(1)

Uredba (EU) 2016/679 (2) določa pravila o prenosu osebnih podatkov od upravljavcev ali obdelovalcev v Uniji v tretje države in mednarodne organizacije, če taki prenosi spadajo na področje uporabe navedene uredbe. Pravila o mednarodnem prenosu podatkov vsebuje poglavje V navedene uredbe. Čeprav je pretok osebnih podatkov v države zunaj Evropske unije in iz njih ključen za širitev čezmejne trgovine in mednarodnega sodelovanja, je treba zagotoviti, da zaradi takih prenosov v tretje države in mednarodne organizacije ni ogrožena raven varstva osebnih podatkov, ki se zagotavlja v Uniji (3).

(2)

V skladu s členom 45(3) Uredbe (EU) 2016/679 lahko Komisija z izvedbenim aktom odloči, da tretja država, ozemlje ali en oziroma več določenih sektorjev v tretji državi zagotavlja ustrezno varstvo. Pod tem pogojem se lahko osebni podatki v tretjo državo prenašajo brez dodatnega dovoljenja, kot je določeno v členu 45(1) in uvodni izjavi 103 Uredbe (EU) 2016/679.

(3)

Kot je navedeno v členu 45(2) Uredbe (EU) 2016/679, mora sprejetje sklepa o ustreznosti temeljiti na celoviti analizi pravnega reda tretje države, kar vključuje pravila, ki se uporabljajo glede uvoznikov podatkov, ter omejitve in zaščitne ukrepe glede dostopa javnih organov do osebnih podatkov. Komisija mora v oceni ugotoviti, ali zadevna tretja država zagotavlja raven varstva, ki je „v osnovi enakovredna“ tisti, zagotovljeni v Uniji (uvodna izjava 104 Uredbe (EU) 2016/679). Ali je tako, je treba oceniti glede na zakonodajo Unije, predvsem Uredbo (EU) 2016/679, in sodno prakso Sodišča Evropske unije (Sodišče) (4).

(4)

Kot je pojasnilo Sodišče Evropske unije v sodbi z dne 6. oktobra 2015, Maximillian Schrems/Data Protection Commissioner (5) (v nadaljnjem besedilu: sodba v zadevi Schrems), C-362/14, v ta namen ni nujno, da se ugotovi identična raven varstva. To pomeni zlasti, da se lahko sredstva, ki jih zadevna tretja država uporablja za varstvo osebnih podatkov, razlikujejo od tistih, ki jih uporablja Unija, če se v praksi izkaže, da so učinkovita pri zagotavljanju ustreznega varstva (6). Standard ustreznosti torej ne zahteva doslednega posnemanja pravil Unije. Pač pa se prouči, ali tuji sistem kot celota z vsebino pravic do zasebnosti ter njihovim učinkovitim izvajanjem, nadzorom in izvrševanjem zagotavlja zahtevano raven varstva (7). Poleg tega bi morala Komisija v skladu z navedeno sodbo pri uporabi tega standarda zlasti oceniti, ali pravni okvir zadevne tretje države zagotavlja predpise, katerih namen je omejiti posege v temeljne pravice posameznikov, katerih podatki se prenašajo iz Unije, ki naj bi jih državni subjekti v tej državi lahko izvajali, kadar poskušajo doseči legitimne cilje, kot je nacionalna varnost, in ali zagotavlja učinkovito pravno varstvo v primeru takih posegov (8). Smernice v zvezi s tem zagotavlja tudi „referenčni dokument o ustreznosti“, ki ga je izdal Evropski odbor za varstvo podatkov in v katerem je nadalje pojasnjen ta standard (9).

(5)

Veljavni standard v zvezi s takim posegom v temeljne pravice do zasebnosti in varstvo podatkov je Sodišče dodatno pojasnilo v svoji sodbi z dne 16. julija 2020 v zadevi Data Protection Commissioner/Facebook Ireland Limited in Maximillian Schrems (v nadaljnjem besedilu: sodba v zadevi Schrems II), C-311/18, s katero je bil razveljavljen Izvedbeni sklep Komisije (EU) 2016/1250 (10) o prejšnjem okviru čezatlantskega pretoka podatkov, tj. zasebnostnem ščitu EU-ZDA (zasebnostni ščit). Sodišče je menilo, da omejitve varstva osebnih podatkov, ki izhajajo iz notranje ureditve Združenih držav v zvezi z dostopom in uporabo podatkov, prenesenih iz Unije v Združene države za namene nacionalne varnosti, s strani javnih organov ZDA, niso urejene tako, da bi izpolnjevale zahteve, ki so v bistvu enakovredne zahtevam iz prava Unije glede potrebe in sorazmernosti takih posegov v pravico do varstva podatkov (11). Sodišče je tudi menilo, da ni na voljo pravnega sredstva pred organom, ki bi osebam, katerih podatki se prenesejo v Združene države, zagotavljal jamstva, ki so v bistvu enakovredna tistim, ki se zahtevajo s členom 47 Listine o pravici do učinkovitega pravnega sredstva (12).

(6)

Komisija je po sodbi v zadevi Schrems II začela pogovore z vlado ZDA, da bi se sprejel morebiten nov sklep o ustreznosti varstva, ki bi izpolnjeval zahteve iz člena 45(2) Uredbe (EU) 2016/679, kakor jih razlaga Sodišče. Združene države so na podlagi teh razprav 7. oktobra 2022 sprejele Odredbo št. 14086 „Krepitev zaščitnih ukrepov za obveščevalne dejavnosti SIGINT ZDA“ (Odredba št. 14086), ki jo dopolnjuje uredba o sodišču za presojo varstva podatkov (Data Protection Review Court, v nadaljnjem besedilu: DPRC), ki jo je izdal pravosodni minister ZDA (AG Regulation, v nadaljnjem besedilu: uredba pravosodnega ministra) (13). Poleg tega je bil posodobljen okvir, ki se uporablja za poslovne subjekte, ki obdelujejo podatke, prenesene iz Unije na podlagi sedanjega sklepa – „okvira za varstvo zasebnosti podatkov med EU in ZDA“ (Data Privacy Framework, v nadaljnjem besedilu: DPF EU-ZDA ali DPF).

(7)

Komisija je podrobno proučila zakonodajo in prakso ZDA, vključno z Odredbo št. 14086 in uredbo pravosodnega ministra. Na podlagi ugotovitev iz uvodnih izjav 9 do 200 Komisija ugotavlja, da ZDA zagotavljajo ustrezno varstvo osebnih podatkov, ki se na podlagi DPF EU-ZDA prenašajo od upravljavca oziroma obdelovalca v Uniji (14) certificiranim organizacijam v ZDA.

(8)

Ta sklep pomeni, da za prenos osebnih podatkov od upravljavcev in obdelovalcev v Uniji (15) certificiranim organizacijam v ZDA ni treba pridobiti nobenega dodatnega dovoljenja. Ne vpliva na neposredno uporabo Uredbe (EU) 2016/679 za take organizacije, če so izpolnjeni pogoji glede ozemeljske veljavnosti navedene uredbe iz njenega člena 3.

(9)

DPF EU-ZDA temelji na sistemu certificiranja, s katerim se organizacije v ZDA zavežejo sklopu načel zasebnosti, tj. „načelom okvira za varstvo zasebnosti podatkov med EU in ZDA“, vključno z dodatnimi načeli (v nadaljnjem besedilu skupaj: načela), ki jih je izdalo Ministrstvo za trgovino ZDA (Department of Commerce, v nadaljnjem besedilu: ministrstvo za trgovino) in jih vsebuje Priloga I k temu sklepu (16). Da bi bila organizacija upravičena do certificiranja na podlagi DPF EU-ZDA, morajo zanjo veljati preiskovalna in izvršilna pooblastila Zvezne komisije za trgovino (Federal Trade Commission, v nadaljnjem besedilu: FTC) ali Ministrstva za promet ZDA (Department of Transportation, v nadaljnjem besedilu: ministrstvo za promet) (17). Načela zasebnosti začnejo veljati takoj po certificiranju. Kot je podrobneje pojasnjeno v uvodnih izjavah 48 do 52, se od organizacij v DPF EU-ZDA zahteva, da vsako leto znova potrdijo svojo zavezanost načelom (18).

(10)

Varstvo, ki ga zagotavlja DPF EU-ZDA, se uporablja za vse osebne podatke, ki se prenašajo iz Unije organizacijam v ZDA, ki so certificirale svojo zavezanost načelom pri ministrstvu za trgovino, razen podatkov, ki se zbirajo za objavo v časopisu ali po radiu in televiziji ali za drugo obliko javnega sporočanja novinarskega gradiva in informacij v predhodno objavljenem gradivu, razširjenem iz medijskih arhivov (19). Takih informacij zato ni mogoče prenašati na podlagi DPF EU-ZDA.

(11)

V načelih so osebni podatki/osebne informacije opredeljeni enako kot v Uredbi (EU) 2016/679, tj. kot „podatki o določenem ali določljivem posamezniku, ki so zapisani v kateri koli obliki in spadajo na področje uporabe Splošne uredbe o varstvu podatkov ter jih organizacije v ZDA prejmejo iz Evropske unije“ (20). Zato zajemajo tudi psevdonimizirane (ali „kodirane s šifrirnim ključem“) raziskovalne podatke (tudi če ključ ni izmenjan s prejemno organizacijo v ZDA) (21). Podobno je pojem obdelave opredeljen kot „vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje ali razširjanje in izbris ali uničenje“ (22).

(12)

DPF EU-ZDA se uporablja za organizacije v ZDA, ki se štejejo za upravljavce (tj. osebo ali organizacijo, ki sama ali v sodelovanju z drugimi določa namene in sredstva obdelave osebnih podatkov) (23), ali obdelovalce (tj. posrednike, ki delujejo v imenu upravljavca) (24). Obdelovalci v ZDA morajo biti pogodbeno zavezani, da delujejo samo po navodilih upravljavca EU, kateremu pomagajo pri odgovorih posameznikom, ki uveljavljajo svoje pravice po načelih (25). Poleg tega mora obdelovalec v primeru podobdelave skleniti pogodbo s podobdelovalcem, ki zagotavlja enako raven varstva, kot jo zagotavljajo načela, in sprejeti ukrepe za zagotovitev njenega pravilnega izvajanja (26).

(13)

Osebni podatki bi se morali obdelovati zakonito in pošteno. Zbirati bi se morali za določen namen in se nato uporabljati samo, če to ni nezdružljivo z namenom obdelave.

(14)

Na podlagi DPF EU-ZDA je to zagotovljeno z različnimi načeli. Prvič, podobno kot na podlagi člena 5(1), točka (b), Uredbe (EU) 2016/679 organizacija na podlagi načela o celovitosti podatkov in omejitve namena ne sme obdelovati osebnih podatkov na način, ki ni združljiv z namenom, za katerega so bili podatki prvotno zbrani ali ki ga je posameznik, na katerega se nanašajo osebni podatki, naknadno odobril (27).

(15)

Drugič, organizacija mora pred uporabo osebnih podatkov za nov (spremenjen) namen, ki je bistveno drugačen, vendar še vedno združljiv s prvotnim namenom, ali njihovim razkritjem tretji stranki v skladu z načelom možnosti izbire (28) posameznikom, na katere se nanašajo osebni podatki, z jasnim, razumljivim in dostopnim postopkom zagotoviti možnost ugovora (zavrnitve). Pomembno je, da to načelo ne nadomešča izrecne prepovedi nezdružljive obdelave (29).

(16)

Pri obdelavi posebnih vrst podatkov bi morali veljati posebni zaščitni ukrepi.

(17)

V skladu z načelom možnosti izbire se za obdelavo „občutljivih podatkov“, tj. osebnih podatkov, ki določajo zdravniško in zdravstveno stanje, rasno in etnično pripadnost, politična, verska in filozofska prepričanja, sindikalno članstvo, podatkov o spolnem življenju posameznika ali katerih koli drugih informacij, prejetih od tretje stranke, ki jih navedena stranka identificira in obravnava kot občutljive, uporabljajo posebni zaščitni ukrepi (30). To pomeni, da bodo certificirane organizacije vse podatke, ki se na podlagi prava Unije o varstvu podatkov štejejo za občutljive (vključno s podatki o spolni usmerjenosti, genetskimi podatki in biometričnimi podatki), na podlagi DPF EU-ZDA obravnavale kot občutljive.

(18)

Praviloma morajo organizacije za uporabo občutljivih podatkov za namene, ki niso nameni, za katere so bili prvotno zbrani ali ki jih je posameznik naknadno odobril (tj. s privolitvijo), ali za njihovo razkritje tretjim strankam od posameznikov pridobiti izrecno pritrdilno soglasje (privolitev) (31).

(19)

Takega soglasja ni treba pridobiti v omejenih okoliščinah, ki so podobne izjemam, določenim na podlagi prava Unije o varstvu podatkov ali primerljive z njimi, tj. če je obdelava občutljivih podatkov v življenjskem interesu osebe, potrebna za uveljavitev pravnih zahtevkov ali nujna za zagotovitev zdravstvene nege ali diagnoze (32).

(20)

Podatki bi morali biti točni in po potrebi posodobljeni. Prav tako bi morali biti osebni podatki ustrezni, relevantni ter ne bi smeli presegati namenov, za katere se obdelujejo; načeloma se jih ne bi smelo hraniti dlje, kot je potrebno za namene, za katere se obdelujejo.

(21)

V skladu z načelom celovitosti podatkov in omejitve namena (33) morajo biti osebni podatki omejeni na tisto, kar je pomembno za obdelavo. Organizacije morajo prav tako v obsegu, potrebnem za namene obdelave, z ustreznimi ukrepi zagotoviti, da so podatki zanesljivi za nameravano uporabo, točni, popolni in trenutni.

(22)

Poleg tega se lahko osebni podatki hranijo v obliki, ki omogoča identifikacijo posameznika (in s tem v obliki osebnih podatkov) (34), le dokler služijo namenom, za katere so bili prvotno zbrani ali ki jih je posameznik v skladu z načelom možnosti izbire naknadno odobril. Ta obveznost organizacijam ne preprečuje nadaljnje obdelave osebnih podatkov za daljša obdobja, temveč le za obdobje in v obsegu, v katerih se taka obdelava razumno uporablja za enega od naslednjih posebnih namenov, ki so podobni izjemam na podlagi prava Unije o varstvu podatkov ali primerljivi z njimi: arhiviranje v javnem interesu, novinarstvo, literaturo in umetnost, znanstvene in zgodovinske raziskave ter statistično analizo (35). Če se osebni podatki hranijo za enega od teh namenov, je njihova obdelava predmet zaščitnih ukrepov v skladu z načeli (36).

(23)

Osebne podatke je treba obdelovati tudi tako, da je zagotovljena njihova varnost, vključno z varstvom pred nepooblaščeno ali nezakonito obdelavo in pred nenamerno izgubo, uničenjem ali poškodovanjem. Zato bi morali upravljavci in obdelovalci sprejeti ustrezne tehnične ali organizacijske ukrepe za varstvo osebnih podatkov pred morebitnimi grožnjami. Pri ocenjevanju teh ukrepov bi bilo treba upoštevati najnovejše znanstvene dosežke, s tem povezane stroške ter naravo, obseg, kontekst in namen obdelave, pa tudi tveganja za pravice posameznikov.

(24)

Na podlagi DPF EU-ZDA se to zagotavlja z načelom varnosti, ki podobno kot člen 32 Uredbe (EU) 2016/679 določa, da je treba glede na tveganja, ki jih vključujeta obdelava in narava podatkov, sprejeti razumne in ustrezne varnostne ukrepe (37).

(25)

Posamezniki, na katere se nanašajo osebni podatki, morajo biti obveščeni o glavnih značilnostih obdelave svojih osebnih podatkov.

(26)

To se zagotavlja z načelom obvestila (38), s katerim se podobno kot z zahtevami glede preglednosti na podlagi Uredbe (EU) 2016/679 od organizacij zahteva, da posameznike, na katere se nanašajo osebni podatki, med drugim obvestijo o (i) sodelovanju organizacije v DPF, (ii) vrsti zbranih podatkov, (iii) namenu obdelave, (iv) vrsti ali identiteti tretjih strank, ki jim bodo morda razkriti osebni podatki, in namenih takega razkritja, (v) njihovih pravicah posameznikov, (vi) načinu vzpostavitve stika z organizacijo ter (vii) razpoložljivih možnostih pravnih sredstev.

(27)

To obvestilo mora biti jasno in nedvoumno, ko so posamezniki prvič zaprošeni za zagotovitev osebnih podatkov ali kakor hitro je izvedljivo za tem, v vsakem primeru pa pred uporabo podatkov za bistveno drugačne (vendar združljive) namene, ki niso tisti, za katere so bili prvotno zbrani, ali pred njihovim razkrijem tretji stranki (39).

(28)

Poleg tega morajo organizacije svoje politike zasebnosti, ki izražajo načela, objaviti (ali jih v primeru podatkov o človeških virih takoj dati na voljo zadevnim posameznikom) ter navesti povezave na spletišče ministrstva za trgovino (s podrobnejšimi informacijami o certificiranju, pravicah posameznikov, na katere se nanašajo osebni podatki, razpoložljivih pritožbenih mehanizmih), seznam sodelujočih organizacij, vključenih v okvir za varstvo zasebnosti podatkov (seznam DPF), in spletišče ustreznega organa za alternativno reševanje sporov (40).

(29)

Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti določene pravice, ki jih lahko uresničujejo zoper upravljavca ali obdelovalca, zlasti pravico do dostopa do podatkov, pravico ugovarjati obdelavi in pravico do popravka in izbrisa podatkov.

(30)

V DPF EU-ZDA zagotavlja take pravice posameznikom načelo dostopa (41). Zlasti imajo posamezniki, na katere se nanašajo osebni podatki, pravico, da brez utemeljitve od organizacije pridobijo potrditev, da organizacija obdeluje osebne podatke, povezane z njimi, da jim podatke sporoči v razumnem času in da pridobijo informacije o namenu obdelave, kategorijah osebnih podatkov, ki se obdelujejo, in o prejemnikih (kategorijah), ki se jim podatki razkrijejo (42). Organizacije se morajo na zahteve za dostop odzvati v razumnem roku (43). Organizacija lahko postavi razumne omejitve glede številka poskusov v določenem obdobju, v katerem bodo izpolnjene zahteve za dostop nekega posameznika, in lahko zaračuna pristojbino, ki ni pretirano visoka, npr. kadar so zahteve očitno previsoke, zlasti zaradi njihove ponavljajoče se narave (44).

(31)

Pravico dostopa do osebnih podatkov je mogoče omejiti v izjemnih okoliščinah, ki so podobne okoliščinam, določenim na podlagi prava Unije o varstvu podatkov, zlasti kadar bi bile kršene zakonite pravice drugih, kadar bi bili stroški ali izdatki za zagotovitev dostopa nesorazmerni s tveganji za zasebnost posameznika zadevnem primeru (čeprav izdatki in stroški niso prevladujoči dejavniki pri ugotavljanju, ali je zagotovitev dostopa razumna ali ne), kadar obstaja verjetnost, da bi razkritje podatkov poseglo v zaščito pomembnih nasprotujočih si javnih interesov, kot so nacionalna varnost, javna varnost ali obramba, kadar podatki vsebujejo zaupno tržno informacijo ali pa se podatki obdelujejo izključno za namene raziskav in statistike (45). Vsako zanikanje ali omejitev pravice je treba nujno in ustrezno utemeljiti, pri čemer mora organizacija dokazati, da so te zahteve izpolnjene (46). Organizacija mora pri tej presoji upoštevati zlasti interese posameznika (47). Če je mogoče informacijo ločiti od drugih podatkov, za katere se uporablja omejitev, mora organizacija prekriti zaščiteno informacijo in dati na voljo preostale podatke (48).

(32)

Poleg tega imajo posamezniki, na katere se nanašajo osebni podatki, pravico, da dosežejo popravo ali spremembo netočnih podatkov ter izbris podatkov, ki so bili obdelani v nasprotju z načeli (49). Kot je pojasnjeno v uvodni izjavi 15, imajo posamezniki poleg tega pravico, da nasprotujejo obdelavi / zavrnejo obdelavo svojih podatkov za namene, ki se bistveno razlikujejo od namenov, za katere so bili podatki zbrani (vendar so združljivi z njimi), in da nasprotujejo razkritju / zavrnejo razkritje svojih podatkov tretjim strankam. Če se osebni podatki uporabljajo za namene neposrednega trženja, imajo posamezniki splošno pravico, da obdelavo kadar koli zavrnejo (50).

(33)

V načelih niso izrecno obravnavane odločitve, ki vplivajo na posameznika, na katerega se nanašajo osebni podatki, na podlagi izključno samodejne obdelave osebnih podatkov. Vendar glede osebnih podatkov, zbranih v Uniji, velja, da vse odločitve, ki temeljijo na samodejni obdelavi, po navadi sprejme upravljavec v Uniji (ki ima neposredno razmerje z zadevnim posameznikom, na katerega se nanašajo osebni podatki), zato se zanj neposredno uporablja Uredba (EU) 2016/679 (51). To vključuje tudi primere prenosa, ko obdelavo izvaja tuji (npr. ameriški) poslovni subjekt, ki deluje kot zastopnik (obdelovalec) v imenu upravljavca iz Unije (ali kot podobdelovalec, ki deluje v imenu obdelovalca iz Unije, ta pa je podatke prejel od upravljavca podatkov iz Unije, ki jih je zbral) in nato na tej podlagi sprejme odločitev.

