v súlade so základnými normami primeranosti, ako je uvedené v predchádzajúcom texte.

Existujú ďalšie právne základy, podľa ktorých môžu spoločnosti podať námietku voči požiadavkám na poskytnutie údajov zo strany správnych agentúr v závislosti od ich konkrétnych odvetví a typov údajov, ktoré vlastnia. Napríklad finančné inštitúcie môžu podať námietku voči administratívnej výzve požadujúcej určité typy informácií z dôvodu porušenia zákona o bankovom tajomstve a jeho vykonávacích predpisov. Hlava 31 § 5318 Zákonníka Spojených štátov, hlava 31 kapitola X Kódexu federálnych právnych predpisov. Iné podniky sa môžu opierať o zákon o náležitom podávaní informácií o úverovej schopnosti (Fair Credit Reporting Act), hlava 15 § 1681b Zákonníka Spojených štátov, alebo môžu využiť celý rad odvetvových právnych predpisov. Zneužitie oprávnenia agentúry na vydanie výzvy môže mať za následok vyvodenie zodpovednosti voči agentúre alebo osobnej zodpovednosti jej úradníkov. Pozri napr. zákon o práve na ochranu osobných finančných údajov (Right to Financial Privacy Act), hlava 12 § 3401 – 3423 Zákonníka Spojených štátov. Súdy v USA teda poskytujú ochranu pred neoprávnenými regulačnými požiadavkami, ako aj nezávislý dohľad nad činnosťami federálnych agentúr.

Napokon akékoľvek zákonné oprávnenie, podľa ktorého správne orgány musia fyzicky zaistiť záznamy od spoločnosti v USA na základe úradnej prehliadky, musí spĺňať požiadavky Štvrtého dodatku. Pozri vec See/City of Seattle, 387 U.S. 541 (1967).

Záver:

Všetky činnosti presadzovania práva a regulačné činnosti v USA musia byť v súlade s platnými právnymi predpismi vrátane Ústavy USA, zákonov, pravidiel a nariadení. Tieto činnosti musia tiež spĺňať uplatniteľné politiky vrátane všetkých usmernení generálneho prokurátora upravujúcich činnosti federálnych orgánov presadzovania práva. Opísaný právny rámec obmedzuje možnosti amerických orgánov presadzovania práva a regulačných orgánov zamerané na získanie informácií od spoločností v USA – bez ohľadu na to, či sa informácie týkajú občanov alebo rezidentov USA alebo občanov cudzích krajín – a navyše umožňuje právne preskúmanie akýchkoľvek žiadostí vlády o predloženie údajov na základe týchto oprávnení.

Image 10


(1)  V tomto prehľade sa neopisujú vyšetrovacie nástroje národnej bezpečnosti používané orgánmi presadzovania práva pri vyšetrovaní terorizmu a pri iných vyšetrovaniach súvisiacich s národnou bezpečnosťou, a to ani pokiaľ ide o príkazy na vydanie informácií z dôvodu národnej bezpečnosti (National Security Letters – NSL) týkajúce sa určitých informácií zaznamenaných v správach o úverovej schopnosti, vo finančných záznamoch a v záznamoch o elektronickom odbere a transakciách, pozri hlavu 12 § 3414, hlavu 15 § 1681u, hlavu 15 § 1681v, hlavu 18 § 2709, hlavu 50 § 3162 Zákonníka Spojených štátov, ani pokiaľ ide o elektronické sledovanie, príkazy na domovú prehliadku, obchodné záznamy a iné získavanie informácií podľa zákona o sledovaní v rámci zahraničného spravodajstva (Foreign Intelligence Surveillance Act), hlava 50 § 1801 a nasl. Zákonníka Spojených štátov.

