(1)

V nariadení (EÚ) 2016/679 (2) sa stanovujú pravidlá prenosu osobných údajov od prevádzkovateľov alebo sprostredkovateľov v Únii do tretích krajín a medzinárodným organizáciám, pokiaľ tieto prenosy patria do rozsahu jeho pôsobnosti. Pravidlá upravujúce medzinárodné prenosy údajov sa stanovujú v kapitole V uvedeného nariadenia. Hoci je pre rozmach cezhraničného obchodu a medzinárodnej spolupráce nevyhnutný tok osobných údajov do krajín mimo Európskej únie aj z takýchto krajín, prenosy do tretích krajín alebo medzinárodným organizáciám nesmú ohrozovať zabezpečovanú úroveň ochrany osobných údajov v Únii (3).

(2)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 môže Komisia prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine zaručujú primeranú úroveň ochrany. Pod touto podmienkou sa prenosy osobných údajov do tretej krajiny môžu uskutočňovať bez potreby získania ďalšieho povolenia, ako sa stanovuje v článku 45 ods. 1 a v odôvodnení 103 nariadenia (EÚ) 2016/679.

(3)

Ako sa uvádza v článku 45 ods. 2 nariadenia (EÚ) 2016/679, prijatie rozhodnutia o primeranosti musí vychádzať z komplexnej analýzy právneho poriadku tretej krajiny, pričom sa vzťahuje na pravidlá uplatniteľné na dovozcov údajov, ako aj na obmedzenia a záruky týkajúce sa prístupu k osobným údajom zo strany orgánov verejnej moci. Komisia musí v rámci svojho posúdenia určiť, či predmetná tretia krajina zaručuje úroveň ochrany, ktorá „v zásade zodpovedá“ úrovni zabezpečenej v rámci Únie [odôvodnenie 104 nariadenia (EÚ) 2016/679]. Či ide o tento prípad, sa posúdi na základe právnych predpisov Únie, najmä nariadenia (EÚ) 2016/679, ako aj judikatúry Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) (4).

(4)

Ako objasnil Súdny dvor v rozsudku zo 6. októbra 2015 vo veci C-362/14, Maximillian Schrems/Data Protection Commissioner (5) (ďalej len „Schrems“), nie je potrebné, aby bola zaistená rovnaká úroveň ochrany. Konkrétne prostriedky, ktoré dotknutá tretia krajina využíva na ochranu osobných údajov, sa môžu líšiť od prostriedkov využívaných v Únii, pokiaľ sa v praxi preukáže, že sa nimi účinne zabezpečuje primeraná úroveň ochrany (6). V záujme dosiahnutia štandardu primeranosti teda nie je potrebné, aby pravidlá druhej krajiny do detailu zodpovedali pravidlám Únie. Namiesto toho sa skôr overuje, či príslušný zahraničný systém ako celok zabezpečuje prostredníctvom hmotnoprávnej úpravy práv na súkromie a ich účinného uplatňovania, presadzovania, ako aj dohľadu nad nimi, požadovanú úroveň ochrany (7). Okrem toho podľa uvedeného rozsudku by Komisia pri uplatňovaní tohto štandardu mala predovšetkým posúdiť, či sa v právnom rámci dotknutej tretej krajiny stanovujú pravidlá, ktorých cieľom je obmedzenie zásahov do základných práv osôb, ktorých údaje sú prenesené z Únie, teda zásahov, ktoré by subjekty verejnej moci danej krajiny boli oprávnené uskutočniť v rámci sledovania legitímnych cieľov, akým je napríklad národná bezpečnosť, a či sa v ňom poskytuje účinná právna ochrana pred zásahmi tohto druhu (8). Usmernenie v tomto smere sa poskytuje aj v Referenčnom kritériu primeranosti Európskeho výboru pre ochranu údajov, v ktorom sa tento štandard podrobnejšie objasňuje (9).

(5)

Uplatniteľný štandard, pokiaľ ide o takýto zásah do základných práv na súkromie a ochranu údajov, Súdny dvor podrobnejšie objasnil v rozsudku zo 16. júla 2020 vo veci C-311/18, Data Protection Commissioner/Facebook Ireland Limited a Maximillian Schrems (ďalej len „Schrems II“), ktorým bolo zrušené vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 (10) o predchádzajúcom rámci pre transatlantický tok údajov, ktorým bol štít na ochranu osobných údajov medzi EÚ a USA (ďalej len „štít na ochranu osobných údajov“). Súdny dvor dospel k záveru, že obmedzenia ochrany osobných údajov, ktoré vyplývajú z vnútroštátnej právnej úpravy Spojených štátov týkajúcej sa prístupu amerických orgánov verejnej moci k údajom prenášaným z Únie do Spojených štátov na účely národnej bezpečnosti a ich používania týmito orgánmi, nie sú vymedzené takým spôsobom, aby zodpovedali požiadavkám, ktoré sú v podstate rovnocenné požiadavkám podľa práva Únie, pokiaľ ide o nevyhnutnosť a primeranosť takýchto zásahov do práva na ochranu údajov (11). Súdny dvor takisto dospel k záveru, že nie je dostupný žiadny opravný prostriedok pred orgánom, ktorý ponúka osobám, ktorých údaje boli prenesené do Spojených štátov, záruky, ktoré sú v podstate rovnocenné so zárukami vyžadovanými podľa článku 47 Charty o práve na účinný prostriedok nápravy (12).

(6)

V nadväznosti na rozsudok vo veci Schrems II Komisia začala rozhovory s vládou USA s cieľom dospieť k prípadnému novému rozhodnutiu o primeranosti, ktoré by spĺňalo požiadavky článku 45 ods. 2 nariadenia (EÚ) 2016/679 podľa výkladu Súdneho dvora. Na základe týchto rokovaní Spojené štáty prijali 7. októbra 2022 vykonávacie nariadenie č. 14086 „Zlepšovanie záruk v rámci činností signálového spravodajstva USA“ (ďalej len „vykonávacie nariadenie č. 14086“), ktoré je doplnené nariadením o Súde pre preskúmanie dodržiavania ochrany údajov, ktoré vydal generálny prokurátor USA (ďalej len „nariadenie generálneho prokurátora“) (13). Okrem toho bol aktualizovaný rámec vzťahujúci sa na obchodné subjekty spracúvajúce údaje prenášané z Únie podľa tohto rozhodnutia – „rámec pre ochranu osobných údajov medzi EÚ a USA“.

(7)

Komisia dôkladne analyzovala právne predpisy a prax v USA vrátane vykonávacieho nariadenia č. 14086 a nariadenia generálneho prokurátora. Na základe zistení uvedených v odôvodneniach 9 – 200 Komisia dospela k záveru, že Spojené štáty zaisťujú primeranú úroveň ochrany osobných údajov prenášaných podľa rámca pre ochranu osobných údajov medzi EÚ a USA od prevádzkovateľa alebo sprostredkovateľa v Únii (14) organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad.

(8)

Na základe tohto rozhodnutia sa môžu prenosy osobných údajov od prevádzkovateľov a sprostredkovateľov v Únii (15) organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, uskutočňovať bez potreby získania ďalšieho povolenia. Nemá to vplyv na priame uplatňovanie nariadenia (EÚ) 2016/679 na také organizácie, v prípade ktorých sú splnené podmienky týkajúce sa územného rozsahu uvedeného nariadenia stanovené v jeho článku 3.

(9)

Rámec pre ochranu osobných údajov medzi EÚ a USA je založený na systéme osvedčovania, prostredníctvom ktorého sa organizácie v USA zaväzujú dodržiavať súbor zásad ochrany súkromia – „zásady rámca pre ochranu osobných údajov medzi EÚ a USA“ vrátane doplnkových zásad (ďalej spoločne len „zásady“), ktoré vydalo ministerstvo obchodu USA (ďalej len „ministerstvo obchodu“) a ktoré sú uvedené v prílohe I k tomuto rozhodnutiu (16). Na to, aby bola organizácia oprávnená na osvedčenie na základe rámca pre ochranu osobných údajov medzi EÚ a USA, musí podliehať vyšetrovacím právomociam a právomociam presadzovania práva Federálnej obchodnej komisie (ďalej len „FTC“) alebo ministerstva dopravy USA (ďalej len „ministerstvo dopravy“) (17). Zásady sa uplatňujú ihneď po osvedčení. Ako sa podrobnejšie vysvetľuje v odôvodneniach 48 – 52, organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA sú povinné každoročne opätovne osvedčiť svoje dodržiavanie zásad (18).

(10)

Ochrana, ktorú poskytuje rámec pre ochranu osobných údajov medzi EÚ a USA, sa vzťahuje na všetky osobné údaje prenášané z Únie organizáciám v USA, ktoré ministerstvu obchodu osvedčili svoje dodržiavanie zásad, s výnimkou údajov, ktoré sa získavajú na účely uverejnenia v tlači, vysielania rozhlasom alebo televíziou alebo na účely iných foriem zverejňovania publicistického materiálu a informácií v už uverejnenom materiáli rozšírenom z mediálnych archívov (19). Takéto informácie preto nemožno prenášať na základe rámca pre ochranu osobných údajov medzi EÚ a USA.

(11)

V zásadách sa osobné údaje/osobné informácie vymedzujú rovnakým spôsobom ako v nariadení (EÚ) 2016/679, t. j. ako „údaje o identifikovanej alebo identifikovateľnej fyzickej osobe patriace do rozsahu pôsobnosti všeobecného nariadenia o ochrane údajov, ktoré získava organizácia v Spojených štátoch z EÚ a ktoré sú zaznamenané v akejkoľvek forme“ (20). V súlade s tým zahŕňajú aj pseudonymizované (alebo „kľúčom kódované“) výskumné údaje (vrátane prípadov, keď sa kľúč nesprístupňuje získavajúcej organizácii v USA) (21). Podobne sa pojem spracúvanie vymedzuje ako „akákoľvek operácia alebo súbor operácií s osobnými údajmi, napríklad získavanie, zaznamenávanie, usporadúvanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, sprístupňovanie alebo poskytovanie a vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“ (22).

(12)

Rámec pre ochranu osobných údajov medzi EÚ a USA sa vzťahuje na organizácie v USA, ktoré spĺňajú podmienky ako prevádzkovatelia (t. j. ako osoby alebo organizácie, ktoré samy alebo spoločne s inými určujú účely a prostriedky spracúvania osobných údajov) (23) alebo ako sprostredkovatelia (t. j. ako zástupcovia konajúci v mene prevádzkovateľa) (24). Sprostredkovatelia v USA sa musia zmluvne zaviazať, že budú konať len na pokyny prevádzkovateľa z EÚ a pomáhať mu pri odpovedaní fyzickým osobám, ktoré si uplatnia svoje práva v zmysle zásad (25). Okrem toho v prípade subsprostredkovania spracúvania musí sprostredkovateľ uzavrieť so subsprostredkovateľom zmluvu, ktorou sa zaručí rovnaká úroveň ochrany, akú poskytujú zásady, a musí prijať opatrenia na zabezpečenie jej riadneho vykonávania (26).

(13)

Osobné údaje by sa mali spracúvať zákonným a spravodlivým spôsobom. Mali by sa spracúvať na konkrétny účel a následne by sa mali používať, len pokiaľ to nie je nezlučiteľné s daným účelom spracúvania.

(14)

Podľa rámca pre ochranu osobných údajov medzi EÚ a USA sa to zabezpečuje prostredníctvom rôznych zásad. Po prvé podľa zásady integrity údajov a obmedzenia účelu, podobne ako podľa článku 5 ods. 1 písm. b) nariadenia (EÚ) 2016/679, organizácia nesmie spracúvať osobné údaje spôsobom, ktorý nie je zlučiteľný s účelom, na ktorý boli pôvodne získané alebo následne schválené dotknutou osobou (27).

(15)

Po druhé, než organizácia použije osobné údaje na nový (zmenený) účel, ktorý sa od pôvodného účelu podstatne odlišuje, ale je s ním naďalej v súlade, alebo než ich sprístupní tretej strane, v súlade so zásadou možnosti voľby (28) musí dotknutým osobám poskytnúť možnosť namietať (vyjadriť nesúhlas) prostredníctvom jasného, zreteľného a ľahko dostupného mechanizmu. Je dôležité poznamenať, že táto zásada nenahrádza výslovný zákaz nezlučiteľného spracovania (29).

(16)

Na spracúvanie „osobitných kategórií“ údajov by sa mali vzťahovať osobitné záruky.

(17)

V súlade so zásadou možnosti voľby sa osobitné záruky vzťahujú na spracúvanie „citlivých informácií“, t. j. osobných údajov týkajúcich sa liečebnej starostlivosti alebo zdravotného stavu, rasového alebo etnického pôvodu, politických názorov, náboženskej viery alebo svetonázoru, členstva v odborových zväzoch, informácií o sexuálnom živote fyzickej osoby alebo akýchkoľvek iných informácií získaných od tretej strany, ktoré táto tretia strana označila za citlivé a s ktorými zaobchádza ako s citlivými (30). To znamená, že organizácie, ktoré osvedčili svoje dodržiavanie zásad, budú so všetkými údajmi, ktoré sa podľa právnych predpisov Únie o ochrane údajov považujú za citlivé (vrátane údajov o sexuálnej orientácii, genetických údajov a biometrických údajov), zaobchádzať podľa rámca pre ochranu osobných údajov medzi EÚ a USA ako s citlivými údajmi.

(18)

Vo všeobecnosti musia organizácie od fyzických osôb získať potvrdzujúci výslovný súhlas (t. j. vyjadrenie súhlasu), ak sa citlivé informácie majú využiť na iný účel než ten, na ktorý boli pôvodne získané alebo následne schválené fyzickou osobou (prostredníctvom vyjadrenia súhlasu), alebo ak sa majú sprístupniť tretím stranám (31).

(19)

Takýto súhlas nie je nutné získať za obmedzených okolností, ktoré sú podobné porovnateľným výnimkám stanoveným v právnych predpisoch Únie o ochrane údajov, napr. ak je spracúvanie citlivých údajov v životne dôležitom záujme osoby, je potrebné na uplatnenie právnych nárokov alebo je nevyhnutné na účely poskytnutia zdravotnej starostlivosti alebo stanovenia diagnózy (32).

(20)

Údaje by mali byť presné a v prípade potreby by sa mali aktualizovať. Mali by byť aj primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracúvajú, a v zásade by sa nemali uchovávať dlhšie, ako je nevyhnutné na účely, na ktoré sa osobné údaje spracúvajú.

(21)

Podľa zásady integrity údajov a obmedzenia účelu (33) musia byť osobné údaje obmedzené na to, čo je relevantné na účely spracovania. Okrem toho musia organizácie v rozsahu nevyhnutnom na účely spracovania prijať primerané opatrenia, aby zaistili spoľahlivosť osobných údajov na zamýšľaný účel, ich presnosť, úplnosť a aktuálnosť.

(22)

Navyše možno osobné informácie uchovávať vo forme, ktorou sa fyzická osoba identifikuje alebo ktorá ju robí identifikovateľnou (a teda vo forme osobných údajov) (34), len pokiaľ to slúži na účely, na ktoré boli pôvodne získané alebo následne schválené fyzickou osobou podľa zásady možnosti voľby. Táto povinnosť organizáciám nebráni v tom, aby pokračovali v spracúvaní osobných informácií dlhší čas, ale len počas obdobia a v rozsahu, v akom takéto spracúvanie odôvodnene slúži na jeden z týchto osobitných účelov, ktoré sú podobné porovnateľným výnimkám stanoveným v právnych predpisoch Únie o ochrane údajov: archivácia, žurnalistika, literatúra a umenie, vedecký a historický výskum a štatistická analýza (35). Ak sa osobné údaje uchovávajú na jeden z týchto účelov, ich spracúvanie podlieha zárukám stanoveným v zásadách (36).

(23)

Osobné údaje by sa mali spracúvať spôsobom, ktorým sa zaistí ich bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Na tento účel by prevádzkovatelia a sprostredkovatelia mali prijať vhodné technické alebo organizačné opatrenia na ochranu osobných údajov pred možnými hrozbami. Tieto opatrenia by sa mali posúdiť s prihliadnutím na najmodernejšie postupy, súvisiace náklady a povahu, rozsah, súvislosti a účel spracúvania, ako aj na riziká, ktoré predstavujú pre práva jednotlivcov.

(24)

Na základe rámca pre ochranu osobných údajov medzi EÚ a USA sa to zabezpečuje prostredníctvom zásady bezpečnosti, podľa ktorej sa podobne ako v článku 32 nariadenia (EÚ) 2016/679 vyžaduje, aby sa prijali primerané a vhodné bezpečnostné opatrenia s prihliadnutím na riziká spojené so spracúvaním a s povahou údajov (37).

(25)

Dotknuté osoby by mali byť informované o hlavných znakoch spracúvania ich osobných údajov.

(26)

To sa zabezpečuje prostredníctvom zásady oznámenia (38), podľa ktorej sa podobne ako v prípade požiadaviek na transparentnosť podľa nariadenia (EÚ) 2016/679 vyžaduje, aby organizácie informovali dotknuté osoby okrem iného o i) zapojení organizácie do rámca pre ochranu osobných údajov; ii) druhu získavaných údajov; iii) účele spracúvania; iv) druhu alebo totožnosti tretích strán, ktorým sa môžu osobné údaje sprístupniť, a účeloch sprístupňovania osobných údajov; v) ich individuálnych právach; vi) spôsobe, ako možno organizáciu kontaktovať, a o vii) dostupných možnostiach dosiahnutia nápravy.

(27)

Toto oznámenie musí byť poskytnuté v jasnom a zrozumiteľnom jazyku vtedy, keď sa od fyzických osôb po prvýkrát požaduje poskytnutie osobných údajov, alebo čo možno najskôr po tom, ale v každom prípade pred tým, ako sú dané údaje použité na podstatne odlišný (ale zlučiteľný) účel než ten, na ktorý boli získané, alebo pred tým, ako sú sprístupnené tretej strane (39).

(28)

Okrem toho musia organizácie zverejniť svoje podmienky ochrany súkromia zohľadňujúce zásady (alebo v prípade údajov o ľudských zdrojoch poskytnúť dotknutým fyzickým osobám jednoduchý prístup) a uviesť odkazy na webové sídlo ministerstva obchodu (s ďalšími podrobnosťami o osvedčovaní, právach dotknutých osôb a dostupných mechanizmoch nápravy), zoznam organizácií zapojených do rámca pre ochranu osobných údajov (ďalej len „zoznam zapojených organizácií“) a webové sídlo vhodného poskytovateľa alternatívneho riešenia sporov (40).

(29)

Dotknuté osoby by mali mať určité práva, ktoré možno uplatniť voči prevádzkovateľovi alebo sprostredkovateľovi, najmä právo na prístup k údajom, právo namietať proti spracúvaniu a právo na opravu a vymazanie údajov.

(30)

Tieto práva fyzickým osobám zabezpečuje zásada prístupu (41) podľa rámca pre ochranu osobných údajov medzi EÚ a USA. Dotknuté osoby majú predovšetkým právo získať od organizácie potvrdenie o tom, či spracúva osobné údaje, ktoré sa ich týkajú, právo získať od nej dané údaje a právo získať informácie o účele spracúvania, kategóriách spracúvaných osobných údajov a príjemcoch (kategóriách príjemcov), ktorým sa údaje sprístupňujú (42), a to bez nutnosti odôvodniť svoju žiadosť. Organizácie sú povinné odpovedať na žiadosti o prístup v primeranej lehote (43). Organizácia môže primerane obmedziť počet prípadov, v ktorých sa v rámci určitého časového obdobia vyhovie žiadostiam určitej fyzickej osoby o prístup, a môže si účtovať poplatok, ktorý nie je neprimerane vysoký, napríklad v prípade zjavne neprimeraných žiadostí o prístup, najmä z dôvodu ich opakujúceho sa charakteru (44).

(31)

Právo na prístup možno obmedziť len za výnimočných okolností podobných tým, ktoré sú stanovené v právnych predpisoch Únie o ochrane údajov, najmä ak by boli porušené legitímne práva iných osôb, ak by zaťaženie alebo náklady spojené s poskytnutím prístupu boli neúmerné rizikám pre súkromie jednotlivca za daných okolností (hoci náklady a zaťaženie nie sú kontrolnými faktormi pri určovaní toho, či je poskytnutie prístupu primerané), pokiaľ je pravdepodobné, že predmetné sprístupnenie je v rozpore s ochranou dôležitých protikladných verejných záujmov, ako je napríklad národná bezpečnosť alebo obrana, ak informácie obsahujú dôverné obchodné informácie alebo ak sa informácie spracúvajú výlučne na výskumné alebo štatistické účely (45). Akékoľvek odopretie alebo obmedzenie práva musí byť nevyhnutné a riadne odôvodnené, pričom organizácia nesie bremeno preukazovania, že tieto požiadavky sú splnené (46). Pri tomto posúdení musí organizácia osobitne zohľadniť záujmy príslušnej fyzickej osoby (47). Ak sa dané informácie dajú oddeliť od iných údajov podliehajúcich obmedzeniu, organizácia musí chránené informácie odčleniť a sprístupniť zvyšné informácie (48).

(32)

Dotknuté osoby majú okrem toho právo na opravu alebo zmenu nesprávnych údajov a na vymazanie údajov, ktoré boli spracované v rozpore so zásadami (49). Okrem toho, ako je vysvetlené v odôvodnení 15, fyzické osoby majú právo namietať proti spracúvaniu svojich údajov/vyjadriť nesúhlas s ich spracúvaním na účely, ktoré sú podstatne odlišné (ale zlučiteľné) od účelov, na ktoré boli údaje získané, a právo namietať proti sprístupneniu svojich údajov tretím stranám/vyjadriť nesúhlas s takýmto sprístupnením. Ak sa osobné údaje používajú na účely priameho marketingu, fyzické osoby majú všeobecné právo kedykoľvek vyjadriť nesúhlas so spracovaním (50).

(33)

V zásadách sa osobitne nerieši otázka rozhodnutí s vplyvom na dotknutú osobu výlučne na základne automatizovaného spracúvania osobných údajov. Pokiaľ ide o osobné údaje získané v Únii, každé rozhodnutie založené na automatizovanom spracúvaní však zvyčajne prijme prevádzkovateľ v Únii (ktorý má priamy vzťah s príslušnou dotknutou osobou), a preto sa naň vzťahuje nariadenie (EÚ) 2016/679 (51). To zahŕňa situácie prenosu, v ktorých spracúvanie vykonáva zahraničný (napríklad americký) hospodársky subjekt konajúci ako zástupca (sprostredkovateľ) v mene prevádzkovateľa v Únii (alebo ako subsprostredkovateľ konajúci v mene sprostredkovateľa v Únii, ktorý dostal údaje od prevádzkovateľa z Únie, ktorý ich získal), ktorý na tomto základe následne prijme rozhodnutie.

(34)

Bolo to potvrdené v štúdii, ktorú Komisia zadala v roku 2018 v kontexte druhého každoročného preskúmania fungovania štítu na ochranu osobných údajov (52), v ktorej sa dospelo k záveru, že v tom čase neexistovali žiadne dôkazy, ktoré by naznačovali, že automatizované rozhodovanie zvyčajne vykonávajú organizácie zapojené do štítu na ochranu osobných údajov na základe osobných údajov prenášaných v rámci štítu na ochranu osobných údajov.

