(notyfikowana jako dokument nr C(2023) 4745)(Tekst mający znaczenie dla EOG)
(Dz.U.UE L z dnia 20 września 2023 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 1 , w szczególności jego art. 45 ust. 3,
a także mając na uwadze, co następuje:
1. WPROWADZENIE
(1) W rozporządzeniu (UE) 2016/679 2 określono zasady dotyczące przekazywania danych osobowych przez administratorów lub podmioty przetwarzające w Unii do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych określono w rozdziale V tego rozporządzenia. Chociaż przepływ danych osobowych do państw spoza Unii Europejskiej oraz z takich państw jest niezbędnym warunkiem rozwoju handlu transgranicznego i współpracy międzynarodowej, przekazywanie danych osobowych państwom trzecim i organizacjom międzynarodowym nie może obniżać stopnia ochrony zapewnianego tym danym w Unii 3 .
(2) Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim zapewniają odpowiedni stopień ochrony. Przy spełnieniu tego warunku przekazywanie danych osobowych do państwa trzeciego może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia, jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia (UE) 2016/679.
(3) Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego, obejmującej zarówno jego przepisy dotyczące podmiotów odbierających dane, jak i ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych. W swojej ocenie Komisja musi ustalić, czy dane państwo trzecie daje gwarancje zapewniające stopień ochrony "zasadniczo odpowiadający" stopniowi ochrony zapewnianemu w Unii (motyw 104 rozporządzenia (UE) 2016/679). To, czy tak jest w istocie, należy oceniać w świetle przepisów Unii, w szczególności rozporządzenia (UE) 2016/679, a także orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (Trybunał Sprawiedliwości) 4 .
(4) Jak wyjaśnił Trybunał Sprawiedliwości w swoim wyroku z dnia 6 października 2015 r. w sprawie C-362/14, Maximillian Schrems/Data Protection Commissioner 5 (Schrems), nie oznacza to konieczności stwierdzenia identycznego stopnia ochrony. W szczególności środki, z których korzysta dane państwo trzecie do zapewnienia ochrony danych osobowych, mogą różnić się od środków stosowanych w Unii, o ile w praktyce skutecznie zapewniają odpowiedni stopień ochrony 6 . Odpowiedni standard ochrony nie wymaga zatem dokładnego powielenia przepisów unijnych. Przy określaniu odpowiedniości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do prywatności oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, dany zagraniczny system zapewnia jako całość wymagany stopień ochrony 7 . Ponadto zgodnie z tym wyrokiem przy stosowaniu tego standardu Komisja powinna w szczególności ocenić, czy ramy prawne danego państwa trzeciego zawierają reguły służące do ograniczenia ingerencji w prawa podstawowe osób, których dane zostały przekazane z Unii, których to ingerencji organy państwowe tego kraju mogłyby dokonywać przy okazji dążenia do realizacji uzasadnionego prawem celu, takiego jak bezpieczeństwo narodowe, oraz czy zapewniają skuteczną ochronę prawną przed ingerencjami tego rodzaju 8 . Wytyczne w tym zakresie zawiera również dokument w sprawie odpowiedniego stopnia ochrony Europejskiej Rady Ochrony Danych, który ma na celu dalsze wyjaśnienie tego standardu 9 .
(5) Standard obowiązujący w odniesieniu do takiej ingerencji w podstawowe prawa do prywatności i ochrony danych został doprecyzowany przez Trybunał Sprawiedliwości w wyroku z dnia 16 lipca 2020 r. w sprawie C-311/18, Data Protection Commissioner/Facebook Ireland Limited i Maximillian Schrems (Schrems II), w którym unieważniono decyzję wykonawczą Komisji (UE) 2016/1250 10 w sprawie dawnych ram dotyczących transatlantyckich przepływów danych, Tarczy Prywatności UE-USA (Tarcza Prywatności). Trybunał Sprawiedliwości uznał, że ograniczenia ochrony danych osobowych, które wynikają z wewnętrznych regulacji Stanów Zjednoczonych dotyczących dostępu i wykorzystywania przez organy amerykańskich władz publicznych takich przekazywanych z Unii do Stanów Zjednoczonych danych do celów ochrony bezpieczeństwa narodowego nie stanowią uregulowania tych ograniczeń w sposób odpowiadający wymogom merytorycznie równoważnym tym ustanowionym w prawie Unii w odniesieniu do konieczności i proporcjonalności takich ingerencji w prawo do ochrony danych 11 . Trybunał Sprawiedliwości uznał również, że nie było możliwości podniesienia środka odwoławczego przed organem oferującego osobom, których dane są przekazywane do Stanów Zjednoczonych, zabezpieczenia merytorycznie równoważne tym wymaganym w art. 47 karty dotyczącym prawa do skutecznego środka odwoławczego 12 .
(6) W następstwie wyroku w sprawie Schrems II Komisja rozpoczęła rozmowy z rządem Stanów Zjednoczonych w celu ewentualnego przyjęcia nowej decyzji stwierdzającej odpowiedni stopień ochrony, która spełniałaby wymogi określone w art. 45 ust. 2 rozporządzenia (UE) 2016/679, zgodnie z wykładnią Trybunału Sprawiedliwości. W wyniku przeprowadzonych rozmów Stany Zjednoczone przyjęły w dniu 7 października 2022 r. rozporządzenie wykonawcze 14086 w sprawie wzmocnienia zabezpieczeń na potrzeby amerykańskich działań w zakresie rozpoznania radioelektronicznego (rozporządzenie wykonawcze 14086), które jest uzupełnione zarządzeniem w sprawie Sądu Odwoławczego ds. Ochrony Danych wydanym przez prokuratora generalnego USA (zarządzenie prokuratora generalnego) 13 . Zaktualizowano ponadto ramy ochrony danych UE-USA (DPF UE-USA lub DPF) - ramy mające zastosowanie do podmiotów komercyjnych przetwarzających dane przekazywane z Unii na podstawie niniejszej decyzji.
(7) Komisja uważnie przeanalizowała prawo i praktykę Stanów Zjednoczonych, w tym rozporządzenie wykonawcze 14086 i zarządzenie prokuratora generalnego. W oparciu o ustalenia przedstawione w motywach 9-200 Komisja stwierdza, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych zgodnie z DPF UE-USA przez administratora lub podmiot przetwarzający w Unii 14 certyfikowanym podmiotom w Stanach Zjednoczonych.
(8) Niniejsza decyzja skutkuje tym, że przekazywanie danych osobowych przez administratorów i podmioty przetwarzające w Unii 15 certyfikowanym podmiotom w Stanach Zjednoczonych może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia. Nie ma ona wpływu na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do takich podmiotów, jeżeli spełnione są warunki dotyczące terytorialnego zakresu stosowania tego rozporządzenia, określone w jego art. 3.
2. RAMY OCHRONY DANYCH UE-USA
2.1. Zakres podmiotowy i przedmiotowy
2.1.1. Podmioty certyfikowane
(9) DPF UE-USA opierają się na systemie certyfikacji, zgodnie z którym amerykańskie podmioty zobowiązują się przestrzegać zbioru zasad ochrony prywatności - "zasad ramowych ochrony danych UE-USA", w tym zasad uzupełniających (zwanych dalej łącznie: "zasadami") - wydanych przez Departament Handlu Stanów Zjednoczonych (DoC) i zawartych w załączniku I do niniejszej decyzji 16 . Aby kwalifikować się do certyfikacji zgodnie z DPF UE-USA, podmiot musi respektować uprawnienia Federalnej Komisji Handlu (FTC) lub Departamentu Transportu Stanów Zjednoczonych (DoT) w zakresie prowadzenia dochodzeń i egzekwowania prawa 17 . Zasady mają zastosowanie niezwłocznie po certyfikacji. Jak wyjaśniono szczegółowo w motywach 48-52, podmioty objęte DPF UE-USA są zobowiązane do corocznego dokonywania ponownej certyfikacji potwierdzającej ich zobowiązanie do przestrzegania zasad 18 .
2.1.2. Definicja danych osobowych i pojęć administratora i "przedstawiciela"
(10) Ochrona zapewniana zgodnie z DPF UE-USA ma zastosowanie do wszystkich danych osobowych, które zostały przekazane z Unii do podmiotów w USA, które przyjęły zasady w drodze certyfikacji w DoC, z wyjątkiem danych gromadzonych w celu ich publikacji w prasie, radiu lub telewizji albo w innej formie publicznego rozpowszechnienia materiału dziennikarskiego oraz informacji w uprzednio opublikowanym materiale rozpowszechnionym z archiwów środków masowego przekazu 19 . Takich danych nie można zatem przekazywać na podstawie DPF UE-USA.
(11) W zasadach dane osobowe zdefiniowano w taki sam sposób jak w rozporządzeniu (UE) 2016/679, tj. jako "dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, wchodzące w zakres RODO, otrzymane z UE przez podmiot w Stanach Zjednoczonych i zapisane w dowolnej formie" 20 . W związku z tym obejmują one również spseudonimizowane (lub "kodowane za pomocą klucza") dane badawcze (również w przypadku, gdy klucz nie jest udostępniany amerykańskiemu podmiotowi otrzymującemu dane) 21 . Podobnie pojęcie "przetwarzania" jest zdefiniowane jako "każda operacja lub każdy zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych środków, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, dostosowanie lub modyfikacja, odzyskiwanie, przeszukiwanie, wykorzystywanie, ujawnianie lub rozpowszechnianie, a także usuwanie lub niszczenie" 22 .
(12) DPF UE-USA mają zastosowanie do podmiotów w USA, które kwalifikują się jako administratorzy (tj. jako osoba fizyczna lub podmiot, które samodzielnie lub wspólnie z innymi podmiotami określają cele i sposoby przetwarzania danych osobowych) 23 lub podmioty przetwarzające dane (tj. przedstawiciele działający w imieniu administratora) 24 . Amerykańskie podmioty przetwarzające muszą być zobowiązane umownie do działania wyłącznie zgodnie z instrukcjami unijnego administratora i do wspomagania tego administratora w udzielaniu odpowiedzi osobom fizycznym, które korzystają ze swoich praw wynikających z zasad 25 . W przypadku dalszego przetwarzania podmiot przetwarzający musi ponadto zawrzeć umowę z podmiotem dokonującym dalszego przetwarzania, gwarantującą taki sam stopień ochrony jak stopień zapewniany przez zasady oraz musi podjąć działania w celu zapewnienia prawidłowego wykonania tej umowy 26 .
2.2. Zasady ramowe ochrony danych UE-USA
2.2.1. Ograniczenie celu i wybór
(13) Dane osobowe powinno się przetwarzać zgodnie z prawem i rzetelnie. Powinny być zbierane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania.
(14) W DPF UE-USA zapewniają to różne zasady. Po pierwsze, zgodnie z zasadą integralności danych i ograniczenia celu oraz z art. 5 ust. 1 lit. b) rozporządzenia (UE) 2016/679, podmiot nie może przetwarzać danych osobowych w sposób niezgodny z celem, dla którego były one pierwotnie gromadzone lub na który osoba, której dane dotyczą, wyraziła następnie zgodę 27 .
(15) Po drugie, zanim dojdzie do wykorzystania danych osobowych w nowym (zmienionym) celu, który jest znacząco różny od pierwotnego celu, ale nadal z nim zgodny, lub do ujawnienia ich stronie trzeciej, podmiot musi zapewnić osobom, których dane dotyczą, możliwość wyrażenia sprzeciwu (klauzula opt-out), zgodnie z zasadą wyboru 28 , za pomocą jasnego, jednoznacznego i łatwo dostępnego mechanizmu. Co ważne, zasada ta nie zastępuje wyraźnego zakazu przetwarzania danych w sposób niezgodny z zasadami 29 .
2.2.2. Przetwarzanie szczególnych kategorii danych osobowych
(16) Jeżeli przetwarzane są "szczególne kategorie danych osobowych", powinny istnieć szczególne zabezpieczenia.
(17) Zgodnie z zasadą wyboru szczególne zabezpieczenia mają zastosowanie do przetwarzania "informacji szczególnie chronionych", tj. danych osobowych dotyczących informacji medycznych lub stanu zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, członkostwa w związkach zawodowych, danych związanych z życiem seksualnym danej osoby lub wszelkich innych informacji przekazanych przez stronę trzecią, które ta strona określa i traktuje jako szczególnie chronione 30 . Oznacza to, że wszelkie dane uważane za wrażliwe na mocy unijnego prawa o ochronie danych (w tym dane dotyczące orientacji seksualnej, dane genetyczne i dane biometryczne) będą traktowane przez podmioty certyfikowane jako szczególnie chronione zgodnie z DPF UE-USA.
(18) Co do zasady podmioty muszą uzyskać wyraźną zgodę (tj. zezwolenie) osób fizycznych na wykorzystywanie informacji szczególnie chronionych w celach innych niż cele, dla których były pierwotnie gromadzone lub na które osoba fizyczna wyraziła później zgodę (poprzez udzielenie zezwolenia), lub na ujawnienie ich stronom trzecim 31 .
(19) Nie wymaga się uzyskania takiej zgody w ściśle określonych okolicznościach podobnych do porównywalnych wyjątków przewidzianych w unijnym prawie o ochronie danych, np. gdy przetwarzanie danych wrażliwych leży w żywotnym interesie osoby, jest konieczne do ustalenia roszczeń prawnych, lub jest wymagane do udzielenia opieki medycznej lub postawienia diagnozy 32 ;
2.2.3. Prawidłowość, minimalizacja i bezpieczeństwo danych
(20) Dane powinny być prawidłowe i w stosownych przypadkach uaktualniane. Powinny być również adekwatne, stosowne oraz ograniczone do celów, w których są przetwarzane, a także co do zasady przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w których przetwarza się dane osobowe.
(21) Zgodnie z zasadą integralności danych i ograniczenia celu 33 dane osobowe muszą być ograniczone do tego, co jest istotne dla celu przetwarzania. Podmioty muszą ponadto - w zakresie niezbędnym do osiągnięcia celów przetwarzania - podjąć zasadne działania w celu zapewnienia, aby dane osobowe były zgodne ze swoim przeznaczeniem, prawidłowe, kompletne i aktualne.
(22) Dane osobowe można ponadto przechowywać w postaci identyfikującej osobę fizyczną lub umożliwiającej jej zidentyfikowanie (a zatem w postaci danych osobowych) 34 wyłącznie dopóty, dopóki służy to celowi lub celom, dla których dane te pierwotnie zgromadzono lub na które osoba fizyczna wyraziła później zgodę zgodnie z zasadą wyboru. Obowiązek ten nie uniemożliwia podmiotom dalszego przetwarzania danych osobowych przez dłuższy okres, ale tylko przez taki czas i w takim zakresie, który jest z rozsądnego punktu widzenia potrzebny do osiągnięcia jednego z następujących celów szczegółowych podobnych do porównywalnych wyjątków przewidzianych w unijnym prawie o ochronie danych: archiwizacji w interesie publicznym, badań na potrzeby dziennikarstwa, literatury i sztuki, nauki i historii oraz analizy statystycznej 35 . Jeśli dane osobowe są przechowywane do jednego z tych celów, ich przetwarzanie podlega gwarancjom zapewnianym przez zasady 36 .
(23) Dane osobowe powinny być także przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu administratorzy i podmioty przetwarzające powinni wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej, koszty ich wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także zagrożenia dla praw osób fizycznych.
(24) W DPF UE-USA zapewnia to zasada bezpieczeństwa, która wymaga, podobnie jak art. 32 rozporządzenia (UE) 2016/679, stosowania zasadnych i odpowiednich środków bezpieczeństwa, biorąc pod uwagę zagrożenia związane z przetwarzaniem i charakterem danych 37 .
2.2.4. Przejrzystość
(25) Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.
(26) Zapewnia to zasada powiadomienia 38 , zgodnie z którą - podobnie jak w przypadku wymogów w zakresie przejrzystości określonych w rozporządzeniu (UE) 2016/679 - podmioty są zobowiązane do przekazania osobom, których dane dotyczą, informacji na temat, między innymi: (i) uczestnictwa podmiotu w DPF, (ii) rodzaju gromadzonych danych, (iii) celu przetwarzania, (iv) rodzaju lub tożsamości stron trzecich, którym dane osobowe mogą zostać ujawnione, oraz celów takiego ujawnienia, (v) ich praw indywidualnych, (vi) sposobu kontaktowania się z podmiotem oraz (vii) dostępnych środków dochodzenia roszczeń.
(27) Powiadomienie to musi być sformułowane jasno i jednoznacznie z chwilą, gdy osoby fizyczne zostały po raz pierwszy poproszone o przekazanie danych osobowych, lub w najbliższym możliwym terminie po zwróceniu się do tych osób o dane osobowe po raz pierwszy, ale w każdym przypadku przed użyciem takich danych w celu znacząco różnym, ale nadal zgodnym, z tym, w którym były one gromadzone, lub przed ujawnieniem ich stronie trzeciej 39 .
(28) Podmioty muszą ponadto upublicznić swoje strategie polityczne w obszarze ochrony prywatności odzwierciedlające zasady (lub - w przypadku danych dotyczących zasobów ludzkich - udostępnić je osobom, których to dotyczy) oraz zamieścić linki do strony internetowej DoC (wraz z dalszymi szczegółowymi informacjami na temat certyfikacji, praw osób, których dane dotyczą, oraz dostępnych mechanizmów ochrony prawnej), wykaz podmiotów objętych ramami ochrony danych (wykaz DPF) oraz stronę internetową odpowiedniego podmiotu świadczącego usługi w zakresie pozasądowego rozstrzygania sporów 40 .
2.2.5. Prawa indywidualne
(29) Osobom, których dane dotyczą, powinny przysługiwać określone prawa, które można egzekwować wobec administratora lub podmiotu przetwarzającego, w szczególności prawo dostępu do zebranych danych, prawo do sprzeciwu wobec przetwarzania oraz prawo do sprostowania i usunięcia danych.
(30) Zgodnie z określoną w DPF UE-USA zasadą dostępu 41 osobom fizycznym przysługują takie prawa. W szczególności osoby, których dane dotyczą, mają prawo, bez konieczności uzasadnienia, uzyskać od podmiotu potwierdzenie, że przetwarza on ich dane osobowe, uzyskać te dane oraz uzyskać informacje o celu przetwarzania, kategoriach przetwarzanych danych osobowych oraz (kategoriach) odbiorców, którym dane są ujawniane 42 . Podmioty są zobowiązane do udzielania odpowiedzi na wnioski o udostępnienie danych w rozsądnym terminie 43 . Podmiot może wyznaczyć rozsądne ograniczenia co do liczby wniosków o udostępnienie danych składanych przez daną osobę fizyczną, które zostaną rozpatrzone w określonym okresie, oraz jest uprawniony do pobierania opłaty z tego tytułu, o ile nie będzie ona nadmiernie wysoka, na przykład w przypadku, gdy wnioski o udostępnienie danych są ewidentnie nadużywane, w szczególności ze względu na ich powtarzalność 44 .
(31) Prawo dostępu może zostać ograniczone wyłącznie w wyjątkowych okolicznościach, podobnych do tych przewidzianych w unijnym prawie o ochronie danych, w szczególności jeżeli istnieje ryzyko naruszenia uzasadnionych praw innych osób; jeżeli obciążenia związane z udzieleniem dostępu lub koszty udzielenia dostępu byłyby nieproporcjonalne w stosunku do zagrożeń dla prywatności osoby fizycznej, biorąc pod uwagę okoliczności danej sprawy (chociaż koszty i obciążenia nie mają decydującego znaczenia przy ustalaniu, czy udzielenie dostępu jest w danym przypadku zasadne); jeżeli ich ujawnienie mogłoby utrudnić zapewnienie ochrony istotnego nadrzędnego interesu publicznego, takiego jak bezpieczeństwo narodowe, bezpieczeństwo publiczne lub obronność; dane zawierają poufne informacje handlowe; lub dane przetwarza się wyłącznie w celach naukowych lub statystycznych 45 . Każda odmowa lub każde ograniczenie prawa muszą być koniecznie i należycie uzasadnione, przy czym to na podmiocie spoczywa obowiązek wykazania spełnienia wspomnianych wymogów 46 . Dokonując tej oceny, podmiot musi w szczególności wziąć pod uwagę interesy danej osoby 47 . Jeśli możliwe jest odseparowanie informacji od innych danych, których dotyczy ograniczenie, podmiot musi utajnić informacje chronione oraz ujawnić pozostałe informacje 48 .
(32) Osoby, których dane dotyczą, mają ponadto prawo do uzyskania sprostowania lub zmiany nieprawidłowych danych oraz usunięcia danych, które zostały przetworzone z naruszeniem zasad 49 . Ponadto, jak wyjaśniono w motywie 15, osoby fizyczne mają prawo sprzeciwu wobec przetwarzania ich danych lub prawo do wycofania zgody na przetwarzanie ich danych w celach zasadniczo różnych niż te, w których dane zgromadzono (ale zgodnych z tymi celami), oraz wobec ujawnienia ich danych stronom trzecim. Gdy dane osobowe są wykorzystywane w celach związanych z marketingiem bezpośrednim, osoby fizyczne mają ogólne prawo do wycofania zgody na przetwarzanie w dowolnym momencie 50 .
(33) Zasady nie odnoszą się konkretnie do kwestii decyzji wpływających na osobę, której dane dotyczą, opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych. Jeżeli jednak chodzi o dane osobowe zebrane w Unii, wszelkie decyzje opierające się na zautomatyzowanym przetwarzaniu podejmowane są zazwyczaj przez administratora w Unii (który ma bezpośrednie powiązanie z zainteresowaną osobą, której dane dotyczą) i bezpośrednio podlegają tym samym przepisom rozporządzenia (UE) 2016/679 51 . Obejmuje to scenariusze przekazywania, w których za przetwarzanie odpowiada zagraniczny (np. amerykański) podmiot gospodarczy działający w charakterze przedstawiciela (podmiotu przetwarzającego) w imieniu administratora w Unii (lub działający w charakterze podwykonawcy przetwarzania w imieniu unijnego podmiotu przetwarzającego po otrzymaniu danych od unijnego administratora, który je zebrał), który na tej podstawie podejmuje następnie decyzję.
(34) Zostało to potwierdzone w badaniu zleconym przez Komisję w 2018 r. w kontekście drugiego corocznego przeglądu funkcjonowania Tarczy Prywatności 52 , w którym stwierdzono, że w tamtym czasie nie było dowodów sugerujących, że podmioty uczestniczące w programie Tarczy Prywatności zwykle podejmowały zautomatyzowane decyzje na podstawie danych osobowych przekazywanych zgodnie z Tarczą Prywatności.
(35) W każdym przypadku w obszarach, w których najbardziej prawdopodobne jest, że przedsiębiorstwa stosują zautomatyzowane przetwarzanie danych osobowych, podejmując decyzje mające wpływ na osoby fizyczne (np. udzielanie kredytów, oferty kredytów, zatrudnienie, mieszkalnictwo i ubezpieczenia), w prawie amerykańskim zagwarantowano szczególne środki ochrony przed niekorzystnymi decyzjami 53 . Wspomniane akty prawne zazwyczaj zapewniają osobom fizycznym prawo do poznania szczegółowych powodów będących podstawą decyzji (np. odrzucenia wniosku o kredyt), prawo do zakwestionowania niekompletnych lub nieprawidłowych informacji (i podważenia faktu powołania się na czynniki niezgodne z prawem) oraz prawo do ochrony prawnej. W obszarze kredytów konsumenckich ustawa o rzetelnej sprawozdawczości kredytowej i ustawa o równych możliwościach kredytowych zawierają gwarancje, które zapewniają konsumentom pewną formę prawa do zażądania wyjaśnień i prawa do zakwestionowania decyzji. Ustawy te dotyczą szerokiego zakresu dziedzin, między innymi kredytów, zatrudnienia, mieszkalnictwa i ubezpieczeń. Niektóre przepisy antydyskryminacyjne, takie jak tytuł VII ustawy o prawach obywatelskich i ustawa o uczciwych praktykach w mieszkalnictwie, zapewniają ponadto osobom fizycznym ochronę w odniesieniu do modeli wykorzystywanych w zautomatyzowanym podejmowaniu decyzji, które mogą prowadzić do dyskryminacji ze względu na określone cechy, oraz przyznają osobom fizycznym prawa do kwestionowania takich decyzji, w tym decyzji zautomatyzowanych. W odniesieniu do informacji dotyczących zdrowia zasada dotycząca prywatności określona w ustawie o możliwości przenoszenia ubezpieczenia zdrowotnego i odpowiedzialności w zakresie ubezpieczenia zdrowotnego zapewnia określone prawa, które są podobne do tych przewidzianych w rozporządzeniu (UE) 2016/679 odnoszących się do dostępu do osobistych informacji dotyczących zdrowia. W wytycznych amerykańskich organów istnieje ponadto wymóg, by dostawcy usług medycznych otrzymywali informacje, które umożliwią im informowanie osób fizycznych o zautomatyzowanych systemach podejmowania decyzji stosowanych w sektorze medycznym 54 .
(36) W związku z tym przepisy te zapewniają środki ochrony podobne do środków ochrony przewidzianych w unijnych przepisach o ochronie danych w mało prawdopodobnej sytuacji, w której sam podmiot objęty DPF UE-USA podjąłby zautomatyzowane decyzje.
2.2.6. Ograniczenia dotyczące dalszego przekazywania
(37) Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii podmiotom w Stanach Zjednoczonych nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcy ze Stanów Zjednoczonych lub innego państwa trzeciego.
(38) Zgodnie z zasadą odpowiedzialności za dalsze przekazywanie 55 zasady szczególne mają zastosowanie do tzw. "dalszego przekazywania", tj. przekazywania danych osobowych przez podmiot objęty DPF UE-USA administratorowi lub podmiotowi przetwarzającemu będącymi stroną trzecią, bez względu na to, czy ten administrator lub podmiot przetwarzający ma siedzibę w USA lub w państwie trzecim poza Stanami Zjednoczonymi (i Unią). Wszelkie dalsze przekazywanie może mieć miejsce wyłącznie (i) w ograniczonym i określonym celu, (ii) na podstawie umowy między podmiotem objętym DPF UE-USA a stroną trzecią 56 (lub porównywalnego uzgodnienia w ramach grupy przedsiębiorstw 57 ) i (iii) tylko wtedy, gdy umowa ta zobowiązuje stronę trzecią do zapewnienia takiego samego stopnia ochrony jak ten gwarantowany przez zasady.
(39) Ten obowiązek zapewnienia takiego samego stopnia ochrony jak stopień zagwarantowany w zasadach, w związku z zasadą integralności danych i ograniczenia celu, oznacza w szczególności, że strona trzecia może tylko przetwarzać przekazane jej dane osobowe do celów zgodnych z celami, dla których je pierwotnie zgromadzono lub dla których osoba fizyczna je następnie zatwierdziła (zgodnie z zasadą wyboru).
(40) Zasadę odpowiedzialności za dalsze przekazywanie należy interpretować również w związku z zasadą powiadomienia, a w przypadku dalszego przekazywania administratorowi danych będącemu stroną trzecią 58 - zasadą wyboru; zgodnie z tymi zasadami osoby, których dane dotyczą, muszą być (między innymi) informowane o rodzaju/tożsamości jakiegokolwiek odbiorcy będącego stroną trzecią do celu dalszego przekazywania oraz o oferowanym im wyborze, a także mogą sprzeciwić się (wycofać zgodę) lub w przypadku danych wrażliwych udzielić "wyraźnej zgody" na dalsze przekazywanie.
(41) Obowiązek zapewnienia takiego samego stopnia ochrony jak stopień wymagany w zasadach ma zastosowanie do wszystkich stron trzecich zaangażowanych w przetwarzanie danych przekazywanych w taki sposób bez względu na ich położenie (w USA lub w innym państwie trzecim) oraz w przypadku gdy pierwotny odbiorca będący stroną trzecią sam przekazuje te dane innemu odbiorcy będącemu stroną trzecią przykładowo do celów dalszego przetwarzania.
(42) We wszystkich przypadkach w umowie z odbiorcą będącym stroną trzecią należy przewidzieć, aby ten odbiorca powiadomił podmiot objęty DPF UE-USA, jeżeli ustali, że nie jest w stanie dłużej spełniać swojego obowiązku. W przypadku dokonania takiego ustalenia przetwarzanie przez stronę trzecią musi ustać lub konieczne będzie zastosowanie innych zasadnych i właściwych środków, aby znaleźć rozwiązanie zaistniałej sytuacji 59 .
(43) Dodatkowe środki ochrony mają zastosowanie w przypadku dalszego przekazywania danych przedstawicielowi będącemu stroną trzecią (tj. podmiotowi przetwarzającemu). W takim przypadku amerykański podmiot musi zapewnić, aby przedstawiciel działał wyłącznie zgodnie z jego instrukcjami, i zastosować zasadne i właściwe środki: (i) w celu zapewnienia skutecznego przetwarzania przez przedstawiciela danych osobowych przekazanych w sposób zgodny z obowiązkami tego podmiotu na mocy zasad oraz (ii) w celu zaprzestania nieuprawnionego przetwarzania i naprawienia zaistniałej sytuacji, po otrzymaniu stosownego wniosku 60 . Podmiot może zostać zobowiązany przez DoC do przedstawienia streszczenia lub poświadczonej kopii postanowień dotyczących prywatności zawartych w umowie 61 . W przypadku problemów związanych ze zgodnością w łańcuchu (dalszego) przetwarzania podmiot działający jako administrator danych osobowych będzie co do zasady ponosił odpowiedzialność, jak określono w zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności, chyba że udowodni, że nie jest odpowiedzialny za zdarzenie powodujące szkodę 62 .
2.2.7. Rozliczalność
(44) Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.
(45) Jeżeli podmiot dobrowolnie zdecyduje się na certyfikację 63 zgodnie z DPF UE-USA, ma obowiązek skutecznie przestrzegać zasad, co musi być możliwe do wyegzekwowania. Zgodnie z zasadą dotyczącą ochrony prawnej, egzekwowania prawa oraz odpowiedzialności 64 podmioty objęte DPF UE-USA muszą przedstawić skuteczne mechanizmy służące zapewnieniu zgodności z zasadami. Podmioty muszą również zastosować środki w celu sprawdzenia 65 , czy ich polityka ochrony prywatności odpowiada zasadom i czy jest w istocie przestrzegana. Można tego dokonać za pośrednictwem systemu samooceny, który musi obejmować wewnętrzne procedury zapewniające przeszkolenie pracowników w zakresie wdrażania polityki ochrony prywatności danego podmiotu oraz przeprowadzanie okresowego, obiektywnego przeglądu zgodności lub zewnętrznych przeglądów zgodności, które mogą odbywać się w formie audytów lub kontroli wyrywkowych albo poprzez wykorzystanie narzędzi technologicznych.
(46) Podmioty muszą ponadto zachowywać dokumenty dotyczące wdrażania praktyk zgodnie z DPF UE-USA oraz udostępniać je na żądanie, w toku dochodzenia bądź badania skargi dotyczącej nieprzestrzegania zasad, niezależnemu organowi ds. rozstrzygania sporów bądź właściwemu organowi egzekwowania prawa 66 .
2.3. Zarządzanie, nadzór i egzekwowanie
(47) Programem DPF UE-USA będzie zarządzał i będzie go monitorował DoC. Ramy te przewidują mechanizmy nadzoru i egzekwowania w celu kontroli i zapewnienia przestrzegania zasad przez podmioty objęte DPF UE-USA oraz usunięcie każdego przypadku nieprzestrzegania zasad. Wspomniane mechanizmy opisano w zasadach (załącznik I) i zobowiązaniach podjętych przez DoC (załącznik III), FTC (załącznik IV) i DoT (załącznik V).
2.3.1. (Ponowna) certyfikacja
(48) Aby dokonać certyfikacji zgodnie z DPF UE-USA (lub corocznej ponownej certyfikacji), podmioty mają obowiązek publicznie zadeklarować swoje zobowiązanie do przestrzegania zasad, udostępnić swoją politykę ochrony prywatności oraz w pełni ją wdrożyć 67 . W ramach wniosku o (ponowną) certyfikację podmioty muszą przedłożyć DoC informacje dotyczące, między innymi, nazwy odpowiedniego podmiotu, opisu celów, w których podmiot będzie przetwarzał dane osobowe, danych osobowych, które będą objęte certyfikacją, a także wybranej metody kontroli, odpowiedniego niezależnego mechanizmu ochrony prawnej i organu ustawowego właściwego do egzekwowania przestrzegania zasad 68 .
(49) Podmioty mogą otrzymywać dane osobowe na podstawie DPF UE-USA od dnia umieszczenia ich w wykazie DPF przez DoC. Aby zagwarantować pewność prawa i uniknąć "fałszywych oświadczeń", podmioty dokonujące po raz pierwszy certyfikacji nie mogą publicznie informować o przestrzeganiu przez siebie zasad, zanim DoC nie stwierdzi, że zgłoszenie certyfikacji podmiotu jest kompletne, i nie doda podmiotu do wykazu DPF 69 . Aby móc nadal korzystać z DPF UE-USA w celu otrzymywania danych osobowych z Unii, podmioty takie muszą co roku ponownie dokonywać certyfikacji swojego uczestnictwa w przedmiotowych ramach. Podmiot, który z jakiegokolwiek powodu wycofuje się z DPF UE-USA, musi usunąć wszelkie oświadczenia, które sugerują, że wciąż aktywnie uczestniczy w ramach 70 .
(50) Jak wynika z zobowiązań określonych w załączniku III, DoC zweryfikuje, czy podmioty spełniają wszystkie wymogi certyfikacyjne i czy wprowadziły (publiczną) politykę prywatności zawierającą informacje wymagane zgodnie z zasadą powiadomienia 71 . Opierając się na doświadczeniach z procesem (ponownej) certyfikacji w ramach Tarczy Prywatności, DoC przeprowadzi szereg kontroli, między innymi w celu sprawdzenia, czy polityka ochrony prywatności podmiotów zawiera hiperłącze do właściwego formularza skargi na stronie internetowej odpowiedniego mechanizmu rozstrzygania sporów oraz - w przypadku gdy zgłoszenie certyfikacji obejmuje kilka podmiotów i spółek zależnych jednego podmiotu - czy polityka prywatności każdego z tych podmiotów spełnia wymogi certyfikacyjne i jest łatwo dostępna dla osób, których dane dotyczą 72 . W razie potrzeby DoC przeprowadzi ponadto kontrole krzyżowe z FTC i DoT w celu sprawdzenia, czy podmioty podlegają organowi nadzoru wskazanemu w ich zgłoszeniach (ponownej) certyfikacji, oraz będzie współpracować z organami ds. rozstrzygania sporów stosującymi alternatywne metody rozwiązywania sporów w celu sprawdzenia, czy podmioty są zarejestrowane w niezależnym mechanizmie ochrony prawnej wskazanym w ich zgłoszeniu (ponownej) certyfikacji 73 .
(51) DoC poinformuje podmioty, że w celu zakończenia (ponownej) certyfikacji muszą one zaradzić wszystkim problemom zidentyfikowanym podczas przeprowadzonego przez DoC przeglądu. W przypadku gdy podmiot nie odpowie w terminie określonym przez DoC (przy ponownej certyfikacji oczekuje się na przykład, że proces zostanie zakończony w terminie 45 dni) 74 lub w inny sposób nie zakończy certyfikacji, zgłoszenie zostanie uznane za wycofane. W takim przypadku każde podanie fałszywych informacji dotyczących uczestnictwa lub zgodności z DPF UE-USA może skutkować podjęciem czynności egzekucyjnych ze strony FTC lub DoT 75 .
(52) W celu zagwarantowania prawidłowego stosowania DPF UE-USA zainteresowane strony, takie jak osoby, których dane dotyczą, podmioty przekazujące dane i krajowe organy ochrony danych muszą być w stanie identyfikować te podmioty, które przestrzegają zasad. W celu zapewnienia takiej przejrzystości w "punkcie wejścia" DoC zobowiązał się prowadzić i publicznie udostępniać wykaz podmiotów, które przyjęły zasady w drodze certyfikacji oraz podlegają właściwości co najmniej jednego organu egzekwowania prawa wymienionego w załącznikach IV i V do niniejszej decyzji 76 . DoC będzie aktualizował wykaz na podstawie dokonywanych przez podmioty corocznych zgłoszeń dotyczących ponownej certyfikacji oraz gdy dany podmiot wycofa się lub zostanie usunięty z DPF UE-USA. Ponadto, w celu zapewnienia przejrzystości także w "punkcie wyjścia", DoC będzie prowadził i publicznie udostępniał oficjalny rejestr podmiotów, które usunięto z wykazu, za każdym razem przedstawiając powód takiego usunięcia 77 . DoC dostarczy ponadto link do strony internetowej FTC dotyczącej DPF UE-USA, zawierającej wykaz czynności egzekucyjnych FTC zgodnie z przedmiotowymi ramami 78 .
2.3.2. Monitorowanie zgodności
(53) DoC będzie na bieżąco monitorować skuteczne przestrzeganie zasad przez podmioty objęte DPF UE-USA za pomocą różnego rodzaju mechanizmów 79 . W szczególności DoC będzie przeprowadzać "kontrole wyrywkowe" losowo wybranych podmiotów, a także kontrole wyrywkowe ad hoc określonych podmiotów, w przypadku gdy wykryte zostaną potencjalne problemy dotyczące zgodności (np. zgłoszone DoC przez strony trzecie) w celu sprawdzenia, czy (i) osoba lub osoby odpowiedzialne za kontakty zajmujące się rozpatrywaniem skarg i wniosków osób, których dane dotyczą, są dostępne i odpowiednio reagują; (ii) polityka prywatności podmiotu jest łatwo dostępna, zarówno na jego stronie internetowej, jak i za pośrednictwem linku na stronie internetowej DoC; (iii) polityka prywatności podmiotu jest niezmiennie zgodna z wymogami certyfikacyjnymi oraz (iv) wybrany przez podmiot niezależny mechanizm rozstrzygania sporów jest dostępny do rozpatrywania skarg 80 .
(54) Jeśli istnieją wiarygodne dowody na to, że podmiot nie spełnia swoich zobowiązań wynikających z DPF UE-USA (włącznie z sytuacją, gdy DoC otrzyma skargi lub podmiot nie odpowie na zapytania DoC w zadowalający sposób), DoC zażąda od podmiotu wypełnienia i przedłożenia szczegółowego kwestionariusza 81 . Podmiot, który nie przedłoży terminowo uzupełnionego w sposób zadowalający kwestionariusza, zostanie skierowany do odpowiedniego organu (FTC lub DoT) w celu podjęcia ewentualnych czynności egzekucyjnych 82 . Jako element działań w zakresie monitorowania zgodności w ramach Tarczy Prywatności DoC regularnie przeprowadzał wyrywkowe kontrole, o których mowa w motywie 53, i stale monitorował publiczne sprawozdania, co pozwoliło na zidentyfikowanie problemów dotyczących przestrzegania zasad, podjęcie działań zaradczych i rozwiązanie tych problemów 83 . Podmioty, które uporczywie nie przestrzegają zasad, zostaną usunięte z wykazu podmiotów objętych DPF i będą zobowiązane do zwrócenia lub usunięcia danych osobowych, które otrzymały zgodnie z przedmiotowymi ramami ochrony danych 84 .
(55) W innych przypadkach usunięcia, np. w przypadku dobrowolnego wycofania się z udziału w programie lub niedopełnienia obowiązku odnowienia certyfikacji, podmiot musi usunąć albo zwrócić takie dane, albo może je zatrzymać, jeżeli co roku przedstawi DoC swoje zobowiązanie do stosowania zasad lub zapewniania odpowiedniej ochrony danych osobowych za pomocą innych zatwierdzonych środków (na przykład stosując umowę w pełni odzwierciedlającą wymogi odpowiednich standardowych klauzul umownych zatwierdzonych przez Komisję) 85 . W takim przypadku podmiot musi również wskazać osobę odpowiedzialną za kontakty w obrębie podmiotu, która odpowie na wszystkie zapytania związane z DPF UE-USA.
2.3.3. Identyfikacja fałszywych oświadczeń o uczestnictwie i przeciwdziałanie im
(56) DoC będzie monitorować wszelkie fałszywe oświadczenia o uczestnictwie w DPF UE-USA lub niewłaściwym użyciu znaku certyfikującego DPF UE-USA, zarówno z urzędu, jak i na podstawie skarg (np. otrzymanych od organów ochrony danych) 86 . W szczególności DoC będzie na bieżąco sprawdzać, czy podmioty, które (i) wycofały się z udziału w programie DPF UE-USA, (ii) nie dokonały corocznej ponownej certyfikacji (tj. albo rozpoczęły coroczny proces ponownej certyfikacji, ale nie ukończyły go w odpowiednim czasie, albo nawet nie rozpoczęły tego procesu), (iii) zostały usunięte z wykazu uczestników, w szczególności z powodu "uporczywego nieprzestrzegania zasad", lub (iv) nie ukończyły wstępnej certyfikacji (tj. rozpoczęły proces wstępnej certyfikacji, ale nie ukończyły go w odpowiednim czasie), usunęły z wszelkich odpowiednich opublikowanych polityk prywatności odniesienia do DPF UE-USA sugerujące, że podmiot aktywnie uczestniczy w DPF 87 . DoC przeprowadzi również wyszukiwanie w internecie w celu zidentyfikowania odniesień do DPF UE-USA w politykach prywatności podmiotów, w tym w celu zidentyfikowania fałszywych oświadczeń podmiotów, które nigdy nie były objęte DPF UE-USA 88 .
(57) W przypadku, gdy DoC stwierdzi, że odniesienia do DPF UE-USA nie zostały usunięte lub są niewłaściwie wykorzystywane, poinformuje podmiot o możliwym zgłoszeniu sprawy do FTC/DoT 89 . Jeśli podmiot nie odpowie w sposób zadowalający, DoC przekaże sprawę odpowiedniej agencji w celu podjęcia ewentualnych czynności egzekucyjnych 90 . Każde podanie do publicznej wiadomości fałszywej informacji dotyczącej przestrzegania przez podmiot zasad w postaci wprowadzających w błąd oświadczeń lub praktyk stanowi podstawę wszczęcia postępowania przez FTC, DoT lub inny odpowiedni organ egzekwowania prawa Stanów Zjednoczonych. Podanie DoC fałszywych informacji stanowi podstawę wszczęcia postępowania na podstawie ustawy o fałszywych oświadczeniach (tytuł 18 § 1001 U.S.C.).
2.3.4. Egzekwowanie prawa
(58) W celu zapewnienia odpowiedniego stopnia ochrony danych w praktyce, należy ustanowić niezależny organ nadzorczy, któremu powierzone zostaną uprawnienia do monitorowania i egzekwowania zgodności z przepisami o ochronie danych.
(59) Podmioty objęte DPF UE-USA muszą podlegać jurysdykcji właściwych organów amerykańskich - FTC i DoT - które mają niezbędne uprawnienia do prowadzenia dochodzeń i egzekwowania przepisów prawa w celu skutecznego zapewnienia przestrzegania zasad przez te podmioty 91 .