(2)  Tento list obsahuje informácie o právomociach federálnych orgánov presadzovania práva a regulačných orgánov. Porušovanie štátnych zákonov vyšetrujú orgány presadzovania práva jednotlivých štátov a súdne konania prebiehajú na štátnych súdoch. Štátne orgány presadzovania práva používajú súdne príkazy a predvolania vydané podľa štátnych zákonov v podstate rovnakým spôsobom, ako je opísané tu, ale s možnosťou, že súdne konanie na úrovni štátu môže podliehať doplňujúcej ochrane podľa ústavy alebo zákonov daného štátu, ktorá ide nad rámec Ústavy USA. Ochrana podľa štátneho práva musí byť minimálne na rovnakej úrovni ako ochrana podľa Ústavy USA vrátane, ale nie výlučne, Štvrtého dodatku.

(3)  Pokiaľ ide o zásady Štvrtého dodatku týkajúce sa záujmov ochrany súkromia a bezpečnosti, ktoré sa uvádzajú v predchádzajúcom texte, súdy USA bežne uplatňujú tieto zásady na nové druhy vyšetrovacích nástrojov v oblasti presadzovania práva, ktoré prináša technologický vývoj. Najvyšší súd napríklad v roku 2018 rozhodol, že ak vláda pri vyšetrovaní na účely presadzovania práva počas dlhšieho obdobia získava od mobilného operátora historické informácie o polohe mobilného telefónu, považuje sa to za „prehliadku“, na ktorú sa vzťahuje požiadavka získať príkaz vyplývajúca zo Štvrtého dodatku. Carpenter/Spojené štáty, 138 S. Ct. 2206 (2018).

(4)  V oddiele 2705 písm. b) zákona SCA sa okrem toho vláde povoľuje získať na základe preukázanej potreby ochrany pred zverejnením súdny príkaz, ktorým sa poskytovateľovi komunikačných služieb zakazuje dobrovoľne informovať svojich používateľov o procesných krokoch podľa zákona SCA. V októbri 2017 zástupca generálneho prokurátora Rod Rosenstein vydal pre advokátov a zástupcov ministerstva spravodlivosti memorandum, v ktorom sa stanovujú usmernenia na zabezpečenie toho, aby sa v návrhoch na takéto ochranné príkazy zohľadňovali konkrétne skutočnosti a záujmy vyšetrovania, a v ktorom sa stanovuje, že časový odstup dodatočného oznámenia vo všeobecnosti nesmie presiahnuť jeden rok. V máji 2022 zástupkyňa generálneho prokurátora Lisa Monacová vydala doplňujúce usmernenie k tejto téme, v ktorom sa okrem iného stanovili interné požiadavky na schválenie v rámci ministerstva spravodlivosti, pokiaľ ide o návrhy na predĺženie ochranného príkazu nad rámec počiatočného jednoročného obdobia, a v ktorom sa vyžaduje, aby boli ochranné príkazy na konci vyšetrovania ukončené.


