(notyfikowana jako dokument nr C(2016) 4176)(Tekst mający znaczenie dla EOG)
(Dz.U.UE L z dnia 1 sierpnia 2016 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 1 , w szczególności jej art. 25 ust. 6,
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych 2 ,
1. WPROWADZENIE
(1) W dyrektywie 95/46/WE określa się zasady przekazywania danych osobowych z państw członkowskich do państw trzecich w zakresie, w jakim takie przekazywanie danych jest objęte zakresem stosowania dyrektywy.
(2) Artykuł 1 dyrektywy 95/46/WE oraz motywy 2 i 10 jej preambuły mają zapewnić nie tylko skuteczną i pełną ochronę podstawowych praw i wolności osób fizycznych, w szczególności ich prawa podstawowego do poszanowania życia prywatnego w odniesieniu do przetwarzania danych osobowych, ale także wysokiego stopnia ochrony tych podstawowych praw i wolności 3 .
(3) Znaczenie zarówno prawa podstawowego do poszanowania życia prywatnego zagwarantowanego w art. 7, jak i prawa podstawowego do ochrony danych osobowych zagwarantowanego w art. 8 Karty praw podstawowych Unii Europejskiej zostało podkreślone w orzecznictwie Trybunału Sprawiedliwości 4 .
(4) Zgodnie z art. 25 ust. 1 dyrektywy 95/46/WE państwa członkowskie są zobowiązane zapewnić, aby przekazywanie danych osobowych do państwa trzeciego mogło nastąpić tylko wówczas gdy, dane państwo trzecie zapewnia odpowiedni stopień ochrony, a prawa państw członkowskich wprowadzających w życie inne przepisy dyrektywy są przestrzegane przed przekazaniem danych. Komisja może uznać, że państwo trzecie zapewnia taki odpowiedni stopień ochrony z uwagi na jego prawo krajowe lub zobowiązania międzynarodowe, jakie państwo to podjęło w celu ochrony praw osób fizycznych. W takim przypadku - bez uszczerbku dla zgodności z przepisami krajowymi przyjętymi zgodnie z innymi przepisami dyrektywy - dane osobowe mogą być przekazywane z państw członkowskich bez konieczności ustanowienia dodatkowych gwarancji.
(5) Zgodnie z art. 25 ust. 2 dyrektywy 95/46/WE stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji, w tym przepisów prawa, zarówno ogólnych, jak i sektorowych, obowiązujących w danym państwie trzecim.
(6) W decyzji Komisji 2000/520/WE 5 , przyjętej do celów art. 25 ust. 2 dyrektywy 95/46/WE, uznano, że zasady ochrony prywatności w ramach "bezpiecznej przystani" wdrożone zgodnie z wytycznymi zawartymi w "najczęściej zadawanych pytaniach" wydanych przez Departament Handlu Stanów Zjednoczonych, zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z Unii do podmiotów mających siedzibę w Stanach Zjednoczonych.
(7) Komisja w swoich komunikatach COM(2013) 846 final 6 i COM(2013) 847 final 7 z dnia 27 listopada 2013 r. uznała, że konieczne jest dokonanie przeglądu i wzmocnienie zasadniczej podstawy programu "bezpieczna przystań" w kontekście wielu czynników, w tym gwałtownego wzrostu przepływów danych i ich kluczowego znaczenia dla gospodarki transatlantyckiej, szybko rosnącej liczby przedsiębiorstw w Stanach Zjednoczonych przestrzegających programu "bezpieczna przystań" oraz nowych informacji dotyczących skali i zakresu niektórych amerykańskich programów nadzoru, które wzbudziły obawy dotyczące stopnia ochrony, jaki mogą zapewnić te programy. Ponadto Komisja zidentyfikowała szereg niedociągnięć i braków w programie "bezpieczna przystań".
(8) Na podstawie dowodów zebranych przez Komisję, w tym informacji wynikających z prac grupy kontaktowej UE-USA ds. ochrony prywatności 8 oraz informacji na temat amerykańskich programów wywiadowczych otrzymanych od grupy roboczej ad hoc UE-USA 9 Komisja sformułowała 13 zaleceń dotyczących przeglądu programu "bezpieczna przystań". Zalecenia te dotyczyły przede wszystkim: wzmocnienia konkretnych zasad dotyczących prywatności, zwiększenia przejrzystości polityki ochrony prywatności stosowanej przez samocertyfikowane przedsiębiorstwa amerykańskie, usprawnienia nadzoru nad przestrzeganiem tych zasad przez przedsiębiorstwa oraz monitorowania i egzekwowania przestrzegania tych zasad przez organy amerykańskie, zapewnienia dostępu do przystępnych cenowo mechanizmów rozstrzygania sporów oraz potrzeby zapewnienia ograniczenia korzystania z wyjątku dotyczącego bezpieczeństwa narodowego przewidzianego w decyzji 2000/520/WE do działań, których podjęcie jest ściśle konieczne i proporcjonalne.
(9) W swoim wyroku z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner 10 Trybunał Sprawiedliwości Unii Europejskiej orzekł nieważność decyzji 2000/520/WE. Bez badania treści zasad ochrony prywatności w ramach "bezpiecznej przystani" Trybunał uznał, że Komisja nie wykazała w swojej decyzji, iż Stany Zjednoczone rzeczywiście "zapewniają" odpowiedni stopień ochrony ze względu na swoje ustawodawstwo lub zobowiązania międzynarodowe 11 .
(10) W tym kontekście Trybunał Sprawiedliwości wyjaśnił, że chociaż wyrażenie "odpowiedni stopień ochrony" zawarte w art. 25 ust. 6 dyrektywy 95/46/WE nie oznacza stopnia ochrony identycznego z tym, jaki jest gwarantowany w unijnym porządku prawnym, należy je rozumieć jako wymagające od tego państwa trzeciego zapewnienia stopnia ochrony podstawowych praw i wolności "merytorycznie równoważnego" stopniowi gwarantowanemu w Unii na mocy dyrektywy 95/46/WE w związku z Kartą praw podstawowych Unii Europejskiej. Jakkolwiek środki, z jakich to państwo trzecie korzysta w tym względzie, mogą różnić się od środków wprowadzonych w Unii, środki te muszą być jednak w praktyce skuteczne 12 .
(11) Trybunał Sprawiedliwości skrytykował brak wystarczających ustaleń w decyzji 2000/520/WE, dotyczących istnienia w Stanach Zjednoczonych reguł o charakterze ogólnopaństwowym, służących do ograniczenia ewentualnych ingerencji w prawa podstawowe osób, których dane zostały przekazane z Unii do Stanów Zjednoczonych, ingerencji, których organy państwowe tego kraju mogłyby dokonywać przy okazji dążenia do realizacji uzasadnionego prawem celu, takiego jak bezpieczeństwo narodowe, oraz istnienia skutecznej ochrony prawnej przed ingerencją tego rodzaju 13 .
(12) W 2014 r. Komisja podjęła rozmowy z organami amerykańskimi celem omówienia wzmocnienia programu "bezpieczna przystań" zgodnie z 13 zaleceniami zawartymi w komunikacie COM(2013) 847 final. Po wydaniu przez Trybunał Sprawiedliwości Unii Europejskiej wyroku w sprawie Schrems rozmowy te zintensyfikowano w celu ewentualnego przyjęcia nowej decyzji w sprawie odpowiedniej ochrony danych osobowych, która spełniałaby wymogi określone w art. 25 dyrektywy 95/46/WE, zgodnie z wykładnią Trybunału Sprawiedliwości. Dokumenty, które załączono do tej decyzji i które również zostaną opublikowane w amerykańskim Rejestrze Federalnym, są wynikiem tych dyskusji. Zasady ochrony prywatności (załącznik II) oraz oficjalne oświadczenia i zobowiązania różnych organów amerykańskich zawarte w dokumentach załączonych jako załączniki I, III-VII składają się na "Tarczę Prywatności UE-USA".
(13) Komisja uważnie przeanalizowała prawo i praktykę Stanów Zjednoczonych, w tym wspomniane oficjalne oświadczenia i zobowiązania. W oparciu o ustalenia przedstawione w motywach 136-140 Komisja stwierdza, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych w ramach Tarczy Prywatności UE-USA z Unii do samocertyfikowanych podmiotów w Stanach Zjednoczonych.
2. "TARCZA PRYWATNOŚCI UE-USA"
(14) Tarcza Prywatności UE-USA opiera się na systemie samocertyfikacji, zgodnie z którym amerykańskie podmioty zobowiązują się przestrzegać zbioru zasad ochrony prywatności - zasad ramowych Tarczy Prywatności UE-USA, w tym zasad uzupełniających (zwanych dalej łącznie: "zasadami") - wydanych przez Departament Handlu USA i zawartych w załączniku II do niniejszej decyzji. Ma ona zastosowanie zarówno do administratorów danych, jak i podmiotów przetwarzających dane (przedstawicieli), z uwzględnieniem faktu, że podmioty przetwarzające muszą być zobowiązane umownie do działania wyłącznie na polecenie unijnego administratora danych i do wspomagania tego administratora w udzielaniu odpowiedzi osobom fizycznym, które korzystają ze swoich praw wynikających z zasad 14 .
(15) Bez uszczerbku dla przestrzegania przepisów krajowych przyjętych na mocy dyrektywy 95/46/WE niniejsza decyzja skutkuje tym, że przekazywanie danych od administratora danych lub podmiotu przetwarzającego dane w Unii do podmiotów w USA, które przyjęły zasady w drodze samocertyfikacji w Departamencie Handlu i zobowiązały się do ich przestrzegania, jest dozwolone. Zasady mają zastosowanie wyłącznie do przetwarzania danych osobowych przez amerykańskie podmioty w zakresie, w jakim przetwarzanie przez takie podmioty nie wchodzi w zakres prawodawstwa unijnego 15 . Tarcza Prywatności pozostaje bez wpływu na stosowanie unijnego prawodawstwa regulującego przetwarzanie danych osobowych w państwach członkowskich 16 .
(16) Ochrona zapewniana danym osobowym w ramach Tarczy Prywatności ma zastosowanie do wszystkich osób z UE, których dane dotyczą 17 i których dane osobowe zostały przekazane z Unii do podmiotów w USA, które przyjęły zasady w drodze samocertyfikacji w Departamencie Handlu.
(17) Zasady mają zastosowanie niezwłocznie po certyfikacji. Jedyny wyjątek odnosi się do zasady odpowiedzialności za wtórne przekazywanie, w przypadku gdy podmiot dokonujący samocertyfikacji w ramach Tarczy Prywatności łączą istniejące stosunki handlowe z osobami trzecimi. Jako że zapewnienie zgodności tych stosunków handlowych z regułami mającymi zastosowanie na mocy zasady odpowiedzialności za wtórne przekazywanie może nieco potrwać, podmiot będzie zobowiązany do zapewnienia tej zgodności jak najszybciej, a w żadnym razie nie później niż dziewięć miesięcy od daty certyfikacji (pod warunkiem że nastąpi to w ciągu pierwszych dwóch miesięcy następujących po dniu, w którym Tarcza Prywatności zacznie obowiązywać). W czasie tego okresu przejściowego podmiot musi stosować zasady powiadomienia i wyboru (umożliwiając tym samym wycofanie zgody przez osobę z UE, której dane dotyczą) oraz - w przypadku danych osobowych przekazywanych osobie trzeciej działającej w charakterze przedstawiciela - muszą upewnić się, że przedstawiciel zapewnia przynajmniej taki sam stopień ochrony, jaki jest wymagany w zasadach 18 . Ten okres przejściowy zapewnia racjonalną i odpowiednią równowagę pomiędzy przestrzeganiem prawa podstawowego do ochrony danych i uzasadnionymi potrzebami przedsiębiorstw, aby miały one wystarczająco dużo czasu na dostosowanie się do nowych ram, w przypadku gdy jest to również uzależnione od ich stosunków handlowych z osobami trzecimi.
(18) Systemem będzie zarządzał i będzie go monitorował Departament Handlu na podstawie jego zobowiązań przedstawionych w oświadczeniach amerykańskiej sekretarz handlu (załącznik I do niniejszej decyzji). W kwestii egzekwowania zasad Federalna Komisja Handlu (FTC) i Departament Transportu złożyły oświadczenia zawarte w załącznikach IV i V do niniejszej decyzji.
2.1. Zasady ochrony prywatności
(19) Aby dokonać samocertyfikacji w ramach Tarczy Prywatności UE-USA, podmioty muszą zobowiązać się do przestrzegania zasad 19 .
(20) Zgodnie z zasadą powiadomienia podmioty są zobowiązane przekazać osobom, których dane dotyczą, informacje na temat szeregu najważniejszych elementów związanych z przetwarzaniem ich danych osobowych (np. rodzaj gromadzonych danych, cel przetwarzania, prawo dostępu i wyboru, warunki wtórnego przekazywania i odpowiedzialności). Zastosowanie mają dodatkowe gwarancje, w szczególności zobowiązanie podmiotów do upubliczniania swoich strategii politycznych w obszarze ochrony prywatności (odzwierciedlających zasady) oraz do zamieszczania linków do strony internetowej Departamentu Handlu (wraz z dalszymi szczegółowymi informacjami na temat samocertyfikacji, praw osób, których dane dotyczą, oraz dostępnych mechanizmów ochrony prawnej), wykazu podmiotów uczestniczących w programie Tarczy Prywatności (o którym mowa w motywie 30), oraz strony internetowej odpowiedniego podmiotu świadczącego usługi w zakresie pozasądowego rozstrzygania sporów.
(21) Zgodnie z zasadą integralności danych i celowości dane osobowe muszą być ograniczone do tego, co jest istotne dla celu przetwarzania danych, muszą być zgodne ze swoim przeznaczeniem, dokładne, kompletne i aktualne. Podmiot nie może przetwarzać danych osobowych w sposób niezgodny z celem, dla którego były one pierwotnie gromadzone lub na który osoba, której dane dotyczą, wyraziła następnie zgodę. Podmioty muszą zapewnić, aby dane osobowe były zgodne z ich przeznaczeniem, dokładne, kompletne i aktualne.
(22) Jeżeli nowy (zmieniony) cel jest znacząco różny od pierwotnego celu, ale nadal z nim zgodny, zasada wyboru zapewnia osobom, których dane dotyczą, prawo do sprzeciwu (wycofania zgody). Zasada wyboru nie zastępuje wyraźnego zakazu przetwarzania danych w sposób niezgodny z zasadami 20 . Zasady szczególne zasadniczo umożliwiające wycofanie zgody na używanie danych osobowych "w dowolnym czasie" mają zastosowanie do marketingu bezpośredniego 21 . W przypadku danych wrażliwych podmioty muszą zazwyczaj uzyskać wyraźną zgodę osoby, której dane dotyczą.
(23) Mimo to na podstawie zasady integralności danych i celowości dane osobowe można przechowywać w postaci identyfikującej osobę fizyczną lub umożliwiającej jej zidentyfikowanie (a zatem w postaci danych osobowych) wyłącznie dopóty, dopóki służy to celowi lub celom, dla których dane te pierwotnie zgromadzono lub następnie zatwierdzono. Obowiązek ten nie uniemożliwia organizacjom uczestniczącym w programie Tarczy Prywatności dalszego przetwarzania danych osobowych przez dłuższy okres, ale tylko przez taki czas i w takim zakresie, który jest z rozsądnego punktu widzenia potrzebny do osiągnięcia jednego z następujących celów szczegółowych: archiwizacji w interesie publicznym, badań na potrzeby dziennikarstwa, literatury i sztuki, nauki i historii oraz analizy statystycznej. Dłuższe przechowywanie danych osobowych do jednego z tych celów będzie podlegać gwarancjom zapewnianym przez zasady.
(24) Zgodnie z zasadą bezpieczeństwa podmioty tworzące, przechowujące, wykorzystujące lub rozpowszechniające dane osobowe muszą podejmować "zasadne i odpowiednie" środki bezpieczeństwa, biorąc pod uwagę zagrożenia związane z przetwarzaniem danych osobowych i ich charakterem. W przypadku dalszego przetwarzania podmioty muszą zawrzeć umowę z podmiotem dokonującym dalszego przetwarzania, gwarantującą taki sam stopień ochrony jak stopień zapewniany przez zasady oraz muszą podjąć działania w celu zapewnienia prawidłowego wykonania tej umowy.
(25) Zgodnie z zasadą dostępu 22 osoby, których dane dotyczą, mają prawo, bez konieczności uzasadnienia i tylko po uiszczeniu niezawyżonej opłaty, uzyskać od podmiotu potwierdzenie, że przetwarza on ich dane osobowe oraz uzyskać te dane w rozsądnym terminie. Prawo to można ograniczyć jedynie w wyjątkowych okolicznościach; każda odmowa lub każde ograniczenie prawa dostępu musi być koniecznie i należycie uzasadnione, przy czym to na podmiocie spoczywa obowiązek wykazania spełnienia wspomnianych wymogów. Osoby, których dane dotyczą, muszą być w stanie skorygować, zmienić lub usunąć dane osobowe, w przypadku gdy są one nieprawidłowe lub przetwarzane z naruszeniem zasad. W obszarach, w których najbardziej prawdopodobne jest, że przedsiębiorstwa stosują zautomatyzowane przetwarzanie danych osobowych, podejmując decyzje mające wpływ na osoby fizyczne (np. udzielanie kredytów, oferty kredytów, zatrudnienie), w prawie amerykańskim zagwarantowano szczególne środki ochrony przed niekorzystnymi decyzjami 23 . Wspomniane akty prawne zazwyczaj zapewniają osobom fizycznym prawo do poznania szczegółowych powodów będących podstawą decyzji (np. odrzucenia wniosku o kredyt), prawo do zakwestionowania niekompletnych lub niedokładnych informacji (i podważenia faktu powołania się na czynniki niezgodne z prawem) oraz prawo do ochrony prawnej. Przepisy te zapewniają środki ochrony w prawdopodobnej ograniczonej liczbie przypadków, w których sam podmiot uczestniczący w programie Tarczy Prywatności podjąłby automatyczne decyzje 24 . Niemniej, mając na uwadze rosnące stosowanie zautomatyzowanego przetwarzania danych (w tym profilowania) jako podstawy podejmowania decyzji mających wpływ na osoby fizyczne w nowoczesnej gospodarce cyfrowej, jest to obszar, który wymaga ścisłego monitorowania. Aby ułatwić to monitorowanie, uzgodniono z organami USA, że dialog dotyczący zautomatyzowanego procesu decyzyjnego, w tym wymiana informacji na temat różnic i podobieństw między podejściem UE a USA w tym względzie, będzie stanowił część pierwszego corocznego przeglądu oraz, w stosownych przypadkach, kolejnych przeglądów.
(26) Zgodnie z zasadą dotyczącą ochrony prawnej, egzekwowania prawa oraz odpowiedzialności 25 uczestniczące podmioty muszą przedstawić solidne mechanizmy służące zapewnieniu zgodności z pozostałymi zasadami i środki ochrony prawnej dla osób z UE, których dane osobowe zostały przetworzone w sposób niezgodny z zasadami, w tym skuteczne środki odwoławcze. Jeżeli podmiot dobrowolnie zdecyduje się na samocertyfikację 26 w ramach Tarczy Prywatności UE-USA, ma obowiązek skutecznie przestrzegać zasad. Aby móc nadal korzystać z Tarczy Prywatności w celu otrzymywania danych osobowych z Unii, podmiot taki musi co roku ponownie dokonywać certyfikacji swojego uczestnictwa w przedmiotowych ramach. Podmioty muszą również podjąć środki w celu sprawdzenia 27 , czy opublikowana przez nie polityka ochrony prywatności odpowiada zasadom i czy jest w istocie przestrzegana. Można tego dokonać za pośrednictwem systemu samooceny, który musi obejmować wewnętrzne procedury zapewniające przeszkolenie pracowników w zakresie wdrażania polityki ochrony prywatności danej organizacji oraz przeprowadzanie okresowego, obiektywnego przeglądu zgodności lub zewnętrznych przeglądów zgodności, które mogą odbywać się w formie audytów lub kontroli wyrywkowych. Ponadto podmiot musi wdrożyć skuteczny mechanizm ochrony prawnej w celu rozpatrywania wszelkich skarg (zob. w tym kontekście także motyw 43) i musi podlegać uprawnieniom dochodzeniowym i wykonawczym FTC, Departamentu Transportu lub jakiegokolwiek innego amerykańskiego uprawnionego organu ustawowego, który skutecznie zapewni przestrzeganie zasad.
