(1)

I förordning (EU) 2016/679 (2) fastställs regler för överföring av personuppgifter från personuppgiftsansvariga eller personuppgiftsbiträden i Europeiska unionen till tredjeländer och internationella organisationer i den mån sådana överföringar omfattas av förordningens tillämpningsområde. Reglerna om internationella överföringar av uppgifter fastställs i kapitel V i den förordningen. Flödet av personuppgifter till och från länder utanför EU är av avgörande betydelse för att utvidga den gränsöverskridande handeln och det internationella samarbetet, men skyddet av personuppgifter i unionen får inte undergrävas av överföringar till tredjeländer (3) eller internationella organisationer.

(2)

Enligt artikel 45.3 i förordning (EU) 2016/679 får kommissionen genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer i ett tredjeland säkerställer en adekvat skyddsnivå. Enligt detta villkor får överföring av personuppgifter till ett tredjeland ske utan ytterligare tillstånd enligt artikel 45.1 och skäl 103 i förordning (EU) 2016/679.

(3)

Enligt artikel 45.2 i förordning (EU) 2016/679 måste antagandet av ett beslut om adekvat skyddsnivå grundas på en omfattande analys av tredjelandets rättsordning som omfattar både de regler som är tillämpliga på uppgiftsinförare och begränsningarna och skyddsåtgärderna när det gäller myndigheters tillgång till personuppgifter. Kommissionen måste i sin bedömning avgöra om det berörda tredjelandet garanterar en skyddsnivå som ”i huvudsak motsvarar” den som säkerställs i unionen (skäl 104 i förordning (EU) 2016/679). Huruvida så är fallet ska bedömas mot EU-lagstiftningen, särskilt förordning (EU) 2016/679, samt rättspraxis från Europeiska unionens domstol (EU-domstolen) (4).

(4)

Så som klargörs av EU-domstolen i domen av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner (5) (Schrems), kräver detta inte att man hittar en identisk skyddsnivå. I synnerhet kan de medel som tredjelandet i fråga har till sitt förfogande för att skydda personuppgifter skilja sig från dem som används i EU förutsatt att de i praktiken visar sig vara effektiva för att säkerställa en adekvat skyddsnivå (6). Standarden för en adekvat skyddsnivå kräver därför inte att EU:s regler kopieras till punkt och pricka. Snarare gäller det att avgöra huruvida det utländska systemet som helhet erbjuder den höga skyddsnivå som krävs med avseende på innehållet i rätten till personlig integritet och genomförandet, tillsynen och verkställandet av dem i praktiken (7). Enligt domen bör kommissionen vid tillämpningen av denna standard särskilt bedöma om det berörda tredjelandets rättsliga ram innehåller regler som syftar till att begränsa ingrepp i de grundläggande rättigheterna för personer vars uppgifter överförs från EU, som de statliga enheterna i det landet skulle ha rätt att utöva när de eftersträvar legitima mål, såsom nationell säkerhet, och ge ett effektivt rättsligt skydd mot ingrepp av detta slag (8). Europeiska dataskyddsstyrelsens referensram för adekvat skyddsnivå, som syftar till att ytterligare förtydliga denna standard, ger också vägledning i detta avseende (9).

(5)

Den tillämpliga standarden med avseende på sådana ingrepp i den grundläggande rätten till integritet och skydd av personuppgifter förtydligades ytterligare av EU-domstolen i domen av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems (Schrems II), som ogiltigförklarade kommissionens genomförandebeslut (EU) 2016/1250 (10) om en tidigare transatlantisk ram för dataflöde, skölden för skydd av privatlivet i EU och Förenta staterna (skölden för skydd av privatlivet). EU-domstolen ansåg att de begränsningar av skyddet av personuppgifter som härrör från amerikansk nationell lagstiftning om åtkomst till och användning av uppgifter som överförs från EU till Förenta staterna för ändamål som rör nationell säkerhet inte begränsades på ett sätt som uppfyller krav som i huvudsak är likvärdiga med dem som fastställs i EU-lagstiftningen, när det gäller nödvändigheten och proportionaliteten av sådana ingrepp i rätten till dataskydd (11). EU-domstolen ansåg också att det inte fanns någon anledning att väcka talan inför ett organ som erbjuder de personer vars uppgifter överfördes till Förenta staterna garantier som i huvudsak är likvärdiga med dem som krävs enligt artikel 47 i stadgan om rätten till ett effektivt rättsmedel (12).

(6)

Till följd av domen i målet Schrems II inledde kommissionen samtal med den amerikanska regeringen i syfte att fatta ett eventuellt nytt beslut om adekvat skyddsnivå som skulle uppfylla kraven i artikel 45.2 i förordning (EU) 2016/679 enligt EU-domstolens tolkning. Till följd av dessa diskussioner antog Förenta staterna den 7 oktober 2022 dekret 14086 Enhancing Safeguards for US Signals Intelligence Activities om förbättring av skyddsåtgärderna för Förenta staternas signalunderrättelseverksamhet (dekret 14086), som kompletteras av en förordning om dataskyddsdomstolen som utfärdats av Förenta staternas justitieminister (justitieministerns förordning) (13). Dessutom har den ram som gäller för kommersiella enheter som behandlar data som överförs från EU enligt detta beslut – ramen för dataskydd mellan EU och Förenta staterna (dataskyddsramen mellan EU och Förenta staterna eller dataskyddsramen) – uppdaterats.

(7)

Kommissionen har noggrant analyserat Förenta staternas lagstiftning och praxis, inbegripet dekret 14086 och justitieministerns förordning. På grundval av de konstateranden som görs i skälen 9–200 drar kommissionen slutsatsen att Förenta staterna säkerställer en adekvat skyddsnivå för skydd av personuppgifter som överförs enligt dataskyddsramen mellan EU och Förenta staterna från en personuppgiftsansvarig eller ett personuppgiftsbiträde i EU (14) till certifierade organisationer i Förenta staterna.

(8)

Detta beslut innebär att överföring av personuppgifter från personuppgiftsansvariga och personuppgiftsbiträden i EU (15) till certifierade organisationer i Förenta staterna kan ske utan ytterligare tillstånd. Detta påverkar inte den direkta tillämpningen av förordning (EU) 2016/679 på sådana organisationer, när villkoren för förordningens territoriella tillämpningsområde som anges i artikel 3 är uppfyllda.

(9)

Dataskyddsramen mellan EU och Förenta staterna bygger på ett system för certifiering genom vilket organisationer i Förenta staterna förbinder sig att följa en uppsättning principer om integritetsskydd – principerna om integritetsskydd för dataskyddsramen mellan EU och Förenta staterna, inklusive kompletterande principer (nedan gemensamt kallade principerna) – som utfärdats av Förenta staternas handelsministerium och ingår i bilaga I till detta beslut (16). För att vara berättigad till certifiering enligt dataskyddsramen mellan EU och Förenta staterna måste en organisation omfattas av den federala konkurrensmyndighetens eller det amerikanska transportministeriets utrednings- och verkställighetsbefogenheter (17). Principerna blir omedelbart tillämpliga vid certifiering. Så som förklaras närmare i skälen 48–52 är organisationer som omfattas av dataskyddsramen mellan EU och Förenta staterna skyldiga att varje år på nytt certifiera att de följer principerna (18).

(10)

Det skydd som ges enligt dataskyddsramen mellan EU och Förenta staterna gäller alla personuppgifter som överförs från EU till organisationer i Förenta staterna som har intygat hos handelsministeriet att de följer principerna, med undantag för uppgifter som samlas in för offentliggörande, utsändning via radio och tv eller andra former av offentlig kommunikation av journalistiskt material samt information i tidigare publicerat material som sprids från mediearkiv (19). Sådan information kan därför inte överföras på grundval av dataskyddsramen mellan EU och Förenta staterna.

(11)

I principerna definieras personuppgifter på samma sätt som i förordning (EU) 2016/679, dvs. som ”uppgifter om en identifierad eller identifierbar fysisk person som faller inom tillämpningen av den allmänna dataskyddsförordningen och som mottagits av en organisation i Förenta staterna från Europeiska unionen och är registrerade i någon form” (20). De omfattar därför även pseudonymiserade (eller ”nyckelkodade”) forskningsdata (inklusive när nyckeln inte delas med den mottagande amerikanska organisationen) (21). På samma sätt definieras begreppet behandling av personuppgifter som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning eller spridning och radering eller förstöring” (22).

(12)

Dataskyddsramen mellan EU och Förenta staterna är tillämplig på organisationer i Förenta staterna som kvalificerar sig som personuppgiftsansvariga (dvs. som en person eller organisation som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter) (23) eller personuppgiftsbiträden (dvs. förmedlare som agerar för en personuppgiftsansvarigs räkning) (24). Amerikanska personuppgiftsbiträden måste vara bundna av ett avtal att agera endast enligt instruktioner från den personuppgiftsansvariga i EU och att hjälpa den sistnämnda att tillmötesgå enskilda som utövar sina rättigheter enligt principerna (25). Om uppgiftsbehandlingen läggs ut på entreprenad måste dessutom en personuppgiftsansvarig ingå ett avtal med underentreprenören som garanterar samma skyddsnivå som principerna, och vidta åtgärder för att säkerställa att avtalet genomförs korrekt (26).

(13)

Personuppgifter bör behandlas på ett lagligt och korrekt sätt. De bör samlas in för specifika ändamål och därefter användas endast i den utsträckning som detta är förenligt med behandlingens ändamål.

(14)

Inom ramen för dataskyddsramen mellan EU och Förenta staterna säkerställs detta genom olika principer. För det första får en organisation enligt principen om dataintegritet och ändamålsbegränsning, på samma sätt som enligt artikel 5.1 b i förordning (EU) 2016/679, inte behandla personuppgifter på ett sätt som är oförenligt med det ändamål för vilket de ursprungligen samlades in om inte den registrerade i efterhand har gett sitt tillstånd (27).

(15)

För det andra måste organisationen, innan den använder personuppgifter för ett nytt (ändrat) syfte som är väsentligt annorlunda men fortfarande förenligt med det ursprungliga syftet, eller lämna ut dem till en tredje part, ge de registrerade möjlighet att invända (opt-out), i enlighet med principen om valmöjlighet (28), genom en klar, tydlig och lättillgänglig mekanism. Viktigt är att denna princip inte har företräde framför det uttryckliga förbudet mot oförenlig behandling (29).

(16)

Specifika skyddsåtgärder bör vidtas när ”särskilda kategorier” av uppgifter behandlas.

(17)

I enlighet med principen om valmöjlighet gäller särskilda skyddsåtgärder för behandling av ”känslig information”, dvs. personuppgifter som specificerar medicinska eller hälsorelaterade förhållanden, ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, fackföreningsmedlemskap, information om personens sexliv eller annan information från en tredje part som identifieras och behandlas som känslig av den parten (30). Detta innebär att alla uppgifter som anses vara känsliga enligt EU:s dataskyddslagstiftning (inklusive uppgifter om sexuell läggning, genetiska uppgifter och biometriska uppgifter) kommer att behandlas av certifierade organisationer som känsliga enligt dataskyddsramen mellan EU och Förenta staterna.

(18)

Som en allmän regel måste organisationer erhålla uttryckligt medgivande (dvs. opt-in) från enskilda personer för att använda känslig information för andra ändamål än de för vilka informationen ursprungligen samlades in eller senare godkändes av den enskilde (genom opt-in), eller för att lämna ut den till tredje part (31).

(19)

Sådant samtycke behöver inte erhållas under begränsade omständigheter som liknar jämförbara undantag enligt EU:s dataskyddslagstiftning, t.ex. när behandlingen av känsliga uppgifter ligger i en persons vitala intresse, är nödvändig för fastställande av rättsliga yrkanden, eller är nödvändig för medicinsk behandling eller diagnos (32).

(20)

Uppgifterna ska vara riktiga och om nödvändigt hållas uppdaterade. De bör också vara adekvata, relevanta och inte överdrivet omfattande i förhållande till de ändamål för vilka de behandlas och i princip inte lagras längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

(21)

Enligt principen om dataintegritet och ändamålsbegränsning (33) måste personuppgifter begränsas till vad som är relevant för behandlingen. Dessutom måste organisationer, i den omfattning som krävs för dessa ändamål, vidta nödvändiga åtgärder för att se till att personuppgifterna är tillförlitliga för det avsedda ändamålet samt riktiga, fullständiga och aktuella.

(22)

Personuppgifter får även endast bevaras i en form som identifierar eller gör en enskild person identifierbar (och därmed i form av personuppgifter) (34) så länge de tjänar det eller de ändamål för vilka de ursprungligen samlades in eller senare godkändes av personen i enlighet med principen om valmöjlighet. Denna skyldighet hindrar inte organisationer från att fortsätta att behandla personuppgifter under längre perioder, utan endast för den tid och i den utsträckning sådan behandling rimligen tjänar ett av följande särskilda ändamål som liknar jämförbara undantag enligt EU:s dataskyddslagstiftning: arkivering i allmänhetens intresse, journalistik, litteratur och konst, vetenskaplig och historisk forskning samt statistisk analys (35). Om personuppgifter lagras för något av dessa ändamål omfattas behandlingen av de skyddsåtgärder som föreskrivs i principerna (36).

(23)

Personuppgifter bör också behandlas på ett sätt som säkerställer att säkerheten garanteras, vilket inbegriper skydd mot obehörig eller otillåten behandling och mot oavsiktlig förlust, förstöring eller skada. I detta syfte bör personuppgiftsansvariga och personuppgiftsbiträden vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från eventuella hot. Dessa åtgärder bör bedömas med beaktande av den senaste utvecklingen, relaterade kostnader och behandlingens art, omfattning, sammanhang och syfte samt riskerna för enskilda personers rättigheter.

(24)

Enligt dataskyddsramen mellan EU och Förenta staterna säkerställs detta genom säkerhetsprincipen, som i likhet med artikel 32 i förordning (EU) 2016/679 kräver att rimliga och lämpliga säkerhetsåtgärder vidtas, med beaktande av de risker som är förknippade med behandlingen av uppgifterna och uppgifternas art (37).

(25)

De registrerade bör underrättas om de viktigaste dragen i behandlingen av deras personuppgifter.

(26)

Detta säkerställs genom principen om meddelande (38), som i likhet med insynskraven enligt förordning (EU) 2016/679 kräver att organisationer informerar registrerade om bland annat i) organisationens deltagande i dataskyddsramen, ii) typen av uppgifter som samlas in, iii) syftet med behandlingen, iv) typen av eller identiteten hos tredje parter som personuppgifter kan lämnas ut till och syftena med detta, v) deras individuella rättigheter, vi) hur organisationen kontaktas och vii) tillgängliga möjligheter till prövning.

(27)

Detta meddelande måste tillhandahållas på ett klart och tydligt språk när enskilda personer först ombeds att tillhandahålla personuppgifterna eller så snart som möjligt därefter, men under alla omständigheter innan uppgifterna används för ett väsentligt annorlunda (men kompatibelt) ändamål än det för vilket de samlades in, eller innan de lämnas ut till en tredje part (39).

(28)

Dessutom måste organisationerna offentliggöra sina integritetsskyddspolicyer som återspeglar principerna (eller, när det gäller personaluppgifter, göra dem lättillgängliga för de berörda personerna) och tillhandahålla länkar till handelsministeriets webbplats (med ytterligare uppgifter om certifiering, registrerades rättigheter och tillgängliga oberoende instanser för handläggning av klagomål), en förteckning över organisationer som omfattas av dataskyddsramen samt en adress till ett lämpligt alternativt tvistlösningsorgans webbplats (40).

(29)

De registrerade bör ha vissa rättigheter som kan göras gällande mot den personuppgiftsansvariga eller personuppgiftsbiträdet, särskilt rätten till tillgång till uppgifter, rätten att invända mot behandlingen och rätten att få uppgifter rättade och raderade.

(30)

Principen om tillgång (41) enligt dataskyddsramen mellan EU och Förenta staterna ger enskilda personer sådana rättigheter. I synnerhet har de registrerade rätt att, utan att det behövs någon motivering, få bekräftelse från en organisation om huruvida den behandlar personuppgifter som rör dem, få uppgifterna kommunicerade till sig samt erhålla information om syftet med behandlingen, de kategorier av personuppgifter som behandlas och de (kategorier av) mottagare till vilka uppgifterna lämnas ut (42). Organisationerna är skyldiga att svara på begäranden om åtkomst inom en rimlig tidsperiod (43). En organisation får fastställa rimliga gränser för hur många gånger inom en viss period som begäranden om åtkomst från en viss person kommer att uppfyllas och får ta ut en avgift som inte är överdriven, t.ex. om ansökningarna är uppenbart orimliga, särskilt på grund av deras upprepade karaktär (44).

(31)

Rätten till tillgång får endast begränsas under exceptionella omständigheter som liknar dem som föreskrivs i EU:s dataskyddslagstiftning, särskilt om andras legitima rättigheter skulle kränkas, om bördan eller kostnaden för att tillhandahålla tillgång skulle vara oproportionerlig i förhållande till riskerna för den enskildes privatliv under omständigheterna i fallet (även om kostnader och börda inte är kontrollfaktorer för att avgöra om det är rimligt att ge tillgång), i den mån det är sannolikt att utlämnandet kommer att inverka menligt på skyddet av viktiga utjämningsbara allmänintressen, såsom nationell säkerhet, allmän säkerhet eller försvar, om informationen innehåller konfidentiell affärsinformation, eller om uppgifterna endast behandlas för forsknings- eller statistikändamål (45). Varje vägran eller begränsning av en rättighet måste vara nödvändig och vederbörligen motiverad, och organisationen måste visa att dessa krav är uppfyllda (46). Vid denna bedömning måste organisationen särskilt beakta individens intressen (47). Om det är möjligt att skilja information från andra uppgifter som omfattas av en begränsning måste organisationen redigera den skyddade informationen och lämna ut den återstående informationen (48).

(32)

Dessutom har de registrerade rätt att få felaktiga uppgifter rättade eller ändrade och att få uppgifter som har behandlats i strid med principerna raderade (49). Såsom förklaras i skäl 15 har enskilda personer dessutom rätt att invända mot eller begära att inte omfattas av (opt-out) behandlingen av sina uppgifter för ändamål som väsentligt skiljer sig från (men som är kompatibla med) dem för vilka uppgifterna samlades in och mot att uppgifterna lämnas ut till tredje parter. När personuppgifter används för direkt marknadsföring har enskilda personer en allmän rätt att när som helst begära att undantas från behandlingen (50).

(33)

Principerna behandlar inte specifikt frågan om beslut som påverkar den registrerade och uteslutande grundar sig på automatiserad behandling av personuppgifter. Vad gäller personuppgifter som samlats in i EU kommer dock de beslut som bygger på automatiserad insamling normalt att fattas av den personuppgiftsansvarige i EU (som har en direkt förbindelse med berörd registrerad) och omfattas därför direkt av förordning (EU) 2016/679 (51). Detta inbegriper fall av överföringar i vilka behandlingen sköts av en utländsk (t.ex. amerikansk) näringsidkare i en funktion som förmedlare (personuppgiftsbiträde) på uppdrag av den personuppgiftsansvarige i EU (eller som underentreprenör på uppdrag av personuppgiftsbiträdet i EU, som tagit emot uppgifterna från en personuppgiftsansvarig i EU som samlat in dem) som sedan fattar beslut på denna grundval.

(34)

Detta bekräftades i en studie som kommissionen beställde 2018 i samband med den andra årliga översynen av skölden för skydd av privatlivet (52), där det konstaterades att det vid den tidpunkten inte fanns några belägg för att det automatiserade beslutsfattandet normalt utfördes av organisationer i skölden för skydd av privatlivet på grundval av personuppgifter som överfördes inom skölden.