PRÍLOHA VII

KANCELÁRIA RIADITEĽA ÚRADU GENERÁLNEHO PORADCU PRE NÁRODNÚ SPRAVODAJSKÚ SLUŽBU

WASHINGTON, DC 20511

9. decembra 2022

Generálna poradkyňa

Leslie B. Kiernanová

Ministerstvo obchodu

USA 1401 Constitution

Ave., NW Washington, DC 20230

Vážená pani Kiernanová,

prezident Biden podpísal 7. októbra 2022 vykonávacie nariadenie č. 14086 o posilnení záruk v prípade činností signálového spravodajstva Spojených štátov, ktorým sa posilňuje súbor prísnych záruk ochrany súkromia a občianskych slobôd, ktoré sa vzťahujú na činnosti signálového spravodajstva USA. Tieto záruky zahŕňajú: požiadavku, aby činnosti signálového spravodajstva spĺňali stanovené legitímne ciele, výslovný zákaz takýchto činností na účely konkrétnych zakázaných cieľov, zavedenie nových postupov na zabezpečenie toho, aby sa činnosťami signálového spravodajstva podporovali tieto legitímne ciele a aby sa nimi nepodporovali zakázané ciele, požiadavku, aby sa činnosti signálového spravodajstva vykonávali len na základe zistenia založeného na primeranom posúdení všetkých relevantných faktorov, že dané činnosti sú potrebné na dosiahnutie validovanej priority spravodajstva, a to len v rozsahu a spôsobom, ktorý je primeraný validovanej priorite spravodajstva, na ktorú boli schválené, a nariadenie, aby spravodajské služby aktualizovali svoje politiky a postupy tak, aby odrážali záruky v oblasti signálového spravodajstva požadované vo vykonávacom nariadení. Najdôležitejšie je, že vykonávacím nariadením sa zároveň zavádza nezávislý a záväzný mechanizmus, ktorý fyzickým osobám z „oprávnených štátov“, ktoré sú takto označené podľa vykonávacieho nariadenia, umožňuje žiadať nápravu, ak sa domnievajú, že boli predmetom nezákonných činností signálového spravodajstva USA vrátane činností porušujúcich ochranu stanovenú vo vykonávacom nariadení.

Vydanie vykonávacieho nariadenia č. 14086 prezidentom Bidenom bolo vyvrcholením viac ako rok trvajúcich podrobných rokovaní medzi zástupcami Európskej komisie a Spojených štátov a určuje kroky, ktoré Spojené štáty prijmú na plnenie svojich záväzkov vyplývajúcich z rámca pre ochranu osobných údajov medzi EÚ a USA. V súlade s duchom spolupráce, ktorý stojí za vznikom tohto rámca, sa domnievam, že ste dostali od Európskej komisie dva súbory otázok o tom, ako budú spravodajské služby toto vykonávacie nariadenie vykonávať. Je mi potešením vyjadriť sa k týmto otázkam v tomto liste.

Oddiel 702 zákona z roku 1978 o sledovaní v rámci zahraničného spravodajstva (Foreign Intelligence Surveillance Act – FISA) (ďalej len „oddiel 702 zákona FISA“)

Prvý súbor otázok sa týka oddielu 702 zákona FISA, v ktorom sa umožňuje získavanie zahraničných spravodajských informácií zacielením na osoby, ktoré nie sú občanmi ani rezidentmi USA a o ktorých sa primerane usudzuje, že sa nachádzajú mimo Spojených štátov, a to s povinnou spoluprácou poskytovateľov elektronických komunikačných služieb. Otázky sa konkrétne týkajú vzájomného pôsobenia medzi uvedeným ustanovením a vykonávacím nariadením č. 14086, ako aj iných záruk, ktoré sa uplatňujú na činnosti vykonávané podľa oddielu 702 zákona FISA.

Na úvod môžeme potvrdiť, že spravodajské služby budú uplatňovať záruky stanovené vo vykonávacom nariadení č. 14086 na činnosti vykonávané podľa oddielu 702 zákona FISA.

Na uplatňovanie oddielu 702 zákona FISA vládou sa okrem toho vzťahujú mnohé ďalšie záruky. Napríklad všetky certifikácie podľa oddielu 702 zákona FISA musia byť podpísané generálnym prokurátorom a riaditeľom národnej spravodajskej služby (DNI) a vláda musí predložiť všetky takéto certifikácie na schválenie Súdu pre sledovanie v rámci zahraničného spravodajstva (FISC), ktorý tvoria nezávislí doživotní sudcovia, ktorí vykonávajú sedemročné funkčné obdobie bez možnosti predĺženia. V certifikáciách sú určené kategórie zahraničných spravodajských informácií, ktoré sa majú získavať prostredníctvom zacielenia na osoby, ktoré nie sú občanmi ani rezidentmi USA a o ktorých sa primerane usudzuje, že sa nachádzajú mimo Spojených štátov, pričom tieto kategórie musia zodpovedať zákonnému vymedzeniu zahraničných spravodajských informácií. Certifikácie zahŕňajú informácie o medzinárodnom terorizme a iných témach, ako je získavanie informácií týkajúcich sa zbraní hromadného ničenia. Každá ročná certifikácia sa musí predložiť súdu FISC na schválenie v rámci balíka certifikačných žiadostí, ktorý zahŕňa certifikácie generálneho prokurátora a riaditeľa národnej spravodajskej služby, čestné vyhlásenia určitých riaditeľov spravodajských agentúr a postupy zacielenia, postupy minimalizácie a postupy vyhľadávania, ktoré sú pre vládu záväzné. Postupy zacielenia si okrem iného vyžadujú, aby spravodajské služby na základe všetkých okolností dospeli k primeranému záveru, že zacielenie pravdepodobne povedie k získaniu zahraničných spravodajských informácií vymedzených v certifikácii podľa oddielu 702 zákona FISA.