(60) FTC jest niezależnym organem składającym się z pięciu komisarzy, którzy są mianowani przez Prezydenta za radą i zgodą Senatu 92 . Komisarze powoływani są na siedmioletnią kadencję i mogą zostać odwołani przez Prezydenta wyłącznie z powodu braku efektywności, zaniedbania obowiązków lub niewłaściwego sprawowania urzędu. W skład FTC nie może wchodzić więcej niż trzech komisarzy wywodzących się z tej samej partii politycznej, a w okresie swojej kadencji komisarze nie mogą angażować się w żadną inną działalność ani podejmować żadnej innej pracy.
(61) FTC może badać zgodność z zasadami, a także fałszywe oświadczenia o przestrzeganiu zasad lub o udziale w DPF UE-USA składane przez podmioty, które nie figurują już w wykazie DPF albo które nigdy nie dokonały certyfikacji 93 . FTC może wyegzekwować przestrzeganie zasad za pomocą decyzji administracyjnych lub orzeczeń sądu federalnego (w tym "ugód" uzyskanych w drodze porozumienia) 94 o nałożeniu wstępnych lub stałych nakazów lub zakazów sądowych lub innych środków ochrony prawnej i systematycznie będzie monitorować stosowanie się do takich decyzji lub orzeczeń 95 . Jeżeli podmioty nie przestrzegają takich decyzji lub orzeczeń, FTC może dochodzić sankcji cywilnych i innych środków ochrony prawnej, w tym za wszelkie szkody spowodowane niezgodnym z prawem postępowaniem. Każda ugoda wystawiona na rzecz podmiotu objętego DPF UE-USA będzie zawierała postanowienia dotyczące samozgłaszania 96 , a podmioty będą zobowiązane do podawania do wiadomości publicznej wszelkich istotnych i związanych z DPF UE-USA sekcji wszelkich przedłożonych FTC sprawozdań dotyczących przestrzegania zasad lub sprawozdań z oceny. Ponadto FTC będzie prowadziło internetowy wykaz podmiotów podlegających decyzjom FTC lub orzeczeniom sądu w sprawach dotyczących DPF UE-USA 97 .
(62) W odniesieniu do Tarczy Prywatności FTC podjęła czynności egzekucyjne w około 22 sprawach, zarówno w odniesieniu do naruszeń określonych wymogów przedmiotowego programu (np. brak potwierdzenia wobec DoC, że podmiot nieprzerwanie stosował środki ochrony w ramach Tarczy Prywatności po opuszczeniu programu, brak weryfikacji w drodze samooceny albo zewnętrznych przeglądów zgodności z wymogami, że podmiot przestrzegał zasad programu) 98 , jak i fałszywych oświadczeń o uczestnictwie w programie (np. ze strony podmiotów, które nie wykonały niezbędnych kroków w celu uzyskania certyfikacji lub pozwoliły na jej wygaśnięcie, ale fałszywie twierdziły, że nadal ją posiadają) 99 . Takie czynności egzekucyjne wynikały między innymi z aktywnego wykorzystania wezwań administracyjnych do uzyskania materiałów od niektórych uczestników programu Tarczy Prywatności w celu sprawdzenia, czy nie doszło do istotnych naruszeń zobowiązań wynikających z Tarczy Prywatności 100 .
(63) Ogólniej rzecz biorąc, w ostatnich latach FTC podjęła działania egzekucyjne w szeregu spraw dotyczących zgodności ze szczegółowymi wymogami w zakresie ochrony danych, które są również przewidziane w DPF UE-USA, np. w odniesieniu do zasad ograniczenia celu i przechowywania danych 101 , minimalizacji danych 102 , bezpieczeństwa danych 103 i dokładności danych 104 .
(64) Na mocy prawa federalnego DoT dysponuje wyłącznym uprawnieniem do regulowania praktyk ochrony prywatności przewoźników lotniczych i uprawnieniem dzielonym z FTC w odniesieniu do praktyk ochrony prywatności stosowanych przez pośredników sprzedaży biletów w sprzedaży usług transportu lotniczego. Urzędnicy DoT w pierwszej kolejności dążą do osiągnięcia ugody, a jeśli nie jest to możliwe, mogą wszcząć postępowanie egzekucyjne obejmujące postępowanie dowodowe przed sędzią administracyjnym w DoT, uprawnionym do wydawania nakazów zaprzestania stosowania zaskarżonych praktyk i nakładania kar cywilnych 105 . Sędziowie administracyjni korzystają z szeregu środków ochrony na mocy ustawy o postępowaniu administracyjnym w celu zapewnienia ich niezawisłości i bezstronności. Mogą oni na przykład zostać odwołani z urzędu wyłącznie z ważnego powodu; są przydzielani do spraw rotacyjnie; nie mogą wykonywać działań zawodowych niezgodnych z zakresem ich obowiązków jako sędziów administracyjnych; nie podlegają nadzorowi zespołu dochodzeniowego organu, przez który są zatrudnieni (w tym przypadku DoT); oraz muszą wykonywać swoją funkcję sądowniczą/wykonawczą w sposób bezstronny 106 . DoT zobowiązany jest monitorować decyzje służące egzekwowaniu przepisów i zapewnić, aby decyzje wydane w sprawach dotyczących DPF UE-USA były dostępne na jego stronie internetowej 107 .
2.4. Dochodzenie roszczeń
(65) W celu zapewnienia odpowiedniej ochrony, a w szczególności egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć możliwość dochodzenia roszczeń na drodze administracyjnej i sądowej.
(66) DPF UE-USA, za pośrednictwem zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności, nakłada na podmioty obowiązek zapewnienia osobom fizycznym, na które fakt nieprzestrzegania zasad wywarł wpływ, możliwości skorzystania z mechanizmu ochrony prawnej, tj. możliwości złożenia przez osoby z Unii, których dane dotyczą, skarg na nieprzestrzeganie zasad przez podmioty objęte DPF UE-USA, a także możliwości rozpatrzenia tych skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej 108 . W ramach podejmowanych działań w obszarze certyfikacji podmioty muszą spełnić wymogi przewidziane w tej zasadzie, zapewniając możliwość skorzystania ze skutecznych i łatwo dostępnych niezależnych mechanizmów ochrony prawnej umożliwiających badanie i szybkie rozstrzyganie skarg oraz sporów poszczególnych osób fizycznych bez konieczności ponoszenia przez nie jakichkolwiek kosztów 109 .
(67) Podmioty mogą wybrać niezależne mechanizmy ochrony prawnej w Unii albo w Stanach Zjednoczonych. Jak szczegółowo wyjaśniono w motywie 73, obejmuje to możliwość podjęcia dobrowolnego zobowiązania do współpracy z unijnymi organami ochrony danych. W przypadkach, w których podmioty przetwarzają dane o zasobach ludzkich, takie zobowiązanie do współpracy z unijnymi organami ochrony danych jest obowiązkowe. Wśród innych rozwiązań alternatywnych należy wymienić niezależne pozasądowe rozstrzyganie sporów lub programy prywatności opracowane przez podmioty sektora prywatnego, w które wbudowano przedmiotowe zasady. Wspomniane programy muszą obejmować skuteczne mechanizmy egzekwowania prawa zgodne z wymogami zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności.
(68) Tym samym DPF UE-USA zapewnia osobom, których dane dotyczą, szereg środków służących egzekwowaniu przysługujących im praw, składaniu skarg na nieprzestrzeganie zasad przez podmioty prowadzące działania zarówno na rynku unijnym, jak i amerykańskim, a także uzyskanie rozstrzygnięcia takich skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej. Osoby fizyczne mogą wnieść skargę bezpośrednio do podmiotu, niezależnego organu ds. rozstrzygania sporów wyznaczonego przez podmiot, krajowych organów ochrony danych, DoC lub FTC. Jeżeli skargi wniesione przez osoby fizyczne nie zostaną rozstrzygnięte w ramach żadnego z wymienionych mechanizmów ochrony prawnej lub egzekwowania prawa, osoby fizyczne mają również prawo poddać sprawę pod arbitraż (załącznik I do załącznika I do niniejszej decyzji). Poza panelem arbitrażowym, do którego można wnieść dany spór wyłącznie po wyczerpaniu określonych środków ochrony prawnej, osoby fizyczne mogą podjąć decyzję o zastosowaniu dowolnego mechanizmu dochodzenia roszczeń lub wszystkich tych mechanizmów jednocześnie i nie są zobowiązane do ograniczenia się wyłącznie do jednego mechanizmu ani do korzystania z nich w określonym porządku.
(69) Po pierwsze, osoby z Unii, których dane dotyczą, mogą zgłaszać roszczenia dotyczące nieprzestrzegania zasad za pośrednictwem osób odpowiedzialnych za bezpośrednie kontakty w podmiotach objętych DPF UE-USA 110 . Aby ułatwić rozstrzygnięcie sporu, podmiot musi wdrożyć skuteczny mechanizm dochodzenia roszczeń w celu rozpatrywania takich skarg. Dlatego też prowadzona przez dany podmiot polityka ochrony prywatności musi zapewniać osobom fizycznym wyraźne informacje na temat osoby odpowiedzialnej za kontakty wewnątrz podmiotu albo poza podmiotem, która będzie rozpatrywać skargi (w tym wszelkie istotne organy w Unii, które mogą odpowiadać na zapytania lub skargi), oraz na temat wyznaczonego niezależnego organu ds. rozstrzygania sporów (zob. motyw 70). Po otrzymaniu skargi złożonej przez osobę fizyczną bezpośrednio lub za pośrednictwem DoC w następstwie zgłoszenia przez organ ochrony danych podmiot musi, w terminie 45 dni, udzielić odpowiedzi osobie z Unii, której dane dotyczą 111 . Podobnie podmioty są zobowiązane do bezzwłocznego reagowania na zapytania i inne wnioski o udzielenie informacji złożone przez DoC lub organ ochrony danych 112 (jeżeli podmiot zobowiązał się do współpracy z organem ochrony danych) dotyczące przestrzegania przez nie zasad.
(70) Po drugie, osoby fizyczne mogą również wnieść skargę bezpośrednio do niezależnego organu ds. rozstrzygania sporów (w Stanach Zjednoczonych albo Unii) wyznaczonego przez podmiot w celu badania i rozstrzygania skarg osób fizycznych (chyba że są w oczywisty sposób bezpodstawne lub niepoważne) oraz zapewnienia właściwej nieodpłatnej ochrony prawnej osobie fizycznej 113 . Sankcje i środki ochrony prawnej nałożone przez taki organ muszą być wystarczająco rygorystyczne, aby zapewnić przestrzeganie zasad przez podmioty, oraz powinny przewidywać usunięcie lub skorygowanie przez podmiot skutków nieprzestrzegania zasad oraz, w zależności od okoliczności, zakończenie dalszego przetwarzania danych osobowych lub ich usunięcie, a także podanie do publicznej wiadomości stwierdzonych przypadków nieprzestrzegania zasad 114 . Wyznaczone przez podmiot niezależne organy ds. rozstrzygania sporów będą zobowiązane do umieszczania na swoich ogólnodostępnych stronach internetowych stosownych informacji na temat DPF UE-USA i usług, jakie świadczą w ramach tego programu 115 . Co roku muszą publikować sprawozdanie roczne zawierające zagregowane dane statystyczne dotyczące takich usług 116 .
(71) W ramach swoich procedur kontroli zgodności DoC może sprawdzić, czy podmioty objęte DPF UE-USA faktycznie zarejestrowały się, jak twierdzą, w niezależnych mechanizmach ochrony prawnej 117 . Zarówno podmioty, jak i odpowiedzialne niezależne mechanizmy ochrony prawnej są zobowiązane do bezzwłocznego reagowania na złożone przez DoC zapytania i wnioski o informacje dotyczące DPF UE-USA. DoC będzie współpracować z niezależnymi mechanizmami ochrony prawnej w celu zweryfikowania, czy na swoich stronach internetowych podmioty te podają informacje dotyczące zasad i usług, które świadczą zgodnie z DPF UE-USA oraz czy publikują sprawozdania roczne 118 .
(72) W przypadkach, w których podmiot nie zastosuje się do orzeczenia organu ds. rozstrzygania sporów lub organu samoregulacyjnego, ten ostatni musi zgłosić taki przypadek DoC i FTC (lub innemu amerykańskiemu organowi właściwemu do badania przypadków nieprzestrzegania zasad przez podmioty) lub właściwemu sądowi 119 . Jeżeli podmiot odmówi zastosowania się do ostatecznego ustalenia dowolnego organu samoregulacyjnego ds. ochrony prywatności, niezależnego organu ds. rozwiązywania sporów lub organu rządowego lub gdy organ taki uzna, że podmiot często nie przestrzega zasad, sytuacja taka może zostać uznana za uporczywe nieprzestrzeganie zasad, w rezultacie czego DoC - po przekazaniu podmiotowi nieprzestrzegającemu zasad stosownego powiadomienia z trzydziestodniowym wyprzedzeniem, aby zapewnić mu możliwość ustosunkowania się do zarzutów - skreśli ten podmiot z wykazu podmiotów objętych DPF 120 . Jeżeli po usunięciu podmiotu z wykazu w dalszym ciągu będzie on deklarował zgodność z zasadami DPF UE-USA, DoC przekaże sprawę do rozpoznania FTC lub innemu organowi egzekwowania prawa 121 .
(73) Po trzecie, osoby fizyczne mogą również wnosić skargi do krajowego organu ochrony danych w Unii, który może skorzystać ze swoich uprawnień dochodzeniowych i naprawczych na mocy rozporządzenia (UE) 2016/679. Podmioty są zobowiązane do współpracy przy badaniu i rozstrzyganiu skarg przez organ ochrony danych, jeżeli dotyczą one przetwarzania danych o zasobach ludzkich gromadzonych w kontekście stosunku pracy albo jeżeli dany podmiot dobrowolnie poddał się nadzorowi organów ochrony danych 122 . W szczególności podmioty muszą odpowiadać na zapytania, postępować zgodnie z zaleceniami organów ochrony danych, w tym środkami ochrony prawnej lub środkami odszkodowawczymi, oraz przekazywać organowi ochrony danych pisemne potwierdzenie o podjęciu takich działań 123 . W przypadku niezastosowania się do porady udzielonej przez organ ochrony danych organ ten przekazuje takie sprawy do DoC (który może usunąć podmioty z wykazu DPF UE-USA) lub, w przypadku ewentualnych działań egzekucyjnych, do FTC lub DoT (z powodu braku współpracy z organami ochrony danych lub nieprzestrzegania zasad na mocy prawa amerykańskiego można podjąć działania) 124 .
(74) W celu ułatwienia współpracy w zakresie skutecznego rozpatrywania skarg zarówno DoC, jak i FTC ustanowiły specjalne stanowisko osoby odpowiedzialnej za kontakty, odpowiadającej za bezpośrednie kontakty z organami ochrony danych 125 . Takie osoby odpowiedzialne za kontakty pomagają w przypadku zapytań organu ochrony danych dotyczących zgodności podmiotu z zasadami.
(75) Porady organów ochrony danych 126 są udzielane dopiero wówczas, gdy obie strony sporu miały należytą możliwość wypowiedzenia się i przedstawienia wszystkich dowodów zgodnie z własnym uznaniem. Panel może przekazać porady tak szybko, jak stanowi wymóg należytej procedury, i co do zasady w ciągu 60 dni po otrzymaniu skargi 127 . Jeżeli podmiot nie zastosuje się do porad w ciągu 25 dni od ich otrzymania i nie poda zadowalającego usprawiedliwienia takiego opóźnienia, panel może zawiadomić go o swoim zamiarze przekazania sprawy FTC (lub innemu właściwemu amerykańskiemu organowi egzekwowania prawa) albo o zamiarze stwierdzenia poważnego naruszenia zobowiązania do współpracy. W pierwszym przypadku może to prowadzić do podjęcia czynności egzekucyjnych na podstawie sekcji 5 ustawy o FTC (lub podobnej ustawy) 128 . W drugim przypadku panel poinformuje DoC, który uzna fakt niezastosowania się przez podmiot do wydanych przez panel organów ochrony danych zaleceń za uporczywe nieprzestrzeganie zasad, co doprowadzi do usunięcia podmiotu z wykazu podmiotów objętych DPF.
(76) Jeżeli organ ochrony danych, do którego skierowano skargę, nie podejmie żadnego działania w celu rozstrzygnięcia skargi lub podjęte przez niego działanie okaże się niewystarczające, skarżący będący osobą fizyczną może zaskarżyć takie działanie (zaniechanie) do sądów krajowych danego państwa członkowskiego UE.
(77) Osoby fizyczne mogą również wnieść skargi do organów ochrony danych nawet w przypadku, gdy panel organów ochrony danych nie został wyznaczony jako organ ds. rozstrzygania sporów danego podmiotu. W takich przypadkach organ ochrony danych może przekazać otrzymane skargi do rozpoznania przez DoC albo FTC. Aby ułatwić i pogłębić współpracę w kwestiach dotyczących skarg wnoszonych przez osoby fizyczne i nieprzestrzegania zasad przez podmioty objęte DPF UE-USA, DoC powoła specjalną osobę odpowiedzialną za kontakty, która będzie działała jako łącznik oraz będzie pomagać organowi ochrony danych w udzielaniu odpowiedzi na zapytania dotyczące przestrzegania zasad przez dany podmiot 129 . Podobnie FTC zobowiązało się do ustanowienia specjalnej osoby odpowiedzialnej za kontakty 130 .
(78) Po czwarte, DoC zobowiązał się do przyjmowania i rozpatrywania skarg oraz dokładania wszelkich starań w celu rozstrzygnięcia skarg dotyczących nieprzestrzegania zasad przez podmioty 131 . W tym celu DoC zapewnia organom ochrony danych szczegółowe procedury przekazywania skarg osobie wyznaczonej do kontaktów, śledzenia ich oraz kontaktowania się z podmiotami w celu ułatwienia procesu rozstrzygania skarg 132 . Aby przyspieszyć proces rozpatrywania skarg osób fizycznych, osoba wyznaczona do kontaktów współpracuje bezpośrednio z odpowiednim organem ochrony danych w kwestiach przestrzegania zasad, a w szczególności przekazuje mu aktualne informacje na temat statusu skarg w okresie nie dłuższym niż 90 dni od daty zgłoszenia 133 . Dzięki temu osoby, których dane dotyczą, będą mogły składać skargi dotyczące nieprzestrzegania zasad przez podmioty objęte DPF UE-USA bezpośrednio ich krajowemu organowi ochrony danych, który następnie przekaże je DoC jako amerykańskiemu organowi zarządzającemu DPF UE-USA.
(79) Jeżeli, na podstawie kontroli przeprowadzonej z urzędu, skarg lub innych informacji, DoC stwierdzi, że podmiot uporczywie nie przestrzega zasad ochrony prywatności, wówczas może usunąć taki podmiot z wykazu podmiotów objętych DPF 134 . Odmowa zastosowania się do ostatecznego ustalenia dowolnej instytucji samoregulującej ochronę prywatności, niezależnego organu rozstrzygania sporów lub organu rządowego, w tym organu ochrony danych, zostanie uznana za uporczywe nieprzestrzeganie zasad 135 .
(80) Po piąte, podmiot objęty DPF UE-USA musi podlegać jurysdykcji organów amerykańskich, w szczególności FTC 136 , które mają niezbędne uprawnienia w zakresie prowadzenia dochodzeń i egzekwowania prawa, aby skutecznie zapewnić przestrzeganie zasad przez ten podmiot. FTC priorytetowo traktuje zgłoszenia dotyczące nieprzestrzegania zasad otrzymane od niezależnego organu ds. rozstrzygania sporów lub organu samoregulacyjnego, DoC i organów ochrony danych (działających z własnej inicjatywy lub na podstawie skarg), aby ustalić, czy doszło do naruszenia przepisów sekcji 5 ustawy o FTC 137 . FTC zobowiązało się do ustanowienia standardowego procesu zgłaszania, wyznaczenia osoby odpowiedzialnej za kontakty w agencji, która będzie zajmowała się zgłoszeniami organów ochrony danych, oraz do wymiany informacji na temat zgłoszeń. Ponadto FTC może przyjmować skargi bezpośrednio od osób fizycznych i z urzędu przeprowadzać dochodzenia dotyczące DPF UE-USA, w szczególności w ramach szerzej zakrojonych dochodzeń dotyczących kwestii prywatności.
(81) Po szóste, w ramach mechanizmu ochrony prawnej "ostatniej szansy", w przypadku gdy żadne z pozostałych dostępnych środków odwoławczych nie przyniosły zadowalającego rozstrzygnięcia skargi osoby fizycznej, osoba z Unii, której dane dotyczą, może poddać sprawę pod arbitraż panelu ds. ram ochrony danych UE-USA (panel DPF UE-USA) 138 . Podmioty muszą poinformować osoby fizyczne o możliwości wystąpienia o arbitraż i są zobowiązane do udzielenia odpowiedzi, w przypadku gdy dana osoba fizyczna zdecyduje się skorzystać z tej możliwości, przekazując powiadomienie stosownemu podmiotowi 139 .
(82) Panel DPF UE-USA składa się z co najmniej dziesięciu arbitrów, którzy zostaną wyznaczeni przez DoC i Komisję w oparciu o ich niezależność, prawość oraz doświadczenie w zakresie amerykańskich przepisów dotyczących ochrony prywatności i unijnego prawa o ochronie danych. W odniesieniu do każdego sporu dotyczącego osoby fizycznej strony wybierają z tej grupy panel złożony z jednego arbitra lub trzech 140 arbitrów.
(83) Międzynarodowe Centrum Rozstrzygania Sporów (ICDR), międzynarodowy oddział Amerykańskiego Stowarzyszenia Arbitrażowego (AAA), zostało wybrane przez DoC do zarządzania postępowaniami arbitrażowymi. Postępowania przed panelem DPF UE-USA będą regulowane uzgodnionym regulaminem arbitrażowym oraz kodeksem postępowania obowiązującym wyznaczonych arbitrów. Strona internetowa ICDR-AAA zawiera jasne i zwięzłe informacje dla osób fizycznych na temat mechanizmu arbitrażowego i procedury występowania o arbitraż.
(84) Regulamin arbitrażowy uzgodniony między DoC i Komisją uzupełnia DPF UE-USA, w którym przewidziano szereg elementów przyczyniających się do zwiększenia dostępności tego mechanizmu dla osób z Unii, których dane dotyczą: (i) przygotowując skargę do rozpoznania przez panel, osoba, której dane dotyczą, może korzystać ze wsparcia swojego krajowego organu ochrony danych; (ii) chociaż miejscem prowadzenia postępowania arbitrażowego będą Stany Zjednoczone, osoba z Unii, której dane dotyczą, może zdecydować się na udział w nim za pośrednictwem wideokonferencji lub konferencji telefonicznej, która zostanie zorganizowana nieodpłatnie; (iii) choć zasadniczo postępowanie arbitrażowe będzie prowadzone w języku angielskim, po otrzymaniu uzasadnionego wniosku tłumaczenie ustne podczas postępowania arbitrażowego oraz tłumaczenie pisemne zostanie co do zasady zapewnione nieodpłatnie; (iv) chociaż każda ze stron musi ponieść własne koszty zastępstwa procesowego, jeżeli jest reprezentowana przed panelem przez pełnomocnika, DoC będzie prowadzić fundusz zasilany rocznymi składkami wpłacanymi przez podmioty objęte DPF UE-USA, które mają pokryć koszty procedury arbitrażowej, do kwot maksymalnych, które zostaną ustalone przez organy amerykańskie w porozumieniu z Komisją 141 .
(85) Panel ds. DPF UE-USA jest uprawniony do przyznania niepieniężnego godziwego zadośćuczynienia danej osobie fizycznej 142 , które jest niezbędne do usunięcia niezgodności z zasadami. Chociaż panel, podejmując decyzję, uwzględnia inne środki ochrony prawnej uzyskane już w ramach innych mechanizmów DPF UE-USA, osoby fizyczne mogą nadal wnieść o arbitraż, jeżeli uznają te inne środki ochrony prawnej za niewystarczające. Pozwala to osobom z Unii, których dane dotyczą, wszczęcie arbitrażu we wszystkich przypadkach, gdy działanie lub bezczynność właściwych podmiotów objętych DPF UE-USA, niezależnych mechanizmów ochrony prawnej lub właściwych organów amerykańskich (np. FTC) nie doprowadziły do zadowalającego rozstrzygnięcia ich skarg. Z arbitrażu nie można skorzystać w przypadku, gdy organ ochrony danych jest uprawniony z mocy prawa do rozstrzygnięcia konkretnego roszczenia dotyczącego podmiotu objętego DPF UE-USA, tj. w tych przypadkach, w których podmiot albo jest zobowiązany do współpracy i zastosowania się do porad organów ochrony danych dotyczących przetwarzania danych o zasobach ludzkich zgromadzonych w ramach stosunku pracy, albo dobrowolnie się do tego zobowiązał. Osoby fizyczne mogą dochodzić wykonania orzeczenia arbitrażowego przed sądami amerykańskimi zgodnie z federalną ustawą o arbitrażu, co zapewnia środek ochrony prawnej w sytuacji, gdy podmiot nie wywiąże się ze spoczywających na nim zobowiązań.
(86) Po siódme, jeżeli podmiot nie wywiąże się ze swojego zobowiązania do przestrzegania zasad i opublikowanej polityki ochrony prywatności, wówczas mogą być dostępne inne sądowe środki odwoławcze na mocy prawa amerykańskiego, takie jak możliwość uzyskania odszkodowania. Osoby fizyczne mogą na przykład pod pewnymi warunkami skorzystać z sądowych środków odwoławczych (takich jak odszkodowanie) na mocy stanowego prawa ochrony konsumentów w przypadkach podania fałszywych informacji w celu wprowadzenia w błąd, podejmowania nieuczciwych lub oszukańczych działań lub stosowania nieuczciwych lub oszukańczych praktyk 143 oraz na mocy prawa deliktów (w szczególności w przypadku czynów niedozwolonych polegających na naruszeniu miru domowego 144 , przywłaszczeniu nazwiska lub wizerunku 145 oraz publicznym ujawnieniu informacji o charakterze prywatnym 146 ).
(87) Wszystkie opisane powyżej sposoby dochodzenia roszczeń gwarantują, że każda skarga dotycząca niezgodności z DPF UE-USA przez certyfikowane podmioty zostanie skutecznie rozstrzygnięta i naprawiona.
3. DOSTĘP ORGANÓW PUBLICZNYCH W STANACH ZJEDNOCZONYCH DO DANYCH OSOBOWYCH PRZEKAZYWANYCH Z UNII EUROPEJSKIEJ I KORZYSTANIE Z TYCH DANYCH PRZEZ TE ORGANY
(88) Komisja oceniła również ograniczenia i zabezpieczenia, w tym mechanizmy nadzoru i indywidualne mechanizmy dochodzenia roszczeń dostępnych w prawie Stanów Zjednoczonych, jeśli chodzi o zbieranie i późniejsze wykorzystanie przez amerykańskie organy publiczne danych osobowych przekazywanych w interesie publicznym administratorom i podmiotom przetwarzającym w Stanach Zjednoczonych, szczególnie do celów ścigania przestępstw i bezpieczeństwa narodowego (dostęp rządowy) 147 . Oceniając, czy warunki dostępu rządu do danych przekazywanych do Stanów Zjednoczonych na podstawie niniejszej decyzji spełniają kryterium "zasadniczej równoważności" przewidziane w art. 45 ust. 1 rozporządzenia (UE) 2016/679, zgodnie z wykładnią Trybunału Sprawiedliwości w świetle Karty praw podstawowych, Komisja uwzględniła szereg kryteriów.
(89) W szczególności wszelkie ograniczenia prawa do ochrony danych osobowych muszą być przewidziane przepisami prawa, a podstawa prawna, która pozwala na ingerencję w takie prawo, musi sama określać zakres ograniczenia w wykonywaniu danego prawa 148 . Ponadto, aby spełnić wymóg proporcjonalności, zgodnie z którym odstępstwa od ochrony danych osobowych i ograniczenia tej ochrony powinny mieć zastosowanie tylko w takim zakresie, w jakim jest to absolutnie niezbędne w społeczeństwie demokratycznym do osiągnięcia szczególnych celów interesu ogólnego, równoważnych z celami uznanymi przez Unię, taka podstawa prawna musi określać jasne i precyzyjne zasady regulujące zakres i stosowanie środków oraz przewidywać wymagane zabezpieczenia, aby osoby, których dane zostały przekazane, miały wystarczające gwarancje skutecznej ochrony swoich danych osobowych przed ryzykiem nadużyć 149 . Ponadto takie zasady i zabezpieczenia muszą mieć charakter prawnie wiążący i być możliwe do wyegzekwowania przez osoby fizyczne 150 . W szczególności osoby, których dane dotyczą, muszą mieć możliwość wytoczenia powództwa przed niezależnym i bezstronnym sądem, aby uzyskać dostęp do swoich danych osobowych lub uzyskać sprostowanie lub usunięcie takich danych 151 .
3.1. Dostęp amerykańskich organów publicznych do danych na potrzeby ścigania przestępstw i wykorzystanie tych danych przez te organy w tym samym celu
(90) W odniesieniu do ingerencji w dane osobowe przekazywane na podstawie DPF UE-USA do celów ścigania przestępstw w prawie Stanów Zjednoczonych nakłada się szereg ograniczeń w zakresie dostępu do danych osobowych i ich wykorzystywania, a także zapewnia się mechanizmy nadzoru i dochodzenia roszczeń zgodne z wymogami, o których mowa w motywie 89 niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach. W tym względzie rząd USA (za pośrednictwem Departamentu Sprawiedliwości - DoJ) również złożył zapewnienia dotyczące obowiązujących ograniczeń i zabezpieczeń (załącznik VI do niniejszej decyzji).
3.1.1. Podstawy prawne, ograniczenia i zabezpieczenia
3.1.1.1. Ograniczenia i zabezpieczenia odnoszące się do gromadzenia danych osobowych do celów związanych ze ściganiem przestępstw
(91) Dane osobowe przetwarzane przez certyfikowane podmioty amerykańskie, które byłyby przekazywane z Unii na podstawie DPF UE-USA, mogą być wykorzystywane do celów ścigania przestępstw przez amerykańskich prokuratorów federalnych i federalnych agentów śledczych w ramach różnych procedur, jak wyjaśniono bardziej szczegółowo w motywach 92-99. Procedury te mają zastosowanie w ten sam sposób, gdy informacje uzyskiwane są od dowolnego podmiotu amerykańskiego, niezależnie od narodowości lub miejsca zamieszkania osoby, której dane dotyczą 152 .
(92) Po pierwsze, na wniosek federalnego funkcjonariusza organów ścigania lub pełnomocnika rządu, sędzia może wydać nakaz przeszukania lub zajęcia (w tym informacji przechowywanych w formie elektronicznej) 153 . Nakaz taki może zostać wydany tylko wtedy, gdy istnieje "uzasadnione podejrzenie" 154 , że "przedmioty podlegające zajęciu" (dowody przestępstwa, nielegalnie posiadane przedmioty lub składniki majątku zaprojektowane lub przeznaczone do wykorzystania lub wykorzystane do popełnienia przestępstwa) prawdopodobnie znajdują się w miejscu wskazanym w nakazie. W nakazie należy określić składnik majątku lub przedmiot, który ma zostać zajęty, oraz wskazać sędziego, któremu nakaz musi zostać przekazany. Osoba, której dotyczy przeszukanie lub której składnik majątku jest przedmiotem przeszukania, może wystąpić o wyłączenie z postępowania dowodów uzyskanych w wyniku bezprawnego przeszukania lub pochodzących z takiego przeszukania, jeżeli dowody te zostały przedstawione przeciwko tej osobie w postępowaniu karnym 155 . W przypadku gdy posiadacz danych (np. przedsiębiorstwo) jest zobowiązany do ujawnienia danych na mocy nakazu, może w szczególności zakwestionować wymóg ujawnienia jako nadmiernie obciążający 156 .
(93) Po drugie, wezwanie może zostać wydane przez wielką ławę przysięgłych (sądowe ciało dochodzeniowe wyznaczone przez sędziego) w kontekście dochodzeń w sprawie niektórych poważnych przestępstw 157 , co do zasady na wniosek prokuratora federalnego, w celu zażądania od danej osoby przedstawienia lub udostępnienia rejestrów związanych z prowadzoną działalnością, informacji przechowywanych w formie elektronicznej lub dostarczenia innych przedmiotów materialnych. Ponadto różnego rodzaju ustawy dopuszczają możliwość stosowania wezwań administracyjnych w celu pozyskania rejestrów dotyczących prowadzonej działalności, informacji przechowywanych w formie elektronicznej lub innych przedmiotów materialnych lub uzyskania dostępu do takich rejestrów, informacji lub przedmiotów w ramach postępowań w przedmiocie nadużyć w obszarze opieki zdrowotnej, znęcania się nad dziećmi, ochrony tajnych służb, spraw dotyczących substancji kontrolowanych i prowadzonych przez Inspektora Generalnego dochodzeń 158 . W obu przypadkach informacje muszą mieć istotne znaczenie dla prowadzonego dochodzenia, a wezwanie nie może być nieuzasadnione, tj. jego zakres nie może być zbyt szeroki ani nie może mieć zbyt uciążliwego lub obciążającego charakteru (i wezwanie takie może zostać zakwestionowane przez odbiorcę z tych powodów) 159 .
(94) Bardzo podobne warunki mają zastosowanie do wezwań administracyjnych wydanych w celu uzyskania dostępu do danych będących w posiadaniu przedsiębiorstw w Stanach Zjednoczonych w sprawach cywilnych lub regulacyjnych ("interes publiczny"). Uprawnienia agencji o kompetencjach cywilnych i regulacyjnych do wydawania takich wezwań administracyjnych muszą zostać ustanowione w statucie. Zastosowanie wezwania administracyjnego podlega "testowi zasadności", który wymaga, aby dochodzenie było prowadzone w uzasadnionym celu, informacje, o które wystąpiono na podstawie wezwania, były istotne dla tego celu, agencja nie posiadała już informacji, których żąda za pomocą wezwania, i dopełniono niezbędnych kroków administracyjnych w celu wydania wezwania 160 . W orzecznictwie Sądu Najwyższego wyjaśniono również potrzebę wyważenia znaczenia żądanych informacji dla interesu publicznego oraz znaczenia osobistej i organizacyjnej ochrony prywatności 161 . Chociaż zastosowanie wezwania administracyjnego nie podlega uprzedniej zgodzie organu sądowego, podlega ono kontroli sądowej w przypadku zakwestionowania przez podmiot z wyżej wymienionych powodów lub w przypadku, gdy agencja wydająca nakaz dąży do wystąpienia do sądu o zobowiązanie danego podmiotu do zastosowania się do treści wezwania administracyjnego 162 . Oprócz tych ogólnych nadrzędnych ograniczeń, z poszczególnych ustaw mogą wynikać szczególne (surowsze) wymogi 163 .
(95) Po trzecie, niektóre podstawy prawne umożliwiają organom egzekwowania prawa w sprawach karnych uzyskanie dostępu do danych komunikacyjnych. Sąd może wydać nakaz sądowy upoważniający do gromadzenia zarejestrowanych w czasie rzeczywistym informacji billingowych, informacji o trasowaniu, informacji adresowych i informacji przekazywanych w ramach sygnalizacji telekomunikacyjnej dotyczących danego numeru telefonu lub adresu e-mail (za pomocą urządzenia rejestrującego wybierane numery lub urządzenia śledzącego), jeśli stwierdzi, że organ poświadczył, że informacje, które mogą zostać pozyskane, mają istotne znaczenie dla toczącego się dochodzenia 164 . Nakaz musi zawierać, między innymi, określenie tożsamości podejrzanego, jeśli jest znana, cechy komunikacji, której nakaz dotyczy, oraz oświadczenie dotyczące przestępstwa, do którego odnoszą się gromadzone informacje. Korzystanie z urządzenia rejestrującego wybierane numery lub urządzenia śledzącego może być dozwolone na maksymalny okres sześćdziesięciu dni, który to okres może zostać przedłużony wyłącznie na podstawie nowego nakazu sądowego.
(96) Ponadto uzyskanie dostępu do informacji na temat abonentów, danych o ruchu oraz treści komunikatów przechowywanych przez dostawców usług internetowych, przedsiębiorstwa telekomunikacyjne oraz innych dostawców usług internetowych będących stronami trzecimi do celów związanych ze ściganiem przestępstw możliwe jest na podstawie ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej 165 . Aby uzyskać dostęp do treści komunikatów przekazywanych za pomocą łączności elektronicznej, organy egzekwowania prawa w sprawach karnych muszą co do zasady uzyskać nakaz wydany przez sędziego na podstawie uzasadnionego podejrzenia, że dane konto użytkownika zawiera dowody popełnienia przestępstwa 166 . Aby uzyskać dostęp do danych zgromadzonych przy rejestracji abonentów, ich adresów IP, powiązanych z tymi adresami znaczników czasu oraz informacji billingowych, organy egzekwowania prawa w sprawach karnych mogą skorzystać z nakazu. Aby uzyskać dostęp do większości innych przechowywanych informacji niedotyczących treści, takich jak nagłówki wiadomości e-mail bez tematu, organ egzekwowania prawa w sprawach karnych musi uzyskać nakaz sądowy, który zostanie wydany, jeśli sędzia uzna, że istnieją konkretne uzasadnione przesłanki świadczące o tym, że żądane informacje mają istotne i zasadnicze znaczenie dla toczącego się dochodzenia.
(97) Dostawcy, którzy otrzymują wnioski na podstawie ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej, mogą według własnego uznania powiadomić klienta lub abonenta, których dane mają zostać pozyskane, z wyjątkiem sytuacji, gdy odpowiedni organ egzekwowania prawa w sprawach karnych uzyska nakaz ochronny zakazujący dokonania takiego powiadomienia 167 . Taki nakaz ochronny jest nakazem sądowym, na mocy którego od dostawcy usług łączności elektronicznej lub dostawcy zdalnych usług komputerowych, do którego skierowane są nakaz, wezwanie sądowe lub nakaz sądowy, wymaga się, aby nie powiadamiał żadnej innej osoby o istnieniu nakazu, wezwania sądowego lub nakazu sądowego tak długo, jak sąd uzna za stosowne. Nakazy ochronne wydaje się wówczas, gdy sąd uzna, że istnieją powody, by przypuszczać, że powiadomienie poważnie zagroziłoby dochodzeniu lub nadmiernie opóźniłoby proces, np. ze względu na spowodowanie zagrożenia życia lub bezpieczeństwa fizycznego osoby, ucieczkę przed oskarżeniem, zastraszenie potencjalnych świadków itp. Na mocy memorandum zastępcy prokuratora generalnego (które ma charakter wiążący dla wszystkich prawników i przedstawicieli DoJ) wymagane jest, aby prokuratorzy dokonali szczegółowej oceny potrzeby wydania nakazu ochronnego i uzasadnili sądowi, w jaki sposób w danej sprawie spełnione zostały ustawowe kryteria uzyskania nakazu ochronnego 168 . Na mocy memorandum wymaga się również, aby wnioski o wydanie nakazów ochronnych zasadniczo nie miały na celu opóźnienia powiadomienia o więcej niż jeden rok. W przypadkach gdy w wyjątkowych okolicznościach konieczne mogą być nakazy o dłuższym okresie obowiązywania, o takie nakazy można ubiegać się wyłącznie za pisemną zgodą przełożonego wyznaczonego przez prokuratora Stanów Zjednoczonych lub odpowiedniego asystenta prokuratora generalnego. Ponadto zamykając dochodzenie, prokurator musi niezwłocznie ocenić, czy istnieją podstawy do utrzymania w mocy wszelkich niewykonanych nakazów ochronnych, a jeśli tak nie jest, zobowiązany jest uchylić nakaz ochronny i upewnić się, że dostawca usług został o tym fakcie powiadomiony 169 .
(98) Organy egzekwowania prawa w sprawach karnych mogą również przechwytywać w czasie rzeczywistym komunikaty przekazywane za pomocą łączności kablowej, ustnie lub za pomocą łączności elektronicznej na podstawie nakazu sądowego, w którym sędzia stwierdzi m.in., że istnieje uzasadnione podejrzenie, iż informacje uzyskane dzięki zainstalowaniu podsłuchu lub zastosowaniu środków przechwytywania komunikatów przekazywanych drogą elektroniczną pozwolą uzyskać dowody popełnienia przestępstwa federalnego lub ustalić miejsce pobytu osoby ukrywającej się przed wymiarem sprawiedliwości 170 .
(99) Dalszą ochronę gwarantują różnego rodzaju polityki i wytyczne Departamentu Sprawiedliwości, takie jak wytyczne prokuratora generalnego w sprawie krajowych operacji Federalnego Biura Śledczego (FBI) (AGG-DOM), na mocy których, między innymi, wymagane jest, aby FBI stosowało jak najmniej inwazyjne metody dochodzeniowe, biorąc pod uwagę ich wpływ na prywatność i wolności obywatelskie 171 .
(100) Zgodnie z oświadczeniami przedstawionymi przez rząd USA te same lub większe zabezpieczenia opisane powyżej mają zastosowanie do dochodzeń w sprawach egzekwowania prawa na szczeblu stanowym (w odniesieniu do dochodzeń prowadzonych na podstawie przepisów prawa stanowego) 172 . W szczególności przepisy konstytucyjne, a także ustawy i orzecznictwo na szczeblu państwowym potwierdzają wspomniane powyżej środki ochrony przed nieuzasadnionymi przeszukaniami i zajęciami, wymagając wydania nakazu przeszukania 173 . Podobnie jak w przypadku ochrony przyznanej na szczeblu federalnym, nakazy przeszukania mogą być wydawane wyłącznie po wykazaniu prawdopodobnej przyczyny i muszą określać miejsce, które ma zostać przeszukane, oraz osobę lub przedmiot, które mają zostać zatrzymane lub zajęte 174 .
3.1.1.2. Dalsze wykorzystywanie zebranych informacji
(101) W odniesieniu do dalszego wykorzystywania danych zebranych przez federalne organy egzekwowania prawa w sprawach karnych, różnego rodzaju ustawy, wytyczne i normy przewidują określone zabezpieczenia. Z wyjątkiem konkretnych instrumentów mających zastosowanie do działalności FBI (AGG-DOM i poradnika FBI dotyczącego prowadzenia dochodzeń i operacji na szczeblu krajowym), wymogi opisane w niniejszej sekcji mają zasadniczo zastosowanie do dalszego wykorzystywania danych przez dowolny organ federalny, w tym do danych, do których uzyskano dostęp do celów cywilnych lub regulacyjnych. Obejmuje to wymogi wynikające z not/rozporządzeń Urzędu ds. Administracji i Budżetu, ustawy federalnej o modernizacji bezpieczeństwa informacji, ustawy o administracji elektronicznej oraz ustawy o rejestrach federalnych.