(34)

To je bilo potrjeno s študijo, ki jo je Komisija naročila leta 2018 v okviru drugega letnega pregleda delovanja zasebnostnega ščita (52), v kateri je bilo ugotovljeno, da takrat ni bilo nobenega dokaza, da samodejno odločanje običajno izvajajo organizacije v zasebnostnem ščitu na podlagi osebnih podatkov, ki se prenašajo v okviru zasebnostnega ščita.

(35)

Na področjih, kjer podjetja najverjetneje uporabljajo samodejno obdelavo osebnih podatkov za sprejemanje odločitev, ki vplivajo na posameznika (npr. dajanje posojil, nudenje hipotek, zaposlovanje, stanovanja in zavarovanje), zakonodaja ZDA vsekakor zagotavlja posebno varstvo pred zavrnilnimi odločitvami (53). Ti akti posameznikom običajno zagotavljajo pravico do obveščenosti o posebnih razlogih, na katerih temelji odločitev (npr. zavrnitev odobritve posojila), do oporekanja nepopolnim ali netočnim informacijam (pa tudi uporabi nezakonitih elementov) in uveljavljanja pravnih sredstev. Na področju potrošniških kreditov zakon o poštenem kreditnem poročanju (Fair Credit Reporting Act, v nadaljnjem besedilu: FCRA) in zakon o enakih možnostih pridobitve posojila (Equal Credit Opportunity Act, v nadaljnjem besedilu: ECOA) vsebujeta zaščitne ukrepe, ki potrošnikom zagotavljajo nekakšno pravico do pojasnila in pravico do izpodbijanja odločitve. Ta zakona sta pomembna na najrazličnejših področjih, vključno s krediti, zaposlovanjem, stanovanji in zavarovanjem. Poleg tega nekateri protidiskriminacijski zakoni, kot sta naslov VII zakona o državljanskih pravicah (Civil Rights Act) in zakon proti diskriminaciji v zvezi s prodajo in z najemom stanovanj in hiš (Fair Housing Act, v nadaljevanju: FHA), posameznikom zagotavljajo varstvo v zvezi z modeli, ki se uporabljajo pri samodejnem odločanju, ki bi lahko povzročili diskriminacijo na podlagi nekaterih značilnosti, in jih podeljujejo pravice do izpodbijanja takih odločitev, vključno s samodejnimi. Kar zadeva informacije o zdravstvenem stanju, pravilo o zasebnosti iz zakona o prenosljivosti zdravstvenega zavarovanja in odgovornostih pri njem (Health Insurance Portability and Accountability Act, v nadaljnjem besedilu: HIPAA) vzpostavlja nekatere pravice, podobne pravicam iz Uredbe (EU) 2016/679 v zvezi z dostopom do osebnih informacij o zdravstvenem stanju. Poleg tega smernice organov ZDA vsebujejo zahtevo, da izvajalci zdravstvenih storitev prejmejo informacije, ki jim omogočajo, da posameznike obvestijo o sistemih samodejnega odločanja, ki se uporabljajo v medicinskem sektorju (54).

(36)

Ta pravila zato zagotavljajo varstvo, ki je podobno varstvu na podlagi prava Unije o varstvu podatkov v malo verjetnem primeru, v katerem bi odločitve sprejemala sama organizacija v DPF EU-ZDA.

(37)

Raven varstva, zagotovljena osebnim podatkom, ki se iz Unije prenesejo v organizacije v ZDA, se z nadaljnjim prenosom takih podatkov prejemniku v Združenih državah ali v drugi državi ne sme poslabšati.

(38)

Na podlagi načela odgovornosti za prenos tretjemu (55) se uporabljajo posebna pravila za tako imenovane prenose tretjemu, tj. prenose osebnih podatkov z organizacije v DPF EU-ZDA na tretjega upravljavca ali obdelovalca, ne glede na to, ali je ta v ZDA ali tretji državi zunaj ZDA (in Unije). Kakršen koli prenos tretjemu se lahko izvaja samo (i) za omejene in določene namene, (ii) na podlagi pogodbe med organizacijo v DPF EU-ZDA in tretjo stranko (56) (ali primerljivega dogovora v skupini podjetij (57)) in (iii) samo, če navedena pogodba zagotavlja tretji stranki enako raven varstva, kot jo zagotavljajo načela.

(39)

Ta obveznost glede zagotavljanja enake ravni varstva, kot jo zagotavljajo načela, v povezavi z načelom celovitosti podatkov in omejitve namena zlasti pomeni, da lahko tretja stranka obdeluje samo osebne podatke, ki so preneseni nanjo za namene, ki so skladni z nameni, za katere so bili prvotno zbrani ali ki jih je posameznik naknadno odobril (v skladu z načelom možnosti izbire).

(40)

Načelo odgovornosti za prenos tretjemu bi bilo treba razlagati tudi v povezavi z načelom obvestila in, v primeru prenosa tretjemu upravljavcu (58), z načelom možnosti izbire, v skladu s katerima morajo biti posamezniki, na katere se nanašajo osebni podatki, obveščeni (med drugim) o vrsti/identiteti katerega koli tretjega prejemnika, namenu prenosa tretjemu in možnostih izbire, ter lahko nasprotujejo prenosom tretjemu (oziroma jih zavrnejo) ali morajo, v primeru občutljivih podatkov, dati „izrecno pritrdilno soglasje“ (privolitev) za prenos tretjemu.

(41)

Obveznost zagotavljanja enake ravni varstva, kot jo zahtevajo načela, velja za katero koli in vse tretje stranke, vključene v obdelavo podatkov, ki se prenašajo na tak način, ne glede na njihovo lokacijo (v ZDA ali drugi tretji državi), pa tudi, kadar sam prvotni tretji prejemnik prenaša zadevne podatke drugemu tretjemu prejemniku, na primer za namene podobdelave.

(42)

V vseh primerih mora biti v pogodbi s tretjim prejemnikom določeno, da bo ta obvestil organizacijo v DPF EU-ZDA, če bo ugotovil, da ne more več izpolnjevati te obveznosti. V primeru take ugotovitve se mora obdelava s strani tretje stranke prenehati, ali pa je treba sprejeti druge razumne in ustrezne ukrepe za izboljšanje stanja (59).

(43)

Dodatno varstvo se uporablja v primeru prenosa tretjemu posredniku (tj. obdelovalec). V takem primeru mora organizacija v ZDA zagotoviti, da posrednik deluje po njenih navodilih, in sprejeti razumne in ustrezne ukrepe (i) za zagotovitev, da posrednik učinkovito obdeluje osebne podatke, ki se prenašajo v skladu z obveznostmi organizacije po načelih ter (ii) za ustavitev in prenehanje nedovoljene obdelave na podlagi obvestila (60). Ministrstvo za trgovino lahko od organizacije zahteva, naj zagotovi povzetek ali reprezentativni izvod določb o zasebnosti iz pogodbe (61). Kadar se v verigi (pod)obdelave pojavijo težave glede skladnosti, bo načeloma organizacija, ki deluje kot upravljavec osebnih podatkov, prevzela odgovornost, kot je navedeno v načelu pritožbenega mehanizma, izvrševanja in odgovornosti, razen če dokaže, da ni odgovorna za dogodek, ki povzroča škodo (62).

(44)

V skladu z načelom odgovornosti morajo subjekti, ki obdelujejo podatke, sprejeti ustrezne tehnične in organizacijske ukrepe, da lahko uspešno izpolnjujejo svoje obveznosti glede varstva podatkov in dokažejo tako izpolnjevanje, predvsem pristojnim nadzornim organom.

(45)

Ko se organizacija prostovoljno odloči za certificiranje (63) v na podlagi DPF EU-ZDA, je njeno dejansko izpolnjevanje načel obvezno in izvršljivo. Na podlagi načela pritožbenega mehanizma, izvrševanja in odgovornosti (64) morajo organizacije v DPF EU-ZDA zagotoviti učinkovite mehanizme za zagotovitev skladnosti z načeli. Organizacije morajo sprejeti tudi ukrepe za preverjanje (65), ali so njihove politike zasebnosti skladne z načeli in ali dejansko ravnajo v skladu z njimi. To se lahko izvede s sistemom samoocenjevanja, ki mora vključevati notranje postopke, ki zagotavljajo, da so zaposleni deležni usposabljanja o izvajanju politik organizacije glede zasebnosti in da se skladnost redno objektivno preverja, ali, pri zunanjih pregledih skladnosti, z metodami, ki lahko vključujejo revizijo, naključne preglede ali uporabo tehnoloških orodij.

(46)

Poleg tega morajo organizacije voditi evidenco o svojem izvajanju praks na podlagi DPF EU-ZDA in jo na zahtevo v okviru preiskave ali pritožbe zaradi neskladnosti dati na voljo neodvisnemu organu za reševanje sporov ali pristojnemu izvršnemu organu (66).

(47)

DPF EU-ZDA bo upravljalo in spremljalo ministrstvo za trgovino. Okvir zagotavlja mehanizme nadzora in izvrševanja za preverjanje in zagotavljanje, da organizacije v DPF EU-ZDA spoštujejo načela in da se obravnava vsako nespoštovanje načel. Ti mehanizmi so določeni v načelih (Priloga I) ter zavezah ministrstva za trgovino (Priloga III), FTC (Priloga IV) in ministrstva za promet (Priloga V).

(48)

Za certificiranje na podlagi DPF EU-ZDA (ali vsakoletno ponovno certificiranje) se morajo organizacije javno zavezati spoštovanju načel, dati na voljo svoje politike zasebnosti in jih v celoti izvajati (67). V okviru svoje vloge za (ponovno) certificiranje morajo organizacije ministrstvu za trgovino predložiti informacije, med drugim o imenu zadevne organizacije, opisu namenov, za katere bo organizacija obdelovala osebne podatke, osebnih podatkih, ki jih bo zajemalo certificiranje, pa tudi o izbrani metodi preverjanja, ustreznem neodvisnem pritožbenem mehanizmu in zakonsko določenem organu, pristojnem za uveljavljanje skladnosti z načeli (68).

(49)

Organizacije lahko prejmejo osebne podatke na podlagi DPF EU-ZDA od datuma, ko jih ministrstvo za trgovino uvrsti na seznam DPF. Za zagotovitev pravne varnost in preprečitev „lažnih navedb“ se organizacije, ki se certificirajo prvič, ne smejo javno sklicevati na svoje spoštovanje načel, dokler ministrstvo za trgovino ne ugotovi, da je vloga za certificiranje, ki jo je vložila organizacija, popolna, in organizacije ne doda na seznam DPF (69). Da bi se lahko še naprej sklicevale na DPF EU-ZDA za prejemanje podatkov iz Unije, morajo take organizacije vsako leto znova potrditi svojo udeležbo v okviru. Če organizacija iz katerega koli razloga zapusti DPF EU-ZDA, mora umakniti vse izjave, ki kažejo na to, da še naprej sodeluje v navedenem okviru (70).

(50)

Kot je navedeno v zavezah iz Priloge III, bo ministrstvo za trgovino preverilo, ali organizacije izpolnjujejo vse zahteve za certificiranje in ali so uvedle (javno) politiko zasebnosti, ki vsebuje informacije, potrebne na podlagi načela obvestila (71). Ministrstvo za trgovino bo na podlagi izkušenj s postopkom (ponovnega) certificiranja v okviru zasebnostnega ščita izvedlo številne preglede, tudi za preverjanje, ali politike zasebnosti organizacij vsebujejo hiperpovezavo na pravilen obrazec za pritožbe na spletišču ustreznega pritožbenega mehanizma in, kadar je v vlogo za certificiranje vključenih več subjektov ali podružnic ene organizacije, ali politike zasebnosti vsakega od navedenih subjektov izpolnjujejo zahteve za certificiranje in ali so na voljo posameznikom, na katere se nanašajo osebni podatki (72). Poleg tega bo ministrstvo za trgovino po potrebi skupaj s FTC in ministrstvom za promet izvedlo navzkrižne preglede, da bi preverilo, ali so organizacije predmet nadzornega organa, navedenega v njihovih vlogah za (ponovno) certificiranje, in bo sodelovalo z organi za alternativno reševanje sporov za preverjanje, ali so organizacije registrirane v neodvisnem pritožbenem mehanizmu, navedenem v njihovi vlogi za (ponovno) certificiranje (73).

(51)

Ministrstvo za trgovino bo organizacije obvestilo, da morajo za opravo (ponovnega) certificiranja obravnavati vse težave, ugotovljene med njegovim pregledom. Če se organizacija ne odzove v roku, ki ga določi ministrstvo za trgovino (kar zadeva ponovno certificiranje, bi se na primer pričakovalo, da bo postopek zaključen v 45 dneh) (74), ali svojega certificiranja ne opravi drugače, se bo štelo, da je od vloge odstopila. V takem primeru je lahko vsako zavajanje o sodelovanju v DPF EU-ZDA ali skladnosti z njim predmet izvršilnih ukrepov FTC ali ministrstva za promet (75).

(52)

Za zagotovitev pravilne uporabe DPF EU-ZDA morajo biti zainteresirane strani, kot so posamezniki, na katere se nanašajo osebni podatki, izvozniki podatkov in nacionalni organi za varstvo podatkov, sposobne opredeliti organizacije, ki spoštujejo načela. Za zagotovitev take preglednosti na „vstopni točki“ se je ministrstvo za trgovino zavezalo, da bo vodilo seznam organizacij, ki so certificirale zavezanost načelom in spadajo v pristojnost vsaj enega od organov pregona, navedenih v prilogah IV in V k temu sklepu, ter javnosti omogočilo dostop do takega seznama (76). Ministrstvo za trgovino bo posodabljalo seznam na podlagi letne vloge organizacije za ponovno certificiranje ali kadar organizacija izstopi iz DPF EU-ZDA ali je izločena iz njega. Poleg tega bo ministrstvo za trgovino za zagotovitev preglednosti tudi na „izstopni točki“ vodilo evidenco organizacij, ki so bile odstranjene s seznama, in javnosti omogočilo dostop do nje, pri čemer bo v vsakem primeru navedlo razloge za tako odstranitev (77). Nazadnje, v DPF EU-ZDA bo zagotovil povezavo na spletno mesto FTC, na katerem bodo navedeni izvršilni ukrepi FTC na podlagi navedenega okvira (78).

(53)

Ministrstvo za trgovino bo redno spremljalo dejansko izpolnjevanje načel DPF EU-ZDA s strani organizacij z različnimi mehanizmi (79). Zlasti bo pri naključno izbranih organizacijah izvajalo „preglede na kraju samem“, pri nekaterih organizacijah pa tudi ad hoc preglede na kraju samem, kadar so ugotovljene morebitne težave v zvezi s skladnostjo (npr. ki jih ministrstvu za trgovino sporočijo tretje stranke), da bi preverilo, ali so (i) kontaktne točke za obravnavanje pritožb in zahtevkov posameznikov, na katere se nanašajo osebni podatki, na voljo in odzivne; ali je (ii) politika zasebnosti organizacije dostopna na spletišču in tudi prek hiperpovezave na spletišču ministrstva za trgovino; ali (iii) politika zasebnosti organizacije še naprej izpolnjuje zahteve za certificiranje in ali je (iv) s strani organizacij izbrani neodvisni mehanizem za reševanje sporov na voljo za obravnavanje pritožb (80).

(54)

Če obstajajo verodostojni dokazi, da organizacija ne izpolnjuje svojih zavez na podlagi DPF EU-ZDA (tudi če ministrstvo za trgovino prejme pritožbe ali organizacija ne odgovori zadovoljivo na poizvedbe ministrstva za trgovino), bo ministrstvo za trgovino od organizacije zahtevalo, naj izpolni in predloži izčrpen vprašalnik (81). Organizacija, ki na vprašalnik ne odgovori zadovoljivo in pravočasno, bo napotena na ustrezen organ (FTC ali ministrstvo za promet) za morebitne izvršilne ukrepe (82). Ministrstvo za trgovino je v okviru svojih dejavnosti spremljanja v okviru zasebnostnega ščita redno izvajalo preglede na kraju samem, navedene v uvodni izjavi 53, in ves čas spremljalo javna poročila, ki so mu omogočila, da je ugotovilo, obravnavalo in rešilo težave v zvezi s skladnostjo (83). Organizacije, ki vztrajno ne spoštujejo načel, bodo odstranjene s seznama DPF ter morajo vrniti ali izbrisati osebne podatke, prejete na podlagi navedenega okvira (84).

(55)

V drugih primerih odstranitve, kot je prostovoljna prekinitev sodelovanja ali neizvedba ponovnega certificiranja, mora organizacija bodisi izbrisati bodisi vrniti podatke, ali pa jih lahko zadrži, če pri ministrstvu za trgovino vsako leto potrdi svojo zavezanost nadaljnji uporabi načel ali zagotovi ustrezno varstvo osebnih podatkov z drugimi dovoljenimi sredstvi (npr. z uporabo pogodbe, ki v celoti izraža zahteve ustreznih standardnih pogodbenih klavzul, ki jih je odobrila Komisija) (85). V tem primeru mora organizacija določiti tudi kontaktno točko v organizaciji za vsa vprašanja, povezana z DPF EU-ZDA.

(56)

Ministrstvo za trgovino bo spremljalo vse lažne navedbe o sodelovanju v DPF EU-ZDA ali nepravilni uporabi certifikacijske oznake DPF EU-ZDA po uradni dolžnosti in tudi na podlagi pritožb (tj. prejetih od organov za varstvo podatkov) (86). Ministrstvo za trgovino bo zlasti redno preverjalo, da organizacije, ki (i) prekinejo sodelovanje v DPF EU-ZDA, (ii) ne opravijo letnega ponovnega certificiranja (tj. so ga bodisi začele, vendar postopka letnega ponovnega certificiranja niso pravočasno zaključile, bodisi postopka letnega ponovnega certificiranja niso niti začele), (iii) so izločene kot udeleženec, zlasti zaradi „vztrajnega neizpolnjevanja načel“ ali (iv) ne opravijo začetnega certificiranja (tj. so ga začele, vendar postopka začetnega certificiranja niso pravočasno zaključile), odstranijo iz vseh ustreznih objavljenih politik zasebnosti sklice na DPF EU-ZDA, ki kažejo na to, da organizacija dejavno sodeluje v navedenem okviru (87). Ministrstvo za trgovino bo prav tako s spletnim iskanjem odkrivalo sklice na DPF EU-ZDA v politikah zasebnosti organizacij, vključno z odkrivanjem lažnih navedb organizacij, ki niso nikoli sodelovale v DPF EU-ZDA (88).

(57)

Če ministrstvo za trgovino ugotovi, da sklici na DPF EU-ZDA niso bili odstranjeni ali da se nepravilno uporabljajo, bo organizacijo obvestilo o morebitni predložitvi zadeve FTC/ministrstvu za promet (89). Če organizacija ne odgovori zadovoljivo, bo ministrstvo za trgovino zadevo predložilo ustreznemu organu pregona za morebitne izvršilne ukrepe (90). Vsako zavajanje širše javnosti v zvezi z zavezanostjo organizacije načelom v obliki zavajajočih izjav ali praks je lahko predmet izvršilnih ukrepov FTC, ministrstva za promet ali drugih ustreznih izvršnih organov ZDA. Zavajanje ministrstva za trgovino se lahko preganja po zakonu o lažnih navedbah (False Statements Act) (člen 1001 naslova 18 zakonodajne zbirke ZDA).

(58)

Da se zagotovi ustrezna raven varstva podatkov v praksi, bi bilo treba vzpostaviti neodvisen nadzorni organ, pooblaščen za spremljanje in zagotavljanje skladnosti s pravili o varstvu podatkov.

(59)

Organizacije v DPF EU-ZDA morajo biti v pristojnosti organov ZDA (FTC ali ministrstvo za promet), ki imajo potrebna preiskovalna in izvršilna pooblastila za učinkovito zagotavljanje skladnosti z načeli (91).

(60)

FTC je neodvisen organ, ki ga sestavlja pet komisarjev, ki jih imenuje predsednik po posvetovanju senata in z njegovim soglasjem (92). Komisarji so imenovani za sedemletno obdobje in jih lahko razreši le predsednik, in sicer zaradi neučinkovitosti, zanemarjanja dolžnosti ali zlorabe uradnega položaja. FTC ne sme imeti več kot tri komisarje iz iste politične stranke, komisarji pa med svojim mandatom ne smejo opravljati nobenih drugih poslov, poklica ali zaposlitve.

(61)

FTC lahko preiskuje skladnost z načeli, pa tudi lažne navedbe o spoštovanju načel ali sodelovanju v DPF EU-ZDA s strani organizacij, ki bodisi niso več na seznamu DPF bodisi se nikoli niso certificirale (93). FTC lahko uveljavi skladnost s sodnimi odločbami upravnih sodišč ali zveznega sodišča (vključno z odločbami o soglasju, doseženimi s poravnavami) (94) o predhodnih ali trajnih prepovedih ali z drugimi pravnimi sredstvi, sistematično pa bo spremljal skladnost s takimi odločbami (95). Če organizacije ne izpolnijo takih odločb, lahko FTC uveljavi denarne kazni in druga pravna sredstva, tudi za škodo, povzročeno s protipravnim ravnanjem. Vsaka odločba o soglasju, izdana organizaciji v DPF EU-ZDA, bo vsebovala določbe o samoporočanju (96), organizacije pa bodo morale objaviti vse ustrezne dele katerega koli poročila o skladnosti ali ocenjevalnega poročila, predloženega FTC, ki se nanašajo na DPF. FTC bo vodil tudi spletni seznam organizacij, za katere veljajo odločbe FTC ali sodne odločbe v zadevah, povezanih z DPF EU-ZDA (97).