Okrem toho pri získavaní informácií podľa oddielu 702 zákona FISA spravodajské služby musia: poskytnúť písomné vysvetlenie toho, na čom sa v čase zacielenia zakladá ich záver, že daný cieľ pravdepodobne má v držbe, dostane alebo poskytne zahraničné spravodajské informácie vymedzené v certifikácii podľa oddielu 702 zákona FISA, potvrdiť, že sú naďalej splnené kritériá zacielenia stanovené v postupoch zacielenia podľa oddielu 702 zákona FISA, a ukončiť získavanie, pokiaľ tieto kritéria viac nie sú splnené. Pozri U.S. Government Submission to Foreign Intelligence Surveillance Court, 2015 Summary of Notable Section 702 Requirements (Podanie návrhu vlády USA na Súd pre sledovanie v rámci zahraničného spravodajstva, zhrnutie významných požiadaviek podľa oddielu 702 z roku 2015), s. 2 – 3 (15. júla 2015).

Požiadavka, aby spravodajské služby písomne zaznamenávali a pravidelne potvrdzovali platnosť svojho záveru, že ciele podľa oddielu 702 zákona FISA spĺňajú platné kritériá zacielenia, uľahčuje súdu FISC dohľad nad činnosťami zacielenia spravodajských služieb. Každý zaznamenaný záver týkajúci sa zacielenia a jeho zdôvodnenie na dvojmesačnej báze preskúmavajú právni zástupcovia pre dohľad nad spravodajskými službami v rámci ministerstva spravodlivosti, ktorí vykonávajú túto funkciu dohľadu nezávisle od zahraničných spravodajských operácií. Oddelenie ministerstva spravodlivosti, ktoré vykonáva túto funkciu, je následne podľa dlhodobo zavedeného pravidla súdu FISC zodpovedné za podávanie správ súdu FISC o akýchkoľvek porušeniach platných postupov. Toto podávanie správ spolu s pravidelnými stretnutiami medzi súdom FISC a týmto oddelením ministerstva spravodlivosti týkajúcimi sa dohľadu nad zacieľovaním podľa oddielu 702 zákona FISA umožňuje súdu FISC presadzovať dodržiavanie oddielu 702 zákona FISA a ďalších postupov a všeobecne zabezpečovať zákonnosť činností vlády. Súd FISC má v tomto smere viacero dostupných spôsobov, napríklad môže vydávať záväzné nápravné rozhodnutia o zrušení právomoci vlády získavať údaje od konkrétneho cieľa alebo o zmene či odklade získavania údajov podľa oddielu 702 zákona FISA. Súd FISC môže takisto od vlády požadovať, aby poskytla ďalšie správy alebo informačné dokumenty o svojom dodržiavaní postupov zacielenia a iných postupov, alebo môže požadovať zmeny týchto postupov.

„Hromadné“ získavanie signálového spravodajstva

Druhý súbor otázok sa týka „hromadného“ získavania signálového spravodajstva, ktoré sa vo vykonávacom nariadení č. 14086 vymedzuje ako „získavanie veľkého množstva signálového spravodajstva, ktoré sa z technických alebo prevádzkových dôvodov získava bez použitia diskriminantov (napríklad bez použitia konkrétnych identifikátorov alebo selektorov)“.