(102) Zgodnie z uprawnieniami nadanymi na mocy ustawy Clinger-Cohen (P.L. 104-106, dział E) i ustawy o bezpieczeństwie komputerowym z 1987 r. (P.L. 100-235) Urząd ds. Administracji i Budżetu (OMB) wydał okólnik nr A-130 w celu ustanowienia ogólnych wiążących wytycznych mających zastosowanie do wszystkich agencji federalnych (w tym do organów egzekwowania prawa), w przypadku gdy przetwarzają one dane identyfikujące osobę 175 . Zgodnie z treścią tego okólnika wymagane jest w szczególności, aby wszystkie agencje federalne "ograniczyły tworzenie, gromadzenie, wykorzystywanie, przetwarzanie, przechowywanie, utrzymywanie, rozpowszechnianie i ujawnianie danych identyfikujących osobę do tych, które są prawnie dozwolone, istotne i z rozsądnego punktu widzenia uznane za niezbędne do prawidłowego wykonywania funkcji upoważnionej agencji" 176 . Ponadto w zakresie, w jakim jest to wykonalne, agencje federalne muszą zapewnić, by dane identyfikujące osobę były prawidłowe, istotne, aktualne i kompletne oraz ograniczone do minimum niezbędnego do prawidłowego wykonywania funkcji agencji. Ogólniej rzecz ujmując, agencje federalne muszą ustanowić kompleksowy program ochrony prywatności w celu zapewnienia zgodności z obowiązującymi wymogami dotyczącymi ochrony prywatności, opracować i oceniać polityki prywatności oraz zarządzać ryzykiem związanym z ochroną prywatności, stosować procedury wykrywania, dokumentowania i zgłaszania incydentów związanych z przestrzeganiem zasad ochrony prywatności, opracowywać szkolenia i programy mające na celu zwiększenie świadomości na temat ochrony prywatności dla pracowników i wykonawców, oraz wdrożyć zasady i procedury na rzecz zapewnienia, by personel ponosił odpowiedzialność za przestrzeganie wymogów i zasad dotyczących ochrony prywatności 177 .
(103) Ponadto zgodnie z ustawą o administracji elektronicznej 178 wszystkie agencje federalne (w tym organy egzekwowania prawa w sprawach karnych) są zobowiązane do wprowadzenia zabezpieczeń zapewniających bezpieczeństwo informacji, współmiernych do ryzyka i wielkości szkody, która wynikałaby z nieuprawnionego dostępu, wykorzystywania, ujawniania, zakłócenia, zmodyfikowania lub zniszczenia, oraz do wyznaczenia głównego urzędnika ds. informacji w celu zapewnienia spełnienia wymogów w zakresie bezpieczeństwa informacji oraz przeprowadzenia corocznej niezależnej oceny (np. przez Inspektora Generalnego, zob. motyw 109) ich programu i praktyk na rzecz bezpieczeństwa informacji 179 . Podobnie zgodnie z ustawą o rejestrach federalnych (FRA) 180 i dodatkowymi regulacjami 181 informacje przechowywane przez agencje federalne muszą podlegać zabezpieczeniom zapewniającym fizyczną integralność danych oraz chroniącym dane przed nieuprawnionym dostępem.
(104) Zgodnie z ustawowym upoważnieniem federalnym, w tym z ustawą federalną o modernizacji bezpieczeństwa informacji z 2014 r., OMB oraz Narodowy Instytut Standaryzacji i Technologii (NIST) opracowały normy wiążące dla agencji federalnych (w tym dla organów egzekwowania prawa w sprawach karnych), w których szczegółowo określono minimalne wymogi w zakresie bezpieczeństwa informacji, które należy wdrożyć i które obejmują kontrole dostępu, zapewnienie podnoszenia świadomości i szkoleń, planowanie ewentualnościowe, reagowanie na incydenty, narzędzia w zakresie audytów i rozliczalności, zapewnienie integralności systemu i danych, przeprowadzanie ocen ryzyka związanego z prywatnością i bezpieczeństwem itp. 182 Ponadto zgodnie z wytycznymi OMB wszystkie agencje federalne (w tym organy egzekwowania prawa w sprawach karnych) muszą utrzymywać i wdrożyć plan postępowania w razie naruszenia ochrony danych, w tym reagowania na takie naruszenia oraz oceny ryzyka wystąpienia szkód 183 .
(105) Jeśli chodzi o przechowywanie danych, zgodnie z ustawą o rejestrach federalnych (FRA) 184 agencje federalne Stanów Zjednoczonych (w tym organy egzekwowania prawa w sprawach karnych) są zobowiązane do określenia okresów przechowywania swojej dokumentacji (po których upływie dokumentacja ta musi zostać usunięta), które to okresy muszą zostać zatwierdzone przez Krajową Administrację Archiwów i Rejestrów 185 . Długość tych okresów przechowywania jest uzależniona od różnych czynników, takich jak rodzaj dochodzenia, to, czy dowody są nadal istotne dla danego dochodzenia, itp. Jeśli chodzi o FBI, zgodnie z AGG-DOM FBI musi mieć taki plan przechowywania dokumentacji oraz prowadzić system, za którego pomocą można szybko sprawdzić status i podstawę dochodzeń.
(106) Okólnik OMB nr A-130 również zawiera określone wymogi dotyczące rozpowszechniania danych identyfikujących osobę. Co do zasady rozpowszechnianie i ujawnianie danych identyfikujących osobę musi ograniczać się do tego, co jest prawnie dozwolone, istotne i racjonalnie uznane za niezbędne do właściwego wykonywania funkcji agencji 186 . Podczas udostępniania danych identyfikujących osobę innym podmiotom rządowym amerykańskie agencje federalne muszą, w stosownych przypadkach, narzucić warunki (w tym warunek wdrożenia konkretnych kontroli bezpieczeństwa i prywatności) regulujące przetwarzanie takich danych na podstawie umów pisemnych (w tym kontraktów, umów w sprawie wykorzystywania danych, umów w sprawie wymiany danych i protokołów ustaleń) 187 . Jeżeli chodzi o powody, dla których informacje mogą być rozpowszechniane, w wytycznych AGG-DOM i w poradniku FBI dotyczącym prowadzenia dochodzeń i operacji na szczeblu krajowym 188 przewidziano, że FBI może podlegać wymogowi prawnemu (np. na mocy umowy międzynarodowej) rozpowszechniania danych lub może udostępniać informacje w określonych okolicznościach, np. innym agencjom amerykańskim, jeżeli ujawnienie jest zgodne z celem, dla którego zebrano informacje, i są związane z obowiązkami tych agencji; komisjom kongresowym; agencjom zagranicznym, jeżeli dane są związane z ich obowiązkami, a ich rozpowszechnianie jest zgodne z interesami Stanów Zjednoczonych; ich rozpowszechnianie jest szczególnie niezbędne do zapewnienia bezpieczeństwa lub ochrony osób lub mienia lub do ochrony przed przestępstwem lub zagrożeniem bezpieczeństwa narodowego lub do zapobieżenia przestępstwu lub zagrożeniu bezpieczeństwa narodowego, a ujawnienie jest zgodne z celem, dla którego zebrano dane 189 .
3.1.2. Nadzór
(107) Działalność federalnych organów ścigania podlega nadzorowi ze strony różnych podmiotów 190 . Jak wyjaśniono w motywach 92-99, w większości przypadków obejmuje to uprzedni nadzór ze strony wymiaru sprawiedliwości, który musi zezwolić na indywidualne środki zbierania danych przed ich zastosowaniem. Ponadto inne organy nadzorują różne etapy działalności organów egzekwowania prawa w sprawach karnych, w tym gromadzenie i przetwarzanie danych osobowych. Te organy sądowe i pozasądowe wspólnie zapewniają, aby organy egzekwowania prawa podlegały niezależnemu nadzorowi.
(108) Po pierwsze, urzędnicy ds. prywatności i wolności obywatelskich pełnią obowiązki w różnych departamentach, którym powierzono obowiązki w zakresie ścigania przestępstw 191 . Chociaż konkretne uprawnienia tych urzędników mogą się nieco różnić w zależności od ustawy stanowiącej podstawę prawną, zazwyczaj obejmują nadzór nad procedurami w celu zapewnienia, aby dany departament lub dana agencja odpowiednio uwzględniały kwestie dotyczące prywatności i wolności obywatelskich oraz aby wdrażały odpowiednie procedury rozpatrywania skarg złożonych przez osoby fizyczne, które uważają, że ich prywatność lub wolności obywatelskie zostały naruszone. Szefowie poszczególnych departamentów lub agencji muszą dopilnować, aby urzędnicy ds. prywatności i wolności obywatelskich dysponowali materiałami i zasobami niezbędnymi do wykonywania swoich uprawnień, mieli dostęp do wszelkich materiałów i zasobów osobowych niezbędnych do wypełniania swoich funkcji oraz byli informowani o proponowanych zmianach polityki, a także aby konsultowano się z nimi w sprawie odnośnych zmian 192 . Urzędnicy ds. prywatności i wolności obywatelskich składają Kongresowi okresowe sprawozdania dotyczące m.in. liczby i rodzaju skarg otrzymanych przez departament/agencję oraz podsumowanie sposobu rozpatrzenia takich skarg, prowadzonych przeglądów i postępowań oraz wpływu działań przeprowadzonych przez urzędnika 193 .
(109) Po drugie, niezależny Inspektor Generalny nadzoruje działalność Departamentu Sprawiedliwości, w tym FBI 194 . Inspektorzy Generalni są niezależni ustawowo 195 i odpowiadają za przeprowadzanie niezależnych dochodzeń, audytów oraz kontroli programów i operacji departamentu. Mają wgląd we wszystkie rejestry, sprawozdania, audyty, przeglądy, dokumenty, opracowania, zalecenia lub inne istotne materiały, w razie potrzeby na mocy wezwania, oraz mogą odbierać zeznania 196 . Chociaż Inspektorzy Generalni wydają niewiążące zalecenia dotyczące działań naprawczych, ich sprawozdania, m.in. na temat działań następczych (lub braku takich działań) 197 , co do zasady są podawane do publicznej wiadomości i wysyłane do Kongresu, który na ich podstawie może wykonywać swoją funkcję nadzorczą (zob. motyw 111) 198 .
(110) Po trzecie, w zakresie, w jakim prowadzą one działania antyterrorystyczne, departamenty odpowiedzialne za egzekwowanie prawa w sprawach karnych podlegają nadzorowi Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi (PCLOB), niezależnej agencji w ramach władzy wykonawczej złożonej z dwupartyjnego, pięcioosobowego zarządu powoływanego przez Prezydenta na sześcioletnią kadencję za zgodą Senatu 199 . Zgodnie ze statutem założycielskim PCLOB powierzono obowiązki w obszarze kształtowania i wdrażania polityki walki z terroryzmem, aby zapewnić ochronę prywatności i wolności obywatelskich. W swoim przeglądzie Rada ma dostęp do wszystkich stosownych rejestrów, sprawozdań, audytów, przeglądów, dokumentów, opracowań i zaleceń agencji, z uwzględnieniem informacji niejawnych, oraz może przeprowadzać przesłuchania i odbierać zeznania 200 . Rada otrzymuje sprawozdania od urzędników ds. wolności obywatelskich i prywatności z szeregu departamentów/agencji federalnych 201 , może wydawać zalecenia skierowane do rządu i organów egzekwowania prawa i regularnie sporządza sprawozdania dla komisji Kongresu i dla Prezydenta 202 . Sprawozdania Rady, w tym te przedkładane Kongresowi, muszą być w możliwie największym stopniu dostępne publicznie 203 .
(111) Ponadto działania w zakresie ścigania przestępstw podlegają nadzorowi ze strony konkretnych komisji działających w Kongresie Stanów Zjednoczonych (Komisje ds. Sprawiedliwości w Izbie Reprezentantów i w Senacie). Komisje ds. Sprawiedliwości przeprowadzają regularny nadzór w różnych formach, w szczególności w formie przesłuchań, dochodzeń, przeglądów i sprawozdań 204 .
3.1.3. Dochodzenie roszczeń
(112) Jak już wskazano, w większości przypadków organy egzekwowania prawa w sprawach karnych muszą uzyskać wcześniej zgodę organu sądowego na gromadzenie danych osobowych. Chociaż wcześniejsza zgoda organu sądowego nie jest wymagana w odniesieniu do wezwań administracyjnych, wezwania te ograniczają się do określonych sytuacji i będą podlegać niezależnej kontroli sądowej przynajmniej wtedy, gdy rząd dochodzi egzekwowania prawa w sądzie. W szczególności adresaci wezwań administracyjnych mogą podważyć je w sądzie na tej podstawie, że są one niezasadne, tj. przesadzone, opresyjne lub uciążliwe 205 .
(113) Osoby fizyczne mogą najpierw składać wnioski lub skargi do organów egzekwowania prawa w sprawach karnych dotyczące przetwarzania ich danych osobowych. Obejmuje to możliwość wnioskowania o dostęp do danych osobowych i ich korektę 206 . Jeżeli chodzi o działania związane ze zwalczaniem terroryzmu, osoby fizyczne mogą również złożyć skargę do urzędników ds. prywatności i wolności obywatelskich (lub innych urzędników ds. ochrony prywatności) w organach egzekwowania prawa 207 .
(114) Ponadto w prawie amerykańskim osobom fizycznym zapewniono szereg sądowych środków odwoławczych wobec organu publicznego lub jednego z urzędników takiego organu, w przypadku gdy te organy przetwarzają dane osobowe 208 . Ze wspomnianych środków przewidzianych w szczególności w ustawie o postępowaniu administracyjnym, ustawie o dostępie do informacji publicznej i ustawie o ochronie danych w łączności elektronicznej mogą skorzystać wszystkie osoby fizyczne, niezależnie od ich obywatelstwa, o ile spełnią odpowiednie warunki.
(115) Co do zasady, zgodnie z przepisami dotyczącymi kontroli sądowej ustanowionymi w ustawie o postępowaniu administracyjnym 209 "każda osoba doznająca krzywdy w świetle prawa w wyniku działania agencji lub dotknięta negatywnymi skutkami takiego działania lub poszkodowana w wyniku działań prowadzonych przez agencję" może wystąpić o kontrolę sądową 210 . Obejmuje to możliwość wystąpienia do sądu o "uznanie za bezprawne i uchylenie działań, ustaleń i wniosków agencji, w przypadku których okazało się, że są [...] arbitralne, nieprzemyślane, stanowią nadużycie uprawnień lub w inny sposób są niezgodne z prawem" 211 .
(116) Ściślej rzecz ujmując, w tytule II ustawy o ochronie danych w łączności elektronicznej 212 ustanowiono system ustawowych praw w obszarze prywatności, który reguluje kwestie związane z dostępem organów egzekwowania prawa do treści komunikatów przekazywanych za pomocą łączności przewodowej, ustnie lub za pomocą łączności elektronicznej przechowywanych przez dostawców usług będących stronami trzecimi 213 . W świetle przepisów ustawy bezprawny (tj. w braku stosownego upoważnienia wydanego przez sąd lub innego zezwolenia) dostęp do takich komunikatów jest uznawany za przestępstwo i daje pokrzywdzonej osobie prawo wytoczenia powództwa cywilnego przed amerykański sąd federalny o odszkodowanie za faktycznie poniesione szkody lub o odszkodowanie karne, a także o zasądzenie godziwego zadośćuczynienia od Stanów Zjednoczonych lub od urzędnika rządowego, który umyślnie dopuścił się tego rodzaju czynów zabronionych, lub wystąpienia z wnioskiem o wydanie deklaratywnego orzeczenia ustalającego wobec takiego urzędnika lub wobec Stanów Zjednoczonych.
(117) Ponadto w kilku innych ustawach przyznaje się osobom fizycznym prawo do wytoczenia powództwa przeciwko organowi publicznemu lub urzędnikowi Stanów Zjednoczonych w związku z przetwarzaniem ich danych osobowych, takich jak ustawa o podsłuchach 214 , ustawa o oszustwach i nadużyciach komputerowych 215 , ustawa federalna o roszczeniach z tytułu czynu niedozwolonego 216 , ustawa o prawie do prywatności w kwestiach finansowych 217 oraz ustawa o rzetelnej sprawozdawczości kredytowej 218 .
(118) Ponadto zgodnie z Ustawą o dostępie do informacji publicznej 219 (tytuł 5 § 552 U.S.C.) każdy ma prawo do wglądu w rejestr prowadzony przez agencję federalną, w tym w przypadku, gdy zawiera on dane osobowe tej osoby. Po wyczerpaniu administracyjnych środków ochrony prawnej - do egzekwowania tego prawa przed sądem, o ile wspomniane rejestry nie są objęte ochroną przed publicznym ujawnieniem na mocy wyjątku lub przepisów szczególnych wyłączających ich jawność ze względów związanych z egzekwowaniem prawa 220 . W takim przypadku sąd oceni, czy zastosowanie ma jakikolwiek wyjątek lub czy został on zgodnie z prawem przywołany przez właściwy organ publiczny.
3.2. Dostęp amerykańskich organów publicznych do danych w celach związanych z bezpieczeństwem narodowym i korzystanie przez amerykańskie organy publiczne z tych danych w celach związanych z bezpieczeństwem narodowym
(119) W prawie Stanów Zjednoczonych ustanowiono różne ograniczenia i zabezpieczenia w zakresie dostępu do danych osobowych i korzystania z nich do celów bezpieczeństwa narodowego, a także mechanizmy nadzoru i dochodzenia roszczeń, które są zgodne z wymogami określonymi w motywie 89 niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach.
3.2.1. Podstawy prawne, ograniczenia i zabezpieczenia
3.2.1.1. Obowiązujące ramy prawne
(120) Organy amerykańskie mogą gromadzić dane osobowe przekazywane z Unii do podmiotów objętych DPF UE-USA do celów bezpieczeństwa narodowego na podstawie różnych instrumentów prawnych, z zastrzeżeniem szczególnych warunków i zabezpieczeń.
(121) Po otrzymaniu danych osobowych przez podmioty mające siedzibę w Stanach Zjednoczonych, amerykańskie agencje wywiadowcze mogą ubiegać się o dostęp do tych danych jedynie do celów związanych z bezpieczeństwem narodowym wyłącznie zgodnie z ustawą stanowiącą podstawę prawną, w szczególności zgodnie z ustawą o kontroli wywiadu lub przepisami prawa stanowionego zezwalających na dostęp z wykorzystaniem wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego 221 . W ustawie o kontroli wywiadu przewidziano szereg podstaw prawnych, na których można się oprzeć przy gromadzeniu (i późniejszym przetwarzaniu) danych osobowych osób z Unii, których dane dotyczą, przekazywanych zgodnie z DPF UE-USA (sekcja 105 ustawy o kontroli wywiadu 222 , sekcja 302 ustawy o kontroli wywiadu 223 , sekcja 402 ustawy o kontroli wywiadu 224 , sekcja 501 ustawy o kontroli wywiadu 225 i sekcja 702 ustawy o kontroli wywiadu 226 ), co opisano bardziej szczegółowo w motywach 142-152.
(122) Amerykańskie agencje wywiadowcze mają również możliwość gromadzenia danych osobowych poza Stanami Zjednoczonymi, przy czym może to obejmować dane osobowe, które są w tranzycie między Unią a Stanami Zjednoczonymi. Gromadzenie danych osobowych poza Stanami Zjednoczonymi opiera się na rozporządzeniu wykonawczym 12333 ("rozporządzenie wykonawcze 12333") 227 wydanym przez Prezydenta 228 .
(123) Gromadzenie danych w ramach rozpoznania radioelektronicznego jest formą gromadzenia danych wywiadowczych najwłaściwszą dla obecnego stwierdzania odpowiedniego stopnia ochrony, ponieważ dotyczy ona gromadzenia komunikatów elektronicznych i danych z systemów informacyjnych. Takie gromadzenie danych mogą przeprowadzać amerykańskie agencje wywiadowcze zarówno w Stanach Zjednoczonych (na podstawie ustawy o kontroli wywiadu), jak i w ramach tranzytu danych do Stanów Zjednoczonych (na podstawie rozporządzenia wykonawczego 12333).
(124) 7 października 2022 r. Prezydent Stanów Zjednoczonych wydał rozporządzenie wykonawcze 14086 w sprawie wzmocnienia zabezpieczeń w odniesieniu do działań Stanów Zjednoczonych w zakresie rozpoznania radioelektronicznego, w którym określono ograniczenia i zabezpieczenia dotyczące wszystkich prowadzonych przez Stany Zjednoczone działań w zakresie rozpoznania radioelektronicznego. To rozporządzenie wykonawcze zastępuje w znacznej mierze dyrektywę polityczną Prezydenta nr 28 (PPD-28) 229 , a jego celem jest wzmocnienie warunków, ograniczeń i zabezpieczeń mających zastosowanie do wszystkich działań w zakresie rozpoznania radioelektronicznego (tj. na podstawie ustawy o kontroli wywiadu i rozporządzenia wykonawczego 12333) na niezależnie od miejsca ich wykonywania 230 oraz ustanowienie nowego mechanizmu dochodzenia roszczeń, za którego pośrednictwem osoby fizyczne mogą powoływać się na te zabezpieczenia oraz je egzekwować 231 (więcej szczegółów podano w motywach 176-194). W ten sposób rozporządzenie to wdraża do prawa amerykańskiego wynik rozmów przeprowadzonych między UE i USA po unieważnieniu przez Trybunał Sprawiedliwości decyzji Komisji stwierdzającej odpowiedni stopień ochrony w ramach Tarczy Prywatności (zob. motyw 6). W związku z tym stanowi ono szczególnie ważny element ram prawnych będących przedmiotem oceny w niniejszej decyzji.
(125) Ograniczenia i zabezpieczenia wprowadzone rozporządzeniem wykonawczym 14086 uzupełniają ograniczenia i zabezpieczenia przewidziane w sekcji 702 ustawy o kontroli wywiadu i rozporządzeniu wykonawczym 12333. Wymogi opisane poniżej (w sekcjach 3.2.1.2 i 3.2.1.3) muszą być stosowane przez agencje wywiadowcze podczas angażowania się w działania w zakresie rozpoznania radioelektronicznego zgodnie z sekcją 702 ustawy o kontroli wywiadu i rozporządzeniem wykonawczym 12333, np. przy wyborze/identyfikowaniu kategorii danych wywiadowczych, które mają zostać pozyskane zgodnie z sekcją 702 ustawy o kontroli wywiadu; gromadzeniu danych w obszarze wywiadu lub kontrwywiadu zagranicznego zgodnie z rozporządzeniem wykonawczym 12333; oraz podejmowaniu indywidualnych decyzji o ukierunkowywaniu na podstawie sekcji 702 ustawy o kontroli wywiadu i rozporządzenia wykonawczego 12333.
(126) Wymogi określone w tym rozporządzeniu wykonawczym wydanym przez Prezydenta są wiążące dla całej Wspólnoty Wywiadowczej. Muszą one być wdrażane w ramach strategii politycznych i procedur agencji, które przekładają je na konkretne kierunki codziennej działalności. W tym względzie rozporządzenie wykonawcze 14086 zapewnia amerykańskim agencjom wywiadowczym maksymalnie rok na aktualizację ich obowiązujących strategii politycznych i procedur (tj. do 7 października 2023 r.) w celu dostosowania ich do wymogów tego rozporządzenia wykonawczego. Takie zaktualizowane strategie polityczne i procedury muszą być opracowywane w porozumieniu z prokuratorem generalnym, urzędnikiem ds. ochrony wolności obywatelskich Urzędu Dyrektora Krajowych Służb Wywiadowczych (Urząd Dyrektora Krajowych Służb Wywiadowczych Biura Wolności Obywatelskich i Ochrony Prywatności) i Radą Nadzoru nad Ochroną Danych i Wolnościami Obywatelskimi (PCLOB) - niezależnym organem nadzorczym uprawnionym do przeglądu strategii politycznych realizowanych przez władzę wykonawczą i ich wdrażania w celu ochrony prywatności i wolności obywatelskich (zob. motyw 110 w odniesieniu do roli i statusu PCLOB) - oraz muszą być podawane do wiadomości publicznej 232 . Ponadto po wprowadzeniu zaktualizowanych strategii politycznych i procedur PCLOB przeprowadzi przegląd w celu zapewnia ich zgodności z rozporządzeniem wykonawczym. W terminie 180 dni po zakończeniu takiego przeglądu przez PCLOB każda agencja wywiadowcza musi starannie rozważyć i wdrożyć wszystkie zalecenia PCLOB lub w inny sposób zastosować się do nich. 3 lipca 2023 r. rząd USA opublikował takie zaktualizowane strategie i procedury 233 .
3.2.1.2. Ograniczenia i zabezpieczenia odnoszące się do gromadzenia danych osobowych do celów związanych z bezpieczeństwem narodowym
(127) W rozporządzeniu wykonawczym 14086 określono szereg nadrzędnych wymogów, które mają zastosowanie do wszystkich działań w zakresie rozpoznania radioelektronicznego (gromadzenie, wykorzystywanie, rozpowszechnianie itp. danych osobowych).
(128) Po pierwsze, podstawą takich działań muszą być przepisy ustawy lub upoważnienie wydane przez Prezydenta i takie działania muszą być podejmowane zgodnie z prawem amerykańskim, w tym zgodnie z konstytucją 234 .
(129) Po drugie, muszą istnieć odpowiednie zabezpieczenia w celu zapewnienia, by prywatność i wolności obywatelskie miały kluczowe znaczenie w kontekście planowania takich działań 235 .
(130) W szczególności wszystkie działania w zakresie rozpoznania radioelektronicznego mogą być prowadzone wyłącznie "po ustaleniu, na podstawie racjonalnej oceny wszystkich istotnych czynników, że działania te są niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego" (w odniesieniu do terminu "zatwierdzony priorytet wywiadowczy" zob. motyw 135) 236 .
(131) Ponadto takie działania mogą być prowadzone wyłącznie "w takim zakresie i w taki sposób, które są proporcjonalne do zatwierdzonego priorytetu wywiadowczego, w odniesieniu do którego zostały one dozwolone" 237 . Innymi słowy, należy osiągnąć odpowiednią równowagę "między znaczeniem realizowanego priorytetu wywiadowczego a wpływem na prywatność i wolności obywatelskie osób fizycznych, których to dotyczy, niezależnie od ich narodowości lub miejsca zamieszkania" 238 .
(132) Ponadto, aby zapewnić zgodność z tymi wymogami ogólnymi, które odzwierciedlają zasady legalności, konieczności i proporcjonalności, działania w zakresie rozpoznania radioelektronicznego podlegają nadzorowi (więcej szczegółów na ten temat podano w sekcji 3.2.2) 239 .
(133) Te nadrzędne wymogi są ponadto uzasadnione w kontekście gromadzenia danych w ramach rozpoznania radioelektronicznego poprzez szereg warunków i ograniczeń zapewniających, aby ingerowanie w prawa osób fizycznych było ograniczone do tego, co jest niezbędne i proporcjonalne do realizacji uzasadnionego celu.
(134) Po pierwsze, w rozporządzeniu wykonawczym ogranicza się powody, dla których dane mogą być gromadzone w ramach działań w zakresie rozpoznania radioelektronicznego, na dwa sposoby. Z jednej strony w rozporządzeniu wykonawczym określono uzasadnione cele, które można realizować przez gromadzenie danych w wyniku rozpoznania radioelektronicznego, np. w celu zrozumienia lub oceny możliwości, zamiarów lub działań zagranicznych podmiotów, w tym międzynarodowych organizacji terrorystycznych, które stwarzają faktyczne lub potencjalne zagrożenie dla bezpieczeństwa narodowego Stanów Zjednoczonych, w celu ochrony przed zagranicznymi zdolnościami i działaniami wojskowymi oraz w celu zrozumienia lub oceny transgranicznych zagrożeń, które wpływają na bezpieczeństwo globalne, takich jak zmiana klimatu i inne zmiany ekologiczne, zagrożenia dla zdrowia publicznego i zagrożenia natury humanitarnej 240 . Z drugiej strony w rozporządzeniu wykonawczym wymieniono określone cele, których nigdy nie wolno realizować za pomocą działań w zakresie rozpoznania radioelektronicznego, np. w celu wywołania krytyki lub sprzeciwu lub swobodnego wyrażania pomysłów lub opinii politycznych przez jednostki lub prasę, w celu działania na niekorzyść danej jednostki ze względu na jej pochodzenie etniczne, rasę, płeć, tożsamość płciową, orientację seksualną lub religię lub w celu przyznania przewagi konkurencyjnej amerykańskim przedsiębiorstwom 241 .
(135) Ponadto agencje wywiadowcze nie mogą powoływać się na uzasadnione cele określone w rozporządzeniu wykonawczym 14086 same w sobie, aby uzasadnić gromadzenie danych w wyniku rozpoznania radioelektronicznego, lecz cele te muszą być dodatkowo poparte - w przypadku celów operacyjnych - bardziej konkretnymi priorytetami, w odniesieniu do których można gromadzić dane w wyniku rozpoznania radioelektronicznego. Innymi słowy, faktyczne gromadzenie danych może odbywać się wyłącznie w celu realizacji bardziej konkretnego priorytetu. Takie priorytety są ustalane za pośrednictwem specjalnego procesu, którego celem jest zapewnienie zgodności z mającymi zastosowanie wymogami prawnymi, w tym wymogami dotyczącymi prywatności i wolności obywatelskich. Ściślej rzecz ujmując, priorytety wywiadowcze są najpierw opracowywane przez Dyrektora Krajowych Służb Wywiadowczych (za pośrednictwem tak zwanych ram amerykańskich priorytetów wywiadowczych), a następnie przedstawiane Prezydentowi do zatwierdzenia 242 . Przed zaproponowaniem priorytetów wywiadowczych Prezydentowi Dyrektor musi, zgodnie z rozporządzeniem wykonawczym 14086, uzyskać od Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ocenę każdego priorytetu pod kątem tego, czy dany priorytet 1) przyczynia się do realizacji co najmniej jednego uzasadnionego celu wymienionego w rozporządzeniu wykonawczym; 2) ani nie został zaprojektowany z myślą o gromadzeniu danych w wyniku rozpoznania radioelektronicznego, ani nie przewiduje się, że spowoduje on gromadzenie danych w wyniku rozpoznania radioelektronicznego na potrzeby realizacji zakazanego celu wymienionego w rozporządzeniu wykonawczym; oraz 3) został określony po odpowiednim uwzględnieniu prywatności i wolności obywatelskich wszystkich osób, niezależnie od ich narodowości lub miejsca zamieszkania 243 . W przypadku gdy Dyrektor nie zgodzi się z oceną Biura Wolności Obywatelskich i Ochrony Prywatności, obie opinie muszą zostać przedstawione Prezydentowi 244 .
(136) W związku z tym proces ten w szczególności zapewnia uwzględnienie kwestii związanych z prywatnością już na początkowym etapie, kiedy priorytety wywiadowcze są opracowywane.
(137) Po drugie, po ustaleniu priorytetu wywiadowczego szereg wymogów determinuje wydanie decyzji, czy można gromadzić dane w ramach rozpoznania radioelektronicznego w celu realizacji takiego priorytetu, a jeśli tak, to w jakim zakresie. Wymogi te zapewniają wypełnienie nadrzędnych standardów niezbędności i proporcjonalności określonych w sekcji 2 lit. a) rozporządzenia wykonawczego.
(138) W szczególności dane w ramach rozpoznania radioelektronicznego mogą być gromadzone wyłącznie "po ustaleniu, na podstawie racjonalnej oceny wszystkich istotnych czynników, że gromadzenie tych danych jest niezbędne do realizacji konkretnego priorytetu wywiadowczego" 245 . Przy ustalaniu, czy konkretne działanie w obszarze gromadzenia danych w wyniku rozpoznania radioelektronicznego jest niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego, amerykańskie agencje wywiadowcze muszą wziąć pod uwagę dostępność, wykonalność i stosowność innych, mniej inwazyjnych źródeł i metod, w tym wywodzących się ze źródeł dyplomatycznych i publicznych 246 . Jeżeli takie alternatywne mniej inwazyjne źródła i metody są dostępne, należy stosować je w pierwszej kolejności 247 .
(139) Jeżeli na podstawie wspomnianych kryteriów gromadzenie danych w ramach rozpoznania radioelektronicznego zostanie uznane za niezbędne, musi być ono "dostosowane do danych potrzeb" i "nie może wywierać nieproporcjonalnego wpływu na prywatność i wolności obywatelskie" 248 . W celu zapewnienia, by na prywatność i wolności obywatelskie nie był wywierany nieproporcjonalny wpływ- tj. aby osiągnąć właściwą równowagę między potrzebami związanymi z bezpieczeństwem narodowym a ochroną prywatności i wolności obywatelskich - należy odpowiednio uwzględnić wszystkie istotne czynniki, takie jak charakter realizowanego celu, inwazyjność działania polegającego na gromadzeniu danych, w tym jego czas trwania, prawdopodobny wkład gromadzenia danych w realizację celu, konsekwencje dla osób fizycznych, które można racjonalnie przewidzieć, oraz charakter i wrażliwość danych, które mają być gromadzone 249 .
(140) Jeżeli chodzi o rodzaj gromadzenia danych w wyniku rozpoznania radioelektronicznego, gromadzenie danych w Stanach Zjednoczonych, które jest najistotniejsze z punktu widzenia obecnego stwierdzania odpowiedniego stopnia ochrony, ponieważ dotyczy danych, które zostały przekazane podmiotom w Stanach Zjednoczonych, powinno być zawsze ukierunkowane, jak wyjaśniono bardziej szczegółowo w motywach 142-153.
(141) "Hurtowe gromadzenie danych" 250 można przeprowadzić wyłącznie poza Stanami Zjednoczonymi na podstawie rozporządzenia wykonawczego 12333. Również w tym przypadku, zgodnie z rozporządzeniem wykonawczym 14086, należy nadać priorytet ukierunkowanemu gromadzeniu danych 251 . Z kolei hurtowe gromadzenie danych jest dozwolone wyłącznie w sytuacji, w której nie można w racjonalny sposób uzyskać informacji niezbędnych do realizacji zatwierdzonego priorytetu wywiadowczego w drodze gromadzenia ukierunkowanego 252 . Jeżeli konieczne jest przeprowadzenie hurtowego gromadzenia danych poza Stanami Zjednoczonymi, zastosowanie mają szczególne zabezpieczenia określone w rozporządzeniu wykonawczym 14086 253 . Po pierwsze, należy stosować metody i środki techniczne w celu ograniczenia gromadzonych danych wyłącznie do tego, co jest niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego, przy jednoczesnym ograniczeniu do minimum gromadzenia informacji nieistotnych 254 . Po drugie, w rozporządzeniu wykonawczym ogranicza się wykorzystywanie informacji zgromadzonych hurtowo (w tym w drodze zapytań) do sześciu celów szczegółowych, w tym celów dotyczących ochrony przed terroryzmem, brania zakładników oraz przetrzymywania w niewoli osób przez rząd innego państwa, podmiot lub osobę z innego państwa bądź w ich imieniu; ochrony przed szpiegostwem, sabotażem lub zamachem na rzecz obcego państwa; ochrony przed zagrożeniami wynikającymi z opracowywania, posiadania lub rozprzestrzeniania broni masowego rażenia lub powiązanych technologii i zagrożeń itp. 255 Ponadto wszelkie zapytania dotyczące danych zgromadzonych hurtowo w ramach rozpoznania radioelektronicznego mogą mieć miejsce, w stosownych przypadkach, wyłącznie w celu realizacji zatwierdzonego priorytetu wywiadowczego - z myślą o realizacji wspomnianych sześciu celów oraz zgodnie ze strategiami politycznymi i procedurami, w których odpowiednio uwzględniono wpływ tych zapytań na prywatność i wolności obywatelskie wszystkich osób, niezależnie od ich narodowości lub miejsca zamieszkania 256 .
(142) Gromadzenie w wyniku rozpoznania radioelektronicznego danych, które zostały przekazane podmiotowi w Stanach Zjednoczonych, podlega nie tylko wymogom określonym w rozporządzeniu wykonawczym 14086, lecz także konkretnym ograniczeniom i zabezpieczeniom, które reguluje sekcja 702 ustawy o kontroli wywiadu 257 . Zgodnie z przepisami sekcji 702 ustawy o kontroli wywiadu zezwala się na gromadzenie danych wywiadowczych poprzez ukierunkowywanie działań na osoby niebędące obywatelami ani rezydentami USA, w odniesieniu do których można racjonalnie założyć, że znajdują się one poza terytorium Stanów Zjednoczonych, przy obowiązkowej pomocy ze strony amerykańskich dostawców usług łączności elektronicznej 258 . Na potrzeby gromadzenia danych wywiadowczych zgodnie z sekcją 702 ustawy o kontroli wywiadu prokurator generalny i Dyrektor Krajowych Służb Wywiadowczych przedkładają coroczne certyfikacje do Sądu ds. Kontroli Wywiadu, który określa kategorie danych wywiadowczych, które należy pozyskać 259 . Certyfikacjom muszą towarzyszyć procedury ukierunkowywania, minimalizacji i zapytań, które są również zatwierdzane przez sąd i prawnie wiążące dla amerykańskich agencji wywiadowczych.
(143) Sąd ds. Kontroli Wywiadu jest niezależnym sądem 260 utworzonym na mocy ustawy federalnej, którego orzeczenia można zaskarżyć przed Sądem Odwoławczym ds. Kontroli Wywiadu 261 , a ostatecznie przed Sądem Najwyższym Stanów Zjednoczonych 262 . Sąd ds. Kontroli Wywiadu (oraz Sąd Odwoławczy ds. Kontroli Wywiadu) korzysta ze wsparcia stałego zespołu składającego się z pięciu adwokatów i pięciu ekspertów technicznych w dziedzinie bezpieczeństwa narodowego i wolności obywatelskich 263 . Spośród tej grupy sąd powołuje jedną osobę, która będzie pełniła funkcję amicus curiae, tj. osoby zapewniającej wsparcie przy rozpatrywaniu wszelkich wniosków o wydanie nakazu lub wniosków o dokonanie przeglądu zawierających nową lub istotną wykładnię przepisów ustawowych, chyba że sąd stwierdzi, że powołanie takiej osoby w danym przypadku nie byłoby właściwe 264 . Instytucja amicus curiae służy przede wszystkim zapewnieniu odpowiedniego uwzględnienia w ocenie przeprowadzonej przez sąd kwestii związanych z prywatnością. Sąd może również powołać osobę fizyczną lub podmiot do pełnienia funkcji amicus curiae i dzielenia się swoją wiedzą techniczną, jeżeli uzna to za stosowne lub - po otrzymaniu odpowiedniego wniosku - może udzielić osobie fizycznej lub podmiotowi zgody na złożenie raportu amicus curiae 265 .
(144) Sąd ds. Kontroli Wywiadu dokonuje przeglądów certyfikacji i powiązanych procedur (w szczególności procedur ukierunkowywania i minimalizacji) pod względem zgodności z wymogami określonymi w ustawie o kontroli wywiadu. Jeżeli sąd ten stwierdzi, że wymogi nie zostały spełnione, może odmówić wydania certyfikatu w całości lub w części i zażądać zmiany procedur 266 . W tym kontekście Sąd ds. Kontroli Wywiadu wielokrotnie podkreślał, że jego przegląd procedur ukierunkowywania i minimalizacji określonych w sekcji 702 nie ogranicza się wyłącznie do samych tych procedur, lecz także obejmuje sposób ich wdrażania przez rząd 267 .
(145) Agencja Bezpieczeństwa Narodowego (agencja wywiadowcza odpowiedzialna za ukierunkowywanie, o którym mowa w sekcji 702 ustawy o kontroli wywiadu) dokonuje indywidualnych ustaleń w zakresie ukierunkowywania zgodnie z procedurami ukierunkowywania zatwierdzonymi przez Sąd ds. Kontroli Wywiadu, które nakładają na Agencję Bezpieczeństwa Narodowego obowiązek dokonania oceny, w oparciu o całokształt okoliczności, że przez ukierunkowanie działań na konkretną osobę można pozyskać dane wywiadowcze należące do kategorii wskazanej w certyfikacji 268 . Ocena ta musi być szczegółowa i oparta na faktach, jak również musi opierać się na osądzie analitycznym, specjalistycznym szkoleniu i doświadczeniu analityka oraz na charakterze danych wywiadowczych, które mają zostać pozyskane 269 . Ukierunkowanie przeprowadza się przez określenie tak zwanych selektorów, które pozwalają określić konkretne narzędzia komunikacyjne, takie jak adres e-mail lub numer telefonu osoby, na którą ukierunkowano działania, lecz nigdy kluczowe słowa ani imiona i nazwiska osób fizycznych 270 .
(146) Analitycy Agencji Bezpieczeństwa Narodowego identyfikują najpierw osoby niebędące obywatelami ani rezydentami USA przebywające za granicą, których objęcie nadzorem - w ocenie analityków - umożliwi pozyskanie stosownych zagranicznych informacji wywiadowczych określonych w certyfikacji 271 . Jak określono w procedurach Agencji Bezpieczeństwa Narodowego w zakresie ukierunkowywania, Agencja Bezpieczeństwa Narodowego może objąć nadzorem osobę, na którą ukierunkowano działania, wyłącznie pod warunkiem, że ma już pewne informacje na jej temat 272 . Informacje te mogą pochodzić z danych uzyskanych z różnych źródeł, na przykład z wywiadu osobowego. Za pośrednictwem tych innych źródeł analityk musi również zidentyfikować konkretny selektor (tj. konto komunikacyjne) wykorzystywany przez osobę, która może być potencjalnym celem namierzania. Po zidentyfikowaniu tych poszczególnych osób i zatwierdzeniu ukierunkowywania na nie działań w ramach rozbudowanego mechanizmu przeglądu wykorzystywanego przez Agencję Bezpieczeństwa Narodowego 273 przydziela się (tj. opracowuje i wdraża) selektory identyfikujące narzędzia komunikacyjne (takie jak adresy e-mail), które są wykorzystywane przez osoby, na które ukierunkowano działania 274 .
(147) Agencja Bezpieczeństwa Narodowego musi udokumentować faktyczną podstawę wyboru osoby, na którą ukierunkowano działania, 275 i w regularnych odstępach po wstępnym ukierunkowaniu działań na tę osobę musi potwierdzić, że norma w zakresie ukierunkowania jest cały czas spełniana 276 . Jeżeli norma ta nie jest już spełniana, należy zaprzestać gromadzenia informacji 277 . Urzędnicy biur ds. nadzoru nad służbami wywiadowczymi w Departamencie Sprawiedliwości, którzy mają obowiązek zgłaszać wszelkie naruszenia Sądowi ds. Kontroli Wywiadu i Kongresowi, co dwa miesiące dokonują przeglądu wyboru każdej osoby, na którą Agencja Bezpieczeństwa Narodowego ukierunkowała działania, oraz jej dokumentacji dotyczącej każdej zarejestrowanej oceny i uzasadnienia ukierunkowania w celu zapewnienia zgodności z procedurami ukierunkowywania 278 . Dokumentacja pisemna Agencji Bezpieczeństwa Narodowego ułatwia Sądowi ds. Kontroli Wywiadu nadzorowanie tego, czy konkretne osoby fizyczne są prawidłowo namierzane na podstawie sekcji 702 ustawy o kontroli wywiadu, zgodnie z jego uprawnieniami nadzorczymi opisanymi w motywach 173-174 279 . Ponadto Dyrektor Krajowych Służb Wywiadowczych jest również zobowiązany do podawania co roku całkowitej liczby namierzanych osób zgodnie z sekcją 702 ustawy o kontroli wywiadu w publicznych, składanych do roku statystycznych sprawozdaniach z przejrzystości. Przedsiębiorstwa, które otrzymują dyrektywy na podstawie sekcji 702 ustawy o kontroli wywiadu, mogą publikować dane zagregowane (za pośrednictwem sprawozdań z przejrzystości) dotyczące otrzymywanych wniosków 280 .
