(Tekst mający znaczenie dla EOG)
(Dz.U.UE L z dnia 20 września 2023 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 1 , w szczególności jego art. 45 ust. 3,
a także mając na uwadze, co następuje:
1. WPROWADZENIE
(1) W rozporządzeniu (UE) 2016/679 2 określono zasady dotyczące przekazywania danych osobowych przez administratorów lub podmioty przetwarzające w Unii do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych określono w rozdziale V tego rozporządzenia. Chociaż przepływ danych osobowych do państw spoza Unii Europejskiej oraz z takich państw jest niezbędnym warunkiem rozwoju handlu transgranicznego i współpracy międzynarodowej, przekazywanie danych osobowych państwom trzecim i organizacjom międzynarodowym nie może obniżać stopnia ochrony zapewnianego tym danym w Unii 3 .
(2) Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim zapewniają odpowiedni stopień ochrony. Przy spełnieniu tego warunku przekazywanie danych osobowych do państwa trzeciego może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia, jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia (UE) 2016/679.
(3) Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego, obejmującej zarówno jego przepisy dotyczące podmiotów odbierających dane, jak i ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych. W swojej ocenie Komisja musi ustalić, czy dane państwo trzecie daje gwarancje zapewniające stopień ochrony "zasadniczo odpowiadający" stopniowi ochrony zapewnianemu w Unii (motyw 104 rozporządzenia (UE) 2016/679). To, czy tak jest w istocie, należy oceniać w świetle przepisów Unii, w szczególności rozporządzenia (UE) 2016/679, a także orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (Trybunał Sprawiedliwości) 4 .
(4) Jak wyjaśnił Trybunał Sprawiedliwości w swoim wyroku z dnia 6 października 2015 r. w sprawie C-362/14, Maximillian Schrems/Data Protection Commissioner 5 (Schrems), nie oznacza to konieczności stwierdzenia identycznego stopnia ochrony. W szczególności środki, z których korzysta dane państwo trzecie do zapewnienia ochrony danych osobowych, mogą różnić się od środków stosowanych w Unii, o ile w praktyce skutecznie zapewniają odpowiedni stopień ochrony 6 . Odpowiedni standard ochrony nie wymaga zatem dokładnego powielenia przepisów unijnych. Przy określaniu odpowiedniości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do prywatności oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, dany zagraniczny system zapewnia jako całość wymagany stopień ochrony 7 . Ponadto zgodnie z tym wyrokiem przy stosowaniu tego standardu Komisja powinna w szczególności ocenić, czy ramy prawne danego państwa trzeciego zawierają reguły służące do ograniczenia ingerencji w prawa podstawowe osób, których dane zostały przekazane z Unii, których to ingerencji organy państwowe tego kraju mogłyby dokonywać przy okazji dążenia do realizacji uzasadnionego prawem celu, takiego jak bezpieczeństwo narodowe, oraz czy zapewniają skuteczną ochronę prawną przed ingerencjami tego rodzaju 8 . Wytyczne w tym zakresie zawiera również dokument w sprawie odpowiedniego stopnia ochrony Europejskiej Rady Ochrony Danych, który ma na celu dalsze wyjaśnienie tego standardu 9 .
(5) Standard obowiązujący w odniesieniu do takiej ingerencji w podstawowe prawa do prywatności i ochrony danych został doprecyzowany przez Trybunał Sprawiedliwości w wyroku z dnia 16 lipca 2020 r. w sprawie C-311/18, Data Protection Commissioner/Facebook Ireland Limited i Maximillian Schrems (Schrems II), w którym unieważniono decyzję wykonawczą Komisji (UE) 2016/1250 10 w sprawie dawnych ram dotyczących transatlantyckich przepływów danych, Tarczy Prywatności UE-USA (Tarcza Prywatności). Trybunał Sprawiedliwości uznał, że ograniczenia ochrony danych osobowych, które wynikają z wewnętrznych regulacji Stanów Zjednoczonych dotyczących dostępu i wykorzystywania przez organy amerykańskich władz publicznych takich przekazywanych z Unii do Stanów Zjednoczonych danych do celów ochrony bezpieczeństwa narodowego nie stanowią uregulowania tych ograniczeń w sposób odpowiadający wymogom merytorycznie równoważnym tym ustanowionym w prawie Unii w odniesieniu do konieczności i proporcjonalności takich ingerencji w prawo do ochrony danych 11 . Trybunał Sprawiedliwości uznał również, że nie było możliwości podniesienia środka odwoławczego przed organem oferującego osobom, których dane są przekazywane do Stanów Zjednoczonych, zabezpieczenia merytorycznie równoważne tym wymaganym w art. 47 karty dotyczącym prawa do skutecznego środka odwoławczego 12 .
(6) W następstwie wyroku w sprawie Schrems II Komisja rozpoczęła rozmowy z rządem Stanów Zjednoczonych w celu ewentualnego przyjęcia nowej decyzji stwierdzającej odpowiedni stopień ochrony, która spełniałaby wymogi określone w art. 45 ust. 2 rozporządzenia (UE) 2016/679, zgodnie z wykładnią Trybunału Sprawiedliwości. W wyniku przeprowadzonych rozmów Stany Zjednoczone przyjęły w dniu 7 października 2022 r. rozporządzenie wykonawcze 14086 w sprawie wzmocnienia zabezpieczeń na potrzeby amerykańskich działań w zakresie rozpoznania radioelektronicznego (rozporządzenie wykonawcze 14086), które jest uzupełnione zarządzeniem w sprawie Sądu Odwoławczego ds. Ochrony Danych wydanym przez prokuratora generalnego USA (zarządzenie prokuratora generalnego) 13 . Zaktualizowano ponadto ramy ochrony danych UE-USA (DPF UE-USA lub DPF) - ramy mające zastosowanie do podmiotów komercyjnych przetwarzających dane przekazywane z Unii na podstawie niniejszej decyzji.
(7) Komisja uważnie przeanalizowała prawo i praktykę Stanów Zjednoczonych, w tym rozporządzenie wykonawcze 14086 i zarządzenie prokuratora generalnego. W oparciu o ustalenia przedstawione w motywach 9-200 Komisja stwierdza, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych zgodnie z DPF UE-USA przez administratora lub podmiot przetwarzający w Unii 14 certyfikowanym podmiotom w Stanach Zjednoczonych.
(8) Niniejsza decyzja skutkuje tym, że przekazywanie danych osobowych przez administratorów i podmioty przetwarzające w Unii 15 certyfikowanym podmiotom w Stanach Zjednoczonych może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia. Nie ma ona wpływu na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do takich podmiotów, jeżeli spełnione są warunki dotyczące terytorialnego zakresu stosowania tego rozporządzenia, określone w jego art. 3.
2. RAMY OCHRONY DANYCH UE-USA
2.1. Zakres podmiotowy i przedmiotowy
2.1.1. Podmioty certyfikowane
(9) DPF UE-USA opierają się na systemie certyfikacji, zgodnie z którym amerykańskie podmioty zobowiązują się przestrzegać zbioru zasad ochrony prywatności - "zasad ramowych ochrony danych UE-USA", w tym zasad uzupełniających (zwanych dalej łącznie: "zasadami") - wydanych przez Departament Handlu Stanów Zjednoczonych (DoC) i zawartych w załączniku I do niniejszej decyzji 16 . Aby kwalifikować się do certyfikacji zgodnie z DPF UE-USA, podmiot musi respektować uprawnienia Federalnej Komisji Handlu (FTC) lub Departamentu Transportu Stanów Zjednoczonych (DoT) w zakresie prowadzenia dochodzeń i egzekwowania prawa 17 . Zasady mają zastosowanie niezwłocznie po certyfikacji. Jak wyjaśniono szczegółowo w motywach 48-52, podmioty objęte DPF UE-USA są zobowiązane do corocznego dokonywania ponownej certyfikacji potwierdzającej ich zobowiązanie do przestrzegania zasad 18 .
2.1.2. Definicja danych osobowych i pojęć administratora i "przedstawiciela"
(10) Ochrona zapewniana zgodnie z DPF UE-USA ma zastosowanie do wszystkich danych osobowych, które zostały przekazane z Unii do podmiotów w USA, które przyjęły zasady w drodze certyfikacji w DoC, z wyjątkiem danych gromadzonych w celu ich publikacji w prasie, radiu lub telewizji albo w innej formie publicznego rozpowszechnienia materiału dziennikarskiego oraz informacji w uprzednio opublikowanym materiale rozpowszechnionym z archiwów środków masowego przekazu 19 . Takich danych nie można zatem przekazywać na podstawie DPF UE-USA.
(11) W zasadach dane osobowe zdefiniowano w taki sam sposób jak w rozporządzeniu (UE) 2016/679, tj. jako "dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, wchodzące w zakres RODO, otrzymane z UE przez podmiot w Stanach Zjednoczonych i zapisane w dowolnej formie" 20 . W związku z tym obejmują one również spseudonimizowane (lub "kodowane za pomocą klucza") dane badawcze (również w przypadku, gdy klucz nie jest udostępniany amerykańskiemu podmiotowi otrzymującemu dane) 21 . Podobnie pojęcie "przetwarzania" jest zdefiniowane jako "każda operacja lub każdy zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych środków, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, dostosowanie lub modyfikacja, odzyskiwanie, przeszukiwanie, wykorzystywanie, ujawnianie lub rozpowszechnianie, a także usuwanie lub niszczenie" 22 .
(12) DPF UE-USA mają zastosowanie do podmiotów w USA, które kwalifikują się jako administratorzy (tj. jako osoba fizyczna lub podmiot, które samodzielnie lub wspólnie z innymi podmiotami określają cele i sposoby przetwarzania danych osobowych) 23 lub podmioty przetwarzające dane (tj. przedstawiciele działający w imieniu administratora) 24 . Amerykańskie podmioty przetwarzające muszą być zobowiązane umownie do działania wyłącznie zgodnie z instrukcjami unijnego administratora i do wspomagania tego administratora w udzielaniu odpowiedzi osobom fizycznym, które korzystają ze swoich praw wynikających z zasad 25 . W przypadku dalszego przetwarzania podmiot przetwarzający musi ponadto zawrzeć umowę z podmiotem dokonującym dalszego przetwarzania, gwarantującą taki sam stopień ochrony jak stopień zapewniany przez zasady oraz musi podjąć działania w celu zapewnienia prawidłowego wykonania tej umowy 26 .
2.2. Zasady ramowe ochrony danych UE-USA
2.2.1. Ograniczenie celu i wybór
(13) Dane osobowe powinno się przetwarzać zgodnie z prawem i rzetelnie. Powinny być zbierane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania.
(14) W DPF UE-USA zapewniają to różne zasady. Po pierwsze, zgodnie z zasadą integralności danych i ograniczenia celu oraz z art. 5 ust. 1 lit. b) rozporządzenia (UE) 2016/679, podmiot nie może przetwarzać danych osobowych w sposób niezgodny z celem, dla którego były one pierwotnie gromadzone lub na który osoba, której dane dotyczą, wyraziła następnie zgodę 27 .
(15) Po drugie, zanim dojdzie do wykorzystania danych osobowych w nowym (zmienionym) celu, który jest znacząco różny od pierwotnego celu, ale nadal z nim zgodny, lub do ujawnienia ich stronie trzeciej, podmiot musi zapewnić osobom, których dane dotyczą, możliwość wyrażenia sprzeciwu (klauzula opt-out), zgodnie z zasadą wyboru 28 , za pomocą jasnego, jednoznacznego i łatwo dostępnego mechanizmu. Co ważne, zasada ta nie zastępuje wyraźnego zakazu przetwarzania danych w sposób niezgodny z zasadami 29 .
2.2.2. Przetwarzanie szczególnych kategorii danych osobowych
(16) Jeżeli przetwarzane są "szczególne kategorie danych osobowych", powinny istnieć szczególne zabezpieczenia.
(17) Zgodnie z zasadą wyboru szczególne zabezpieczenia mają zastosowanie do przetwarzania "informacji szczególnie chronionych", tj. danych osobowych dotyczących informacji medycznych lub stanu zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, członkostwa w związkach zawodowych, danych związanych z życiem seksualnym danej osoby lub wszelkich innych informacji przekazanych przez stronę trzecią, które ta strona określa i traktuje jako szczególnie chronione 30 . Oznacza to, że wszelkie dane uważane za wrażliwe na mocy unijnego prawa o ochronie danych (w tym dane dotyczące orientacji seksualnej, dane genetyczne i dane biometryczne) będą traktowane przez podmioty certyfikowane jako szczególnie chronione zgodnie z DPF UE-USA.
(18) Co do zasady podmioty muszą uzyskać wyraźną zgodę (tj. zezwolenie) osób fizycznych na wykorzystywanie informacji szczególnie chronionych w celach innych niż cele, dla których były pierwotnie gromadzone lub na które osoba fizyczna wyraziła później zgodę (poprzez udzielenie zezwolenia), lub na ujawnienie ich stronom trzecim 31 .
(19) Nie wymaga się uzyskania takiej zgody w ściśle określonych okolicznościach podobnych do porównywalnych wyjątków przewidzianych w unijnym prawie o ochronie danych, np. gdy przetwarzanie danych wrażliwych leży w żywotnym interesie osoby, jest konieczne do ustalenia roszczeń prawnych, lub jest wymagane do udzielenia opieki medycznej lub postawienia diagnozy 32 ;
2.2.3. Prawidłowość, minimalizacja i bezpieczeństwo danych
(20) Dane powinny być prawidłowe i w stosownych przypadkach uaktualniane. Powinny być również adekwatne, stosowne oraz ograniczone do celów, w których są przetwarzane, a także co do zasady przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w których przetwarza się dane osobowe.
(21) Zgodnie z zasadą integralności danych i ograniczenia celu 33 dane osobowe muszą być ograniczone do tego, co jest istotne dla celu przetwarzania. Podmioty muszą ponadto - w zakresie niezbędnym do osiągnięcia celów przetwarzania - podjąć zasadne działania w celu zapewnienia, aby dane osobowe były zgodne ze swoim przeznaczeniem, prawidłowe, kompletne i aktualne.
(22) Dane osobowe można ponadto przechowywać w postaci identyfikującej osobę fizyczną lub umożliwiającej jej zidentyfikowanie (a zatem w postaci danych osobowych) 34 wyłącznie dopóty, dopóki służy to celowi lub celom, dla których dane te pierwotnie zgromadzono lub na które osoba fizyczna wyraziła później zgodę zgodnie z zasadą wyboru. Obowiązek ten nie uniemożliwia podmiotom dalszego przetwarzania danych osobowych przez dłuższy okres, ale tylko przez taki czas i w takim zakresie, który jest z rozsądnego punktu widzenia potrzebny do osiągnięcia jednego z następujących celów szczegółowych podobnych do porównywalnych wyjątków przewidzianych w unijnym prawie o ochronie danych: archiwizacji w interesie publicznym, badań na potrzeby dziennikarstwa, literatury i sztuki, nauki i historii oraz analizy statystycznej 35 . Jeśli dane osobowe są przechowywane do jednego z tych celów, ich przetwarzanie podlega gwarancjom zapewnianym przez zasady 36 .
(23) Dane osobowe powinny być także przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu administratorzy i podmioty przetwarzające powinni wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej, koszty ich wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także zagrożenia dla praw osób fizycznych.
(24) W DPF UE-USA zapewnia to zasada bezpieczeństwa, która wymaga, podobnie jak art. 32 rozporządzenia (UE) 2016/679, stosowania zasadnych i odpowiednich środków bezpieczeństwa, biorąc pod uwagę zagrożenia związane z przetwarzaniem i charakterem danych 37 .
2.2.4. Przejrzystość
(25) Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.
(26) Zapewnia to zasada powiadomienia 38 , zgodnie z którą - podobnie jak w przypadku wymogów w zakresie przejrzystości określonych w rozporządzeniu (UE) 2016/679 - podmioty są zobowiązane do przekazania osobom, których dane dotyczą, informacji na temat, między innymi: (i) uczestnictwa podmiotu w DPF, (ii) rodzaju gromadzonych danych, (iii) celu przetwarzania, (iv) rodzaju lub tożsamości stron trzecich, którym dane osobowe mogą zostać ujawnione, oraz celów takiego ujawnienia, (v) ich praw indywidualnych, (vi) sposobu kontaktowania się z podmiotem oraz (vii) dostępnych środków dochodzenia roszczeń.
(27) Powiadomienie to musi być sformułowane jasno i jednoznacznie z chwilą, gdy osoby fizyczne zostały po raz pierwszy poproszone o przekazanie danych osobowych, lub w najbliższym możliwym terminie po zwróceniu się do tych osób o dane osobowe po raz pierwszy, ale w każdym przypadku przed użyciem takich danych w celu znacząco różnym, ale nadal zgodnym, z tym, w którym były one gromadzone, lub przed ujawnieniem ich stronie trzeciej 39 .
(28) Podmioty muszą ponadto upublicznić swoje strategie polityczne w obszarze ochrony prywatności odzwierciedlające zasady (lub - w przypadku danych dotyczących zasobów ludzkich - udostępnić je osobom, których to dotyczy) oraz zamieścić linki do strony internetowej DoC (wraz z dalszymi szczegółowymi informacjami na temat certyfikacji, praw osób, których dane dotyczą, oraz dostępnych mechanizmów ochrony prawnej), wykaz podmiotów objętych ramami ochrony danych (wykaz DPF) oraz stronę internetową odpowiedniego podmiotu świadczącego usługi w zakresie pozasądowego rozstrzygania sporów 40 .
2.2.5. Prawa indywidualne
(29) Osobom, których dane dotyczą, powinny przysługiwać określone prawa, które można egzekwować wobec administratora lub podmiotu przetwarzającego, w szczególności prawo dostępu do zebranych danych, prawo do sprzeciwu wobec przetwarzania oraz prawo do sprostowania i usunięcia danych.
(30) Zgodnie z określoną w DPF UE-USA zasadą dostępu 41 osobom fizycznym przysługują takie prawa. W szczególności osoby, których dane dotyczą, mają prawo, bez konieczności uzasadnienia, uzyskać od podmiotu potwierdzenie, że przetwarza on ich dane osobowe, uzyskać te dane oraz uzyskać informacje o celu przetwarzania, kategoriach przetwarzanych danych osobowych oraz (kategoriach) odbiorców, którym dane są ujawniane 42 . Podmioty są zobowiązane do udzielania odpowiedzi na wnioski o udostępnienie danych w rozsądnym terminie 43 . Podmiot może wyznaczyć rozsądne ograniczenia co do liczby wniosków o udostępnienie danych składanych przez daną osobę fizyczną, które zostaną rozpatrzone w określonym okresie, oraz jest uprawniony do pobierania opłaty z tego tytułu, o ile nie będzie ona nadmiernie wysoka, na przykład w przypadku, gdy wnioski o udostępnienie danych są ewidentnie nadużywane, w szczególności ze względu na ich powtarzalność 44 .
(31) Prawo dostępu może zostać ograniczone wyłącznie w wyjątkowych okolicznościach, podobnych do tych przewidzianych w unijnym prawie o ochronie danych, w szczególności jeżeli istnieje ryzyko naruszenia uzasadnionych praw innych osób; jeżeli obciążenia związane z udzieleniem dostępu lub koszty udzielenia dostępu byłyby nieproporcjonalne w stosunku do zagrożeń dla prywatności osoby fizycznej, biorąc pod uwagę okoliczności danej sprawy (chociaż koszty i obciążenia nie mają decydującego znaczenia przy ustalaniu, czy udzielenie dostępu jest w danym przypadku zasadne); jeżeli ich ujawnienie mogłoby utrudnić zapewnienie ochrony istotnego nadrzędnego interesu publicznego, takiego jak bezpieczeństwo narodowe, bezpieczeństwo publiczne lub obronność; dane zawierają poufne informacje handlowe; lub dane przetwarza się wyłącznie w celach naukowych lub statystycznych 45 . Każda odmowa lub każde ograniczenie prawa muszą być koniecznie i należycie uzasadnione, przy czym to na podmiocie spoczywa obowiązek wykazania spełnienia wspomnianych wymogów 46 . Dokonując tej oceny, podmiot musi w szczególności wziąć pod uwagę interesy danej osoby 47 . Jeśli możliwe jest odseparowanie informacji od innych danych, których dotyczy ograniczenie, podmiot musi utajnić informacje chronione oraz ujawnić pozostałe informacje 48 .
(32) Osoby, których dane dotyczą, mają ponadto prawo do uzyskania sprostowania lub zmiany nieprawidłowych danych oraz usunięcia danych, które zostały przetworzone z naruszeniem zasad 49 . Ponadto, jak wyjaśniono w motywie 15, osoby fizyczne mają prawo sprzeciwu wobec przetwarzania ich danych lub prawo do wycofania zgody na przetwarzanie ich danych w celach zasadniczo różnych niż te, w których dane zgromadzono (ale zgodnych z tymi celami), oraz wobec ujawnienia ich danych stronom trzecim. Gdy dane osobowe są wykorzystywane w celach związanych z marketingiem bezpośrednim, osoby fizyczne mają ogólne prawo do wycofania zgody na przetwarzanie w dowolnym momencie 50 .
(33) Zasady nie odnoszą się konkretnie do kwestii decyzji wpływających na osobę, której dane dotyczą, opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych. Jeżeli jednak chodzi o dane osobowe zebrane w Unii, wszelkie decyzje opierające się na zautomatyzowanym przetwarzaniu podejmowane są zazwyczaj przez administratora w Unii (który ma bezpośrednie powiązanie z zainteresowaną osobą, której dane dotyczą) i bezpośrednio podlegają tym samym przepisom rozporządzenia (UE) 2016/679 51 . Obejmuje to scenariusze przekazywania, w których za przetwarzanie odpowiada zagraniczny (np. amerykański) podmiot gospodarczy działający w charakterze przedstawiciela (podmiotu przetwarzającego) w imieniu administratora w Unii (lub działający w charakterze podwykonawcy przetwarzania w imieniu unijnego podmiotu przetwarzającego po otrzymaniu danych od unijnego administratora, który je zebrał), który na tej podstawie podejmuje następnie decyzję.
(34) Zostało to potwierdzone w badaniu zleconym przez Komisję w 2018 r. w kontekście drugiego corocznego przeglądu funkcjonowania Tarczy Prywatności 52 , w którym stwierdzono, że w tamtym czasie nie było dowodów sugerujących, że podmioty uczestniczące w programie Tarczy Prywatności zwykle podejmowały zautomatyzowane decyzje na podstawie danych osobowych przekazywanych zgodnie z Tarczą Prywatności.
(35) W każdym przypadku w obszarach, w których najbardziej prawdopodobne jest, że przedsiębiorstwa stosują zautomatyzowane przetwarzanie danych osobowych, podejmując decyzje mające wpływ na osoby fizyczne (np. udzielanie kredytów, oferty kredytów, zatrudnienie, mieszkalnictwo i ubezpieczenia), w prawie amerykańskim zagwarantowano szczególne środki ochrony przed niekorzystnymi decyzjami 53 . Wspomniane akty prawne zazwyczaj zapewniają osobom fizycznym prawo do poznania szczegółowych powodów będących podstawą decyzji (np. odrzucenia wniosku o kredyt), prawo do zakwestionowania niekompletnych lub nieprawidłowych informacji (i podważenia faktu powołania się na czynniki niezgodne z prawem) oraz prawo do ochrony prawnej. W obszarze kredytów konsumenckich ustawa o rzetelnej sprawozdawczości kredytowej i ustawa o równych możliwościach kredytowych zawierają gwarancje, które zapewniają konsumentom pewną formę prawa do zażądania wyjaśnień i prawa do zakwestionowania decyzji. Ustawy te dotyczą szerokiego zakresu dziedzin, między innymi kredytów, zatrudnienia, mieszkalnictwa i ubezpieczeń. Niektóre przepisy antydyskryminacyjne, takie jak tytuł VII ustawy o prawach obywatelskich i ustawa o uczciwych praktykach w mieszkalnictwie, zapewniają ponadto osobom fizycznym ochronę w odniesieniu do modeli wykorzystywanych w zautomatyzowanym podejmowaniu decyzji, które mogą prowadzić do dyskryminacji ze względu na określone cechy, oraz przyznają osobom fizycznym prawa do kwestionowania takich decyzji, w tym decyzji zautomatyzowanych. W odniesieniu do informacji dotyczących zdrowia zasada dotycząca prywatności określona w ustawie o możliwości przenoszenia ubezpieczenia zdrowotnego i odpowiedzialności w zakresie ubezpieczenia zdrowotnego zapewnia określone prawa, które są podobne do tych przewidzianych w rozporządzeniu (UE) 2016/679 odnoszących się do dostępu do osobistych informacji dotyczących zdrowia. W wytycznych amerykańskich organów istnieje ponadto wymóg, by dostawcy usług medycznych otrzymywali informacje, które umożliwią im informowanie osób fizycznych o zautomatyzowanych systemach podejmowania decyzji stosowanych w sektorze medycznym 54 .