(35)

V každom prípade v oblastiach, v ktorých sa spoločnosti s najväčšou pravdepodobnosťou uchyľujú k automatizovanému spracovaniu osobných údajov v záujme prijatia rozhodnutí, ktoré sa dotýkajú danej fyzickej osoby (napríklad poskytovanie úverov, ponuky hypoték, zamestnanie, bývanie a poistenie), sa v právnych predpisoch USA poskytujú osobitné ochranné prvky pred nepriaznivými rozhodnutiami (53). V týchto zákonoch sa obvykle stanovuje, že fyzické osoby majú právo byť informované o osobitných dôvodoch, na základe ktorých sa rozhodnutie (napríklad zamietnutie úveru) prijalo, právo namietať proti neúplným alebo nepresným informáciám (ako aj proti opieraniu sa o nezákonné faktory) a právo dožadovať sa nápravy. Pokiaľ ide o oblasť spotrebiteľských úverov, zákon o náležitom podávaní informácií o úverovej schopnosti (Fair Credit Reporting Act – FCRA) a zákon o rovnakých úverových príležitostiach (Equal Credit Opportunity Act – ECOA) obsahujú záruky, ktoré spotrebiteľom poskytujú určitú formu práva na vysvetlenie a práva napadnúť rozhodnutie. Tieto zákony sú relevantné v širokej škále oblastí vrátane poskytovania úverov, zamestnania, bývania a poistenia. Okrem toho určité antidiskriminačné zákony, ako napríklad hlava VII zákona o občianskych právach (Civil Rights Act) a zákon o spravodlivom bývaní (Fair Housing Act), poskytujú fyzickým osobám ochranu v súvislosti s modelmi používanými pri automatizovanom rozhodovaní, ktoré by mohli viesť k diskriminácii na základe určitých charakteristík, a stanovuje sa v nich právo fyzických osôb napadnúť takéto rozhodnutia vrátane automatizovaných rozhodnutí. Pokiaľ ide o zdravotné informácie, na základe pravidla ochrany súkromia začleneného v zákone o prenosnosti a zúčtovateľnosti zdravotného poistenia (Health Insurance Portability and Accountability Act – HIPAA) vznikajú určité práva, ktoré sú podobné právam stanoveným v nariadení (EÚ) 2016/679, pokiaľ ide o prístup k osobným zdravotným informáciám. Ďalej sa v usmerneniach orgánov USA vyžaduje, aby poskytovatelia zdravotnej starostlivosti získavali informácie, ktoré im umožnia informovať fyzické osoby o automatizovaných systémoch rozhodovania používaných v zdravotníctve (54).

(36)

Tieto pravidlá preto poskytujú ochranu podobnú ochrane stanovenej v právnych predpisoch Únie o ochrane údajov v nepravdepodobnej situácii, v ktorej by automatizované rozhodnutia prijímala samotná organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA.

(37)

Úroveň ochrany osobných údajov prenášaných z Únie organizáciám v USA nesmie byť oslabená ďalším prenosom takýchto údajov príjemcovi v Spojených štátoch alebo inej tretej krajine.

(38)

Podľa zásady zodpovednosti za následný prenos (55) sa uplatňujú osobitné pravidlá v prípade tzv. následných prenosov, t. j. prenosov osobných údajov od organizácie zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA prevádzkovateľovi alebo sprostredkovateľovi, ktorý je treťou stranou, bez ohľadu na to, či sa tento prevádzkovateľ alebo sprostredkovateľ nachádza v Spojených štátoch, alebo v tretej krajine mimo Spojených štátov (a Únie). Akýkoľvek následný prenos sa môže uskutočniť len i) na obmedzené a konkrétne účely; ii) na základe zmluvy medzi organizáciou zapojenou do rámca pre ochranu osobných údajov medzi EÚ a USA a treťou stranou (56) (alebo porovnateľnej dohody v rámci skupiny podnikov (57)) a iii) iba v prípade, že v danej zmluve sa od tretej strany vyžaduje poskytovanie rovnakej úrovne ochrany, ako je ochrana zaručená zásadami.

(39)

Táto povinnosť poskytnúť rovnakú úroveň ochrany, akú zaručujú zásady, v spojení so zásadou integrity údajov a obmedzenia účelu konkrétne znamená, že tretia strana môže spracúvať osobné informácie, ktoré jej boli prenesené, len na účely, ktoré nie sú nezlučiteľné s účelmi, na ktoré boli získané alebo následne schválené fyzickou osobou (v súlade so zásadou možnosti voľby).

(40)

Zásada zodpovednosti za následný prenos by sa zároveň mala chápať v spojení so zásadou oznámenia a v prípade následného prenosu prevádzkovateľovi, ktorý je treťou stranou (58), so zásadou možnosti voľby, podľa ktorých musia byť dotknuté osoby informované (okrem iného) o type/totožnosti každého príjemcu, ktorý je treťou stranou, účele následného prenosu a o ponúkanej možnosti voľby a môžu namietať (vyjadriť nesúhlas) alebo, v prípade citlivých údajov, musia poskytnúť „potvrdzujúci výslovný súhlas“ (vyjadrenie súhlasu) s následným prenosom.

(41)

Povinnosť poskytnúť rovnakú úroveň ochrany, aká sa vyžaduje v zásadách, sa vzťahuje na všetky tretie strany zapojené do spracovania takto prenášaných údajov bez ohľadu na to, kde sa nachádzajú (v USA alebo inej tretej krajine), ako aj v prípade, keď samotný pôvodný príjemca, ktorý je treťou stranou, vykoná prenos týchto údajov inému príjemcovi – tretej strane, napríklad na účely subsprostredkovania spracúvania.

(42)

Vo všetkých prípadoch musí byť v zmluve s príjemcom, ktorý je treťou stranou, stanovené, že ak daný príjemca prijme rozhodnutie, že túto povinnosť viac nedokáže plniť, oznámi to organizácii zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA. Spracovanie treťou stranou sa pri takomto rozhodnutí musí ukončiť, prípadne sa musia prijať iné odôvodnené a primerané kroky s cieľom napraviť túto situáciu (59).

(43)

V prípade následného prenosu zástupcovi (t. j. sprostredkovateľovi), ktorý je treťou stranou, sa uplatňujú ďalšie ochranné opatrenia. Organizácia v USA musí v takom prípade zabezpečiť, aby zástupca konal len na základe jej pokynov, a prijať odôvodnené a primerané kroky i) s cieľom zaistiť, aby zástupca účinne spracúval osobné informácie prenášané spôsobom, ktorý je v súlade s povinnosťami organizácie v zmysle zásad, a ii) s cieľom zastaviť a na základe oznámenia napraviť nepovolené spracovanie (60). Ministerstvo obchodu môže od organizácie požadovať, aby poskytla zhrnutie alebo reprezentatívnu kópiu ustanovení o ochrane súkromia obsiahnutých v zmluve (61). V prípade vzniku problémov s dodržiavaním predpisov v (sub)spracovateľskom reťazci bude zodpovednosť v zásade niesť organizácia konajúca ako prevádzkovateľ osobných údajov, ako sa uvádza v zásade nápravy, presadzovania a zodpovednosti, s výnimkou prípadu, keď preukáže, že nie je zodpovedná za okolnosť, ktorá viedla k vzniku škody (62).

(44)

Podľa zásady zodpovednosti sa od subjektov, ktoré spracúvajú údaje, vyžaduje, aby zaviedli vhodné technické a organizačné opatrenia v záujme účinného dodržiavania svojich povinností v oblasti ochrany údajov a aby vedeli takéto dodržiavanie preukázať, najmä príslušnému dozornému orgánu.

(45)

Keď sa organizácia dobrovoľne rozhodne predložiť osvedčenie (63) na základe rámca pre ochranu osobných údajov medzi EÚ a USA, účinné dodržiavanie zásad sa pre ňu stáva povinným a vymáhateľným. Podľa zásady nápravy, presadzovania a zodpovednosti (64) musia organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA poskytnúť účinné mechanizmy na zabezpečenie dodržiavania zásad. Organizácie musia zároveň prijať opatrenia na overenie (65), či sú ich podmienky ochrany súkromia v súlade so zásadami a či sa skutočne dodržiavajú. Môžu to vykonať buď prostredníctvom systému samoposúdenia, ktorý musí zahŕňať interné postupy na zabezpečenie odbornej prípravy zamestnancov zameranej na uplatňovanie podmienok ochrany súkromia organizácie a pravidelného preskúmania ich dodržiavania objektívnym spôsobom, alebo prostredníctvom externých posúdení dodržiavania zásad, ktorých metódy môžu zahŕňať audit, náhodné kontroly či využívanie technologických nástrojov.

(46)

Organizácie musia navyše uchovávať záznamy o vykonávaní svojich postupov rámca pre ochranu osobných údajov medzi EÚ a USA a na požiadanie ich sprístupniť nezávislému orgánu pre riešenie sporov alebo príslušnému orgánu presadzovania práva v súvislosti s vyšetrovaním alebo so sťažnosťou týkajúcou sa nedodržiavania zásad (66).

(47)

Rámec pre ochranu osobných údajov medzi EÚ a USA bude spravovať a monitorovať ministerstvo obchodu. V rámci sa stanovujú mechanizmy dohľadu a presadzovania s cieľom overiť a zabezpečiť dodržiavanie zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA a zaistiť riešenie všetkých prípadov nedodržiavania zásad. Tieto mechanizmy sú vymedzené v zásadách (príloha I) a v záväzkoch, ktoré prijalo ministerstvo obchodu (príloha III), FTC (príloha IV) a ministerstvo dopravy (príloha V).

(48)

Na účely osvedčenia na základe rámca pre ochranu osobných údajov medzi EÚ a USA (alebo na účely každoročného opätovného osvedčenia) sa od organizácií vyžaduje, aby verejne vyhlásili svoj záväzok dodržiavať zásady, sprístupnili svoje podmienky ochrany súkromia a v plnej miere ich vykonávali (67). Organizácie musia v rámci svojej žiadosti o (opätovné) osvedčenie predložiť ministerstvu obchodu určité informácie, a to okrem iného názov príslušnej organizácie, opis účelov, na ktoré bude organizácia spracúvať osobné údaje, informácie o osobných údajoch, na ktoré sa osvedčenie bude vzťahovať, ako aj o zvolenej metóde overovania, príslušnom nezávislom mechanizme nápravy a zákonom zriadenom orgáne, ktorý má právomoc presadzovať dodržiavanie zásad (68).

(49)

Organizácie môžu získavať osobné údaje na základe rámca pre ochranu osobných údajov medzi EÚ a USA odo dňa, keď ich ministerstvo obchodu zaradí do zoznamu zapojených organizácií. Aby sa zabezpečila právna istota a zabránilo sa „nepravdivým tvrdeniam“, organizácie podstupujúce proces osvedčenia po prvýkrát nesmú verejne odkazovať na svoje dodržiavanie zásad skôr, než ministerstvo obchodu vydá rozhodnutie o úplnosti predloženého osvedčenia a danú organizáciu doplní do zoznamu zapojených organizácií (69). Ak takéto organizácie chcú zotrvať v rámci pre ochranu osobných údajov medzi EÚ a USA, aby mohli získavať osobné údaje z Únie, musia každoročne opätovne osvedčovať svoje zapojenie doň. Keď organizácia z akéhokoľvek dôvodu opustí rámec pre ochranu osobných údajov medzi EÚ a USA, musí odstrániť všetky vyhlásenia naznačujúce, že daná organizácia je do tohto rámca naďalej zapojená (70).

(50)

Ako sa uvádza v záväzkoch stanovených v prílohe III, ministerstvo obchodu overí, či organizácie spĺňajú všetky požiadavky na osvedčovanie a či majú zavedené (zverejnené) podmienky ochrany súkromia obsahujúce informácie požadované podľa zásady oznámenia (71). Na základe skúseností s procesom (opätovného) osvedčovania v rámci štítu na ochranu osobných údajov bude ministerstvo obchodu vykonávať viaceré kontroly vrátane overovania, či podmienky organizácií v oblasti ochrany súkromia obsahujú hypertextový odkaz na správny formulár sťažnosti na webovom sídle príslušného mechanizmu riešenia sporov, a v prípadoch, keď predložené osvedčenie zahŕňa viacero subjektov a dcérskych spoločností jednej organizácie, či podmienky každého z týchto subjektov v oblasti ochrany súkromia spĺňajú požiadavky na osvedčovanie a či sú dotknutým osobám ľahko dostupné (72). Okrem toho bude ministerstvo obchodu v prípade potreby vykonávať krížové kontroly s FTC a ministerstvom dopravy s cieľom overiť, či organizácie podliehajú orgánu dohľadu určenému v predloženom (opätovnom) osvedčení, a bude spolupracovať s orgánmi pre alternatívne riešenie sporov s cieľom overiť, či sú organizácie zaregistrované v nezávislom mechanizme nápravy uvedenom v predloženom (opätovnom) osvedčení (73).

(51)

Ministerstvo obchodu bude organizácie informovať, že na dokončenie (opätovného) osvedčenia musia vyriešiť všetky problémy zistené počas preskúmania. Ak organizácia neodpovie v lehote stanovenej ministerstvom obchodu (napríklad pri opätovnom osvedčení sa očakáva dokončenie procesu do 45 dní) (74) alebo ak sa jej z iných dôvodov nepodarí dokončiť proces osvedčenia, bude sa to považovať za upustenie od predloženej žiadosti. V takom prípade môže FTC alebo ministerstvo dopravy v súvislosti s akýmikoľvek nepravdivými vyhláseniami o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA alebo o jeho dodržiavaní prijať opatrenia presadzovania práva (75).

(52)

V záujme riadneho uplatňovania rámca pre ochranu osobných údajov medzi EÚ a USA musia zainteresované strany, napríklad dotknuté osoby, vývozcovia údajov a vnútroštátne orgány pre ochranu osobných údajov, byť schopné určiť tie organizácie, ktoré dodržiavajú zásady. S cieľom zaistiť túto transparentnosť v „mieste vstupu“ sa ministerstvo obchodu zaviazalo viesť a sprístupňovať verejnosti zoznam organizácií, ktoré osvedčili svoje dodržiavanie zásad a ktoré patria do právomoci prinajmenšom jedného z orgánov presadzovania práva uvedených v prílohách IV a V k tomuto rozhodnutiu (76). Ministerstvo obchodu bude tento zoznam aktualizovať na základe predložených informácií o každoročnom opätovnom osvedčení organizácie a vždy, keď organizácia odstúpi od rámca pre ochranu osobných údajov medzi EÚ a USA alebo je z neho vyradená. Okrem toho s cieľom zaručiť transparentnosť aj v „mieste výstupu“ bude ministerstvo obchodu viesť a sprístupňovať verejnosti záznamy o organizáciách, ktoré boli zo zoznamu vyradené, pričom v každom prípade uvedie dôvod vyradenia (77). Napokon poskytne hypertextový odkaz na webovú stránku FTC venovanú rámcu pre ochranu osobných údajov medzi EÚ a USA, na ktorej sa budú uvádzať opatrenia presadzovania práva, ktoré FTC na základe rámca prijala (78).

(53)

Ministerstvo obchodu bude prostredníctvom rôznych mechanizmov priebežne monitorovať účinné dodržiavanie zásad organizáciami zapojenými do rámca pre ochranu osobných údajov medzi EÚ a USA (79). Konkrétne bude vykonávať „kontroly na mieste“ v náhodne vybraných organizáciách, ako aj ad hoc kontroly na mieste v konkrétnych organizáciách v prípade, že sa zistia potenciálne problémy s dodržiavaním zásad (napr. ak ich ministerstvu obchodu nahlásia tretie strany), s cieľom overiť, i) či je k dispozícii kontaktné miesto na vybavovanie sťažností a žiadostí dotknutých osôb a či na takéto sťažnosti a žiadosti reaguje; ii) či sú podmienky organizácie v oblasti ochrany súkromia ľahko dostupné na webovom sídle organizácie, ako aj prostredníctvom hypertextového odkazu na webovom sídle ministerstva obchodu; iii) či podmienky organizácie v oblasti ochrany súkromia naďalej spĺňajú požiadavky na osvedčovanie a iv) či je nezávislý mechanizmus riešenia sporov, ktorý si organizácia vybrala, dostupný na riešenie sťažností (80).

(54)

Ak existujú dôveryhodné dôkazy o tom, že si organizácia neplní záväzky podľa rámca pre ochranu osobných údajov medzi EÚ a USA (vrátane prípadov, keď ministerstvo obchodu dostane sťažnosti alebo keď organizácia uspokojivo neodpovie na otázky ministerstva obchodu), ministerstvo obchodu bude od organizácie vyžadovať, aby vyplnila a predložila podrobný dotazník (81). Organizácia, ktorá tento dotazník uspokojivo a včas nevyplní, bude postúpená príslušnému orgánu (FTC alebo ministerstvu dopravy) na účely prípadných opatrení presadzovania práva (82). V rámci svojich činností monitorovania dodržiavania zásad v rámci štítu na ochranu osobných údajov ministerstvo obchodu pravidelne vykonávalo kontroly na mieste uvedené v odôvodnení 53 a nepretržite monitorovalo verejné reportáže, vďaka čomu mohlo identifikovať problémy s dodržiavaním zásad, zaoberať sa nimi a vyriešiť ich (83). Organizácie, ktoré trvalo nedodržiavajú zásady, budú vyradené zo zoznamu zapojených organizácií a budú musieť vrátiť alebo vymazať osobné údaje, ktoré na základe rámca získali (84).

(55)

V ostatných prípadoch vyradenia, napríklad v prípade dobrovoľného odstúpenia od rámca alebo nepredloženia opätovného osvedčenia, organizácia buď musí údaje vymazať, resp. vrátiť, alebo si ich môže ponechať pod podmienkou, že ministerstvu obchodu každoročne potvrdí záväzok pokračovať v dodržiavaní zásad alebo poskytne primeranú ochranu osobných údajov inými povolenými prostriedkami (napr. prostredníctvom zmluvy, ktorá plne odzrkadľuje požiadavky príslušných štandardných zmluvných doložiek schválených Komisiou) (85). V takom prípade musí organizácia zároveň určiť kontaktné miesto v rámci organizácie pre všetky otázky súvisiace s rámcom pre ochranu osobných údajov medzi EÚ a USA.

(56)

Ministerstvo obchodu bude monitorovať všetky nepravdivé tvrdenia o zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA alebo prípady nevhodného používania certifikačnej značky rámca pre ochranu osobných údajov medzi EÚ a USA, a to ex officio aj na základe sťažností (napr. od orgánov pre ochranu osobných údajov) (86). Ministerstvo obchodu bude predovšetkým priebežne overovať, či organizácie, ktoré i) odstúpili od rámca pre ochranu osobných údajov medzi EÚ a USA; ii) nedokončili proces každoročného opätovného osvedčenia (t. j. buď s ním začali, ale nedokončili ho včas, alebo s ním ani nezačali); iii) boli z rámca vyradené predovšetkým z dôvodu „trvalého nedodržiavania zásad“ alebo iv) nedokončili proces prvého osvedčenia (t. j. začali s ním, ale nedokončili ho včas), odstránili zo všetkých príslušných zverejnených podmienok ochrany súkromia odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA, ktoré naznačujú, že daná organizácia je do tohto rámca aktívne zapojená (87). Ministerstvo obchodu bude takisto vykonávať vyhľadávania na internete s cieľom identifikovať odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA v podmienkach organizácií v oblasti ochrany súkromia, a to aj s cieľom identifikovať nepravdivé tvrdenia organizácií, ktoré neboli do rámca pre ochranu osobných údajov medzi EÚ a USA nikdy zapojené (88).

(57)

Ak ministerstvo obchodu zistí, že odkazy na rámec pre ochranu osobných údajov medzi EÚ a USA neboli odstránené alebo sa používajú nesprávne, informuje danú organizáciu o možnosti postúpenia veci FTC/ministerstvu dopravy (89). Ak organizácia nereaguje uspokojivým spôsobom, ministerstvo obchodu vec postúpi príslušnému orgánu na účely prípadných opatrení presadzovania práva (90). Akékoľvek nepravdivé vyhlásenie pre verejnosť v súvislosti s dodržiavaním zásad organizáciou vo forme zavádzajúcich vyhlásení alebo praktík je postihnuteľné zo strany FTC, ministerstva dopravy alebo iných príslušných orgánov presadzovania práva USA. Nepravdivé vyhlásenia predložené ministerstvu obchodu sú postihnuteľné podľa zákona o nepravdivých vyhláseniach (False Statements Act, hlava 18 § 1001 Zákonníka Spojených štátov).

(58)

S cieľom zaistiť, aby bola primeraná úroveň ochrany údajov zabezpečená v praxi, by mal byť zriadený nezávislý dozorný orgán, ktorý bude mať právomoc monitorovať a presadzovať dodržiavanie pravidiel ochrany údajov.

(59)

Organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA musia podliehať právomoci príslušných orgánov USA – FTC a ministerstva dopravy –, ktoré majú potrebné vyšetrovacie právomoci a právomoci v oblasti presadzovania práva na účinné zabezpečenie dodržiavania zásad (91).

(60)

FTC je nezávislý orgán zložený z piatich komisárov, ktorých vymenúva prezident na základe odporúčania a súhlasu Senátu (92). Komisári sa vymenúvajú na sedemročné funkčné obdobie a môže ich odvolať len prezident z dôvodu neefektívnosti, zanedbania povinností alebo zneužitia právomoci. Vo FTC nesmú byť viac než traja komisári z tej istej politickej strany a komisári nesmú počas svojho funkčného obdobia vykonávať žiadnu inú činnosť, funkciu ani zamestnanie.

(61)

FTC môže preskúmavať dodržiavanie zásad, ako aj nepravdivé tvrdenia o dodržiavaní zásad alebo zapojení do rámca pre ochranu osobných údajov medzi EÚ a USA v prípade organizácií, ktoré už nie sú v zozname zapojených organizácií alebo nikdy nevykonali proces osvedčenia (93). FTC môže dodržiavanie zásad presadzovať predložením veci správnemu alebo federálnemu súdu [a to aj s cieľom dospieť k príkazu o súhlase (consent order), ktorý je výsledkom urovnávania sporov] (94) na účely vydania predbežného alebo trvalého súdneho príkazu či iných prostriedkov nápravy a bude systematicky monitorovať ich splnenie (95). Ak organizácia takéto príkazy nesplní, FTC môže požadovať občianskoprávne sankcie a iné prostriedky nápravy vrátane náhrady prípadnej ujmy spôsobenej protiprávnym konaním. Každý príkaz o súhlase vydaný organizácii zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA bude obsahovať ustanovenia o predkladaní správ dotknutou organizáciou (96) a organizácie budú povinné zverejniť všetky príslušné oddiely týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA obsiahnuté v akejkoľvek správe o dodržiavaní zásad alebo o posúdení, ktorú predložili FTC. Napokon bude FTC viesť online zoznam organizácií, na ktoré sa vzťahujú správne opatrenia FTC alebo súdne príkazy v prípadoch súvisiacich s rámcom pre ochranu osobných údajov medzi EÚ a USA (97).