(148) W odniesieniu do pozostałych podstaw prawnych gromadzenia danych osobowych przekazywanych podmiotom w Stanach Zjednoczonych zastosowanie mają różne ograniczenia i zabezpieczenia. Ogólnie rzecz biorąc, szczególnie zabrania się hurtowego gromadzenia danych na podstawie sekcji 402 ustawy o kontroli wywiadu (podstawa prawna do stosowania urządzeń rejestrujących wybierane numery oraz urządzeń śledzących) oraz poprzez korzystanie z wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego, a zamiast tego wymaga się stosowania konkretnych "terminów umożliwiających selekcję" 281 .
(149) Na potrzeby prowadzenia tradycyjnego zindywidualizowanego dozoru elektronicznego (zgodnie z sekcją 105 ustawy o kontroli wywiadu) agencje wywiadowcze muszą złożyć do Sądu ds. Kontroli Wywiadu wniosek z przedstawieniem stanu faktycznego i okoliczności, na które powołały się, aby uzasadnić swoje przekonanie, że dany obiekt jest użytkowany lub wkrótce będzie użytkowany przez obce państwo lub przez agenta obcego państwa 282 . Sąd ds. Kontroli Wywiadu oceni m.in., czy na podstawie przedstawionych faktów istnieje uzasadnione podejrzenie, że dane zdarzenie faktycznie miało miejsce 283 .
(150) W celu przeprowadzenia przeszukania lokalu lub mienia, które ma doprowadzić do inspekcji, zajęcia itp. informacji, materiałów lub mienia (np. urządzenia komputerowego) na podstawie sekcji 301 ustawy o kontroli wywiadu, wymagane jest złożenie wniosku o wydanie nakazu do Sądu ds. Kontroli Wywiadu 284 . W takim wniosku należy wykazać między innymi, że istnieje uzasadnione podejrzenie, że celem przeszukania jest obce państwo lub agent obcego państwa, że lokal lub mienie, które mają zostać przeszukane, można wykorzystać do pozyskania danych wywiadowczych oraz że lokal, który ma zostać przeszukany, jest własnością (agenta) obcego państwa, jest użytkowany przez obce państwo (lub jego agenta), znajduje się w posiadaniu obcego państwa (lub jego agenta) lub jest przekazywany na rzecz (agenta) obcego państwa lub przez niego 285 .
(151) Podobnie instalacja urządzeń rejestrujących wybierane numery lub urządzeń śledzących (zgodnie z sekcją 402 ustawy o kontroli wywiadu) wymaga złożenia wniosku o wydanie nakazu do Sądu ds. Kontroli Wywiadu (lub amerykańskiego sędziego pokoju) i zastosowanie konkretnego terminu umożliwiającego selekcję, tj. terminu, który w konkretny sposób identyfikuje daną osobę, konto itd. i jest stosowany w celu ograniczenia w jak największym stopniu zakresu żądanych informacji 286 . Ta podstawa prawna odnosi się nie do treści komunikatów, lecz raczej dotyczy informacji na temat klienta lub abonenta korzystającego z usługi (takich jak imię i nazwisko, adres, numer abonenta, okres/rodzaj otrzymywanej usługi, źródło/mechanizm płatności).
(152) W sekcji 501 287 ustawy o kontroli wywiadu, która dopuszcza możliwość gromadzenia rejestrów związanych z prowadzoną działalnością wspólnego przewoźnika (tj. dowolnej osoby lub dowolnego podmiotu przewożących ludzi lub składniki majątku drogą lądową, kolejową, wodną lub powietrzną za wynagrodzeniem), publicznego obiektu noclegowego (np. hotelu, motelu lub zajazdu), wypożyczalni pojazdów lub punktu fizycznego składowania (tj. w którym udostępnia się przestrzeń lub świadczy usługi związane z przechowywaniem towarów i materiałów) 288 , również wymaga się złożenia wniosku do Sądu ds. Kontroli Wywiadu lub sędziego pokoju. We wniosku tym należy wskazać rejestry, o które się wnosi, oraz konkretne i jasne fakty dające podstawy, by sądzić, że osoba, której rejestry dotyczą, działa na korzyść obcego państwa lub jest jego agentem 289 .
(153) Wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego są ponadto dozwolone na mocy różnych ustaw i umożliwiają agencjom dochodzeniowo-śledczym uzyskanie określonych informacji (nieobejmujących treści komunikacji) od niektórych podmiotów (np. instytucji finansowych, biur informacji kredytowej, dostawców usług łączności elektronicznej) zawartych w sprawozdaniach kredytowych, dokumentacji finansowej i dokumentacji abonenta elektronicznego i dokumentacji dotyczącej transakcji 290 . W ustawie dotyczącej wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, która zezwala na dostęp do łączności elektronicznej i która może być wykorzystywana wyłącznie przez FBI, ustanowiono wymóg opatrzenia każdego wniosku elementem umożliwiającym bezpośrednią identyfikację danej osoby, podmiotu, numeru telefonicznego lub rachunku oraz poświadczenia, że informacje te są istotne w kontekście zatwierdzonego dochodzenia dotyczącego bezpieczeństwa narodowego w celu zapewnienia ochrony przed terroryzmem międzynarodowym lub tajnymi działaniami wywiadowczymi 291 . Odbiorcy wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego mają prawo zakwestionować je przed sądem 292 .
3.2.1.3. Dalsze wykorzystywanie zebranych informacji
(154) Przetwarzanie danych osobowych zgromadzonych przez amerykańskie agencje wywiadowcze za pośrednictwem rozpoznania radioelektronicznego podlega licznym zabezpieczeniom.
(155) Po pierwsze, każda agencja wywiadowcza musi zapewnić odpowiednie bezpieczeństwo danych i uniemożliwić osobom nieupoważnionym dostęp do danych osobowych zgromadzonych za pośrednictwem rozpoznania radioelektronicznego. W tym względzie w różnych instrumentach, takich jak ustawy, wytyczne i normy, dodatkowo określono minimalne wymogi w zakresie bezpieczeństwa informacji, które należy wprowadzić (np. uwierzytelnianie wieloskładnikowe, szyfrowanie itp.) 293 . Dostęp do gromadzonych danych musi być ograniczony do upoważnionych i przeszkolonych pracowników, którzy potrzebują danych, aby wywiązywać się ze swoich obowiązków 294 . Co do zasady agencje wywiadowcze muszą zapewnić swoim pracownikom odpowiednie szkolenia, w tym szkolenia w zakresie procedur zgłaszania naruszeń prawa i reagowania na nie (w tym w zakresie rozporządzenia wykonawczego 14086) 295 .
(156) Po drugie, agencje wywiadowcze muszą przestrzegać standardów Wspólnoty Wywiadowczej w zakresie prawidłowości i obiektywności, w szczególności w odniesieniu do zapewnienia jakości i wiarygodności danych, uwzględniania alternatywnych źródeł informacji i obiektywności w przeprowadzaniu analiz 296 .
(157) Po trzecie, w odniesieniu do przechowywania danych, w rozporządzeniu wykonawczym 14086 wyjaśniono, że dane osobowe osób niebędących obywatelami ani rezydentami USA podlegają okresom przechowywania takim samym jak te, które mają zastosowanie do danych obywateli i rezydentów USA 297 . Agencje wywiadowcze są zobowiązane do określenia konkretnych okresów przechowywania danych lub czynników, które należy wziąć pod uwagę przy określaniu długości mających zastosowanie okresów przechowywania danych (np. czy informacje stanowią dowód popełnienia przestępstwa; czy informacje są danymi wywiadowczymi; czy informacje te są potrzebne do ochrony bezpieczeństwa osób lub organizacji, w tym ofiar lub celów międzynarodowego terroryzmu, określonych w różnych instrumentach prawnych 298 .
(158) Po czwarte, w odniesieniu do rozpowszechniania danych osobowych zgromadzonych za pośrednictwem rozpoznania radioelektronicznego zastosowanie mają przepisy szczególne. Zgodnie z ogólnym wymogiem dane osobowe osób niebędących obywatelami ani rezydentami USA mogą być rozpowszechniane tylko wtedy, gdy dotyczą tego samego rodzaju informacji, które mogą być rozpowszechniane na temat obywateli i rezydentów USA, np. informacji potrzebnych do ochrony bezpieczeństwa osoby lub podmiotu (takich jak cele, ofiary lub zakładnicy międzynarodowych organizacji terrorystycznych) 299 . Dane osobowe nie mogą być ponadto rozpowszechniane wyłącznie ze względu na obywatelstwo lub kraj zamieszkania danej osoby lub w celu obejścia wymogów rozporządzenia wykonawczego 14086 300 . Rozpowszechnianie danych w rządzie USA może mieć miejsce wyłącznie wówczas, gdy upoważniona i przeszkolona osoba ma uzasadnione przekonanie, że odbiorca musi znać te informacje 301 i będzie je odpowiednio chronił 302 . Aby określić, czy dane osobowe mogą być rozpowszechniane odbiorcom spoza rządu amerykańskiego (w tym rządowi obcego państwa lub organizacji międzynarodowej), należy uwzględnić cel rozpowszechniania, charakter i zakres rozpowszechnianych danych oraz potencjalny szkodliwy wpływ na daną osobę lub dane osoby 303 .
(159) Ponadto - w celu ułatwienia nadzoru nad spełnianiem obowiązujących wymogów prawnych oraz skutecznego dochodzenia roszczeń - każda agencja wywiadowcza jest zobowiązana na podstawie rozporządzenia wykonawczego 14086 do przechowywania odpowiedniej dokumentacji dotyczącej gromadzenia danych w ramach rozpoznania radioelektronicznego. Wymogi dotyczące dokumentacji obejmują elementy takie jak faktyczna podstawa oceny, że określone działanie związane z gromadzeniem danych jest niezbędne do realizacji zatwierdzonego priorytetu wywiadowczego 304 .
(160) Oprócz wyżej wymienionych zabezpieczeń zawartych w rozporządzeniu wykonawczym 14086 dotyczących wykorzystywania informacji zgromadzonych w wyniku rozpoznania radioelektronicznego wszystkie agencje wywiadowcze Stanów Zjednoczonych podlegają bardziej ogólnym wymogom dotyczącym ograniczenia celu, minimalizacji danych, dokładności, bezpieczeństwa, przechowywania i rozpowszechniania, w szczególności na podstawie okólnika OMB nr A-130, ustawy o administracji elektronicznej, ustawy o rejestrach federalnych (zob. motywy 101-106) oraz wytycznych Komitetu ds. Systemów Bezpieczeństwa Narodowego (CNSS) 305 .
3.2.2. Nadzór
(161) Działalność amerykańskich agencji wywiadowczych podlega nadzorowi różnych organów.
(162) Po pierwsze, zgodnie z rozporządzeniem wykonawczym 14086 każda agencja wywiadowcza musi posiadać urzędników wysokiego szczebla ds. prawnych, nadzoru i zgodności, by zapewnić zgodność z mającym zastosowanie prawem amerykańskim 306 . W szczególności muszą oni prowadzić okresowy nadzór nad działaniami w zakresie rozpoznania radioelektronicznego i zapewniać usuwanie wszelkich niezgodności. Agencje wywiadowcze muszą zapewnić takim urzędnikom dostęp do wszystkich istotnych informacji, by umożliwić im wykonywanie funkcji nadzorczych, i nie mogą podejmować żadnych działań utrudniających działania nadzorcze lub w sposób niewłaściwy wpływających na takie działania 307 . Każdy przypadek istotnej niezgodności 308 stwierdzony przez urzędnika ds. nadzoru lub innego pracownika należy ponadto niezwłocznie zgłosić szefowi agencji wywiadowczej i Dyrektorowi Krajowych Służb Wywiadowczych, którzy muszą zapewnić podjęcie wszelkich niezbędnych działań, by zaradzić i zapobiec ponownemu wystąpieniu istotnej niezgodności 309 .
(163) Tę funkcję nadzorczą pełnią urzędnicy, którym wyznaczono określone role w zakresie zgodności, jak również urzędnicy ds. prywatności i wolności obywatelskich oraz Inspektorzy Generalni 310 .
(164) Podobnie jak w przypadku organów egzekwowania prawa w sprawach karnych we wszystkich agencjach wywiadowczych funkcjonują urzędnicy ds. prywatności i wolności obywatelskich 311 . Uprawnienia tych urzędników zazwyczaj obejmują nadzór nad procedurami w celu zapewnienia, aby dany departament lub dana agencja odpowiednio uwzględniały kwestie dotyczące prywatności i wolności obywatelskich oraz aby wdrażały odpowiednie procedury rozpatrywania skarg złożonych przez osoby fizyczne, które uważają, że ich prywatność lub wolności obywatelskie zostały naruszone (w niektórych przypadkach, podobnie jak Urząd Dyrektora Krajowych Służb Wywiadowczych, sami mogą mieć uprawnienia do badania skarg 312 ). Szefowie agencji wywiadowczych muszą dopilnować, aby urzędnicy ds. prywatności i wolności obywatelskich dysponowali zasobami niezbędnymi do wykonywania swoich uprawnień, mieli dostęp do wszelkich materiałów i zasobów osobowych niezbędnych do wypełniania swoich funkcji oraz byli informowani o proponowanych zmianach polityki, a także aby konsultowano się z nimi w sprawie odnośnych zmian 313 . Urzędnicy ds. prywatności i wolności obywatelskich składają PCLOB okresowe sprawozdania dotyczące m.in. liczby i rodzaju skarg otrzymanych przez departament/agencję oraz podsumowanie sposobu rozpatrzenia takich skarg, prowadzonych przeglądów i postępowań oraz wpływu działań przeprowadzonych przez urzędnika 314 .
(165) Po drugie, każda agencja wywiadowcza posiada niezależnego Inspektora Generalnego odpowiadającego m.in. za nadzorowanie działań wywiadowczych. Obejmuje to, w obrębie Urzędu Dyrektora Krajowych Służb Wywiadowczych, Biuro Inspektora Generalnego Wspólnoty Wywiadowczej, które sprawuje kompleksową jurysdykcję nad całą Wspólnotą Wywiadowczą i jest uprawnione do badania skarg lub informacji na temat zarzutów dotyczących postępowania niezgodnego z prawem lub nadużyć władzy w związku z programami i działaniami prowadzonymi w ramach Urzędu Dyrektora Krajowych Służb Wywiadowczych lub Wspólnoty Wywiadowczej 315 . Tak jak w przypadku organów egzekwowania prawa w sprawach karnych (zob. motyw 109) tacy Inspektorzy Generalni są ustawowo niezależni 316 i odpowiedzialni za przeprowadzanie audytów i dochodzeń dotyczących programów i działań prowadzonych przez odpowiednią agencję do krajowych celów wywiadowczych, w tym w odniesieniu do nadużyć lub naruszeń prawa 317 . Mają wgląd we wszystkie rejestry, sprawozdania, audyty, przeglądy, dokumenty, opracowania, zalecenia lub inne istotne materiały, w razie potrzeby na mocy wezwania, oraz mogą odbierać zeznania 318 . Inspektorzy Generalni kierują sprawy o podejrzenie popełnienia przestępstwa do organów ścigania i formułują zalecenia dotyczące działań naprawczych skierowane do szefów agencji 319 . Chociaż ich zalecenia są niewiążące, to sprawozdania, m.in. na temat działań następczych (lub braku takich działań) 320 , co do zasady są podawane do publicznej wiadomości i wysyłane do Kongresu, który na ich podstawie może wykonywać swoją funkcję nadzorczą (zob. motywy 168-169) 321 .
(166) Po trzecie, Rada Nadzoru nad Służbami Wywiadowczymi, ustanowiona w ramach prezydenckiej Rady Konsultacyjnej ds. Wywiadu, jest odpowiedzialna za monitorowanie przestrzegania przepisów konstytucji i wszystkich mających zastosowanie przepisów przez amerykańskie organy wywiadowcze 322 . Rada Konsultacyjna ds. Wywiadu jest organem doradczym Biura Wykonawczego Prezydenta. W jej skład wchodzi 16 członków spoza rządu amerykańskiego powołanych przez Prezydenta. W skład Rady Nadzoru nad Służbami Wywiadowczymi wchodzi maksymalnie pięciu członków wyznaczonych przez Prezydenta spośród członków Rady Konsultacyjnej ds. Wywiadu. Zgodnie z rozporządzeniem wykonawczym 12333 323 szefowie wszystkich agencji wywiadowczych są zobowiązani do zgłaszania Radzie Nadzoru nad Służbami Wywiadowczymi wszelkich działań wywiadowczych, co do których istnieją powody, by sądzić, że mogą być niezgodne z prawem lub sprzeczne z rozporządzeniem wykonawczym lub dyrektywą prezydencką. Aby zapewnić Radzie Nadzoru nad Służbami Wywiadowczymi dostęp do informacji niezbędnych do wykonywania jej funkcji, w rozporządzeniu wykonawczym 13462 zobowiązano Dyrektora Krajowych Służb Wywiadowczych i szefów agencji wywiadowczych do przekazywania wszelkich informacji i udzielania pomocy, które Rada ta uzna za potrzebne do wykonywania swoich funkcji, w zakresie dozwolonym przez prawo 324 . Rada Nadzoru nad Służbami Wywiadowczymi jest z kolei zobowiązana do informowania Prezydenta o działaniach wywiadowczych, które jej zdaniem mogą naruszać prawo amerykańskie (w tym rozporządzenia wykonawcze), a nie są odpowiednio traktowane przez prokuratora generalnego, Dyrektora Krajowych Służb Wywiadowczych lub szefa agencji wywiadowczej 325 . Rada Nadzoru nad Służbami Wywiadowczymi ma ponadto obowiązek informowania prokuratora generalnego o możliwych naruszeniach prawa karnego.
(167) Po czwarte, agencje wywiadowcze podlegają nadzorowi Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi. Zgodnie ze statutem założycielskim PCLOB powierzono obowiązki w obszarze kształtowania i wdrażania polityki walki z terroryzmem, aby zapewnić ochronę prywatności i wolności obywatelskich. W swoim przeglądzie działalności agencji wywiadowczych Rada ma dostęp do wszystkich stosownych rejestrów, sprawozdań, audytów, przeglądów, dokumentów, opracowań i zaleceń agencji, z uwzględnieniem informacji niejawnych, oraz może przeprowadzać przesłuchania i odbierać zeznania 326 . Rada otrzymuje sprawozdania od urzędników ds. wolności obywatelskich i prywatności z szeregu departamentów/agencji federalnych 327 , może wydawać zalecenia skierowane do rządu i agencji wywiadowczych i regularnie sporządza sprawozdania dla komisji Kongresu i dla Prezydenta 328 . Sprawozdania Rady, w tym te przedkładane Kongresowi, muszą być w możliwie największym stopniu dostępne publicznie 329 . PCLOB wydała kilka sprawozdań dotyczących nadzoru i sprawozdań z działań następczych zawierających analizę programów prowadzonych na podstawie sekcji 702 ustawy o kontroli wywiadu i ochrony prywatności w tym kontekście, wdrożenia dyrektywy politycznej Prezydenta nr 28 i rozporządzenia wykonawczego 12333 330 . Zadaniem PCLOB jest również pełnienie określonych funkcji nadzorczych w odniesieniu do wdrażania rozporządzenia wykonawczego 14086, w szczególności sprawdzanie, czy procedury stosowane przez agencje są zgodne z tym rozporządzeniem wykonawczym (zob. motyw 126), oraz ocena poprawności funkcjonowania mechanizmu dochodzenia roszczeń (zob. motyw 194).
(168) Po piąte, niezależnie od mechanizmów nadzoru funkcjonujących w strukturze władzy wykonawczej, specjalne komisje w Kongresie Stanów Zjednoczonych (Komisja ds. Wywiadu i Komisja ds. Sprawiedliwości w Izbie Reprezentantów i w Senacie) są zobowiązane do sprawowania nadzoru nad wszystkimi działaniami Stanów Zjednoczonych w obszarze wywiadu zagranicznego. Członkowie tych komisji są uprawnieni do uzyskania dostępu do informacji niejawnych oraz do zapoznania się z metodami i programami wywiadowczymi 331 . Komisje sprawują funkcje nadzorcze w różnych formach, w szczególności w formie przesłuchań, dochodzeń, przeglądów i sprawozdań 332 .
(169) Komisje Kongresu otrzymują regularne sprawozdania z działań wywiadowczych, m.in. od prokuratora generalnego, Dyrektora Krajowych Służb Wywiadowczych, agencji wywiadowczych i innych organów nadzoru (np. Inspektorów Generalnych), zob. motywy 164-165. W szczególności zgodnie z ustawą o bezpieczeństwie narodowym "Prezydent zapewnia kongresowym komisjom ds. wywiadu dostęp do pełnych i aktualnych informacji na temat działalności wywiadowczej Stanów Zjednoczonych, w tym do informacji o wszelkich istotnych planowanych działaniach wywiadowczych, zgodnie z wymogami ustanowionymi w niniejszym podrozdziale" 333 . Ponadto "Prezydent zapewnia niezwłoczne zgłaszanie wszelkich niezgodnych z prawem działań wywiadowczych kongresowym komisjom ds. wywiadu oraz przekazywanie im informacji o wszelkich działaniach naprawczych, które zostały podjęte lub które mają zostać podjęte w związku z taką niezgodną z prawem działalnością" 334 .
(170) Ze szczególnych ustaw wynikają ponadto dodatkowe wymogi w zakresie sprawozdawczości. W szczególności zgodnie z ustawą o kontroli wywiadu prokurator generalny jest zobowiązany do przekazywania Komisji ds. Wywiadu i Komisji ds. Sprawiedliwości w Senacie i Izbie Reprezentantów "pełnych informacji" na temat działań podejmowanych przez rząd zgodnie z określonymi sekcjami ustawy o kontroli wywiadu 335 . Na mocy ustawy o kontroli wywiadu rząd został również zobowiązany do przekazywania komisjom Kongresu kopii wszystkich orzeczeń, zarządzeń lub opinii Sądu ds. Kontroli Wywiadu lub Sądu Odwoławczego ds. Kontroli Wywiadu, w których dokonano "istotnej interpretacji przepisów" ustawy o kontroli wywiadu lub w których dokonano "wykładni" tych przepisów. Jeżeli chodzi o sprawowanie nadzoru, o którym mowa w sekcji 702 ustawy o kontroli wywiadu, taki nadzór parlamentarny sprawuje się za pośrednictwem sprawozdań, które zgodnie z przepisami ustawy należy przekazywać Komisji ds. Wywiadu i Komisji ds. Sprawiedliwości, a także poprzez częste organizowanie odpraw i wysłuchań. Wśród tych sprawozdań należy wymienić sprawozdanie półroczne prokuratora generalnego dotyczące stosowania przepisów sekcji 702 ustawy o kontroli wywiadu wraz z dokumentami potwierdzającymi, uwzględniając sprawozdania Departamentu Sprawiedliwości i Urzędu Dyrektora Krajowych Służb Wywiadowczych dotyczące przestrzegania zasad oraz opis wszelkich przypadków nieprzestrzegania zasad 336 , a także odrębną ocenę półroczną przeprowadzaną przez prokuratora generalnego i przygotowywany przez Departament Sprawiedliwości dokument dotyczący zgodności z procedurami ukierunkowywania i minimalizacji 337 .
(171) Ponadto zgodnie z ustawą o kontroli wywiadu rząd Stanów Zjednoczonych jest zobowiązany do ujawniania co roku Kongresowi (i społeczeństwu) liczby nakazów na mocy ustawy o kontroli wywiadu, o które się ubiegano i które otrzymano, a także szacunków dotyczących m.in. liczby obywateli i rezydentów USA oraz liczby osób niebędących obywatelami ani rezydentami USA objętych nadzorem 338 . W ustawie przewidziano również dodatkowy wymóg podawania do wiadomości publicznej liczby wydanych wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, ponownie w odniesieniu do obywateli i rezydentów USA i osób niebędących obywatelami ani rezydentami USA (zapewniając jednocześnie odbiorcom nakazów i certyfikatów wydanych na podstawie ustawy o kontroli wywiadu oraz wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego możliwość opublikowania - w określonych przypadkach - sprawozdań z przejrzystości) 339 .
(172) Ogólniej rzecz ujmując, Wspólnota Wywiadowcza Stanów Zjednoczonych podejmuje różne działania mające na celu zapewnienie przejrzystości swoich działań wywiadowczych. Na przykład w 2015 r. Urząd Dyrektora Krajowych Służb Wywiadowczych przyjął zasady przejrzystości danych wywiadowczych i plan wdrażania przejrzystości oraz zarządził, aby każda agencja wywiadowcza wyznaczała urzędnika ds. przejrzystości danych wywiadowczych w celu zwiększenia przejrzystości i prowadzenia inicjatyw w zakresie przejrzystości 340 . W ramach tych działań Wspólnota Wywiadowcza upubliczniła i nadal upublicznia odtajnione części polityk, procedur, sprawozdań dotyczących nadzoru, sprawozdań na temat działań prowadzonych na podstawie sekcji 702 ustawy o kontroli wywiadu i rozporządzenia wykonawczego 12333, orzeczeń Sądu ds. Kontroli Wywiadu i innych materiałów, m.in. na specjalnej stronie internetowej "IC on the Record" zarządzanej przez Urząd Dyrektora Krajowych Służb Wywiadowczych 341 .
(173) Poza nadzorem organów nadzoru wymienionych w motywach 162-168 gromadzenie danych osobowych zgodnie z sekcją 702 ustawy o kontroli wywiadu podlega ponadto nadzorowi Sądu ds. Kontroli Wywiadu 342 . Zgodnie z zasadą 13 regulaminu Sądu ds. Kontroli Wywiadu urzędnicy ds. zgodności w amerykańskich agencjach wywiadowczych są zobowiązani do zgłaszania wszelkich naruszeń przepisów sekcji 702 ustawy o kontroli wywiadu dotyczących procedur ukierunkowywania, minimalizacji i zapytań do DoJ i Urzędu Dyrektora Krajowych Służb Wywiadowczych, które z kolei zgłaszają je do Sądu ds. Kontroli Wywiadu. DoJ i Urząd Dyrektora Krajowych Służb Wywiadowczych przedkładają ponadto Sądowi ds. Kontroli Wywiadu półroczne wspólne sprawozdania oceniające w zakresie nadzoru, w których określają tendencje dotyczące przestrzegania zasad ukierunkowywania, dostarczają danych statystycznych, opisują kategorie przypadków nieprzestrzegania zasad; opisują szczegółowo przyczyny wystąpienia niektórych przypadków niezgodności z procedurami ukierunkowywania oraz przedstawiają zastosowane przez agencje wywiadowcze środki służące uniknięciu ich ponownego wystąpienia 343 .
(174) W stosownych przypadkach (np. w przypadku stwierdzenia naruszeń procedur ukierunkowywania) Sąd ten może nakazać odpowiedniej agencji wywiadowczej podjęcie działań zaradczych 344 . Wspomniane działania mogą mieć różne formy: od pojedynczych środków, np. zakończenia uzyskiwania danych i usunięcia nielegalnie pozyskanych danych, po środki strukturalne, w tym zmianę praktyki gromadzenia, m.in. pod względem wytycznych i szkolenia dla pracowników 345 . Ponadto podczas corocznego przeglądu certyfikacji na podstawie sekcji 702 Sąd ds. Kontroli Wywiadu bierze pod uwagę przypadki nieprzestrzegania zasad w celu ustalenia, czy przedstawione certyfikacje są zgodne z wymogami ustawy o kontroli wywiadu. Podobnie Sąd ds. Kontroli Wywiadu - jeśli uzna, że certyfikacje rządu nie spełniły wymogów, między innymi z powodu określonych przypadków nieprzestrzegania zasad - może wydać tak zwany "nakaz usunięcia uchybień" zobowiązujący rząd do naprawienia naruszenia w ciągu 30 dni lub do zaprzestania bądź nierozpoczynania wdrażania certyfikacji zgodnie z sekcją 702. Ponadto Sąd ds. Kontroli Wywiadu ocenia obserwowane przez siebie tendencje w zakresie przestrzegania zasad i może wymagać wprowadzenia zmian w procedurach lub dodatkowego nadzoru i sprawozdawczości w celu uwzględnienia tendencji w zakresie przestrzegania zasad 346 .
3.2.3. Dochodzenie roszczeń
(175) Jak wyjaśniono szczegółowo w niniejszej sekcji, osoby z Unii, których dane dotyczą, mogą skorzystać w Stanach Zjednoczonych z licznych możliwości wytoczenia powództwa przed niezależnym i bezstronnym sądem posiadającym odpowiednie uprawnienia. Łącznie umożliwiają one osobom fizycznym dostęp do ich danych osobowych, weryfikację zgodności z prawem dostępu organów rządowych do ich danych oraz - w przypadku stwierdzenia naruszenia - naprawienie takiego naruszenia, w tym poprzez sprostowanie lub usunięcie ich danych osobowych.
(176) Po pierwsze, na mocy rozporządzenia wykonawczego 14086 ustanowiono specjalny mechanizm dochodzenia roszczeń, uzupełniony zarządzeniem prokuratora generalnego ustanawiającym Sąd Odwoławczy ds. Ochrony Danych, w celu rozpatrywania i rozstrzygania skarg od osób fizycznych dotyczących działań USA w zakresie rozpoznania radioelektronicznego. Każda fizyczna osoba w UE jest uprawniona do złożenia skargi w ramach mechanizmu dochodzenia roszczeń dotyczącej domniemanego naruszenia amerykańskiego prawa regulującego działania w zakresie rozpoznania radioelektronicznego (np. rozporządzenia wykonawczego 14086, sekcji 702 ustawy o kontroli wywiadu, rozporządzenia wykonawczego 12333), które negatywnie wpływa na jego interesy w zakresie ochrony prywatności i wolności obywatelskich 347 . Ten mechanizm dochodzenia roszczeń jest dostępny dla osób z krajów lub regionalnych organizacji integracji gospodarczej, które zostały wyznaczone przez prokuratora generalnego USA jako "kraje kwalifikujące się" 348 . 30 czerwca 2023 r. prokurator generalny wyznaczył Unię Europejską i trzy państwa Europejskiego Stowarzyszenia Wolnego Handlu, które razem stanowią Europejski Obszar Gospodarczy, na podstawie sekcji 3 lit. f) rozporządzenia wykonawczego 14086 jako "kraj kwalifikujący się" 349 . Decyzja ta pozo- staje bez uszczerbku dla art. 4 ust. 2 Traktatu o Unii Europejskiej.
(177) Osoba z Unii, której dane dotyczą, chcąca złożyć taką skargę, musi złożyć ją do organu nadzorczego w państwie członkowskim właściwego w sprawach nadzoru przetwarzania danych osobowych przez organy publiczne (organu ochrony danych) 350 . Dzięki temu osoby fizyczne mają łatwy dostęp do mechanizmu dochodzenia roszczeń, gdyż mogą zwrócić się do organu "w pobliżu miejsca zamieszkania", z którym mogą komunikować się w swoim języku ojczystym. Po zweryfikowaniu wymogów dotyczących złożenia skargi, o których mowa w motywie 178, właściwy organ ochrony danych przekaże skargę, za pośrednictwem sekretariatu Europejskiej Rady Ochrony Danych, do mechanizmu dochodzenia roszczeń.
(178) Wniesienie skargi do mechanizmu dochodzenia roszczeń podlega niskim wymogom dopuszczalności, ponieważ osoby fizyczne nie muszą wykazać, że ich dane były faktycznie amerykańskich przedmiotem działań w zakresie rozpoznania radioelektronicznego 351 . Jednocześnie, aby zapewnić punkt wyjścia dla mechanizmu dochodzenia roszczeń w celu przeprowadzenia przeglądu, należy podać pewne podstawowe informacje, np. dotyczące danych osobowych, co do których istnieje uzasadnione przypuszczenie, że zostały przekazane do USA, oraz środków, za pomocą których zakłada się, że zostały przekazane; tożsamości jednostek rządu USA, które uważa się za zaangażowane w domniemane naruszenie (jeśli są znane); podstawy zarzutu, że doszło do naruszenia prawa amerykańskiego (chociaż to również nie wymaga wykazania, że dane osobowe zostały faktycznie zgromadzone przez amerykańskie agencje wywiadowcze), oraz charakteru żądanego zadośćuczynienia.
(179) Wstępne badanie skarg kierowanych do tego mechanizmu dochodzenia roszczeń przeprowadza Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych, którego istniejącą ustawową rolę i uprawnienia rozszerzono na te konkretne działania podejmowane zgodnie z rozporządzeniem wykonawczym 14086 352 . W ramach Wspólnoty Wywiadowczej Biuro Wolności Obywatelskich i Ochrony Prywatności odpowiada między innymi za zapewnienie, by ochronę wolności obywatelskich i prywatności odpowiednio uwzględniono w strategiach politycznych i procedurach Urzędu Dyrektora Krajowych Służb Wywiadowczych i agencji wywiadowczych; za nadzorowanie przestrzegania przez Urząd Dyrektora Krajowych Służb Wywiadowczych obowiązujących wymogów dotyczących wolności obywatelskich i prywatności; oraz za przeprowadzanie ocen wpływu na prywatność 353 . Odwołanie osoby pełniącej funkcję w Biurze Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych może nastąpić wyłącznie przez Dyrektora Krajowych Służb Wywiadowczych z ważnej przyczyny, tj. w przypadku uchybienia, niewłaściwego sprawowania urzędu, naruszenia bezpieczeństwa, zaniedbania obowiązków lub niezdolności do sprawowania urzędu 354 .
(180) Przy przeprowadzaniu przeglądu Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ma dostęp do informacji na potrzeby swojej oceny i może korzystać z pomocy urzędników ds. prywatności i wolności obywatelskich w poszczególnych agencjach wywiadowczych 355 . Agencje wywiadowcze nie mogą utrudniać przeglądów przeprowadzanych przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ani wywierać na nie niewłaściwego wpływu. Dotyczy to również Dyrektora Krajowych Służb Wywiadowczych, który nie może ingerować w przegląd 356 . Rozpatrując skargę, Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych musi "stosować prawo bezstronnie", mając na uwadze zarówno interesy bezpieczeństwa narodowego w działaniach w zakresie rozpoznania radioelektronicznego, jak i zabezpieczenia prywatności 357 .
(181) W ramach przeglądu Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ustala, czy doszło do naruszenia obowiązującego prawa amerykańskiego, a jeżeli tak - podejmuje decyzję o zastosowaniu odpowiednich środków zaradczych 358 . Są to środki, które umożliwiają pełne zrekompensowanie stwierdzonego naruszenia, takie jak zaniechanie bezprawnego pozyskiwania danych, usunięcie danych zgromadzonych niezgodnie z prawem, usunięcie wyników nieprawidłowo dokonanych zapytań odnoszących się do danych zgromadzonych zgodnie z prawem w inny sposób, ograniczenie dostępu do danych zgromadzonych zgodnie z prawem do odpowiednio przeszkolonego personelu lub wycofanie sprawozdań służb wywiadowczych zawierających dane, które pozyskano bez uzyskania prawnego upoważnienia lub które rozpowszechniano niezgodnie z prawem 359 . Decyzje podjęte przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych w sprawie skarg indywidualnych (w tym decyzje w sprawie środków zaradczych) są wiążące dla zainteresowanych agencji wywiadowczych 360 .
(182) Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych przechowuje dokumentację przeglądu oraz wydaje niejawną decyzję zawierającą podstawę dokonanych ustaleń faktycznych, ustalenia w odniesieniu do tego, czy doszło do naruszenia objętego zakresem, oraz wskazanie odpowiedniego środka zaradczego 361 . Jeżeli w wyniku przeglądu Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych ujawnione zostanie naruszenie ze strony organu podlegającego nadzorowi Sądu ds. Kontroli Wywiadu, Biuro Wolności Obywatelskich i Ochrony Prywatności musi również przedstawić niejawne sprawozdanie asystentowi prokuratora generalnego ds. bezpieczeństwa narodowego, który z kolei jest zobowiązany do zgłoszenia niezgodności Sądowi ds. Kontroli Wywiadu, który może podjąć dalsze czynności egzekucyjne (zgodnie z procedurą opisaną w motywach 173-174) 362 .
(183) Po zakończeniu przeglądu Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych informuje skarżącego za pośrednictwem organu krajowego, że "kontrola nie wykazała żadnych naruszeń objętych zakresem albo [że] Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych wydało decyzję nakazującą wdrożenie odpowiednich środków zaradczych" 363 . Umożliwia to zapewnienie ochrony poufności działań prowadzonych w celu ochrony bezpieczeństwa narodowego, przy jednoczesnym zapewnieniu osobom fizycznym decyzji potwierdzającej, że ich skarga została należycie zbadana i rozpatrzona. Osoba fizyczna może ponadto zakwestionować tę decyzję. W tym celu zostanie ona poinformowana o możliwości odwołania się do Sądu Odwoławczego ds. Ochrony Danych w celu dokonania przeglądu ustaleń Biura Wolności Obywatelskich i Ochrony Prywatności (zob. motyw 184 i dalsze) oraz o tym, że w przypadku wszczęcia postępowania przez Sąd zostanie wybrany rzecznik specjalny, który będzie reprezentował interesy skarżącego 364 .
(184) Każdy skarżący oraz każda jednostka Wspólnoty Wywiadowczej mogą wnieść o przegląd decyzji Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych przed Sądem Odwoławczym ds. Ochrony Danych. Takie wnioski o przegląd należy złożyć w ciągu 60 dni od otrzymania od Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych powiadomienia o zakończeniu przeglądu oraz muszą one zawierać wszystkie informacje, które osoba fizyczna chce przekazać Sądowi Odwoławczemu ds. Ochrony Danych (np. argumenty dotyczące kwestii prawnych lub zastosowania prawa do okoliczności faktycznych sprawy) 365 . Osoby z Unii, których dane dotyczą, mogą ponownie złożyć wniosek do właściwego organu ochrony danych (zob. motyw 177).
(185) Sąd Odwoławczy ds. Ochrony Danych jest niezależnym sądem ustanowionym przez prokuratora generalnego na podstawie rozporządzenia wykonawczego 14086 366 . W jego skład wchodzi co najmniej sześciu sędziów powołanych przez prokuratora generalnego w porozumieniu z PCLOB, sekretarza handlu i Dyrektora Krajowych Służb Wywiadowczych na czteroletnią odnawialną kadencję 367 . Przy powoływaniu sędziów prokurator generalny opiera się na kryteriach stosowanych przez władzę wykonawczą przy ocenie kandydatów na sędziów federalnych, nadając istotne znaczenie wcześniejszemu doświadczeniu sędziowskiemu 368 . Sędziowie muszą być ponadto prawnikami praktykami (tj. aktywnymi członkami palestry o nieposzlakowanej opinii oraz muszą być należycie uprawnieni do wykonywania zawodu) i mieć odpowiednie doświadczenie w dziedzinie prawa dotyczącego prywatności i bezpieczeństwa narodowego. Prokurator generalny musi dołożyć starań, by co najmniej połowa sędziów w danym czasie miała wcześniejsze doświadczenie sędziowskie, a wszyscy sędziowie muszą mieć poświadczenia bezpieczeństwa, aby móc uzyskać dostęp do informacji niejawnych dotyczących bezpieczeństwa narodowego 369 .
(186) Do Sądu Odwoławczego ds. Ochrony Danych mogą zostać powołane wyłącznie osoby, które spełniają kwalifikacje, o których mowa w motywie 185, oraz które w chwili powołania ani w ciągu ostatnich dwóch lat nie były zatrudnione przez instytucje władzy wykonawczej. Podobnie podczas kadencji na stanowiskach sędziów Sądu Odwoławczego ds. Ochrony Danych nie mogą oni również pełnić żadnych oficjalnych funkcji ani nie mogą być zatrudnieni w rządzie Stanów Zjednoczonych (na innym stanowisku niż sędziowie Sądu Odwoławczego ds. Ochrony Danych) 370 .
(187) Niezależność procesu orzekania osiąga się za pomocą szeregu gwarancji. W szczególności jednostki władzy wykonawczej (prokurator generalny i agencje wywiadowcze) nie mogą ingerować w kontrolę prowadzoną przez Sąd Odwoławczy ds. Ochrony Danych ani wywierać na nią niewłaściwego wpływu 371 . Sam Sąd Odwoławczy ds. Ochrony Danych jest zobowiązany do bezstronnego rozpoznawania spraw 372 i działa zgodnie z własnym regulaminem (przyjętym większością głosów). Ponadto sędziowie Sądu Odwoławczego ds. Ochrony Danych mogą zostać odwołani jedynie przez prokuratora generalnego i wyłącznie z podaniem przyczyny (tj. niewłaściwe postępowanie, niewłaściwe sprawowanie urzędu, naruszenie bezpieczeństwa, zaniedbanie obowiązków lub niezdolność do orzekania), po należytym uwzględnieniu norm mających zastosowanie do sędziów federalnych, określonych w regulaminie prowadzenia postępowań sądowych i niezdolności do prowadzenia postępowań sądowych 373 .
(188) Wnioski składane do Sądu Odwoławczego ds. Ochrony Danych są rozpatrywane przez panel składający się z trzech sędziów, w tym z prezesa sądu, którzy muszą postępować zgodnie z kodeksem postępowania sędziów amerykańskich 374 . Każdy panel wspiera rzecznik specjalny 375 , który ma dostęp do wszystkich informacji dotyczących danej sprawy, w tym informacji niejawnych 376 . Rola rzecznika specjalnego polega na dopilnowaniu, aby interesy skarżącego były odpowiednio reprezentowane i aby panel Sądu Odwoławczego ds. Ochrony Danych był dobrze poinformowany o wszystkich istotnych okolicznościach prawnych i faktycznych 377 . Aby uzyskać więcej informacji na temat wniosku o kontrolę złożonego przez osobę fizyczną do Sądu Odwoławczego ds. Ochrony Danych i móc zająć stanowisko w tej sprawie, rzecznik specjalny może zwrócić się do skarżącego o przekazanie dodatkowych informacji, kierując do niego pytania na piśmie 378 .
(189) Sąd Odwoławczy ds. Ochrony Danych przeprowadza przegląd ustaleń dokonanych przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych (zarówno pod kątem tego, czy doszło do naruszenia obowiązującego prawa amerykańskiego, jak i pod kątem odpowiednich środków zaradczych) na podstawie co najmniej protokołu dochodzenia prowadzonego przez to biuro, jak również wszelkich informacji i uwag przedstawionych przez skarżącego, rzecznika specjalnego lub agencję wywiadowczą 379 . Panel Sądu Odwoławczego ds. Ochrony Danych ma dostęp do wszystkich informacji niezbędnych do przeprowadzenia kontroli, które to informacje może uzyskać za pośrednictwem Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych (panel może na przykład zwrócić się do tego biura o uzupełnienie dokumentacji o dodatkowe informacje lub ustalenia faktyczne, jeżeli jest to niezbędne do przeprowadzenia kontroli) 380 .