(35)

Inom områden där företag med största sannolikhet kommer att använda automatiserad behandling av personuppgifter för att fatta beslut som påverkar den enskilde (t.ex. kreditgivning, erbjudanden om hypotekslån, anställning, bostäder och försäkring), ger Förenta staternas lagstiftning under alla omständigheter ett särskilt skydd mot ogynnsamma beslut (53). Typiska inslag i sådana akter är att enskilda har rätt att informeras om de särskilda skäl som ligger till grund för beslutet (t.ex. avslag på ansökan om kredit), att protestera mot ofullständig eller oriktig information (liksom åberopande av illegitima faktorer), och att söka upprättelse. När det gäller konsumentkrediter innehåller lagen om rättvis kreditrapportering (Fair Credit Reporting Act, FCRA) och lagen om lika kreditmöjligheter (Equal Credit Opportunity Act, ECOA) skyddsåtgärder som ger konsumenterna någon form av rätt till förklaring och rätt att bestrida beslutet. Dessa lagar är relevanta på många olika områden, däribland krediter, anställning, bostäder och försäkringar. Dessutom ger vissa lagar mot diskriminering, såsom avdelning VII i lagen om medborgerliga rättigheter (Civil Rights Act) och lagen om rättvist boende (Fair Housing Act), enskilda personer skydd med avseende på modeller som används vid automatiserat beslutsfattande som kan leda till diskriminering på grund av vissa egenskaper och ger enskilda personer rätt att överklaga sådana beslut, inklusive automatiserade sådana. När det gäller hälsoinformation skapar lagen om rätt till sjukförsäkring och ersättning (Health Insurance Portability and Accountability Act) vissa rättigheter som liknar dem i förordning (EU) 2016/679 när det gäller tillgång till personlig hälsoinformation. Dessutom föreskriver vägledning från amerikanska myndigheter att vårdgivare måste få information som gör det möjligt för dem att informera enskilda personer om automatiserade beslutssystem som används inom den medicinska sektorn (54).

(36)

Dessa regler erbjuder därför skydd liknande det som tillhandahålls enligt EU:s dataskyddslagstiftning om den osannolika situation skulle inträffa där automatiserade beslut skulle fattas av själva organisationen för dataskyddsramen mellan EU och Förenta staterna.

(37)

Den erforderliga skyddsnivån för personuppgifter som överförs från EU till organisationer i Förenta staterna får inte undergrävas av ytterligare överföring av personuppgifter till en mottagare i Förenta staterna eller ett annat tredjeland.

(38)

Enligt principen om ansvar för vidare överföring (55) gäller särskilda regler för så kallade ”vidare överföringar”, dvs. överföringar av personuppgifter från en organisation som omfattas av dataskyddsramen mellan EU och Förenta staterna till en personuppgiftsansvarig eller ett personuppgiftsbiträde som är tredjepart, oberoende av om den sistnämnda befinner sig i Förenta staterna eller i ett tredjeland utanför Förenta staterna (och EU). En vidare överföring får endast göras i) för begränsade och specificerade ändamål, ii) på grundval av ett avtal mellan organisationen som omfattas av dataskyddsramen mellan EU och Förenta staterna och den tredje parten (56) (alternativt ett jämförbart arrangemang inom en företagskoncern (57)) och iii) endast om det avtalet kräver att den tredje parten ger samma skyddsnivå som den som garanteras av principerna.

(39)

Denna skyldighet att tillhandahålla samma skyddsnivå som garanteras genom principerna, jämförd med principen om dataintegritet och ändamålsbegränsning, innebär särskilt att den tredje parten endast får behandla de personuppgifter som överförs till den för ändamål som inte är oförenliga med de ändamål för vilka de samlades in eller därefter godkändes av den enskilde (i enlighet med principen om valmöjlighet).

(40)

Principen om ansvar för vidare överföring bör också jämföras med principen om meddelande och, när det gäller vidare överföring till en personuppgiftsansvarig som är tredjepart (58), med principen om valmöjlighet, enligt vilka registrerade ska informeras (bland annat) om typen av/identiteten hos varje mottagare som är tredjepart, ändamålet med vidareöverföringen samt de valmöjligheter som erbjuds och kan motsätta sig (opt-out), eller, när det gäller känsliga uppgifter, måste ge sitt ”uttryckliga samtycke” (opt in) till vidare överföring.

(41)

Skyldigheten att tillhandahålla samma skyddsnivå som den skyddsnivå som krävs enligt principerna gäller för alla tredjeparter som är involverade i behandlingen av de uppgifter som överförs på detta sätt oberoende av var de finns (i Förenta staterna eller i ett annat tredjeland) samt när den ursprungliga tredjepartsmottagaren själv överför dessa uppgifter till en annan tredjepartsmottagare, exempelvis för behandling som utförs av underentreprenörer.

(42)

I samtliga fall måste avtalet med tredjepartsmottagaren ange att den sistnämnda ska meddela organisationen som omfattas av dataskyddsramen mellan EU och Förenta staterna om den fastställer att den inte längre kan fullgöra denna skyldighet. När ett sådant fastställande har gjorts måste tredjepartens behandling upphöra; i annat fall måste andra rimliga och lämpliga åtgärder vidtas för att rätta till situationen (59).

(43)

Ytterligare skydd gäller för vidare överföring till en tredjepartsförmedlare (dvs. ett personuppgiftsbiträde). I sådana fall måste organisationen i Förenta staterna säkerställa att förmedlaren endast agerar enligt dess instruktioner och vidta rimliga och lämpliga åtgärder för att i) säkerställa att förmedlaren på ett effektivt sätt behandlar de personuppgifter som överförs på ett sätt som är förenligt med organisationens skyldigheter enligt principerna för integritetsskydd och för att ii) stoppa och åtgärda otillåten behandling, till följd av ett meddelande (60). Organisationen kan enligt handelsministeriet åläggas att tillhandahålla en sammanfattning eller representativ kopia av integritetsbestämmelserna i avtalet (61). Om efterlevnadsproblem uppstår i en (del)behandlingskedja kommer den organisation som agerar som personuppgiftsansvarig i princip att vara ansvarig, i enlighet med principen om rättsmedel, genomförande och ansvar, såvida den inte bevisar att den inte är ansvarig för den händelse som orsakar skadan (62).

(44)

Enligt principen om ansvarsskyldighet är enheter som behandlar uppgifter skyldiga att införa lämpliga tekniska och organisatoriska åtgärder för att effektivt fullgöra sina skyldigheter att skydda uppgifter och kunna uppvisa sådan överensstämmelse, särskilt för den behöriga tillsynsmyndigheten.

(45)

När en organisation frivilligt har beslutat att certifiera sig (63) enligt dataskyddsramen mellan EU och Förenta staterna är dess faktiska efterlevnad av principerna obligatorisk och verkställbar. Enligt principen om rättsmedel, genomförande och ansvar (64) måste organisationer som omfattas av dataskyddsramen mellan EU och Förenta staterna tillhandahålla effektiva mekanismer för att säkerställa att principerna efterlevs. Organisationerna måste också vidta åtgärder för att kontrollera (65) att deras integritetsskyddspolicy överensstämmer med principerna och att de faktiskt följs. Detta kan antingen göras med hjälp av ett självbedömningssystem, som måste omfatta interna förfaranden för att se till att personalen utbildas i genomförandet av organisationens integritetsskyddspolicy och att efterlevnaden regelbundet granskas på ett objektivt sätt, eller genom externa efterlevnadskontroller, som kan omfatta revisioner, slumpvisa kontroller eller användning av tekniska verktyg.

(46)

Dessutom måste organisationer bevara dokumentation över sin praxis för genomförandet av dataskyddsramen, och i samband med utredningar eller klagomål om bristande efterlevnad göra den tillgängligt för oberoende tvistlösningsorgan eller behöriga tillsynsmyndigheter (66).

(47)

Dataskyddsramen mellan EU och Förenta staterna övervakas av handelsministeriet. Ramen tillhandahåller tillsyns- och verkställighetsmekanismer i syfte att kontrollera och säkerställa att organisationer som omfattas av dataskyddsramen följer principerna och att varje underlåtenhet att följa principerna tas upp till behandling. Dessa mekanismer fastställs i principerna (bilaga I) och de åtaganden som gjorts av handelsministeriet (bilaga III), federala konkurrensmyndigheten (bilaga IV) och transportministeriet (bilaga V).

(48)

För att bli certifierad enligt dataskyddsramen mellan EU och Förenta staterna (eller bli återcertifierad på årsbasis) måste organisationerna offentligt deklarera sitt åtagande att följa principerna, göra sin integritetsskyddspolicy tillgänglig och fullt ut genomföra den (67). Som en del av sin ansökan om (om-)certifiering måste organisationer lämna information till handelsministeriet, bland annat om den relevanta organisationens namn, en beskrivning av de ändamål för vilka organisationen kommer att behandla personuppgifter, de personuppgifter som kommer att omfattas av certifieringen samt den valda kontrollmetoden, den relevanta oberoende instansen för handläggning av klagomål och det lagstadgade organ som har behörighet att se till att principerna efterlevs (68).

(49)

Organisationer kan ta emot personuppgifter på grundval av dataskyddsramen mellan EU och Förenta staterna från och med den dag de förs upp på förteckningen för dataskyddsramen av handelsministeriet. För att säkerställa rättssäkerhet och undvika ”falska anspråk” får organisationer som certifierar sig för första gången inte offentligt hänvisa till sin efterlevnad av principerna innan handelsministeriet har fastställt att organisationens certifieringsinlämning är fullständig och lagt till organisationen i förteckningen över organisationer som omfattas av dataskyddsramen (69). Organisationerna måste årligen återcertifiera sitt deltagande i dataskyddsramen mellan EU och Förenta staterna för att få fortsätta motta personuppgifter från EU via ramen. När en organisation av någon anledning lämnar dataskyddsramen mellan EU och Förenta staterna måste den ta bort alla påståenden som ger sken av att organisationen fortfarande omfattas av ramen (70).

(50)

Såsom framgår av de åtaganden som anges i bilaga III kommer handelsministeriet att kontrollera om organisationer uppfyller alla certifieringskrav och har infört en (offentlig) integritetsskyddspolicy som innehåller den information som krävs enligt principen om meddelande (71). Handelsministeriet kommer att bygga vidare på erfarenheterna från (om-)certifieringsprocessen enligt skölden för skydd av privatlivet och genomföra ett antal kontroller, och bland annat verifiera om organisationernas integritetsskyddspolicyer inbegriper en hyperlänk till det korrekta klagomålsformuläret på den relevanta tvistlösningsmekanismens webbplats och, när flera enheter och dotterbolag tillhörande en organisation omfattas av de certifieringshandlingar som lämnas in, huruvida integritetsskyddspolicyerna för var och en av dessa enheter uppfyller certifieringskraven och finns lättillgängliga för de registrerade (72). Dessutom kommer handelsministeriet att genomföra jämförande kontroller med federala konkurrensmyndigheten och transportministeriet för att se till att organisationerna omfattas av det tillsynsorgan som anges i de (om-)certifieringshandlingar som lämnas in, och kommer att arbeta med alternativa tvistlösningsorgan för att kontrollera att organisationerna är registrerade för den oberoende instans för handläggning av klagomål som anges i de (om-)certifieringshandlingar som lämnas in (73).

(51)

Handelsministeriet kommer att informera organisationerna om att de, för att slutföra (om)certifieringen, måste ta itu med alla frågor som identifierats under översynen. Om en organisation underlåter att svara inom en tidsram som fastställts av handelsministeriet (t.ex. när det gäller återcertifiering förväntas processen slutföras inom 45 dagar) (74) eller helt och hållet underlåter att slutföra sin certifiering, kommer inlämnandet att anses vara avbrutet. I detta fall kan eventuella felaktiga uppgifter om deltagande i eller efterlevnad av dataskyddsramen mellan EU och Förenta staterna bli föremål för verkställighetsåtgärder från federala konkurrensmyndighetens eller transportministeriets sida (75).

(52)

För att säkerställa korrekt tillämpning av skölden för privatlivet i EU och Förenta staterna måste berörda parter, t.ex. registrerade, exportörer av uppgifter och de nationella dataskyddsmyndigheterna, kunna identifiera de organisationer som har anslutit sig till principerna. För att säkerställa sådan öppenhet vid ”införselstället” har handelsministeriet förbundit sig att föra och göra tillgänglig för allmänheten en förteckning över de organisationer som har självcertifierat sin anslutning till principerna och som lyder under åtminstone en av de brottsbekämpande myndigheter som avses i bilagorna IV och V till detta beslut (76). Handelsministeriet kommer uppdatera förteckningen på grundval av de årliga återcertifieringarna och närhelst en organisation drar sig tillbaka eller stryks från dataskyddsramen mellan EU och Förenta staterna. För att säkerställa insyn även vid ”utförselstället” kommer handelsministeriet dessutom att upprätthålla och offentliggöra en förteckning över organisationer som har strukits från förteckningen, och ange skälen till att organisationen har strukits (77). Det kommer slutligen att tillhandahålla en länk till federala konkurrensmyndighetens webbplats om dataskyddsramen mellan EU och Förenta staterna, som kommer att innehålla en förteckning över federala konkurrensmyndighetens verkställighetsåtgärder enligt ramen (78).

(53)

Handelsministeriet kommer fortlöpande att övervaka att organisationerna som omfattas av dataskyddsramen mellan EU och Förenta staterna efterlever principerna genom olika mekanismer (79). I synnerhet kommer det att utföra stickprovskontroller av slumpmässigt utvalda organisationer samt särskilda stickprovskontroller av specifika organisationer när potentiella efterlevnadsproblem identifieras (som t.ex. rapporteras till handelsministeriet av tredje parter) för att kontrollera om i) kontaktpunkter för hantering av klagomål och förfrågningar från registrerade finns tillgängliga och är reaktiva, ii) organisationens integritetsskyddspolicy är lättillgänglig, både på dess webbplats och via en hyperlänk till handelsministeriets webbplats, iii) organisationens integritetsskyddspolicy fortsätter att uppfylla certifieringskraven och iv) organisationens valda oberoende tvistlösningsmekanism finns tillgänglig för att hantera klagomål (80).

(54)

Om det finns trovärdiga belägg för att en organisation inte fullgör sina åtaganden enligt dataskyddsramen mellan EU och Förenta staterna (om t.ex. handelsministeriet mottar klagomål eller organisationen inte på ett tillfredsställande sätt besvarar förfrågningar från handelsministeriet) kommer handelsministeriet att kräva att organisationen fyller i och lämnar in ett detaljerat frågeformulär (81). En organisation som inte besvarar frågeformuläret på ett tillfredsställande sätt och i rätt tid kommer att hänvisas till den berörda myndigheten (federala konkurrensmyndigheten eller transportministeriet) för eventuella verkställighetsåtgärder (82). Som en del av sin övervakning av regelefterlevnad enligt skölden för skydd av privatlivet genomförde handelsministeriet regelbundet de stickprovskontroller som nämns i skäl 53 och övervakade kontinuerligt offentliga rapporter, och kunde därmed identifiera, hantera och lösa efterlevnadsproblem (83). Organisationer som upprepade gånger överträder principerna kommer att strykas från förteckningen över organisationer som anslutit sig till dataskyddsramen, och organisationerna måste återlämna eller radera de personuppgifter som de har mottagit enligt ramen (84).

(55)

I andra fall av strykningar måste organisationen antingen radera eller återlämna uppgifterna, eller får behålla dem om den årligen till handelsministeriet bekräftar sitt åtagande att fortsätta att tillämpa principerna eller tillhandahåller en adekvat skyddsnivå för personuppgifterna genom andra tillåtna medel (t.ex. genom ett avtal som fullständigt avspeglar kraven i de relevanta standardavtalsbestämmelser som antagits av kommissionen) (85). I sådana fall måste organisationen även ange en kontaktpunkt inom organisationen för alla frågor som rör dataskyddsramen mellan EU och Förenta staterna.

(56)

Handelsministeriet kommer att övervaka alla falska påståenden om deltagande i dataskyddsramen mellan EU och Förenta staterna eller felaktig användning av dataskyddsramens certifieringsmärke, både på eget initiativ och på grundval av klagomål (t.ex. som mottagits av dataskyddsmyndigheterna) (86). I synnerhet kommer handelsministeriet fortlöpande att kontrollera att organisationer som i) drar sig tillbaka från dataskyddsramen mellan EU och Förenta staterna, ii) misslyckas med att slutföra den årliga återcertifieringen (dvs. som antingen inledde men inte slutförde den årliga återcertifieringsprocessen i tid, eller inte ens påbörjade den årliga återcertifieringsprocessen), iii) avlägsnas som deltagare, särskilt om det sker på grund av ”bestående underlåtenhet att uppfylla kraven” eller iv) inte slutför en inledande certifiering (dvs. processen inleddes men slutfördes inte i tid) eller som underlåter att avlägsna hänvisningar i relevanta offentliggjorda integritetsskyddspolicyer som antyder att organisationen aktivt deltar i dataskyddsramen mellan EU och Förenta staterna (87). Handelsministeriet kommer också att genomföra internetsökningar för att identifiera hänvisningar till dataskyddsramen mellan EU och Förenta staterna i organisationernas integritetsskyddspolicyer, bland annat för att identifiera falska påståenden från organisationer som aldrig deltagit i dataskyddsramen mellan EU och Förenta staterna (88).

(57)

Om handelsministeriet finner att hänvisningar till dataskyddsramen mellan EU och Förenta staterna inte har avlägsnats eller används felaktigt kommer det att informera organisationen om ett eventuellt hänskjutande till federala konkurrensmyndigheten eller transportministeriet (89). Om en organisation underlåter att ge ett tillfredsställande svar hänskjuter handelsministeriet ärendet till den berörda myndigheten för eventuella verkställighetsåtgärder (90). Om en organisation lämnar vilseledande uppgifter till allmänheten om dess efterlevnad av principerna i form av vilseledande påståenden eller praxis är detta föremål för verkställighetsåtgärder av federala konkurrensmyndigheten, transportministeriet eller andra berörda amerikanska tillsynsmyndigheter. Oriktiga utfästelser till handelsministeriet kan leda till åtal i enlighet med Förenta staternas lag om osann utsaga (False Statements Act, 18 U.S.C. § 1001).

(58)

För att säkerställa att en adekvat dataskyddsnivå garanteras i praktiken bör det finnas en oberoende tillsynsmyndighet med befogenhet att övervaka och verkställa efterlevnaden av dataskyddsbestämmelserna.

(59)

Organisationer som är anslutna till dataskyddsramen mellan EU och Förenta staterna måste omfattas av jurisdiktionen för de behöriga amerikanska myndigheterna – federala konkurrensmyndigheten och transportministeriet – som har de utrednings- och verkställighetsbefogenheter som krävs för att effektivt säkerställa efterlevnaden av principerna (91).

(60)

Federala konkurrensmyndigheten är en oberoende myndighet som består av fem ledamöter, vilka utses av presidenten med senatens råd och samtycke (92). Ledamöterna utses för en sjuårsperiod och kan endast avsättas av talmannen på grund av ineffektivitet, försummelser i tjänsten eller missförhållanden. Federala konkurrensmyndigheten får inte ha fler än tre ledamöter från samma politiska parti och ledamöterna får inte delta i någon annan verksamhet eller anställning, eller utöva något annat yrke.

(61)

Federala konkurrensmyndigheten kan undersöka efterlevnaden av principerna samt falska påståenden om efterlevnad av principerna eller om deltagande i dataskyddsramen mellan EU och Förenta staterna av organisationer som antingen inte längre finns med på förteckningen över organisationer som omfattas av dataskyddsramen eller aldrig har certifierats (93). Federala konkurrensmyndigheten kan verkställa efterlevnad genom att ansöka om administrativa eller federala domstolsbeslut (inklusive förordnanden som tillkommit genom uppgörelser) (94) för preliminära eller permanenta förelägganden, och kommer systematiskt att övervaka efterlevnaden av sådana beslut (95). Om en organisation inte följer principerna kan federala konkurrensmyndigheten utverka civilrättsliga påföljder och annan gottgörelse, även för eventuella skador till följd av det olagliga beteendet. Varje förordnande som utfärdas till en organisation som omfattas av dataskyddsramen mellan EU och Förenta staterna innehåller bestämmelser om egenrapportering (96), och organisationerna måste offentliggöra alla eventuella avsnitt i efterlevnads- eller bedömningsrapporter som lämnas in till federala konkurrensmyndigheten och som är relevanta för ramen. Federala konkurrensmyndigheten kommer dessutom att föra en onlineförteckning över organisationen som omfattas av dess förordnanden eller av domstolsbeslut i ärenden som rör dataskyddsramen mellan EU och Förenta staterna (97).