(62)

Pokiaľ ide o štít na ochranu osobných údajov, FTC prijala opatrenia presadzovania práva približne v 22 prípadoch, a to v súvislosti s porušením osobitných požiadaviek rámca (napr. v prípadoch, keď organizácia po odstúpení od rámca nepotvrdila ministerstvu obchodu, že naďalej uplatňuje ochranu podľa štítu na ochranu osobných údajov, alebo neposkytla overenie prostredníctvom samoposúdenia alebo externého posúdenia dodržiavania rámca) (98), ako aj v súvislosti s nepravdivými tvrdeniami o zapojení do rámca (napr. zo strany organizácií, ktoré nedokončili potrebné kroky na získanie osvedčenia alebo ktorých osvedčenie prepadlo, ale napriek tomu uvádzali nepravdivé tvrdenia o svojom pokračujúcom zapojení do rámca) (99). Tieto opatrenia presadzovania práva boli okrem iného výsledkom aktívneho využívania administratívnych výziev s cieľom získať od určitých účastníkov štítu na ochranu osobných údajov materiály na účely preverenia závažných porušení povinností vyplývajúcich zo štítu na ochranu osobných údajov (100).

(63)

Vyjadrené všeobecnejšie, FTC v posledných rokoch prijala opatrenia na presadzovanie práva vo viacerých prípadoch týkajúcich sa dodržiavania osobitných požiadaviek na ochranu údajov, ktoré existujú aj v rámci pre ochranu osobných údajov medzi EÚ a USA, napr. pokiaľ ide o zásady obmedzenia účelu a uchovávania údajov (101), minimalizácie údajov (102), bezpečnosti údajov (103) a presnosti údajov (104).

(64)

Ministerstvo dopravy má výlučnú právomoc regulovať postupy leteckých spoločností v oblasti ochrany súkromia, pričom sa o právomoc, pokiaľ ide o postupy v oblasti ochrany súkromia pri predaji leteniek, delí s FTC. Úradníci ministerstva dopravy sa v prvom rade zameriavajú na dosiahnutie urovnania a, ak to nie je možné, môžu začať vykonávacie konanie zahŕňajúce vypočutie dôkazov pred správnym sudcom ministerstva dopravy, ktorý je oprávnený vydávať príkazy na zdržanie sa konania a ukladať občianskoprávne sankcie (105). Na správnych sudcov sa vzťahuje viacero ochranných opatrení podľa zákona o správnom konaní (Administrative Procedure Act – APA), aby sa zabezpečila ich nezávislosť a nestrannosť. Napríklad môžu byť odvolaní len zo závažných dôvodov, veci sú im prideľované na rotačnom základe, nesmú vykonávať povinnosti, ktoré sú v rozpore s ich povinnosťami a úlohami správnych sudcov, nepodliehajú dohľadu vyšetrovacieho tímu orgánu, v ktorom sú zamestnaní (v tomto prípade ministerstvo dopravy), a musia vykonávať svoju funkciu v oblasti rozhodovania/presadzovania nestranne (106). Ministerstvo dopravy sa zaviazalo monitorovať vykonávacie príkazy a zabezpečiť, aby boli príkazy vyplývajúce z prípadov týkajúcich sa rámca pre ochranu osobných údajov medzi EÚ a USA zverejnené na jeho webovom sídle (107).

(65)

V záujme zabezpečenia primeranej ochrany, a najmä uplatňovania individuálnych práv, by dotknutá osoba mala mať k dispozícii účinné správne a súdne prostriedky nápravy.

(66)

Na základe rámca pre ochranu osobných údajov medzi EÚ a USA sa od organizácií prostredníctvom zásady nápravy, presadzovania a zodpovednosti vyžaduje, aby fyzickým osobám, ktorých sa nedodržiavanie zásad dotýka, poskytli prostriedky nápravy, a teda možnosť pre dotknuté osoby z Únie podať sťažnosť v súvislosti s nedodržiavaním zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA a dosiahnuť vyriešenie danej sťažnosti, a to v prípade potreby aj na základe rozhodnutia poskytujúceho účinný prostriedok nápravy (108). Organizácie musia ako súčasť svojho osvedčenia splniť požiadavky tejto zásady zabezpečením účinných a ľahko dostupných nezávislých mechanizmov nápravy, na základe ktorých možno sťažnosti a spory každej fyzickej osoby vyšetriť a bezodkladne vyriešiť bez toho, aby danej osobe vznikli akékoľvek náklady (109).

(67)

Organizácie si môžu vybrať nezávislé mechanizmy nápravy buď v Únii, alebo v USA. Ako sa podrobnejšie vysvetľuje v odôvodnení 73, zahŕňa to možnosť dobrovoľne sa zaviazať k spolupráci s orgánmi EÚ pre ochranu osobných údajov. Ak organizácie spracúvajú údaje o ľudských zdrojoch, takýto záväzok spolupracovať s orgánmi EÚ pre ochranu osobných údajov je povinný. Medzi ďalšie alternatívy patrí nezávislé alternatívne riešenie sporov alebo programy ochrany súkromia vytvorené súkromným sektorom, v prípade ktorých sú zásady začlenené do ich pravidiel. Programy ochrany súkromia musia zahŕňať účinné mechanizmy presadzovania v súlade s požiadavkami zásady nápravy, presadzovania a zodpovednosti.

(68)

Na základe rámca pre ochranu osobných údajov medzi EÚ a USA sa preto dotknutým osobám poskytuje niekoľko možností na uplatnenie svojich práv, podanie sťažnosti týkajúcej sa nedodržiavania zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA a dosiahnutie vyriešenia ich sťažnosti, a to v prípade potreby na základe rozhodnutia poskytujúceho účinný prostriedok nápravy. Fyzické osoby môžu sťažnosť predložiť priamo organizácii, nezávislému orgánu pre riešenie sporov určenému organizáciou, vnútroštátnym orgánom pre ochranu osobných údajov, ministerstvu obchodu alebo FTC. V prípadoch, keď sa ich sťažnosti nevybavia na základe žiadneho z týchto mechanizmov nápravy alebo presadzovania práva, majú fyzické osoby takisto právo využiť záväzné rozhodcovské konanie (príloha I k prílohe I k tomuto rozhodnutiu). Okrem rozhodcovského výboru, v prípade ktorého sa požaduje, aby sa pred jeho využitím už vyčerpali určité prostriedky nápravy, môžu fyzické osoby využiť ktorýkoľvek mechanizmus nápravy alebo všetky mechanizmy nápravy podľa vlastného výberu a nie sú povinné prednostne si zvoliť jeden mechanizmus ani dodržať osobitné poradie.

(69)

Po prvé dotknuté osoby z Únie môžu riešiť prípady nedodržiavania zásad prostredníctvom priamej komunikácie s organizáciami zapojenými do rámca pre ochranu osobných údajov medzi EÚ a USA (110). V záujme uľahčenia riešenia musí organizácia zaviesť účinný mechanizmus nápravy na riešenie týchto sťažností. Podmienky ochrany súkromia organizácie musia preto obsahovať jasnú informáciu o kontaktnom mieste vnútri alebo mimo organizácie, ktoré sa bude zaoberať sťažnosťami (vrátane prípadnej prevádzkarne v Únii, ktorá môže odpovedať na otázky alebo sťažnosti), ako aj o určenom nezávislom orgáne pre riešenie sporov (pozri odôvodnenie 70). Po prijatí sťažnosti fyzickej osoby, priamo od fyzickej osoby alebo prostredníctvom ministerstva obchodu na základe postúpenia orgánom pre ochranu osobných údajov, musí organizácia poskytnúť dotknutej osobe z Únie odpoveď v lehote 45 dní (111). Organizácie takisto musia pohotovo odpovedať na otázky a iné žiadosti o informácie od ministerstva obchodu alebo orgánu pre ochranu osobných údajov (112) (ak sa organizácia zaviazala spolupracovať s orgánmi pre ochranu osobných údajov), ktoré sa týkajú ich dodržiavania zásad.

(70)

Po druhé fyzické osoby môžu predložiť sťažnosť aj priamo nezávislému orgánu pre riešenie sporov (v USA alebo v Únii) určenému organizáciou, ktorý bude vyšetrovať a riešiť ich sťažnosti (pokiaľ nie sú zjavne neopodstatnené alebo nezmyselné) a bezplatne poskytovať fyzickým osobám vhodné prostriedky nápravy (113). Sankcie a prostriedky nápravy uložené takýmto orgánom musia byť dostatočne prísne, aby sa zabezpečilo, že organizácie budú dodržiavať zásady, a mali by poskytovať spôsob, akým organizácia odstráni alebo napraví účinky nedodržania zásad, a v závislosti od okolností aj možnosť ukončenia ďalšieho spracovania príslušných osobných údajov a/alebo ich vymazania, ako aj povinnosť zverejniť zistenia o nedodržaní zásad (114). Nezávislé orgány pre riešenie sporov určené organizáciou sú povinné uvádzať na svojom verejnom webovom sídle príslušné informácie o rámci pre ochranu osobných údajov medzi EÚ a USA a o službách, ktoré na jeho základe poskytujú (115). Každý rok musia zverejniť výročnú správu so súhrnnými štatistickými údajmi o týchto službách (116).

(71)

Ministerstvo obchodu môže v rámci svojich postupov preskúmania dodržiavania zásad overiť, či sa organizácie zapojené do rámca pre ochranu osobných údajov medzi EÚ a USA skutočne zaregistrovali v nezávislých mechanizmoch nápravy, o ktorých to tvrdia (117). Organizácie aj zodpovedné nezávislé mechanizmy nápravy sú povinné rýchlo reagovať na otázky a žiadosti ministerstva obchodu o informácie týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA. Ministerstvo obchodu bude spolupracovať s nezávislými mechanizmami nápravy s cieľom overiť, či na svojom webovom sídle uvádzajú informácie o zásadách a službách, ktoré poskytujú na základe rámca pre ochranu osobných údajov medzi EÚ a USA, a či zverejňujú výročné správy (118).

(72)

Ak organizácia nesplní rozhodnutie orgánu pre riešenie sporov alebo samoregulačného orgánu, tento orgán musí túto skutočnosť oznámiť ministerstvu obchodu a FTC (alebo inému orgánu USA s právomocou vyšetrovať nedodržiavanie zásad organizáciou), prípadne príslušnému súdu (119). Ak organizácia odmietne vyhovieť konečnému rozhodnutiu akéhokoľvek samoregulačného orgánu, ktorý sa zaoberá ochranou súkromia, nezávislého orgánu pre riešenie sporov alebo štátneho orgánu, alebo ak tento orgán rozhodne, že organizácia často nedodržiava zásady, môže sa to považovať za pretrvávajúce nedodržiavanie zásad, pričom výsledkom bude, že ministerstvo obchodu po tom, ako organizácii, ktorá nedodržala zásady, najprv 30 dní vopred poskytne oznámenie a príležitosť na odpoveď, vyškrtne túto organizáciu zo zoznamu zapojených organizácií (120). Ak organizácia po tom, ako bola vyradená zo zoznamu, naďalej uvádza, že disponuje osvedčením podľa rámca pre ochranu osobných údajov medzi EÚ a USA, ministerstvo obchodu vec postúpi FTC alebo inému orgánu presadzovania práva (121).

(73)

Po tretie môžu fyzické osoby svoje sťažnosti podať aj vnútroštátnemu orgánu pre ochranu osobných údajov v Únii, ktorý môže využiť svoju vyšetrovaciu právomoc a právomoc prijímať nápravné opatrenia podľa nariadenia (EÚ) 2016/679. Organizácie majú povinnosť spolupracovať pri vyšetrovaní a riešení sťažnosti zo strany orgánu pre ochranu osobných údajov, buď ak sa týka spracúvania údajov o ľudských zdrojoch získaných v rámci pracovnoprávneho vzťahu, alebo ak sa príslušné organizácie dobrovoľne podrobili dohľadu orgánov pre ochranu osobných údajov (122). Organizácie predovšetkým musia odpovedať na otázky, dodržiavať odporúčania orgánu pre ochranu osobných údajov, a to aj v súvislosti s opravnými alebo kompenzačnými opatreniami, a predložiť orgánu pre ochranu osobných údajov písomné potvrdenie, že takéto opatrenia boli prijaté (123). V prípade nedodržania odporúčania, ktoré poskytol orgán pre ochranu osobných údajov, orgán pre ochranu osobných údajov postúpi takéto prípady ministerstvu obchodu (ktoré môže odstrániť organizácie zo zoznamu zapojených organizácií) alebo, pokiaľ ide o možné opatrenia na presadzovanie práva, FTC alebo ministerstvu dopravy (v prípade nespolupráce s orgánmi pre ochranu osobných údajov alebo nedodržania zásad možno podľa práva USA využiť právne prostriedky nápravy) (124).

(74)

S cieľom uľahčiť spoluprácu pri účinnom vybavovaní sťažností ministerstvo obchodu aj FTC zriadili osobitné kontaktné miesto, ktoré je zodpovedné za priamu komunikáciu s orgánmi pre ochranu osobných údajov (125). Tieto kontaktné miesta pomáhajú s otázkami orgánov pre ochranu osobných údajov týkajúcimi sa dodržiavania zásad organizáciou.

(75)

Odporúčania orgánov pre ochranu osobných údajov (126) sa vydajú po tom, ako obe strany sporu dostanú primeranú možnosť vyjadriť sa a poskytnúť akékoľvek dôkazy podľa svojho želania. Výbor môže poskytnúť odporúčanie tak rýchlo, ako to umožní požiadavka na náležitý proces, a spravidla do 60 dní od prijatia sťažnosti (127). Ak určitá organizácia do 25 dní odo dňa doručenia odporúčaní nekoná v súlade s nimi a neposkytne žiadne uspokojujúce vysvetlenie omeškania, výbor môže oznámiť svoj zámer buď predložiť záležitosť FTC (alebo inému orgánu presadzovania práva USA), alebo dospieť k záveru, že záväzok spolupracovať bol závažným spôsobom porušený. V prvom prípade to môže viesť k začatiu konania vo veci presadzovania podľa oddielu 5 zákona o FTC (alebo podľa podobného zákona) (128). V druhom prípade výbor informuje ministerstvo obchodu, ktoré posúdi odmietnutie organizácie dodržať odporúčanie výboru orgánov pre ochranu osobných údajov ako pretrvávajúce nedodržiavanie zásad, čo bude mať za následok vyradenie organizácie zo zoznamu zapojených organizácií.

(76)

Ak orgán pre ochranu osobných údajov, ktorému bola sťažnosť predložená, prijal nedostatočné alebo neprijal žiadne opatrenia na riešenie sťažnosti, má každý sťažovateľ možnosť napadnúť toto konanie (nekonanie) na vnútroštátnych súdoch príslušného členského štátu EÚ.

(77)

Fyzické osoby môžu predložiť sťažnosti orgánom pre ochranu osobných údajov dokonca aj v prípade, keď výbor orgánov pre ochranu osobných údajov nebol určený ako orgán pre riešenie sporov danej organizácie. Orgán pre ochranu osobných údajov môže v týchto prípadoch postúpiť takéto sťažnosti buď ministerstvu obchodu, alebo FTC. V záujme uľahčenia a posilnenia spolupráce v otázkach týkajúcich sa sťažností fyzických osôb a nedodržiavania zásad zo strany organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA zriadi ministerstvo obchodu vyhradené kontaktné miesto, ktoré bude plniť úlohu sprostredkovateľa a pomáhať s otázkami orgánov pre ochranu osobných údajov týkajúcimi sa dodržiavania zásad organizáciou (129). FTC sa takisto zaviazala zriadiť osobitné kontaktné miesto (130).

(78)

Po štvrté ministerstvo obchodu sa zaviazalo prijímať a preskúmavať sťažnosti týkajúce sa nedodržiavania zásad organizáciou a vyvinúť maximálne úsilie o ich vybavenie (131). Na tieto účely ministerstvo obchodu stanovilo pre orgány pre ochranu osobných údajov osobitné postupy na postupovanie sťažností vyhradenému kontaktnému miestu, ich sledovanie a následnú komunikáciu s organizáciami s cieľom uľahčiť ich vybavovanie (132). V záujme urýchlenia spracovania sťažností fyzických osôb kontaktné miesto v otázkach dodržiavania zásad komunikuje priamo s príslušným orgánom pre ochranu osobných údajov, a predovšetkým mu poskytuje aktuálne informácie o stave sťažnosti v lehote najviac 90 dní od jej postúpenia (133). To dotknutým osobám umožňuje podávať sťažnosti týkajúce sa nedodržiavania zásad zo strany spoločností zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA priamo svojmu vnútroštátnemu orgánu pre ochranu osobných údajov, ktorý ich postúpi ministerstvu obchodu ako orgánu, ktorý má v USA na starosti správu rámca pre ochranu osobných údajov medzi EÚ a USA.

(79)

Ak ministerstvo obchodu na základe svojich overení ex officio, na základe sťažností alebo akýchkoľvek iných informácií dospeje k záveru, že organizácia trvale nedodržiava zásady, môže takú organizáciu vyradiť zo zoznamu zapojených organizácií (134). Odmietnutie vyhovieť konečnému rozhodnutiu akéhokoľvek samoregulačného orgánu, ktorý sa zaoberá ochranou súkromia, nezávislého orgánu na riešenie sporov alebo štátneho orgánu vrátane orgánu pre ochranu osobných údajov sa bude považovať za trvalé nedodržiavanie zásad (135).

(80)

Po piate organizácia zapojená do rámca pre ochranu osobných údajov medzi EÚ a USA musí podliehať právomoci orgánov USA, konkrétne FTC (136), ktoré majú potrebné vyšetrovacie právomoci a právomoci v oblasti presadzovania práva na účinné zabezpečenie dodržiavania zásad. FTC sa pri stanovovaní, či bol porušený oddiel 5 zákona o FTC, prioritne zaoberá prípadmi nedodržania zásad postúpenými nezávislými orgánmi pre riešenie sporov alebo samoregulačnými orgánmi, ministerstvom obchodu a orgánmi pre ochranu osobných údajov (ktoré konajú z vlastného podnetu alebo na základe sťažností) (137). FTC sa zaviazala vytvoriť štandardizovaný proces postupovania, určiť kontaktné miesto v rámci svojej štruktúry na prijímanie prípadov postúpených orgánmi pre ochranu osobných údajov a vymieňať si informácie o postúpených prípadoch. Okrem toho môže prijímať sťažnosti priamo od fyzických osôb a vykonávať vyšetrovania týkajúce sa rámca pre ochranu osobných údajov medzi EÚ a USA z vlastného podnetu, najmä ako súčasť rozsiahlejších vyšetrovaní otázok ochrany súkromia.

(81)

Po šieste v prípade, že sa sťažnosť fyzickej osoby uspokojivo nevyriešila žiadnymi inými dostupnými možnosťami dosiahnutia nápravy, môže sa dotknutá osoba z Únie dovolávať záväzného rozhodcovského konania pred „výborom pre rámec pre ochranu osobných údajov medzi EÚ a USA“ ako mechanizmom nápravy „poslednej inštancie“ (138). Organizácie musia fyzické osoby informovať o možnosti využiť záväzné rozhodcovské konanie a sú povinné odpovedať po tom, ako osoba využila túto možnosť doručením oznámenia dotknutej organizácii (139).

(82)

Tento výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA tvorí skupina najmenej desiatich rozhodcov, ktorých určí ministerstvo obchodu a Komisia na základe ich nezávislosti, bezúhonnosti, ako aj skúseností s právnymi predpismi USA a Únie v oblasti ochrany údajov. V každom jednotlivom spore účastníci vyberú z tejto skupiny výbor zložený z jedného alebo troch (140) rozhodcov.

(83)

Ministerstvo obchodu vybralo na plnenie funkcie správy rozhodcovských konaní Medzinárodné centrum pre riešenie sporov (ICDR), ktoré je útvarom Amerického arbitrážneho združenia (AAA) pre medzinárodné záležitosti. Konania pred výborom pre rámec pre ochranu osobných údajov medzi EÚ a USA sa budú riadiť súborom dohodnutých pravidiel rozhodcovského konania a kódexom správania pre vymenovaných rozhodcov. Na webovom sídle ICDR-AAA sa poskytujú jasné a stručné informácie pre fyzické osoby o rozhodcovskom mechanizme a postupe podania návrhu na rozhodcovské konanie.

(84)

Pravidlami rozhodcovského konania dohodnutými medzi ministerstvom obchodu a Komisiou sa dopĺňa rámec pre ochranu osobných údajov medzi EÚ a USA, ktorý obsahuje niekoľko prvkov, ktorými sa posilňuje prístupnosť tohto mechanizmu pre dotknuté osoby z Únie: i) pri príprave sťažnosti výboru môže dotknutej osobe pomôcť príslušný vnútroštátny orgán pre ochranu osobných údajov; ii) keďže rozhodcovské konanie sa bude konať v USA, dotknuté osoby z Únie sa môžu rozhodnúť zúčastniť sa prostredníctvom videokonferencie alebo telefonickej konferencie, a to bez toho, aby im tým vznikli nejaké náklady; iii) keďže jazykom, ktorý sa bude používať v rozhodcovskom konaní, bude spravidla angličtina, tlmočenie a preklad v rámci rozhodcovského konania sa dotknutej osobe poskytnú v zásade na základe odôvodnenej žiadosti a bezplatne, iv) a napokon, hoci každý účastník si náklady na právneho zástupcu hradí sám, ak je zastúpený pred výborom právnym zástupcom, ministerstvo obchodu bude udržiavať fond s ročnými príspevkami od organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA, z ktorého sa budú hradiť trovy rozhodcovského konania až do maximálnej sumy, ktorú stanovia orgány USA po konzultácii s Komisiou (141).

(85)

Výbor pre rámec pre ochranu osobných údajov medzi EÚ a USA má právomoc uložiť nepeňažnú spravodlivú náhradu pre konkrétnu osobu (142) potrebnú na nápravu nedodržania zásad. Hoci výbor pri rozhodovaní zohľadní aj iné prostriedky nápravy, ktoré už boli dosiahnuté prostredníctvom iných mechanizmov v rámci pre ochranu osobných údajov medzi EÚ a USA, fyzické osoby môžu vždy využiť rozhodcovské konanie, ak sa domnievajú, že tieto iné prostriedky nápravy sú nedostatočné. Dotknutým osobám z Únie to umožňuje využiť rozhodcovské konanie vo všetkých prípadoch, keď sa v dôsledku konania alebo nekonania organizácií zapojených do rámca pre ochranu osobných údajov medzi EÚ a USA, nezávislých mechanizmov nápravy alebo príslušných orgánov USA (napríklad FTC) ich sťažnosti uspokojivo nevyriešia. Rozhodcovského konania sa nemožno dovolávať, ak má orgán pre ochranu osobných údajov podľa právnych predpisov právomoc riešiť danú sťažnosť týkajúcu sa organizácie zapojenej do rámca pre ochranu osobných údajov medzi EÚ a USA, najmä v tých prípadoch, kde je organizácia buď povinná spolupracovať a dodržiavať odporúčania orgánov pre ochranu osobných údajov, pokiaľ ide o spracovanie údajov o ľudských zdrojoch v súvislosti s pracovným pomerom, alebo sa k tomu dobrovoľne zaviazala. Fyzické osoby môžu vymáhať rozhodcovské rozhodnutia na súdoch USA podľa federálneho zákona o rozhodcovskom konaní, čím sa zabezpečuje právny prostriedok nápravy v prípade, že organizácia rozhodcovské rozhodnutie nevykoná.