(27) Zasady szczególne mają zastosowanie do tzw. "wtórnego przekazywania", tj. przekazywania danych osobowych od podmiotu do administratora danych lub podmiotu przetwarzającego dane będących osobą trzecią, bez względu na to, czy ten administrator lub podmiot przetwarzający ma siedzibę w USA lub w państwie trzecim poza USA (i Unią). Celem tych zasad jest zapewnienie, by środki ochrony przyznane w przypadku danych osobowych osób z UE, których dane dotyczą, nie były naruszane i aby nie można było ich obejść poprzez przeniesienie ich na osoby trzecie. Ma to szczególne znaczenie w bardziej złożonych łańcuchach przetwarzania, które są typową cechą współczesnej gospodarki cyfrowej.
(28) Zgodnie z zasadą odpowiedzialności za wtórne przekazywanie 28 jakiekolwiek wtórne przekazywanie danych osobowych może się odbywać wyłącznie: (i) do ograniczonych i określonych celów; (ii) na podstawie umowy (lub porównywalnych uzgodnień wewnątrz grupy przedsiębiorstw 29 ) oraz (iii) tylko wtedy, gdy dana umowa zapewnia taki sam stopień ochrony jak stopień gwarantowany przez zasady i zawiera wymóg, zgodnie z którym zasady mogą zostać ograniczone wyłącznie w zakresie niezbędnym do osiągnięcia celów bezpieczeństwa narodowego, egzekwowania prawa i innych celów interesu publicznego 30 . Zasadę tę należy interpretować w związku z zasadą powiadomienia, a w przypadku wtórnego przekazywania do administratora danych będącego osobą trzecią 31 - zasadą wyboru; zgodnie z tymi zasadami osoby, których dane dotyczą, muszą być (między innymi) informowane o rodzaju/tożsamości jakiegokolwiek odbiorcy będącego osobą trzecią do celu wtórnego przekazywania oraz o oferowanym im wyborze, a także mogą sprzeciwić się (wycofać zgodę) lub w przypadku danych wrażliwych udzielić "wyraźnej zgody" na wtórne przekazywanie. W świetle zasady integralności danych i celowości obowiązek zapewnienia takiego samego stopnia ochrony jak stopień zagwarantowany w zasadach oznacza, że osoba trzecia może tylko przetwarzać przekazane jej dane osobowe do celów zgodnych z celami, dla których je pierwotnie zgromadzono lub dla których osoba fizyczna je następnie zatwierdziła.
(29) Obowiązek zapewnienia takiego samego stopnia ochrony jak stopień wymagany w zasadach ma zastosowanie do wszystkich osób trzecich zaangażowanych w przetwarzanie danych przekazywanych w taki sposób bez względu na ich położenie (w USA lub w innym państwie trzecim) oraz w przypadku gdy pierwotny odbiorca będący osobą trzecią sam przekazuje te dane innemu odbiorcy będącemu osobą trzecią przykładowo do celów dalszego przetwarzania. We wszystkich przypadkach w umowie z odbiorcą będącym osobą trzecią należy przewidzieć, aby ten odbiorca powiadomił podmiot uczestniczący w programie Tarczy Prywatności, jeżeli ustali, że nie jest w stanie dłużej spełniać tego obowiązku. W przypadku dokonania takiego ustalenia przetwarzanie przez osobę trzecią ustanie lub konieczne będzie podjęcie innych zasadnych i właściwych środków, aby znaleźć rozwiązanie zaistniałej sytuacji 32 . W przypadku problemów związanych ze zgodnością w łańcuchu (dalszego) przetwarzania podmiot uczestniczący w programie Tarczy Prywatności działający jako administrator danych osobowych będzie musiał udowodnić, że nie jest odpowiedzialny za zdarzenie powodujące szkodę ani w żaden inny sposób nie ponosi odpowiedzialności, jak określono w zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności. Dodatkowe środki ochrony mają zastosowanie w przypadku wtórnego przekazywania danych przedstawicielowi będącemu osobą trzecią 33 .
2.2. Przejrzystość Tarczy Prywatności UE-USA, zarządzanie i nadzór nad nią
(30) W ramach Tarczy Prywatności UE-USA przewidziano mechanizmy nadzoru i egzekwowania zasad w celu kontroli i zapewnienia przestrzegania zasad przez amerykańskie przedsiębiorstwa samocertyfikowane oraz usunięcie każdego przypadku nieprzestrzegania zasad. Wspomniane mechanizmy opisano w zasadach (załącznik II) i zobowiązaniach podjętych przez Departament Handlu (załącznik I), FTC (załącznik IV) i Departament Transportu (załącznik V).
(31) W celu zagwarantowania prawidłowego stosowania Tarczy Prywatności UE-USA zainteresowane strony, takie jak osoby, których dane dotyczą, podmioty przekazujące dane i krajowe organy ochrony danych muszą być w stanie identyfikować te podmioty, które przestrzegają zasad. W tym celu Departament Handlu podjął się prowadzenia i publicznego udostępniania wykazu podmiotów, które przyjęły zasady w drodze samocertyfikacji oraz podlegają właściwości co najmniej jednego organu egzekwowania prawa wymienionego w załącznikach I i II do niniejszej decyzji ("wykaz podmiotów uczestniczących w programie Tarczy Prywatności") 34 . Departament Handlu będzie aktualizował wykaz na podstawie dokonywanych przez podmioty corocznych zgłoszeń dotyczących ponownej certyfikacji oraz gdy dany podmiot wycofa się lub zostanie usunięty z programu Tarczy Prywatności UE-USA. Departament będzie również prowadził i publicznie udostępniał oficjalny rejestr podmiotów, które usunięto z wykazu, za każdym razem przedstawiając powód takiego usunięcia. Ponadto umieści link do wykazu spraw dotyczących egzekwowania prawa prowadzonych przez FTC w związku z Tarczą Prywatności, który znajduje się na stronie internetowej FTC.
(32) Departament Handlu poda do wiadomości publicznej na specjalnej stronie internetowej zarówno wykaz podmiotów uczestniczących w programie Tarczy Prywatności, jak i zgłoszenia ponownej certyfikacji. Samocertyfikowane podmioty muszą z kolei udostępnić adres internetowy strony Departamentu, na której zamieszczono wykaz podmiotów uczestniczących w programie Tarczy Prywatności. Ponadto, jeżeli polityka ochrony prywatności jest dostępna na stronie internetowej podmiotu, musi znaleźć się w niej link do strony internetowej poświęconej Tarczy Prywatności oraz link do strony internetowej lub formularza skargi w ramach mechanizmu niezależnej ochrony prawnej, który umożliwia badanie nierozstrzygniętych skarg. Departament Handlu będzie systematycznie sprawdzał, w kontekście certyfikacji i ponownej certyfikacji podmiotu w celu objęcia ramami, czy jego polityka ochrony prywatności jest zgodna z zasadami.
(33) Podmioty, które uporczywie nie przestrzegały zasad, zostaną usunięte z wykazu organizacji uczestniczących w programie Tarczy Prywatności i będą zobowiązane do zwrócenia lub usunięcia danych osobowych, które otrzymały w ramach Tarczy Prywatności UE-USA. W innych przypadkach usunięcia, np. w przypadku dobrowolnego wycofania się z udziału w programie Tarczy Prywatności lub niedopełnienia obowiązku odnowienia certyfikacji, podmiot może zatrzymać takie dane, jeżeli co roku przedstawi Departamentowi Handlu swoje zobowiązanie do stosowania zasad lub zapewniania odpowiedniej ochrony danych osobowych za pomocą innych zatwierdzonych środków (na przykład stosując umowę w pełni odzwierciedlającą wymogi odpowiednich standardowych klauzul umownych zatwierdzonych przez Komisję). W takim przypadku podmiot musi wskazać osobę odpowiedzialną za kontakty w obrębie podmiotu, która odpowie na wszystkie zapytania związane z Tarczą Prywatności.
(34) Departament Handlu będzie monitorował podmioty, które nie są już członkami programu Tarczy Prywatności UE-USA, ponieważ dobrowolnie się wycofały albo wygasła ich certyfikacja, w celu sprawdzenia, czy zwróciły, usunęły lub zatrzymały 35 dane osobowe otrzymane wcześniej w ramach programu. Jeżeli podmioty zatrzymają te dane, będą zobowiązane do dalszego stosowania zasad w odniesieniu do tych danych. W przypadkach, w których Departament Handlu usunął podmioty z przedmiotowych ram ze względu na uporczywe nieprzestrzeganie zasad, dopilnuje on, aby wspomniane podmioty zwróciły lub usunęły dane osobowe, które otrzymały w przedmiotowych ramach.
(35) Podmiot, który z jakiegokolwiek powodu wycofuje się z programu Tarczy Prywatności UE-USA, musi usunąć wszelkie oświadczenia publiczne, które sugerują, że podmiot wciąż aktywnie uczestniczy w programie Tarczy Prywatności UE-USA lub jest uprawniony do przywilejów wynikających z Tarczy Prywatności, w szczególności wszelkich odniesień do Tarczy Prywatności UE-USA w jego opublikowanej polityce ochrony prywatności. Departament Handlu będzie wyszukiwał fałszywe oświadczenia dotyczące uczestnictwa w programie składane m. in. przez byłych członków 36 oraz będzie podejmował działania zaradcze. Każde podanie do publicznej wiadomości fałszywej informacji dotyczącej przestrzegania przez podmiot zasad w postaci wprowadzających w błąd oświadczeń lub praktyk stanowi podstawę wszczęcia postępowania przez FTC, Departament Transportu lub inny odpowiedni organ egzekwowania prawa Stanów Zjednoczonych; podanie fałszywych informacji Departamentowi Handlu stanowi podstawę wszczęcia postępowania na podstawie ustawy o fałszywych oświadczeniach (tytuł 18 § 1001 U.S.C.) 37 .
(36) Departament Handlu będzie z urzędu monitorował wszelkie fałszywe oświadczenia dotyczące uczestnictwa w programie Tarczy Prywatności lub nieprawidłowego korzystania ze znaku certyfikacyjnego Tarczy Prywatności, zaś organy ochrony danych mogą skierować podmiot do wyznaczonej osoby odpowiedzialnej za kontakty w Departamencie celem przeprowadzenia przeglądu. Jeżeli podmiot wycofa się z programu Tarczy Prywatności UE-USA, nie dokona ponownej certyfikacji lub zostanie usunięty z wykazu podmiotów uczestniczących w programie Tarczy Prywatności, Departament Handlu będzie na bieżąco sprawdzał, czy dany podmiot usunął z opublikowanej przez siebie polityki prywatności wszelkie odniesienia do Tarczy Prywatności, które sugerowałyby aktywny udział, przy czym jeżeli nadal składa fałszywe oświadczenia, Departament Handlu przekaże sprawę FTC, Departamentowi Transportu lub innym właściwym organom w celu ewentualnego przeprowadzenia działań służących egzekwowaniu przepisów prawnych. Wyśle również kwestionariusze do podmiotów, których samocertyfikacje wygasły lub które dobrowolnie wycofały się z programu Tarczy Prywatności UE-USA, aby zweryfikować, czy dany podmiot ponownie zacznie stosować jej zasady, zaprzestanie ich stosowania lub nadal będzie je stosować do danych osobowych, które otrzymał w czasie, gdy uczestniczył w programie Tarczy Prywatności UE-USA, a jeżeli dane osobowe zostaną zatrzymane, zweryfikuje, kto w ramach podmiotu będzie pełnił funkcję osoby odpowiedzialnej za bieżące kontakty w przypadku zapytań związanych z Tarczą Prywatności.
(37) Departament Handlu będzie na bieżąco prowadził z urzędu przeglądy zgodności 38 samocertyfikowanych podmiotów, w tym poprzez wysyłanie szczegółowych kwestionariuszy. Departament będzie również systematycznie przeprowadzał przeglądy, ilekroć otrzyma konkretną (poważną) skargę, podmiot nie zareaguje w zadowalający sposób na jego zapytania lub będą istniały przekonujące dowody na to, że podmiot może nie przestrzegać zasad. W stosownych przypadkach Departament Handlu zasięgnie również opinii organów ochrony danych w kwestii tego rodzaju przeglądów zgodności.
2.3. Mechanizmy ochrony prawnej, rozpatrywanie skarg i egzekwowanie prawa
(38) Tarcza Prywatności UE-USA, za pośrednictwem zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności, nakłada na podmioty obowiązek zapewnienia osobom fizycznym, na które fakt nieprzestrzegania zasad wywarł wpływ, możliwości skorzystania z mechanizmu ochrony prawnej, tj. możliwości złożenia przez osoby z UE, których dane dotyczą, skarg na nieprzestrzeganie zasad przez samocertyfikowane przedsiębiorstwa amerykańskie, a także możliwości rozpatrzenia tych skarg, w razie potrzeby w drodze decyzji zapewniającej skuteczny środek ochrony prawnej.
(39) W ramach podejmowanych we własnym zakresie działań w obszarze samocertyfikacji podmioty muszą spełnić wymogi przewidziane w zasadzie dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności, zapewniając możliwość skorzystania ze skutecznych i łatwo dostępnych mechanizmów niezależnej ochrony prawnej umożliwiających badanie i szybkie rozstrzyganie skarg oraz sporów poszczególnych osób fizycznych bez konieczności ponoszenia przez nie jakichkolwiek kosztów.
(40) Podmioty mogą wybrać mechanizmy niezależnej ochrony prawnej w Unii albo w Stanach Zjednoczonych. Mogą również podjąć dobrowolne zobowiązanie do współpracy z unijnymi organami ochrony danych. Podmioty nie dysponują jednak swobodą uznania w przypadku, gdy przetwarzają dane o zasobach ludzkich, ponieważ w takiej sytuacji współpraca z organami ochrony danych jest obowiązkowa. Wśród innych rozwiązań alternatywnych należy wymienić niezależne pozasądowe rozstrzyganie sporów lub programy prywatności opracowane przez podmioty sektora prywatnego, w które wbudowano zasady ochrony prywatności. Wspomniane programy muszą obejmować skuteczne mechanizmy egzekwowania prawa zgodne z wymogami zasady dotyczącej ochrony prawnej, egzekwowania prawa oraz odpowiedzialności. Podmioty są zobowiązane do rozwiązania wszelkich problemów związanych z nieprzestrzeganiem zasad. Podmioty muszą również wskazać, że podlegają uprawnieniom dochodzeniowym i wykonawczym FTC, Departamentu Transportu lub jakiegokolwiek innego amerykańskiego uprawnionego organu ustawowego.
(41) Tym samym ramy Tarczy Prywatności zapewniają osobom, których dane dotyczą, szereg środków służących egzekwowaniu przysługujących im praw, składaniu skarg na nieprzestrzeganie zasad przez samocertyfikowane przedsiębiorstwa amerykańskie, a także uzyskanie rozstrzygnięcia takich skarg, w razie konieczności w drodze decyzji zapewniającej skuteczny środek ochrony prawnej. Osoby fizyczne mogą wnieść skargę bezpośrednio do podmiotu, niezależnego organu ds. rozstrzygania sporów wyznaczonego przez podmiot, krajowych organów ochrony danych lub FTC.
(42) Jeżeli skargi wniesione przez osoby fizyczne nie zostaną rozstrzygnięte w ramach żadnego z wymienionych mechanizmów ochrony prawnej lub egzekwowania prawa, osoby fizyczne mają również prawo poddać sprawę pod arbitraż panelu ds. Tarczy Prywatności (załącznik 1 do załącznika II do niniejszej decyzji). Poza panelem arbitrażowym, do którego można wnieść dany spór wyłącznie po wyczerpaniu określonych środków ochrony prawnej, osoby fizyczne mogą podjąć decyzję o zastosowaniu dowolnego mechanizmu ochrony prawnej lub wszystkich tych mechanizmów jednocześnie i nie są zobowiązane do ograniczenia się wyłącznie do jednego mechanizmu ani do korzystania z nich w określonym porządku. Istnieje jednak pewien porządek logiczny, którego osoby fizyczne powinny się trzymać, jak przedstawiono poniżej.
(43) Po pierwsze, osoby z UE, których dane dotyczą, mogą zgłaszać roszczenia dotyczące nieprzestrzegania zasad za pośrednictwem osób odpowiedzialnych za bezpośrednie kontakty w amerykańskim przedsiębiorstwie, które dokonało samocertyfikacji. Aby ułatwić rozstrzygnięcie sporu, podmiot musi wdrożyć skuteczny mechanizm ochrony prawnej w celu rozpatrywania takich skarg. Dlatego też prowadzona przez dany podmiot polityka ochrony prywatności musi zapewniać osobom fizycznym wyraźne informacje na temat osoby odpowiedzialnej za kontakty wewnątrz podmiotu albo poza podmiotem, która będzie rozpatrywać skargi (w tym wszelkie istotne organy w Unii, które mogą odpowiadać na zapytania lub skargi), oraz na temat niezależnych mechanizmów rozpatrywania skarg.
(44) Po otrzymaniu skargi złożonej przez osobę fizyczną bezpośrednio lub za pośrednictwem Departamentu Handlu w następstwie zgłoszenia przez organ ochrony danych podmiot musi, w terminie 45 dni, udzielić odpowiedzi osobie z UE, której dane dotyczą. Odpowiedź ta musi zawierać ocenę zasadności skargi oraz informacje na temat tego, w jaki sposób podmiot rozwiąże problem. Podobnie podmioty są zobowiązane do bezzwłocznego reagowania na zapytania i inne wnioski o udzielenie informacji złożone przez Departament Handlu lub organ ochrony danych 39 (jeżeli podmiot zobowiązał się do współpracy z organami ochrony danych) dotyczące przestrzegania przez nie zasad. Podmioty muszą zachowywać swoje dokumenty dotyczące wdrażania polityki ochrony prywatności oraz udostępniać je na żądanie mechanizmowi niezależnej ochrony prawnej lub FTC (lub innemu amerykańskiemu organowi właściwemu do badania nieuczciwych i wprowadzających w błąd praktyk) w kontekście dochodzenia lub skargi dotyczącej nieprzestrzegania zasad.
(45) Po drugie, osoby fizyczne mogą również wnieść skargę bezpośrednio do niezależnego organu ds. rozstrzygania sporów (w Stanach Zjednoczonych albo Unii) wyznaczonego przez podmiot w celu badania i rozstrzygania skarg osób fizycznych (chyba że są w oczywisty sposób bezpodstawne lub niepoważne) oraz zapewnienia właściwej nieodpłatnej ochrony prawnej osobie fizycznej. Sankcje i środki ochrony prawnej nałożone przez taki organ muszą być wystarczająco rygorystyczne, aby zapewnić przestrzeganie zasad przez podmioty, oraz powinny przewidywać usunięcie lub skorygowanie przez podmiot skutków nieprzestrzegania zasad oraz, w zależności od okoliczności, zakończenie dalszego przetwarzania danych osobowych lub ich usunięcie, a także podanie do publicznej wiadomości stwierdzonych przypadków nieprzestrzegania zasad. Wyznaczone przez podmiot niezależne organy ds. rozpatrywania sporów będą zobowiązane do umieszczania na swoich ogólnodostępnych stronach internetowych stosownych informacji na temat Tarczy Prywatności UE-USA i usług, jakie świadczą w ramach tego programu. Co roku muszą publikować sprawozdanie roczne zawierające zagregowane dane statystyczne dotyczące takich usług 40 .
(46) W ramach swoich procedur kontroli zgodności Departament Handlu sprawdzi, czy amerykańskie przedsiębiorstwa samocertyfikowane faktycznie zarejestrowały się, jak twierdzą, w mechanizmach niezależnej ochrony prawnej. Zarówno podmioty, jak i odpowiedzialne mechanizmy niezależnej ochrony prawnej są zobowiązane do bezzwłocznego reagowania na złożone przez Departament Handlu zapytania i wnioski o informacje dotyczące Tarczy Prywatności.