(62)

V zvezi z zasebnostnim ščitom je FTC v približno 22 primerih sprejel izvršilne ukrepe zaradi kršitev določenih zahtev okvira (npr. nepotrditev ministrstvu za trgovino, da je organizacija po izstopu iz okvira še naprej uporabljala varstvo zasebnostnega ščita, nepreverjanje s samoocenjevanjem ali zunanjim pregledom skladnosti z načeli, da je organizacija ravnala v skladu z okvirom) (98), in lažne navedbe o sodelovanju v okviru (npr. s strani organizacij, ki niso zaključile potrebnih korakov za pridobitev potrdila ali je njihovo potrdilo poteklo, vendar so zavajale o svojem nadaljnjem sodelovanju) (99). Ta izvršilni ukrep je bil med drugim posledica proaktivne uporabe upravnih sodnih pozivov za pridobitev gradiva od nekaterih udeležencev v zasebnostnem ščitu za pregled bistvenih kršitev obveznosti zasebnostnega ščita (100).

(63)

Na splošno je FTC v zadnjih letih sprejela izvršilne ukrepe v številnih primerih v zvezi s skladnostjo z določenimi zahtevami o varstvu podatkov, ki se zagotavljajo tudi v okviru DPF EU-ZDA, npr. v zvezi z načeli omejitve namena in hrambe podatkov (101), najmanjšega obsega podatkov (102), varnosti podatkov (103) in točnosti podatkov (104).

(64)

Ministrstvo za promet ima izključno pristojnost za urejanje praks letalskih prevoznikov glede zasebnosti, v zvezi s praksami agencij za prodajo letalskih vozovnic glede zasebnosti pa si deli pristojnost s FTC. Uradniki ministrstva za promet si najprej prizadevajo za dosego poravnave in lahko, če to ni mogoče, uvedejo izvršilni postopek, ki vključuje predhodno obravnavo dokazov pred upravnim sodnikom pri ministrstvu za promet, ki je pooblaščen za izdajo odlokov o prepovedi in naložitev denarnih kazni (105). Upravni sodniki uživajo na podlagi zakona o upravnem postopku (Administrative Procedure Act, v nadaljnjem besedilu: APA) več vrst zaščite za zagotovitev njihove neodvisnosti in nepristranskosti. Na primer, razrešiti jih je mogoče le iz upravičenih razlogov; zadevam so dodeljeni po načelu rotacije; svojih dolžnosti ne smejo opravljati v neskladju s svojimi nalogami in obveznostmi upravnih sodnikov; zanje ne velja nadzor preiskovalne skupine organa, pri katerem so zaposleni (v tem primeru ministrstvo za promet), svojo funkcijo odločanja/izvrševanja pa morajo opravljati nepristransko (106). Ministrstvo za promet se je zavezalo spremljanju izvršilnih odlokov in zagotavlja, da so odloki, ki so posledica primerov na podlagi DPF EU-ZDA, na voljo na njegovem spletišču (107).

(65)

Posameznik, na katerega se nanašajo osebni podatki, mora imeti na voljo učinkovito upravno in sodno varstvo, da se zagotovita ustrezno varstvo in zlasti uresničevanje pravic posameznika.

(66)

DPF EU-ZDA v skladu z načelom pritožbenega mehanizma, izvrševanja in odgovornosti zahteva, da organizacije zagotovijo pritožbeni mehanizem za posameznike, na katere vpliva neizpolnjevanje načel, ter s tem možnost, da posamezniki iz Unije, na katere se nanašajo osebni podatki, vložijo pritožbe v zvezi z neizpolnjevanjem načel s strani organizacij v DPF EU-ZDA in da se te pritožbe rešijo, če to zahteva odločitev, ki zagotavlja učinkovita pravna sredstva (108). Organizacije morajo v okviru svojega certificiranja izpolnjevati zahteve tega načela z zagotavljanjem učinkovitih in zlahka dostopnih neodvisnih pritožbenih mehanizmov, s katerimi se lahko pritožbe in spori vsakega posameznika raziščejo in hitro razrešijo brez stroškov za posameznika (109).

(67)

Organizacije lahko izberejo neodvisne pritožbene mehanizme v Uniji ali ZDA. Kot je podrobneje pojasnjeno v uvodni izjavi 73, to vključuje možnost prostovoljne zaveze sodelovanju z organi za varstvo podatkov EU. Če organizacije obdelujejo podatke o človeških virih, je taka zaveza sodelovanju z organi za varstvo podatkov EU obvezna. Druge možnosti vključujejo neodvisno alternativno reševanje sporov ali v zasebnem sektorju razvite programe za varstvo zasebnosti, ki v svoja pravila vključujejo načela. Slednji morajo vključevati učinkovite mehanizme izvrševanja v skladu z zahtevami načela pritožbenega mehanizma, izvrševanja in odgovornosti.

(68)

Tako DPF EU-ZDA posameznikom, na katere se nanašajo osebni podatki, zagotavlja številne možnosti, da uveljavljajo svoje pravice, vložijo pritožbe v zvezi z neizpolnjevanjem načel s strani organizacij v DPF EU-ZDA in da se te pritožbe rešijo, če to zahteva odločitev, ki zagotavlja učinkovita pravna sredstva. Posamezniki lahko vložijo pritožbo neposredno pri organizaciji, neodvisnem organu za reševanje sporov, ki ga imenuje organizacija, pri nacionalnih organih za varstvo podatkov, ministrstvu za trgovino ali ministrstvu za promet. Če se njihove pritožbe ne rešijo z nobenim od teh pritožbenih mehanizmov ali mehanizmov izvrševanja, lahko uveljavljajo zavezujočo arbitražo (Priloga I Priloge I k temu sklepu). Razen za arbitražni senat, za katerega je treba pred uveljavitvijo izčrpati nekatera pravna sredstva, lahko posamezniki uporabijo kateri koli ali vse mehanizme pravnih sredstev po lastni izbiri in jim ni treba izbrati določenega mehanizma ali slediti določenemu zaporedju.

(69)

Prvič, posamezniki iz Unije, na katere se nanašajo osebni podatki, lahko spremljajo primere neizpolnjevanja načel z neposrednimi stiki z organizacijami v DPF EU-ZDA (110). Za lažje reševanje pritožb mora organizacija vzpostaviti učinkovit mehanizem pravnega varstva za obravnavanje takih pritožb. Zato mora politika zasebnosti organizacije jasno obveščati posameznike o kontaktni točki, bodisi v organizaciji ali zunaj nje, ki bo obravnavala pritožbe (vključno s katero koli ustrezno organizacijo v Uniji, ki lahko odgovarja na poizvedbe ali pritožbe), in tudi o neodvisnem organu za reševanje sporov (glej uvodno izjavo 70). Organizacija mora po prejemu pritožbe, neposredno od posameznika ali prek ministrstva za trgovino na podlagi napotitve organa za varstvo podatkov, posamezniku v Uniji, na katerega se nanašajo osebni podatki, odgovoriti v 45 dneh (111). Podobno morajo organizacije nemudoma odgovoriti na poizvedbe in druge zahteve za informacije s strani ministrstva za trgovino ali organa za varstvo podatkov (112) (če se je organizacija zavezala, da bo sodelovala z organom za varstvo podatkov), ki se nanašajo na njihovo spoštovanje načel.

(70)

Drugič, posamezniki lahko vložijo pritožbo tudi neposredno pri neodvisnem organu za reševanje sporov (v ZDA ali Uniji), ki ga imenuje organizacija za preiskovanje in reševanje posameznih pritožb (razen če so očitno neutemeljene ali neresne) ter zagotovitev ustreznih pravnih sredstev, ki so za posameznika brezplačna (113). Sankcije in pravna sredstva, ki jih naloži tak organ, morajo biti dovolj stroga, da zagotavljajo izpolnjevanje načel s strani organizacij, in bi morala določati, da morajo organizacije odpraviti ali popraviti učinke neskladnosti ter, odvisno od okoliščin, prenehati obdelovati zadevne osebne podatke in/ali jih izbrisati ter objaviti ugotovitev o neskladnosti (114). Neodvisni organi za reševanje sporov, ki jih imenuje organizacija, morajo na svoja javna spletišča vključiti ustrezne informacije v zvezi z DPF EU-ZDA in storitvami, ki jih zagotavljajo v skladu z njim (115). Vsako leto morajo objaviti letno poročilo s skupnimi statističnimi podatki v zvezi s temi storitvami (116).

(71)

V okviru svojih postopkov pregleda skladnosti lahko ministrstvo za trgovino preveri, ali so se organizacije v DPF EU-ZDA dejansko registrirale v neodvisnih pritožbenih mehanizmih, v katerih naj bi bile po njihovih trditvah registrirane (117). Organizacije in odgovorni neodvisni pritožbeni mehanizmi morajo nemudoma odgovoriti na poizvedbe in zahteve ministrstva za trgovino za informacije v zvezi z DPF. EU-ZDA. Ministrstvo za trgovino bo sodelovalo z neodvisnimi pritožbenimi mehanizmi, da bi preverilo, ali na svojih spletiščih vključujejo informacije o načelih in storitvah, ki jih zagotavljajo na podlagi DPF EU-ZDA, in ali objavljajo letna poročila (118).

(72)

Če organizacija ne upošteva odločitve organa za reševanje sporov ali samoregulativnega organa, mora slednji o taki neskladnosti obvestiti ministrstvo za trgovino in FTC (ali drug organ ZDA s pristojnostjo za preiskovanje neizpolnjevanja načel) ter pristojno sodišče (119). Če organizacija noče ravnati v skladu s končno ugotovitvijo organa s samourejevalnim sistemom za varstvo zasebnosti, neodvisnega organa za reševanje sporov ali vladnega organa ali kadar tak organ ugotovi, da organizacija pogosto ravna proti načelom, se to lahko šteje za vztrajno neizpolnjevanje načel, zaradi česar ministrstvo za trgovino po izteku 30-dnevnega roka, v katerem ima organizacija, ki ni ravnala v skladu z načeli, možnost odziva, črta organizacijo s seznama DPF (120). Če se organizacija po odstranitvi s seznama še naprej sklicuje na certificiranje na podlagi DPF EU-ZDA, bo ministrstvo za trgovino zadevo predložilo FTC ali drugemu organu pregona (121).

(73)

Tretjič, posamezniki lahko pritožbe vložijo tudi pri nacionalnem organu za varstvo podatkov v Uniji, ki lahko uporabi svoja preiskovalna in popravna pooblastila v skladu z Uredbo (EU) 2016/679. Organizacije morajo sodelovati pri preiskavi in reševanju pritožbe organa za varstvo podatkov, če se nanaša na obdelavo podatkov o človeških virih, zbranih v okviru zaposlitvenega razmerja, ali če so prostovoljno sprejele nadzor organov za varstvo podatkov (122). Predvsem morajo odgovarjati na poizvedbe, upoštevati nasvete organa za varstvo podatkov, vključno glede reševanja pritožb in izplačila odškodnin, ter predložiti organu za varstvo podatkov pisno potrdilo, da so bili taki ukrepi sprejeti (123). V primeru neskladnosti z nasveti organa za varstvo podatkov bo organ za varstvo podatkov take primere predal ministrstvu za trgovino (ki lahko organizacije umakne s seznama DPF EU-ZDA) ali, za morebitne izvršilne ukrepe, FTC oziroma ministrstvu za promet (nesodelovanje z organi za varstvo podatkov ali nespoštovanje načel se lahko v skladu z zakonodajo ZDA kaznuje) (124).

(74)

Za lažje sodelovanje na področju učinkovitega obravnavanja pritožb sta ministrstvo za trgovino in tudi FTC vzpostavila namensko kontaktno točko, ki je odgovorna za neposredno povezovanje z organi za varstvo podatkov (125). Navedene kontaktne točke organu za varstvo podatkov pomagajo pri poizvedbah v zvezi z izpolnjevanjem načel s strani organizacije.

(75)

Nasvet organov za varstvo podatkov (126) se izda, ko sta oba udeleženca v sporu imela ustrezno priložnost za predložitev pripomb in kakršnih koli dokazov. Forum lahko svetuje takoj, ko to dopušča zahteva po dolžnem pravnem postopanju, praviloma v 60 dneh po prejemu pritožbe (127). Če organizacija tudi po 25 dneh po prejemu nasveta ne ravna v skladu z njim in če za zamudo ne poda zadovoljive obrazložitve, lahko forum sporoči svojo namero, da bo bodisi predložil zadevo FTC (ali drugemu izvršnemu organu ZDA) bodisi ugotovil, da gre za resno kršitev zaveze o sodelovanju. Pri prvi možnosti lahko to pripelje do pregona na podlagi člena 5 zakona o FTC (ali podobnega zakona) (128). Pri drugi možnosti bo forum obvestil ministrstvo za trgovino, ki bo neupoštevanje nasveta foruma organov za varstvo podatkov obravnavalo kot vztrajno neizpolnjevanje načel, zaradi česar bo organizacija črtana s seznama DPF.

(76)

Če organ za varstvo podatkov, na katerega je bila naslovljena pritožba, ni ukrepal ali ni sprejel zadostnih ukrepov za obravnavo pritožbe, lahko posamezni pritožnik izpodbija tako (ne)ukrepanje pri nacionalnih sodiščih zadevne države članice EU.

(77)

Posamezniki lahko pritožbo pri organih za varstvo podatkov vložijo tudi, če forum organov za varstvo podatkov ni bil imenovan kot organ za reševanje sporov organizacije. V teh primerih lahko organ za varstvo podatkov predloži take pritožbe ministrstvu za trgovino ali FTC. Ministrstvo za trgovino bo za olajšanje in povečanje sodelovanja na področju zadev, povezanih s posameznimi pritožbami in neizpolnjevanjem načel s strani organizacij v DPF EU-ZDA, vzpostavilo posebno kontaktno točko, ki bo delovala kot povezovalna točka in bo pomagala organu za varstvo podatkov pri poizvedbah v zvezi z neizpolnjevanjem načel s strani organizacije (129). Podobno se je FTC zavezal, da bo vzpostavil namensko kontaktno točko (130).

(78)

Četrtič, ministrstvo za trgovino se je zavezalo, da bo sprejemalo, pregledalo in si po najboljših močeh prizadevalo rešiti pritožbe o neizpolnjevanju načel s strani organizacije (131). V ta namen ministrstvo za trgovino zagotavlja posebne postopke, s katerimi organi za varstvo podatkov posredujejo pritožbe namenski kontaktni točki, jih spremljajo in skupaj z organizacijami določijo nadaljnje ukrepe za olajšanje reševanja (132). Da bi pospešila obdelavo posameznih pritožb, se kontaktna točka neposredno poveže z ustreznim organom za varstvo podatkov glede težav v zvezi s skladnostjo in ga najpozneje v 90 dneh od predložitve pritožbe zlasti obvesti o statusu pritožbe (133). To posameznikom, na katere se nanašajo osebni podatki, omogoča, da pritožbe zaradi neizpolnjevanja načel s strani organizacij v DPF EU-ZDA predložijo neposredno svojemu nacionalnemu organu za varstvo podatkov in jih posredujejo ministrstvu za trgovino kot organu ZDA, ki upravlja DPF EU-ZDA.

(79)

Če ministrstvo za trgovino na podlagi preverjanj po uradni dolžnosti, pritožb ali kakršnih koli drugih informacij ugotovi, da organizacija vztrajno ne spoštuje načel, lahko tako organizacijo odstrani s seznama DPF (134). Če kateri koli organ s samourejevalnim sistemom za varstvo zasebnosti, neodvisen organ za reševanje sporov ali vladni organ, vključno z organom za varstvo podatkov, noče ravnati v skladu s končno odločitvijo, se to šteje za vztrajno neizpolnjevanje načel (135).

(80)

Petič, organizacija v DPF EU-ZDA mora biti v pristojnosti organov ZDA, zlasti FTC (136), ki imajo potrebna preiskovalna in izvršilna pooblastila za učinkovito zagotavljanje skladnosti z načeli. FTC prednostno obravnava predložene zadeve glede neizpolnjevanja načel, ki jih je prejel od neodvisnih organov za reševanje sporov ali samoregulativnih organov, ministrstva za trgovino in organov za varstvo podatkov (ki delujejo na lastno pobudo ali na podlagi pritožb), da bi ugotovil, ali je bil kršen člen 5 zakona o FTC (137). FTC se je zavezal, da bo oblikoval standardiziran postopek za pošiljanje zadev, imenoval kontaktno točko organa za zadeve, ki jih predloži organ za varstvo podatkov, in izmenjeval informacije o predloženih zadevah. Poleg tega lahko sprejema pritožbe neposredno od posameznikov in na lastno pobudo izvaja preiskave DPF EU-ZDA, zlasti v okviru obsežnejšega preiskovanja zadev v zvezi z zasebnostjo.

(81)

Šestič, če se pritožba posameznika ne reši z uporabo katere od navedenih možnosti pravnega varstva, lahko posameznik iz Unije, na katerega se nanašajo osebni podatki, v skrajnem primeru uveljavlja zavezujočo arbitražo „senata okvira za varstvo zasebnosti podatkov med EU in ZDA“ (senat DPF EU-ZDA) (138). Organizacije morajo posameznike obvestiti o možnosti, da uveljavijo zavezujočo arbitražo, in se po uveljavitvi te možnosti s strani posameznika odzvati tako, da pošljejo obvestilo zadevni organizaciji (139).

(82)

Ta senat DPF EU-ZDA sestavlja skupina najmanj desetih arbitrov, ki jih imenujeta ministrstvo za trgovino in Komisija na podlagi njihove neodvisnosti, integritete, pa tudi izkušenj na področju zakonodaje ZDA o varstvu zasebnosti in zakonodaje Unije o varstvu podatkov. Strani za vsak posamezni spor iz te skupine izbereta senat z enim ali s tremi (140) arbitri.

(83)

Ministrstvo za trgovino je za upravljanje arbitraž izbralo mednarodno središče za reševanje sporov (International Centre for Dispute Resolution, v nadaljnjem besedilu: ICDR), mednarodni oddelek ameriškega združenja za arbitražo (American Arbitration Association, v nadaljnjem besedilu: AAA). Postopke pred senatom DPF EU-ZDA urejata sklop dogovorjenih pravil arbitraže in kodeks ravnanja za imenovane arbitre. Spletišče ICDR-AAA posameznikom zagotavlja jasne in jedrnate informacije o arbitražnem mehanizmu in postopku za vložitev predloga o arbitraži.

(84)

Pravila arbitraže, o katerih sta se dogovorila ministrstvo za trgovino in Komisija, dopolnjujejo DPF EU-ZDA, ki vsebuje več elementov, ki povečujejo dostopnost tega mehanizma za posameznike iz Unije, na katere se nanašajo osebni podatki: (i) posameznikom, na katere se nanašajo osebni podatki, lahko pri pripravi zahtevka pred senatom pomagajo njihovi nacionalni organi za varstvo podatkov; (ii) arbitraža sicer poteka v ZDA, vendar se lahko posamezniki iz Unije, na katere se nanašajo osebni podatki, odločijo, da bodo sodelovali prek video ali telefonske konference, ki je za posameznika brezplačna; (iii) čeprav je jezik, ki se uporablja pri arbitraži, praviloma angleščina, se tolmačenje na arbitražnem zaslišanju in prevod na utemeljeno zahtevo posameznika, na katerega se nanašajo osebni podatki, načeloma zagotovita brezplačno; (iv) nenazadnje, čeprav mora vsaka stran v primeru, da jo pred senatom zastopa odvetnik, kriti svoje odvetniške stroške, bo ministrstvo za trgovino ustanovilo sklad, v katerem se bodo zbirali letni prispevki organizacij v DPF EU-ZDA, s katerimi se bodo krili stroški arbitražnega postopka do najvišjih zneskov, ki jih določijo organi ZDA v posvetovanju s Komisijo (141).

(85)

Senat DPF EU-ZDA lahko zahteva nedenarno pravično nadomestilo za posameznika (142), ki je potrebno za odpravo neskladnosti z načeli. Čeprav senat upošteva druga pravna sredstva, ki so bila že pridobljena z drugimi mehanizmi DPF EU-ZDA med njegovim odločanjem, lahko posamezniki še vedno uporabijo arbitražo, če menijo, da so ta druga pravna sredstva nezadostna. To posameznikom iz Unije, na katere se nanašajo osebni podatki, omogoča, da uveljavljajo arbitražo v vseh primerih, v katerih se z ukrepanjem ali neukrepanjem organizacije v DPF EU-ZDA, neodvisnih pritožbenih mehanizmov ali pristojnih organov ZDA (na primer FTC) njihove pritožbe niso zadovoljivo rešile. Arbitraže ni dovoljeno uveljavljati, če ima organ za varstvo podatkov pravno pooblastilo za rešitev obravnavanega zahtevka v zvezi z organizacijo v DPF EU-ZDA, in sicer v primerih, ko je organizacija bodisi dolžna sodelovati in upoštevati nasvet organov za varstvo podatkov, kar zadeva obdelavo podatkov o človeških virih, zbranih v okviru zaposlovanja, bodisi se je k temu prostovoljno zavezala. Posamezniki lahko izvršijo arbitražno odločbo pred sodišči ZDA na podlagi zveznega zakona o arbitraži (Federal Arbitration Act), s čimer zagotovijo pravno sredstvo v primeru, da podjetje ne izpolni obveznosti.

(86)

Sedmič, če organizacija ne izpolnjuje zavez v zvezi z načeli in objavljeno politiko zasebnosti, so po zakonodaji ZDA na voljo dodatne možnosti pravnega sredstva, vključno z dodelitvijo odškodnine. Posamezniki lahko na primer pod določenimi pogoji uveljavljajo pravna sredstva (vključno z odškodnino) po državnih zakonih o varstvu potrošnikov v primeru goljufivih lažnih navedb, nepoštenih ali goljufivih dejanj (143), in po odškodninskem pravu (zlasti zaradi škodnih dejanj motečega posega v intimno zasebnost (144), prisvojitve imena ali podobnosti (145) in javnega razkritja zasebnih dejstev (146)).