(36) W związku z tym przepisy te zapewniają środki ochrony podobne do środków ochrony przewidzianych w unijnych przepisach o ochronie danych w mało prawdopodobnej sytuacji, w której sam podmiot objęty DPF UE-USA podjąłby zautomatyzowane decyzje.
2.2.6. Ograniczenia dotyczące dalszego przekazywania
(37) Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii podmiotom w Stanach Zjednoczonych nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcy ze Stanów Zjednoczonych lub innego państwa trzeciego.
(38) Zgodnie z zasadą odpowiedzialności za dalsze przekazywanie 55 zasady szczególne mają zastosowanie do tzw. "dalszego przekazywania", tj. przekazywania danych osobowych przez podmiot objęty DPF UE-USA administratorowi lub podmiotowi przetwarzającemu będącymi stroną trzecią, bez względu na to, czy ten administrator lub podmiot przetwarzający ma siedzibę w USA lub w państwie trzecim poza Stanami Zjednoczonymi (i Unią). Wszelkie dalsze przekazywanie może mieć miejsce wyłącznie (i) w ograniczonym i określonym celu, (ii) na podstawie umowy między podmiotem objętym DPF UE-USA a stroną trzecią 56 (lub porównywalnego uzgodnienia w ramach grupy przedsiębiorstw 57 ) i (iii) tylko wtedy, gdy umowa ta zobowiązuje stronę trzecią do zapewnienia takiego samego stopnia ochrony jak ten gwarantowany przez zasady.
(39) Ten obowiązek zapewnienia takiego samego stopnia ochrony jak stopień zagwarantowany w zasadach, w związku z zasadą integralności danych i ograniczenia celu, oznacza w szczególności, że strona trzecia może tylko przetwarzać przekazane jej dane osobowe do celów zgodnych z celami, dla których je pierwotnie zgromadzono lub dla których osoba fizyczna je następnie zatwierdziła (zgodnie z zasadą wyboru).
(40) Zasadę odpowiedzialności za dalsze przekazywanie należy interpretować również w związku z zasadą powiadomienia, a w przypadku dalszego przekazywania administratorowi danych będącemu stroną trzecią 58 - zasadą wyboru; zgodnie z tymi zasadami osoby, których dane dotyczą, muszą być (między innymi) informowane o rodzaju/tożsamości jakiegokolwiek odbiorcy będącego stroną trzecią do celu dalszego przekazywania oraz o oferowanym im wyborze, a także mogą sprzeciwić się (wycofać zgodę) lub w przypadku danych wrażliwych udzielić "wyraźnej zgody" na dalsze przekazywanie.
(41) Obowiązek zapewnienia takiego samego stopnia ochrony jak stopień wymagany w zasadach ma zastosowanie do wszystkich stron trzecich zaangażowanych w przetwarzanie danych przekazywanych w taki sposób bez względu na ich położenie (w USA lub w innym państwie trzecim) oraz w przypadku gdy pierwotny odbiorca będący stroną trzecią sam przekazuje te dane innemu odbiorcy będącemu stroną trzecią przykładowo do celów dalszego przetwarzania.
(42) We wszystkich przypadkach w umowie z odbiorcą będącym stroną trzecią należy przewidzieć, aby ten odbiorca powiadomił podmiot objęty DPF UE-USA, jeżeli ustali, że nie jest w stanie dłużej spełniać swojego obowiązku. W przypadku dokonania takiego ustalenia przetwarzanie przez stronę trzecią musi ustać lub konieczne będzie zastosowanie innych zasadnych i właściwych środków, aby znaleźć rozwiązanie zaistniałej sytuacji 59 .
(43) Dodatkowe środki ochrony mają zastosowanie w przypadku dalszego przekazywania danych przedstawicielowi będącemu stroną trzecią (tj. podmiotowi przetwarzającemu). W takim przypadku amerykański podmiot musi zapewnić, aby przedstawiciel działał wyłącznie zgodnie z jego instrukcjami, i zastosować zasadne i właściwe środki: (i) w celu zapewnienia skutecznego przetwarzania przez przedstawiciela danych osobowych przekazanych w sposób zgodny z obowiązkami tego podmiotu na mocy zasad oraz (ii) w celu zaprzestania nieuprawnionego przetwarzania i naprawienia zaistniałej sytuacji, po otrzymaniu stosownego wniosku 60 . Podmiot może zostać zobowiązany przez DoC do przedstawienia streszczenia lub poświadczonej kopii postanowień dotyczących prywatności zawartych w umowie 61 . W przypadku problemów związanych ze zgodnością w łańcuchu (dalszego) przetwarzania podmiot działający jako administrator danych osobowych będzie co do zasady ponosił odpowiedzialność, jak określono w zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności, chyba że udowodni, że nie jest odpowiedzialny za zdarzenie powodujące szkodę 62 .
2.2.7. Rozliczalność
(44) Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.
(45) Jeżeli podmiot dobrowolnie zdecyduje się na certyfikację 63 zgodnie z DPF UE-USA, ma obowiązek skutecznie przestrzegać zasad, co musi być możliwe do wyegzekwowania. Zgodnie z zasadą dotyczącą ochrony prawnej, egzekwowania prawa oraz odpowiedzialności 64 podmioty objęte DPF UE-USA muszą przedstawić skuteczne mechanizmy służące zapewnieniu zgodności z zasadami. Podmioty muszą również zastosować środki w celu sprawdzenia 65 , czy ich polityka ochrony prywatności odpowiada zasadom i czy jest w istocie przestrzegana. Można tego dokonać za pośrednictwem systemu samooceny, który musi obejmować wewnętrzne procedury zapewniające przeszkolenie pracowników w zakresie wdrażania polityki ochrony prywatności danego podmiotu oraz przeprowadzanie okresowego, obiektywnego przeglądu zgodności lub zewnętrznych przeglądów zgodności, które mogą odbywać się w formie audytów lub kontroli wyrywkowych albo poprzez wykorzystanie narzędzi technologicznych.
(46) Podmioty muszą ponadto zachowywać dokumenty dotyczące wdrażania praktyk zgodnie z DPF UE-USA oraz udostępniać je na żądanie, w toku dochodzenia bądź badania skargi dotyczącej nieprzestrzegania zasad, niezależnemu organowi ds. rozstrzygania sporów bądź właściwemu organowi egzekwowania prawa 66 .
2.3. Zarządzanie, nadzór i egzekwowanie
(47) Programem DPF UE-USA będzie zarządzał i będzie go monitorował DoC. Ramy te przewidują mechanizmy nadzoru i egzekwowania w celu kontroli i zapewnienia przestrzegania zasad przez podmioty objęte DPF UE-USA oraz usunięcie każdego przypadku nieprzestrzegania zasad. Wspomniane mechanizmy opisano w zasadach (załącznik I) i zobowiązaniach podjętych przez DoC (załącznik III), FTC (załącznik IV) i DoT (załącznik V).
2.3.1. (Ponowna) certyfikacja
(48) Aby dokonać certyfikacji zgodnie z DPF UE-USA (lub corocznej ponownej certyfikacji), podmioty mają obowiązek publicznie zadeklarować swoje zobowiązanie do przestrzegania zasad, udostępnić swoją politykę ochrony prywatności oraz w pełni ją wdrożyć 67 . W ramach wniosku o (ponowną) certyfikację podmioty muszą przedłożyć DoC informacje dotyczące, między innymi, nazwy odpowiedniego podmiotu, opisu celów, w których podmiot będzie przetwarzał dane osobowe, danych osobowych, które będą objęte certyfikacją, a także wybranej metody kontroli, odpowiedniego niezależnego mechanizmu ochrony prawnej i organu ustawowego właściwego do egzekwowania przestrzegania zasad 68 .
(49) Podmioty mogą otrzymywać dane osobowe na podstawie DPF UE-USA od dnia umieszczenia ich w wykazie DPF przez DoC. Aby zagwarantować pewność prawa i uniknąć "fałszywych oświadczeń", podmioty dokonujące po raz pierwszy certyfikacji nie mogą publicznie informować o przestrzeganiu przez siebie zasad, zanim DoC nie stwierdzi, że zgłoszenie certyfikacji podmiotu jest kompletne, i nie doda podmiotu do wykazu DPF 69 . Aby móc nadal korzystać z DPF UE-USA w celu otrzymywania danych osobowych z Unii, podmioty takie muszą co roku ponownie dokonywać certyfikacji swojego uczestnictwa w przedmiotowych ramach. Podmiot, który z jakiegokolwiek powodu wycofuje się z DPF UE-USA, musi usunąć wszelkie oświadczenia, które sugerują, że wciąż aktywnie uczestniczy w ramach 70 .
(50) Jak wynika z zobowiązań określonych w załączniku III, DoC zweryfikuje, czy podmioty spełniają wszystkie wymogi certyfikacyjne i czy wprowadziły (publiczną) politykę prywatności zawierającą informacje wymagane zgodnie z zasadą powiadomienia 71 . Opierając się na doświadczeniach z procesem (ponownej) certyfikacji w ramach Tarczy Prywatności, DoC przeprowadzi szereg kontroli, między innymi w celu sprawdzenia, czy polityka ochrony prywatności podmiotów zawiera hiperłącze do właściwego formularza skargi na stronie internetowej odpowiedniego mechanizmu rozstrzygania sporów oraz - w przypadku gdy zgłoszenie certyfikacji obejmuje kilka podmiotów i spółek zależnych jednego podmiotu - czy polityka prywatności każdego z tych podmiotów spełnia wymogi certyfikacyjne i jest łatwo dostępna dla osób, których dane dotyczą 72 . W razie potrzeby DoC przeprowadzi ponadto kontrole krzyżowe z FTC i DoT w celu sprawdzenia, czy podmioty podlegają organowi nadzoru wskazanemu w ich zgłoszeniach (ponownej) certyfikacji, oraz będzie współpracować z organami ds. rozstrzygania sporów stosującymi alternatywne metody rozwiązywania sporów w celu sprawdzenia, czy podmioty są zarejestrowane w niezależnym mechanizmie ochrony prawnej wskazanym w ich zgłoszeniu (ponownej) certyfikacji 73 .
(51) DoC poinformuje podmioty, że w celu zakończenia (ponownej) certyfikacji muszą one zaradzić wszystkim problemom zidentyfikowanym podczas przeprowadzonego przez DoC przeglądu. W przypadku gdy podmiot nie odpowie w terminie określonym przez DoC (przy ponownej certyfikacji oczekuje się na przykład, że proces zostanie zakończony w terminie 45 dni) 74 lub w inny sposób nie zakończy certyfikacji, zgłoszenie zostanie uznane za wycofane. W takim przypadku każde podanie fałszywych informacji dotyczących uczestnictwa lub zgodności z DPF UE-USA może skutkować podjęciem czynności egzekucyjnych ze strony FTC lub DoT 75 .
(52) W celu zagwarantowania prawidłowego stosowania DPF UE-USA zainteresowane strony, takie jak osoby, których dane dotyczą, podmioty przekazujące dane i krajowe organy ochrony danych muszą być w stanie identyfikować te podmioty, które przestrzegają zasad. W celu zapewnienia takiej przejrzystości w "punkcie wejścia" DoC zobowiązał się prowadzić i publicznie udostępniać wykaz podmiotów, które przyjęły zasady w drodze certyfikacji oraz podlegają właściwości co najmniej jednego organu egzekwowania prawa wymienionego w załącznikach IV i V do niniejszej decyzji 76 . DoC będzie aktualizował wykaz na podstawie dokonywanych przez podmioty corocznych zgłoszeń dotyczących ponownej certyfikacji oraz gdy dany podmiot wycofa się lub zostanie usunięty z DPF UE-USA. Ponadto, w celu zapewnienia przejrzystości także w "punkcie wyjścia", DoC będzie prowadził i publicznie udostępniał oficjalny rejestr podmiotów, które usunięto z wykazu, za każdym razem przedstawiając powód takiego usunięcia 77 . DoC dostarczy ponadto link do strony internetowej FTC dotyczącej DPF UE-USA, zawierającej wykaz czynności egzekucyjnych FTC zgodnie z przedmiotowymi ramami 78 .
2.3.2. Monitorowanie zgodności
(53) DoC będzie na bieżąco monitorować skuteczne przestrzeganie zasad przez podmioty objęte DPF UE-USA za pomocą różnego rodzaju mechanizmów 79 . W szczególności DoC będzie przeprowadzać "kontrole wyrywkowe" losowo wybranych podmiotów, a także kontrole wyrywkowe ad hoc określonych podmiotów, w przypadku gdy wykryte zostaną potencjalne problemy dotyczące zgodności (np. zgłoszone DoC przez strony trzecie) w celu sprawdzenia, czy (i) osoba lub osoby odpowiedzialne za kontakty zajmujące się rozpatrywaniem skarg i wniosków osób, których dane dotyczą, są dostępne i odpowiednio reagują; (ii) polityka prywatności podmiotu jest łatwo dostępna, zarówno na jego stronie internetowej, jak i za pośrednictwem linku na stronie internetowej DoC; (iii) polityka prywatności podmiotu jest niezmiennie zgodna z wymogami certyfikacyjnymi oraz (iv) wybrany przez podmiot niezależny mechanizm rozstrzygania sporów jest dostępny do rozpatrywania skarg 80 .
(54) Jeśli istnieją wiarygodne dowody na to, że podmiot nie spełnia swoich zobowiązań wynikających z DPF UE-USA (włącznie z sytuacją, gdy DoC otrzyma skargi lub podmiot nie odpowie na zapytania DoC w zadowalający sposób), DoC zażąda od podmiotu wypełnienia i przedłożenia szczegółowego kwestionariusza 81 . Podmiot, który nie przedłoży terminowo uzupełnionego w sposób zadowalający kwestionariusza, zostanie skierowany do odpowiedniego organu (FTC lub DoT) w celu podjęcia ewentualnych czynności egzekucyjnych 82 . Jako element działań w zakresie monitorowania zgodności w ramach Tarczy Prywatności DoC regularnie przeprowadzał wyrywkowe kontrole, o których mowa w motywie 53, i stale monitorował publiczne sprawozdania, co pozwoliło na zidentyfikowanie problemów dotyczących przestrzegania zasad, podjęcie działań zaradczych i rozwiązanie tych problemów 83 . Podmioty, które uporczywie nie przestrzegają zasad, zostaną usunięte z wykazu podmiotów objętych DPF i będą zobowiązane do zwrócenia lub usunięcia danych osobowych, które otrzymały zgodnie z przedmiotowymi ramami ochrony danych 84 .
(55) W innych przypadkach usunięcia, np. w przypadku dobrowolnego wycofania się z udziału w programie lub niedopełnienia obowiązku odnowienia certyfikacji, podmiot musi usunąć albo zwrócić takie dane, albo może je zatrzymać, jeżeli co roku przedstawi DoC swoje zobowiązanie do stosowania zasad lub zapewniania odpowiedniej ochrony danych osobowych za pomocą innych zatwierdzonych środków (na przykład stosując umowę w pełni odzwierciedlającą wymogi odpowiednich standardowych klauzul umownych zatwierdzonych przez Komisję) 85 . W takim przypadku podmiot musi również wskazać osobę odpowiedzialną za kontakty w obrębie podmiotu, która odpowie na wszystkie zapytania związane z DPF UE-USA.
2.3.3. Identyfikacja fałszywych oświadczeń o uczestnictwie i przeciwdziałanie im
(56) DoC będzie monitorować wszelkie fałszywe oświadczenia o uczestnictwie w DPF UE-USA lub niewłaściwym użyciu znaku certyfikującego DPF UE-USA, zarówno z urzędu, jak i na podstawie skarg (np. otrzymanych od organów ochrony danych) 86 . W szczególności DoC będzie na bieżąco sprawdzać, czy podmioty, które (i) wycofały się z udziału w programie DPF UE-USA, (ii) nie dokonały corocznej ponownej certyfikacji (tj. albo rozpoczęły coroczny proces ponownej certyfikacji, ale nie ukończyły go w odpowiednim czasie, albo nawet nie rozpoczęły tego procesu), (iii) zostały usunięte z wykazu uczestników, w szczególności z powodu "uporczywego nieprzestrzegania zasad", lub (iv) nie ukończyły wstępnej certyfikacji (tj. rozpoczęły proces wstępnej certyfikacji, ale nie ukończyły go w odpowiednim czasie), usunęły z wszelkich odpowiednich opublikowanych polityk prywatności odniesienia do DPF UE-USA sugerujące, że podmiot aktywnie uczestniczy w DPF 87 . DoC przeprowadzi również wyszukiwanie w internecie w celu zidentyfikowania odniesień do DPF UE-USA w politykach prywatności podmiotów, w tym w celu zidentyfikowania fałszywych oświadczeń podmiotów, które nigdy nie były objęte DPF UE-USA 88 .
(57) W przypadku, gdy DoC stwierdzi, że odniesienia do DPF UE-USA nie zostały usunięte lub są niewłaściwie wykorzystywane, poinformuje podmiot o możliwym zgłoszeniu sprawy do FTC/DoT 89 . Jeśli podmiot nie odpowie w sposób zadowalający, DoC przekaże sprawę odpowiedniej agencji w celu podjęcia ewentualnych czynności egzekucyjnych 90 . Każde podanie do publicznej wiadomości fałszywej informacji dotyczącej przestrzegania przez podmiot zasad w postaci wprowadzających w błąd oświadczeń lub praktyk stanowi podstawę wszczęcia postępowania przez FTC, DoT lub inny odpowiedni organ egzekwowania prawa Stanów Zjednoczonych. Podanie DoC fałszywych informacji stanowi podstawę wszczęcia postępowania na podstawie ustawy o fałszywych oświadczeniach (tytuł 18 § 1001 U.S.C.).
2.3.4. Egzekwowanie prawa
(58) W celu zapewnienia odpowiedniego stopnia ochrony danych w praktyce, należy ustanowić niezależny organ nadzorczy, któremu powierzone zostaną uprawnienia do monitorowania i egzekwowania zgodności z przepisami o ochronie danych.
(59) Podmioty objęte DPF UE-USA muszą podlegać jurysdykcji właściwych organów amerykańskich - FTC i DoT - które mają niezbędne uprawnienia do prowadzenia dochodzeń i egzekwowania przepisów prawa w celu skutecznego zapewnienia przestrzegania zasad przez te podmioty 91 .
(60) FTC jest niezależnym organem składającym się z pięciu komisarzy, którzy są mianowani przez Prezydenta za radą i zgodą Senatu 92 . Komisarze powoływani są na siedmioletnią kadencję i mogą zostać odwołani przez Prezydenta wyłącznie z powodu braku efektywności, zaniedbania obowiązków lub niewłaściwego sprawowania urzędu. W skład FTC nie może wchodzić więcej niż trzech komisarzy wywodzących się z tej samej partii politycznej, a w okresie swojej kadencji komisarze nie mogą angażować się w żadną inną działalność ani podejmować żadnej innej pracy.
(61) FTC może badać zgodność z zasadami, a także fałszywe oświadczenia o przestrzeganiu zasad lub o udziale w DPF UE-USA składane przez podmioty, które nie figurują już w wykazie DPF albo które nigdy nie dokonały certyfikacji 93 . FTC może wyegzekwować przestrzeganie zasad za pomocą decyzji administracyjnych lub orzeczeń sądu federalnego (w tym "ugód" uzyskanych w drodze porozumienia) 94 o nałożeniu wstępnych lub stałych nakazów lub zakazów sądowych lub innych środków ochrony prawnej i systematycznie będzie monitorować stosowanie się do takich decyzji lub orzeczeń 95 . Jeżeli podmioty nie przestrzegają takich decyzji lub orzeczeń, FTC może dochodzić sankcji cywilnych i innych środków ochrony prawnej, w tym za wszelkie szkody spowodowane niezgodnym z prawem postępowaniem. Każda ugoda wystawiona na rzecz podmiotu objętego DPF UE-USA będzie zawierała postanowienia dotyczące samozgłaszania 96 , a podmioty będą zobowiązane do podawania do wiadomości publicznej wszelkich istotnych i związanych z DPF UE-USA sekcji wszelkich przedłożonych FTC sprawozdań dotyczących przestrzegania zasad lub sprawozdań z oceny. Ponadto FTC będzie prowadziło internetowy wykaz podmiotów podlegających decyzjom FTC lub orzeczeniom sądu w sprawach dotyczących DPF UE-USA 97 .
(62) W odniesieniu do Tarczy Prywatności FTC podjęła czynności egzekucyjne w około 22 sprawach, zarówno w odniesieniu do naruszeń określonych wymogów przedmiotowego programu (np. brak potwierdzenia wobec DoC, że podmiot nieprzerwanie stosował środki ochrony w ramach Tarczy Prywatności po opuszczeniu programu, brak weryfikacji w drodze samooceny albo zewnętrznych przeglądów zgodności z wymogami, że podmiot przestrzegał zasad programu) 98 , jak i fałszywych oświadczeń o uczestnictwie w programie (np. ze strony podmiotów, które nie wykonały niezbędnych kroków w celu uzyskania certyfikacji lub pozwoliły na jej wygaśnięcie, ale fałszywie twierdziły, że nadal ją posiadają) 99 . Takie czynności egzekucyjne wynikały między innymi z aktywnego wykorzystania wezwań administracyjnych do uzyskania materiałów od niektórych uczestników programu Tarczy Prywatności w celu sprawdzenia, czy nie doszło do istotnych naruszeń zobowiązań wynikających z Tarczy Prywatności 100 .
(63) Ogólniej rzecz biorąc, w ostatnich latach FTC podjęła działania egzekucyjne w szeregu spraw dotyczących zgodności ze szczegółowymi wymogami w zakresie ochrony danych, które są również przewidziane w DPF UE-USA, np. w odniesieniu do zasad ograniczenia celu i przechowywania danych 101 , minimalizacji danych 102 , bezpieczeństwa danych 103 i dokładności danych 104 .
(64) Na mocy prawa federalnego DoT dysponuje wyłącznym uprawnieniem do regulowania praktyk ochrony prywatności przewoźników lotniczych i uprawnieniem dzielonym z FTC w odniesieniu do praktyk ochrony prywatności stosowanych przez pośredników sprzedaży biletów w sprzedaży usług transportu lotniczego. Urzędnicy DoT w pierwszej kolejności dążą do osiągnięcia ugody, a jeśli nie jest to możliwe, mogą wszcząć postępowanie egzekucyjne obejmujące postępowanie dowodowe przed sędzią administracyjnym w DoT, uprawnionym do wydawania nakazów zaprzestania stosowania zaskarżonych praktyk i nakładania kar cywilnych 105 . Sędziowie administracyjni korzystają z szeregu środków ochrony na mocy ustawy o postępowaniu administracyjnym w celu zapewnienia ich niezawisłości i bezstronności. Mogą oni na przykład zostać odwołani z urzędu wyłącznie z ważnego powodu; są przydzielani do spraw rotacyjnie; nie mogą wykonywać działań zawodowych niezgodnych z zakresem ich obowiązków jako sędziów administracyjnych; nie podlegają nadzorowi zespołu dochodzeniowego organu, przez który są zatrudnieni (w tym przypadku DoT); oraz muszą wykonywać swoją funkcję sądowniczą/wykonawczą w sposób bezstronny 106 . DoT zobowiązany jest monitorować decyzje służące egzekwowaniu przepisów i zapewnić, aby decyzje wydane w sprawach dotyczących DPF UE-USA były dostępne na jego stronie internetowej 107 .
2.4. Dochodzenie roszczeń
(65) W celu zapewnienia odpowiedniej ochrony, a w szczególności egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć możliwość dochodzenia roszczeń na drodze administracyjnej i sądowej.
(66) DPF UE-USA, za pośrednictwem zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności, nakłada na podmioty obowiązek zapewnienia osobom fizycznym, na które fakt nieprzestrzegania zasad wywarł wpływ, możliwości skorzystania z mechanizmu ochrony prawnej, tj. możliwości złożenia przez osoby z Unii, których dane dotyczą, skarg na nieprzestrzeganie zasad przez podmioty objęte DPF UE-USA, a także możliwości rozpatrzenia tych skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej 108 . W ramach podejmowanych działań w obszarze certyfikacji podmioty muszą spełnić wymogi przewidziane w tej zasadzie, zapewniając możliwość skorzystania ze skutecznych i łatwo dostępnych niezależnych mechanizmów ochrony prawnej umożliwiających badanie i szybkie rozstrzyganie skarg oraz sporów poszczególnych osób fizycznych bez konieczności ponoszenia przez nie jakichkolwiek kosztów 109 .
(67) Podmioty mogą wybrać niezależne mechanizmy ochrony prawnej w Unii albo w Stanach Zjednoczonych. Jak szczegółowo wyjaśniono w motywie 73, obejmuje to możliwość podjęcia dobrowolnego zobowiązania do współpracy z unijnymi organami ochrony danych. W przypadkach, w których podmioty przetwarzają dane o zasobach ludzkich, takie zobowiązanie do współpracy z unijnymi organami ochrony danych jest obowiązkowe. Wśród innych rozwiązań alternatywnych należy wymienić niezależne pozasądowe rozstrzyganie sporów lub programy prywatności opracowane przez podmioty sektora prywatnego, w które wbudowano przedmiotowe zasady. Wspomniane programy muszą obejmować skuteczne mechanizmy egzekwowania prawa zgodne z wymogami zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności.