(47) W przypadkach, w których podmiot nie zastosuje się do orzeczenia organu ds. rozstrzygania sporów lub organu samoregulacyjnego, ten ostatni musi zgłosić taki przypadek Departamentowi Handlu i FTC (lub innemu amerykańskiemu organowi właściwemu do badania nieuczciwych i wprowadzających w błąd praktyk) lub właściwemu sądowi 41 . Jeżeli podmiot odmówi zastosowania się do ostatecznego ustalenia dowolnego organu samoregulacyjnego ds. ochrony prywatności, niezależnego organu ds. rozwiązywania sporów lub organu rządowego lub gdy organ taki uzna, że podmiot często nie przestrzega zasad, sytuacja taka zostanie uznana za uporczywe nieprzestrzeganie zasad, w rezultacie czego Departament Handlu - po przekazaniu podmiotowi nieprzestrzegającemu zasad stosownego powiadomienia z trzydziestodniowym wyprzedzeniem, aby zapewnić mu możliwość ustosunkowania się do zarzutów - skreśli ten podmiot z wykazu 42 . Jeżeli po usunięciu podmiotu z wykazu w dalszym ciągu będzie on deklarował zgodność z zasadami Tarczy Prywatności, departament przekaże sprawę do rozpoznania FTC lub innemu organowi egzekwowania prawa 43 .
(48) Po trzecie, osoby fizyczne mogą również wnosić swoje skargi do krajowego organu ochrony danych. Podmioty są zobowiązane do współpracy przy badaniu i rozstrzyganiu skarg przez organ ochrony danych, jeżeli dotyczą one przetwarzania danych o zasobach ludzkich gromadzonych w kontekście stosunku pracy albo jeżeli dany podmiot dobrowolnie poddał się nadzorowi organów ochrony danych. W szczególności podmioty muszą odpowiadać na zapytania, postępować zgodnie z zaleceniami organów ochrony danych, w tym środkami ochrony prawnej lub środkami odszkodowawczymi, oraz przekazywać organowi ochrony danych pisemne potwierdzenie o podjęciu takich działań.
(49) Porady organów ochrony danych będą udzielane za pośrednictwem nieformalnej grupy organów ochrony danych ustanowionej na poziomie Unii 44 , co pomoże zapewnić rozpatrywanie poszczególnych spraw w skoordynowany i spójny sposób. Porady zostaną udzielone dopiero wówczas, gdy obie strony sporu miały należytą możliwość wypowiedzenia się i przedstawienia wszystkich dowodów zgodnie z własnym uznaniem. Panel przekaże porady tak szybko, jak stanowi wymóg należytej procedury, i co do zasady w ciągu 60 dni po otrzymaniu skargi. Jeżeli podmiot nie zastosuje się do porad w ciągu 25 dni od ich otrzymania i nie poda zadowalającego usprawiedliwienia takiego opóźnienia, panel zawiadomi go o swoim zamiarze przekazania sprawy FTC (lub innemu właściwemu amerykańskiemu organowi egzekwowania prawa) lub o zamiarze stwierdzenia poważnego naruszenia zobowiązania do współpracy. W pierwszym przypadku może to prowadzić do podjęcia działania służącego egzekwowaniu na podstawie sekcji 5 ustawy o FTC (lub podobnej ustawy). W drugim przypadku panel poinformuje Departament Handlu, który uzna fakt niezastosowania się przez podmiot do wydanych przez panel organów ochrony danych zaleceń za uporczywe nieprzestrzeganie zasad, co doprowadzi do usunięcia podmiotu z wykazu podmiotów uczestniczących w programie Tarczy Prywatności.
(50) Jeżeli organ ochrony danych, do którego skierowano skargę, nie podejmie żadnego działania w celu rozstrzygnięcia skargi lub podjęte przez niego działanie okaże się niewystarczające, skarżący będący osobą fizyczną może zaskarżyć takie działanie (zaniechanie) do sądów krajowych danego państwa członkowskiego.
(51) Osoby fizyczne mogą również wnieść skargi do organów ochrony danych nawet w przypadku, gdy panel organów ochrony danych nie został wyznaczony jako organ ds. rozstrzygania sporów danego podmiotu. W takich przypadkach organ ochrony danych może przekazać otrzymane skargi do rozpoznania przez Departament Handlu albo FTC. Aby ułatwić i pogłębić współpracę w kwestiach dotyczących skarg wnoszonych przez osoby fizyczne i nieprzestrzegania zasad przez podmioty uczestniczące w programie Tarczy Prywatności, Departament Handlu powoła specjalną osobę odpowiedzialną za kontakty, która będzie działała jako łącznik oraz będzie pomagać organowi ochrony danych w udzielaniu odpowiedzi na zapytania dotyczące przestrzegania zasad przez dany podmiot 45 . Podobnie FTC zobowiązało się do ustanowienia specjalnej osoby odpowiedzialnej za kontakty 46 oraz do zapewniania organom ochrony danych wsparcia w prowadzeniu dochodzeń zgodnie z amerykańską ustawą o bezpieczeństwie w sieci 47 .
(52) Po czwarte, Departament Handlu zobowiązał się do przyjmowania i rozpatrywania skarg oraz dokładania wszelkich starań w celu rozstrzygnięcia skarg dotyczących nieprzestrzegania zasad przez podmioty. W tym celu Departament Handlu zapewnia organom ochrony danych szczegółowe procedury przekazywania skarg osobie wyznaczonej do kontaktów, śledzenia ich oraz kontaktowania się z przedsiębiorstwami w celu ułatwienia procesu rozstrzygania skarg. Aby przyspieszyć proces rozpatrywania skarg osób fizycznych, osoba wyznaczona do kontaktów będzie współpracować bezpośrednio z odpowiednim organem ochrony danych w kwestiach przestrzegania zasad, a w szczególności będzie przekazywać mu aktualne informacje na temat statusu skarg w okresie nie dłuższym niż 90 dni od daty zgłoszenia. Dzięki temu osoby, których dane dotyczą, będą mogły składać skargi dotyczące nieprzestrzegania zasad przez amerykańskie przedsiębiorstwa samocertyfikowane bezpośrednio ich krajowemu organowi ochrony danych, który następnie przekaże je Departamentowi Handlu jako amerykańskiemu organowi zarządzającemu Tarczą Prywatności UE-USA. Departament Handlu zobowiązał się również do opracowania, w ramach rocznego przeglądu funkcjonowania Tarczy Prywatności UE-USA, sprawozdania zawierającego zbiorczą analizę skarg otrzymanych każdego roku 48 .
(53) Jeżeli, na podstawie kontroli przeprowadzonej z urzędu, skarg lub innych informacji, Departament Handlu stwierdzi, że podmiot uporczywie nie przestrzega zasad ochrony prywatności, wówczas usunie taki podmiot z wykazu podmiotów uczestniczących w programie Tarczy Prywatności. Odmowa zastosowania się do ostatecznego ustalenia dowolnej instytucji samoregulującej ochronę prywatności, niezależnego organu rozstrzygania sporów lub organu rządowego, w tym organu ochrony danych, zostanie uznana za uporczywe nieprzestrzeganie zasad.
(54) Po piąte, podmiot uczestniczący w programie Tarczy Prywatności musi respektować uprawnienia organów amerykańskich, w szczególności Federalnej Komisji Handlu 49 , w zakresie prowadzenia dochodzeń i egzekwowania prawa, co skutecznie zapewni przestrzeganie zasad przez ten podmiot. FTC będzie priorytetowo traktowało zgłoszenia dotyczące nieprzestrzegania zasad ochrony prywatności otrzymane od niezależnego organu ds. rozstrzygania sporów lub organu samoregulacyjnego, Departamentu Handlu i organów ochrony danych (działających z własnej inicjatywy lub na podstawie skarg), aby ustalić, czy doszło do naruszenia przepisów sekcji 5 ustawy o FTC 50 . FTC zobowiązało się do ustanowienia standardowego procesu zgłaszania, wyznaczenia osoby odpowiedzialnej za kontakty w agencji, która będzie zajmowała się zgłoszeniami organów ochrony danych, oraz do wymiany informacji na temat zgłoszeń. Ponadto FTC będzie przyjmowało skargi bezpośrednio od osób fizycznych i z własnej inicjatywy będzie przeprowadzić dochodzenia dotyczące Tarczy Prywatności, w szczególności w ramach szerzej zakrojonych dochodzeń dotyczących kwestii prywatności.
(55) FTC może wyegzekwować przestrzeganie zasad za pomocą zarządzeń administracyjnych ("ugód") i systematycznie będzie monitorować stosowanie się do takich zarządzeń. Jeżeli podmioty nie przestrzegają zarządzeń, FTC może skierować sprawę do właściwego sądu w celu nałożenia sankcji cywilnych i innych środków ochrony prawnej, w tym za wszelkie szkody spowodowane niezgodnym z prawem postępowaniem. FTC może również bezpośrednio wystąpić do sądu federalnego o nałożenie wstępnego lub stałego nakazu lub zakazu sądowego lub innych środków ochrony prawnej. Każda ugoda wystawiona na rzecz podmiotu uczestniczącego w programie Tarczy Prywatności będzie zawierała przepisy dotyczące samozgłaszania 51 , a podmioty będą zobowiązane do podawania do wiadomości publicznej wszelkich istotnych i związanych z Tarczą Prywatności sekcji wszelkich przedłożonych FTC sprawozdań dotyczących przestrzegania zasad lub sprawozdań z oceny. Ponadto FTC będzie prowadziło internetowy wykaz przedsiębiorstw podlegających orzeczeniom FTC lub sądu w sprawach dotyczących Tarczy Prywatności.
(56) Po szóste, w ramach mechanizmu ochrony prawnej "ostatniej szansy", w przypadku gdy żadne z pozostałych dostępnych środków odwoławczych nie przyniosły zadowalającego rozstrzygnięcia skargi osoby fizycznej, osoba z UE, której dane dotyczą, może poddać sprawę pod arbitraż panelu ds. Tarczy Prywatności. Podmioty muszą poinformować osoby fizyczne o możliwości wystąpienia - po spełnieniu określonych warunków - o arbitraż i są zobowiązane do udzielenia odpowiedzi, w przypadku gdy dana osoba fizyczna zdecyduje się skorzystać z tej możliwości, przekazując powiadomienie stosownemu podmiotowi 52 .
(57) Wspomniany panel arbitrażowy będzie się składał z co najmniej 20 arbitrów wyznaczonych przez Departament Handlu i Komisję w oparciu o ich niezależność, prawość oraz doświadczenie w zakresie amerykańskich przepisów dotyczących ochrony prywatności i unijnego prawa o ochronie danych. W odniesieniu do każdego sporu dotyczącego osoby fizycznej strony wybiorą z tej grupy panel złożony z jednego arbitra lub trzech 53 arbitrów. Postępowanie będzie prowadzone zgodnie ze standardowymi zasadami arbitrażu uzgodnionymi przez Departament Handlu i Komisję. Zasady te będą uzupełniały obowiązujące ramy, w których przewidziano szereg elementów przyczyniających się do zwiększenia dostępności tego mechanizmu dla osób z UE, których dane dotyczą: (i) przygotowując skargę do rozpoznania przez panel, osoba, której dane dotyczą, może korzystać ze wsparcia swojego krajowego organu ochrony danych; (ii) chociaż miejscem prowadzenia postępowania arbitrażowego będą Stany Zjednoczone, osoba z UE, której dane dotyczą, może zdecydować się na udział w nim za pośrednictwem wideokonferencji lub konferencji telefonicznej, która zostanie zorganizowana nieodpłatnie; (iii) choć zasadniczo postępowanie arbitrażowe będzie prowadzone w języku angielskim, po otrzymaniu uzasadnionego wniosku tłumaczenie ustne podczas postępowania arbitrażowego oraz tłumaczenie pisemne zostanie z reguły 54 zapewnione nieodpłatnie; (iv) chociaż każda ze stron musi ponieść własne koszty zastępstwa procesowego, jeżeli jest reprezentowana przed panelem przez pełnomocnika, Departament Handlu ustanowi fundusz zasilany rocznymi składkami wpłacanymi przez podmioty uczestniczące w programie Tarczy Prywatności, który pokryje kwalifikujące się koszty procedury arbitrażowej, do kwot maksymalnych, które zostaną ustalone przez organy amerykańskie w porozumieniu z Komisją.
(58) Panel ds. Tarczy Prywatności będzie uprawniony do przyznania "niepieniężnego godziwego zadośćuczynienia danej osobie fizycznej" 55 , które jest niezbędne do usunięcia niezgodności z zasadami. Chociaż panel, podejmując decyzję, uwzględni inne środki ochrony prawnej uzyskane już w ramach innych mechanizmów Tarczy Prywatności, osoby fizyczne mogą nadal wnieść o arbitraż, jeżeli uznają te inne środki ochrony prawnej za niewystarczające. Pozwoli to osobom z UE, których dane dotyczą, wszczęcie arbitrażu we wszystkich przypadkach, gdy działanie lub bezczynność właściwych organów amerykańskich (np. FTC) nie doprowadziły do zadowalającego rozstrzygnięcia ich skarg. Z arbitrażu nie można skorzystać w przypadku, gdy organ ochrony danych jest uprawniony z mocy prawa do rozstrzygnięcia konkretnego roszczenia dotyczącego amerykańskiego przedsiębiorstwa samocertyfikowanego, tj. w tych przypadkach, w których podmiot albo jest zobowiązany do współpracy i zastosowania się do porad organów ochrony danych dotyczących przetwarzania danych o zasobach ludzkich zgromadzonych w ramach stosunku pracy, albo dobrowolnie się do tego zobowiązał. Osoby fizyczne mogą dochodzić wykonania orzeczenia arbitrażowego przed sądami amerykańskimi zgodnie z federalną ustawą o arbitrażu, co zapewnia środek ochrony prawnej w sytuacji, gdy przedsiębiorstwo nie wywiąże się ze spoczywających na nim zobowiązań.
(59) Po siódme, jeżeli podmiot nie wywiąże się ze swojego zobowiązania do przestrzegania zasad i opublikowanej polityki ochrony prywatności, wówczas mogą być dostępne inne sądowe środki odwoławcze na mocy prawa poszczególnych stanów USA, w których przewidziano środki ochrony prawnej na mocy prawa deliktów oraz w przypadkach podania fałszywych informacji w celu wprowadzenia w błąd, podejmowania nieuczciwych lub oszukańczych działań lub stosowania nieuczciwych lub oszukańczych praktyk lub naruszenia umowy.
(60) Ponadto, jeżeli organ ochrony danych, po otrzymaniu skargi złożonej przez osobę z UE, której dane dotyczą, uzna, że dane osobowe osoby fizycznej przekazywano podmiotowi ze Stanów Zjednoczonych z naruszeniem przepisów UE dotyczących ochrony danych, w tym jeżeli podmiot eksportujący dane z UE ma podstawy, by przypuszczać, że odnośny podmiot nie przestrzega przedmiotowych zasad, może skorzystać ze swoich uprawnień również względem podmiotu przekazującego dane oraz, w razie potrzeby, zarządzić zawieszenie przekazywania danych.
(61) W świetle informacji przedstawionych w niniejszej sekcji Komisja stwierdza, że zasady opublikowane przez Departament Handlu Stanów Zjednoczonych jako takie zapewniają stopień ochrony danych osobowych, który jest zasadniczo równoważny stopniowi ochrony gwarantowanemu zgodnie z podstawowymi zasadami ustanowionymi w dyrektywie 95/46/WE.
(62) Ponadto ustanowienie zobowiązań w zakresie przejrzystości, zarządzanie Tarczą Prywatności oraz przeprowadzanie przeglądu zgodności z zasadami przez Departament Handlu gwarantuje skuteczne stosowanie zasad.
(63) Ponadto Komisja stwierdza, że mechanizmy nadzoru, mechanizmy odwoławcze i mechanizmy egzekwowania prawa przewidziane w Tarczy Prywatności - rozumiane jako całość - zapewniają możliwość identyfikowania przypadków naruszenia zasad przez podmioty uczestniczące w programie Tarczy Prywatności i nakładania za nie kar w praktyce i oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do danych na ich temat oraz - ostatecznie - skorygowania lub usunięcia takich danych.
3. DOSTĘP DO DANYCH OSOBOWYCH PRZEKAZYWANYCH PRZEZ AMERYKAŃSKIE ORGANY PUBLICZNE W RAMACH TARCZY PRYWATNOŚCI UE-USA I KORZYSTANIE Z TYCH DANYCH
(64) Zgodnie z załącznikiem II sekcja I pkt 5 przestrzeganie zasad ogranicza się do zakresu, w jakim jest to konieczne do spełnienia wymogów bezpieczeństwa narodowego, interesu publicznego lub egzekwowania prawa.
(65) Komisja oceniła przewidziane w prawie amerykańskim ograniczenia i gwarancje w zakresie dostępu do danych osobowych przekazywanych przez amerykańskie organy publiczne w ramach Tarczy Prywatności UE-USA i korzystania z tych danych do celów bezpieczeństwa narodowego, egzekwowania prawa i innych celów leżących w interesie publicznym. Ponadto rząd Stanów Zjednoczonych - za pośrednictwem Urzędu Dyrektora Krajowych Służb Wywiadowczych 56 - przekazał Komisji szczegółowe oświadczenia i zobowiązania, które zawarto w załączniku VI do niniejszej decyzji. Na mocy pisma podpisanego przez sekretarza stanu i dołączonego jako załącznik III do niniejszej decyzji rząd Stanów Zjednoczonych zobowiązał się również do utworzenia nowego mechanizmu nadzoru nad przypadkami ingerencji ze względu na bezpieczeństwo narodowe, tj. do powołania Rzecznika ds. Tarczy Prywatności, który jest organem niezależnym od Wspólnoty Wywiadowczej. W oświadczeniu Departamentu Sprawiedliwości Stanów Zjednoczonych zawartym w załączniku VII do niniejszej decyzji opisano ograniczenia i gwarancje mające zastosowanie do dostępu organów publicznych do danych w celu egzekwowania prawa i w innych celach leżących w interesie publicznym oraz korzystania z tych danych przez organy publiczne. Aby zwiększyć przejrzystości i odzwierciedlić prawny charakter tych zobowiązań, każdy z dokumentów zamieszczonych w wykazie i załączonych do niniejszej decyzji zostanie opublikowany w amerykańskim Rejestrze Federalnym.
(66) Poniżej bardziej szczegółowo opisano ustalenia Komisji w kwestii ograniczeń dostępu do danych osobowych przekazywanych z Unii Europejskiej do Stanów Zjednoczonych przez amerykańskie organy publiczne i ograniczeń w zakresie korzystania z tych danych, a także ustalenia w kwestii istnienia skutecznych środków ochrony prawnej w tym zakresie.
3.1. Dostęp amerykańskich organów publicznych do danych w celach związanych z bezpieczeństwem narodowym i korzystanie przez amerykańskie organy publiczne z tych danych w celach związanych z bezpieczeństwem narodowym
(67) Przeprowadzona przez Komisję analiza wykazała, że w prawie amerykańskim ustanowiono szereg ograniczeń dostępu do danych osobowych przekazywanych w ramach Tarczy Prywatności UE-USA do celów związanych z bezpieczeństwem narodowym oraz ograniczenia w zakresie korzystania z tych danych, a także mechanizmy nadzoru i ochrony prawnej, które w dostatecznym stopniu gwarantują, że dane te będą należycie chronione przed bezprawną ingerencją i ryzykiem dopuszczania się wobec nich nadużyć 57 . Jak opisano poniżej, wspomniane ramy prawne zostały istotnie wzmocnione od 2013 r., kiedy Komisja opublikowała swoje dwa komunikaty (zob. motyw 7).
3.1.1. Ograniczenia
(68) Zgodnie z konstytucją Stanów Zjednoczonych odpowiedzialność za zapewnienie bezpieczeństwa narodowego spoczywa na Prezydencie, który pełni funkcję Naczelnego Wodza i Zwierzchnika Sił Zbrojnych i który jest uprawniony do kształtowania polityki zagranicznej Stanów Zjednoczonych w obszarze wywiadu zagranicznego 58 . Choć Kongres posiada kompetencje do nakładania ograniczeń i wielokrotnie korzystał z tego uprawnienia, Prezydent jest uprawniony do kierowania działalnością Wspólnoty Wywiadowczej Stanów Zjednoczonych w tym obszarze, w szczególności za pomocą rozporządzeń wykonawczych lub dyrektyw Prezydenta. Dotyczy to oczywiście również tych obszarów, w odniesieniu do których Kongres nie opublikował żadnych wytycznych. Obecnie można wskazać dwa kluczowe instrumenty prawne w tym obszarze: rozporządzenie wykonawcze 12333 ("rozporządzenie wykonawcze 12333") 59 i dyrektywę polityczną Prezydenta nr 28.