V súvislosti s týmito otázkami v prvom rade poznamenávame, že hromadné získavanie sa v zákone FISA nepovoľuje a nie je povolené ani prostredníctvom príkazov na vydanie informácií z dôvodu národnej bezpečnosti. Pokiaľ ide o zákon FISA:

V hlavách I a III zákona FISA, ktoré oprávňujú na elektronické sledovanie, resp. na fyzické prehľadanie priestorov, sa vyžaduje súdny príkaz (s obmedzenými výnimkami, ako sú napríklad núdzové situácie) a je podľa nich vždy nutné, aby existovala dôvodná domnienka, že cieľom je zahraničná mocnosť alebo agent zahraničnej mocnosti. Pozri hlavu 50 § 1805, 1824 Zákonníka Spojených štátov.

Zákonom USA z roku 2015 o slobode (USA FREEDOM Act) sa zmenila hlava IV zákona FISA, ktorá oprávňuje na použitie záznamníkov zdrojov a cieľov elektronickej komunikácie na základe súdneho príkazu (s výnimkou núdzových situácií), pričom vláda je povinná založiť žiadosť na „konkrétnom selektore“. Pozri hlavu 50 § 1842 písm. c) bod 3 Zákonníka Spojených štátov.

V hlave V zákona FISA, ktorá umožňuje Federálnemu úradu pre vyšetrovanie (FBI) získavať určité druhy obchodných záznamov, sa vyžaduje súdny príkaz vychádzajúci z návrhu, v ktorom sa uvádza, že „existujú konkrétne a vysvetliteľné skutočnosti, na základe ktorých sa možno domnievať, že osoba, ktorej sa záznamy týkajú, je zahraničnou mocnosťou alebo agentom zahraničnej mocnosti“. Pozri hlavu 50 § 1862 písm. b) bod 2 písm. B) Zákonníka Spojených štátov (1).

Napokon sa v oddiele 702 zákona FISA povoľuje „zacielenie na osoby, o ktorých možno odôvodnene predpokladať, že sa nachádzajú mimo územia Spojených štátov, s cieľom získať zahraničné spravodajské informácie“. Pozri hlavu 50 § 188la písm. a) Zákonníka Spojených štátov. Preto, ako poznamenala Rada pre dohľad nad ochranou súkromia a občianskych slobôd, získavanie údajov vládou podľa oddielu 702 zákona FISA „pozostáva výlučne zo zacielenia na jednotlivé osoby a získania komunikácie spojenej s týmito osobami, v prípade ktorých vláda odôvodnene očakáva, že získa určité druhy zahraničných spravodajských informácií“, čo znamená, že „program nefunguje na základe hromadného získavania komunikácií“. Rada pre dohľad nad ochranou súkromia a občianskych slobôd, Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act (Správa o programe sledovania uskutočňovaného na základe oddielu 702 zákona o sledovaní v rámci zahraničného spravodajstva), s. 103 (2. júla 2014) (2).

Pokiaľ ide o príkazy na vydanie informácií z dôvodu národnej bezpečnosti, v zákone USA z roku 2015 o slobode sa uplatnenie takýchto príkazov podmieňuje použitím „konkrétneho selektora“. Pozri hlavu 12 § 3414 písm. a) bod 2, hlavu 15 § 1681u, hlavu 15 § 1681v písm. a), hlavu 18 § 2709 písm. b) Zákonníka Spojených štátov.

Okrem toho sa vo vykonávacom nariadení č. 14086 stanovuje, že sa „uprednostňuje cielené získavanie“ a že pokiaľ spravodajské služby prikročia k hromadnému získavaniu, „hromadné získavanie signálového spravodajstva je povolené len na základe zistenia…, že informácie potrebné na dosiahnutie validovanej priority spravodajstva nemožno primerane získať cieleným spôsobom“. Pozri vykonávacie nariadenie č. 14086, § 2 písm. c) bod ii) písm. A).