(86)

Po siedme, ak si organizácia neplní záväzok dodržiavať zásady a zverejnené podmienky ochrany súkromia, podľa amerických právnych predpisov sú k dispozícii ďalšie možnosti dosiahnutia súdnej nápravy vrátane možnosti získať náhradu škody. Fyzické osoby môžu napríklad za určitých podmienok dosiahnuť súdnu nápravu (vrátane náhrady škody) podľa právnych predpisov na ochranu spotrebiteľa jednotlivých štátov v prípadoch podvodného nepravdivého vyhlásenia, nekalého alebo klamlivého konania alebo takýchto praktík (143) a podľa práva občianskoprávnych deliktov (najmä v prípade občianskoprávnych deliktov porušenia súkromia (144), privlastnenia si mena alebo podoby (145) a zverejnenia skutočností súkromného života (146)).

(87)

Jednotlivými možnosťami dosiahnutia nápravy uvedenými vyššie sa spoločne zabezpečuje, aby sa o každej sťažnosti týkajúcej sa nesúladu s rámcom pre ochranu osobných údajov medzi EÚ a USA zo strany organizácií, ktoré osvedčili svoje dodržiavanie zásad, riadne rozhodlo a aby sa dosiahla náprava.

(88)

Komisia takisto posúdila obmedzenia a záruky vrátane mechanizmov dohľadu a individuálnych prostriedkov nápravy, ktoré sú v americkom práve k dispozícii vo vzťahu k získavaniu a následnému používaniu osobných údajov prenášaných prevádzkovateľmi a sprostredkovateľmi v USA, ktoré vo verejnom záujme uskutočňujú americké orgány verejnej moci, a to najmä na účely presadzovania práva v trestných veciach a na účely národnej bezpečnosti (ďalej len „prístup vlády“) (147). Komisia pri posudzovaní toho, či podmienky, na základe ktorých sa vláde poskytuje prístup k údajom prenášaným do Spojených štátov podľa tohto rozhodnutia, spĺňajú kritérium „zásadnej rovnocennosti“ v súlade s článkom 45 ods. 1 nariadenia (EÚ) 2016/679, ako ho vykladá Súdny dvor so zreteľom na Chartu základných práv, zohľadnila viaceré kritériá.

(89)

Konkrétne akékoľvek obmedzenie práva na ochranu osobných údajov musí byť stanovené zákonom a v samotnom právnom základe, ktorý povoľuje zasahovanie do takéhoto práva, sa musí vymedziť, v akom rozsahu možno uplatňovanie príslušného práva obmedziť (148). Okrem toho v záujme splnenia požiadavky proporcionality, podľa ktorej sa v demokratickej spoločnosti musia výnimky z ochrany osobných údajov a obmedzenia ochrany osobných údajov uplatňovať len do prísne nevyhnutnej miery, aby boli splnené konkrétne ciele všeobecného záujmu, ktoré sú rovnocenné s cieľmi uznávanými Úniou, sa v tomto právnom základe musia stanovovať jasné a presné pravidlá upravujúce rozsah a uplatňovanie takýchto opatrení a zavádzať minimálne záruky, aby osoby, ktorých údaje boli prenesené, mali dostatočné záruky umožňujúce účinne chrániť ich osobné údaje pred rizikom zneužitia (149). Tieto pravidlá a záruky musia byť navyše právne záväzné a vymáhateľné fyzickými osobami (150). Dotknuté osoby musia mať najmä možnosť uplatniť právne prostriedky nápravy pred nezávislým a nestranným súdom, aby mali prístup k svojim osobným údajom, alebo dosiahnuť opravu alebo vymazanie takýchto údajov (151).

(90)

Pokiaľ ide o zasahovanie do osobných údajov prenášaných na základe rámca pre ochranu osobných údajov medzi EÚ a USA na účely presadzovania práva v trestných veciach, v práve Spojených štátov sa ukladá viacero obmedzení prístupu k osobným údajom a ich používania a poskytujú sa mechanizmy dohľadu a nápravy, ktoré sú v súlade s požiadavkami uvedenými v odôvodnení 89 tohto rozhodnutia. Podmienky, za ktorých sa takýto prístup môže uskutočniť, a záruky, ktoré sa vzťahujú na uplatnenie týchto právomocí, sa podrobne posudzujú v nasledujúcich oddieloch. V tejto súvislosti vláda USA (prostredníctvom ministerstva spravodlivosti) poskytla aj uistenie týkajúce sa uplatniteľných obmedzení a záruk (príloha VI k tomuto rozhodnutiu).

(91)

K osobným údajom spracúvaným organizáciami v USA, ktoré osvedčili svoje dodržiavanie zásad, prenášaným z Únie na základe rámca pre ochranu osobných údajov medzi EÚ a USA môžu získať prístup americkí federálni prokurátori a federálni vyšetrovací agenti na účely presadzovania práva v trestných veciach v rámci rôznych postupov, ako sa podrobnejšie vysvetľuje v odôvodneniach 92 – 99. Tieto postupy sa uplatňujú rovnakým spôsobom, ako keď sa informácie získavajú od ktorejkoľvek organizácie v USA, bez ohľadu na štátnu príslušnosť alebo miesto bydliska dotknutých osôb (152).

(92)

Po prvé sudca môže na žiadosť federálneho úradníka pre presadzovanie práva alebo právneho zástupcu vlády vydať príkaz na domovú prehliadku alebo na zaistenie (vrátane elektronicky uložených informácií) (153). Takýto príkaz možno vydať len v prípade existencie „dôvodnosti“ (probable cause) (154), teda dôvodného zistenia, že na mieste označenom v súdnom príkaze sa pravdepodobne nachádzajú „predmety podliehajúce zaisteniu“ (dôkazy o trestnom čine, nezákonne držané predmety alebo majetok, ktorý je určený na použitie alebo bol použitý na spáchanie trestného činu). V príkaze musí byť identifikovaný majetok alebo predmet, ktorý sa má zaistiť, a určený sudca, ktorému sa má príkaz vrátiť. Osoba, ktorá sa podrobuje domovej prehliadke alebo ktorej majetok je predmetom prehliadky, môže podať návrh na zákaz použitia dôkazov získaných alebo vyvodených z nezákonnej prehliadky, ak sa tieto dôkazy predložia proti danej osobe počas trestného konania (155). Ak sa od držiteľa údajov (napr. spoločnosti) vyžaduje, aby sprístupnil údaje na základe príkazu, môže predovšetkým napadnúť požiadavku na sprístupnenie ako neprimerane zaťažujúcu (156).

(93)

Po druhé veľká porota (vyšetrovacia zložka súdu zostavená sudcom alebo magistrátnym sudcom) môže vydať výzvu v súvislosti s vyšetrovaním určitých závažných trestných činov (157), a to zvyčajne na žiadosť federálneho prokurátora, s cieľom požadovať od niekoho, aby predložil alebo sprístupnil obchodné záznamy, elektronicky uložené informácie alebo iné hmotné predmety. Okrem toho sa v rôznych zákonoch povoľuje používanie administratívnych výziev na predloženie alebo sprístupnenie obchodných záznamov, elektronicky uložených informácií alebo iných hmotných predmetov súvisiacich s vyšetrovaním podvodov v zdravotníctve, zneužívania detí, ochrany tajnej služby, prípadov kontrolovaných látok a s vyšetrovaním generálneho inšpektora (158). V oboch prípadoch musia byť informácie relevantné pre dané vyšetrovanie a výzva nesmie byť neopodstatnená, t. j. nekonkrétna, obmedzujúca alebo neprimerane zaťažujúca (čo sú dôvody, na základe ktorých môže príjemca výzvy predmetnú výzvu napadnúť) (159).

(94)

Veľmi podobné podmienky sa vzťahujú na administratívne výzvy vydané s cieľom získať prístup k údajom v držbe spoločností v USA na civilné alebo regulačné účely (z hľadiska verejného záujmu). Právomoc agentúr s civilnou a regulačnou zodpovednosťou vydávať takéto administratívne výzvy musí byť stanovená v zákone. Použitie administratívnej výzvy podlieha „kritériu primeranosti“, čo si vyžaduje, aby sa vyšetrovanie vykonávalo na legitímny účel, aby informácie požadované na základe výzvy boli na tento účel relevantné, aby agentúra ešte nemala k dispozícii informácie, ktoré požaduje na základe výzvy, a aby sa vykonali potrebné administratívne kroky na vydanie výzvy (160). V judikatúre najvyššieho súdu sa takisto objasnila potreba vyvážiť význam verejného záujmu v súvislosti s požadovanými informáciami s významom osobných a organizačných záujmov v oblasti súkromia (161). Hoci použitie administratívnej výzvy nepodlieha predchádzajúcemu súdnemu schváleniu, podlieha súdnemu preskúmaniu v prípade námietky príjemcu z uvádzaných dôvodov alebo ak sa vydávajúca agentúra snaží o presadenie výzvy na súde (162). Okrem týchto všeobecných hlavných obmedzení môžu z jednotlivých zákonov vyplývať osobitné (prísnejšie) požiadavky (163).

(95)

Po tretie viaceré právne základy umožňujú orgánom činným v trestnom konaní získať prístup k údajom o komunikácii. Súd môže vydať príkaz, ktorým sa povoľuje získavanie informácií v reálnom čase o vytáčaní, smerovaní, adresovaní a signalizovaní, bez obsahu samotnej komunikácie, týkajúcich sa určitého telefónneho čísla alebo e-mailovej adresy (prostredníctvom záznamníkov zdrojov a cieľov elektronickej komunikácie), ak dospeje k záveru, že daný orgán potvrdil, že informácie, ktoré sa pravdepodobne získajú, sú relevantné pre prebiehajúce vyšetrovanie trestného činu (164). V príkaze sa musí okrem iného uviesť totožnosť podozrivej osoby, ak je známa, atribúty komunikácie, na ktorú sa príkaz vzťahuje, a vyhlásenie o trestnom čine, ktorého sa takto získavané informácie týkajú. Používanie záznamníkov zdrojov a cieľov elektronickej komunikácie môže byť povolené najviac na obdobie šesťdesiatich dní, ktoré možno predĺžiť len novým súdnym príkazom.

(96)

Okrem toho na účely presadzovania práva v trestných veciach možno na základe zákona o uloženej komunikácii (Stored Communications Act) (165) získať prístup k informáciám o účastníkoch, prevádzkovým údajom a uloženému obsahu komunikácie v držbe poskytovateľov internetových služieb, telefónnych spoločností a iných poskytovateľov služieb, ktorí sú tretími stranami. Na získanie uloženého obsahu elektronickej komunikácie musia orgány činné v trestnom konaní v zásade získať od sudcu príkaz na základe dôvodnosti domnienky, že predmetné konto obsahuje dôkaz o trestnom čine (166). Na získanie registračných údajov účastníkov, IP adries a príslušných časových pečiatok, ako aj fakturačných údajov, môžu orgány činné v trestnom konaní využiť výzvu. Na získanie väčšiny iných uložených informácií bez obsahu samotnej komunikácie, ako sú napríklad hlavičky e-mailov bez predmetu, musí orgán činný v trestnom konaní získať súdny príkaz, ktorý sudca vydá, ak je presvedčený o tom, že existujú opodstatnené dôvody domnievať sa, že požadované informácie sú relevantné a podstatné pre prebiehajúce vyšetrovanie trestného činu.

(97)

Poskytovatelia, ktorí dostanú žiadosť podľa zákona o uloženej komunikácii, to môžu na dobrovoľnom základe oznámiť zákazníkovi alebo účastníkovi, ktorého informácie sa požadujú, s výnimkou prípadov, keď príslušný orgán činný v trestnom konaní získa ochranný príkaz, v ktorom sa takéto oznámenie zakazuje (167). Ochranný príkaz je súdny príkaz, ktorým sa poskytovateľovi elektronických komunikačných služieb alebo diaľkových počítačových služieb, ktorému sú príkaz, výzva alebo súdny príkaz určené, ukladá povinnosť neoznámiť existenciu daného príkazu, výzvy alebo súdneho príkazu žiadnej inej osobe, pokiaľ to súd považuje za vhodné. Ochranný príkaz sa vydá vtedy, keď súd dospeje k záveru, že existuje dôvod domnievať sa, že oznámenie by vážne ohrozilo vyšetrovanie alebo neprimerane oneskorilo súdne konanie, napr. preto, že by viedlo k ohrozeniu života alebo fyzickej bezpečnosti osoby, k úteku pred trestným stíhaním, k zastrašovaniu potenciálnych svedkov atď. V memorande zástupcu generálneho prokurátora (ktoré je záväzné pre všetkých prokurátorov a zástupcov ministerstva spravodlivosti) sa vyžaduje, aby prokurátori podrobne určili potrebu ochranného príkazu a poskytli súdu odôvodnenie toho, ako sú v konkrétnom prípade splnené zákonné kritériá na získanie ochranného príkazu (168). V memorande sa ďalej vyžaduje, aby sa v návrhoch na ochranný príkaz vo všeobecnosti nestanovovalo dodatočné oznámenie s odstupom dlhším ako jeden rok. Ak by za výnimočných okolností bol potrebný príkaz s dlhším trvaním, žiadosť o vydanie takéhoto príkazu podlieha písomnému súhlasu dozorného úradníka určeného generálnym prokurátorom USA alebo príslušným námestníkom generálneho prokurátora. Okrem toho musí prokurátor pri ukončení vyšetrovania okamžite posúdiť, či existuje dôvod na zachovanie prípadných naďalej platných ochranných príkazov, a ak nie, zrušiť ochranný príkaz a zabezpečiť, aby bol poskytovateľ služieb o tom upovedomený (169).

(98)

Orgány činné v trestnom konaní môžu takisto odpočúvať prebiehajúcu telefonickú, ústnu alebo elektronickú komunikáciu na základe súdneho príkazu, v ktorom sudca dospel okrem iného k záveru, že je dôvodné domnievať sa, že odpočúvanie alebo elektronické zachytenie poskytne dôkaz o federálnom zločine alebo o pobyte utečenca unikajúceho pred stíhaním (170).

(99)

Ďalšiu ochranu poskytujú rôzne politiky a usmernenia ministerstva spravodlivosti vrátane usmernení generálneho prokurátora k domácim operáciám FBI (Attorney General Guidelines for Domestic FBI Operations – AGG-DOM), v ktorých sa okrem iného vyžaduje, aby Federálny úrad pre vyšetrovanie (FBI) používal dostupné vyšetrovacie metódy, ktoré menej zasahujú do súkromia, so zohľadnením ich účinku na súkromie a občianske slobody (171).

(100)

Podľa vyhlásení vlády USA sa na vyšetrovania v rámci presadzovania práva na úrovni jednotlivých štátov vzťahuje už uvedená rovnaká alebo vyššia ochrana (pokiaľ ide o vyšetrovania vykonávané podľa právnych predpisov jednotlivých štátov) (172). Najmä ústavné ustanovenia, ako aj zákony a judikatúra na štátnej úrovni opätovne potvrdzujú uvedenú ochranu pred neprimeranými prehliadkami a zaisteniami tým, že vyžadujú vydanie príkazu na domovú prehliadku (173). Príkazy na domovú prehliadku sa môžu podobne ako záruky na federálnej úrovni vydávať len na základe preukázania dôvodnosti a musia obsahovať opis miesta, ktoré sa má prehľadať, a osoby alebo veci, ktoré sa majú zaistiť (174).

(101)

V súvislosti s ďalším používaním údajov získaných federálnymi orgánmi činnými v trestnom konaní sa v rôznych zákonoch, usmerneniach a normách ukladajú osobitné záruky. S výnimkou osobitných nástrojov, ktoré sa vzťahujú na činnosti FBI (AGG-DOM a usmernenia FBI k domácim vyšetrovaniam a operáciám), sa požiadavky opísané v tomto oddiele vo všeobecnosti vzťahujú na ďalšie používanie údajov akýmkoľvek federálnym orgánom vrátane údajov, ku ktorým sa získava prístup na civilné alebo regulačné účely. Patria sem požiadavky vyplývajúce z memoránd/nariadení Úradu pre riadenie a rozpočet, federálneho zákona o modernizácii v oblasti riadenia informačnej bezpečnosti, zo zákona o elektronickej verejnej správe a zákona o záznamoch federálnych agentúr.

(102)

V súlade s právomocou uloženou v Clingerovom-Cohenovom zákone (Clinger-Cohen Act, Pub. L. 104-106, oddiel E) a zákone z roku 1987 o počítačovej bezpečnosti (Computer Security Act, Pub. L. 100-235) vydal Úrad pre riadenie a rozpočet (OMB) obežník č. A-130 stanovujúci všeobecne záväzné usmernenia, ktoré sa vzťahujú na všetky federálne agentúry (vrátane orgánov presadzovania práva) v situáciách, keď nakladajú s informáciami o totožnosti (175). V obežníku sa predovšetkým vyžaduje, aby všetky federálne agentúry „obmedzili vytváranie, získavanie, používanie, spracúvanie, ukladanie, uchovávanie, poskytovanie a sprístupňovanie informácií o totožnosti na to, čo je zákonne povolené, relevantné a odôvodnene považované za potrebné na riadny výkon funkcií oprávnenej agentúry“ (176). Okrem toho, pokiaľ je to prakticky uskutočniteľné, federálne agentúry musia zabezpečiť, aby boli informácie o totožnosti presné, relevantné, aktuálne a úplné a aby boli obmedzené na minimum potrebné na riadny výkon funkcií agentúry. Vo všeobecnosti musia federálne agentúry zaviesť komplexný program ochrany súkromia s cieľom zabezpečiť súlad s platnými požiadavkami na ochranu súkromia, vypracovať a vyhodnotiť podmienky ochrany súkromia a riadiť riziká v oblasti ochrany súkromia, zachovávať postupy na odhaľovanie, dokumentovanie a nahlasovanie incidentov týkajúcich sa dodržiavania ochrany súkromia, vypracovať programy na zvyšovanie informovanosti o ochrane súkromia a programy odbornej prípravy pre zamestnancov a dodávateľov a zaviesť politiky a postupy na zabezpečenie toho, aby zamestnanci niesli zodpovednosť za dodržiavanie požiadaviek a podmienok ochrany súkromia (177).

(103)

Okrem toho sa v zákone o elektronickej verejnej správe (E-Government Act) (178) vyžaduje, aby všetky federálne agentúry (vrátane orgánov činných v trestnom konaní) zaviedli ochranu bezpečnosti informácií úmernú riziku a rozsahu ujmy, ktorá by vznikla v dôsledku neoprávneného prístupu, používania, sprístupnenia, narušenia, zmeny alebo zničenia, aby mali hlavného úradníka pre informácie na zaistenie súladu s požiadavkami na bezpečnosť informácií a aby svoj program a postupy v oblasti informačnej bezpečnosti každoročne podrobili nezávislému hodnoteniu (napr. hodnotenie generálnym inšpektorom, pozri odôvodnenie 109) (179). Podobne sa v zákone o záznamoch federálnych agentúr (Federal Records Act – FRA) (180) a doplňujúcich právnych predpisoch (181) vyžaduje, aby informácie, ktorými disponujú federálne agentúry, podliehali zárukám zabezpečujúcim fyzickú integritu informácií a ich ochranu pred neoprávneným prístupom.

(104)

Podľa federálnych právnych predpisov vrátane federálneho zákona z roku 2014 o modernizácii v oblasti informačnej bezpečnosti (Federal Information Security Modernisation Act) vypracoval úrad OMB a Národný normalizačný a technologický inštitút (NIST) normy, ktoré sú záväzné pre federálne agentúry (vrátane orgánov činných v trestnom konaní) a v ktorých sa ďalej špecifikujú minimálne požiadavky na bezpečnosť informácií, ktoré sa musia zaviesť, vrátane kontrol prístupu, zabezpečenia informovanosti a odbornej prípravy, plánovania pre prípad nepredvídaných udalostí, reakcie na incidenty, nástrojov auditu a zodpovednosti, zabezpečenia integrity systémov a informácií, vykonávania posúdení rizík v oblasti ochrany súkromia a bezpečnosti atď. (182) Okrem toho v súlade s usmerneniami úradu OMB musia všetky federálne agentúry (vrátane orgánov činných v trestnom konaní) zachovávať a vykonávať plán riešenia prípadov porušenia ochrany údajov, a to aj pokiaľ ide o reakciu na takéto porušenia a posudzovanie rizík ujmy (183).

(105)

Pokiaľ ide o uchovávanie údajov, v zákone o záznamoch federálnych agentúr (184) sa od federálnych agentúr USA (vrátane orgánov činných v trestnom konaní) vyžaduje, aby stanovili obdobia uchovávania svojich záznamov (po ktorých uplynutí sa predmetné záznamy musia odstrániť), ktoré musí schváliť Národná správa archívov a záznamov (185). Dĺžka týchto období uchovávania sa určuje na základe rôznych faktorov ako druh vyšetrovania, či sú dôkazy pre vyšetrovanie naďalej relevantné atď. Pokiaľ ide o FBI, v usmerneniach AGG-DOM sa stanovuje, že FBI musí mať zavedený takýto plán uchovávania záznamov a viesť systém, v ktorom možno rýchlo získať informácie o stave vyšetrovania a jeho základe.

(106)

Napokon obežník úradu OMB č. A-130 obsahuje aj určité požiadavky týkajúce sa poskytovania informácií o totožnosti. Šírenie a sprístupňovanie osobne identifikovateľných informácií sa v zásade musí obmedziť na to, čo je zákonne povolené, relevantné a považované za primerane nevyhnutné na riadny výkon funkcií agentúry (186). Federálne agentúry USA musia pri výmene informácií o totožnosti s inými subjektmi verejnej správy podľa potreby stanoviť podmienky (vrátane vykonávania osobitných kontrol bezpečnosti a ochrany súkromia), ktorými sa riadi spracúvanie informácií, a to prostredníctvom písomných dohôd (vrátane zmlúv, dohôd o používaní údajov, dohôd o výmene informácií a memoránd o porozumení) (187). Pokiaľ ide o dôvody, na základe ktorých možno informácie šíriť, v usmerneniach AGG-DOM a v usmerneniach FBI k domácim vyšetrovaniam a operáciám (188) sa napríklad stanovuje, že FBI môže mať právnu povinnosť tak konať (napr. podľa medzinárodnej dohody) alebo je oprávnený informácie šíriť za určitých okolností, napríklad iným agentúram USA, ak je poskytnutie zlučiteľné s účelom, na ktorý sa informácie získali, a súvisí s ich úlohami; kongresovým výborom; zahraničným agentúram, ak sa informácie týkajú ich povinností a šírenie je v súlade so záujmami Spojených štátov; šírenie je potrebné najmä na ochranu a bezpečnosť osôb alebo majetku alebo na ochranu pred trestným činom alebo ohrozením v oblasti národnej bezpečnosti alebo na predchádzanie trestnej činnosti alebo ohrozeniu v oblasti národnej bezpečnosti a sprístupnenie je zlučiteľné s účelom, na ktorý sa informácie získali (189).

(107)

Konanie federálnych orgánov činných v trestnom konaní podlieha dohľadu rôznych orgánov (190). Ako sa vysvetľuje v odôvodneniach 92 – 99, vo väčšine prípadov to zahŕňa predchádzajúci dohľad zo strany súdnictva, ktoré musí povoliť individuálne opatrenia na získavanie údajov pred ich použitím. Okrem toho iné orgány dohliadajú na rôzne fázy činnosti orgánov presadzovania práva v trestných veciach vrátane získavania a spracúvania osobných údajov. Tieto justičné a iné ako justičné orgány spoločne zabezpečujú, aby orgány presadzovania práva podliehali nezávislému dohľadu.