(62)

När det gäller skölden för skydd av privatlivet vidtog federala konkurrensmyndigheten verkställighetsåtgärder i omkring 22 fall, både när det gäller överträdelser av särskilda krav i regelverket (t.ex. underlåtenhet att bekräfta för handelsministeriet att organisationen fortsatte att tillämpa skölden efter det att den lämnat regelverket, underlåtenhet att genom självbedömning eller extern efterlevnadskontroll se till att organisationen uppfyllde regelverket) (98) och felaktiga påståenden om deltagande i ramen (t.ex. av organisationer som inte uppfyllde de nödvändiga stegen för att erhålla certifiering, eller som lät certifieringen löpa ut men felaktigt gav sken av att de fortfarande deltog) (99). Denna verkställighetsåtgärd var bland annat ett resultat av den proaktiva användningen av administrativa förelägganden för att erhålla material från vissa deltagare i skölden för skydd av privatlivet för att kontrollera om skyldigheterna enligt skölden för skydd av privatlivet har överträtts (100).

(63)

Federala konkurrensmyndigheten har under de senaste åren mer allmänt vidtagit verkställighetsåtgärder i ett antal fall när det gäller efterlevnaden av särskilda dataskyddskrav som också tillhandahålls enligt dataskyddsramen mellan EU och Förenta staterna, t.ex. när det gäller principerna om ändamålsbegränsning och lagring av uppgifter (101), uppgiftsminimering (102), datasäkerhet (103) och uppgifternas korrekthet (104).

(64)

Transportministeriet har exklusiv behörighet att reglera flygbolagens förfaranden för integritetsskydd, och den har delad behörighet med federala konkurrensmyndigheten när det gäller biljettförsäljares förfaranden för integritetsskydd vid försäljning av flygbiljetter. Transportministeriet strävar först efter att nå en uppgörelse och kan, om detta inte är möjligt, inleda verkställighetsförfaranden som inbegriper en bevisförhandling inför en förvaltningsdomare vid transportministeriet som har befogenhet att utfärda beslut om att upphöra med tvisten och om civilrättsliga påföljder (105). Förvaltningsdomare åtnjuter flera skydd enligt förvaltningsprocesslagen för att deras oberoende och opartiskhet ska säkerställas. De kan till exempel endast sägas upp av goda skäl, tilldelas fall roterande, får inte utöva uppgifter som är oförenliga med deras uppgifter och ansvar som förvaltningsdomare, får inte stå under tillsyn av utredningsgruppen vid den myndighet som de är anställda av (i detta fall transportministeriet), och måste utföra sin avgörande/verkställande funktion på ett opartiskt sätt (106). Transportministeriet har åtagit sig att övervaka verkställighetsbeslut och se till att beslut som följer av ärenden som rör dataskyddsramen mellan EU och Förenta staterna finns tillgängliga på dess webbplats (107).

(65)

För att säkerställa adekvat skydd, och i synnerhet tillämpningen av enskildas rättigheter, bör den registrerade erbjudas möjligheten till faktisk administrativ och rättslig prövning.

(66)

Dataskyddsramen mellan EU och Förenta staterna kräver, via principen om rättsmedel, genomförande och ansvar, att organisationer ska tillhandahålla rättsmedel för enskilda som påverkats av bristande efterlevnad och således ge registrerade i EU möjlighet att inge klagomål avseende organisationers bristande efterlevnad av dataskyddsramen mellan organisationer som omfattas av EU och Förenta staterna samt att få dessa klagomål lösta, om nödvändigt via ett beslut om lämplig gottgörelse (108). Som en del av sin självcertifiering måste organisationer uppfylla kraven i denna princip genom att tillhandahålla effektiva och lättillgängliga oberoende instanser för handläggning av klagomål genom vilka varje enskilds klagomål och tvister kan handläggas och snabbt lösas utan kostnad för den enskilda personen (109).

(67)

Organisationer får välja oberoende instanser för handläggning av klagomål i antingen EU eller Förenta staterna. Så som förklaras närmare i skäl 73 omfattar detta möjligheten att frivilligt åta sig att samarbeta med EU:s dataskyddsmyndigheter. När organisationer behandlar personaluppgifter är ett sådant åtagande att samarbeta med EU:s dataskyddsmyndigheter obligatoriskt. Alternativt kan man använda sig av oberoende alternativ tvistlösning eller program för integritetsskydd som utarbetats inom den privata sektorn och som införlivar principerna i sina regler. De sistnämnda måste inbegripa effektiva mekanismer för kontroll av efterlevnaden i enlighet med kraven i principen om rättsmedel, genomförande och ansvar.

(68)

Följaktligen ger dataskyddsramen mellan EU och Förenta staterna registrerade personer en rad möjligheter att utöva sina rättigheter, inge klagomål mot europeiska och amerikanska organisationer rörande bristande efterlevnad och få sina klagomål lösta, om nödvändigt via ett beslut om lämplig gottgörelse. Enskilda kan inge ett klagomål direkt till en organisation, till ett oberoende tvistlösningsorgan som utsetts av organisationen, till nationella dataskyddsmyndigheter, till handelsministeriet eller till federala konkurrensmyndigheten. I fall där deras klagomål inte har lösts av någon av dessa instanser för handläggning av klagomål eller mekanismer för kontroll av efterlevnaden har enskilda också rätt att begära ett bindande skiljedomsförfarande (bilaga I till bilaga I till detta beslut). Med undantag för skiljedomsarbetsgruppen, som kräver att vissa rättsmedel ska vara uttömda innan det alternativet kan väljas, står det enskilda fritt att utnyttja vilken eller vilka som helst av prövningsmekanismerna efter eget val, och de är inte skyldiga att välja en mekanism framför någon annan eller att iaktta någon viss ordningsföljd.

(69)

För det första kan registrerade i EU driva fall av bristande efterlevnad av principerna genom direkta kontakter med de organisationer som omfattas av dataskyddsramen mellan EU och Förenta staterna (110). För att underlätta en lösning måste organisationerna införa en effektiv prövningsmekanism för att hantera sådana klagomål. Organisationen måste bland annat i sin integritetsskyddspolicy ge tydlig information om en kontaktpunkt som enskilda personer kan vända sig till, antingen inom eller utanför organisationen, som kommer att handlägga klagomål (inklusive eventuella relevanta organisationer i EU som kan besvara frågor eller handlägga klagomål) samt om de oberoende mekanismer för handläggning av klagomål som utsetts (se skäl 70). Efter mottagande av en enskild persons klagomål, direkt från den enskilda eller via handelsministeriet efter ett hänskjutande från en dataskyddsmyndighet, måste organisationen ge den registrerade i EU ett svar inom 45 dagar (111). Organisationer är också skyldiga att utan dröjsmål besvara förfrågningar och andra begäranden om information från handelsministeriet eller från en dataskyddsmyndighet (112) (om organisationen har förbundit sig att samarbeta med dataskyddsmyndigheten) som rör deras anslutning till principerna.

(70)

För det andra kan enskilda också framföra ett klagomål direkt till det oberoende tvistlösningsorgan (antingen i Förenta staterna eller i EU) som av en organisation utsetts att utreda och lösa individuella klagomål (om de inte är uppenbart ogrundade eller oseriösa) och kostnadsfritt tillhandahålla lämpliga rättsmedel för den enskilda personen (113). De sanktioner och rättsmedel som beslutas av ett sådant tvistlösningsorgan måste vara tillräckligt stränga för att säkerställa att organisationerna följer principerna och bör föreskriva att organisationen avhjälper eller rättar till följderna av den bristande efterlevnaden och, beroende på omständigheterna, upphör med vidare behandling av de berörda personuppgifterna och/eller raderar dem. Fall av bristande efterlevnad ska offentliggöras (114). Oberoende tvistlösningsorgan som utsetts av en organisation ska på sina offentliga webbplatser lägga ut relevant information om dataskyddsramen mellan EU och Förenta staterna och om de tjänster de tillhandahåller inom ramen för den (115). De ska offentliggöra en årsrapport varje år med sammanställd statistik om sina tjänster (116).

(71)

Som en del av sina förfaranden för efterlevnadskontroller får handelsministeriet kontrollera att organisationer som omfattas av dataskyddsramen mellan EU och Förenta staterna faktiskt har registrerat sig hos den oberoende instans för handläggning av klagomål som de hävdar att de är registrerade hos (117). Både organisationerna och de ansvariga oberoende instanserna för handläggning av klagomål ska utan dröjsmål besvara förfrågningar och begäranden om information från handelsministeriet som rör dataskyddsramen mellan EU och Förenta staterna. Handelsministeriet kommer att arbeta med oberoende instanser för handläggning av klagomål för att kontrollera att de ger information på sina webbplatser om principerna och de tjänster de tillhandahåller enligt för dataskyddsramen mellan EU och Förenta staterna och att de offentliggör årliga rapporter (118).

(72)

Om organisationen inte följer ett beslut från ett tvistlösningsorgan eller ett självreglerande organ måste dessa organ anmäla sådan bristande efterlevnad till handelsministeriet och federala konkurrensmyndigheten (eller någon annan myndighet i Förenta staterna som är behöriga att utreda bristande efterlevnad från organisationens sida), eller till en behörig domstol (119). Om en organisation vägrar att efterleva ett slutligt avgörande från ett organ för självreglering på integritetsskyddets område, ett oberoende tvistlösningsorgan eller ett regeringsorgan, eller där ett sådant organ finner att en organisation ofta gör sig skyldig till överträdelser av principerna, kommer detta att betraktas som en upprepad överträdelse, varefter handelsministeriet, efter att först ha gett 30 dagars förvarning och en möjlighet att svara den organisation som gjort sig skyldig överträdelsen, kommer att stryka organisationen från förteckningen (120). Om organisationen, efter det att den har strukits från förteckningen, fortsätter att hävda att den är certifierad enligt dataskyddsramen mellan EU och Förenta staterna, kommer ministeriet att hänskjuta den till federala konkurrensmyndigheten eller ett annat verkställande organ (121).

(73)

För det tredje får enskilda också framföra sina klagomål till en nationell dataskyddsmyndighet i EU, som kan utnyttja sina utrednings- och korrigerande befogenheter enligt förordning (EU) 2016/679. Organisationer är skyldiga att samarbeta i en dataskyddsmyndighets utredning och lösning av ett klagomål antingen när det gäller behandling av personaluppgifter som samlats in inom ramen för ett anställningsförhållande eller när respektive organisation frivilligt har underställts dataskyddsmyndigheters tillsyn (122). Organisationerna ska särskilt besvara frågor, följa de rekommendationer som ges av dataskyddsmyndigheten, även om gottgörelse eller kompenserande åtgärder, och ska lämna en skriftlig bekräftelse till dataskyddsmyndigheten om att sådana åtgärder har vidtagits (123). Om dataskyddsmyndighetens råd inte efterlevs hänvisar dataskyddsmyndigheten dessa fall till handelsministeriet (som kan stryka organisationer från förteckningen över organisationer anslutna till dataskyddsramen mellan EU och Förenta staterna) eller, för eventuella verkställighetsåtgärder, till federala konkurrensmyndigheten eller transportministeriet (underlåtenhet att samarbeta med dataskyddsmyndigheten eller att följa principerna kan vidtas enligt amerikansk lagstiftning) (124).

(74)

För att underlätta samarbetet för en effektiv hantering av klagomål har både handelsministeriet och federala konkurrensmyndigheten inrättat en särskild kontaktpunkt med ansvar för att samarbeta direkt med dataskyddsmyndigheterna (125). Dessa kontaktpunkter bistår med förfrågningar till dataskyddsmyndigheten om en organisations efterlevnad av principerna.

(75)

Dataskyddsmyndigheternas rekommendationer (126) avges efter att båda parter i en tvist har getts en rimlig möjlighet att inkomma med synpunkter och förete eventuella bevis. Arbetsgruppen avger sina rekommendationer så snabbt som möjligt inom ramen för korrekt handläggning av ärendet, normalt inom 60 dagar efter mottagandet av klagomålet (127). Om en organisation inte följer dessa rekommendationer inom 25 dagar efter det att rekommendationerna avgetts och inte har någon tillfredsställande förklaring till förseningen, tillkännager arbetsgruppen sin avsikt att antingen hänskjuta ärendet till federala konkurrensmyndigheten (eller en annan behörig verkställande myndighet i Förenta staterna) eller fastställa att en allvarlig överträdelse av samarbetsåtagandet har skett. Det första alternativet kan föranleda verkställighetsåtgärder på grundval av avsnitt 5 i FTC-lagen (eller en liknande lag) (128). Enligt det andra alternativet kommer arbetsgruppen att informera handelsministeriet, som kommer att betrakta organisationens vägran att följa arbetsgruppens rekommendationer som en upprepad överträdelse, vilket kommer att leda till att organisationen stryks från förteckningen över organisationer som omfattas av dataskyddsramen.

(76)

Om den nationella dataskyddsmyndighet som har mottagit klagomålet inte har vidtagit åtgärder för att behandla klagomålet eller om åtgärderna har varit otillräckliga, har den som framställt klagomålet möjlighet att bestrida sådant handlande eller sådan brist på handlande vid de nationella domstolarna i respektive EU-medlemsstat.

(77)

Enskilda får också framställa klagomål till dataskyddsmyndigheter även när arbetsgruppen bestående av dataskyddsmyndigheter inte har utsetts till tvistlösningsorgan för en organisation. I dessa fall får dataskyddsmyndigheten hänskjuta sådana klagomål antingen till handelsdepartementet eller till federala konkurrensmyndigheten. För att underlätta och öka samarbetet i frågor som rör enskilda klagomål och fall där organisationer som är anslutna till dataskyddsramen mellan EU och Förenta staterna gör sig skyldiga till bristande efterlevnad, kommer handelsministeriet att inrätta en särskild kontaktpunkt som ska agera som länk och bistå med dataskyddsmyndigheters undersökningar rörande en organisations efterlevnad av principerna (129). Federala konkurrensmyndigheten har också åtagit sig att inrätta en särskild kontaktpunkt (130).

(78)

För det fjärde har handelsministeriet åtagit sig att ta emot, granska och göra sitt bästa för att lösa klagomål som rör organisationer som inte följer principerna (131). I detta syfte tillhandahåller handelsministeriet särskilda förfaranden för dataskyddsmyndigheter så att de kan hänskjuta klagomål till en särskild kontaktpunkt samt spåra och följa upp klagomålen med organisationerna för att underlätta en lösning (132). För att påskynda handläggningen av enskilda klagomål samarbetar kontaktpunkten direkt om efterlevnadsfrågor med respektive dataskyddsmyndighet och informerar myndigheten om klagomålets status inom en period på högst 90 dagar från hänskjutandet (133). På så sätt kan registrerade ta upp klagomål om bristande efterlevnad hos organisationer som omfattas av dataskyddsramen mellan EU och Förenta staterna direkt med sina nationella dataskyddsmyndigheter, som vidarebefordrar klagomålen till handelsministeriet i egenskap av den myndighet i Förenta staterna som förvaltar dataskyddsramen mellan EU och Förenta staterna.

(79)

Om handelsministeriet på grundval av kontroller på eget initiativ, klagomål eller annan information drar slutsatsen att en organisation upprepade gånger har överträtt principerna kommer den att stryka organisationen från förteckningen över organisationer som omfattas av dataskyddsramen (134). Vägran att följa ett slutligt avgörande från ett organ för självreglering på integritetsskyddets område, ett oberoende tvistlösningsorgan eller ett regeringsorgan, inklusive en dataskyddsmyndighet, kommer att betraktas som en upprepad överträdelse (135).

(80)

För det femte måste en organisation som är ansluten till dataskyddsramen mellan EU och Förenta staterna omfattas av de amerikanska myndigheternas jurisdiktion, särskilt federala konkurrensmyndigheten (136), som har de utrednings- och verkställighetsbefogenheter som krävs för att effektivt säkerställa efterlevnaden av principerna. Federala konkurrensmyndigheten prioriterar hänskjutanden av fall av bristande efterlevnad av principerna som mottas från oberoende tvistlösningsorgan eller självreglerande organ, handelsministeriet och dataskyddsmyndigheter (som agerar på eget initiativ eller med anledning av klagomål) för att fastställa om avsnitt 5 i FTC-lagen har överträtts (137). Federala konkurrensmyndigheten har åtagit sig att inrätta ett standardiserat förfarande för hänskjutanden, utse en kontaktpunkt vid myndigheten för hänskjutanden från dataskyddsmyndigheter och utbyta information om hänskjutanden. Federala konkurrensmyndigheten kan dessutom ta emot klagomål direkt från enskilda personer och genomföra utredningar om frågor som rören organisation som omfattas av dataskyddsramen mellan EU och Förenta staterna på eget initiativ som ett led av sina allmänna utredningar av integritetsskyddsfrågor.

(81)

För det sjätte kan registrerade i EU som en ”sista utväg”, om inget av de andra tillgängliga rättsmedlen har löst deras klagomål på ett tillfredsställande sätt, begära ett bindande skiljedomsförfarande hos ”arbetsgruppen för dataskyddsramen mellan EU och Förenta staterna” (138). Organisationer måste informera enskilda om deras möjlighet att begära ett bindande skiljedomsförfarande och de är skyldiga att svara när en enskild har valt detta alternativ genom att inge ett meddelande till den berörda organisationen (139).

(82)

Denna arbetsgrupp består av en pool med minst tio skiljemän som utses av handelsministeriet och kommissionen på grundval av deras oberoende, integritet och erfarenhet av Förenta staternas lagstiftning om integritetsskydd och EU:s dataskyddslagstiftning. För varje enskild tvist väljer parterna en arbetsgrupp bestående av en eller tre (140) skiljemän från denna pool.

(83)

Internationella centrumet för tvistlösning, International Centre for Dispute Resolution (ICDR), den internationella avdelningen inom den amerikanska skiljedomssammanslutningen, American Arbitration Association (AAA), valdes ut av kommittén för att administrera skiljedomsförfaranden. Förfaranden inför arbetsgruppen för dataskyddsramen mellan EU och Förenta staterna kommer att regleras av en uppsättning överenskomna skiljedomsregler och en uppförandekod för utsedda skiljemän. På webbplatsen för ICDR och AAA finns tydlig och kortfattad information till enskilda personer om skiljemekanismen och förfarandet för att ansöka om skiljeförfarande.

(84)

De skiljedomsregler som handelsministeriet och kommissionen enats om kompletterar arbetsgruppen för dataskyddsramen mellan EU och Förenta staterna, som innehåller flera funktioner som förbättrar tillgången till denna mekanism för registrerade i EU: i) vid förberedande av ett yrkande inför arbetsgruppen får den registrerade bistås av sin dataskyddsmyndighet; ii) platsen för skiljeförfarandet kommer att vara Förenta staterna, men registrerade i EU kan välja att delta via telefon- eller videoanslutning, som ska tillhandahållas utan kostnad för den enskilde; iii) det språk som ska användas i skiljedomsförfarandet ska som regel vara engelska, men tolkning vid skiljedomsförhöret samt översättning kommer i princip att tillhandahållas på motiverad begäran och utan kostnad för den registrerade; iv) slutligen, även om varje part måste stå för sina egna advokatkostnader om de företräds av en advokat inför arbetsgruppen, kommer handelsministeriet att inrätta en fond dit organisationer som är anslutna till dataskyddsramen mellan EU och Förenta staterna ska betala ett årligt bidrag som ska täcka de berättigade kostnaderna för skiljedomsförfarandet upp till maximala belopp som ska fastställas av Förenta staternas myndigheter i samråd med kommissionen (141).