(69) W dyrektywie politycznej Prezydenta nr 28 wydanej w dniu 17 stycznia 2014 r. na operacje w obszarze "rozpoznania radioelektronicznego" nałożono szereg ograniczeń 60 . Dyrektywa Prezydenta jest wiążąca dla amerykańskich organów wywiadowczych 61 i pozostaje w mocy po zmianie administracji Stanów Zjednoczonych 62 . Dyrektywa polityczna Prezydenta nr 28 ma szczególne znaczenie dla osób niebędących obywatelami ani rezydentami amerykańskimi, uwzględniając osoby z UE, których dane dotyczą. Dyrektywa ta stanowi m.in., że:
a) dane pochodzące z rozpoznania radioelektronicznego muszą być gromadzone zgodnie z przepisami ustawy lub zgodnie z upoważnieniem wydanym przez Prezydenta, a działania w obszarze rozpoznania radioelektronicznego muszą być podejmowane zgodnie z konstytucją Stanów Zjednoczonych (w szczególności zgodnie z czwartą poprawką) i zgodnie z prawem amerykańskim;
b) wszystkie osoby powinny być traktowane z godnością i szacunkiem, niezależnie od ich narodowości lub miejsca zamieszkania;
c) wszystkie osoby posiadają uzasadniony interes w dążeniu do zapewnienia poszanowania ich prywatności przy przetwarzaniu dotyczących ich danych osobowych;
d) kwestie związane z prywatnością i wolnościami obywatelskimi mają kluczowe znaczenie w kontekście planowania działań Stanów Zjednoczonych w obszarze rozpoznania radioelektronicznego;
e) dlatego też przy podejmowaniu działań w obszarze rozpoznania radioelektronicznego organy amerykańskie muszą uwzględnić odpowiednie gwarancje w zakresie ochrony danych osobowych wszystkich osób fizycznych, niezależnie od ich narodowości lub miejsca zamieszkania.
(70) Dyrektywa polityczna Prezydenta nr 28 stanowi, że dane pochodzące z rozpoznania radioelektronicznego można gromadzić wyłącznie w celach związanych z prowadzeniem działalności w obszarze wywiadu lub kontrwywiadu zagranicznego, aby wesprzeć organy krajowe i organy wchodzące w skład departamentów w realizacji powierzonych im zadań i że nie można ich gromadzić w żadnych innych celach (np. w celu przyznania korzyści konkurencyjnej przedsiębiorstwom amerykańskim). W tym kontekście Urząd Dyrektora Krajowych Służb Wywiadowczych wyjaśnił, że jednostki Wspólnoty Wywiadowczej "powinny ustanowić wymóg, aby w miarę możliwości koncentrować się na konkretnych celach lub zagadnieniach związanych z wywiadem zagranicznym, stosując obowiązujące wyróżniki (np. określone urządzenia, terminy umożliwiające selekcję i kryteria identyfikujące)" 63 . Ponadto w oświadczeniach zagwarantowano, że podmiotami odpowiedzialnymi za podjęcie decyzji w kwestii gromadzenia danych wywiadowczych nie będą poszczególni przedstawiciele służb wywiadowczych - kwestie te zostaną uregulowane w politykach i procedurach stosowanych przez różne jednostki (agencje) Wspólnoty Wywiadowczej Stanów Zjednoczonych, które agencje te są zobowiązane przyjąć w celu wdrożenia dyrektywy politycznej Prezydenta nr 28 64 . W związku z powyższym proces analizowania i ustanawiania odpowiednich selektorów odbywa się w kontekście ogólnych "ram amerykańskich priorytetów wywiadowczych", które zapewniają wyznaczanie priorytetów wywiadowczych przez decydentów wysokiego szczebla i poddawanie ich regularnym przeglądom, aby w odpowiedni sposób odnosiły się do bieżących zagrożeń dla bezpieczeństwa narodowego i uwzględniały potencjalne czynniki ryzyka, w tym czynniki ryzyka stwarzające zagrożenie dla prywatności 65 . Na tej podstawie personel agencji wyszukuje i identyfikuje konkretne terminy umożliwiające selekcję, co do których oczekuje się, że pomogą zgromadzić zagraniczne dane wywiadowcze stosownie do priorytetów 66 . Terminy umożliwiające selekcję, czyli "selektory" muszą być regularnie ocenianie, aby ustalić, czy w dalszym ciągu dostarczają wartościowych danych wywiadowczych zgodnie z priorytetami 67 .
(71) Ponadto ustanowione w dyrektywie politycznej Prezydenta nr 28 wymogi, zgodnie z którymi proces gromadzenia danych wywiadowczych musi być zawsze 68 "w jak największym stopniu dostosowany do indywidualnych potrzeb", a Wspólnota Wywiadowcza musi w pierwszej kolejności podjąć próbę wyszukania innych informacji lub pozyskania poszukiwanych informacji z innych odpowiednich źródeł 69 , odzwierciedlają ogólną zasadę nadrzędności ukierunkowanego gromadzenia danych nad hurtowym gromadzeniem danych. Zgodnie z gwarancją przedstawioną przez Urząd Dyrektora Krajowych Służb Wywiadowczych Urząd dopilnowuje, aby hurtowe gromadzenie danych nie miało "powszechnego" ani "bezkrytycznego" charakteru oraz aby wyjątek nie stał się regułą 70 .
(72) Choć w dyrektywie politycznej Prezydenta nr 28 wyjaśniono, że jednostki Wspólnoty Wywiadowczej muszą w określonych przypadkach hurtowo gromadzić dane pochodzące z rozpoznania radioelektronicznego, na przykład w celu zidentyfikowania i oceny nowych lub pojawiających się zagrożeń, podmiotom tym zaleca się korzystanie w pierwszej kolejności z rozwiązań umożliwiających ukierunkowane gromadzenie danych pochodzących z rozpoznania radioelektronicznego 71 . Oznacza to, że hurtowe gromadzenie danych będzie miało miejsce wyłącznie w przypadku, gdy przeprowadzenie ukierunkowanego gromadzenia danych przy zastosowaniu obowiązujących wyróżników - tj. kryterium identyfikujące związane z namierzaną osobą (np. adresu e-mail lub numeru telefonicznego danej osoby) - nie będzie możliwe "ze względów natury technicznej lub operacyjnej" 72 . Dotyczy to zarówno sposobu gromadzenia danych pochodzących z rozpoznania radioelektronicznego, jak i danych, które faktycznie zostały zgromadzone 73 .
(73) Zgodnie z oświadczeniami Urzędu Dyrektora Krajowych Służb Wywiadowczych nawet jeżeli Wspólnota Wywiadowcza nie może korzystać z określonych kryteriów identyfikujących w celu ukierunkowania gromadzenia, będzie dążyła do "jak największego" zawężenia gromadzonych danych. Aby to zapewnić, "stosuje filtry i inne narzędzia techniczne w celu skoncentrowania procesu gromadzenia danych na tych urządzeniach, które mogą zawierać komunikaty mające znaczenie dla wywiadu" (a więc będzie reagować na wymogi sformułowane przez amerykańskich decydentów zgodnie z procesem opisanym powyżej w motywie 70). W rezultacie hurtowe gromadzenie danych będzie ukierunkowywane na co najmniej dwa sposoby: po pierwsze, masowe gromadzenie danych zawsze będzie odnosić się do konkretnych celów obcego wywiadu (np. pozyskiwanie danych w ramach rozpoznania radioelektronicznego na temat działań grupy terrorystycznej działającej w danym regionie) oraz gromadzenie będzie ukierunkowywane na komunikaty, które są powiązane w dany sposób. Według zapewnień Urzędu Dyrektora Krajowych Służb Wywiadowczych znajduje to odzwierciedlenie w fakcie, że działania USA w zakresie rozpoznania radioelektronicznego dotykają jedynie ułamka komunikacji odbywającej się w internecie 74 . Po drugie, w oświadczeniach Urzędu Dyrektora Krajowych Służb Wywiadowczych wyjaśniono, że stosowane filtry i inne narzędzia techniczne będą zaprojektowane na gromadzenie jak najdokładniejszych danych w celu zapewnienia zminimalizowania ilości "nieistotnych informacji".
(74) Ponadto nawet w przypadku, gdy Stany Zjednoczone stwierdzą, że hurtowe gromadzenie danych pochodzących z rozpoznania radioelektronicznego jest konieczne, biorąc pod uwagę warunki ustanowione w motywach 70-73, w dyrektywie politycznej Prezydenta nr 28 ograniczono możliwość wykorzystywania takich informacji wyłącznie do sześciu celów w obszarze bezpieczeństwa narodowego, aby zapewnić ochronę prywatności i wolności obywatelskich wszystkim osobom, niezależnie od ich narodowości i miejsca zamieszkania 75 . Te dopuszczalne cele obejmują środki służące wykrywaniu i przeciwdziałaniu zagrożeniom spowodowanym działalnością szpiegowską, terroryzmem, bronią masowego rażenia i zagrożeniom dla bezpieczeństwa cybernetycznego oraz dla sił zbrojnych lub personelu wojskowego, a także zagrożeniom spowodowanym przestępczością transgraniczną powiązanym z pozostałymi pięcioma celami - działania w tym obszarze będą poddawane przeglądowi przeprowadzanemu przynajmniej raz w roku. Zgodnie z oświadczeniami rządu Stanów Zjednoczonych jednostki Wspólnoty Wywiadowczej udoskonaliły swoje praktyki i standardy analityczne w celu zapewnienia zgodności niepoddanych ocenie danych pochodzących z rozpoznania radioelektronicznego z tymi wymogami; korzystanie z ukierunkowanych zapytań "pozwala zagwarantować, że wśród danych przekazywanych analitykom do zbadania znajdą się wyłącznie informacje o potencjalnej wartości wywiadowczej" 76 .
(75) Wspomniane ograniczenia mają szczególnie istotne znaczenie w kontekście przekazywania danych osobowych w ramach Tarczy Prywatności UE-USA, zwłaszcza w przypadku gdy gromadzenie danych osobowych ma miejsce poza terytorium Stanów Zjednoczonych, np. w trakcie przesyłania danych kablami transatlantyckimi z Unii do Stanów Zjednoczonych. Zgodnie z zapewnieniami organów amerykańskich przedstawionymi w oświadczeniach Urzędu Dyrektora Krajowych Służb Wywiadowczych w przypadku gromadzenia danych w opisany powyżej sposób zastosowanie mają ograniczenia i gwarancje ustanowione w tych oświadczeniach - uwzględniając postanowienia dyrektywy politycznej Prezydenta nr 28 77 .
(76) Zasady te odpowiadają zasadzie konieczności i proporcjonalności, mimo że nie mają takiego samego brzmienia. Nacisk kładzie się przede wszystkim na ukierunkowane gromadzenie danych, ograniczając hurtowe gromadzenie danych do (wyjątkowych) przypadków, w których gromadzenie danych w ukierunkowany sposób nie jest możliwe ze względów technicznych lub operacyjnych. Nawet w przypadkach, w których nie da się uniknąć hurtowego gromadzenia danych, możliwość dalszego "wykorzystywania" tych danych poprzez uzyskiwanie do nich dostępu jest ściśle ograniczona do konkretnych, zgodnych z prawem celów związanych z bezpieczeństwem narodowym 78 .
(77) Z uwagi na fakt, że wymogi te zostały zawarte w dyrektywie wydanej przez Prezydenta, który pełni funkcję dyrektora wykonawczego, są wiążące dla całej Wspólnoty Wywiadowczej i zostały wdrożone w ramach przepisów i procedur agencyjnych przekładających ogólne zasady na konkretne wskazówki dotyczące codziennej działalności. Ponadto, choć Kongres sam w sobie nie jest związany postanowieniami dyrektywy politycznej Prezydenta nr 28, podjął również kroki na rzecz zagwarantowania, aby dane osobowe w Stanach Zjednoczonych były gromadzone w ukierunkowany sposób i aby uzyskiwano do nich dostęp w ukierunkowany sposób, a nie na "zasadzie ogólnej".
(78) Z dostępnych informacji, w tym z oświadczenia otrzymanego od rządu Stanów Zjednoczonych, wynika, że po przekazaniu danych podmiotom mającym swoją siedzibę w Stanach Zjednoczonych, które dokonały samocerty-fikacji w ramach Tarczy Prywatności UE-USA, amerykańskie agencje wywiadowcze mogą 79 wystąpić o udostępnienie im danych osobowych wyłącznie w przypadku, gdy złożony przez nie wniosek będzie zgodny z przepisami ustawy o kontroli wywiadu, lub w przypadku gdy wniosek zostanie złożony przez Federalne Biuro Śledcze (FBI) w oparciu o tzw. wezwanie do przedstawienia informacji do celów bezpieczeństwa narodowego 80 . W ustawie o kontroli wywiadu przewidziano szereg podstaw prawnych, na których można się oprzeć przy gromadzeniu (i późniejszym przetwarzaniu) danych osobowych osób z UE, których dane dotyczą, przekazywanych w ramach Tarczy Prywatności UE-USA. Poza sekcją 104 ustawy o kontroli wywiadu 81 obejmującą tradycyjne, zindywidualizowane środki dozoru elektronicznego i sekcją 402 82 dotyczącą urządzeń rejestrujących wybierane numery oraz urządzeń śledzących dwa kluczowe instrumenty zostały ustanowione w sekcji 501 ustawy o kontroli wywiadu (dawna sekcja 215 amerykańskiej ustawy antyterrorystycznej (U.S. Patriot Act)) oraz w sekcji 702 ustawy o kontroli wywiadu 83 .
(79) W tym kontekście w amerykańskiej ustawie o wolności, którą uchwalono w dniu 2 czerwca 2015 r., zabrania się hurtowego gromadzenia dokumentacji na podstawie sekcji 402 ustawy o kontroli wywiadu (podstawa prawna do stosowania urządzeń rejestrujących wybierane numery oraz urządzeń śledzących), sekcji 501 ustawy o kontroli wywiadu (dawna sekcja 215 amerykańskiej ustawy antyterrorystycznej) 84 oraz poprzez korzystanie z wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego, a zamiast tego wymaga się stosowania konkretnych "terminów umożliwiających selekcję" 85 .
(80) Chociaż w ustawie o kontroli wywiadu przewiduje się dodatkowe dokumenty stanowiące podstawę prawną do prowadzenia krajowych działań wywiadowczych, w tym rozpoznania radioelektronicznego, z oceny Komisji wynika, że w zakresie, w jakim chodzi o dane osobowe przekazywane w ramach Tarczy Prywatności UE-USA, wspomniane dokumenty w równym stopniu ograniczają ingerencję organów publicznych w ukierunkowane gromadzenie i dostęp.
(81) Jest to wyraźnie widoczne w przypadku tradycyjnego zindywidualizowanego dozoru elektronicznego na mocy sekcji 104 ustawy o kontroli wywiadu 86 . Jeżeli chodzi o sekcję 702 ustawy o kontroli wywiadu, która stanowi podstawę dwóch ważnych programów wywiadowczych prowadzonych przez agencje wywiadowcze Stanów Zjednoczonych (PRISM, UPSTREAM), przeszukiwania prowadzi się w sposób ukierunkowany dzięki wykorzystaniu indywidualnych selektorów, które identyfikują konkretne środki umożliwiające komunikację, takie jak adres e-mail lub numer telefoniczny danej osoby, a nie kluczowe słowa ani nawet imiona i nazwiska osób fizycznych, na które są ukierunkowane takie działania 87 . W związku z powyższym, jak zauważyła Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, sekcja 702 ustawy o kontroli wywiadu "w całości polega na ukierunkowaniu działań na określone osoby [niebędące obywatelami Stanów Zjednoczonych], w odniesieniu do których przeprowadzono zindywidualizowane rozpoznanie" 88 . Ze względu na klauzulę "wygaśnięcia" konieczne będzie dokonanie w 2017 r. przeglądu sekcji 702 ustawy o kontroli wywiadu i wówczas Komisja będzie musiała przeprowadzić ponowną ocenę gwarancji dostępnych dla osób z UE, których dane dotyczą.
(82) Ponadto w swoich oświadczeniach rząd Stanów Zjednoczonych wyraźnie zapewnił Komisję Europejską, że Wspólnota Wywiadowcza Stanów Zjednoczonych "nie prowadzi żadnego rodzaju bezkrytycznej inwigilacji żadnych osób fizycznych, w tym zwykłych obywateli Unii" 89 . Jeżeli chodzi o dane osobowe gromadzone w Stanach Zjednoczonych, oświadczenie to jest poparte dowodami empirycznymi, z których wynika, że wnioski o udostępnienie danych poprzez wezwanie do przedstawienia informacji do celów bezpieczeństwa narodowego i na mocy ustawy o kontroli wywiadu zarówno osobno, jak i łącznie dotyczą tylko stosunkowo niewielkiej liczby celów w porównaniu z ogólnym przepływem danych w internecie 90 .
(83) Jeżeli chodzi o dostęp do gromadzonych danych i bezpieczeństwo danych, w dyrektywie politycznej Prezydenta nr 28 wymaga się, aby dostęp "był ograniczony do upoważnionych pracowników, którzy potrzebują danych, aby wywiązywać się ze swoich obowiązków" oraz aby dane osobowe "były przetwarzane i przechowywane w warunkach, które zapewniają odpowiednią ochronę i uniemożliwiają dostęp osobom nieupoważnionym, zgodnie z obowiązującymi gwarancjami dotyczącymi danych wrażliwych". Pracownicy służb wywiadowczych przechodzą właściwe i odpowiednie szkolenie w zakresie zasad określonych w dyrektywie politycznej Prezydenta nr 28 91 .
(84) Ponadto, jeżeli chodzi o przechowywanie i dalsze rozpowszechnianie danych osobowych osób z UE, zgromadzonych przez amerykańskie organy wywiadowcze, dyrektywa polityczna Prezydenta nr 28 stanowi, że wszystkie osoby (w tym osoby niebędące obywatelami ani rezydentami Stanów Zjednoczonych) należy traktować z godnością i szacunkiem, że wszystkie osoby mają uzasadniony interes w dążeniu do zapewnienia poszanowania ich prywatności przy przetwarzaniu dotyczących ich danych osobowych oraz że jednostki Wspólnoty Wywiadowczej muszą zatem ustanowić strategie polityczne zapewniające odpowiednie gwarancje dla takich danych "odpowiednio zaplanowane w celu ograniczenia rozpowszechniania i przechowywania danych osobowych" 92 .
(85) Rząd Stanów Zjednoczonych wyjaśnił, że ten wymóg zasadności oznacza, iż jednostki Wspólnoty Wywiadowczej nie będą musiały przyjmować "żadnych środków, które są teoretycznie możliwe", ale będą zobowiązane do "zrównoważenia swoich wysiłków służących ochronie uzasadnionych interesów w zakresie prywatności i wolności obywatelskich praktycznymi wymogami dotyczącymi działalności w zakresie rozpoznania radioelektronicznego" 93 . W związku z tym osoby niebędące obywatelami ani rezydentami Stanów Zjednoczonych będą traktowane w taki sam sposób jak obywatele i rezydenci Stanów Zjednoczonych, w oparciu o procedury zatwierdzone przez Prokuratora Generalnego 94 .
(86) Zgodnie z tymi zasadami dane mogą być zasadniczo przechowywane przez okres maksymalnie pięciu lat, chyba że istnieje konkretne wskazanie w prawie lub wyraźne wskazanie przez Dyrektora Krajowych Służb Wywiadowczych przedstawione po dokładnej ocenie względów prywatności - z uwzględnieniem poglądów urzędnika ds. ochrony wolności obywatelskich Urzędu Dyrektora Krajowych Służb Wywiadowczych oraz urzędników agencyjnych ds. prywatności i wolności obywatelskich - że dalsze przechowywanie danych leży w interesie bezpieczeństwa narodowego 95 . Rozpowszechnianie jest ograniczone do przypadków, w których informacje są istotne z punktu widzenia podstawowego celu gromadzenia i w związku z tym odpowiadają wymogowi zatwierdzonych działań wywiadowczych lub zatwierdzonego egzekwowania prawa 96 .
(87) Zgodnie z zapewnieniami udzielonymi przez rząd Stanów Zjednoczonych nie można rozpowszechniać danych osobowych tylko z tego względu, że dana osoba fizyczna nie jest obywatelem ani rezydentem Stanów Zjednoczonych, a "dane zgromadzone w wyniku rozpoznania radioelektronicznego dotyczące rutynowych czynności osoby obcego pochodzenia nie zostałyby uznane za dane wywiadowcze, które mogłyby być stale rozpowszechniane lub przechowywane jedynie z tego tytułu, chyba że jest to zgodne z jednym z zatwierdzonych wymogów dotyczących działań wywiadowczych" 97 .