(68) Tym samym DPF UE-USA zapewnia osobom, których dane dotyczą, szereg środków służących egzekwowaniu przysługujących im praw, składaniu skarg na nieprzestrzeganie zasad przez podmioty prowadzące działania zarówno na rynku unijnym, jak i amerykańskim, a także uzyskanie rozstrzygnięcia takich skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej. Osoby fizyczne mogą wnieść skargę bezpośrednio do podmiotu, niezależnego organu ds. rozstrzygania sporów wyznaczonego przez podmiot, krajowych organów ochrony danych, DoC lub FTC. Jeżeli skargi wniesione przez osoby fizyczne nie zostaną rozstrzygnięte w ramach żadnego z wymienionych mechanizmów ochrony prawnej lub egzekwowania prawa, osoby fizyczne mają również prawo poddać sprawę pod arbitraż (załącznik I do załącznika I do niniejszej decyzji). Poza panelem arbitrażowym, do którego można wnieść dany spór wyłącznie po wyczerpaniu określonych środków ochrony prawnej, osoby fizyczne mogą podjąć decyzję o zastosowaniu dowolnego mechanizmu dochodzenia roszczeń lub wszystkich tych mechanizmów jednocześnie i nie są zobowiązane do ograniczenia się wyłącznie do jednego mechanizmu ani do korzystania z nich w określonym porządku.
(69) Po pierwsze, osoby z Unii, których dane dotyczą, mogą zgłaszać roszczenia dotyczące nieprzestrzegania zasad za pośrednictwem osób odpowiedzialnych za bezpośrednie kontakty w podmiotach objętych DPF UE-USA 110 . Aby ułatwić rozstrzygnięcie sporu, podmiot musi wdrożyć skuteczny mechanizm dochodzenia roszczeń w celu rozpatrywania takich skarg. Dlatego też prowadzona przez dany podmiot polityka ochrony prywatności musi zapewniać osobom fizycznym wyraźne informacje na temat osoby odpowiedzialnej za kontakty wewnątrz podmiotu albo poza podmiotem, która będzie rozpatrywać skargi (w tym wszelkie istotne organy w Unii, które mogą odpowiadać na zapytania lub skargi), oraz na temat wyznaczonego niezależnego organu ds. rozstrzygania sporów (zob. motyw 70). Po otrzymaniu skargi złożonej przez osobę fizyczną bezpośrednio lub za pośrednictwem DoC w następstwie zgłoszenia przez organ ochrony danych podmiot musi, w terminie 45 dni, udzielić odpowiedzi osobie z Unii, której dane dotyczą 111 . Podobnie podmioty są zobowiązane do bezzwłocznego reagowania na zapytania i inne wnioski o udzielenie informacji złożone przez DoC lub organ ochrony danych 112 (jeżeli podmiot zobowiązał się do współpracy z organem ochrony danych) dotyczące przestrzegania przez nie zasad.
(70) Po drugie, osoby fizyczne mogą również wnieść skargę bezpośrednio do niezależnego organu ds. rozstrzygania sporów (w Stanach Zjednoczonych albo Unii) wyznaczonego przez podmiot w celu badania i rozstrzygania skarg osób fizycznych (chyba że są w oczywisty sposób bezpodstawne lub niepoważne) oraz zapewnienia właściwej nieodpłatnej ochrony prawnej osobie fizycznej 113 . Sankcje i środki ochrony prawnej nałożone przez taki organ muszą być wystarczająco rygorystyczne, aby zapewnić przestrzeganie zasad przez podmioty, oraz powinny przewidywać usunięcie lub skorygowanie przez podmiot skutków nieprzestrzegania zasad oraz, w zależności od okoliczności, zakończenie dalszego przetwarzania danych osobowych lub ich usunięcie, a także podanie do publicznej wiadomości stwierdzonych przypadków nieprzestrzegania zasad 114 . Wyznaczone przez podmiot niezależne organy ds. rozstrzygania sporów będą zobowiązane do umieszczania na swoich ogólnodostępnych stronach internetowych stosownych informacji na temat DPF UE-USA i usług, jakie świadczą w ramach tego programu 115 . Co roku muszą publikować sprawozdanie roczne zawierające zagregowane dane statystyczne dotyczące takich usług 116 .
(71) W ramach swoich procedur kontroli zgodności DoC może sprawdzić, czy podmioty objęte DPF UE-USA faktycznie zarejestrowały się, jak twierdzą, w niezależnych mechanizmach ochrony prawnej 117 . Zarówno podmioty, jak i odpowiedzialne niezależne mechanizmy ochrony prawnej są zobowiązane do bezzwłocznego reagowania na złożone przez DoC zapytania i wnioski o informacje dotyczące DPF UE-USA. DoC będzie współpracować z niezależnymi mechanizmami ochrony prawnej w celu zweryfikowania, czy na swoich stronach internetowych podmioty te podają informacje dotyczące zasad i usług, które świadczą zgodnie z DPF UE-USA oraz czy publikują sprawozdania roczne 118 .
(72) W przypadkach, w których podmiot nie zastosuje się do orzeczenia organu ds. rozstrzygania sporów lub organu samoregulacyjnego, ten ostatni musi zgłosić taki przypadek DoC i FTC (lub innemu amerykańskiemu organowi właściwemu do badania przypadków nieprzestrzegania zasad przez podmioty) lub właściwemu sądowi 119 . Jeżeli podmiot odmówi zastosowania się do ostatecznego ustalenia dowolnego organu samoregulacyjnego ds. ochrony prywatności, niezależnego organu ds. rozwiązywania sporów lub organu rządowego lub gdy organ taki uzna, że podmiot często nie przestrzega zasad, sytuacja taka może zostać uznana za uporczywe nieprzestrzeganie zasad, w rezultacie czego DoC - po przekazaniu podmiotowi nieprzestrzegającemu zasad stosownego powiadomienia z trzydziestodniowym wyprzedzeniem, aby zapewnić mu możliwość ustosunkowania się do zarzutów - skreśli ten podmiot z wykazu podmiotów objętych DPF 120 . Jeżeli po usunięciu podmiotu z wykazu w dalszym ciągu będzie on deklarował zgodność z zasadami DPF UE-USA, DoC przekaże sprawę do rozpoznania FTC lub innemu organowi egzekwowania prawa 121 .
(73) Po trzecie, osoby fizyczne mogą również wnosić skargi do krajowego organu ochrony danych w Unii, który może skorzystać ze swoich uprawnień dochodzeniowych i naprawczych na mocy rozporządzenia (UE) 2016/679. Podmioty są zobowiązane do współpracy przy badaniu i rozstrzyganiu skarg przez organ ochrony danych, jeżeli dotyczą one przetwarzania danych o zasobach ludzkich gromadzonych w kontekście stosunku pracy albo jeżeli dany podmiot dobrowolnie poddał się nadzorowi organów ochrony danych 122 . W szczególności podmioty muszą odpowiadać na zapytania, postępować zgodnie z zaleceniami organów ochrony danych, w tym środkami ochrony prawnej lub środkami odszkodowawczymi, oraz przekazywać organowi ochrony danych pisemne potwierdzenie o podjęciu takich działań 123 . W przypadku niezastosowania się do porady udzielonej przez organ ochrony danych organ ten przekazuje takie sprawy do DoC (który może usunąć podmioty z wykazu DPF UE-USA) lub, w przypadku ewentualnych działań egzekucyjnych, do FTC lub DoT (z powodu braku współpracy z organami ochrony danych lub nieprzestrzegania zasad na mocy prawa amerykańskiego można podjąć działania) 124 .
(74) W celu ułatwienia współpracy w zakresie skutecznego rozpatrywania skarg zarówno DoC, jak i FTC ustanowiły specjalne stanowisko osoby odpowiedzialnej za kontakty, odpowiadającej za bezpośrednie kontakty z organami ochrony danych 125 . Takie osoby odpowiedzialne za kontakty pomagają w przypadku zapytań organu ochrony danych dotyczących zgodności podmiotu z zasadami.
(75) Porady organów ochrony danych 126 są udzielane dopiero wówczas, gdy obie strony sporu miały należytą możliwość wypowiedzenia się i przedstawienia wszystkich dowodów zgodnie z własnym uznaniem. Panel może przekazać porady tak szybko, jak stanowi wymóg należytej procedury, i co do zasady w ciągu 60 dni po otrzymaniu skargi 127 . Jeżeli podmiot nie zastosuje się do porad w ciągu 25 dni od ich otrzymania i nie poda zadowalającego usprawiedliwienia takiego opóźnienia, panel może zawiadomić go o swoim zamiarze przekazania sprawy FTC (lub innemu właściwemu amerykańskiemu organowi egzekwowania prawa) albo o zamiarze stwierdzenia poważnego naruszenia zobowiązania do współpracy. W pierwszym przypadku może to prowadzić do podjęcia czynności egzekucyjnych na podstawie sekcji 5 ustawy o FTC (lub podobnej ustawy) 128 . W drugim przypadku panel poinformuje DoC, który uzna fakt niezastosowania się przez podmiot do wydanych przez panel organów ochrony danych zaleceń za uporczywe nieprzestrzeganie zasad, co doprowadzi do usunięcia podmiotu z wykazu podmiotów objętych DPF.
(76) Jeżeli organ ochrony danych, do którego skierowano skargę, nie podejmie żadnego działania w celu rozstrzygnięcia skargi lub podjęte przez niego działanie okaże się niewystarczające, skarżący będący osobą fizyczną może zaskarżyć takie działanie (zaniechanie) do sądów krajowych danego państwa członkowskiego UE.
(77) Osoby fizyczne mogą również wnieść skargi do organów ochrony danych nawet w przypadku, gdy panel organów ochrony danych nie został wyznaczony jako organ ds. rozstrzygania sporów danego podmiotu. W takich przypadkach organ ochrony danych może przekazać otrzymane skargi do rozpoznania przez DoC albo FTC. Aby ułatwić i pogłębić współpracę w kwestiach dotyczących skarg wnoszonych przez osoby fizyczne i nieprzestrzegania zasad przez podmioty objęte DPF UE-USA, DoC powoła specjalną osobę odpowiedzialną za kontakty, która będzie działała jako łącznik oraz będzie pomagać organowi ochrony danych w udzielaniu odpowiedzi na zapytania dotyczące przestrzegania zasad przez dany podmiot 129 . Podobnie FTC zobowiązało się do ustanowienia specjalnej osoby odpowiedzialnej za kontakty 130 .
(78) Po czwarte, DoC zobowiązał się do przyjmowania i rozpatrywania skarg oraz dokładania wszelkich starań w celu rozstrzygnięcia skarg dotyczących nieprzestrzegania zasad przez podmioty 131 . W tym celu DoC zapewnia organom ochrony danych szczegółowe procedury przekazywania skarg osobie wyznaczonej do kontaktów, śledzenia ich oraz kontaktowania się z podmiotami w celu ułatwienia procesu rozstrzygania skarg 132 . Aby przyspieszyć proces rozpatrywania skarg osób fizycznych, osoba wyznaczona do kontaktów współpracuje bezpośrednio z odpowiednim organem ochrony danych w kwestiach przestrzegania zasad, a w szczególności przekazuje mu aktualne informacje na temat statusu skarg w okresie nie dłuższym niż 90 dni od daty zgłoszenia 133 . Dzięki temu osoby, których dane dotyczą, będą mogły składać skargi dotyczące nieprzestrzegania zasad przez podmioty objęte DPF UE-USA bezpośrednio ich krajowemu organowi ochrony danych, który następnie przekaże je DoC jako amerykańskiemu organowi zarządzającemu DPF UE-USA.
(79) Jeżeli, na podstawie kontroli przeprowadzonej z urzędu, skarg lub innych informacji, DoC stwierdzi, że podmiot uporczywie nie przestrzega zasad ochrony prywatności, wówczas może usunąć taki podmiot z wykazu podmiotów objętych DPF 134 . Odmowa zastosowania się do ostatecznego ustalenia dowolnej instytucji samoregulującej ochronę prywatności, niezależnego organu rozstrzygania sporów lub organu rządowego, w tym organu ochrony danych, zostanie uznana za uporczywe nieprzestrzeganie zasad 135 .
(80) Po piąte, podmiot objęty DPF UE-USA musi podlegać jurysdykcji organów amerykańskich, w szczególności FTC 136 , które mają niezbędne uprawnienia w zakresie prowadzenia dochodzeń i egzekwowania prawa, aby skutecznie zapewnić przestrzeganie zasad przez ten podmiot. FTC priorytetowo traktuje zgłoszenia dotyczące nieprzestrzegania zasad otrzymane od niezależnego organu ds. rozstrzygania sporów lub organu samoregulacyjnego, DoC i organów ochrony danych (działających z własnej inicjatywy lub na podstawie skarg), aby ustalić, czy doszło do naruszenia przepisów sekcji 5 ustawy o FTC 137 . FTC zobowiązało się do ustanowienia standardowego procesu zgłaszania, wyznaczenia osoby odpowiedzialnej za kontakty w agencji, która będzie zajmowała się zgłoszeniami organów ochrony danych, oraz do wymiany informacji na temat zgłoszeń. Ponadto FTC może przyjmować skargi bezpośrednio od osób fizycznych i z urzędu przeprowadzać dochodzenia dotyczące DPF UE-USA, w szczególności w ramach szerzej zakrojonych dochodzeń dotyczących kwestii prywatności.
(81) Po szóste, w ramach mechanizmu ochrony prawnej "ostatniej szansy", w przypadku gdy żadne z pozostałych dostępnych środków odwoławczych nie przyniosły zadowalającego rozstrzygnięcia skargi osoby fizycznej, osoba z Unii, której dane dotyczą, może poddać sprawę pod arbitraż panelu ds. ram ochrony danych UE-USA (panel DPF UE-USA) 138 . Podmioty muszą poinformować osoby fizyczne o możliwości wystąpienia o arbitraż i są zobowiązane do udzielenia odpowiedzi, w przypadku gdy dana osoba fizyczna zdecyduje się skorzystać z tej możliwości, przekazując powiadomienie stosownemu podmiotowi 139 .
(82) Panel DPF UE-USA składa się z co najmniej dziesięciu arbitrów, którzy zostaną wyznaczeni przez DoC i Komisję w oparciu o ich niezależność, prawość oraz doświadczenie w zakresie amerykańskich przepisów dotyczących ochrony prywatności i unijnego prawa o ochronie danych. W odniesieniu do każdego sporu dotyczącego osoby fizycznej strony wybierają z tej grupy panel złożony z jednego arbitra lub trzech 140 arbitrów.
(83) Międzynarodowe Centrum Rozstrzygania Sporów (ICDR), międzynarodowy oddział Amerykańskiego Stowarzyszenia Arbitrażowego (AAA), zostało wybrane przez DoC do zarządzania postępowaniami arbitrażowymi. Postępowania przed panelem DPF UE-USA będą regulowane uzgodnionym regulaminem arbitrażowym oraz kodeksem postępowania obowiązującym wyznaczonych arbitrów. Strona internetowa ICDR-AAA zawiera jasne i zwięzłe informacje dla osób fizycznych na temat mechanizmu arbitrażowego i procedury występowania o arbitraż.
(84) Regulamin arbitrażowy uzgodniony między DoC i Komisją uzupełnia DPF UE-USA, w którym przewidziano szereg elementów przyczyniających się do zwiększenia dostępności tego mechanizmu dla osób z Unii, których dane dotyczą: (i) przygotowując skargę do rozpoznania przez panel, osoba, której dane dotyczą, może korzystać ze wsparcia swojego krajowego organu ochrony danych; (ii) chociaż miejscem prowadzenia postępowania arbitrażowego będą Stany Zjednoczone, osoba z Unii, której dane dotyczą, może zdecydować się na udział w nim za pośrednictwem wideokonferencji lub konferencji telefonicznej, która zostanie zorganizowana nieodpłatnie; (iii) choć zasadniczo postępowanie arbitrażowe będzie prowadzone w języku angielskim, po otrzymaniu uzasadnionego wniosku tłumaczenie ustne podczas postępowania arbitrażowego oraz tłumaczenie pisemne zostanie co do zasady zapewnione nieodpłatnie; (iv) chociaż każda ze stron musi ponieść własne koszty zastępstwa procesowego, jeżeli jest reprezentowana przed panelem przez pełnomocnika, DoC będzie prowadzić fundusz zasilany rocznymi składkami wpłacanymi przez podmioty objęte DPF UE-USA, które mają pokryć koszty procedury arbitrażowej, do kwot maksymalnych, które zostaną ustalone przez organy amerykańskie w porozumieniu z Komisją 141 .
(85) Panel ds. DPF UE-USA jest uprawniony do przyznania niepieniężnego godziwego zadośćuczynienia danej osobie fizycznej 142 , które jest niezbędne do usunięcia niezgodności z zasadami. Chociaż panel, podejmując decyzję, uwzględnia inne środki ochrony prawnej uzyskane już w ramach innych mechanizmów DPF UE-USA, osoby fizyczne mogą nadal wnieść o arbitraż, jeżeli uznają te inne środki ochrony prawnej za niewystarczające. Pozwala to osobom z Unii, których dane dotyczą, wszczęcie arbitrażu we wszystkich przypadkach, gdy działanie lub bezczynność właściwych podmiotów objętych DPF UE-USA, niezależnych mechanizmów ochrony prawnej lub właściwych organów amerykańskich (np. FTC) nie doprowadziły do zadowalającego rozstrzygnięcia ich skarg. Z arbitrażu nie można skorzystać w przypadku, gdy organ ochrony danych jest uprawniony z mocy prawa do rozstrzygnięcia konkretnego roszczenia dotyczącego podmiotu objętego DPF UE-USA, tj. w tych przypadkach, w których podmiot albo jest zobowiązany do współpracy i zastosowania się do porad organów ochrony danych dotyczących przetwarzania danych o zasobach ludzkich zgromadzonych w ramach stosunku pracy, albo dobrowolnie się do tego zobowiązał. Osoby fizyczne mogą dochodzić wykonania orzeczenia arbitrażowego przed sądami amerykańskimi zgodnie z federalną ustawą o arbitrażu, co zapewnia środek ochrony prawnej w sytuacji, gdy podmiot nie wywiąże się ze spoczywających na nim zobowiązań.
(86) Po siódme, jeżeli podmiot nie wywiąże się ze swojego zobowiązania do przestrzegania zasad i opublikowanej polityki ochrony prywatności, wówczas mogą być dostępne inne sądowe środki odwoławcze na mocy prawa amerykańskiego, takie jak możliwość uzyskania odszkodowania. Osoby fizyczne mogą na przykład pod pewnymi warunkami skorzystać z sądowych środków odwoławczych (takich jak odszkodowanie) na mocy stanowego prawa ochrony konsumentów w przypadkach podania fałszywych informacji w celu wprowadzenia w błąd, podejmowania nieuczciwych lub oszukańczych działań lub stosowania nieuczciwych lub oszukańczych praktyk 143 oraz na mocy prawa deliktów (w szczególności w przypadku czynów niedozwolonych polegających na naruszeniu miru domowego 144 , przywłaszczeniu nazwiska lub wizerunku 145 oraz publicznym ujawnieniu informacji o charakterze prywatnym 146 ).
(87) Wszystkie opisane powyżej sposoby dochodzenia roszczeń gwarantują, że każda skarga dotycząca niezgodności z DPF UE-USA przez certyfikowane podmioty zostanie skutecznie rozstrzygnięta i naprawiona.
3. DOSTĘP ORGANÓW PUBLICZNYCH W STANACH ZJEDNOCZONYCH DO DANYCH OSOBOWYCH PRZEKAZYWANYCH Z UNII EUROPEJSKIEJ I KORZYSTANIE Z TYCH DANYCH PRZEZ TE ORGANY
(88) Komisja oceniła również ograniczenia i zabezpieczenia, w tym mechanizmy nadzoru i indywidualne mechanizmy dochodzenia roszczeń dostępnych w prawie Stanów Zjednoczonych, jeśli chodzi o zbieranie i późniejsze wykorzystanie przez amerykańskie organy publiczne danych osobowych przekazywanych w interesie publicznym administratorom i podmiotom przetwarzającym w Stanach Zjednoczonych, szczególnie do celów ścigania przestępstw i bezpieczeństwa narodowego (dostęp rządowy) 147 . Oceniając, czy warunki dostępu rządu do danych przekazywanych do Stanów Zjednoczonych na podstawie niniejszej decyzji spełniają kryterium "zasadniczej równoważności" przewidziane w art. 45 ust. 1 rozporządzenia (UE) 2016/679, zgodnie z wykładnią Trybunału Sprawiedliwości w świetle Karty praw podstawowych, Komisja uwzględniła szereg kryteriów.
(89) W szczególności wszelkie ograniczenia prawa do ochrony danych osobowych muszą być przewidziane przepisami prawa, a podstawa prawna, która pozwala na ingerencję w takie prawo, musi sama określać zakres ograniczenia w wykonywaniu danego prawa 148 . Ponadto, aby spełnić wymóg proporcjonalności, zgodnie z którym odstępstwa od ochrony danych osobowych i ograniczenia tej ochrony powinny mieć zastosowanie tylko w takim zakresie, w jakim jest to absolutnie niezbędne w społeczeństwie demokratycznym do osiągnięcia szczególnych celów interesu ogólnego, równoważnych z celami uznanymi przez Unię, taka podstawa prawna musi określać jasne i precyzyjne zasady regulujące zakres i stosowanie środków oraz przewidywać wymagane zabezpieczenia, aby osoby, których dane zostały przekazane, miały wystarczające gwarancje skutecznej ochrony swoich danych osobowych przed ryzykiem nadużyć 149 . Ponadto takie zasady i zabezpieczenia muszą mieć charakter prawnie wiążący i być możliwe do wyegzekwowania przez osoby fizyczne 150 . W szczególności osoby, których dane dotyczą, muszą mieć możliwość wytoczenia powództwa przed niezależnym i bezstronnym sądem, aby uzyskać dostęp do swoich danych osobowych lub uzyskać sprostowanie lub usunięcie takich danych 151 .
3.1. Dostęp amerykańskich organów publicznych do danych na potrzeby ścigania przestępstw i wykorzystanie tych danych przez te organy w tym samym celu
(90) W odniesieniu do ingerencji w dane osobowe przekazywane na podstawie DPF UE-USA do celów ścigania przestępstw w prawie Stanów Zjednoczonych nakłada się szereg ograniczeń w zakresie dostępu do danych osobowych i ich wykorzystywania, a także zapewnia się mechanizmy nadzoru i dochodzenia roszczeń zgodne z wymogami, o których mowa w motywie 89 niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach. W tym względzie rząd USA (za pośrednictwem Departamentu Sprawiedliwości - DoJ) również złożył zapewnienia dotyczące obowiązujących ograniczeń i zabezpieczeń (załącznik VI do niniejszej decyzji).
3.1.1. Podstawy prawne, ograniczenia i zabezpieczenia
3.1.1.1. Ograniczenia i zabezpieczenia odnoszące się do gromadzenia danych osobowych do celów związanych ze ściganiem przestępstw
(91) Dane osobowe przetwarzane przez certyfikowane podmioty amerykańskie, które byłyby przekazywane z Unii na podstawie DPF UE-USA, mogą być wykorzystywane do celów ścigania przestępstw przez amerykańskich prokuratorów federalnych i federalnych agentów śledczych w ramach różnych procedur, jak wyjaśniono bardziej szczegółowo w motywach 92-99. Procedury te mają zastosowanie w ten sam sposób, gdy informacje uzyskiwane są od dowolnego podmiotu amerykańskiego, niezależnie od narodowości lub miejsca zamieszkania osoby, której dane dotyczą 152 .
(92) Po pierwsze, na wniosek federalnego funkcjonariusza organów ścigania lub pełnomocnika rządu, sędzia może wydać nakaz przeszukania lub zajęcia (w tym informacji przechowywanych w formie elektronicznej) 153 . Nakaz taki może zostać wydany tylko wtedy, gdy istnieje "uzasadnione podejrzenie" 154 , że "przedmioty podlegające zajęciu" (dowody przestępstwa, nielegalnie posiadane przedmioty lub składniki majątku zaprojektowane lub przeznaczone do wykorzystania lub wykorzystane do popełnienia przestępstwa) prawdopodobnie znajdują się w miejscu wskazanym w nakazie. W nakazie należy określić składnik majątku lub przedmiot, który ma zostać zajęty, oraz wskazać sędziego, któremu nakaz musi zostać przekazany. Osoba, której dotyczy przeszukanie lub której składnik majątku jest przedmiotem przeszukania, może wystąpić o wyłączenie z postępowania dowodów uzyskanych w wyniku bezprawnego przeszukania lub pochodzących z takiego przeszukania, jeżeli dowody te zostały przedstawione przeciwko tej osobie w postępowaniu karnym 155 . W przypadku gdy posiadacz danych (np. przedsiębiorstwo) jest zobowiązany do ujawnienia danych na mocy nakazu, może w szczególności zakwestionować wymóg ujawnienia jako nadmiernie obciążający 156 .