(85)

Arbetsgruppen för dataskyddsramen mellan EU och Förenta staterna kommer att ha befogenhet att påföra individuella specifika icke-monetära åtgärder (142) för att avhjälpa bristande efterlevnad av principerna. Arbetsgruppen beaktar annan gottgörelse som redan erhållits via andra mekanismer inom ramen för dataskyddsramen mellan EU och Förenta staterna när den fäller sitt avgörande, men enskilda personer kan ändå begära skiljedom om de anser att dessa andra former av gottgörelse är otillräckliga. Detta innebär att registrerade i EU kan åberopa skiljedom i alla ärenden där handlande eller brist på handlande från organisationer som omfattas av dataskyddsramen mellan EU och Förenta staterna, från oberoende instanser för handläggning av klagomål eller från behöriga myndigheters sida i Förenta staterna (t.ex. federala konkurrensmyndigheten) har lett till att deras klagomål inte har fått en tillfredsställande lösning. Skiljeförfarande får inte åberopas om en dataskyddsmyndighet har den rättsliga befogenheten att lösa fordran i fråga om organisationen som omfattas av dataskyddsramen mellan EU och Förenta staterna, dvs. i de fall där organisationen antingen är skyldig att samarbeta och följa dataskyddsmyndigheternas råd när det gäller behandling av personaluppgifter som samlats in i anställningssammanhang, eller frivilligt har åtagit sig att göra detta. Enligt lagen om federal skiljedom (Federal Arbitration Act) kan enskilda personer verkställa skiljedomsbeslut i domstolar i Förenta staterna, vilket säkerställer rättsliga åtgärder om företaget inte efterlever bestämmelserna.

(86)

För det sjunde, om en organisation inte uppfyller sitt åtagande att respektera principerna och den offentliggjorda integritetsskyddspolicyn, finns ytterligare möjligheter till rättslig prövning enligt amerikansk lagstiftning, bland annat för att erhålla ersättning för skador. Exempelvis kan enskilda personer på vissa villkor få rättslig prövning (inklusive skadestånd) enligt statlig konsumentlagstiftning i fall av oriktiga utfästelser, illojala eller bedrägliga handlingar (143), och enligt skadeståndsrätt (särskilt i fall av intrång i privatlivet (144), beslagtagande av namn eller likhet (145) och offentliggörande av privata fakta (146)).

(87)

Tillsammans säkerställer de olika möjligheter till prövning som beskrivs ovan att varje klagomål från certifierade organisationer avseende bristande efterlevnad av dataskyddsramen mellan EU och Förenta staterna effektivt kommer att avgöras och åtgärdas.

(88)

Kommissionen har också bedömt begränsningarna och skyddsåtgärderna, däribland den amerikanska lagstiftningens mekanismer för tillsyn och enskild prövning avseende amerikanska myndigheters insamling och användning av personuppgifter som överförs till personuppgiftsansvariga och personuppgiftsbiträden i Förenta staterna för att tillvarata allmänintresset, särskilt för straffrättsliga ändamål som rör brottsbekämpning och den nationella säkerheten (myndigheters tillgång till uppgifter) (147). Vid bedömningen av om villkoren för myndigheternas tillgång till uppgifter som överförs till Förenta staterna enligt detta beslut uppfyller kriteriet om ”väsentlig likvärdighet” i enlighet med artikel 45.1 i förordning (EU) 2016/679 som den tolkats av EU-domstolen mot bakgrund av stadgan om de grundläggande rättigheterna, tog kommissionen hänsyn till flera kriterier.

(89)

I synnerhet ska varje begränsning av rätten till skydd av personuppgifter föreskrivas i lag och den rättsliga grund som möjliggör ett intrång i en sådan rättighet måste innehålla en definition av hur omfattande begränsningen är av utövandet av den berörda rättigheten (148). Dessutom, för att uppfylla proportionalitetskravet, enligt vilket undantag från och begränsningar av skyddet av personuppgifter endast får tillämpas i den mån det är absolut nödvändigt i ett demokratiskt samhälle för att uppfylla särskilda mål av allmänintresse som motsvarar dem som erkänns av EU, måste det i denna rättsliga grund fastställas klara och precisa regler för omfattningen och tillämpningen av åtgärderna i fråga och införas minimigarantier så att de personer vars uppgifter har överförts har tillräckliga garantier för att effektivt skydda sina personuppgifter mot risken för missbruk (149). Dessutom måste dessa regler och skyddsåtgärder vara rättsligt bindande och verkställbara av enskilda personer (150). I synnerhet måste de registrerade ha möjlighet att väcka talan vid en oberoende och opartisk domstol för att få tillgång till sina personuppgifter eller för att få dessa uppgifter rättade eller raderade (151).

(90)

När det gäller intrång i personuppgifter som överförs enligt dataskyddsramen mellan EU och Förenta staterna för brottsbekämpande ändamål, föreskriver Förenta staternas lagstiftning ett antal begränsningar för tillgång till och användning av personuppgifter och tillhandahåller tillsyns- och prövningsmekanismer som överensstämmer med de krav som avses i skäl 89 i detta beslut. Villkoren för sådan tillgång och de garantier som gäller för utövandet av dessa befogenheter bedöms i detalj i följande avsnitt. I detta avseende har den amerikanska regeringen (via justitieministeriet) också lämnat försäkringar om tillämpliga begränsningar och skyddsåtgärder (bilaga VI till detta beslut).

(91)

Personuppgifter som behandlas av certifierade amerikanska organisationer som skulle överföras från EU på grundval av dataskyddsramen mellan EU och Förenta staterna kan för brottsbekämpande ändamål nås av amerikanska federala åklagare och federala utredare enligt olika förfaranden, vilket förklaras närmare i skälen 92–99. Dessa förfaranden gäller på samma sätt när information erhålls från en amerikansk organisation, oavsett de berörda registrerades nationalitet eller bosättningsort (152).

(92)

För det första kan en domare, på begäran av en tjänsteman inom federal brottsbekämpning eller en advokat för regeringen, utfärda ett beslut om husrannsakan eller beslag (inklusive elektroniskt lagrad information) (153). Ett sådant beslut får endast utfärdas om det finns ”sannolik orsak” (154) till att ”utmätningsbara föremål” (bevis på brott, olagliga föremål eller egendom som utformats eller är avsedd att användas eller används för att begå ett brott) sannolikt kommer att hittas på den plats som anges i arresteringsordern. I beslutet ska det anges vilken egendom eller artikel som ska beslagtas och till vilken domare beslutet ska återsändas. En person som är föremål för en eftersökning eller vars egendom är föremål för en genomsökning kan vidta åtgärder för att upphäva bevis som erhållits eller härletts från en olaglig sökning, om denna bevisning läggs fram mot den personen under en brottmålsprocess (155). När en datainnehavare (t.ex. ett företag) är skyldig att lämna ut uppgifter i enlighet med en arresteringsorder kan den i synnerhet bestrida kravet på att offentliggöra uppgifter som orimligt betungande (156).

(93)

För det andra kan ett föreläggande utfärdas av en åtalsjury (en utredningsgren vid domstolen som leds av en domare) i samband med utredningar av vissa allvarliga brott (157), vanligtvis på begäran av en federal åklagare, för att kräva att någon framställer eller tillgängliggör affärshandlingar, elektroniskt lagrad information eller andra materiella föremål. Dessutom tillåts enligt olika stadgar administrativa förelägganden för att ta fram eller tillhandahålla företagsregister, elektroniskt lagrad information eller andra materiella ting tillåten enligt flera federala lagar i utredningar som rör bedrägerier inom hälsovården, övergrepp mot barn, skydd av säkerhetstjänsterna, ärenden rörande kontrollerade ämnen och generalinspektörens utredningar (158). I båda fallen måste uppgifterna vara relevanta för undersökningen och föreläggandet får inte vara orimlig, dvs. för allmänt utformad, förtryckande eller betungande (och får bestridas av mottagaren av föreläggandet på dessa grunder) (159).

(94)

Mycket likartade villkor gäller för administrativa förelägganden för att få civil eller tillsynsmässig tillgång (”i allmänhetens intresse”) till uppgifter som innehas av företag i Förenta staterna. Myndigheter med civilrättsligt ansvar och tillsynsansvar för att utfärda sådana administrativa förelägganden måste inrättas genom lag. Användningen av ett administrativt föreläggande är föremål för ett ”skälighetstest”, som föreskriver att utredningen ska genomföras i ett legitimt syfte, att den information som begärs i föreläggandet ska vara relevant för ändamålet, att byrån inte redan har den information som den begär i föreläggandet och att de nödvändiga administrativa åtgärderna för att utfärda föreläggandet har följts (160). Högsta domstolens rättspraxis har också klargjort behovet av att balansera allmänhetens intresse av den information som begärs med betydelsen av personliga och organisatoriska integritetsintressen (161). Även om användningen av ett administrativt föreläggande inte är föremål för ett domstolsgodkännande i förväg blir den föremål för rättslig prövning om mottagaren bestrider detta på ovannämnda grunder, eller om det utfärdande organet försöker verkställa föreläggandet i domstol (162). Utöver dessa allmänna övergripande begränsningar kan särskilda (strängare) krav följa av enskilda stadgar (163).

(95)

För det tredje gör flera rättsliga grunder det möjligt för brottsbekämpande myndigheter att få tillgång till kommunikationsuppgifter. En domstol får utfärda ett beslut om att tillåta insamling av innehållslös information i realtid om uppringda telefonnummer, koppling av telefonsamtal, adresser och signaler rörande ett telefonnummer eller en e-postadress (genom användning av samtals- och spårningsanordningar såsom pen register och trap and trace) om det säkerställs att den information som lämnas är relevant för en pågående brottsutredning (164). I beslutet ska bland annat den misstänktes identitet anges, om denna är känd; attributen för de meddelanden som det gäller, samt en redogörelse för det brott som den information som ska samlas in avser. Användningen av sådana anordningar för samtalsregistreringar får tillåtas i högst sextio dagar, en period som endast får förlängas genom ett nytt domstolsbeslut.

(96)

Dessutom kan tillgång för brottsbekämpande ändamål till abonnentinformation, trafikdata och lagrat kommunikationsinnehåll som innehas av internetleverantörer, telefonföretag och andra tredjepartstjänster erhållas på grundval av lagen om lagrad kommunikation, Stored Communications Act (165). För att få tillgång till lagrat innehåll i elektroniska meddelanden måste de brottsbekämpande myndigheterna i princip erhålla rannsakningsbeslut från en domare som grundas på en sannolik orsak att anse att kontot i fråga innehåller bevis på brott (166). För abonnentregisterinformation kan de brottsbekämpande myndigheterna få tillgång till IP-adresser och deras tidsmarkeringar samt faktureringsinformation genom ett föreläggande. För annan lagrad innehållslös information, såsom e-posthuvuden utan ämnesrad, måste en brottsbekämpande myndighet i de flesta fall erhålla ett domstolsbeslut som utfärdas om domaren är övertygad om att det finns rimliga skäl att anta att den begärda informationen är relevant och väsentlig för en pågående brottsutredning.

(97)

Leverantörer som tar emot begäranden enligt lagen om lagrad kommunikation Stored Communications Act kan frivilligt underrätta en kund eller abonnent vars information efterfrågas, utom när den berörda brottsbekämpande myndigheten erhåller ett skyddsbeslut som förbjuder en sådan underrättelse (167). Ett sådant skyddsbeslut är ett domstolsbeslut som kräver att en leverantör av elektroniska kommunikationstjänster eller fjärrdatortjänster som ett beslut, en stämning eller ett domstolsbeslut riktas till inte underrättar någon annan person om att det finns ett beslut, en stämning eller ett domstolsbeslut, så länge som domstolen anser det lämpligt. Skyddsbeslut beviljas om en domstol finner att det finns anledning att tro att anmälan allvarligt skulle äventyra en utredning eller otillbörligt försena en rättegång, t.ex. på grund av att det skulle leda till att en individs liv eller fysiska säkerhet äventyras, att den åtalade flyr från åtalet, hot mot potentiella vittnen osv. Enligt ett memorandum från biträdande justitieministern (som är bindande för alla advokater och ombud vid justitieministeriet) måste åklagare i detalj klargöra behovet av ett skyddsbeslut och förse domstolen med motivering för hur de lagstadgade kriterierna för att erhålla ett skyddsbeslut har uppfyllts i det specifika fallet (168). Enligt memorandumet får ansökningar om skyddsbeslut i allmänhet inte skjuta upp anmälan med mer än ett år. Om det under exceptionella omständigheter kan bli nödvändigt att fatta beslut med längre giltighetstid, får sådana beslut endast begäras med skriftligt medgivande från en övervakare som utsetts av den amerikanska justitieministern eller den ställföreträdande justitieministern. När en åklagare avslutar en utredning måste han eller hon dessutom omedelbart bedöma om det finns någon grund för att bibehålla utestående skyddsbeslut och, om så inte är fallet, avsluta skyddsbeslutet och se till att tjänsteleverantören underrättas om detta (169).

(98)

De brottsbekämpande myndigheterna får också i realtid avlyssna muntlig eller elektronisk kommunikation på grundval av ett domstolsbeslut där en domare bland annat finner att det föreligger sannolika skäl att anse att avlyssning eller elektronisk övervakning kommer att ge bevis för ett federalt brott eller uppgift om var en person som är på flykt från åtal uppehåller sig (170).

(99)

Ytterligare skydd ges av olika policyer och riktlinjer från justitieministeriet, däribland justitieministerns riktlinjer för FBI:s inrikes verksamhet (Attorney General Guidelines for Domestic FBI Operations), som bland annat kräver att Federal Bureau of Investigation (FBI) använder utredningsmetoder som är så lite inkräktande som möjligt, med beaktande av inverkan på privatlivet och de medborgerliga friheterna (171).

(100)

Enligt de utfästelser som gjorts av Förenta staternas regering gäller samma eller högre skydd för brottsbekämpande myndigheters utredningar som nämns ovan på delstatsnivå (när det gäller undersökningar som omfattas av delstatens lagar) (172). I synnerhet bekräftas ovannämnda skydd mot orimliga sökningar och beslag genom författningsenliga bestämmelser samt stadgar och rättspraxis på statlig nivå, genom krav på utfärdande av ett beslut om husrannsakan (173). I likhet med det skydd som ges på federal nivå får beslut om husrannsakan endast utfärdas om sannolika skäl föreligger, och måste beskriva den plats som ska rannsakas och den person som ska gripas eller föremål som ska beslagtas (174).

(101)

När det gäller vidare användning av uppgifter som samlats in av federala brottsbekämpande myndigheter införs särskilda skyddsåtgärder i olika stadgar, riktlinjer och standarder. Med undantag för de särskilda instrument som är tillämpliga på FBI:s verksamhet (justitieministerns riktlinjer för FBI:s inrikes verksamhet och FBI:s vägledning för inhemska utredningar och åtgärder) gäller de krav som beskrivs i detta avsnitt i allmänhet för vidare användning av uppgifter av alla federala myndigheter, inklusive för data som används för civila eller rättsliga ändamål. Detta omfattar krav som följer av förvaltnings- och budgetbyråns memorandum/förordningar, Federal Information Security Management Modernization Act, E-Government Act och Federal Records Act.

(102)

I enlighet med de befogenheter som föreskrivs i Clinger-Cohen Act (P.L. 104–106, Division E) och Computer Security Act från 1987 (P.L. 100–235), utfärdade förvaltnings- och budgetbyrån (Office of Management and Budget, OMB) cirkulär nr A-130 för att fastställa allmän bindande vägledning som gäller för alla federala organ (inklusive brottsbekämpande myndigheter) när de hanterar personuppgifter (175). I cirkuläret krävs särskilt att alla federala myndigheter ”begränsar skapandet, insamlingen, användningen, bearbetningen, lagringen, underhållet, spridningen och utlämnandet av personuppgifter till vad som är rättsligt auktoriserat, relevant och som rimligen anses vara nödvändigt för att det behöriga organet ska kunna utföra sina uppgifter” (176). Dessutom måste de federala myndigheterna, i den mån det är rimligen genomförbart, se till att personuppgifterna är korrekta, relevanta, aktuella och fullständiga och reducerade till vad som är absolut nödvändigt för att en byrå ska kunna utföra sina uppgifter korrekt. Mer allmänt måste federala myndigheter inrätta ett omfattande integritetsprogram för att säkerställa efterlevnad av tillämpliga integritetskrav, utveckla och utvärdera integritetsskyddspolicyer och hantera integritetsrisker, upprätthålla förfaranden för att upptäcka, dokumentera och rapportera efterlevnadsincidenter, utveckla program för medvetenhet om integritetsskydd och utbildning för anställda och entreprenörer, och införa riktlinjer och förfaranden för att säkerställa att personalen hålls ansvarig för efterlevnaden av integritetskrav och integritetsskyddspolicyer (177).

(103)

Dessutom kräver lagen om e-förvaltning (178) att alla federala myndigheter (inbegripet brottsbekämpande myndigheter) inför informationssäkerhetsskydd som står i proportion till risken för och omfattningen av den skada som otillåten åtkomst, användning, röjande, förhindrande av behörig åtkomst, ändring eller förstörelse skulle medföra; att de har informationschef för att säkerställa efterlevnaden av informationssäkerhetskraven samt att en oberoende utvärdering varje år genomförs (t.ex. av en generalinspektör, se skäl 109) av deras program och metoder för informationssäkerhet (179). På samma sätt kräver Federal Records Act (180) och kompletterande förordningar (181) att information som innehas av federala myndigheter omfattas av säkerhetsåtgärder som säkerställer informationens fysiska integritet och skyddar den mot obehörig åtkomst.

(104)

Enligt federala lagstadgade föreskrifter, inbegripet den federala lagen om modernisering av informationssäkerhet från 2014, har OMB och National Institute of Standards and Technology (NIST) utvecklat standarder som är bindande för federala myndigheter (inklusive brottsbekämpande myndigheter) och som ytterligare specificerar de minimikrav för informationssäkerhet som måste införas, inbegripet åtkomstkontroller, säkerställande av medvetenhet och utbildning, beredskapsplanering, incidenthantering, revision och ansvarsskyldighet samt säkerställande av system- och informationsintegritet, genomförande av säkerhetsriskbedömningar osv (182). Dessutom måste alla federala myndigheter (inklusive brottsbekämpande myndigheter) i enlighet med riktlinjerna från OMB upprätthålla och genomföra en plan för hantering av uppgiftsincidenter, även när det gäller att hantera sådana överträdelser och bedöma riskerna för skada (183).

(105)

När det gäller lagring av uppgifter kräver FRA (184) att amerikanska federala myndigheter (inklusive brottsbekämpande myndigheter) fastställer lagringstider för sina register (efter vilka sådana register måste avyttras), som måste godkännas av den nationella arkiv- och registerförvaltningen, National Archives and Record Administration (185). Längden på denna lagringsperiod fastställs mot bakgrund av olika faktorer, såsom typen av undersökning, huruvida bevisningen fortfarande är relevant för undersökningen osv. När det gäller FBI föreskriver justitieministerns riktlinjer för FBI:s inrikes verksamhet att FBI måste ha en sådan arkiveringsplan och upprätthålla ett system som snabbt kan få status och ligga till grund för undersökningar.

(106)

Slutligen innehåller OMB:s cirkulär nr A-130 även vissa krav för spridning av personuppgifter. I princip måste spridning och utlämnande av personligt identifierbar information begränsas till vad som är rättsligt tillåtet, relevant och rimligen anses vara nödvändigt för att ett organ ska kunna utföra sina uppgifter på ett korrekt sätt (186). När amerikanska federala myndigheter utbyter personuppgifter med andra enheter måste de i tillämpliga fall ålägga uppfyllandet av villkor (inbegripet genomförandet av särskilda säkerhets- och integritetskontroller) för behandlingen av informationen genom skriftliga avtal (inbegripet kontrakt, dataanvändningsavtal, avtal om informationsutbyte och samförståndsavtal) (187). När det gäller skälen för att få sprida information anges till exempel i justitieministerns riktlinjer för FBI:s inrikes verksamhet och FBI:s vägledning för inhemska utredningar och åtgärder (188) att FBI kan vara ålagd att göra detta enligt ett rättsligt krav (t.ex. enligt ett internationellt avtal) eller får sprida information under vissa omständigheter, t.ex. till andra amerikanska myndigheter om utlämnandet är förenligt med det ändamål för vilket informationen samlades in och är kopplat till deras ansvarsområden, till kongressutskott, till utländska organ om informationen är kopplad till deras ansvarsområden och spridningen är förenlig med Förenta staternas intressen; spridningen är särskilt nödvändig för att skydda personer eller egendom, eller för att skydda mot eller förhindra ett brott eller hot mot den nationella säkerheten och utlämnandet är förenligt med det ändamål för vilket informationen samlades in (189).