(88) Na podstawie powyższego Komisja stwierdza, że w Stanach Zjednoczonych wdrożono przepisy służące ograniczeniu wszelkiej ingerencji do celów bezpieczeństwa narodowego w prawa podstawowe osób, których dane osobowe są przekazywane z Unii do Stanów Zjednoczonych w ramach Tarczy Prywatności UE-USA, do tego, co jest ściśle niezbędne, aby osiągnąć uzasadniony cel.
(89) Jak wynika z powyższej analizy, prawo Stanów Zjednoczonych zapewnia stosowanie środków nadzoru wyłącznie w celu pozyskania danych wywiadowczych - co stanowi uzasadniony cel polityki 98 - i ich maksymalne dostosowanie do specyfiki prowadzonych działań. W szczególności hurtowe gromadzenie danych będzie dozwolone tylko w wyjątkowych przypadkach, gdy ukierunkowane gromadzenie danych jest niewykonalne, oraz będzie zabezpieczone dodatkowymi gwarancjami w celu zminimalizowania ilości gromadzonych danych i późniejszego dostępu (który będzie ukierunkowany na konkretne dane i dozwolony jedynie do określonych celów).
(90) W ocenie Komisji jest to zgodne z normą określoną przez Trybunał Sprawiedliwości w wyroku w sprawie Schrems, zgodnie z którą uregulowania stanowiące ingerencję w prawa podstawowe gwarantowane w art. 7 i 8 karty muszą ustanawiać "minimalne zabezpieczenia" 99 , a ponadto uregulowanie "umożliwiające generalnie przechowywanie wszelkich danych osobowych wszystkich osób fizycznych, których dane zostały przekazane z Unii Europejskiej do Stanów Zjednoczonych bez jakiegokolwiek zróżnicowania, ograniczenia lub wyjątku w zależności od zamierzonego celu i bez przewidzenia obiektywnych kryteriów, które pozwoliłyby na ograniczenie dostępu władz publicznych do danych oraz na ich późniejsze wykorzystanie do określonych celów, ściśle ograniczonych, które mogą uzasadnić ingerencję, jaką stanowi zarówno dostęp, jak i wykorzystanie tych danych, nie ogranicza się do tego, co absolutnie konieczne" 100 . Nie będzie też nieograniczonego gromadzenia i przechowywania danych wszystkich osób bez jakichkolwiek ograniczeń ani nie będzie nieograniczonego dostępu. Ponadto oświadczenia przekazane Komisji, w tym zapewnienia, że działania USA w zakresie rozpoznania radioelektronicznego dotykają jedynie ułamka komunikacji odbywającej się w internecie, wykluczają "generalny" 101 dostęp do treści komunikatów elektronicznych.
3.1.2. Skuteczna ochrona prawna
(91) Komisja oceniła zarówno mechanizmy nadzoru, które istnieją w Stanach Zjednoczonych w odniesieniu do ewentualnej ingerencji amerykańskich organów wywiadowczych w dane osobowe przekazywane Stanom Zjednoczonym, jak i możliwości indywidualnego dochodzenia roszczeń dostępne osobom z UE, których dane dotyczą.
Nadzór
(92) Amerykańska Wspólnota Wywiadowcza podlega różnym mechanizmom przeglądu i nadzoru w ramach trzech gałęzi władzy federalnej. Obejmują one organy wewnętrzne i zewnętrzne w strukturze władzy wykonawczej, szereg komisji Kongresu oraz kontrolę sądową, przy czym ta ostatnia w szczególności dotyczy działań prowadzonych w ramach ustawy o kontroli wywiadu.
(93) Po pierwsze, działania wywiadowcze prowadzone przez organy Stanów Zjednoczonych objęte są szeroko zakrojonym nadzorem ze strony władzy wykonawczej.
(94) Zgodnie z sekcją 4 lit. a) ppkt (iv) dyrektywy politycznej Prezydenta nr 28 strategie polityczne i procedury jednostek Wspólnoty Wywiadowczej "obejmują właściwe środki ułatwiające nadzór nad wdrażaniem gwarancji chroniących dane osobowe"; środki te powinny obejmować okresowe audyty 102 .
(95) W tym zakresie wdrożono wiele poziomów nadzoru obejmujących m.in. urzędników ds. wolności obywatelskich lub ochrony prywatności, Inspektorów Generalnych, Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych, Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi oraz prezydencką Radę Nadzoru nad Służbami Wywiadowczymi. Wspomniane funkcje nadzorcze wspierają pracownicy ds. zgodności we wszystkich agencjach 103 .
(96) Jak wyjaśnił rząd Stanów Zjednoczonych 104 , urzędnicy ds. wolności obywatelskich lub ochrony prywatności odpowiedzialni za nadzór pracują w różnych departamentach odpowiedzialnych za działania wywiadowcze i w agencjach wywiadowczych 105 . Chociaż konkretne uprawnienia tych urzędników mogą się nieco różnić w zależności od ustawy stanowiącej podstawę prawną, zazwyczaj obejmują nadzór nad procedurami w celu zapewnienia, aby dany departament lub dana agencja odpowiednio uwzględniały kwestie dotyczące prywatności i wolności obywatelskich oraz aby wdrażały odpowiednie procedury rozpatrywania skarg złożonych przez osoby fizyczne, które uważają, że ich prywatność lub wolności obywatelskie zostały naruszone (w niektórych przypadkach, podobnie jak Urząd Dyrektora Krajowych Służb Wywiadowczych, sami mogą mieć uprawnienia do badania skarg 106 ). Z kolei dyrektor departamentu/agencji musi zapewnić, aby urzędnik otrzymał wszystkie dane oraz dostęp do wszystkich materiałów niezbędnych do wykonywania swoich funkcji. Urzędnicy ds. wolności obywatelskich i ochrony prywatności składają Kongresowi i Radzie Nadzoru nad Prywatnością i Wolnościami Obywatelskimi okresowe sprawozdania dotyczące m.in. liczby i rodzaju skarg otrzymanych przez departament/ agencję oraz podsumowanie sposobu rozpatrzenia takich skarg, prowadzonych przeglądów i postępowań oraz wpływu działań przeprowadzonych przez urzędnika 107 . Zgodnie z oceną krajowych organów ochrony danych nadzór wewnętrzny sprawowany przez urzędników ds. wolności obywatelskich lub ochrony prywatności można uznać za "stosunkowo dokładny", nawet jeżeli ich zdaniem nie spełniają one wymaganego poziomu niezależności 108 .
(97) Ponadto każda jednostka Wspólnoty Wywiadowczej posiada własnego Inspektora Generalnego odpowiadającego m. in. za nadzorowanie działań wywiadowczych 109 . Obejmuje to, w obrębie Urzędu Dyrektora Krajowych Służb Wywiadowczych, Biuro Inspektora Generalnego, które sprawuje kompleksową jurysdykcję nad całą Wspólnotą Wywiadowczą i jest uprawnione do badania skarg lub informacji na temat zarzutów dotyczących postępowania niezgodnego z prawem lub nadużyć władzy w związku z programami i działaniami prowadzonymi w ramach Urzędu Dyrektora Krajowych Służb Wywiadowczych lub Wspólnoty Wywiadowczej 110 . Inspektorzy Generalni są ustawowo niezależnymi 111 jednostkami odpowiedzialnymi za przeprowadzanie audytów i dochodzeń dotyczących programów i działań prowadzonych przez odpowiednią agencję do krajowych celów wywiadowczych, w tym nadużyć lub naruszeń prawa 112 . Są uprawnieni do wglądu we wszystkie rejestry, sprawozdania, audyty, przeglądy, dokumenty, opracowania, zalecenia lub inne istotne materiały, w razie potrzeby na mocy wezwania, oraz mogą odbierać zeznania 113 . Chociaż Inspektorzy Generalni mogą wydawać jedynie niewiążące zalecenia dotyczące działań naprawczych, ich sprawozdania, m.in. na temat działań następczych (lub braku takich działań), są podawane do publicznej wiadomości, a ponadto wysyłane do Kongresu, który na ich podstawie może wykonywać swoją funkcję nadzorczą 114 .
(98) Ponadto Radzie Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, będącej niezależną agencją 115 w strukturze władzy wykonawczej, na którą składa się pięcioosobowa Rada reprezentująca obie partie 116 , powołana na okres sześciu lat przez Prezydenta za zgodą Senatu, powierzono obowiązki w obszarze kształtowania i wdrażania polityki walki z terroryzmem, aby zapewnić ochronę prywatności i wolności obywatelskich. W swoim przeglądzie działalności Wspólnoty Wywiadowczej Rada ma dostęp do wszystkich stosownych rejestrów, sprawozdań, audytów, przeglądów, dokumentów, opracowań i zaleceń agencji, z uwzględnieniem informacji niejawnych, oraz może przeprowadzać przesłuchania i odbierać zeznania. Rada otrzymuje sprawozdania od urzędników ds. wolności obywatelskich i prywatności z szeregu departamentów/agencji federalnych 117 , może wydawać zalecenia skierowane do tych urzędników i regularnie sporządza sprawozdania dla komisji Kongresu i dla Prezydenta 118 . Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi jest również zobowiązana - działając w zakresie przysługujących jej uprawnień - do przygotowania sprawozdania z wdrażania dyrektywy politycznej Prezydenta nr 28.
(99) Uzupełnieniem wspomnianych mechanizmów nadzoru jest Rada Nadzoru nad Służbami Wywiadowczymi ustanowiona w ramach prezydenckiej Rady Konsultacyjnej ds. Wywiadu i odpowiedzialna za monitorowanie przestrzegania przepisów konstytucji i wszystkich mających zastosowanie przepisów przez amerykańskie organy wywiadowcze.
(100) Aby usprawnić działania w tym obszarze, zachęca się jednostki Wspólnoty Wywiadowczej do opracowania systemów informatycznych zapewniających możliwość monitorowania, rejestrowania i przeprowadzania przeglądu zapytań lub korzystania z innych metod wyszukiwania danych osobowych 119 . Organy ds. nadzoru i monitorowania zgodności będą okresowo kontrolowały praktyki stosowane przez jednostki Wspólnoty Wywiadowczej w celu zapewnieniu ochrony danych osobowych pochodzących z rozpoznania radioelektronicznego oraz przestrzeganie tych procedur przez te jednostki 120 .
(101) Opisanym funkcjom nadzorczym towarzyszą ponadto dodatkowe rozbudowane wymogi w zakresie sprawozdawczości w odniesieniu do nieprzestrzegania zasad. W szczególności procedury stosowane przez agencje muszą zapewniać niezwłoczne zgłoszenie poważnego problemu związanego z przestrzeganiem zasad w odniesieniu do danych osobowych dowolnej osoby - niezależnie od jej narodowości - gromadzonych w drodze rozpoznania radioelektronicznego kierownikowi jednostki Wspólnoty Wywiadowczej, który z kolei powiadomi o tym fakcie Dyrektora Krajowych Służb Wywiadowczych, który - zgodnie z dyrektywą polityczną Prezydenta nr 28 - ustali, czy w danym przypadku zachodzi konieczność podjęcia jakichkolwiek działań naprawczych 121 . Ponadto zgodnie z rozporządzeniem wykonawczym nr 12333 wszystkie jednostki Wspólnoty Wywiadowczej są zobowiązane zgłaszać Radzie Nadzoru nad Służbami Wywiadowczymi wszelkie przypadki nieprzestrzegania zasad 122 . Opisane mechanizmy zapewniają rozwiązanie zaistniałego problemu na najwyższym szczeblu w ramach Wspólnoty Wywiadowczej. Jeżeli problem taki dotyczy osoby niebędącej obywatelem ani rezydentem Stanów Zjednoczonych, Dyrektor Krajowych Służb Wywiadowczych - działając w porozumieniu z Sekretarzem Stanu i dyrektorem zgłaszającego departamentu lub agencji - ustala, czy należy podjąć kroki w celu powiadomienia odpowiedniego rządu zagranicznego zgodnie z przepisami w zakresie ochrony źródeł informacji i metod prowadzenia działalności oraz ochrony pracowników Stanów Zjednoczonych 123 .
(102) Po drugie, niezależnie od opisanych powyżej mechanizmów nadzoru funkcjonujących w strukturze władzy wykonawczej, Kongres Stanów Zjednoczonych, a w szczególności Komisje ds. Wywiadu i Sprawiedliwości w Izbie Reprezentantów i w Senacie, jest zobowiązany do sprawowania nadzoru nad wszystkimi działaniami w obszarze wywiadu zagranicznego, uwzględniając prowadzoną przez Stany Zjednoczone działalność w obszarze rozpoznania radioelektronicznego. Zgodnie z ustawą o bezpieczeństwie narodowym "Prezydent zapewnia kongresowym komisjom ds. wywiadu dostęp do pełnych i aktualnych informacji na temat działalności wywiadowczej Stanów Zjednoczonych, w tym do informacji o wszelkich istotnych planowanych działaniach wywiadowczych, zgodnie z wymogami ustanowionymi w niniejszym podrozdziale" 124 . Ponadto "Prezydent zapewnia niezwłoczne zgłaszanie wszelkich niezgodnych z prawem działań wywiadowczych kongresowym komisjom ds. wywiadu oraz przekazywanie im informacji o wszelkich działaniach naprawczych, które zostały podjęte lub które mają zostać podjęte w związku z taką niezgodną z prawem działalnością" 125 . Członkowie tych komisji są uprawnieni do uzyskania dostępu do informacji niejawnych oraz do zapoznania się z metodami i programami wywiadowczymi 126 .
(103) W późniejszych ustawach rozszerzono i udoskonalono wymagania sprawozdawcze, zarówno jeżeli chodzi o jednostki Wspólnoty Wywiadowczej, jak i o odpowiednich Inspektorów Generalnych i Prokuratora Generalnego. Na przykład zgodnie z ustawą o kontroli wywiadu Prokurator Generalny jest zobowiązany do przekazywania Komisjom ds. Wywiadu i Sprawiedliwości w Senacie i Izbie Reprezentantów "pełnych informacji" na temat działań podejmowanych przez rząd zgodnie z określonymi sekcjami ustawy o kontroli wywiadu 127 . Na mocy ustawy o kontroli wywiadu rząd został również zobowiązany do przekazywania komisjom Kongresu kopii "wszystkich orzeczeń, zarządzeń lub opinii Sądu ds. Inwigilacji Obcych Wywiadów lub Sądu Apelacyjnego ds. Inwigilacji Obcych Wywiadów, w których dokonano istotnej interpretacji przepisów ustawy o kontroli wywiadu lub w których dokonano wykładni tych przepisów". W szczególności jeżeli chodzi o sprawowanie nadzoru, o którym mowa w sekcji 702 ustawy o kontroli wywiadu, taki nadzór sprawuje się za pośrednictwem sprawozdań, które zgodnie z przepisami ustawy należy przekazywać Komisjom ds. Wywiadu i Sprawiedliwości, a także poprzez częste organizowanie odpraw i wysłuchań. Wśród tych sprawozdań należy wymienić sprawozdanie półroczne Prokuratora Generalnego dotyczące stosowania przepisów sekcji 702 ustawy o kontroli wywiadu wraz z dokumentami potwierdzającymi, uwzględniając w szczególności sprawozdania Departamentu Sprawiedliwości i Urzędu Dyrektora Krajowych Służb Wywiadowczych dotyczące przestrzegania zasad oraz opis wszelkich przypadków nieprzestrzegania zasad 128 , a także odrębną ocenę półroczną przeprowadzaną przez Prokuratora Generalnego i przygotowywany przez Departament Sprawiedliwości dokument dotyczący zgodności z procedurami ukierunkowywania i minimalizacji, uwzględniając zgodność z procedurami służącymi zapewnieniu gromadzenia danych wyłącznie w przypadku, gdy służy to realizacji ważnego celu związanego z wywiadem zagranicznym 129 . Kongres otrzymuje również sprawozdania przekazywane przez Inspektorów Generalnych, którzy są uprawnieni do oceniania zgodności agencji z procedurami ukierunkowywania i minimalizacji oraz z wytycznymi Prokuratora Generalnego.
(104) Zgodnie z amerykańską ustawą o wolności z 2015 r. rząd Stanów Zjednoczonych musi co roku ujawniać Kongresowi (i społeczeństwu) liczbę nakazów i dyrektyw na mocy ustawy o kontroli wywiadu, o które się ubiegano i które otrzymano, a także szacunki dotyczące m.in. liczby obywateli i rezydentów amerykańskich oraz liczby osób niebędących obywatelami ani rezydentami amerykańskimi objętych nadzorem 130 . W ustawie przewidziano również dodatkowy wymóg podawania do wiadomości publicznej liczby wydanych wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, ponowne w odniesieniu do obywateli i rezydentów amerykańskich i osób niebędących obywatelami ani rezydentami amerykańskimi (zapewniając jednocześnie odbiorcom nakazów i certyfikatów wydanych na mocy ustawy o kontroli wywiadu oraz wezwań do przedstawienia informacji do celów bezpieczeństwa możliwość opublikowania - w określonych przypadkach - sprawozdań z przejrzystości) 131 .
(105) Po trzecie, w ramach działalności wywiadowczej prowadzonej przez amerykańskie organy publiczne zgodnie z ustawą o kontroli wywiadu dopuszcza się możliwość przeprowadzenia przeglądu, a w niektórych przypadkach wcześniejszego zatwierdzenia środków przez Sąd ds. Inwigilacji Obcych Wywiadów 132 , tj. niezależny sąd 133 , którego orzeczenia można zaskarżyć przed Sądem Odwoławczym ds. Inwigilacji Obcych Wywiadów 134 , a ostatecznie przed Sądem Najwyższym Stanów Zjednoczonych 135 . W przypadku wcześniejszego zatwierdzenia środków organy wnioskujące (Federalne Biuro Śledcze, Agencja Bezpieczeństwa Narodowego, Centralne Agencje Wywiadowcze itp.) będą zobowiązane do przekazania projektu wniosku prawnikom Departamentu Bezpieczeństwa Narodowego w Departamencie Sprawiedliwości, którzy zbadają ten projekt i - w stosownych przypadkach - zwrócą się o przekazanie dodatkowych informacji 136 . Po zakończeniu prac nad wnioskiem będzie on musiał zostać zatwierdzony przez Prokuratora Generalnego, Zastępcę Prokuratora Generalnego lub Asystenta Prokuratora Generalnego ds. Bezpieczeństwa Narodowego 137 . Następnie Departament Sprawiedliwości przekaże wniosek Sądowi ds. Inwigilacji Obcych Wywiadów, który podda go ocenie i podejmie wstępną decyzję w kwestii dalszych działań 138 . W przypadku zorganizowania rozprawy Sąd ds. Inwigilacji Obcych Wywiadów jest uprawniony do przyjmowania zeznań, uwzględniając opinie biegłych 139 .
(106) Sąd ds. Inwigilacji Obcych Wywiadów (oraz Sąd Odwoławczy ds. Inwigilacji Obcych Wywiadów) korzysta ze wsparcia stałego zespołu składającego się z pięciu ekspertów w dziedzinie bezpieczeństwa narodowego i wolności obywatelskich 140 . Spośród tej grupy sąd powołuje jedną osobę, która będzie pełniła funkcję amicus curiae, tj. osoby zapewniającej wsparcie przy rozpatrywaniu wszelkich wniosków o wydanie nakazu lub wniosków o dokonanie przeglądu zawierających nową lub istotną wykładnię przepisów ustawowych, chyba że sąd stwierdzi, że powołanie takiej osoby w danym przypadku nie byłoby właściwe 141 . Instytucja amicus curiae służy przede wszystkim zapewnieniu odpowiedniego uwzględnienia w ocenie przeprowadzonej przez sąd kwestii związanych z prywatnością. Sąd może również powołać osobę fizyczną lub podmiot do pełnienia funkcji amicus curiae i dzielenia się swoją wiedzą techniczną, jeżeli uzna to za stosowne lub - po otrzymaniu odpowiedniego wniosku - może udzielić osobie fizycznej lub podmiotowi zgody na złożenie raportu amicus curiae 142 .
(107) Istnieją pewne różnice, jeżeli chodzi o nadzór Sądu ds. Inwigilacji Obcych Wywiadów nad udzielaniem dwóch typów zezwoleń na prowadzenie inwigilacji, przewidziane w ustawie o kontroli wywiadu, które mają największe znaczenie dla przekazywania danych w ramach Tarczy Prywatności UE-USA.