(87)

Različne zgoraj opisane možnosti pravnega varstva skupaj zagotavljajo, da bodo vse pritožbe v zvezi z neskladnostjo certificiranih organizacij z DPF EU-ZDA učinkovito rešene in neskladnosti odpravljene.

(88)

Komisija je proučila tudi omejitve in zaščitne ukrepe, vključno z nadzorom in posameznimi mehanizmi pravnih sredstev, ki so na voljo v pravu Združenih držav glede zbiranja in naknadne uporabe osebnih podatkov s strani javnih organov ZDA, tj. podatkov, ki se v javnem interesu zlasti za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter nacionalne varnosti („vladni dostop“) prenašajo upravljavcem in obdelovalcem v ZDA (147). Komisija je pri oceni, ali pogoji, pod katerimi vlada dostopa do podatkov, prenesenih v Združene države, na podlagi tega sklepa izpolnjujejo preskus „osnovne enakovrednosti“ na podlagi člena 45(1) Uredbe (EU) 2016/679, kakor ga razlaga Sodišče glede na Listino o temeljnih pravicah, upoštevala več meril.

(89)

Natančneje, vsaka omejitev pravice do varstva osebnih podatkov mora biti določena v zakonu, pravna podlaga, ki dovoljuje poseg v tako pravico, pa mora že sama opredeljevati obseg omejitve izvrševanja zadevne pravice (148). Da se izpolni zahteva glede sorazmernosti, v skladu s katero se lahko odstopanja od varstva osebnih podatkov in omejitve tega varstva uporabljajo le, kolikor je to nujno potrebno v demokratični družbi, da se dosežejo specifični cilji splošnega interesa, ki so enakovredni interesom, priznanim v Uniji, mora ta pravna podlaga poleg tega določati jasna in natančna pravila, ki urejajo obseg in uporabo zadevnih ukrepov, ter minimalne zahteve, tako da imajo osebe, katerih podatki so bili preneseni, na voljo zadostna jamstva, ki omogočajo učinkovito varovanje njihovih osebnih podatkov pred tveganjem zlorab (149). Poleg tega morajo biti ta pravila in zaščitni ukrepi pravno zavezujoči in izvršljivi s strani posameznikov (150). Posamezniki, na katere se nanašajo osebni podatki, morajo zlasti imeti možnost uveljavljanja pravnih sredstev pred neodvisnim in nepristranskim sodiščem, da si tako zagotovijo dostop do osebnih podatkov, ki se nanje nanašajo, ali dosežejo popravek oziroma izbris takih podatkov (151).

(90)

Kar zadeva poseg v osebne podatke, ki se prenašajo na podlagi DPF EU-ZDA, pravo Združenih držav določa več omejitev glede dostopa do osebnih podatkov in njihove uporabe za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter zagotavlja nadzorne mehanizme in mehanizme pravnih sredstev, ki so v skladu z zahtevami iz uvodne izjave 89 tega sklepa. Pogoji, pod katerimi je tak dostop mogoč, in zaščitni ukrepi glede uporabe teh pooblastil so podrobneje ocenjeni v naslednjih oddelkih. V zvezi s tem je vlada ZDA (prek Ministrstva za pravosodje ZDA (Department of Justice, v nadaljnjem besedilu: ministrstvo za pravosodje) dala tudi zagotovila glede veljavnih omejitev in zaščitnih ukrepov (Priloga VI k temu sklepu).

(91)

Kot je podrobneje pojasnjeno v uvodnih izjavah 92 do 99, lahko do osebnih podatkov, ki jih obdelujejo certificirane organizacije v ZDA in ki bi se prenašali iz Unije na podlagi DPF EU-ZDA, dostopajo zvezni tožilci in zvezni preiskovalni agenti v okviru različnih postopkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Ti postopki se uporabljajo na enak način, če se informacije pridobivajo od katere koli organizacije v ZDA, ne glede na državljanstvo ali prebivališče zadevnih posameznikov, na katere se nanašajo osebni podatki (152).

(92)

Prvič, na zahtevo uradnika zveznega organa kazenskega pregona ali pravobranilca lahko sodnik izda nalog za preiskavo ali zaseg (vključno z elektronsko shranjenimi informacijami) (153). Tak nalog se lahko izda le, če obstaja „utemeljen sum (154)“, da bodo „zasegljivi predmeti (dokazi kaznivega dejanja, nezakonito posedovani predmeti ali premoženje, zasnovano za uporabo ali namenjeno uporabi ali uporabljeno pri storitvi kaznivega dejanja) verjetno najdeni na kraju, navedenem v nalogu. V nalogu mora biti opredeljeno premoženje ali predmet, ki ga je treba zaseči, in imenovan sodnik, ki mu je treba nalog vrniti. Oseba, ki se preišče ali katere lastnina se preišče, lahko poskuša doseči, da se izločijo dokazi, ki so bili pridobljeni ali izhajajo iz nezakonite preiskave, če se predložijo zoper njo med kazenskim postopkom (155). Če se od imetnika podatkov (npr. podjetja) zahteva, naj v skladu z nalogom razkrije podatke, lahko zahtevo po razkritju zlasti izpodbija kot neupravičeno obremenitev (156).

(93)

Drugič, sodni poziv lahko izda velika porota (preiskovalni organ sodišča, ki ga sodnik ali sodnik nižjega sodišča vključi v poroto) v okviru preiskav nekaterih hudih kaznivih dejanj (157), običajno na zahtevo zveznega tožilca, s katerimi se od nekoga zahteva, naj predloži ali zagotovi poslovne evidence, elektronsko shranjene informacije ali druge stvarne predmete. Poleg tega različni zakoni dovoljujejo uporabo sodnih pozivov za predložitev ali zagotovitev poslovnih evidenc, elektronsko shranjenih informacij ali drugih stvarnih predmetov v preiskavah goljufij v zdravstvu zlorabe otrok, zaščite tajne službe, zadevah v zvezi z nadzorovanimi snovmi in preiskavah generalnega inšpektorja (158). V obeh primerih se informacije morajo nanašati na preiskavo, sodni poziv pa ne more biti nerazumen, tj. preširok, zatirajoč ali obremenjujoč (in ga lahko prejemnik izpodbija na tej podlagi) (159).

(94)

Zelo podobni pogoji se uporabljajo za upravne sodne pozive, izdane za pridobitev dostopa do podatkov, ki jih hranijo podjetja v ZDA, za civilne ali regulativne namene („javni interes“). Pooblastila agencij s civilno in regulativno odgovornostjo za izdajo takih upravnih sodnih pozivov morajo biti določena z zakonom. Uporaba upravnega sodnega poziva je pogojena s „preizkusom razumnosti“, ki zahteva, da se preiskava izvaja v skladu z zakonitim namenom, da so informacije, ki se zahtevajo v sodnem pozivu, za ta namen upoštevne, da agencija še nima informacij, ki jih zahteva s sodnim pozivom, in da so bili izvedeni potrebni upravni postopki za izdajo sodnega poziva (160). V sodni praksi vrhovnega sodišča je bila pojasnjena tudi potreba po uravnoteženju pomena javnega interesa pri zahtevanih informacijah s pomenom interesov zasebnosti oseb in organizacij (161). Čeprav za uporabo upravnega sodnega poziva ni potrebna predhodna sodna odobritev, pa je predmet sodnega nadzora, če jo prejemnik izpodbija iz zgoraj navedenih razlogov ali če organ izdajatelj uveljavlja izvršitev sodnega poziva pred sodiščem (162). Poleg teh splošnih omejitev lahko iz posameznih zakonov izhajajo posebne (strožje) zahteve (163).

(95)

Tretjič, več pravnih podlag omogočajo organom kazenskega pregona, da pridobijo dostop do podatkov o komunikaciji. Sodišče lahko izda sklep, ki dovoljuje zbiranje sprotnih nevsebinskih informacij glede klicanih telefonskih številk, usmerjanja, naslavljanja in signaliziranja o telefonski številki ali elektronski pošti (z uporabo snemalnika klicev ali naprave za pasti in sledenje), če ugotovi, da je organ potrdil, da so informacije, ki bodo verjetno pridobljene, pomembne za tekočo kazensko preiskavo (164). V sklepu je treba med drugim navesti identiteto osumljenca, če je znana; značilnosti komunikacije, za katero se sklep uporablja, in opredelitev kaznivega dejanja, na katero se nanašajo informacije, ki jih je treba zbrati. Uporaba snemalnika klicev ali naprave za pasti in sledenje je lahko dovoljena za obdobje največ 60 dni, ki je lahko podaljšano le z novo sodno odločbo.

(96)

Poleg tega je dostop do informacij naročnikov, podatkov o prometu in shranjenih vsebin komunikacij, ki jih hranijo ponudniki internetnih storitev, telefonska podjetja in drugi tretji ponudniki storitev, za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj mogoče pridobiti na podlagi SCA (165). Za pridobivanje shranjene vsebine elektronskih komunikacij morajo organi kazenskega pregona načeloma pridobiti nalog od sodnika na podlagi utemeljenega suma, da zadevni račun vsebuje dokaze o kaznivem dejanju (166). Za informacije o registraciji naročnikov, naslove IP in povezane časovne žige ter podatke za obračunavanje lahko organi kazenskega pregona uporabijo sodni poziv. Za večino drugih shranjenih nevsebinskih informacij, kot so glave v elektronskem sporočilu brez vrstice z zadevo, mora organ kazenskega pregona pridobiti sodno odločbo, ki bo izdana, če sodnik meni, da obstajajo utemeljeni razlogi za sum, da so zahtevane informacije pomembne in bistvene za tekočo kazensko preiskavo.

(97)

Ponudniki, ki prejmejo zahteve na podlagi SCA, lahko prostovoljno obvestijo stranko ali naročnika, čigar informacije se zahtevajo, razen če zadevni organ kazenskega pregona pridobi odredbo o zaščiti, ki prepoveduje tako obveščanje (167). Taka odredba o zaščiti je sodna odločba, ki od ponudnika elektronskih komunikacijskih storitev ali storitev daljinske obdelave, na katerega so naslovljeni nalog, sodni poziv ali sodna odločba, zahteva, da o obstoju naloga, sodnega poziva ali sodne odločbe ne obvešča nobene druge osebe, dokler se sodišču zdi primerno. Odredbe o zaščiti se izdajo, če sodišče ugotovi, da obstaja razlog za sum, da bi bila zaradi obveščanja resno ogrožena preiskava ali da bi se neupravičeno zavlačevala obravnava, npr. ker bi bilo ogroženo življenje ali fizična varnost posameznika, ker bi prišlo do bega pred pregonom, ker bi bile morebitne priče ustrahovane itd. Memorandum namestnika pravosodnega ministra (ki je zavezujoč za vse pravobranilce in agente pri ministrstvu za pravosodje) od tožilcev zahteva, da sprejmejo podrobno odločitev v zvezi s potrebo po odredbi o zaščiti, sodišču pa predložijo utemeljitev, kako so v konkretni zadevi izpolnjena zakonska merila za pridobitev odredbe o zaščiti (168). Memorandum tudi določa, da se v vlogah za izdajo odredbe o zaščiti na splošno ne sme zahtevati odlog obvestila za več kot eno leto. Če so v izjemnih okoliščinah morda potrebni sklepi z daljšo veljavnostjo, se lahko take sklepi zahtevajo le s pisnim soglasjem nadzornika, ki ga imenuje državni tožilec ZDA ali ustrezni pomočnik pravosodnega ministra. Poleg tega mora tožilec ob zaključku preiskave takoj oceniti, ali obstaja podlaga za ohranitev morebitnih veljavnih odredb o zaščiti, in če je ni, razveljaviti odredbo o zaščiti ter zagotoviti, da je ponudnik storitev o tem obveščen (169).

(98)

Organi kazenskega pregona lahko tudi sprotno prestrezajo telefonsko, ustno ali elektronsko komunikacijo na podlagi sodne odločbe, v kateri sodnik ugotovi, da med drugim obstaja utemeljen sum, da bo prisluškovanje telefonskim pogovorom ali elektronsko prestrezanje privedlo do dokazov zveznega zločina ali do lokacije ubežnika, ki beži pred pregonom (170).

(99)

Nadaljnje varstvo zagotavljajo najrazličnejše politike in smernice ministrstva za pravosodje, vključno s smernicami pravosodnega ministra za domače operacije FBI (Attorney General Guidelines for Domestic FBI Operations, v nadaljnjem besedilu: AGG-DOM), ki med drugim od Zveznega preiskovalnega urada (Federal Bureau of Investigation, v nadaljnjem besedilu: FBI) zahtevajo, da uporabi najmanj vsiljive preiskovalne metode, ki so izvedljive, ob upoštevanju vpliva na zasebnost in državljanske svoboščine (171).

(100)

Glede na zagotovila vlade ZDA se zgoraj opisano enako ali večje varstvo uporablja za preiskave organov pregona na ravni države (v zvezi s preiskavami, ki se izvajajo v skladu z državnimi zakoni) (172). Natančneje, ustavne določbe ter zakoni in sodna praksa na državni ravni potrjujejo zgoraj navedeno varstvo pred nerazumnimi preiskavami in zasegi, saj zahtevajo izdajo naloga za preiskavo (173). Podobno kot na zvezni ravni se lahko nalogi za preiskavo izdajo le na podlagi dokaza utemeljenega suma, v njih pa morajo biti navedeni kraj, ki se preišče, ter oseba, ki jo je treba prijeti, ali stvar, ki se zaseže (174).

(101)

Kar zadeva nadaljnjo uporabo zbranih podatkov s strani zveznih organov kazenskega pregona, nalagajo različni zakoni, smernice in standardi posebne zaščitne ukrepe. Z izjemo posebnih instrumentov, ki se uporabljajo za dejavnosti FBI (AGG-DOM in Navodila FBI za nacionalne preiskave in operacije), se zahteve, opisane v tem oddelku, na splošno uporabljajo za nadaljnjo uporabo podatkov s strani katerega koli zveznega organa, tudi podatkov, do katerih se dostopa v civilne ali regulativne namene. To vključuje zahteve, ki izhajajo iz obvestil/predpisov Urada za upravljanje in proračun, zveznega zakona o posodobitvi upravljanja informacijske varnosti, zakona o e-upravi in zakona o evidencah zveznih agencij.

(102)

V skladu s pooblastilom, ki ga določata zakon Clinger-Cohen (Clinger-Cohen Act) (javno pravo 104–106, oddelek E) in zakon o računalniški varnosti iz leta 1987 (Computer Security Act) (javno pravo 100–235) je Urad za upravljanje in proračun (Office of Management and Budget, v nadaljnjem besedilu: OMB) izdal Okrožnico št. A-130, v kateri je določil splošne zavezujoče smernice, ki se uporabljajo za vse zvezne agencije (vključno z organi pregona) pri ravnanju z osebno določljivimi podatki (175). Okrožnica zlasti zahteva, da vse zvezne agencije „omejijo ustvarjanje, zbiranje, uporabo, obdelavo, shranjevanje, ohranjanje, razširjanje in razkrivanje osebno določljivih podatkov na tisto, kar je pravno dovoljeno, ustrezno in kar se razumno šteje za potrebno za pravilno izvajanje pooblaščenih nalog agencije“ (176). Poleg tega morajo zvezne agencije v razumno izvedljivi meri zagotoviti, da so osebno določljivi podatki točni, ustrezni, pravočasni in popolni in omejeni na minimum, ki je potreben za pravilno izvajanje nalog agencije. Splošneje morajo zvezne agencije vzpostaviti celovit program za varstvo zasebnosti, da bi zagotovile skladnost z veljavnimi zahtevami glede varstva zasebnosti, razviti in oceniti politike zasebnosti ter obvladovati tveganja za varstvo zasebnosti; upravljati postopke za odkrivanje in dokumentiranje primerov nespoštovanja zasebnosti ter poročanje o njih; ozaveščati o varstvu zasebnosti in razviti programe usposabljanja za zaposlene in pogodbene izvajalce ter vzpostaviti politike in postopke za zagotovitev, da je osebje odgovorno za izpolnjevanje zahtev in politik glede varstva zasebnosti (177).

(103)

Poleg tega zakon o e-upravi (E-Government Act) (178) zahteva od vseh zveznih agencij (vključno z organi kazenskega pregona), da vzpostavijo varstvo informacijske varnosti, ki je sorazmerno s tveganjem in obsegom škode, ki bi nastala zaradi nepooblaščenega dostopa, uporabe, razkritja, motenj, spremembe ali uničenja; imeti glavnega uradnika za informiranje za zagotovitev izpolnjevanja zahtev glede informacijske varnosti in izvajati letna neodvisna ocenjevanja (npr. s strani generalnega inšpektorja, glej uvodno izjavo 109) svojega programa in praks informacijske varnosti (179). Podobno zvezni zakon o evidencah zveznih agencij (Federal Records Act, v nadaljnjem besedilu: FRA) (180) in dopolnilni predpisi (181) zahtevajo, da so informacije, ki jih hranijo zvezne agencije predmet zaščitnih ukrepih, s katerimi se zagotavljata fizična celovitost informacij in varstvo pred nepooblaščenim dostopom do njih.

(104)

V skladu z zveznim zakonskim pooblastilom, vključno z zveznim zakonom o posodobitvi informacijske varnosti iz leta 2014 (Federal Information Security Modernisation Act), sta OMB in Nacionalni inštitut za standarde in tehnologijo (National Institute of Standards and Technology, v nadaljnjem besedilu: NIST) razvila standarde, ki so zavezujoči za zvezne agencije (vključno z organi kazenskega pregona) in v katerih so podrobneje navedene minimalne zahteve glede informacijske varnosti, ki jih je treba uvesti, vključno z nadzorom dostopa, zagotavljanjem ozaveščanja in usposabljanja, načrtovanjem ravnanja v izrednih razmerah, odzivanjem na incidente, orodji za revizije in odgovornost, zagotavljanjem celovitosti sistemov in informacij, izvajanjem ocen tveganja na področju varstva zasebnosti in varnosti itd. (182). Poleg tega morajo vse zvezne agencije (vključno z organi kazenskega pregona) v skladu s smernicami OMB ohranjati in izvajati načrt za obravnavanje kršitev varnosti podatkov, tudi ko gre za odzivanje na take kršitve in ocenjevanje tveganj škode (183).

(105)

Kar zadeva hrambo podatkov, FRA (184) od ameriških zveznih agencij (vključno z organi kazenskega pregona) zahteva, da določijo roke za hrambo (po izteku katerih morajo biti take evidence odstranjene), ki jih mora odobriti Uprava za nacionalne arhive in evidence (National Archives and Record Administration) (185). Trajanje roka za hrambo je določen glede na različne dejavnike, kot so vrsta preiskave, ali se dokazi še vedno nanašajo na preiskavo itd. AGG-DOM v zvezi z FBI določa, da mora FBI imeti vzpostavljen tak načrt hrambe evidenc in ohranjati sistem, ki omogoča takojšen priklic statusa preiskav in podlage zanje.

(106)

Nazadnje, Okrožnica OMB št. A-130 vsebuje tudi nekatere zahteve za razširjanje osebno določljivih podatkov. Načeloma morata biti razširjanje in razkrivanje informacij, ki omogočajo identifikacijo posameznika, omejena na to, kar je zakonsko dovoljeno, ustrezno in razumno potrebno za pravilno izvajanje nalog agencije (186). Pri izmenjavi osebno določljivih podatkov z drugimi subjekti vlade morajo ameriške zvezne agencije po potrebi naložiti pogoje (vključno z izvajanjem posebnega nadzora varnosti in varstva zasebnosti), ki urejajo obdelavo informacij s pisnim soglasjem (vključno s pogodbami, sporazumi o uporabi podatkov, sporazumi o izmenjavi informacij in memorandumi o soglasju) (187). Kar zadeva razloge, na podlagi katerih se lahko informacije razširjajo, je v vodniku AGG-DOM in Navodilih FBI za nacionalne preiskave in operacije (188) na primer določeno, da je lahko FBI pravno zavezan, da to stori (npr. na podlagi mednarodnega sporazuma), ali da lahko v določenih okoliščinah razširja informacije, npr. drugim agencijam ZDA, če je razkritje združljivo z namenom, za katerega so bile informacije zbrane, in je povezano z njihovimi nalogami, kongresnim odborom, tujim agencijam, če so informacije povezane z njihovimi nalogami in je razširjanje v skladu z interesi Združenih držav, če je razširjanje zlasti potrebno za zaščito varnosti oseb ali premoženja ali za zaščito pred kaznivim dejanjem ali grožnjo za nacionalno varnost ali za njeno preprečevanje, razkritje pa je združljivo z namenom, za katerega so bile informacije zbrane (189).

(107)

Dejavnosti zveznih organov kazenskega pregona so predmet nadzora različnih organov (190). Kot je pojasnjeno v uvodnih izjavah 92–99, to v večini primerov vključuje predhodni sodni nadzor, s katerim je treba odobriti posamezne ukrepe za zbiranje, preden se lahko uporabijo. Poleg tega drugi organi nadzorujejo različne faze dejavnosti organov kazenskega pregona, vključno z zbiranjem in obdelavo osebnih podatkov. Ti sodni in nesodni organi skupaj zagotavljajo neodvisen nadzor nad organi kazenskega pregona.