(107)

De federala brottsbekämpande myndigheternas verksamhet övervakas av olika organ (190). Såsom förklaras i skälen 92-99 omfattar detta i de flesta fall domstolsväsendets förhandskontroll, som måste godkänna enskilda insamlingsåtgärder innan de kan användas. Dessutom övervakar andra organ olika skeden av brottsbekämpande myndigheters verksamhet, inklusive insamling och behandling av personuppgifter. Tillsammans säkerställer dessa rättsliga och icke-rättsliga organ att brottsbekämpande myndigheter är föremål för oberoende tillsyn.

(108)

För det första finns tjänstemän med ansvar för integritet och medborgerliga friheter inom olika ministerier med straffrättsligt ansvar (191). De specifika befogenheterna för dessa tjänstemän kan variera något beroende på bemyndigande lagstiftning, men de omfattar vanligen övervakning av förfaranden för att säkerställa att respektive myndighet eller ministerium beaktar integritetsskydd och medborgerliga friheter på lämpligt sätt. Lämpliga förfaranden har också införts för att behandla klagomål från enskilda personer som anser att deras integritetsskydd eller medborgerliga friheter har kränkts. Cheferna för varje myndighet eller ministerium måste se till att tjänstemän med ansvar för integritet och medborgerliga friheter har det materiel och de resurser som krävs för att de ska kunna fullgöra sitt uppdrag, ges tillgång till allt material och all personal som krävs för att de ska kunna utföra sina uppgifter samt informeras om och rådfrågas om föreslagna politiska förändringar (192). Tjänstemännen med ansvar för integritetsskydd och medborgerliga friheter rapporterar regelbundet till kongressen, bland annat om antal och typer av klagomål som mottagits av myndigheten eller ministeriet, en sammanfattning av klagomålens disposition, utförda granskningar och utredningar samt effekterna av den verksamhet som bedrivs av tjänstemannen (193).

(109)

För det andra övervakar en oberoende generalinspektör justitieministeriets verksamhet, inklusive FBI (194). Generalinspektörerna är oberoende enligt lag (195) och ansvarar för att genomföra oberoende utredningar, revisioner och inspektioner av ministeriets program och verksamhet. De har åtkomst till alla register, rapporter, revisioner, granskningar, dokument, skrivelser, rekommendationer och annat relevant material, vid behov genom föreläggande, och får ta upp vittnesmål (196). Generalinspektörerna kan endast utfärda icke-bindande rekommendationer om korrigerande åtgärder, men deras rapporter, även om uppföljningsåtgärder (eller avsaknad av sådana) (197), offentliggörs i allmänhet och överlämnas dessutom till kongressen, som kan utöva sin tillsynsbefogenhet på denna grundval (se skäl 111) (198).

(110)

För det tredje övervakas ministerier med straffrättsligt ansvar, i den mån de utför terrorismbekämpning, av styrelsen för tillsyn av personlig integritet och medborgerliga friheter (PCLOB), en oberoende byrå inom den verkställande avdelningen som utgörs av en styrelse bestående av två parter och fem ledamöter som utses av ordföranden för en fastställd sexårsperiod med senatsgodkännande (199). Enligt sin grundstadga har PCLOB anförtrotts ansvar för politiken för bekämpning av terrorism och för dess genomförande, i syfte att skydda den personliga integriteten och de medborgerliga friheterna. I sin granskning har den rätt att få åtkomst till underrättelsetjänsternas relevanta register, rapporter, revisioner, granskningar, dokument, skrivelser och rekommendationer, inklusive sekretessbelagd information, och får genomföra intervjuer och ta upp vittnesmål (200). Styrelsen får rapporter från tjänstemän med ansvar för medborgerliga friheter eller integritetsskydd vid flera federala myndigheter/underrättelsetjänster (201), kan utfärda rekommendationer till regeringen och brottsbekämpande myndigheter, och rapporterar regelbundet till kongressutskott och till presidenten (202). Styrelsens rapporter, inklusive rapporterna till kongressen, måste offentliggöras i största möjliga utsträckning (203).

(111)

Slutligen är brottsbekämpande verksamhet föremål för tillsyn av särskilda kommittéer i den amerikanska kongressen (representanthuset och senatens rättsliga kommittéer). De rättsliga utskotten utför regelbunden tillsyn på olika sätt, särskilt genom utfrågningar, utredningar, översyner och rapporter (204).

(112)

Så som anges måste brottsbekämpande myndigheter i de flesta fall få förhandstillstånd för att samla in personuppgifter. Även om detta inte krävs för administrativa förelägganden är dessa begränsade till specifika situationer och blir föremål för oberoende rättsliga prövningar åtminstone när regeringen ansöker om verkställighet i domstol. I synnerhet kan personer som är föremål för administrativa förelägganden bestrida dem i domstol med motivering att de är oskäliga, till exempel för allmänt utformade eller betungande (205).

(113)

Enskilda personer får först och främst inge framställningar eller klagomål till brottsbekämpande myndigheter om hanteringen av deras personuppgifter. Detta inbegriper möjligheten att begära tillgång till och rättelse av personuppgifter (206). När det gäller verksamhet som rör terrorismbekämpning kan enskilda personer också inge klagomål till tjänstemän med ansvar för integritet och medborgerliga fri- och rättigheter (eller andra tjänstemän med ansvar för integritetsskydd) vid brottsbekämpande myndigheter (207).

(114)

Dessutom har enskilda enligt Förenta staternas lagstiftning ett antal möjligheter till domstolsprövning mot en offentlig myndighet eller dess tjänstemän, när dessa myndigheter hanterar personuppgifter (208). Dessa möjligheter, i synnerhet förvaltningsprocesslagen (Administrative Procedure Act), lagen om informationsfrihet (Freedom of Information Act, FOIA) och lagen om elektronisk brevhemlighet (Electronic Communications Privacy Act, ECPA), kan utnyttjas av alla enskilda, oberoende av deras nationalitet och med förbehåll för eventuella gällande villkor.

(115)

Allmänt gäller att enligt bestämmelserna om rättslig prövning i förvaltningsprocesslagen (209) har den som felaktigt drabbats av rättsliga åtgärder till följd av en myndighets agerande eller som skadats eller förfördelats till följd av agerandet, rätt att söka rättslig prövning (210). Detta inbegriper möjligheten att be domstolen att hejda olagliga åtgärder och upphäva en myndighets åtgärder samt avgöranden och slutsatser som anses vara godtyckliga och nyckfulla, innebära maktmissbruk eller på annat sätt vara oförenliga med lagstiftningen (211).

(116)

Mer specifikt fastställs i avdelning II i lagen om elektronisk brevhemlighet (Electronic Communications Privacy Act, ECPA) (212) ett system med lagstadgad rätt till integritet; den lagen styr brottsbekämpande myndigheters tillgång till innehållet kommunikationer via ledning, muntligen eller i elektronisk form som lagras av tredjeparts-tjänsteleverantörer (213). Där kriminaliseras rättsstridig tillgång (dvs. tillgång som inte godkänts av domstol eller på annat sätt är tillåten) till sådana uppgifter och ger tillgång till berörda personer möjlighet att väcka civilrättslig talan vid federal domstol i Förenta staterna för faktiska skadestånd och straffskadestånd samt skäliga lättnader eller fastställelsetalan mot en statstjänsteman som uppsåtligen har begått sådana brott, eller mot Förenta staterna.

(117)

Dessutom ger en rad andra lagar enskilda personer rätt att väcka talan mot en offentlig myndighet i Förenta staterna eller mot en sådan myndighets tjänstemän, avseende hanteringen av deras personuppgifter, exempelvis avlyssningslagen (Wiretap Act) (214), lagen om datorbedrägeri (Computer Fraud and Abuse Act) (215), federala skadeståndslagen (Federal Torts Claim Act) (216), lagen om integritetsskydd för finansiella uppgifter (Right to Financial Privacy Act) (217) och lagen om rättvis kreditrapportering (Fair Credit Reporting Act) (218).

(118)

Enligt lagen om informationsfrihet (FOIA) (219), 5 U.S.C. § 552 har varje person rätt att få tillgång till register från federala myndigheter, även om dessa innehåller personens personuppgifter. Om de administrativa åtgärderna har uttömts kan en enskild person genomdriva denna rätt i domstol, såvida inte dessa register skyddas från offentliggörande genom ett undantag eller särskilt uteslutande från brottsbekämpning (220). I detta fall kommer domstolen att bedöma om något undantag är tillämpligt eller har åberopats lagligen av den berörda offentliga myndigheten.

(119)

Förenta staternas lagstiftning innehåller olika begränsningar och skyddsåtgärder avseende tillgången till och användningen av personuppgifter för ändamål som rör den nationella säkerheten, och den föreskriver tillsyns- och prövningsmekanismer som är i linje med de krav som avses i skäl 89 i detta beslut. Villkoren för sådan tillgång och de garantier som gäller för utövandet av dessa befogenheter bedöms i detalj i följande avsnitt.

(120)

Personuppgifter som överförs från EU till organisationer som omfattas av dataskyddsramen mellan EU och Förenta staterna får samlas in av amerikanska myndigheter för ändamål som rör den nationella säkerheten på grundval av olika rättsliga instrument, med förbehåll för särskilda villkor och skyddsåtgärder.

(121)

När personuppgifter har mottagits av organisationer i Förenta staterna får amerikanska underrättelsemyndigheter endast begära tillgång till sådana uppgifter för ändamål som rör den nationella säkerheten om de är auktoriserade enligt lag, särskilt enligt lagen om underrättelseverksamhet och övervakning utomlands (Fisa) eller lagbestämmelser som tillåter tillgång genom nationella säkerhetsskrivelser (221). Fisa innehåller flera rättsliga grunder som kan användas för att samla in (och senare behandla) personuppgifter om registrerade i EU som överförts enligt dataskyddsramen mellan EU och Förenta staterna (avsnitt 105 i Fisa (222), avsnitt 302 i Fisa (223), avsnitt 402 i Fisa (224), avsnitt 501 i Fisa (225) och avsnitt 702 i Fisa (226)), vilket beskrivs närmare i skälen 142–152.

(122)

Amerikanska underrättelsemyndigheter har också möjlighet att samla in personuppgifter utanför Förenta staterna, vilket kan inbegripa personuppgifter som håller på att överföras mellan EU och Förenta staterna. Insamlingen utanför Förenta staterna grundar sig på dekret 12333 (227), utfärdad av presidenten (228).

(123)

Insamling av underrättelser om signaler är den form av insamling av underrättelser som är mest relevant för det aktuella konstaterandet om adekvat skyddsnivå, eftersom den rör insamling av elektronisk kommunikation och data från informationssystem. Insamlingen kan utföras av amerikanska underrättelsemyndigheter både inom Förenta staterna (på grundval av Fisa) och medan data håller på att överföras till Förenta staterna (på grundval av dekret 12333).

(124)

Den 7 oktober 2022 utfärdade Förenta staternas president förordning dekret 14086 om att förbättra skyddsåtgärderna för Förenta staternas signalunderrättelsetjänst med begränsningar och skyddsåtgärder för all amerikansk underrättelseverksamhet. Detta dekret ersätter i stor utsträckning presidentdirektiv 28 (229) och stärker de villkor, begränsningar och skyddsåtgärder som gäller för all underrättelseverksamhet avseende signaler (dvs. på grundval av Fisa och dekret 12333), oavsett var de äger rum (230), och inrättar en ny prövningsmekanism genom vilken dessa skyddsåtgärder kan åberopas och verkställas av enskilda personer (231) (se mer ingående skälen 176–194). I detta sammanhang genomför den i amerikansk lagstiftning resultatet av de samtal som ägde rum mellan EU och Förenta staterna efter det att EU-domstolen ogiltigförklarat kommissionens beslut om skölden för skydd av privatlivet (se skäl 6). Det är därför ett särskilt viktigt inslag i den rättsliga ram som bedöms i detta beslut.

(125)

De begränsningar och skyddsåtgärder som infördes genom dekret 14086 kompletterar dem som föreskrivs i avsnitt 702 i Fisa och dekret 12333. De krav som beskrivs nedan (i avsnitten 3.2.1.2 och 3.2.1.3) ska tillämpas av underrättelsemyndigheterna när de bedriver signalunderrättelseverksamhet i enlighet med avsnitt 702 i Fisa och dekret 12333, t.ex. när de väljer/identifierar kategorier av utländsk underrättelseinformation som ska förvärvas i enlighet med avsnitt 702 i Fisa, samlar in utländska underrättelser eller kontraspionage enligt dekret 12333, och fattar enskilda beslut om inriktning enligt avsnitt 702 i Fisa och dekret 12333.

(126)

De krav som fastställs i detta dekret som utfärdas av presidenten är bindande för hela underrättelsegemenskapen. De måste genomföras ytterligare genom myndigheternas politik och förfaranden som införlivar dem i konkreta riktlinjer för den dagliga verksamheten. I detta avseende ger dekret 14086 amerikanska underrättelsemyndigheter högst ett år för att uppdatera sin befintliga politik och sina befintliga förfaranden (dvs. det ska ske senast den 7 oktober 2023) för att anpassa dem till den ekonomiska aktörens krav. Sådana uppdaterade riktlinjer och förfaranden måste utarbetas i samråd med justitieministern, tjänstemannen med ansvar för skyddet av medborgerliga friheter vid den nationella underrättelsetjänsten (ODNI CLPO) och PCLOB – ett oberoende tillsynsorgan som är behörigt att se över den verkställande avdelningens policy och dess genomförande, i syfte att skydda integritet och medborgerliga friheter (se skäl 110 vad gäller rollen och ställningen för PCLOB) – och göras allmänt tillgängliga (232). När väl de uppdaterade riktlinjerna och förfarandena har införts kommer PCLOB dessutom att genomföra en översyn för att säkerställa att de är förenliga med dekretet. Inom 180 dagar efter det att en sådan översyn har slutförts av PCLOB ska varje underrättelsemyndighet noga överväga och genomföra eller på annat sätt följa alla rekommendationer från PCLOB. Den 3 juli 2023 offentliggjorde den amerikanska regeringen sådana uppdaterade strategier och förfaranden (233).

(127)

Dekret 14086 fastställer ett antal övergripande krav som gäller för all signalunderrättelseverksamhet (insamling, användning, spridning osv. av personuppgifter).

(128)

För det första måste sådan verksamhet grundas på stadgar eller presidentens tillstånd och genomföras i enlighet med amerikansk lagstiftning, inklusive konstitutionen (234).

(129)

För det andra måste det finnas lämpliga skyddsåtgärder för att säkerställa att integritet och medborgerliga friheter är en integrerad del av planeringen av sådan verksamhet (235).

(130)

I synnerhet får underrättelseverksamhet avseende signaler endast utföras ”efter en rimlig bedömning av alla relevanta faktorer, om verksamheten är nödvändig för att främja en validated intelligence priority (validerad underrättelseprioritering)” (när det gäller begreppet validated intelligence priority, se skäl 135) (236).

(131)

Sådan verksamhet får dessutom endast bedrivas i den utsträckning och på ett sätt som står i proportion till den validerade underrättelseprioritering för vilken den har godkänts (237). Med andra ord måste en ordentlig balans uppnås ”mellan vikten av den underrättelseprioritering som eftersträvas och inverkan på de berörda personernas integritet och medborgerliga friheter, oberoende av deras nationalitet eller var de bor” (238).

(132)

Slutligen, för att säkerställa efterlevnaden av dessa allmänna krav – som återspeglar principerna om laglighet, nödvändighet och proportionalitet – är underrättelseverksamhet föremål för tillsyn (se närmare avsnitt 3.2.2) (239).

(133)

Dessa övergripande krav underbyggs ytterligare när det gäller insamling av underrättelser om signaler genom ett antal villkor och begränsningar som säkerställer att intrånget i enskilda personers rättigheter begränsas till vad som är nödvändigt och proportionerligt för att främja ett legitimt mål.

(134)

För det första begränsar dekretet de grunder på vilka data kan samlas in som en del av underrättelseverksamhet för signaler på två sätt. Å ena sidan fastställer dekretet de legitima mål som kan eftersträvas genom insamling av underrättelser, t.ex. att förstå eller bedöma utländska organisationers, inbegripet internationella terroristorganisationers, kapacitet, avsikter eller verksamhet som utgör ett nuvarande eller potentiellt hot mot Förenta staternas nationella säkerhet; skydda mot utländsk militär kapacitet och militär verksamhet; förstå eller bedöma gränsöverskridande hot som påverkar den globala säkerheten, såsom klimatförändringar och andra ekologiska förändringar, folkhälsorisker och humanitära hot (240). Å andra sidan förtecknar dekretet vissa syften som aldrig får eftersträvas genom underrättelseverksamhet, t.ex. att försvåra kritik, avvikande åsikter eller yttrandefrihet hos enskilda personer eller medier; att missgynna personer på grund av deras etnicitet, ras, kön, könsidentitet, sexuella läggning eller religion; eller att ge amerikanska företag en konkurrensfördel (241).

(135)

Dessutom kan underrättelsemyndigheterna inte i sig förlita sig på de legitima mål som fastställs i dekret 14086 för att motivera insamling av signalunderrättelser, utan måste för operativa ändamål ytterligare underbyggas till mer konkreta prioriteringar för vilka underrättelser kan samlas in. Med andra ord kan faktisk insamling endast ske för att främja en mer specifik prioritering. Sådana prioriteringar fastställs genom en särskild process som syftar till att säkerställa efterlevnad av tillämpliga rättsliga krav, inbegripet de som rör integritet och medborgerliga rättigheter. Närmare bestämt utarbetas underrättelseprioriteringar först av direktören för den nationella underrättelsetjänsten (genom den så kallade ramen för nationella underrättelseprioriteringar) och överlämnas till ordföranden för godkännande (242). Innan presidenten föreslår en underrättelseprioritering måste presidenten, i enlighet med dekret 14086, inhämta en bedömning från ODNI CLPO för varje prioritering avseende huruvida den 1) främjar ett eller flera legitima mål som förtecknas i dekretet, 2) varken utformades för eller förväntades leda till insamling av underrättelsesignaler för ett förbjudet mål som förtecknas i dekretet, och 3) fastställdes efter lämplig hänsyn till alla personers privatliv och medborgerliga friheter, oavsett deras nationalitet eller var de är bosatta (243). Om direktören inte samtycker till dennes bedömning måste båda synpunkterna läggas fram för presidenten (244).

(136)

Denna process säkerställer därför särskilt att hänsyn tas till integritetsaspekter från det inledande skedet då underrättelseprioriteringar utvecklas.

(137)

För det andra, när en underrättelseprioritering har fastställts, styr ett antal krav beslutet om huruvida och i vilken utsträckning underrättelser kan samlas in för att främja en sådan prioritering. Dessa krav operationaliserar de övergripande behovs- och proportionalitetsnormer som anges i avsnitt 2(a) i dekretet.

(138)

I synnerhet får signalunderrättelser endast samlas in efter ett beslut om att insamlingen, på grundval av en rimlig bedömning av alla relevanta faktorer, är nödvändig för att främja en särskild underrättelseprioritering (245). För att fastställa om en specifik insamling av signalunderrättelser är nödvändig för att främja en validerad underrättelseprioritering måste Förenta staternas underrättelsemyndigheter beakta tillgängligheten, genomförbarheten och lämpligheten hos andra mindre inkräktande källor och metoder, även från diplomatiska och offentliga källor (246). Sådana alternativa, mindre inkräktande källor och metoder måste prioriteras när de finns tillgängliga (247).

(139)

När det vid tillämpningen av sådana kriterier anses nödvändigt att samla in signalunderrättelser måste denna insamling vara så skräddarsydd som möjligt och får inte på ett oproportionerligt sätt påverka privatlivet och de medborgerliga friheterna (248). För att säkerställa att privatlivet och de medborgerliga friheterna inte påverkas oproportionerligt – dvs. för att skapa en lämplig balans mellan nationella säkerhetsbehov och skyddet av privatlivet och de medborgerliga friheterna – måste alla relevanta faktorer vederbörligen beaktas, såsom det eftersträvade målets karaktär; insamlingsverksamhetens grad av intrång inklusive dess varaktighet; det sannolika bidraget från insamlingen till det eftersträvade målet; de rimligen förutsebara konsekvenserna för enskilda personer; och arten och känsligheten hos de uppgifter som ska samlas in (249).