(108) Zgodnie z sekcją 501 ustawy o kontroli wywiadu 143 , w której dopuszcza się możliwość gromadzenia "wszelkich przedmiotów materialnych (uwzględniając księgi, rejestry, opracowania, dokumenty i inne przedmioty)", wniosek skierowany do Sądu ds. Inwigilacji Obcych Wywiadów musi zawierać wykaz okoliczności faktycznych świadczących o tym, że istnieją uzasadnione przesłanki, by przypuszczać, że żądane przedmioty materialne mają istotne znaczenie w kontekście prowadzonego zgodnie z prawem dochodzenia (innego niż ocena zagrożenia) w celu pozyskaniu zagranicznych informacji wywiadowczych, które nie dotyczą obywatela ani rezydenta Stanów Zjednoczonych, lub zapewnienia ochrony przed terroryzmem międzynarodowym lub tajnymi działaniami wywiadowczymi. Ponadto we wniosku należy zawrzeć wykaz procedur ograniczających, przyjętych przez Prokuratora Generalnego do celów zatrzymywania i rozpowszechniania gromadzonych danych wywiadowczych 144 .
(109) Natomiast zgodnie z sekcją 702 ustawy o kontroli wywiadu 145 Sąd ds. Inwigilacji Obcych Wywiadów nie jest uprawniony do zatwierdzania poszczególnych środków nadzoru; może jednak zatwierdzać programy nadzoru (takie jak PRISM, UPSTREAM) w oparciu o roczne certyfikacje przygotowywane przez Prokuratora Generalnego i Dyrektora Krajowych Służb Wywiadowczych. Zgodnie z przepisami sekcji 702 ustawy o kontroli wywiadu dopuszcza się możliwość namierzania osób, co do których istnieje uzasadnione podejrzenie, że przebywają poza terytorium Stanów Zjednoczonych w celu pozyskiwania zagranicznych informacji wywiadowczych 146 . Agencja Bezpieczeństwa Narodowego przeprowadza takie namierzanie w dwóch etapach: w pierwszej kolejności analitycy Agencji Bezpieczeństwa Narodowego identyfikują osoby niebędące obywatelami ani rezydentami Stanów Zjednoczonych przebywające za granicą, których objęcie nadzorem - w ocenie analityków - umożliwi pozyskanie stosownych zagranicznych informacji wywiadowczych określonych w certyfikacji. Następnie, po zidentyfikowaniu tych poszczególnych osób i zatwierdzeniu ich namierzania w ramach rozbudowanego mechanizmu przeglądu wykorzystywanego przez Agencję Bezpieczeństwa Narodowego 147 przydziela się (tj. opracowuje i wdraża) selektory identyfikujące narzędzia komunikacyjne (takie jak adresy e-mail), które są wykorzystywane przez namierzane osoby 148 . Jak już wskazano, certyfikacje, które mają zostać zatwierdzone przez Sąd ds. Inwigilacji Obcych Wywiadów, nie zawierają żadnych informacji na temat poszczególnych osób, które mają być namierzane - służą one identyfikowaniu kategorii zagranicznych informacji wywiadowczych 149 . Choć Sąd ds. Inwigilacji Obcych Wywiadów nie ocenia - na podstawie uzasadnionego podejrzenia lub innej normy - czy osoby fizyczne są odpowiednio namierzane do celów pozyskiwania zagranicznych informacji wywiadowczych 150 , zakres kontroli przeprowadzanej przez ten sąd obejmuje również warunek, zgodnie z którym "istotnym celem gromadzenia informacji jest pozyskanie zagranicznych informacji wywiadowczych" 151 . Zgodnie z sekcją 702 ustawy o kontroli wywiadu Agencja Bezpieczeństwa Narodowego może gromadzić wiadomości osób niebędących obywatelami ani rezydentami Stanów Zjednoczonych, które przebywają poza terytorium Stanów Zjednoczonych i co do których istnieje uzasadnione podejrzenie, że korzystają z określonego środka komunikacji w celu przekazywania zagranicznych informacji wywiadowczych (np. informacje związane z terroryzmem międzynarodowym, rozprzestrzenianiem broni jądrowej lub wrogimi działaniami w obszarze cyberprzestępczości). Ustalenia w tej kwestii są poddawane kontroli sądowej 152 . Certyfikacje również muszą zapewniać możliwość stosowania procedur ukierunkowywania i minimalizacji 153 . Prokurator Generalny i Dyrektor Krajowych Służb Wywiadowczych weryfikują zgodność z zasadami, a agencje są zobowiązane do zgłaszania Sądowi ds. Inwigilacji Obcych Wywiadów 154 (a także Kongresowi i prezydenckiej Radzie Nadzoru nad Służbami Wywiadowczymi) wszelkich przypadków nieprzestrzegania zasad - na tej podstawie Sąd może wprowadzić zmiany w upoważnieniu 155 .
(110) Co więcej, aby zwiększyć efektywność nadzoru prowadzonego przez Sąd ds. Inwigilacji Obcych Wywiadów, administracja Stanów Zjednoczonych zgodziła się wdrożyć zalecenie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące dostarczania Sądowi ds. Inwigilacji Obcych Wywiadów dokumentacji decyzji odnoszących się do sekcji 702, w tym losowych fragmentów formularzy zadaniowych, aby umożliwić Sądowi ds. Inwigilacji Obcych Wywiadów ocenę, w jakim stopniu praktycznie zrealizowano wymogi stawiane wobec wywiadu zagranicznego 156 . Jednocześnie administracja Stanów Zjednoczonych przyjęła i wprowadziła środki służące dokonaniu przeglądu procedur Agencji Bezpieczeństwa Narodowego w zakresie ukierunkowania, aby lepiej dokumentować powody, dla których wywiad zagraniczny przyjął decyzje o ukierunkowaniu gromadzenia danych 157 .
Dochodzenie roszczeń przez osoby fizyczne
(111) Osoby z UE, których dane dotyczą, mogą skorzystać z licznych możliwości dostępnych w prawie amerykańskim, jeżeli mają obawy co do tego, czy ich dane osobowe były przetwarzane (gromadzone, udostępniane itp.) przez jednostki Wspólnoty Wywiadowczej USA, a jeżeli miało to miejsce, czy przestrzegano ograniczeń mających zastosowanie na mocy prawa amerykańskiego. Odnoszą się one zasadniczo do trzech obszarów: ingerencji na mocy ustawy o kontroli wywiadu; bezprawnego, celowego uzyskania dostępu do danych osobowych przez urzędników rządowych; i dostępu do informacji na mocy ustawy o dostępie do informacji publicznej 158 .
(112) Po pierwsze, w ustawie o kontroli wywiadu przewidziano liczne środki ochrony prawnej dla osób niebędących obywatelami ani rezydentami USA, dzięki którym mogą zakwestionować prowadzenie bezprawnego dozoru elektronicznego 159 . Obejmuje to możliwość wytoczenia powództwa cywilnego przez osoby fizyczne o odszkodowanie pieniężne przeciwko Stanom Zjednoczonym, w przypadku gdy informacje na ich temat zostały bezprawnie i umyślnie wykorzystane lub ujawnione 160 ; pozwania amerykańskich urzędników rządowych działających we własnym imieniu ("pod przykrywką prawa") o odszkodowanie pieniężne 161 ; oraz zakwestionowania legalności dozoru (i wystąpienia o ograniczenie rozpowszechniania informacji), w przypadku gdy rząd zamierza wykorzystać lub ujawnić jakiekolwiek informacje uzyskane lub pochodzące z dozoru elektronicznego przeciwko danej osobie w postępowaniu sądowym lub administracyjnym w Stanach Zjednoczonych 162 .
(113) Po drugie, rząd USA przedstawił Komisji liczne dodatkowe możliwości, z których mogą skorzystać osoby z UE, których dane dotyczą, aby uzyskać ochronę prawną przeciwko urzędnikom rządowym ze względu na bezprawny dostęp administracji rządowej do danych osobowych lub ich bezprawne wykorzystanie przez administrację rządową, w tym rzekomo do celów bezpieczeństwa narodowego (tj. ustawa o oszustwach i nadużyciach komputerowych 163 ; ustawa o prywatności w łączności elektronicznej 164 ; oraz ustawa o prawie do prywatności w kwestiach finansowych 165 ). Wszystkie te podstawy roszczeń dotyczą określonych danych, celów lub rodzajów dostępu (np. zdalnego dostępu za pomocą komputera i internetu) i można z nich skorzystać pod pewnymi warunkami (np. celowe/umyślne postępowanie, postępowanie wykraczające poza kompetencje, powstała szkoda) 166 . W ustawie o postępowaniu administracyjnym przewiduje się bardziej ogólną możliwość dochodzenia roszczeń (tytuł 5 § 702 U.S.C.), zgodnie z którą "każda osoba doznająca krzywdy w świetle prawa w wyniku działania agencji lub dotknięta negatywnymi skutkami takiego działania lub poszkodowana w wyniku działań prowadzonych przez agencję" może wystąpić o kontrolę sądową. Obejmuje to możliwość wystąpienia do sądu o "uznanie za bezprawne i uchylenie działań, ustaleń i wniosków agencji, w przypadku których okazało się, że są [...] arbitralne, nieprzemyślane, stanowią nadużycie uprawnień lub w inny sposób są niezgodne z prawem" 167 .
(114) Ponadto rząd USA wskazał ustawę o dostępie do informacji publicznej jako środek, z którego osoby niebędące obywatelami ani rezydentami USA mogą skorzystać, aby uzyskać dostęp do istniejących rejestrów agencji federalnej, w tym jeżeli rejestry te zawierają dane osobowe tej osoby fizycznej 168 . Mając na uwadze główny obszar regulowany ustawą o dostępie do informacji publicznej, nie daje ona możliwości skorzystania ze środków ochrony prawnej przez osobę fizyczną w przypadku samej ingerencji w dane osobowe, mimo że mogłaby zasadniczo umożliwić osobom fizycznym uzyskanie dostępu do odpowiednich informacji przechowywanych przez krajowe agencje wywiadowcze. Nawet w tym kontekście możliwości wydają się ograniczone, ponieważ agencje mogą zachować informacje, które wchodzą w zakres zamkniętej listy pewnych wyjątków, obejmujących dostęp do informacji niejawnych dotyczących bezpieczeństwa narodowego i informacji dotyczących badania egzekwowania prawa 169 . W związku z tym powołanie się przez krajowe agencje wywiadowcze na takie wyjątki może być zakwestionowane przez osoby fizyczne poprzez zastosowanie administracyjnych i sądowych środków prawnych.
(115) Chociaż osoby fizyczne, w tym osoby z UE, których dane dotyczą, mają zatem liczne możliwości dochodzenia roszczeń, jeżeli zostały objęte bezprawnym dozorem (elektronicznym) do celów bezpieczeństwa narodowego, równie oczywiste jest, że nie uwzględniono przynajmniej niektórych podstaw prawnych, na jakie mogą powołać się amerykańskie organy wywiadowcze (np. rozporządzenie wykonawcze nr 12333). Co więcej, nawet jeżeli osoby niebędące obywatelami ani rezydentami USA mogą zasadniczo korzystać z sądowych środków odwoławczych, np. w przypadku nadzoru na mocy ustawy o kontroli wywiadu, dostępne podstawy wszczęcia powództwa są jednak ograniczone 170 , a roszczenia zgłaszane przez osoby fizyczne (w tym osoby będące obywatelami lub rezydentami USA) zostaną uznane za niedopuszczalne, jeżeli osoby te nie mogą wykazać interesu prawnego 171 , co ogranicza dostęp do sądów powszechnych 172 .
(116) Aby zapewnić dodatkowe możliwości ochrony prawnej dostępne dla wszystkich osób z UE, których dane dotyczą, rząd USA podjął decyzję o utworzeniu nowego urzędu Rzecznika, jak wskazano w piśmie sekretarza stanu USA do Komisji, które znajduje się w załączniku III do niniejszej decyzji. Ten urząd opiera się na wyznaczeniu na podstawie dyrektywy politycznej Prezydenta nr 28 starszego koordynatora (na poziomie podsekretarza) w Departamencie Stanu jako osobę odpowiedzialną za kontakty dla rządów zagranicznych, aby mogły one wyrazić obawy dotyczące działań USA w zakresie rozpoznania radioelektronicznego; funkcja ta wykracza jednak daleko poza pierwotny zakres.
(117) W szczególności - zgodnie z zobowiązaniami rządu USA - Rzecznik zapewni, aby indywidualne skargi zostały należycie zbadane i rozstrzygnięte oraz aby osoby fizyczne otrzymały niezależne potwierdzenie, że działano zgodnie z prawem amerykańskim lub że - w przypadku naruszenia takich przepisów - problem ten został rozwiązany 173 . Urząd obejmuje również "Rzecznika ds. Tarczy Prywatności" w randze podsekretarza i dodatkowy personel oraz inne organy nadzorcze właściwe do nadzorowania różnych jednostek Wspólnoty Wywiadowczej, na współpracy z którymi będzie polegał Rzecznik ds. Tarczy Prywatności podczas rozpatrywania skarg. W szczególności, jeżeli wniosek danej osoby fizycznej dotyczy zgodności nadzoru z prawem Stanów Zjednoczonych, Rzecznik ds. Tarczy Prywatności będzie mógł polegać na niezależnych organach nadzorczych posiadających uprawnienia dochodzeniowe (takich jak Inspektorzy Generalni lub Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi). W każdym przypadku sekretarz stanu gwarantuje, że Rzecznik będzie posiadał środki umożliwiające zapewnienie, aby jego odpowiedź na wnioski osób fizycznych opierała się na wszystkich niezbędnych informacjach.
(118) Dzięki takiej złożonej strukturze urząd Rzecznika gwarantuje niezależny nadzór i środki ochrony prawnej dla osób fizycznych. Co więcej, współpraca z innymi organami nadzoru zapewnia dostęp do niezbędnej wiedzy fachowej. Ponadto, nakładając na Rzecznika ds. Tarczy Prywatności obowiązek potwierdzenia zgodności lub zastosowania środków zaradczych w odniesieniu do wszelkich przypadków nieprzestrzegania zasad, mechanizm odzwierciedla zobowiązanie rządu Stanów Zjednoczonych do przyjęcia i rozstrzygnięcia skarg osób fizycznych pochodzących z UE.
(119) Po pierwsze, w odróżnieniu od mechanizmu funkcjonującego wyłącznie na szczeblu międzyrządowym Rzecznik ds. Tarczy Prywatności będzie otrzymywał skargi od osób fizycznych i odpowiadał na nie. Tego rodzaju skargi można kierować do organów nadzorczych w państwach członkowskich właściwych w sprawach nadzoru nad służbami bezpieczeństwa narodowego lub przetwarzania danych osobowych przez organy publiczne, które przekażą je scentralizowanemu organowi UE, który z kolei przekieruje je do Rzecznika ds. Tarczy Prywatności 174 . W praktyce przyniesie to korzyści osobom fizycznym pochodzącym z UE, które mogą zwrócić się do krajowego organu "w pobliżu miejsca zamieszkania" i w swoim języku ojczystym. Zadaniem takiego organu będzie wspieranie osoby fizycznej w składaniu wniosku do Rzecznika ds. Tarczy Prywatności, który to wniosek zawiera podstawowe informacje i może w związku z tym zostać uznany za "kompletny". Osoba fizyczna nie musi wykazywać, że rząd USA faktycznie pozyskał jej dane osobowe za pomocą działań w zakresie rozpoznania radioelektronicznego.
(120) Po drugie, rząd Stanów Zjednoczonych zobowiązuje się do zapewnienia, aby Rzecznik ds. Tarczy Prywatności - pełniąc swoje funkcje - mógł opierać się na współpracy z innymi istniejącymi w prawie amerykańskim mechanizmami niezależnego nadzoru i przeglądu zgodności. Niekiedy będzie to obejmowało krajowe organy wywiadowcze, w szczególności gdy wniosek należy interpretować jako dotyczący udzielenia dostępu do dokumentów na mocy ustawy o dostępie do informacji publicznej. W innych przypadkach, zwłaszcza gdy wnioski dotyczą zgodności nadzoru z prawem Stanów Zjednoczonych, tego rodzaju współpraca będzie obejmowała niezależne organy nadzoru (np. Inspektorów Generalnych) posiadające uprawnienia i odpowiedzialność w zakresie przeprowadzania gruntownego dochodzenia (w szczególności dzięki dostępowi do wszystkich istotnych dokumentów oraz uprawnieniu do żądania informacji i oświadczeń) oraz zaradzania wszelkim przypadkom nieprzestrzegania zasad 175 . Ponadto Rzecznik ds. Tarczy Prywatności będzie mógł kierować sprawy do rozpatrzenia przez Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi 176 . Jeżeli jeden ze wypomnianych organów nadzorczych stwierdzi jakikolwiek przypadek nieprzestrzegania zasad, jednostka Wspólnoty Wywiadowczej (np. agencja wywiadowcza), której dotyczy ten zarzut, będzie musiała zaradzić takiemu nieprzestrzeganiu zasad, ponieważ tylko w taki sposób Rzecznik będzie mógł udzielić pozytywnej odpowiedzi osobie fizycznej (tj. że zaradzono ewentualnemu nieprzestrzeganiu zasad), do czego zobowiązał się rząd Stanów Zjednoczonych. Ponadto w ramach współpracy Rzecznik ds. Tarczy Prywatności będzie informowany o wynikach dochodzenia oraz będzie dysponował środkami gwarantującymi, że otrzyma wszystkie informacje niezbędne do przygotowania odpowiedzi.
(121) Ponadto Rzecznik ds. Tarczy Prywatności będzie niezależny od Wspólnoty Wywiadowczej USA, a zatem niezwiązany jej poleceniami 177 . Ma to duże znaczenie, biorąc pod uwagę, że Rzecznik będzie musiał potwierdzić, iż (i) skarga została właściwie zbadana oraz że (ii) przestrzegano odpowiednich przepisów prawa amerykańskiego - w tym przede wszystkim ograniczeń i gwarancji opisanych w załączniku VI - lub - w przypadku nieprzestrzegania przepisów - problem ten został rozwiązany. Aby móc przedstawić takie niezależne potwierdzenie, Rzecznik ds. Tarczy Prywatności będzie musiał uzyskać wystarczające informacje na temat dochodzenia w celu przeprowadzenia oceny dokładności odpowiedzi na skargę. Ponadto sekretarz stanu zobowiązał się do zapewnienia, aby podsekretarz pełnił funkcję Rzecznika ds. Tarczy Prywatności w sposób obiektywny i wolny od jakiegokolwiek niewłaściwego wpływu, jaki mógłby zostać wywarty na udzieloną odpowiedź.
(122) Ogólnie rzecz biorąc, urząd ten zapewnia gruntowne zbadanie i rozstrzygnięcie skarg złożonych przez osoby fizyczne oraz zapewnia, aby w procesie tym, przynajmniej w dziedzinie nadzoru, uczestniczyły niezależne organy nadzorcze posiadające niezbędną wiedzę fachową i uprawnienia dochodzeniowe, a Rzecznik był w stanie pełnić swoje funkcje bez żadnego niewłaściwego, a zwłaszcza politycznego, wpływu. Ponadto osoby fizyczne będą mogły wnosić skargi bez konieczności wykazania, że są przedmiotem nadzoru, lub na podstawie samych tylko oznak sugerujących, że są przedmiotem nadzoru 178 . W świetle powyższych okoliczności Komisja jest przekonana, że istnieją odpowiednie i skuteczne zabezpieczenia przed nadużyciami.
(123) Na podstawie powyższego Komisja stwierdza, że Stany Zjednoczone zapewniają skuteczną ochronę prawną przed ingerencją swoich organów wywiadowczych w prawa podstawowe osób, których dane są przekazywane z Unii do Stanów Zjednoczonych w ramach Tarczy Prywatności UE-USA.
(124) W tym kontekście Komisja zauważa, że Trybunał Sprawiedliwości w wyroku w sprawie Schrems stwierdził, iż "uregulowanie nieprzewidujące dla jednostek żadnej drogi prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania czy usunięcia takich danych nie zapewnia poszanowania zasadniczej istoty prawa podstawowego do skutecznej ochrony prawnej, wynikającego z art. 47 karty" 179 . W ocenie Komisji potwierdzono, że w Stanach Zjednoczonych zapewniono takie środki ochrony prawnej, w tym poprzez wprowadzenie urzędu Rzecznika. Rzecznik sprawuje niezależny nadzór i ma uprawnienia dochodzeniowe. W ramach stałego monitorowania Tarczy Prywatności przez Komisję, w tym za pomocą corocznego wspólnego przeglądu, w którym uczestniczy również Rzecznik, skuteczność działania tego urzędu będzie przedmiotem ponownej oceny.
