(1)

Az (EU) 2016/679 rendelet (2) meghatározza a személyes adatoknak az uniós adatkezelők vagy adatfeldolgozók által a harmadik országokba és a nemzetközi szervezeteknek történő továbbítására vonatkozó szabályokat, amennyiben az említett adattovábbítás az alkalmazási körébe tartozik. A nemzetközi adattovábbításra vonatkozó szabályokat az említett rendelet V. fejezete állapítja meg. Noha a személyes adatok Európai Unión kívüli országokba és onnan az Unióba történő áramlása elengedhetetlen a határokon átnyúló kereskedelem és a nemzetközi együttműködés bővítéséhez, a személyes adatoknak az Európai Unióban biztosított védelmi szintje nem sérülhet a harmadik országokba vagy nemzetközi szervezetek részére történő továbbítás esetén (3).

(2)

Az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése értelmében a Bizottság végrehajtási jogi aktusok útján határozhat arról, hogy a harmadik ország, a harmadik ország valamely területe, illetve egy vagy több meghatározott ágazata biztosítja a megfelelő szintű védelmet. E feltétel teljesülése esetén a személyes adatok harmadik országba történő továbbítására további engedély beszerzése nélkül kerülhet sor, az (EU) 2016/679 rendelet 45. cikke (1) bekezdésében és (103) preambulumbekezdésében előírtak szerint.

(3)

Az (EU) 2016/679 rendelet 45. cikkének (2) bekezdésében foglaltak szerint, a megfelelőségi határozat elfogadásának a harmadik ország jogrendjére vonatkozó átfogó elemzésen kell alapulnia, lefedve mind az adatátvevőre vonatkozó szabályokat, mind a személyes adatokhoz való, közigazgatási szervek általi hozzáférést illető korlátozásokat és biztosítékokat. Az értékelés során meg kell határozni, hogy az érintett harmadik ország olyan szintű védelmet biztosít-e, amely „lényegében megegyező” az Unión belül biztosított védelem szintjével (az (EU) 2016/679 rendelet (104) preambulumbekezdése). A „lényegi megegyezőség” értékelése az uniós jogszabályok, nevezetesen az (EU) 2016/679 rendelet, valamint az Európai Unió Bíróságának (a továbbiakban: Bíróság) ítélkezési gyakorlata alapján történik (4).

(4)

Amint azt a Bíróság a C-362/14. sz. Maximillian Schrems kontra adatvédelmi biztos (Schrems) ügyben 2015. október 6-án hozott ítéletében (5) pontosította, ehhez nem szükséges azonos szintű védelmet megállapítani. Különösen a harmadik ország által a személyes adatok védelme céljából igénybe vett eszközök különbözhetnek az Unióban alkalmazott eszközöktől, amennyiben – a gyakorlatban – ténylegesen megfelelő szintű védelmet biztosítanak (6). A megfelelőségre vonatkozó előírás ezért nem követeli meg az uniós szabályok pontról pontra történő leképezését. A vizsgálat ehelyett arra irányul, hogy a magánélet tiszteletben tartásához való jog tartalmát, tényleges végrehajtását, felügyeletét és érvényesítését tekintve az érintett harmadik ország rendszere összességében véve biztosítja-e az elvárt fokú védelmet (7). Ezen túlmenően az említett ítélet szerint ezen előírás alkalmazása során a Bizottságnak különösen azt kell értékelnie, hogy a szóban forgó harmadik ország jogi kerete tartalmaz-e olyan szabályokat, amelyek célja az azon személyek alapvető jogaiba való beavatkozás korlátozása, akiknek az adatait az Unióból továbbítják, amely beavatkozásra az adott ország állami szervezetei jogosultak lennének, ha jogszerű célokat követnek, mint például a nemzetbiztonság, és hatékony jogi védelmet nyújtanak az ilyen jellegű beavatkozásokkal szemben (8). Az Európai Adatvédelmi Testület által az említett előírás további pontosítása céljából kiadott „megfelelőségi referencia” szintén iránymutatást nyújt e tekintetben (9).

(5)

A magánélethez és az adatvédelemhez való alapvető jogba való ilyen beavatkozás tekintetében alkalmazandó előírást a Bíróság a C-311/18. sz., Adatvédelmi tisztviselő kontra Facebook Ireland Limited és Maximillian Schrems (Schrems II) ügyben 2020. július 16-án hozott ítéletében tovább pontosította, amely érvénytelenítette a korábbi transzatlanti adatáramlási keretről, az EU–USA adatvédelmi pajzsról (adatvédelmi pajzs) szóló (EU) 2016/1250 bizottsági végrehajtási határozatot (10). A Bíróság úgy ítélte meg, hogy a személyes adatok védelmének az Egyesült Államok hatóságai által nemzetbiztonsági célokból az Unióból az Egyesült Államokba továbbított adatokhoz való hozzáférésre és azok felhasználására vonatkozó nemzeti jogából eredő korlátozásait nem olyan módon határozták meg, hogy az megfeleljen az adatvédelemhez való jogba való ilyen beavatkozás szükségessége és arányossága tekintetében az uniós jogban előírtakkal lényegében egyenértékű követelményeknek (11). A Bíróság azt is megállapította, hogy semmilyen jogorvoslati lehetőség nem áll rendelkezésre olyan szerv előtt, amely lényegében a Charta hatékony jogorvoslathoz való jogról szóló 47. cikkében előírtakkal egyenértékű garanciákat nyújt azon személyek számára, akiknek az adatait továbbították az Egyesült Államokba (12).

(6)

A Schrems II. ítéletet követően a Bizottság tárgyalásokat kezdett az Egyesült Államok kormányával egy esetleges új megfelelőségi határozat meghozatala céljából, amely megfelelne az (EU) 2016/679 rendelet 45. cikke (2) bekezdésében foglalt, a Bíróság által értelmezett követelményeknek. E megbeszélések eredményeként az Egyesült Államok 2022. október 7-én elfogadta az Egyesült Államok jelfelderítési tevékenységeire vonatkozó biztosítékok megerősítéséről szóló 14086. sz. elnöki rendeletet (a továbbiakban: 14086. elnöki rendelet), amelyet az Egyesült Államok főügyésze által kiadott, az adatvédelmi felülvizsgálati bíróságról szóló rendelet (a továbbiakban: főügyészi rendelet) egészít ki (13). Emellett sor került az e határozat alapján az Unióból továbbított adatokat kezelő kereskedelmi szervezetekre vonatkozó keret – az „EU–USA adatvédelmi keret” (a továbbiakban: EU–USA adatvédelmi keret vagy adatvédelmi keret) aktualizálására.

(7)

A Bizottság gondosan elemezte az Egyesült Államok jogát és gyakorlatát, többek között a 14086. elnöki rendeletet és a főügyészi rendeletet. A (9)–(200) preambulumbekezdésben kifejtett megállapítások alapján a Bizottság arra a következtetésre jutott, hogy az Egyesült Államok megfelelő szintű védelmet biztosít az EU–USA adatvédelmi keret alapján az Unión belüli adatkezelőtől vagy adatfeldolgozótól (14) az egyesült államokbeli tanúsított szervezetekhez továbbított személyes adatok védelme tekintetében.

(8)

E határozat azzal a joghatással jár, hogy az Unión belüli adatkezelők és adatfeldolgozók (15) részéről az egyesült államokbeli tanúsított szervezetek részére történő adattovábbításra további engedély nélkül kerülhet sor. Ez a határozat nem érinti az (EU) 2016/679 rendeletnek az ilyen szervezetekre történő közvetlen alkalmazását, ha teljesülnek az említett rendelet 3. cikkében meghatározott, a rendelet területi hatályára vonatkozó feltételek.

(9)

Az EU–USA adatvédelmi keret olyan tanúsítási rendszeren nyugszik, amelynek keretében az egyesült államokbeli szervezetek kötelezettséget vállalnak egy sor adatvédelmi elv – az EU–USA adatvédelmi keret elvei, köztük a kiegészítő elvek (a továbbiakban együttesen: az elvek) – betartására. Ezeket az elveket az Egyesült Államok Kereskedelmi Minisztériuma bocsátotta ki, és megtalálhatók e határozat I. mellékletében (16). Az EU–USA adatvédelmi keret szerinti tanúsításra való jogosultsághoz a szervezetnek a Szövetségi Kereskedelmi Bizottság (FTC) vagy az Egyesült Államok Közlekedési Minisztériuma vizsgálati és végrehajtási hatáskörébe kell tartoznia (17). Az elvek a tanúsítást követően azonnal alkalmazandók. Amint azt a (48)–(52) preambulumbekezdés részletesebben kifejti, az EU–USA adatvédelmi keret szerinti szervezeteknek évente újra kell tanúsítaniuk az elvek betartását (18).

(10)

Az EU–USA adatvédelmi keret által biztosított védelem minden olyan személyes adatra vonatkozik, amelyet az Unióból továbbítottak olyan egyesült államokbeli szervezeteknek, amelyek tanúsították a Kereskedelmi Minisztérium számára, hogy betartják az elveket, kivéve azokat az adatokat, amelyeket közzététel, sugárzás vagy más formában történő, az újságírói anyagokról szóló nyilvános kommunikáció céljából gyűjtenek, valamint a korábban közzétett, médiaarchívumokból terjesztett anyagokban szereplő információkat (19). Ezek az információk ezért nem továbbíthatók az EU–USA adatvédelmi keret alapján.

(11)

Az elvek ugyanúgy határozzák meg a személyes adatokat/személyes információkat, mint az (EU) 2016/679 rendelet, azaz azok az „azonosított vagy azonosítható, az általános adatvédelmi rendelet hatálya alá tartozó természetes személyre vonatkozó, az Egyesült Államokban működő szervezet által az EU-ból kapott és bármilyen formában rögzített adatok” (20). Ennek megfelelően az álnevesített (vagy kulcskódolt) kutatási adatokra is kiterjednek (ideértve azokat az eseteket is, amikor a kulcsot nem osztják meg a fogadó egyesült államokbeli szervezettel) (21). A személyes adatok kezelése hasonlóképpen akként van meghatározva, hogy az „a személyes adatokkal automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés vagy terjesztés, valamint törlés vagy megsemmisítés” (22).

(12)

Az EU–USA adatvédelmi keret azokra az egyesült államokbeli szervezetekre vonatkozik, amelyek adatkezelőnek (azaz olyan személynek vagy szervezetnek, aki vagy amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és módját) (23) vagy adatfeldolgozóknak (azaz az adatkezelő nevében eljáró megbízottaknak) (24) minősülnek. Az egyesült államokbeli adatfeldolgozóknak szerződéses kötelezettséget kell vállalniuk, hogy kizárólag az uniós adatkezelő utasításai alapján járhatnak el, és segítséget kell nyújtaniuk az utóbbinak ahhoz, hogy választ adjon az elvek alapján a jogaikat gyakorló egyéneknek (25). Ezenkívül a további adatfeldolgozó általi kezelés esetén az adatfeldolgozóknak az elvekben előírtakkal azonos szintű védelmet garantáló szerződést kell kötniük a további adatfeldolgozóval, és lépéseket kell tenniük annak megfelelő végrehajtása érdekében (26).

(13)

A személyes adatokat jogszerűen és tisztességesen kell kezelni. A személyes adatok gyűjtésének konkrét célra kell történnie, és később csak olyan mértékben használhatók fel, amely az adatkezelés céljával nem összeegyeztethetetlen.

(14)

Az EU–USA adatvédelmi keret alapján ezt különböző elvek biztosítják. Először is, az adatintegritás és a célhoz kötöttség elve értelmében – az (EU) 2016/679 rendelet 5. cikke (1) bekezdésének b) pontjához hasonlóan – a szervezet nem kezelhet személyes adatokat olyan módon, amely összeegyeztethetetlen azzal a céllal, amelyre azokat eredetileg gyűjtötték, vagy amelyet az érintett később engedélyezett (27).

(15)

Másodszor, a személyes adatok olyan új (módosított) célra történő felhasználása előtt, amely lényegesen eltérő, de még mindig összeegyeztethető az eredeti céllal, vagy harmadik félnek adják át azokat, a szervezetnek egyértelmű, jól látható és könnyen hozzáférhető mechanizmus révén lehetőséget kell biztosítania az érintettek számára, hogy a választási elvvel (28) összhangban kifogást emeljenek (önkéntes kívülmaradás). Fontos, hogy ez az elv nem helyezi hatályon kívül az összeegyeztethetetlen adatkezelés kifejezett tilalmát (29).

(16)

„Különleges adatok kategóriáinak” kezelése esetén külön biztosítékokat kell rendszeresíteni.

(17)

A választási lehetőség elvével összhangban különleges biztosítékok vonatkoznak az „érzékeny információk”, azaz az orvosi vagy egészségügyi állapotot, faji vagy etnikai származást, politikai véleményt, vallási vagy világnézeti meggyőződést, szakszervezeti tagságot meghatározó személyes adatok, az egyén szexuális életére vonatkozó információk vagy bármely más, harmadik féltől kapott olyan információ kezelésére, amelyet az adott fél érzékenynek minősített és akként kezel (30). Ez azt jelenti, hogy az uniós adatvédelmi jog értelmében érzékenynek minősülő adatokat (beleértve a szexuális irányultságra vonatkozó adatokat, a genetikai adatokat és a biometrikus adatokat) az EU–USA adatvédelmi keret szerint a tanúsított szervezetek érzékenyként kezelik.

(18)

Általános szabályként a szervezeteknek meg kell szerezniük az egyének kifejezett hozzájárulását (azaz részvételét) ahhoz, hogy érzékeny információkat az eredeti gyűjtésük vagy az egyén által később (részvételi záradékon keresztül) engedélyezett céloktól eltérő célokra használjanak fel, vagy hogy azokat harmadik felekkel közöljék (31).

(19)

Az ilyen hozzájárulást nem kell megszerezni az uniós adatvédelmi jog által biztosított hasonló kivételekhez hasonló, korlátozott körülmények között, például ha a különleges adatok kezelése valamely személy létfontosságú érdekét szolgálja; ha jogszerű követelések kialakításához szükséges; vagy egészségügyi ellátás vagy diagnózis nyújtásához szükséges (32).

(20)

Az adatoknak pontosnak és – szükség esetén – naprakésznek kell lenniük. Továbbá megfelelőnek, relevánsnak és nem eltúlzottnak kell lenniük az adatkezelés céljaihoz képest, és elvben csak addig tárolhatók, ameddig az a személyes adatok kezelésének céljaihoz szükséges.

(21)

Az adatok sértetlensége és a célhoz kötöttség elve (33) alapján a személyes adatok körét a kezelés célja szempontjából releváns mértékűre kell korlátozni. Ezenkívül a szervezeteknek az ilyen célokhoz szükséges mértékben megfelelő lépéseket kell tenniük annak biztosítására, hogy a személyes adatok a tervezett felhasználás szempontjából megbízhatók, pontosak, teljesek és naprakészek legyenek.

(22)

A személyes adatok továbbá csak addig őrizhetők meg az adott egyén személyazonosságát meghatározó vagy azt lehetővé tévő formában (tehát személyes adatként) (34), amíg arra a célra/azokra a célokra szolgálnak, amely(ek)re eredetileg gyűjtötték őket, vagy amely(ek)et a választási lehetőség elve alapján később engedélyeztek. Ez a kötelezettség nem akadályozza meg a szervezeteket abban, hogy hosszabb ideig továbbra is kezeljék a személyes adatokat, azonban ezt csak addig és olyan mértékben tehetik, amennyire az ilyen adatkezelés az uniós adatvédelmi jog által biztosított kivételekhez hasonló alábbi konkrét célok valamelyikét szolgálja: közérdekű archiválás, újságírás, irodalom és művészet, tudományos és történeti kutatás, valamint statisztikai elemzés (35). A személyes adatok említett célokból történő hosszabb megőrzése esetén a kezelésük az elvek által nyújtott biztosítékok hatálya alá tartozik (36).

(23)

A személyes adatokat továbbá olyan módon kell kezelni, amely biztosítja biztonságukat, többek között az illetéktelen vagy jogellenes kezelés elleni védelmüket, illetve az adatok véletlen elvesztése, megsemmisítése vagy károsodása elleni védelmüket. Az adatkezelőknek és az adatfeldolgozóknak ebből a célból megfelelő technikai vagy szervezeti intézkedéseket kell hozniuk, hogy a személyes adatokat a lehetséges veszélyektől megvédjék. Ezeket az intézkedéseket a technika állásának, a kapcsolódó költségeknek, az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint az egyének jogait érintő kockázatoknak a figyelembevételével kell értékelni.

(24)

Az EU–USA adatvédelmi keret értelmében ezt a biztonság elve biztosítja, amely az (EU) 2016/679 rendelet 32. cikkéhez hasonlóan előírja, hogy észszerű és megfelelő biztonsági intézkedéseket kell hozni, figyelembe véve az adatkezeléssel járó kockázatokat és az adatok jellegét (37).

(25)

Az érintetteket tájékoztatni kell személyes adataik kezelésének főbb jellemzőiről.

(26)

Ezt a tájékoztatás elve (38) biztosítja, amely – az (EU) 2016/679 rendelet szerinti átláthatósági követelményekhez hasonlóan – előírja a szervezetek számára, hogy tájékoztassák az érintetteket többek között i. a szervezet adatvédelmi keretben való részvételéről, ii. a gyűjtött adatok típusáról, iii. az adatkezelés céljáról, iv. azon harmadik felek típusáról vagy személyazonosságáról, amelyekkel vagy akikkel a személyes adatok közölhetők, valamint azok céljairól, v. egyéni jogaikról, vi. a szervezettel való kapcsolatfelvétel módjáról és vii. a rendelkezésre álló jogorvoslati lehetőségekről.

(27)

Ezt a tájékoztatást világos és közérthető nyelven kell rendelkezésre bocsátani, amikor az egyéneket először kérik fel a személyes adatok közlésére, vagy azt követően a lehető leghamarabb, de mindenképpen azt megelőzően, hogy az adatokat az adatgyűjtés céljától lényegében eltérő (azonban összeegyeztethető) célra használják fel, vagy mielőtt azokat harmadik féllel megosztják (39).

(28)

Ezen túlmenően a szervezeteknek nyilvánosságra kell hozniuk az elveket tükröző adatvédelmi szabályzataikat (vagy az emberi erőforrásokkal kapcsolatos adatok esetében azokat könnyen hozzáférhetővé kell tenniük az érintett személyek számára), és meg kell adniuk a Kereskedelmi Minisztérium honlapjára (további részletekkel a tanúsításról, az érintettek jogairól és a rendelkezésre álló jogorvoslati mechanizmusokról), az adatvédelmi keret szerinti jegyzékre és egy megfelelő alternatív vitarendezési szolgáltató weboldalára mutató linkeket (40).

(29)

Az érintetteknek rendelkezniük kell bizonyos jogokkal, amelyek érvényesíthetők az adatkezelővel vagy az adatfeldolgozóval szemben, különös tekintettel az adatokhoz való hozzáférés jogára, az adatkezelés elleni tiltakozásra, valamint az adatok helyesbíttetéséhez és töröltetéséhez való jogra.

(30)

Az EU–USA adatvédelmi keret hozzáférési elve (41) ilyen jogokat biztosít az egyének számára. Az érintetteknek különösen jogukban áll – indokolás nélkül – megerősítést kérni a szervezettől arra vonatkozóan, hogy kezelik-e a rájuk vonatkozó személyes adatokat; az adatok közlését kérni; valamint információt szerezni az adatkezelés céljáról, a kezelendő személyes adatok kategóriáiról és azon címzettekről (azok kategóriáiról), akikkel az adatokat közlik (42). A szervezeteknek észszerű időn belül válaszolniuk kell a hozzáférési kérelmekre (43). A szervezet egy adott időszakon belül észszerű korlátozásokat állapíthat meg arra vonatkozóan, hogy egy adott személy hozzáférés iránti kérelmeinek hányszor kell eleget tennie, és nem túlzott összegű díjat számíthat fel, például ha a kérelmek nyilvánvalóan túlzóak, különösen ismétlődő jellegük miatt (44).

(31)

A hozzáférési jog csak az uniós adatvédelmi jog által előírtakhoz hasonló kivételes körülmények között korlátozható, különösen akkor, ha mások törvényes jogai sérülnének; ha a hozzáférés biztosításának terhe vagy költsége az eset körülményei között aránytalan lenne az egyén magánéletét fenyegető kockázatokhoz képest (bár a költség és teher nem meghatározó tényező annak meghatározásakor, hogy a hozzáférés biztosítása észszerű-e); olyan mértékben, amennyiben a nyilvánosságra hozatal valószínűleg sérti az olyan fontos, egymással szemben álló közérdekek védelmét, mint a nemzetbiztonság, a közbiztonság vagy a védelem; ha az információ bizalmas kereskedelmi információt tartalmaz; vagy ha az információkat kizárólag kutatási vagy statisztikai célból kezelik (45). Egy jog megtagadásának vagy korlátozásának minden esetben szükségesnek kell lennie, és azt megfelelően indokolni kell, valamint az említett követelmények teljesülésének igazolása a szervezetet terheli (46). Ezen értékelés során a szervezetnek különösen az egyén érdekeit kell figyelembe vennie (47). Amennyiben lehetőség van az információk más olyan adatoktól való elkülönítésére, amelyekre korlátozás vonatkozik, a szervezetnek ki kell takarnia a védett információkat, és csak a fennmaradó információkat teheti közzé (48).

(32)

Emellett az érintetteknek joguk van a pontatlan adatok helyesbítéséhez vagy módosításához, valamint az elvek megsértésével kezelt adatok törléséhez (49). Továbbá, amint azt a (15) preambulumbekezdés kifejti, az egyéneknek joguk van ahhoz, hogy tiltakozzanak adataiknak az adatgyűjtés céljától lényegesen eltérő (de összeegyeztethető) célból történő kezelése és az adataik harmadik felek részére történő közlése ellen. Ha a személyes adatokat közvetlen üzletszerzési célokra használják fel, az egyéneknek általános joguk van arra, hogy bármikor kimaradjanak az adatkezelésből (50).

(33)

Az elvek nem foglalkoznak kifejezetten az érintettet érintő, kizárólag a személyes adatok automatizált kezelésén alapuló döntések kérdésével. Mindazonáltal az Európai Unióban gyűjtött személyes adatok vonatkozásában az automatizált kezelésen alapuló minden döntést általában az (érintettel közvetlen kapcsolatban álló) uniós adatkezelő fog meghozni, és így közvetlenül az (EU) 2016/679 rendelet hatálya alá tartozik (51). Idetartoznak olyan adattovábbítási forgatókönyvek, amelyek szerint az adatkezelést külföldi (például egyesült államokbeli) gazdasági szereplő végzi, aki az uniós adatkezelő megbízottjaként (adatfeldolgozóként) jár el (vagy további feldolgozóként azon uniós adatfeldolgozó nevében, amely az adatokat az azokat összegyűjtő uniós adatkezelőtől megkapta), és amely ezt követően ennek alapján hozza meg a döntést.

(34)

Ezt megerősítette a Bizottság által az adatvédelmi pajzs (52) működésének második éves felülvizsgálata keretében 2018-ban megrendelt tanulmány, amely arra a következtetésre jutott, hogy akkoriban nem volt arra utaló bizonyíték, hogy az adatvédelmi pajzs keretében továbbított személyes adatok alapján az adatvédelmi pajzsban részt vevő szervezetek általában automatizált döntéshozatalt végeznek.