(108)

Po prvé v rámci rôznych ministerstiev poverených zodpovednosťou v oblasti presadzovania práva v trestných veciach pôsobia úradníci pre ochranu súkromia a občianskych slobôd (191). Hoci konkrétne právomoci týchto úradníkov sa môžu mierne líšiť v závislosti od povoľujúceho zákona, zvyčajne zahŕňajú dohľad nad postupmi s cieľom zabezpečiť, aby príslušné ministerstvo/agentúra primerane zohľadňovali otázky ochrany súkromia a občianskych slobôd a zaviedli vhodné postupy vybavovania sťažností fyzických osôb, ktoré sa domnievajú, že bolo narušené ich súkromie alebo občianske slobody. Všetci ministri, resp. riaditelia agentúr, musia zabezpečiť, aby úradníci pre ochranu súkromia a občianskych slobôd disponovali materiálmi a zdrojmi na plnenie svojho mandátu, mali prístup ku všetkým materiálom a zamestnancom potrebným na vykonávanie svojich funkcií, boli informovaní o navrhovaných zmenách podmienok ochrany a aby sa s nimi v súvislosti s takýmito zmenami konzultovalo (192). Úradníci pre ochranu súkromia a občianskych slobôd pravidelne podávajú správy Kongresu, ktoré okrem iného zahŕňajú informácie o počte a povahe sťažností prijatých ministerstvom/agentúrou a zhrnutia riešení týchto sťažností, vykonaných preskúmaní a zodpovedaných otázok a vplyvu činností vykonaných úradníkom (193).

(109)

Po druhé, okrem toho na činnosti ministerstva spravodlivosti vrátane FBI dohliada nezávislý generálny inšpektor (194). Generálni inšpektori sú zo zákona nezávislí (195) a zodpovední za vykonávanie nezávislých vyšetrovaní, auditov a inšpekcií programov a operácií ministerstva. Majú prístup ku všetkým záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám, odporúčaniam alebo iným relevantným materiálom, v prípade potreby aj prostredníctvom výzvy, a môžu prijímať výpovede svedkov (196). Hoci generálni inšpektori vydávajú nezáväzné odporúčania na nápravné opatrenia, ich správy vrátane správ o následných opatreniach (alebo ich neexistencii) (197) sa vo všeobecnosti zverejňujú a posielajú Kongresu, ktorý môže na tomto základe vykonávať svoju funkciu dohľadu (pozri odôvodnenie 111) (198).

(110)

Po tretie, pokiaľ útvary zodpovedné za presadzovanie trestného práva vykonávajú protiteroristické činnosti, podliehajú dohľadu Rady pre dohľad nad ochranou súkromia a občianskych slobôd (PCLOB), nezávislej agentúry v rámci výkonnej zložky zloženej z päťčlennej rady z dvoch strán, ktorú vymenúva prezident na pevne stanovené obdobie šiestich rokov so súhlasom Senátu (199). Rada PCLOB je podľa svojich stanov poverená úlohami v oblasti politík boja proti terorizmu a ich vykonávania s ohľadom na ochranu súkromia a občianskych slobôd. Pri preskúmavaní má prístup ku všetkým relevantným záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám a odporúčaniam agentúr vrátane utajovaných skutočností, môže viesť vypočúvania a prijímať výpovede svedkov (200). Prijíma správy od úradníkov pre ochranu občianskych slobôd a súkromia z viacerých federálnych ministerstiev/agentúr (201), môže vydávať odporúčania vládnym orgánom a orgánom presadzovania práva a pravidelne podáva správy výborom Kongresu a prezidentovi (202). Správy rady vrátane správ určených Kongresu sa musia v čo najväčšej možnej miere zverejňovať (203).

(111)

Napokon činnosti v oblasti presadzovania práva v trestných veciach podliehajú dohľadu osobitných výborov Kongresu USA (výbory Snemovne reprezentantov a Senátu pre súdnictvo). Výbory pre súdnictvo vykonávajú pravidelný dohľad rôznymi spôsobmi, najmä prostredníctvom vypočutí, vyšetrovaní, preskúmaní a správ (204).

(112)

Ako už bolo uvedené, orgány činné v trestnom konaní musia vo väčšine prípadov na získavanie osobných údajov získať predchádzajúce súdne povolenie. Administratívne výzvy tejto požiadavke síce nepodliehajú, ale sú obmedzené na osobitné situácie a sú predmetom nezávislého súdneho preskúmania prinajmenšom v prípadoch, keď sa vláda usiluje o ich presadenie na súde. Príjemcovia administratívnych výziev môžu tieto výzvy na súde napadnúť z dôvodu, že sú neopodstatnené, t. j. nekonkrétne, obmedzujúce alebo neprimerane zaťažujúce (205).

(113)

Fyzické osoby môžu predovšetkým podávať žiadosti alebo sťažnosti orgánom presadzovania práva v trestných veciach v súvislosti so zaobchádzaním s ich osobnými údajmi. Zahŕňa to aj možnosť požiadať o prístup k osobným údajom a o ich opravu (206). Pokiaľ ide o činnosti súvisiace s bojom proti terorizmu, fyzické osoby môžu podať sťažnosť aj úradníkom pre ochranu súkromia a občianskych slobôd (alebo iným úradníkom pre ochranu súkromia) v rámci orgánov presadzovania práva (207).

(114)

V práve USA sa navyše stanovuje niekoľko možností súdnej nápravy pre fyzické osoby, a to voči orgánu verejnej moci alebo niektorému z jeho úradníkov, ak tieto orgány spracovávajú osobné údaje (208). Tieto možnosti, ktoré vyplývajú najmä zo zákona o správnom konaní (Administrative Procedure Act – APA), zákona o slobodnom prístupe k informáciám (Freedom of Information Act – FOIA) a zákona o ochrane súkromia v rámci elektronickej komunikácie (Electronic Communications Privacy Act – ECPA), môžu využiť všetky fyzické osoby bez ohľadu na štátnu príslušnosť, s výhradou akýchkoľvek uplatniteľných podmienok.

(115)

Vo všeobecnosti má v zmysle ustanovení zákona APA (209) týkajúcich sa súdneho preskúmania „každá osoba, ktorá utrpí právnu krivdu v dôsledku činnosti agentúry, alebo ktorú činnosť agentúry nepriaznivo postihuje alebo poškodzuje“, nárok dožadovať sa súdneho preskúmania (210). To zahŕňa možnosť požiadať súd, aby „činnosť agentúry, zistenia a závery, ktoré sa považujú za […] svojvoľné, nevypočítateľné alebo za zneužitie právomoci, alebo inak v nesúlade so zákonom, vyhlásil za protiprávne a zrušil ich“ (211).

(116)

Konkrétnejšie, v hlave II zákona ECPA (212) sa uvádza systém zákonných práv v oblasti ochrany súkromia a ako takým sa ním upravuje prístup orgánov presadzovania práva k obsahu telefonickej, ústnej alebo elektronickej komunikácie, ktorú uchovávajú poskytovatelia služieb, ktorí sú tretími stranami (213). Trestne sa ním postihuje nezákonný prístup (t. j. nie povolený súdom alebo inak prípustný) k tejto komunikácii a poskytuje sa ním možnosť nápravy pre dotknuté osoby prostredníctvom podania občianskoprávnej žaloby na federálnom súde USA o náhradu skutočnej škody a represívnu náhradu škody, ako aj spravodlivé alebo deklaratórne nápravné opatrenie voči štátnemu úradníkovi, ktorý vedome spáchal tieto nezákonné činy, alebo voči USA.

(117)

Navyše niekoľko ďalších zákonov poskytuje fyzickým osobám právo podať žalobu na orgán verejnej moci USA alebo úradníka, pokiaľ ide o spracovanie ich osobných údajov, napríklad zákon o odpočúvaní (Wiretap Act) (214), zákon o počítačových podvodoch a zneužívaní (Computer Fraud and Abuse Act) (215), federálny zákon o žalobe za ujmu (Federal Torts Claim Act) (216), zákon o práve na ochranu osobných finančných údajov (Right to Financial Privacy Act) (217) a zákon o náležitom podávaní informácií o úverovej schopnosti (Fair Credit Reporting Act) (218).

(118)

Takisto podľa zákona FOIA (219), hlavy 5 § 552 Zákonníka Spojených štátov, má každá osoba právo získať prístup k záznamom federálnej agentúry vrátane tých, ktoré obsahujú osobné údaje tejto fyzickej osoby. Po vyčerpaní správnych opravných prostriedkov sa fyzická osoba môže dovolávať takéhoto práva na prístup na súde, pokiaľ tieto záznamy nie sú chránené pred zverejnením na základe výnimky alebo osobitného vylúčenia týkajúceho sa presadzovania práva (220). V tomto prípade súd posúdi, či sa uplatňuje nejaká výnimka alebo či sa jej v súlade so zákonom dovoláva príslušný orgán verejnej moci.

(119)

Právo Spojených štátov obsahuje rôzne obmedzenia a záruky týkajúce sa prístupu k osobným údajom a ich používania na účely národnej bezpečnosti a poskytuje mechanizmy dohľadu a nápravy, ktoré sú v súlade s požiadavkami uvedenými v odôvodnení 89 tohto rozhodnutia. Podmienky, za ktorých sa takýto prístup môže uskutočniť, a záruky, ktoré sa vzťahujú na uplatnenie týchto právomocí, sa podrobne posudzujú v nasledujúcich oddieloch.

(120)

Orgány USA môžu získavať osobné údaje prenášané z Únie organizáciám zapojeným do rámca pre ochranu osobných údajov medzi EÚ a USA v záujme národnej bezpečnosti na základe rôznych právnych nástrojov za osobitných podmienok a záruk.

(121)

Keď organizácie v Spojených štátoch prijali osobné údaje, spravodajské agentúry USA môžu žiadať o prístup k týmto údajom na účely národnej bezpečnosti len na základe zákona, konkrétne podľa zákona o sledovaní v rámci zahraničného spravodajstva (Foreign Intelligence Surveillance Act – FISA) alebo podľa zákonných ustanovení, ktorými sa povoľuje prístup prostredníctvom príkazov na vydanie informácií z dôvodu národnej bezpečnosti (National Security Letters – NSL) (221). Zákon FISA obsahuje niekoľko právnych základov, ktoré možno použiť na získavanie (a následné spracúvanie) osobných údajov dotknutých osôb z Únie prenášaných na základe rámca pre ochranu osobných údajov medzi EÚ a USA (oddiely 105 (222), 302 (223), 402 (224), 501 (225) a 702 (226) zákona FISA), ako sa podrobnejšie opisuje v odôvodneniach 142 – 152.

(122)

Spravodajské agentúry USA majú takisto možnosti získavať osobné údaje mimo Spojených štátov, ktoré môžu zahŕňať osobné údaje prenášané medzi Úniou a Spojenými štátmi. Získavanie mimo Spojených štátov sa zakladá na vykonávacom nariadení č. 12333 (227), ktoré vydal prezident (228).

(123)

Získavanie spravodajských informácií prostredníctvom signálového spravodajstva predstavuje formu získavania spravodajských informácií, ktorá je pre tento záver o primeranosti najrelevantnejšia, keďže sa týka získavania elektronických komunikácií a údajov z informačných systémov. Takéto údaje môžu spravodajské agentúry USA získavať tak v rámci Spojených štátov (na základe zákona FISA), ako aj pri prenose údajov do Spojených štátov (na základe vykonávacieho nariadenia č. 12333).

(124)

Prezident USA vydal 7. októbra 2022 vykonávacie nariadenie č. 14086 o posilnení záruk v prípade signálového spravodajstva Spojených štátov, v ktorom sa stanovujú obmedzenia a záruky pre všetky činnosti signálového spravodajstva USA. Týmto vykonávacím nariadením sa vo veľkej miere nahrádza prezidentská politická smernica (PPD-28) (229), posilňujú sa ním podmienky, obmedzenia a záruky, ktoré sa vzťahujú na všetky činnosti signálového spravodajstva (t. j. na základe zákona FISA a vykonávacieho nariadenia č. 12333) bez ohľadu na to, kde sa uskutočňujú (230), a zavádza sa ním nový mechanizmus nápravy, prostredníctvom ktorého môžu fyzické osoby tieto záruky uplatniť a presadzovať (231) (pozri podrobnejšie odôvodnenia 176 – 194). Do práva USA sa ním teda implementuje výsledok rozhovorov, ktoré sa uskutočnili medzi EÚ a USA po tom, ako Súdny dvor zrušil rozhodnutie Komisie o primeranosti štítu na ochranu osobných údajov (pozri odôvodnenie 6). Je preto mimoriadne dôležitým prvkom právneho rámca, ktorý sa posudzuje v tomto rozhodnutí.

(125)

Obmedzenia a záruky zavedené vykonávacím nariadením č. 14086 dopĺňajú obmedzenia a záruky stanovené v oddiele 702 zákona FISA a vo vykonávacom nariadení č. 12333. Požiadavky opísané ďalej (v oddieloch 3.2.1.2 a 3.2.1.3) musia spravodajské agentúry uplatňovať pri zapájaní sa do činností signálového spravodajstva podľa oddielu 702 zákona FISA a vykonávacieho nariadenia č. 12333, napr. pri výbere/identifikácii kategórií zahraničných spravodajských informácií, ktoré sa majú získať podľa oddielu 702 zákona FISA; zhromažďovaní zahraničných spravodajských informácií alebo informácií kontrarozviedky podľa vykonávacieho nariadenia č. 12333 a prijímaní individuálnych rozhodnutí o zacielení podľa oddielu 702 zákona FISA a vykonávacieho nariadenia č. 12333.

(126)

Požiadavky stanovené v tomto vykonávacom nariadení vydanom prezidentom sú záväzné pre všetky spravodajské služby. Musia sa ďalej plniť prostredníctvom politík a postupov agentúr, ktorými sa transponujú do konkrétnych smerníc týkajúcich sa každodenných operácií. V tejto súvislosti sa vo vykonávacom nariadení č. 14086 pre spravodajské agentúry USA stanovuje lehota jedného roka na aktualizáciu ich existujúcich politík a postupov (t. j. do 7. októbra 2023) s cieľom zosúladiť ich s požiadavkami vykonávacieho nariadenia. Takéto aktualizované politiky a postupy sa musia vypracovať po konzultácii s generálnym prokurátorom, úradníkom pre ochranu občianskych slobôd (CLPO) Úradu riaditeľa národnej spravodajskej služby (ODNI) a radou PCLOB – nezávislým orgánom dohľadu oprávneným na preskúmanie politík výkonných zložiek a ich vykonávania s cieľom chrániť súkromie a občianske slobody (pokiaľ ide o úlohu a postavenie rady PCLOB, pozri odôvodnenie 110) – a musia byť verejne dostupné (232). Okrem toho po zavedení aktualizovaných politík a postupov vykoná rada PCLOB preskúmanie s cieľom zabezpečiť ich súlad s vykonávacím nariadením. Každá spravodajská agentúra musí do 180 dní od ukončenia takéhoto preskúmania radou PCLOB starostlivo zvážiť a implementovať alebo inak riešiť všetky odporúčania rady PCLOB. Vláda USA 3. júla 2023 uverejnila takéto aktualizované politiky a postupy (233).

(127)

Vo vykonávacom nariadení č. 14086 sa stanovuje niekoľko ďalekosiahlych požiadaviek, ktoré sa vzťahujú na všetky činnosti signálového spravodajstva (získavanie, využívanie, poskytovanie atď. osobných údajov).

(128)

Po prvé základom takýchto činností musí byť zákon alebo prezidentské povolenie a musia sa vykonávať v súlade s právom USA vrátane Ústavy (234).

(129)

Po druhé musia byť zavedené primerané záruky na zabezpečenie toho, aby súkromie a občianske slobody boli neoddeliteľnou súčasťou plánovania takýchto činností (235).

(130)

Konkrétne možno akúkoľvek činnosť signálového spravodajstva vykonávať len „na základe zistenia založeného na primeranom posúdení všetkých relevantných faktorov, že dané činnosti sú potrebné na dosiahnutie validovanej priority spravodajstva“ (pokiaľ ide o pojem „validovaná priorita spravodajstva“, pozri odôvodnenie 135) (236).

(131)

Okrem toho sa takéto činnosti môžu vykonávať len „v rozsahu a spôsobom, ktorý je primeraný validovanej priorite spravodajstva, na ktorú boli schválené“ (237). Inými slovami, musí sa dosiahnuť správna rovnováha „medzi významom sledovanej priority spravodajstva a vplyvom na súkromie a občianske slobody dotknutých fyzických osôb bez ohľadu na ich štátnu príslušnosť alebo pobyt“ (238).

(132)

Napokon s cieľom zabezpečiť súlad s týmito všeobecnými požiadavkami, ktoré odrážajú zásady zákonnosti, nevyhnutnosti a proporcionality, podliehajú činnosti signálového spravodajstva dohľadu (pozri podrobnejšie oddiel 3.2.2) (239).

(133)

Tieto všeobecné požiadavky sú v súvislosti so získavaním signálového spravodajstva ďalej podporené viacerými podmienkami a obmedzeniami, ktorými sa zabezpečuje, aby sa zasahovanie do práv fyzických osôb obmedzovalo na to, čo je nevyhnutné a primerané na dosiahnutie legitímneho cieľa.

(134)

Po prvé sa vo vykonávacom nariadení obmedzujú dôvody, na základe ktorých možno získavať údaje v rámci činností signálového spravodajstva, a to dvoma spôsobmi. Na jednej strane sa vo vykonávacom nariadení stanovujú legitímne ciele, ktoré možno sledovať získavaním signálového spravodajstva, ako napríklad pochopenie alebo posúdenie spôsobilostí, zámerov alebo činností zahraničných organizácií vrátane medzinárodných teroristických organizácií, ktoré predstavujú aktuálnu alebo potenciálnu hrozbu pre národnú bezpečnosť Spojených štátov, ochrana pred zahraničnými vojenskými spôsobilosťami a činnosťami, pochopenie alebo posúdenie nadnárodných hrozieb, ktoré majú vplyv na globálnu bezpečnosť, ako napríklad zmena klímy a iné ekologické zmeny, riziká pre verejné zdravie a humanitárne hrozby (240). Na druhej strane sa vo vykonávacom nariadení uvádzajú určité ciele, ktoré sa nikdy nesmú sledovať prostredníctvom činností signálového spravodajstva, ako napríklad potláčanie kritiky, nesúhlasu alebo slobodného prejavu myšlienok či politických názorov jednotlivcov alebo médií, znevýhodňovanie osôb na základe ich etnickej a rasovej príslušnosti, pohlavia, rodovej identity, sexuálnej orientácie alebo vierovyznania alebo poskytovanie konkurenčnej výhody americkým spoločnostiam (241).

(135)

Spravodajské agentúry sa navyše na zdôvodnenie získavania signálového spravodajstva nemôžu odvolávať len na samotné legitímne ciele stanovené vo vykonávacom nariadení č. 14086, ale musia tieto činnosti na operačné účely ďalej odôvodniť konkrétnejšími prioritami, v záujme ktorých možno získavať signálové spravodajstvo. Inými slovami, v praxi sa signálové spravodajstvo môže získavať len s cieľom dosiahnuť konkrétnejšiu prioritu. Takéto priority sa stanovujú prostredníctvom osobitného postupu zameraného na zabezpečenie súladu s uplatniteľnými právnymi požiadavkami vrátane tých, ktoré sa týkajú ochrany súkromia a občianskych slobôd. Postup prebieha konkrétnejšie tak, že priority spravodajstva najskôr vypracuje riaditeľ národnej spravodajskej služby (na základe tzv. rámca národných priorít spravodajstva), ktorý ich predloží prezidentovi na schválenie (242). Pred tým, ako riaditeľ navrhne prezidentovi priority spravodajstva, musí v súlade s vykonávacím nariadením č. 14086 získať posudok úradníka pre ochranu občianskych slobôd úradu ODNI, v ktorom sa určí, či dané priority 1. slúžia na dosiahnutie jedného alebo viacerých legitímnych cieľov uvedených vo vykonávacom nariadení; 2. neboli navrhnuté tak, aby získavanie signálového spravodajstva slúžilo na niektorý zo zakázaných cieľov uvedených vo vykonávacom nariadení, ani či sa neočakáva, že by k tomu viedli, a 3. boli vypracované po primeranom zvážení ochrany súkromia a občianskych slobôd všetkých osôb bez ohľadu na ich štátnu príslušnosť alebo pobyt (243). V prípade, že riaditeľ s posudkom úradníka pre ochranu občianskych slobôd nesúhlasí, obe stanoviská sa musia predložiť prezidentovi (244).

(136)

Týmto postupom sa teda zabezpečuje najmä to, aby sa pri vypracúvaní priorít spravodajstva zohľadňovali aspekty ochrany súkromia už od počiatočnej fázy.

(137)

Po druhé po stanovení priority spravodajstva sa rozhodnutie o tom, či a do akej miery možno na dosiahnutie tejto priority získavať informácie prostredníctvom signálového spravodajstva, riadi viacerými požiadavkami. Týmito požiadavkami sa do praxe premietajú všeobecné štandardy nevyhnutnosti a proporcionality stanovené v oddiele 2 písm. a) vykonávacieho nariadenia.

(138)

Signálové spravodajstvo možno získavať len „na základe zistenia založeného na primeranom posúdení všetkých relevantných faktorov, že takéto získavanie je potrebné na dosiahnutie konkrétnej priority spravodajstva“ (245). Pri určovaní toho, či je konkrétna činnosť získavania signálového spravodajstva potrebná na dosiahnutie validovanej priority spravodajstva, musia spravodajské agentúry USA zvážiť dostupnosť, uskutočniteľnosť a vhodnosť iných zdrojov a metód, ktoré menej zasahujú do súkromia, a to aj spomedzi diplomatických a verejných zdrojov (246). Ak sú k dispozícii takéto alternatívne zdroje a metódy, ktoré menej zasahujú do súkromia, musia sa uprednostniť (247).

(139)

Ak sa po uplatnení týchto kritérií dospeje k záveru, že získavanie signálového spravodajstva je potrebné, musí byť „čo najviac prispôsobené konkrétnemu prípadu“ a nesmie „neprimerane ovplyvňovať ochranu súkromia a občianskych slobôd“ (248). V záujme zabezpečenia toho, aby nebola neprimerane ovplyvnená ochrana súkromia a občianskych slobôd, t. j. aby sa dosiahla správna rovnováha medzi potrebami národnej bezpečnosti a ochranou súkromia a občianskych slobôd, sa musia náležite zohľadniť všetky relevantné faktory, ako napríklad povaha sledovaného cieľa, miera, v akej činnosť získavania spravodajstva zasahuje do súkromia, vrátane trvania tejto činnosti, pravdepodobný prínos získavania spravodajstva k sledovanému cieľu, primerane predvídateľné dôsledky pre fyzické osoby a charakter a citlivosť údajov, ktoré sa majú získavať (249).

(140)

Pokiaľ ide o druh získavania signálového spravodajstva, získavanie údajov v rámci Spojených štátov, ktoré je pre tento záver o primeranosti najrelevantnejšie, keďže zahŕňa údaje prenesené organizáciám v USA, musí byť vždy cielené, ako sa podrobnejšie vysvetľuje v odôvodneniach 142 – 153.