3.2. Dostęp organów publicznych USA do danych i wykorzystywanie przez nie danych w celach związanych z egzekwowaniem prawa i interesem publicznym
(125) Jeżeli chodzi o ingerencję w przekazywanie danych osobowych na podstawie Tarczy Prywatności UE-USA do celów egzekwowania prawa, rząd USA (za pośrednictwem Departamentu Sprawiedliwości) przedstawił zapewnienie dotyczące mających zastosowanie ograniczeń i gwarancji, które w ocenie Komisji gwarantują odpowiedni stopień ochrony.
(126) Zgodnie z tymi informacjami - na podstawie czwartej poprawki do konstytucji USA 180 - wyszukiwanie i pozyskiwanie informacji przez organy egzekwowania prawa wymaga zasadniczo 181 nakazu sądowego wydawanego po przedstawieniu "prawdopodobieństwa winy". W kilku dokładnie określonych i wyjątkowych przypadkach, w których obowiązek uzyskania nakazu nie ma zastosowania 182 , działanie organów rządowych poddaje się testowi "zasadności" 183 . O tym, czy wyszukiwanie lub pozyskiwanie informacji jest zasadne, "decyduje z jednej strony ocena stopnia, w jakim ingeruje ono w prywatność osoby fizycznej, a z drugiej strony - ocena stopnia, w jakim jest to potrzebne do wspierania uzasadnionych interesów rządowych" 184 . Mówiąc bardziej ogólnie, czwarta poprawka zapewnia prywatność i godność oraz chroni przed arbitralnymi i ingerującymi działaniami urzędników rządowych 185 . Te koncepcje uosabiają zasady konieczności i proporcjonalności obowiązujące w prawie Unii. Jeżeli organ egzekwowania prawa nie potrzebuje już korzystać z zatrzymanych przedmiotów do celów dowodowych, przedmioty te należy zwrócić 186 .
(127) Chociaż prawo zapisane w czwartej poprawce nie przysługuje osobom niebędącym obywatelami USA, które nie mają miejsca zamieszkania w Stanach Zjednoczonych, osoby takie mogą pośrednio korzystać z praw ustanowionych w czwartej poprawce, jeżeli stosowne dane osobowe znajdują się w posiadaniu amerykańskich przedsiębiorstw, przy czym organy egzekwowania prawa muszą każdorazowo uzyskać zezwolenie sądowe (lub przynajmniej spełnić wymóg zasadności) 187 . Dalszą ochronę gwarantują specjalne ustawowe dokumenty stanowiące podstawę prawną oraz wytyczne Departamentu Sprawiedliwości, które ograniczają dostęp do danych do celów egzekwowania prawa na podstawie równoważnej zasadom konieczności i proporcjonalności (np. poprzez wymóg, aby FBI stosowało jak najmniej inwazyjne metody dochodzeniowe, biorąc pod uwagę ich wpływ na prywatność i wolności obywatelskie) 188 . Zgodnie z oświadczeniami przedstawionymi przez rząd USA te same lub większe zabezpieczenia mają zastosowanie do dochodzeń w sprawach egzekwowania prawa na szczeblu stanowym (w odniesieniu do dochodzeń prowadzonych na podstawie przepisów prawa stanowego) 189 .
(128) Chociaż wcześniejsze zezwolenie sądowe wydane przez sąd lub wielką ławę przysięgłych (sądowe ciało dochodzeniowe wyznaczone przez sędziego) nie jest wymagane we wszystkich sprawach 190 , wezwania administracyjne ograniczają się do określonych przypadków i będą podlegać niezależnej kontroli sądowej przynajmniej wtedy, gdy rząd dochodzi egzekwowania prawa w sądzie 191 .
(129) To samo ma zastosowanie w przypadku wykorzystywania wezwań administracyjnych do celów interesu publicznego. Ponadto zgodnie z oświadczeniami przedstawionymi przez rząd USA zastosowanie mają podobne istotne ograniczenia, polegające na tym, że agencje mogą ubiegać się o dostęp jedynie do danych, które mają znaczenie w sprawach wchodzących w zakres ich uprawnień, i muszą przestrzegać standardu zasadności.
(130) Ponadto w prawie amerykańskim osobom fizycznym zapewniono szereg sądowych środków odwoławczych wobec organu publicznego lub jednego z urzędników takiego organu, w przypadku gdy te organy przetwarzają dane osobowe. Ze wspomnianych środków przewidzianych w szczególności w ustawie o postępowaniu administracyjnym, ustawie o dostępie do informacji publicznej i ustawie o ochronie danych w łączności elektronicznej mogą skorzystać wszystkie osoby fizyczne, niezależnie od ich obywatelstwa, o ile spełnią odpowiednie warunki.
(131) Co do zasady, zgodnie z przepisami dotyczącymi kontroli sądowej ustanowionymi w ustawie o postępowaniu administracyjnym 192 "każda osoba doznająca krzywdy w świetle prawa w wyniku działania agencji lub dotknięta negatywnymi skutkami takiego działania lub poszkodowana w wyniku działań prowadzonych przez agencję" może wystąpić o kontrolę sądową 193 . Obejmuje to możliwość wystąpienia do sądu o "uznanie za bezprawne i uchylenie działań, ustaleń i wniosków agencji, w przypadku których okazało się, że są [...] arbitralne, nieprzemyślane, stanowią nadużycie uprawnień lub w inny sposób są niezgodne z prawem" 194 .
(132) Ściślej rzecz ujmując, w tytule II ustawy o ochronie danych w łączności elektronicznej 195 ustanowiono system ustawowych praw w obszarze prywatności, który reguluje kwestie związane z dostępem organów egzekwowania prawa do treści komunikatów przekazywanych za pomocą łączności przewodowej, ustnie lub za pomocą łączności elektronicznej przechowywanych przez dostawców usług będących osobami trzecimi 196 . W świetle przepisów ustawy bezprawny (tj. w braku stosownego upoważnienia wydanego przez sąd lub innego zezwolenia) dostęp do takich komunikatów jest uznawany za przestępstwo i daje pokrzywdzonej osobie prawo wytoczenia powództwa cywilnego przed amerykański sąd federalny o odszkodowanie za faktycznie poniesione szkody lub o odszkodowanie karne, a także o zasądzenie godziwego zadośćuczynienia od Stanów Zjednoczonych lub od urzędnika rządowego, który umyślnie dopuścił się tego rodzaju czynów zabronionych, lub wystąpienia z wnioskiem o wydanie deklaratywnego orzeczenia ustalającego wobec takiego urzędnika lub wobec Stanów Zjednoczonych.
(133) Ponadto zgodnie z ustawą o dostępie do informacji publicznej (tytuł 5 § 552 U.S.C.) każdy ma prawo do wglądu do rejestru prowadzonego przez agencję federalną, a po wyczerpaniu administracyjnych środków ochrony prawnej - do egzekwowania tego prawa przed sądem, o ile wspomniane rejestry nie są objęte ochroną przed publicznym ujawnieniem na mocy wyjątku lub przepisów szczególnych wyłączających ich jawność ze względów związanych z egzekwowaniem prawa 197 .
(134) Ponadto w kilku innych ustawach przyznaje się osobom fizycznym prawo do wytoczenia powództwa przeciwko organowi publicznemu lub urzędnikowi Stanów Zjednoczonych w związku z przetwarzaniem ich danych osobowych, takich jak ustawa o podsłuchach 198 , ustawa o oszustwach i nadużyciach komputerowych 199 , ustawa federalna o roszczeniach z tytułu czynu niedozwolonego 200 , ustawa o prawie do prywatności w kwestiach finansowych 201 oraz ustawa o rzetelnej sprawozdawczości kredytowej 202 .
(135) Komisja stwierdza zatem, że w Stanach Zjednoczonych wdrożono przepisy służące ograniczeniu wszelkiej ingerencji do celów egzekwowania prawa 203 lub do celów innych interesów publicznych w prawa podstawowe osób, których dane osobowe są przekazywane z Unii do Stanów Zjednoczonych w ramach Tarczy Prywatności UE-USA, do tego, co jest ściśle niezbędne, aby osiągnąć dany uzasadniony cel i aby zapewnić skuteczną ochronę prawną przed taką ingerencją.
4. ODPOWIEDNI STOPIEŃ OCHRONY W RAMACH TARCZY PRYWATNOŚCI UE-USA
(136) W świetle tych ustaleń Komisja uznaje, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z Unii do samocertyfikowanych podmiotów w Stanach Zjednoczonych w ramach Tarczy Prywatności UE-USA.
(137) W szczególności Komisja stwierdza, że zasady opublikowane przez Departament Handlu Stanów Zjednoczonych rozumiane jako całość zapewniają stopień ochrony danych osobowych, który jest zasadniczo równoważny poziomowi gwarantowanemu podstawowymi zasadami ustanowionymi w dyrektywie 95/46/WE.
(138) Ponadto ustanowienie zobowiązań w zakresie przejrzystości oraz zarządzanie Tarczą Prywatności przez Departament Handlu gwarantuje skuteczne stosowanie zasad.
(139) Ponadto Komisja stwierdza, że mechanizmy nadzoru i mechanizmy odwoławcze przewidziane w Tarczy Prywatności - rozumiane jako całość - zapewniają możliwość identyfikowania przypadków naruszenia zasad przez podmioty uczestniczące w programie Tarczy Prywatności i nakładania za nie kar w praktyce i oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do danych na ich temat oraz - ostatecznie - skorygowania lub usunięcia takich danych.
(140) Ponadto na podstawie dostępnych informacji na temat amerykańskiego porządku prawnego, w tym oświadczeń i zobowiązań rządu USA, Komisja stwierdza, że wszelkie ingerencje amerykańskich organów publicznych w prawa podstawowe osób, których dane osobowe są przekazywane z Unii do Stanów Zjednoczonych w ramach Tarczy Prywatności UE-USA do celów bezpieczeństwa narodowego, egzekwowania prawa lub innych celów interesu publicznego, a także wiążące się z nimi ograniczenia nałożone na samocertyfikowane podmioty w odniesieniu do przestrzegania przez nie zasad, będą ograniczać się do tego, co jest ściśle niezbędne, aby osiągnąć dany uzasadniony cel, oraz że istnieje skuteczna ochrona prawna przed taką ingerencją.
(141) Komisja stwierdza, że spełnia to normy art. 25 dyrektywy 95/46/WE interpretowanego w świetle Karty praw podstawowych Unii Europejskiej, jak wyjaśnił Trybunał Sprawiedliwości w szczególności w wyroku w sprawie Schrems.
5. DZIAŁANIA ORGANÓW OCHRONY DANYCH I INFORMACJE PRZEKAZYWANE KOMISJI
(142) W wyroku w sprawie Schrems Trybunał Sprawiedliwości wyjaśnił, że Komisja nie ma uprawnień, aby ograniczać kompetencje, które przysługują organom ochrony danych na mocy art. 28 dyrektywy 95/46/WE (w tym kompetencji do zawieszenia przekazywania danych), w przypadku gdy przy okazji skargi wnoszonej na mocy tego przepisu jednostka podważa zgodność wydanej przez Komisję decyzji w sprawie odpowiedniej ochrony danych osobowych z ochroną podstawowego prawa do prywatności i ochrony danych 204 .
(143) Aby skutecznie monitorować funkcjonowanie Tarczy Prywatności, Komisja powinna być informowana przez państwa członkowskie o odpowiednich działaniach podejmowanych przez organy ochrony danych.
(144) Trybunał Sprawiedliwości stwierdził ponadto, że zgodnie z art. 25 ust. 6 akapit drugi dyrektywy 95/46/WE państwa członkowskie i ich organy muszą podejmować środki niezbędne w celu zapewnienia zgodności z aktami instytucji unijnych, ponieważ co do zasady przyjmuje się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do czasu ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem. W rezultacie decyzja w sprawie odpowiedniej ochrony danych osobowych przyjęta przez Komisję na podstawie art. 25 ust. 6 dyrektywy 95/46/WE jest wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych 205 . W przypadku gdy taki organ otrzymał skargę, w której podważono zgodność wydanej przez Komisję decyzji w sprawie odpowiedniej ochrony danych osobowych z ochroną podstawowego prawa do prywatności i ochrony danych, i organ ten uzna podniesione zarzuty za zasadne, w prawie krajowym należy zapewnić drogę prawną umożliwiającą mu podniesienie tych zarzutów przed sądem krajowym, który w razie wątpliwości jest zobowiązany zawiesić postępowanie i wystąpić z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości 206 .
6. OKRESOWY PRZEGLĄD USTALENIA DOTYCZĄCEGO ADEKWATNOŚCI
(145) W świetle tego, że stopień ochrony zapewniany w porządku prawnym USA może ulec zmianie, Komisja po przyjęciu niniejszej decyzji będzie okresowo sprawdzać, czy ustalenia odnoszące się do adekwatności stopnia ochrony gwarantowanego przez Stany Zjednoczone w ramach Tarczy Prywatności UE-USA są nadal faktycznie i prawnie uzasadnione. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja pozyska informacje budzące uzasadnione wątpliwości w tym kontekście 207 .
(146) W związku z tym Komisja będzie nieprzerwanie monitorować ogólne ramy przekazywania danych osobowych zapewnione przez Tarczę Prywatności UE-USA oraz przestrzeganie przez organy USA oświadczeń i zobowiązań zawartych w dokumentach dołączonych do niniejszej decyzji. Aby ułatwić ten proces, Stany Zjednoczone zobowiązały się informować Komisję o istotnych zmianach w prawie amerykańskim, gdy dotyczą one Tarczy Prywatności w dziedzinie ochrony danych i ograniczeń w zakresie gwarancji stosowanych w celu uzyskania dostępu do danych osobowych przez organy publiczne. Co więcej, niniejsza decyzja będzie podlegać corocznemu wspólnemu przeglądowi, który obejmie wszystkie aspekty funkcjonowania Tarczy Prywatności UE-USA, w tym funkcjonowania wyjątków w zakresie bezpieczeństwa narodowego i egzekwowania prawa od obowiązujących zasad. Ponadto, ze względu na fakt, że zmiany w prawie Unii również mogą wpłynąć na ustalenie dotyczące adekwatności, Komisja oceni stopień ochrony zapewniony w ramach Tarczy Prywatności po wejściu w życie ogólnego rozporządzenia o ochronie danych.
(147) Aby przeprowadzić coroczny wspólny przegląd, o którym mowa w załącznikach I, II i VI, Komisja spotka się z przedstawicielami Departamentu Handlu i FTC oraz - w stosownych przypadkach - z przedstawicielami innych departamentów i agencji zaangażowanych we wdrażanie ustaleń dotyczących Tarczy Prywatności oraz, w sprawach związanych z bezpieczeństwem narodowym, przedstawicielami Urzędu Dyrektora Krajowych Służb Wywiadowczych, innych jednostek Wspólnoty Wywiadowczej i Rzecznikiem. Uczestnictwo w tym spotkaniu będzie otwarte dla unijnych organów ochrony danych i przedstawicielu Grupy Roboczej Art. 29.
(148) W ramach corocznego wspólnego przeglądu Komisja zwróci się do Departamentu Handlu o przedstawienie kompleksowych informacji dotyczących wszelkich istotnych aspektów funkcjonowania Tarczy Prywatności UE-USA, w tym zgłoszeń otrzymanych przez Departament Handlu od organów ochrony danych i wyników przeglądów przestrzegania zasad prowadzonych z urzędu. Komisja będzie również zwracać się o wyjaśnienia dotyczące wszelkich pytań lub kwestii związanych z Tarczą Prywatności UE-USA i jej funkcjonowaniem wynikających z wszelkich dostępnych informacji, w tym sprawozdań z przejrzystości dozwolonych na mocy amerykańskiej ustawy o wolności, ogólnodostępnych sprawozdań sporządzanych przez krajowe organy wywiadowcze USA, organy ochrony danych, grupy ds. ochrony prywatności, doniesień medialnych lub jakichkolwiek innych możliwych źródeł. Co więcej, aby ułatwić Komisji zadanie w tym względzie, państwa członkowskie powinny informować Komisję o przypadkach, w których działania organów odpowiedzialnych za zapewnienie przestrzegania zasad w Stanach Zjednoczonych nie zagwarantowały ich przestrzegania, oraz o wszelkich oznakach tego, że działania organów publicznych USA odpowiedzialnych za bezpieczeństwo narodowe lub zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych nie gwarantują wymaganego stopnia ochrony.
(149) Na podstawie corocznego wspólnego przeglądu Komisja przygotuje ogólnodostępne sprawozdanie, które przedłoży Parlamentowi Europejskiemu i Radzie.
7. ZAWIESZENIE DECYZJI W SPRAWIE ODPOWIEDNIEJ OCHRONY DANYCH OSOBOWYCH
(150) W przypadku gdy na podstawie kontroli lub jakichkolwiek innych dostępnych informacji Komisja stwierdzi, iż stopnia ochrony zapewnionego w ramach Tarczy Prywatności nie można zasadniczo uznać za równoważny stopniowi ochrony gwarantowanemu w Unii, lub gdy występują wyraźne oznaki tego, że w Stanach Zjednoczonych być może nie zapewnia się już skutecznego przestrzegania zasad lub że działania organów publicznych USA odpowiedzialnych za bezpieczeństwo narodowe lub zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych nie gwarantują wymaganego stopnia ochrony, Komisja poinformuje o tym Departament Handlu i zwróci się o szybkie podjęcie odpowiednich środków w celu zaradzenia potencjalnemu nieprzestrzeganiu zasad w określonym i rozsądnym terminie. Jeżeli po upływie określonego terminu organy USA nie wykażą w zadowalający sposób, że Tarcza Prywatności UE-USA nadal gwarantuje skuteczne przestrzeganie zasad i odpowiedni stopień ochrony, Komisja rozpocznie postępowanie prowadzące do częściowego lub pełnego zawieszenia lub uchylenia niniejszej decyzji 208 . Komisja może ewentualnie zaproponować zmianę niniejszej decyzji na przykład poprzez ograniczenie zakresu ustalenia dotyczącego adekwatności wyłącznie do przekazywania danych podlegającego dodatkowym warunkom.
(151) W szczególności Komisje rozpocznie procedurę zawieszenia lub uchylania w przypadku:
a) oznak, że organy USA nie przestrzegają oświadczeń i zobowiązań zawartych w dokumentach dołączonych do niniejszej decyzji, w tym jeżeli chodzi o warunki i ograniczenia dostępu amerykańskich organów publicznych do danych osobowych przekazywanych w ramach Tarczy Prywatności do celów egzekwowania prawa, bezpieczeństwa narodowego i innych celów interesu publicznego;
b) nieskutecznego rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, pochodzące z UE; w tym kontekście Komisja uwzględni wszystkie okoliczności mające wpływ na możliwość egzekwowania praw osób, których dane dotyczą, pochodzących z UE, w tym w szczególności dobrowolne zobowiązanie się samocertyfikowanych organizacji amerykańskich do współpracy z organami ochrony danych i stosowania ich rad; lub
c) nieudzielania terminowych i stosownych odpowiedzi przez Rzecznika ds. Tarczy Prywatności na wnioski składane przez osoby, których dane dotyczą, pochodzące z UE.
(152) Komisja rozważy również wszczęcie postępowania prowadzącego do zmiany, zawieszenia lub uchylenia niniejszej decyzji, jeżeli w kontekście corocznego wspólnego przeglądu funkcjonowania Tarczy Prywatności UE-USA lub w inny sposób Departament Handlu lub inne departamenty lub agencje zaangażowane we wdrażanie Tarczy Prywatności lub, w sprawach związanych z bezpieczeństwem narodowym, przedstawiciele amerykańskiej Wspólnoty Wywiadowczej lub Rzecznik nie przedstawią informacji lub wyjaśnień niezbędnych do oceny przestrzegania zasad, skuteczności procedur rozpatrywania skarg lub obniżenia wymaganego stopnia ochrony w wyniku działań krajowych organów wywiadowczych USA, w szczególności w wyniku gromadzenia lub uzyskania dostępu do danych osobowych, które nie ograniczają się do tego, co jest ściśle niezbędne i proporcjonalne. W tym kontekście Komisja uwzględni zakres, w jakim odpowiednie informacje można uzyskać z innych źródeł, w tym za pomocą sprawozdań samocertyfikowanych przedsiębiorstw amerykańskich zgodnie z przepisami amerykańskiej ustawy o wolności.