(93) Po drugie, wezwanie może zostać wydane przez wielką ławę przysięgłych (sądowe ciało dochodzeniowe wyznaczone przez sędziego) w kontekście dochodzeń w sprawie niektórych poważnych przestępstw 157 , co do zasady na wniosek prokuratora federalnego, w celu zażądania od danej osoby przedstawienia lub udostępnienia rejestrów związanych z prowadzoną działalnością, informacji przechowywanych w formie elektronicznej lub dostarczenia innych przedmiotów materialnych. Ponadto różnego rodzaju ustawy dopuszczają możliwość stosowania wezwań administracyjnych w celu pozyskania rejestrów dotyczących prowadzonej działalności, informacji przechowywanych w formie elektronicznej lub innych przedmiotów materialnych lub uzyskania dostępu do takich rejestrów, informacji lub przedmiotów w ramach postępowań w przedmiocie nadużyć w obszarze opieki zdrowotnej, znęcania się nad dziećmi, ochrony tajnych służb, spraw dotyczących substancji kontrolowanych i prowadzonych przez Inspektora Generalnego dochodzeń 158 . W obu przypadkach informacje muszą mieć istotne znaczenie dla prowadzonego dochodzenia, a wezwanie nie może być nieuzasadnione, tj. jego zakres nie może być zbyt szeroki ani nie może mieć zbyt uciążliwego lub obciążającego charakteru (i wezwanie takie może zostać zakwestionowane przez odbiorcę z tych powodów) 159 .
(94) Bardzo podobne warunki mają zastosowanie do wezwań administracyjnych wydanych w celu uzyskania dostępu do danych będących w posiadaniu przedsiębiorstw w Stanach Zjednoczonych w sprawach cywilnych lub regulacyjnych ("interes publiczny"). Uprawnienia agencji o kompetencjach cywilnych i regulacyjnych do wydawania takich wezwań administracyjnych muszą zostać ustanowione w statucie. Zastosowanie wezwania administracyjnego podlega "testowi zasadności", który wymaga, aby dochodzenie było prowadzone w uzasadnionym celu, informacje, o które wystąpiono na podstawie wezwania, były istotne dla tego celu, agencja nie posiadała już informacji, których żąda za pomocą wezwania, i dopełniono niezbędnych kroków administracyjnych w celu wydania wezwania 160 . W orzecznictwie Sądu Najwyższego wyjaśniono również potrzebę wyważenia znaczenia żądanych informacji dla interesu publicznego oraz znaczenia osobistej i organizacyjnej ochrony prywatności 161 . Chociaż zastosowanie wezwania administracyjnego nie podlega uprzedniej zgodzie organu sądowego, podlega ono kontroli sądowej w przypadku zakwestionowania przez podmiot z wyżej wymienionych powodów lub w przypadku, gdy agencja wydająca nakaz dąży do wystąpienia do sądu o zobowiązanie danego podmiotu do zastosowania się do treści wezwania administracyjnego 162 . Oprócz tych ogólnych nadrzędnych ograniczeń, z poszczególnych ustaw mogą wynikać szczególne (surowsze) wymogi 163 .
(95) Po trzecie, niektóre podstawy prawne umożliwiają organom egzekwowania prawa w sprawach karnych uzyskanie dostępu do danych komunikacyjnych. Sąd może wydać nakaz sądowy upoważniający do gromadzenia zarejestrowanych w czasie rzeczywistym informacji billingowych, informacji o trasowaniu, informacji adresowych i informacji przekazywanych w ramach sygnalizacji telekomunikacyjnej dotyczących danego numeru telefonu lub adresu e-mail (za pomocą urządzenia rejestrującego wybierane numery lub urządzenia śledzącego), jeśli stwierdzi, że organ poświadczył, że informacje, które mogą zostać pozyskane, mają istotne znaczenie dla toczącego się dochodzenia 164 . Nakaz musi zawierać, między innymi, określenie tożsamości podejrzanego, jeśli jest znana, cechy komunikacji, której nakaz dotyczy, oraz oświadczenie dotyczące przestępstwa, do którego odnoszą się gromadzone informacje. Korzystanie z urządzenia rejestrującego wybierane numery lub urządzenia śledzącego może być dozwolone na maksymalny okres sześćdziesięciu dni, który to okres może zostać przedłużony wyłącznie na podstawie nowego nakazu sądowego.
(96) Ponadto uzyskanie dostępu do informacji na temat abonentów, danych o ruchu oraz treści komunikatów przechowywanych przez dostawców usług internetowych, przedsiębiorstwa telekomunikacyjne oraz innych dostawców usług internetowych będących stronami trzecimi do celów związanych ze ściganiem przestępstw możliwe jest na podstawie ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej 165 . Aby uzyskać dostęp do treści komunikatów przekazywanych za pomocą łączności elektronicznej, organy egzekwowania prawa w sprawach karnych muszą co do zasady uzyskać nakaz wydany przez sędziego na podstawie uzasadnionego podejrzenia, że dane konto użytkownika zawiera dowody popełnienia przestępstwa 166 . Aby uzyskać dostęp do danych zgromadzonych przy rejestracji abonentów, ich adresów IP, powiązanych z tymi adresami znaczników czasu oraz informacji billingowych, organy egzekwowania prawa w sprawach karnych mogą skorzystać z nakazu. Aby uzyskać dostęp do większości innych przechowywanych informacji niedotyczących treści, takich jak nagłówki wiadomości e-mail bez tematu, organ egzekwowania prawa w sprawach karnych musi uzyskać nakaz sądowy, który zostanie wydany, jeśli sędzia uzna, że istnieją konkretne uzasadnione przesłanki świadczące o tym, że żądane informacje mają istotne i zasadnicze znaczenie dla toczącego się dochodzenia.
(97) Dostawcy, którzy otrzymują wnioski na podstawie ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej, mogą według własnego uznania powiadomić klienta lub abonenta, których dane mają zostać pozyskane, z wyjątkiem sytuacji, gdy odpowiedni organ egzekwowania prawa w sprawach karnych uzyska nakaz ochronny zakazujący dokonania takiego powiadomienia 167 . Taki nakaz ochronny jest nakazem sądowym, na mocy którego od dostawcy usług łączności elektronicznej lub dostawcy zdalnych usług komputerowych, do którego skierowane są nakaz, wezwanie sądowe lub nakaz sądowy, wymaga się, aby nie powiadamiał żadnej innej osoby o istnieniu nakazu, wezwania sądowego lub nakazu sądowego tak długo, jak sąd uzna za stosowne. Nakazy ochronne wydaje się wówczas, gdy sąd uzna, że istnieją powody, by przypuszczać, że powiadomienie poważnie zagroziłoby dochodzeniu lub nadmiernie opóźniłoby proces, np. ze względu na spowodowanie zagrożenia życia lub bezpieczeństwa fizycznego osoby, ucieczkę przed oskarżeniem, zastraszenie potencjalnych świadków itp. Na mocy memorandum zastępcy prokuratora generalnego (które ma charakter wiążący dla wszystkich prawników i przedstawicieli DoJ) wymagane jest, aby prokuratorzy dokonali szczegółowej oceny potrzeby wydania nakazu ochronnego i uzasadnili sądowi, w jaki sposób w danej sprawie spełnione zostały ustawowe kryteria uzyskania nakazu ochronnego 168 . Na mocy memorandum wymaga się również, aby wnioski o wydanie nakazów ochronnych zasadniczo nie miały na celu opóźnienia powiadomienia o więcej niż jeden rok. W przypadkach gdy w wyjątkowych okolicznościach konieczne mogą być nakazy o dłuższym okresie obowiązywania, o takie nakazy można ubiegać się wyłącznie za pisemną zgodą przełożonego wyznaczonego przez prokuratora Stanów Zjednoczonych lub odpowiedniego asystenta prokuratora generalnego. Ponadto zamykając dochodzenie, prokurator musi niezwłocznie ocenić, czy istnieją podstawy do utrzymania w mocy wszelkich niewykonanych nakazów ochronnych, a jeśli tak nie jest, zobowiązany jest uchylić nakaz ochronny i upewnić się, że dostawca usług został o tym fakcie powiadomiony 169 .
(98) Organy egzekwowania prawa w sprawach karnych mogą również przechwytywać w czasie rzeczywistym komunikaty przekazywane za pomocą łączności kablowej, ustnie lub za pomocą łączności elektronicznej na podstawie nakazu sądowego, w którym sędzia stwierdzi m.in., że istnieje uzasadnione podejrzenie, iż informacje uzyskane dzięki zainstalowaniu podsłuchu lub zastosowaniu środków przechwytywania komunikatów przekazywanych drogą elektroniczną pozwolą uzyskać dowody popełnienia przestępstwa federalnego lub ustalić miejsce pobytu osoby ukrywającej się przed wymiarem sprawiedliwości 170 .
(99) Dalszą ochronę gwarantują różnego rodzaju polityki i wytyczne Departamentu Sprawiedliwości, takie jak wytyczne prokuratora generalnego w sprawie krajowych operacji Federalnego Biura Śledczego (FBI) (AGG-DOM), na mocy których, między innymi, wymagane jest, aby FBI stosowało jak najmniej inwazyjne metody dochodzeniowe, biorąc pod uwagę ich wpływ na prywatność i wolności obywatelskie 171 .
(100) Zgodnie z oświadczeniami przedstawionymi przez rząd USA te same lub większe zabezpieczenia opisane powyżej mają zastosowanie do dochodzeń w sprawach egzekwowania prawa na szczeblu stanowym (w odniesieniu do dochodzeń prowadzonych na podstawie przepisów prawa stanowego) 172 . W szczególności przepisy konstytucyjne, a także ustawy i orzecznictwo na szczeblu państwowym potwierdzają wspomniane powyżej środki ochrony przed nieuzasadnionymi przeszukaniami i zajęciami, wymagając wydania nakazu przeszukania 173 . Podobnie jak w przypadku ochrony przyznanej na szczeblu federalnym, nakazy przeszukania mogą być wydawane wyłącznie po wykazaniu prawdopodobnej przyczyny i muszą określać miejsce, które ma zostać przeszukane, oraz osobę lub przedmiot, które mają zostać zatrzymane lub zajęte 174 .
3.1.1.2. Dalsze wykorzystywanie zebranych informacji
(101) W odniesieniu do dalszego wykorzystywania danych zebranych przez federalne organy egzekwowania prawa w sprawach karnych, różnego rodzaju ustawy, wytyczne i normy przewidują określone zabezpieczenia. Z wyjątkiem konkretnych instrumentów mających zastosowanie do działalności FBI (AGG-DOM i poradnika FBI dotyczącego prowadzenia dochodzeń i operacji na szczeblu krajowym), wymogi opisane w niniejszej sekcji mają zasadniczo zastosowanie do dalszego wykorzystywania danych przez dowolny organ federalny, w tym do danych, do których uzyskano dostęp do celów cywilnych lub regulacyjnych. Obejmuje to wymogi wynikające z not/rozporządzeń Urzędu ds. Administracji i Budżetu, ustawy federalnej o modernizacji bezpieczeństwa informacji, ustawy o administracji elektronicznej oraz ustawy o rejestrach federalnych.
(102) Zgodnie z uprawnieniami nadanymi na mocy ustawy Clinger-Cohen (P.L. 104-106, dział E) i ustawy o bezpieczeństwie komputerowym z 1987 r. (P.L. 100-235) Urząd ds. Administracji i Budżetu (OMB) wydał okólnik nr A-130 w celu ustanowienia ogólnych wiążących wytycznych mających zastosowanie do wszystkich agencji federalnych (w tym do organów egzekwowania prawa), w przypadku gdy przetwarzają one dane identyfikujące osobę 175 . Zgodnie z treścią tego okólnika wymagane jest w szczególności, aby wszystkie agencje federalne "ograniczyły tworzenie, gromadzenie, wykorzystywanie, przetwarzanie, przechowywanie, utrzymywanie, rozpowszechnianie i ujawnianie danych identyfikujących osobę do tych, które są prawnie dozwolone, istotne i z rozsądnego punktu widzenia uznane za niezbędne do prawidłowego wykonywania funkcji upoważnionej agencji" 176 . Ponadto w zakresie, w jakim jest to wykonalne, agencje federalne muszą zapewnić, by dane identyfikujące osobę były prawidłowe, istotne, aktualne i kompletne oraz ograniczone do minimum niezbędnego do prawidłowego wykonywania funkcji agencji. Ogólniej rzecz ujmując, agencje federalne muszą ustanowić kompleksowy program ochrony prywatności w celu zapewnienia zgodności z obowiązującymi wymogami dotyczącymi ochrony prywatności, opracować i oceniać polityki prywatności oraz zarządzać ryzykiem związanym z ochroną prywatności, stosować procedury wykrywania, dokumentowania i zgłaszania incydentów związanych z przestrzeganiem zasad ochrony prywatności, opracowywać szkolenia i programy mające na celu zwiększenie świadomości na temat ochrony prywatności dla pracowników i wykonawców, oraz wdrożyć zasady i procedury na rzecz zapewnienia, by personel ponosił odpowiedzialność za przestrzeganie wymogów i zasad dotyczących ochrony prywatności 177 .
(103) Ponadto zgodnie z ustawą o administracji elektronicznej 178 wszystkie agencje federalne (w tym organy egzekwowania prawa w sprawach karnych) są zobowiązane do wprowadzenia zabezpieczeń zapewniających bezpieczeństwo informacji, współmiernych do ryzyka i wielkości szkody, która wynikałaby z nieuprawnionego dostępu, wykorzystywania, ujawniania, zakłócenia, zmodyfikowania lub zniszczenia, oraz do wyznaczenia głównego urzędnika ds. informacji w celu zapewnienia spełnienia wymogów w zakresie bezpieczeństwa informacji oraz przeprowadzenia corocznej niezależnej oceny (np. przez Inspektora Generalnego, zob. motyw 109) ich programu i praktyk na rzecz bezpieczeństwa informacji 179 . Podobnie zgodnie z ustawą o rejestrach federalnych (FRA) 180 i dodatkowymi regulacjami 181 informacje przechowywane przez agencje federalne muszą podlegać zabezpieczeniom zapewniającym fizyczną integralność danych oraz chroniącym dane przed nieuprawnionym dostępem.
(104) Zgodnie z ustawowym upoważnieniem federalnym, w tym z ustawą federalną o modernizacji bezpieczeństwa informacji z 2014 r., OMB oraz Narodowy Instytut Standaryzacji i Technologii (NIST) opracowały normy wiążące dla agencji federalnych (w tym dla organów egzekwowania prawa w sprawach karnych), w których szczegółowo określono minimalne wymogi w zakresie bezpieczeństwa informacji, które należy wdrożyć i które obejmują kontrole dostępu, zapewnienie podnoszenia świadomości i szkoleń, planowanie ewentualnościowe, reagowanie na incydenty, narzędzia w zakresie audytów i rozliczalności, zapewnienie integralności systemu i danych, przeprowadzanie ocen ryzyka związanego z prywatnością i bezpieczeństwem itp. 182 Ponadto zgodnie z wytycznymi OMB wszystkie agencje federalne (w tym organy egzekwowania prawa w sprawach karnych) muszą utrzymywać i wdrożyć plan postępowania w razie naruszenia ochrony danych, w tym reagowania na takie naruszenia oraz oceny ryzyka wystąpienia szkód 183 .
(105) Jeśli chodzi o przechowywanie danych, zgodnie z ustawą o rejestrach federalnych (FRA) 184 agencje federalne Stanów Zjednoczonych (w tym organy egzekwowania prawa w sprawach karnych) są zobowiązane do określenia okresów przechowywania swojej dokumentacji (po których upływie dokumentacja ta musi zostać usunięta), które to okresy muszą zostać zatwierdzone przez Krajową Administrację Archiwów i Rejestrów 185 . Długość tych okresów przechowywania jest uzależniona od różnych czynników, takich jak rodzaj dochodzenia, to, czy dowody są nadal istotne dla danego dochodzenia, itp. Jeśli chodzi o FBI, zgodnie z AGG-DOM FBI musi mieć taki plan przechowywania dokumentacji oraz prowadzić system, za którego pomocą można szybko sprawdzić status i podstawę dochodzeń.
(106) Okólnik OMB nr A-130 również zawiera określone wymogi dotyczące rozpowszechniania danych identyfikujących osobę. Co do zasady rozpowszechnianie i ujawnianie danych identyfikujących osobę musi ograniczać się do tego, co jest prawnie dozwolone, istotne i racjonalnie uznane za niezbędne do właściwego wykonywania funkcji agencji 186 . Podczas udostępniania danych identyfikujących osobę innym podmiotom rządowym amerykańskie agencje federalne muszą, w stosownych przypadkach, narzucić warunki (w tym warunek wdrożenia konkretnych kontroli bezpieczeństwa i prywatności) regulujące przetwarzanie takich danych na podstawie umów pisemnych (w tym kontraktów, umów w sprawie wykorzystywania danych, umów w sprawie wymiany danych i protokołów ustaleń) 187 . Jeżeli chodzi o powody, dla których informacje mogą być rozpowszechniane, w wytycznych AGG-DOM i w poradniku FBI dotyczącym prowadzenia dochodzeń i operacji na szczeblu krajowym 188 przewidziano, że FBI może podlegać wymogowi prawnemu (np. na mocy umowy międzynarodowej) rozpowszechniania danych lub może udostępniać informacje w określonych okolicznościach, np. innym agencjom amerykańskim, jeżeli ujawnienie jest zgodne z celem, dla którego zebrano informacje, i są związane z obowiązkami tych agencji; komisjom kongresowym; agencjom zagranicznym, jeżeli dane są związane z ich obowiązkami, a ich rozpowszechnianie jest zgodne z interesami Stanów Zjednoczonych; ich rozpowszechnianie jest szczególnie niezbędne do zapewnienia bezpieczeństwa lub ochrony osób lub mienia lub do ochrony przed przestępstwem lub zagrożeniem bezpieczeństwa narodowego lub do zapobieżenia przestępstwu lub zagrożeniu bezpieczeństwa narodowego, a ujawnienie jest zgodne z celem, dla którego zebrano dane 189 .
3.1.2. Nadzór
(107) Działalność federalnych organów ścigania podlega nadzorowi ze strony różnych podmiotów 190 . Jak wyjaśniono w motywach 92-99, w większości przypadków obejmuje to uprzedni nadzór ze strony wymiaru sprawiedliwości, który musi zezwolić na indywidualne środki zbierania danych przed ich zastosowaniem. Ponadto inne organy nadzorują różne etapy działalności organów egzekwowania prawa w sprawach karnych, w tym gromadzenie i przetwarzanie danych osobowych. Te organy sądowe i pozasądowe wspólnie zapewniają, aby organy egzekwowania prawa podlegały niezależnemu nadzorowi.
(108) Po pierwsze, urzędnicy ds. prywatności i wolności obywatelskich pełnią obowiązki w różnych departamentach, którym powierzono obowiązki w zakresie ścigania przestępstw 191 . Chociaż konkretne uprawnienia tych urzędników mogą się nieco różnić w zależności od ustawy stanowiącej podstawę prawną, zazwyczaj obejmują nadzór nad procedurami w celu zapewnienia, aby dany departament lub dana agencja odpowiednio uwzględniały kwestie dotyczące prywatności i wolności obywatelskich oraz aby wdrażały odpowiednie procedury rozpatrywania skarg złożonych przez osoby fizyczne, które uważają, że ich prywatność lub wolności obywatelskie zostały naruszone. Szefowie poszczególnych departamentów lub agencji muszą dopilnować, aby urzędnicy ds. prywatności i wolności obywatelskich dysponowali materiałami i zasobami niezbędnymi do wykonywania swoich uprawnień, mieli dostęp do wszelkich materiałów i zasobów osobowych niezbędnych do wypełniania swoich funkcji oraz byli informowani o proponowanych zmianach polityki, a także aby konsultowano się z nimi w sprawie odnośnych zmian 192 . Urzędnicy ds. prywatności i wolności obywatelskich składają Kongresowi okresowe sprawozdania dotyczące m.in. liczby i rodzaju skarg otrzymanych przez departament/agencję oraz podsumowanie sposobu rozpatrzenia takich skarg, prowadzonych przeglądów i postępowań oraz wpływu działań przeprowadzonych przez urzędnika 193 .
(109) Po drugie, niezależny Inspektor Generalny nadzoruje działalność Departamentu Sprawiedliwości, w tym FBI 194 . Inspektorzy Generalni są niezależni ustawowo 195 i odpowiadają za przeprowadzanie niezależnych dochodzeń, audytów oraz kontroli programów i operacji departamentu. Mają wgląd we wszystkie rejestry, sprawozdania, audyty, przeglądy, dokumenty, opracowania, zalecenia lub inne istotne materiały, w razie potrzeby na mocy wezwania, oraz mogą odbierać zeznania 196 . Chociaż Inspektorzy Generalni wydają niewiążące zalecenia dotyczące działań naprawczych, ich sprawozdania, m.in. na temat działań następczych (lub braku takich działań) 197 , co do zasady są podawane do publicznej wiadomości i wysyłane do Kongresu, który na ich podstawie może wykonywać swoją funkcję nadzorczą (zob. motyw 111) 198 .
(110) Po trzecie, w zakresie, w jakim prowadzą one działania antyterrorystyczne, departamenty odpowiedzialne za egzekwowanie prawa w sprawach karnych podlegają nadzorowi Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (PCLOB), niezależnej agencji w ramach władzy wykonawczej złożonej z dwupartyjnego, pięcioosobowego zarządu powoływanego przez Prezydenta na sześcioletnią kadencję za zgodą Senatu 199 . Zgodnie ze statutem założycielskim PCLOB powierzono obowiązki w obszarze kształtowania i wdrażania polityki walki z terroryzmem, aby zapewnić ochronę prywatności i wolności obywatelskich. W swoim przeglądzie Rada ma dostęp do wszystkich stosownych rejestrów, sprawozdań, audytów, przeglądów, dokumentów, opracowań i zaleceń agencji, z uwzględnieniem informacji niejawnych, oraz może przeprowadzać przesłuchania i odbierać zeznania 200 . Rada otrzymuje sprawozdania od urzędników ds. wolności obywatelskich i prywatności z szeregu departamentów/agencji federalnych 201 , może wydawać zalecenia skierowane do rządu i organów egzekwowania prawa i regularnie sporządza sprawozdania dla komisji Kongresu i dla Prezydenta 202 . Sprawozdania Rady, w tym te przedkładane Kongresowi, muszą być w możliwie największym stopniu dostępne publicznie 203 .
(111) Ponadto działania w zakresie ścigania przestępstw podlegają nadzorowi ze strony konkretnych komisji działających w Kongresie Stanów Zjednoczonych (Komisje ds. Sprawiedliwości w Izbie Reprezentantów i w Senacie). Komisje ds. Sprawiedliwości przeprowadzają regularny nadzór w różnych formach, w szczególności w formie przesłuchań, dochodzeń, przeglądów i sprawozdań 204 .
3.1.3. Dochodzenie roszczeń
(112) Jak już wskazano, w większości przypadków organy egzekwowania prawa w sprawach karnych muszą uzyskać wcześniej zgodę organu sądowego na gromadzenie danych osobowych. Chociaż wcześniejsza zgoda organu sądowego nie jest wymagana w odniesieniu do wezwań administracyjnych, wezwania te ograniczają się do określonych sytuacji i będą podlegać niezależnej kontroli sądowej przynajmniej wtedy, gdy rząd dochodzi egzekwowania prawa w sądzie. W szczególności adresaci wezwań administracyjnych mogą podważyć je w sądzie na tej podstawie, że są one niezasadne, tj. przesadzone, opresyjne lub uciążliwe 205 .
(113) Osoby fizyczne mogą najpierw składać wnioski lub skargi do organów egzekwowania prawa w sprawach karnych dotyczące przetwarzania ich danych osobowych. Obejmuje to możliwość wnioskowania o dostęp do danych osobowych i ich korektę 206 . Jeżeli chodzi o działania związane ze zwalczaniem terroryzmu, osoby fizyczne mogą również złożyć skargę do urzędników ds. prywatności i wolności obywatelskich (lub innych urzędników ds. ochrony prywatności) w organach egzekwowania prawa 207 .
(114) Ponadto w prawie amerykańskim osobom fizycznym zapewniono szereg sądowych środków odwoławczych wobec organu publicznego lub jednego z urzędników takiego organu, w przypadku gdy te organy przetwarzają dane osobowe 208 . Ze wspomnianych środków przewidzianych w szczególności w ustawie o postępowaniu administracyjnym, ustawie o dostępie do informacji publicznej i ustawie o ochronie danych w łączności elektronicznej mogą skorzystać wszystkie osoby fizyczne, niezależnie od ich obywatelstwa, o ile spełnią odpowiednie warunki.