(140)

När det gäller typen av insamling av signaler måste insamlingen av uppgifter inom Förenta staterna, som är den mest relevanta för det aktuella konstaterandet om adekvat skyddsnivå eftersom den rör uppgifter som har överförts till organisationer i Förenta staterna, alltid vara målinriktad, vilket förklaras närmare i skälen 142–153.

(141)

”Bulkinsamling” (250) får endast utföras utanför Förenta staterna på grundval av dekret 12333. Även i detta fall måste, i enlighet med dekret 14086, riktad insamling prioriteras (251). Omvänt är bulkinsamling endast tillåten om den information som krävs för att främja en validerad underrättelseprioritering inte rimligen kan erhållas genom riktad insamling (252). När det är nödvändigt att samla in uppgifter i bulk utanför Förenta staterna gäller särskilda skyddsåtgärder enligt dekret 14086 (253). För det första måste metoder och tekniska åtgärder tillämpas för att begränsa de insamlade uppgifterna till endast vad som är nödvändigt för att främja en validerad underrättelseprioritering, samtidigt som insamlingen av icke-relevant information minimeras (254). För det andra begränsar den ekonomiska aktören användningen av information som samlats in i bulk (inklusive förfrågningar) till sex specifika mål, däribland skydd mot terrorism, tagande av gisslan och hållande av personer i fångenskap av en utländsk regering, organisation eller person eller på dennas vägnar; skydd mot främmande spionage, sabotage eller mord; skydd mot hot avseende innehav för utveckling eller spridning av massförstörelsevapen eller tillhörande teknik och hot osv (255). Slutligen får alla förfrågningar om signalunderrättelser som erhållits i bulk endast ske när detta är nödvändigt för att främja en validerad underrättelseprioritering, i syfte att uppnå dessa sex mål och i enlighet med politik och förfaranden som på lämpligt sätt tar hänsyn till alla personers integritet och medborgerliga friheter, oavsett deras nationalitet eller var de befinner sig (256).

(142)

Utöver kraven i dekret 14086 omfattas insamlingen av signalunderrättelser som har överförts till en organisation i Förenta staterna av särskilda begränsningar och skyddsåtgärder som regleras i avsnitt 702 i Fisa (257). Enligt avsnitt 702 i Fisa är insamling tillåten av utländsk underrättelseinformation genom målsökning av personer som inte är amerikanska medborgare och som rimligen kan antas befinna sig utanför Förenta staterna, med obligatorisk assistans från telekomtjänstleverantörer (258). För att samla in utländsk underrättelseinformation i enlighet med § 702 i Fisa lämnar justitieministern och direktören för den nationella underrättelsetjänsten in årliga intyg till domstolen för övervakning av utländsk underrättelseinformation (FISC) som identifierar kategorier av utländsk underrättelseinformation som ska förvärvas (259). Certifieringar måste åtföljas av målinriktning, minimering och förfrågningar, som också godkänns av domstolen och är rättsligt bindande för amerikanska underrättelsemyndigheter.

(143)

Domstolen för övervakning av utländsk underrättelseinformation (FISC) är en oberoende domstol (260) som inrättats genom federal lag och vars beslut kan överklagas till appellationsdomstolen för övervakning av utländsk underrättelseinformation (FISCR) (261) och slutligen till Förenta staternas Högsta domstol (262). FISC (och FISCR) stöds av en permanent arbetsgrupp som består av fem advokater och fem tekniska experter med sakkunskap i nationella säkerhetsfrågor och medborgerliga friheter (263). Från denna grupp utser domstolen en person som ska agera som sakkunnig för att bistå i övervägandet av ansökningar om beslut eller granskning som, enligt domstolens åsikt, utgör en ny eller väsentlig lagtolkning, om inte domstolen finner att det är olämpligt att utse en sakkunnig (264). Detta säkerställer framför allt att integritetsöverväganden avspeglas på lämpligt sätt i domstolens bedömningar. Domstolen kan utse en person eller en organisation som sakkunnig, även för tekniska frågor, om den anser att så är lämpligt, eller, på förslag tillåta att en person eller en organisation inger en sakkunnigrapport (265).

(144)

FISC granskar certifieringarna och de därmed sammanhängande förfarandena (särskilt förfarandena för målsökning och minimering) för att uppfylla Fisas krav. Om det anser att kraven inte är uppfyllda kan den helt eller delvis avslå certifieringen och begära att förfarandena ändras (266). I detta avseende har FISC upprepade gånger bekräftat att dess översyn av avsnitt 702 om målsökning och minimering inte är begränsad till de skriftliga förfarandena, utan även omfattar hur förfarandena genomförs av regeringen (267).

(145)

Individuella målinriktningar görs av den nationella säkerhetsmyndigheten (NSA, den underrättelsemyndighet som ansvarar för målinriktning enligt avsnitt 702 i Fisa) i enlighet med målinriktningsförfaranden som godkänts av FISC, som kräver att den nationella säkerhetsmyndigheten, på grundval av de samlade omständigheterna, bedömer att riktade åtgärder mot en viss person sannolikt kommer att innebära förvärv av en kategori av utländsk underrättelseinformation som identifierats i en certifiering (268). Denna bedömning måste vara specialiserad och faktabaserad, underbyggas av analytisk bedömning, analytikerns specialiserade utbildning och erfarenhet samt karaktären på den utländska underrättelseinformation som ska erhållas (269). Målsökningen utförs genom identifiering av så kallade väljare som identifierar specifika kommunikationsresurser, såsom målets e-postadress eller telefonnummer, men aldrig nyckelord eller namn på enskilda personer (270).

(146)

NSA:s analytiker identifierar först de personer som inte är medborgare i Förenta staterna som befinner sig utomlands och av vilka övervakningen, enligt analytikerns bedömning, kommer att ge de relevanta utländska underrättelseuppgifter som anges i certifieringen (271). Såsom anges i NSA:s förfarande för målsökning kan den nationella säkerhetsmyndigheten endast rikta övervakningen mot ett mål när den redan har lärt sig något om målet (272). Detta kan ske till följd av information som erhållits från olika källor, t.ex. underrättelser från människor. Genom dessa andra källor måste analytikern också lära sig om en specifik väljare (dvs. kommunikationskonto) som används av det potentiella målet. När dessa enskilda personer har identifierats och målsökningen har godkänts genom en grundlig granskningsmekanism inom NSA (273) avdelas urvalstermer för att identifiera kommunikationsmedel (t.ex. e-postadresser) som används av målen (274).

(147)

NSA måste dokumentera faktaunderlaget för valet av mål (275) och regelbundet efter den inledande målsökningen bekräfta att målstandarden fortfarande uppfylls (276). När målstandarden inte längre uppfylls måste insamlingen upphöra (277). NSA:s val av varje mål och dess register över varje registrerad målsökningsbedömning och dess motivering granskas varannan månad med avseende på efterlevnaden av målsökningsförfarandena av tjänstemän vid justitieministeriets kontor för underrättelsetillsyn, som är skyldiga att rapportera eventuella överträdelser till FISC och kongressen (278). NSA:s skriftliga dokumentation underlättar FISC:s tillsyn av huruvida målsökningen av specifika personer är förenlig med avsnitt 702 i Fisa, i enlighet med dess tillsynsbefogenheter som beskrivs i skälen 173–174 (279). Slutligen måste direktören för den nationella underrättelsetjänsten även varje år rapportera det totala antalet mål enligt avsnitt 702 i Fisa i offentliga rapporter om insyn i statistiken (Statistical Transparency Reports). Företag som mottar direktiv enligt avsnitt 702 i Fisa får offentliggöra aggregerade data (via insynsrapporter) som svar på de förfrågningar de mottar (280).

(148)

När det gäller de andra rättsliga grunderna för att samla in personuppgifter som överförs till organisationer i Förenta staterna gäller olika begränsningar och skyddsåtgärder. I allmänhet är insamlingen av uppgifter i bulk uttryckligen förbjuden enligt avsnitt 402 i Fisa (samtals- och spårningsanordningar) och genom användning av nationella säkerhetsskrivelser, och användning av specifika ”urvalstermer” krävs i stället (281).

(149)

För att genomföra traditionell individuell elektronisk övervakning (enligt avsnitt 105 i Fisa) måste underrättelsemyndigheterna lämna in en ansökan till FISC med en redogörelse för de fakta och omständigheter som åberopas för att motivera uppfattningen att det finns sannolika skäl att tro att anläggningen används eller kommer att användas av en utländsk makt eller ett ombud för en utländsk makt (282). FISC kommer bland annat att bedöma om det på grundval av de inlämnade uppgifterna finns en sannolik orsak till att så verkligen är fallet (283).

(150)

För att utföra en sökning i lokaler eller egendom som är avsedd att leda till en inspektion, ett beslagtagande e.d. av information, material eller egendom (t.ex. en datorenhet) på grundval av avsnitt 301 i Fisa krävs en ansökan om beslut från FISC (284). En sådan ansökan måste bland annat visa att det finns en sannolik orsak till att målet för sökningen är en utländsk makt eller ett ombud för en utländsk makt; att den anläggning eller egendom som ska genomsökas innehåller utländsk underrättelseinformation och att den anläggning som ska genomsökas ägs, används, innehas av eller transiteras till eller från en (ett ombud för) utländsk makt (285).

(151)

På samma sätt kräver installationen av samtals- och spårningsanordningar såsom pen register och trap and trace-anordningar (enligt avsnitt 402 i Fisa) en ansökan om beslut av FISC (eller en amerikansk domare) och användning av en särskild urvalsterm, dvs. en term som specifikt identifierar en person, ett konto osv. och som används för att i största möjliga utsträckning begränsa omfattningen av den information som eftersöks (286). Befogenheten omfattar inte kommunikationens innehåll, utan inriktas snarare på information om en kund eller abonnent som använder en viss tjänst (t.ex. namn, adress, abonnentnummer, varaktighet/typ av mottagen tjänst, betalningskälla/betalningsmetod).

(152)

Enligt avsnitt 501 i Fisa (287), som tillåter insamling av affärsregister för ett gemensamt transportföretag (dvs. varje person eller enhet som transporterar människor eller egendom på land, järnväg, vatten eller luft mot ersättning), offentliga logianläggningar (t.ex. hotell eller motell), uthyrningsanläggningar för fordon eller fysiska lagringsanläggningar (dvs. som tillhandahåller utrymme för eller tjänster i samband med lagring av varor och material) (288), krävs också en ansökan till FISC eller en domare. I ansökan ska det anges vilka register som söks och vilka specifika och tydliga fakta som ger anledning att anta att den person som registret avser är en utländsk makt eller ett ombud för en utländsk makt (289).

(153)

Slutligen är nationella säkerhetsskrivelser godkända enligt olika stadgar och gör det möjligt för utredningsbyråer att erhålla viss information (exklusive kommunikationsinnehåll) från vissa enheter (t.ex. finansinstitut, kreditinstitut och leverantörer av elektronisk kommunikation) i kreditrapporter, finansiella register och elektroniska abonnent- och transaktionsregister (290). Den lag om nationella säkerhetsskrivelser som tillåter tillgång till elektronisk kommunikation får endast användas av FBI och föreskriver användning i ansökningarna av ett uttryck som specifikt identifierar en person, en enhet, ett telefonnummer eller ett konto och intygar att informationen är relevant för en auktoriserad nationell säkerhetsutredning för att skydda mot internationell terrorism eller hemlig underrättelseverksamhet (291). Personer som omfattas av nationella säkerhetsskrivelser har rätt att bestrida detta i domstol (292).

(154)

Behandlingen av personuppgifter som samlats in av amerikanska underrättelsemyndigheter genom signalunderrättelser omfattas av ett antal skyddsåtgärder.

(155)

För det första måste varje underrättelsemyndighet säkerställa lämplig datasäkerhet och förhindra att obehöriga personer får tillgång till personuppgifter som samlas in genom signalunderrättelser. I detta avseende specificerar olika instrument, inklusive stadgar, riktlinjer och standarder ytterligare de minimikrav för informationssäkerhet som måste införas (t.ex. multifaktorautentisering, kryptering osv.) (293). Tillgången till insamlade uppgifter måste begränsas till auktoriserad, utbildad personal som behöver känna till informationen för att kunna utföra sitt uppdrag (294). Mer allmänt måste underrättelsemyndigheter tillhandahålla lämplig utbildning till sina anställda, bland annat om förfaranden för rapportering och hantering av lagöverträdelser (inklusive dekret 14086) (295).

(156)

För det andra måste underrättelsemyndigheterna följa underrättelsegemenskapens normer för noggrannhet och objektivitet, särskilt när det gäller att säkerställa uppgifternas kvalitet och tillförlitlighet samt att överväga alternativa informationskällor och objektivitet vid analyser (296).

(157)

När det gäller lagring av uppgifter klargör dekret 14086 för det tredje att personuppgifter om icke-amerikanska personer omfattas av samma lagringsperioder som gäller för uppgifter om amerikanska personer (297). Underrättelsemyndigheterna måste fastställa särskilda lagringstider och/eller faktorer som måste beaktas för att fastställa längden på de tillämpliga lagringstiderna (t.ex. om informationen är bevis på ett brott, huruvida informationen utgör utländsk underrättelseinformation, huruvida informationen behövs för att skydda säkerheten för personer eller organisationer, inbegripet offer för eller mål för internationell terrorism, som fastställs i olika rättsliga instrument (298).

(158)

För det fjärde gäller särskilda regler för spridning av personuppgifter som samlats in genom underrättelser om signaler. Som ett allmänt krav får personuppgifter om icke-amerikanska personer endast spridas om det rör sig om samma typ av information som kan spridas om amerikanska personer, t.ex. information som behövs för att skydda en persons eller organisations säkerhet (t.ex. mål, offer eller gisslan i internationella terroristorganisationer) (299). Dessutom får personuppgifter inte spridas enbart på grund av en persons nationalitet eller bosättningsland eller i syfte att kringgå kraven i dekret 14086 (300). Spridning inom den amerikanska regeringen får endast ske om en auktoriserad och utbildad person har rimlig anledning att tro att mottagaren har ett behov av att känna till informationen (301) och kommer att skydda den på lämpligt sätt (302). För att avgöra om personuppgifter kan spridas till mottagare utanför den amerikanska regeringen (inklusive en utländsk regering eller internationell organisation) måste syftet med spridningen, arten och omfattningen av de uppgifter som sprids samt risken för skadlig inverkan på den eller de berörda personerna beaktas (303).

(159)

Slutligen ska varje underrättelsemyndighet, inbegripet för att underlätta tillsynen av efterlevnaden av de tillämpliga rättsliga kraven och effektiv prövning, enligt dekret 14086 bevara lämplig dokumentation om insamlingen av signalunderrättelser. Dokumentationskraven omfattar sådana faktorer som faktaunderlaget för bedömningen av att en viss insamlingsverksamhet är nödvändig för att främja en validerad underrättelseprioritering (304).

(160)

Utöver de ovannämnda skyddsåtgärderna i dekret 14086 för användning av information som samlats in genom signalunderrättelsetjänster omfattas alla amerikanska underrättelsemyndigheter av mer allmänna krav på ändamålsbegränsning, uppgiftsminimering, exakthet, säkerhet, bevarande och spridning, särskilt till följd av OMB:s cirkulär nr A-130, e-förvaltningslagen, Federal Records Act (se skälen 101-106) och vägledning från kommittén för nationella säkerhetssystem (CNSS) (305).

(161)

Förenta staternas underrättelsemyndigheter övervakas av olika organ.

(162)

För det första kräver dekret 14086 att det vid varje underrättelsemyndighet ska finnas högre tjänstemän inom juridik, tillsyn och efterlevnad för att säkerställa efterlevnad av tillämplig amerikansk lagstiftning (306). De måste i synnerhet utföra regelbunden tillsyn av signalunderrättelseverksamhet och se till att fall av bristande efterlevnad åtgärdas. Underrättelsemyndigheterna måste ge sådana tjänstemän tillgång till all relevant information de behöver för att kunna utföra sina tillsynsuppgifter och får inte vidta några åtgärder för att hindra eller otillbörligt påverka sin tillsynsverksamhet (307). Dessutom måste alla betydande efterlevnadsincidenter (308) som identifierats av en tillsynstjänsteman eller annan anställd omgående rapporteras till chefen för underrättelsemyndigheten och direktören för den nationella underrättelsetjänsten, som måste se till att alla nödvändiga åtgärder vidtas för att avhjälpa och förhindra att den betydande överträdelsen upprepas (309).

(163)

Denna övervakningsfunktion utförs av tjänstemän med en utsedd efterlevnadsroll samt tjänstemän inom integritet och medborgerliga friheter samt generalinspektörer (310).

(164)

Precis som vid brottsbekämpande myndigheter finns tjänstemän för integritets- och medborgerliga fri- och rättigheter vid varje underrättelsemyndighet (311). Befogenheterna för dessa tjänstemän omfattar vanligen övervakning av förfaranden för att säkerställa att respektive myndighet/tjänst beaktar integritetsskydd och medborgerliga friheter på lämpligt sätt. Lämpliga förfaranden har också införts för att behandla klagomål från enskilda personer som anser att deras integritetsskydd eller medborgerliga friheter har kränkts (och i vissa fall, t.ex. när det gäller den nationella underrättelsetjänsten, kan de själva ha behörighet att utreda klagomål (312)). Cheferna för underrättelsemyndigheterna måste se till att tjänstemän med ansvar för integritet och medborgerliga friheter har de resurser som krävs för att de ska kunna fullgöra sitt uppdrag, ges tillgång till allt material och all personal som krävs för att de ska kunna utföra sina uppgifter samt informeras om och rådfrågas om föreslagna politiska förändringar (313). Tjänstemännen med ansvar för integritetsskydd och medborgerliga friheter rapporterar regelbundet till kongressen och PCLOB, bland annat om antal och typer av klagomål som mottagits av myndigheten eller ministeriet med en sammanfattning av klagomålens disposition, utförda granskningar och utredningar samt effekterna av den verksamhet som bedrivs av tjänstemannen (314).

(165)

För det andra har varje underrättelsemyndighet en oberoende generalinspektör med ansvar för bland annat tillsynen av utländsk underrättelseverksamhet. Detta inbegriper, inom den nationella underrättelsetjänsten, ett generalinspektörskontor för underrättelsegemenskapen med omfattande behörighet för hela underrättelsegemenskapen och befogenhet att utreda klagomål eller information om påstått olagligt handlande eller maktmissbruk i samband med den nationella underrättelsetjänstens och/eller underrättelsegemenskapens program och verksamheter (315). Liksom för brottsbekämpande myndigheter (se skäl 109) är sådana generalinspektörer enligt lag oberoende (316) och ansvariga för att genomföra revisioner och utredningar om de program och insatser som utförs av respektive myndighet för nationella underrättelseändamål, inbegripet när det gäller missbruk eller lagöverträdelser (317). De har åtkomst till alla register, rapporter, revisioner, granskningar, dokument, skrivelser, rekommendationer och annat relevant material, vid behov genom föreläggande, och får ta upp vittnesmål (318). Generalinspektörer hänskjuter fall av misstänkta brott till åtal och utfärdar rekommendationer om korrigerande åtgärder till byråchefer (319). Även om deras rekommendationer är icke-bindande offentliggörs deras rapporter, inklusive om uppföljningsåtgärder (eller avsaknad av sådana) (320) i allmänhet och skickas till kongressen, som på denna grund kan utöva sin egen tillsynsfunktion (se skälen 168-169) (321).