(108)

Prvič, uradniki za varstvo zasebnosti in državljanskih svoboščin obstajajo na različnih ministrstvih, pristojnih za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (191). Čeprav se posebne pristojnosti teh uradnikov lahko nekoliko razlikujejo glede na zakonsko podlago, s katero so jim pooblastila podeljena, običajno zajemajo nadzor nad postopki za zagotovitev, da zadevno ministrstvo/agencija ustrezno upošteva vidike, povezane z varstvom zasebnosti ali državljanskih svoboščin, in da ima vzpostavljene ustrezne postopke za obravnavo pritožb posameznikov, ki menijo, da je bilo kršeno varstvo njihove zasebnosti ali državljanskih svoboščin. Vodje vsakega ministrstva ali agencije morajo zagotoviti, da imajo uradniki za varstvo zasebnosti in državljanskih svoboščin gradivo in vire za izpolnjevanje svojih pooblastil, da jim je zagotovljen dostop do vsega gradiva in osebja, potrebnega za opravljanje njihovih nalog, da so seznanjeni s predlaganimi spremembami politike in da se o slednjih opravijo posvetovanja z njimi (192). Uradniki za varstvo zasebnosti in državljanskih svoboščin redno poročajo Kongresu, tudi o številu in naravi pritožb, ki jih prejme ministrstvo/agencija in povzetku obravnave takih pritožb, opravljenih pregledih in preiskavah ter vplivu dejavnosti, ki jih je izvedel uradnik (193).

(109)

Drugič, neodvisni generalni inšpektor nadzoruje dejavnosti ministrstva za pravosodje, vključno z FBI (194). Generalni inšpektorji so po zakonu neodvisni (195) in pristojni za izvajanje neodvisnih preiskav, revizij in inšpekcijskih pregledov programov in dejavnosti Ministrstva. Imajo dostop do vseh evidenc, poročil, revizij, pregledov, dokumentov, spisov, priporočil ali drugega ustreznega gradiva, po potrebi s sodnim pozivom, in lahko opravljajo zaslišanja (196). Čeprav generalni inšpektorji izdajajo samo nezavezujoča priporočila za popravne ukrepe, so njihova poročila, vključno s poročili o nadaljnjih ukrepih (ali odsotnosti ukrepov) (197), na splošno objavljena in poslana Kongresu, ki lahko na podlagi teh poročil opravlja svojo nadzorno funkcijo (glej uvodno izjavo 111) (198).

(110)

Tretjič, v obsegu, v katerem izvajajo protiteroristične dejavnosti, so oddelki s pristojnostmi kazenskega pregona pod nadzorom Nadzornega odbora za zasebnost in državljanske svoboščine (Privacy and Civil Liberties Oversight Board, v nadaljnjem besedilu: PCLOB), ki je neodvisna agencija v okviru izvršilne veje oblasti, sestavljena iz dvostrankarskega, petčlanskega odbora, ki ga imenuje Predsednik za fiksen šestletni mandat s soglasjem Senata (199). V skladu z njegovim statutom o ustanovitvi so PCLOB podeljena pooblastila na področju politik boja proti terorizmu in njihovega izvajanja z namenom varstva zasebnosti in državljanskih svoboščin. Pri pregledu lahko dostopa do vseh ustreznih evidenc, poročil, revizij, pregledov, dokumentov, spisov in priporočil agencije, vključno z zaupnimi informacijami, opravlja pogovore in prisostvuje zaslišanjem (200). Prejema poročila uradnikov za varstvo zasebnosti in državljanskih svoboščin več zveznih ministrstev/agencij (201), lahko izdaja priporočila vladi in organom kazenskega pregona ter redno poroča kongresnim odborom in predsedniku (202). Poročila odboru, vključno s poročili Kongresu, morajo biti čim bolj javno dostopna (203).

(111)

Nazadnje, dejavnosti preprečevanja, odkrivanja in preiskovanja kaznivih dejanj so predmet nadzora posebnih odborov ameriškega Kongresa (odbori spodnjega doma in senata za pravosodje). Odbori za pravosodje na različne načine izvajajo redni nadzor, zlasti z obravnavami, preiskavami, pregledi in poročili (204).

(112)

Kot je navedeno, morajo organi kazenskega pregona za zbiranje osebnih podatkov v večini primerov pridobiti predhodno sodno odobritev. Čeprav ta za upravne sodne pozive ni potrebna, so ti omejeni na posebne primere in bodo predmet neodvisnega sodnega nadzora vsaj v primerih, ko vlada zahteva izvršilni postopek pred sodiščem. Zlasti lahko prejemniki upravnih sodnih pozivov izpodbijajo te pozive pred sodiščem z utemeljitvijo, da so nerazumni, tj. preširoki, zatirajoči ali obremenjujoči (205).

(113)

Posamezniki lahko pri organih kazenskega pregona najprej vložijo zahtevke ali pritožbe v zvezi z obdelavo svojih osebnih podatkov. To vključuje možnost, da se zahteva dostop do osebnih podatkov in njihov popravek (206). V zvezi z dejavnostmi, povezanimi z bojem proti terorizmu, lahko posamezniki vložijo pritožbo tudi pri uradnikih za zasebnost in državljanske svoboščine (ali drugih uradnikih za varstvo zasebnosti) v okviru organov kazenskega pregona (207).

(114)

Poleg tega pravo ZDA zagotavlja številne možnosti pravnega varstva za posameznike proti javnemu organu ali enemu od njegovih uslužbencev, če ti organi obdelujejo osebne podatke (208). Te možnosti, ki vključujejo zlasti APA, zakon o dostopu do informacij javnega značaja (Freedom of Information Act, v nadaljnjem besedilu: FOIA) in zakon o zasebnosti elektronskih komunikacij (Electronic Communications Privacy Act, v nadaljnjem besedilu: ECPA), so na voljo vsem posameznikom, ne glede na njihovo državljanstvo, v skladu z morebitnimi veljavnimi pogoji.

(115)

Na splošno ima v skladu z določbami APA (209) o sodnem nadzoru „vsaka oseba, ki ji je bila storjena pravna krivica zaradi ukrepanja agencije ali na katero je to ukrepanje agencije negativno vplivalo ali jo oškodovalo“, pravico, da zahteva sodni nadzor (210). To vključuje možnost, da se sodišču predlaga, naj „ugotovi, da so ukrepanje, ugotovitve in sklepi agencije, za katere je bilo ugotovljeno, da so […] samovoljni, arbitrarni, da predstavljajo zlorabo diskrecijske pravice ali so drugače neskladni s pravom, nezakoniti in jih razveljavi“ (211).

(116)

Natančneje, naslov II ECPA (212) podrobneje določa sistem zakonskih pravic do zasebnosti in tako ureja dostop organov kazenskega pregona do vsebin telefonskih, ustnih ali elektronskih komunikacij, ki jih hranijo tretji ponudniki storitev (213). Kot kaznivo dejanje obravnava nezakonit dostop do takih komunikacij (tj. dostop, ki ga ne odobri sodišče ali ki drugače ni dopusten) in določa pravno varstvo za zadevnega posameznika, saj lahko vloži civilno tožbo pri zveznem sodišču ZDA za dejansko in kaznovalno odškodnino ter za pravično nadomestilo ali ugotovitveno odločbo zoper vladnega uslužbenca, ki je namerno storil taka nezakonita dajanja, ali Združene države.

(117)

Poleg tega več drugih zakonov zagotavlja posameznikom pravico, da vložijo tožbo zoper javni organ ali uslužbenca ZDA zaradi obdelave njihovih osebnih podatkov; taki zakoni so zakon o prisluškovanju telefonskim pogovorom) (214), zakon o računalniških goljufijah in zlorabah (Computer Fraud and Abuse Act) (215), zvezni zakon o odškodninskih zahtevkih (Federal Torts Claim Act) (216), zakon o pravici do finančne zasebnosti (Right to Financial Privacy Act) (217) in FCRA (218).

(118)

Poleg tega ima v skladu s FOIA (219), člen 552 naslova 5 zakonodajne zbirke ZDA, vsaka oseba pravico do dostopa do evidenc zvezne agencije, tudi če vsebujejo osebne podatke posameznika. Po izčrpanju upravnih pravnih sredstev lahko posameznik tako pravico do dostopa uveljavlja na sodišču, razen če navedene evidence pred javnim razkritjem varuje izjema ali posebno izvzetje za organe kazenskega pregona (220). V tem primeru bo sodišče ocenilo, ali zadevni javni organ uporablja izjemo oziroma ali se je nanjo zakonito skliceval.

(119)

Pravo Združenih držav vsebuje različne omejitve in zaščitne ukrepe glede dostopa do osebnih podatkov in njihove uporabe za namene nacionalne varnosti ter zagotavlja nadzorne mehanizme in mehanizme pravnih sredstev, ki so v skladu z zahtevami iz uvodne izjave 89 tega sklepa. Pogoji, pod katerimi je tak dostop mogoč, in zaščitni ukrepi glede uporabe teh pooblastil so podrobneje ocenjeni v naslednjih oddelkih.

(120)

Osebni podatki, ki se prenašajo iz Unije v organizacije DPF EU-ZDA lahko zbirajo organi ZDA za namene nacionalne varnosti dovoljen na podlagi različnih pravnih instrumentov, so predmet posebnih pogojev in zaščitnih ukrepov.

(121)

Ko so osebni podatki preneseni v organizacije v Združenih državah, lahko obveščevalne agencije ZDA zahtevajo dostop do takih podatkov za namene nacionalne varnosti le, kot je dovoljeno z zakonom, natančneje v skladu z zakonom o nadzoru tujih obveščevalnih podatkov (Foreign Intelligence Surveillance Act, v nadaljnjem besedilu: FISA), ali zakonskimi določbami, ki dovoljujejo dostop prek sodnih pozivov v zvezi z nacionalno varnostjo (National Security Letters, v nadaljnjem besedilu: NSL) (221). FISA vsebuje več pravnih podlag, ki se lahko uporabijo za zbiranje (in naknadno obdelavo) osebnih podatkov posameznikov iz Unije, na katere se nanašajo osebni podatki, ki se prenašajo na podlagi DPF EU-ZDA (člen 105 (222) FISA, člen 302 FISA (223), člen 402 FISA (224), člen 501 FISA (225) in člen 702 FISA (226)), kot je podrobneje opisano v uvodnih izjavah 142–152.

(122)

Obveščevalne agencije ZDA imajo tudi možnost zbiranja osebnih podatkov zunaj Združenih držav, med drugim osebnih podatkov v tranzitu med Unijo in Združenimi državami. Zbiranje zunaj Združenih držav temelji na Odredbi št. 12333 (Odredba št. 12333) (227), ki jo izda predsednik (228).

(123)

Zbiranje SIGINT je oblika zbiranja obveščevalnih podatkov, ki je najustreznejša za sedanje ugotavljanje ustreznosti, saj se nanaša na zbiranje elektronskih komunikacij in podatke iz informacijskih sistemov. Tako zbiranje lahko izvajajo obveščevalne agencije ZDA v Združenih državah (na podlagi FISA) in tudi medtem, ko so podatki v tranzitu v Združene države (na podlagi Odredbe št. 12333).

(124)

Predsednik ZDA je 7. oktobra 2022 izdal Odredbo št. 14086 o krepitvi zaščitnih ukrepov za obveščevalne dejavnosti SIGINT ZDA, ki določa omejitve in zaščitne ukrepe za vse obveščevalne dejavnosti SIGINT ZDA. Ta odredba v veliki meri nadomešča Predsedniško politično direktivo (Presidential Policy Directive 28, v nadaljnjem besedilu: PPD-28) (229), krepi pogoje, omejitve in zaščitne ukrepe, ki se uporabljajo za obveščevalne dejavnosti SIGINT (npr. na podlagi FISA in Odredbe št. 12333) ne glede na to, kje potekajo (230), in določa nov mehanizem pravnih sredstev, prek katerega lahko posamezniki uveljavijo in izvršijo te zaščitne ukrepe (231) (za več podrobnosti glej uvodne izjave 176 do 194). S tem v pravu ZDA izvaja rezultate pogovorov, ki so potekali med EU in ZDA po razveljavitvi sklepa Komisije o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit s strani Sodišča (glej uvodno izjavo 6). Zato je to posebno pomemben element pravnega okvira, ki se presoja v tem sklepu.

(125)

Omejitve in zaščitni ukrepi, uvedeni z Odredbo št. 14086, dopolnjujejo omejitve in zaščitne ukrepe iz členov 702 FISA in Odredbe št. 12333. Obveščevalne agencije morajo pri izvajanju obveščevalnih dejavnosti SIGINT v skladu s členom 702 FISA in Odredbo št. 12333 uporabljati spodaj opisane zahteve (v oddelkih 3.2.1.2 in 3.2.1.3), npr. pri izbiri/identifikaciji kategorij tujih obveščevalnih podatkov, ki jih je treba pridobiti v skladu s členom 702 FISA, zbiranju tujih obveščevalnih podatkov ali protiobveščevalnih podatkov v skladu z Odredbo št. 12333 in sprejemanju odločitev o ciljnem osredotočanju na posameznike v skladu s členom 702 FISA in Odredbo št. 12333.

(126)

Zahteve, določene v tej odredbi, ki jo je izdal predsednik, so zavezujoče za vso obveščevalno skupnost. Treba jih je treba nadalje izvajati s politikami in postopki agencije, s katerimi se prenašajo v konkretne smernice za vsakodnevno delovanje. V zvezi s tem imajo obveščevalne agencije ZDA na podlagi Odredbe št. 14086 največ eno leto časa, da posodobijo svoje obstoječe politike in postopke (tj. do 7. oktobra 2023) in jih uskladijo z zahtevami navedene odredbe. Take posodobljene politike in postopke je treba razviti v posvetovanju z generalnim državnim tožilcem, uradnikom za varstvo zasebnosti in državljanskih svoboščin z Urada za varstvo zasebnosti in državljanskih svoboščin v okviru Urada direktorja nacionalne obveščevalne službe (Civil Liberties and Privacy Office of the Office of the Director of National Intelligence, v nadaljnjem besedilu: ODNI CLPO) in PCLOB, tj. neodvisnim nadzornim organom, pooblaščenim za pregled politik izvršilne veje in njihovo izvajanje z namenom varstva zasebnosti in državljanskih svoboščin (v zvezi z vlogo in statusom PCLOB glej uvodno izjavo 110), in jih objaviti (232). Poleg tega bo PCLOB po uvedbi posodobljenih politik in postopkov izvedel pregled za zagotovitev, da so skladni z Odredbo. V 180 dneh od zaključka takega pregleda PCLOB mora vsaka obveščevalna agencija skrbno preučiti in izvesti ali drugače obravnavati vsa priporočila PCLOB. Vlada ZDA je 3. julija 2023 objavila take posodobljene politike in postopke (233).

(127)

Odredba št. 14086 določa številne krovne zahteve, ki se uporabljajo za vse obveščevalne dejavnosti SIGINT (zbiranje, uporaba, razširjanje itd. osebnih podatkov).

(128)

Prvič, take dejavnosti morajo temeljiti na zakonu ali predsedniškem pooblastilu in biti izvedene v skladu s pravom ZDA, vključno z ustavo (234).

(129)

Drugič, vzpostavljeni morajo biti ustrezni zaščitni ukrepi za zagotovitev, da je varstvo zasebnosti in državljanskih svoboščin sestavni del premislekov pri načrtovanju takih dejavnosti (235).

(130)

Zlasti se lahko vsaka obveščevalna dejavnost SIGINT izvaja le „po odločitvi, ki temelji na razumni presoji vseh ustreznih dejavnikov, da so dejavnosti potrebne za izboljšanje potrjenih prednostnih nalog obveščevalnih služb“ (v zvezi s pojmom „potrjene prednostne naloge obveščevalnih služb“ glej uvodno izjavo 135) (236).

(131)

Poleg tega se lahko take dejavnosti izvajajo le „v obsegu in na način, ki je sorazmeren s potrjenimi prednostnimi nalogami obveščevalnih služb, za katere so bile dovoljene“ (237). Povedano drugače, treba je doseči ustrezno ravnovesje „med pomembnostjo uresničevane prednostne naloge obveščevalnih služb ter vplivom na varstvo zasebnosti in državljanskih svoboščin zadevnih posameznikov ne glede na njihovo državljanstvo ali prebivališče“ (238).

(132)

Nazadnje, za zagotovitev skladnosti s temi splošnimi zahtevami, ki izražajo načela zakonitosti, nujnosti in sorazmernosti, so obveščevalne dejavnosti SIGINT predmet nadzora (za podrobnosti glej uvodne oddelek 3.2.2) (239).

(133)

Te krovne zahteve so v zvezi z zbiranjem obveščevalnih podatkov v okviru SIGNIT dodatno utemeljene s številnimi pogoji in omejitvami, ki zagotavljajo, da je poseg v pravice posameznikov omejen na tisto, kar je potrebno in sorazmerno za izboljšanje zakonitega cilja.

(134)

Prvič, Odredba omejuje razloge, na podlagi katerih se lahko podatki zbirajo v okviru obveščevalnih dejavnosti SIGINT, na dva načina. Po eni strani Odredba določa zakonite cilje, ki se lahko uresničujejo z zbiranjem obveščevalnih podatkov v okviru SIGNIT, npr. za razumevanje ali ocenjevanje zmogljivosti, namenov ali dejavnosti tujih organizacij, vključno z mednarodnimi terorističnimi organizacijami, ki predstavljajo sedanjo ali morebitno grožnjo za nacionalno varnost Združenih držav; za zaščito pred tujimi vojaškimi zmogljivostmi in dejavnostmi; za razumevanje ali ocenjevanje nadnacionalnih groženj, ki vplivajo na svetovno varnost, kot so podnebne in druge ekološke spremembe, tveganja za javno zdravje in humanitarne grožnje (240). Po drugi strani pa so v Odredbi navedeni nekateri cilji, ki se jih ne sme nikoli uresničevati z obveščevalnimi dejavnostmi SIGINT, npr. za namene obremenjevanja kritik, nestrinjanja ali svobode izražanja zamisli ali političnih mnenj s strani posameznikov ali medijev; za namene prikrajšanja ljudi na podlagi njihove narodnosti, rase, spola, spolne identitete, spolne usmerjenosti ali vere ali za zagotavljanje konkurenčne prednosti podjetjem iz ZDA (241).

(135)

Poleg tega obveščevalne agencije zbiranja obveščevalnih podatkov v okviru SIGINT ne morejo upravičiti samo z zakonitimi cilji, določenimi v Odredbi št. 14086, temveč ga je treba za operativne namene dodatno utemeljiti s konkretnejšimi prednostnimi nalogami, za katere se lahko zbirajo obveščevalni podatki v okviru SIGINT. Povedano drugače, dejansko zbiranje lahko poteka le za izboljšanje bolj specifične prednostne naloge. Take prednostne naloge so določene v posebnem postopku, namenjenem zagotovitvi skladnosti z veljavnimi pravnimi zahtevami, vključno s tistimi, ki so povezane z varstvom zasebnosti in državljanskih svoboščin. Natančneje, obveščevalne prednostne naloge najprej razvije direktor nacionalne obveščevalne službe (prek t. i. okvira nacionalnih obveščevalnih prednostnih nalog) in ga predloži predsedniku v odobritev (242). Preden direktor predloži obveščevalne prednostne naloge predsedniku, mora v skladu z Odredbo št. 14086 od ODNI CLPO za vsako prednostno nalogo pridobiti oceno o tem, ali (1) ta izboljšuje enega ali več zakonitih ciljev, določenih v Odredbi; (2) ni bila zasnovana za zbiranje obveščevalnih podatkov v okviru SIGINT za prepovedan cilj, določen v Odredbi, niti se ne predvideva, da bo povzročila tako zbiranje in (3) je bila določena po ustreznem upoštevanju varstva zasebnosti in državljanskih svoboščin vseh ljudi ne glede na njihovo državljanstvo ali prebivališče (243). Če se direktor ne strinja z oceno CLPO, je treba predsedniku predložiti obe stališči (244).

(136)

Zato ta postopek zlasti zagotavlja, da so vidiki varstva zasebnosti upoštevani od začetne faze razvoja prednostnih nalog obveščevalnih služb.

(137)

Drugič, ko je bil prednostna naloga obveščevalnih služb določena, številne zahteve usmerjajo odločitev o tem, ali in v kakšnem obsegu se lahko zbirajo obveščevalni podatki v okviru SIGNIT za izboljšanje take prednostne naloge. Te zahteve operacionalizirajo krovno potrebo in standarde sorazmernosti, določene s členom 2(a) Odredbe.

(138)

Zlasti se lahko obveščevalni podatki v okviru SIGINT zbirajo le „po ugotovitvi, da je na podlagi razumne presoje vseh ustreznih dejavnikov zbiranje potrebno za izboljšanje konkretne prednostne naloge obveščevalnih služb“ (245). Pri ugotavljanju, ali je konkretna dejavnost zbiranja obveščevalnih dejavnikov v okviru SIGINT potrebna za izboljšanje potrjenih prednostnih nalog obveščevalnih služb, morajo obveščevalne agencije ZDA upoštevati razpoložljivost, izvedljivost in ustreznost drugih manj vsiljivih virov in metod, vključno z diplomatskimi in javnimi viri (246). Kadar je taka alternativa na voljo, je treba dati prednost manj vsiljivim virom in metodam (247).

(139)

Če se pri uporabi takih meril zbiranje SIGINT šteje za potrebno, mora biti „tako prilagojeno, kot je izvedljivo“ in „ne sme nesorazmerno vplivati na varstvo zasebnosti in državljanskih svoboščin“ (248). Za zagotovitev, da to ne vpliva nesorazmerno na varstvo zasebnosti in državljanskih svoboščin, tj. za vzpostavitev ustreznega ravnovesja med potrebami nacionalne varnosti in varstvom zasebnosti in državljanskih svoboščin, je treba ustrezno upoštevati vse ustrezne dejavnike, kot so narava uresničevanega cilja; vsiljivost dejavnosti zbiranja, vključno z njenim trajanjem; verjetni prispevek zbiranja k uresničevanemu cilju; razumno predvidljive posledice za posameznike ter narava in občutljivost podatkov, ki jih je treba zbirati (249).