(115) Co do zasady, zgodnie z przepisami dotyczącymi kontroli sądowej ustanowionymi w ustawie o postępowaniu administracyjnym 209 "każda osoba doznająca krzywdy w świetle prawa w wyniku działania agencji lub dotknięta negatywnymi skutkami takiego działania lub poszkodowana w wyniku działań prowadzonych przez agencję" może wystąpić o kontrolę sądową 210 . Obejmuje to możliwość wystąpienia do sądu o "uznanie za bezprawne i uchylenie działań, ustaleń i wniosków agencji, w przypadku których okazało się, że są [...] arbitralne, nieprzemyślane, stanowią nadużycie uprawnień lub w inny sposób są niezgodne z prawem" 211 .
(116) Ściślej rzecz ujmując, w tytule II ustawy o ochronie danych w łączności elektronicznej 212 ustanowiono system ustawowych praw w obszarze prywatności, który reguluje kwestie związane z dostępem organów egzekwowania prawa do treści komunikatów przekazywanych za pomocą łączności przewodowej, ustnie lub za pomocą łączności elektronicznej przechowywanych przez dostawców usług będących stronami trzecimi 213 . W świetle przepisów ustawy bezprawny (tj. w braku stosownego upoważnienia wydanego przez sąd lub innego zezwolenia) dostęp do takich komunikatów jest uznawany za przestępstwo i daje pokrzywdzonej osobie prawo wytoczenia powództwa cywilnego przed amerykański sąd federalny o odszkodowanie za faktycznie poniesione szkody lub o odszkodowanie karne, a także o zasądzenie godziwego zadośćuczynienia od Stanów Zjednoczonych lub od urzędnika rządowego, który umyślnie dopuścił się tego rodzaju czynów zabronionych, lub wystąpienia z wnioskiem o wydanie deklaratywnego orzeczenia ustalającego wobec takiego urzędnika lub wobec Stanów Zjednoczonych.
(117) Ponadto w kilku innych ustawach przyznaje się osobom fizycznym prawo do wytoczenia powództwa przeciwko organowi publicznemu lub urzędnikowi Stanów Zjednoczonych w związku z przetwarzaniem ich danych osobowych, takich jak ustawa o podsłuchach 214 , ustawa o oszustwach i nadużyciach komputerowych 215 , ustawa federalna o roszczeniach z tytułu czynu niedozwolonego 216 , ustawa o prawie do prywatności w kwestiach finansowych 217 oraz ustawa o rzetelnej sprawozdawczości kredytowej 218 .
(118) Ponadto zgodnie z Ustawą o dostępie do informacji publicznej 219 (tytuł 5 § 552 U.S.C.) każdy ma prawo do wglądu w rejestr prowadzony przez agencję federalną, w tym w przypadku, gdy zawiera on dane osobowe tej osoby. Po wyczerpaniu administracyjnych środków ochrony prawnej - do egzekwowania tego prawa przed sądem, o ile wspomniane rejestry nie są objęte ochroną przed publicznym ujawnieniem na mocy wyjątku lub przepisów szczególnych wyłączających ich jawność ze względów związanych z egzekwowaniem prawa 220 . W takim przypadku sąd oceni, czy zastosowanie ma jakikolwiek wyjątek lub czy został on zgodnie z prawem przywołany przez właściwy organ publiczny.
3.2. Dostęp amerykańskich organów publicznych do danych w celach związanych z bezpieczeństwem narodowym i korzystanie przez amerykańskie organy publiczne z tych danych w celach związanych z bezpieczeństwem narodowym
(119) W prawie Stanów Zjednoczonych ustanowiono różne ograniczenia i zabezpieczenia w zakresie dostępu do danych osobowych i korzystania z nich do celów bezpieczeństwa narodowego, a także mechanizmy nadzoru i dochodzenia roszczeń, które są zgodne z wymogami określonymi w motywie 89 niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach.
3.2.1. Podstawy prawne, ograniczenia i zabezpieczenia
3.2.1.1. Obowiązujące ramy prawne
(120) Organy amerykańskie mogą gromadzić dane osobowe przekazywane z Unii do podmiotów objętych DPF UE-USA do celów bezpieczeństwa narodowego na podstawie różnych instrumentów prawnych, z zastrzeżeniem szczególnych warunków i zabezpieczeń.
(121) Po otrzymaniu danych osobowych przez podmioty mające siedzibę w Stanach Zjednoczonych, amerykańskie agencje wywiadowcze mogą ubiegać się o dostęp do tych danych jedynie do celów związanych z bezpieczeństwem narodowym wyłącznie zgodnie z ustawą stanowiącą podstawę prawną, w szczególności zgodnie z ustawą o kontroli wywiadu lub przepisami prawa stanowionego zezwalających na dostęp z wykorzystaniem wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego 221 . W ustawie o kontroli wywiadu przewidziano szereg podstaw prawnych, na których można się oprzeć przy gromadzeniu (i późniejszym przetwarzaniu) danych osobowych osób z Unii, których dane dotyczą, przekazywanych zgodnie z DPF UE-USA (sekcja 105 ustawy o kontroli wywiadu 222 , sekcja 302 ustawy o kontroli wywiadu 223 , sekcja 402 ustawy o kontroli wywiadu 224 , sekcja 501 ustawy o kontroli wywiadu 225 i sekcja 702 ustawy o kontroli wywiadu 226 ), co opisano bardziej szczegółowo w motywach 142-152.
(122) Amerykańskie agencje wywiadowcze mają również możliwość gromadzenia danych osobowych poza Stanami Zjednoczonymi, przy czym może to obejmować dane osobowe, które są w tranzycie między Unią a Stanami Zjednoczonymi. Gromadzenie danych osobowych poza Stanami Zjednoczonymi opiera się na rozporządzeniu wykonawczym 12333 ("rozporządzenie wykonawcze 12333") 227 wydanym przez Prezydenta 228 .
(123) Gromadzenie danych w ramach rozpoznania radioelektronicznego jest formą gromadzenia danych wywiadowczych najwłaściwszą dla obecnego stwierdzania odpowiedniego stopnia ochrony, ponieważ dotyczy ona gromadzenia komunikatów elektronicznych i danych z systemów informacyjnych. Takie gromadzenie danych mogą przeprowadzać amerykańskie agencje wywiadowcze zarówno w Stanach Zjednoczonych (na podstawie ustawy o kontroli wywiadu), jak i w ramach tranzytu danych do Stanów Zjednoczonych (na podstawie rozporządzenia wykonawczego 12333).
(124) 7 października 2022 r. Prezydent Stanów Zjednoczonych wydał rozporządzenie wykonawcze 14086 w sprawie wzmocnienia zabezpieczeń w odniesieniu do działań Stanów Zjednoczonych w zakresie rozpoznania radioelektronicznego, w którym określono ograniczenia i zabezpieczenia dotyczące wszystkich prowadzonych przez Stany Zjednoczone działań w zakresie rozpoznania radioelektronicznego. To rozporządzenie wykonawcze zastępuje w znacznej mierze dyrektywę polityczną Prezydenta nr 28 (PPD-28) 229 , a jego celem jest wzmocnienie warunków, ograniczeń i zabezpieczeń mających zastosowanie do wszystkich działań w zakresie rozpoznania radioelektronicznego (tj. na podstawie ustawy o kontroli wywiadu i rozporządzenia wykonawczego 12333) na niezależnie od miejsca ich wykonywania 230 oraz ustanowienie nowego mechanizmu dochodzenia roszczeń, za którego pośrednictwem osoby fizyczne mogą powoływać się na te zabezpieczenia oraz je egzekwować 231 (więcej szczegółów podano w motywach 176-194). W ten sposób rozporządzenie to wdraża do prawa amerykańskiego wynik rozmów przeprowadzonych między UE i USA po unieważnieniu przez Trybunał Sprawiedliwości decyzji Komisji stwierdzającej odpowiedni stopień ochrony w ramach Tarczy Prywatności (zob. motyw 6). W związku z tym stanowi ono szczególnie ważny element ram prawnych będących przedmiotem oceny w niniejszej decyzji.
(125) Ograniczenia i zabezpieczenia wprowadzone rozporządzeniem wykonawczym 14086 uzupełniają ograniczenia i zabezpieczenia przewidziane w sekcji 702 ustawy o kontroli wywiadu i rozporządzeniu wykonawczym 12333. Wymogi opisane poniżej (w sekcjach 3.2.1.2 i 3.2.1.3) muszą być stosowane przez agencje wywiadowcze podczas angażowania się w działania w zakresie rozpoznania radioelektronicznego zgodnie z sekcją 702 ustawy o kontroli wywiadu i rozporządzeniem wykonawczym 12333, np. przy wyborze/identyfikowaniu kategorii danych wywiadowczych, które mają zostać pozyskane zgodnie z sekcją 702 ustawy o kontroli wywiadu; gromadzeniu danych w obszarze wywiadu lub kontrwywiadu zagranicznego zgodnie z rozporządzeniem wykonawczym 12333; oraz podejmowaniu indywidualnych decyzji o ukierunkowywaniu na podstawie sekcji 702 ustawy o kontroli wywiadu i rozporządzenia wykonawczego 12333.
(126) Wymogi określone w tym rozporządzeniu wykonawczym wydanym przez Prezydenta są wiążące dla całej Wspólnoty Wywiadowczej. Muszą one być wdrażane w ramach strategii politycznych i procedur agencji, które przekładają je na konkretne kierunki codziennej działalności. W tym względzie rozporządzenie wykonawcze 14086 zapewnia amerykańskim agencjom wywiadowczym maksymalnie rok na aktualizację ich obowiązujących strategii politycznych i procedur (tj. do 7 października 2023 r.) w celu dostosowania ich do wymogów tego rozporządzenia wykonawczego. Takie zaktualizowane strategie polityczne i procedury muszą być opracowywane w porozumieniu z prokuratorem generalnym, urzędnikiem ds. ochrony wolności obywatelskich Urzędu Dyrektora Krajowych Służb Wywiadowczych (Urząd Dyrektora Krajowych Służb Wywiadowczych Biura Wolności Obywatelskich i Ochrony Prywatności) i Radą Nadzoru nad Ochroną Danych i Wolnościami Obywatelskimi (PCLOB) - niezależnym organem nadzorczym uprawnionym do przeglądu strategii politycznych realizowanych przez władzę wykonawczą i ich wdrażania w celu ochrony prywatności i wolności obywatelskich (zob. motyw 110 w odniesieniu do roli i statusu PCLOB) - oraz muszą być podawane do wiadomości publicznej 232 . Ponadto po wprowadzeniu zaktualizowanych strategii politycznych i procedur PCLOB przeprowadzi przegląd w celu zapewnia ich zgodności z rozporządzeniem wykonawczym. W terminie 180 dni po zakończeniu takiego przeglądu przez PCLOB każda agencja wywiadowcza musi starannie rozważyć i wdrożyć wszystkie zalecenia PCLOB lub w inny sposób zastosować się do nich. 3 lipca 2023 r. rząd USA opublikował takie zaktualizowane strategie i procedury 233 .
3.2.1.2. Ograniczenia i zabezpieczenia odnoszące się do gromadzenia danych osobowych do celów związanych z bezpieczeństwem narodowym
(127) W rozporządzeniu wykonawczym 14086 określono szereg nadrzędnych wymogów, które mają zastosowanie do wszystkich działań w zakresie rozpoznania radioelektronicznego (gromadzenie, wykorzystywanie, rozpowszechnianie itp. danych osobowych).
(128) Po pierwsze, podstawą takich działań muszą być przepisy ustawy lub upoważnienie wydane przez Prezydenta i takie działania muszą być podejmowane zgodnie z prawem amerykańskim, w tym zgodnie z konstytucją 234 .
(129) Po drugie, muszą istnieć odpowiednie zabezpieczenia w celu zapewnienia, by prywatność i wolności obywatelskie miały kluczowe znaczenie w kontekście planowania takich działań 235 .
(130) W szczególności wszystkie działania w zakresie rozpoznania radioelektronicznego mogą być prowadzone wyłącznie "po ustaleniu, na podstawie racjonalnej oceny wszystkich istotnych czynników, że działania te są niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego" (w odniesieniu do terminu "zatwierdzony priorytet wywiadowczy" zob. motyw 135) 236 .
(131) Ponadto takie działania mogą być prowadzone wyłącznie "w takim zakresie i w taki sposób, które są proporcjonalne do zatwierdzonego priorytetu wywiadowczego, w odniesieniu do którego zostały one dozwolone" 237 . Innymi słowy, należy osiągnąć odpowiednią równowagę "między znaczeniem realizowanego priorytetu wywiadowczego a wpływem na prywatność i wolności obywatelskie osób fizycznych, których to dotyczy, niezależnie od ich narodowości lub miejsca zamieszkania" 238 .
(132) Ponadto, aby zapewnić zgodność z tymi wymogami ogólnymi, które odzwierciedlają zasady legalności, konieczności i proporcjonalności, działania w zakresie rozpoznania radioelektronicznego podlegają nadzorowi (więcej szczegółów na ten temat podano w sekcji 3.2.2) 239 .
(133) Te nadrzędne wymogi są ponadto uzasadnione w kontekście gromadzenia danych w ramach rozpoznania radioelektronicznego poprzez szereg warunków i ograniczeń zapewniających, aby ingerowanie w prawa osób fizycznych było ograniczone do tego, co jest niezbędne i proporcjonalne do realizacji uzasadnionego celu.
(134) Po pierwsze, w rozporządzeniu wykonawczym ogranicza się powody, dla których dane mogą być gromadzone w ramach działań w zakresie rozpoznania radioelektronicznego, na dwa sposoby. Z jednej strony w rozporządzeniu wykonawczym określono uzasadnione cele, które można realizować przez gromadzenie danych w wyniku rozpoznania radioelektronicznego, np. w celu zrozumienia lub oceny możliwości, zamiarów lub działań zagranicznych podmiotów, w tym międzynarodowych organizacji terrorystycznych, które stwarzają faktyczne lub potencjalne zagrożenie dla bezpieczeństwa narodowego Stanów Zjednoczonych, w celu ochrony przed zagranicznymi zdolnościami i działaniami wojskowymi oraz w celu zrozumienia lub oceny transgranicznych zagrożeń, które wpływają na bezpieczeństwo globalne, takich jak zmiana klimatu i inne zmiany ekologiczne, zagrożenia dla zdrowia publicznego i zagrożenia natury humanitarnej 240 . Z drugiej strony w rozporządzeniu wykonawczym wymieniono określone cele, których nigdy nie wolno realizować za pomocą działań w zakresie rozpoznania radioelektronicznego, np. w celu wywołania krytyki lub sprzeciwu lub swobodnego wyrażania pomysłów lub opinii politycznych przez jednostki lub prasę, w celu działania na niekorzyść danej jednostki ze względu na jej pochodzenie etniczne, rasę, płeć, tożsamość płciową, orientację seksualną lub religię lub w celu przyznania przewagi konkurencyjnej amerykańskim przedsiębiorstwom 241 .
(135) Ponadto agencje wywiadowcze nie mogą powoływać się na uzasadnione cele określone w rozporządzeniu wykonawczym 14086 same w sobie, aby uzasadnić gromadzenie danych w wyniku rozpoznania radioelektronicznego, lecz cele te muszą być dodatkowo poparte - w przypadku celów operacyjnych - bardziej konkretnymi priorytetami, w odniesieniu do których można gromadzić dane w wyniku rozpoznania radioelektronicznego. Innymi słowy, faktyczne gromadzenie danych może odbywać się wyłącznie w celu realizacji bardziej konkretnego priorytetu. Takie priorytety są ustalane za pośrednictwem specjalnego procesu, którego celem jest zapewnienie zgodności z mającymi zastosowanie wymogami prawnymi, w tym wymogami dotyczącymi prywatności i wolności obywatelskich. Ściślej rzecz ujmując, priorytety wywiadowcze są najpierw opracowywane przez Dyrektora Krajowych Służb Wywiadowczych (za pośrednictwem tak zwanych ram amerykańskich priorytetów wywiadowczych), a następnie przedstawiane Prezydentowi do zatwierdzenia 242 . Przed zaproponowaniem priorytetów wywiadowczych Prezydentowi Dyrektor musi, zgodnie z rozporządzeniem wykonawczym 14086, uzyskać od Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ocenę każdego priorytetu pod kątem tego, czy dany priorytet 1) przyczynia się do realizacji co najmniej jednego uzasadnionego celu wymienionego w rozporządzeniu wykonawczym; 2) ani nie został zaprojektowany z myślą o gromadzeniu danych w wyniku rozpoznania radioelektronicznego, ani nie przewiduje się, że spowoduje on gromadzenie danych w wyniku rozpoznania radioelektronicznego na potrzeby realizacji zakazanego celu wymienionego w rozporządzeniu wykonawczym; oraz 3) został określony po odpowiednim uwzględnieniu prywatności i wolności obywatelskich wszystkich osób, niezależnie od ich narodowości lub miejsca zamieszkania 243 . W przypadku gdy Dyrektor nie zgodzi się z oceną Biura Wolności Obywatelskich i Ochrony Prywatności, obie opinie muszą zostać przedstawione Prezydentowi 244 .
(136) W związku z tym proces ten w szczególności zapewnia uwzględnienie kwestii związanych z prywatnością już na początkowym etapie, kiedy priorytety wywiadowcze są opracowywane.
(137) Po drugie, po ustaleniu priorytetu wywiadowczego szereg wymogów determinuje wydanie decyzji, czy można gromadzić dane w ramach rozpoznania radioelektronicznego w celu realizacji takiego priorytetu, a jeśli tak, to w jakim zakresie. Wymogi te zapewniają wypełnienie nadrzędnych standardów niezbędności i proporcjonalności określonych w sekcji 2 lit. a) rozporządzenia wykonawczego.
(138) W szczególności dane w ramach rozpoznania radioelektronicznego mogą być gromadzone wyłącznie "po ustaleniu, na podstawie racjonalnej oceny wszystkich istotnych czynników, że gromadzenie tych danych jest niezbędne do realizacji konkretnego priorytetu wywiadowczego" 245 . Przy ustalaniu, czy konkretne działanie w obszarze gromadzenia danych w wyniku rozpoznania radioelektronicznego jest niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego, amerykańskie agencje wywiadowcze muszą wziąć pod uwagę dostępność, wykonalność i stosowność innych, mniej inwazyjnych źródeł i metod, w tym wywodzących się ze źródeł dyplomatycznych i publicznych 246 . Jeżeli takie alternatywne mniej inwazyjne źródła i metody są dostępne, należy stosować je w pierwszej kolejności 247 .
(139) Jeżeli na podstawie wspomnianych kryteriów gromadzenie danych w ramach rozpoznania radioelektronicznego zostanie uznane za niezbędne, musi być ono "dostosowane do danych potrzeb" i "nie może wywierać nieproporcjonalnego wpływu na prywatność i wolności obywatelskie" 248 . W celu zapewnienia, by na prywatność i wolności obywatelskie nie był wywierany nieproporcjonalny wpływ- tj. aby osiągnąć właściwą równowagę między potrzebami związanymi z bezpieczeństwem narodowym a ochroną prywatności i wolności obywatelskich - należy odpowiednio uwzględnić wszystkie istotne czynniki, takie jak charakter realizowanego celu, inwazyjność działania polegającego na gromadzeniu danych, w tym jego czas trwania, prawdopodobny wkład gromadzenia danych w realizację celu, konsekwencje dla osób fizycznych, które można racjonalnie przewidzieć, oraz charakter i wrażliwość danych, które mają być gromadzone 249 .
(140) Jeżeli chodzi o rodzaj gromadzenia danych w wyniku rozpoznania radioelektronicznego, gromadzenie danych w Stanach Zjednoczonych, które jest najistotniejsze z punktu widzenia obecnego stwierdzania odpowiedniego stopnia ochrony, ponieważ dotyczy danych, które zostały przekazane podmiotom w Stanach Zjednoczonych, powinno być zawsze ukierunkowane, jak wyjaśniono bardziej szczegółowo w motywach 142-153.
(141) "Hurtowe gromadzenie danych" 250 można przeprowadzić wyłącznie poza Stanami Zjednoczonymi na podstawie rozporządzenia wykonawczego 12333. Również w tym przypadku, zgodnie z rozporządzeniem wykonawczym 14086, należy nadać priorytet ukierunkowanemu gromadzeniu danych 251 . Z kolei hurtowe gromadzenie danych jest dozwolone wyłącznie w sytuacji, w której nie można w racjonalny sposób uzyskać informacji niezbędnych do realizacji zatwierdzonego priorytetu wywiadowczego w drodze gromadzenia ukierunkowanego 252 . Jeżeli konieczne jest przeprowadzenie hurtowego gromadzenia danych poza Stanami Zjednoczonymi, zastosowanie mają szczególne zabezpieczenia określone w rozporządzeniu wykonawczym 14086 253 . Po pierwsze, należy stosować metody i środki techniczne w celu ograniczenia gromadzonych danych wyłącznie do tego, co jest niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego, przy jednoczesnym ograniczeniu do minimum gromadzenia informacji nieistotnych 254 . Po drugie, w rozporządzeniu wykonawczym ogranicza się wykorzystywanie informacji zgromadzonych hurtowo (w tym w drodze zapytań) do sześciu celów szczegółowych, w tym celów dotyczących ochrony przed terroryzmem, brania zakładników oraz przetrzymywania w niewoli osób przez rząd innego państwa, podmiot lub osobę z innego państwa bądź w ich imieniu; ochrony przed szpiegostwem, sabotażem lub zamachem na rzecz obcego państwa; ochrony przed zagrożeniami wynikającymi z opracowywania, posiadania lub rozprzestrzeniania broni masowego rażenia lub powiązanych technologii i zagrożeń itp. 255 Ponadto wszelkie zapytania dotyczące danych zgromadzonych hurtowo w ramach rozpoznania radioelektronicznego mogą mieć miejsce, w stosownych przypadkach, wyłącznie w celu realizacji zatwierdzonego priorytetu wywiadowczego - z myślą o realizacji wspomnianych sześciu celów oraz zgodnie ze strategiami politycznymi i procedurami, w których odpowiednio uwzględniono wpływ tych zapytań na prywatność i wolności obywatelskie wszystkich osób, niezależnie od ich narodowości lub miejsca zamieszkania 256 .
(142) Gromadzenie w wyniku rozpoznania radioelektronicznego danych, które zostały przekazane podmiotowi w Stanach Zjednoczonych, podlega nie tylko wymogom określonym w rozporządzeniu wykonawczym 14086, lecz także konkretnym ograniczeniom i zabezpieczeniom, które reguluje sekcja 702 ustawy o kontroli wywiadu 257 . Zgodnie z przepisami sekcji 702 ustawy o kontroli wywiadu zezwala się na gromadzenie danych wywiadowczych poprzez ukierunkowywanie działań na osoby niebędące obywatelami ani rezydentami USA, w odniesieniu do których można racjonalnie założyć, że znajdują się one poza terytorium Stanów Zjednoczonych, przy obowiązkowej pomocy ze strony amerykańskich dostawców usług łączności elektronicznej 258 . Na potrzeby gromadzenia danych wywiadowczych zgodnie z sekcją 702 ustawy o kontroli wywiadu prokurator generalny i Dyrektor Krajowych Służb Wywiadowczych przedkładają coroczne certyfikacje do Sądu ds. Kontroli Wywiadu, który określa kategorie danych wywiadowczych, które należy pozyskać 259 . Certyfikacjom muszą towarzyszyć procedury ukierunkowywania, minimalizacji i zapytań, które są również zatwierdzane przez sąd i prawnie wiążące dla amerykańskich agencji wywiadowczych.
(143) Sąd ds. Kontroli Wywiadu jest niezależnym sądem 260 utworzonym na mocy ustawy federalnej, którego orzeczenia można zaskarżyć przed Sądem Odwoławczym ds. Kontroli Wywiadu 261 , a ostatecznie przed Sądem Najwyższym Stanów Zjednoczonych 262 . Sąd ds. Kontroli Wywiadu (oraz Sąd Odwoławczy ds. Kontroli Wywiadu) korzysta ze wsparcia stałego zespołu składającego się z pięciu adwokatów i pięciu ekspertów technicznych w dziedzinie bezpieczeństwa narodowego i wolności obywatelskich 263 . Spośród tej grupy sąd powołuje jedną osobę, która będzie pełniła funkcję amicus curiae, tj. osoby zapewniającej wsparcie przy rozpatrywaniu wszelkich wniosków o wydanie nakazu lub wniosków o dokonanie przeglądu zawierających nową lub istotną wykładnię przepisów ustawowych, chyba że sąd stwierdzi, że powołanie takiej osoby w danym przypadku nie byłoby właściwe 264 . Instytucja amicus curiae służy przede wszystkim zapewnieniu odpowiedniego uwzględnienia w ocenie przeprowadzonej przez sąd kwestii związanych z prywatnością. Sąd może również powołać osobę fizyczną lub podmiot do pełnienia funkcji amicus curiae i dzielenia się swoją wiedzą techniczną, jeżeli uzna to za stosowne lub - po otrzymaniu odpowiedniego wniosku - może udzielić osobie fizycznej lub podmiotowi zgody na złożenie raportu amicus curiae 265 .