(35)

Mindenesetre azokon a területeken, ahol a vállalatok a legvalószínűbben alkalmazzák a személyes adatok automatikus kezelését egyéneket érintő döntések meghozatalához (pl. hitelnyújtás, jelzáloghitel-ajánlatok, foglalkoztatás, lakhatás és biztosítás), az Egyesült Államok joga különleges védintézkedéseket biztosít a kedvezőtlen döntésekkel szemben (53). E jogszabályok általában úgy rendelkeznek, hogy az egyének jogosultak arra, hogy tájékoztatást kapjanak a döntés alapjául szolgáló konkrét okokról (pl. a hitelkérelem elutasításáról), vitassák a hiányos vagy pontatlan információkat (vagy jogellenes tényezők figyelembevételét) és jogorvoslatot igényeljenek. A fogyasztói hitelek területén a méltányos hitelminősítésről szóló törvény (FCRA) és az egyenlő hitellehetőségekről szóló törvény (ECOA) tartalmaz olyan biztosítékokat, amelyek valamilyen formában biztosítják a fogyasztók számára a magyarázathoz való jogot és a döntés megtámadásához való jogot. Ezek a törvények számos területen – többek között a hitel, a foglalkoztatás, a lakhatás és a biztosítás területén – relevánsak. Emellett egyes megkülönböztetésellenes jogszabályok – például a polgári jogokról szóló törvény VII. címe és a méltányos lakhatásról szóló törvény – védelmet biztosítanak az egyének számára az adott esetben bizonyos jellemzők alapján megkülönböztetéshez vezető automatizált döntéshozatalban használt modellek tekintetében, és biztosítják az egyének számára az ilyen döntések – köztük az automatizált döntések – megtámadásához való jogot. Az egészségügyi információk tekintetében az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvény (HIPAA) adatvédelmi szabálya a személyes egészségügyi információkhoz való hozzáférés tekintetében az (EU) 2016/679 rendelethez hasonló jogokat hoz létre. Emellett az Egyesült Államok hatóságainak iránymutatása előírja az egészségügyi szolgáltatók számára, hogy olyan információkat kapjanak, amelyek lehetővé teszik számukra, hogy tájékoztassák az egyéneket az egészségügyi ágazatban használt automatizált döntéshozatali rendszerekről (54).

(36)

Ezért ezek a szabályok az uniós adatvédelmi jog által biztosítotthoz hasonló védelmet nyújtanak abban a valószínűtlen helyzetben, amikor maga az EU–USA adatvédelmi keretben részt vevő szervezet hoz automatizált döntéseket.

(37)

Az Európai Unióból az egyesült államokbeli szervezeteknek továbbított személyes adatok védelmi szintjét nem veszélyeztetheti az említett adatok Egyesült Államokon kívüli harmadik országokban található adatátvevők részére történő újbóli továbbítása.

(38)

Az újbóli továbbítással kapcsolatos elszámoltathatóságra vonatkozó elv (55) szerint különös szabályok vonatkoznak az úgynevezett „harmadik fél részére történő adattovábbításra”, vagyis arra, amikor az EU–USA adatvédelmi keretben részt vevő szervezettől harmadik fél adatkezelő vagy adatfeldolgozó részére továbbítanak személyes adatokat, függetlenül attól, hogy az utóbbi az Egyesült Államokban vagy az Egyesült Államokon (és az Unión) kívüli harmadik országban található-e. Az újbóli továbbításra csak i. korlátozott és meghatározott célokból kerülhet sor, ii. az EU–USA adatvédelmi keretben részt vevő szervezet és a harmadik fél közötti szerződés (56) alapján (vagy vállalatcsoporton belüli hasonló megállapodás (57) alapján), valamint iii. csak akkor, ha a szerződés előírja a harmadik fél számára, hogy ugyanolyan szintű védelmet nyújtson, mint az elvek által biztosított védelem.

(39)

Az adatintegritás és a célhoz kötöttség elvével együtt értelmezett elvek által biztosítottal azonos szintű védelem biztosítására vonatkozó kötelezettség különösen azt jelenti, hogy a harmadik fél csak olyan célból kezelheti a részére továbbított személyes adatokat, amelyek nem összeegyeztethetetlenek azokkal a célokkal, amelyek érdekében az adatokat gyűjtötték, vagy amelyeket az egyén később engedélyezett (a választási lehetőség elvével összhangban).

(40)

Az újbóli továbbítással kapcsolatos elszámoltathatóság elvét a tájékoztatás és – harmadik fél adatkezelő részére történő adattovábbítás esetén (58) – a választási lehetőség elvével összefüggésben kell értelmezni, amelyek szerint az érintetteket tájékoztatni kell (többek között) bármely harmadik fél adatátvevő típusáról/kilétéről, a harmadik fél részére történő továbbítás céljáról, valamint a felkínált választási és kifogásolási (kívülmaradási) lehetőségről, vagy – érzékeny adatok esetén – „megerősítő kifejezett hozzájárulást” (részvétel) kell adni a harmadik fél részére történő adattovábbításokhoz.

(41)

Az elvekben előírttal azonos szintű védelem biztosításának kötelezettsége az így továbbított adatok kezelésében részt vevő valamennyi harmadik félre vonatkozik, függetlenül az elhelyezkedésétől (az Egyesült Államokban vagy más, harmadik országban), valamint attól, hogy az eredeti harmadik fél adatátvevő maga továbbítja-e az említett adatokat más harmadik fél adatátvevőnek, például további kezelés céljából.

(42)

A harmadik fél adatátvevővel kötött szerződésnek minden esetben elő kell írnia, hogy az utóbbi értesíti az EU–USA adatvédelmi keretben részt vevő szervezetet, ha megállapítja, hogy a továbbiakban nem tud megfelelni ennek a kötelezettségnek. Ha ilyen megállapítás történik, a harmadik fél általi adatkezelésnek meg kell szűnnie, vagy más észszerű és megfelelő lépéseket kell tenni a helyzet orvoslására (59).

(43)

További védintézkedések alkalmazandók harmadik fél megbízott (azaz az adatfeldolgozó) részére történő adattovábbítás esetén. Ilyen esetben az egyesült államokbeli szervezetnek biztosítania kell, hogy a megbízott kizárólag az utasításai szerint járjon el, és észszerű és megfelelő lépéseket kell tennie i. annak biztosítására, hogy a megbízott ténylegesen olyan módon kezelje a továbbított személyes adatokat, amely összhangban van a szervezetet az elvek alapján terhelő kötelezettségekkel, valamint ii. azért, hogy az értesítést követően megszüntesse az engedély nélküli kezelést és helyreállítsa a korábbi helyzetet (60). A Kereskedelmi Minisztérium előírhatja a szervezet számára, hogy nyújtsa be a szerződés adatvédelmi rendelkezéseinek összefoglalóját vagy reprezentatív másolatát (61). Amennyiben egy (további) adatkezelési láncban megfelelési problémák merülnek fel, a személyes adatok kezelőjeként eljáró szervezetet terheli főszabály szerint a jogorvoslat, végrehajtás és felelősség elvében meghatározott felelősség, kivéve, ha bizonyítja, hogy nem felelős a kárt okozó eseményért (62).

(44)

Az elszámoltathatóság elve értelmében az adatkezelőknek megfelelő technikai és szervezeti intézkedéseket kell hozniuk, hogy hatékonyan feleljenek meg adatvédelmi kötelezettségeiknek, és bizonyítani tudják ezt a megfelelést, különösen az illetékes felügyeleti hatóság felé.

(45)

Ha egy szervezet önkéntesen az EU–USA adatvédelmi keret szerinti tanúsítás mellett dönt (63), az elvek tényleges betartása számára kötelező és végrehajtható. A jogorvoslat, végrehajtás és felelősség elve (64) értelmében az EU–USA adatvédelmi keretben részt vevő szervezeteknek hatékony mechanizmusokat kell biztosítaniuk az elveknek való megfelelés biztosítása érdekében. A szervezeteknek intézkedéseket kell hozniuk annak ellenőrzésére is (65), hogy adatvédelmi szabályzatuk összhangban áll az elvekkel és ténylegesen is megfelel azoknak. Ezt vagy önértékelési rendszer keretében tehetik meg, amelynek tartalmaznia kell az annak biztosítására irányuló eljárásokat, hogy az alkalmazottak képzésben részesüljenek a szervezet adatvédelmi szabályzatának végrehajtásáról, továbbá rendszeresen és objektíven felülvizsgálják a megfelelést, vagy pedig külső megfelelőségi felülvizsgálatok révén, amelyek módszerei közé tartozhatnak az ellenőrzések, a szúrópróbaszerű ellenőrzések vagy a technológiai eszközök használata.

(46)

Ezen túlmenően a szervezeteknek nyilvántartást kell vezetniük az EU–USA adatvédelmi keret szerinti gyakorlataik végrehajtásáról, és azokat kérésre rendelkezésre kell bocsátaniuk egy független vitarendezési szervhez vagy illetékes végrehajtó hatósághoz benyújtott vizsgálat vagy a meg nem feleléssel kapcsolatos panasz keretében (66).

(47)

Az EU–USA adatvédelmi keretet a Kereskedelmi Minisztérium irányítja és követi nyomon. A keret felügyeleti és érvényesítési mechanizmusokat ír elő annak ellenőrzése és biztosítása céljából, hogy az EU–USA adatvédelmi keretben részt vevő vállalatok betartják az elveket és a megfelelés minden esetleges hiányosságát orvosolják. Ezeket a mechanizmusokat az elvek (I. melléklet), valamint a Kereskedelmi Minisztérium (III. melléklet), az FTC (IV. melléklet), és a Közlekedési Minisztérium (V. melléklet) által tett kötelezettségvállalások határozzák meg.

(48)

Az EU–USA adatvédelmi keret szerinti tanúsításhoz (vagy évente történő újratanúsításhoz) a szervezeteknek nyilvánosan nyilatkozniuk kell az elvek betartása iránti elkötelezettségükről, valamint elérhetővé kell tenniük és maradéktalanul végre kell hajtaniuk adatvédelmi szabályzataikat (67). A szervezeteknek (újra)tanúsítási kérelmük részeként információkat kell benyújtaniuk a Kereskedelmi Minisztériumhoz többek között az érintett szervezet nevéről, a személyes adatok szervezet általi kezelésének céljairól, a tanúsítás tárgyát képező személyes adatokról, valamint a választott ellenőrzési módszerről, a vonatkozó független jogorvoslati mechanizmusról és az elvek betartatására hatáskörrel rendelkező állami szervről (68).

(49)

A szervezetek attól az időponttól kaphatnak személyes adatokat az EU–USA adatvédelmi keret alapján, amikor a Kereskedelmi Minisztérium felvette őket az adatvédelmi keretben részt vevő szervezetek listájára. A jogbiztonság biztosítása és a „hamis állítások” elkerülése érdekében az első alkalommal tanúsító szervezetek nem hivatkozhatnak nyilvánosan az elvekhez való csatlakozásukra, mielőtt a Kereskedelmi Minisztérium megállapította, hogy a szervezet tanúsításának benyújtása teljes, és a szervezetet felvette az adatvédelmi keretben részt vevő szervezetek listájára (69). Az ilyen szervezeteknek évente ismételten tanúsítaniuk kell az EU–USA adatvédelmi keretben való részvételüket, hogy továbbra is igénybe vehessék az adatvédelmi keretet az Unióból érkező személyes adatok fogadásához. Ha egy szervezet bármilyen okból kilép az EU–USA adatvédelmi keretből, el kell távolítania minden olyan állítást, amely arra utal, hogy a szervezet továbbra is részt vesz a keretben (70).

(50)

Amint azt a III. mellékletben foglalt kötelezettségvállalások is tükrözik, a Kereskedelmi Minisztérium ellenőrzi, hogy a szervezetek megfelelnek-e az összes tanúsítási követelménynek, és életbe léptettek-e egy (nyilvános) adatvédelmi szabályzatot, amely tartalmazza a tájékoztatás elvében (71) előírt információkat. Az adatvédelmi pajzs szerinti (újra)tanúsítási folyamat során szerzett tapasztalatokra építve a Kereskedelmi Minisztérium számos ellenőrzést fog végezni, többek között annak ellenőrzése érdekében, hogy a szervezetek adatvédelmi szabályzata tartalmaz-e a vonatkozó vitarendezési mechanizmus honlapján található megfelelő panaszbejelentő űrlapra mutató hiperhivatkozást, és amennyiben egy szervezet több szervezetét és leányvállalatát is feltüntetik a tanúsítási beadványban, hogy e szervezetek mindegyikének adatvédelmi szabályzata megfelel-e a tanúsítási követelményeknek, és könnyen hozzáférhető-e az érintettek számára (72). Ezen túlmenően a Kereskedelmi Minisztérium szükség esetén keresztellenőrzéseket végez az FTC-vel és a Közlekedési Minisztériummal annak ellenőrzése érdekében, hogy a szervezetek az (újra)tanúsítási beadványaikban azonosított felügyeleti testület hatálya alá tartoznak-e, és együttműködik az alternatív vitarendezési szervekkel annak ellenőrzése érdekében, hogy a szervezeteket nyilvántartásba vették-e az (újra)tanúsítási beadványukban azonosított független jogorvoslati mechanizmus tekintetében (73).

(51)

A Kereskedelmi Minisztérium tájékoztatja a szervezeteket, hogy az (újra)tanúsítás elvégzése érdekében foglalkozniuk kell a felülvizsgálat során azonosított valamennyi kérdéssel. Abban az esetben, ha a szervezet nem válaszol a Kereskedelmi Minisztérium által meghatározott határidőn belül (például az újratanúsítás tekintetében az elvárás, hogy a folyamat 45 napon belül befejeződjön) (74), vagy egyéb esetben nem fejezi be a tanúsítást, a beadványt visszavontnak kell tekinteni. Ebben az esetben az EU–USA adatvédelmi keretben való részvétellel vagy az annak való megfeleléssel kapcsolatos bármilyen megtévesztés az FTC vagy a Közlekedési Minisztérium végrehajtási intézkedésének tárgyát képezheti (75).

(52)

Az EU–USA adatvédelmi keret megfelelő alkalmazása érdekében az érdekelt feleknek, például az érintetteknek, az adatátadóknak és a nemzeti adatvédelmi hatóságoknak tudniuk kell azonosítani az elveket elfogadó szervezeteket. Az ilyen átláthatóság belépő ponton való biztosítása érdekében a Kereskedelmi Minisztérium vállalta az olyan szervezetek listájának vezetését és a nyilvánosság számára hozzáférhetővé tételét, amelyek tanúsították az elvek elfogadását, és az e határozat IV. és V. mellékletében említettek közül legalább egy végrehajtó hatóság hatáskörébe tartoznak (76). A Kereskedelmi Minisztérium frissíti a listát a szervezetek éves ismételt tanúsítási beadványai alapján, és valahányszor egy szervezet kilép vagy törlésre kerül az EU–USA adatvédelmi keretből. Ezenkívül az átláthatóság kilépési helyen történő biztosítása érdekében a Kereskedelmi Minisztérium vezeti továbbá a listáról eltávolított szervezetek nyilvános és hiteles listáját, amely minden esetben meghatározza az ilyen eltávolítás okát (77). Végül pedig az FTC EU–USA adatvédelmi keretről szóló weblapjára mutató hivatkozást biztosít, amely felsorolja az FTC által a keret alapján hozott jogérvényesítési intézkedéseket (78).

(53)

A Kereskedelmi Minisztérium folyamatosan nyomon követi, hogy az EU–USA adatvédelmi keretben részt vevő szervezetek különböző mechanizmusokon keresztül ténylegesen megfelelnek-e az elveknek (79). Különösen „szúrópróbaszerű ellenőrzéseket” végez a véletlenszerűen kiválasztott szervezeteknél, valamint eseti szúrópróbaszerű ellenőrzéseket bizonyos szervezeteknél, amikor potenciális megfelelési problémákat tárnak fel (pl. harmadik felek jelentést tesznek a Kereskedelmi Minisztériumnak) annak ellenőrzése érdekében, hogy i. rendelkezésre állnak-e a panaszok és az érintettek kérelmeinek kezelésére szolgáló kapcsolattartó pontok, és reagálnak-e, ii. a szervezet adatvédelmi szabályzata könnyen elérhető-e mind a honlapján, mind a Kereskedelmi Minisztérium honlapján található hiperhivatkozáson keresztül, iii. a szervezet adatvédelmi szabályzata továbbra is megfelel-e a tanúsítási követelményeknek, és iv. a szervezetek által választott független vitarendezési mechanizmus rendelkezésre áll-e a panaszok kezelésére (80).

(54)

Ha hitelt érdemlő bizonyíték van arra, hogy egy szervezet nem tesz eleget az EU–USA adatvédelmi keret szerinti kötelezettségvállalásainak (ideértve azt az esetet is, ha a Kereskedelmi Minisztériumhoz panasz érkezik, vagy ha a szervezet nem válaszol kielégítő módon a Kereskedelmi Minisztérium kérdéseire), a Kereskedelmi Minisztérium előírja a szervezet számára, hogy töltsön ki és nyújtson be részletes kérdőívet (81). Azt a szervezetet, amely nem válaszol megfelelően és időben a kérdőívre, az illetékes hatósághoz (az FTC-hez vagy Közlekedési Minisztériumhoz) utalják esetleges végrehajtási intézkedés céljából (82). Az adatvédelmi pajzs keretében végzett megfelelés-ellenőrzési tevékenységei részeként a Kereskedelmi Minisztérium rendszeresen elvégezte az (53) preambulumbekezdésben említett szúrópróbaszerű ellenőrzéseket, és folyamatosan nyomon követte a nyilvános jelentéseket, ami lehetővé tette számára a megfelelési problémák azonosítását, kezelését és megoldását (83). Azokat a szervezeteket, amelyek tartósan nem felelnek meg az elveknek, el fogják távolítani az adatvédelmi keretben részt vevő szervezetek listájáról, és vissza kell szolgáltatniuk vagy törölniük kell a keret szerint kapott személyes adatokat (84).

(55)

Az eltávolítás egyéb eseteiben – például a részvételből való önkéntes kilépés vagy az ismételt tanúsítás elmulasztása esetén – a szervezet köteles törölni vagy visszajuttatni az adatokat, vagy megőrizheti azokat, ha évente megerősíti a Kereskedelmi Minisztérium számára azt a kötelezettségvállalását, hogy továbbra is alkalmazza az elveket, vagy egyéb engedélyezett eszközökkel megfelelő védelmet nyújt a személyes adatok számára (pl. olyan szerződéssel, amely teljes mértékben tükrözi a Bizottság által jóváhagyott vonatkozó általános szerződési feltételeket) (85). Ebben az esetben a szervezetnek meg kell határoznia a szervezeten belül az EU–USA adatvédelmi kerettel kapcsolatos kérdések megválaszolására szolgáló kapcsolattartó pontot.

(56)

A Kereskedelmi Minisztérium mind hivatalból, mind (pl. az adatvédelmi hatóságoktól kapott) panaszok alapján nyomon fogja követni az EU–USA adatvédelmi keretben való részvételre vonatkozó hamis állításokat vagy az EU–USA adatvédelmi keret szerinti tanúsító védjegy nem megfelelő használatát (86). A Kereskedelmi Minisztérium folyamatosan ellenőrzi különösen azt, hogy azok a szervezetek, amelyek i. kilépnek az EU–USA adatvédelmi keretben való részvételből, ii. nem végezték el az éves újratanúsítást (azaz vagy megkezdték, de nem fejezték be időben az éves újratanúsítási folyamatot, vagy el sem kezdték azt), iii. résztvevőként eltávolításra kerülnek, különösen „tartós meg nem felelés miatt”, vagy iv. nem fejezték be az első tanúsítást (azaz megkezdték, de nem fejezték be időben az első tanúsítási folyamatot), töröljék a közzétett adatvédelmi szabályzataikból az EU–USA adatvédelmi keretre vonatkozó hivatkozásokat, amelyek arra utalnak, hogy a szervezet aktívan részt vesz a keretrendszerben (87). A Kereskedelmi Minisztérium internetes kereséseket is végez annak érdekében, hogy azonosítsa az EU–USA adatvédelmi keretre való hivatkozásokat a szervezetek adatvédelmi szabályzataiban, többek között az olyan szervezetek hamis állításainak azonosítása céljából, amelyek soha nem vettek részt az EU–USA adatvédelmi keretben (88).

(57)

Amennyiben a Kereskedelmi Minisztérium megállapítja, hogy az EU–USA adatvédelmi keretre való hivatkozásokat nem törölték vagy nem megfelelően használják, tájékoztatja a szervezetet az FTC/Közlekedési Minisztérium esetleges megkereséséről (89). Ha egy szervezet nem ad határozott választ, a Kereskedelmi Minisztérium esetleges végrehajtási intézkedés céljából az illetékes ügynökséghez utalja az ügyet (90). Az FTC, a Közlekedési Minisztérium vagy egyéb érintett amerikai végrehajtó hatóságok végrehajtási intézkedést hoznak, ha egy szervezet az elvek általa történő elfogadásával kapcsolatos, félrevezető nyilatkozatokkal vagy gyakorlatokkal megtéveszti a közvéleményt. A Kereskedelmi Minisztériumnak adott hamis közlések a hamis nyilatkozatokról szóló törvény (18 U.S.C. § 1001) alapján perelhetők.

(58)

Az adatvédelem megfelelő szintjének gyakorlati biztosítása érdekében létre kell hozni egy független felügyeleti hatóságot, amely hatáskörrel rendelkezik az adatvédelmi szabályoknak való megfelelés nyomon követésére és kikényszerítésére.

(59)

Az EU–USA adatvédelmi keretben részt vevő szervezeteknek az illetékes amerikai hatóságok – az FTC és a Kereskedelmi Minisztérium – joghatósága alá kell tartozniuk, amelyek rendelkeznek az elveknek való megfelelés hatékony biztosításához szükséges vizsgálati és végrehajtási hatáskörökkel (91).

(60)

Az FTC független hatóság, amely öt biztosból áll, akiket az elnök nevez ki a Szenátus tanácsa alapján és egyetértésével (92). A biztosokat hét évre nevezik ki, és azokat az elnök csak nem hatékony munkavégzés, hivatali mulasztás vagy hivatali visszaélés miatt mentheti fel. Az FTC ugyanazon politikai pártból legfeljebb három biztossal rendelkezhet, a biztosok pedig kinevezésük ideje alatt nem folytathatnak más tevékenységet, hivatást vagy munkát.

(61)

Az FTC kivizsgálhatja az elveknek való megfelelést, valamint az elvek betartására vagy az EU–USA adatvédelmi keretben való részvételre vonatkozó hamis állításokat olyan szervezetek részéről, amelyek már nem szerepelnek az adatvédelmi keret szerinti listán, vagy amelyeket soha nem tanúsítottak (93). Az FTC úgy érvényesítheti a megfelelést, hogy közigazgatási vagy szövetségi bírósági végzéseket (ideértve az egyezségek útján hozott „hozzájárulási végzéseket”) (94) kér előzetes vagy állandó intézkedések vagy egyéb jogorvoslatok iránt, és rendszeresen nyomon követi az ilyen végzéseknek való megfelelést (95). Ha a szervezetek nem tartják be ezeket a végzéseket, az FTC polgári jogi szankciókat vagy egyéb jogorvoslatokat igényelhet, többek között a jogellenes cselekmény okozta károk megtérítését követelheti. Az EU–USA adatvédelmi keretben részt vevő szervezetek számára kiadott mindegyik hozzájárulási végzés önbejelentési rendelkezéseket tartalmaz majd (96), és arra fogja kötelezni a szervezeteket, hogy hozzák nyilvánosságra az FTC-hez benyújtott valamennyi megfelelési vagy értékelő jelentésnek az EU–USA adatvédelmi kerettel kapcsolatos, lényeges szakaszait. Végezetül az FTC fenntartja majd azoknak a szervezeteknek az online listáját, amelyek az FTC vagy valamely bíróság EU–USA adatvédelmi kerettel kapcsolatos ügyekben hozott végzéseinek hatálya alá tartoznak (97).

(62)

Ami az adatvédelmi pajzsot illeti, az FTC mintegy 22 esetben tett végrehajtási intézkedést, mind a keretrendszer konkrét követelményeinek megsértése tekintetében (pl. nem erősítette meg a Kereskedelmi Minisztérium felé, hogy a szervezet a keretből való kilépését követően is alkalmazta az adatvédelmi pajzs védelmét, önértékelés vagy külső megfelelőségi felülvizsgálat útján nem tudta ellenőrizni, hogy a szervezet megfelelt-e a keretrendszernek) (98), mind pedig a keretrendszerben való részvételre vonatkozó hamis állítások tekintetében (pl. olyan szervezetek részéről, amelyek elmulasztották megtenni a tanúsítás megszerzéséhez szükséges lépéseket, vagy hagyták, hogy tanúsításuk lejárjon, de hamisan úgy nyilatkoztak, hogy részvételük továbbra is fennáll) (99). Ez a végrehajtási intézkedés többek között abból eredt, hogy a bizonyításfelvételben való közreműködésre kötelező közigazgatási határozatokat proaktívan arra használták, hogy az adatvédelmi pajzs egyes résztvevőitől anyagokat szerezzenek be az adatvédelmi pajzsban foglalt kötelezettségek lényeges megsértésének ellenőrzése céljából (100).