(140)

Kar zadeva vrsto zbiranja obveščevalnih podatkov v okviru SIGINT, mora biti zbiranje podatkov v Združenih državah, ki je najustreznejše za sedanje ugotavljanje ustreznosti, saj se nanaša na podatke, ki se prenašajo v organizacije v ZDA, vedno ciljno usmerjeno, kot je podrobneje opisano v uvodnih izjavah 142 do 153.

(141)

„Množično zbiranje“ (250) se lahko izvaja le zunaj Združenih držav, na podlagi Odredbe št. 12333. V tem primeru je tudi treba v skladu z Odredbo št. 14086 dati prednost ciljno usmerjenemu zbiranju (251). Nasprotno je množično zbiranje dovoljeno le, če informacij, potrebnih za izboljšanje potrjenih prednostnih nalog obveščevalnih služb, ni mogoče razumno pridobiti s ciljno usmerjenim zbiranjem (252). Če je treba množično zbiranje podatkov izvesti zunaj Združenih držav, se uporabljajo posebni zaščitni ukrepi na podlagi Odredbe št. 14086 (253). Prvič, uporabljati je treba metode in tehnične ukrepe, da bi se zbrani podatki omejili le na tisto, kar je potrebno za izboljšanje potrjenih prednostnih nalog obveščevalnih služb, hkrati pa zmanjšalo zbiranje neupoštevnih informacij (254). Drugič, Odredba omejuje uporabo množično zbranih informacij (vključno s poizvedovanjem) na šest konkretnih ciljev, vključno z zaščito pred terorizmom, zajetjem talcev in zadrževanjem posameznikov v ujetništvu s strani ali v imenu tuje vlade, organizacije ali osebe; zaščito pred vohunjenjem, sabotažo ali umori; zaščito pred grožnjami zaradi razvijanja, posedovanja ali širjenja orožja za množično uničevanje ali povezanih tehnologij in nevarnosti itd (255). Nazadnje, vsako poizvedovanje po množično pridobljenih obveščevalnih podatkih v okviru SIGINT lahko poteka le, če je potrebno za izboljšanje potrjenih prednostnih nalog obveščevalnih služb, v skladu s temi šestimi cilji ter s politikami in postopki, pri katerih se ustrezno upošteva vpliv poizvedb na varstvo zasebnosti in državljanskih svoboščin vseh ljudi ne glede na njihovo državljanstvo ali prebivališče (256).

(142)

Poleg zahtev Odredbe št. 14086 je zbiranje obveščevalnih podatkov v okviru SIGINT, ki je bilo preneseno na organizacijo v Združenih državah, predmet posebnih omejitev in zaščitnih ukrepov, ki jih ureja člen 702 FISA (257). Člen 702 FISA omogoča zbiranje tujih obveščevalnih podatkov s ciljnim osredotočanjem na nedržavljane ZDA, za katere se utemeljeno sklepa, da se nahajajo zunaj Združenih držav, ob zavezujoči pomoči ameriških ponudnikov storitev elektronskih komunikacij (258). Za zbiranje tujih obveščevalnih podatkov v skladu s členom 702 FISA pravosodni minister in direktor nacionalne obveščevalne službe predložita sodišču za nadzor nad tujo obveščevalno dejavnostjo (Foreign Intelligence Surveillance Court, v nadaljnjem besedilu: FISC) letni potrdili, v katerih so opredeljene kategorije tujih obveščevalnih podatkov, ki jih je treba pridobiti (259). Potrdili morata biti podprti s postopki izbire cilja, postopki zmanjševanja in poizvedovanja, ki jih je odobrilo tudi sodišče in so pravno zavezujoči za obveščevalne službe ZDA.

(143)

FISC je neodvisno sodišče (260), ustanovljeno z zveznim zakonom, zoper njegove odločbe pa se je mogoče pritožiti pred pritožbenim sodiščem za nadzor nad tujo obveščevalno dejavnostjo (Foreign Intelligence Surveillance Court of Review, v nadaljnjem besedilu: FISCR) (261), nazadnje pa pred vrhovnim sodiščem ZDA (262). Sodišču FISC (in FISCR) pomaga stalni senat petih pravobranilcev in petih tehničnih strokovnjakov, ki imajo strokovno znanje in izkušnje na področju nacionalne varnosti in državljanskih svoboščin (263). Iz te skupine sodišče imenuje posameznika, ki deluje kot amicus curiae za pomoč pri obravnavi kakršne koli vloge za izdajo sklepa ali ponovni preizkus, ki po mnenju sodišča predstavlja novo ali pomembno razlago prava, razen če sodišče ugotovi, da tako imenovanje ni primerno (264). S tem se zlasti zagotovi, da so vidiki varstva zasebnosti ustrezno izraženi v presoji sodišča. Sodišče lahko posameznika ali organizacijo imenuje za opravljanje naloge amicus curiae, vključno z zagotavljanjem tehničnega strokovnega znanja, kadar se mu to zdi primerno, ali na predlog posamezniku ali organizaciji dovoli, da vloži predlog za dopustitev stališča amicus curiae (265).

(144)

FISC ponovno preizkusi skladnost certifikacije in povezanih postopkov (zlasti postopkov izbire cilja in zmanjšanja) z zahtevami FISA. Če meni, da zahteve niso izpolnjene, lahko certifikacijo v celoti ali delno zavrne in zahteva spremembo postopkov (266). V zvezi s tem je FISC večkrat potrdil, da njegov ponovni preizkus postopkov izbire cilja in zmanjšanja iz člena 702 ni omejen na postopke, kakor so zapisani, temveč vključuje tudi način izvajanja postopkov s strani vlade (267).

(145)

Odločitve o ciljnem osredotočanju na posameznike sprejme Agencija za nacionalno varnost (National Security Agency, v nadaljnjem besedilu: NSA, ki je obveščevalna agencija, pristojna za ciljno osredotočanje na podlagi člena 702 FISA) v skladu s postopki izbire cilja, ki jih je odobril FISC, ki od NSA zahteva, da na podlagi vseh okoliščin oceni, ali obstaja verjetnost, da bo s ciljnim osredotočanjem na določeno osebo, pridobljena kategorija tujih obveščevalnih podatkov, opredeljenih v potrdilu (268). Ta ocena mora biti podrobno opredeljena in temeljiti na dejstvih ter posredovati analitično presojo, specializirano usposabljanje in izkušnje analitika ter tudi naravo tujih obveščevalnih podatkov, ki jih je treba pridobiti (269). Izbira cilja poteka z opredelitvijo t. i. izbirnikov, ki opredeljujejo posebna komunikacijska sredstva, kot je e-poštni naslov ali telefonska številka ciljne osebe, nikoli pa ključnih besed ali imen posameznika (270).

(146)

Analitiki NSA najprej identificirajo nedržavljane ZDA v tujini, katerih nadzor bo na podlagi ocene analitikov zagotovil ustrezne tuje obveščevalne podatke, navedene v potrdilu (271). Kot je določeno v postopkih izbire cilja s strani NSA, lahko NSA nadzor nad ciljno osebo izvaja le, ko je o njej že nekaj izvedela (272). To lahko izhaja iz informacij iz različnih virov, na primer človeška inteligenca. S temi drugimi viri se morajo analitiki seznaniti tudi s konkretnim izbirnikom (tj. komunikacijski račun), ki ga uporablja morebitna tarča. Po identifikaciji teh oseb in odobritvi ciljnega osredotočanja nanje z mehanizmom obseženih pregledov v okviru NSA (273) se izbirnikom, ki opredelijo komunikacijska sredstva (kot so e-poštni naslovi), ki jih uporabljajo ciljne osebe, „dodelijo naloge“ (tj. izbirniki se razvijejo in uporabljajo) (274).

(147)

Za izbiro ciljne osebe mora NSA dokumentirati dejansko stanje (275), po začetnem ciljnem osredotočanju pa redno potrjevati, da je standardu izbire cilja še vedno zadoščeno (276). Ko standardu izbire cilja ni več zadoščeno, je treba zbiranje končati (277). Uradniki uradov za nadzor obveščevalnih podatkov pri ministrstvu za pravosodje, za katere velja obveznost poročanja o vsaki kršitvi FISC in Kongresu, vsaka dva meseca preverjajo skladnost izbora vsake ciljne osebe s strani NSA, njene evidence o vsaki zabeleženi oceni izbire cilja in utemeljitve s postopki izbire cilja (278). Pisna dokumentacija NSA omogoča lažji nadzor FISC, ali se za konkretne posameznike uporablja pravilno ciljno osredotočanje na podlagi člena 702 FISA, v skladu z njegovimi nadzornimi pooblastili, opisanimi v uvodnih izjavah 173 in 174 (279). Nazadnje, tudi direktor nacionalne obveščevalne službe (Director of National Intelligence, v nadaljnjem besedilu: DNI) mora vsako leto poročati o skupnem številu ciljnih oseb na podlagi člena 702 FISA v javnih letnih statističnih poročilih o preglednosti. Podjetja, ki prejmejo navodila na podlagi člena 702 FISA lahko (v poročilih o preglednosti) objavijo zbirne podatke o zahtevah, ki jih prejmejo (280).

(148)

Kar zadeva druge pravne podlage za zbiranje osebnih podatkov, ki se prenašajo v organizacije v ZDA, se uporabljajo različni omejitve in zaščitni ukrepi. Na splošno je množično zbiranje podatkov izrecno prepovedano na podlagi člena 402 FISA (pooblastilo za snemalnike klicev ter naprave za pasti in sledenje) in z uporabo NSL, namesto tega pa je potrebna uporaba posebnih „izbirnih izrazov“ (281).

(149)

Za izvajanje tradicionalnega individualiziranega elektronskega nadzora (v skladu s členom 105 FISA) morajo obveščevalne agencije pri FISC vložiti vlogo z izjavo o dejstvih in okoliščinah, na katere se sklicujejo v utemeljitvi, da obstaja utemeljen sum, da sredstvo uporablja ali jo bo uporabila tuja sila ali agent tuje sile (282) FISC bo med drugim ocenil, ali na podlagi predstavljenih dejstev obstaja utemeljen sum, da to dejansko drži (283).

(150)

Za izvajanje preiskave prostorov ali lastnine, ki je namenjena inšpekcijskemu pregledu, zasegu itd. informacij, gradiva ali lastnine (npr. računalniška naprava) na podlagi člena 301 FISA, je potrebna vloga za izdajo sklepa FISC (284). V taki vlogi mora biti med drugim dokazano, da obstaja utemeljen sum, da je tarča take preiskave tuja sila ali agent tuje sile; da prostor ali lastnina, ki ga oziroma jo je treba preiskati, vsebuje tuje obveščevalne podatke, in da ima prostor, ki ga je treba preiskati, v lasti, uporabi, posesti tuje sile (ali njenega agenta), ali pa je v prenosu njej oziroma njemu ali od nje oziroma njega (285).

(151)

Podobno je za namestitev snemalnikov klicev ali naprav za pasti in sledenje (v skladu s členom 402 FISA) potrebna vloga za izdajo sklepa FISC (ali sodnika nižjega sodišča ZDA) ter uporaba posebnega izbirnega izraza, tj. izraza, ki izrecno opredeljuje osebo, račun itd. in se uporablja za čim večjo razumno omejitev obsega iskanih informacij (286). To pooblastilo se ne nanaša na vsebino komunikacij, temveč na podatke o stranki ali naročniku, ki uporablja storitev (kot so ime, naslov, številka naročnika, trajanje/vrsta opravljene storitve, vir/mehanizem plačila).

(152)

Člen 501 FISA (287), ki omogoča zbiranje poslovnih evidenc javnega prevoznika (tj. vsake osebe ali subjekta, ki prevaža ljudi ali lastnino po kopnem, z železnico, po vodi ali zraku proti plačilu), javni objekt za nastanitev (npr. hotel, motel ali gostišče), objekt za najem vozil ali fizično skladišče (tj. ki zagotavlja prostor za skladiščenje blaga in materialov ali opravlja storitve v zvezi s takim skladiščenjem) (288), prav tako zahteva vlogo, vloženo pri FISC ali predloženo sodniku nižjega sodišča. V tej vlogi morajo biti navedene zahtevane evidence ter konkretna in utemeljena dejstva, ki upravičujejo razlog za sum, da je oseba, na katero se nanašajo evidence, tuja sila ali agent tuje sile (289).

(153)

Nazadnje, NLS so dovoljeni v skladu z različnimi zakoni, obveščevalnim agencijam pa omogočajo, da od nekaterih subjektov (npr. finančnih institucij, agencijah za poročanje o kreditni sposobnosti, ponudnikov storitev elektronskih komunikacij) pridobijo nekatere informacije (ki ne vključujejo vsebine komunikacij), ki jih vsebujejo poročila o kreditni sposobnosti, finančni podatki, elektronski podatki o naročnikih in poslih (290). Zakon, ki dovoljuje dostop do elektronskih komunikacij, določa, da lahko NLS uporablja le FBI, in zahteva, da se v zahtevah uporablja izraz, ki specifično opredeljuje osebo, subjekt, telefonsko številko ali račun ter da zahteva potrjuje, da so informacije pomembne za odobreno preiskavo nacionalne varnosti za zaščito pred mednarodnim terorizmom ali tajnimi obveščevalnimi dejavnostmi (291). Prejemniki NSL ga imajo pravico izpodbijati na sodišču (292).

(154)

Obdelava osebnih podatkov, ki jih obveščevalne agencije ZDA zbirajo z obveščevalnimi dejavnostmi SIGINT, je predmet številnih zaščitnih ukrepov.

(155)

Prvič, vsaka obveščevalna agencija mora zagotoviti ustrezno varnost podatkov in nepooblaščenim osebam preprečiti dostop do osebnih podatkov, zbranih z obveščevalnimi dejavnostmi SIGINT. V zvezi s tem so v različnih instrumentih, vključno z zakoni, smernicami in standardi, podrobneje navedene minimalne zahteve glede informacijske varnosti, ki jih je treba uvesti (npr. večfaktorska avtentikacija, šifriranje itd.) (293). Dostop do zbranih podatkov mora biti omejen na pooblaščeno, usposobljeno osebje, ki mora biti seznanjeno z informacijami za opravljanje svojih nalog (294). Splošneje morajo obveščevalne agencije svojim zaposlenim zagotoviti ustrezno usposabljanje, vključno s postopki poročanja in obravnavanje kršitev prava (vključno z Odredbo št. 14086) (295).

(156)

Drugič, obveščevalne agencije morajo izpolnjevati standarde obveščevalne skupnosti glede točnosti in nepristranskosti, zlasti v zvezi z zagotavljanjem kakovosti in zanesljivosti podatkov, upoštevanjem alternativnih virov informacij in nepristranskostjo pri izvajanju analiz (296).

(157)

Tretjič, kar zadeva hrambo podatkov, Odredba št. 14086 pojasnjuje, da za osebne podatke nedržavljanov ZDA veljajo enaki roki za hrambo kot za podatke državljanov ZDA (297). Obveščevalne agencije morajo opredeliti konkretna obdobja hrambe in/ali dejavnike, ki jih je treba upoštevati pri določanju dolžine veljavnih obdobij hrambe (npr. ali so informacije dokaz kaznivega dejanja; ali gre za tuje obveščevalne informacije; ali so informacije potrebne za zagotavljanje varnosti oseb ali organizacij, vključno z žrtvami ali tarčami mednarodnega terorizma), ki so določene v različnih pravnih instrumentih (298).

(158)

Četrtič, v zvezi z razširjanjem osebnih podatkov, zbranih z obveščevalnimi dejavnostmi SIGINT, se uporabljajo posebna pravila. V skladu s splošno zahtevo se lahko osebni podatki nedržavljanov ZDA razširjajo le, če to vključuje isto vrsto informacij, ki se lahko razširjajo o državljanih ZDA, npr. informacije, potrebne za zaščito varnosti osebe ali organizacije (kot so ciljne osebe, žrtve ali talci mednarodnih terorističnih organizacij) (299). Poleg tega se osebni podatki ne smejo razširjati le zaradi državljanstva osebe ali države prebivanja ali da bi se zaobšle zahteve Odredbe št. 14086 (300). Razširjanje na ravni vlade ZDA lahko poteka le, če pooblaščeni in usposobljeni posameznik utemeljeno sumi, da se mora prejemnik seznaniti z informacijami (301) in jih bo ustrezno varoval (302). Za ugotovitev, ali se lahko osebni podatki razširjajo prejemnikom zunaj vlade ZDA (vključno s tujo vlado ali mednarodno organizacijo), je treba za namene razširjanja upoštevati naravo in obseg podatkov, ki se razširjajo, in morebiten škodljiv vpliv na zadevno osebo ali osebe (303).

(159)

Nazadnje, za lažji nadzor skladnosti z veljavnimi pravnimi zahtevami in tudi učinkovitimi pravnimi sredstvi mora vsaka obveščevalna agencija v skladu z Odredbo št. 14086 hraniti ustrezno dokumentacijo o zbiranju obveščevalnih podatkov v okviru SIGINT. Zahteve glede dokumentacije zajemajo elemente, kot so dejanska podlaga za oceno, da je konkretna dejavnost zbiranja potrebna za izboljšanje potrjenih prednostnih nalog obveščevalnih služb (304).

(160)

Poleg zgoraj navedenih zaščitnih ukrepov iz Odredbe št. 14086 za uporabo informacij, zbranih z dejavnostmi SIGINT, za vse obveščevalne agencije ZDA veljajo bolj splošne zahteve glede omejitve namena, najmanjšega obsega podatkov, točnosti, varnosti, hrambe in razširjanja, ki izhajajo zlasti iz Okrožnice OMB št. A-130, zakona o e-upravi, zakona o evidencah zveznih agencij (glej uvodne izjave 101–106) in smernic Odbora za sisteme nacionalne varnosti (Committee on National Security Systems, v nadaljnjem besedilu: CNSS) (305).

(161)

Dejavnosti obveščevalnih agencij ZDA so predmet nadzora različnih organov.

(162)

Prvič, Odredba št. 14086 zahteva, da ima vsaka obveščevalna agencija višje uradnike za pravne zadeve, nadzor in skladnost, da se zagotovi skladnost z veljavno zakonodajo ZDA (306). Zlasti morajo izvajati reden nadzor nad obveščevalnimi dejavnostmi SIGINT in zagotavljati odpravo vsake neskladnosti. Obveščevalne agencije morajo takim uradnikom za izvajanje njihovih nadzornih funkcij zagotoviti dostop do vseh ustreznih informacij in ne smejo sprejeti nobenih ukrepov, s katerimi bi ovirale ali neustrezno vplivale na njihove dejavnosti nadzora (307). Poleg tega je treba vsak pomemben primer neskladnosti (308), ki ga ugotovi uradnik za nadzor ali kateri koli drug zaposleni, nemudoma sporočiti vodji obveščevalne agencije in DNI, ki morata zagotoviti sprejetje vseh potrebnih ukrepov za odpravo pomembnega primera neskladnosti in preprečitev njegove ponovitve (309).

(163)

To nadzorno funkcijo uradniki izpolnjujejo v vlogi imenovanih presojevalcev skladnosti, pa tudi kot uradniki za varstvo zasebnosti in državljanskih svoboščin ter generalni inšpektorji (310).

(164)

Tako kot v primeru organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj so uradniki za varstvo zasebnosti in državljanskih svoboščin v vseh obveščevalnih agencijah (311). Pooblastila teh uradnikov običajno zajemajo nadzor nad postopki za zagotovitev, da zadevno ministrstvo/agencija ustrezno upošteva vidike, povezane z varstvom zasebnosti ali državljanskih svoboščin, in da ima vzpostavljene ustrezne postopke za obravnavo pritožb posameznikov, ki menijo, da je bilo kršeno varstvo njihove zasebnosti ali državljanskih svoboščin (in v nekaterih primerih, kot je Urad direktorja nacionalne obveščevalne službe (Office of the Director of National Intelligence, v nadaljnjem besedilu: ODNI), so lahko sami pooblaščeni za preiskovanje pritožb (312)). Vodje obveščevalnih agencij morajo zagotoviti, da imajo uradniki za varstvo zasebnosti in državljanske svoboščine vire za izpolnjevanje svojih pooblastil, da jim je zagotovljen dostop do vsega gradiva in osebja, potrebnega za opravljanje njihovih nalog, da so seznanjeni s predlaganimi spremembami politike in da se o slednjih opravijo posvetovanja z njimi (313). Uradniki za varstvo zasebnosti in državljanskih svoboščin redno poročajo Kongresu in PCLOB, tudi o številu in naravi pritožb, ki jih prejme ministrstvo/agencija v povzetku obravnave takih pritožb, opravljenih pregledih in preiskavah ter vplivu dejavnosti, ki jih je izvedel uradnik (314).

(165)

Drugič, vsaka obveščevalna agencija ima svojega neodvisnega generalnega inšpektorja, ki je med drugim pristojen za nadzor tujih obveščevalnih dejavnosti. To v okviru ODNI vključuje Urad generalnega inšpektorja obveščevalne skupnosti (Office of the Inspector General of the Intelligence Community) s celovito pristojnostjo nad celotno obveščevalno skupnostjo, ki je pooblaščena za preiskovanje pritožb ali informacij, ki se nanašajo na domnevno nezakonito ravnanje ali zlorabo pooblastila v zvezi s programi ali z dejavnostmi ODNI in/ali obveščevalne skupnosti (315). Tako kot v primeru organov za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj (glej uvodno izjavo 109) so generalni inšpektorji zakonsko neodvisni (316) in pristojni za izvajanje revizij in preiskav v zvezi s programi in postopki, ki jih izvaja ustrezna agencija za nacionalne obveščevalne namene, vključno s primeri zlorab ali kršitev zakonodaje (317). Imajo dostop do vseh evidenc, poročil, revizij, pregledov, dokumentov, spisov, priporočil ali drugega ustreznega gradiva, po potrebi s sodnim pozivom, in lahko opravljajo zaslišanja (318). Generalni inšpektorji odstopijo zadeve suma kršitev kazenskega prava organom pregona, vodjem agencij pa izdajajo priporočila za popravne ukrepe (319). Čeprav njihova priporočila niso zavezujoča, so njihova poročila, vključno s poročili o nadaljnjih ukrepih (ali odsotnosti ukrepov) (320), na splošno objavljena in poslana Kongresu, ki lahko na podlagi teh poročil opravlja svojo nadzorno funkcijo (glej uvodni izjavi 168 in 169) (321).