(144) Sąd ds. Kontroli Wywiadu dokonuje przeglądów certyfikacji i powiązanych procedur (w szczególności procedur ukierunkowywania i minimalizacji) pod względem zgodności z wymogami określonymi w ustawie o kontroli wywiadu. Jeżeli sąd ten stwierdzi, że wymogi nie zostały spełnione, może odmówić wydania certyfikatu w całości lub w części i zażądać zmiany procedur 266 . W tym kontekście Sąd ds. Kontroli Wywiadu wielokrotnie podkreślał, że jego przegląd procedur ukierunkowywania i minimalizacji określonych w sekcji 702 nie ogranicza się wyłącznie do samych tych procedur, lecz także obejmuje sposób ich wdrażania przez rząd 267 .
(145) Agencja Bezpieczeństwa Narodowego (agencja wywiadowcza odpowiedzialna za ukierunkowywanie, o którym mowa w sekcji 702 ustawy o kontroli wywiadu) dokonuje indywidualnych ustaleń w zakresie ukierunkowywania zgodnie z procedurami ukierunkowywania zatwierdzonymi przez Sąd ds. Kontroli Wywiadu, które nakładają na Agencję Bezpieczeństwa Narodowego obowiązek dokonania oceny, w oparciu o całokształt okoliczności, że przez ukierunkowanie działań na konkretną osobę można pozyskać dane wywiadowcze należące do kategorii wskazanej w certyfikacji 268 . Ocena ta musi być szczegółowa i oparta na faktach, jak również musi opierać się na osądzie analitycznym, specjalistycznym szkoleniu i doświadczeniu analityka oraz na charakterze danych wywiadowczych, które mają zostać pozyskane 269 . Ukierunkowanie przeprowadza się przez określenie tak zwanych selektorów, które pozwalają określić konkretne narzędzia komunikacyjne, takie jak adres e-mail lub numer telefonu osoby, na którą ukierunkowano działania, lecz nigdy kluczowe słowa ani imiona i nazwiska osób fizycznych 270 .
(146) Analitycy Agencji Bezpieczeństwa Narodowego identyfikują najpierw osoby niebędące obywatelami ani rezydentami USA przebywające za granicą, których objęcie nadzorem - w ocenie analityków - umożliwi pozyskanie stosownych zagranicznych informacji wywiadowczych określonych w certyfikacji 271 . Jak określono w procedurach Agencji Bezpieczeństwa Narodowego w zakresie ukierunkowywania, Agencja Bezpieczeństwa Narodowego może objąć nadzorem osobę, na którą ukierunkowano działania, wyłącznie pod warunkiem, że ma już pewne informacje na jej temat 272 . Informacje te mogą pochodzić z danych uzyskanych z różnych źródeł, na przykład z wywiadu osobowego. Za pośrednictwem tych innych źródeł analityk musi również zidentyfikować konkretny selektor (tj. konto komunikacyjne) wykorzystywany przez osobę, która może być potencjalnym celem namierzania. Po zidentyfikowaniu tych poszczególnych osób i zatwierdzeniu ukierunkowywania na nie działań w ramach rozbudowanego mechanizmu przeglądu wykorzystywanego przez Agencję Bezpieczeństwa Narodowego 273 przydziela się (tj. opracowuje i wdraża) selektory identyfikujące narzędzia komunikacyjne (takie jak adresy e-mail), które są wykorzystywane przez osoby, na które ukierunkowano działania 274 .
(147) Agencja Bezpieczeństwa Narodowego musi udokumentować faktyczną podstawę wyboru osoby, na którą ukierunkowano działania, 275 i w regularnych odstępach po wstępnym ukierunkowaniu działań na tę osobę musi potwierdzić, że norma w zakresie ukierunkowania jest cały czas spełniana 276 . Jeżeli norma ta nie jest już spełniana, należy zaprzestać gromadzenia informacji 277 . Urzędnicy biur ds. nadzoru nad służbami wywiadowczymi w Departamencie Sprawiedliwości, którzy mają obowiązek zgłaszać wszelkie naruszenia Sądowi ds. Kontroli Wywiadu i Kongresowi, co dwa miesiące dokonują przeglądu wyboru każdej osoby, na którą Agencja Bezpieczeństwa Narodowego ukierunkowała działania, oraz jej dokumentacji dotyczącej każdej zarejestrowanej oceny i uzasadnienia ukierunkowania w celu zapewnienia zgodności z procedurami ukierunkowywania 278 . Dokumentacja pisemna Agencji Bezpieczeństwa Narodowego ułatwia Sądowi ds. Kontroli Wywiadu nadzorowanie tego, czy konkretne osoby fizyczne są prawidłowo namierzane na podstawie sekcji 702 ustawy o kontroli wywiadu, zgodnie z jego uprawnieniami nadzorczymi opisanymi w motywach 173-174 279 . Ponadto Dyrektor Krajowych Służb Wywiadowczych jest również zobowiązany do podawania co roku całkowitej liczby namierzanych osób zgodnie z sekcją 702 ustawy o kontroli wywiadu w publicznych, składanych do roku statystycznych sprawozdaniach z przejrzystości. Przedsiębiorstwa, które otrzymują dyrektywy na podstawie sekcji 702 ustawy o kontroli wywiadu, mogą publikować dane zagregowane (za pośrednictwem sprawozdań z przejrzystości) dotyczące otrzymywanych wniosków 280 .
(148) W odniesieniu do pozostałych podstaw prawnych gromadzenia danych osobowych przekazywanych podmiotom w Stanach Zjednoczonych zastosowanie mają różne ograniczenia i zabezpieczenia. Ogólnie rzecz biorąc, szczególnie zabrania się hurtowego gromadzenia danych na podstawie sekcji 402 ustawy o kontroli wywiadu (podstawa prawna do stosowania urządzeń rejestrujących wybierane numery oraz urządzeń śledzących) oraz poprzez korzystanie z wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego, a zamiast tego wymaga się stosowania konkretnych "terminów umożliwiających selekcję" 281 .
(149) Na potrzeby prowadzenia tradycyjnego zindywidualizowanego dozoru elektronicznego (zgodnie z sekcją 105 ustawy o kontroli wywiadu) agencje wywiadowcze muszą złożyć do Sądu ds. Kontroli Wywiadu wniosek z przedstawieniem stanu faktycznego i okoliczności, na które powołały się, aby uzasadnić swoje przekonanie, że dany obiekt jest użytkowany lub wkrótce będzie użytkowany przez obce państwo lub przez agenta obcego państwa 282 . Sąd ds. Kontroli Wywiadu oceni m.in., czy na podstawie przedstawionych faktów istnieje uzasadnione podejrzenie, że dane zdarzenie faktycznie miało miejsce 283 .
(150) W celu przeprowadzenia przeszukania lokalu lub mienia, które ma doprowadzić do inspekcji, zajęcia itp. informacji, materiałów lub mienia (np. urządzenia komputerowego) na podstawie sekcji 301 ustawy o kontroli wywiadu, wymagane jest złożenie wniosku o wydanie nakazu do Sądu ds. Kontroli Wywiadu 284 . W takim wniosku należy wykazać między innymi, że istnieje uzasadnione podejrzenie, że celem przeszukania jest obce państwo lub agent obcego państwa, że lokal lub mienie, które mają zostać przeszukane, można wykorzystać do pozyskania danych wywiadowczych oraz że lokal, który ma zostać przeszukany, jest własnością (agenta) obcego państwa, jest użytkowany przez obce państwo (lub jego agenta), znajduje się w posiadaniu obcego państwa (lub jego agenta) lub jest przekazywany na rzecz (agenta) obcego państwa lub przez niego 285 .
(151) Podobnie instalacja urządzeń rejestrujących wybierane numery lub urządzeń śledzących (zgodnie z sekcją 402 ustawy o kontroli wywiadu) wymaga złożenia wniosku o wydanie nakazu do Sądu ds. Kontroli Wywiadu (lub amerykańskiego sędziego pokoju) i zastosowanie konkretnego terminu umożliwiającego selekcję, tj. terminu, który w konkretny sposób identyfikuje daną osobę, konto itd. i jest stosowany w celu ograniczenia w jak największym stopniu zakresu żądanych informacji 286 . Ta podstawa prawna odnosi się nie do treści komunikatów, lecz raczej dotyczy informacji na temat klienta lub abonenta korzystającego z usługi (takich jak imię i nazwisko, adres, numer abonenta, okres/rodzaj otrzymywanej usługi, źródło/mechanizm płatności).
(152) W sekcji 501 287 ustawy o kontroli wywiadu, która dopuszcza możliwość gromadzenia rejestrów związanych z prowadzoną działalnością wspólnego przewoźnika (tj. dowolnej osoby lub dowolnego podmiotu przewożących ludzi lub składniki majątku drogą lądową, kolejową, wodną lub powietrzną za wynagrodzeniem), publicznego obiektu noclegowego (np. hotelu, motelu lub zajazdu), wypożyczalni pojazdów lub punktu fizycznego składowania (tj. w którym udostępnia się przestrzeń lub świadczy usługi związane z przechowywaniem towarów i materiałów) 288 , również wymaga się złożenia wniosku do Sądu ds. Kontroli Wywiadu lub sędziego pokoju. We wniosku tym należy wskazać rejestry, o które się wnosi, oraz konkretne i jasne fakty dające podstawy, by sądzić, że osoba, której rejestry dotyczą, działa na korzyść obcego państwa lub jest jego agentem 289 .
(153) Wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego są ponadto dozwolone na mocy różnych ustaw i umożliwiają agencjom dochodzeniowo-śledczym uzyskanie określonych informacji (nieobejmujących treści komunikacji) od niektórych podmiotów (np. instytucji finansowych, biur informacji kredytowej, dostawców usług łączności elektronicznej) zawartych w sprawozdaniach kredytowych, dokumentacji finansowej i dokumentacji abonenta elektronicznego i dokumentacji dotyczącej transakcji 290 . W ustawie dotyczącej wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, która zezwala na dostęp do łączności elektronicznej i która może być wykorzystywana wyłącznie przez FBI, ustanowiono wymóg opatrzenia każdego wniosku elementem umożliwiającym bezpośrednią identyfikację danej osoby, podmiotu, numeru telefonicznego lub rachunku oraz poświadczenia, że informacje te są istotne w kontekście zatwierdzonego dochodzenia dotyczącego bezpieczeństwa narodowego w celu zapewnienia ochrony przed terroryzmem międzynarodowym lub tajnymi działaniami wywiadowczymi 291 . Odbiorcy wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego mają prawo zakwestionować je przed sądem 292 .
3.2.1.3. Dalsze wykorzystywanie zebranych informacji
(154) Przetwarzanie danych osobowych zgromadzonych przez amerykańskie agencje wywiadowcze za pośrednictwem rozpoznania radioelektronicznego podlega licznym zabezpieczeniom.
(155) Po pierwsze, każda agencja wywiadowcza musi zapewnić odpowiednie bezpieczeństwo danych i uniemożliwić osobom nieupoważnionym dostęp do danych osobowych zgromadzonych za pośrednictwem rozpoznania radioelektronicznego. W tym względzie w różnych instrumentach, takich jak ustawy, wytyczne i normy, dodatkowo określono minimalne wymogi w zakresie bezpieczeństwa informacji, które należy wprowadzić (np. uwierzytelnianie wieloskładnikowe, szyfrowanie itp.) 293 . Dostęp do gromadzonych danych musi być ograniczony do upoważnionych i przeszkolonych pracowników, którzy potrzebują danych, aby wywiązywać się ze swoich obowiązków 294 . Co do zasady agencje wywiadowcze muszą zapewnić swoim pracownikom odpowiednie szkolenia, w tym szkolenia w zakresie procedur zgłaszania naruszeń prawa i reagowania na nie (w tym w zakresie rozporządzenia wykonawczego 14086) 295 .
(156) Po drugie, agencje wywiadowcze muszą przestrzegać standardów Wspólnoty Wywiadowczej w zakresie prawidłowości i obiektywności, w szczególności w odniesieniu do zapewnienia jakości i wiarygodności danych, uwzględniania alternatywnych źródeł informacji i obiektywności w przeprowadzaniu analiz 296 .
(157) Po trzecie, w odniesieniu do przechowywania danych, w rozporządzeniu wykonawczym 14086 wyjaśniono, że dane osobowe osób niebędących obywatelami ani rezydentami USA podlegają okresom przechowywania takim samym jak te, które mają zastosowanie do danych obywateli i rezydentów USA 297 . Agencje wywiadowcze są zobowiązane do określenia konkretnych okresów przechowywania danych lub czynników, które należy wziąć pod uwagę przy określaniu długości mających zastosowanie okresów przechowywania danych (np. czy informacje stanowią dowód popełnienia przestępstwa; czy informacje są danymi wywiadowczymi; czy informacje te są potrzebne do ochrony bezpieczeństwa osób lub organizacji, w tym ofiar lub celów międzynarodowego terroryzmu, określonych w różnych instrumentach prawnych 298 .
(158) Po czwarte, w odniesieniu do rozpowszechniania danych osobowych zgromadzonych za pośrednictwem rozpoznania radioelektronicznego zastosowanie mają przepisy szczególne. Zgodnie z ogólnym wymogiem dane osobowe osób niebędących obywatelami ani rezydentami USA mogą być rozpowszechniane tylko wtedy, gdy dotyczą tego samego rodzaju informacji, które mogą być rozpowszechniane na temat obywateli i rezydentów USA, np. informacji potrzebnych do ochrony bezpieczeństwa osoby lub podmiotu (takich jak cele, ofiary lub zakładnicy międzynarodowych organizacji terrorystycznych) 299 . Dane osobowe nie mogą być ponadto rozpowszechniane wyłącznie ze względu na obywatelstwo lub kraj zamieszkania danej osoby lub w celu obejścia wymogów rozporządzenia wykonawczego 14086 300 . Rozpowszechnianie danych w rządzie USA może mieć miejsce wyłącznie wówczas, gdy upoważniona i przeszkolona osoba ma uzasadnione przekonanie, że odbiorca musi znać te informacje 301 i będzie je odpowiednio chronił 302 . Aby określić, czy dane osobowe mogą być rozpowszechniane odbiorcom spoza rządu amerykańskiego (w tym rządowi obcego państwa lub organizacji międzynarodowej), należy uwzględnić cel rozpowszechniania, charakter i zakres rozpowszechnianych danych oraz potencjalny szkodliwy wpływ na daną osobę lub dane osoby 303 .
(159) Ponadto - w celu ułatwienia nadzoru nad spełnianiem obowiązujących wymogów prawnych oraz skutecznego dochodzenia roszczeń - każda agencja wywiadowcza jest zobowiązana na podstawie rozporządzenia wykonawczego 14086 do przechowywania odpowiedniej dokumentacji dotyczącej gromadzenia danych w ramach rozpoznania radioelektronicznego. Wymogi dotyczące dokumentacji obejmują elementy takie jak faktyczna podstawa oceny, że określone działanie związane z gromadzeniem danych jest niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego 304 .
(160) Oprócz wyżej wymienionych zabezpieczeń zawartych w rozporządzeniu wykonawczym 14086 dotyczących wykorzystywania informacji zgromadzonych w wyniku rozpoznania radioelektronicznego wszystkie agencje wywiadowcze Stanów Zjednoczonych podlegają bardziej ogólnym wymogom dotyczącym ograniczenia celu, minimalizacji danych, dokładności, bezpieczeństwa, przechowywania i rozpowszechniania, w szczególności na podstawie okólnika OMB nr A-130, ustawy o administracji elektronicznej, ustawy o rejestrach federalnych (zob. motywy 101-106) oraz wytycznych Komitetu ds. Systemów Bezpieczeństwa Narodowego (CNSS) 305 .
3.2.2. Nadzór
(161) Działalność amerykańskich agencji wywiadowczych podlega nadzorowi różnych organów.
(162) Po pierwsze, zgodnie z rozporządzeniem wykonawczym 14086 każda agencja wywiadowcza musi posiadać urzędników wysokiego szczebla ds. prawnych, nadzoru i zgodności, by zapewnić zgodność z mającym zastosowanie prawem amerykańskim 306 . W szczególności muszą oni prowadzić okresowy nadzór nad działaniami w zakresie rozpoznania radioelektronicznego i zapewniać usuwanie wszelkich niezgodności. Agencje wywiadowcze muszą zapewnić takim urzędnikom dostęp do wszystkich istotnych informacji, by umożliwić im wykonywanie funkcji nadzorczych, i nie mogą podejmować żadnych działań utrudniających działania nadzorcze lub w sposób niewłaściwy wpływających na takie działania 307 . Każdy przypadek istotnej niezgodności 308 stwierdzony przez urzędnika ds. nadzoru lub innego pracownika należy ponadto niezwłocznie zgłosić szefowi agencji wywiadowczej i Dyrektorowi Krajowych Służb Wywiadowczych, którzy muszą zapewnić podjęcie wszelkich niezbędnych działań, by zaradzić i zapobiec ponownemu wystąpieniu istotnej niezgodności 309 .
(163) Tę funkcję nadzorczą pełnią urzędnicy, którym wyznaczono określone role w zakresie zgodności, jak również urzędnicy ds. prywatności i wolności obywatelskich oraz Inspektorzy Generalni 310 .
(164) Podobnie jak w przypadku organów egzekwowania prawa w sprawach karnych we wszystkich agencjach wywiadowczych funkcjonują urzędnicy ds. prywatności i wolności obywatelskich 311 . Uprawnienia tych urzędników zazwyczaj obejmują nadzór nad procedurami w celu zapewnienia, aby dany departament lub dana agencja odpowiednio uwzględniały kwestie dotyczące prywatności i wolności obywatelskich oraz aby wdrażały odpowiednie procedury rozpatrywania skarg złożonych przez osoby fizyczne, które uważają, że ich prywatność lub wolności obywatelskie zostały naruszone (w niektórych przypadkach, podobnie jak Urząd Dyrektora Krajowych Służb Wywiadowczych, sami mogą mieć uprawnienia do badania skarg 312 ). Szefowie agencji wywiadowczych muszą dopilnować, aby urzędnicy ds. prywatności i wolności obywatelskich dysponowali zasobami niezbędnymi do wykonywania swoich uprawnień, mieli dostęp do wszelkich materiałów i zasobów osobowych niezbędnych do wypełniania swoich funkcji oraz byli informowani o proponowanych zmianach polityki, a także aby konsultowano się z nimi w sprawie odnośnych zmian 313 . Urzędnicy ds. prywatności i wolności obywatelskich składają PCLOB okresowe sprawozdania dotyczące m.in. liczby i rodzaju skarg otrzymanych przez departament/agencję oraz podsumowanie sposobu rozpatrzenia takich skarg, prowadzonych przeglądów i postępowań oraz wpływu działań przeprowadzonych przez urzędnika 314 .
(165) Po drugie, każda agencja wywiadowcza posiada niezależnego Inspektora Generalnego odpowiadającego m.in. za nadzorowanie działań wywiadowczych. Obejmuje to, w obrębie Urzędu Dyrektora Krajowych Służb Wywiadowczych, Biuro Inspektora Generalnego Wspólnoty Wywiadowczej, które sprawuje kompleksową jurysdykcję nad całą Wspólnotą Wywiadowczą i jest uprawnione do badania skarg lub informacji na temat zarzutów dotyczących postępowania niezgodnego z prawem lub nadużyć władzy w związku z programami i działaniami prowadzonymi w ramach Urzędu Dyrektora Krajowych Służb Wywiadowczych lub Wspólnoty Wywiadowczej 315 . Tak jak w przypadku organów egzekwowania prawa w sprawach karnych (zob. motyw 109) tacy Inspektorzy Generalni są ustawowo niezależni 316 i odpowiedzialni za przeprowadzanie audytów i dochodzeń dotyczących programów i działań prowadzonych przez odpowiednią agencję do krajowych celów wywiadowczych, w tym w odniesieniu do nadużyć lub naruszeń prawa 317 . Mają wgląd we wszystkie rejestry, sprawozdania, audyty, przeglądy, dokumenty, opracowania, zalecenia lub inne istotne materiały, w razie potrzeby na mocy wezwania, oraz mogą odbierać zeznania 318 . Inspektorzy Generalni kierują sprawy o podejrzenie popełnienia przestępstwa do organów ścigania i formułują zalecenia dotyczące działań naprawczych skierowane do szefów agencji 319 . Chociaż ich zalecenia są niewiążące, to sprawozdania, m.in. na temat działań następczych (lub braku takich działań) 320 , co do zasady są podawane do publicznej wiadomości i wysyłane do Kongresu, który na ich podstawie może wykonywać swoją funkcję nadzorczą (zob. motywy 168-169) 321 .
(166) Po trzecie, Rada Nadzoru nad Służbami Wywiadowczymi, ustanowiona w ramach prezydenckiej Rady Konsultacyjnej ds. Wywiadu, jest odpowiedzialna za monitorowanie przestrzegania przepisów konstytucji i wszystkich mających zastosowanie przepisów przez amerykańskie organy wywiadowcze 322 . Rada Konsultacyjna ds. Wywiadu jest organem doradczym Biura Wykonawczego Prezydenta. W jej skład wchodzi 16 członków spoza rządu amerykańskiego powołanych przez Prezydenta. W skład Rady Nadzoru nad Służbami Wywiadowczymi wchodzi maksymalnie pięciu członków wyznaczonych przez Prezydenta spośród członków Rady Konsultacyjnej ds. Wywiadu. Zgodnie z rozporządzeniem wykonawczym 12333 323 szefowie wszystkich agencji wywiadowczych są zobowiązani do zgłaszania Radzie Nadzoru nad Służbami Wywiadowczymi wszelkich działań wywiadowczych, co do których istnieją powody, by sądzić, że mogą być niezgodne z prawem lub sprzeczne z rozporządzeniem wykonawczym lub dyrektywą prezydencką. Aby zapewnić Radzie Nadzoru nad Służbami Wywiadowczymi dostęp do informacji niezbędnych do wykonywania jej funkcji, w rozporządzeniu wykonawczym 13462 zobowiązano Dyrektora Krajowych Służb Wywiadowczych i szefów agencji wywiadowczych do przekazywania wszelkich informacji i udzielania pomocy, które Rada ta uzna za potrzebne do wykonywania swoich funkcji, w zakresie dozwolonym przez prawo 324 . Rada Nadzoru nad Służbami Wywiadowczymi jest z kolei zobowiązana do informowania Prezydenta o działaniach wywiadowczych, które jej zdaniem mogą naruszać prawo amerykańskie (w tym rozporządzenia wykonawcze), a nie są odpowiednio traktowane przez prokuratora generalnego, Dyrektora Krajowych Służb Wywiadowczych lub szefa agencji wywiadowczej 325 . Rada Nadzoru nad Służbami Wywiadowczymi ma ponadto obowiązek informowania prokuratora generalnego o możliwych naruszeniach prawa karnego.
(167) Po czwarte, agencje wywiadowcze podlegają nadzorowi Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi. Zgodnie ze statutem założycielskim PCLOB powierzono obowiązki w obszarze kształtowania i wdrażania polityki walki z terroryzmem, aby zapewnić ochronę prywatności i wolności obywatelskich. W swoim przeglądzie działalności agencji wywiadowczych Rada ma dostęp do wszystkich stosownych rejestrów, sprawozdań, audytów, przeglądów, dokumentów, opracowań i zaleceń agencji, z uwzględnieniem informacji niejawnych, oraz może przeprowadzać przesłuchania i odbierać zeznania 326 . Rada otrzymuje sprawozdania od urzędników ds. wolności obywatelskich i prywatności z szeregu departamentów/agencji federalnych 327 , może wydawać zalecenia skierowane do rządu i agencji wywiadowczych i regularnie sporządza sprawozdania dla komisji Kongresu i dla Prezydenta 328 . Sprawozdania Rady, w tym te przedkładane Kongresowi, muszą być w możliwie największym stopniu dostępne publicznie 329 . PCLOB wydała kilka sprawozdań dotyczących nadzoru i sprawozdań z działań następczych zawierających analizę programów prowadzonych na podstawie sekcji 702 ustawy o kontroli wywiadu i ochrony prywatności w tym kontekście, wdrożenia dyrektywy politycznej Prezydenta nr 28 i rozporządzenia wykonawczego 12333 330 . Zadaniem PCLOB jest również pełnienie określonych funkcji nadzorczych w odniesieniu do wdrażania rozporządzenia wykonawczego 14086, w szczególności sprawdzanie, czy procedury stosowane przez agencje są zgodne z tym rozporządzeniem wykonawczym (zob. motyw 126), oraz ocena poprawności funkcjonowania mechanizmu dochodzenia roszczeń (zob. motyw 194).
(168) Po piąte, niezależnie od mechanizmów nadzoru funkcjonujących w strukturze władzy wykonawczej, specjalne komisje w Kongresie Stanów Zjednoczonych (Komisja ds. Wywiadu i Komisja ds. Sprawiedliwości w Izbie Reprezentantów i w Senacie) są zobowiązane do sprawowania nadzoru nad wszystkimi działaniami Stanów Zjednoczonych w obszarze wywiadu zagranicznego. Członkowie tych komisji są uprawnieni do uzyskania dostępu do informacji niejawnych oraz do zapoznania się z metodami i programami wywiadowczymi 331 . Komisje sprawują funkcje nadzorcze w różnych formach, w szczególności w formie przesłuchań, dochodzeń, przeglądów i sprawozdań 332 .