(63)

Általánosabban az FTC az elmúlt években számos esetben tett végrehajtási intézkedéseket az EU–USA adatvédelmi keretben is előírt konkrét adatvédelmi követelményeknek való megfeleléssel kapcsolatban, például a célhoz kötöttség és az adatmegőrzés (101), az adatminimalizálás (102), az adatbiztonság (103) és az adatpontosság (104) elve tekintetében.

(64)

A Közlekedési Minisztérium kizárólagos jogkörrel rendelkezik a légitársaságok adatvédelmi gyakorlatainak a szabályozására, és az FTC-vel közös hatásköre van a jegyértékesítők légi közlekedés értékesítése során folytatott adatvédelmi gyakorlata tekintetében. A Közlekedési Minisztérium tisztségviselőinek célja először az egyezség elérése, és amennyiben ez nem lehetséges, végrehajtási eljárást indíthatnak, amely magában foglalja a Közlekedési Minisztérium közigazgatási bírája előtt lefolytatott bizonyításfelvételt, aki jogosult megszüntető végzéseket kibocsátani és polgári jogi szankciókat kiszabni (105). A közigazgatási bírák a közigazgatási eljárásról szóló törvény (APA) értelmében számos módon részesülnek védelemben függetlenségük és pártatlanságuk biztosítása érdekében. Például csak megalapozott indokkal lehet őket elbocsátani; rotációs alapon vannak ügyekhez rendelve; nem láthatnak el olyan feladatokat, amelyek nem egyeztethetők össze közigazgatási bírói feladataikkal és felelősségükkel; nem állnak az őket alkalmazó hatóság (ebben az esetben a Közlekedési Minisztérium) vizsgálati csoportjának felügyelete alatt; és pártatlanul kell ellátniuk igazságszolgáltatási/végrehajtási feladataikat (106). A Közlekedési Minisztérium kötelezettséget vállalt arra, hogy nyomon követi a végrehajtási végzéseket, és biztosítja, hogy az EU–USA adatvédelmi keret szerinti ügyekből származó végzések elérhetők legyenek a honlapján (107).

(65)

A megfelelő védelem, és különösen a személyhez fűződő jogok érvényesítésének biztosítása érdekében az érintettnek hatékony közigazgatási és bírósági jogorvoslatot kell biztosítani.

(66)

Az EU–USA adatvédelmi keret a jogorvoslat, végrehajtás és felelősség elve révén arra kötelezi a szervezeteket, hogy biztosítsanak jogorvoslati lehetőséget a meg nem felelés által érintett egyéneknek, és így tegyék lehetővé az uniós érintetteknek, hogy panaszt nyújtsanak be az EU–USA adatvédelmi keretben részt vevő szervezetek megfelelésének hiányával kapcsolatban, továbbá hogy szükség esetén hatékony jogorvoslatot biztosító határozatokkal kényszerítsék ki e panaszok rendezését (108). A szervezeteknek a tanúsításuk részeként eleget kell tenniük ennek az elvnek azáltal, hogy hatékony és könnyen igénybe vehető, független jogorvoslati mechanizmusokat biztosítanak, amelyek keretében minden egyén panaszai és jogvitái kivizsgálhatók és gyorsan megoldhatók anélkül, hogy ez költséget jelentene az egyén számára (109).

(67)

A szervezetek az Unióban vagy az Egyesült Államokban található független jogorvoslati mechanizmusokat választhatják. Amint azt a (73) preambulumbekezdés részletesebben kifejti, ez magában foglalja az uniós adatvédelmi hatóságokkal való együttműködés önkéntes vállalásának lehetőségét is. Amennyiben a szervezetek emberi erőforrásokra vonatkozó adatokat kezelnek, az uniós adatvédelmi hatóságokkal való együttműködésre vonatkozó kötelezettségvállalás kötelező. A további alternatívák közé tartoznak a független, alternatív vitarendezés vagy azok a magánszektorban kidolgozott adatvédelmi programok, amelyek az elveket beépítik a szabályozásukba. Az utóbbiaknak hatékony jogérvényesítési mechanizmusokat kell tartalmazniuk a jogorvoslat, végrehajtás és felelősség elve követelményeinek megfelelően.

(68)

Következtetésképpen az EU–USA adatvédelmi keret számos lehetőséget kínál az érintetteknek, hogy érvényesítsék a jogaikat, panaszt nyújtsanak be az EU–USA adatvédelmi keretben részt vevő szervezetek meg nem felelésével kapcsolatban, továbbá hogy szükség esetén hatékony jogorvoslatot biztosító határozatokkal kényszerítsék ki e panaszok rendezését. Az egyének közvetlenül a szervezethez, a szervezet által kijelölt független vitarendezési szervhez, a nemzeti adatvédelmi hatóságokhoz, a Kereskedelmi Minisztériumhoz vagy az FTC-hez nyújthatják be panaszukat. Ha a fenti jogorvoslati vagy jogérvényesítési mechanizmusok egyike sem vezet a panaszaik rendezéséhez, az egyének jogosultak továbbá igénybe venni a kötelező választottbíráskodást is (e határozat I. mellékletének I. melléklete). A választott bírói testület kivételével, amelynek igénybevételéhez egyes jogorvoslati lehetőségek kimerítése szükséges, az egyének szabadon döntenek arról, hogy igénybe veszik-e az összes jogorvoslati mechanizmust vagy azok valamelyikét, és nem kötelesek bármelyik mechanizmust előnyben részesíteni a többivel szemben vagy egy konkrét sorrendet követni.

(69)

Az uniós érintettek először az EU–USA adatvédelmi keretben részt vevő szervezetekkel való közvetlen kapcsolatfelvétel révén indíthatnak eljárást az elvek be nem tartása miatt (110). A panaszok rendezésének megkönnyítése érdekében a szervezetnek hatékony jogorvoslati mechanizmust kell kialakítania az ilyen panaszok elbírálására. Az adott szervezet adatvédelmi szabályzatában tehát egyértelműen tájékoztatni kell az egyéneket a panaszokat kezelő, szervezeten belüli vagy azon kívüli kapcsolattartó pontról, (így az Unión belüli bármely érintett szervezetről, amely választ adhat a kérdésekre vagy panaszokra), valamint a kijelölt független vitarendezési szervről (lásd a (70) preambulumbekezdést). A szervezetnek 45 napos időszakon belül választ kell adnia az uniós érintettnek, miután közvetlenül az adott egyéntől vagy egy adatvédelmi hatóság utalását követően a Kereskedelmi Minisztérium közvetítésével kézhez kapta az illető panaszát (111). Ehhez hasonlóan a szervezetek kötelesek gyorsan választ adni a Kereskedelmi Minisztériumtól vagy egy adatvédelmi hatóságtól (112) (ha a szervezet kötelezettséget vállalt az adatvédelmi hatósággal való együttműködésre) érkező, az elvek általuk történő elfogadásával kapcsolatos megkeresésekre és egyéb információkérésekre.

(70)

Másrészt az egyének a panaszt közvetlenül is benyújthatják ahhoz a független vitarendezési szervhez (az Egyesült Államokban vagy az Unióban), amelyet az adott szervezett azért jelölt ki, hogy kivizsgálja és rendezze az egyéni panaszokat (ha azok nem egyértelműen megalapozatlanok vagy komolytalanok) és megfelelő ingyenes jogorvoslatot biztosítson az egyének számára (113). Az ilyen szervek által kiszabott szankcióknak és jogorvoslatoknak eléggé szigorúaknak kell lenniük ahhoz, hogy a szervezetek betartsák az elveket, továbbá rendelkezniük kell arról, hogy a szervezetnek vissza kell fordítania vagy ki kell igazítania a megfelelés elmulasztásának hatását, valamint a körülményektől függően elő kell írniuk a szóban forgó személyes adatok további kezelésének megszüntetését vagy az adatok törlését, és a meg nem felelésre vonatkozó megállapítások nyilvánosságát (114). A szervezetek által kijelölt független vitarendezési szervek kötelesek feltüntetni a nyilvános weboldalaikon az EU–USA adatvédelmi kerettel kapcsolatos lényeges információkat, valamint az annak alapján általuk nyújtott szolgáltatásokat (115). Évente közzé kell tenniük egy éves jelentést, amelyben összesített statisztikai adatokat közölnek ezekről a szolgáltatásokról (116).

(71)

A Kereskedelmi Minisztérium a megfelelőség felülvizsgálatára vonatkozó eljárásai keretében ellenőrizni fogja továbbá, hogy az EU–USA adatvédelmi keretben részt vevő szervezetek valóban regisztrálták-e magukat azoknál a független jogorvoslati mechanizmusoknál, ahol állításuk szerint ezt megtették (117). A szervezetek és a felelős független jogorvoslati mechanizmusok egyaránt kötelesek gyorsan választ adni a Kereskedelmi Minisztériumnak az EU–USA adatvédelmi kerettel kapcsolatos információk iránti kérdéseire és kéréseire. A Kereskedelmi Minisztérium független jogorvoslati mechanizmusokkal fog működni annak ellenőrzése érdekében, hogy azok a weboldalaikon tartalmaznak-e információkat az elvekről és az EU–USA adatvédelmi keret alapján általuk nyújtott szolgáltatásokról, valamint hogy közzéteszik-e az éves jelentéseket (118).

(72)

Azokban az esetben, amikor a szervezet nem tesz eleget a vitarendezési vagy önszabályozási szerv döntésének, az utóbbinak értesítenie kell a meg nem felelésről a Kereskedelmi Minisztériumot és az FTC-t (vagy a meg nem felelés kivizsgálására hatáskörrel rendelkező más amerikai hatóságot) vagy az illetékes bíróságot (119). Ha a szervezet elutasítja valamely adatvédelmi önszabályozó, független vitarendezési vagy kormányzati szerv végleges határozatának teljesítését, vagy egy ilyen szerv megállapítja, hogy a szervezet gyakran nem tartja be az elveket, ez a teljesítés tartós elmulasztásának tekinthető, aminek következtében a Kereskedelmi Minisztérium először 30 napos határidőt tűz ki és lehetőséget ad a teljesítést elmulasztó szervezetnek a válaszadásra, majd törli a szervezetet a listáról (120). Ha a listáról való törlést követően a szervezet továbbra is az EU–USA adatvédelmi keret szerinti tanúsítványra vonatkozó állítást tesz, a Kereskedelmi Minisztérium az FTC vagy más jogérvényesítési ügynökség elé utalja az ügyet (121).

(73)

Harmadszor, az egyének panaszaikat az Unión belüli valamely nemzeti adatvédelmi hatósághoz is benyújthatják, amely élhet az (EU) 2016/679 rendelet szerinti vizsgálati és jogorvoslati hatáskörével. A szervezetek kötelesek együttműködni az adatvédelmi hatóság általi vizsgálat és panaszrendezés során, amennyiben az adatkezelés munkaviszony keretében gyűjtött humánerőforrás-adatokra vonatkozik, vagy ha az adott szervezet önként vállalta az adatvédelmi hatóságok általi felügyeletet (122). A szervezeteknek különösen meg kell válaszolniuk a kérdéseket, követniük kell az adatvédelmi hatóság által adott ajánlásokat, többek között a korrekciós vagy ellentételezési intézkedések tekintetében, valamint írásban meg kell erősíteniük az adatvédelmi hatóság számára, hogy ilyen intézkedés meghozatalára került sor (123). Az adatvédelmi hatóság által adott tanácsnak való meg nem felelés esetén az adatvédelmi hatóság az ilyen eseteket a Kereskedelmi Minisztériumhoz (amely eltávolíthatja a szervezeteket az EU–USA adatvédelmi keretben részt vevő szervezetek listájáról) vagy – esetleges végrehajtási intézkedés céljából – az FTC-hez vagy a Közlekedési Minisztériumhoz utalja (az adatvédelmi hatóságokkal való együttműködés vagy az elveknek való megfelelés elmulasztása az Egyesült Államok joga szerint megtámadható) (124).

(74)

A panaszok hatékony kezelésére irányuló együttműködés megkönnyítése érdekében mind a Kereskedelmi Minisztérium, mind az FTC külön kapcsolattartó pontot hozott létre, amely felelős az adatvédelmi hatóságokkal való közvetlen kapcsolattartásért (125). Ezek a kapcsolattartó pontok segítséget nyújtanak az adatvédelmi hatóság arra vonatkozó megkereséseiben, hogy egy szervezet megfelel-e az elveknek.

(75)

Az adatvédelmi hatóságok általi ajánlást (126) azután adják ki, hogy a jogvitában érdekelt mindkét fél megfelelő lehetőséget kapott a magyarázatra és a kívánt bizonyítékok benyújtására. A testület olyan gyorsan adhat ajánlást, amint ezt a jogszerű eljárás követelménye megengedi, főszabály szerint a panasz beérkezésétől számított 60 napon belül (127). Ha a szervezet a kézbesítésétől számított 25 napon belül nem tesz eleget az ajánlásnak, és a késedelemre vonatkozóan nem ad kielégítő indoklást, a testület értesítést ad arról a szándékáról, hogy az ügyet megküldi az FTC-hez (vagy az Egyesült Államok egyéb, hatáskörrel rendelkező jogérvényesítési hatóságához), vagy arról, hogy megállapítja, hogy az együttműködési kötelezettségvállalást súlyosan megszegték. Az első alternatíva szerint ez az FTC-ről szóló törvény 5. szakaszán (vagy hasonló törvényen) alapuló végrehajtási intézkedéshez vezethet (128). A második alternatíva szerint a testület tájékoztatni fogja a Kereskedelmi Minisztériumot, amely a megfelelés tartós elmulasztásának tekinti majd, hogy a szervezet elutasítja az adatvédelmi hatóságok testülete ajánlásának teljesítését, és ennek következtében eltávolítja a szervezetet az adatvédelmi keretben részt vevő szervezetek listájáról.

(76)

Az egyéni panaszosnak lehetősége van arra, hogy amennyiben az az adatvédelmi hatóság, amelyhez a panaszt intézte, nem hoz intézkedést vagy nem megfelelő intézkedést hoz a panasz kezelésére, az érintett uniós tagállam nemzeti bíróságai előtt megtámadja az ilyen intézkedést (mulasztást).

(77)

Az egyének még akkor is az adatvédelmi hatóságok elé terjeszthetik panaszaikat, ha nem az adatvédelmi hatóságok testületét jelölték ki a szervezet vitarendezési szerveként. Ilyen esetekben az adatvédelmi hatóság a Kereskedelmi Minisztérium vagy az FTC elé utalhatja e panaszokat. Az egyéni panaszokkal és az EU–USA adatvédelmi keretben részt vevő szervezetek meg nem felelésével kapcsolatos ügyekben történő együttműködés megkönnyítése és fokozása érdekében a Kereskedelmi Minisztérium e célra kialakított kapcsolattartó pontot hoz létre, hogy az összekötőként járjon el és segítséget nyújtson az adatvédelmi hatóságnak egy adott szervezet elveknek való megfelelésével kapcsolatos vizsgálatai tekintetében (129). Az FTC hasonlóképpen kötelezettséget vállalt arra, hogy külön kapcsolattartó pontot hoz létre (130).

(78)

Negyedrészt a Kereskedelmi Minisztérium kötelezettséget vállalt arra, hogy fogadja és felülvizsgálja az adott szervezet elveknek való meg nem feleléssel kapcsolatos panaszokat, és megteszi a legmegfelelőbb erőfeszítéseket e panaszok rendezésére (131). Az Egyesült Államok Kereskedelmi Minisztériuma ennek érdekében külön eljárásokat biztosít az adatvédelmi hatóságoknak, amelyek során azok az e célra létrehozott kapcsolattartó ponthoz utalhatják a panaszokat, figyelemmel kísérhetik azokat, és a rendezés elősegítése érdekében biztosíthatják a szervezeti nyomon követést (132). Az egyedi panaszok feldolgozásának gyorsítása érdekében a kapcsolattartó pont közvetlenül kapcsolatba lép a megfelelési kérdésekben érintett adatvédelmi hatósággal, és mindenekelőtt az utalástól számított 90 napon belül tájékoztatja a hatóságot a panasz aktuális helyzetéről (133). Ez lehetővé teszi, hogy az EU–USA adatvédelmi keretben részt vevő szervezetek meg nem felelésével kapcsolatos panaszokat az érintettek közvetlenül nemzeti adatvédelmi hatóságuk elé terjesszék, és e hatóság juttassa el azokat a Kereskedelmi Minisztériumhoz, amely az EU–USA adatvédelmi keret igazgatásáért felelős amerikai hatóság.

(79)

Amennyiben a Kereskedelmi Minisztérium hivatalból történő ellenőrzései, panasz vagy bármely egyéb információ alapján arra a következtetésre jut, hogy egy szervezet tartósan elmulasztotta az elvek betartását, az ilyen szervezetet eltávolítja az adatvédelmi keretben részt vevő szervezetek listájáról (134). A megfelelés tartós elmulasztásának tekintendő, ha a szervezet elutasítja valamely adatvédelmi önszabályozó, független vitarendezési vagy kormányzati szerv (pl. adatvédelmi hatóság) végleges határozatának teljesítését (135).

(80)

Ötödrészt az EU–USA adatvédelmi keretben részt vevő szervezeteknek az illetékes amerikai hatóságok – különösen az FTC (136) – joghatósága alá kell tartozniuk, amelyek rendelkeznek az elveknek való megfelelés hatékony biztosításához szükséges vizsgálati és végrehajtási hatáskörökkel. Az FTC elsőbbséget biztosít majd a független vitarendezési vagy önszabályozási szervektől, a Kereskedelmi Minisztériumtól és a (hivatalból vagy panaszok alapján eljáró) adatvédelmi hatóságoktól kapott, az elveknek való meg nem felelés ügyében elé utalt panaszok vizsgálatának, annak eldöntése érdekében, hogy sor került-e az FTC-ről szóló törvény 5. szakaszának megsértésére (137). Az FTC standard utalási eljárás kialakítását vállalta, amelynek keretében kapcsolattartó pontot jelöl ki a hivatalnál az adatvédelmi hatóság által elé utalt panaszok és az ezekkel kapcsolatos információcsere számára. A Szövetségi Kereskedelmi Bizottság ezenfelül elfogadhatja a közvetlenül magánszemélyektől érkező panaszokat is, valamint hivatalból végez majd vizsgálatokat az EU–USA adatvédelmi kerettel kapcsolatosan, kiváltképpen az adatvédelmi kérdésekkel kapcsolatos tágabb vizsgálatok részeként.

(81)

Hatodrészt abban az esetben, ha a rendelkezésre álló egyéb jogorvoslati lehetőségek egyike sem orvosolta kielégítően az egyéni panaszt, az uniós érintett „végső eszközül” szolgáló jogorvoslati mechanizmusként igénybe veheti az „EU–USA adatvédelmi kerettel foglalkozó testület” kötelező erejű választottbírósági eljárását (138). A szervezeteknek tájékoztatniuk kell az egyéneket arról a lehetőségről, hogy kötelező választottbíráskodást vehetnek igénybe, és amennyiben az egyének az érintett szervezetnek küldött értesítés útján élnek az említett lehetőséggel, azok kötelesek választ adni (139).

(82)

Az EU–USA adatvédelmi kerettel foglalkozó testületet legalább tíz választott bíróból álló állomány alkotja, akiket a függetlenségük, feddhetetlenségük és az Egyesült Államok és az Unió adatvédelmi jogával kapcsolatos tapasztalataik alapján a Kereskedelmi Minisztérium és a Bizottság jelöl ki. A felek minden egyes jogvita esetén kiválasztanak ebből az állományból egy választottbírót vagy egy három (140) választottbíróból álló tanácsot.

(83)

A Kereskedelmi Minisztérium a Nemzetközi Vitarendezési Központot (ICDR), az Amerikai Választottbírósági Szövetség (AAA) nemzetközi részlegét választotta ki a választottbírósági eljárások lebonyolítására. Az EU–USA adatvédelmi kerettel foglalkozó testület előtti eljárásokra az elfogadott választottbírósági szabályok és a kinevezett választottbírák magatartási kódexe az irányadó. Az ICDR-AAA honlapja egyértelmű és tömör tájékoztatást nyújt az egyéneknek a választottbírósági mechanizmusról és a választottbírósági eljárás megindítására vonatkozó eljárásról.

(84)

A Kereskedelmi Minisztérium és a Bizottság által elfogadott választottbírósági szabályok kiegészítik az EU–USA adatvédelmi keretet, amely több olyan jellemzőt is tartalmaz, amelyek javítják e mechanizmus hozzáférhetőségét az uniós érintettek számára: i. a választottbíróság előtti követelés előkészítése során az érintett segítséget kaphat nemzeti adatvédelmi hatóságától, ii. bár a választottbírósági eljárásra az Egyesült Államokban fog sor kerülni, az uniós érintettek döntésük szerint video- vagy telefonkonferencia útján bekapcsolódhatnak az eljárásba. Ezt a lehetőséget költségmentesen kell az egyének rendelkezésére bocsátani, iii. bár a választottbíróságon főszabály szerint az angol nyelvet használják, általában észszerű, indoklással ellátott kérésre a választottbírósági tárgyalás során tolmácsot, valamint fordítást biztosítanak, és ez nem jelent költséget az érintettnek, iv. végezetül, bár a feleknek maguknak kell viselniük saját ügyvédük tiszteletdíját, ha ügyvéddel képviseltetik magukat a választottbíróság előtt, a Kereskedelmi Minisztérium az EU–USA adatvédelmi keretnem részt vevő szervezetek éves hozzájárulásaival létrehoz majd egy alapot, amely az amerikai hatóságok által – a Bizottsággal való konzultációt követően – meghatározott maximális összegek erejéig fedezni fogja a választottbírósági eljárás támogatható költségeit (141).

(85)

Az EU–USA adatvédelmi kerettel foglalkozó testület jogosult arra, hogy az elvek be nem tartásának orvoslásához szükséges egyedi, nem pénzbeli méltányos jogorvoslatot írjon elő (142). Bár a testület határozatának meghozatalakor figyelembe veszi majd az EU–USA adatvédelmi keret egyéb mechanizmusaiból már megkapott más jogorvoslatokat, az egyének ennek ellenére választottbírósághoz fordulhatnak, ha úgy ítélik meg, hogy az említett egyéb jogorvoslatok nem elegendőek. Ez lehetővé teszi, hogy az uniós érintettek minden olyan esetben választottbírósághoz folyamodjanak, amikor az EU-USA adatvédelmi keretben részt vevő szervezetek, a független jogorvoslati mechanizmusok vagy az illetékes amerikai hatóságok (például az FTC) intézkedése vagy mulasztása nem rendezi kielégítően a panaszukat. Nem lehet választottbírósághoz folyamodni, ha egy adatvédelmi hatóság hatáskörrel rendelkezik egy EU–USA adatvédelmi keretben részt vevő szervezettel kapcsolatos, szóban forgó igény rendezésére, különösen azokban az esetekben, amikor a szervezet köteles együttműködni és teljesíteni az adatvédelmi hatóságok ajánlásait a munkaviszony keretében gyűjtött humánerőforrás-adatok tekintetében, vagy pedig ezt önként vállalja. Az egyének a szövetségi választottbírósági törvény alapján érvényesíthetik a választottbírósági határozatokat az Egyesült Államok bíróságain, így biztosítva jogorvoslatot, ha a szervezet nem teljesít.