(166)

Tretjič, obveščevalni nadzorni odbor (Intelligence Oversight Board, v nadaljnjem besedilu: IOB), ustanovljen v okviru predsedniškega obveščevalnega svetovalnega odbora (President's Intelligence Advisory Board, v nadaljnjem besedilu: PIAB), nadzoruje skladnost obveščevalnih organov ZDA z ustavo in vsemi veljavnimi pravili (322). PIAB je svetovalni organ v okviru izvršnega urada predsednika, ki ga sestavlja 16 članov, ki jih imenuje predsednik in niso iz vlade ZDA. IOB sestavlja največ pet članov, ki jih predsednik imenuje izmed članov PIAB. V skladu z Odredbo št. 12333 (323) morajo vodje vseh obveščevalnih agencij IOB poročati o vsaki obveščevalni dejavnosti, za katero obstaja razlog za sum, da je morda nezakonita ali v nasprotju z Odredbo ali predsedniško direktivo. Za zagotovitev, da ima IOB dostop do informacij, potrebnih za izvajanje njegovih funkcij, Odredba št. 13462 DNI in vodjem obveščevalnih agencij odreja, naj IOB zagotovijo vse informacije in pomoč, ki so po ugotovitvi IOB potrebne za izvajanje njegovih funkcij, v zakonsko dovoljenem obsegu (324). IOB mora obveščati predsednika o obveščevalnih dejavnostih, za katere meni, da kršijo zakonodajo ZDA (vključno z odredbami) in da jih pravosodni minister DNI ali vodja obveščevalne agencije neustrezno obravnavata (325). Poleg tega mora IOB obveščati pravosodnega ministra o morebitnih kršitvah kazenskega prava.

(167)

Četrtič, obveščevalne agencije nadzira PCLOB. V skladu z njegovim statutom o ustanovitvi so PCLOB podeljena pooblastila na področju politik boja proti terorizmu in njihovega izvajanja z namenom varstva zasebnosti in državljanskih svoboščin. Pri pregledu ukrepov obveščevalne skupnosti lahko dostopa do vseh ustreznih evidenc, poročil, revizij, pregledov, dokumentov, spisov in priporočil agencije, vključno z zaupnimi informacijami, opravlja pogovore in prisostvuje zaslišanjem (326). Prejema poročila uradnikov za varstvo zasebnosti in državljanskih svoboščin več zveznih ministrstev/agencij (327), lahko izdaja priporočila vladi in obveščevalnim agencijam ter redno poroča kongresnim odborom in predsedniku (328). Poročila odboru, vključno s poročili Kongresu, morajo biti čim bolj javno dostopna (329). PCLOB je izdal več poročil o nadzoru in nadaljnjih ukrepih, vključno z analizo programov, ki se izvajajo na podlagi člena 702 FISA, in varstva zasebnosti v tem okviru, izvajanja PPD-28 in Odredbe št. 12333 (330). PCLOB je zadolžen tudi za izvajanje posebnih nadzornih funkcij v zvezi z izvajanjem Odredbe št. 14086, zlasti za pregledovanje, ali so postopki agencije skladni z Odredbo (glej uvodno izjavo 126), in ocenjevanje korektivnega delovanja mehanizma pravnih sredstev (glej uvodno izjavo 194).

(168)

Petič, poleg nadzornih mehanizmov v okviru izvršilne oblasti imajo tudi določeni odbori Kongresa ZDA (obveščevalna in pravosodna odbora Predstavniškega doma oziroma Senata), pristojnosti za nadzor nad vsemi tujimi obveščevalnimi dejavnostmi v ZDA. Člani teh odborov imajo dostop do zaupnih podatkov in tudi do obveščevalnih metod in programov (331). Odbori izvajajo redni nadzor, zlasti z obravnavami, preiskavami, pregledi in poročili (332).

(169)

Kongresni odbori prejemajo redna poročila o obveščevalnih dejavnostih, tudi od pravosodnega ministra, DNI, obveščevalnih agencij in drugih nadzornih organov (npr. generalnih inšpektorjev), glej uvodni izjavi 164 in 165. Zlasti v skladu z zakonom o nacionalni varnosti „[p]redsednik zagotovi, da so kongresni obveščevalni odbori v celoti in sproti obveščeni o obveščevalnih dejavnostih Združenih držav, vključno s katero koli pomembno predvideno obveščevalno dejavnostjo, kot se zahteva v skladu s tem podpoglavjem“ (333). Poleg tega „[p]redsednik zagotovi, da so kongresni obveščevalni odbori nemudoma obveščeni o kakršni koli nezakoniti obveščevalni dejavnosti in tudi o kakršnih koli popravnih ukrepih, sprejetih ali so načrtovanih v povezavi s tako nezakonito dejavnostjo“ (334).

(170)

Poleg tega dodatne zahteve glede poročanja izhajajo iz posebnih zakonov. Zlasti FISA zahteva, da pravosodni minister „v celoti obvešča“ odbore spodnjega doma in senata za obveščevalno dejavnost in pravosodje o dejavnostih vlade v skladu z nekaterimi členi FISA (335). Zahteva tudi, da vlada kongresnim odborom predloži kopije vseh odločb, sklepov ali mnenj FISC ali FISCR, ki vključujejo pomembno formulacijo ali razlago“ določb FISA. Kar zadeva nadzor v skladu s členom 702 FISA, se parlamentarni nadzor izvaja z zakonsko določenimi poročili obveščevalnim in pravosodnim odborom in tudi s pogostim obveščanjem in zaslišanji. To vključuje polletno poročilo pravosodnega ministra, v katerem je opisana uporaba člena 702 FISA, s spremnimi dokumenti, vključno s poročili ministrstva za pravosodje in ODNI o skladnosti, z opisom morebitnih primerov neskladnosti (336) ter ločeno polletno oceno pravosodnega ministra in DNI, ki dokumentira skladnost s postopki izbire cilja in zmanjševanja (337).

(171)

Poleg tega FISA od vlade ZDA med drugim zahteva, da Kongresu (in javnosti) vsako leto razkrije število zahtevanih in prejetih sklepov FISA in tudi oceno števila državljanov in nedržavljanov ZDA, nad katerimi se izvaja nadzor (338). Zakon zahteva tudi dodatno javno poročanje o številu izdanih NSL v zvezi z državljani in tudi nedržavljani ZDA (hkrati pa prejemnikom sklepov in potrdil FISA ter tudi zahtev za izdajo NSL omogoča, da pod določenimi pogoji izdajo poročila o preglednosti) (339).

(172)

Splošneje si obveščevalna skupnost ZDA na najrazličnejše načine prizadeva zagotoviti preglednost svojih (tujih) obveščevalnih dejavnosti. na primer, leta 2015 je ODNI sprejel načela preglednosti na področju obveščevalnih dejavnosti in načrt za izvajanje preglednosti ter vsaki obveščevalni agencije odredil, naj za spodbujanje preglednosti in vodenje pobud za preglednost imenuje posebnega uradnika za preglednost obveščevalnih dejavnosti (340). V okviru teh prizadevanj je obveščevalna skupnost objavila in še naprej objavlja dele politik, postopkov, poročil o nadzoru, poročil o dejavnostih na podlagi člena 702 FISA in Odredbe št. 12333, odločb in drugega gradiva FISC, ki jim je bila preklicana stopnja zaupnosti, tudi na namenskem spletnem mestu „IC on the Record“, ki jo upravlja ODNI (341).

(173)

Nazadnje, zbiranje osebnih podatkov v skladu s členom 702 FISA je poleg nadzora nadzornih organov, navedenih v uvodnih izjavah 162 do 168, predmet nadzora FISC (342). V skladu s pravilom 13 poslovnika FISC morajo uradniki za presojo skladnosti v obveščevalnih agencijah ZDA o vseh kršitvah člena 702 FISA v zvezi s postopki izbire cilja, zmanjševanja in poizvedovanja poročati ministrstvu za pravosodje in ODNI, ki nato o njih poročajo FISC. Poleg tega ministrstvo za pravosodje in ODNI predložita FISC polletni skupni poročili o ocenjevanju nadzora, v katerih so opredeljeni trendi na področju skladnosti z izbiro cilja; zagotovljeni statistični podatki; opisane kategorije primerov neskladnosti; podrobno opisani razlogi za pojav nekaterih primerov neskladnosti z izbiro cilja, ter navedeni ukrepi, ki so jih sprejele obveščevalne agencije za preprečitev ponovitve (343).

(174)

Po potrebi (npr. če so ugotovljene kršitve postopkov izbire cilja) lahko sodišče ustrezni obveščevalni agenciji odredi, naj sprejme ukrepe za uveljavljanje pravnih sredstev. (344) Zadevni popravni ukrepi lahko zajemajo posamezne ali strukturne ukrepe, npr. od prenehanja pridobivanja podatkov in izbrisa nezakonito pridobljenih podatkov do spremembe prakse zbiranja podatkov, vključno s smernicami in usposabljanjem osebja (345). Poleg tega FISC med svojim letnim pregledom potrdil na podlagi člena 702 upošteva primere neskladnosti, da bi ugotovil, ali predložena potrdila izpolnjujejo zahteve FISA. Če FISC ugotovi, da vladna potrdila niso zadostovala, tudi zaradi nekaterih primerov neskladnosti, lahko podobno izda t. i. sklep o pomanjkljivosti, v katerem od vlade zahteva odpravo kršitve v 30 dneh ali prenehanje izvajanja ali neizvedbo potrjevanja na podlagi člena 702. Nazadnje, FISC oceni trende, ki jih opazi v zvezi s težavami na področju skladnosti, in lahko zahteva spremembo postopkov ali dodaten nadzor in poročanje o obravnavi trendov na področju skladnosti (346).

(175)

Kot je podrobneje pojasnjeno v tem oddelku, številne možnosti v Združenih državah zagotavljajo posameznikom iz Unije, na katere se nanašajo osebni podatki, omogočajo vložitev tožbe pred neodvisnim in nepristranskim sodiščem z zavezujočimi pooblastili. Skupaj posameznikom omogočajo dostop do njihovih osebnih podatkov, pregled zakonitosti vladnega dostopa do njihovih osebnih podatkov in v primeru kršitve njeno odpravo, tudi s popravkom oziroma izbrisom takih podatkov.

(176)

Prvič, na podlagi Odredbe št. 14086 je vzpostavljen poseben mehanizem pravnih sredstev, ki ga dopolnjuje uredba pravosodnega ministra o ustanovitvi DPRC za obravnavanje in reševanje pritožb posameznikov, ki se nanašajo na ameriške obveščevalne dejavnosti SIGINT. Vsak posameznik v EU ima pravico mehanizmu pravnih sredstev predložiti pritožbo, ki se nanaša na domnevno kršitev ameriškega zakona, ki ureja obveščevalne dejavnosti SIGINT (npr. Odredba št. 14086, člen 702 FISA, Odredba št. 12333), in negativno vpliva na njegove interese glede varstva zasebnosti in državljanskih svoboščin (347). Ta mehanizem pravnih sredstev je na voljo posameznikom iz držav ali regionalnih organizacij za gospodarsko povezovanje, ki jih je pravosodni minister ZDA opredelil kot „države, ki izpolnjujejo pogoje“ (348). Pravosodni minister je 30. junija 2023 Evropsko unijo in tri države Evropskega združenja za prosto trgovino, ki skupaj tvorijo Evropski gospodarski prostor, na podlagi člena 3(f) Odredbe št. 14086 opredelil kot „države, ki izpolnjujejo pogoje“ (349). Ta opredelitev ne posega v člen 4(2) Pogodbe o Evropski uniji.

(177)

Posameznik iz Unije, na katerega se nanašajo osebni podatki in ki želi vložiti takšno pritožbo, mora le-to predložiti nadzornemu organu v državi članici EU, pristojnemu za nadzor nad obdelavo osebnih podatkov s strani javnih organov (organ za varstvo podatkov) (350). To zagotavlja preprost dostop do mehanizma pravnih sredstev, saj posameznikom omogoča, da se obrnejo na organ, ki je „v bližini doma“ in s katerim se lahko sporazumevajo v lastnem jeziku. Ko se zahteve za vložitev pritožbe iz uvodne izjave 178 preverijo, bo pristojni organ za varstvo podatkov prek sekretariata Evropskega odbora za varstvo podatkov pritožbo posredoval v mehanizem pravnih sredstev.

(178)

Za vložitev pritožbe pri mehanizmu pravnih sredstev veljajo majhne zahteve glede dopustnosti, saj posameznikom ni treba dokazati, da so bili njihovi podatki dejansko predmet ameriških obveščevalnih dejavnosti SIGINT (351). Hkrati morajo biti za zagotovitev izhodišča, na podlagi katerega mehanizem pravnih sredstev izvede pregled, predložene nekatere osnovne informacije, tj. v zvezi z osebnimi podatki, za katere se utemeljeno sklepa, da so bili preneseni v ZDA, in v zvezi s sredstvi, s katerimi naj bi bili preneseni; identitetami subjektov vlade ZDA, za katere se sklepa, da so vključeni v domnevne kršitve (če je znano); podlago za domnevo, da je prišlo do kršitve zakonodaje ZDA (čeprav za to prav tako ni potreben dokaz, da so osebne podatke dejansko zbirale ameriške obveščevalne agencije) in naravo zahtevanega nadomestila.

(179)

Prvotno preiskavo pritožb, predloženih temu mehanizmu pravnih sredstev, izvaja ODNI CLPO, čigar obstoječa zakonska vloga in zakonska pooblastila so bila razširjena konkretne ukrepe, sprejete v skladu z Odredbo št. 14086 (352). V okviru obveščevalne skupnosti je CLPO med drugim pristojen za zagotavljanje, da je varstvo zasebnosti in državljanskih svoboščin ustrezno vključeno v politike in postopke ODNI in obveščevalnih agencij; nadzor ODNI nad skladnostjo z veljavnimi zahtevami glede varstva zasebnosti in državljanskih svoboščin in izvajanje ocen učinka na varstvo zasebnosti (353). ODNI CLPO lahko razreši le DNI iz pomembnega razloga, tj. v primeru neustreznega ravnanja, zlorabe položaja, kršitve varnosti, zanemarjanja dolžnosti ali nesposobnosti (354).

(180)

ODNI CLPO ima pri izvajanju pregleda dostop do informacij za njegovo ocenjevanje in se lahko opre na obvezno pomoč uradnikov za varstvo zasebnosti in državljanskih svoboščin v različnih obveščevalnih agencijah (355). Obveščevalne agencije imajo prepoved ovirati ali neustrezno vplivati na preglede ODNI CLPO. To vključuje DNI, ki se ne sme vmešavati v pregled (356). Pri pregledu pritožbe mora ODNI CLPO „uporabljati zakon nepristransko“, upoštevati interese nacionalne varnosti na področju obveščevalnih dejavnosti SIGINT in tudi varstvo zasebnosti (357).

(181)

V okviru svojega pregleda ODNI CLPO ugotovi, ali je prišlo do kršitve veljavne zakonodaje ZDA in, če je to tako, odloči o ustrezni odpravi kršitve (358). Slednje se nanaša na ukrepe, ki v celoti odpravljajo ugotovljeno kršitev, kot na primer opustitev nezakonitega pridobivanja podatkov, izbris nezakonito zbranih podatkov, izbris rezultatov neustrezno izvedenih poizvedb drugače nezakonito zbranih podatkov, omejitev dostopa ustrezno usposobljenega osebja do zakonito zbranih podatkov ali priklic obveščevalnih poročil, ki vsebujejo podatke, pridobljene brez zakonitega dovoljenja ali ki so bili nezakonito razširjani (359). Odločitve ODNI CLPO o posameznih pritožbah (tudi o odpravi kršitve) so za zadevne obveščevalne agencije zavezujoče (360).

(182)

ODNI CLPO mora hraniti dokumentacijo o svojem pregledu in predložiti zaupno odločbo s pojasnitvijo podlage za njegove dejanske ugotovitve, z ugotovitvijo, ali je prišlo do zajete kršitve, in določitvijo ustrezne odprave kršitve (361). Če je bila pri pregledu ODNI CLPO ugotovljena kršitev katerega koli pooblastila, ki je predmet nadzora FISC, mora CLPO predložiti tudi zaupno poročilo pomočniku pravosodnega ministra za nacionalno varnost, ki nato v skladu z obveznostjo poročanja sporoči neskladnost FISC, ki lahko sprejme nadaljnje izvršilne ukrepe (v skladu s postopkom, opisanim v uvodnih izjavah 173 in 174) (362).

(183)

Ko je pregled zaključen, ODNI CLPO prek nacionalnega organa obvesti pritožnika, da „pri pregledu bodisi niso bile ugotovljene nobene zajete kršitve ali da je ODNI CLPO izdal odločitev, ki zahteva ustrezno odpravo kršitve“ (363). To omogoča varstvo zaupnosti dejavnosti, izvedenih za zaščito nacionalne varnosti, hkrati pa je posameznikom s tem zagotovljena odločba, ki potrjuje, da je bila njihova pritožba ustrezno preiskana, o njej pa je bilo ustrezno odločeno. Poleg tega lahko posameznik to odločbo izpodbija. V ta namen bo obveščen o možnosti vložitve pritožbe pri DPRC za presojo ugotovitev CLPO (glej uvodno izjavo 184 in naslednje) in o tem, da če se bo obrnil na sodišče, bo izbran poseben pravobranilec, ki bo zastopal pritožnikove interese (364).

(184)

Vsak pritožnik in tudi vsak organa obveščevalne skupnosti lahko pred DPRC zahtevajo presojo odločbe ODNI CLPO. Take vloge za presojo morajo biti vložene v 60 dneh po prejemu obvestila s strani ODNI CLPO, da je njegov pregled zaključen, vključevati pa morajo vse informacije, ki jih želi posameznik predložiti DPRC (npr. argumente o pravnih vprašanjih ali uporabi prava za dejstva zadeve) (365). Posamezniki iz Unije, na katere se nanašajo osebni podatki, lahko svojo vlogo ponovno vložijo pri pristojnem organu za varstvo podatkov (glej uvodno izjavo 177).

(185)

DPRC je neodvisno sodišče, ki ga je pravosodni minister ustanovil na podlagi Odredbe št. 14086 (366). Sestavlja ga vsaj šest sodnikov, ki jih imenuje pravosodni minister po posvetovanju s PCLOB, z ministrom za trgovino in DNI za štiriletni mandat z možnostjo podaljšanja (367). Imenovanje sodnikov s strani pravosodnega ministra, temelji na merilih, ki jih uporablja izvršilna veja pri ocenjevanju kandidatov za zvezno pravosodje in ki dodeljujejo utež predhodnim sodniškim izkušnjam (368). Poleg tega morajo biti sodniki delavci v pravni stroki (tj. aktivni člani odvetniške zbornice in imeti ustrezno licenco za opravljanje odvetniške prakse) ter imeti ustrezne izkušnje s področja prava varstva zasebnosti in nacionalne varnosti. Pravosodni minister si mora prizadevati za zagotovitev, da ima vsaj polovica sodnikov vedno predhodne sodniške izkušnje, vsi sodniki pa morajo imeti varnostna potrdila, da lahko dostopajo do zaupnih podatkov o nacionalni varnosti (369).

(186)

Za sodnike pri DPRC so lahko imenovani le posamezniki, ki izpolnjujejo kvalifikacije, navedene v uvodni izjavi 185, in ki v času svojega imenovanja ali dve leti pred tem niso oziroma niso bili zaposleni v izvršilni veji. Podobno sodniki v času svojega mandata pri DPRC ne smejo opravljati nobenih uradnih nalog ali biti zaposleni v vladi ZDA (razen kot sodniki pri DPRC) (370).

(187)

Neodvisnost odločanja se uresničuje s številnimi jamstvi. Zlasti izvršilni veji (pravosodni minister in obveščevalne agencije) je prepovedano vmešavanje v presojo DPRC ali neustrezno vplivanje nanjo (371). Sam DPRC pa mora nepristransko odločati o zadevah (372) in deluje v skladu z lastnim poslovnikom (sprejetim z večino glasov). Poleg tega lahko sodnike pri DPRC razreši le pravosodni minister in le iz določenih razlogov (tj. neustrezno ravnanje, zloraba položaja, kršitev varnosti, zanemarjanje dolžnosti ali nesposobnost), ob ustreznem upoštevanju standardov, ki veljajo za zvezne sodnike, določene v pravilniku o ravnanju pri opravljanju sodniške službe in postopkih za ugotovitev nezmožnosti opravljanja sodniške službe (373).

(188)

Vloge, predložene DPRC, presojajo senati treh sodnikov, vključno s predsedujočim sodnikom, ki mora ravnati v skladu s kodeksom ravnanja za sodnike ZDA (374). Vsakemu senatu pomaga posebni pravobranilec (375), ki ima dostop do vseh informacij, ki se nanašajo na zadevo, vključno z zaupnimi informacijami (376). Vloga posebnega pravobranilca je zagotoviti, da so pritožnikovi interesi zastopani in da je senat DPRC dobro seznanjen z vsemi ustreznimi pravnimi in dejanskimi vprašanji (377). Da bi se posebni pravobranilec podrobneje seznanil z vlogo za presojo, ki jo je pri DPRC vložil posameznik, lahko s pisnimi vprašanji od pritožnika zahteva informacije (378).