(190) Przeprowadzając kontrolę, Sąd Odwoławczy ds. Ochrony Danych może 1) stwierdzić, że nie ma żadnych dowodów wskazujących na to, że prowadzone były działania w zakresie rozpoznania radioelektronicznego, które obejmowały dane osobowe skarżącego, 2) stwierdzić, że ustalenia Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych są prawidłowe pod względem prawnym i poparte istotnymi dowodami, lub 3) dokonać swoich własnych ustaleń, jeżeli nie zgadza się z ustaleniami tego biura (w kwestii tego, czy doszło do naruszenia obowiązującego prawa amerykańskiego, lub w kwestii odpowiednich środków zaradczych) 381 .
(191) We wszystkich przypadkach Sąd Odwoławczy ds. Ochrony Danych wydaje orzeczenie na piśmie, przyjęte większością głosów. Jeżeli w wyniku kontroli ujawnione zostanie naruszenie obowiązujących przepisów, w orzeczeniu należy określić wszelkie odpowiednie środki zaradcze, które obejmują usunięcie bezprawnie zgromadzonych danych, usunięcie wyników nieprawidłowo przeprowadzonych zapytań, ograniczenie dostępu do danych zgromadzonych zgodnie z prawem do odpowiednio przeszkolonego personelu lub wycofanie sprawozdań służb wywiadowczych zawierających dane, które zostały pozyskane bez upoważnienia prawnego lub które były rozpowszechniane niezgodnie z prawem 382 . Orzeczenie Sądu Odwoławczego ds. Ochrony Danych jest wiążące i ostateczne w odniesieniu do wniesionej do niego skargi 383 . Ponadto, jeżeli w wyniku kontroli ujawnione zostanie naruszenie ze strony jakiegokolwiek organu podlegającego nadzorowi Sądu ds. Kontroli Wywiadu, Sąd Odwoławczy ds. Ochrony Danych musi również przedstawić niejawne sprawozdanie asystentowi prokuratora generalnego ds. bezpieczeństwa narodowego, który z kolei jest zobowiązany do zgłoszenia niezgodności Sądowi ds. Kontroli Wywiadu, który może podjąć dalsze czynności egzekucyjne (zgodnie z procedurą opisaną w motywach 173-174) 384 .
(192) Każde orzeczenie panelu Sądu Odwoławczego ds. Ochrony Danych przekazuje się Biuru Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych 385 . W przypadkach, w których kontrola prowadzona przez Sąd Odwoławczy ds. Ochrony Danych została wszczęta na podstawie wniosku skarżącego, organ krajowy informuje skarżącego, że sąd ten zakończył przeprowadzanie kontroli i że "kontrola nie wykazała żadnych naruszeń objętych zakresem albo [że] Sąd Odwoławczy ds. Ochrony Danych wydał orzeczenie nakazujące wdrożenie odpowiednich środków zaradczych" 386 . Biuro Ochrony Prywatności i Wolności Obywatelskich przy DoJ prowadzi rejestr wszystkich informacji poddanych kontroli przez Sąd Odwoławczy ds. Ochrony Danych i wszystkich wydanych orzeczeń, który to rejestr zostaje udostępniony przyszłym panelom tego sądu jako niewiążący precedens 387 .
(193) DoC jest również zobowiązany do prowadzenia rejestru w odniesieniu do każdego skarżącego, który złożył skargę 388 . Aby zwiększyć przejrzystość, DoC musi co najmniej co pięć lat kontaktować się z odpowiednimi agencjami wywiadowczymi w celu zweryfikowania, czy informacje dotyczące kontroli przeprowadzonej przez Sąd Odwoławczy ds. Ochrony Danych zostały odtajnione 389 . Jeżeli tak, osoba fizyczna zostanie powiadomiona o tym, że takie informacje mogą być dostępne zgodnie z obowiązującym prawem (tj. że osoba ta może złożyć wniosek o uzyskanie dostępu do tych informacji na podstawie ustawy o swobodnym dostępie do informacji, zob. motyw 199).
(194) Ponadto prawidłowe funkcjonowanie tego mechanizmu dochodzenia roszczeń będzie podlegało regularnej i niezależnej ocenie. Dokładniej rzecz ujmując, zgodnie z rozporządzeniem wykonawczym 14086 funkcjonowanie mechanizmu dochodzenia roszczeń podlega corocznemu przeglądowi przez PCLOB, który jest niezależnym organem (zob. motyw 110) 390 . W ramach tego przeglądu PCLOB oceni m.in., czy Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i Sąd Odwoławczy ds. Ochrony Danych rozpatrzyli skargi w odpowiednim terminie; czy uzyskali pełny dostęp do niezbędnych informacji; czy materialne zabezpieczenia przewidziane w rozporządzeniu wykonawczym 14086 zostały prawidłowo uwzględnione w procesie przeglądu oraz czy Wspólnota Wywiadowcza zastosowała się do wszystkich ustaleń dokonanych przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i Sąd Odwoławczy ds. Ochrony Danych. PCLOB sporządzi sprawozdanie z wyniku swojego przeglądu, skierowane do Prezydenta, prokuratora generalnego, Dyrektora Krajowych Służb Wywiadowczych, szefów agencji wywiadowczych, Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i kongresowych komisji ds. wywiadu, które zostanie upublicznione również w wersji jawnej, jak również zostanie uwzględnione w okresowym przeglądzie funkcjonowania niniejszej decyzji, który zostanie przeprowadzony przez Komisję. Prokurator generalny, Dyrektor Krajowych Służb Wywiadowczych, Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i szefowie agencji wywiadowczych są zobowiązani do wdrożenia lub uwzględnienia w inny sposób wszystkich zaleceń przedstawionych w takich sprawozdaniach. Oprócz tego PCLOB przeprowadzi coroczną certyfikację publiczną w celu ustalenia, czy mechanizm dochodzenia roszczeń jest wykorzystywany do rozpatrywania skarg zgodnie z wymogami określonymi w rozporządzeniu wykonawczym 14086.
(195) Oprócz szczególnego mechanizmu dochodzenia roszczeń ustanowionego na mocy rozporządzenia wykonawczego 14086 wszystkim osobom fizycznym (niezależnie od obywatelstwa lub miejsca pobytu) dostępne są również środki dochodzenia roszczeń przed amerykańskimi sądami powszechnymi 391 .
(196) W szczególności w ustawie o kontroli wywiadu i powiązanej ustawie przewidziano możliwość wytoczenia powództwa cywilnego przez osoby fizyczne o odszkodowanie pieniężne przeciwko Stanom Zjednoczonym, w przypadku gdy informacje na ich temat zostały bezprawnie i umyślnie wykorzystane lub ujawnione 392 ; pozwania amerykańskich urzędników rządowych działających we własnym imieniu o odszkodowanie pieniężne 393 oraz zakwestionowania legalności dozoru (i wystąpienia o ograniczenie rozpowszechniania informacji), w przypadku gdy rząd zamierza wykorzystać lub ujawnić jakiekolwiek informacje uzyskane lub pochodzące z dozoru elektronicznego przeciwko danej osobie w postępowaniu sądowym lub administracyjnym w Stanach Zjednoczonych 394 . Mówiąc bardziej ogólnie, jeżeli rząd zamierza wykorzystywać informacje uzyskane podczas działań wywiadowczych przeciwko podejrzanemu w postępowaniu karnym, w wymogach konstytucyjnych i ustawowych 395 przewidziane są obowiązki ujawnienia określonych informacji, tak aby oskarżony mógł zakwestionować legalność gromadzenia i wykorzystywania dowodów przez rząd.
(197) Ponadto istnieje szereg konkretnych możliwości uzyskania ochrony prawnej przeciwko urzędnikom rządowym ze względu na bezprawny dostęp administracji rządowej do danych osobowych lub ich bezprawne wykorzystanie przez administrację rządową, w tym rzekomo do celów bezpieczeństwa narodowego (tj. ustawa o oszustwach i nadużyciach komputerowych 396 ; ustawa o ochronie danych w łączności elektronicznej 397 oraz ustawa o prawie do prywatności w kwestiach finansowych 398 ). Wszystkie te kroki prawne dotyczą określonych danych, celów lub rodzajów dostępu (np. zdalnego dostępu za pomocą komputera i internetu) i można z nich skorzystać pod pewnymi warunkami (np. celowe/umyślne postępowanie, postępowanie wykraczające poza kompetencje, powstała szkoda).
(198) W ustawie o postępowaniu administracyjnym 399 przewiduje się bardziej ogólną możliwość dochodzenia roszczeń, zgodnie z którą "każda osoba doznająca krzywdy w świetle prawa w wyniku działania agencji lub dotknięta negatywnymi skutkami takiego działania lub poszkodowana w wyniku działań prowadzonych przez agencję" może wystąpić o kontrolę sądową 400 . Obejmuje to możliwość wystąpienia do sądu o "uznanie za bezprawne i uchylenie działań, ustaleń i wniosków agencji, w przypadku których okazało się, że są [...] arbitralne, nieprzemyślane, stanowią nadużycie uprawnień lub w inny sposób są niezgodne z prawem" 401 . Na przykład w 2015 r. federalny sąd apelacyjny orzekł w przedmiocie roszczenia na podstawie ustawy o postępowaniu administracyjnym, że hurtowe gromadzenie telefonicznych metadanych przez rząd Stanów Zjednoczonych nie jest dozwolone na mocy sekcji 501 ustawy o kontroli wywiadu 402 .
(199) Ponadto oprócz środków dochodzenia roszczeń, o których mowa w motywach 176-198, każda osoba fizyczna ma prawo uzyskać dostęp do istniejących rejestrów agencji federalnej na podstawie ustawy o dostępie do informacji publicznej, w tym jeżeli rejestry te zawierają dane osobowe tej osoby fizycznej 403 . Uzyskanie takiego dostępu może również ułatwić wnoszenie spraw do sądów powszechnych, w tym wykazywanie legitymacji procesowej. Agencje mogą zachować informacje, które wchodzą w zakres zamkniętej listy pewnych wyjątków, obejmujących dostęp do informacji niejawnych dotyczących bezpieczeństwa narodowego i informacji dotyczących badania egzekwowania prawa 404 , lecz skarżący, którzy nie są usatysfakcjonowani odpowiedzią, mogą ją zaskarżyć, wnosząc o kontrolę administracyjną i, następnie, sądową (przed sądami federalnymi) 405 .
(200) Z powyższego wynika, że gdy organy ścigania i organy bezpieczeństwa narodowego Stanów Zjednoczonych uzyskują dostęp do danych osobowych objętych zakresem niniejszej decyzji, dostęp taki jest regulowany ramami prawnymi które określają warunki, na jakich dostęp ten może mieć miejsce, i zapewniają ograniczenie dostępu do danych i ich dalszego wykorzystywania do tego, co jest niezbędne i proporcjonalne do realizowanego celu interesu publicznego. Na te zabezpieczenia mogą powołać się osoby fizyczne, którym przysługują prawa do skutecznego dochodzenia roszczeń.
4. WNIOSEK
(201) Komisja uważa, że Stany Zjednoczone - za pośrednictwem zasad wydanych przez DoC Stanów Zjednoczonych - zapewniają stopień ochrony danych osobowych przekazywanych z Unii do certyfikowanych podmiotów w Stanach Zjednoczonych na podstawie ram ochrony danych UE-USA, który zasadniczo odpowiada stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.
(202) Ponadto Komisja stwierdza, że zobowiązania w zakresie przejrzystości oraz zarządzanie DPF przez DoC gwarantują skuteczne stosowanie zasad. Oprócz tego mechanizmy nadzoru i możliwości dochodzenia roszczeń przewidziane w prawie Stanów Zjednoczonych - rozumiane jako całość - zapewniają możliwość identyfikowania przypadków naruszenia przepisów o ochronie danych i w praktyce nakładania kar za te naruszenia oraz oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych, a także - ostatecznie - sprostowania lub usunięcia takich danych.
(203) Co więcej, na podstawie dostępnych informacji na temat amerykańskiego porządku prawnego, w tym informacji zawartych w załącznikach VI i VII, Komisja uważa, że wszelkie ingerencje w interes publiczny, w szczególności do celów ścigania przestępstw oraz bezpieczeństwa narodowego, jakich dopuszczają się amerykańskie organy publiczne w odniesieniu do praw podstawowych osób fizycznych, których dane osobowe są przekazywane z Unii do Stanów Zjednoczonych na podstawie ram ochrony danych UE-USA, będą ograniczać się do tego, co jest ściśle niezbędne do osiągnięcia danego uzasadnionego celu, oraz że istnieje skuteczna ochrona prawna przed takimi ingerencjami. W świetle powyższych ustaleń należy zatem uznać, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony w rozumieniu art. 45 rozporządzenia (UE) 2016/679, interpretowanego w świetle Karty praw podstawowych Unii Europejskiej, danych osobowych przekazywanych z Unii do podmiotów certyfikowanych na podstawie ram ochrony danych UE-USA.
(204) Biorąc pod uwagę to, że ograniczenia, zabezpieczenia i mechanizm dochodzenia roszczeń ustanowione na mocy rozporządzenia wykonawczego 14086 są zasadniczymi elementami amerykańskich ram prawnych, na których opiera się ocena Komisji, przyjęcie niniejszej decyzji jest mianowicie uzależnione od przyjęcia zaktualizowanych strategii politycznych i procedur wdrażania rozporządzenia wykonawczego 14086 przez wszystkie amerykańskie agencje wywiadowcze oraz od wskazania Unii jako kwalifikującego się podmiotu do celów mechanizmu dochodzenia roszczeń, które to przyjęcia miały odpowiednio miejsce 3 lipca 2023 r. (zob. motyw 126) i 30 czerwca 2023 r. (zob. motyw 176).
5. SKUTKI NINIEJSZEJ DECYZJI I DZIAŁANIA ORGANÓW OCHRONY DANYCH
(205) Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.
(206) Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności przekazywanie danych przez administratora lub podmiot przetwarzający w Unii certyfikowanym podmiotom w Stanach Zjednoczonych może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.
(207) Należy przypomnieć, że zgodnie z art. 58 ust. 5 rozporządzenia (UE) 2016/679 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie Schrems 406 , jeżeli krajowy organ ochrony danych kwestionuje, w tym na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z przysługującymi osobie fizycznej prawami podstawowymi do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą tej osobie podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości 407 .
6. MONITOROWANIE I PRZEGLĄD NINIEJSZEJ DECYZJI
(208) Zgodnie z orzecznictwem Trybunału Sprawiedliwości 408 , a także jak wskazano w art. 45 ust. 4 rozporządzenia (UE) 2016/679, Komisja powinna ciągle monitorować istotne zmiany zachodzące w państwie trzecim po przyjęciu decyzji stwierdzającej odpowiedni stopień ochrony, aby ocenić, czy państwo trzecie nadal zapewnia zasadniczo równoważny stopień ochrony. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja otrzyma informacje budzące uzasadnione wątpliwości w tym względzie.
(209) W związku z powyższym Komisja powinna na bieżąco monitorować sytuację w zakresie ram prawnych i rzeczywistej praktyki w Stanach Zjednoczonych w odniesieniu do przetwarzania danych osobowych, podlegających ocenie w niniejszej decyzji. Aby ułatwić ten proces, władze Stanów Zjednoczonych powinny niezwłocznie informować Komisję o istotnych zmianach w porządku prawnym Stanów Zjednoczonych, które mają wpływ na ramy prawne będące przedmiotem niniejszej decyzji, a także o wszelkich zmianach praktyk związanych z przetwarzaniem danych osobowych poddanych ocenie w niniejszej decyzji, zarówno w odniesieniu do przetwarzania danych osobowych przez certyfikowane podmioty w Stanach Zjednoczonych, jak i ograniczeń i zabezpieczeń dotyczących dostępu do danych osobowych przez organy publiczne.
(210) Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez organy ochrony danych państw członkowskich, zwłaszcza w odniesieniu do zapytań lub skarg osób z Unii, których dane dotyczą, dotyczących przekazywania danych osobowych z Unii certyfikowanym podmiotom w Stanach Zjednoczonych. Komisja powinna być również informowana o wszelkich sygnałach świadczących o tym, że działania amerykańskich organów publicznych odpowiedzialnych za zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych, lub za bezpieczeństwo narodowe, w tym wszelkich organów nadzoru, nie gwarantują wymaganego stopnia ochrony.
(211) W zastosowaniu art. 45 ust. 3 rozporządzenia (UE) 2016/679 409 Komisja po przyjęciu niniejszej decyzji powinna okresowo sprawdzać, czy ustalenia odnoszące się do adekwatności stopnia ochrony gwarantowanego przez Stany Zjednoczone zgodnie z DPF UE-USA są nadal faktycznie i prawnie uzasadnione. Biorąc pod uwagę to, że w szczególności w rozporządzeniu wykonawczym 14086 i zarządzeniu prokuratora generalnego nałożono wymóg utworzenia nowych mechanizmów i wdrożenia nowych zabezpieczeń, niniejsza decyzja powinna zostać poddana pierwszemu przeglądowi w ciągu jednego roku od jej wejścia w życie w celu zweryfikowania, czy wszystkie istotne elementy zostały w pełni wdrożone i czy funkcjonują one skutecznie w praktyce. Po przeprowadzeniu tego pierwszego przeglądu oraz w zależności od jego wyników Komisja, w ścisłym porozumieniu z komitetem powołanym na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679 i Europejską Radą Ochrony Danych, podejmie decyzję w sprawie częstotliwości przyszłych przeglądów 410 .
(212) W celu przeprowadzenia przeglądów Komisja powinna spotkać się z przedstawicielami DoC, FTC i DoT oraz - w stosownych przypadkach - z przedstawicielami innych departamentów i agencji zaangażowanych we wdrażanie DPF UE-USA oraz, w sprawach związanych z dostępem organów rządowych do danych, z przedstawicielami DoJ, Urzędu Dyrektora Krajowych Służb Wywiadowczych (w tym Biura Wolności Obywatelskich i Ochrony Prywatności), innych jednostek Wspólnoty Wywiadowczej i Sądu Odwoławczego ds. Ochrony Danych oraz rzecznikami specjalnymi. Uczestnictwo w tym spotkaniu powinno być otwarte dla przedstawicieli członków Europejskiej Rady Ochrony Danych.
(213) Przeglądy powinny uwzględniać wszystkie aspekty funkcjonowania niniejszej decyzji w odniesieniu do przetwarzania danych osobowych w Stanach Zjednoczonych, w szczególności stosowanie i wdrażanie zasad, przy czym szczególną uwagę należy poświęcić środkom ochronnym w związku z dalszym przekazywaniem danych; nowym rozstrzygnięciom w orzecznictwie w tej dziedzinie; skuteczności korzystania z praw indywidualnych; monitorowaniu i egzekwowaniu zgodności z zasadami, a także ograniczeniom i zabezpieczeniom w odniesieniu do dostępu rządu, w szczególności wdrażaniu i stosowaniu zabezpieczeń wprowadzonych rozporządzeniem wykonawczym 14086, w tym poprzez polityki i procedury opracowane przez agencje wywiadowcze; wzajemnym powiązaniom między rozporządzeniem wykonawczym 14086 a sekcją 702 ustawy o kontroli wywiadu i rozporządzeniem wykonawczym 12333; oraz skuteczności mechanizmów nadzoru i możliwości dochodzenia roszczeń (w tym funkcjonowania nowego mechanizmu dochodzenia roszczeń ustanowionego na mocy rozporządzenia wykonawczego 14086). W kontekście takich przeglądów uwaga zostanie również poświęcona współpracy między organami ochrony danych a właściwymi organami Stanów Zjednoczonych, w tym opracowaniu wytycznych i innych narzędzi interpretacyjnych dotyczących stosowania zasad, a także innych aspektów funkcjonowania ram.
(214) Na podstawie przeglądu Komisja powinna przygotować ogólnodostępne sprawozdanie, które przedłoży Parlamentowi Europejskiemu i Radzie.
7. ZAWIESZENIE, UCHYLENIE LUB ZMIANA NINIEJSZEJ DECYZJI
(215) W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania niniejszej decyzji lub przedstawionych przez władze Stanów Zjednoczonych lub państw członkowskich, wynika, że zapewniany stopień ochrony danych przekazywanych na podstawie niniejszej decyzji może nie być już odpowiedni, Komisja powinna powiadomić o tym właściwe organy Stanów Zjednoczonych i zwrócić się o zastosowanie właściwych środków w określonym, rozsądnym terminie.
(216) Jeśli po upływie tego określonego terminu właściwe organy Stanów Zjednoczonych nie zastosują tych środków lub w inny zadowalający sposób nie wykażą, że niniejsza decyzja jest nadal oparta na odpowiednim stopniu ochrony, Komisja rozpocznie procedurę, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.
(217) Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza uzależniając przekazywanie danych od spełnienia dodatkowych warunków lub ograniczając zakres stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewniono ciągłość odpowiedniego stopnia ochrony.
(218) W szczególności Komisja powinna rozpocząć procedurę zawieszenia lub uchylania w przypadku:
a) oznak, że podmioty, które otrzymały dane osobowe z Unii na podstawie niniejszej decyzji, nie przestrzegają zasad oraz że właściwe organy ds. nadzoru i egzekwowania przepisów nie zajęły się skutecznie takimi przypadkami niezgodności;
b) oznak, że organy Stanów Zjednoczonych nie przestrzegają obowiązujących warunków i ograniczeń dostępu amerykańskich organów publicznych do danych osobowych przekazywanych zgodnie z DPF UE-USA do celów egzekwowania prawa i bezpieczeństwa narodowego; lub
c) nieskutecznego rozpatrywania skarg wnoszonych przez osoby z Unii, których dane dotyczą, w tym przez Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych lub Sąd Odwoławczy ds. Ochrony Danych.
(219) Komisja powinna również rozważyć wszczęcie procedury prowadzącej do zmiany, zawieszenia lub uchylenia niniejszej decyzji, jeżeli właściwe organy amerykańskie nie przedłożą informacji lub wyjaśnień wymaganych w związku z oceną stopnia ochrony zapewnianego w odniesieniu do danych osobowych przekazywanych z Unii do Stanów Zjednoczonych albo w odniesieniu do oceny zgodności z niniejszą decyzją. W tej kwestii Komisja powinna uwzględnić również zakres, w jakim właściwe informacje można uzyskać z innych źródeł.
(220) W należycie uzasadnionych, szczególnie pilnych przypadkach, na przykład gdyby rozporządzenie wykonawcze 14086 lub zarządzenie prokuratora generalnego zostało zmienione w taki sposób, który zmniejsza stopień ochrony opisany w niniejszej decyzji lub gdyby wskazanie przez prokuratora generalnego Unii jako kwalifikującego się podmiotu do celów mechanizmu dochodzenia roszczeń zostało wycofane, Komisja skorzysta z możliwości przyjęcia zgodnie z procedurą, o której mowa w art. 93 ust. 3 rozporządzenia (UE) 2016/679, mających natychmiastowe zastosowanie aktów wykonawczych zawieszających, uchylających lub zmieniających niniejszą decyzję.
8. UWAGI KOŃCOWE
(221) Europejska Rada Ochrony Danych opublikowała swoją opinię 411 , która została uwzględniona podczas przygotowywania niniejszej decyzji.
(222) Parlament Europejski przyjął rezolucję w sprawie adekwatności ochrony zapewnianej przez ramy ochrony danych UE-USA 412 .
(223) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Sporządzono w Brukseli dnia 10 lipca 2023 r.
1 Dz.U. L 119 z 4.5.2016, s. 1.
2 Dla ułatwienia, wykaz skrótów stosowanych w niniejszej decyzji znajduje się w załączniku VIII.
4 Zob. niedawna sprawa C-311/18, Facebook Ireland i Schrems (Schrems II), ECLI:EU:C:2020:559.
5 Sprawa C-362/14, Maximilian Schrems/Data Protection Commissioner (Schrems), ECLI:EU:C:2015:650, pkt 73.
6 Wyrok w sprawie Schrems, pkt 74.
7 Zob. komunikat Komisji do Parlamentu Europejskiego i Rady "Wymiana i ochrona danych osobowych w zglobalizowanym świecie" z dnia 10 stycznia 2017 r., COM(2017) 7, pkt 3.1, s. 6-7.
8 Wyrok w sprawie Schrems, pkt 88-89.
10 Decyzja wykonawcza Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (Dz.U. L 207 z 1.8.2016, s. 1).
11 Schrems II, pkt 185.
12 Schrems II, pkt 197.
13 Tytuł 28 część 302 kodeksu przepisów federalnych.
14 Niniejsza decyzja ma znaczenie dla EOG. W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG - Islandię, Liechtenstein i Norwegię. Decyzja Wspólnego Komitetu włączająca rozporządzenie (UE) 2016/679 do załącznika XI do Porozumienia EOG została przyjęta przez Wspólny Komitet EOG w dniu 6 lipca 2018 r. i weszła w życie w dniu 20 lipca 2018 r. Rozporządzenie jest zatem objęte tym porozumieniem. Do celów niniejszej decyzji odniesienia do UE i państw członkowskich UE należy zatem rozumieć jako obejmujące również państwa EOG.
15 Niniejsza decyzja nie ma wpływu na wymogi rozporządzenia (UE) 2016/679, które mają zastosowanie do podmiotów (administratorów i podmiotów przetwarzających) w Unii przekazujących dane, na przykład w zakresie ograniczenia celu, minimalizacji danych, przejrzystości i bezpieczeństwa danych (zob. także art. 44 rozporządzenia (UE) 2016/679).
16 Zob. w tym zakresie Schrems, pkt 81, w którym Trybunał Sprawiedliwości potwierdził, że system samocertyfikacji może zapewnić odpowiedni poziom ochrony.
17 Załącznik I sekcja I pkt 2. FTC posiada szeroką właściwość w obszarze związanym z handlem, z pewnymi wyjątkami, np. w odniesieniu do banków, linii lotniczych, zakładów ubezpieczeń i wspólnej działalności transportowej dostawców usług telekomunikacyjnych (chociaż orzeczenie amerykańskiego sądu apelacyjnego dla dziewiątego okręgu z dnia 26 lutego 2018 r. w sprawie FTC/AT i T potwierdziło, że FTC ma właściwość w obszarze niewspólnej działalności transportowej takich podmiotów). Zob. także załącznik IV przypis 2. DoT jest właściwy do egzekwowania przestrzegania przepisów przez linie lotnicze i agentów sprzedaży biletów (w odniesieniu do transportu lotniczego), zob. załącznik V, sekcja A.
18 Załącznik I sekcja III pkt 6.
19 Załącznik I sekcja III pkt 2.
20 Załącznik I sekcja I pkt 8 lit. a).
21 Załącznik I sekcja III pkt 14 lit. g).
22 Załącznik I sekcja I pkt 8 lit. b).
23 Załącznik I sekcja I pkt 8 lit. c).
24 Zob. np. załącznik I sekcja II pkt 2 lit. b) i sekcja II pkt 3 lit. b) i pkt 7 lit. d), w których wyjaśniono, że przedstawiciele działają w imieniu administratora danych, zgodnie z jego instrukcjami i szczególnymi zobowiązaniami umownymi.
25 Załącznik I sekcja III pkt 10 lit. a). Zob. również wytyczne przygotowane przez DoC w porozumieniu z Europejską Radą Ochrony Danych w ramach Tarczy Prywatności, w których wyjaśniono obowiązki amerykańskich podmiotów przetwarzających otrzymujących dane osobowe z Unii zgodnie z przedmiotowymi ramami. Ponieważ przepisy te nie uległy zmianie, wytyczne/FAQ pozostają aktualne w ramach DPF UE-USA (https://www.privacyshield.gov/article?id=Processing-FAQs).
26 Załącznik I sekcja II pkt 3 lit. b).
27 Załącznik I sekcja II pkt 5 lit. a). Dopuszczalne cele mogą obejmować audyt, zapobieganie oszustwom lub inne cele zgodne z oczekiwaniami, jakie może mieć racjonalna osoba pod względem gromadzenia danych (zob. załącznik I przypis 6).
28 Załącznik I sekcja II pkt 2 lit. a). Nie dotyczy to sytuacji, w których podmiot przekazuje dane osobowe podmiotowi przetwarzającemu działającemu w jego imieniu i zgodnie z jego instrukcjami (załącznik I sekcja II pkt 2 lit. b)). W takim przypadku podmiot musi jednak zawrzeć umowę i zapewnić zgodność z zasadą odpowiedzialności za dalsze przekazywanie, opisaną szczegółowo w motywie 43. Zasada wyboru (jak również zasada powiadomienia) może zostać ponadto ograniczona, gdy dane osobowe są przetwarzane w kontekście badania due diligence (w ramach potencjalnego połączenia lub przejęcia) lub audytów, tak długo oraz w takim zakresie, w jakim jest to konieczne do spełnienia wymogów ustawowych lub wymogów interesu publicznego, lub w takim zakresie i tak długo, jak stosowanie tych zasad naruszałoby prawnie uzasadnione interesy podmiotu w szczególnym kontekście dochodzeń lub badań due diligence (załącznik I sekcja III pkt 4). Zasada uzupełniająca 15 (załącznik I sekcja III pkt 15 lit. a i b) przewiduje również wyjątek od zasady wyboru (jak również od zasad powiadomienia i odpowiedzialności za dalsze przekazywanie) w odniesieniu do danych osobowych pochodzących z ogólnodostępnych źródeł (chyba że podmiot przekazujący dane z UE wskaże, że informacje te podlegają ograniczeniom wiążącym się z koniecznością zastosowania tych zasad) lub danych osobowych pochodzących z ogólnodostępnych rejestrów (o ile nie są one połączone z informacjami z rejestrów niepublicznych i pod warunkiem przestrzegania wszelkich warunków uzyskania dostępu do takich informacji). Podobnie zasada uzupełniająca 14 (załącznik I sekcja III pkt 14 lit. f)) przewiduje wyjątek od zasady wyboru (jak również zasad powiadomienia i odpowiedzialności za dalsze przekazywanie)w odniesieniu do przetwarzania danych osobowych przez przedsiębiorstwo zajmujące się wytwarzaniem produktów farmaceutycznych i wyrobów medycznych przy podejmowaniu działań dotyczących monitorowania bezpieczeństwa stosowania i skuteczności produktów, w zakresie, w jakim zapewnienie zgodności z tymi zasadami uniemożliwia spełnienie wymogów regulacyjnych.
29 Ma to zastosowanie do każdorazowego przekazywania danych zgodnie z DPF UE-USA, w tym jeżeli dotyczy to danych zgromadzonych w kontekście stosunku pracy. Chociaż amerykański podmiot certyfikowany może zatem co do zasady wykorzystywać dane o zasobach ludzkich do różnych, niezwiązanych z zatrudnieniem celów (np. niektórych materiałów marketingowych), musi on przestrzegać zakazu przetwarzania danych w sposób niezgodny z zasadami, a ponadto może to czynić wyłącznie zgodnie z zasadami powiadomienia i wyboru. W wyjątkowych przypadkach podmiot może wykorzystywać dane osobowe do dodatkowego, zgodnego celu nie stosując zasad powiadomienia i wyboru, ale wyłącznie w okresie i w stopniu, w którym będzie to niezbędne do uniknięcia negatywnego wpływu na zdolność podmiotu do dokonywania awansów, powoływania na stanowiska lub do podejmowania podobnych decyzji dotyczących zatrudnienia (zob. załącznik I sekcja III pkt 9 lit. b) ppkt (iv)). Dzięki zakazowi podejmowania przez amerykański podmiot jakichkolwiek działań odwetowych wobec pracownika, który skorzystał z takiego wyboru, w tym nakładania jakichkolwiek ograniczeń w zakresie możliwości zatrudnienia, pracownik - mimo stosunku podporządkowania i nieodłącznie z nim związanej zależności - będzie wolny od presji, a zatem będzie mógł dokonać naprawdę wolnego wyboru. Zob. załącznik I sekcja III pkt 9 lit. b) ppkt (i).
30 Załącznik I sekcja II pkt 2 lit. c).
31 Załącznik I sekcja II pkt 2 lit. c).
32 Załącznik I sekcja III pkt 1.
33 Załącznik I sekcja II pkt 5.
34 Zob. załącznik I przypis 7, w którym wyjaśniono, że osobę fizyczną uznaje się za "możliwą do zidentyfikowania", o ile podmiot lub strona trzecia może racjonalnie zidentyfikować tę osobę, biorąc pod uwagę środki, jakimi można się racjonalnie posłużyć w celu identyfikacji (uwzględniając między innymi koszt i czas potrzebny do zidentyfikowania danej osoby oraz technologię dostępną w momencie przetwarzania danych).
35 Załącznik I sekcja II pkt 5 lit. b).
36 Ibid.
37 Załącznik I sekcja II pkt 4 lit. a). W odniesieniu do danych o zasobach ludzkich zgodnie z DPF UE-USA wymaga się ponadto od pracodawców uwzględnienia preferencji pracowników w obszarze ochrony prywatności poprzez ograniczanie dostępu do danych osobowych, anonimizację pewnych danych lub przypisywanie kodów lub pseudonimów (załącznik I sekcja III pkt 9 lit. b) ppkt (iii)).
38 Załącznik I sekcja II pkt 1.
39 Załącznik I sekcja II pkt 1 lit. b). W zasadzie uzupełniającej 14 (załącznik I sekcja III pkt 14 lit. b) i c)) określono przepisy szczególne dotyczące przetwarzania danych osobowych w kontekście badań w dziedzinie zdrowia i badań klinicznych. W szczególności zasada ta umożliwia podmiotom przetwarzanie danych z badań klinicznych nawet po wycofaniu się danej osoby z badania, o ile osoba ta została w jednoznaczny sposób poinformowana o tym fakcie w powiadomieniu przekazanym jej w chwili, gdy wyraziła zgodę na udział w badaniu. Podobnie gdy podmiot objęty DPF UE-USA otrzymuje dane osobowe do celów badań w dziedzinie zdrowia, może je wykorzystywać do nowej działalności badawczej wyłącznie zgodnie z zasadami powiadomienia i wyboru. W takim przypadku w powiadomieniu przekazanym osobie fizycznej należy zasadniczo zawrzeć informacje o wszelkich przyszłych sposobach korzystania z danych (np. o zamiarze wykorzystania ich do celów związanych prowadzeniem powiązanych badań). W przypadku gdy od samego początku nie jest możliwe uwzględnienie wszystkich przyszłych zastosowań określonych danych (ponieważ decyzja o wykorzystaniu danych do celów związanych z nowymi badaniami może zostać podjęta w rezultacie wyciągnięcia nowych wniosków bądź rozwoju medycyny lub badań), należy zawrzeć wyjaśnienie, że dane osobowe mogą być wykorzystywane do celów związanych z przyszłymi badaniami medycznymi i farmaceutycznymi, których charakteru nie można obecnie przewidzieć. Jeżeli takie dalsze wykorzystanie nie jest spójne z ogólnymi celami badawczymi, dla których zebrano dane (tj. jeżeli nowe cele są zasadniczo różne, ale nadal zgodne z pierwotnym celem, zob. motywy 14-15), należy uzyskać nową zgodę (tj. opt-in). Zob. ponadto szczegółowe ogranicze- nia/wyjątki od zasady powiadomienia opisane w przypisie 28.
40 Załącznik I sekcja III pkt 6 lit. d).
41 Zob. również zasada uzupełniająca dotycząca "dostępu" (załącznik I sekcja III pkt 8).
42 Załącznik I sekcja III pkt 8 lit. a) ppkt (i)-(ii).
43 Załącznik I sekcja III pkt 8 lit. i).
44 Załącznik I sekcja III pkt 8 lit. f) ppkt (i)-(ii) oraz lit. g).
45 Załącznik I sekcja III pkt 4; pkt 8 lit. b), c), e); pkt 14 lit. e), f) oraz pkt 15 lit. d).
46 Załącznik I sekcja III pkt 8 lit. e) ppkt (ii). Podmiot musi poinformować osobę fizyczną o powodach odmowy lub ograniczenia i wska zać punkt kontaktowy, do którego należy kierować ewentualne dalsze pytania, sekcja III pkt 8 lit. a) ppkt (iii).
47 Załącznik I sekcja III pkt 8 lit. a) ppkt (ii)-(iii).
48 Załącznik I sekcja III pkt 8 lit. a) ppkt (i).
49 Załącznik I sekcja II pkt 6 oraz sekcja III pkt 8 lit. a) ppkt (i).
50 Załącznik I sekcja III pkt 8 ppkt 12.
51 Natomiast w wyjątkowych przypadkach, w których amerykański podmiot ma bezpośrednie powiązanie z osobą z Unii, której dane dotyczą, wynika to zazwyczaj z faktu, że podmiot ten oferuje towary i usługi danej osobie z Unii lub że monitoruje on jej zachowanie. W tym scenariuszu sam amerykański podmiot objęty jest zakresem stosowania rozporządzenia (UE) 2016/679 (art. 3 ust. 2) i ma tym samym obowiązek bezpośrednio przestrzegać unijnych przepisów o ochronie danych.
52 SWD(2018) 497 final, pkt 4.1.5. Badanie koncentrowało się na (i) zakresie, w jakim podmioty uczestniczące w programie Tarczy Prywatności w USA podejmują decyzje dotyczące osób fizycznych, opierając się na zautomatyzowanym przetwarzaniu danych osobowych przekazywanych z przedsiębiorstw w UE w ramach Tarczy Prywatności, oraz (ii) gwarancjach dla osób fizycznych, które amerykańskie prawo federalne przewiduje w tego rodzaju sytuacjach, i warunkach stosowania tych gwarancji.
53 Zob. np. ustawa o równych możliwościach kredytowych (tytuł 15 § 1691 i nast. U.S.C.), ustawa o rzetelnej sprawozdawczości kredytowej (tytuł 15 § 1681 i nast. U.S.C.) lub ustawa o uczciwych praktykach w mieszkalnictwie (tytuł 42 § 3601 i nast. U.S.C.). Stany Zjednoczone przyjęły ponadto zasady Organizacji Współpracy Gospodarczej i Rozwoju dotyczące sztucznej inteligencji, które obejmują między innymi zasady dotyczące przejrzystości, zdolności wyjaśniania, bezpieczeństwa i rozliczalności.
54 Zob. np. wytyczne dostępne na stronie:2042-What personal health information do individuals have a right under HIPAA to access from their health care providers and health plans? | HHS.gov.
55 Zob. załącznik I sekcja II pkt 3 oraz zasada uzupełniająca "Obowiązkowe umowy dotyczące dalszego przekazywania" (załącznik I sekcja III pkt 10).
56 W drodze wyjątku od tej ogólnej zasady dopuszcza się możliwość dalszego przekazywania danych osobowych niewielkiej liczby pracowników przez podmiot bez konieczności zawarcia umowy z odbiorcą w przypadku wystąpienia sporadycznych, związanych z zatrudnieniem potrzeb operacyjnych, np. rezerwacji biletu lotniczego, pokoju hotelowego lub wykupienia polisy ubezpieczeniowej. Również w tym przypadku podmiot nadal musi jednak przestrzegać zasad powiadomienia i wyboru (zob. załącznik I sekcja III pkt 9 lit. e)).
57 Zob. zasada uzupełniająca "Obowiązkowe umowy dotyczące dalszego przekazywania" (załącznik I sekcja III pkt 10 lit. b)). Chociaż zasada ta umożliwia przekazywanie danych w oparciu również o instrumenty pozaumowne (np. wewnątrzgrupowe programy zgodności i kontroli), w tekście wyraźnie zaznaczono, że instrumenty te muszą zawsze "zapewniać ciągłość ochrony danych osobowych zgodnie z zasadami". Co więcej, przyjmując że amerykański podmiot certyfikowany pozostanie odpowiedzialny za zgodność z zasadami, będzie on miał silną motywację do stosowania instrumentów, które istotnie są skuteczne w praktyce.
58 Osoby fizyczne nie będą miały prawa do wycofania zgody, jeżeli dane osobowe przekazuje się stronie trzeciej, która działa jako przedstawiciel upoważniony do wykonania czynności w imieniu i zgodnie z instrukcjami amerykańskiego podmiotu. Wymaga to jednak zawarcia umowy z przedstawicielem, a amerykański podmiot będzie odpowiedzialny za zagwarantowanie środków ochrony przewidzianych w zasadach poprzez wykonywanie swoich uprawnień do wydawania instrukcji.
59 Sytuacja przedstawia się różnie w zależności od tego, czy strona trzecia jest administratorem, czy też podmiotem przetwarzającym (przedstawicielem). W pierwszym scenariuszu w umowie ze stroną trzecią należy przewidzieć, że podmiot przetwarzający zaprzestanie przetwarzania lub zastosuje inne zasadne i właściwe środki, aby znaleźć rozwiązanie zaistniałej sytuacji. W drugim scenariuszu to podmiot objęty DPF UE-USA - jako podmiot kontrolujący przetwarzanie, którego instrukcje wiążą przedstawiciela w jego działaniach - ma zastosować te środki. Zob. załącznik I sekcja II pkt 3.
60 Załącznik I sekcja II pkt 3 lit. b).
61 Ibid.
62 Załącznik I sekcja II pkt 7 lit. d).
63 Zob. również zasada uzupełniająca "Samocertyfikacja" (załącznik I sekcja III pkt 6).
64 Zob. również zasada uzupełniająca "Rozstrzyganie sporów i egzekwowanie prawa" (załącznik I sekcja III pkt 11).
65 Zob. również zasada uzupełniająca "Kontrola" (załącznik I sekcja III pkt 7).
66 Załącznik I sekcja III pkt 7.
67 Załącznik I sekcja I pkt 2.
68 Załącznik I sekcja III pkt 6 lit. b) oraz załącznik III, zob. "Weryfikacja wymogów samocertyfikacji".
69 Załącznik I przypis 12.
70 Załącznik I sekcja III pkt 6 lit. h).
71 Załącznik I sekcja III pkt 6 lit. a) i przypis 12 oraz załącznik III, zob. sekcja "Weryfikacja wymogów samocertyfikacji".
72 Załącznik III sekcja "Weryfikacja wymogów samocertyfikacji".
73 Podobnie DoC będzie współpracować ze stroną trzecią, która będzie depozytariuszem środków zebranych w ramach opłaty na rzecz panelu organu ochrony danych (zob. motyw 73) w celu sprawdzenia, czy podmioty wybierające organy ochrony danych jako niezależne mechanizmy ochrony prawnej uiściły opłatę za dany rok. Zob. załącznik III sekcja "Weryfikacja wymogów samocertyfikacji".
74 Załącznik III przypis 2.
75 Zob. załącznik III sekcja "Weryfikacja wymogów samocertyfikacji".
76 Informacje na temat zarządzania wykazem podmiotów objętych DPF można znaleźć w załączniku III (zob. wprowadzenie w części "Zarządzanie i nadzór nad programem ram ochrony danych przez Departament Handlu") oraz w załączniku I (sekcja I pkt 3, sekcja I pkt 4, sekcja III pkt 6 lit. d) i sekcja III pkt 11 lit. g)).