(86)

Hetedszer, amennyiben egy szervezet nem tesz eleget az elvek és a közzétett adatvédelmi szabályzat tiszteletben tartására vonatkozó kötelezettségének, az Egyesült Államok joga alapján további jogorvoslati lehetőségek állnak rendelkezésre, ideértve a kártérítés igénylését is. Például az egyének bizonyos feltételek mellett az állami fogyasztóvédelmi jogszabályok alapján, a tisztességtelen vagy megtévesztő cselekmények vagy gyakorlatok esetén (143), valamint a jogellenes károkozásra vonatkozó jog alapján (különösen a kizárásra (144), a név vagy hasonlóság kisajátítására (145), valamint a magánjellegű tények nyilvánosságra hozatalára (146) vonatkozó jogellenes károkozás) bírósági jogorvoslatot (többek között kártérítéshez való jogot) kérhetnek.

(87)

A fent ismertetett különböző jogorvoslati lehetőségek együttesen biztosítják, hogy az EU–USA adatvédelmi keret tanúsított szervezetek általi be nem tartására vonatkozó valamennyi panaszt hatékonyan elbírálják és orvosolják.

(88)

A Bizottság értékelte továbbá a korlátozásokat és biztosítékokat, többek között az Egyesült Államok jogában rendelkezésre álló felügyeleti és egyéni jogorvoslati mechanizmusokat az egyesült államokbeli adatkezelőknek és adatfeldolgozóknak közérdekből továbbított személyes adatok egyesült államokbeli hatóságok általi gyűjtése és későbbi felhasználása tekintetében, többek közt büntetőjogi és nemzetbiztonsági célokból (kormányzati hozzáférés) (147). Annak értékelése során, hogy azok a feltételek, amelyek mellett az e határozat alapján az Egyesült Államokba továbbított adatokhoz való kormányzati hozzáférés megfelel-e az (EU) 2016/679 rendelet 45. cikkének (1) bekezdése szerinti „lényegi egyenértékűségi” tesztnek, a Bíróságnak az Alapjogi Chartára figyelemmel adott értelmezése szerint a Bizottság számos kritériumot vette figyelembe.

(89)

Különösen a személyes adatok védelméhez való jog gyakorlása csak a törvény által korlátozható, és a beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás terjedelmét (148). Ezenkívül, az arányosság követelményének való megfelelés érdekében, amely szerint egy demokratikus társadalomban a személyes adatok védelme alóli eltéréseknek és e védelem korlátozásainak a feltétlenül szükséges mérték határain belül kell maradniuk az Unió által elismertekkel egyenértékű általános érdekű célok teljesítéséhez, a jogalapnak egyértelmű és pontos szabályokat kell meghatároznia a szóban forgó intézkedések alkalmazási körét és alkalmazását illetően, és elő kell írnia minimumbiztosítékokat annak érdekében, hogy azok a személyek, akiknek az adatait továbbították, elegendő garanciákkal rendelkezzenek, amelyek lehetővé teszik a személyes adataiknak a visszaélések veszélyével szembeni hatékony védelmét (149). Ezen túlmenően ezeknek a szabályoknak és biztosítékoknak jogilag kötelező erejűnek és az egyének által érvényesíthetőnek kell lenniük (150). Az érintetteknek különösen rendelkezniük kell azzal a lehetőséggel, hogy független és pártatlan bíróság előtt éljenek jogorvoslati lehetőségekkel abból a célból, hogy a rájuk vonatkozó személyes adatokhoz hozzáférést kapjanak, vagy az említett adatokat helyesbíttetni vagy töröltetni tudják (151).

(90)

Ami az EU–USA adatvédelmi keret szerint bűnüldözési célból továbbított személyes adatokba való beavatkozást illeti, az Egyesült Államok joga számos korlátozást ír elő a személyes adatokhoz való hozzáférésre és azok felhasználására vonatkozóan, valamint olyan felügyeleti és jogorvoslati mechanizmusokat biztosít, amelyek összhangban vannak az e határozat (89) preambulumbekezdésében említett követelményekkel. Az említett hozzáférés feltételeit és az e hatáskörök alkalmazására vonatkozó biztosítékokat a következő szakaszok részletesen értékelik. E tekintetben az Egyesült Államok kormánya (az Igazságügyi Minisztériumon keresztül) biztosítékokat is nyújtott az alkalmazandó korlátozásokról és biztosítékokról (e határozat VI. melléklete).

(91)

A tanúsított egyesült államokbeli szervezetek által kezelt azon személyes adatokhoz, amelyeket az Unióból az EU–USA adatvédelmi keret alapján továbbítanának, az USA szövetségi ügyészei és szövetségi nyomozó tisztviselői különböző eljárások keretében bűnüldözési célból hozzáférhetnek, amint azt a (92)–(99) preambulumbekezdés részletesebben kifejti. Ezek az eljárások ugyanúgy alkalmazandók, ha az információkat bármely egyesült államokbeli szervezettől szerzik be, függetlenül az érintettek állampolgárságától vagy lakóhelyétől (152).

(92)

Először is egy szövetségi bűnüldöző szerv tagja vagy a kormány jogi képviselőjének kérésére a bíró házkutatási vagy lefoglalási parancsot adhat ki (beleértve az elektronikusan tárolt információkat is) (153). Ilyen parancs csak akkor bocsátható ki, ha „alapos gyanú (154)” áll fenn arra vonatkozóan, hogy a „lefoglalható tárgyak” (bűncselekmény bizonyítéka, jogellenesen birtokolt tárgyak vagy bűncselekmény elkövetésére szánt vagy arra használt vagyon) valószínűleg a parancsban meghatározott helyen találhatók. A parancsnak meg kell jelölnie a lefoglalandó vagyontárgyat vagy tárgyat, és meg kell jelölnie azt a bírót, akihez a parancsot vissza kell juttatni. Az a személy, akivel szemben házkutatást folytatnak, vagy akinek a vagyonát átkutatják, a jogellenes házkutatásból szerzett vagy abból származó bizonyítékok kizárását indítványozhatja, ha e bizonyítékokat büntetőeljárás során bemutatják vele szemben (155). Ha az adattulajdonosnak (pl. egy vállalatnak) parancs alapján kell közzétennie az adatokat, akkor különösen vitathatja a közzétételre vonatkozó követelményt, mivel az indokolatlanul megterhelő (156).

(93)

Másodszor, a vádesküdtszék (a bíróság bíró vagy főbíró által kiválasztott vizsgáló ága) bizonyos súlyos bűncselekmények kivizsgálásával összefüggésben (157) – általában szövetségi ügyész kérésére – parancsot adhat ki annak érdekében, hogy megkövetelje valakitől üzleti nyilvántartások, elektronikusan tárolt információk vagy egyéb tárgyi eszközök bemutatását vagy rendelkezésre bocsátását. Ezenkívül több különböző törvény ad felhatalmazást a bizonyításfelvételben való közreműködésre kötelező közigazgatási határozatok felhasználására üzleti adatok, elektronikusan tárolt információk vagy más ingók egészségügyi csalással, gyermekbántalmazással, titkosszolgálati védelemmel, ellenőrzött anyagok használatával kapcsolatos vizsgálatokban és legfőbb ügyészi vizsgálatokban történő bemutatása vagy rendelkezésre bocsátása céljából (158). Az információnak mindkét esetben relevánsnak kell lennie a vizsgálat szempontjából, és a parancs nem lehet észszerűtlen, azaz túlzó, elnyomó vagy megterhelő (és a parancs címzettje ezen az alapon vitathatja azt) (159).

(94)

Nagyon hasonló feltételek vonatkoznak az egyesült államokbeli vállalatok birtokában lévő adatokhoz polgári vagy szabályozási célból („közérdek”) való hozzáférés céljából kiadott, a bizonyításfelvételben való közreműködésre kötelező közigazgatási határozatokra. Az ilyen bizonyításfelvételben való közreműködésre kötelező közigazgatási határozatokkal kapcsolatos polgári és szabályozási feladatokat ellátó szervek hatáskörét törvénybe kell foglalni. A bizonyításfelvételben való közreműködésre kötelező közigazgatási határozat használata „észszerűségi vizsgálat” tárgyát képezi, amely megköveteli, hogy a vizsgálatot törvényes célnak megfelelően folytassák le, a határozatban kért információk e célból relevánsak legyenek, az ügynökség még ne rendelkezzen a határozattal kért információkkal, és hogy a határozat kiadásához szükséges adminisztratív lépéseket betartották (160). A Legfelsőbb Bíróság ítélkezési gyakorlata azt is egyértelművé tette, hogy egyensúlyt kell teremteni a kért információhoz fűződő közérdek fontossága, valamint a személyes és szervezeti adatvédelmi érdekek fontossága között (161). Bár a közigazgatási határozat használata nem függ előzetes bírósági jóváhagyástól, az bírósági felülvizsgálat tárgyát képezi abban az esetben, ha a címzett a fent említett indokok alapján kifogást emel, vagy ha a kibocsátó szerv bírósági úton kívánja érvényesíteni a határozatot (162). Ezen általános, átfogó korlátozások mellett egyedi (szigorúbb) követelmények is adódhatnak az egyes alapokmányokból (163).

(95)

Harmadszor számos jogalap lehetővé teszi a bűnüldöző hatóságok számára, hogy hozzáférjenek a kommunikációs adatokhoz. A bíróság elrendelheti a telefonszámra vagy e-mailre vonatkozó valós idejű, nem tartalmi tárcsázási, útvonal-, cím- és jelzési adatok összegyűjtését (bejövő és kimenő hívásokat rögzítő eszközök segítségével), ha megállapítja, hogy a hatóság igazolta, hogy a valószínűleg megszerzendő információ egy folyamatban lévő nyomozás szempontjából releváns (164). A végzésnek tartalmaznia kell többek között a gyanúsított személyazonosságát, amennyiben ismert; a hatálya alá tartozó kommunikációk attribútumait, valamint annak a bűncselekménynek a megjelölését, amelyre a gyűjtendő információk vonatkoznak. A hívásrögzítő és lehallgató eszközök használata legfeljebb hatvan napra engedélyezhető, amely időtartam csak új bírósági végzéssel hosszabbítható meg.

(96)

Emellett az internetszolgáltatók, telefontársaságok és egyéb harmadik fél szolgáltatók birtokában lévő előfizetői információkhoz, forgalmi adatokhoz és a kommunikáció tárolt tartalmához való bűnüldözési célú hozzáférés a tárolt kommunikációról szóló törvény alapján is megszerezhető (165). Az elektronikus kommunikáció tárolt tartalmának megszerzéséhez a büntető ügyekben eljáró bűnüldöző hatóságoknak elvben az arra vonatkozó alapos gyanú alapján kell bírói parancsot beszerezniük, hogy a szóban forgó felhasználói fiók bűncselekmény bizonyítékát tartalmazza (166). Az előfizetői regisztrációs adatok, az IP-címek és a kapcsolódó időbélyegzők, valamint a számlainformációk esetében a bűnüldöző hatóságok idézést használhatnak. A legtöbb egyéb tárolt, tartalmat nem felfedő információ – így a tárgy nélküli e-mail-fejlécek – esetében a bűnüldöző hatóságoknak konkrét bírósági végzést kell szerezniük, amelyet akkor állítanak ki, ha a bíró meggyőződött arról, hogy észszerű okok alapján lehet úgy vélni, hogy a kért információ releváns és lényeges egy folyamatban levő bűnügyi nyomozásban.

(97)

Azok a szolgáltatók, amelyek a tárolt kommunikációról szóló törvény alapján megkeresést kapnak, önkéntesen értesíthetik azt az ügyfelet vagy előfizetőt, akinek az adatait kérik, kivéve, ha az illetékes bűnüldöző hatóság az értesítést tiltó védelmi határozatot kap (167). Az ilyen védelmi határozat olyan bírósági határozat, amely arra kötelezi az elektronikus hírközlési szolgáltatásokat vagy távoli számítástechnikai szolgáltatásokat nyújtó szolgáltatót, akire a parancs, idézés vagy bírósági végzés irányul, hogy a bíróság által megfelelőnek ítélt ideig ne értesítsen más személyeket a parancs, idézés vagy bírósági végzés létezéséről. Védelmi határozatot akkor adnak ki, ha a bíróság úgy ítéli meg, hogy okkal feltételezhető, hogy az értesítés súlyosan veszélyeztetné a nyomozást vagy indokolatlanul késleltetné a tárgyalást, például azért, mert veszélyeztetné egy egyén életét vagy testi épségét, vagy a büntetőeljárás előli szökést, a potenciális tanúk megfélemlítését stb. eredményezné. A főügyészhelyettesi nyilatkozat (amely az Igazságügyi Minisztérium valamennyi jogászára és megbízottjára nézve kötelező) előírja az ügyészek számára, hogy részletesen határozzák meg a védelmi határozat szükségességét, és indokolják meg a bíróság számára, hogy az adott ügyben hogyan teljesülnek a védelmi határozat elrendelésének törvényes feltételei (168). A nyilatkozat azt is előírja, hogy a védelmi határozat iránti kérelmek általában nem irányulhatnak az értesítés egy évnél hosszabb késleltetésére. Amennyiben kivételes körülmények között hosszabb időtartamú határozatra lehet szükség, ilyen határozat csak az Egyesült Államok ügyésze vagy a megfelelő főügyészhelyettes által kijelölt felügyelő írásbeli hozzájárulásával kérhető. Ezen túlmenően az ügyésznek a nyomozás lezárásakor haladéktalanul értékelnie kell, hogy van-e alapja a folyamatban lévő védelmi határozatok fenntartásának, és amennyiben nem ez a helyzet, meg kell szüntetnie a védelmi határozatot, és gondoskodnia kell arról, hogy erről a szolgáltatót értesítsék (169).

(98)

A bűnüldöző hatóságok valós idejű telefonos, szóbeli vagy elektronikus kommunikációt is lehallgathatnak bírósági határozat alapján, amelyben a bíró egyebek között megállapítja, hogy alaposan gyanítható, hogy a telefonos vagy elektronikus lehallgatás szövetségi bűncselekményt vagy a büntetőeljárás elől menekülő tartózkodási helyére vonatkozó bizonyítékot nyújt (170).

(99)

További védelmet nyújtanak az Igazságügyi Minisztérium különböző szabályzatai és iránymutatásai, többek között a belföldi FBI-műveletekre vonatkozó főügyészi iránymutatás (Attorney General Guidelines for domestic FBI Operations – AGG-DOM) is, amely egyebek mellett előírja, hogy a Szövetségi Nyomozóirodának (FBI) a lehető legkisebb beavatkozással járó vizsgálati módszereket kell alkalmaznia, figyelembe véve a magánéletre és a polgári szabadságjogokra gyakorolt hatást (171).

(100)

Az Egyesült Államok kormánya által tett nyilatkozatok szerint azonos vagy magasabb szintű, fent ismertetett védelmi normák vonatkoznak az állami szintű bűnügyi nyomozásokra (a tagállamok joga alapján végzett nyomozások tekintetében) (172). Különösen az alkotmányos rendelkezések, valamint az állami szintű törvények és ítélkezési gyakorlat erősítik meg a fent említett védelmet az indokolatlan házkutatással és lefoglalással szemben azáltal, hogy házkutatási parancs kibocsátását írják elő (173). A szövetségi szinten biztosított védelemhez hasonlóan a házkutatási parancsot csak valószínű ok bemutatása esetén lehet kiadni, és annak tartalmaznia kell a házkutatás helyét és a letartóztatandó személyt vagy a lefoglalandó dolgot (174).

(101)

Ami a szövetségi bűnüldöző hatóságok által gyűjtött adatok további felhasználását illeti, a különböző törvények, iránymutatások és előírások különleges biztosítékokat írnak elő. Az FBI tevékenységeire alkalmazandó konkrét eszközök (az AGG-DOM és az FBI belföldi vizsgálatokra és műveletekre vonatkozó útmutatója) kivételével az e szakaszban ismertetett követelmények általában az adatok bármely szövetségi hatóság általi további felhasználására vonatkoznak, beleértve a polgári vagy szabályozási célból hozzáférhető adatokat is. Ez magában foglalja az Irányítási és Költségvetési Hivatal feljegyzéseiből/rendeleteiből, a szövetségi információbiztonsági irányítás korszerűsítéséről szóló törvényből, az e-kormányzatról szóló törvényből és a szövetségi nyilvántartásokról szóló törvényből eredő követelményeket.

(102)

A Clinger-Cohen törvény (P.L. 104–106., Division E) és a számítógép-biztonságról szóló 1987. évi törvény (P.L. 100–235) által adott felhatalmazásnak megfelelően az Irányítási és Költségvetési Hivatal (OMB) kiadta az A-130. sz. körlevelet, amely valamennyi szövetségi ügynökségre (beleértve a bűnüldöző hatóságokat is) vonatkozik, amikor személyazonosító adatokat kezelnek (175). A körlevél különösen azt írja elő valamennyi szövetségi ügynökség számára, hogy „a személyesen azonosítható információk létrehozását, gyűjtését, felhasználását, feldolgozását, tárolását, karbantartását, terjesztését és nyilvánosságra hozatalát a jogilag engedélyezett, releváns és a felhatalmazott ügynökség feladatainak megfelelő ellátásához észszerűen szükségesnek ítélt adatokra korlátozzák” (176). Ezen túlmenően a szövetségi ügynökségeknek – az észszerűen megvalósítható mértékig – biztosítaniuk kell, hogy a személyesen azonosítható információk pontosak, relevánsak, időszerűek és hiánytalanok legyenek, és az ügynökség feladatainak megfelelő ellátásához szükséges minimumra korlátozódjanak. Általánosabban fogalmazva, a szövetségi ügynökségeknek átfogó adatvédelmi programot kell létrehozniuk az alkalmazandó adatvédelmi követelményeknek való megfelelés biztosítása, az adatvédelmi szabályzatok kidolgozása és értékelése, valamint az adatvédelmi kockázatok kezelése érdekében; eljárásokat kell fenntartaniuk a magánélet védelmével kapcsolatos incidensek észlelésére, dokumentálására és bejelentésére; adatvédelmi tudatosságnövelő és képzési programokat kell kidolgozniuk a munkavállalók és a vállalkozók számára; valamint szabályzatokat és eljárásokat kell bevezetniük annak biztosítására, hogy a személyzet elszámoltatható legyen a magánélet védelmére vonatkozó követelményeknek és szabályzatoknak való megfelelés tekintetében (177).

(103)

Emellett az e-kormányzatról szóló törvény (178) előírja valamennyi szövetségi ügynökség (beleértve a bűnüldöző hatóságokat is) számára, hogy olyan információbiztonsági védelmet vezessenek be, amely arányban áll a jogosulatlan hozzáférésből, felhasználásból, nyilvánosságra hozatalból, zavarból, módosításból vagy megsemmisítésből eredő kár kockázatával és nagyságrendjével; hogy információs főtisztviselővel rendelkezzenek az információbiztonsági követelményeknek való megfelelés biztosítása érdekében, és évente független értékelést végezzenek (pl. egy főellenőr segítségével, lásd a (109) preambulumbekezdést) információbiztonsági programjukról és gyakorlataikról (179). Hasonlóképpen, a szövetségi nyilvántartásról szóló törvény (FRA) (180) és a kiegészítő rendeletek (181) előírják, hogy a szövetségi ügynökségek birtokában lévő információkra az információk fizikai épségét és a jogosulatlan hozzáféréssel szembeni védelmét biztosító biztosítékoknak kell vonatkozniuk.

(104)

A szövetségi törvényhozó hatóság, többek között az információbiztonság korszerűsítéséről szóló 2014. évi szövetségi törvény alapján az OMB és a National Institute of Standards and Technology (NIST) olyan szabványokat dolgozott ki, amelyek kötelező erejűek a szövetségi ügynökségekre (többek között a bűnüldöző hatóságokra) nézve, és amelyek tovább pontosítják a bevezetendő információbiztonsági minimumkövetelményeket, beleértve a hozzáférés-ellenőrzést, a tudatosság és képzés biztosítását, a vészhelyzeti tervezést, az eseményekre való reagálást, az ellenőrzést és az elszámoltathatóságot, a rendszer és az információs integritás biztosítását, a magánélet védelmét és a biztonsági kockázatok értékelését stb. (182) Ezen túlmenően valamennyi szövetségi ügynökségnek (beleértve a bűnüldöző hatóságokat is) az OMB iránymutatásaival összhangban tervet kell fenntartania és végrehajtania az adatvédelmi incidensek kezelésére, beleértve az ilyen jogsértésekre való reagálást és a kárkockázatok értékelését is (183).

(105)

Ami az adatmegőrzést illeti, a FRA (184) előírja az Egyesült Államok szövetségi ügynökségei (köztük a bűnüldöző hatóságok) számára, hogy határozzanak meg adatmegőrzési időszakokat (amelyeket követően ezeket a nyilvántartásokat meg kell semmisíteni), amelyeket a Nemzeti Irattár és Nyilvántartási Hivatalnak jóvá kell hagynia (185). E megőrzési időszak hosszát különböző tényezők figyelembevételével határozzák meg, mint például a vizsgálat típusa, az, hogy a bizonyítékok továbbra is relevánsak-e a vizsgálat szempontjából stb. Az FBI tekintetében az AGG-DOM előírja, hogy az FBI-nak rendelkeznie kell ilyen nyilvántartás-megőrzési tervvel, és olyan rendszert kell fenntartania, amelyből azonnal kinyerhető a vizsgálatok állapota és alapja.

(106)

Végül az OMB A-130. sz. körlevele is tartalmaz bizonyos követelményeket a személyazonosító adatok terjesztésére vonatkozóan. A személyesen azonosítható információk terjesztésének és közzétételének elvben arra kell korlátozódnia, ami jogilag engedélyezett, releváns és észszerűen szükségesnek tekinthető az ügynökség feladatainak megfelelő ellátásához (186). A személyazonosító adatok más kormányzati szervezetekkel való megosztásakor az Egyesült Államok szövetségi ügynökségeinek adott esetben olyan feltételeket kell előírniuk (beleértve a konkrét biztonsági és adatvédelmi ellenőrzések végrehajtását), amelyek szabályozzák az információk írásbeli megállapodások (többek között szerződések, adatfelhasználási megállapodások, információcsere-megállapodások és egyetértési megállapodások) útján történő kezelését (187). Az információk terjesztésének indokai tekintetében például az AGG-DOM és az FBI belföldi vizsgálatokról és műveletekről szóló útmutatója (188) úgy rendelkezik, hogy az FBI-t jogi kötelezettség terhelheti erre (pl. nemzetközi megállapodás alapján), vagy bizonyos körülmények között továbbíthat információkat, például más egyesült államokbeli ügynökségeknek, amennyiben a nyilvánosságra hozatal összeegyeztethető azzal a céllal, amelyre az információt gyűjtötték, és kapcsolódik a felelősségi körükhöz; kongresszusi bizottságoknak; külföldi ügynökségeknek, amennyiben az információ a felelősségi körükhöz kapcsolódik, és az információ terjesztése összhangban áll az Egyesült Államok érdekeivel; a terjesztés különösen a személyek vagy a vagyon biztonságának védelme, illetve a bűncselekményekkel vagy a nemzetbiztonságot fenyegető veszélyekkel szembeni védelem vagy azok megelőzése érdekében szükséges, és a közlés összeegyeztethető azzal a céllal, amelyre az információt gyűjtötték (189).

(107)

A szövetségi bűnüldöző szervek tevékenységét különböző szervek felügyelik (190). A (92)–(99) preambulumbekezdésben kifejtettek szerint ez a legtöbb esetben magában foglalja az igazságszolgáltatás általi előzetes felügyeletet is, amelynek engedélyeznie kell az egyedi gyűjtési intézkedéseket, mielőtt azok alkalmazhatók lennének. Ezenkívül más szervek felügyelik a bűnüldöző hatóságok tevékenységeinek különböző szakaszait, beleértve a személyes adatok gyűjtését és kezelését. Ezek az igazságügyi és nem igazságügyi szervek együttesen biztosítják, hogy a bűnüldöző hatóságok független felügyelet alá tartozzanak.