(141)

„Hromadné získavanie“ (250) možno uskutočňovať len mimo Spojených štátov na základe vykonávacieho nariadenia č. 12333. Aj v tomto prípade sa podľa vykonávacieho nariadenia č. 14086 musí uprednostniť cielené získavanie (251). Naopak, hromadné získavanie je povolené len vtedy, keď informácie potrebné na dosiahnutie validovanej priority spravodajstva nemožno primerane získať cieleným spôsobom (252). Ak je potrebné hromadne získavať údaje mimo Spojených štátov, uplatňujú sa osobitné záruky podľa vykonávacieho nariadenia č. 14086 (253). Po prvé sa musia použiť metódy a technické opatrenia s cieľom obmedziť získavané údaje len na to, čo je potrebné na dosiahnutie validovanej priority spravodajstva, a zároveň sa musí minimalizovať získavanie nesúvisiacich informácií (254). Po druhé sa využívanie hromadne získaných informácií (vrátane vyhľadávania) vo vykonávacom nariadení obmedzuje na šesť konkrétnych cieľov, medzi ktoré patrí ochrana pred terorizmom, braním rukojemníkov a zadržiavaním fyzických osôb zahraničnou vládou, organizáciou alebo osobou alebo v ich mene, ochrana pred zahraničnou špionážou, sabotážou alebo atentátmi, ochrana pred hrozbami vyplývajúcimi z nadobudnutia alebo zo šírenia zbraní hromadného ničenia alebo súvisiacich technológií a pred inými hrozbami atď. (255) Napokon akékoľvek vyhľadávanie v signálovom spravodajstve, ktoré bolo získané hromadne, možno uskutočniť, len ak je to potrebné na dosiahnutie validovanej priority spravodajstva pri sledovaní uvedených šiestich cieľov a v súlade s politikami a postupmi, v ktorých sa primerane zohľadňuje vplyv vyhľadávania na ochranu súkromia a občianskych slobôd všetkých osôb bez ohľadu na ich štátnu príslušnosť alebo pobyt (256).

(142)

Okrem požiadaviek vykonávacieho nariadenia č. 14086 sa na získavanie údajov prostredníctvom signálového spravodajstva, ktoré boli prenesené organizácii v Spojených štátoch, vzťahujú osobitné obmedzenia a záruky upravené v oddiele 702 zákona FISA (257). Oddiel 702 zákona FISA oprávňuje na získavanie zahraničných spravodajských informácií zacielením na osoby, ktoré nie sú občanmi ani rezidentmi USA a o ktorých sa primerane usudzuje, že sa nachádzajú mimo Spojených štátov, a to s povinnou spoluprácou amerických poskytovateľov elektronických komunikačných služieb (258). Na účely získavania zahraničných spravodajských informácií podľa oddielu 702 zákona FISA generálny prokurátor a riaditeľ národnej spravodajskej služby každoročne predkladajú Súdu pre sledovanie v rámci zahraničného spravodajstva (FISC) certifikácie, v ktorých sa identifikujú kategórie zahraničných spravodajských informácií, ktoré sa majú získavať (259). Certifikácie musia byť sprevádzané postupmi zacielenia, minimalizácie a vyhľadávania, ktoré súd takisto schvaľuje a ktoré sú pre spravodajské agentúry USA právne záväzné.

(143)

FISC je nezávislý súd (260) zriadený federálnym zákonom, proti ktorého rozhodnutiam sa možno odvolať na Revíznom súde pre sledovanie v rámci zahraničného spravodajstva (FISCR) (261) a v konečnom dôsledku na Najvyššom súde Spojených štátov (262). Súd FISC (a FISCR) je podporovaný stálym výborom piatich prokurátorov a piatich technických expertov, ktorí majú odborné znalosti v otázkach národnej bezpečnosti a občianskych slobôd (263). Z tejto skupiny súd vymenuje osobu, ktorá bude slúžiť ako amicus curiae a pomáhať pri posudzovaní všetkých návrhov na príkaz alebo preskúmanie, ktoré podľa názoru súdu predstavujú nový alebo významný výklad zákona, pokiaľ súd nezistí, že také vymenovanie nie je vhodné (264). Tým sa najmä zabezpečuje, aby sa v posúdení súdu náležite zohľadnili otázky ochrany súkromia. Súd môže takisto vymenovať osobu alebo organizáciu za amicus curiae (a to aj s cieľom poskytovať technické odborné znalosti) vždy, keď to považuje za vhodné, prípadne môže na základe návrhu povoliť osobe alebo organizácii, aby predložili informácie amicus curiae (265).

(144)

Súd FISC preskúmava certifikácie a súvisiace postupy (najmä postupy zacielenia a minimalizácie) z hľadiska súladu s požiadavkami zákona FISA. Ak dospeje k záveru, že požiadavky nie sú splnené, môže certifikácie úplne alebo čiastočne zamietnuť a požiadať o zmenu postupov (266). V tejto súvislosti súd FISC opakovane potvrdil, že jeho preskúmanie postupov zacielenia a minimalizácie podľa oddielu 702 sa neobmedzuje na postupy v písomnej podobe, ale zahŕňa aj to, akým spôsobom vláda tieto postupy vykonáva (267).

(145)

Individualizované rozhodnutia o zacielení prijíma Národná bezpečnostná agentúra (NSA, spravodajská agentúra zodpovedná za zacielenie podľa oddielu 702 zákona FISA) v súlade s postupmi zacielenia schválenými súdom FISC, v ktorých sa od NSA vyžaduje, aby na základe všetkých okolností posúdila, či je pravdepodobné, že zacielením na konkrétnu osobu sa získajú zahraničné spravodajské informácie kategórie určenej v certifikácii (268). Toto posúdenie musí byť podrobné a založené na faktoch, musí vychádzať z analytického úsudku, zo špecializovanej odbornej prípravy a skúseností analytika, ako aj z povahy zahraničných spravodajských informácií, ktoré sa majú získavať (269). Zacielenie sa vykonáva určením tzv. selektorov, ktorými sa identifikujú konkrétne komunikačné kanály ako e-mailová adresa alebo telefónne číslo cieľa, nikdy však kľúčové slová ani mená fyzických osôb (270).

(146)

Analytici NSA najskôr identifikujú osoby, ktoré nie sú občanmi ani rezidentmi USA, nachádzajúce sa v zahraničí, ktorých sledovanie bude na základe posúdenia analytikov viesť k získaniu relevantných zahraničných spravodajských informácií stanovených v certifikácii (271). Ako sa uvádza v postupoch zacielenia NSA, NSA môže sledovanie upriamiť na cieľ, len ak už má o cieli nejaké poznatky (272). Tieto poznatky môžu vyplývať z informácií z rôznych zdrojov, napríklad od rozviedky. Prostredníctvom týchto iných zdrojov musí analytik zistiť aj konkrétny selektor (t. j. komunikačné konto), ktorý potenciálny cieľ používa. Po identifikovaní týchto individualizovaných osôb a schválení ich zacielenia prostredníctvom rozsiahleho mechanizmu preskúmania v rámci NSA (273) sa určia (t. j. vypracujú a uplatnia) selektory, ktorými sa identifikujú komunikačné kanály (napríklad e-mailové adresy) používané cieľmi (274).

(147)

NSA musí zdokumentovať faktické východisko výberu cieľa (275) a v pravidelných intervaloch po počiatočnom zacielení potvrdiť, že sú naďalej splnené kritériá zacielenia (276). Ak už kritériá zacielenia nie sú splnené, získavanie spravodajstva sa musí ukončiť (277). Výber každého cieľa, ktorý vykonala NSA, a jej záznamy o každom zaznamenanom posúdení a zdôvodnení zacielenia podliehajú preskúmaniu úradníkmi orgánu ministerstva spravodlivosti pre dohľad nad spravodajskými službami, ktorí každé dva mesiace overia ich súlad s postupmi zacielenia, pričom sú povinní oznámiť akékoľvek porušenie súdu FISC a Kongresu (278). Písomná dokumentácia NSA uľahčuje súdu FISC dohľad nad tým, či zacielenie na konkrétne osoby náležite spĺňa podmienky oddielu 702 zákona FISA, pričom súd FISC tento dohľad vykonáva v súlade so svojimi právomocami dohľadu opísanými v odôvodneniach 173 – 174 (279). Napokon sa od riaditeľa národnej spravodajskej služby (DNI) takisto vyžaduje, aby každoročne informoval o celkovom počte cieľov podľa oddielu 702 zákona FISA vo verejných výročných štatistických správach v záujme transparentnosti. Spoločnosti, ktoré dostanú príkaz podľa oddielu 702 zákona FISA, môžu zverejniť súhrnné údaje (prostredníctvom správ v záujme transparentnosti) o prijatých žiadostiach (280).

(148)

Pokiaľ ide o ostatné právne základy na získavanie osobných údajov prenášaných organizáciám v USA, uplatňujú sa rôzne obmedzenia a záruky. Hromadné získavanie údajov je vo všeobecnosti osobitne zakázané podľa oddielu 402 zákona FISA (povolenie pre záznamníky zdrojov a cieľov elektronickej komunikácie) a prostredníctvom príkazov na vydanie informácií z dôvodu národnej bezpečnosti, pričom sa namiesto toho vyžaduje používanie konkrétnych „selektorov“ (281).

(149)

Na vykonávanie klasického individualizovaného elektronického sledovania (podľa oddielu 105 zákona FISA) musia spravodajské agentúry predložiť súdu FISC návrh s uvedením skutočností a okolností, o ktoré sa opiera dôvodnosť domnienky, že daný komunikačný kanál využíva alebo má využívať zahraničná mocnosť alebo agent zahraničnej mocnosti (282). Súd FISC okrem iného posúdi, či je na základe predložených skutočností dôvodné domnievať sa, že to tak naozaj je (283).

(150)

Na vykonanie prehliadky priestorov alebo majetku, ktorej účelom je preskúmanie, zaistenie atď. informácií, materiálov alebo majetku (napr. počítačového zariadenia) na základe oddielu 301 zákona FISA, sa vyžaduje podanie návrhu na vydanie príkazu súdu FISC (284). V takomto návrhu musí byť okrem iného preukázaná dôvodnosť domnienky, že cieľom prehliadky je zahraničná mocnosť alebo agent zahraničnej mocnosti, že v priestoroch alebo majetku, ktorý sa má prehľadať, sa nachádzajú zahraničné spravodajské informácie a že priestory, ktoré sa majú prehľadať, sú vo vlastníctve, v užívaní, držbe (agenta) zahraničnej mocnosti alebo v procese prevodu so zapojením (agenta) zahraničnej mocnosti (285).

(151)

Podobne sa aj na inštaláciu záznamníkov zdrojov a cieľov elektronickej komunikácie (podľa oddielu 402 zákona FISA) vyžaduje podanie návrhu na vydanie príkazu súdu FISC (alebo magistrátneho sudcu USA) a použitie konkrétneho selektora, teda výrazu, ktorý konkrétne identifikuje osobu, konto atď. a používa sa na čo najväčšie prakticky možné obmedzenie rozsahu vyhľadávaných informácií (286). Povolenie sa netýka obsahu komunikácie, ale skôr sa zameriava na informácie o zákazníkovi alebo účastníkovi využívajúcom určitú službu (ako je meno, adresa, číslo účastníka, dĺžka/druh získanej služby, zdroj/mechanizmus platby).

(152)

V oddiele 501 zákona FISA (287), v ktorom sa povoľuje získavanie obchodných záznamov od bežného dopravcu (t. j. akákoľvek osoba alebo subjekt prepravujúci osoby alebo majetok pozemnou, železničnou, vodnou alebo leteckou dopravou za náhradu), verejného ubytovacieho zariadenia (napr. hotel, motel alebo hostinec), zariadenia na prenájom vozidiel alebo zariadenia poskytujúceho služby fyzického uskladnenia (t. j. ktoré poskytuje priestor na uskladnenie tovaru a materiálov alebo služby súvisiace s uskladnením tovaru a materiálov) (288), sa takisto vyžaduje podanie návrhu súdu FISC alebo magistrátnemu sudcovi. V danom návrhu musia byť uvedené požadované záznamy a konkrétne a vysvetliteľné skutočnosti, na základe ktorých sa možno domnievať, že osoba, ktorej sa záznamy týkajú, je zahraničnou mocnosťou alebo agentom zahraničnej mocnosti (289).

(153)

Napokon sa na základe rôznych zákonov vydávajú príkazy na vydanie informácií z dôvodu národnej bezpečnosti, ktoré vyšetrovacím agentúram umožňujú získať od určitých subjektov (napr. finančných inštitúcií, agentúr poskytujúcich informácie o úverovej schopnosti, poskytovateľov elektronických komunikačných služieb) určité informácie (bez obsahu komunikácie) obsiahnuté v záznamoch o úverovej schopnosti, finančných záznamoch a záznamoch o elektronickom odbere a transakciách (290). Príkazy na vydanie informácií z dôvodu národnej bezpečnosti, ktorými sa povoľuje prístup k elektronickej komunikácii, môže používať len FBI a vyžaduje sa pri nich, aby sa v žiadostiach uvádzal selektor, ktorý konkrétne identifikuje osobu, subjekt, telefónne číslo alebo konto, a aby sa v nich potvrdzovalo, že informácie sú relevantné pre povolené vyšetrovanie týkajúce sa národnej bezpečnosti s cieľom zaistiť ochranu proti medzinárodnému terorizmu alebo tajným spravodajským činnostiam (291). Príjemcovia príkazov na vydanie informácií z dôvodu národnej bezpečnosti majú právo napadnúť ich na súde (292).

(154)

Spracúvanie osobných údajov získaných spravodajskými agentúrami USA prostredníctvom signálového spravodajstva podlieha viacerým zárukám.

(155)

Po prvé každá spravodajská agentúra musí zaistiť primeranú bezpečnosť údajov a zabrániť neoprávnenému prístupu k osobným údajom získaným prostredníctvom signálového spravodajstva. V tejto súvislosti sa v rôznych nástrojoch vrátane zákonov, usmernení a noriem bližšie špecifikujú minimálne požiadavky na bezpečnosť informácií, ktoré sa musia zaviesť (napr. dvojstupňová autentifikácia, šifrovanie atď.) (293). Prístup k získaným údajom musí byť obmedzený na oprávnených zamestnancov, ktorí absolvovali odbornú prípravu a potrebujú poznať dané informácie, aby mohli plniť svoju úlohu (294). Spravodajské agentúry musia svojim zamestnancom vo všeobecnosti poskytovať primeranú odbornú prípravu, a to aj pokiaľ ide o postupy oznamovania a riešenia porušení zákona (vrátane vykonávacieho nariadenia č. 14086) (295).

(156)

Po druhé spravodajské agentúry musia dodržiavať spravodajské štandardy týkajúce sa presnosti a objektivity, najmä pokiaľ ide o zabezpečenie kvality a spoľahlivosti údajov, zváženie alternatívnych zdrojov informácií a objektívnosť pri vykonávaní analýz (296).

(157)

Po tretie, pokiaľ ide o uchovávanie údajov, vo vykonávacom nariadení č. 14086 sa objasňuje, že na osobné údaje osôb, ktoré nie sú občanmi ani rezidentmi USA, sa vzťahujú rovnaké lehoty uchovávania ako na údaje občanov/rezidentov USA (297). Od spravodajských agentúr sa vyžaduje, aby vymedzili konkrétne obdobia uchovávania a/alebo faktory, ktoré sa musia zohľadniť pri určovaní dĺžky uplatniteľných lehôt uchovávania (napr. či sú informácie dôkazom o trestnom čine, či informácie predstavujú zahraničné spravodajské informácie, či sú informácie potrebné na ochranu bezpečnosti osôb alebo organizácií vrátane obetí alebo cieľov medzinárodného terorizmu), ktoré sú stanovené v rôznych právnych nástrojoch (298).

(158)

Po štvrté, pokiaľ ide o poskytovanie osobných údajov získaných prostredníctvom signálového spravodajstva, uplatňujú sa osobitné pravidlá. Vo všeobecnosti platí, že osobné údaje o osobách, ktoré nie sú občanmi ani rezidentmi USA, sa môžu poskytovať, len ak ide o rovnaký druh informácií, ktorých poskytovanie je povolené v prípade občanov/rezidentov USA, napr. informácie potrebné na ochranu bezpečnosti osoby alebo organizácie (ako sú ciele, obete alebo rukojemníci medzinárodných teroristických organizácií) (299). Osobné údaje sa navyše nesmú poskytovať len z dôvodu štátnej príslušnosti alebo krajiny pobytu osoby ani s cieľom obísť požiadavky vykonávacieho nariadenia č. 14086 (300). Poskytovanie v rámci vlády USA sa môže uskutočniť len na základe odôvodneného predpokladu oprávnenej a vyškolenej osoby, že príjemca potrebuje dané informácie poznať (301) a zaistí ich primeranú ochranu (302). Na určenie toho, či sa osobné údaje môžu poskytnúť príjemcom mimo vlády USA (vrátane zahraničnej vlády alebo medzinárodnej organizácie), sa musí zohľadniť účel ich poskytnutia, povaha a rozsah poskytnutých údajov a možný škodlivý vplyv na dotknutú osobu (osoby) (303).

(159)

Napokon sú všetky spravodajské agentúry povinné podľa vykonávacieho nariadenia č. 14086 viesť primeranú dokumentáciu o získavaní signálového spravodajstva, a to aj s cieľom uľahčiť dohľad nad dodržiavaním platných právnych požiadaviek, ako aj účinnú nápravu. Požiadavky na dokumentáciu sa vzťahujú na prvky ako faktické východisko posúdenia, že konkrétna činnosť získavania údajov je potrebná na dosiahnutie validovanej priority spravodajstva (304).

(160)

Okrem uvedených záruk vykonávacieho nariadenia č. 14086 týkajúcich sa používania informácií získaných prostredníctvom signálového spravodajstva podliehajú všetky spravodajské agentúry USA aj všeobecnejším požiadavkám na obmedzenie účelu, minimalizáciu údajov, presnosť, bezpečnosť, uchovávanie a šírenie, najmä na základe obežníka úradu OMB č. A-130, zákona o elektronickej verejnej správe, zákona o záznamoch federálnych agentúr (pozri odôvodnenia 101 – 106) a usmernenia Výboru pre systémy národnej bezpečnosti (CNSS) (305).

(161)

Činnosti spravodajských agentúr USA podliehajú dohľadu rôznych orgánov.

(162)

Po prvé vo vykonávacom nariadení č. 14086 sa vyžaduje, aby každá spravodajská agentúra mala vyšších úradníkov v oblasti práva, dohľadu a dodržiavania predpisov s cieľom zabezpečiť dodržiavanie platných právnych predpisov USA (306). Musia predovšetkým vykonávať pravidelný dohľad nad činnosťami signálového spravodajstva a zabezpečiť nápravu akéhokoľvek nedodržania predpisov. Spravodajské agentúry musia takýmto úradníkom poskytnúť prístup ku všetkým relevantným informáciám, aby mohli vykonávať svoje funkcie dohľadu, a nesmú prijímať žiadne opatrenia, ktoré by bránili ich činnostiam dohľadu alebo ich neprimerane ovplyvňovali (307). Okrem toho sa každý významný prípad nedodržania predpisov (308), ktorý zistil úradník dohľadu alebo akýkoľvek iný zamestnanec, musí bezodkladne oznámiť riaditeľovi spravodajskej agentúry a riaditeľovi národnej spravodajskej služby, ktorí musia zabezpečiť prijatie všetkých potrebných opatrení na nápravu, ako aj na zabránenie opätovnému výskytu závažných prípadov nedodržania predpisov (309).

(163)

Túto funkciu dohľadu plnia úradníci s určenou úlohou v oblasti dodržiavania predpisov, ako aj úradníci pre ochranu súkromia a občianskych slobôd a generálni inšpektori (310).

(164)

Rovnako ako v prípade orgánov činných v trestnom konaní pôsobia vo všetkých spravodajských službách úradníci pre ochranu súkromia a občianskych slobôd (311). Právomoci týchto úradníkov zvyčajne zahŕňajú dohľad nad postupmi s cieľom zabezpečiť, aby príslušné ministerstvo/agentúra primerane zohľadňovali otázky ochrany súkromia a občianskych slobôd a zaviedli vhodné postupy vybavovania sťažností fyzických osôb, ktoré sa domnievajú, že bolo narušené ich súkromie alebo občianske slobody (a v niektorých prípadoch, napríklad Úrad riaditeľa národnej spravodajskej služby – ODNI, môžu mať sami právomoc vyšetrovať sťažnosti (312)). Riaditelia spravodajských agentúr musia zabezpečiť, aby úradníci pre ochranu súkromia a občianskych slobôd disponovali zdrojmi na plnenie svojho mandátu, mali prístup ku všetkým materiálom a zamestnancom potrebným na vykonávanie svojich funkcií, boli informovaní o navrhovaných zmenách podmienok ochrany a aby sa s nimi v súvislosti s takýmito zmenami konzultovalo (313). Úradníci pre ochranu súkromia a občianskych slobôd pravidelne podávajú správy Kongresu a rade PCLOB, ktoré okrem iného zahŕňajú informácie o počte a povahe sťažností prijatých ministerstvom/agentúrou so zhrnutím riešení týchto sťažností, vykonaných preskúmaní a zodpovedaných otázok a vplyvu činností vykonaných úradníkom (314).

(165)

Po druhé každá spravodajská agentúra má nezávislého generálneho inšpektora, ktorý okrem iného zodpovedá za dohľad nad zahraničnou spravodajskou činnosťou. V rámci úradu ODNI to zahŕňa Úrad generálneho inšpektora pre spravodajské služby s rozsiahlou právomocou nad všetkými spravodajskými službami, ktorý je oprávnený vyšetrovať sťažnosti alebo informácie týkajúce sa obvinení z nezákonného konania alebo zo zneužitia právomoci v súvislosti s programami a činnosťami úradu ODNI a/alebo spravodajských služieb (315). Podobne ako pri orgánoch činných v trestnom konaní (pozri odôvodnenie 109) sú títo generálni inšpektori zo zákona nezávislí (316) a zodpovední za vykonávanie auditov a vyšetrovaní v súvislosti s programami a operáciami vykonávanými príslušnou agentúrou na účely národného spravodajstva vrátane prípadov zneužitia alebo porušenia zákona (317). Majú prístup ku všetkým záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám, odporúčaniam alebo iným relevantným materiálom, v prípade potreby aj prostredníctvom výzvy, a môžu prijímať výpovede svedkov (318). Generálni inšpektori oznamujú prípady podozrenia z porušenia predpisov na účely trestného stíhania a predkladajú riaditeľom agentúr odporúčania na nápravné opatrenia (319). Hoci ich odporúčania sú nezáväzné, ich správy vrátane správ o následných opatreniach (alebo ich neexistencii) (320) sa vo všeobecnosti zverejňujú a posielajú Kongresu, ktorý môže na tomto základe vykonávať svoju vlastnú funkciu dohľadu (pozri odôvodnenia 168 – 169) (321).