Okrem toho, pokiaľ spravodajské služby zistia, že hromadné získavanie spĺňa tieto kritériá, vo vykonávacom nariadení č. 14086 sa poskytujú dodatočné záruky. Konkrétne sa vo vykonávacom nariadení od spravodajských služieb vyžaduje, aby pri hromadnom získavaní „používali primerané metódy a technické opatrenia s cieľom obmedziť získavané údaje len na to, čo je potrebné na dosiahnutie validovanej priority spravodajstva, a aby zároveň minimalizovali získavanie nesúvisiacich informácií“. Pozri tamže. V nariadení sa ďalej uvádza, že „činnosti signálového spravodajstva“ zahŕňajúce vyhľadávanie v signálovom spravodajstve, ktoré bolo získané hromadne, „možno vykonávať len na základe zistenia založeného na primeranom posúdení všetkých relevantných faktorov, že dané činnosti sú potrebné na dosiahnutie validovanej priority spravodajstva“. Pozri tamže § 2 písm. a) bod ii) písm. A). V nariadení sa táto zásada ďalej vykonáva tým, že sa v ňom uvádza, že spravodajské služby môžu uskutočňovať vyhľadávanie v neminimalizovanom signálovom spravodajstve, ktoré bolo získané hromadne, len ak sa tým sleduje šesť prípustných cieľov, a že takéto vyhľadávanie sa musí vykonávať v súlade s politikami a postupmi, ktoré „primerane zohľadňujú vplyv [vyhľadávania] na ochranu súkromia a občianskych slobôd všetkých osôb bez ohľadu na ich štátnu príslušnosť alebo pobyt“. Pozri tamže § 2 písm. c) bod iii) písm. D). Napokon sa v nariadení stanovujú kontroly zaobchádzania so získanými údajmi, ich bezpečnosti a prístupu k nim. Pozri tamže § 2 písm. c) bod iii) písm. A) a B).

* * * * *

Veríme, že tieto objasnenia budú nápomocné. Neváhajte sa na nás obrátiť, ak máte ďalšie otázky o tom, ako spravodajské služby USA plánujú implementovať vykonávacie nariadenie č. 14086.

Sincerely,

Image 11

Christopher C. FONZONE,

generálny poradca


(1)  V rokoch 2001 až 2020 hlava V zákona FISA umožňovala FBI požiadať súd FISC o povolenie získať „hmotné veci“, ktoré sú relevantné pre určité povolené vyšetrovania. Pozri vlastenecký zákon USA (USA PATRIOT Act), Pub. L. 107-56, 115 Stat. 272, § 215 (2001). Týmto znením, ktoré stratilo platnosť a nie je teda už znením zákona, sa ukladala právomoc, na základe ktorej vláda naraz hromadne získavala metaúdaje telefónie. Toto ustanovenie bolo však ešte pred skončením jeho platnosti zmenené zákonom USA o slobode tak, že vláda je povinná vychádzať vo svojom návrhu predloženom súdu FISC z použitia „konkrétneho selektora“. Pozri zákon USA o slobode (USA FREEDOM Act), Pub. L. 114-23, 129 Stat. 268, § I 03 (2015).

(2)  Podľa oddielov 703 a 704, v ktorých sa spravodajské služby oprávňujú na zacielenie na občanov a rezidentov USA nachádzajúcich sa v zahraničí, sa vyžaduje súdny príkaz (s výnimkou núdzových situácií) a je vždy nutné, aby existovala dôvodná domnienka, že cieľom je zahraničná mocnosť, agent zahraničnej mocnosti alebo úradník či zamestnanec zahraničnej mocnosti. Pozri hlavu 50 § 1881b, 1881c Zákonníka Spojených štátov.