(108)

Egyrészt számos, bűnüldözéssel kapcsolatos feladatkörökkel rendelkező szervezeti egységen belül vannak adatvédelmi és polgári szabadságjogi tisztségviselők (191). Bár e tisztségviselők konkrét hatásköre a felhatalmazó törvénytől függően némileg eltér egymástól, általában felöleli az eljárások felügyeletét annak érdekében, hogy a megfelelő minisztérium/ügynökség megfelelően figyelembe vegye az adatvédelmi és polgári szabadságjogi megfontolásokat, valamint megfelelő eljárásokat alakítson ki az olyan egyénektől érkező panaszok kezelésére, akik úgy vélik, hogy megsértették az adatvédelemhez fűződő vagy polgári szabadságjogaikat. Az egyes szervezeti egységek vagy ügynökségek vezetőinek gondoskodniuk kell arról, hogy a magánélet védelmével és az állampolgári szabadságjogokkal foglalkozó tisztviselők rendelkezzenek a megbízatásuk teljesítéséhez szükséges eszközökkel és erőforrásokkal, hozzáférjenek a feladataik ellátásához szükséges valamennyi anyaghoz és személyzethez, továbbá tájékoztatást kapjanak a javasolt szakpolitikai változásokról, és konzultáljanak velük azokról (192). A polgári szabadságjogi és adatvédelmi tisztségviselők időszakonként beszámolnak a Kongresszusnak többek között a minisztériumhoz/ügynökséghez beérkezett panaszok számáról és jellegéről, valamint az ilyen panaszok rendezésének összefoglalásáról, a tisztviselő által lefolytatott felülvizsgálatokról és vizsgálatokról és az általa végzett tevékenység hatásáról (193).

(109)

Másrészt egy független főellenőr felügyeli az Igazságügyi Minisztérium tevékenységét, beleértve az FBI tevékenységét is (194). A főellenőrök törvény erejénél fogva függetlenek (195), és felelősek a Minisztérium programjainak és műveleteinek független vizsgálatáért, auditjáért és ellenőrzéséért. Betekinthetnek valamennyi nyilvántartásba, jelentésbe, ellenőrzésbe, felülvizsgálatba, dokumentumba, iratba, ajánlásba vagy egyéb vonatkozó anyagba, ha szükséges bizonyítási cselekményben való közreműködésre kötelező közigazgatási határozat révén, és tanúvallomást vehetnek fel (196). Bár a főellenőrök korrekciós intézkedésekre vonatkozó, jogilag nem kötelező ajánlásokat adhatnak ki, jelentéseiket – többek között a nyomonkövetési intézkedésekről (vagy azok hiányáról) szóló jelentéseiket (197) – nyilvánosságra hozzák, és emellett elküldik a Kongresszusnak, amely ezek alapján gyakorolhatja felügyeleti funkcióját (lásd a (111) preambulumbekezdést) (198).

(110)

Harmadszor, amennyiben terrorizmusellenes tevékenységeket végeznek, a bűnüldözési feladatokat ellátó szervezeti egységek az adatvédelmi és polgári szabadságjogi felügyelő tanács (PCLOB) felügyelete alá tartoznak, amely a végrehajtó ágon belül egy független ügynökség, amely egy kétpárti, öttagú igazgatótanácsból áll, akit az elnök határozott hatéves időtartamra nevez ki, a szenátus jóváhagyásával (199). Alapító okirata szerint a PCLOB a magánélet és a polgári szabadságjogok védelme érdekében hatáskörrel rendelkezik a terrorizmusellenes politikák és azok végrehajtása terén. A tanács a felülvizsgálata során hozzáférhet az összes érintett ügynökség nyilvántartásaihoz, ellenőrzéseihez, felülvizsgálataihoz, dokumentumaihoz, irataihoz és ajánlásaihoz – ideértve a minősített adatokat –, meghallgatásokat folytathat és tanúvallomásokat vehet fel (200). Jelentéseket kap a különböző minisztériumok/ügynökségek polgári szabadságjogi és adatvédelmi tisztviselőitől (201), ajánlásokat ad ki a kormányzatnak és a bűnüldöző hatóságoknak, és rendszeresen jelentést tesz a kongresszusi bizottságoknak és az elnöknek (202). A testület jelentéseit, beleértve a Kongresszusnak szóló jelentéseket is, a lehető legnagyobb mértékben nyilvánosan hozzáférhetővé kell tenni (203).

(111)

Végezetül a bűnüldözési tevékenységeket az Egyesült Államok Kongresszusának egyes bizottságai (a Ház és a Szenátus igazságügyi bizottságai) felügyelik. Az igazságügyi bizottságok különböző módokon végeznek rendszeres felügyeletet, különösen meghallgatások, vizsgálatok, felülvizsgálatok és jelentések révén (204).

(112)

A fentieknek megfelelően a bűnüldöző hatóságoknak a legtöbb esetben előzetes bírósági engedélyt kell beszerezniük a személyes adatok gyűjtéséhez. Bár ez nem szükséges a bizonyításfelvételben való közreműködésre kötelező közigazgatási határozatok esetében, ezek konkrét helyzetekre korlátozódnak, és legalább akkor független bírósági felülvizsgálat tárgyát fogják képezni, ha a kormány bírósági végrehajtást kér. Különösen a bizonyításfelvételben való közreműködésre kötelező közigazgatási határozatok címzettjei megtámadhatják azokat a bíróságon azzal az indokkal, hogy azok nem észszerűek, vagy túlzott a hatókörük, elnyomóak vagy terhesek (205).

(113)

Az egyének először is kérelmeket vagy panaszokat nyújthatnak be a bűnüldöző hatóságokhoz személyes adataik kezelésével kapcsolatban. Ez magában foglalja a személyes adatokhoz való hozzáférés kérelmezésének és azok helyesbítésének lehetőségét is (206). A terrorizmus elleni küzdelemmel kapcsolatos tevékenységek tekintetében az egyének panaszt nyújthatnak be a bűnüldöző hatóságok adatvédelmi és polgári jogi tisztviselőinél (vagy más adatvédelmi tisztviselőknél) is (207).

(114)

Továbbá az amerikai jog számos bírósági jogorvoslati lehetőséget biztosít az egyéneknek a hatóságokkal vagy azok tisztviselőivel szemben, amennyiben ezek a hatóságok személyes adatokat kezelnek (208). A különösen az államigazgatási eljárásról szóló törvényre (APA), az információkhoz való szabad hozzáférésről szóló törvényre (FOIA) és az elektronikus kommunikáció adatvédelméről szóló törvényre (ECPA) kiterjedő, szóban forgó jogorvoslati lehetőségek állampolgárságtól függetlenül mindenki számára nyitva állnak az esetleges vonatkozó feltételekkel.

(115)

Általában véve az államigazgatási eljárásról szóló törvény (209) bírósági felülvizsgálatra vonatkozó rendelkezései szerint „egy hivatal tevékenysége miatt jogellenesen kárt szenvedő, vagy egy hivatal tevékenysége révén hátrányos helyzetbe kerülő vagy sérelmet szenvedő személyek” jogosultak bírósági jogorvoslatot igényelni (210). Ez többek között azt jelenti, hogy kérhetik a bíróságtól „az önkényesnek, kiszámíthatatlannak, mérlegelési jogkörrel való visszaélésnek vagy egyébként a joggal ellentétesnek talált […] hivatali intézkedés megállapítás és következtetések jogellenességének kimondását és azok hatályon kívül helyezését” (211).

(116)

Közelebbről az ECPA (212) II. címe meghatározza a magánélethez fűződő törvényes jogok rendszerét, és így szabályozza a bűnüldözési célú hozzáférést a harmadik fél szolgáltatók által tárolt vezetékes, szóbeli vagy elektronikus kommunikációhoz (213). A törvény büntetni rendeli a jogellenes (vagyis bíróság által nem engedélyezett vagy egyébként nem megengedhető) hozzáférést az ilyen kommunikációhoz, és jogorvoslati lehetőséget biztosít az érintett személyeknek, akik az Egyesült Államok szövetségi bíróságán tényleges és büntető jellegű kártérítés iránti polgári jogi igényt, illetve méltányossági vagy megállapítási keresetet terjeszthetnek elő azzal a kormányzati tisztviselővel szemben, aki szándékosan ilyen jogellenes cselekményt követett el, vagy pedig az Egyesült Államokkal szemben.

(117)

Ezenfelül több más törvény biztosítja az egyéneknek azt a jogot, hogy keresetet indítsanak az Egyesült Államok hatósága vagy tisztviselője ellene a személyes adataik kezelése tekintetében; így például a lehallgatásról szóló törvény (214), a számítógépes csalásról és visszaélésről szóló törvény (215), a kártérítési követelésekről szóló szövetségi törvény (216), a pénzügyi adatok védelméről szóló törvény (217), valamint a méltányos hitelminősítésről szóló törvény (218).

(118)

A FOIA (219) 5 U.S.C. § 552 értelmében továbbá bármely személynek joga van hozzáférni a szövetségi ügynökségek nyilvántartásaihoz, beleértve azokat az eseteket is, amikor azok az egyén személyes adatait tartalmazzák. A közigazgatási jogorvoslati lehetőségek kimerítését követően az egyén a bíróság előtt érvényesítheti a hozzáféréshez való jogát, kivéve, ha e nyilvántartásokat mentesség vagy különleges bűnüldözési célú kizárás védi a nyilvánosságra hozatallal szemben (220). Ebben az esetben a bíróság értékeli, hogy van-e mentesség, vagy arra az illetékes hatóság jogszerűen hivatkozott-e.

(119)

Az Egyesült Államok törvényei számos korlátozást állapítanak meg a személyes adatokhoz való hozzáférésre és azok bűnüldözési célokra történő felhasználására, és ezen a területen felügyeleti és jogorvoslati mechanizmusokat biztosítanak, amelyek összhangban állnak az e határozat (89) preambulumbekezdésében említett követelményekkel. Az említett hozzáférés feltételeit és az e hatáskörök alkalmazására vonatkozó biztosítékokat a következő szakaszok részletesen értékelik.

(120)

Az Unióból az EU–USA adatvédelmi keretben részt vevő szervezeteknek továbbított személyes adatokat az Egyesült Államok hatóságai nemzetbiztonsági célokból különböző jogi eszközök alapján, meghatározott feltételek és biztosítékok mellett gyűjthetik.

(121)

Azt követően, hogy az Egyesült Államokban található szervezetek megkapták a személyes adatokat, az Egyesült Államok hírszerző ügynökségei nemzetbiztonsági célokból csak a törvény által engedélyezett módon kérhetnek hozzáférést az Egyesült Államokban található szervezeteknek továbbított személyes adatokhoz, különösen a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény (FISA) vagy a nemzetbiztonsági levelek (NSL) révén történő hozzáférést engedélyező jogszabályi rendelkezések alapján (221). A FISA számos olyan jogalapot tartalmaz, amely felhasználható az uniós érintettek EU–USA adatvédelmi keret alapján továbbított személyes adatainak gyűjtésére (és későbbi kezelésére) (a FISA 105. szakasza (222), a FISA 302. szakasza (223), a FISA 402. szakasza (224), a FISA 501. szakasza (225), valamint a FISA 702. szakasza (226)), amint azt a (142)–(152) preambulumbekezdése részletesebben ismerteti.

(122)

Az Egyesült Államok hírszerző ügynökségeinek lehetőségük van arra is, hogy az Egyesült Államokon kívül személyes adatokat gyűjtsenek, amelyek magukban foglalhatják az Unió és az Egyesült Államok között továbbított személyes adatokat is. Az Egyesült Államokon kívüli adatgyűjtés az elnök (227) által kiadott 12333. sz. elnöki rendeleten (228) alapul.

(123)

A jelfelderítés gyűjtése a hírszerzési adatgyűjtés azon formája, amely a legrelevánsabb a jelenlegi megfelelőségi megállapítás szempontjából, mivel az elektronikus kommunikáció és az információs rendszerekből származó adatok gyűjtésére vonatkozik. Az ilyen adatgyűjtést az Egyesült Államok hírszerző ügynökségei végezhetik mind az Egyesült Államokban (a FISA alapján), mind pedig addig, amíg az adatok továbbításra kerülnek az Egyesült Államokba (a 12333. elnöki rendelet alapján).

(124)

2022. október 7-én az Egyesült Államok elnöke kiadta az Egyesült Államok jelfelderítési tevékenységeire vonatkozó biztosítékok megerősítéséről szóló 14086. elnöki rendeletet, amely korlátozásokat és biztosítékokat határoz meg valamennyi egyesült államokbeli jelfelderítési tevékenységre vonatkozóan. Ez az elnöki rendelet nagymértékben felváltja az elnöki politikai irányelvez (PPD-28) (229), megerősíti azokat a feltételeket, korlátozásokat és biztosítékokat, amelyek valamennyi jelfelderítési tevékenységre vonatkoznak (azaz a FISA és a 12333. elnöki rendelet alapján), függetlenül azok helyétől (230), és új jogorvoslati mechanizmust hoz létre, amelyen keresztül az egyének hivatkozhatnak ezekre a biztosítékokra és érvényesíthetik azokat (231) (lásd részletesebben a (176)–(194) preambulumbekezdést). Ennek során az Egyesült Államok jogában végrehajtja az EU és az USA között azt követően folytatott tárgyalások eredményét, hogy a Bíróság érvénytelenítette az adatvédelmi pajzsra vonatkozó bizottsági megfelelőségi határozatot (lásd a (6) preambulumbekezdést). Ezért ez az e határozatban értékelt jogi keret különösen fontos eleme.

(125)

A 14086. elnöki rendelet által bevezetett korlátozások és biztosítékok kiegészítik a FISA 702. szakaszát és a 12333. rendeletben foglaltakat. Az alábbiakban (a 3.2.1.2. és 3.2.1.3. szakaszban) leírt követelményeket a hírszerző ügynökségeknek alkalmazniuk kell a FISA 702. szakasza és a 12333. elnöki rendelet szerinti jelfelderítési tevékenységek végzésekor, például a FISA 702. szakasza szerint megszerzendő külföldi hírszerzési információk kategóriáinak kiválasztása/azonosítása; a 12333. elnöki rendelet alapján külföldi hírszerzési információk gyűjtése vagy kémelhárítás; valamint a FISA 702. szakasza és a 12333. rendelet alapján egyedi célzott döntések meghozatala során.

(126)

Az elnök által kiadott elnöki rendeletben meghatározott követelmények a Hírszerző Közösség egészére nézve kötelezőek. Ezeket továbbra is végre kell hajtani olyan ügynökségi politikák és eljárások révén, amelyek azokat a napi működésre vonatkozó konkrét irányokba ültetik át. E tekintetben a 14086. elnöki rendelet az amerikai hírszerző ügynökségek számára legfeljebb egy évet biztosít meglévő szabályzataik és eljárásaik naprakésszé tételére (azaz 2023. október 7-ig) annak érdekében, hogy összhangba hozzák azokat az elnöki rendelet követelményeivel. Ezeket az aktualizált szabályzatokat és eljárásokat a főügyésszel, a nemzeti hírszerzési igazgató polgári szabadságjogi tisztviselőjével (ODNI CLPO) és a PCLOB-vel konzultálva kell kidolgozni és nyilvánosságra hozni, mely utóbbi testület független felügyeleti szerv, amely a magánélet és a polgári szabadságjogok védelme érdekében jogosult felülvizsgálni a végrehajtói ág szabályzatait és azok végrehajtását (a PCLOB szerepe és jogállása tekintetében lásd a (110) preambulumbekezdést) (232). Emellett a frissített szabályzatok és eljárások bevezetését követően a PCLOB felülvizsgálatot végez annak biztosítása érdekében, hogy azok összhangban legyenek az elnöki rendelettel. Az ilyen felülvizsgálatnak a PCLOB általi befejezését követő 180 napon belül minden hírszerző ügynökségnek gondosan meg kell vizsgálnia és végre kell hajtania a PCLOB valamennyi ajánlását, vagy más módon kell kezelnie azokat. Az Egyesült Államok kormánya 2023. július 3-án közzétettte ezeket az aktualizált szabálytazokat és eljárásokat (233).

(127)

A 14086. elnöki rendelet számos átfogó követelményt határoz meg, amelyek valamennyi jelfelderítési tevékenységre vonatkoznak (személyes adatok gyűjtése, felhasználása, terjesztése stb.).

(128)

Először is az ilyen tevékenységeknek törvényen vagy elnöki felhatalmazáson kell alapulniuk, és azokat az Egyesült Államok jogával, többek között az alkotmánnyal összhangban kell végezni (234).

(129)

Másodszor, megfelelő biztosítékokat kell bevezetni annak biztosítására, hogy az adatvédelem és a polgári szabadságjogok szerves részét képezzék az ilyen tevékenységek tervezésének (235).

(130)

Jelfelderítési tevékenységet csak azt követően lehet végezni, hogy „valamennyi releváns tényező észszerű értékelése alapján megállapítást nyert, hogy a tevékenységek szükségesek egy validált hírszerzési prioritás előmozdításához” (a „validált hírszerzési prioritás” fogalmát illetően lásd a (135) preambulumbekezdést) (236).

(131)

Ezenkívül az ilyen tevékenységeket csak „az engedélyezett hírszerzési prioritással arányos mértékben és módon” lehet végezni (237). Más szóval megfelelő egyensúlyt kell teremteni „az elérni kívánt hírszerzési prioritás fontossága és az érintett személyek magánéletére és polgári szabadságaira gyakorolt hatás között, állampolgárságuktól vagy tartózkodási helyüktől függetlenül” (238).

(132)

Végezetül, ezen – a jogszerűség, a szükségesség és az arányosság elvét tükröző – általános követelményeknek való megfelelés biztosítása érdekében a jelfelderítési tevékenységek felügyelet alá tartoznak (lásd részletesebben a 3.2.2. szakaszt) (239).

(133)

Ezeket az átfogó követelményeket a jelfelderítés gyűjtése tekintetében számos feltétel és korlátozás támasztja alá, amelyek biztosítják, hogy az egyének jogaiba való beavatkozás a jogszerű cél eléréséhez szükséges és arányos mértékre korlátozódjon.

(134)

Először is, az elnöki rendelet kétféleképpen korlátozza azokat az indokokat, amelyek alapján a jelfelderítési tevékenységek keretében adatokat lehet gyűjteni. Egyrészt a gazdasági szereplő meghatározza azokat a jogszerű célokat, amelyeket a jelfelderítési adatgyűjtés követhet, például az Egyesült Államok nemzetbiztonságára jelenleg vagy potenciálisan veszélyt jelentő külföldi szervezetek – köztük a nemzetközi terrorista szervezetek – képességeinek, szándékainak vagy tevékenységeinek megértése vagy értékelése céljából; a külföldi katonai képességekkel és tevékenységekkel szembeni védelem céljából; a globális biztonságot befolyásoló transznacionális fenyegetések, például az éghajlatváltozás és más ökológiai változások, a közegészségügyi kockázatok és a humanitárius fenyegetések megértése vagy értékelése érdekében (240). Másrészről az elnöki rendelet felsorol bizonyos célkitűzéseket, amelyeket a jelfelderítési tevékenységek soha nem követhetnek, például a kritika, az eltérő vélemény, vagy az eszmék vagy politikai vélemények egyének vagy sajtó általi szabad kifejezésének akadályozása érdekében; emberek személyek etnikai hovatartozásuk, fajuk, nemük, nemi identitásuk, szexuális irányultságuk vagy vallásuk alapján történő hátrányos megkülönböztetése céljából; vagy versenyelőny biztosítása érdekében az egyesült államokbeli vállalatok számára (241).

(135)

Ezenkívül a hírszerző ügynökségek önmagukban nem hivatkozhatnak a 14086. elnöki rendeletben meghatározott jogszerű célokra a jelfelderítési adatgyűjtés igazolása érdekében, hanem azokat operatív célból további konkrét prioritásokra kell alapozni, amelyek tekintetében jelfelderítés gyűjthető. Más szóval a tényleges gyűjtésre csak egy konkrétabb prioritás előmozdítása érdekében kerülhet sor. Ezeket a prioritásokat egy célzott folyamat keretében határozzák meg, amelynek célja az alkalmazandó jogi követelményeknek való megfelelés biztosítása, beleértve az adatvédelemre és a polgári szabadságjogokra vonatkozó követelményeket is. Konkrétabban, a hírszerzési prioritásokat először a nemzeti hírszerzési igazgató dolgozza ki (az úgynevezett nemzeti hírszerzési prioritások keretrendszerén keresztül), és jóváhagyásra benyújtja az elnöknek (242). Mielőtt hírszerzési prioritásokat javasolna az elnöknek, az igazgatónak a 14086. elnöki rendelettel összhangban be kell szereznie az ODNI CLPO-tól az egyes prioritásokra vonatkozó értékeléseket azzal kapcsolatban, hogy 1. azok az elnöki rendeletben felsorolt egy vagy több jogszerű célkitűzést valósítanak-e meg, 2. nem arra a célra tervezték, hogy jelfelderítési adatgyűjtést eredményezzen az elnöki rendeletben felsorolt tiltott cél érdekében, és ez az eredmény előzetesen nem is várható, és 3. azt követően hozták létre, hogy megfelelően figyelembe vették valamennyi személy magánéletét és polgári szabadságjogait, állampolgárságuktól vagy tartózkodási helyüktől függetlenül (243). Amennyiben az igazgató nem ért egyet a CLPO értékelésével, mindkét véleményt ismertetni kell az elnökkel (244).

(136)

Ezért ez a folyamat különösen azt biztosítja, hogy a magánélet védelmével kapcsolatos megfontolásokat már a hírszerzési prioritások kidolgozásának kezdeti szakaszától figyelembe vegyék.

(137)

Másodszor, a hírszerzési prioritás megállapítását követően számos követelmény szabályozza annak eldöntését, hogy gyűjthető-e jelfelderítés e prioritás előmozdítása érdekében, és ha igen, milyen mértékben. Ezek a követelmények működőképessé teszik az elnöki rendelet 2. szakaszának (a) pontjában meghatározott átfogó szükségességi és arányossági normákat.

(138)

Jelfelderítést csak „annak megállapítását követően lehet gyűjteni, hogy az összes releváns tényező észszerű értékelése alapján az adatgyűjtés szükséges egy konkrét hírszerzési prioritás előmozdításához” (245). Annak meghatározásakor, hogy szükség van-e konkrét jelfelderítési adatgyűjtési tevékenységre egy validált hírszerzési prioritás előmozdítása érdekében, az Egyesült Államok hírszerző ügynökségeinek figyelembe kell venniük más, kevésbé beavatkozó források és módszerek rendelkezésre állását, megvalósíthatóságát és megfelelőségét, beleértve a diplomáciai és nyilvános forrásokat is (246). Amennyiben rendelkezésre állnak, előnyben kell részesíteni az ilyen alternatív, kevésbé beavatkozó forrásokat és módszereket (247).

(139)

Ha az ilyen kritériumok alkalmazása során szükségesnek ítélik a jelfelderítési adatok gyűjtését, annak olyan „testreszabottnak kell lennie, amennyire lehetséges”, és „nem befolyásolhatja aránytalanul a magánéletet és a polgári szabadságjogokat” (248). Annak biztosítása érdekében, hogy a magánéletet és a polgári szabadságjogokat ne érintsék aránytalanul – azaz megfelelő egyensúlyt teremtve a nemzetbiztonsági igények, valamint a magánélet és a polgári szabadságjogok védelme között – minden releváns tényezőt megfelelően figyelembe kell venni, mint például a kitűzött cél jellegét; a gyűjtési tevékenység beavatkozó jellegét, beleértve annak időtartamát; a gyűjtésnek a kitűzött célhoz való várható hozzájárulását; az egyéneket érintő, előre látható következményeket; valamint a gyűjtendő adatok jellegét és érzékenységét (249).

(140)

Ami a jelfelderítési adatgyűjtés típusát illeti, az Egyesült Államokon belüli adatgyűjtést, amely a jelen megfelelőségi megállapítás szempontjából a legrelevánsabb, mivel az egyesült államokbeli szervezeteknek továbbított adatokra vonatkozik, mindig célzottnak kell tekinteni, amint azt a (142)–(153) preambulumbekezdés részletesebben kifejti.