(166)

Po tretie Výbor pre dohľad nad spravodajskou službou (IOB) zriadený v rámci Poradného výboru prezidenta pre spravodajskú službu (PIAB) dohliada na dodržiavanie Ústavy a všetkých príslušných predpisov spravodajskými orgánmi USA (322). Výbor PIAB je poradný orgán v rámci Úradu prezidenta, ktorý má 16 členov vymenovaných prezidentom mimo vlády USA. Výbor IOB tvorí najviac päť členov, ktorých vymenúva prezident spomedzi členov výboru PIAB. Podľa vykonávacieho nariadenia č. 12333 (323) sú riaditelia všetkých spravodajských agentúr povinní oznámiť výboru IOB každú spravodajskú činnosť, v súvislosti s ktorou existuje dôvod domnievať sa, že môže byť protiprávna alebo v rozpore s vykonávacím nariadením alebo prezidentskou smernicou. S cieľom zabezpečiť, aby mal výbor IOB prístup k informáciám potrebným na vykonávanie svojich funkcií, sa vo vykonávacom nariadení č. 13462 riaditeľovi národnej spravodajskej služby a riaditeľom spravodajských agentúr nariaďuje, aby výboru v rozsahu povolenom zákonom poskytovali všetky informácie a súčinnosť, ktoré výbor IOB považuje za potrebné na vykonávanie svojich funkcií (324). Výbor IOB je zas povinný informovať prezidenta o spravodajských činnostiach, o ktorých sa domnieva, že môžu byť v rozpore s právom USA (vrátane vykonávacích nariadení) a že sa nimi generálny prokurátor, riaditeľ národnej spravodajskej služby ani riaditeľ dotknutej spravodajskej agentúry primerane nezaoberajú (325). Ďalej je výbor IOB povinný informovať generálneho prokurátora o možných porušeniach trestného práva.

(167)

Po štvrté spravodajské agentúry podliehajú dohľadu rady PCLOB. Rada PCLOB je podľa svojich stanov poverená úlohami v oblasti politík boja proti terorizmu a ich vykonávania s ohľadom na ochranu súkromia a občianskych slobôd. Pri preskúmavaní činnosti spravodajských agentúr má prístup ku všetkým relevantným záznamom, správam, auditom, preskúmaniam, dokumentom, publikáciám a odporúčaniam agentúr vrátane utajovaných skutočností, môže viesť vypočúvania a prijímať výpovede svedkov (326). Prijíma správy od úradníkov pre ochranu občianskych slobôd a súkromia z viacerých federálnych ministerstiev/agentúr (327), môže vydávať odporúčania vládnym a spravodajským agentúram a pravidelne podáva správy výborom Kongresu a prezidentovi (328). Správy rady vrátane správ určených Kongresu sa musia v čo najväčšej možnej miere zverejňovať (329). Rada PCLOB vydala niekoľko správ o dohľade a následných opatreniach vrátane analýzy programov vykonávaných na základe oddielu 702 zákona FISA a ochrany súkromia v tejto súvislosti, vykonávania smernice PPD 28 a vykonávacieho nariadenia č. 12333 (330). Rada PCLOB je zároveň poverená vykonávaním osobitných funkcií dohľadu, pokiaľ ide o implementovanie vykonávacieho nariadenia č. 14086, najmä preskúmavaním toho, či sú postupy agentúr v súlade s vykonávacím nariadením (pozri odôvodnenie 126), a vyhodnocovaním správneho fungovania mechanizmu nápravy (pozri odôvodnenie 194).

(168)

Po piate popri mechanizmoch dohľadu v rámci exekutívnej zložky vykonávajú úlohy dohľadu nad všetkými zahraničnými spravodajskými činnosťami USA aj osobitné výbory Kongresu USA (výbory Snemovne reprezentantov a Senátu pre spravodajskú službu a súdnictvo). Členovia týchto výborov majú prístup k utajovaným skutočnostiam, ako aj k spravodajským metódam a programom (331). Výbory vykonávajú svoje funkcie dohľadu rôznymi spôsobmi, najmä prostredníctvom vypočutí, vyšetrovaní, preskúmaní a správ (332).

(169)

Výborom Kongresu sú pravidelne predkladané správy o spravodajských činnostiach, a to aj od generálneho prokurátora, riaditeľa národnej spravodajskej služby, spravodajských agentúr a iných orgánov dohľadu (napr. generálnych inšpektorov), pozri odôvodnenia 164 – 165. Konkrétne podľa zákona o národnej bezpečnosti „[p]rezident zabezpečí, aby výbory Kongresu pre spravodajskú službu boli v plnej miere a ihneď informované o spravodajských činnostiach USA vrátane všetkých významných očakávaných spravodajských činností, ktoré sa vyžadujú podľa tejto podkapitoly“ (333). Zároveň „[p]rezident zabezpečí, aby sa každá protiprávna spravodajská činnosť, ako aj všetky nápravné opatrenia, ktoré boli prijaté alebo sa plánujú prijať v súvislosti s touto protiprávnou činnosťou, urýchlene oznámili výborom Kongresu pre spravodajskú službu“ (334).

(170)

Navyše z osobitných zákonov vyplývajú ďalšie požiadavky na podávanie správ. Konkrétne v zákone FISA sa vyžaduje, aby generálny prokurátor „plne informoval“ výbory Senátu a Snemovne reprezentantov pre spravodajskú službu a súdnictvo o činnostiach vlády podľa určitých častí zákona FISA (335). Ďalej sa v ňom vyžaduje, aby vláda poskytla výborom Kongresu kópie všetkých rozhodnutí, nariadení alebo stanovísk súdu FISC alebo súdu FISCR, ktoré obsahujú „významné vysvetlenia alebo výklady“ ustanovení zákona FISA. Pokiaľ ide o sledovanie podľa oddielu 702 zákona FISA, parlamentný dohľad sa vykonáva prostredníctvom zákonom požadovaných správ pre výbory pre spravodajskú službu a súdnictvo, ako aj prostredníctvom častých brífingov a vypočutí. Patrí medzi ne polročná správa generálneho prokurátora o uplatňovaní oddielu 702 zákona FISA s podpornými dokumentmi, ktoré zahŕňajú správy ministerstva spravodlivosti a úradu ODNI o dodržiavaní predpisov a opis akýchkoľvek prípadov nedodržania predpisov (336), a samostatné polročné posúdenie generálneho prokurátora a riaditeľa národnej spravodajskej služby, v ktorom sa dokumentuje dodržiavanie postupov zacielenia a minimalizácie (337).

(171)

Podľa zákona FISA je navyše vláda USA povinná Kongresu (a verejnosti) každý rok sprístupniť informácie okrem iného o počte vyžiadaných a prijatých príkazov podľa zákona FISA, ako aj odhady počtu občanov a rezidentov USA a iných osôb, ktorí boli predmetom sledovania (338). V zákone sa takisto vyžaduje podávanie ďalších verejných správ o počte vydaných príkazov na vydanie informácií z dôvodu národnej bezpečnosti (NSL), opäť v súvislosti s občanmi alebo rezidentmi USA aj inými osobami (pričom zároveň umožňuje príjemcom príkazov a certifikácií podľa zákona FISA a žiadostí NSL vydávať za určitých podmienok správy na účely zabezpečenia transparentnosti) (339).

(172)

Spravodajská služba USA vo všeobecnosti vyvíja rôznorodé úsilie na zabezpečenie transparentnosti svojich (zahraničných) spravodajských činností. Napríklad v roku 2015 prijal úrad ODNI zásady transparentnosti spravodajstva a plán vykonávania transparentnosti a nariadil, aby každá spravodajská agentúra vymenovala svojho úradníka pre transparentnosť spravodajstva s cieľom podporiť transparentnosť a viesť iniciatívy v oblasti transparentnosti (340). V rámci tohto úsilia spravodajské služby zverejnili a naďalej zverejňujú odtajnené časti politík, postupov, správ o dohľade, správ o činnostiach podľa oddielu 702 zákona FISA a vykonávacieho nariadenia č. 12333, rozhodnutí súdu FISC a iných materiálov, a to aj na osobitnej webovej stránke „IC on the Record“ (spravodajské služby verejne), ktorú spravuje úrad ODNI (341).

(173)

Napokon okrem orgánov dohľadu, ako sa uvádza v odôvodneniach 162 – 168, dohliada na získavanie osobných údajov podľa oddielu 702 zákona FISA aj súd FISC (342). Podľa pravidla 13 rokovacieho poriadku súdu FISC sú úradníci spravodajských agentúr USA zodpovední za dodržiavanie predpisov povinní oznámiť akékoľvek porušenie oddielu 702 zákona FISA v súvislosti s postupmi zacielenia, minimalizácie a vyhľadávania ministerstvu spravodlivosti a úradu ODNI, ktoré prípad následne oznámia súdu FISC. Okrem toho ministerstvo spravodlivosti a úrad ODNI predkladajú súdu FISC spoločné polročné hodnotiace správy o dohľade, v ktorých sa identifikujú trendy v oblasti dodržiavania predpisov v súvislosti so zacielením, uvádzajú štatistické údaje, opisujú kategórie prípadov nedodržania predpisov, podrobne opisujú dôvody, pre ktoré došlo k jednotlivým prípadom nedodržania predpisov v súvislosti so zacielením, a uvádzajú opatrenia, ktoré spravodajské agentúry prijali, aby zabránili ich opakovaniu (343).

(174)

V prípade potreby (napr. ak sa zistia porušenia postupov zacielenia) môže súd príslušnej spravodajskej agentúre nariadiť, aby prijala nápravné opatrenia (344). Predmetné prostriedky nápravy môžu siahať od individuálnych až po štrukturálne opatrenia, napr. od ukončenia získavania údajov a vymazania nezákonne získaných údajov až po zmenu v postupoch získavania, a to aj pokiaľ ide o usmernenia a odbornú prípravu pre zamestnancov (345). Súd FISC navyše počas svojho ročného preskúmania certifikácií podľa oddielu 702 posudzuje prípady nedodržania predpisov s cieľom určiť, či predložené certifikácie spĺňajú požiadavky zákona FISA. Podobne, ak súd FISC dospeje k záveru, že vládne certifikácie nie sú dostatočné, a to aj z dôvodu konkrétnych prípadov nedodržania predpisov, môže vydať tzv. príkaz na odstránenie nedostatkov (deficiency order), v ktorom sa od vlády vyžaduje, aby porušenie do 30 dní napravila, alebo v ktorom sa od vlády vyžaduje, aby ukončila certifikáciu podľa oddielu 702 alebo aby nezačala s jej vykonávaním. Napokon súd FISC posudzuje trendy pozorované v súvislosti s dodržiavaním predpisov a môže požadovať zmeny postupov alebo dodatočný dohľad a podávanie správ s cieľom riešiť tieto trendy (346).

(175)

Ako sa podrobnejšie vysvetľuje v tomto oddiele, dotknuté osoby z Únie majú v Spojených štátoch viaceré možnosti, ako podať žalobu na nezávislý a nestranný súd so záväznými právomocami. Spoločne umožňujú fyzickým osobám prístup k vlastným osobným údajom, preskúmanie zákonnosti prístupu vlády k ich údajom a v prípade zistenia porušenia aj nápravu takéhoto porušenia, a to aj vo forme opravy alebo vymazania ich osobných údajov.

(176)

Po prvé vo vykonávacom nariadení č. 14086, doplnenom nariadením generálneho prokurátora, ktorým sa zriaďuje Súd pre preskúmanie dodržiavania ochrany údajov, sa zaviedol osobitný mechanizmus nápravy na vybavovanie a riešenie sťažností fyzických osôb týkajúcich sa činností signálového spravodajstva USA. Každá fyzická osoba v EÚ je oprávnená podať mechanizmu nápravy sťažnosť v súvislosti s údajným porušením právnych predpisov USA upravujúcich činnosti signálového spravodajstva (napr. vykonávacieho nariadenia č. 14086, oddielu 702 zákona FISA, vykonávacieho nariadenia č. 12333), ktoré nepriaznivo ovplyvňuje jej záujmy v oblasti ochrany súkromia a občianskych slobôd (347). Tento mechanizmus nápravy je k dispozícii fyzickým osobám z krajín alebo organizácií regionálnej hospodárskej integrácie, ktoré generálny prokurátor USA označil za „oprávnené štáty“ (348). Dňa 30. júna 2023 generálny prokurátor označil Európsku úniu a tri krajiny Európskeho združenia voľného obchodu, ktoré spolu tvoria Európsky hospodársky priestor, podľa oddielu 3 písm. f) vykonávacieho nariadenia č. 14086 za „oprávnený štát“ (349). Týmto označením nie je dotknutý článok 4 ods. 2 Zmluvy o Európskej únii.

(177)

Dotknutá osoba z Únie, ktorá chce podať takúto sťažnosť, ju musí predložiť orgánu pre dohľad v členskom štáte EÚ, ktorý je príslušný pre dohľad nad spracúvaním osobných údajov orgánmi verejnej moci (orgán pre ochranu osobných údajov) (350). Tým sa zabezpečuje jednoduchý prístup k mechanizmu nápravy, keďže fyzické osoby sa môžu obrátiť na orgán „blízko domova“, s ktorým môžu komunikovať vo svojom vlastnom jazyku. Po overení požiadaviek na podanie sťažnosti podľa odôvodnenia 178 príslušný orgán pre ochranu osobných údajov postúpi sťažnosť prostredníctvom sekretariátu Európskeho výboru pre ochranu údajov do mechanizmu nápravy.

(178)

Na podanie sťažnosti mechanizmu nápravy sa nevzťahujú žiadne prísne požiadavky prípustnosti, keďže fyzické osoby nemusia preukázať, že ich údaje boli skutočne predmetom činností signálového spravodajstva USA (351). Zároveň je však nutné poskytnúť určité základné informácie ako východiskový bod pre mechanizmus nápravy na začatie preskúmania, napr. o akých osobných údajoch sa odôvodnene predpokladá, že boli prenesené do USA, a akými prostriedkami boli údajne prenesené, totožnosť vládnych subjektov USA, o ktorých sa predpokladá, že sú zapojené do údajného porušenia (ak sú známe), z akého základu vychádza tvrdenie, že došlo k porušeniu právnych predpisov USA (hoci to opäť neznamená nutnosť preukázať, že dané osobné údaje skutočne získali spravodajské agentúry USA), a aký druh nápravy sa požaduje.

(179)

Prvotné vyšetrovanie sťažností predložených tomuto mechanizmu nápravy vykonáva úradník pre ochranu občianskych slobôd úradu ODNI, ktorého existujúca zákonná úloha a právomoci boli rozšírené o tieto konkrétne opatrenia prijímané podľa vykonávacieho nariadenia č. 14086 (352). V rámci spravodajských služieb je úradník pre ochranu občianskych slobôd okrem iného zodpovedný za zabezpečenie toho, aby bola ochrana občianskych slobôd a súkromia primerane začlenená do politík a postupov úradu ODNI a spravodajských agentúr, za dohľad nad tým, aby úrad ODNI dodržiaval platné požiadavky týkajúce sa ochrany občianskych slobôd a súkromia, a za vykonávanie posúdení vplyvu na súkromie (353). Úradník pre ochranu občianskych slobôd úradu ODNI môže byť odvolaný riaditeľom národnej spravodajskej služby len zo závažného dôvodu, t. j. v prípade pochybenia, zneužitia právomoci, porušenia bezpečnosti, zanedbania povinností alebo nespôsobilosti (354).

(180)

Pri vykonávaní preskúmaní má úradník pre ochranu občianskych slobôd úradu ODNI prístup k informáciám podliehajúcim jeho posúdeniu a môže sa opierať o povinnú spoluprácu úradníkov pre ochranu súkromia a občianskych slobôd v rôznych spravodajských agentúrach (355). Spravodajské agentúry nesmú úradníkovi pre ochranu občianskych slobôd úradu ODNI brániť v preskúmaniach ani ich nenáležite ovplyvňovať. Platí to aj pre riaditeľa národnej spravodajskej služby, ktorý nesmie do preskúmania zasahovať (356). Pri preskúmavaní sťažnosti musí úradník pre ochranu občianskych slobôd úradu ODNI „uplatňovať právne predpisy nestranne“ so zreteľom na záujmy národnej bezpečnosti pri činnostiach signálového spravodajstva, ako aj na ochranu súkromia (357).

(181)

Úradník pre ochranu občianskych slobôd úradu ODNI v rámci svojho preskúmania určí, či došlo k porušeniu platných právnych predpisov USA, a ak áno, rozhodne o primeranej náprave (358). Primeranou nápravou sa myslia opatrenia, ktorými sa zistené porušenie v plnej miere napraví, napríklad ukončenie nezákonného získavania údajov, vymazanie nezákonne získaných údajov, vymazanie výsledkov nenáležite vykonaných vyhľadávaní v inak zákonne získaných údajoch, obmedzenie prístupu k zákonne získaným údajom na zamestnancov s primeranou odbornou prípravou alebo stiahnutie spravodajských správ obsahujúcich údaje získané bez zákonného povolenia alebo nezákonne poskytnuté údaje (359). Rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI o jednotlivých sťažnostiach (vrátane nápravy) sú pre dotknuté spravodajské agentúry záväzné (360).

(182)

Úradník pre ochranu občianskych slobôd úradu ODNI musí uchovávať dokumentáciu o svojom preskúmaní a vypracovať rozhodnutie klasifikované ako utajované, v ktorom vysvetlí východisko svojich skutkových zistení, určí, či došlo k predmetnému porušeniu, a určí primeranú nápravu (361). Ak sa v preskúmaní úradníka pre ochranu občianskych slobôd úradu ODNI odhalí porušenie, ktorého sa dopustil ktorýkoľvek orgán podliehajúci dohľadu súdu FISC, úradník pre ochranu občianskych slobôd musí zároveň predložiť správu klasifikovanú ako utajovaná námestníkovi generálneho prokurátora pre národnú bezpečnosť, ktorý je zas povinný oznámiť prípad nedodržania predpisov súdu FISC, a ten môže prijať ďalšie opatrenia na presadzovanie práva (v súlade s postupom opísaným v odôvodneniach 173 – 174) (362).

(183)

Po ukončení preskúmania úradník pre ochranu občianskych slobôd úradu ODNI informuje sťažovateľa prostredníctvom vnútroštátneho orgánu, že „preskúmaním sa buď nezistilo žiadne z predmetných porušení, alebo úradník pre ochranu občianskych slobôd úradu ODNI vydal rozhodnutie vyžadujúce primeranú nápravu“ (363). Zabezpečuje sa tým obrana dôvernosti činností vykonávaných na ochranu národnej bezpečnosti a zároveň tak fyzické osoby získajú rozhodnutie potvrdzujúce, že ich sťažnosť bola riadne vyšetrená a bolo v súvislosti s ňou rozhodnuté. Fyzická osoba môže navyše toto rozhodnutie napadnúť. Na tento účel bude informovaná, že sa môže odvolať na Súde pre preskúmanie dodržiavania ochrany údajov s cieľom preskúmať zistenia úradníka pre ochranu občianskych slobôd (pozri odôvodnenie 184 a nasl.), a o tom, že ak sa obráti na súd, bude jej pridelený osobitný advokát, ktorý bude obhajovať jej záujmy sťažovateľa (364).

(184)

Každý sťažovateľ, ako aj každá zložka spravodajských služieb môže požiadať o preskúmanie rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI pred Súdom pre preskúmanie dodržiavania ochrany údajov (DPRC). Takéto návrhy na preskúmanie sa musia predložiť do 60 dní od prijatia oznámenia od úradníka pre ochranu občianskych slobôd úradu ODNI o ukončení preskúmania a musia obsahovať všetky informácie, ktoré chce fyzická osoba poskytnúť súdu DPRC (napr. argumenty k právnym otázkam alebo uplatňovanie právnych predpisov na skutkové okolnosti prípadu) (365). Dotknuté osoby z Únie môžu opäť návrh predložiť príslušnému orgánu pre ochranu osobných údajov (pozri odôvodnenie 177).

(185)

DPRC je nezávislý súd zriadený generálnym prokurátorom na základe vykonávacieho nariadenia č. 14086 (366). Tvorí ho najmenej šesť sudcov, ktorých na štvorročné obnoviteľné funkčné obdobie vymenúva generálny prokurátor po porade s radou PCLOB, ministrom obchodu a riaditeľom národnej spravodajskej služby (367). Vymenovanie sudcov generálnym prokurátorom vychádza z kritérií používaných exekutívnou zložkou pri posudzovaní uchádzačov o pozície vo federálnom súdnictve, pričom sa kladie dôraz na všetku predchádzajúcu prax v súdnictve (368). Sudcovia okrem toho musia byť príslušníkmi právnického povolania (t. j. aktívni, spôsobilí členovia advokátskej komory s riadnym oprávnením na výkon advokátskej praxe) a musia mať primerané skúsenosti v oblasti práva na ochranu súkromia a národnej bezpečnosti. Generálny prokurátor sa musí usilovať zabezpečiť, aby v ktoromkoľvek okamihu mala aspoň polovica sudcov predchádzajúce skúsenosti v súdnictve a aby všetci sudcovia mali bezpečnostnú previerku umožňujúcu prístup k utajovaným skutočnostiam týkajúcim sa národnej bezpečnosti (369).

(186)

Na súd DPRC môžu byť vymenované len osoby, ktoré spĺňajú podmienky uvedené v odôvodnení 185 a ktoré v čase vymenovania nie sú a ani v predchádzajúcich dvoch rokoch neboli zamestnancami exekutívnej zložky. Podobne počas funkčného obdobia na súde DPRC nesmú sudcovia plniť žiadne úradné povinnosti ani byť zamestnaní v rámci vlády USA (s výnimkou plnenia funkcie sudcu na súde DPRC) (370).

(187)

Nezávislosť procesu rozhodovania sa dosahuje prostredníctvom viacerých záruk. Konkrétne exekutívna zložka (generálny prokurátor a spravodajské agentúry) nesmie zasahovať do preskúmania na súde DPRC ani ho neprimerane ovplyvňovať (371). Samotný súd DPRC je povinný rozhodovať vo veciach nestranne (372), pričom sa riadi vlastným rokovacím poriadkom (ktorý sa prijíma väčšinou hlasov). Ďalej sudcovia DPRC môžu byť odvolaní len generálnym prokurátorom a len zo závažného dôvodu (t. j. v prípade pochybenia, zneužitia právomoci, porušenia bezpečnosti, zanedbania povinností alebo nespôsobilosti) po náležitom zohľadnení štandardov platných pre federálnych sudcov, ktoré sú stanovené v Pravidlách správania sudcov a konaní o nespôsobilosti sudcov (Judicial-Conduct and Judicial-Disability Proceedings) (373).

(188)

Návrhy podané na súd DPRC preskúmavajú senáty tvorené troma sudcami vrátane predsedajúceho sudcu, ktorí musia konať v súlade s Kódexom správania sudcov USA (Code of Conduct for U.S. Judges) (374). Každému senátu pomáha osobitný advokát (375), ktorý má prístup ku všetkým informáciám týkajúcim sa prípadu vrátane utajovaných skutočností (376). Úlohou osobitného advokáta je zabezpečiť, aby boli zastúpené záujmy sťažovateľa a aby bol senát súdu DPRC náležite informovaný o všetkých relevantných právnych a skutkových otázkach (377). Osobitný advokát môže sťažovateľa požiadať o informácie prostredníctvom písomných otázok s cieľom podrobnejšie doložiť svoje stanovisko k návrhu na preskúmanie pred súdom DPRC podanému fyzickou osobou (378).