(189)

DPRC presoja ugotovitve ODNI CLPO (glede kršitev veljavne zakonodaje ZDA in tudi glede ustrezne odprave kršitve) vsaj na podlagi evidence o preiskavi ODNI CLPO in tudi vseh informacij in vlog, ki so jih predložili pritožnik, posebni pravobranilec ali obveščevalna agencija (379). Senat DPRC ima dostop do vseh informacij, potrebnih za izvedbo presoje, ki jih lahko pridobi prek ODNI CLPO (senat lahko npr. od CLPO zahteva, naj svoje evidence dopolni z dodatnimi informacijami ali dejanskimi ugotovitvami, če je to potrebno za izvedbo presoje) (380).

(190)

Pri izvajanju svoje presoje lahko DPRC (1) odloči, da ni dokazov o tem, da je prišlo do obveščevalnih dejavnosti SIGINT, ki vključujejo pritožnikove osebne podatke, (2) odloči, da so bile ugotovitve ODNI CLPO pravno pravilne in podprte z utemeljenimi dokazi, ali (3), če se DPRC ne strinja z ugotovitvami ODNI CLPO (o tem, ali je bila kršena veljavna zakonodaja ZDA, ali glede ustrezne odprave kršitve), izda lastne ugotovitve (381).

(191)

DPRC v vseh primerih sprejme pisno odločbo z večino glasov. Če je v presoji ugotovljena kršitev veljavnih pravil, bo v odločbi navedena vsaka ustrezna odprava kršitev, ki vključuje izbris nezakonito zbranih podatkov, izbris rezultatov neustrezno izvedenih poizvedb, omejitev dostopa ustrezno usposobljenega osebja do zakonito zbranih podatkov ali priklic obveščevalnih poročil, ki vsebujejo podatke, pridobljene brez zakonitega dovoljenja ali ki so bili nezakonito razširjani (382). Odločba DPRC je v zvezi z obravnavano pritožbo dokončna in zavezujoča (383). Poleg tega, če je bila pri presoji ugotovljena kršitev katerega koli pooblastila, ki je predmet nadzora FISC, mora DPRC predložiti tudi zaupno poročilo pomočniku pravosodnega ministra za nacionalno varnost, ki nato v skladu z obveznostjo poročanja sporoči neskladnosti FISC, ki lahko sprejme nadaljnje izvršilne ukrepe (v skladu s postopkom, opisanim v uvodnih izjavah 173 in 174) (384).

(192)

Vsaka odločba senata DPRC je posredovana ODNI CLPO (385). V primerih, v katerih je presojo DPRC sprožila vloga pritožnika, je pritožnik prek nacionalnega organa obveščen, da je DPRC zaključil svojo presojo in da „pri presoji bodisi niso bile ugotovljene nobene zajete kršitve bodisi je DPRC izdal ugotovitev, ki zahteva ustrezno odpravo kršitve“ (386). OPCL v okviru ministrstva za pravosodje hrani evidenco vseh informacij, ki jih je pregledal DPRC, in vseh izdanih odločb, ki so kot nezavezujoč precedens na voljo prihodnjim senatom DPRC za preučitev (387).

(193)

Ministrstvo za trgovino mora hraniti tudi evidenco vsakega pritožnika, ki je vložil pritožbo (388). Za večjo preglednost mora ministrstvo za trgovino vsaj vsakih pet let stopiti v stik z ustreznimi obveščevalnimi agencijami, da bi preverilo, ali je bila informacijam, ki se nanašajo na presojo DPR, preklicana stopnja zaupnosti (389). Če je to tako, bo posameznik obveščen, da so lahko take informacije na voljo na podlagi veljavne zakonodaje (tj. da lahko zahteva dostop do njih na podlagi FOIA, glej uvodno izjavo 199).

(194)

Nazadnje, pravilno delovanje tega mehanizma pravnih sredstev bo predmet rednega in neodvisnega vrednotenja. Natančneje, v skladu z Odredbo št. 14086 je delovanje mehanizma pravnih sredstev predmet letnega pregleda PCLOB, neodvisnega organa (glej uvodno izjavo 110) (390). V okviru svojega pregleda bo PCLOB med drugim ocenil, ali sta ODNI CLPO in DPRC pritožbe obravnavala pravočasno; ali sta pridobila popoln dostop do potrebnih informacij; ali so bili v postopku pregleda ustrezno upoštevani vsebinski zaščitni ukrepi iz Odredbe št. 14086 in ali je obveščevalna skupnost v celoti ravnala v skladu z ugotovitvami ODNI CLPO in DPRC. PCLOB bo poročilo o izidu svojega pregleda predložil predsedniku, pravosodnemu ministru, DNI, vodji obveščevalnih agencij, ODNI CLPO in kongresnim odborom za obveščevalno dejavnost, ki bo tudi objavljen v nezaupni različici, nato pa vključen v redni pregled delovanja tega sklepa, ki ga bo izvedla Komisija. Pravosodni minister, DNI, ODNI CLPO in vodje obveščevalnih agencij morajo izvajati ali drugače obravnavati vsa priporočila, ki jih vključujejo taka poročila. Poleg tega bo PCLOB izdal letno javno potrdilo o tem, ali mehanizem pravnih sredstev obravnava pritožbe v skladu z zahtevami Odredbe št. 14086.

(195)

Poleg posebnega mehanizma pravnih sredstev, vzpostavljenega na podlagi Odredbe št. 14086, so možnosti pravnih sredstev na voljo vsem posameznikom (ne glede na državljanstvo ali prebivališče) pred rednimi sodišči ZDA (391).

(196)

Zlasti FISA in povezan zakon določata možnost, da posamezniki vložijo civilno tožbo za denarno odškodnino proti Združenim državam, če so bile informacije o njih nezakonito in namerno uporabljene ali razkrite (392); da tožijo osebno uslužbence vlade ZDA za denarno odškodnino (393) in da izpodbijajo zakonitost nadzora (ter zahtevajo omejitev informacij), če namerava vlada ZDA uporabiti ali razkriti kakršne koli informacije, ki so pridobljene ali izhajajo iz elektronskega nadzora, proti posamezniku v sodnem ali upravnem postopku v ZDA (394). Splošneje, če namerava vlada uporabiti informacije, pridobljene med izvajanjem obveščevalne dejavnosti, proti osumljencu v kazenski zadevi, ustavne in zakonske zahteve (395) nalagajo obveznost razkritja nekaterih informacij, tako da lahko obdolženec izpodbija zakonitost vladnega zbiranja in uporabe dokazov.

(197)

Poleg tega obstaja več posebnih možnosti pritožbe proti vladnim uslužbencem zaradi nezakonitega vladnega dostopa do osebnih podatkov ali njihove uporabe, tudi za domnevne namene nacionalne varnosti (to so zakon o računalniških goljufijah in zlorabah (396), ECPA (397) in zakon o pravici do finančne zasebnosti (398)). Vsa te tožbe se nanašajo na konkretne podatke, ciljne osebe in/ali vrste dostopa (npr. oddaljeni dostop računalnika prek interneta) in so na voljo pod določenimi pogoji (npr. naklepno/namerno ravnanje, ravnanje zunaj uradnih pooblastil, utrpela škoda).

(198)

Splošnejšo možnost pravnega varstva zagotavlja APA (399), v skladu s katerim ima „vsaka oseba, ki ji je bila storjena pravna krivica zaradi ukrepanja agencije ali na katero je to ukrepanje agencije negativno vplivalo ali jo oškodovalo“, pravico, da zahteva sodni nadzor (400). To vključuje možnost, da se sodišču predlaga, naj „ugotovi, da so ukrepanje, ugotovitve in sklepi agencije, za katere je bilo ugotovljeno, da so […] samovoljni, arbitrarni, da predstavljajo zlorabo diskrecijske pravice ali so drugače neskladni s pravom, nezakoniti in jih razveljavi“ (401). Zvezno pritožbeno sodišče je leta 2015 o zahtevku na podlagi APA na primer odločilo, da množično zbiranje telefonskih metapodatkov s strani vlade ZDA ni bilo dovoljeno na podlagi člena 501 FISA (402).

(199)

Nazadnje, poleg možnosti pravnih sredstev, navedenih v uvodnih izjavah 176–198, ima vsak posameznik na podlagi FOIA pravico zahtevati dostop do obstoječih evidenc zvezne agencije, tudi če te vsebujejo posameznikove osebne podatke (403). Pridobitev takega dostopa lahko olajša vlaganje tožb pred rednimi sodišči, tudi v podporo izkazu pravnega interesa. Agencije lahko zadržijo informacije, ki spadajo med določene navedene izjeme, vključno z dostopom do zaupnih podatkov o nacionalni varnosti in podatkov, ki se nanašajo na preiskave kazenskega pregona (404), vendar imajo pritožniki, ki niso zadovoljni z odzivom, možnost, da ga izpodbijajo z zahtevkom za upravni in nato sodni nadzor (pred zveznimi sodišči) (405).

(200)

Iz zgoraj navedenega izhaja, da kadar organi ZDA za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj ter za nacionalno varnost izvajajo dostop do osebnih podatkov, ki spadajo na področje uporabe tega sklepa, tak dostop ureja pravni okvir, ki določa pogoje, na podlagi katerih je dostop mogoč, pri tem pa omejuje dostop in nadaljnjo uporabo podatkov na tisto, kar je potrebno in sorazmerno glede na cilj v javnem interesu. Te zaščitne ukrepe lahko uveljavljajo posamezniki, ki imajo pravice do učinkovitih pravnih sredstev.

(201)

Komisija meni, da Združene države z načeli, ki jih je izdalo ministrstvo za trgovino, zagotavljajo raven varstva osebnih podatkov, ki se prenašajo iz Unije certificiranim organizacijam v ZDA na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA, ki je v osnovi enakovredna ravni, zagotovljeni z Uredbo (EU) 2016/679.

(202)

Poleg tega Komisija meni, da dejansko uporabo načel zagotavljajo obveznosti glede preglednosti in upravljanje DPF s strani ministrstva za trgovino. Gledano v celoti nadzorni mehanizmi in pravna sredstva v zakonodaji ZDA poleg tega v praksi omogočajo, da se kršitve pravil o varstvu podatkov ugotovijo in kaznujejo, ter da so posameznikom, na katere se nanašajo osebni podatki, na voljo pravna sredstva, s katerimi lahko pridobijo dostop do osebnih podatkov, ki se nanašajo nanje, in po potrebi zagotovijo popravek ali izbris takih podatkov.

(203)

Nazadnje, Komisija na podlagi razpoložljivih informacij o pravnem redu ZDA, vključno z informacijami iz prilog VI in VII, meni, da bodo vsak poseg v temeljne pravice posameznikov, katerih osebne podatke javni organi ZDA prenašajo iz Unije v Združene države v javnem interesu, zlasti za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter namene nacionalne varnosti na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA, omejen na to, kar je nujno potrebno za dosego zadevnega zakonitega cilja, ter da obstaja učinkovito pravno varstvo pred takim posegom. Zato bi bilo treba glede na zgornje ugotovitve odločiti, da Združene države zagotavljajo ustrezno varstvo v smislu člena 45 Uredbe (EU) 2016/679, kot se razlaga glede na Listino Evropske unije o temeljnih pravicah, v zvezi z osebnimi podatki, ki se iz Evropske unije prenašajo organizacijam, certificiranim na podlagi okvira za varstvo zasebnosti podatkov med EU in ZDA.

(204)

Glede na to, da so omejitve, zaščitni ukrepi in mehanizmi pravnega varstva, določeni v Odredbi št. 14086, bistveni elementi pravnega okvira ZDA, na katerem temelji ocena Komisije, sprejetje tega sklepa temelji na sprejetju posodobljenih politik in postopkov za izvajanje Odredbe št. 14086 s strani vseh obveščevalnih agencij ZDA in določitvi Unije kot organizacije, ki izpolnjuje pogoje za namene mehanizma pravnega sredstva, kar se je zgodilo 3. julija 2023 (glej uvodno izjavo 126) oziroma 30. junija 2023 (glej uvodno izjavo 176).

(205)

Države članice in njihovi organi morajo sprejeti ukrepe, potrebne za zagotavljanje skladnosti z akti institucij Unije, saj se domneva, da so ti zakoniti in imajo pravne učinke, dokler niso umaknjeni, razveljavljeni na podlagi izpodbojne tožbe ali razglašeni za neveljavne na podlagi predloga za sprejetje predhodne odločbe ali sklicevanja na nezakonitost.

(206)

Zato je sklep Komisije o ustreznosti varstva, sprejet na podlagi člena 45(3) Uredbe (EU) 2016/679, zavezujoč za vse organe držav članic, na katere je naslovljen, vključno z njihovimi neodvisnimi nadzornimi organi. Natančneje, prenosi od upravljavca ali obdelovalca v Uniji certificiranim organizacijam v Združenih državah lahko potekajo, ne da bi bilo treba pridobiti nadaljnje dovoljenje.

(207)

V skladu s členom 58(5) Uredbe (EU) 2016/679 in glede na pojasnila Sodišča v sodbi v zadevi Schrems (406) je treba opozoriti, da če ima nacionalni organ za varstvo podatkov tudi po prejemu pritožbe pomisleke glede skladnosti sklepa Komisije o ustreznosti s temeljnimi pravicami posameznika do varstva zasebnosti in podatkov, mu mora nacionalno pravo zagotavljati pravno sredstvo za predložitev teh očitkov nacionalnemu sodišču, ki bi morda moralo pri Sodišču vložiti predlog za sprejetje predhodne odločbe (407).

(208)

V skladu s sodno prakso Sodišča (408) in kot je navedeno v členu 45(4) Uredbe (EU) 2016/679, bi morala Komisija po sprejetju sklepa o ustreznosti redno spremljati razvoj dogodkov v tretji državi, da se presodi, ali tretja država še zagotavlja v osnovi enakovredno raven varstva. Tako preverjanje je vsekakor nujno, kadar Komisija prejme kakršne koli informacije, ki zbujajo upravičen dvom o tem.

(209)

Komisija bi zato morala stalno spremljati razmere v Združenih državah, kar zadeva pravni okvir in dejansko prakso obdelave osebnih podatkov, kot sta ocenjena v tem sklepu. Za olajšanje tega postopka bi morali organi ZDA Komisijo nemudoma obvestiti o bistvenem razvoju pravnega reda ZDA, ki vpliva na pravni okvir, ki je predmet tega sklepa, ter o razvoju praks v zvezi z obdelavo osebnih podatkov, ocenjenih v tem sklepu, in sicer tako glede obdelave osebnih podatkov s strani certificiranih organizacij v Združenih državah kot tudi glede omejitev in zaščitnih ukrepov, ki se uporabljajo za dostop javnih organov do osebnih podatkov.

(210)

Poleg tega bi morale države članice Komisijo obveščati o vseh pomembnih ukrepih nacionalnih organov za varstvo podatkov, zlasti glede poizvedb ali pritožb posameznikov iz Unije, na katere se nanašajo osebni podatki, v zvezi s prenosom osebnih podatkov iz Unije certificiranim organizacijam v Združenih državah, da lahko Komisija učinkovito izvaja naloge spremljanja. Komisija bi morala biti obveščena tudi o kakršnih koli indicih, da ukrepi javnih organov ZDA, odgovornih za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj oziroma za nacionalno varnost, vključno z vsemi nadzornimi organi, ne zagotavljajo zahtevane ravni varnosti.

(211)

Komisija bi morala po sprejetju tega sklepa na podlagi člena 45(3) Uredbe (EU) 2016/679 (409) redno preverjati, ali so ugotovitve, ki se nanašajo na ustreznost ravni varstva, ki jo zagotavljajo Združene države na podlagi DPF EU-ZDA, še vedno dejansko in pravno upravičene. Ker zlasti Odredba št. 14086 in uredba pravosodnega ministra zahtevata vzpostavitev novih mehanizmov in izvajanje novih zaščitnih ukrepov, bi bilo treba ta sklep prvič pregledati v enem letu po začetku njegove veljavnosti, da bi se preverilo, ali so bili vsi ustrezni elementi v celoti izvedeni in učinkovito delujejo v praksi. Komisija po tem prvem pregledu in glede na rezultate pregleda v tesnem posvetovanju z odborom, ustanovljenim v skladu s členom 93(1) Uredbe (EU) 2016/679, in Evropskim odborom za varstvo podatkov odloči o periodičnosti prihodnjih pregledov (410).

(212)

Za izvedbo pregledov bi se morala Komisija sestati z ministrstvom za trgovino, FTC in ministrstvom za promet, po potrebi pa tudi z drugimi ministrstvi in agencijami, vključenimi v izvajanje DPF EU-ZDA, ter, glede zadev, ki se nanašajo na nacionalno varnost, s predstavniki ministrstva za pravosodje, ODNI (vključno s CLPO), drugimi organi obveščevalne skupnosti, DPRC in tudi posebnimi pravobranilci. Možnost sodelovanja na takem srečanju bi morali imeti tudi predstavniki članov Evropskega odbora za varstvo podatkov.

(213)

Pregledi bi morali vključevati vse vidike učinkovanja tega sklepa glede obdelave osebnih podatkov v Združenih državah, zlasti uporabo in izvajanje načel, pri čemer bi bilo treba posebno pozornost nameniti varstvu v primeru nadaljnjih prenosov; razvoj ustrezne sodne prakse; učinkovitost uresničevanja pravic posameznikov; spremljanje in izvrševanje skladnosti z načeli; ter omejitve in zaščitne ukrepe v zvezi z vladnim dostopom, zlasti izvajanje in uporabo zaščitnih ukrepov, uvedenih z Odredbo št. 14086, vključno s politikami in postopki, ki so jih razvile obveščevalne agencije; medsebojni vpliv Odredbe št. 14086 ter člena 702 FISA in Odredbe št. 12333; ter učinkovitost nadzornih mehanizmov in pravnih sredstev (vključno z delovanjem novega mehanizma pravnih sredstev, vzpostavljenega na podlagi Odredbe št. 14086). V okviru takih pregledov bo pozornost namenjena tudi sodelovanju med organi za varstvo podatkov in pristojnimi organi Združenih držav, vključno z razvojem smernic in drugih razlagalnih orodij glede uporabe načel ter glede drugih vidikov delovanja okvira.

(214)

Komisija bi morala na podlagi pregleda pripraviti javno poročilo, ki se predloži Evropskemu parlamentu in Svetu.

(215)

Če se na podlagi razpoložljivih informacij, zlasti tistih, ki izhajajo iz spremljanja tega sklepa ali ki jih zagotovijo organi ZDA ali organi držav članic, ugotovi, da raven varstva, ki se zagotavlja glede osebnih podatkov, prenesenih s tem sklepom, morda ni več ustrezna, bi morala Komisija o tem takoj obvestiti pristojne organe ZDA in zahtevati, naj se v določenem razumnem roku sprejmejo ustrezni ukrepi.

(216)

Če pristojni organi ZDA ob preteku tega določenega roka ne sprejmejo navedenih ukrepov ali drugače zadovoljivo dokažejo, da ta sklep še naprej temelji na ustreznem varstvu, bo Komisija začela postopek iz člena 93(2) Uredbe (EU) 2016/679 za začasno zadržanje izvajanja ali za razveljavitev dela ali celotnega tega sklepa.

(217)

Druga možnost je, da bo Komisija začela navedeni postopek za spremembo tega sklepa, zlasti z uvedbo dodatnih pogojev za prenos podatkov ali z omejitvijo področja uporabe ugotovitve o ustreznosti samo na prenose podatkov, za katere je še naprej zagotovljeno ustrezno varstvo.

(218)

Komisija bi morala zlasti začeti postopek za začasno zadržanje izvajanja ali razveljavitev v primeru:

(219)

Prav tako bi morala Komisija razmisliti o začetku postopka za spremembo, začasno zadržanje izvajanja ali razveljavitev tega sklepa, če pristojni organi ZDA ne zagotovijo informacij ali pojasnil, potrebnih za oceno ravni varstva, ki se zagotavlja glede osebnih podatkov, prenesenih iz Unije v Združene države, ali skladnosti s tem sklepom. V tem smislu bi morala Komisija upoštevati, v kolikšni meri je mogoče zadevne informacije pridobiti iz drugih virov.

(220)

Komisija bo v ustrezno utemeljenih nujnih primerih, na primer če bi bila Odredba št. 14086 ali uredba pravosodnega ministra spremenjena tako, da bi bila ogrožena raven varstva, opisana v tem sklepu, ali pa če bi pravosodni minister umaknil opredelitev Unije kot organizacije, ki izpolnjuje pogoje za namene mehanizma pravnega sredstva, uporabila možnost, da v skladu s postopkom iz člena 93(3) Uredbe (EU) 2016/679 sprejme izvedbene akte, ki se začnejo uporabljati takoj in s katerimi se začasno zadrži izvajanje tega sklepa oziroma se sklep razveljavi ali spremeni.

(221)

Evropski odbor za varstvo podatkov je objavil svoje mnenje (411), ki je bilo upoštevano pri pripravi tega sklepa.

(222)

Evropski parlament je sprejel resolucijo o ustreznosti zaščite, ki jo zagotavlja okvir EU–ZDA za varstvo podatkov (412).

(223)

Ukrepi iz tega sklepa so v skladu z mnenjem odbora, ustanovljenega na podlagi člena 93(1) Uredbe (EU) 2016/679 –