(141)

„Tömeges adatgyűjtés” (250) csak az Egyesült Államokon kívül, a 12333. elnöki rendelet alapján végezhető. Ebben az esetben is a 14086. elnöki rendelet szerint a célzott gyűjtést kell előnyben részesíteni (251). Ezzel szemben a tömeges adatgyűjtés csak akkor megengedett, ha a validált hírszerzési prioritás előmozdításához szükséges információk célzott gyűjtéssel észszerűen nem szerezhetők be (252). Amennyiben tömeges adatgyűjtésre van szükség az Egyesült Államokon kívül, a 14086. elnöki rendelet szerinti különleges biztosítékok alkalmazandók (253). Először is módszereket és technikai intézkedéseket kell alkalmazni annak érdekében, hogy az összegyűjtött adatok csak arra korlátozódjanak, ami egy validált hírszerzési prioritás előmozdításához szükséges, ugyanakkor minimálisra kell csökkenteni a nem releváns információk gyűjtését (254). Másodszor, az elnöki rendelet hat konkrét célkitűzésre korlátozza a tömegesen gyűjtött információk felhasználását (beleértve a lekérdezést is), beleértve a terrorizmus elleni védelmet, a túszejtést, valamint a külföldi kormány, szervezet vagy személy által vagy nevében fogva tartott személyek fogva tartását; a külföldi kémkedés, szabotázs vagy gyilkosság elleni védelmet; a tömegpusztító fegyverek vagy a kapcsolódó technológiák és fenyegetések fejlődéséből vagy elterjedéséből eredő fenyegetésekkel szembeni védelmet (255). Végezetül a tömegesen szerzett jelfelderítési adatok lekérdezésére csak akkor kerülhet sor, ha ez egy validált hírszerzési prioritás előmozdítása érdekében szükséges, e hat célkitűzés megvalósítása érdekében, valamint azon szabályzatokkal és eljárásokkal összhangban, amelyek megfelelően figyelembe veszik a lekérdezéseknek az összes személy magánéletére és polgári szabadságaira gyakorolt hatását, állampolgárságuktól vagy tartózkodási helyüktől függetlenül (256).

(142)

A 14086. elnöki rendelet követelményein túlmenően az egyesült államokbeli szervezetnek továbbított adatok jelfelderítési gyűjtésére a FISA 702. szakasza által szabályozott egyedi korlátozások és biztosítékok vonatkoznak (257). A FISA 702. szakasza lehetővé teszi a külföldi hírszerzési információk gyűjtését olyan nem amerikai személyek megcélzása révén, akikről megalapozottan feltételezhető, hogy az Egyesült Államokon kívül tartózkodnak, az Egyesült Államok elektronikus hírközlési szolgáltatóinak kötelező segítségével (258). A FISA 702. szakasza szerinti külföldi hírszerzési információk gyűjtése érdekében a legfőbb ügyész és a nemzeti hírszerzés igazgatója éves tanúsítványokat nyújt be a Külföldi Hírszerzést Felügyelő Bíróságnak (FISC), amelyek meghatározzák a beszerzendő külföldi hírszerzési információk kategóriáit (259). A tanúsítványokat célzott, minimalizáló és lekérdezési eljárásoknak kell kísérniük, amelyeket a Bíróság is jóváhagyott, és amelyek jogilag kötelező erejűek az Egyesült Államok hírszerző ügynökségeire nézve.

(143)

A FISC szövetségi törvény által létrehozott független bíróság (260), amelynek határozatai ellen fellebbezést lehet benyújtani a Külföldi Hírszerzést Felügyelő Fellebbviteli Bírósághoz (261) (FISCR), és végső soron az Egyesült Államok Legfelsőbb Bíróságához (262). A FISC (és a FISCR) munkáját öt jogászból és öt külső szakértőből álló állandó testület segíti, akik nemzetbiztonsági ügyekben, valamint a polgári szabadságjogok terén rendelkeznek szaktudással (263). A bíróság e csoportból kijelölt egy személyt, aki az amicus curiae szerepében segíti az olyan végzés vagy felülvizsgálat iránti kérelmek elbírálását, amelyek a bíróság véleménye szerint a törvény újszerű vagy jelentős értelmezését tartalmazzák, kivéve ha a bíróság megállapítja, hogy a kijelölés nem helyénvaló (264). Ez különösen azt biztosítja, hogy az adatvédelmi megfontolások kellőképpen tükröződjenek a bíróság értékelésében. A bíróság egyént vagy szervezetet is kijelölhet az amicus curiae szerepére, többek között technikai szakértelem biztosítására minden olyan esetben, amikor ezt helyénvalónak ítéli, vagy kérelemre lehetővé teheti, hogy egy egyén vagy szervezet amicus curiae levelet terjesszen elő (265).

(144)

A FISC felülvizsgálja a tanúsítványokat és a kapcsolódó eljárásokat a FISA követelményeinek való megfelelés szempontjából (különösen a célkiválasztási és -minimalizálási eljárásokat). Amennyiben úgy ítéli meg, hogy a követelmények nem teljesülnek, részben vagy egészben megtagadhatja a tanúsítást, és kérheti az eljárások módosítását (266). E tekintetben a FISC ismételten megerősítette, hogy a 702. szakasz szerinti célkiválasztási és -minimalizálási eljárások felülvizsgálata nem korlátozódik az írásbeli eljárásokra, hanem kiterjed arra is, hogy a kormány hogyan hajtja végre az eljárásokat (267).

(145)

Az egyedi célkiválasztást a Nemzetbiztonsági Ügynökség (NSA, a FISA 702. szakasza szerint a célkiválasztásért felelős hírszerző ügynökség) végzi a FISC által jóváhagyott célkiválasztási eljárásokkal összhangban, amelyek értelmében az NSA-nak a körülmények összessége alapján értékelnie kell, hogy egy adott személy megcélzásával valószínűleg megszerezhető-e a tanúsítványban azonosított külföldi hírszerzési információk egy kategóriája (268). Ennek az értékelésnek specifikusnak és tényeken alapulónak kell lennie, analitikus megítélésen, az elemző speciális képzésén és tapasztalatán, valamint a beszerzendő külföldi hírszerzési információk jellegén kell alapulnia (269). A célkiválasztást olyan úgynevezett választók azonosításával hajtják végre, amelyek azonosítják a konkrét kommunikációs eszközöket, például a célpont e-mail-címét vagy telefonszámát, de soha nem kulcsszavakat vagy az egyének nevét (270).

(146)

Először az NSA elemzői azonosítják azt a külföldön tartózkodó nem amerikai célszemélyt, akinek a megfigyelése az elemzők értékelése alapján elvezet a tanúsítványban meghatározott, releváns külföldi hírszerzési információkhoz (271). Az NSA célkiválasztási eljárásaiban foglaltak szerint az NSA csak akkor irányíthatja a megfigyelést egy célpontra, ha már megtudott valamit a célpontról (272). Ez különböző forrásokból származó információkból eredhet, például emberi hírszerzésből származó információkból. Ezen egyéb források révén az elemzőnek meg kell ismernie a potenciális célpont által használt konkrét kiválasztási tényezőt (azaz kommunikációs fiókot). Másodsorban, miután azonosították a szóban forgó, egyénileg megjelölt személyeket, és az NSA-n belüli, kiterjedt felülvizsgálati mechanizmus jóváhagyta a célkiválasztást (273), „rádolgoznak” a célszemély által használt kommunikációs eszközöket (például email címeket) azonosító, kiválasztási tényezőkre (vagyis kidolgozzák és alkalmazzák azokat) (274).

(147)

Az NSA-nak dokumentálnia kell a célkiválasztás ténybeli alapját (275), és a kezdeti célkiválasztást követően rendszeres időközönként meg kell erősítenie, hogy a célmeghatározási előírás továbbra is teljesül (276). Ha a célmeghatározási előírás már nem teljesül, a gyűjtést meg kell szüntetni (277). Az Igazságügyi Minisztérium hírszerzési felügyeleti hivatalainak tisztviselői kéthavonta felülvizsgálják az egyes célpontok NSA általi kiválasztását, valamint az általuk rögzített célkiválasztási értékelésekről és indokokról készült feljegyzéseket a célkiválasztási eljárásoknak való megfelelés szempontjából, és kötelesek jelenteni a FISC-nek és a Kongresszusnak az esetleges jogsértéseket (278). A (173)–(174) preambulumbekezdésben ismertetett felügyeleti hatáskörével összhangban az NSA írásbeli dokumentációja megkönnyíti a FISC számára annak felügyeletét, hogy a FISA 702. szakasza alapján egyes személyeket megfelelően megcéloznak-e (279). Végezetül a nemzeti hírszerzési igazgatónak a nyilvános éves statisztikai átláthatósági jelentésekben minden évben be kell számolnia a FISA 702. szakasza szerinti célok teljes számáról. A FISA-irányelvek 702. szakaszának hatálya alá tartozó vállalatok összesített adatokat tehetnek közzé (átláthatósági jelentések útján) a hozzájuk beérkezett kérelmekről (280).

(148)

Az egyesült államokbeli szervezeteknek továbbított személyes adatok gyűjtésének egyéb jogalapjai tekintetében különböző korlátozások és biztosítékok alkalmazandók. A tömeges adatgyűjtés általában kifejezetten tilos a FISA 402. szakasza (kimenő és a bejövő hívások adatait rögzítő eszközökért felelős hatóság) és az NSL alkalmazása révén, ehelyett konkrét „kiválasztási kritériumok” használata szükséges (281).

(149)

A hagyományos egyedi elektronikus megfigyeléshez (a FISA 105. szakasza szerint) a hírszerző ügynökségeknek kérelmet kell benyújtaniuk a FISC-hez, amelyben nyilatkoznak azokról a tényekről és körülményekről, amelyek alapján feltételezhető, hogy alaposan gyanítható, hogy a létesítményt külföldi hatalom vagy külföldi hatalom megbízottja használja vagy használni fogja (282). A FISC többek között megvizsgálja, hogy az ismertetett tények alapján valószínűsíthető-e, hogy valóban ez a helyzet (283).

(150)

A FISA 301. szakasza alapján a helyiségek vagy ingatlanok olyan átkutatásához, amelynek célja információk, anyagok vagy vagyontárgyak (pl. számítógépes eszköz) vizsgálata, lefoglalása stb., a FISC általi végzésre irányuló kérelem szükséges (284). Az ilyen kérelemnek többek között bizonyítania kell, hogy alaposan gyanítható, hogy a keresés célpontja külföldi hatalom vagy külföldi hatalom megbízottja; az átkutatandó helyiség vagy vagyon külföldi hírszerzési információt tartalmaz, és az átkutatandó helyiség külföldi hatalom (vagy annak megbízottja) tulajdonában van, azt használja, birtokolja vagy hozzá vagy tőle úton van (285).

(151)

Hasonlóképpen, a kimenő és bejövő hívások adatait rögzítő eszközök telepítéséhez (a FISA 402. szakasza szerint) a FISC (vagy egy egyesült államokbeli főbíró) végzésére irányuló kérelem és egy konkrét kiválasztási kritérium használata szükséges, azaz olyan kritérium használata, amely kifejezetten azonosít egy személyt, fiókot stb., és amelyet a kért információ terjedelmének lehető legnagyobb mértékű korlátozására használnak (286). Az említett felhatalmazás nem a kommunikáció tartalmára vonatkozik, hanem a szolgáltatást igénybe vevő ügyféllel vagy előfizetővel kapcsolatos információkra (például név, cím, előfizetési szám, az igénybe vett szolgáltatás hossza/típusa, a fizetési forrás/mechanizmus).

(152)

A FISA 501. szakasza (287), amely lehetővé teszi egy közös fuvarozó (azaz bármely személy vagy szervezet, aki vagy amely kompenzáció fejében személyeket vagy vagyontárgyakat szállít szárazföldön, vasúton, vízen vagy légi úton), nyilvános szálláshely (pl. szálloda, motel vagy fogadó), gépjármű-bérbeadó létesítmény vagy fizikai raktározási létesítmény üzleti adatainak gyűjtését (288), szintén előírja a FISC-hez vagy a főbíróhoz intézett kérelmet. A kérelemben fel kell tüntetni a keresett nyilvántartásokat, valamint azokat a konkrét és felfogható tényeket, amelyek alapján feltételezhető, hogy az a személy, akire a nyilvántartás vonatkozik, külföldi hatalom vagy külföldi hatalom megbízottja (289).

(153)

Végezetül az NSL-eket különböző alapszabályok engedélyezik, és lehetővé teszik a nyomozó ügynökségek számára, hogy bizonyos, a hiteljelentésekben, a pénzügyi nyilvántartásokban, valamint az elektronikus előfizetői és tranzakciós nyilvántartásokban szereplő információkat megszerezzenek bizonyos szervezetektől (pl. pénzügyi intézményektől, hitelintézetektől, elektronikus hírközlési szolgáltatóktól) (290). Az NSL-ről szóló törvényt, amely engedélyezi az elektronikus hírközléshez való hozzáférést, csak az FBI használhatja, és előírja, hogy olyan kritériumot kell alkalmazni, amely kifejezetten azonosít egy személyt, szervezetet, telefonszámot vagy fiókot, és amely igazolja, hogy az információ a nemzetközi terrorizmussal vagy titkos hírszerzési tevékenységekkel szembeni védelem érdekében végzett engedélyezett nemzetbiztonsági nyomozás szempontjából releváns (291). A nemzetbiztonsági levelek címzettjei azokat bíróság előtt megtámadhatják (292).

(154)

Az amerikai hírszerző ügynökségek által jelfelderítés útján gyűjtött személyes adatok kezelésére számos biztosíték vonatkozik.

(155)

Először is, minden hírszerző ügynökségnek biztosítania kell a megfelelő adatbiztonságot, és meg kell akadályoznia, hogy illetéktelen személyek hozzáférjenek a jelfelderítés útján gyűjtött személyes adatokhoz. E tekintetben a különböző eszközök, köztük a törvény, az iránymutatások és a szabványok tovább pontosítják a bevezetendő információbiztonsági minimumkövetelményeket (pl. többtényezős hitelesítés, titkosítás stb.) (293). Az összegyűjtött adatokhoz való hozzáférést az engedéllyel rendelkező, képzett személyzetre kell korlátozni, akinek ismernie kell a feladata teljesítéséhez szükséges információkat (294). Általánosabban fogalmazva, a hírszerző ügynökségeknek megfelelő képzést kell biztosítaniuk alkalmazottaik számára, többek között a jogszabályok (beleértve a 14086. elnöki rendeletet) megsértésének bejelentésére és kezelésére vonatkozó eljárásokról (295).

(156)

Másodszor, a hírszerző ügynökségeknek meg kell felelniük a Hírszerző Közösség pontosságra és objektivitásra vonatkozó normáinak, különös tekintettel az adatok minőségének és megbízhatóságának biztosítására, az alternatív információforrások figyelembevételére és az elemzések tárgyilagosságára (296).

(157)

Harmadszor, ami az adatmegőrzést illeti, a 14086. elnöki rendelet egyértelművé teszi, hogy a nem egyesült államokbeli személyek személyes adataira ugyanazok a megőrzési időszakok vonatkoznak, mint az egyesült államokbeli személyek adataira (297). A hírszerző ügynökségeknek meg kell határozniuk a konkrét megőrzési időszakokat és/vagy azokat a tényezőket, amelyeket figyelembe kell venni az alkalmazandó megőrzési időszakok hosszának meghatározásakor (pl. hogy az információ bűncselekmény bizonyítéka-e; az információ külföldi hírszerzési információnak minősül-e; az információ szükséges-e személyek vagy szervezetek biztonságának védelméhez, ideértve a nemzetközi terrorizmus áldozatait vagy célpontjait is), amelyeket különböző jogi eszközök határoznak meg (298).

(158)

Negyedrészt, külön szabályok alkalmazandók a jelfelderítésen keresztül gyűjtött személyes adatok terjesztésére. Általános követelményként a nem egyesült államokbeli személyekre vonatkozó személyes adatok csak akkor terjeszthetők, ha ugyanolyan típusú információkat tartalmaznak, mint amelyek terjeszthetők az egyesült államokbeli személyekről, például egy személy vagy szervezet biztonságának védelméhez szükséges információkat (például a nemzetközi terrorista szervezetek célpontjairól, áldozatairól vagy túszairól) (299). Ezenkívül a személyes adatok nem terjeszthetők kizárólag az adott személy állampolgársága vagy lakóhelye szerinti ország miatt vagy a 14086. elnöki rendelet előírásainak megkerülése céljából (300). Az Egyesült Államok kormányán belüli terjesztésre csak akkor kerülhet sor, ha egy engedéllyel rendelkező és képzett személy megalapozottan feltételezi, hogy a címzettnek ismernie kell az információt (301), és azt megfelelően védeni fogja (302). Annak meghatározásához, hogy a személyes adatok továbbíthatók-e az Egyesült Államok kormányán kívüli címzetteknek (ideértve a külföldi kormányt vagy nemzetközi szervezetet is), figyelembe kell venni a terjesztés célját, a terjesztett adatok jellegét és mértékét, valamint az érintett személy(ek)re gyakorolt lehetséges káros hatást (303).

(159)

Végezetül, többek között az alkalmazandó jogi követelményeknek való megfelelés felügyeletének és a hatékony jogorvoslatnak a megkönnyítése érdekében a 14086. elnöki rendelet szerint minden hírszerző ügynökségnek megfelelő dokumentációt kell vezetnie a jelfelderítési adatgyűjtésről. A dokumentációs követelmények olyan elemekre terjednek ki, mint például annak tényszerű alapja, hogy egy adott adatgyűjtési tevékenységre szükség van-e egy validált hírszerzési prioritás előmozdításához (304).

(160)

A 14086. elnöki rendeletnek a jelfelderítés által gyűjtött adatok használatára vonatkozó, fent említett garanciák mellett az Egyesült Államok valamennyi ügynökségére általánosabb követelmények vonatkoznak a célhoz kötöttség, az adattakarékosság, a pontosság, a biztonság, a megőrzés a terjesztés tekintetében, ami különösen az A-130. OMB-körlevélből, az e-közigazgatásról szóló törvényből, a szövetségi nyilvántartásokról szóló törvényből (lásd a (101)–(106) preambulumbekezdést) és a nemzetbiztonsági rendszerekkel foglalkozó bizottság CNSS) iránymutatásából (305) ered.

(161)

Az amerikai hírszerző ügynökségek tevékenységét különböző szervek felügyelik.

(162)

Először is, a 14086. elnöki rendelet megköveteli, hogy minden hírszerző ügynökség rendelkezzen magas szintű jogi, felügyeleti és megfelelési tisztviselőkkel az alkalmazandó egyesült államokbeli jogszabályoknak való megfelelés biztosítása érdekében (306). El kell végezniük különösen a jelfelderítési tevékenységek rendszeres felügyeletét, és biztosítaniuk kell, hogy minden meg nem felelést orvosoljanak. A hírszerző ügynökségeknek felügyeleti feladataik ellátása érdekében biztosítaniuk kell az ilyen tisztviselők számára az összes releváns információhoz való hozzáférést, és nem tehetnek semmilyen intézkedést felügyeleti tevékenységük akadályozására vagy nem megfelelő befolyásolására (307). Ezenkívül a felügyeleti tisztviselő vagy bármely más alkalmazott által azonosított jelentős meg nem felelési incidenseket (308) haladéktalanul jelenteni kell a hírszerző ügynökség vezetőjének és a nemzeti hírszerzés igazgatójának, akiknek gondoskodniuk kell arról, hogy minden szükséges intézkedést megtegyenek a jelentős meg nem felelési incidens orvoslására és megismétlődésének megelőzésére (309).

(163)

Ezt a felügyeleti funkciót kijelölt megfelelési szerepkörrel rendelkező tisztviselők, valamint adatvédelmi és polgári jogi tisztviselők és főellenőrök töltik be (310).

(164)

A bűnüldöző hatóságokhoz hasonlóan az adatvédelmi és az állampolgári szabadságjogi tisztviselők is jelen vannak valamennyi hírszerző ügynökségnél (311). E tisztségviselők hatásköre általában felöleli az eljárások felügyeletét annak érdekében, hogy a megfelelő minisztérium/ügynökség megfelelően figyelembe vegye az adatvédelmi és polgári szabadságjogi megfontolásokat, valamint megfelelő eljárásokat alakítson ki az olyan egyénektől érkező panaszok kezelésére, akik úgy vélik, hogy megsértették az adatvédelemhez fűződő vagy polgári szabadságjogaikat (és egyes esetekben, például a Nemzeti Hírszerzési Igazgatóság (ODNI) esetében, hatáskörük a panaszok kivizsgálására is kiterjedhet (312)). Az egyes hírszerzési ügynökségek vezetőinek gondoskodniuk kell arról, hogy a magánélet védelmével és az állampolgári szabadságjogokkal foglalkozó tisztviselők rendelkezzenek a megbízatásuk teljesítéséhez szükséges erőforrásokkal, hozzáférjenek a feladataik ellátásához szükséges valamennyi anyaghoz és személyzethez, továbbá tájékoztatást kapjanak a javasolt szakpolitikai változásokról, és konzultáljanak velük azokról (313). Az adatvédelmi és polgári szabadságjogi tisztségviselők időszakonként beszámolnak a Kongresszusnak és a PCLOB-nak többek között a minisztériumhoz/ügynökséghez beérkezett panaszok számáról és jellegéről, valamint az ilyen panaszok rendezésének összefoglalásáról, a tisztviselő által lefolytatott felülvizsgálatokról és vizsgálatokról és az általa végzett tevékenység hatásáról (314).

(165)

Másodszor, minden hírszerző ügynökség rendelkezik egy független főellenőrrel, akinek feladata többek között a külföldi hírszerzési tevékenységek felügyelete. Így többek között az ODNI keretében működő, a Hírszerző Közösség főellenőri hivatala átfogó hatáskörrel rendelkezik a teljes hírszerzés felett, és jogosult kivizsgálni a jogellenes tevékenységgel vagy hatalommal való visszaéléssel kapcsolatos – az ODNI és/vagy a hírszerzési szervezetek programjait és tevékenységét érintő – panaszokat vagy információkat (315). A bűnüldöző hatóságokhoz hasonlóan (lásd a (109) preambulumbekezdést), az ilyen főellenőrök független jogállású szervezeti egységek (316), amelyek a megfelelő ügynökség által végzett, nemzetbiztonsági célú programokkal és műveletekkel – így a törvénysértésekkel és visszaélésekkel – kapcsolatos ellenőrzések és vizsgálatok elvégzésért felelősek (317). Betekinthetnek valamennyi nyilvántartásba, jelentésbe, ellenőrzésbe, felülvizsgálatba, dokumentumba, iratba, ajánlásba vagy egyéb vonatkozó anyagba, ha szükséges bizonyítási cselekményben való közreműködésre kötelező közigazgatási határozat révén, és tanúvallomást vehetnek fel (318). A főellenőrök büntetőeljárást kezdeményeznek a feltételezett bűncselekmények eseteinél, és korrekciós intézkedésekre vonatkozó ajánlásokat tesznek az ügynökség vezetőinek (319). Bár a főellenőrök jogilag nem kötelező ajánlásokat adhatnak ki, jelentéseiket – többek között a nyomonkövetési intézkedésekről (vagy azok hiányáról) szóló jelentéseiket (320) – nyilvánosságra hozzák, és emellett elküldik a Kongresszusnak, amely ezek alapján gyakorolhatja felügyeleti funkcióját (lásd a (168)–(169) preambulumbekezdést) (321).