(189)

Súd DPRC preskúma rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI (o tom, či došlo k porušeniu platných právnych predpisov USA, aj o primeranej náprave) minimálne na základe záznamov z vyšetrovania úradníka pre ochranu občianskych slobôd úradu ODNI, ako aj všetkých informácií a podaní poskytnutých sťažovateľom, osobitným advokátom alebo spravodajskou agentúrou (379). Senát súdu DPRC má prístup ku všetkým informáciám potrebným na vykonanie preskúmania, ktoré môže získať od úradníka pre ochranu občianskych slobôd úradu ODNI (senát môže napr. požiadať úradníka pre ochranu občianskych slobôd, aby doplnil svoje záznamy o dodatočné informácie alebo skutkové zistenia, ak je to potrebné na vykonanie preskúmania) (380).

(190)

Pri ukončení preskúmania môže súd DPRC 1. rozhodnúť, že neexistujú dôkazy, ktoré by naznačovali, že došlo k činnostiam signálového spravodajstva zahŕňajúcim osobné údaje sťažovateľa; 2. rozhodnúť, že rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI boli z právneho hľadiska správne a podložené zásadnými dôkazmi, alebo 3. ak súd DPRC nesúhlasí s rozhodnutiami úradníka pre ochranu občianskych slobôd úradu ODNI (o tom, či došlo k porušeniu platných právnych predpisov USA, alebo o primeranej náprave), vydať vlastné rozhodnutia (381).

(191)

Vo všetkých prípadoch súd DPRC prijme písomné rozhodnutie väčšinou hlasov. Ak sa preskúmaním odhalí porušenie platných pravidiel, v rozhodnutí sa stanoví akákoľvek primeraná náprava, ktorá zahŕňa vymazanie nezákonne získaných údajov, vymazanie výsledkov nenáležite vykonaných vyhľadávaní, obmedzenie prístupu k zákonne získaným údajom na zamestnancov s primeranou odbornou prípravou alebo stiahnutie spravodajských správ obsahujúcich údaje získané bez zákonného povolenia alebo nezákonne poskytnuté údaje (382). Rozhodnutie súdu DPRC je záväzné a konečné vo vzťahu k sťažnosti, ktorá mu bola predložená (383). Navyše, ak sa v preskúmaní odhalí porušenie, ktorého sa dopustil ktorýkoľvek orgán podliehajúci dohľadu súdu FISC, súd DPRC musí zároveň predložiť správu klasifikovanú ako utajovaná námestníkovi generálneho prokurátora pre národnú bezpečnosť, ktorý je zas povinný oznámiť prípad nedodržania predpisov súdu FISC, a ten môže prijať ďalšie opatrenia na presadzovanie práva (v súlade s postupom opísaným v odôvodneniach 173 – 174) (384).

(192)

Každé rozhodnutie súdu DPRC sa zasiela úradníkovi pre ochranu občianskych slobôd úradu ODNI (385). V prípadoch, keď bolo preskúmanie súdu DPRC iniciované na základe návrhu sťažovateľa, vnútroštátny orgán informuje sťažovateľa, že súd DPRC dokončil svoje preskúmanie a že „preskúmaním sa buď nezistilo žiadne z predmetných porušení, alebo súd DPRC vydal rozhodnutie vyžadujúce primeranú nápravu“ (386). Úrad ministerstva spravodlivosti pre ochranu súkromia a občianskych slobôd vedie záznamy o všetkých informáciách preskúmaných súdom DPRC a o všetkých vydaných rozhodnutiach, ktoré sú k dispozícii budúcim senátom súdu DPRC na posúdenie ako nezáväzný precedens (387).

(193)

Ministerstvo obchodu je takisto povinné viesť záznamy o každom sťažovateľovi, ktorý podal sťažnosť (388). V záujme zvýšenia transparentnosti musí ministerstvo obchodu najmenej každých päť rokov kontaktovať príslušné spravodajské agentúry s cieľom overiť, či boli informácie týkajúce sa preskúmania súdom DPRC odtajnené (389). Ak áno, dotknutá fyzická osoba bude informovaná o dostupnosti takýchto informácií podľa uplatniteľného práva (t. j. že daná osoba môže požiadať o prístup podľa zákona o slobodnom prístupe k informáciám, pozri odôvodnenie 199).

(194)

Napokon správne fungovanie tohto mechanizmu nápravy bude podliehať pravidelnému a nezávislému hodnoteniu. Konkrétnejšie podľa vykonávacieho nariadenia č. 14086 podlieha fungovanie mechanizmu nápravy každoročnému preskúmaniu radou PCLOB ako nezávislým orgánom (pozri odôvodnenie 110) (390). V rámci tohto preskúmania rada PCLOB okrem iného posúdi, či úradník pre ochranu občianskych slobôd úradu ODNI a súd DPRC spracovali sťažnosti včas, či získali úplný prístup k potrebným informáciám, či sa v procese preskúmania náležite zohľadnili vecné záruky vykonávacieho nariadenia č. 14086 a či spravodajské služby v plnej miere dodržali rozhodnutia úradníka pre ochranu občianskych slobôd úradu ODNI a súdu DPRC. Rada PCLOB vypracuje správu o výsledku svojho preskúmania, ktorá sa predloží prezidentovi, generálnemu prokurátorovi, riaditeľovi národnej spravodajskej služby, riaditeľom spravodajských agentúr, úradníkovi pre ochranu občianskych slobôd úradu ODNI a výborom Kongresu pre spravodajskú službu a ktorá sa zároveň zverejní v odtajnenej verzii – a následne bude podkladom pre pravidelné preskúmanie fungovania tohto rozhodnutia, ktoré bude vykonávať Komisia. Generálny prokurátor, riaditeľ národnej spravodajskej služby, úradník pre ochranu občianskych slobôd úradu ODNI a riaditelia spravodajských agentúr sú povinní splniť alebo inak riešiť všetky odporúčania uvedené v takýchto správach. Okrem toho rada PCLOB každoročne vydá verejné osvedčenie potvrdzujúce, či mechanizmus nápravy spracúva sťažnosti v súlade s požiadavkami vykonávacieho nariadenia č. 14086.

(195)

Popri osobitnom mechanizme nápravy zriadenom podľa vykonávacieho nariadenia č. 14086 sú všetkým fyzickým osobám (bez ohľadu na štátnu príslušnosť alebo miesto pobytu) dostupné aj možnosti dosiahnutia nápravy na všeobecných súdoch USA (391).

(196)

V zákone FISA a súvisiacom právnom predpise sa predovšetkým stanovuje, že fyzické osoby majú možnosť podať občianskoprávnu žalobu o peňažné odškodné proti Spojeným štátom, keď boli informácie o nich nezákonne a úmyselne použité alebo sprístupnené (392), žalovať osobne štátnych úradníkov USA o peňažné odškodné (393) a napadnúť zákonnosť sledovania (s cieľom vylúčiť použitie daných informácií) v prípade, že vláda USA chce proti tejto fyzickej osobe použiť alebo sprístupniť akékoľvek informácie získané alebo odvodené z elektronického sledovania v súdnom alebo správnom konaní v USA (394). Všeobecnejšie platí, že ak má vláda v úmysle použiť informácie získané počas spravodajských operácií proti podozrivej osobe v trestnom konaní, ústavné a zákonné požiadavky (395) ukladajú povinnosť sprístupniť určité informácie, aby žalovaný mohol napadnúť zákonnosť získavania a použitia dôkazov vládou.

(197)

Navyše existuje niekoľko osobitných možností, ktoré možno využiť v snahe uplatniť prostriedok nápravy proti štátnym úradníkom za nezákonný prístup vlády k osobným údajom alebo za ich používanie, a to aj na údajné účely národnej bezpečnosti [t. j. zákon o počítačových podvodoch a zneužívaní (Computer Fraud and Abuse Act) (396), zákon o ochrane súkromia v rámci elektronickej komunikácie (Electronic Communications Privacy Act) (397) a zákon o práve na ochranu osobných finančných údajov (Right to Financial Privacy Act) (398)]. Všetky tieto druhy žalôb sa týkajú špecifických údajov, cieľov a/alebo druhov prístupu (napr. vzdialeného prístupu k počítaču cez internet) a sú k dispozícii za určitých podmienok (napr. úmyselné/zámerné konanie, konanie mimo úradnej právomoci, utrpená ujma).

(198)

V zákone o správnom konaní (Administrative Procedure Act – APA) (399) sa ponúka všeobecnejšia možnosť nápravy, podľa ktorej „každá osoba, ktorá utrpí právnu krivdu pre konanie agentúry, alebo ktorú konanie agentúry nepriaznivo postihuje alebo poškodzuje“, má nárok dožadovať sa súdneho preskúmania (400). To zahŕňa možnosť požiadať súd, aby „činnosť agentúry, zistenia a závery, ktoré sa považujú za […] svojvoľné, nevypočítateľné alebo za zneužitie právomoci, alebo inak v nesúlade so zákonom, vyhlásil za protiprávne a zrušil ich“ (401). Napríklad federálny odvolací súd v roku 2015 rozhodol vo veci nároku podľa zákona APA, že vláda USA nie je oprávnená na hromadné získavanie metaúdajov telefónie podľa oddielu 501 zákona FISA (402).

(199)

Napokon každá fyzická osoba má popri možnostiach dosiahnutia nápravy uvedených v odôvodneniach 176 – 198 právo požiadať o prístup k existujúcim záznamom federálnych agentúr podľa zákona o slobodnom prístupe k informáciám (Freedom of Information Act – FOIA), čo zahŕňa aj prípady, keď tieto záznamy obsahujú osobné údaje fyzickej osoby (403). Získanie takéhoto prístupu môže zároveň uľahčiť začatie konania na všeobecných súdoch, a to s cieľom doložiť preukázanie aktívnej legitimácie. Agentúry môžu odmietnuť poskytnúť informácie podliehajúce určitým konkrétnym výnimkám, medzi ktoré patrí aj prístup k utajovaným skutočnostiam týkajúcim sa národnej bezpečnosti a informáciám týkajúcim sa vyšetrovaní v oblasti presadzovania práva (404), ale sťažovatelia, ktorí s takouto odpoveďou nie sú spokojní, majú možnosť ju napadnúť prostredníctvom návrhu na administratívne a následne súdne preskúmanie (na federálnych súdoch) (405).

(200)

Z uvedeného vyplýva, že ak orgány presadzovania práva USA a národné bezpečnostné orgány majú prístup k osobným údajom patriacim do rozsahu pôsobnosti tohto rozhodnutia, takýto prístup upravuje právny rámec, v ktorom sa stanovujú podmienky, za ktorých sa prístup môže získať, pričom zabezpečuje, že prístup k údajom a ich ďalšie používanie sú obmedzené na to, čo je nevyhnutné a primerané na sledované ciele verejného záujmu. Na tieto záruky sa môžu odvolávať fyzické osoby, ktoré majú právo na účinnú nápravu.

(201)

Komisia sa domnieva, že Spojené štáty prostredníctvom zásad vydaných ministerstvom obchodu USA zaisťujú úroveň ochrany osobných údajov prenášaných z Únie organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, podľa rámca pre ochranu osobných údajov medzi EÚ a USA, ktorá v zásade zodpovedá ochrane zaručenej nariadením (EÚ) 2016/679.

(202)

Komisia sa ďalej domnieva, že účinné uplatňovanie zásad je zaručené povinnosťami týkajúcimi sa transparentnosti a správou rámca pre ochranu osobných údajov zo strany ministerstva obchodu. Okrem toho mechanizmy dohľadu a možnosti dosiahnutia nápravy v práve USA ako celok umožňujú v praxi odhaliť a postihnúť porušenia pravidiel ochrany údajov a poskytujú dotknutej osobe právne prostriedky nápravy na získanie prístupu k osobným údajom, ktoré sa jej týkajú, a prípadne na dosiahnutie opravy alebo vymazania takýchto údajov.

(203)

Napokon, na základe dostupných informácií o právnom poriadku USA vrátane informácií uvedených v prílohách VI a VII sa Komisia domnieva, že akýkoľvek zásah orgánov verejnej moci USA vo verejnom záujme, a najmä na účely presadzovania práva v trestných veciach a na účely národnej bezpečnosti do základných práv fyzických osôb, ktorých osobné údaje sa prenášajú z Únie do Spojených štátov podľa rámca pre ochranu osobných údajov medzi EÚ a USA, sa obmedzí na to, čo je nevyhnutne potrebné na dosiahnutie dotknutého legitímneho cieľa, a že existuje účinná právna ochrana proti takémuto zásahu. Vzhľadom na uvedené zistenia by sa preto malo rozhodnúť, že Spojené štáty zabezpečujú v zmysle článku 45 nariadenia (EÚ) 2016/679, vykladaného so zreteľom na Chartu základných práv Európskej únie, primeranú úroveň ochrany osobných údajov prenášaných z Európskej únie organizáciám osvedčeným podľa rámca pre ochranu osobných údajov medzi EÚ a USA.

(204)

Vzhľadom na to, že obmedzenia, záruky a mechanizmy nápravy stanovené vo vykonávacom nariadení č. 14086 sú základnými prvkami právneho rámca USA, z ktorých vychádza posúdenie Komisie, prijatie tohto rozhodnutia je založené najmä na prijatí aktualizovaných politík a postupov na implementovanie vykonávacieho nariadenia č. 14086 všetkými spravodajskými agentúrami USA, ku ktorému došlo 3. júla 2023 (pozri odôvodnenie 126), a označením Únie za oprávnenú organizáciu na účely mechanizmu nápravy, ku ktorému došlo 30. júna 2023 (pozri odôvodnenie 176).

(205)

Členské štáty a ich orgány sú povinné prijať opatrenia potrebné na dosiahnutie súladu s aktmi inštitúcií Únie, keďže tieto akty požívajú prezumpciu zákonnosti a majú z tohto dôvodu právne účinky dovtedy, kým neboli derogované, zrušené v konaní o žalobe o neplatnosť alebo vyhlásené za neplatné v nadväznosti na návrh na začatie prejudiciálneho konania alebo námietku nezákonnosti.

(206)

Rozhodnutie Komisie o primeranosti prijaté podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 je preto záväzné pre všetky orgány členských štátov, ktorým je určené, vrátane ich nezávislých dozorných orgánov. Konkrétne sa môžu prenosy od prevádzkovateľa alebo sprostredkovateľa v Únii organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, uskutočňovať bez potreby získania akéhokoľvek ďalšieho povolenia.

(207)

Zároveň treba pripomenúť, že podľa článku 58 ods. 5 nariadenia (EÚ) 2016/679 a objasnenia Súdneho dvora v rozsudku vo veci Schrems (406) platí, že ak vnútroštátny orgán pre ochranu osobných údajov spochybňuje, a to aj na základe sťažnosti, zlučiteľnosť rozhodnutia Komisie o primeranosti so základnými právami jednotlivca na súkromie a ochranu údajov, vo vnútroštátnom práve sa mu musí poskytnúť právny prostriedok nápravy umožňujúci uplatniť tieto výhrady na vnútroštátnom súde, ktorý môže mať povinnosť podať návrh na začatie prejudiciálneho konania na Súdnom dvore (407).

(208)

Podľa judikatúry Súdneho dvora (408), a ako sa uznáva v článku 45 ods. 4 nariadenia (EÚ) 2016/679, by mala Komisia po prijatí rozhodnutia o primeranosti nepretržite monitorovať príslušný vývoj v tretej krajine s cieľom posúdiť, či tretia krajina aj naďalej zabezpečuje v zásade zodpovedajúcu úroveň ochrany. Takéto overenie je v každom prípade potrebné, keď Komisia dostane informácie, na základe ktorých vzniknú dôvodné pochybnosti v tomto ohľade.

(209)

Komisia by preto mala neustále monitorovať situáciu v Spojených štátoch, pokiaľ ide o právny rámec a skutočnú prax spracúvania osobných údajov, ktoré sa posudzujú v tomto rozhodnutí. Aby sa tento proces uľahčil, orgány Spojených štátov by mali bezodkladne informovať Komisiu o podstatnom vývoji právneho poriadku USA, ktorý má vplyv na právny rámec, ktorý je predmetom tohto rozhodnutia, ako aj o akomkoľvek vývoji postupov týkajúcich sa spracúvania osobných údajov posudzovaných v tomto rozhodnutí, pokiaľ ide o spracúvanie osobných údajov organizáciami v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad, ako aj o obmedzenia a záruky, ktoré sú uplatniteľné na prístup orgánov verejnej moci k osobným údajom.

(210)

Navyše, aby Komisia mohla účinne vykonávať svoju monitorovaciu funkciu, mali by ju členské štáty informovať o všetkých relevantných opatreniach, ktoré prijali vnútroštátne orgány pre ochranu osobných údajov, najmä pokiaľ ide o otázky alebo sťažnosti dotknutých osôb z Únie týkajúce sa prenosu osobných údajov z Únie organizáciám v Spojených štátoch, ktoré osvedčili svoje dodržiavanie zásad. Komisia by mala byť informovaná aj o akýchkoľvek známkach toho, že opatrenia amerických orgánov verejnej moci zodpovedných za predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo za národnú bezpečnosť vrátane akýchkoľvek orgánov dohľadu nezabezpečujú požadovanú úroveň ochrany.

(211)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 (409) by Komisia mala po prijatí tohto rozhodnutia pravidelne preskúmavať, či sú závery týkajúce sa primeranosti úrovne ochrany, ktorú zabezpečujú Spojené štáty podľa rámca pre ochranu osobných údajov medzi EÚ a USA, naďalej skutkovo a právne odôvodnené. Keďže najmä v prípade vykonávacieho nariadenia č. 14086 a nariadenia generálneho prokurátora sa vyžaduje vytvorenie nových mechanizmov a zavedenie nových záruk, toto rozhodnutie by sa malo podrobiť prvému preskúmaniu do jedného roka od nadobudnutia účinnosti, aby sa overilo, či boli všetky relevantné prvky v plnej miere implementované a či účinne fungujú v praxi. Po tomto prvom preskúmaní a v závislosti od jeho výsledku Komisia v úzkej spolupráci s výborom zriadeným podľa článku 93 ods. 1 nariadenia (EÚ) 2016/679 a s Európskym výborom pre ochranu údajov rozhodne o intervale budúcich preskúmaní (410).

(212)

V záujme vykonávania preskúmaní by sa Komisia mala stretnúť s ministerstvom obchodu, FTC a ministerstvom dopravy, ku ktorým by sa podľa potreby mali pripojiť ďalšie ministerstvá a agentúry zapojené do vykonávania rámca pre ochranu osobných údajov medzi EÚ a USA, a v otázkach týkajúcich sa prístupu vlády k údajom aj so zástupcami ministerstva spravodlivosti, úradu ODNI (vrátane úradníka pre ochranu občianskych slobôd), iných zložiek spravodajských služieb, súdu DPRC a s osobitnými advokátmi. Na tomto stretnutí by mali mať možnosť zúčastniť sa zástupcovia členov Európskeho výboru pre ochranu údajov.

(213)

Preskúmania by mali zahŕňať všetky aspekty fungovania tohto rozhodnutia, pokiaľ ide o spracúvanie osobných údajov v Spojených štátoch, a najmä uplatňovanie a vykonávanie zásad, pričom osobitnú pozornosť treba venovať ochrane zabezpečovanej v prípade následných prenosov, vývoju príslušnej judikatúry, účinnosti výkonu individuálnych práv, monitorovaniu a presadzovaniu dodržiavania zásad, ako aj obmedzeniam a zárukám, pokiaľ ide o prístup vlády, a to najmä vykonávaniu a uplatňovaniu záruk zavedených vykonávacím nariadením č. 14086, a to aj prostredníctvom politík a postupov vypracovaných spravodajskými agentúrami, vzájomnému pôsobeniu medzi vykonávacím nariadením č. 14086, oddielom 702 zákona FISA a vykonávacím nariadením č. 12333 a účinnosti mechanizmov dohľadu a možnostiam dosiahnutia nápravy (vrátane fungovania nového mechanizmu nápravy zriadeného podľa vykonávacieho nariadenia č. 14086). V súvislosti s takýmito preskúmaniami sa pozornosť bude venovať aj spolupráci medzi orgánmi pre ochranu osobných údajov a príslušnými orgánmi Spojených štátov vrátane vypracovania usmernení a iných výkladových nástrojov týkajúcich sa uplatňovania zásad, ako aj iných aspektov fungovania rámca.

(214)

Komisia by na základe preskúmania mala vypracovať verejnú správu, ktorá sa má predložiť Európskemu parlamentu a Rade.

(215)

Ak dostupné informácie, najmä informácie vyplývajúce z monitorovania tohto rozhodnutia alebo poskytnuté orgánmi USA alebo členských štátov, odhalia, že úroveň ochrany poskytovaná údajom prenášaným podľa tohto rozhodnutia už nemusí byť primeraná, Komisia by o tom mala bezodkladne informovať príslušné orgány USA a požiadať o prijatie náležitých opatrení v stanovenej primeranej lehote.

(216)

Ak po uplynutí uvedenej stanovenej lehoty príslušné orgány USA neprijmú takéto opatrenia alebo inak uspokojivo nepreukážu, že toto rozhodnutie sa naďalej zakladá na primeranej úrovni ochrany, Komisia začne postup uvedený v článku 93 ods. 2 nariadenia (EÚ) 2016/679 s cieľom čiastočne alebo úplne pozastaviť platnosť tohto rozhodnutia alebo ho zrušiť.

(217)

Alternatívne Komisia začne postup s cieľom zmeniť toto rozhodnutie, najmä podriadením prenosu údajov dodatočným podmienkam alebo obmedzením rozsahu konštatovanej primeranosti len na tie prenosy údajov, pri ktorých je naďalej zabezpečená primeraná úroveň ochrany.

(218)

Komisia by mala začať konanie o pozastavení alebo zrušení najmä v prípade:

(219)

Komisia by mala zvážiť začatie postupu vedúceho k zmene, pozastaveniu platnosti alebo zrušeniu tohto rozhodnutia aj v prípade, že príslušné orgány USA neposkytnú informácie alebo objasnenia potrebné na posúdenie úrovne ochrany zabezpečovanej pre osobné údaje prenášané z Únie do Spojených štátov alebo na dodržiavanie tohto rozhodnutia. Komisia by mala v tejto súvislosti zohľadniť, do akej miery možno príslušné informácie získať z iných zdrojov.

(220)

Komisia využije možnosť prijať v súlade s postupom uvedeným v článku 93 ods. 3 nariadenia (EÚ) 2016/679 okamžite uplatniteľné vykonávacie akty, ktorými sa pozastaví platnosť tohto rozhodnutia, zruší sa alebo sa zmení toto rozhodnutie, a to z riadne odôvodnených vážnych a naliehavých dôvodov, napríklad ak by došlo k zmene vykonávacieho nariadenia č. 14086 alebo nariadenia generálneho prokurátora spôsobom, že by sa oslabila úroveň ochrany opísaná v tomto rozhodnutí, alebo ak by došlo k zrušeniu označenia Únie za oprávnenú organizáciu na účely mechanizmu nápravy, ktoré vydal generálny prokurátor.

(221)

Európsky výbor pre ochranu údajov uverejnil svoje stanovisko (411), ktoré bolo zohľadnené pri príprave tohto rozhodnutia.

(222)

Európsky parlament prijal uznesenie o primeranosti ochrany poskytovanej rámcom pre ochranu osobných údajov medzi EÚ a USA (412).

(223)

Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 ods. 1 nariadenia (EÚ) 2016/679,