77 Załącznik III, zob. wprowadzenie w części "Zarządzanie i nadzór nad programem ram ochrony danych przez Departament Handlu".
78 Zob. załącznik III sekcja "Dostosowanie strony internetowej ram ochrony danych do indywidualnych potrzeb docelowych odbiorców".
79 Zob. załącznik III sekcja "Dokonywanie z urzędu przeglądów i oceny przestrzegania zasad programu ram ochrony danych".
80 W ramach swoich działań monitorujących DoC może korzystać z różnego rodzaju narzędzi, takich jak kontrole niedziałających linków przekierowujących do polityk prywatności lub aktywne monitorowanie wiadomości w poszukiwaniu doniesień dostarczających wiarygodnych dowodów niezgodności.
81 Zob. załącznik III sekcja "Dokonywanie z urzędu przeglądów i oceny przestrzegania zasad programu ram ochrony danych".
82 Zob. załącznik III sekcja "Dokonywanie z urzędu przeglądów i oceny przestrzegania zasad programu ram ochrony danych".
83 Podczas drugiego rocznego przeglądu Tarczy Prywatności DoC poinformował, że przeprowadził kontrole wyrywkowe 100 podmiotów i w 21 przypadkach przesłał kwestionariusze dotyczące zgodności (po czym wykryte problemy zostały usunięte), zob. SWD(2018) 497 final, s. 9. Podobnie podczas trzeciego rocznego przeglądu Tarczy Prywatności DoC poinformował, że dzięki monitorowaniu publicznych sprawozdań wykrył trzy przypadki naruszeń i rozpoczął działania polegające na przeprowadzaniu kontroli wyrywkowych w 30 przedsiębiorstwach każdego miesiąca, co doprowadziło do działań następczych w postaci kwestionariuszy dotyczących zgodności przesłanych w 28 % przypadków (po czym wykryte problemy zostały natychmiast usunięte lub, w trzech przypadkach, rozwiązane po wystosowaniu pisma zawierającego ostrzeżenia), zob. SWD(2019) 495 final, s. 8.
84 Załącznik I sekcja III pkt 11 lit. g). Do uporczywego nieprzestrzegania zasad dochodzi w szczególności, gdy podmiot odmawia zastosowania się do ostatecznego ustalenia dowolnej instytucji samoregulującej ochronę prywatności, niezależnego organu rozstrzygania sporów lub organu egzekwowania prawa.
85 Załącznik I sekcja III pkt 6 lit. f).
86 Załącznik III sekcja "Wyszukiwanie fałszywych oświadczeń dotyczących uczestnictwa w programie i przeciwdziałanie im".
87 Ibid.
88 Ibid.
89 Ibid.
90 W ramach Tarczy Prywatności podczas trzeciego rocznego przeglądu programu DoC poinformował, że zidentyfikował 669 przypadków fałszywych oświadczeń o uczestnictwie (w okresie między październikiem 2018 r. a październikiem 2019 r.), z czego większość spraw została rozwiązana po wystosowaniu przez DoC pisma zawierającego ostrzeżenia, a 143 sprawy zostały skierowane do FTC (zob. motyw 62 poniżej). Zob. SWD(2019) 495 final, s. 10.
91 Podmiot objęty DPF UE-USA musi publicznie zobowiązać się do przestrzegania zasad, podać do wiadomości publicznej stosowaną przez siebie politykę ochrony prywatności opracowaną zgodnie z tymi zasadami i w pełni wdrożyć te zasady. W razie nieprzestrzegania zasad przez podmiot można dochodzić wykonania tego obowiązku na podstawie sekcji 5 ustawy o FTC, w której ustanowiono zakaz podejmowania nieuczciwych i wprowadzających w błąd działań w ramach wymiany handlowej lub mających wpływ na wymianę handlową (tytuł 15 § 45 U.S.C.) oraz na podstawie tytułu 49 § 41712 U.S.C., w którym zakazuje się przewoźnikowi lub pośrednikowi sprzedaży biletów stosowania nieuczciwych lub wprowadzających w błąd praktyk w sprzedaży usług transportu lotniczego lub sprzedaży transportu lotniczego.
92 Tytuł 15 § 41 U.S.C.
93 ZAŁĄCZNIK IV
94 Z informacji przekazanych przez FTC wynika, że FTC nie jest uprawnione do przeprowadzania kontroli na miejscu przy podejmowaniu działań w obszarze ochrony prywatności. FTC może jednak zażądać od podmiotu przedstawienia dokumentów i oświadczeń świadków (zob. sekcja 20 ustawy o FTC) i w przypadku nieprzestrzegania zasad może egzekwować nakazy przedstawienia dokumentów i oświadczeń świadków na drodze sądowej.
95 Zob. załącznik IV sekcja "Ubieganie się o wydanie decyzji i zarządzeń i monitorowanie ich przestrzegania".
96 Na mocy decyzji FTC lub orzeczeń sądu przedsiębiorstwa są zobowiązane do wdrożenia programów ochrony prywatności i regularnego udostępniania FTC sprawozdań dotyczących przestrzegania zasad lub ocen tych programów przeprowadzonych przez niezależne strony trzecie.
97 Załącznik IV sekcja "Ubieganie się o wydanie decyzji i zarządzeń i monitorowanie ich przestrzegania".
98 Zob. SWD(2019) 495 final, s. 11.
100 Zob. np. Prepared Remarks of Chairman Joseph Simons at the Second Privacy Shield Annual Review [Uwagi przygotowane przez przewodniczącego Josepha Simonsa na drugim dorocznym przeglądzie Tarczy Prywatności] (ftc.gov).
101 Zob. np. postanowienie FTC w sprawie Drizly, LLC, m.in. zobowiązujące przedsiębiorstwo (1) do zniszczenia wszelkich zgromadzonych przez nie danych osobowych, które nie są niezbędne do dostarczania produktów lub świadczenia usług konsumentom, 2) powstrzymania się od gromadzenia lub przechowywania danych osobowych, chyba że jest to konieczne do konkretnych celów określonych w harmonogramie zatrzymywania.
102 Zob. np. postanowienie FTC w sprawie CafePress (24 marca 2022 r.), w którym zawarto między innymi wymóg zminimalizowania ilości gromadzonych danych.
104 Zob. np. sprawa RealPage, Inc (16 października 2018 r.), w której FTC podjęła działania egzekucyjne na podstawie FCRA przeciwko przedsiębiorstwu zajmującemu się monitorowaniem najemców, które przekazało właścicielom nieruchomości i przedsiębiorstwom zarządzającym nieruchomościami podstawowe sprawozdania na temat osób fizycznych na podstawie informacji z historii najmu, informacji z rejestrów publicznych (w tym historii przestępstw i eksmisji) oraz informacji kredytowych, które wykorzystano jako czynnik decydujący o kwalifikowalności do dostępu do mieszkań. FTC stwierdziła, że przedsiębiorstwo nie wprowadziło racjonalnych środków w celu zapewnienia dokładności informacji, które dostarczyło w oparciu o narzędzie samodecyzyjne.
105 Zob. załącznik V sekcja "Praktyki w zakresie egzekwowania prawa".
106 Zob. tytuł 5 § 3105, § 7521 lit. a), § 554 lit. d) oraz § 556 lit. b) pkt 3 U.S.C.
107 Załącznik V, zob. sekcja "Monitorowanie i publikowanie decyzji służących egzekwowaniu przepisów w sprawach naruszeń DPF UE-USA".
108 Załącznik I sekcja II pkt 7.
109 Załącznik I sekcja III pkt 11.
110 Załącznik I sekcja III pkt 11 lit. d) ppkt (i).
111 Załącznik I sekcja III pkt 11 lit. d) ppkt (i).
112 Tj. organ zajmujący się zapytaniami wyznaczony przez grupę organów ochrony danych przewidzianą w ramach zasady uzupełniającej dotyczącej "Roli organów ochrony danych" (załącznik I sekcja III pkt 5).
113 Załącznik I sekcja III pkt 11 lit. d).
114 Załącznik I sekcja II pkt 7 oraz sekcja III pkt 11 lit. e).
115 Załącznik I sekcja III pkt 11 lit. d) ppkt (ii).
116 Sprawozdanie roczne musi zawierać następujące informacje: 1) łączną liczbę skarg związanych z DPF UE-USA otrzymanych w roku sprawozdawczym; 2) rodzaje otrzymanych skarg; 3) wskaźniki pomiaru jakości rozstrzygania sporów, np. czas niezbędny do rozpatrzenia skarg; oraz 4) wyniki rozpatrywania otrzymanych skarg, w szczególności liczbę i rodzaj zastosowanych środków ochrony prawnej lub nałożonych sankcji.
117 Załącznik I sekcja "Weryfikacja wymogów samocertyfikacji".
118 Zob. załącznik III sekcja "Ułatwianie współpracy z organami pozasądowego rozstrzygania sporów świadczącymi usługi związane z zasadami". Zob. także załącznik I sekcja III pkt 11 lit. d) ppkt (ii)-(iii).
119 Zob. załącznik I sekcja III pkt 11 lit. e).
120 Zob. załącznik I sekcja III pkt 11 lit. g), w szczególności ppkt (ii) i (iii).
121 Zob. załącznik III sekcja "Wyszukiwanie fałszywych oświadczeń dotyczących uczestnictwa w programie i podejmowanie działań zaradczych".
122 Załącznik I sekcja II pkt 7 lit. b).
123 Załącznik I sekcja III pkt 5.
124 Załącznik I sekcja III pkt 5 lit c) ppkt (ii).
125 Załącznik III (zob. sekcja "Ułatwianie współpracy z organami ochrony danych") i załącznik IV (zob. sekcje "Określanie pierwszeństwa zgłoszeń i ich badanie" oraz "Współpraca w zakresie egzekwowania prawa z unijnymi organami ochrony danych").
126 Organy ochrony danych powinny przyjąć regulamin nieformalnego panelu organów ochrony danych w oparciu o ich zdolność do organizacji pracy i wzajemnej współpracy.
127 Załącznik I sekcja III pkt 5 lit c) ppkt (i).
128 Załącznik I sekcja III pkt 5 lit c) ppkt (ii).
129 Zob. załącznik III sekcja "Ułatwianie współpracy z organami ochrony danych".
130 Zob. załącznik IV sekcje "Określanie pierwszeństwa zgłoszeń i ich badanie" oraz "Współpraca w zakresie egzekwowania prawa z unijnymi organami ochrony danych".
131 Załącznik III, zob. np. sekcja "Ułatwianie współpracy z organami ochrony danych".
132 Załącznik I sekcja II pkt 7 lit. e) oraz załącznik III sekcja "Ułatwianie współpracy z organami ochrony danych".
133 Ibid.
134 Załącznik I sekcja III pkt 11 lit. g).
135 Załącznik I sekcja III pkt 11 lit. g).
136 Podmiot objęty DPF UE-USA musi publicznie zobowiązać się do przestrzegania zasad, podać do wiadomości publicznej stosowaną przez siebie politykę ochrony prywatności opracowaną zgodnie z tymi zasadami i w pełni wdrożyć te zasady. W razie nieprzestrzegania zasad przez podmiot można dochodzić wykonania tego obowiązku na podstawie sekcji 5 ustawy o FTC, w której ustanowiono zakaz podejmowania nieuczciwych i wprowadzających w błąd działań w ramach wymiany handlowej lub mających wpływ na wymianę handlową.
137 Zob. także podobne zobowiązania podjęte przez DoT, załącznik V.
138 Zob. załącznik I do załącznika I "Model arbitrażowy".
139 Zob. załącznik I sekcja II pkt 1 lit. a) ppkt (xi) oraz sekcja II pkt 7 lit. c).
140 Liczba arbitrów w danym panelu zostanie uzgodniona między stronami.
141 Załącznik I do załącznika I, sekcja G pkt 6.
142 Osoby fizyczne nie mogą dochodzić odszkodowania w postępowaniu arbitrażowym, ale wszczęcie postępowania arbitrażowego nie uniemożliwia dochodzenia odszkodowania przed amerykańskimi sądami powszechnymi.
143 Zob. np. stanowe przepisy dotyczące ochrony konsumentów w Kalifornii (kodeks cywilny Kalifornii, §§ 1750-1785 (Zachód) - ustawa o środkach ochrony prawnej konsumentów); dystrykt Kolumbii (kodeks dystryktu Kolumbii, §§ 28-3901); Floryda (statuty Florydy, §§ 501.201-501.213 - ustawa o wprowadzających w błąd i nieuczciwych praktykach handlowych); Illinois (statut stanu Illinois nr 815, §§ 505/1-505/12 - ustawa o oszustwach konsumenckich i wprowadzających w błąd praktykach biznesowych); Pensylwania (statut Pensylwanii nr 73, §§ 201-1-201-9.3 (Zachód) - ustawa o nieuczciwych praktykach handlowych i ochronie konsumentów).
144 Tj. w przypadku celowej ingerencji w prywatne sprawy osoby fizycznej lub dotyczące jej kwestie w sposób, który byłby wysoce obraźliwy dla racjonalnej osoby ((drugi) zbiór prawa, czyny niedozwolone, § 652 lit. b)).
145 Ten czyn niedozwolony ma zwykle zastosowanie w przypadku przywłaszczenia i wykorzystania nazwiska lub wizerunku osoby fizycznej w celu reklamowania przedsiębiorstwa lub produktu lub w podobnym celu komercyjnym (zob. (drugi) zbiór prawa, czyny niedozwolone, § 652 pkt C).
146 Tj. w przypadku, gdy upubliczniane są informacje dotyczące życia prywatnego danej osoby będące informacjami wysoce obraźli- wymi dla racjonalnej osoby, przy czym informacje te nie są przedmiotem uzasadnionego zainteresowania ogółu ((drugi) zbiór prawa, czyny niedozwolone, § 652 pkt D).
147 Jest to również istotne w świetle sekcji I pkt 5 załącznika I. Zgodnie z tą sekcją i podobnie jak w przypadku RODO zgodność z wymogami i prawami w zakresie ochrony danych, które stanowią część zasad ochrony prywatności, może podlegać ograniczeniom. Ograniczenia takie nie mają jednak charakteru bezwzględnego, ale można się na nie powoływać jedynie pod kilkoma warunkami, na przykład w zakresie niezbędnym do wykonania nakazu sądowego lub spełnienia wymogów interesu publicznego, egzekwowania prawa lub bezpieczeństwa narodowego. W tym kontekście i w celu zapewnienia jasności sekcja odnosi się również do warunków określonych w rozporządzeniu wykonawczym 14086, które oceniono m.in. w motywach 127-141.
148 Zob. Schrems II, pkt 174-175 oraz przytaczane orzecznictwo. W odniesieniu do dostępu organów publicznych państw członkowskich zob. również sprawa C-623/17 Privacy International, ECLI:EU:C:2020:790, pkt 65 oraz sprawy połączone C-511/18, C-512/ 18 i C-520/18 La Quadrature du Net i in., ECLI:EU:C:2020:791, pkt 175.
149 Zob. Schrems II, pkt 176 i 181, jak również przytaczane orzecznictwo. W odniesieniu do dostępu organów publicznych państw członkowskich zob. również Privacy International, pkt 68; oraz La Quadrature du Net i in., pkt 132.
150 Zob. Schrems II, pkt 181-182.
151 Zob. Schrems I, pkt 95 oraz Schrems II, pkt 194. W tym zakresie Trybunał Sprawiedliwości Unii Europejskiej podkreślił w szczególności, że zgodność z art. 47 Karty praw podstawowych, gwarantującej prawo do skutecznego środka odwoławczego przed niezależnym i bezstronnym sądem, "przyczynia się do wypracowania wymaganego w Unii stopnia ochrony, [a jego] poszanowanie Komisja musi stwierdzić, zanim wyda na podstawie art. 45 ust. 1 [rozporządzenia (UE) 2016/679] decyzję stwierdzającą odpowiedni stopień ochrony" (Schrems II, pkt 186).
152 Zob. załącznik VI. Zob. na przykład, w odniesieniu do ustawy o podsłuchach, ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej i ustawy o urządzeniach rejestrujących wybierane numery (wspomnianych bardziej szczegółowo w motywach 95-98), Suzlon Energy Ltd/Microsoft Corp., 671 F.3d 726, 729 (9th Cir. 2011).
153 Federalny kodeks postępowania karnego, zasada 41. W wyroku z 2018 r. Sąd Najwyższy USA potwierdził, że nakaz przeszukania lub wyjątek od nakazu są również wymagane, w przypadku gdy organy egzekwowania prawa chcą uzyskać dostęp do historycznych rejestrów danych dotyczących lokalizacji telefonów komórkowych, które zapewniają kompleksowy przegląd informacji o przemieszczaniu się użytkownika, a także że użytkownik może mieć uzasadnione oczekiwania co do ochrony prywatności w odniesieniu do takich informacji (Timothy Ivory Carpenter/Stany Zjednoczone Ameryki, sprawa nr 16-402, 585 U.S. (2018)). W rezultacie takie dane co do zasady nie mogą być pozyskiwane od operatora komórkowego na podstawie nakazu sądowego wydanego w oparciu o uzasadnione przesłanki pozwalające sądzić, że informacje są istotne i znaczące dla toczącego się dochodzenia, ale w przypadku skorzystania z nakazu wymagane jest wykazanie istnienia uzasadnionego podejrzenia.
154 Według Sądu Najwyższego "uzasadnione podejrzenie" jest "praktycznym, nietechnicznym" standardem odwołującym się do "faktycznych i praktycznych względów życia codziennego, na których opierają się rozsądni i rozważni ludzie [...]" (Illinois/Gates, 462 U.S. 213, 232 (1983)). W odniesieniu do nakazów przeszukania uzasadnione podejrzenie istnieje, gdy pojawia się znaczne prawdopodobieństwo, że przeszukanie doprowadzi do wykrycia dowodów przestępstwa (id).
155 Mapp/Ohio, 367 U.S. 643 (1961).
156 Zob. In re Application of United States, 610 F.2d 1148, 1157 (3d Cir. 1979) (w sprawie tej sąd orzekł, że "aby zapewnić rzetelność procesu, należy przeprowadzić przesłuchanie w kwestii uciążliwości przed zobowiązaniem przedsiębiorstwa telekomunikacyjnego do udzielenia" pomocy w odniesieniu do nakazu przeszukania) oraz In re Application of United States, 616 F.2d 1122 (9th Cir. 1980).
157 W piątej poprawce do Konstytucji Stanów Zjednoczonych wymaga się od wielkiej ławy przysięgłych przyjęcia aktu oskarżenia za wszelką "zbrodnię główną lub inne hańbiące przestępstwo". Ława przysięgłych składa się z 16 do 23 członków i ustala, czy istnieje uzasadnione podejrzenie, że popełniono przestępstwo. Aby to ustalić, wielkim ławom przysięgłych przyznano uprawnienia śledcze, w ramach których mogą wydawać wezwania sądowe.
158 Zob. załącznik VI.
159 Federalny kodeks postępowania karnego, zasada 17.
160 United States/Powell, 379 U.S. 48 (1964).
161 Oklahoma Press Publishing Co./Walling, 327 U.S. 186 (1946).
162 Sąd Najwyższy wyjaśnił, że w przypadku zakwestionowania wezwania administracyjnego sąd musi rozważyć, czy 1) dochodzenie ma należycie uzasadniony cel, 2) w zakresie uprawnień Kongresu jest kierowanie organem wystawiającym wezwanie i czy 3) "żądane dokumenty mają znaczenie dla dochodzenia". Sąd zauważył również, że wniosek o wezwanie administracyjne musi być "rozsądny", tj. wymagający "adekwatnej lecz nie nadmiernej specyfikacji dokumentów, które należy przedstawić, do celów odpowiedniego dochodzenia", w tym "szczegółowości w « opisywaniu miejsca, które ma zostać przeszukane i osób lub przedmiotów, które mają zostać zatrzymane lub zajęte »".
163 Na przykład ustawa o prawie do prywatności w kwestiach finansowych przyznaje organowi rządowemu uprawnienia do uzyskiwania dokumentacji finansowej prowadzonej przez instytucję finansową na podstawie wezwania administracyjnego tylko wtedy, gdy 1) istnieją powody, by sądzić, że poszukiwana dokumentacja ma znaczenie dla zgodnego z prawem dochodzenia prowadzonego przez organy ścigania oraz 2) kopia wezwania lub wezwania do stawienia się przed sądem została dostarczona klientowi wraz z zawiadomieniem określającym w rozsądny sposób charakter dochodzenia (tytuł 12 § 3405 U.S.C.). Innym przykładem jest ustawa o rzetelnej sprawozdawczości kredytowej, która zakazuje agencjom zgłaszającym konsumentów ujawniania sprawozdań konsumentów w odpowiedzi na wezwania administracyjne (i zezwala im jedynie na udzielanie odpowiedzi na wnioski wielkiej ławy przysięgłych lub nakazy sądowe, tytuł 15 §1681 i nast. U.S.C.). Jeżeli chodzi o dostęp do informacji komunikacyjnych, zastosowanie mają szczególne wymogi ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej, w tym w odniesieniu do możliwości stosowania wezwań administracyjnych (szczegółowy przegląd znajduje się w motywach 96-97).
164 Tytuł 18 § 3123 U.S.C.
165 Tytuł 18 §§ 2701-2713 U.S.C.
166 Tytuł 18 §§ 2701 lit. a) i b) pkt 1 ppkt A U.S.C. Jeśli odnośny abonent lub klient zostanie powiadomiony (z wyprzedzeniem albo, w pewnych okolicznościach, w drodze opóźnionego powiadomienia), informacje dotyczące treści przechowywane dłużej niż 180 dni można również uzyskać na podstawie wezwania administracyjnego lub wezwania wydanego przez wielką ławę przysięgłych (tytuł 18 § 2701 lit. b) pkt 1 ppkt B U.S.C.) lub nakazu sądowego (jeśli istnieją uzasadnione przesłanki, by przypuszczać, że informacje te mają istotne i zasadnicze znaczenie dla toczącego się dochodzenia (tytuł 18 §§ 2701 lit. d) U.S.C.). Zgodnie z orzeczeniem federalnego sądu apelacyjnego śledczy rządowi zazwyczaj uzyskują jednak nakazy przeszukania od sędziów w celu zgromadzenia treści prywatnej komunikacji lub przechowywanych danych od komercyjnego dostawcy usług komunikacyjnych. Stany Zjednoczone/War- shak, 631 F.3d 266 (6th Cir. 2010).
167 Tytuł 18 § 2705 lit. b) U.S.C.
168 Zob. memorandum zastępcy prokuratora generalnego Roda Rosensteina z dnia 19 października 2017 r. w sprawie bardziej restrykcyjnej polityki dotyczącej wniosków o wydanie nakazu ochronnego (lub nakazu nieujawniania), dostępne pod adresem: https://www. justice.gov/criminal-ccips/page/file/1005791/download
169 Memorandum zastępcy prokuratora generalnego Lisy Moncao z dnia 27 maja 2022 r. w sprawie dodatkowej polityki dotyczącej wniosków o wydanie nakazów ochronnych zgodnie z tytułem 18 § 2705 lit. b) U.S.C.
170 Tytuł 18 §§ 2510-2522 U.S.C.
171 Wytyczne prokuratora generalnego w sprawie krajowych operacji Federalnego Biura Śledczego (FBI) (wrzesień 2008) dostępne pod adresem http://www.justice.gov/archive/opa/docs/guidelines.pdf Dodatkowe zasady i strategie ograniczające działalność śledczą prokuratorów federalnych zostały ustanowione w podręczniku dla prokuratorów Stanów Zjednoczonych, który jest również dostępny pod adresem http://www.justice.gov/usam/united-states-attorneys-manual W celu odstąpienia od przestrzegania tych wytycznych, należy uzyskać uprzednią zgodę dyrektora FBI, zastępcy dyrektora FBI lub zastępcy dyrektora wykonawczego wyznaczonego przez dyrektora FBI, chyba że nie ma możliwości uzyskania takiej zgody ze względu na bezpośredniość lub powagę zagrożenia dla bezpieczeństwa osób lub składników majątku lub bezpieczeństwa narodowego (w takim przypadku należy powiadomić dyrektora FBI lub inną osobę upoważnioną do wydania takiej zgody tak szybko, jak to możliwe). W przypadku nieprzestrzegania wytycznych FBI zobowiązane jest powiadomić o tym fakcie DoJ, który z kolei informuje prokuratora generalnego i zastępcę prokuratora generalnego.
172 Załącznik VI przypis 2. Zob. również np. Arnold/City of Cleveland, 67 Ohio St.3d 35, 616 N.E.2d 163, 169 (1993) ("W dziedzinie praw indywidualnych i wolności obywatelskich konstytucja Stanów Zjednoczonych, tam gdzie ma ona zastosowanie do stanów, zapewnia dolny pułap, poniżej którego orzeczenia sądów stanowych nie mogą zapadać"); Cooper/California, 386 U.S. 58, 62, 87 S. Ct. 788, 17 L.Ed.2d 730 (1967 r.) ("Nasz holding oczywiście nie wpływa na uprawnienie stanu do narzucania wyższych standardów przeszukiwań i konfiskat, niż wymaga tego konstytucja federalna, jeżeli państwo się na to zdecyduje."); Petersen/City of Mesa, 63 P.3d 309, 312 (Ariz. Ct. App. 2003) ("Mimo iż konstytucja Arizony może nakładać surowsze standardy przeszukiwań i konfiskat, niż wymaga tego konstytucja federalna, sądy Arizony nie mogą zapewnić niższej ochrony, niż gwarantuje czwarta poprawka.").
173 Większość stanów powieliła w swoich konstytucjach środki ochrony przewidziane w czwartej poprawce. Zob. konstytucja Alabamy art. I, § 5); konstytucja Alaski art. I, § 14; 1; konstytucja Arkansas art. II, § 15; konstytucja Kalifornii art. I, § 13; konstytucja Kolorado art. II, § 7; konstytucja Connecticut art. I, § 7; konstytucja Delaware art. I, § 6; konstytucja Florydy art. I, § 12; konstytucja Georgii art. I, § I ust. XIII; konstytucja Hawai art. I, § 7; konstytucja Idaho art. I, § 17; konstytucja Illinois art. I, § 6; konstytucja Indiany art. I, § 11; konstytucja Iowy art. I, § 8; konstytucja Kansas karta praw, § 15; konstytucja Kentucky § 10; konstytucja Luizjany art. I, § 5; konstytucja Maine art. I, § 5; konstytucja Massachusets deklaracja praw, art. 14; konstytucja Michigan art. I, § 11; konstytucja Minnesoty art. I, § 10; konstytucja Mississippi art. III, § 23; konstytucja Missouri art. I, § 15; konstytucja Montany art. II, § 11; konstytucja Nebraski art. I, § 7; konstytucja Nevady art. I, § 18; konstytucja New Hampshire pkt 1 art.. 19; konstytucja N.J. art. II, § 7; konstytucja Nowego Meksyku art. II, § 10; konstytucja Nowego Jorku art. I, § 12; konstytucja Północnej Dakoty art. I, § 8; konstytucja Ohio art. I, § 14; konstytucja Oklahomy art. II, § 30; konstytucja Oregonu art. I, § 9; konstytucja Pennsylvanii art. I, § 8; konstytucja Rhode Island art. I, § 6; konstytucja Południowej Karoliny art. I, § 10; konstytucja Południowej Dakoty art. VI, § 11; konstytucja Tennessee art. I, § 7; konstytucja Teksasu art. I, § 9; konstytucja Utah art. I, § 14; konstytucja Vermont rozdz. I, art. 11; konstytucja Zachodniej Virginii art. III, § 6; konstytucja Wisconsin art. I, § 11; konstytucja Wyoming art. I, § 4. Inne (np. Maryland, Karolina Północna i Wirginia) zapisały w swoich konstytucjach konkretny język dotyczący nakazów, który został zinterpretowany sądowo w celu zapewnienia podobnej lub wyższej ochrony co czwarta poprawka (zob. Maryland. deklaracja praw, art. 26; konstytucja Południowej Karoliny art. I, § 20; konstytucja Wirginii art. I, § 10, i odpowiednie orzecznictwo, np. Hamel/State, 943 A.2d 686, 701 (Md. Ct. Spec. App. 2008; State/Johnson, 861 S.E.2d 474, 483 (N.C. 2021) i Lowe/Commonwealth, 337 S.E.2d 273, 274 (Va. 1985)). Ponadto Arizona i Waszyngton posiadają przepisy konstytucyjne, które ogólniej chronią prywatność (konstytucja Arizony. art. 2 § 8; konstytucja Waszyngtonu art. I, § 7, która została zinterpretowana przez sądy jako gwarantująca wyższą ochronę niż czwarta poprawka (zob. np. State/Bolt, 689 P.2d 519, 523 (Ariz. 1984), State/Ault, 759 P.2d 1320, 1324 (Ariz. 1988), State/Myrick, 102 Wn.2d 506, 511, 688 P.2d 151, 155 (1984), State/Young, 123 Wn.2d 173, 178, 867 P.2d 593, 598 (1994)).
174 Zob. np. kalifornijski kodeks karny, § 1524,3 lit. b); zasada 3.6-3.13 Regulaminu postępowania karnego Alabamy; rozdział 10.79.035; zmieniony kodeks Waszyngtonu; rozdział 5 sekcja 19.2-59, tytuł 19.2 Postępowanie karne, kodeks Wirginii.
175 Tj. "informacje, które można wykorzystać do rozróżnienia lub wyśledzenia tożsamości osoby fizycznej, zarówno indywidualnie, jak i w połączeniu z innymi informacjami, które są powiązane lub możliwe do powiązania z konkretną osobą fizyczną", zob. okólnik OMB nr A-130, s. 33 (definicja "danych identyfikujących osobę").
176 Okólnik OMB nr A-130, "Managing Information as a Strategic Resource" ("Zarządzanie informacjami jako zasobami strategicznymi", dodatek II, "Responsibilities for Managing Personally Identifiable Information" ("Obowiązki w zakresie zarządzania danymi identyfikującymi osobę"), Rejestr Federalny (t. 81, s. 49689, 28 lipca 2016 r.), s. 17.
177 Dodatek II, § 5 lit. a)-h).
178 Tytuł 44 rozdział 36 U.S.C.
179 Tytuł 44 §§ 3544-3545 U.S.C.
180 FAC, tytuł 44 § 3105 U.S.C.
181 Tytuł 36 §§ 1228,150 i nast. oraz 1228,228 C.F.R. oraz dodatek A do C.F.R.
182 Zob. na przykład okólnik OMB nr A-130; NIST SP 800-53, Rev. 5, "Security and Privacy Controls for Information Systems and Organizations" ("Kontrole bezpieczeństwa i prywatności w odniesieniu do systemów informacyjnych i organizacji" (10 grudnia 2020 r.), oraz opracowane przez NIST normy FIPS (federalne normy przetwarzania danych) 200: Minimum Security Requirements for Federal Information and Information Systems (minimalne wymagania bezpieczeństwa federalnych danych i systemów informacyjnych).
183 Memorandum 17-12, "Preparing for and Responding to a Breach of Personally Identifiable Information" ("Przygotowanie na naruszenie ochrony danych identyfikujących osobę oraz reagowanie na takie naruszenie") dostępne pod adresem https://obamawhitehouse. archives.gov/sites/default/files/omb/memoranda/2017/m-17-12_0.pdf i okólnik OMB nr A-130. Na przykład procedury Departamentu Sprawiedliwości w zakresie reagowania na naruszenia danych, zob. https://www.justice.gov/file/4336/download
184 FRA, tytuł 44 §§ 3101 i nast. U.S.C.
185 Krajowa Administracja Archiwów i Rejestrów (National Archives and Record Administration) jest uprawniona do oceny praktyk w zakresie zarządzania dokumentacją agencji i może określić, czy dalsze przechowywanie określonej dokumentacji jest uzasadnione (tytuł 44 § 2904 lit. c) i § 2906 U.S.C.).
186 Zob. okólnik OMB nr A-130, sekcja 5 lit. f) ust. 1 lit. d).
187 Zob. okólnik OMB nr A-130, dodatek I § 3 lit. d).
188 Zob. również poradnik FBI dotyczący prowadzenia dochodzeń i operacji na szczeblu krajowym (DIOG), sekcja 14.
189 AGG-DOM, sekcja VI, B i C; poradnik FBI dotyczący prowadzenia dochodzeń i operacji na szczeblu krajowym (DIOG), sekcja 14.
190 Mechanizmy, o których mowa w niniejszej sekcji, mają również zastosowanie do gromadzenia i wykorzystywania danych przez organy federalne do celów cywilnych i regulacyjnych. Federalne agencje cywilne i regulacyjne podlegają kontroli ze strony swoich odpowiednich Inspektorów Generalnych oraz nadzorowi ze strony Kongresu, w tym Rządowego Biura Odpowiedzialności, agencji audytu i agencji śledczej Kongresu. Obowiązki te spoczywają na urzędniku wyższego szczebla Agencji ds. Prywatności (SAOP), chyba że agencja wyznaczyła urzędnika ds. prywatności i wolności obywatelskich - stanowisko to zazwyczaj znajduje się w takich agencjach jak Departament Sprawiedliwości i Departament Bezpieczeństwa Wewnętrznego (DHS) ze względu na ich obowiązki w zakresie egzekwowania prawa i bezpieczeństwa narodowego. Wszystkie agencje federalne są prawnie zobowiązane do wyznaczenia SAOP, który ponosi odpowiedzialność za zapewnienie przestrzegania przez agencję przepisów o ochronie prywatności i nadzór nad powiązanymi kwestiami. Zob. np. OMB M-16-24, Role i wyznaczenie urzędników wyższego szczebla Agencji ds. Prywatności (2016).
191 Zob. tytuł 42 § 2000ee-1 U.S.C. Obejmuje to np. Departament Sprawiedliwości, Departament Bezpieczeństwa Wewnętrznego i FBI. Dodatkowo w przypadku Departamentu Bezpieczeństwa Krajowego główny urzędnik ds. prywatności odpowiada za zachowanie i wzmocnienie zabezpieczeń prywatności oraz za propagowanie przejrzystości w ramach departamentu (tytuł 6 rozdział 142 sekcja 222 U.S.C.). Wszystkie stosowane przez Departament Bezpieczeństwa Krajowego systemy, technologie, formularze i programy, które służą do gromadzenia danych osobowych lub mają wpływ na prywatność, podlegają nadzorowi ze strony głównego urzędnika ds. prywatności, który ma wgląd we wszystkie rejestry, sprawozdania, audyty, przeglądy, dokumenty, opracowania, zalecenia i inne materiały, do których departament ten ma dostęp, w razie potrzeby na mocy wezwania. Urzędnik ds. prywatności musi składać Kongresowi coroczne sprawozdanie z działań Departamentu Bezpieczeństwa Krajowego, które wpływają na prywatność, w tym skarg dotyczących naruszenia prywatności.
192 Tytuł 42 § 2000ee-1 lit. d) U.S.C.
194 Podobnie w ustawie o bezpieczeństwie krajowym z 2002 r. ustanowiono Biuro Inspektora Generalnego w Departamencie Bezpie czeństwa Wewnętrznego.
195 Inspektorzy Generalni są powoływani na określoną kadencję i mogą zostać odwołani wyłącznie przez Prezydenta, który musi przedstawić Kongresowi pisemne uzasadnienie decyzji o ich odwołaniu.
196 Zob. § 6 ustawy o Inspektorze Generalnym z 1978 r.
198 Zob. § 4 ust. 5 i § 5 ustawy o Inspektorze Generalnym z 1978 r. Na przykład Biuro Inspektora Generalnego w DoJ opublikowało niedawno swoje sprawozdanie półroczne (za okres od 1 października 2021 r. do 31 marca 2022 r., https://oig.justice.gov/node/23596), które zostało przedłożone Kongresowi i które zawiera przegląd jego audytów, ocen, inspekcji, przeglądów specjalnych oraz dochodzeń w sprawie programów i operacji Departamentu Sprawiedliwości. Działania te obejmowały dochodzenie wszczęte wobec byłego wykonawcy w sprawie nielegalnego ujawnienia nadzoru elektronicznego (podsłuchu osoby fizycznej) w ramach prowadzonego dochodzenia, które doprowadziło do skazania wykonawcy. Biuro Inspektora Generalnego przeprowadziło również dochodzenie w sprawie programów i praktyk w zakresie bezpieczeństwa informacji stosowanych przez agencje DoJ, które obejmowało sprawdzenie skuteczności polityk, procedur i praktyk w zakresie bezpieczeństwa informacji wykorzystywanych przez reprezentatywny podzbiór systemów agencji.
199 Członkowie Rady muszą być wybierani wyłącznie na podstawie kwalifikacji zawodowych, osiągnięć, pozycji społecznej, wiedzy fachowej w dziedzinie wolności obywatelskich i prywatności oraz odpowiedniego doświadczenia, bez względu na przynależność polityczną. W skład Rady w żadnym wypadku nie może wchodzić więcej niż trzech członków tej samej partii politycznej. Podczas pełnienia funkcji w Radzie osoba powołana do Rady nie może być urzędnikiem wybieranym, urzędnikiem ani pracownikiem rządu federalnego, innym niż pełniącym funkcję członka Rady. Zob. tytuł 42 § 2000ee lit. h) U.S.C.
200 Tytuł 42 § 2000ee lit. g) U.S.C.
201 Zob. tytuł 42 § 2000ee-1 lit. f) pkt 1 ppkt A pppkt (iii) U.S.C. Należy wśród nich wymienić przynajmniej Departament Sprawiedliwości, Departament Obrony, Departament Bezpieczeństwa Wewnętrznego, a także wszelkie inne departamenty, agencje lub jednostki struktury władzy wykonawczej wskazane jako właściwe przez PCLOB.
202 Tytuł 42 § 2000ee lit. e) U.S.C.
203 Tytuł 42 § 2000ee lit. f) U.S.C.
205 Zob. załącznik VI.
206 Okólnik OMB nr A-130, dodatek II, sekcja 3 lit. a) i f), który zobowiązuje agencje federalne do zapewnienia odpowiedniego dostępu i korekty na wniosek osób fizycznych oraz do ustanowienia procedur przyjmowania i rozpatrywania skarg i wniosków dotyczących prywatności.
207 Zob. tytuł 42 § 2000ee-1 U.S.C. w odniesieniu do np. Departamentu Sprawiedliwości USA i Departamentu Bezpieczeństwa Wewnętrznego. Zob. również Memorandum OMB M-16-24, Role i wyznaczenie urzędników wyższego szczebla Agencji ds. Prywatności.
208 Mechanizmy odwoławcze, o których mowa w niniejszej sekcji, mają również zastosowanie do gromadzenia i wykorzystywania danych przez organy federalne do celów cywilnych i regulacyjnych.
209 Tytuł 5 § 702 U.S.C.
210 Zasadniczo przedmiotem kontroli sądowej może być wyłącznie "końcowe" działanie agencji, a nie jej "wstępne, procesowe lub pośrednie" działanie. Zob. tytuł 5 § 704 U.S.C.
211 Tytuł 5 § 706 ust. 2 pkt A U.S.C.
212 Tytuł 18 §§ 2701-2712 U.S.C.
213 Przepisy ustawy o ochronie danych w łączności elektronicznej chronią komunikaty przechowywane przez podmioty należące do dwóch określonych kategorii dostawców usług sieciowych, mianowicie: (i) dostawców usług łączności elektronicznej, na przykład usług telefonicznych lub usług poczty elektronicznej; (ii) dostawców zdalnych usług komputerowych, takich jak komputerowe usługi przechowywania lub przetwarzania danych.
214 Tytuł 18 §§ 2510 i nast. U.S.C. Na mocy ustawy o podsłuchach (tytuł 18 § 2520 U.S.C.) osoba, której łączność przewodowa, komunikacja ustna lub elektroniczna jest przechwytywana, ujawniana lub celowo wykorzystywana, może wytoczyć powództwo cywilne o naruszenie ustawy o podsłuchach, w tym, w pewnych okolicznościach, wobec określonego urzędnika rządowego lub Stanów Zjednoczonych. Aby uzyskać więcej informacji na temat gromadzenia informacji niedotyczących treści (np. adresu IP, przychodzący/ wychodzący adres e-mail), zob. także rozdział w tytule 18 dotyczący urządzeń rejestrujących wybierane numery oraz urządzeń śledzących (tytuł 18 §§ 3121-3127 U.S.C., a w przypadku powództwa cywilnego - § 2707).
215 Tytuł 18 § 1030 U.S.C. Na mocy ustawy o oszustwach i nadużyciach komputerowych osoba może wnieść powództwo przeciwko dowolnej osobie w związku z umyślnym uzyskiwaniem nieuprawnionego dostępu (lub przekraczaniem granic uprawnionego dostępu) w celu pozyskania informacji z instytucji finansowej, systemu komputerowego rządu Stanów Zjednoczonych lub innego określonego komputera, w tym, w pewnych okolicznościach, przeciwko określonemu urzędnikowi rządowemu.
216 Tytuł 28 §§ 2671 i nast. U.S.C. Na mocy ustawy federalnej o roszczeniach z tytułu czynu niedozwolonego dana osoba może wytoczyć powództwo, w pewnych okolicznościach, przeciwko Stanom Zjednoczonym w związku z "zaniedbaniem lub niewłaściwym działaniem lub zaniechaniem ze strony dowolnego pracownika rządu podczas prowadzenia działań wchodzących w zakres jego urzędu lub stanowiska".
217 Tytuł 12 §§ 3401 i nast. U.S.C. Na mocy ustawy o prawie do prywatności w kwestiach finansowych dana osoba może wytoczyć powództwo, w pewnych okolicznościach, przeciwko Stanom Zjednoczonym w związku z uzyskaniem lub ujawnieniem chronionych dokumentów finansowych z naruszeniem ustawy. Rząd co do zasady nie ma dostępu do chronionych dokumentów finansowych, chyba że złoży wniosek, z zastrzeżeniem zgodnego z prawem wezwania lub nakazu przeszukania, lub - z zastrzeżeniem ograniczeń - formalny wniosek pisemny, a osoba fizyczna, na temat której chce uzyskać informacje, zostanie powiadomiona o takim wniosku.
218 Tytuł 15 §§ 1681-1681x U.S.C. Na mocy ustawy o rzetelnej sprawozdawczości kredytowej dana osoba może wnieść powództwo przeciwko dowolnej osobie, która nie przestrzega wymogów (w szczególności wymogu uzyskania prawnego upoważnienia) dotyczących gromadzenia, upowszechniania i wykorzystywania informacji dotyczących kredytów konsumentów, lub, w pewnych okolicznościach, przeciwko agencji rządowej.