(166)

Harmadrészt a hírszerzési felügyeleti testület (IOB), amely az elnöki hírszerzési tanácsadó testületen (PIAB) belül jött létre, azt felügyeli, hogy az Egyesült Államok hírszerző hatóságai betartják-e az Alkotmányt és az összes alkalmazandó szabályt (322). A PIAB az elnök végrehajtó hivatalának tanácsadó szerve, amely az elnök által az Egyesült Államok kormányán kívülről kinevezett 16 tagból áll. Az IOB legfeljebb öt tagból áll, akiket az elnök nevez ki a PIAB tagjai közül. A 12333. elnöki rendelet (323) szerint valamennyi hírszerző ügynökség vezetői kötelesek bejelenteni az IOB-nak minden olyan hírszerzési tevékenységet, amelyről okkal feltételezhető, hogy az jogellenes vagy ellentétes lehet valamely elnöki rendelettel vagy elnöki irányelvvel. Annak biztosítása érdekében, hogy az IOB hozzáférjen a feladatai ellátásához szükséges információkhoz, a 13462. elnöki rendelet arra utasítja a nemzeti hírszerzési igazgatót és a hírszerző ügynökségek vezetőit, hogy adjanak meg minden olyan információt és segítséget, amelyet az IOB a feladatai ellátásához a törvény által megengedett mértékben szükségesnek ítél (324). Az IOB-nak pedig tájékoztatnia kell az elnököt azokról a hírszerzési tevékenységekről, amelyekről úgy véli, hogy sérthetik az Egyesült Államok jogát (beleértve az elnöki rendeleteket is), és amelyekkel a főügyész, a nemzeti hírszerzés igazgatója vagy egy hírszerző ügynökség vezetője nem foglalkozik megfelelően (325). Ezen túlmenően az IOB köteles tájékoztatni a legfőbb ügyészt a büntetőjog esetleges megsértéséről.

(167)

Negyedszer, a hírszerző ügynökségek a PCLOB felügyelete alá tartoznak. Alapító okirata szerint a PCLOB a magánélet és a polgári szabadságjogok védelme érdekében hatáskörrel rendelkezik a terrorizmusellenes politikák és azok végrehajtása terén. A tanács a hírszerzési ügynökségek tevékenységeinek felülvizsgálata során hozzáférhet az összes érintett ügynökség nyilvántartásaihoz, ellenőrzéseihez, felülvizsgálataihoz, dokumentumaihoz, irataihoz és ajánlásaihoz – ideértve a minősített adatokat –, meghallgatásokat folytathat és tanúvallomásokat vehet fel (326). Jelentéseket kap a különböző minisztériumok/ügynökségek polgári szabadságjogi és adatvédelmi tisztviselőitől (327), ajánlásokat ad ki a kormányzatnak és a hírszerző ügynökségeknek, és rendszeresen jelentést tesz a kongresszusi bizottságoknak és az elnöknek (328). A testület jelentéseit, beleértve a Kongresszusnak szóló jelentéseket is, a lehető legnagyobb mértékben nyilvánosan hozzáférhetővé kell tenni (329). A PCLOB számos felügyeleti és nyomonkövetési jelentést adott ki, többek között a FISA 702. szakasza alapján működtetett programok és ezzel összefüggésben a magánélet védelmének, valamint a PPD-28 és a 12333. elnöki rendelet végrehajtásának elemzését (330). A PCLOB feladata továbbá a 14086. elnöki rendelet végrehajtásával kapcsolatos konkrét felügyeleti feladatok ellátása, különösen annak felülvizsgálata révén, hogy az ügynökség eljárásai összhangban vannak-e a gazdasági szereplővel (lásd a (126) preambulumbekezdést), valamint a jogorvoslati mechanizmus korrekciós működésének értékelése (lásd a (194) preambulumbekezdést).

(168)

Ötödrészt a végrehajtó hatalmon belüli, említett felülvizsgálati mechanizmusok mellett az Egyesült Államok Kongresszusának meghatározott bizottságai (a Képviselőház és a Szenátus, valamint az igazságügyi bizottságok) rendelkeznek felügyeleti feladatkörökkel az Egyesült Államok külföldi hírszerzési tevékenységei tekintetében. E bizottságok tagjai hozzáférnek a minősített adatokhoz, valamint a hírszerzési módszerekhez és programokhoz (331). A bizottságok különböző módokon végzik felügyeleti feladataikat, különösen meghallgatások, vizsgálatok, felülvizsgálatok és jelentések révén (332).

(169)

A kongresszusi bizottságok rendszeres jelentéseket kapnak a hírszerzési tevékenységekről, többek között a főügyésztől, a nemzeti hírszerzés igazgatójától, a hírszerző ügynökségektől és más felügyeleti szervektől (pl. főellenőröktől), lásd a (164)–(165) preambulumbekezdést. Különösen a nemzetbiztonsági törvény értelmében „az elnök gondoskodik arról, hogy a kongresszusi hírszerzési bizottságok teljes körű és aktuális tájékoztatást kapjanak az Egyesült Államok hírszerzési tevékenységeiről, ideértve az ezen alfejezet által előírt bármely jelentős, előrelátható hírszerzési tevékenységet” (333). Ezenkívül „az elnök biztosítja, hogy minden jogellenes hírszerzési tevékenységről, valamint az ilyen jogellenes tevékenységgel kapcsolatos, bármely megtett vagy tervezett korrekciós intézkedésről haladéktalanul beszámoljanak a kongresszusi hírszerzési bizottságoknak” (334).

(170)

Emellett az egyes alapszabályokból további jelentéstételi követelmények következnek. A FISA nevezetesen előírja, hogy a legfőbb ügyész „maradéktalanul tájékoztassa” a szenátus és a képviselőház hírszerzési és igazságügyi bizottságait a FISA bizonyos szakaszain alapuló kormányzati tevékenységekről (335). Kötelezi továbbá a kormányt, hogy juttassa el a kongresszusi bizottságokhoz a FISC, illetve a FISCR valamennyi olyan határozatának, végzésének vagy véleményének másolatát, amely kiterjed a FISA-rendelkezések jelentős „kiegészítésére vagy értelmezésére”. Ami a FISA 702. szakasza alapján történő megfigyelést illeti, a parlamenti felügyeletet a Hírszerzési és Igazságügyi Bizottságoknak szóló, törvényileg előírt jelentések, valamint gyakori tájékoztatók és meghallgatások útján gyakorolják. Ezek közé tartozik a legfőbb ügyésznek a FISA 702. szakaszának alkalmazását ismertető féléves jelentése, amelyet igazoló dokumentumok – többek között az Igazságügyi Minisztérium és az ODNI megfelelőségi jelentései és a meg nem feleléssel kapcsolatos bármely esemény leírása – kísérnek (336), valamint a legfőbb ügyész és a DNI külön féléves jelentése, amely dokumentálja a célzottá tételre és az adatminimalizációra vonatkozó eljárások betartását (337).

(171)

Ezenkívül a FISA előírja az Egyesült Államok kormányának, hogy évente közölje a Kongresszussal (és a nyilvánossággal) a kért és megkapott FISA-végzések és -irányelvek számát, valamint többek között a megfigyelt amerikai és nem amerikai célszemélyek becsült számát (338). A törvény emellett további nyilvános jelentéstételt ír elő az amerikai és nem amerikai személyek tekintetében kiadott nemzetbiztonsági levelek (NSL) számáról (ugyanakkor lehetővé téve a FISA-végzések és tanúsítványok, valamint NSL-kérelmek címzettjeinek, hogy bizonyos feltételek mellett átláthatósági jelentéseket bocsássanak ki) (339).

(172)

Általánosabban fogalmazva, az Egyesült Államok Hírszerző Közössége különböző erőfeszítéseket tesz annak érdekében, hogy biztosítsa a (külföldi) hírszerzési tevékenységeinek átláthatóságát. Például 2015-ben az ODNI elfogadta a hírszerzés átláthatóságának elveit és az átláthatóságra vonatkozó végrehajtási tervet, és utasította az egyes hírszerző ügynökségeket, hogy jelöljenek ki egy hírszerzési átláthatósági tisztviselőt az átláthatóság előmozdítása és az átláthatósági kezdeményezések irányítása érdekében (340). Ezen erőfeszítések részeként a Hírszerző Közösség nyilvánosságra hozta és rendszeresen nyilvánosságra hozza a FISA 702. szakasza és a 12333. elnöki rendelet szerinti szabályzatok, eljárások, felügyeleti jelentések, a FISC-határozatok és egyéb anyagok titkosított részeit, többek között az ODNI által kezelt „IC on the Record” elnevezésű weboldalon (341).

(173)

Végezetül a személyes adatoknak a FISA 702. szakasza szerinti gyűjtése – a (162)–(168) preambulumbekezdésben említett felügyeleti szervek általi felügyelet mellett – a FISC felügyelete alá tartozik (342). A FISC eljárási szabályzatának 13. szabálya értelmében az egyesült államokbeli hírszerző ügynökségek megfelelésért felelős tisztviselőinek jelenteniük kell a FISA 702. szakasza szerinti célkiválasztással, minimalizálással és lekérdezéssel kapcsolatos eljárások megsértéseit az Igazságügyi Minisztériumnak és az ODNI-nak, amelyek ezeket jelentik a FISC-nek. Ezen túlmenően az Igazságügyi Minisztérium és az ODNI féléves közös felügyeleti értékelő jelentéseket nyújt be a FISC-nek, amelyek meghatározzák a megfeleléssel kapcsolatos tendenciákat; statisztikai adatokat bocsátanak rendelkezésre; ismertetik a megfelelési események kategóriáit; részletesen ismertetik azokat az okokat, amelyek bizonyos megfelelési incidenseket céloztak, és vázolják azokat az intézkedéseket, amelyeket a hírszerző ügynökségek az újbóli előfordulás elkerülése érdekében hoztak (343).

(174)

Szükség esetén (pl. ha a célkiválasztási eljárások megsértését állapítják meg) a Bíróság felszólíthatja az érintett hírszerző ügynökséget, hogy hozzon korrekciós intézkedéseket (344). A szóban forgó jogorvoslatok az egyedi intézkedésektől a strukturális intézkedésekig terjedhetnek, például az adatgyűjtés befejezésétől és a jogellenesen szerzett adatok törlésétől az adatgyűjtési gyakorlat megváltoztatásáig, többek között a személyzetnek nyújtott iránymutatás és képzés tekintetében (345). Ezen túlmenően a 702. szakasz szerinti tanúsítványok éves felülvizsgálata során a FISC figyelembe veszi a meg nem felelési eseteket annak megállapítása érdekében, hogy a benyújtott tanúsítványok megfelelnek-e a FISA-követelményeknek. Hasonlóképpen, ha a FISC megállapítja, hogy a kormány tanúsítványai – többek között bizonyos megfelelési incidensek miatt – nem voltak elégségesek, úgynevezett „hiányossági végzést” adhat ki, amely előírja a kormány számára, hogy 30 napon belül orvosolja a jogsértést, vagy arra kötelezi a kormányt, hogy szüntesse meg vagy ne kezdje meg a 702. szakasz szerinti tanúsítás végrehajtását. Végezetül a FISC értékeli a megfelelési kérdésekben megfigyelt tendenciákat, és a megfelelési tendenciák kezelése érdekében szükségessé teheti az eljárások módosítását vagy további felügyeletet és jelentéstételt (346).

(175)

Amint azt ez a szakasz részletesebben kifejti, az Egyesült Államokban számos lehetőség áll az uniós érintettek rendelkezésére, hogy keresetet nyújtsanak be egy kötelező erejű hatáskörrel rendelkező független és pártatlan bírósághoz. Ezek együttesen lehetővé teszik az egyének számára, hogy hozzáférjenek személyes adataikhoz, felülvizsgálják az adataikhoz való kormányzati hozzáférés jogszerűségét, és amennyiben jogsértést állapítanak meg, az ilyen jogsértést orvosolják, többek között személyes adataik helyesbítése vagy törlése révén.

(176)

Először is külön jogorvoslati mechanizmust hoznak létre a 14086. elnöki rendelet alapján, amelyet az adatvédelmi felülvizsgálati bíróságot létrehozó főügyészi rendelet egészít ki, az egyénektől érkező, az Egyesült Államok jelfelderítési tevékenységeivel kapcsolatos panaszok kezelésére és rendezésére. Az EU-ban bármely egyénnek jogában áll panaszt benyújtani a jogorvoslati mechanizmushoz a jelfelderítési tevékenységekre vonatkozó egyesült államokbeli jogszabályok (pl. a 14086. elnöki rendelet, a FISA 702. szakasza, a 12333. elnöki rendelet) állítólagos megsértése miatt, amely hátrányosan érinti a magánélethez és a polgári szabadságjogokhoz fűződő érdekeit (347). Ez a jogorvoslati mechanizmus az Egyesült Államok legfőbb ügyésze által „minősített államként” kijelölt országokból származó magánszemélyek vagy regionális gazdasági integrációs szervezetek számára áll rendelkezésre (348). 2023. június 30-án az Európai Uniót és az Európai Szabadkereskedelmi Társulás három országát, amelyek együtt alkotják az Európai Gazdasági Térséget, a legfőbb ügyész a 14086 elnöki rendelet 3. szakaszának f) pontja alapján „minősített államként” jelölte ki (349). Ez a kijelölés nem érinti az Európai Unióról szóló szerződés 4. cikkének (2) bekezdését.

(177)

Annak az uniós érintettnek, aki ilyen panaszt kíván benyújtani, azt a személyes adatok kezelésének hatóságok általi felügyeletéért felelős uniós tagállam felügyeleti hatóságához kell benyújtania (350). Ez biztosítja a jogorvoslati mechanizmushoz való könnyű hozzáférést azáltal, hogy lehetővé teszi az egyének számára, hogy olyan hatósághoz forduljanak, amely „lakóhelyhez közeli”, és amellyel saját nyelvükön kommunikálhatnak. A (178) preambulumbekezdésben említett panaszbenyújtási követelmények ellenőrzését követően az illetékes adatvédelmi hatóság az Európai Adatvédelmi Testület titkárságán keresztül továbbítja a panaszt a jogorvoslati mechanizmushoz.

(178)

A jogorvoslati mechanizmushoz való panaszbenyújtásra alacsony elfogadhatósági követelmények vonatkoznak, mivel az egyéneknek nem kell bizonyítaniuk, hogy adataik valóban amerikai jelfelderítési tevékenységek tárgyát képezték (351). Ugyanakkor a felülvizsgálat elvégzéséhez szükséges jogorvoslati mechanizmus kiindulópontjának biztosítása érdekében meg kell adni bizonyos alapvető információkat, például azokról a személyes adatokról, amelyekről észszerűen feltételezhető, hogy azokat továbbították az Egyesült Államoknak, valamint azokról az eszközökről, amelyekkel feltételezhetően továbbították azokat; azon egyesült államokbeli kormányzati szervek azonosításáról, amelyekről feltételezhető, hogy részt vesznek az állítólagos jogsértésben (amennyiben ismertek); az Egyesült Államok jogának megsértésére vonatkozó állítás alapjáról (bár ez szintén nem követeli meg annak bizonyítását, hogy a személyes adatokat az Egyesült Államok hírszerző ügynökségei ténylegesen gyűjtötték), valamint a kereset jellegéről.

(179)

Az e jogorvoslati mechanizmussal szembeni panaszok első kivizsgálását az ODNI CLPO végzi, amelynek meglévő jogszabályi szerepét és hatáskörét kiterjesztették a 14086. elnöki rendelet alapján hozott konkrét intézkedésekre (352). A Hírszerző Közösségen belül a CLPO feladata többek között annak biztosítása, hogy a polgári szabadságjogok és a magánélet védelme megfelelően beépüljön az ODNI és a hírszerző ügynökségek szabályzataiba és eljárásaiba; annak felügyelete, hogy az ODNI megfelel-e az alkalmazandó polgári szabadságjogoknak és adatvédelmi követelményeknek; valamint adatvédelmi hatásvizsgálatok elvégzése (353). Az ODNI CLPO-t csak a nemzeti hírszerzés igazgatója mentheti fel megfelelő indokkal, azaz kötelességszegés, hivatali visszaélés, biztonság megsértése, hivatali mulasztás vagy cselekvőképtelenség esetén (354).

(180)

A felülvizsgálat során az ODNI CLPO az értékelés céljából hozzáfér az információkhoz, és igénybe veheti a különböző hírszerző ügynökségek adatvédelmi és polgári jogi tisztviselőinek kötelező segítségét (355). A hírszerző ügynökségek számára tilos az ODNI CLPO által végzett felülvizsgálatok akadályozása vagy nem megfelelő befolyásolása. Ez magában foglalja a nemzeti hírszerzés igazgatóját is, aki nem avatkozhat bele a felülvizsgálatba (356). A panasz felülvizsgálata során az ODNI CLPO-nak „pártatlanul” kell alkalmaznia a jogot, figyelembe véve mind a jelfelderítési tevékenységekhez fűződő nemzetbiztonsági érdekeket, mind a magánélet védelmét (357).

(181)

A felülvizsgálata részeként az ODNI CLPO megállapítja, hogy sor került-e az alkalmazandó egyesült államokbeli jog megsértésére, és ha igen, dönt a megfelelő kárenyhítésről (358). Ez utóbbi olyan intézkedésekre utal, amelyek teljes mértékben orvosolják az azonosított jogsértést, mint például a jogellenes adatszerzés megszüntetése, a jogellenesen gyűjtött adatok törlése, az egyébként jogszerűen gyűjtött adatok helytelen lekérdezése eredményeinek törlése, a jogszerűen gyűjtött adatokhoz való hozzáférés megfelelő képesítéssel rendelkező személyzet számára történő korlátozása, vagy a jogszerű engedély nélkül megszerzett vagy jogellenesen terjesztett adatokat tartalmazó hírszerzési jelentések visszahívása (359). Az ODNI CLPO egyedi panaszokról (többek között a kárenyhítésről) szóló határozatai kötelező érvényűek az érintett hírszerző ügynökségekre nézve (360).

(182)

Az ODNI CLPO-nak nyilvántartást kell vezetnie a felülvizsgálatáról, és titkosított határozatot kell készítenie, amely ismerteti ténybeli megállapításainak alapját, annak megállapítását, hogy az érintett jogsértés megtörtént-e, valamint a megfelelő kárenyhítés meghatározását (361). Amennyiben az ODNI CLPO felülvizsgálata a FISC felügyelete alá tartozó bármely hatóság általi szabálysértést tárja fel, a CLPO titkosított jelentést nyújt be a nemzetbiztonsági főügyész-helyettesnek is, aki köteles bejelenteni a meg nem felelést a FISC-nek, amely további végrehajtási intézkedéseket tehet (a (173)–(174) preambulumbekezdésben leírt eljárásnak megfelelően) (362).

(183)

A felülvizsgálat befejezését követően az ODNI CLPO a nemzeti hatóságon keresztül tájékoztatja a panaszost, hogy „a felülvizsgálat vagy nem tárta fel az érintett jogsértéseket, vagy az ODNI CLPO megfelelő kárenyhítést előíró határozatot hozott” (363). Ez lehetővé teszi a nemzetbiztonság védelme érdekében végzett tevékenységek titkosságának védelmét, ugyanakkor olyan határozatot bocsát az egyének rendelkezésére, amely megerősíti, hogy panaszukat megfelelően kivizsgálták és elbírálták. Ezt a határozatot az egyén is megtámadhatja. E célból tájékoztatást kap arról a lehetőségről, hogy a DPRC-nél fellebbezhetnek a CLPO megállapításainak felülvizsgálata iránt (lásd a (184) és azt követő preambulumbekezdéseket), valamint arról, hogy amennyiben a Bírósághoz fordulna, a panaszos érdekének védelme érdekében különleges főtanácsnokot választanak ki (364).

(184)

Bármely panaszos, valamint a Hírszerző Közösség minden egyes eleme kérheti az ODNI CLPO határozatának felülvizsgálatát az adatvédelmi fellebbviteli bíróságon (DPRC). Az ilyen felülvizsgálati kérelmeket az ODNI CLPO azon értesítésének kézhezvételétől számított 60 napon belül kell benyújtani, amely szerint a felülvizsgálat teljes, és tartalmaznia kell az egyén által a DPRC-nek átadni kívánt információkat (pl. jogkérdésekre vagy az ügy tényállására való jogalkalmazásra vonatkozó érveket) (365). Az uniós érintettek ismét benyújthatják kérelmüket az illetékes adatvédelmi hatósághoz (lásd a (177) preambulumbekezdést).

(185)

A DPRC a legfőbb ügyész által a 14086. elnöki rendelet alapján létrehozott független bíróság (366). Legalább hat bíróból áll, akiket a legfőbb ügyész nevez ki a PCLOB-val, a kereskedelmi miniszterrel és a nemzeti hírszerzés igazgatójával konzultálva, négyéves megújítható időtartamra (367). A bíráknak a legfőbb ügyész általi kinevezése a végrehajtó hatalmi ág által a szövetségi bírói kar jelöltjeinek értékelése során alkalmazott kritériumokon alapul, figyelembe véve a korábbi bírói tapasztalatokat (368). Emellett a bíráknak jogi szakembereknek (azaz az ügyvédi kamara aktív tagjainak, akik megfelelő engedéllyel rendelkeznek a jog gyakorlására) kell lenniük, és megfelelő tapasztalattal kell rendelkezniük a magánélet védelmére és a nemzetbiztonságra vonatkozó jog terén. A legfőbb ügyésznek törekednie kell annak biztosítására, hogy adott időpontban a bírák legalább fele előzetes bírói tapasztalattal rendelkezzen, és valamennyi bírónak rendelkeznie kell a minősített nemzetbiztonsági információkhoz való hozzáféréshez szükséges biztonsági tanúsítvánnyal (369).

(186)

Csak azok az egyének nevezhetők ki a DPRC-be, akik megfelelnek a (185) preambulumbekezdésben említett képesítéseknek, és kinevezésük időpontjában vagy az azt megelőző két évben nem a végrehajtó hatalmi ág alkalmazottai voltak. Hasonlóképpen, a DPRC-ben betöltött hivatali idejük alatt a bírák (a DPRC bíráin kívül) nem tölthetnek be hivatalos feladatokat vagy munkát az Egyesült Államok kormányán belül (370).

(187)

Az ítélethozatali folyamat függetlensége számos garancia révén valósul meg. Különösen a végrehajtó ág (a legfőbb ügyész és a hírszerző ügynökségek) nem avatkozhat be a DPRC felülvizsgálatába, és nem befolyásolhatja azt nem megfelelően (371). Magának a DPRC-nek kell pártatlanul döntenie az ügyekről (372), és saját (többséggel elfogadott) eljárási szabályzatával összhangban kell eljárnia. Ezen túlmenően a DPRC bíráit csak a legfőbb ügyész mentheti fel és csak megfelelő indokkal (pl. kötelességszegés, hivatali visszaélés, biztonság megsértése, hivatali mulasztás vagy cselekvőképtelenség miatt), miután kellően figyelembe vette a bírákra alkalmazandó, a bírósági eljárásra és a bírósági fegyelmi eljárásra vonatkozó szabályokat (373).

(188)

A DPRC-hez benyújtott kérelmeket három bíróból – köztük egy elnökből álló bíróból – álló tanácsok vizsgálják felül, akiknek az egyesült államokbeli bírák magatartási kódexével összhangban kell eljárniuk (374). Minden ítélkező testület munkáját egy különleges főtanácsnok (375) segíti, aki hozzáféréssel rendelkezik az üggyel kapcsolatos valamennyi információhoz, beleértve a minősített információkat is (376). A különleges főtanácsnok feladata annak biztosítása, hogy a panaszos érdekei képviselve legyenek, és hogy a DPRC testülete megfelelő tájékoztatást kapjon minden releváns jogi és ténybeli kérdésről (377). Annak érdekében, hogy megalapozza az álláspontját egy magánszemély által a DPRC-hez benyújtott felülvizsgálati kérelemmel kapcsolatban, a különleges főtanácsnok írásbeli kérdések útján tájékoztatást kérhet a panaszostól (378).

(189)

A DPRC felülvizsgálja az ODNI CLPO által tett megállapításokat (mind azt, hogy sor került-e az alkalmazandó egyesült államokbeli jog megsértésére, másrészt a megfelelő kárenyhítést), legalább az ODNI CLPO által végzett vizsgálat eredményei alapján, valamint a panaszos, a különleges főtanácsnok vagy egy hírszerző ügynökség által szolgáltatott információkat és beadványokat (379). A DPRC tanács hozzáfér minden olyan információhoz, amely a felülvizsgálat elvégzéséhez szükséges, és amelyet az ODNI CLPO-n keresztül szerezhet be (a tanács például felkérheti a CLPO-t, hogy a nyilvántartását egészítsék ki további információkkal vagy ténymegállapításokkal, ha ez a felülvizsgálat elvégzéséhez szükséges) (380).