(166)

För det tredje övervakar styrelsen för tillsyn av underrättelseverksamhet (Intelligence Oversight Board), som inrättats inom ramen för presidentens rådgivande styrelse för underrättelseverksamhet, Förenta staternas underrättelsetjänsters efterlevnad av konstitutionen och alla tillämpliga regler (322). Presidentens rådgivande styrelse för underrättelseverksamhet är ett rådgivande organ inom presidentens verkställande kansli som består av 16 ledamöter utanför den amerikanska regeringen som utses av presidenten. Styrelsen för tillsyn av underrättelseverksamhet består av högst fem ledamöter som utses av ordföranden bland den rådgivande styrelsens ledamöter. Enligt dekret 12333 (323) ska cheferna för alla underrättelsemyndigheter till styrelsen för tillsyn av underrättelseverksamhet rapportera all underrättelseverksamhet som skäligen kan misstänkas vara olaglig eller strida mot ett dekret eller ett presidentdirektiv. För att säkerställa att styrelsen för tillsyn av underrättelseverksamhet har tillgång till den information som krävs för att utföra sina uppgifter, åläggs genom dekret 13462 direktören för den nationella underrättelsetjänsten och cheferna för underrättelsemyndigheterna att tillhandahålla all information och allt stöd som styrelsen för tillsyn av underrättelseverksamhet beslutar att behövs för att utföra sina uppgifter, i den utsträckning det är tillåtet enligt lag (324). Styrelsen för tillsyn av underrättelseverksamhet är i sin tur skyldig att informera presidenten om underrättelseverksamhet som den anser kan strida mot amerikansk lagstiftning (inklusive dekret) och inte behandlas på lämpligt sätt av justitieministern, chefen för den nationella underrättelsetjänsten eller chefen för en underrättelsemyndighet (325). Dessutom är styrelsen för tillsyn av underrättelseverksamhet skyldig att informera justitieministern om eventuella brott mot straffrätten.

(167)

För det fjärde står underrättelsemyndigheterna under tillsyn av PCLOB. Enligt sin grundstadga har PCLOB anförtrotts ansvar för politiken för bekämpning av terrorism och för dess genomförande, i syfte att skydda den personliga integriteten och de medborgerliga friheterna. I sin granskning av underrättelsemyndigheternas verksamhet har den rätt att få åtkomst till underrättelsemyndigheternas relevanta register, rapporter, revisioner, granskningar, dokument, skrivelser och rekommendationer, inklusive sekretessbelagd information, och får genomföra intervjuer och ta upp vittnesmål (326). Styrelsen får rapporter från tjänstemän med ansvar för medborgerliga friheter eller integritetsskydd vid flera federala myndigheter/underrättelsemyndigheter (327), kan utfärda rekommendationer till regeringen och brottsbekämpande myndigheter, och rapporterar regelbundet till kongressutskott och till presidenten (328). Styrelsens rapporter, inklusive rapporterna till kongressen, måste offentliggöras i största möjliga utsträckning (329). PCLOB har utfärdat flera tillsyns- och uppföljningsrapporter, bland annat en analys av de program som drivs på grundval av avsnitt 702 i Fisa och integritetsskyddet i detta sammanhang, genomförandet av presidentdirektiv 28 och dekret 12333 (330). PCLOB har också ansvar för att utföra särskilda tillsynsfunktioner när det gäller genomförandet av dekret 14086, särskilt genom att se över huruvida myndigheters förfaranden är förenliga med dekretet (se skäl 126) och utvärdera korrigeringsmekanismens funktion (se skäl 194).

(168)

För det femte, förutom dessa tillsynsmekanismer inom den verkställande grenen, har särskilda kommittéer i den amerikanska kongressen, särskilt House and Senate Intelligence and Judiciary Committees, tillsynsansvar när det gäller all utländsk underrättelseverksamhet som bedrivs av Förenta staterna. Ledamöterna av dessa utskott har tillgång till sekretessbelagd information samt information om underrättelsemetoder och underrättelseprogram (331). Kommittéerna utövar sin tillsyn på olika sätt, särskilt genom utfrågningar, utredningar, översyner och rapporter (332).

(169)

Kongresskommittéerna får regelbundna rapporter om underrättelseverksamhet, bland annat från justitieministern, direktören för den nationella underrättelsetjänsten, underrättelsemyndigheter och andra tillsynsorgan (t.ex. generalinspektörer), se skälen 164–165. I synnerhet ska presidenten enligt lagen om nationell säkerhet (National Security Act) säkerställa att kongressens utskott för underrättelseverksamhet hålls fullständigt och fortlöpande informerade om Förenta staternas underrättelseverksamhet, bland annat eventuell viktig planerad underrättelseverksamhet enligt vad som krävs i detta underkapitel (333). Dessutom ska presidenten ”säkerställa att eventuell olaglig underrättelseverksamhet samt eventuella korrigerande åtgärder som har vidtagits eller planeras i samband med sådan olaglig verksamhet omedelbart rapporteras till kongressens underrättelseutskott” (334).

(170)

Dessutom följer ytterligare rapporteringskrav av särskilda stadgar. I synnerhet ska justitieministern enligt Fisa ”fullständigt informera” senatens och representanthusets utskott om underrättelseverksamhet respektive rättsväsendet om regeringens verksamheter enligt vissa avsnitt i Fisa (335). Lagstiftningen föreskriver också att regeringen ska förse kongresskommittéerna med ”kopior av alla beslut, föreskrifter eller yttranden som utfärdas av FISC eller FISCR och som innehåller viktiga diskussioner om eller tolkningar” av Fisa-bestämmelser. När det gäller övervakning enligt avsnitt 702 i Fisa utövas den parlamentariska tillsynen genom obligatoriska rapporter till kommittéerna för underrättelseverksamhet respektive rättsväsendet samt täta genomgångar och utfrågningar. Dessa inbegriper en halvårsrapport från justitieministern om tillämpningen av avsnitt 702 i Fisa med styrkande dokument, däribland justitieministeriets och den nationella underrättelsetjänstens efterlevnadsrapporter och en redogörelse för eventuella fall av bristande efterlevnad (336) och en separat halvårsbedömning av justitieministern och DNI om efterlevnaden av förfarandena för målinriktning och minimering (337).

(171)

Enligt Fisa måste Förenta staternas regering varje år till kongressen (och allmänheten) lämna ut information om antalet Fisa-förelägganden som har sökts och beviljats samt bland annat uppskattningar av antalet utländska medborgare och medborgare i Förenta staterna som är föremål för övervakning (338). Lagen kräver dessutom ytterligare offentlig rapportering om antalet utfärdade nationella säkerhetsskrivelser, även här både rörande Förenta staternas medborgare och utländska medborgare (samtidigt får mottagare av Fisa-beslut och certifieringar samt nationella säkerhetsskrivelseförfrågningar utfärda insynsrapporter på vissa villkor) (339).

(172)

Mer allmänt gör Förenta staternas underrättelsegemenskap olika ansträngningar för att skapa insyn i sin (utländska) underrättelseverksamhet. Till exempel antog den nationella underrättelsetjänsten 2015 principerna om öppenhet och insyn och en genomförandeplan för transparens, och gav varje underrättelsemyndighet i uppdrag att utse en underrättelseansvarig för öppenhet för att främja öppenhet och leda transparensinitiativ (340). Som en del av dessa insatser har underrättelsegemenskapen hävt och fortsätter att häva sekretessen för delar av policyer, förfaranden, tillsynsrapporter, rapporter om verksamhet enligt avsnitt 702 i Fisa och dekret 12333, beslut av FISC och annat offentligt material, bland annat på en särskild webbsida, ”IC on the Record”, som förvaltas av den nationella underrättelsetjänsten (341).

(173)

Slutligen är insamlingen av personuppgifter enligt avsnitt 702 i Fisa, utöver tillsynen av tillsynsorganen som anges i skälen 162–168, föremål för tillsyn av FISC (342). Enligt regel 13 i FISC:s arbetsordning ska efterlevnadsansvariga vid amerikanska underrättelsemyndigheter rapportera alla överträdelser av Fisa 702:s förfaranden för målsättning, minimering och förhör till justitieministeriet och den nationella underrättelsetjänsten, som i sin tur rapporterar dem till FISC. Dessutom lämnar justitieministeriet och den nationella underrättelsetjänsten halvårsvisa gemensamma tillsynsbedömningar till FISC, som identifierar målinriktade trender för efterlevnad; tillhandahålla statistiska uppgifter; beskriver kategorier av efterlevnadsincidenter; ger en detaljerad beskrivning av skälen till att vissa efterlevnadsincidenter har förekommit och en beskrivning av de åtgärder som underrättelsemyndigheterna har vidtagit för att undvika upprepningar (343).

(174)

Om överträdelser av förfarandena för målinriktning konstateras kan domstolen vid behov kräva att den berörda underrättelsemyndigheten vidtar korrigerande åtgärder (344). Åtgärderna i fråga kan sträcka sig från individuella till strukturella åtgärder, t.ex. från att avsluta datainsamlingen och radera olagligt erhållna data till en ändring av insamlingsmetoden, inklusive när det gäller vägledning och utbildning för personal (345). Under sin årliga översyn av certifieringar enligt avsnitt 702 anser FISC dessutom att incidenter med bristande efterlevnad är avsedda att fastställa om de inlämnade certifieringarna uppfyller Fisas krav. Om FISC finner att regeringens certifieringar inte var tillräckliga, inbegripet på grund av särskilda efterlevnadsincidenter, kan den utfärda en så kallad deficiency order som kräver att regeringen åtgärdar överträdelsen inom 30 dagar eller kräver att regeringen upphör med eller inte börjar genomföra certifieringen enligt avsnitt 702. Slutligen bedömer FISC trender som den observerar i efterlevnadsfrågor och kan kräva ändringar av förfaranden eller ytterligare tillsyn och rapportering för att ta itu med trender avseende efterlevnad (346).

(175)

Såsom förklaras närmare i detta avsnitt finns ett antal vägar i Förenta staterna som ger registrerade i EU möjlighet att väcka talan vid en oberoende och opartisk domstol med bindande befogenheter. Tillsammans gör de det möjligt för enskilda personer att komma åt sina personuppgifter, se till att lagligheten i myndigheternas tillgång till deras uppgifter granskas och, om en överträdelse konstateras, få en sådan överträdelse åtgärdad, bland annat genom rättelse eller radering av deras personuppgifter.

(176)

För det första inrättas en särskild prövningsmekanism inom ramen för dekret 14086, kompletterad med justitieministerns förordning om inrättande av dataskyddsdomstolen, för att hantera och lösa klagomål från enskilda som rör underrättelseverksamhet avseende amerikansk signalunderrättelseverksamhet. Alla enskilda personer i EU har rätt att lämna in klagomål till prövningsmekanismen avseende påstådda överträdelser av amerikansk lagstiftning som reglerar underrättelseverksamhet (t.ex. dekret 14086, avsnitt 702 Fisa, dekret 12333) som inverkar negativt på deras intressen rörande integritetsskydd och medborgerliga friheter (347). Denna prövningsmekanism är tillgänglig för personer från länder eller regionala organisationer för ekonomisk integration som av Förenta staternas justitieminister har utsetts till ”godkända stater” (348). Den 30 juni 2023 utsågs Europeiska unionen och de tre stater i Europeiska frihandelssammanslutningen som tillsammans utgör Europeiska ekonomiska samarbetsområdet av justitieministern i enlighet med avsnitt 3(f) i dekret 14086 till ”godkänd stat” (349). Denna utnämning påverkar inte tillämpningen av artikel 4.2 i fördraget om Europeiska unionen.

(177)

En registrerad i unionen som vill lämna in ett sådant klagomål måste lämna in det till en tillsynsmyndighet i en EU-medlemsstat som är behörig att övervaka offentliga myndigheters (dataskyddsmyndigheters) behandling av personuppgifter (350). Detta säkerställer enkel tillgång till prövningsmekanismen genom att göra det möjligt för enskilda att vända sig till en myndighet ”på hemmaplan” och med vilken de kan kommunicera på sitt eget språk. Efter det att de krav för att lämna in ett klagomål som avses i skäl 178 har kontrollerats kommer den behöriga dataskyddsmyndigheten att via Europeiska dataskyddsstyrelsens sekretariat skicka klagomålet vidare till prövningsmekanismen.

(178)

Formkraven för att föra fram klagomål till prövningsmekanismen är låga, eftersom enskilda personer inte behöver visa att deras uppgifter faktiskt har varit föremål för amerikansk underrättelseverksamhet (351). För att tillhandahålla en utgångspunkt för prövningsmekanismen för att genomföra en översyn måste samtidigt vissa grundläggande uppgifter tillhandahållas, t.ex. om de personuppgifter som rimligen kan antas ha överförts till Förenta staterna och de sätt på vilka de ansågs ha överförts, identiteterna för de amerikanska statliga enheter som anses vara inblandade i den påstådda överträdelsen (om de är kända), grunden för att hävda att en överträdelse av amerikansk rätt har ägt rum (även om detta inte heller kräver uppvisande av att personuppgifter faktiskt samlades in av amerikanska underrättelsemyndigheter) och vilken typ av lättnad som eftersträvas.

(179)

Den första utredningen av klagomål till denna prövningsmekanism utförs av ODNI CLPO, vars befintliga lagstadgade roll och befogenheter har utökats för de särskilda åtgärder som vidtagits enligt dekret 14086 (352). Inom underrättelsegemenskapen är CLPO bland annat ansvarigt för att säkerställa att skyddet av medborgerliga friheter samt privatlivet på lämpligt sätt införlivas i den nationella underrättelsetjänstens och underrättelsemyndigheternas politik och förfaranden, övervaka den nationella underrättelsetjänstens efterlevnad av tillämpliga medborgerliga friheter samt integritetskrav, och genomföra konsekvensbedömningar avseende integritetsskydd (353). ODNI CLPO kan endast avsättas av direktören för den nationella underrättelsetjänsten på grund av sakförhållanden, dvs. vid försummelse, missförhållanden, säkerhetsöverträdelser, försummelse av plikt eller oförmåga (354).

(180)

Vid sin översyn har ODNI CLPO tillgång till informationen för sin bedömning och kan förlita sig på den obligatoriska assistansen från tjänstemän med ansvar för privatliv och medborgerliga fri- och rättigheter vid de olika underrättelsemyndigheterna (355). Underrättelsemyndigheter är förbjudna att hindra eller otillbörligt påverka ODNI CLPO:s granskningar. Detta inbegriper direktören för den nationella underrättelsetjänsten som inte får ingripa i översynen (356). Vid granskningen av ett klagomål måste ODNI CLPO ”tillämpa lagen opartiskt”, med beaktande av både nationella säkerhetsintressen i signalunderrättelseverksamhet och integritetsskydd (357).

(181)

ODNI CLPO avgör inom ramen för sin översyn om en överträdelse av tillämplig amerikansk lag har ägt rum och beslutar, om så är fallet, om en lämplig avhjälpande åtgärd (358). Den senare avser åtgärder som fullt ut åtgärdar en identifierad överträdelse, såsom att avsluta olagligt förvärv av uppgifter, radera olagligt insamlade uppgifter, radera resultaten av olämpligt utförda förfrågningar om i övrigt lagligt insamlade uppgifter, begränsa tillgången till lagligt insamlade uppgifter till lämpligt utbildad personal eller återkalla underrättelserapporter som innehåller uppgifter som förvärvats utan lagligt tillstånd eller som spridits på ett olagligt sätt (359). ODNI CLPO:s beslut om enskilda klagomål (inbegripet om avhjälpande åtgärder) är bindande för berörda underrättelsemyndigheter (360).

(182)

ODNI CLPO måste upprätthålla dokumentation om sin översyn och ta fram ett säkerhetsskyddsklassificerat beslut som förklarar grunden för de faktiska resultaten, fastställandet av huruvida en överträdelse som omfattas av beslutet har ägt rum och fastställandet av lämpliga avhjälpande åtgärder (361). Om ODNI CLPO:s granskning avslöjar en överträdelse av en myndighet som är föremål för tillsyn av FISC måste CLPO också lämna en sekretessbelagd rapport till den biträdande justitieministern för nationell säkerhet, som i sin tur enligt en skyldighet att rapportera den bristande efterlevnaden till FISC, som kan vidta ytterligare verkställighetsåtgärder (i enlighet med det förfarande som beskrivs i skälen 173–174) (362).

(183)

När översynen har slutförts informerar ODNI CLPO den klagande, via den nationella myndigheten, om att antingen inga överträdelser som omfattas konstaterats eller att ODNI CLPO utfärdat ett beslut som kräver lämplig avhjälpande (363). Detta gör det möjligt att skydda sekretessen för den verksamhet som bedrivs för att skydda den nationella säkerheten, samtidigt som enskilda personer får ett beslut som bekräftar att deras klagomål har undersökts och avkunnats på vederbörligt sätt. Detta beslut kan dessutom bestridas av den enskilde. I detta syfte kommer vederbörande att informeras om möjligheten att överklaga till dataskyddsdomstolen för en översyn av CLPO:s avgöranden (se skälen 184 ff.) och att en särskild försvarare kommer att väljas ut för att försvara klagandens intressen om fallet tas upp i domstol (364).

(184)

Varje klagande och varje del av underrättelsegemenskapen kan begära en översyn av ODNI CLPO:s beslut inför dataskyddsdomstolen. Sådana ansökningar om prövning måste lämnas in inom 60 dagar efter mottagandet av anmälan från ODNI CLPO om att prövningen är fullständig och innehålla all information som den enskilde önskar lämna till dataskyddsdomstolen (t.ex. argument om rättsliga frågor eller tillämpning av lag på sakförhållandena i ärendet) (365). Registrerade i unionen får på nytt lämna in sina ansökningar till den behöriga dataskyddsmyndigheten (se skäl 177).

(185)

Dataskyddsdomstolen är en oberoende domstol som inrättats av justitieministern på grundval av dekret 14086 (366). Den består av minst sex domare som utses av justitieministern i samråd med PCLOB, handelsministern och direktören för den nationella underrättelsetjänsten för en period på fyra år med möjlighet till förlängning (367). Att justitieministern utnämner domare beror på de kriterier som används av den verkställande avdelningen vid bedömningen av kandidater till det federala rättsväsendet, vilket ger vikt åt eventuell tidigare rättslig erfarenhet (368). Dessutom måste domarna vara rättstillämpare (dvs. aktiva medlemmar med god ställning i advokatsamfundet och vederbörliga licenser för att utföra juristyrket) och ha lämplig erfarenhet av integritets- och nationell säkerhetslagstiftning. Justitieministern måste sträva efter att säkerställa att minst hälften av domarna vid varje given tidpunkt har tidigare rättslig erfarenhet och alla domare måste ha säkerhetsgodkännande för att kunna få tillgång till säkerhetsskyddsklassificerade nationella säkerhetsuppgifter (369).

(186)

Endast personer som uppfyller de kvalifikationer som nämns i skäl 185 och som inte är anställda vid den verkställande avdelningen vid tidpunkten för deras utnämning eller under de föregående två åren kan utnämnas till dataskyddsdomstolen. På samma sätt får domarna under sin mandatperiod vid dataskyddsdomstolen inte ha några officiella uppgifter eller anställningar inom den amerikanska regeringen (förutom som domare vid dataskyddsdomstolen) (370).

(187)

Avgörandeprocessens oberoende uppnås genom ett antal garantier. I synnerhet förbjuds den verkställande avdelningen (justitieministern och underrättelsemyndigheterna) från att ingripa i eller otillbörligt påverka dataskyddsdomstolens översyn (371). Dataskyddsdomstolen själv är skyldig att opartiskt avgöra ärenden (372) och arbetar i enlighet med sin egen arbetsordning (antagen genom majoritetsomröstning). Domare i dataskyddsdomstolen får dessutom endast avsättas av justitieministern och endast på grund av sakförhållanden (dvs. försummelse, missförhållanden, säkerhetsöverträdelser, försummelse av plikt eller oförmåga) efter att vederbörligen ha beaktat de normer som gäller för federala domare i enlighet med reglerna för processer avseende rättsligt utövande och rättslig oförmåga (373).

(188)

Ansökningar till dataskyddsdomstolen granskas av paneler med tre domare, däribland en ordförande, som måste agera i enlighet med uppförandekoden för amerikanska domare (374). Varje panel biträds av en särskild advokat (375) som har tillgång till alla uppgifter i ärendet, inklusive sekretessbelagda uppgifter (376). Den särskilda representantens roll är att se till att klagandens intressen företräds och att panelen vid dataskyddsdomstolen är väl informerad om alla relevanta rättsliga och faktiska frågor (377). För att ytterligare underbygga sin ståndpunkt om en ansökan från en enskild person om prövning till dataskyddsdomstolen kan den särskilda advokaten begära information från klaganden genom skriftliga frågor (378).