219 Tytuł 5 § 552 U.S.C.
220 Wspomniane wyłączenia są jednak objęte ramami. Np. zgodnie z tytułem 5 § 552 lit. b) pkt 7 U.S.C. niemożliwe jest egzekwowanie praw wynikających z Ustawy o dostępie do informacji publicznej w odniesieniu do "rejestrów lub informacji zebranych do celów egzekwowania prawa, ale tylko w zakresie, w jakim sporządzanie takich rejestrów lub informacji przez organy egzekwowania prawa (A) może w sposób uzasadniony zakłócić postępowanie egzekucyjne, (B) może pozbawić daną osobę prawa do rzetelnego procesu sądowego lub bezstronnego wyroku, (C) może w sposób uzasadniony stanowić nieuzasadnione naruszenie prywatności danej osoby, (D) może doprowadzić do ujawnienia tożsamości poufnego źródła, w tym państwa, lokalnej lub zagranicznej agencji lub organu lub dowolnej prywatnej instytucji, która przekazała informacje o charakterze poufnym, a także w przypadku rejestrów lub informacji zebranych przez organ egzekwowania prawa w sprawach karnych w toku dochodzenia lub przez agencję prowadzącą zgodne z prawem krajowe dochodzenie do celów bezpieczeństwa narodowego, informacji przekazanych przez poufne źródło, (E) może doprowadzić do ujawnienia technik i procedur prowadzenia dochodzeń i spraw sądowych dotyczących egzekwowania prawa, jeżeli takie ujawnienie mogłoby w uzasadniony sposób zagrozić obejściem prawa, lub (F) może w sposób uzasadniony zagrozić życiu lub bezpieczeństwu fizycznemu dowolnej osoby fizycznej". Ponadto "ilekroć zostanie złożony wniosek dotyczący dostępu do rejestrów [których przedstawienie może w sposób uzasadniony zakłócić postępowanie egzekucyjne] oraz - ilekroć (A) dochodzenie lub postępowanie dotyczy możliwego naruszenia prawa karnego; (B) jeżeli istnieje powód, aby sądzić, że (i) osoba objęta dochodzeniem lub postępowaniem nie zdaje sobie sprawy z trwania takiego dochodzenia lub postępowania oraz (ii) ujawnienie istnienia rejestrów może w sposób uzasadniony zakłócić postępowanie egzekucyjne, agencja może, tylko w takich okolicznościach, uznać, że wymogi określone w tej sekcji nie mają zastosowania do rejestrów" (tytuł 5 § 552 lit. c) pkt 1 U.S.C.).
221 Tytuł 12 § 3414 U.S.C.; tytuł 15 §§ 1681u-1681v U.S.C. oraz tytuł 18 § 2709 U.S.C. Zob. motyw 153.
222 Tytuł 50 § 1804 U.S.C., który dotyczy tradycyjnego zindywidualizowanego dozoru elektronicznego.
223 Tytuł 50 § 1822 U.S.C., który dotyczy przeszukań fizycznych do celów wywiadu zagranicznego.
224 Tytuł 50 § 1842 i § 1841 ust. 2 i tytuł 18 sekcja 3127 U.S.C., które dotyczą instalacji urządzeń rejestrujących wybierane numery lub urządzeń śledzących.
225 Tytuł 50 § 1861 U.S.C., który zezwala FBI na złożenie "wniosku o wydanie nakazu upoważniającego przewoźnika, publiczny obiekt noclegowy, punkt fizycznego składowania lub wypożyczalnię pojazdów do udostępnienia danych znajdujących się w ich posiadaniu na potrzeby dochodzenia mającego na celu pozyskanie danych wywiadowczych lub dochodzenia dotyczącego międzynarodowego terroryzmu".
226 Tytuł 50 § 1881 lit. a) U.S.C., który umożliwia amerykańskiej Wspólnocie Wywiadowczej staranie się o uzyskanie dostępu do informacji, w tym treści komunikatów internetowych, od przedsiębiorstw amerykańskich, ukierunkowując działania na określone osoby niebędące obywatelami ani rezydentami USA przebywające poza Stanami Zjednoczonymi, z prawnie wymaganą pomocą dostawców usług łączności elektronicznej.
227 Rozporządzenie wykonawcze 12333: Działalność wywiadowcza Stanów Zjednoczonych, Rejestr Federalny t. 40, nr 235 (8 grudnia 1981 r., ze zmianami wprowadzonymi 30 lipca 2008 r.). W rozporządzeniu wykonawczym 12333 określono ogólniej cele, kierunki prac, zadania i obowiązki amerykańskich agencji wywiadowczych (w tym funkcje określonych jednostek Wspólnoty Wywiadowczej), a także ustanowiono ogólne parametry regulujące działalność agencji wywiadowczych.
228 Zgodnie z art. II konstytucji Stanów Zjednoczonych odpowiedzialność za zapewnienie bezpieczeństwa narodowego, w tym w szczególności gromadzenie danych wywiadowczych, spoczywa na Prezydencie, który pełni funkcję Zwierzchnika Sił Zbrojnych.
229 Rozporządzenie wykonawcze 14086 zastępuje poprzednią dyrektywę Prezydenta, dyrektywę polityczną Prezydenta nr 28, z wyjątkiem jej sekcji 3 i uzupełniającego ją załącznika (który nakłada na agencje wywiadowcze wymóg corocznego przeglądu ich priorytetów wywiadowczych i wymogów w zakresie rozpoznania radioelektronicznego, z uwzględnieniem korzyści płynących z działań w zakresie rozpoznania radioelektronicznego dla interesów narodowych Stanów Zjednoczonych oraz ryzyka stwarzanego przez te działania) oraz sekcji 6 (która zawiera przepisy ogólne); zob. memorandum w sprawie bezpieczeństwa narodowego, które dotyczy częściowego uchylenia dyrektywy politycznej Prezydenta nr 28, dostępne na stronie:https://www.whitehouse.gov/briefing-room/sta tements-releases/2022/10/07/national-security-memorandum-on-partial-revocation-of-presidential-policy-directive-28/
230 Zob. sekcja 5 lit. f) rozporządzenia wykonawczego 14086, w której wyjaśniono, że rozporządzenie wykonawcze ma taki sam zakres stosowania jak dyrektywa polityczna Prezydenta nr 28, która - zgodnie z zawartym w niej przypisem nr 3 - ma zastosowanie do działań w zakresie rozpoznania radioelektronicznego przeprowadzanych w celu gromadzenia komunikatów lub informacji na temat komunikatów, z wyjątkiem działań w zakresie rozpoznania radioelektronicznego przeprowadzanych w celu przetestowania lub opracowania zdolności w zakresie rozpoznania radioelektronicznego.
231 Zob. w tym zakresie np. sekcja 5 lit. h) rozporządzenia wykonawczego 14086, w której wyjaśniono, że zabezpieczenia przewidziane w tym rozporządzeniu wykonawczym stanowią podstawę upoważnienia prawnego i że osoby fizyczne mogą je egzekwować za pośrednictwem mechanizmu dochodzenia roszczeń.
232 Zob. sekcja 2 lit. c) pkt (iv) ppkt C rozporządzenia wykonawczego 14086.
234 Sekcja 2 lit. a) pkt (i) rozporządzenia wykonawczego 14086.
235 Sekcja 2 lit. a) pkt (ii) rozporządzenia wykonawczego 14086.
236 Sekcja 2 lit. a) pkt (ii) ppkt A rozporządzenia wykonawczego 14086. Nie zawsze wymaga to, aby rozpoznanie radioelektroniczne było jedynym sposobem realizacji aspektów zatwierdzonego priorytetu wywiadowczego. Na przykład gromadzenie danych w ramach rozpoznania radioelektronicznego może być wykorzystywane do zapewnienia alternatywnych ścieżek zatwierdzenia (np. w celu potwierdzenia informacji otrzymanych z innych źródeł wywiadowczych) lub do utrzymania niezawodnego dostępu do tych samych informacji (sekcja 2 lit. c) pkt (i) ppkt A rozporządzenia wykonawczego 14086).
237 Sekcja 2 lit. a) pkt (ii) ppkt B rozporządzenia wykonawczego 14086.
238 Sekcja 2 lit. a) pkt (ii) ppkt B rozporządzenia wykonawczego 14086.
239 Sekcja 2 lit. a) pkt (iii) w związku z sekcją 2 lit. d) rozporządzenia wykonawczego 14086.
240 Sekcja 2 lit. b) pkt (i) rozporządzenia wykonawczego 14086. Ze względu na ograniczony wykaz uzasadnionych celów rozporządzenia wykonawczego, który nie obejmuje ewentualnych przyszłych zagrożeń, rozporządzenie wykonawcze zapewnia Prezydentowi możliwość aktualizacji tego wykazu w przypadku zaistnienia nowych okoliczności związanych z bezpieczeństwem narodowym, takich jak nowe zagrożenia dla bezpieczeństwa narodowego. Takie aktualizacje muszą co do zasady zostać podane do wiadomości publicznej, chyba że Prezydent uzna, że takie działanie może samo w sobie stworzyć zagrożenie dla bezpieczeństwa narodowego Stanów Zjednoczonych (sekcja 2 lit. b) pkt (i) ppkt B rozporządzenia wykonawczego 14086).
241 Sekcja 2 lit. b) pkt (ii) rozporządzenia wykonawczego 14086.
242 Sekcja 102A ustawy o bezpieczeństwie narodowym i sekcja 2 lit. b) pkt (iii) rozporządzenia wykonawczego 14086.
243 W wyjątkowych przypadkach (w szczególności wówczas, gdy nie można przeprowadzić takiego procesu ze względu na konieczność zaspokojenia nowego lub nowo powstającego wymagania rozpoznawczego) takie priorytety może ustalić bezpośrednio Prezydent lub szef jednej z jednostek Wspólnoty Wywiadowczej, którzy co do zasady muszą zastosować takie same kryteria jak te opisane w sekcji 2 lit. b) pkt (iii) ppkt A części 1-3, zob. sekcja 4 lit. n) rozporządzenia wykonawczego 14086.
244 Sekcja 2 lit. b) pkt (iii) ppkt C rozporządzenia wykonawczego 14086.
245 Sekcja 2 lit. b) i c) pkt (i) ppkt A rozporządzenia wykonawczego 14086.
246 Sekcja 2 lit. c) pkt (i) ppkt A rozporządzenia wykonawczego 14086.
247 Sekcja 2 lit. c) pkt (i) ppkt A rozporządzenia wykonawczego 14086.
248 Sekcja 2 lit. c) pkt (i) ppkt B rozporządzenia wykonawczego 14086.
249 Sekcja 2 lit. c) pkt (i) ppkt B rozporządzenia wykonawczego 14086.
250 Tj. gromadzenie dużych ilości danych w ramach rozpoznania radioelektronicznego, które ze względów technicznych lub operacyjnych są pozyskiwane bez zastosowania wyróżników (na przykład bez użycia konkretnych identyfikatorów lub terminów umożliwiających selekcję), zob. sekcja 4 lit. b) rozporządzenia wykonawczego 14086. Zgodnie z rozporządzeniem wykonawczym 14086 i jak wyjaśniono dokładniej w motywie 141, hurtowe gromadzenie danych na podstawie rozporządzenia wykonawczego 12333 odbywa się wyłącznie w przypadku, gdy jest ono niezbędne do realizacji konkretnych zatwierdzonych priorytetów wywiadowczych, i podlega szeregowi ograniczeń i zabezpieczeń, które opracowano w celu uniemożliwienia powszechnego dostępu do danych. Hurtowe gromadzenie danych należy więc zestawić z gromadzeniem na zasadzie ogólnej i powszechnej ("masowa inwigilacja") bez ograniczeń i zabezpieczeń.
251 Sekcja 2 lit. c) pkt (ii) ppkt A rozporządzenia wykonawczego 14086.
252 Sekcja 2 lit. c) pkt (ii) ppkt A rozporządzenia wykonawczego 14086.
253 Przepisy szczególne dotyczące hurtowego gromadzenia danych zawarte w rozporządzeniu wykonawczym 14086 mają również zastosowanie do ukierunkowanego gromadzenia danych w wyniku rozpoznania radioelektronicznego, w ramach którego tymczasowo wykorzystuje się dane uzyskane bez zastosowania wyróżników (np. konkretnych terminów umożliwiających selekcję lub identyfikatorów), tj. luzem (co jest możliwe jedynie poza terytorium Stanów Zjednoczonych). Nie ma to miejsca w przypadku, gdy takie dane są wykorzystywane wyłącznie do wspomagania początkowej fazy technicznej ukierunkowanego gromadzenia danych w wyniku rozpoznania radioelektronicznego, przechowywane jedynie przez krótki okres niezbędny do zakończenia tej fazy, a następnie natychmiast usuwane (sekcja 2 lit. c) pkt (ii) ppkt (D) rozporządzenia wykonawczego 14086). W tym przypadku jedynym celem wstępnego gromadzenia danych bez zastosowania wyróżników jest umożliwienie ukierunkowanego gromadzenia informacji poprzez zastosowanie konkretnego identyfikatora lub terminu umożliwiającego selekcję. W takim scenariuszu wyłącznie dane, które odzwierciedlają zastosowanie określonego wyróżnika, są wprowadzane do rządowych baz danych, podczas gdy pozostałe dane są niszczone. W związku z tym takie ukierunkowane gromadzenie danych nadal regulują przepisy ogólne, które mają zastosowanie do gromadzenia danych w wyniku rozpoznania radioelektronicznego, w tym przepisy zawarte w sekcji 2 lit. a)-b) i sekcji 2 lit. c) pkt (i) rozporządzenia wykonawczego 14086.
254 Sekcja 2 lit. c) pkt (ii) ppkt A rozporządzenia wykonawczego 14086.
255 Sekcja 2 lit. c) pkt (ii) ppkt B rozporządzenia wykonawczego 14086. W przypadku zaistnienia nowych okoliczności związanych z bezpieczeństwem narodowym, takich jak nowe zagrożenia dla bezpieczeństwa narodowego, Prezydent może zaktualizować ten wykaz. Takie aktualizacje muszą co do zasady zostać podane do wiadomości publicznej, chyba że Prezydent uzna, że takie działanie może samo w sobie stworzyć zagrożenie dla bezpieczeństwa narodowego Stanów Zjednoczonych (sekcja 2 lit. c) pkt (ii) ppkt C rozporządzenia wykonawczego 14086). W odniesieniu do zapytań dotyczących danych zgromadzonych hurtowo zob. sekcja 2 lit. c) pkt (iii) ppkt D rozporządzenia wykonawczego 14086.
256 Sekcja 2 lit. a) pkt (ii) ppkt A w związku z sekcją 2 lit. c) pkt (iii) ppkt D rozporządzenia wykonawczego 14086. Zob. również załącznik VII.
257 Tytuł 50 § 1881 U.S.C.
258 Tytuł 50 § 1881a lit. a) U.S.C. W szczególności, jak zauważyła PCLOB, sekcja 702 ustawy o kontroli wywiadu "w całości polega na ukierunkowywaniu działań na określone osoby [niebędące obywatelami ani rezydentami USA], w odniesieniu do których przeprowadzono zindywidualizowane rozpoznanie" (sprawozdanie Rady Nadzoru nad Ochroną Danych i Wolnościami Obywatelskimi w sprawie programu nadzoru realizowanego na podstawie sekcji 702 ustawy o kontroli wywiadu, 2 lipca 2014 r., sprawozdanie dotyczące sekcji 702 ustawy o kontroli wywiadu, s. 111). Zob. również Biuro Wolności Obywatelskich i Ochrony Prywatności w ramach Agencji Bezpieczeństwa Narodowego, Wdrażanie sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego (NSA's Implementation of Foreign Intelligence Act Section 702) z dnia 16 kwietnia 2014 r. Termin "dostawca usług łączności elektronicznej" zdefiniowano w tytule 50 § 1881 lit. a) pkt 4 U.S.C.
259 Tytuł 50 § 1881a lit. g) U.S.C.
260 W Sądzie ds. Kontroli Wywiadu zasiadają sędziowie powołani przez Prezesa Sądu Najwyższego Stanów Zjednoczonych spośród sędziów amerykańskich sądów dystryktowych, którzy zostali wcześniej mianowani przez Prezydenta za zgodą Senatu. Sędziowie, którzy sprawują swój urząd dożywotnio i mogą zostać odwołani wyłącznie z uzasadnionego powodu, orzekają w Sądzie ds. Kontroli Wywiadu w ramach siedmioletnich kadencji rozpoczynających się w różnych terminach. Zgodnie z wymogami ustawy o kontroli wywiadu sędziowie muszą zostać dobrani z co najmniej siedmiu różnych okręgów sądowych w Stanach Zjednoczonych. Zob. tytuł 50 § 1803 lit. a) U.S.C. Sędziowie korzystają ze wsparcia doświadczonych urzędników sądowych, którzy pełnią funkcję pracowników merytorycznych w sądach odpowiedzialnych za przygotowywanie analiz prawnych w odniesieniu do wniosków o wydanie zgody na gromadzenie informacji. Zob. pismo sędziego Reggiego B. Waltona, przewodniczącego składu sędziowskiego w Sądzie Stanów Zjednoczonych ds. Kontroli Wywiadu, do senatora Patricka J. Leathy'ego, przewodniczącego Komisji Sądownictwa w Senacie Stanów Zjednoczonych (z dnia 29 lipca 2013 r.) ("pismo Waltona"), s. 2, dostępne pod adresem https://fas.org/irp/news/2013/07/fisc-leahy. pdf
261 W Sądzie Odwoławczym ds. Kontroli Wywiadu zasiadają sędziowie powołani przez prezesa Sądu Najwyższego Stanów Zjednoczonych, pochodzący z amerykańskich sądów dystryktowych lub sądów apelacyjnych, którzy sprawują swój urząd w ramach naprzemiennych siedmioletnich kadencji. Zob. tytuł 50 § 1803 lit. b) U.S.C.
262 Zob. tytuł 50 § 1803 lit. b), § 1861a lit. f), § 1881a lit. h), § 1881a lit. i) pkt 4 U.S.C.
263 Tytuł 50 § 1803 lit. i) pkt 1 i tytuł 50 § 1803 lit. i) pkt 3 ppkt A U.S.C.
264 Tytuł 50 § 1803 lit. i) pkt 2 ppkt A U.S.C.
265 Tytuł 50 § 1803 lit. i) pkt 2 ppkt B U.S.C.
266 Zob. np. opinia Sądu ds. Kontroli Wywiadu z dnia 18 października 2018 r. dostępna pod adresem https://www.intelligence.gov/ assets/documents/702%20Documents/declassified/2018_Cert_FISC_Opin_18Oct18.pdf, którą to opinię potwierdził Sąd Odwoławczy ds. Kontroli Wywiadu w swojej opinii z dnia 12 lipca 2019 r., która jest dostępna pod adresem https://www.intelligence.gov/ assets/documents/702%20Documents/declassified/2018_Cert_FISCR_Opinion_12Jul19.pdf .
267 Zob. na przykład Sąd ds. Kontroli Wywiadu, opinia i zarządzenie w sprawie memorandum, s. 35 (18 listopada 2020 r.) (zatwierdzone do podania do wiadomości publicznej w dniu 26 kwietnia 2021 r.), (załącznik D).
268 Tytuł 50 § 1881a lit. a) U.S.C., Procedury wykorzystywane przez Agencję Bezpieczeństwa Narodowego do celów ukierunkowywania działań na osoby niebędące obywatelami ani rezydentami Stanów Zjednoczonych, co do których istnieje uzasadnione podejrzenie, że przebywają poza terytorium Stanów Zjednoczonych w celu pozyskiwania danych wywiadowczych zgodnie z sekcją 702 ustawy o kontroli wywiadu z 1978 r., z późniejszymi zmianami, z marca 2018 r. (Procedury Agencji Bezpieczeństwa Narodowego w zakresie ukierunkowania), dokument dostępny pod adresem https://www.intelligence.gov/assets/documents/702%20Documents/declassified/ 2018_Cert_NSA_Targeting_27Mar18.pdf, s. 1-4, wyjaśniony bardziej szczegółowo w sprawozdaniu PCLOB, s. 41-42.
269 Procedury Agencji Bezpieczeństwa Narodowego w zakresie ukierunkowywania, s. 4.
270 Zob. sprawozdanie PCLOB dotyczące sekcji 702, s. 32-33, 45 z dalszymi odniesieniami. Zob. również półroczna ocena zgodności z procedurami i wytycznymi w oparciu o sekcję 702 ustawy o kontroli wywiadu złożona przez prokuratora generalnego i Dyrektora Krajowych Służb Wywiadowczych, okres sprawozdawczy: 1 grudnia 2016 r. - 31 maja 2017 r., s. 41 (październik 2018 r.); ocena dostępna pod adresem: https://www.dni.gov/files/icotr/18th_Joint_Assessment.pdf
271 Zob. sprawozdanie PCLOB dotyczące sekcji 702, s. 42-43.
272 Procedury Agencji Bezpieczeństwa Narodowego w zakresie ukierunkowywania, s. 2.
273 Zob. sprawozdanie PCLOB dotyczące sekcji 702, s. 46. Na przykład Agencja Bezpieczeństwa Narodowego musi sprawdzić, czy istnieje związek między docelową osobą a selektorem, musi udokumentować dane wywiadowcze, które mają zostać pozyskane, dane te muszą zostać poddane przeglądowi i zatwierdzone przez dwóch starszych rangą analityków Agencji Bezpieczeństwa Narodowego, a cały proces będzie śledzony na potrzeby kolejnych przeglądów zgodności przez Urząd Dyrektora Krajowych Służb Wywiadowczych i Departament Sprawiedliwości. Zob. Biuro Wolności Obywatelskich i Ochrony Prywatności w ramach Agencji Bezpieczeństwa Narodowego, Wdrażanie sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego (NSA's Implementation of Foreign Intelligence Act Section 702) z dnia 16 kwietnia 2014 r.
274 Tytuł 50 § 1881a lit. h) U.S.C.
275 Procedury Agencji Bezpieczeństwa Narodowego w zakresie ukierunkowywania, s. 8. Zob. również sprawozdanie PCLOB dotyczące sekcji 702, s. 46. Nieprzedstawienie pisemnego uzasadnienia stanowi przypadek braku zgodności z dokumentacją, który musi zostać zgłoszony Sądowi ds. Kontroli Wywiadu i Kongresowi. Zob. półroczna ocena zgodności z procedurami i wytycznymi w oparciu o sekcję 702 ustawy o kontroli wywiadu złożona przez prokuratora generalnego i Dyrektora Krajowych Służb Wywiadowczych, okres sprawozdawczy: 1 grudnia 2016 r. - 31 maja 2017 r., s. 41 (październik 2018 r.), sprawozdanie DoJ/Urzędu Dyrektora Krajowych Służb Wywiadowczych dotyczące przestrzegania zasad złożone Sądowi ds. Kontroli Wywiadu za okres od grudnia 2016 r. do maja 2017 r., s. A-6; dokument dostępny pod adresem: https://www.dni.gov/files/icotr/18th_Joint_Assessment.pdf
276 Zob. dokument przedłożony przez rząd Stanów Zjednoczonych Sądowi ds. Kontroli Wywiadu, "2015 Summary of Notable Section 702 Requirements" ("Podsumowanie najważniejszych wymogów określonych w sekcji 702, 2015 r."), s. 2-3 (15 lipca 2015 r.), oraz informacje przedstawione w załączniku VII.
277 Zob. dokument przedłożony przez rząd Stanów Zjednoczonych Sądowi ds. Kontroli Wywiadu, "2015 Summary of Notable Section 702 Requirements" ("Podsumowanie najważniejszych wymogów określonych w sekcji 702, 2015 r."), s. 2-3 (15 lipca 2015 r.), w którym określono, że "jeżeli rząd oceni później, że dalszy przydział selektora namierzanej osoby prawdopodobnie nie doprowadzi do pozyskania danych wywiadowczych, konieczne będzie jego niezwłoczne zaniechanie, a opóźnienie tej czynności może prowadzić do wystąpienia przypadku braku zgodności, który wymaga zgłoszenia". Zob. również informacje przedstawione w załączniku VII.
279 Zob. również sprawozdanie DoJ/Urzędu Dyrektora Krajowych Służb Wywiadowczych dotyczące zgodności złożone Sądowi ds. Kontroli Wywiadu za okres od grudnia 2016 r. do maja 2017 r., s. A-6.
280 Tytuł 50 § 1874 U.S.C.
281 Tytuł 50 § 1842 lit. c) pkt 3 U.S.C. oraz, w odniesieniu do wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego, tytuł 12 § 3414 lit. a) pkt 2 U.S.C.; tytuł 15 § 1681u U.S.C.; tytuł 15 § 1681v lit. a) U.S.C. oraz tytuł 18 § 2709 lit. a) U.S.C.
282 Termin "agent obcego państwa" może obejmować osoby niebędące obywatelami ani rezydentami USA, które są zaangażowane w międzynarodowy terroryzm lub w rozprzestrzenianie broni masowego rażenia na szczeblu międzynarodowym (uwzględniając czynności przygotowawcze) (tytuł 50 § 1801 lit. b) pkt 1 U.S.C.).
283 Tytuł 50 § 1804 U.S.C. Zob. również § 1841 ust. 4 w odniesieniu do wyboru terminów umożliwiających selekcję.
284 Tytuł 50 §§ 1821 ust. 5 U.S.C.
285 Tytuł 50 § 1823 lit. a) U.S.C.
286 Tytuł 50 § 1842 i § 1841 ust. 2 oraz tytuł 18 sekcja 3127 U.S.C.
287 Tytuł 50 § 1862 U.S.C.
288 Tytuł 50 §§ 1861-1862 U.S.C.
289 Tytuł 50 § 1862 lit. b) U.S.C.
290 Tytuł 12 § 3414 U.S.C.; tytuł 15 §§ 1681u-1681v U.S.C. oraz tytuł 18 § 2709 U.S.C.
291 Tytuł 18 § 2709 lit. b) U.S.C.
292 Np. tytuł 18 § 2709 lit. d) U.S.C.
293 Sekcja 2 lit. c) pkt (iii) ppkt B pppkt 1 rozporządzenia wykonawczego 14086. Zob. także tytuł VIII ustawy o bezpieczeństwie narodowym (określający szczegółowo wymogi dotyczące dostępu do informacji niejawnych), rozporządzenie wykonawcze 12333, sekcja 1.5 (w której zobowiązuje się szefów agencji Wspólnoty Wywiadowczej do przestrzegania wytycznych dotyczących udostępniania i bezpieczeństwa informacji, prywatności informacji i innych wymogów prawnych), dyrektywa nr 42 dotycząca bezpieczeństwa narodowego, "krajowa polityka zabezpieczenia krajowych systemów telekomunikacyjnych i informacyjnych odpowiedzialnych za bezpieczeństwo narodowe" ("National Policy for the Security of National Security Telecommunications and Information Systems") (w której nakazuje się Komitetowi ds. Systemów Bezpieczeństwa Narodowego przekazanie departamentom i agencjom wykonawczym wytycznych dotyczących bezpieczeństwa systemów bezpieczeństwa narodowego) oraz memorandum w sprawie bezpieczeństwa narodowego nr 8 "Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems" ["Poprawa cyberbezpieczeństwa systemów bezpieczeństwa narodowego, Departamentu Obrony i Wspólnoty Wywiadowczej"] (w którym ustanawia się terminy i wytyczne dotyczące sposobu wdrażania wymogów cyberbezpieczeństwa w odniesieniu do krajowych systemów bezpieczeństwa, w tym uwierzytelniania wieloskładnikowego, szyfrowania, technologii chmury i usług wykrywania zagrożeń na punktach końcowych).
294 Sekcja 2 lit. c) pkt (iii) ppkt B pppkt 2 rozporządzenia wykonawczego 14086. Ponadto dostęp do danych osobowych, w odniesieniu do których nie dokonano ostatecznego ustalenia dotyczącego zatrzymywania, można uzyskać wyłącznie w celu dokonania takiego ustalenia lub na jego poparcie lub w celu wykonywania dozwolonych funkcji administracyjnych, funkcji związanych z testowaniem, rozwojem, bezpieczeństwem lub funkcji nadzorczych (sekcja 2 lit. c) pkt (iii) ppkt B pppkt 3 rozporządzenia wykonawczego 14086).
295 Sekcja 2 lit. d) pkt (ii) rozporządzenia wykonawczego 14086.
296 Sekcja 2 lit. c) pkt (iii) ppkt C rozporządzenia wykonawczego 14086.
297 Sekcja 2 lit. c) pkt (iii) ppkt A pppkt 2 lit. a)-c) rozporządzenia wykonawczego 14086. Co do zasady każda agencja musi wdrożyć strategie polityczne i procedury mające na celu zminimalizowanie rozpowszechniania i zatrzymywania danych osobowych gromadzonych za pośrednictwem rozpoznania radioelektronicznego (sekcja 2 lit. c) pkt (iii) ppkt A rozporządzenia wykonawczego 14086).
298 Zob. np. sekcja 309 ustawy o zatwierdzeniu działań wywiadowczych na rok budżetowy 2015; procedury minimalizacji przyjęte przez poszczególne agencje wywiadowcze na podstawie sekcji 702 ustawy o kontroli wywiadu i zatwierdzone przez Sąd ds. Kontroli Wywiadu; procedury zatwierdzone przez Prokuratora Generalnego i zgodnie z ustawą o rejestrach federalnych (FRA) (wymagające od agencji federalnych Stanów Zjednoczonych, w tym agencji bezpieczeństwa narodowego, ustanowienia okresów przechowywania ich dokumentacji, które to okresy muszą zostać zatwierdzone przez Krajową Administrację Archiwów i Rejestrów).
299 Sekcja 2 lit. c) pkt (iii) ppkt A pppkt 1 lit. a) oraz sekcja 5 lit. d) rozporządzenia wykonawczego 14086 w związku z sekcją 2.3 rozporządzenia wykonawczego 12333.
300 Sekcja 2 lit. c) pkt (iii) ppkt A pppkt 1 lit. b) i e) rozporządzenia wykonawczego 14086.
301 Zob. np. AGG-DOM stanowi na przykład, że FBI może rozpowszechniać informacje tylko wtedy, gdy odbiorcy niezbędna jest ta wiedza, aby wypełniać jego misję lub chronić społeczeństwo.
302 Sekcja 2 lit. c) pkt (iii) ppkt A pppkt 1 lit. c) rozporządzenia wykonawczego 14086. Agencje wywiadowcze mogą na przykład rozpowszechniać informacje w okolicznościach istotnych dla postępowania przygotowawczego lub związanych z przestępstwem, w tym na przykład poprzez rozpowszechnianie ostrzeżeń o groźbach zabójstwa, poważnego uszczerbku na zdrowiu lub porwania; rozpowszechnianie informacji na temat reagowania na cyberzagrożenia, incydenty lub włamania; oraz powiadamianie ofiar lub ostrzeganie potencjalnych ofiar przestępstw.
303 Sekcja 2 lit. c) pkt (iii) ppkt A pppkt 1 lit. d) rozporządzenia wykonawczego 14086.
304 Sekcja 2 lit. c) pkt (iii) ppkt E rozporządzenia wykonawczego 14086.
305 Zob. polityka CNSS nr 22, polityka zarządzania ryzykiem w cyberbezpieczeństwie i instrukcja CNSS 1253, która zawiera szczegółowe wytyczne dotyczące środków bezpieczeństwa, które należy wdrożyć w odniesieniu do systemów bezpieczeństwa narodowego.
306 Sekcja 2 lit. d) pkt (i) ppkt A-B rozporządzenia wykonawczego 14086.
307 Sekcja 2 lit. d) pkt (i) ppkt B-C rozporządzenia wykonawczego 14086.
308 Tj. systemowego lub celowego nieprzestrzegania mającego zastosowanie prawa amerykańskiego, które może podważyć reputację lub integralność jednostki Wspólnoty Wywiadowczej lub w inny sposób zakwestionować prawidłowość działań Wspólnoty Wywiadowczej, w tym w świetle jakiegokolwiek znaczącego wpływu na interesy w zakresie ochrony prywatności i wolności obywatelskich danej osoby lub danych osób, zob. sekcja 5 lit. l) rozporządzenia wykonawczego 14086.
309 Sekcja 2 lit. d) pkt (iii) rozporządzenia wykonawczego 14086.
310 Sekcja 2 lit. d) pkt (i) ppkt B rozporządzenia wykonawczego 14086.
311 Zob. tytuł 42 § 2000ee-1 U.S.C. Obejmuje to np. Departament Stanu, Departament Sprawiedliwości, Departament Bezpieczeństwa Wewnętrznego, Departament Obrony, Agencję Bezpieczeństwa Narodowego, Centralną Agencję Wywiadowczą (CIA), FBI i Urząd Dyrektora Krajowych Służb Wywiadowczych.
312 Zob. sekcja 3 lit. c) rozporządzenia wykonawczego 14086.
313 Tytuł 42 § 2000ee-1 lit. d) U.S.C.
314 Zob. tytuł 42 § 2000ee-1 lit. f) pkt 1 i 2 U.S.C. Na przykład ze sprawozdania Biura Wolności Obywatelskich, Ochrony Prywatności i Przejrzystości przy Agencji Bezpieczeństwa Narodowego obejmującego okres od stycznia 2021 r. do czerwca 2021 r. wynika, że przeprowadziło ono 591 przeglądów dotyczących wpływu na wolności obywatelskie i prywatność w różnych kontekstach, np. w odniesieniu do działań związanych z gromadzeniem danych, uzgodnień i decyzji dotyczących wymiany informacji, decyzji dotyczących przechowywania danych itp., z uwzględnieniem różnych czynników, takich jak ilość i rodzaj informacji związanych z tymi działaniami, zaangażowane osoby, cel i przewidywane wykorzystanie danych, zabezpieczenia stosowane w celu ograniczenia potencjalnego ryzyka dla prywatności itp. (https://media.defense.gov/2022/Apr/11/2002974486/-1/-1/1/REPORT%207_CLPT%20JANUARY%20-%20JUNE% 202021%20_FINAL.PDF). Podobnie sprawozdania Biura Ochrony Prywatności i Wolności Obywatelskich CIA za okres od stycznia do czerwca 2019 r. zawierają informacje na temat działań nadzorczych tego biura, np. przegląd zgodności z wytycznymi prokuratora generalnego na podstawie rozporządzenia wykonawczego 12333 w odniesieniu do zatrzymywania i rozpowszechniania informacji, wytyczne dotyczące wdrażania dyrektywy politycznej Prezydenta nr 28 oraz wymogi dotyczące identyfikowania i rozwiązywania problemu naruszeń ochrony danych, a także przeglądy wykorzystania danych osobowych i obchodzenia się z nimi (https://www.cia.gov/sta tic/9d762fbef6669c7e6d7f17e227fad82c/2019-Q1-Q2-CIA-OPCL-Semi-Annual-Report.pdf).
315 Inspektora Generalnego powołuje Prezydent za zgodą Senatu; Inspektor może zostać odwołany wyłącznie przez Prezydenta.
316 Inspektorzy Generalni są powoływani na określoną kadencję i mogą zostać odwołani wyłącznie przez Prezydenta, który musi przedstawić Kongresowi pisemne uzasadnienie decyzji o ich odwołaniu. Nie oznacza to jednak, że inspektorzy działają w całkowicie niezależny sposób. W niektórych przypadkach dyrektor departamentu może zakazać Inspektorowi Generalnemu wszczęcia, przeprowadzania lub zakończenia audytu lub dochodzenia, w przypadku gdy uzna to za konieczne do zabezpieczenia ważnych interesów narodowych (interesów związanych z bezpieczeństwem narodowym). Kongres musi jednak zostać poinformowany o tym, że dyrektor skorzystał z tego uprawnienia, co może stanowić podstawę do pociągnięcia go do odpowiedzialności. Zob. np. w ustawie o Inspektorze Generalnym z 1978 r.: § 8 (w odniesieniu do Departamentu Obrony); § 8E (w odniesieniu do DoJ), § 8G lit. d) pkt 2 ppkt A i B (w odniesieniu do Agencji Bezpieczeństwa Narodowego); 50. § 403q lit. b) U.S.C. (w odniesieniu do CIA); sekcja 405 lit. f) ustawy o zatwierdzeniu działań wywiadowczych na rok budżetowy 2010 (w odniesieniu do Wspólnoty Wywiadowczej).
317 Ustawa o Inspektorze Generalnym z 1978 r., z późniejszymi zmianami, Zbiór ustaw publicznych nr L. 117-108 z dnia 8 kwietnia 2022 r. Na przykład, jak wyjaśniono w półrocznych sprawozdaniach dla Kongresu obejmujących okres od 1 kwietnia 2021 r. do 31 marca 2022 r., Inspektor Generalny Agencji Bezpieczeństwa Narodowego przeprowadził oceny przetwarzania danych dotyczących obywateli i rezydentów USA zgromadzonych na podstawie rozporządzenia wykonawczego 12333, procesu usuwania danych z rozpoznania radioelektronicznego, zautomatyzowanego narzędzia do ukierunkowywania wykorzystywanego przez Agencję Bezpieczeństwa Narodowego oraz zgodności z zasadami dotyczącymi dokumentacji i zapytań w odniesieniu do gromadzenia danych na podstawie sekcji 702 ustawy o kontroli wywiadu, a także wydał szereg zaleceń w tym kontekście (zob.https://oig.nsa.gov/Portals/71/Reports/SAR/NSA%20OIG%20SAR%20-%20APR%202021%20-%20SEP%202021%20-%20Unclassified.pdf? ver=IwtrthntGdfEb-EKTOm3gg%3d%3d, s. 5-8 oraz https://oig.nsa.gov/Portals/71/Images/NSAOIGMAR2022.pdf? ver=jbq2rCrJ00HJ9qDXGHqHLw%3d%3d×tamp=1657810395907, s. 10-13). Zob. także niedawne audyty i dochodzenia przeprowadzone przez Inspektora Generalnego Wspólnoty Wywiadowczej w sprawie bezpieczeństwa informacji i nieuprawnionego ujawniania informacji niejawnych dotyczących bezpieczeństwa narodowego (https://www.dni.gov/files/ICIG/Documents/Publica tions/Semiannual%20Report/2021/ICIG_Semiannual_Report_April_2021_to_September_2021.pdf, s. 8, 11 i https://www.dni.gov/files/ICIG/Documents/News/ICIGNews/2022/Oct21_SAR/Oct%202021-Mar%202022%20ICIG%20SAR_Unclass_FINAL.pdf, s. 19-20).
318 Zob. § 6 ustawy o Inspektorze Generalnym z 1978 r.
319 Zob. ibid. §§ 4, 6-5.
320 Jeśli chodzi o działania następcze podejmowane w związku ze sprawozdaniami i zaleceniami Inspektorów Generalnych, zob. np. odpowiedź na sprawozdanie Inspektora Generalnego DoJ, w którym stwierdzono, że FBI nie było wystarczająco przejrzyste w stosunku do Sądu ds. Kontroli Wywiadu we wnioskach składanych w latach 2014-2019, co doprowadziło do reform mających na celu poprawę przestrzegania zasad, nadzoru i rozliczalności w FBI (np. dyrektor FBI nakazał podjęcie ponad 40 działań naprawczych, w tym 12 konkretnych działań w odniesieniu do procesu na podstawie ustawy o kontroli wywiadu dotyczących dokumentacji, nadzoru, prowadzenia akt, szkoleń i audytów) (zob.https://www.justice.gov/opa/pr/department-justice-and-federal-bureau-investigation- announce-critical-reforms-enhance oraz https://oig.justice.gov/reports/2019/o20012.pdf). Zob. na przykład również audyt Inspektora Generalnego DoJ dotyczący ról i obowiązków Biura Głównego Radcy Prawnego FBI w zakresie nadzorowania przestrzegania obowiązujących przepisów, polityk i procedur dotyczących działań FBI w zakresie bezpieczeństwa narodowego oraz dodatek 2 zawierający pismo od FBI, w którym zaakceptowano wszystkie zalecenia. W tym względzie dodatek 3 zawiera przegląd działań następczych i informacji, których Inspektor Generalny wymagał od FBI, by możliwe było zakończenie realizacji jego zaleceń (https:// oig.justice.gov/sites/default/files/reports/22-116.pdf).
321 Zob. § 4 ust. 5 i § 5 ustawy o Inspektorze Generalnym z 1978 r.
322 Zob. rozporządzenie wykonawcze 13462.
323 Sekcja 1.6 lit. c) rozporządzenia wykonawczego 12333.
324 Sekcja 8 lit. a) rozporządzenia wykonawczego 13462.
325 Sekcja 6 lit. b) rozporządzenia wykonawczego 13462.
326 Tytuł 42 § 2000ee lit. g) U.S.C.
327 Zob. tytuł 42 § 2000ee-1 lit. f) pkt 1 ppkt A pppkt (iii) U.S.C. Należy wśród nich wymienić przynajmniej Departament Sprawiedliwości, Departament Obrony, Departament Bezpieczeństwa Wewnętrznego, Dyrektora Krajowych Służb Wywiadowczych i Centralną Agencję Wywiadowczą, a także wszelkie inne departamenty, agencje lub jednostki struktury władzy wykonawczej wskazane jako właściwe przez PCLOB.
328 Tytuł 42 § 2000ee lit. e) U.S.C.
329 Tytuł 42 § 2000ee lit. f) U.S.C.
331 Tytuł 50 § 3091 U.S.C.
333 Zob. tytuł 50 § 3091 lit. a) ppkt 1 U.S.C. W przywołanym punkcie ustanowiono ogólne wymogi dotyczące nadzoru Kongresu nad kwestiami związanymi z bezpieczeństwem narodowym.
334 Zob. tytuł 50 § 3091 lit. b) U.S.C.
335 Zob. tytuł 50 §§ 1808, 1846, 1862, 1871 i 1881f U.S.C.
336 Zob. tytuł 50 § 1881f U.S.C.
337 Zob. tytuł 50 § 1881a lit. l) pkt 1 U.S.C.
338 Tytuł 50 § 1873 lit. b) U.S.C. Ponadto zgodnie z sekcją 402 "Dyrektor Krajowych Służb Wywiadowczych, w porozumieniu z prokuratorem generalnym, przeprowadza przegląd w przedmiocie zniesienia klauzuli tajności w odniesieniu do poszczególnych orzeczeń, zarządzeń lub opinii wydanych przez Sąd ds. Kontroli Wywiadu lub przez Sąd Odwoławczy ds. Kontroli Wywiadu (zgodnie z sekcją 601 lit. e)), w których dokonano istotnej interpretacji lub wykładni przepisów ustawowych, uwzględniając wszelkie nowe lub istotne interpretacje lub wykładnie pojęcia »konkretnego terminu umożliwiającego selekcję«, i - zgodnie z wynikami tego przeglądu - podaje takie orzeczenie, zarządzenie lub opinię do wiadomości publicznej w jak najszerszym zakresie".
339 Tytuł 50 § 1873 lit. b) pkt 7 i § 1874 U.S.C.
342 W przeszłości Sąd ds. Kontroli Wywiadu stwierdził, że "dla Sądu jest oczywiste, że agencje wykonawcze, jak również [Urząd Dyrektora Krajowych Służb Wywiadowczych] i [wydział bezpieczeństwa narodowego DoJ] przeznaczają znaczne zasoby na wykonywanie swoich obowiązków w zakresie zapewniania zgodności i sprawowania nadzoru zgodnie z sekcją 702. Co do zasady przypadki nieprzestrzegania zasad są szybko identyfikowane i podejmowane są odpowiednie działania naprawcze, do których należy usuwanie informacji, które uzyskano w nieprawidłowy sposób lub które w inny sposób podlegały wymogom zniszczenia zgodnie z obowiązującymi procedurami". Sąd ds. Kontroli Wywiadu, opinia i zarządzenie w sprawie memorandum [podpis utajniony] (2014 r.), dostępne pod adresem https://www.dni.gov/files/documents/0928/FISC%20Memorandum%20Opinion%20and%20Order%2026% 20August%202014.pdf
343 Zob. np. sprawozdanie DoJ/Urzędu Dyrektora Krajowych Służb Wywiadowczych dotyczące stosowania przepisów sekcji 702 ustawy o kontroli wywiadu za okres od czerwca 2018 r. do listopada 2018 r. przedłożone Sądowi ds. Kontroli Wywiadu, s. 21-65.