(190)

A felülvizsgálat lezárásakor a DPRC 1. dönthet úgy, hogy nincs arra utaló bizonyíték, hogy a panaszos személyes adatait érintő jelfelderítési tevékenységekre került sor, 2. határozhat úgy, hogy az ODNI CLPO megállapításai jogilag helyesek voltak, és azokat érdemi bizonyítékokkal támasztották alá, vagy 3. ha a DPRC nem ért egyet az ODNI CLPO megállapításával (függetlenül attól, hogy sor került-e az alkalmazandó amerikai jog megsértésére vagy a megfelelő kárenyhítésre), kibocsáthatja saját megállapításait (381).

(191)

A DPRC minden esetben többségi szavazással írásbeli határozatot fogad el. Amennyiben a felülvizsgálat a hatályos szabályok megsértését tárja fel, a határozat meghatározza a megfelelő kárenyhítést, mint például a jogellenes adatszerzés megszüntetése, a jogellenesen gyűjtött adatok törlése, az egyébként jogszerűen gyűjtött adatok helytelen lekérdezése eredményeinek törlése, a jogszerűen gyűjtött adatokhoz való hozzáférés megfelelő képesítéssel rendelkező személyzet számára történő korlátozása, vagy a jogszerű engedély nélkül megszerzett vagy jogellenesen terjesztett adatokat tartalmazó hírszerzési jelentések visszahívása (382). A DPRC határozata kötelező és végleges érvényű az elé terjesztett panasz tekintetében (383). Ezenfelül amennyiben a felülvizsgálat a FISC felügyelete alá tartozó bármely hatóság általi szabálysértést tárja fel, a CLPO titkosított jelentést nyújt be a nemzetbiztonsági főügyész-helyettesnek is, aki köteles bejelenteni a meg nem felelést a FISC-nek, amely további végrehajtási intézkedéseket tehet (a (173)–(174) preambulumbekezdésben leírt eljárásnak megfelelően) (384).

(192)

A DPRC-tanács minden határozatát továbbítják az ODNI CLPO-nak (385). Azokban az esetekben, amikor a DPRC felülvizsgálatát a panaszos kérelme indította el, a panaszost a nemzeti hatóságon keresztül értesítik arról, hogy a DPRC befejezte a felülvizsgálatot, és hogy „a felülvizsgálat vagy nem tárt fel érintett jogsértéseket, vagy a DPRC megfelelő kárenyhítést előíró határozatot hozott” (386). Az Igazságügyi Minisztérium adatvédelmi és polgári szabadságjogi hivatala nyilvántartást vezet a DPRC által felülvizsgált valamennyi információról és a meghozott határozatokról, amelyeket vizsgálat céljából a DPRC jövőbeli tanácsai számára nem kötelező erejű precedensként bocsátanak rendelkezésre (387).

(193)

A Kereskedelmi Minisztériumnak nyilvántartást kell vezetnie minden olyan panaszosról, aki panaszt nyújtott be (388). Az átláthatóság fokozása érdekében a Kereskedelmi Minisztériumnak legalább ötévente fel kell vennie a kapcsolatot az érintett hírszerző ügynökségekkel annak ellenőrzése érdekében, hogy a DPRC által végzett felülvizsgálattal kapcsolatos információk minősítését megszüntették-e (389). Ebben az esetben az egyént értesítik arról, hogy az ilyen információ az alkalmazandó jog alapján rendelkezésre állhat (azaz az információszabadságról szóló törvény alapján kérelmezheti a hozzáférést, lásd a (199) preambulumbekezdést).

(194)

Végezetül e jogorvoslati mechanizmus megfelelő működését rendszeres és független értékelésnek vetik alá. Konkrétabban, a 14086. elnöki rendelet szerint a jogorvoslati mechanizmus működését a PCLOB, egy független szerv évente felülvizsgálja (lásd a (110) preambulumbekezdést) (390). E felülvizsgálat részeként a PCLOB többek közt értékelni fogja, hogy az ODNI CLPO és a DPRC időben kezelte-e a panaszokat; teljes körű hozzáférést kapott-e a szükséges információkhoz; a felülvizsgálati eljárás során megfelelően figyelembe vette-e a 14086. elnöki rendelet alapvető biztosítékait; és hogy a Hírszerző Közösség teljes mértékben eleget tett-e az ODNI CLPO és a DPRC által tett megállapításoknak. A PCLOB jelentést készít a felülvizsgálat eredményéről az elnöknek, a főügyésznek, a nemzeti hírszerzés igazgatójának, a hírszerző ügynökségek vezetőjének, az ODNI CLPO-nak és a kongresszusi hírszerzési bizottságoknak, amelyet szintén nem titkosított változatban tesznek közzé, és amelyet ezt követően beépítenek e határozat működésének a Bizottság által elvégzendő időszakos felülvizsgálatába. A főügyésznek, a nemzeti hírszerzés igazgatójának, az ODNI CLPO-nak és a hírszerző ügynökségek vezetőinek végre kell hajtaniuk vagy más módon kell kezelniük az ilyen jelentésekben foglalt valamennyi ajánlást. Emellett a PCLOB évente nyilvános tanúsítványt állít ki arról, hogy a jogorvoslati mechanizmus a 14086. elnöki rendelet követelményeinek megfelelően kezeli-e a panaszokat.

(195)

A 14086. elnöki rendelet alapján létrehozott egyedi jogorvoslati mechanizmus mellett jogorvoslati lehetőségek is rendelkezésre állnak minden természetes személy számára (az állampolgárságuktól vagy tartózkodási helyüktől függetlenül) az Egyesült Államok rendes bíróságai előtt (391).

(196)

Különösen a FISA és egy kapcsolódó statútum kiterjed az egyének azon lehetőségére, hogy pénzbeli kártérítés iránti polgári jogi keresetet indítsanak az Egyesült Államok ellen, amennyiben jogellenesen és szándékosan használták vagy hozták nyilvánosságra a velük kapcsolatos információkat (392); hogy magánszemélyi minőségükben pénzbeli kártérítés iránti keresetet indítsanak az Egyesült Államok kormányzati tisztviselőivel szemben (393); továbbá hogy vitassák a megfigyelés jogszerűségét (és az információk törlését követeljék) abban az esetben, ha az Egyesült Államok kormánya az elektronikus megfigyelés során megszerzett vagy abból származó bármely információt szándékozik felhasználni vagy nyilvánosságra hozni az adott személlyel szemben, az Egyesült Államokban zajló bírósági vagy közigazgatási eljárások során (394). Általánosabban fogalmazva, ha a kormány bűnüldözési operatív műveletek során szerzett információkat kíván felhasználni a gyanúsított ellen büntetőeljárásban, az alkotmányos és jogszabályi követelmények (395) bizonyos információk közlésére vonatkozó kötelezettségeket írnak elő, hogy az alperes vitathassa a bizonyítékok kormány általi gyűjtésének és felhasználásának jogszerűségét.

(197)

Másrészt számos további jogorvoslati lehetőség létezik, amelyeket fel lehet használni ahhoz, hogy jogorvoslatot igényeljenek a kormányzati tisztviselőkkel szemben a személyes adatokhoz való jogellenes kormányzati hozzáférés vagy azok jogellenes felhasználása miatt, ideértve az elérni kívánt nemzetbiztonsági célokat (vagyis a számítógépes csalásról és visszaélésről szóló törvény (396); az elektronikus kommunikáció adatvédelméről szóló törvény (397); valamint a pénzügyi adatok védelméről szóló törvény (398)). E keresetek minden említett jogcíme konkrét adatokra, célszemélyekre és/vagy hozzáférési típusokra (pl. egy számítógéphez való távoli hozzáférés az interneten keresztül) vonatkozik, és bizonyos feltételek mellett (pl. szándékos cselekmény, hivatalos minőségen kívüli cselekmény, elszenvedett kár) vehető igénybe.

(198)

Általánosabb jogorvoslati lehetőséget kínál az államigazgatási eljárásról szóló törvény (399), amely szerint „egy hivatal tevékenysége miatt jogellenesen kárt szenvedő vagy egy hivatal tevékenysége révén hátrányos helyzetbe kerülő vagy sérelmet szenvedő személyek” jogosultak bírósági jogorvoslatot igényelni (400). Ez többek között azt jelenti, hogy kérhetik a bíróságtól „az önkényesnek, kiszámíthatatlannak, mérlegelési jogkörrel való visszaélésnek vagy egyébként a joggal ellentétesnek talált […] hivatali intézkedés megállapítás és következtetések jogellenességének kimondását és azok hatályon kívül helyezését” (401). Például egy szövetségi fellebbviteli bíróság egy 2015-ös APA-keresettel kapcsolatban úgy határozott, hogy a FISA 501. szakasza nem engedélyezte a telefonos metaadatoknak az Egyesült Államok kormánya általi tömeges gyűjtését (402).

(199)

Végezetül, a (176)–(198) preambulumbekezdésben említett jogorvoslati lehetőségek mellett minden egyénnek joga van ahhoz, hogy hozzáférést kérjen a FOIA alapján meglévő szövetségi ügynökségi nyilvántartásokhoz, beleértve azokat az eseteket is, amikor azok az egyén személyes adatait tartalmazzák (403). Az ilyen hozzáférés a rendes bíróságok előtti keresetindítást is megkönnyítheti, többek között a kereshetőségi jog bizonyításának támogatása céljából. Az ügynökségek visszatarthatják azokat az információkat, amelyek bizonyos felsorolt kivételek hatálya alá tartoznak, ideértve a minősített nemzetbiztonsági információkhoz és a bűnüldözési nyomozásokhoz való hozzáférést is (404), de a válasszal elégedetlen panaszosoknak lehetőségük van arra, hogy közigazgatási, majd ezt követően (szövetségi bíróságok előtt) bírósági felülvizsgálatot kérjenek (405).

(200)

A fentiekből következik, hogy amikor az Egyesült Államok bűnüldözési vagy nemzetbiztonsági hatóságai hozzáférnek az e határozat hatálya alá tartozó személyes adatokhoz, az említett hozzáférést olyan jogszabályi keret szabályozza, amely meghatározza a hozzáférés feltételeit, és biztosítja, hogy az adatokhoz való hozzáférés és a további felhasználás csak az elérni kívánt közérdekű célkitűzésekhez szükséges és azokkal arányos adatokra korlátozódnak. Ezekre a biztosítékokra azok az egyének hivatkozhatnak, akik hatékony jogorvoslati jogokkal rendelkeznek.

(201)

A Bizottság úgy véli, hogy az Egyesült Államok – az Egyesült Államok Kereskedelmi Minisztériuma által kiadott elvek révén – olyan szintű védelmet biztosít az Unióból az EU-USA adatvédelmi keret alapján tanúsított, egyesült államokbeli szervezeteknek a továbbított személyes adatok tekintetében, amely lényegében egyenértékű az (EU) 2016/679 rendelet által garantálttal.

(202)

A Bizottság ezenfelül úgy ítéli meg, hogy az elvek hatékony alkalmazását az átláthatósági követelmények és az adatvédelmi keret Kereskedelmi Minisztérium általi igazgatása garantálja. Ezenkívül az Egyesült Államok jogában létező felügyeleti mechanizmusok és jogorvoslati megoldások összességében véve lehetővé teszik, hogy a gyakorlatban azonosítsák és szankcionálják, ha a személyes adatokat kezelő bűnüldözési hatóságok jogsértést követnek el, továbbá jogorvoslatot biztosítanak az érintetteknek, hogy betekinthessenek a rájuk vonatkozó személyes adatokba, és adott esetben helyesbíttethessék vagy töröltethessék ezeket az adatokat.

(203)

Végül az egyesült államokbeli jogrendről rendelkezésre álló információk alapján – beleértve a VI. és VII. mellékletben szereplő információkat – a Bizottság úgy véli, hogy az egyesült államokbeli hatóságoknak a közérdekbe, különösen azon egyének alapvető jogaiba bűnüldözési és nemzetbiztonsági célokból történő beavatkozása, akiknek személyes adatait az EU-USA adatvédelmi keret alapján az Unióból az Egyesült Államokba továbbítják, a szóban forgó jogszerű cél eléréséhez feltétlenül szükséges mértékre fog korlátozódni, és hogy az említett beavatkozással szemben hatékony jogvédelem áll fenn. Ezért a fenti megállapításokra figyelemmel olyan határozatot kell hozni, hogy az Egyesült Államok megfelelő szintű védelmet biztosít az (EU) 2016/679 rendeletnek az Európai Unió Alapjogi Chartájára figyelemmel értelmezett 45. cikke értelmében az Európai Unióból az EU–USA adatvédelmi keret szerint tanúsított szervezeteknek továbbított személyes adatok tekintetében.

(204)

Tekintettel arra, hogy a 14086. elnöki rendelet által létrehozott korlátozások, biztosítékok és jogorvoslati mechanizmusok az Egyesült Államok azon jogi keretének alapvető elemei, amelyen a Bizottság értékelése alapul, e határozat elfogadása azon alapul, hogy valamennyi amerikai hírszerző ügynökség elfogadja a 14086. elnöki rendelet végrehajtására vonatkozó aktualizált szabályzatokat és eljárásokat, valamint hogy az Uniót a 2023. július 3-án (lásd a (126) preambulumbekezdést) és 2023. június 30-án (lásd a (176) preambulumbekezdést) megvalósult jogorvoslati mechanizmus céljából jogosult szervezetnek minősítse.

(205)

A tagállamok és szerveik kötelesek megtenni az ahhoz szükséges intézkedéseket, hogy teljesítsék az uniós intézmények jogi aktusait, mivel az utóbbiak vélelmezhetően jogszerűek, és ennélfogva mindaddig joghatásokat váltanak ki, amíg azokat vissza nem vonják, megsemmisítés iránti kereset alapján meg nem semmisítik, illetve előzetes döntéshozatal iránti kérelem vagy jogellenességi kifogás következtében nem nyilvánítják érvénytelennek.

(206)

Következésképpen a Bizottságnak az (EU) 2016/679 rendelet 45. cikkének (3) bekezdése alapján elfogadott megfelelőségi határozata kötelező a címzett tagállamok valamennyi szervére, így független felügyeleti hatóságaikra nézve is. E határozat alkalmazásának időtartama alatt különösen az uniós adatkezelőtől vagy adatfeldolgozótól az egyesült államokbeli tanúsított szervezetekhez történő továbbításra további engedély beszerzése nélkül kerülhet sor.

(207)

Ugyanakkor emlékeztetni kell arra, hogy az (EU) 2016/679 rendelet 58. cikkének (5) bekezdése alapján, és amint azt a Bíróság a Schrems-ítéletben (406) kifejtette, amennyiben egy nemzeti adatvédelmi hatóság megkérdőjelezi – ideértve a panaszra történő eljárást is – a Bizottság megfelelőségi határozatának az egyén magánélethez és adatvédelemhez fűződő alapvető jogaival való összeegyeztethetőségét, a nemzeti jognak biztosítania kell a jogorvoslati lehetőségeket, amelyek lehetővé teszik számára, hogy a nemzeti bíróságok előtt a kifogásokra hivatkozzon annak érdekében, hogy azok esetlegesen előzetes döntéshozatali eljárást kezdeményezhessenek e határozat érvényességének vizsgálata céljából (407).

(208)

A Bíróság ítélkezési gyakorlata alapján (408) és az (EU) 2016/679 rendelet 45. cikkének (4) bekezdésében elismerteknek megfelelően a Bizottság folyamatosan figyelemmel kíséri a harmadik országokban egy megfelelőségi határozat elfogadását követő kapcsolódó fejleményeket, hogy értékelje, hogy a harmadik ország továbbra is biztosítja-e a védelem lényegében azonos szintjét. E vizsgálat mindenképpen szükséges azokban az esetekben, amikor a Bizottság által kapott információk alapján indokolt kétségek merülhetnek fel e tekintetben.

(209)

A Bizottság ezért folyamatosan nyomon követi az Egyesült Államokban a helyzetet az ebben a határozatban értékelt adatkezelés jogi keretének és mindenkori gyakorlatának vonatkozásában. E folyamat megkönnyítése érdekében az Egyesült Államok hatóságainak haladéktalanul tájékoztatniuk kell a Bizottságot az Egyesült Államok jogrendjének minden olyan lényeges fejleményéről, amely hatást gyakorol az e határozat tárgyát képező jogi keretre, valamint személyes adatok az e határozatban értékelt kezelésével kapcsolatos gyakorlatok minden változásáról, mind a személyes adatok egyesült államokbeli tanúsított szervezetek általi kezelését, mind a személyes adatokhoz a közigazgatási szervek általi hozzáférést illető korlátozásokat és biztosítékokat illetően.

(210)

Továbbá annak lehetővé tétele érdekében, hogy a Bizottság hatékonyan lássa el nyomonkövetési feladatát, a tagállamoknak tájékoztatniuk kell a Bizottságot a nemzeti adatvédelmi hatóságok minden vonatkozó lépéséről, különösen az uniós érintetteknek a személyes adatok Európai Unióból az egyesült államokbeli tanúsított szervezetek felé történő továbbításával kapcsolatos kérései vagy panaszai tekintetében. A Bizottságot továbbá tájékoztatni kell minden arra utaló információról, hogy a bűnügyek megelőzéséért, nyomozásáért, felderítéséért vagy a vádemelésért, illetve a nemzetbiztonságért felelős koreai hatóságok – a felügyeleti szerveket is ideértve – intézkedései nem biztosítják a megfelelő szintű védelmet.

(211)

Az (EU) 2016/679 rendelet 45. cikke (3) bekezdésének (409) alkalmazásában a Bizottságnak e határozat elfogadását követően rendszeresen felül kell vizsgálnia, hogy az Egyesült Államok által az EU–USA adatvédelmi keret szerint biztosított védelmi szint megfelelőségére vonatkozó megállapítások továbbra is tényszerűen és jogilag indokoltak-e. Mivel különösen a 14086. elnöki rendelet és a főügyészi rendelet új mechanizmusok létrehozását és új biztosítékok végrehajtását írja elő, ezt a határozatot a hatálybalépését követő egy éven belül első alkalommal felül kell vizsgálni annak ellenőrzése érdekében, hogy az összes releváns elemet teljes mértékben végrehajtották-e, és azok a gyakorlatban hatékonyan működnek-e. Az első felülvizsgálatot követően és annak eredményétől függően a Bizottság az (EU) 2016/679 rendelet 93. cikkének (1) bekezdése alapján létrehozott bizottsággal és az Európai Adatvédelmi Testülettel szorosan egyeztetve dönt a jövőbeli felülvizsgálatok gyakoriságáról (410).

(212)

A felülvizsgálatok elvégzése érdekében a Bizottságnak találkoznia kell a Kereskedelmi Minisztériummal, az FTC-vel és a Közlekedési Minisztériummal, adott esetben az EU–USA adatvédelmi keret végrehajtásában részt vevő más szervezeti egységekkel és ügynökségekkel, valamint az adatokhoz való kormányzati hozzáféréssel kapcsolatos ügyekben az Igazságügyi Minisztérium, az ODNI (beleértve a CLPO-t is), a Hírszerző Közösség egyéb elemei, a DPRC és a különleges főtanácsnokok képviselőivel. E találkozón részt vehetnek az Európai Adatvédelmi Testület tagjainak képviselői.

(213)

A felülvizsgálatoknak ki kell terjedniük e határozat működésének valamennyi szempontjára, tekintettel a személyes adatoknak az Egyesült Államokban történő kezelésére, és különösen az elvek alkalmazására és végrehajtására, különös tekintettel az újbóli adattovábbítás esetén nyújtott védelemre; a vonatkozó ítélkezési gyakorlat fejleményeire; az egyéni jogok gyakorlásának hatékonyságára; az elveknek való megfelelés nyomon követésére és érvényesítésére; valamint a kormányzati hozzáférésre vonatkozó korlátozások és biztosítékok, nevezetesen a 14086. elnöki rendelet által bevezetett biztosítékok végrehajtására és alkalmazására, többek között a hírszerző ügynökségek által kidolgozott szabályzatok és eljárások révén; a 14086. elnöki rendelet és a FISA 702. szakasza és a 12333. elnöki rendelet közötti kölcsönhatásra; valamint a felügyeleti mechanizmusok és jogorvoslati lehetőségek hatékonyságára (beleértve a 14086. elnöki rendelet alapján létrehozott új jogorvoslati mechanizmus működését). E felülvizsgálatok keretében figyelmet kell fordítani az adatvédelmi hatóságok és az Egyesült Államok illetékes hatóságai közötti együttműködésre is, beleértve az elvek alkalmazására, valamint a keret működésének egyéb szempontjaira vonatkozó iránymutatások és egyéb értelmező eszközök kidolgozását.

(214)

A felülvizsgálat alapján a Bizottság az Európai Parlamentnek és a Tanácsnak benyújtandó nyilvános jelentést készít.

(215)

Amennyiben a rendelkezésre álló információk, különösen az e határozat nyomon követéséből származó, vagy az Egyesült Államok vagy a tagállamok hatóságai által szolgáltatott információk arra utalnak, hogy az Egyesült Államok által biztosított védelem szintje már nem feltétlenül megfelelő, a Bizottságnak erről haladéktalanul tájékoztatnia kell az Egyesült Államok illetékes hatóságait, és kérheti a megfelelő intézkedések meghatározott, észszerű határidőn belüli meghozatalát.

(216)

Ha az említett határidő lejártakor az Egyesült Államok illetékes hatóságai nem hozzák meg ezeket az intézkedéseket, vagy más módon nem bizonyítják kielégítően, hogy e határozat továbbra is a megfelelő szintű védelmen alapul, a Bizottság megindítja az (EU) 2016/679 rendelet 93. cikkének (2) bekezdésében említett eljárást e határozat részleges vagy teljes felfüggesztése vagy hatályon kívül helyezése céljából.

(217)

Ennek alternatívájaként a Bizottságnak ezt az eljárást e határozat módosítása céljából indítja meg, különösen az adattovábbításra további feltételek előírásával vagy a megfelelőség megállapítása hatályának azokra az adattovábbításokra korlátozásával, amelyek esetében biztosított a megfelelő szintű védelem folyamatossága.

(218)

A Bizottság mindenekelőtt az alábbi esetekben indítja el a felfüggesztési vagy hatályon kívül helyezési eljárást:

(219)

A Bizottságnak emellett meg kell vizsgálnia az olyan eljárás kezdeményezésének lehetőségét, amely e határozat módosításához, felfüggesztéséhez vagy visszavonásához vezet, ha az illetékes egyesült államokbeli hatóságok nem adják át az Európai Unióból az Egyesült Államokba továbbított személyes adatok védelmének szintje vagy az e határozatnak való megfelelés értékeléséhez szükséges információkat vagy nem adnak erre vonatkozó magyarázatokat. Ebben a tekintetben a Bizottságnak figyelembe kell vennie, hogy milyen mértékben szerezhető be más forrásokból a vonatkozó információ.

(220)

Kellően indokolt, rendkívül sürgős esetben, például ha a 14086. elnöki rendelet vagy a főügyészi rendelet oly módon módosulna, hogy az aláássa az e határozatban leírt védelmi szintet, vagy ha az Unió főügyész által minősített szervezetnek való kinevezésének visszavonására kerül sor, a Bizottság élni fog azzal a lehetőséggel, hogy az (EU) 2016/679 rendelet 93. cikkének (3) bekezdésében említett eljárásnak megfelelően azonnal alkalmazandó végrehajtási jogi aktusokat fogadjon el e határozat felfüggesztéséről, hatályon kívül helyezéséről vagy módosításáról.

(221)

Az Európai Adatvédelmi Testület közzétette véleményét (411), amely e határozat kidolgozásakor figyelembevételre került.

(222)

Az Európai Parlament állásfoglalást fogadott el az EU–USA adatvédelmi keret által biztosított védelem megfelelőségéről (412).

(223)

Az e határozatban előírt intézkedések összhangban vannak az (EU) 2016/679 rendelet 93. cikke (1) bekezdése alapján létrehozott bizottság véleményével.