(169) Komisje Kongresu otrzymują regularne sprawozdania z działań wywiadowczych, m.in. od prokuratora generalnego, Dyrektora Krajowych Służb Wywiadowczych, agencji wywiadowczych i innych organów nadzoru (np. Inspektorów Generalnych), zob. motywy 164-165. W szczególności zgodnie z ustawą o bezpieczeństwie narodowym "Prezydent zapewnia kongresowym komisjom ds. wywiadu dostęp do pełnych i aktualnych informacji na temat działalności wywiadowczej Stanów Zjednoczonych, w tym do informacji o wszelkich istotnych planowanych działaniach wywiadowczych, zgodnie z wymogami ustanowionymi w niniejszym podrozdziale" 333 . Ponadto "Prezydent zapewnia niezwłoczne zgłaszanie wszelkich niezgodnych z prawem działań wywiadowczych kongresowym komisjom ds. wywiadu oraz przekazywanie im informacji o wszelkich działaniach naprawczych, które zostały podjęte lub które mają zostać podjęte w związku z taką niezgodną z prawem działalnością" 334 .
(170) Ze szczególnych ustaw wynikają ponadto dodatkowe wymogi w zakresie sprawozdawczości. W szczególności zgodnie z ustawą o kontroli wywiadu prokurator generalny jest zobowiązany do przekazywania Komisji ds. Wywiadu i Komisji ds. Sprawiedliwości w Senacie i Izbie Reprezentantów "pełnych informacji" na temat działań podejmowanych przez rząd zgodnie z określonymi sekcjami ustawy o kontroli wywiadu 335 . Na mocy ustawy o kontroli wywiadu rząd został również zobowiązany do przekazywania komisjom Kongresu kopii wszystkich orzeczeń, zarządzeń lub opinii Sądu ds. Kontroli Wywiadu lub Sądu Odwoławczego ds. Kontroli Wywiadu, w których dokonano "istotnej interpretacji przepisów" ustawy o kontroli wywiadu lub w których dokonano "wykładni" tych przepisów. Jeżeli chodzi o sprawowanie nadzoru, o którym mowa w sekcji 702 ustawy o kontroli wywiadu, taki nadzór parlamentarny sprawuje się za pośrednictwem sprawozdań, które zgodnie z przepisami ustawy należy przekazywać Komisji ds. Wywiadu i Komisji ds. Sprawiedliwości, a także poprzez częste organizowanie odpraw i wysłuchań. Wśród tych sprawozdań należy wymienić sprawozdanie półroczne prokuratora generalnego dotyczące stosowania przepisów sekcji 702 ustawy o kontroli wywiadu wraz z dokumentami potwierdzającymi, uwzględniając sprawozdania Departamentu Sprawiedliwości i Urzędu Dyrektora Krajowych Służb Wywiadowczych dotyczące przestrzegania zasad oraz opis wszelkich przypadków nieprzestrzegania zasad 336 , a także odrębną ocenę półroczną przeprowadzaną przez prokuratora generalnego i przygotowywany przez Departament Sprawiedliwości dokument dotyczący zgodności z procedurami ukierunkowywania i minimalizacji 337 .
(171) Ponadto zgodnie z ustawą o kontroli wywiadu rząd Stanów Zjednoczonych jest zobowiązany do ujawniania co roku Kongresowi (i społeczeństwu) liczby nakazów na mocy ustawy o kontroli wywiadu, o które się ubiegano i które otrzymano, a także szacunków dotyczących m.in. liczby obywateli i rezydentów USA oraz liczby osób niebędących obywatelami ani rezydentami USA objętych nadzorem 338 . W ustawie przewidziano również dodatkowy wymóg podawania do wiadomości publicznej liczby wydanych wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, ponownie w odniesieniu do obywateli i rezydentów USA i osób niebędących obywatelami ani rezydentami USA (zapewniając jednocześnie odbiorcom nakazów i certyfikatów wydanych na podstawie ustawy o kontroli wywiadu oraz wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego możliwość opublikowania - w określonych przypadkach - sprawozdań z przejrzystości) 339 .
(172) Ogólniej rzecz ujmując, Wspólnota Wywiadowcza Stanów Zjednoczonych podejmuje różne działania mające na celu zapewnienie przejrzystości swoich działań wywiadowczych. Na przykład w 2015 r. Urząd Dyrektora Krajowych Służb Wywiadowczych przyjął zasady przejrzystości danych wywiadowczych i plan wdrażania przejrzystości oraz zarządził, aby każda agencja wywiadowcza wyznaczała urzędnika ds. przejrzystości danych wywiadowczych w celu zwiększenia przejrzystości i prowadzenia inicjatyw w zakresie przejrzystości 340 . W ramach tych działań Wspólnota Wywiadowcza upubliczniła i nadal upublicznia odtajnione części polityk, procedur, sprawozdań dotyczących nadzoru, sprawozdań na temat działań prowadzonych na podstawie sekcji 702 ustawy o kontroli wywiadu i rozporządzenia wykonawczego 12333, orzeczeń Sądu ds. Kontroli Wywiadu i innych materiałów, m.in. na specjalnej stronie internetowej "IC on the Record" zarządzanej przez Urząd Dyrektora Krajowych Służb Wywiadowczych 341 .
(173) Poza nadzorem organów nadzoru wymienionych w motywach 162-168 gromadzenie danych osobowych zgodnie z sekcją 702 ustawy o kontroli wywiadu podlega ponadto nadzorowi Sądu ds. Kontroli Wywiadu 342 . Zgodnie z zasadą 13 regulaminu Sądu ds. Kontroli Wywiadu urzędnicy ds. zgodności w amerykańskich agencjach wywiadowczych są zobowiązani do zgłaszania wszelkich naruszeń przepisów sekcji 702 ustawy o kontroli wywiadu dotyczących procedur ukierunkowywania, minimalizacji i zapytań do DoJ i Urzędu Dyrektora Krajowych Służb Wywiadowczych, które z kolei zgłaszają je do Sądu ds. Kontroli Wywiadu. DoJ i Urząd Dyrektora Krajowych Służb Wywiadowczych przedkładają ponadto Sądowi ds. Kontroli Wywiadu półroczne wspólne sprawozdania oceniające w zakresie nadzoru, w których określają tendencje dotyczące przestrzegania zasad ukierunkowywania, dostarczają danych statystycznych, opisują kategorie przypadków nieprzestrzegania zasad; opisują szczegółowo przyczyny wystąpienia niektórych przypadków niezgodności z procedurami ukierunkowywania oraz przedstawiają zastosowane przez agencje wywiadowcze środki służące uniknięciu ich ponownego wystąpienia 343 .
(174) W stosownych przypadkach (np. w przypadku stwierdzenia naruszeń procedur ukierunkowywania) Sąd ten może nakazać odpowiedniej agencji wywiadowczej podjęcie działań zaradczych 344 . Wspomniane działania mogą mieć różne formy: od pojedynczych środków, np. zakończenia uzyskiwania danych i usunięcia nielegalnie pozyskanych danych, po środki strukturalne, w tym zmianę praktyki gromadzenia, m.in. pod względem wytycznych i szkolenia dla pracowników 345 . Ponadto podczas corocznego przeglądu certyfikacji na podstawie sekcji 702 Sąd ds. Kontroli Wywiadu bierze pod uwagę przypadki nieprzestrzegania zasad w celu ustalenia, czy przedstawione certyfikacje są zgodne z wymogami ustawy o kontroli wywiadu. Podobnie Sąd ds. Kontroli Wywiadu - jeśli uzna, że certyfikacje rządu nie spełniły wymogów, między innymi z powodu określonych przypadków nieprzestrzegania zasad - może wydać tak zwany "nakaz usunięcia uchybień" zobowiązujący rząd do naprawienia naruszenia w ciągu 30 dni lub do zaprzestania bądź nierozpoczynania wdrażania certyfikacji zgodnie z sekcją 702. Ponadto Sąd ds. Kontroli Wywiadu ocenia obserwowane przez siebie tendencje w zakresie przestrzegania zasad i może wymagać wprowadzenia zmian w procedurach lub dodatkowego nadzoru i sprawozdawczości w celu uwzględnienia tendencji w zakresie przestrzegania zasad 346 .
3.2.3. Dochodzenie roszczeń
(175) Jak wyjaśniono szczegółowo w niniejszej sekcji, osoby z Unii, których dane dotyczą, mogą skorzystać w Stanach Zjednoczonych z licznych możliwości wytoczenia powództwa przed niezależnym i bezstronnym sądem posiadającym odpowiednie uprawnienia. Łącznie umożliwiają one osobom fizycznym dostęp do ich danych osobowych, weryfikację zgodności z prawem dostępu organów rządowych do ich danych oraz - w przypadku stwierdzenia naruszenia - naprawienie takiego naruszenia, w tym poprzez sprostowanie lub usunięcie ich danych osobowych.
(176) Po pierwsze, na mocy rozporządzenia wykonawczego 14086 ustanowiono specjalny mechanizm dochodzenia roszczeń, uzupełniony zarządzeniem prokuratora generalnego ustanawiającym Sąd Odwoławczy ds. Ochrony Danych, w celu rozpatrywania i rozstrzygania skarg od osób fizycznych dotyczących działań USA w zakresie rozpoznania radioelektronicznego. Każda fizyczna osoba w UE jest uprawniona do złożenia skargi w ramach mechanizmu dochodzenia roszczeń dotyczącej domniemanego naruszenia amerykańskiego prawa regulującego działania w zakresie rozpoznania radioelektronicznego (np. rozporządzenia wykonawczego 14086, sekcji 702 ustawy o kontroli wywiadu, rozporządzenia wykonawczego 12333), które negatywnie wpływa na jego interesy w zakresie ochrony prywatności i wolności obywatelskich 347 . Ten mechanizm dochodzenia roszczeń jest dostępny dla osób z krajów lub regionalnych organizacji integracji gospodarczej, które zostały wyznaczone przez prokuratora generalnego USA jako "kraje kwalifikujące się" 348 . 30 czerwca 2023 r. prokurator generalny wyznaczył Unię Europejską i trzy państwa Europejskiego Stowarzyszenia Wolnego Handlu, które razem stanowią Europejski Obszar Gospodarczy, na podstawie sekcji 3 lit. f) rozporządzenia wykonawczego 14086 jako "kraj kwalifikujący się" 349 . Decyzja ta pozo- staje bez uszczerbku dla art. 4 ust. 2 Traktatu o Unii Europejskiej.
(177) Osoba z Unii, której dane dotyczą, chcąca złożyć taką skargę, musi złożyć ją do organu nadzorczego w państwie członkowskim właściwego w sprawach nadzoru przetwarzania danych osobowych przez organy publiczne (organu ochrony danych) 350 . Dzięki temu osoby fizyczne mają łatwy dostęp do mechanizmu dochodzenia roszczeń, gdyż mogą zwrócić się do organu "w pobliżu miejsca zamieszkania", z którym mogą komunikować się w swoim języku ojczystym. Po zweryfikowaniu wymogów dotyczących złożenia skargi, o których mowa w motywie 178, właściwy organ ochrony danych przekaże skargę, za pośrednictwem sekretariatu Europejskiej Rady Ochrony Danych, do mechanizmu dochodzenia roszczeń.
(178) Wniesienie skargi do mechanizmu dochodzenia roszczeń podlega niskim wymogom dopuszczalności, ponieważ osoby fizyczne nie muszą wykazać, że ich dane były faktycznie amerykańskich przedmiotem działań w zakresie rozpoznania radioelektronicznego 351 . Jednocześnie, aby zapewnić punkt wyjścia dla mechanizmu dochodzenia roszczeń w celu przeprowadzenia przeglądu, należy podać pewne podstawowe informacje, np. dotyczące danych osobowych, co do których istnieje uzasadnione przypuszczenie, że zostały przekazane do USA, oraz środków, za pomocą których zakłada się, że zostały przekazane; tożsamości jednostek rządu USA, które uważa się za zaangażowane w domniemane naruszenie (jeśli są znane); podstawy zarzutu, że doszło do naruszenia prawa amerykańskiego (chociaż to również nie wymaga wykazania, że dane osobowe zostały faktycznie zgromadzone przez amerykańskie agencje wywiadowcze), oraz charakteru żądanego zadośćuczynienia.
(179) Wstępne badanie skarg kierowanych do tego mechanizmu dochodzenia roszczeń przeprowadza Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych, którego istniejącą ustawową rolę i uprawnienia rozszerzono na te konkretne działania podejmowane zgodnie z rozporządzeniem wykonawczym 14086 352 . W ramach Wspólnoty Wywiadowczej Biuro Wolności Obywatelskich i Ochrony Prywatności odpowiada między innymi za zapewnienie, by ochronę wolności obywatelskich i prywatności odpowiednio uwzględniono w strategiach politycznych i procedurach Urzędu Dyrektora Krajowych Służb Wywiadowczych i agencji wywiadowczych; za nadzorowanie przestrzegania przez Urząd Dyrektora Krajowych Służb Wywiadowczych obowiązujących wymogów dotyczących wolności obywatelskich i prywatności; oraz za przeprowadzanie ocen wpływu na prywatność 353 . Odwołanie osoby pełniącej funkcję w Biurze Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych może nastąpić wyłącznie przez Dyrektora Krajowych Służb Wywiadowczych z ważnej przyczyny, tj. w przypadku uchybienia, niewłaściwego sprawowania urzędu, naruszenia bezpieczeństwa, zaniedbania obowiązków lub niezdolności do sprawowania urzędu 354 .
(180) Przy przeprowadzaniu przeglądu Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ma dostęp do informacji na potrzeby swojej oceny i może korzystać z pomocy urzędników ds. prywatności i wolności obywatelskich w poszczególnych agencjach wywiadowczych 355 . Agencje wywiadowcze nie mogą utrudniać przeglądów przeprowadzanych przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ani wywierać na nie niewłaściwego wpływu. Dotyczy to również Dyrektora Krajowych Służb Wywiadowczych, który nie może ingerować w przegląd 356 . Rozpatrując skargę, Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych musi "stosować prawo bezstronnie", mając na uwadze zarówno interesy bezpieczeństwa narodowego w działaniach w zakresie rozpoznania radioelektronicznego, jak i zabezpieczenia prywatności 357 .
(181) W ramach przeglądu Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ustala, czy doszło do naruszenia obowiązującego prawa amerykańskiego, a jeżeli tak - podejmuje decyzję o zastosowaniu odpowiednich środków zaradczych 358 . Są to środki, które umożliwiają pełne zrekompensowanie stwierdzonego naruszenia, takie jak zaniechanie bezprawnego pozyskiwania danych, usunięcie danych zgromadzonych niezgodnie z prawem, usunięcie wyników nieprawidłowo dokonanych zapytań odnoszących się do danych zgromadzonych zgodnie z prawem w inny sposób, ograniczenie dostępu do danych zgromadzonych zgodnie z prawem do odpowiednio przeszkolonego personelu lub wycofanie sprawozdań służb wywiadowczych zawierających dane, które pozyskano bez uzyskania prawnego upoważnienia lub które rozpowszechniano niezgodnie z prawem 359 . Decyzje podjęte przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych w sprawie skarg indywidualnych (w tym decyzje w sprawie środków zaradczych) są wiążące dla zainteresowanych agencji wywiadowczych 360 .
(182) Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych przechowuje dokumentację przeglądu oraz wydaje niejawną decyzję zawierającą podstawę dokonanych ustaleń faktycznych, ustalenia w odniesieniu do tego, czy doszło do naruszenia objętego zakresem, oraz wskazanie odpowiedniego środka zaradczego 361 . Jeżeli w wyniku przeglądu Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ujawnione zostanie naruszenie ze strony organu podlegającego nadzorowi Sądu ds. Kontroli Wywiadu, Biuro Wolności Obywatelskich i Ochrony Prywatności musi również przedstawić niejawne sprawozdanie asystentowi prokuratora generalnego ds. bezpieczeństwa narodowego, który z kolei jest zobowiązany do zgłoszenia niezgodności Sądowi ds. Kontroli Wywiadu, który może podjąć dalsze czynności egzekucyjne (zgodnie z procedurą opisaną w motywach 173-174) 362 .
(183) Po zakończeniu przeglądu Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych informuje skarżącego za pośrednictwem organu krajowego, że "kontrola nie wykazała żadnych naruszeń objętych zakresem albo [że] Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych wydało decyzję nakazującą wdrożenie odpowiednich środków zaradczych" 363 . Umożliwia to zapewnienie ochrony poufności działań prowadzonych w celu ochrony bezpieczeństwa narodowego, przy jednoczesnym zapewnieniu osobom fizycznym decyzji potwierdzającej, że ich skarga została należycie zbadana i rozpatrzona. Osoba fizyczna może ponadto zakwestionować tę decyzję. W tym celu zostanie ona poinformowana o możliwości odwołania się do Sądu Odwoławczego ds. Ochrony Danych w celu dokonania przeglądu ustaleń Biura Wolności Obywatelskich i Ochrony Prywatności (zob. motyw 184 i dalsze) oraz o tym, że w przypadku wszczęcia postępowania przez Sąd zostanie wybrany rzecznik specjalny, który będzie reprezentował interesy skarżącego 364 .
(184) Każdy skarżący oraz każda jednostka Wspólnoty Wywiadowczej mogą wnieść o przegląd decyzji Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych przed Sądem Odwoławczym ds. Ochrony Danych. Takie wnioski o przegląd należy złożyć w ciągu 60 dni od otrzymania od Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych powiadomienia o zakończeniu przeglądu oraz muszą one zawierać wszystkie informacje, które osoba fizyczna chce przekazać Sądowi Odwoławczemu ds. Ochrony Danych (np. argumenty dotyczące kwestii prawnych lub zastosowania prawa do okoliczności faktycznych sprawy) 365 . Osoby z Unii, których dane dotyczą, mogą ponownie złożyć wniosek do właściwego organu ochrony danych (zob. motyw 177).
(185) Sąd Odwoławczy ds. Ochrony Danych jest niezależnym sądem ustanowionym przez prokuratora generalnego na podstawie rozporządzenia wykonawczego 14086 366 . W jego skład wchodzi co najmniej sześciu sędziów powołanych przez prokuratora generalnego w porozumieniu z PCLOB, sekretarza handlu i Dyrektora Krajowych Służb Wywiadowczych na czteroletnią odnawialną kadencję 367 . Przy powoływaniu sędziów prokurator generalny opiera się na kryteriach stosowanych przez władzę wykonawczą przy ocenie kandydatów na sędziów federalnych, nadając istotne znaczenie wcześniejszemu doświadczeniu sędziowskiemu 368 . Sędziowie muszą być ponadto prawnikami praktykami (tj. aktywnymi członkami palestry o nieposzlakowanej opinii oraz muszą być należycie uprawnieni do wykonywania zawodu) i mieć odpowiednie doświadczenie w dziedzinie prawa dotyczącego prywatności i bezpieczeństwa narodowego. Prokurator generalny musi dołożyć starań, by co najmniej połowa sędziów w danym czasie miała wcześniejsze doświadczenie sędziowskie, a wszyscy sędziowie muszą mieć poświadczenia bezpieczeństwa, aby móc uzyskać dostęp do informacji niejawnych dotyczących bezpieczeństwa narodowego 369 .
(186) Do Sądu Odwoławczego ds. Ochrony Danych mogą zostać powołane wyłącznie osoby, które spełniają kwalifikacje, o których mowa w motywie 185, oraz które w chwili powołania ani w ciągu ostatnich dwóch lat nie były zatrudnione przez instytucje władzy wykonawczej. Podobnie podczas kadencji na stanowiskach sędziów Sądu Odwoławczego ds. Ochrony Danych nie mogą oni również pełnić żadnych oficjalnych funkcji ani nie mogą być zatrudnieni w rządzie Stanów Zjednoczonych (na innym stanowisku niż sędziowie Sądu Odwoławczego ds. Ochrony Danych) 370 .
(187) Niezależność procesu orzekania osiąga się za pomocą szeregu gwarancji. W szczególności jednostki władzy wykonawczej (prokurator generalny i agencje wywiadowcze) nie mogą ingerować w kontrolę prowadzoną przez Sąd Odwoławczy ds. Ochrony Danych ani wywierać na nią niewłaściwego wpływu 371 . Sam Sąd Odwoławczy ds. Ochrony Danych jest zobowiązany do bezstronnego rozpoznawania spraw 372 i działa zgodnie z własnym regulaminem (przyjętym większością głosów). Ponadto sędziowie Sądu Odwoławczego ds. Ochrony Danych mogą zostać odwołani jedynie przez prokuratora generalnego i wyłącznie z podaniem przyczyny (tj. niewłaściwe postępowanie, niewłaściwe sprawowanie urzędu, naruszenie bezpieczeństwa, zaniedbanie obowiązków lub niezdolność do orzekania), po należytym uwzględnieniu norm mających zastosowanie do sędziów federalnych, określonych w regulaminie prowadzenia postępowań sądowych i niezdolności do prowadzenia postępowań sądowych 373 .
(188) Wnioski składane do Sądu Odwoławczego ds. Ochrony Danych są rozpatrywane przez panel składający się z trzech sędziów, w tym z prezesa sądu, którzy muszą postępować zgodnie z kodeksem postępowania sędziów amerykańskich 374 . Każdy panel wspiera rzecznik specjalny 375 , który ma dostęp do wszystkich informacji dotyczących danej sprawy, w tym informacji niejawnych 376 . Rola rzecznika specjalnego polega na dopilnowaniu, aby interesy skarżącego były odpowiednio reprezentowane i aby panel Sądu Odwoławczego ds. Ochrony Danych był dobrze poinformowany o wszystkich istotnych okolicznościach prawnych i faktycznych 377 . Aby uzyskać więcej informacji na temat wniosku o kontrolę złożonego przez osobę fizyczną do Sądu Odwoławczego ds. Ochrony Danych i móc zająć stanowisko w tej sprawie, rzecznik specjalny może zwrócić się do skarżącego o przekazanie dodatkowych informacji, kierując do niego pytania na piśmie 378 .
(189) Sąd Odwoławczy ds. Ochrony Danych przeprowadza przegląd ustaleń dokonanych przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych (zarówno pod kątem tego, czy doszło do naruszenia obowiązującego prawa amerykańskiego, jak i pod kątem odpowiednich środków zaradczych) na podstawie co najmniej protokołu dochodzenia prowadzonego przez to biuro, jak również wszelkich informacji i uwag przedstawionych przez skarżącego, rzecznika specjalnego lub agencję wywiadowczą 379 . Panel Sądu Odwoławczego ds. Ochrony Danych ma dostęp do wszystkich informacji niezbędnych do przeprowadzenia kontroli, które to informacje może uzyskać za pośrednictwem Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych (panel może na przykład zwrócić się do tego biura o uzupełnienie dokumentacji o dodatkowe informacje lub ustalenia faktyczne, jeżeli jest to niezbędne do przeprowadzenia kontroli) 380 .
(190) Przeprowadzając kontrolę, Sąd Odwoławczy ds. Ochrony Danych może 1) stwierdzić, że nie ma żadnych dowodów wskazujących na to, że prowadzone były działania w zakresie rozpoznania radioelektronicznego, które obejmowały dane osobowe skarżącego, 2) stwierdzić, że ustalenia Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych są prawidłowe pod względem prawnym i poparte istotnymi dowodami, lub 3) dokonać swoich własnych ustaleń, jeżeli nie zgadza się z ustaleniami tego biura (w kwestii tego, czy doszło do naruszenia obowiązującego prawa amerykańskiego, lub w kwestii odpowiednich środków zaradczych) 381 .
(191) We wszystkich przypadkach Sąd Odwoławczy ds. Ochrony Danych wydaje orzeczenie na piśmie, przyjęte większością głosów. Jeżeli w wyniku kontroli ujawnione zostanie naruszenie obowiązujących przepisów, w orzeczeniu należy określić wszelkie odpowiednie środki zaradcze, które obejmują usunięcie bezprawnie zgromadzonych danych, usunięcie wyników nieprawidłowo przeprowadzonych zapytań, ograniczenie dostępu do danych zgromadzonych zgodnie z prawem do odpowiednio przeszkolonego personelu lub wycofanie sprawozdań służb wywiadowczych zawierających dane, które zostały pozyskane bez upoważnienia prawnego lub które były rozpowszechniane niezgodnie z prawem 382 . Orzeczenie Sądu Odwoławczego ds. Ochrony Danych jest wiążące i ostateczne w odniesieniu do wniesionej do niego skargi 383 . Ponadto, jeżeli w wyniku kontroli ujawnione zostanie naruszenie ze strony jakiegokolwiek organu podlegającego nadzorowi Sądu ds. Kontroli Wywiadu, Sąd Odwoławczy ds. Ochrony Danych musi również przedstawić niejawne sprawozdanie asystentowi prokuratora generalnego ds. bezpieczeństwa narodowego, który z kolei jest zobowiązany do zgłoszenia niezgodności Sądowi ds. Kontroli Wywiadu, który może podjąć dalsze czynności egzekucyjne (zgodnie z procedurą opisaną w motywach 173-174) 384 .