344 Tytuł 50 § 1803 lit. h) U.S.C. Zob. również sprawozdanie PCLOB dotyczące sekcji 702, s. 76. Zob. ponadto Sąd ds. Kontroli Wywiadu, opinia i zarządzenie w sprawie memorandum z dnia 3 października 2011 r. jako przykład nakazu usunięcia uchybień zobowiązującego rząd do wyeliminowania stwierdzonych uchybień w ciągu 30 dni. Tekst dostępny pod adresem: https://www.dni. gov/files/documents/0716/October-2011-Bates-Opinion-and%20Order-20140716.pdf Zob. pismo Waltona, sekcja 4, s. 10-11. Zob. także opinia Sądu ds. Kontroli Wywiadu z dnia 18 października 2018 r. dostępna pod adresem https://www.intelligence.gov/ assets/documents/702%20Documents/declassified/2018_Cert_FISC_Opin_18Oct18.pdf, którą to opinię potwierdził Sąd Odwoławczy ds. Kontroli Wywiadu w swojej opinii z dnia 12 lipca 2019 r., która jest dostępna pod adresem https://www.intelligence.gov/ assets/documents/702%20Documents/declassified/2018_Cert_FISCR_Opinion_12Jul19.pdf - Sąd ds. Kontroli Wywiadu m.in. nakazał w niej, aby rząd spełnił wobec niego określone wymogi w zakresie powiadamiania, dokumentacji i sprawozdawczości.
345 Zob. na przykład Sąd ds. Kontroli Wywiadu, opinia i zarządzenie w sprawie memorandum, s. 76 (6 grudnia 2019 r.) (zatwierdzone do podania do wiadomości publicznej w dniu 4 września 2020 r.), w którym to dokumencie Sąd ds. Kontroli Wywiadu nakazał, aby do 28 lutego 2020 r. rząd przedłożył pisemne sprawozdanie z kroków, które podjął w celu usprawnienia procesów identyfikowania i usuwania sprawozdań sporządzonych na podstawie informacji, o których mowa w art. 702 ustawy o kontroli wywiadu, które zostały wycofane ze względów dotyczących przestrzegania zasad, a także na temat innych kwestii. Zob. również załącznik VII.
346 Zob. załącznik VII.
347 Zob. sekcja 4 lit. k) pkt (iv) rozporządzenia wykonawczego 14086, która stanowi, że skargę do mechanizmu dochodzenia roszczeń musi wnieść skarżący działający we własnym imieniu (tj. nie jako przedstawiciel rządu, organizacji pozarządowej lub międzyrządowej). Pojęcie "osoby dotkniętej negatywnymi skutkami" nie wymaga od skarżącego osiągnięcia określonego progu, aby mieć dostęp do mechanizmu dochodzenia roszczeń (zob. motyw 178 w tym względzie). Wyjaśniono w nim raczej, że Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i Sąd Odwoławczy ds. Ochrony Danych są uprawnione do przeciwdziałania naruszeniom prawa Stanów Zjednoczonych regulującego działania w zakresie rozpoznania radioelektronicznego, które negatywnie wpływają na indywidualne interesy skarżącego w zakresie prywatności i wolności obywatelskich. Natomiast naruszenia wymogów wynikających z obowiązującego prawa Stanów Zjednoczonych, które nie mają na celu ochrony osób fizycznych (np. wymogów budżetowych), wykraczałyby poza jurysdykcję Biura Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych i Sądu Odwoławczego ds. Ochrony Danych.
348 Sekcja 3 lit. f) rozporządzenia wykonawczego 14086.
350 Sekcja 4 lit. d) pkt (v) rozporządzenia wykonawczego 14086.
351 Zob. sekcja 4 lit. k) pkt (i)-(iv) rozporządzenia wykonawczego 14086.
352 Sekcja 3 lit. c) pkt (iv) rozporządzenia wykonawczego 14086. Zob. również ustawa o bezpieczeństwie narodowym z 1947 r., tytuł 50 § 403-3d U.S.C., sekcja 103D dotycząca roli Biura Wolności Obywatelskich i Ochrony Prywatności w Urzędzie Dyrektora Krajowych Służb Wywiadowczych.
353 Tytuł 50 § 3029 lit. b) U.S.C.
354 Sekcja 3 lit. c) pkt (iv) rozporządzenia wykonawczego 14086.
355 Sekcja 3 lit. c) pkt (iii) rozporządzenia wykonawczego 14086.
356 Sekcja 3 lit. c) pkt (iv) rozporządzenia wykonawczego 14086.
357 Sekcja 3 lit. c) pkt (i) ppkt B pppkt (i) oraz (iii) rozporządzenia wykonawczego 14086.
358 Sekcja 3 lit. c) pkt (i) rozporządzenia wykonawczego 14086.
359 Sekcja 4 lit. a) rozporządzenia wykonawczego 14086.
360 Sekcja 3 lit. c) i d) rozporządzenia wykonawczego 14086.
361 Sekcja 3 lit. c) pkt (i) ppkt F-G rozporządzenia wykonawczego 14086.
362 Zob. również sekcja 3 lit. c) pkt (i) ppkt D rozporządzenia wykonawczego 14086.
363 Sekcja 3 lit. c) pkt (i) ppkt E pppkt 1 rozporządzenia wykonawczego 14086.
364 Sekcja 3 lit. c) pkt (i) ppkt E pppkt 2-3 rozporządzenia wykonawczego 14086.
365 § 201.6 lit. a)-b) zarządzenia prokuratora generalnego.
366 Sekcja 3 lit. d) pkt (i) oraz zarządzenie prokuratora generalnego. Sąd Najwyższy Stanów Zjednoczonych uznał możliwość powołania przez prokuratora generalnego niezależnych organów posiadających uprawnienia decyzyjne, w tym do orzekania w indywidualnych sprawach, zob. w szczególności Stany Zjednoczone ex rel. Accardi/Shaughnessy, 347 U.S. 260 (1954 r.) oraz Stany Zjednoczone/Ni- xon, 418 U.S. 683, 695 (1974 r.). Zgodność z różnymi wymogami rozporządzenia wykonawczego 14086, np. kryteriami i procedurą powoływania i odwoływania sędziów Sądu Odwoławczego ds. Ochrony Danych, podlega w szczególności nadzorowi Generalnego Inspektora Departamentu Sprawiedliwości (zob. również motyw 109 dotyczący ustawowej władzy inspektorów generalnych).
367 Sekcja 3 lit. d) pkt (i) ppkt A rozporządzenia wykonawczego 14086 i § 201.3 lit. a) zarządzenia prokuratora generalnego.
368 § 201.3 lit. b) zarządzenia prokuratora generalnego.
369 Sekcja 3 lit. d) pkt (i) ppkt B rozporządzenia wykonawczego 14086.
370 Sekcja 3 lit. d) pkt (i) ppkt A rozporządzenia wykonawczego 14086 i § 201.3 lit. a) i c) zarządzenia prokuratora generalnego. Osoby powołane do Sądu Odwoławczego ds. Ochrony Danych mogą uczestniczyć w działalności pozasądowej, w tym w działalności gospodarczej, działalności finansowej, działalności charytatywnej nienastawionej na zysk, działalności powierniczej oraz działalności prawniczej, jeżeli taka działalność nie zakłóca bezstronnego wykonywania ich obowiązków ani nie ogranicza skuteczności lub niezależności Sądu Odwoławczego ds. Ochrony Danych (§ 201.7 lit. c) zarządzenia prokuratora generalnego).
371 Sekcja 3 lit. d) pkt (iii)-(iv) rozporządzenia wykonawczego 14086 i § 201.7 lit. d) zarządzenia prokuratora generalnego.
372 Sekcja 3 lit. d) pkt (i) ppkt D rozporządzenia wykonawczego 14086 i § 201.9 zarządzenia prokuratora generalnego.
373 Sekcja 3 lit. d) pkt (iv) rozporządzenia wykonawczego 14086 i § 201.7 lit. d) zarządzenia prokuratora generalnego. Zob. również wyrok w sprawie Bumap/Stany Zjednoczone, 252 U.S. 512, 515 (1920), w którym potwierdzono długoletnią zasadę prawa amerykańskiego, zgodnie z którą uprawnienie do usunięcia jest zależne od uprawnienia do powoływania (co zostało również przypomniane przez Biuro Radców Prawnych Departamentu Sprawiedliwości w Konstytucyjnym oddzieleniu władzy między Prezydentem a Kongresem, 20 Op. O.L.C.). 124, 166 (1996)).
374 Sekcja 3 lit. d) pkt (i) ppkt B rozporządzenia wykonawczego 14086 i § 201.7 lit. a)-c) zarządzenia prokuratora generalnego. Biuro Ochrony Prywatności i Wolności Obywatelskich przy Departamencie Sprawiedliwości, które odpowiada za udzielanie wsparcia administracyjnego Sądowi Odwoławczemu ds. Ochrony Danych i rzecznikom specjalnym (zob. § 201.5 zarządzenia prokuratora generalnego), wybiera w systemie rotacyjnym trzyosobowy panel, dopilnowując przy tym, aby w skład każdego panelu wchodził co najmniej jeden sędzia mający wcześniejsze doświadczenie orzecznicze (w przypadku gdy żaden z sędziów wchodzących w skład panelu nie ma takiego doświadczenia, Biuro Ochrony Prywatności i Wolności Obywatelskich jako pierwszego sędziego wybiera prezesa sądu).
375 § 201.4 zarządzenia prokuratora generalnego. Prokurator generalny - w porozumieniu z sekretarzem handlu, Dyrektorem Krajowych Służb Wywiadowczych i PCLOB - wybiera co najmniej dwóch rzeczników specjalnych na dwie odnawialne kadencje. Rzecznicy specjalni muszą mieć odpowiednie doświadczenie w dziedzinie prawa dotyczącego prywatności i bezpieczeństwa narodowego, muszą być doświadczonymi adwokatami i aktywnymi członkami palestry o nieposzlakowanej opinii oraz muszą być należycie uprawnieni do wykonywania zawodu. Ponadto w chwili ich pierwotnego powołania nie mogą oni mieć historii zatrudnienia w strukturach władzy wykonawczej w ciągu ostatnich dwóch lat. Na potrzeby rozpatrzenia wniosku prezes sądu wybiera rzecznika specjalnego, którego zadaniem jest wspieranie panelu, zob. § 201.8 lit. a) zarządzenia prokuratora generalnego.
376 § 201.8 lit. c) i § 201.11 zarządzenia prokuratora generalnego.
377 Sekcja 3 lit. d) pkt (i) ppkt C rozporządzenia wykonawczego 14086 i § 201.8 lit. e) zarządzenia prokuratora generalnego. Rzecznik specjalny nie pełni funkcji przedstawiciela skarżącego ani nie pozostaje w relacji adwokat-klient ze skarżącym.
378 Zob. § 201.8 lit. d) i e) zarządzenia prokuratora generalnego. Takie pytania są najpierw analizowane przez Biuro Ochrony Prywatności i Wolności Obywatelskich w porozumieniu z odpowiednią jednostką Wspólnoty Wywiadowczej w celu zidentyfikowania i wyłączenia wszelkich informacji niejawnych, poufnych lub chronionych, zanim pytania te zostaną przekazane skarżącemu. Dodatkowe informacje otrzymane przez rzecznika specjalnego w odpowiedzi na takie pytania uwzględnia się w uwagach przekazywanych Sądowi Odwoławczemu ds. Ochrony Danych przez rzecznika specjalnego.
379 Sekcja 3 lit. d) pkt (i) ppkt D rozporządzenia wykonawczego 14086.
380 Sekcja 3 lit. d) pkt (iii) rozporządzenia wykonawczego 14086 i § 201.9 lit. b) zarządzenia prokuratora generalnego.
381 Sekcja 3 lit. d) pkt (i) ppkt E rozporządzenia wykonawczego 14086 i § 201.9 lit. c)-e) zarządzenia prokuratora generalnego. Zgodnie z definicją "odpowiednich środków zaradczych" zawartą w sekcji 4 lit. a) rozporządzenia wykonawczego 14086 Sąd Odwoławczy ds. Ochrony Danych musi uwzględnić "sposób, w jaki zwyczajowo zaradzono stwierdzonym naruszeniu" przy podejmowaniu decyzji w sprawie środka zaradczego w celu pełnego zaradzenia naruszeniu, tj. Sąd Odwoławczy ds. Ochrony Danych rozważy między innymi, w jaki sposób podobne problemy związane z przestrzeganiem przepisów zostały w przeszłości usunięte, aby zapewnić skuteczność i stosowność środka zaradczego.
382 Sekcja 4 lit. a) rozporządzenia wykonawczego 14086.
383 Sekcja 3 lit. d) pkt (ii) rozporządzenia wykonawczego 14086 i § 201.9 lit. g) zarządzenia prokuratora generalnego. Ponieważ decyzja Sądu Odwoławczego ds. Ochrony Danych jest ostateczna i wiążąca, żadna inna instytucja/organ wykonawczy lub administracyjny (w tym Prezydent Stanów Zjednoczonych) nie może jej uchylić. Potwierdziło to również orzecznictwo Sądu Najwyższego, w którym wyjaśniono, że delegując wyjątkową odpowiedzialność prokuratora generalnego w ramach struktury władzy wykonawczej do wydawania wiążących decyzji na niezależny organ, prokurator generalny odmawia sobie w jakikolwiek sposób zdolności wywarcia decydującego wpływu na ten organ (zob. United States ex rel. Accardi/Shaughnessy, 347 U.S. 260 (1954)).
384 Sekcja 3 lit. d) pkt (i) ppkt F rozporządzenia wykonawczego 14086 i § 201.9 lit. i) zarządzenia prokuratora generalnego.
385 § 201.9 lit. h) zarządzenia prokuratora generalnego.
386 Sekcja 3 lit. d) pkt (i) ppkt H rozporządzenia wykonawczego 14086 i § 201.9 lit. h) zarządzenia prokuratora generalnego. Jeżeli chodzi o charakter zgłoszenia, zob. sekcja 201.9 lit. h) pkt 3 zarządzenia prokuratora generalnego.
387 § 201.9 lit. j) zarządzenia prokuratora generalnego.
388 Sekcja 3 lit. d) pkt (v) ppkt A rozporządzenia wykonawczego 14086.
389 Sekcja 3 lit. d) pkt (v) rozporządzenia wykonawczego 14086.
391 Aby uzyskać dostęp do tych środków, należy wykazać legitymację procesową. Norma ta, która ma zastosowanie do wszystkich osób fizycznych niezależnie od ich narodowości, wywodzi się z wymogu istnienia "sprawy lub sporu" (ang. case or controversy) z art. III konstytucji USA. Zdaniem Sądu Najwyższego wymóg ten obejmuje następujące przesłanki: 1) osoba fizyczna doznała "faktycznej szkody" (tj. konkretnej, specyficznej i rzeczywistej lub nieuchronnej szkody dotyczącej interesu prawnie chronionego), 2) istnieje związek przyczynowy między szkodą i zachowaniem zaskarżonym przed sądem oraz 3) prawdopodobne jest (nie jest spekulacją), że korzystne orzeczenie sądu pozwoli wyeliminować tę szkodę (zob. Lujan/Defenders of Wildlife, t. 504 rejestru United States Reports, s. 555 (1992)).
392 Tytuł 18 § 2712 U.S.C.
393 Tytuł 50 § 1810 U.S.C.
394 Tytuł 50 § 1806 U.S.C.
395 Zob., odpowiednio, Brady/Maryland, t. 373 rejestru United States Reports, s. 83 (1963) i ustawa Jencksa, tytuł 18 § 3500 U.S.C.
396 Tytuł 18 § 1030 U.S.C.
397 Tytuł 18 §§ 2701-2712 U.S.C.
398 Tytuł 12 § 3417 U.S.C.
399 Tytuł 5 § 702 U.S.C.
400 Zasadniczo przedmiotem kontroli sądowej może być wyłącznie "końcowe" działanie agencji, a nie jej "wstępne, procesowe lub pośrednie" działanie. Zob. tytuł 5 § 704 U.S.C.
401 Tytuł 5 § 706 ust. 2 pkt A U.S.C.
402 ACLU/Clapper, 785 F.3d 787 (2d Cir. 2015), program hurtowego gromadzenia danych telefonicznych, zaskarżony w tych sprawach, został zakończony na mocy amerykańskiej ustawy o wolności w 2015 r.
403 Tytuł 5 § 552 U.S.C. Podobne przepisy obowiązują na szczeblu stanowym.
404 Jeżeli ma to miejsce, osoba fizyczna otrzyma zazwyczaj tylko standardową odpowiedź, w której agencja odmówi potwierdzenia istnienia jakichkolwiek rejestrów tego rodzaju lub zaprzeczenia istnieniu takich rejestrów. Zob. wyrok w sprawie ACLU/CIA, 710 F.3d 422 (D.C. Cir. 2014). Kryteria i czas trwania klauzuli tajności określono w dekrecie 13526, który stanowi co do zasady, że należy ustalić konkretną datę lub zdarzenie dla odtajnienia w oparciu o okres wrażliwości informacji pod względem bezpieczeństwa narodowego, w którym to momencie informacje muszą zostać automatycznie odtajnione (zob. sekcja 1.5 rozporządzenia wykonawczego 13526).
405 Sąd na nowo ustala, czy udostępnienie rejestrów zostało wstrzymane zgodnie z prawem, oraz może nakazać rządowi zapewnienie dostępu do rejestrów (tytuł 5 § 552 lit. a) ust. 4 pkt B U.S.C.).
406 Schrems, pkt 65.
407 Schrems, pkt 65: "W tym względzie do krajowego ustawodawcy należy ustanowienie drogi prawnej umożliwiającej krajowemu organowi nadzorczemu podniesienie zarzutów, które uważa on za zasadne, przed sądami krajowymi, po to, aby te ostatnie, jeśli podzielają wątpliwości tego organu co do ważności decyzji Komisji, wystąpiły z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w celu zbadania ważności tej decyzji".
408 Schrems, pkt 76.
409 Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679 "[w] akcie wykonawczym przewiduje się mechanizm okresowego przeglądu [...], podczas którego uwzględnia się wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej".
410 Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679 okresowy przegląd musi odbywać się "przynajmniej raz na cztery lata". Zob. również Europejska Rada Ochrony Danych, dokument w sprawie odpowiedniego stopnia ochrony, WP 254 rev.01.
411 Opinia 5/2023 w sprawie projektu decyzji wykonawczej Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do ram ochrony danych UE-USA z dnia 28 lutego 2023 r.
412 Rezolucja Parlamentu Europejskiego z dnia 11 maja 2023 r. w sprawie adekwatności ochrony zapewnianej przez ramy ochrony danych UE-USA (2023/2501(RSP).
413 Jeśli decyzja Komisji w sprawie adekwatności ochrony przewidzianej w DPF UE-USA ma zastosowanie do Islandii, Liechtensteinu i Norwegii, DPF UE-USA obejmie zarówno UE, jak i te trzy kraje. Z tego względu odniesienia do UE i jej państw członkowskich należy rozumieć jako obejmujące Islandię, Liechtenstein i Norwegię.
414 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
415 Zasady ramowe Tarczy Prywatności UE-USA zostały zmienione i zastąpione "zasadami ramowymi ochrony danych UE-USA". (Zob. zasada uzupełniająca dotycząca samocertyfikacji).
416 Rozporządzenie wykonawcze z dnia 7 października 2022 r. w sprawie poprawy zabezpieczeń dotyczących działań Stanów Zjednoczonych w zakresie rozpoznania radioelektronicznego.
417 Zob. np. sekcja c) zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności.
418 W zależności od okoliczności przykładami dopuszczalnych celów przetwarzania mogą być cele służące w sposób zasadny relacjom z klientami, zgodność i względy prawne, audyt, bezpieczeństwo i zapobieganie oszustwom, zachowanie praw podmiotu i ich obrona, lub inne cele zgodne z oczekiwaniami, jakie może mieć racjonalna osoba pod względem gromadzenia danych.
419 W tym kontekście, jeśli biorąc pod uwagę środki, jakimi można się racjonalnie posłużyć w celu identyfikacji (uwzględniając m.in. koszty i czas potrzebny do zidentyfikowania danej osoby oraz technologię dostępną w momencie przetwarzania danych), a także formę, w jakiej dane są zachowywane, osoba fizyczna może być racjonalnie zidentyfikowana przez podmiot lub stronę trzecią - gdyby ta osoba trzecia miała dostęp do danych - wówczas osoba fizyczna jest "możliwa do zidentyfikowania".
420 Zgłoszenia musi dokonać - za pośrednictwem strony internetowej departamentu dotyczącej ram ochrony danych - przedstawiciel podmiotu upoważniony do składania oświadczeń w imieniu podmiotu i dowolnej z jednostek objętych przez podmiot obowiązkiem przestrzegania zasad.
421 Główna "osoba do kontaktu w imieniu podmiotu" lub "członek zarządu podmiotu" nie może być osobą spoza podmiotu (np. zewnętrznym doradcą lub zewnętrznym konsultantem).
422 Zob. zasada uzupełniająca dotycząca weryfikacji.
423 Zob. zasada uzupełniająca dotycząca rozstrzygania sporów i egzekwowania prawa.
424 Podmiot dokonujący samocertyfikacji po raz pierwszy nie może deklarować uczestnictwa w DPF UE-USA w swojej ostatecznej polityce prywatności, dopóki departament nie powiadomi go, że może to zrobić. Przy składaniu wstępnej samocertyfikacji podmiot musi przedstawić departamentowi projekt polityki prywatności, która jest zgodna z zasadami. Po ustaleniu przez departament, że wstępne zgłoszenie samocertyfikacji złożone przez podmiot jest kompletne, departament powiadomi podmiot, że powinien on sfinalizować (np. - w stosownych przypadkach - opublikować) swoją politykę prywatności zgodną z DPF UE-USA. Podmiot musi niezwłocznie powiadomić departament z chwilą, gdy odpowiednia polityka prywatności zostanie sfinalizowana; departament umieści wówczas ten podmiot w wykazie DPF.
425 Jeśli w momencie wycofania się podmiot zdecyduje się zachować dane osobowe, które otrzymał w oparciu o DPF UE-USA, i corocznie potwierdzać departamentowi, że nadal stosuje zasady do takich danych, podmiot musi udokumentować departamentowi raz w roku po wycofaniu się (tj. chyba że i dopóki podmiot nie zapewni "odpowiedniej" ochrony takich danych za pomocą innych zatwierdzonych środków lub zwróci lub usunie wszystkie takie dane i powiadomi o tym departament), w jaki sposób postąpił z tymi danymi osobowymi, w jaki sposób postąpi z wszelkimi danymi osobowymi, które nadal przechowuje, oraz wskazać stałą osobę odpowiedzialną za kontakty w sprawie pytań związanych z zasadami.
426 Podmiot powinien udzielać odpowiedzi na zapytania osoby fizycznej dotyczące celów przetwarzania danych, kategorii przetwarzanych danych osobowych oraz odbiorców lub kategorii odbiorców, którym dane osobowe są ujawniane.
427 Zasady, Przegląd, pkt 5.
428 Niezależne organy ds. rozstrzygania sporów dysponują swobodą uznania co do okoliczności, w jakich zdecydują się na nałożenie tych sankcji. Wrażliwość danych stanowi jeden z czynników, jaki należy wziąć pod uwagę przy podejmowaniu decyzji, czy w danym przypadku zachodzi konieczność usunięcia danych, a także czy podmiot gromadził informacje, korzystał z nich lub ujawniał je z rażącym naruszeniem zasad.
429 Departament wskaże w powiadomieniu termin, koniecznie krótszy niż 30 dni, w którym podmiot ma odpowiedzieć na powiadomienie.
430 Zasady, przegląd, pkt 5.
431 Rozdział 2 federalnej ustawy o arbitrażu stanowi, że "umowa o arbitraż lub orzeczenie arbitrażowe wynikające ze stosunku prawnego, umownego bądź nie, które uznaje się za handlowe, w tym transakcja, kontrakt lub umowa opisane w [sekcji 2 federalnej ustawy o arbitrażu], podlega postanowieniom Konwencji [o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych z dnia 10 czerwca 1958 r., Zbiór traktatów i innych umów międzynarodowych, których USA są stroną (U.S.T.), tom 21, s. 2519, Zbiór tekstów umów międzynarodowych, których USA są stroną (T.I.A.S.) Nr 6997 ("konwencja nowojorska")]". Tytuł 9 § 202 U.S.C. Federalna ustawa o arbitrażu stanowi również, że "uznaje się, iż umowa lub orzeczenie wynikające ze stosunku istniejącego w całości między obywatelami Stanów Zjednoczonych nie podlega postanowieniom konwencji [nowojorskiej], chyba że stosunek taki dotyczy majątku znajdującego się za granicą, przewiduje podjęcie działać lub wykonanie za granicą lub jest w inny zasadny sposób powiązany z jednym państwem obcym lub większą ich liczbą". Tamże. Zgodnie z rozdziałem 2 "każda ze stron arbitrażu może wystąpić do dowolnego sądu posiadającego właściwość na mocy tego rozdziału o zatwierdzenie orzeczenia na niekorzyść dowolnej strony przeciwnej postępowania arbitrażowego. Sąd zatwierdzi orzeczenie, chyba że znajdzie jakąkolwiek podstawę do odmowy lub odroczenia uznania lub wykonania orzeczenia określonego we wspomnianej konwencji [nowojorskiej]". Tamże, § 207. Rozdział 2 stanowi również, że "sądy pierwszej instancji Stanów Zjednoczonych [.. .] są właściwe do orzekania [.. .] w sprawie powództwa lub postępowania [podlegającego konwencji nowojorskiej], niezależnie od wartości przedmiotu sporu". Tamże, § 203.
432 Międzynarodowe Centrum Rozstrzygania Sporów ("ICDR"), czyli dział ds. międzynarodowych Amerykańskiego Stowarzyszenia Arbitrażowego ("AAA") (określane zbiorczo "ICDR-AAA"), zostało wybrane przez departament do administrowania postępowaniami arbitrażowymi na podstawie i zarządzania funduszem arbitrażowym określonym w załączniku I do zasad. 15 września 2017 r. departament i Komisja uzgodniły przyjęcie zestawu zasad arbitrażowych regulujących wiążące postępowania arbitrażowe opisane w załączniku I do zasad, a także kodeksu postępowania dla arbitrów, który jest zgodny z ogólnie przyjętymi standardami etycznymi dla arbitrów handlowych i załącznikiem I do zasad. Departament i Komisja uzgodniły, że zasady arbitrażu i kodeks postępowania będą aktualizowane w celu odzwierciedlenia aktualizacji DPF UE-USA, a departament będzie współpracował z ICDR-AAA w celu wprowadzenia tych aktualizacji.
433 Pod warunkiem że decyzja Komisji w sprawie adekwatności ochrony przewidzianej w ramach ochrony danych UE-USA ma zastosowanie do Islandii, Liechtensteinu i Norwegii, pakiet ram ochrony danych UE-USA obejmuje zarówno Unię Europejską, jak i te trzy kraje.
434 Podmioty, które w drodze samocertyfikacji potwierdziły swoje zobowiązanie do przestrzegania zasad ramowych Tarczy Prywatności UE-USA i chcą czerpać korzyści z uczestnictwa w DPF UE-USA, muszą przestrzegać "zasad ramowych ochrony danych UE-USA". Zobowiązanie do przestrzegania "zasad ramowych ochrony danych UE-USA" zostanie odzwierciedlone w polityce prywatności tych podmiotów uczestniczących tak szybko, jak to możliwe, a w każdym razie nie później niż trzy miesiące od daty wejścia w życie "zasad ramowych ochrony danych UE-USA". (Zob. sekcja e) zasady uzupełniającej dotyczącej samocertyfikacji).
435 Przykładowo w przypadku ponownej certyfikacji oczekuje się, że podmioty rozwiążą wszelkie takie problemy w terminie 45 dni; z zastrzeżeniem wyznaczenia przez departament innych, odpowiednich ram czasowych.
436 Międzynarodowe Centrum Rozstrzygania Sporów ("ICDR"), czyli dział ds. międzynarodowych Amerykańskiego Stowarzyszenia Arbitrażowego ("AAA") (określane zbiorczo "ICDR-AAA"), zostało wybrane przez departament do administrowania postępowaniami arbitrażowymi na podstawie i zarządzania funduszem arbitrażowym określonym w załączniku I do zasad.
437 15 września 2017 r. departament i Komisja uzgodniły przyjęcie zestawu zasad arbitrażowych regulujących wiążące postępowania arbitrażowe opisane w załączniku I do zasad, a także kodeksu postępowania dla arbitrów, który jest zgodny z ogólnie przyjętymi standardami etycznymi dla arbitrów handlowych i załącznikiem I do zasad. Departament i Komisja uzgodniły, że zasady arbitrażu i kodeks postępowania będą aktualizowane w celu odzwierciedlenia aktualizacji DPF UE-USA, a departament będzie współpracował z ICDR- AAA w celu wprowadzenia tych aktualizacji.
438 Pismo przewodniczącej Edith Ramirez do Věry Jourovej, komisarz do spraw sprawiedliwości, konsumentów i równouprawnienia płci Komisji Europejskiej, opisujące egzekwowanie nowych ram Tarczy Prywatności UE-USA przez Federalną Komisję Handlu (29 lutego 2016 r.), dostępne pod adresem: https://www.ftc.gov/legal-library/browse/cases-proceedings/public-statements/letter-chairwoman-edith- ramirez-vera-jourova-commissioner-justice-consumers-gender-equality-european. FTC wcześniej zobowiązała się również do egzekwowania programu "bezpieczna przystań" UE-USA. Pismo Roberta Pitofskiego, przewodniczącego FTC, do Johna Mogga, dyrektora DG ds. Rynku Wewnętrznego, Komisja Europejska (14 lipca 2000 r.), dostępne pod adresem: https://www.federalregister.gov/documents/ 2000/07/24/00-18489/issuance-of-safe-harbor-principles-and-transmission-to-european-commission. Pismo to zastępuje wspomniane wcześniejsze zobowiązania.
439 Tytuł 15 § 45 lit. a) U.S.C. FTC nie przysługują uprawnienia na gruncie prawa karnego lub w dziedzinie bezpieczeństwa narodowego. FTC nie może także realizować większości innych działań rządowych. Ponadto wprowadzono wyjątki dotyczące właściwości FTC w obszarze związanym z handlem m.in. w odniesieniu do banków, przewoźników lotniczych i zakładów ubezpieczeń oraz wspólnej działalności transportowej dostawców usług telekomunikacyjnych. FTC nie jest również właściwa do rozstrzygania spraw dotyczących większości organizacji non-profit, ale przysługuje jej właściwość w odniesieniu do fałszywych organizacji charytatywnych lub innych organizacji non-profit, które w istocie nastawione są na osiągnięcie zysku. FTC przysługuje również właściwość w odniesieniu do organizacji non-profit, które działają na rzecz swoich członków nastawionych na osiągnięcie zysku m.in. poprzez zapewnienie tym członkom znacznych korzyści gospodarczych. W niektórych przypadkach właściwość FTC jest zbieżna z właściwością innych agencji egzekwowania prawa. Wypracowaliśmy bliskie relacje z organami federalnymi i stanowymi oraz ściśle z nimi współpracujemy w celu koordynowania dochodzeń lub, w stosownych przypadkach, dokonania zgłoszeń.
441 Zob. komunikat prasowy, FTC, FTC bada zasady służące ograniczeniu praktyk w zakresie nadzoru handlowego i zapewniania niewystarczającego bezpieczeństwa danych (11 sierpnia 2022 r.) dostępny pod adresem: https://www.ftc.gov/news-events/news/press-relea ses/2022/08/ftc-explores-rules-cracking-down-commercial-surveillance-lax-data-security-practices
442 Zob. Wspólne oświadczenie prasowe Didiera Reyndersa, komisarza ds. wymiaru sprawiedliwości Komisji Europejskiej, i Liny Khan, przewodniczącej Federalnej Komisji Handlu Stanów Zjednoczonych (30 marca 2022 r.), dostępne pod adresem: https://www.ftc.gov/ system/files/ftc_gov/pdf/Joint%20FTC-EC%20Statement%20informal%20dialogue%20consumer%20protection%20issues.pdf.
444 Tytuł 15 § 45 lit. a) ppkt 4 część B U.S.C. Ponadto "nieuczciwe lub wprowadzające w błąd czyny lub praktyki" obejmują takie czyny lub praktyki obejmujące handel zagraniczny, które (i) powodują lub mogą spowodować możliwe do przewidzenia szkody w Stanach Zjednoczonych lub (ii) obejmują prowadzenie istotnych operacji w Stanach Zjednoczonych. Tytuł 15 § 45 lit. a) ppkt 4 część A U.S.C. o ochronie prywatności dzieci w internecie i na których gromadzone są dane osobowe małoletnich cudzoziemców, muszą spełniać wymogi ustawy o ochronie prywatności dzieci w internecie. Strony i usługi internetowe na serwerach zagranicznych muszą również spełniać wymogi ustawy o ochronie prywatności dzieci w internecie, jeżeli są skierowane do dzieci w Stanach Zjednoczonych lub jeżeli na stronach tych świadomie gromadzone są dane osobowe dzieci w Stanach Zjednoczonych. Ponadto poza przepisami amerykańskiego prawa federalnego, których wykonanie FTC egzekwuje, dodatkowe korzyści dla konsumentów z UE zapewniają inne federalne i stanowe przepisy dotyczące ochrony konsumentów, naruszeń ochrony danych i ochrony prywatności.
445 Zob. dodatek A w celu zapoznania się z wykazem kwestii podejmowanych przez FTC w związku z programem "bezpieczna przystań" i Tarczą Prywatności.
446 Zob. komunikat prasowy FTC, FTC nakłada na spółkę Twitter karę za oszukańcze wykorzystywanie danych zapewniających bezpieczeństwo kont do sprzedaży targetowanych reklam (25 maja 2022 r.), dostępny pod adresem: https://www.ftc.gov/news-events/news/ press-releases/2022/05/ftc-charges-twitter-deceptively-using-account-security-data-sell-targeted-ads.
449 Pismo Marisy Lago, podsekretarz handlu międzynarodowego, do Pana Didiera Reyndersa, komisarza ds. wymiaru sprawiedliwości Komisji Europejskiej (12 grudnia 2022 r.).
450 Chociaż FTC nie rozstrzyga indywidualnych skarg konsumenckich ani nie pośredniczy w ich rozstrzyganiu, FTC potwierdza, że będzie przyznawać pierwszeństwo zgłoszeniom dotyczącym zasad DPF UE-USA wniesionym przez unijne organy ochrony danych. Co więcej, FTC wykorzystuje skargi znajdujące się w bazie danych "straż konsumencka" (ang. Consumer Sentinel), do której dostęp ma wiele innych agencji egzekwowania prawa, aby określać tendencje, wskazywać priorytety egzekwowania prawa i identyfikować potencjalne cele dochodzenia. Osoby fizyczne z Unii Europejskiej mogą korzystać z tego samego systemu składania skarg, który jest dostępny dla amerykańskich konsumentów, aby złożyć skargę do FTC; jest on dostępny pod adresem: https://reportfraud.ftc.gov/. W przypadku indywidualnych skarg dotyczących zasad DPF UE-USA najbardziej użyteczną drogą dla osób fizycznych z Unii Europejskiej może być jednak wnoszenie skarg do organu ochrony danych lub niezależnego organu ds. rozstrzygania sporów w ich państwie członkowskim.
451 Tytuł 15 § 45 lit. m) U.S.C.; tytuł 16 § 1.98 kodeksu przepisów federalnych (ang. Code of Federal Regulations, "C.F.R."). Kwota ta jest okresowo korygowana o inflację.
454 Określając, czy powinna skorzystać ze swojego uprawnienia na podstawie amerykańskiej ustawy o bezpieczeństwie w sieci, FTC uwzględnia między innymi: "A) czy agencja, która wystąpiła o wsparcie, zgodziła się zapewnić lub zapewni wzajemne wsparcie Komisji; B) czy zrealizowanie wniosku odbyłoby się ze szkodą dla amerykańskiego interesu publicznego oraz C) czy dochodzenie lub postępowanie służące egzekwowaniu prawa prowadzone przez agencję, która wystąpiła o wsparcie, dotyczy działań lub praktyk, które powodują lub które mogą spowodować szkodę dla znacznej liczby osób". Tytuł 15 § 46 lit. j) ppkt 3 U.S.C. To uprawnienie nie ma zastosowania do egzekwowania przepisów prawa konkurencji.
456 Dawniej znany pod nazwą Urzędu ds. Egzekwowania Prawa i Prowadzenia Postępowań w Lotnictwie.
458 W niniejszym przeglądzie nie opisano narzędzi dochodzeniowych w obszarze bezpieczeństwa narodowego wykorzystywanych przez organy egzekwowania prawa w dochodzeniach dotyczących terroryzmu i dochodzeniach dotyczących innych kwestii związanych z bezpieczeństwem narodowym, w tym wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego dotyczącego określonych informacji pochodzących ze sprawozdań kredytowych, dokumentacji finansowej, dokumentacji abonenta elektronicznego i dokumentacji dotyczącej transakcji (tytuł 12 § 3414 U.S.C.; tytuł 15 § 1681u U.S.C., tytuł 15 § 1681v U.S.C.; tytuł 18 § 2709 U.S.C.;, tytuł 50 § 3162 U.S.C.), a także informacji zgromadzonych w ramach obserwacji elektronicznej, nakazów przeszukania, dokumentacji dotyczącej prowadzonej działalności oraz innego rodzaju informacji zgromadzonych zgodnie z przepisami ustawy o kontroli wywiadu (tytuł 50 § 1801 i nast.).
459 W niniejszym piśmie omówiono federalne organy egzekwowania prawa i organy regulacyjne; w przypadkach naruszenia prawa stanowego dochodzenie prowadzą organy egzekwowania prawa na szczeblu stanowym, a postępowanie sądowe toczy się w sądach stanowych. Organy egzekwowania prawa na szczeblu stanowym korzystają z nakazów i wezwań wystawianych zgodnie z prawem stanowym, stosując zasadniczo takie same procedury jak te opisane w niniejszym piśmie, przy czym stanowe pisma sądowe mogą być objęte gwarancjami przewidzianymi w konstytucjach stanowych, których zakres wykracza poza zakres gwarancji przewidzianych w konstytucji Stanów Zjednoczonych. Gwarancje przewidziane w prawie stanowym muszą być co najmniej równoważne środkom przewidzianym w konstytucji Stanów Zjednoczonych, poprzez uwzględnienie co najmniej postanowień czwartej poprawki.
460 Omówione powyżej zasady wynikające z czwartej poprawki, dotyczące ochrony prywatności i interesów bezpieczeństwa, są regularnie stosowane przez sądy amerykańskie w odniesieniu do nowych rodzajów narzędzi egzekwowania prawa, których zastosowanie jest możliwe dzięki rozwojowi technologii. Na przykład w 2018 r. Sąd Najwyższy orzekł, że pozyskiwanie przez rząd w ramach egzekwowania prawa historycznych informacji o lokalizacji telefonu komórkowego od operatora telefonii komórkowej przez dłuższy wyczerpuje definicję "przeszukania" podlegającego wymogowi posiadania nakazu takiego przeszukania wynikającemu z czwartej poprawki. Sprawa Carpenter przeciwko Stanom Zjednoczonym, zbiór orzeczeń Sądu Najwyższego (S. Ct.) t. 138 s. 2206, 2018.
461 Ponadto w sekcji 2705 lit. b) ustawy o przechowywanych danych przekazywanych za pomocą łączności elektronicznej upoważniono rząd do uzyskania nakazu sądowego w oparciu o wykazaną potrzebę ochrony przed ujawnieniem, jednocześnie zakazując dostawcy usług telekomunikacyjnych dobrowolnego powiadamiania swoich użytkowników o otrzymaniu pisma sądowego w związku z przepisami tej ustawy. W październiku 2017 r. Zastępca Prokuratora Generalnego Rod Rosenstein wydał memorandum skierowane do prawników i przedstawicieli DoJ, w którym określił wytyczne mające na celu zapewnienie, aby wnioski o takie nakazy zabezpieczające były dostosowane do konkretnych faktów i obaw związanych z dochodzeniem, oraz ustanowił ogólny roczny limit czasu, przez jaki możliwe jest dążenie do opóźnienia powiadomienia na podstawie wniosku. W maju 2022 r. zastępca prokuratora generalnego Lisa Monaco wydała dodatkowe wytyczne na ten temat, na mocy których m.in. ustanowiono wewnętrzne wymagania DoJ dotyczące zatwierdzania wniosków o przedłużenie nakazu zabezpieczającego poza początkowo ustalony okres jednego roku i wprowadzono wymóg zaprzestania wykonywania nakazów zabezpieczających po zakończeniu dochodzenia.
462 Od 2001 r. do 2020 r. na mocy tytułu V ustawy o kontroli wywiadu FBI było upoważnione do ubiegania się o zezwolenie od Sądu ds. Kontroli Wywiadu na uzyskanie "przedmiotów materialnych", które są istotne w niektórych zatwierdzonych dochodzeniach. Zob. amerykańska ustawa antyterrorystyczna ("USA Patriot Act"), Pub. L. nr 107-56, 115 Stat. 272, § 215 (2001). Ta obecnie wygasła, a zatem niestanowiąca już części obowiązującego prawa ustawa nadawała rządowi upoważnienie, na podstawie którego w pewnym momencie hurtowo gromadził on metadane telefoniczne. Jednak jeszcze przed jej wygaśnięciem ustawa ta została zmieniona amerykańską ustawą o wolności w taki sposób, aby od rządu wymagane było oparcie wniosku kierowanego do Sądu ds. Kontroli Wywiadu na "konkretnych terminach umożliwiających selekcję". Zob. amerykańska ustawa o wolności ("USA Freedom Act"), Pub. L. nr 114-23, 129 Stat. 268, § I 03 (2015).
463 W sekcjach 703 i 704, na mocy których Wspólnota Wywiadowcza upoważniona jest do namierzania obywateli i rezydentów Stanów Zjednoczonych przebywających za granicą, zawarto wymóg wydania nakazu sądowego (z wyjątkiem nagłych przypadków) oraz wymóg każdorazowego istnienia uzasadnionego podejrzenia pozwalającego przypuszczać, że dana osoba działa na korzyść innego kraju, jest jego przedstawicielem, funkcjonariuszem lub pracownikiem. Zob. tytuł 50 § 1881b i 1881c U.S.C.