PRÍLOHA VIII

Zoznam skratiek

V tomto rozhodnutí sa vyskytujú tieto skratky:

AAA

Americké arbitrážne združenie

Nariadenie generálneho prokurátora

Nariadenie generálneho prokurátora o Súde pre preskúmanie dodržiavania ochrany údajov

AGG-DOM

Usmernenia generálneho prokurátora k domácim operáciám FBI

APA

Zákon o správnom konaní

CIA

Ústredná spravodajská služba

CNSS

Výbor pre systémy národnej bezpečnosti

Súdny dvor

Súdny dvor Európskej únie

Rozhodnutie

Vykonávacie rozhodnutie Komisie podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o primeranej úrovni ochrany osobných údajov na základe rámca pre ochranu osobných údajov medzi EÚ a USA

DHS

Ministerstvo vnútornej bezpečnosti

DNI

Riaditeľ národnej spravodajskej služby

Ministerstvo obchodu

Ministerstvo obchodu USA

Ministerstvo spravodlivosti

Ministerstvo spravodlivosti USA

Ministerstvo dopravy

Ministerstvo dopravy USA

Orgán pre ochranu osobných údajov (DPA)

Orgán pre ochranu osobných údajov

Zoznam zapojených organizácií

Zoznam organizácií zapojených do rámca pre ochranu osobných údajov

DPRC

Súd pre preskúmanie dodržiavania ochrany údajov

ECOA

Zákon o rovnakých úverových príležitostiach

ECPA

Zákon o ochrane súkromia v rámci elektronickej komunikácie

EHP

Európsky hospodársky priestor

Vykonávacie nariadenie č. 12333

Vykonávacie nariadenie č. 12333 „Spravodajská činnosť USA“

Vykonávacie nariadenie č. 14086, vykonávacie nariadenie

Vykonávacie nariadenie č. 14086 „Zlepšovanie záruk v rámci činností signálového spravodajstva USA“

Rámec pre ochranu osobných údajov medzi EÚ a USA (DPF)

Rámec pre ochranu osobných údajov medzi EÚ a USA

Výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA (DPF Panel)

Výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA

FBI

Federálny úrad pre vyšetrovanie

FCRA

Zákon o náležitom podávaní informácií o úverovej schopnosti

FISA

Zákon o sledovaní v rámci zahraničného spravodajstva

FISC

Súd pre sledovanie v rámci zahraničného spravodajstva

FISCR

Revízny súd pre sledovanie v rámci zahraničného spravodajstva

FOIA

Zákon o slobodnom prístupe k informáciám

FRA

Zákon o záznamoch federálnych agentúr

FTC

Federálna obchodná komisia USA

HIPAA

Zákon o prenosnosti a zúčtovateľnosti zdravotného poistenia

ICDR

Medzinárodné centrum pre riešenie sporov

IOB

Výbor pre dohľad nad spravodajskou službou

NIST

Národný normalizačný a technologický inštitút

NSA

Národná bezpečnostná agentúra

NSL

Príkaz(y) na vydanie informácií z dôvodu národnej bezpečnosti

ODNI

Úrad riaditeľa národnej spravodajskej služby

ODNI CLPO, CLPO

Úradník pre ochranu občianskych slobôd Úradu riaditeľa národnej spravodajskej služby

OMB

Úrad pre riadenie a rozpočet

OPCL

Úrad ministerstva spravodlivosti pre ochranu súkromia a občianskych slobôd

PCLOB

Rada pre dohľad nad ochranou súkromia a občianskych slobôd

PIAB

Poradný výbor prezidenta pre spravodajskú službu

PPD 28

Prezidentská politická smernica 28

Nariadenie (EÚ) 2016/679

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES

SAOP

Vysoký úradník agentúry pre ochranu súkromia

Zásady

Zásady rámca pre ochranu osobných údajov medzi EÚ a USA

USA

Spojené štáty

Únia

Európska únia


Top