(189)

Dataskyddsdomstolen granskar ODNI CLPO:s avgöranden (såväl överträdelsen av tillämplig amerikansk lagstiftning som den lämpliga avhjälpande åtgärden) på grundval av, åtminstone, ODNI CLPO:s utredning samt alla eventuella uppgifter och inlagor som inkommit från klaganden, den särskilda advokaten eller en underrättelsemyndighet (379). En panel vid dataskyddsdomstolen har tillgång till all information som krävs för att genomföra en översyn, som den kan få genom ODNI CLPO (panelen kan t.ex. vid behov begära att CLPO kompletterar sitt register med ytterligare information eller faktaresultat för att genomföra översynen) (380).

(190)

När översynen avslutas får dataskyddsdomstolen 1) besluta att det inte finns några belägg för att underrättelseverksamhet som inbegriper klagandens personuppgifter har ägt rum, 2) besluta att ODNI CLPO:s avgöranden var rättsligt korrekta och styrkta med väsentlig bevisning, eller 3) om dataskyddsdomstolen inte samtycker till ODNI CLPO:s avgöranden (oavsett om det skett en överträdelse av tillämplig amerikansk lagstiftning eller den lämpliga avhjälpande åtgärden) utfärda sina egna beslut (381).

(191)

I samtliga fall antar dataskyddsdomstolen ett skriftligt beslut med majoritet. Om granskningen avslöjar en överträdelse av de tillämpliga reglerna kommer beslutet att specificera alla lämpliga avhjälpande åtgärder, som inbegriper radering av olagligt insamlade uppgifter, radering av resultaten av olämpligt utförda förfrågningar, begränsning av tillgången till lagligt insamlade uppgifter till lämpligt utbildad personal eller återkallande av underrättelserapporter som innehåller uppgifter som förvärvats utan lagligt tillstånd eller som spridits olagligt (382). Dataskyddsdomstolen beslut är bindande och slutgiltigt med avseende på klagomålet (383). Om granskningen avslöjar en överträdelse av en myndighet som är föremål för tillsyn av FISC måste dataskyddsdomstolen också lämna en sekretessbelagd rapport till den biträdande justitieministern för nationell säkerhet, som i sin tur enligt en skyldighet att rapportera den bristande efterlevnaden till FISC, som kan vidta ytterligare verkställighetsåtgärder (i enlighet med det förfarande som beskrivs i skälen 173–174) (384).

(192)

Varje beslut av en panel vid dataskyddsdomstolen översänds till ODNI CLPO (385). I fall där dataskyddsdomstolens översyn utlöstes av en ansökan från klaganden underrättas klaganden genom den nationella myndigheten om att dataskyddsdomstolen slutfört sin översyn och att man vid översynen antingen inte identifierade några överträdelser som omfattades eller att dataskyddsdomstolen utfärdade ett beslut som krävde lämplig avhjälpande åtgärd (386). Justitieministeriets kansli för register över all information som granskas av dataskyddsdomstolen och alla utfärdade beslut, vilka görs tillgängliga för behandling som icke-bindande prejudikat för framtida paneler i dataskyddsdomstolen (387).

(193)

Handelsministeriet måste också registerföra varje klagande som har lämnat in ett klagomål (388). För att öka insynen måste handelsministeriet minst vart femte år kontakta relevanta underrättelsemyndigheter för att kontrollera om sekretessen har hävts för information som rör en översyn utförd av dataskyddsdomstolen (389). Om så är fallet kommer personen att underrättas om att sådan information kan finnas tillgänglig enligt tillämplig lag (dvs. att personen kan begära tillgång till informationen enligt lagen om informationsfrihet, se skäl 199).

(194)

Slutligen kommer denna prövningsmekanisms korrekta funktion att utvärderas regelbundet och oberoende. Enligt dekret 14086 är prövningsmekanismens funktion föremål för årlig översyn av PCLOB, ett oberoende organ (se skäl 110) (390). Som en del av denna översyn kommer PCLOB bland annat att bedöma huruvida ODNI CLPO och dataskyddsdomstolen har behandlat klagomål i god tid, huruvida de har fått fullständig tillgång till nödvändig information, huruvida de materiella skyddsåtgärderna enligt dekret 14086 har beaktats korrekt i översynsprocessen, och huruvida underrättelsegemenskapen till fullo har följt de beslut som fattats av ODNI CLPO och dataskyddsdomstolen. PCLOB kommer att utarbeta en rapport om resultatet av sin översyn till ordföranden, justitieministern, direktören för den nationella underrättelsetjänsten, cheferna för underrättelsemyndigheterna, ODNI CLPO och kongressens underrättelsekommittéer, som också kommer att offentliggöras i en icke-sekretessbelagd version – och som i sin tur kommer att bidra till den regelbundna översynen av hur detta beslut fungerar, som kommer att genomföras av kommissionen. Justitieministern, direktören för den nationella underrättelsetjänsten, ODNI CLPO och cheferna för underrättelsemyndigheterna är skyldiga att genomföra eller på annat sätt följa alla rekommendationer i sådana rapporter. Dessutom kommer PCLOB att göra en årlig offentlig certifiering av huruvida prövningsmekanismen behandlar klagomål i enlighet med kraven i dekret 14086.

(195)

Utöver den särskilda prövningsmekanism som inrättats enligt dekret 14086 finns möjligheter till prövning för alla personer (oavsett nationalitet eller bosättningsort) vid vanliga domstolar i Förenta staterna (391).

(196)

I synnerhet ger Fisa och en tillhörande stadga möjlighet för enskilda att åberopa civilrättsliga grunder för skadestånd mot Förenta staterna när information om dem har använts eller lämnats ut på ett olagligt och medvetet sätt (392), stämma amerikanska regeringstjänstemän som agerar i egenskap av privatpersoner för penningskador (393), och att bestrida lagenligheten i övervakningen (och begära att informationen hemlighålls) i den händelse Förenta staternas regering har för avsikt att använda eller lämna ut information som har erhållits eller härrör från elektronisk övervakning mot den enskilde i rättsliga eller administrativa förfaranden i Förenta staterna (394). Mer allmänt, om regeringen avser att använda information som erhållits vid underrättelseverksamhet mot en misstänkt i ett brottmål, införs genom konstitutionella och lagstadgade krav (395) skyldigheter att lämna ut viss information så att den tilltalade kan bestrida lagligheten i regeringens insamling och användning av bevis.

(197)

Dessutom finns det flera specifika sätt att väcka talan mot regeringstjänstemän för myndigheters olagliga tillgång till eller användning av personuppgifter, även för ändamål som påstås röra den nationella säkerheten (dvs. lagen om datorbedrägeri, Computer Fraud and Abuse Act (396), lagen om elektronisk brevhemlighet (Electronic Communications Privacy Act (397)) och lagen om integritetsskydd för finansiella uppgifter (Right to Financial Privacy Act (398)). Alla dessa rättsliga åtgärder rör specifika uppgifter, mål och/eller typer av åtkomst (t.ex. fjärråtkomst till en dator via internet) och får åberopas på vissa villkor (t.ex. avsiktligt/uppsåtligt agerande, agerande utanför officiell behörighet, liden skada).

(198)

En mer allmän möjlighet till rättslig prövning finns i förvaltningsprocesslagen (399) (Administrative Procedure Act) enligt vilken en person som felaktigt drabbats av rättsliga åtgärder till följd av ett organs agerande eller som skadats eller förfördelats till följd av ett organs agerande, har rätt att söka rättslig prövning (400). Detta inbegriper möjligheten att be domstolen att hejda olagliga åtgärder och upphäva en myndighets åtgärder samt avgöranden och slutsatser som anses vara godtyckliga och nyckfulla, innebära maktmissbruk eller på annat sätt vara oförenliga med lagstiftningen (401). En federal appellationsdomstol slog till exempel i ett anspråk enligt förvaltningsprocesslagen 2015 fast att den amerikanska regeringens bulkinsamling av telefonimetadata inte var tillåten enligt § 501 i Fisa (402).

(199)

Förutom de möjligheter till prövning som nämns i skälen 176–198 har en enskild person slutligen rätt att söka åtkomst till federala myndigheters befintliga register enligt FOIA, även när dessa innehåller personens personuppgifter (403). Att få sådan åtkomst kan också göra det lättare att väcka talan vid allmänna domstolar, och även vara till stöd för att visa sin ställning. Myndigheterna kan undanhålla information som omfattas av vissa angivna undantag, däribland åtkomst till sekretessbelagda nationella säkerhetsuppgifter och information om brottsutredningar (404), men klagande som är missnöjda med ett svar har möjlighet att bestrida det genom att begära administrativ och senare rättslig prövning (vid federala domstolar) (405).

(200)

Av ovanstående följer att när amerikanska brottsbekämpande myndigheter eller nationella säkerhetsmyndigheter får åtkomst till personuppgifter som omfattas av detta beslut regleras sådan åtkomst av en rättslig ram som fastställer villkoren för åtkomst och säkerställer att åtkomst och vidare användning av uppgifterna begränsas till vad som är nödvändigt och står i proportion till det mål som eftersträvas avseende allmänhetens intresse. Dessa skyddsåtgärder kan åberopas av enskilda personer som åtnjuter effektiva rättsmedel.

(201)

Kommissionen anser att Förenta staterna – genom de principer som utfärdats av Förenta staternas handelsministerium – säkerställer en skyddsnivå för personuppgifter som överförs från EU till certifierade organisationer i Förenta staterna enligt för ramen för dataskydd mellan EU och Förenta staterna som i huvudsak motsvarar den som garanteras genom förordning (EU) 2016/679.

(202)

Kommissionen anser dessutom att en effektiv tillämpning av principerna garanteras av insynsskyldigheten och handelsministeriets förvaltning av dataskyddsramen. Dessutom gör tillsynsmekanismerna och möjligheterna till prövning i amerikansk rätt, på det hela taget, det möjligt att i praktiken identifiera och bestraffa överträdelser av dataskyddsreglerna och erbjuda de registrerade rättsmedel för att få tillgång till personuppgifter som rör dem och, så småningom, rättelse eller radering.

(203)

På grundval av tillgängliga uppgifter om den amerikanska rättsordningen, bl.a. informationen i bilagorna VI och VII, anser kommissionen att sydkoreanska myndigheters eventuella intrång i de grundläggande rättigheterna för enskilda vilkas personuppgifter överförs från EU till Förenta staterna enligt dataskyddsramen mellan EU och Förenta staterna för allmännyttiga ändamål, särskilt i straffrättsliga syften som rör brottsbekämpning och den nationella säkerheten, kommer att vara begränsade till vad som är absolut nödvändigt för att uppnå det legitima målet i fråga, och att det finns ett faktiskt rättsligt skydd mot sådant intrång. Mot bakgrund av ovanstående bör det därför beslutas att Förenta staterna säkerställer en adekvat skyddsnivå i den mening som avses i artikel 45 i förordning (EU) 2016/679, tolkad mot bakgrund av EU-stadgan om de grundläggande rättigheterna, för personuppgifter som överförs från EU till organisationer som är certifierade enligt ramen för dataskydd mellan EU och Förenta staterna.

(204)

Med tanke på att de begränsningar, de skyddsåtgärder och den prövningsmekanism som inrättats genom dekret 14086 utgör väsentliga inslag i den amerikanska rättsliga ram som ligger till grund för kommissionens bedömning, grundar sig antagandet av detta beslut särskilt på antagandet av uppdaterade strategier och förfaranden för genomförande av dekret 14086 inom alla underrättelsemyndigheter i Förenta staterna och utnämningen av unionen som en kvalificerande organisation för prövningsmekanismen som har ägt rum den 3 juli 2023 (se skäl 126) respektive den 30 juni 2023 (se skäl 176).

(205)

Medlemsstaterna och deras organ åläggs att vidta erforderliga åtgärder för att efterleva EU-institutionernas rättsakter, eftersom dessa antas vara giltiga och därmed ha rättsverkan så länge de inte har återkallats eller förklarats ogiltiga enligt en talan om ogiltigförklaring eller till följd av en begäran om förhandsavgörande eller invändning om rättsstridighet.

(206)

Ett beslut om adekvat skyddsnivå som antas av kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 är följaktligen bindande för alla organ i medlemsstaterna som det riktar sig till, också för deras oberoende tillsynsmyndigheter. I synnerhet får överföringar från personuppgiftsansvariga eller personuppgiftsbiträden i EU till certifierade organisationer i Förenta staterna äga rum utan ytterligare tillstånd.

(207)

Det bör erinras om att enligt artikel 58.5 i förordning (EU) 2016/679, och såsom domstolen förklarade i Schrems-domen (406), ska en nationell dataskyddsmyndighet, även vid klagomål, ifrågasätta huruvida ett kommissionsbeslut om adekvat skyddsnivå är förenligt med den enskildas grundläggande rätt till integritet och skydd av personuppgifter och därför måste den nationella lagstiftningen innehålla ett rättsmedel för att framföra dessa invändningar till en nationell domstol som kan vara skyldig att begära ett förhandsavgörande från EU-domstolen (407).

(208)

Enligt domstolens rättspraxis (408), och som erkänts i artikel 45.4 i förordning (EU) 2016/679, bör kommissionen fortlöpande övervaka relevant utveckling i tredjelandet efter antagandet av ett beslut om adekvat skyddsnivå för att bedöma huruvida tredjelandet fortfarande säkerställer en väsentligen likvärdig skyddsnivå. En sådan kontroll krävs i alla händelser när kommissionen får information som ger upphov till motiverat tvivel i detta hänseende.

(209)

Kommissionen bör därför fortlöpande övervaka situationen i Förenta staterna när det gäller den rättsliga ram och den faktiska praxis för behandling av personuppgifter som bedöms i detta beslut. För att underlätta denna övervakning bör de amerikanske myndigheterna omgående informera kommissionen om den materiella utvecklingen av den amerikanska rättsordningen som påverkar den rättsliga ram som är föremål för detta beslut, liksom om eventuella förändringar av praxis i samband med behandling av personuppgifter som bedöms i detta beslut, både vad gäller certifierade organisationers behandling av personuppgifter i Förenta staterna och de begränsningar och skyddsåtgärder som är tillämpliga på myndigheters tillgång till personuppgifter.

(210)

För att kommissionen ska kunna utföra sin övervakningsfunktion på ett effektivt sätt bör medlemsstaterna dessutom informera kommissionen om alla relevanta åtgärder som vidtas av de nationella dataskyddsmyndigheterna, särskilt när det gäller förfrågningar eller klagomål från registrerade i EU om överföring av personuppgifter från EU till certifierade organisationer i Förenta staterna. Kommissionen bör även underrättas om eventuella indikationer på att åtgärder som vidtas av amerikanska myndigheter med ansvar för att förebygga, utreda, avslöja eller lagföra brott, eller med hänvisning till den nationella säkerheten, däribland eventuella tillsynsorgan, inte kan garantera den erforderliga skyddsnivån.

(211)

I enlighet med artikel 45.3 i förordning (EU) 2016/679 (409) bör kommissionen, efter antagandet av detta beslut, regelbundet se över huruvida de slutsatser som rör lämpligheten av den skyddsnivå som Förenta staterna säkerställer inom ramen för dataskyddsramen mellan EU och Förenta staterna fortfarande är sakligt och rättsligt motiverade. Eftersom i synnerhet dekret 14086 och justitieministerns förordning kräver att nya mekanismer inrättas och att nya skyddsåtgärder genomförs, bör detta beslut bli föremål för en första översyn inom ett år efter dess ikraftträdande, för att kontrollera om alla relevanta delar har genomförts fullt ut och fungerar effektivt i praktiken. Efter den första översynen, och beroende på resultatet av denna, kommer kommissionen att i nära samråd med den kommitté som inrättats enligt artikel 93.1 i förordning (EU) 2016/679 och Europeiska dataskyddsstyrelsen besluta om hur ofta framtida översyner ska ske (410).

(212)

För att genomföra översynerna bör kommissionen sammanträda med handelsministeriet, federala konkurrensmyndigheten och transportministeriet, vid behov tillsammans med andra ministerium och myndigheter som deltar i genomförandet av dataskyddsramen mellan EU och Förenta staterna samt, i frågor som rör myndigheternas tillgång till uppgifter, företrädare för justitieministeriet, den nationella underrättelsetjänsten (inbegripet CLPO), andra underrättelsegemenskapselement, dataskyddsdomstolen och de särskilda advokaterna. Deltagande i mötet bör vara öppet för företrädare för ledamöterna i Europeiska dataskyddsstyrelsen.

(213)

Översynerna bör omfatta alla aspekter av tillämpningen av detta beslut vad gäller behandlingen av personuppgifter i Förenta staterna, i synnerhet tillämpningen av och genomförandet av principerna (med särskild uppmärksamhet på det skydd som erbjuds i fall av vidare överföring), utveckling av rättspraxis på området, hur effektivt utövandet av individuella rättigheter är, övervakning och kontroll av efterlevnaden av principerna, samt begränsningar och skyddsåtgärder när det gäller myndigheters tillgång, i synnerhet genomförandet och tillämpningen av de skyddsåtgärder som infördes genom dekret 14086, bland annat genom policyer och förfaranden som utarbetats av underrättelsemyndigheter, samspelet mellan dekret 14086 och avsnitt 702 Fisa samt dekret 12333, och effektiviteten i tillsynsmekanismerna och möjligheterna till prövning (inklusive funktionen hos den nya prövningsmekanism som inrättats enligt dekret 14086). I samband med sådana översyner kommer vikt också att fästas vid samarbete mellan dataskyddsmyndigheterna och Förenta staternas behöriga myndigheter, inbegripet framtagning av vägledning och andra tolkningsverktyg för tillämpningen av principerna samt andra aspekter av ramens funktion.

(214)

På grundval av översynen ska kommissionen utarbeta en offentlig rapport som ska överlämnas till Europaparlamentet och rådet.

(215)

Om tillgänglig information, särskilt information från övervakningen av detta beslut eller från Förenta staternas eller medlemsstaternas myndigheter, visar att den skyddsnivå som ges för uppgifter som överförs enligt detta beslut kanske inte längre är adekvat, bör kommissionen informera de behöriga amerikanska myndigheterna om detta och begära att lämpliga åtgärder vidtas inom en angiven, rimlig tidsram.

(216)

Om de behöriga amerikanska myndigheterna vid utgången av den angivna tidsfristen underlåter att vidta dessa åtgärder eller på annat tillfredsställande sätt visar att detta beslut fortfarande bygger på en adekvat skyddsnivå, kommer kommissionen att inleda det förfarande som avses i artikel 93.2 i förordning (EU) 2016/679 i syfte att helt eller delvis upphäva eller återkalla detta beslut.

(217)

Alternativt kommer kommissionen att inleda förfarandet i syfte att ändra beslutet, särskilt genom att underställa överföringar av uppgifter ytterligare villkor eller genom att begränsa räckvidden för konstaterandet om adekvat skyddsnivå endast till uppgiftsöverföringar för vilka en adekvat skyddsnivå fortfarande säkerställs.

(218)

Kommissionen bör i synnerhet inleda förfarandet för upphävande eller återkallande i följande fall:

(219)

Kommissionen bör också överväga att inleda ett förfarande som leder till ändring, upphävande eller återkallande av detta beslut, om behöriga amerikanska myndigheter underlåter att tillhandahålla den information eller de klargöranden som är nödvändiga för bedömningen av skyddsnivån för personuppgifter som överförs från EU till Förenta staterna och i överensstämmelse med detta beslut. I detta avseende bör kommissionen beakta i vilken utsträckning de relevanta uppgifterna kan erhållas från andra källor.

(220)

Vid vederbörligen motiverade och tvingande skäl till skyndsamhet, t.ex. om dekret 14086 eller justitieministerns förordning skulle ändras på ett sätt som undergräver den skyddsnivå som beskrivs i detta beslut eller om justitieministerns utnämning av unionen som en kvalificerande organisation för prövningsmekanismen återkallas, kommer kommissionen att utnyttja möjligheten att i enlighet med det förfarande som avses i artikel 93.3 i förordning (EU) 2016/679 anta genomförandeakter som upphäver, återkallar eller ändrar detta beslut.

(221)

Europeiska dataskyddsstyrelsen offentliggjorde sitt yttrande (411), vilket har beaktats vid utarbetandet av detta beslut.

(222)

Europaparlamentet antog en resolution om huruvida ett adekvat skydd säkerställs genom ramen för dataskydd mellan EU och Förenta staterna (412).

(223)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats i enlighet med artikel 93.1 i förordning (EU) 2016/679.