(192) Każde orzeczenie panelu Sądu Odwoławczego ds. Ochrony Danych przekazuje się Biuru Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych 385 . W przypadkach, w których kontrola prowadzona przez Sąd Odwoławczy ds. Ochrony Danych została wszczęta na podstawie wniosku skarżącego, organ krajowy informuje skarżącego, że sąd ten zakończył przeprowadzanie kontroli i że "kontrola nie wykazała żadnych naruszeń objętych zakresem albo [że] Sąd Odwoławczy ds. Ochrony Danych wydał orzeczenie nakazujące wdrożenie odpowiednich środków zaradczych" 386 . Biuro Ochrony Prywatności i Wolności Obywatelskich przy DoJ prowadzi rejestr wszystkich informacji poddanych kontroli przez Sąd Odwoławczy ds. Ochrony Danych i wszystkich wydanych orzeczeń, który to rejestr zostaje udostępniony przyszłym panelom tego sądu jako niewiążący precedens 387 .
(193) DoC jest również zobowiązany do prowadzenia rejestru w odniesieniu do każdego skarżącego, który złożył skargę 388 . Aby zwiększyć przejrzystość, DoC musi co najmniej co pięć lat kontaktować się z odpowiednimi agencjami wywiadowczymi w celu zweryfikowania, czy informacje dotyczące kontroli przeprowadzonej przez Sąd Odwoławczy ds. Ochrony Danych zostały odtajnione 389 . Jeżeli tak, osoba fizyczna zostanie powiadomiona o tym, że takie informacje mogą być dostępne zgodnie z obowiązującym prawem (tj. że osoba ta może złożyć wniosek o uzyskanie dostępu do tych informacji na podstawie ustawy o swobodnym dostępie do informacji, zob. motyw 199).
(194) Ponadto prawidłowe funkcjonowanie tego mechanizmu dochodzenia roszczeń będzie podlegało regularnej i niezależnej ocenie. Dokładniej rzecz ujmując, zgodnie z rozporządzeniem wykonawczym 14086 funkcjonowanie mechanizmu dochodzenia roszczeń podlega corocznemu przeglądowi przez PCLOB, który jest niezależnym organem (zob. motyw 110) 390 . W ramach tego przeglądu PCLOB oceni m.in., czy Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i Sąd Odwoławczy ds. Ochrony Danych rozpatrzyli skargi w odpowiednim terminie; czy uzyskali pełny dostęp do niezbędnych informacji; czy materialne zabezpieczenia przewidziane w rozporządzeniu wykonawczym 14086 zostały prawidłowo uwzględnione w procesie przeglądu oraz czy Wspólnota Wywiadowcza zastosowała się do wszystkich ustaleń dokonanych przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i Sąd Odwoławczy ds. Ochrony Danych. PCLOB sporządzi sprawozdanie z wyniku swojego przeglądu, skierowane do Prezydenta, prokuratora generalnego, Dyrektora Krajowych Służb Wywiadowczych, szefów agencji wywiadowczych, Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i kongresowych komisji ds. wywiadu, które zostanie upublicznione również w wersji jawnej, jak również zostanie uwzględnione w okresowym przeglądzie funkcjonowania niniejszej decyzji, który zostanie przeprowadzony przez Komisję. Prokurator generalny, Dyrektor Krajowych Służb Wywiadowczych, Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i szefowie agencji wywiadowczych są zobowiązani do wdrożenia lub uwzględnienia w inny sposób wszystkich zaleceń przedstawionych w takich sprawozdaniach. Oprócz tego PCLOB przeprowadzi coroczną certyfikację publiczną w celu ustalenia, czy mechanizm dochodzenia roszczeń jest wykorzystywany do rozpatrywania skarg zgodnie z wymogami określonymi w rozporządzeniu wykonawczym 14086.
(195) Oprócz szczególnego mechanizmu dochodzenia roszczeń ustanowionego na mocy rozporządzenia wykonawczego 14086 wszystkim osobom fizycznym (niezależnie od obywatelstwa lub miejsca pobytu) dostępne są również środki dochodzenia roszczeń przed amerykańskimi sądami powszechnymi 391 .
(196) W szczególności w ustawie o kontroli wywiadu i powiązanej ustawie przewidziano możliwość wytoczenia powództwa cywilnego przez osoby fizyczne o odszkodowanie pieniężne przeciwko Stanom Zjednoczonym, w przypadku gdy informacje na ich temat zostały bezprawnie i umyślnie wykorzystane lub ujawnione 392 ; pozwania amerykańskich urzędników rządowych działających we własnym imieniu o odszkodowanie pieniężne 393 oraz zakwestionowania legalności dozoru (i wystąpienia o ograniczenie rozpowszechniania informacji), w przypadku gdy rząd zamierza wykorzystać lub ujawnić jakiekolwiek informacje uzyskane lub pochodzące z dozoru elektronicznego przeciwko danej osobie w postępowaniu sądowym lub administracyjnym w Stanach Zjednoczonych 394 . Mówiąc bardziej ogólnie, jeżeli rząd zamierza wykorzystywać informacje uzyskane podczas działań wywiadowczych przeciwko podejrzanemu w postępowaniu karnym, w wymogach konstytucyjnych i ustawowych 395 przewidziane są obowiązki ujawnienia określonych informacji, tak aby oskarżony mógł zakwestionować legalność gromadzenia i wykorzystywania dowodów przez rząd.
(197) Ponadto istnieje szereg konkretnych możliwości uzyskania ochrony prawnej przeciwko urzędnikom rządowym ze względu na bezprawny dostęp administracji rządowej do danych osobowych lub ich bezprawne wykorzystanie przez administrację rządową, w tym rzekomo do celów bezpieczeństwa narodowego (tj. ustawa o oszustwach i nadużyciach komputerowych 396 ; ustawa o ochronie danych w łączności elektronicznej 397 oraz ustawa o prawie do prywatności w kwestiach finansowych 398 ). Wszystkie te kroki prawne dotyczą określonych danych, celów lub rodzajów dostępu (np. zdalnego dostępu za pomocą komputera i internetu) i można z nich skorzystać pod pewnymi warunkami (np. celowe/umyślne postępowanie, postępowanie wykraczające poza kompetencje, powstała szkoda).
(198) W ustawie o postępowaniu administracyjnym 399 przewiduje się bardziej ogólną możliwość dochodzenia roszczeń, zgodnie z którą "każda osoba doznająca krzywdy w świetle prawa w wyniku działania agencji lub dotknięta negatywnymi skutkami takiego działania lub poszkodowana w wyniku działań prowadzonych przez agencję" może wystąpić o kontrolę sądową 400 . Obejmuje to możliwość wystąpienia do sądu o "uznanie za bezprawne i uchylenie działań, ustaleń i wniosków agencji, w przypadku których okazało się, że są [...] arbitralne, nieprzemyślane, stanowią nadużycie uprawnień lub w inny sposób są niezgodne z prawem" 401 . Na przykład w 2015 r. federalny sąd apelacyjny orzekł w przedmiocie roszczenia na podstawie ustawy o postępowaniu administracyjnym, że hurtowe gromadzenie telefonicznych metadanych przez rząd Stanów Zjednoczonych nie jest dozwolone na mocy sekcji 501 ustawy o kontroli wywiadu 402 .
(199) Ponadto oprócz środków dochodzenia roszczeń, o których mowa w motywach 176-198, każda osoba fizyczna ma prawo uzyskać dostęp do istniejących rejestrów agencji federalnej na podstawie ustawy o dostępie do informacji publicznej, w tym jeżeli rejestry te zawierają dane osobowe tej osoby fizycznej 403 . Uzyskanie takiego dostępu może również ułatwić wnoszenie spraw do sądów powszechnych, w tym wykazywanie legitymacji procesowej. Agencje mogą zachować informacje, które wchodzą w zakres zamkniętej listy pewnych wyjątków, obejmujących dostęp do informacji niejawnych dotyczących bezpieczeństwa narodowego i informacji dotyczących badania egzekwowania prawa 404 , lecz skarżący, którzy nie są usatysfakcjonowani odpowiedzią, mogą ją zaskarżyć, wnosząc o kontrolę administracyjną i, następnie, sądową (przed sądami federalnymi) 405 .
(200) Z powyższego wynika, że gdy organy ścigania i organy bezpieczeństwa narodowego Stanów Zjednoczonych uzyskują dostęp do danych osobowych objętych zakresem niniejszej decyzji, dostęp taki jest regulowany ramami prawnymi które określają warunki, na jakich dostęp ten może mieć miejsce, i zapewniają ograniczenie dostępu do danych i ich dalszego wykorzystywania do tego, co jest niezbędne i proporcjonalne do realizowanego celu interesu publicznego. Na te zabezpieczenia mogą powołać się osoby fizyczne, którym przysługują prawa do skutecznego dochodzenia roszczeń.
4. WNIOSEK
(201) Komisja uważa, że Stany Zjednoczone - za pośrednictwem zasad wydanych przez DoC Stanów Zjednoczonych - zapewniają stopień ochrony danych osobowych przekazywanych z Unii do certyfikowanych podmiotów w Stanach Zjednoczonych na podstawie ram ochrony danych UE-USA, który zasadniczo odpowiada stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.
(202) Ponadto Komisja stwierdza, że zobowiązania w zakresie przejrzystości oraz zarządzanie DPF przez DoC gwarantują skuteczne stosowanie zasad. Oprócz tego mechanizmy nadzoru i możliwości dochodzenia roszczeń przewidziane w prawie Stanów Zjednoczonych - rozumiane jako całość - zapewniają możliwość identyfikowania przypadków naruszenia przepisów o ochronie danych i w praktyce nakładania kar za te naruszenia oraz oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych, a także - ostatecznie - sprostowania lub usunięcia takich danych.
(203) Co więcej, na podstawie dostępnych informacji na temat amerykańskiego porządku prawnego, w tym informacji zawartych w załącznikach VI i VII, Komisja uważa, że wszelkie ingerencje w interes publiczny, w szczególności do celów ścigania przestępstw oraz bezpieczeństwa narodowego, jakich dopuszczają się amerykańskie organy publiczne w odniesieniu do praw podstawowych osób fizycznych, których dane osobowe są przekazywane z Unii do Stanów Zjednoczonych na podstawie ram ochrony danych UE-USA, będą ograniczać się do tego, co jest ściśle niezbędne do osiągnięcia danego uzasadnionego celu, oraz że istnieje skuteczna ochrona prawna przed takimi ingerencjami. W świetle powyższych ustaleń należy zatem uznać, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony w rozumieniu art. 45 rozporządzenia (UE) 2016/679, interpretowanego w świetle Karty praw podstawowych Unii Europejskiej, danych osobowych przekazywanych z Unii do podmiotów certyfikowanych na podstawie ram ochrony danych UE-USA.
(204) Biorąc pod uwagę to, że ograniczenia, zabezpieczenia i mechanizm dochodzenia roszczeń ustanowione na mocy rozporządzenia wykonawczego 14086 są zasadniczymi elementami amerykańskich ram prawnych, na których opiera się ocena Komisji, przyjęcie niniejszej decyzji jest mianowicie uzależnione od przyjęcia zaktualizowanych strategii politycznych i procedur wdrażania rozporządzenia wykonawczego 14086 przez wszystkie amerykańskie agencje wywiadowcze oraz od wskazania Unii jako kwalifikującego się podmiotu do celów mechanizmu dochodzenia roszczeń, które to przyjęcia miały odpowiednio miejsce 3 lipca 2023 r. (zob. motyw 126) i 30 czerwca 2023 r. (zob. motyw 176).
5. SKUTKI NINIEJSZEJ DECYZJI I DZIAŁANIA ORGANÓW OCHRONY DANYCH
(205) Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.
(206) Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności przekazywanie danych przez administratora lub podmiot przetwarzający w Unii certyfikowanym podmiotom w Stanach Zjednoczonych może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.
(207) Należy przypomnieć, że zgodnie z art. 58 ust. 5 rozporządzenia (UE) 2016/679 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie Schrems 406 , jeżeli krajowy organ ochrony danych kwestionuje, w tym na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z przysługującymi osobie fizycznej prawami podstawowymi do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą tej osobie podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości 407 .
6. MONITOROWANIE I PRZEGLĄD NINIEJSZEJ DECYZJI
(208) Zgodnie z orzecznictwem Trybunału Sprawiedliwości 408 , a także jak wskazano w art. 45 ust. 4 rozporządzenia (UE) 2016/679, Komisja powinna ciągle monitorować istotne zmiany zachodzące w państwie trzecim po przyjęciu decyzji stwierdzającej odpowiedni stopień ochrony, aby ocenić, czy państwo trzecie nadal zapewnia zasadniczo równoważny stopień ochrony. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja otrzyma informacje budzące uzasadnione wątpliwości w tym względzie.
(209) W związku z powyższym Komisja powinna na bieżąco monitorować sytuację w zakresie ram prawnych i rzeczywistej praktyki w Stanach Zjednoczonych w odniesieniu do przetwarzania danych osobowych, podlegających ocenie w niniejszej decyzji. Aby ułatwić ten proces, władze Stanów Zjednoczonych powinny niezwłocznie informować Komisję o istotnych zmianach w porządku prawnym Stanów Zjednoczonych, które mają wpływ na ramy prawne będące przedmiotem niniejszej decyzji, a także o wszelkich zmianach praktyk związanych z przetwarzaniem danych osobowych poddanych ocenie w niniejszej decyzji, zarówno w odniesieniu do przetwarzania danych osobowych przez certyfikowane podmioty w Stanach Zjednoczonych, jak i ograniczeń i zabezpieczeń dotyczących dostępu do danych osobowych przez organy publiczne.
(210) Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez organy ochrony danych państw członkowskich, zwłaszcza w odniesieniu do zapytań lub skarg osób z Unii, których dane dotyczą, dotyczących przekazywania danych osobowych z Unii certyfikowanym podmiotom w Stanach Zjednoczonych. Komisja powinna być również informowana o wszelkich sygnałach świadczących o tym, że działania amerykańskich organów publicznych odpowiedzialnych za zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych, lub za bezpieczeństwo narodowe, w tym wszelkich organów nadzoru, nie gwarantują wymaganego stopnia ochrony.
(211) W zastosowaniu art. 45 ust. 3 rozporządzenia (UE) 2016/679 409 Komisja po przyjęciu niniejszej decyzji powinna okresowo sprawdzać, czy ustalenia odnoszące się do adekwatności stopnia ochrony gwarantowanego przez Stany Zjednoczone zgodnie z DPF UE-USA są nadal faktycznie i prawnie uzasadnione. Biorąc pod uwagę to, że w szczególności w rozporządzeniu wykonawczym 14086 i zarządzeniu prokuratora generalnego nałożono wymóg utworzenia nowych mechanizmów i wdrożenia nowych zabezpieczeń, niniejsza decyzja powinna zostać poddana pierwszemu przeglądowi w ciągu jednego roku od jej wejścia w życie w celu zweryfikowania, czy wszystkie istotne elementy zostały w pełni wdrożone i czy funkcjonują one skutecznie w praktyce. Po przeprowadzeniu tego pierwszego przeglądu oraz w zależności od jego wyników Komisja, w ścisłym porozumieniu z komitetem powołanym na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679 i Europejską Radą Ochrony Danych, podejmie decyzję w sprawie częstotliwości przyszłych przeglądów 410 .
(212) W celu przeprowadzenia przeglądów Komisja powinna spotkać się z przedstawicielami DoC, FTC i DoT oraz - w stosownych przypadkach - z przedstawicielami innych departamentów i agencji zaangażowanych we wdrażanie DPF UE-USA oraz, w sprawach związanych z dostępem organów rządowych do danych, z przedstawicielami DoJ, Urzędu Dyrektora Krajowych Służb Wywiadowczych (w tym Biura Wolności Obywatelskich i Ochrony Prywatności), innych jednostek Wspólnoty Wywiadowczej i Sądu Odwoławczego ds. Ochrony Danych oraz rzecznikami specjalnymi. Uczestnictwo w tym spotkaniu powinno być otwarte dla przedstawicieli członków Europejskiej Rady Ochrony Danych.
(213) Przeglądy powinny uwzględniać wszystkie aspekty funkcjonowania niniejszej decyzji w odniesieniu do przetwarzania danych osobowych w Stanach Zjednoczonych, w szczególności stosowanie i wdrażanie zasad, przy czym szczególną uwagę należy poświęcić środkom ochronnym w związku z dalszym przekazywaniem danych; nowym rozstrzygnięciom w orzecznictwie w tej dziedzinie; skuteczności korzystania z praw indywidualnych; monitorowaniu i egzekwowaniu zgodności z zasadami, a także ograniczeniom i zabezpieczeniom w odniesieniu do dostępu rządu, w szczególności wdrażaniu i stosowaniu zabezpieczeń wprowadzonych rozporządzeniem wykonawczym 14086, w tym poprzez polityki i procedury opracowane przez agencje wywiadowcze; wzajemnym powiązaniom między rozporządzeniem wykonawczym 14086 a sekcją 702 ustawy o kontroli wywiadu i rozporządzeniem wykonawczym 12333; oraz skuteczności mechanizmów nadzoru i możliwości dochodzenia roszczeń (w tym funkcjonowania nowego mechanizmu dochodzenia roszczeń ustanowionego na mocy rozporządzenia wykonawczego 14086). W kontekście takich przeglądów uwaga zostanie również poświęcona współpracy między organami ochrony danych a właściwymi organami Stanów Zjednoczonych, w tym opracowaniu wytycznych i innych narzędzi interpretacyjnych dotyczących stosowania zasad, a także innych aspektów funkcjonowania ram.
(214) Na podstawie przeglądu Komisja powinna przygotować ogólnodostępne sprawozdanie, które przedłoży Parlamentowi Europejskiemu i Radzie.
7. ZAWIESZENIE, UCHYLENIE LUB ZMIANA NINIEJSZEJ DECYZJI
(215) W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania niniejszej decyzji lub przedstawionych przez władze Stanów Zjednoczonych lub państw członkowskich, wynika, że zapewniany stopień ochrony danych przekazywanych na podstawie niniejszej decyzji może nie być już odpowiedni, Komisja powinna powiadomić o tym właściwe organy Stanów Zjednoczonych i zwrócić się o zastosowanie właściwych środków w określonym, rozsądnym terminie.
(216) Jeśli po upływie tego określonego terminu właściwe organy Stanów Zjednoczonych nie zastosują tych środków lub w inny zadowalający sposób nie wykażą, że niniejsza decyzja jest nadal oparta na odpowiednim stopniu ochrony, Komisja rozpocznie procedurę, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.
(217) Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza uzależniając przekazywanie danych od spełnienia dodatkowych warunków lub ograniczając zakres stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewniono ciągłość odpowiedniego stopnia ochrony.
(218) W szczególności Komisja powinna rozpocząć procedurę zawieszenia lub uchylania w przypadku:
a) oznak, że podmioty, które otrzymały dane osobowe z Unii na podstawie niniejszej decyzji, nie przestrzegają zasad oraz że właściwe organy ds. nadzoru i egzekwowania przepisów nie zajęły się skutecznie takimi przypadkami niezgodności;
b) oznak, że organy Stanów Zjednoczonych nie przestrzegają obowiązujących warunków i ograniczeń dostępu amerykańskich organów publicznych do danych osobowych przekazywanych zgodnie z DPF UE-USA do celów egzekwowania prawa i bezpieczeństwa narodowego; lub
c) nieskutecznego rozpatrywania skarg wnoszonych przez osoby z Unii, których dane dotyczą, w tym przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych lub Sąd Odwoławczy ds. Ochrony Danych.
(219) Komisja powinna również rozważyć wszczęcie procedury prowadzącej do zmiany, zawieszenia lub uchylenia niniejszej decyzji, jeżeli właściwe organy amerykańskie nie przedłożą informacji lub wyjaśnień wymaganych w związku z oceną stopnia ochrony zapewnianego w odniesieniu do danych osobowych przekazywanych z Unii do Stanów Zjednoczonych albo w odniesieniu do oceny zgodności z niniejszą decyzją. W tej kwestii Komisja powinna uwzględnić również zakres, w jakim właściwe informacje można uzyskać z innych źródeł.
(220) W należycie uzasadnionych, szczególnie pilnych przypadkach, na przykład gdyby rozporządzenie wykonawcze 14086 lub zarządzenie prokuratora generalnego zostało zmienione w taki sposób, który zmniejsza stopień ochrony opisany w niniejszej decyzji lub gdyby wskazanie przez prokuratora generalnego Unii jako kwalifikującego się podmiotu do celów mechanizmu dochodzenia roszczeń zostało wycofane, Komisja skorzysta z możliwości przyjęcia zgodnie z procedurą, o której mowa w art. 93 ust. 3 rozporządzenia (UE) 2016/679, mających natychmiastowe zastosowanie aktów wykonawczych zawieszających, uchylających lub zmieniających niniejszą decyzję.
8. UWAGI KOŃCOWE
(221) Europejska Rada Ochrony Danych opublikowała swoją opinię 411 , która została uwzględniona podczas przygotowywania niniejszej decyzji.
(222) Parlament Europejski przyjął rezolucję w sprawie adekwatności ochrony zapewnianej przez ramy ochrony danych UE-USA 412 .
(223) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Sporządzono w Brukseli dnia 10 lipca 2023 r.
Senat nie zgodził się w czwartek na zniesienie obowiązku zawierania umów o pracę z cudzoziemcami będącymi pracownikami tymczasowymi przez agencje pracy tymczasowej, ale umożliwił agencjom zawieranie umów cywilnoprawnych. Senatorowie zdecydowali natomiast o skreśleniu przepisu podnoszącego kary grzywny dla pracodawców przewidziane w kodeksie pracy. W głosowaniu przepadła też poprawka Lewicy podnosząca z 2 tys. zł do 10 tys. zł kary grzywny, jakie w postępowaniu mandatowym może nałożyć Państwowa Inspekcja Pracy.
13.03.2025
Ministerstwo Rodziny, Pracy i Polityki Społecznej nie zgodziło się na usunięcie z ustawy o zatrudnianiu cudzoziemców przepisu podnoszącego w kodeksie pracy kary dla pracodawców. Senacka Komisja Rodziny, Polityki Senioralnej i Społecznej zaakceptowała we wtorek jedynie poprawki Biura Legislacyjnego Senatu do tej ustawy. Nie można jednak wykluczyć, że na posiedzeniu Senatu inni senatorowie przejmą poprawki zgłaszane przez stronę pracodawców.
11.03.2025
Podczas ostatniego posiedzenia Sejmu, ku zaskoczeniu zarówno przedsiębiorców, jak i części posłów koalicji rządzącej, Lewica w ostatniej chwili „dorzuciła” do ustawy o warunkach dopuszczalności powierzania pracy cudzoziemcom poprawki zaostrzające kary za naruszanie przepisów prawa pracy - m.in. umożliwiające orzeczenie kary ograniczenia wolności. Jednocześnie zignorowano postulaty organizacji pracodawców, mimo wcześniejszych zapewnień rządu o ich poparciu.
27.02.2025
Już nie 30 tys. zł, a 50 tys. zł ma grozić maksymalnie pracodawcy, który zawrze umowę cywilnoprawną, choć powinien - umowę o pracę. Podobnie temu, który nie wypłaca w terminie wynagrodzenia za pracę lub innego świadczenia przysługującego pracownikowi albo uprawnionemu do tego świadczenia członkowi jego rodziny. A jeśli nie wypłaca przez okres co najmniej 3 miesięcy, to kara ma wynieść nawet 60 tys. złotych - zdecydował Sejm, przyjmując poprawkę Lewicy, zmieniającą Kodeks pracy w... ustawie dotyczącej cudzoziemców.
25.02.2025
500 zł zarobi członek obwodowej komisji wyborczej w wyborach Prezydenta RP, 600 zł - zastępca przewodniczącego, a 700 zł przewodniczący komisji wyborczej – wynika z uchwały Państwowej Komisji Wyborczej. Jeżeli odbędzie się ponownie głosowanie, zryczałtowana dieta wyniesie 75 proc. wysokości diety w pierwszej turze. Termin zgłaszania kandydatów na członków obwodowych komisji wyborczych mija 18 kwietnia
20.01.2025
1 stycznia 2025 r. weszły w życie liczne zmiany podatkowe, m.in. nowe definicje budynku i budowli w podatku od nieruchomości, JPK CIT, globalny podatek wyrównawczy, PIT kasowy, zwolnienie z VAT dla małych firm w innych krajach UE. Dla przedsiębiorców oznacza to często nowe obowiązki sprawozdawcze i zmiany w systemach finansowo-księgowych. Firmy muszą też co do zasady przeprowadzić weryfikację nieruchomości pod kątem nowych przepisów.
02.01.2025| Identyfikator: | Dz.U.UE.L.2023.231.118 |
| Rodzaj: | Decyzja |
| Tytuł: | Decyzja wykonawcza 2023/1795 na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych zapewniony w ramach ochrony danych UE-USA |
| Data aktu: | 10/07/2023 |
| Data ogłoszenia: | 20/09/2023 |
| Data wejścia w życie: | 20/09/2023 |