(153) Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE, wydała opinię w sprawie stopnia ochrony zapewnionego w ramach Tarczy Prywatności UE-USA 209 , która została uwzględniona przy przygotowaniu niniejszej decyzji.
(154) Parlament Europejski przyjął rezolucję w sprawie transatlantyckich przepływów danych 210 .
(155) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
1 Dz.U. L 281 z 23.11.1995, s. 31.
2 Zob. opinia nr 4/2016 dotycząca projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach Tarczy Prywatności UE-USA, opublikowana w dniu 30 maja 2016 r.
3 Sprawa C-362/14, Maximillian Schrems przeciwko Data Protection Commissioner ("wyrok w sprawie Schrems"), EU:C:2015:650, pkt 39.
4 Sprawa C-553/07, Rijkeboer, EU:C:2009:293, pkt 47; sprawy połączone C-293/12 i C-594/12, Digital Rights Ireland i in., EU: C:2014:238, pkt 53; sprawa C-131/12, Google Spain i Google, EU:C:2014:317, pkt 53, 66 i 74.
5 Decyzja Komisji 2000/520/WE z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach "bezpiecznej przystani" oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz.U. L 215 z 28.8.2000, s. 7).
6 Komunikat Komisji do Parlamentu Europejskiego i Rady - Odbudowa zaufania do przepływów danych między Unią Europejską a Stanami Zjednoczonymi, COM(2013) 846 final z dnia 27 listopada 2013 r.
7 Komunikat Komisji do Parlamentu Europejskiego i Rady w sprawie funkcjonowania zasad bezpiecznego transferu danych osobowych z punktu widzenia obywateli UE i przedsiębiorstw z siedzibą w UE, COM(2013) 847 final z dnia 27 listopada 2013 r.
10 Zob. przypis 3.
11 Wyrok w sprawie Schrems, pkt 97.
12 Wyrok w sprawie Schrems, pkt 73-74.
13 Wyrok w sprawie Schrems, pkt 88-89.
14 Zob. załącznik II sekcja III pkt 10 lit. a). Zgodnie z definicją zawartą w sekcji I pkt 8 lit. c) administrator danych określi cel i środki przetwarzania danych osobowych. Co więcej, w umowie z przedstawicielem należy wyraźnie zaznaczyć, czy wtórne przekazywanie jest dozwolone (zob. sekcja III pkt 10 lit. a) ppkt (ii) pkt 2).
15 Ma to również zastosowanie w przypadku danych o zasobach ludzkich przekazywanych z Unii w kontekście stosunku pracy. Chociaż w zasadach podkreślono "główną odpowiedzialność" unijnego pracodawcy (zob. załącznik II sekcja III pkt 9 lit. d) ppkt (i)), jednocześnie zaznaczono w nich wyraźnie, że postępowanie pracodawcy będzie podlegać przepisom mającym zastosowanie w Unii lub w odpowiednim państwie członkowskim, a nie zasadom. Zob. załącznik II sekcja III pkt 9 lit. a) ppkt (i), sekcja III pkt 9 lit. b) ppkt (ii), sekcja III pkt 9 lit. c) ppkt (i), sekcja III pkt 9 lit. d) ppkt (i).
16 Ma to również zastosowanie do przetwarzania, które odbywa się za pomocą urządzeń znajdujących się w Unii, ale wykorzystywanych przez podmiot z siedzibą poza Unią (zob. art. 4 ust. 1 lit. c) dyrektywy 95/46/WE). Od dnia 25 maja 2018 r. ogólne rozporządzenie o ochronie danych będzie miało zastosowanie do przetwarzania danych osobowych: (i) w kontekście działań przedsiębiorstwa administratora danych lub podmiotu przetwarzającego dane w Unii (nawet jeżeli przetwarzanie ma miejsce w Stanach Zjednoczonych) lub (ii) osób, których dane dotyczą i które mieszkają w Unii, przez administratora danych lub podmiot przetwarzający dane z siedzibą poza Unią, w przypadku gdy działalność związana z przetwarzaniem dotyczy: a) oferowania towarów lub usług takim osobom, których dane dotyczą, w Unii, bez względu na to, czy wymagana jest płatność przez osobę, której dane dotyczą lub b) monitorowania ich zachowania, o ile do zachowania tego dochodzi w Unii. Zob. art. 3 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
17 Niniejsza decyzja ma znaczenie dla EOG. W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG - Islandię, Liechtenstein i Norwegię. Unijne prawodawstwo dotyczące ochrony danych, w tym dyrektywa 95/46/WE, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. Wspólny Komitet EOG musi podjąć decyzję o włączeniu niniejszej decyzji do Porozumienia EOG. Po rozpoczęciu stosowania niniejszej decyzji do Islandii, Liechtensteinu i Norwegii Tarcza Prywatności UE-USA obejmie również te trzy państwa, a odniesienia w pakiecie Tarczy Prywatności do UE i jej państw członkowskich rozumie się jako obejmujące Islandię, Liechtenstein i Norwegię.
18 Zob. załącznik II sekcja III pkt 6 lit. e).
19 Zasady szczególne zapewniające dodatkowe gwarancje mają zastosowanie do danych o zasobach ludzkich gromadzonych w kontekście zatrudnienia, jak określono w zasadzie uzupełniającej "Dane o zasobach ludzkich"zasad ochrony prywatności - (zob. załącznik II sekcja III pkt 9). Na przykład pracodawcy powinni uwzględniać preferencje pracowników w obszarze ochrony prywatności poprzez ograniczanie dostępu do danych osobowych, anonimizację pewnych danych lub przypisywanie kodów lub pseudonimów. Co istotniejsze, podmioty są zobowiązane do współpracy i przestrzegania porad unijnych organów ochrony danych, jeżeli chodzi o takie dane.
20 Ma to zastosowanie do każdorazowego przekazywania danych w ramach Tarczy Prywatności, w tym jeżeli dotyczy to danych zgromadzonych w związku ze stosunkiem pracy. Chociaż amerykański podmiot samocertyfikowany może co do zasady wykorzystywać dane o zasobach ludzkich do różnych, niezwiązanych z zatrudnieniem celów (np. niektórych materiałów marketingowych), musi on przestrzegać zakazu przetwarzania danych w sposób niezgodny z zasadami, a ponadto może to czynić tylko zgodnie z zasadami powiadomienia i wyboru. Dzięki zakazowi podejmowania przez amerykański podmiot jakichkolwiek działań odwetowych wobec pracownika, który skorzystał z takiego wyboru, w tym nakładania jakichkolwiek ograniczeń w zakresie możliwości zatrudnienia, pracownik - mimo stosunku podporządkowania i nieodłącznie z nim związanej zależności - będzie wolny od presji, a zatem będzie mógł dokonać naprawdę wolnego wyboru.
21 Zob. załącznik II sekcja III pkt 12.
22 Zob. również zasada uzupełniająca "Dostęp" (załącznik II sekcja III pkt 8).
23 Zob. np. ustawa o równych możliwościach kredytowych (tytuł 15 § 1691 i nast. U.S.C.), ustawa o rzetelnej sprawozdawczości kredytowej (tytuł 15 § 1681 i nast. U.S.C.) lub ustawa o uczciwych praktykach w mieszkalnictwie (tytuł 42 § 3601 i nast. U.S.C.).
24 W kontekście przekazywania danych osobowych, które zgromadzono w UE, stosunek umowny w większości przypadków obowiązuje między osobą fizyczną (klientem) a unijnym administratorem danych, który musi przestrzegać unijnych zasad ochrony danych - w związku z tym wszelkie decyzje oparte na zautomatyzowanym przetwarzaniu danych zazwyczaj podejmuje unijny administrator danych. Obejmuje to scenariusze, w których za przetwarzanie odpowiada podmiot uczestniczący w programie Tarczy Prywatności działający w charakterze przedstawiciela w imieniu unijnego administratora danych.
25 Zob. również zasada uzupełniająca "Rozstrzyganie sporów i egzekwowanie" (załącznik II sekcja III pkt 11).
26 Zob. również zasada uzupełniająca "Samocertyfikacja" (załącznik II sekcja III pkt 6).
27 Zob. również zasada uzupełniająca "Kontrola" (załącznik II sekcja III pkt 7).
28 Zob. również zasada uzupełniająca "Obowiązkowe umowy dotyczące wtórnego przekazywania" (załącznik II sekcja III pkt 10).
29 Zob. zasada uzupełniająca "Obowiązkowe umowy dotyczące wtórnego przekazywania" (załącznik II sekcja III pkt 10 lit. b)). Chociaż zasada ta umożliwia przekazywanie danych w oparciu również o instrumenty pozaumowne (np. wewnątrzgrupowe programy zgodności i kontroli), w tekście wyraźnie zaznaczono, że instrumenty te muszą zawsze "zapewniać ciągłość ochrony danych osobowych zgodnie z zasadami Tarczy Prywatności". Co więcej, przyjmując że amerykański podmiot samocertyfikowany pozostanie odpowiedzialny za zgodność z zasadami, będzie on miał silną motywację do stosowania instrumentów, które istotnie są skuteczne w praktyce.
30 Zob. załącznik II sekcja I pkt 5.
31 Osoby fizyczne nie będą miały prawa do wycofania zgody, jeżeli dane osobowe przekazuje się osobie trzeciej, która działa jako przedstawiciel upoważniony do wykonania czynności w imieniu i zgodnie z poleceniami amerykańskiego podmiotu. Wymaga to jednak zawarcia umowy z przedstawicielem, a amerykański podmiot będzie odpowiedzialny za zagwarantowanie środków ochrony przewidzianych w zasadach poprzez wykonywanie swoich uprawnień do wydawania poleceń.
32 Sytuacja przedstawia się różnie w zależności od tego, czy osoba trzecia jest administratorem danych, czy też podmiotem przetwarzającym dane (przedstawicielem). W pierwszym scenariuszu w umowie z osobą trzecią należy przewidzieć, że podmiot przetwarzający zaprzestanie przetwarzania lub podejmie inne zasadne i właściwe środki, aby znaleźć rozwiązanie zaistniałej sytuacji. W drugim scenariuszu to podmiot uczestniczący w programie Tarczy Prywatności - jako podmiot kontrolujący przetwarzanie, którego polecenia wiążą przedstawiciela w jego działaniach - ma podjąć te środki.
33 W takim przypadku amerykański podmiot musi również podjąć zasadne i właściwe środki: (i) w celu zapewnienia skutecznego przetwarzania przez przedstawiciela danych osobowych przekazanych w sposób zgodny z obowiązkami tego podmiotu na mocy zasadach oraz (ii) w celu zaprzestania nieuprawnionego przetwarzania i naprawienia zaistniałej sytuacji, po otrzymaniu stosownego wniosku.
34 Informacje na temat zarządzania wykazem podmiotów uczestniczących w programie Tarczy Prywatności można znaleźć w załączniku I i II (sekcja I pkt 3, sekcja I pkt 4, sekcja III pkt 6 lit. d) i sekcja III pkt 11 lit. g)).
35 Zob. np. załącznik II sekcja I pkt 3, sekcja III pkt 6 lit. f) i sekcja III pkt 11 lit. g) ppkt (i).
36 Zob. załącznik I sekcja "Wyszukiwanie fałszywych oświadczeń dotyczących uczestnictwa w programie i podejmowanie działań zaradczych".
37 Zob. załącznik II sekcja III pkt 6 lit. h) i sekcja III pkt 11 lit. f).
38 Zob. załącznik I.
39 Tj. organ zajmujący się zapytaniami wyznaczony przez grupę organów ochrony danych przewidzianą w ramach zasady uzupełniającej dotyczącej "Roli organów ochrony danych" (załącznik II, sekcja III.5).
40 Sprawozdanie roczne musi zawierać następujące informacje: 1) łączną liczbę skarg związanych z Tarczą Prywatności otrzymanych w roku sprawozdawczym; 2) rodzaje otrzymanych skarg; 3) wskaźniki pomiaru jakości rozstrzygania sporów, np. czas niezbędny do rozpatrzenia skarg; oraz 4) wyniki rozpatrywania otrzymanych skarg, w szczególności liczbę i rodzaj zastosowanych środków ochrony prawnej lub nałożonych sankcji.
41 Zob. załącznik II sekcja III pkt 11 lit. e).
42 Zob. załącznik II sekcja III pkt 11 lit. g), w szczególności ppkt (ii) i (iii).
43 Zob. załącznik I sekcja "Wyszukiwanie fałszywych oświadczeń dotyczących uczestnictwa w programie i podejmowanie działań zaradczych".
44 Organy ochrony danych powinny przyjąć regulamin nieformalnego panelu organów ochrony danych w oparciu o ich zdolność do organizacji pracy i wzajemnej współpracy.
45 Zob. załącznik I sekcje dotyczące "Pogłębiania współpracy z organami ochrony danych" i "Ułatwienia rozstrzygania skarg na nieprzestrzeganie zasad" oraz załącznik II sekcja II pkt 7 lit. e).
46 Zob. załącznik IV, s. 6.
47 Tamże.
48 Zob. załącznik I sekcja "Ułatwienia rozstrzygania skarg na nieprzestrzeganie zasad".
49 Podmiot uczestniczący w programie Tarczy Prywatności musi publicznie zobowiązać się do przestrzegania zasad, podać do wiadomości publicznej stosowaną przez siebie politykę ochrony prywatności opracowaną zgodnie z tymi zasadami i w pełni wdrożyć te zasady. Brak zgodności można wyegzekwować na podstawie sekcji 5 ustawy o FTC, w której ustanowiono zakaz podejmowania nieuczciwych i wprowadzających w błąd działań w ramach wymiany handlowej lub mających wpływ na wymianę handlową.
50 Z informacji przekazanych przez FTC wynika, że FTC nie jest uprawnione do przeprowadzania kontroli na miejscu przy podejmowaniu działań w obszarze ochrony prywatności. FTC może jednak zażądać od podmiotu przedstawienia dokumentów i oświadczeń świadków (zob. sekcja 20 ustawy o FTC) i w przypadku nieprzestrzegania zasad może egzekwować nakazy przedstawienia dokumentów i oświadczeń świadków na drodze sądowej.
51 Na mocy orzeczeń FTC lub sądu przedsiębiorstwa są zobowiązane do wdrożenia programów ochrony prywatności i regularnego udostępniania FTC sprawozdań dotyczących przestrzegania zasad lub ocen tych programów przeprowadzonych przez niezależne osoby trzecie.
52 Zob. załącznik II sekcja II pkt 1 ppkt (xi) i sekcja III pkt 7 lit. c).
53 Liczba arbitrów w danym panelu zostanie uzgodniona między stronami.
54 Panel może jednak uznać, że w okolicznościach konkretnego arbitrażu pokrycie kosztów doprowadziłoby do nieuzasadnionych lub nieproporcjonalnych kosztów.
55 Osoby fizyczne nie mogą dochodzić odszkodowania w postępowaniu arbitrażowym, ale też wszczęcie postępowania arbitrażowego nie uniemożliwia dochodzenia odszkodowania przed amerykańskimi sądami powszechnymi.
56 Dyrektor Krajowych Służb Wywiadowczych stoi na czele Wspólnoty Wywiadowczej i pełni funkcję głównego doradcy Prezydenta oraz Rady Bezpieczeństwa Narodowego. Zob. ustawa o reformie służby wywiadowczej i zwalczaniu terroryzmu z 2004 r., Zbiór ustaw publicznych nr 108-458 z dnia 17 grudnia 2004 r. Urząd Dyrektora Krajowych Służb Wywiadowczych ustanawia m.in. wymogi w zakresie podziału zadań oraz gromadzenia, analizowania, opracowywania i rozpowszechniania krajowych danych wywiadowczych przez Wspólnotę Wywiadowczą, a także zarządzania działaniami Wspólnoty Wywiadowczej w tym zakresie i nadawania kierunku tym działaniom, a także opracowuje wytyczne dotyczące sposobu oceniania, wykorzystywania i udostępniania informacji lub danych wywiadowczych. Zob. sekcja 1.3 lit. a) i b) rozporządzenia wykonawczego 12333.
57 Zob. wyrok w sprawie Schrems, pkt 91.
58 Artykuł II konstytucji Stanów Zjednoczonych. Zob. również wstęp do dyrektywy politycznej Prezydenta nr 28.
59 Rozporządzenie wykonawcze 12333: Działalność wywiadowcza Stanów Zjednoczonych, Rejestr Federalny t. 40, nr 235 (8 grudnia 1981 r.). W zakresie, w jakim rozporządzenie wykonawcze jest publicznie dostępne, określono w nim cele, kierunki prac, zadania i obowiązki amerykańskich agencji wywiadowczych (a także funkcje określonych jednostek Wspólnoty Wywiadowczej), a także ustanowiono ogólne parametry regulujące działalność agencji wywiadowczych (w szczególności ustanowiono obowiązek podawania przepisów proceduralnych do wiadomości publicznej). Zgodnie z sekcją 3.2 rozporządzenia wykonawczego 12333 Prezydent, korzystając ze wsparcia Rady Bezpieczeństwa Narodowego i Dyrektora Krajowych Służb Wywiadowczych, wydaje dyrektywy, ustanawia procedury i publikuje wytyczne konieczne do wykonania tego rozporządzenia.
60 Zgodnie z rozporządzeniem wykonawczym 12333 Dyrektor Agencji Bezpieczeństwa Narodowego pełni funkcję Kierownika Merytorycznego ds. Rozpoznania Radioelektronicznego i zarządza działalnością jednolitej organizacji ds. działań w obszarze rozpoznania radioelektronicznego.
61 Definicję terminu "Wspólnota Wywiadowcza" przedstawiono w sekcji 3.5 lit. h) rozporządzenia wykonawczego 12333 i w sekcji 1 dyrektywy politycznej Prezydenta nr 28.
62 Zob. memorandum Biura Doradztwa Prawnego w Departamencie Sprawiedliwości adresowane do prezydenta Clintona z dnia 29 stycznia 2000 r. Zgodnie z opinią prawną przedstawioną w tej opinii prawnej dyrektywy Prezydenta "wywierają taki sam materialny skutek prawny co rozporządzenie wykonawcze".
63 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 3.
64 Zob. sekcja 4 lit. b) i c) dyrektywy politycznej Prezydenta nr 28. Zgodnie z informacjami podanymi do wiadomości publicznej w przeglądzie za 2015 r. potwierdzono sześć aktualnie obowiązujących celów. Zob. Urząd Dyrektora Krajowych Służb Wywiadowczych, reforma systemu rozpoznania radioelektronicznego, sprawozdanie okresowe za 2016 r.
65 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 6 (w odniesieniu do dyrektywy Wspólnoty Wywiadowczej nr 204). Zob. również sekcja 3 dyrektywy politycznej Prezydenta nr 28.
66 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 6. Zob. np. Biuro Wolności Obywatelskich i Ochrony Prywatności w ramach Agencji Bezpieczeństwa Narodowego, opracowane przez Agencję Bezpieczeństwa Narodowego sprawozdanie dotyczące środków ochrony wolności obywatelskich i prywatności na potrzeby ukierunkowanych działań w obszarze SIGINT na mocy rozporządzenia wykonawczego nr 12333 z dnia 7 października 2014 r. Zob. również sprawozdanie Urzędu Dyrektora Krajowych Służb Wywiadowczych z postępu prac w 2014 r. Jeżeli chodzi o wnioski o udostępnienie danych składane zgodnie z sekcją 702 ustawy o kontroli wywiadu, zapytania przetwarza się zgodnie z procedurami minimalizacji zatwierdzonymi przez Sąd ds. Inwigilacji Obcych Wywiadów. Zob. Biuro Wolności Obywatelskich i Ochrony Prywatności w ramach Agencji Bezpieczeństwa Narodowego, sprawozdanie dotyczące wdrażania sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego z dnia 16 kwietnia 2014 r.
67 Zob. reforma systemu rozpoznania radioelektronicznego, sprawozdanie roczne za 2015 r. Zob. również oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 6, 8-9, 11.
68 Zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 3.
69 Należy również podkreślić, że zgodnie z sekcją 2.4 rozporządzenia wykonawczego 12333 jednostki Wspólnoty Wywiadowczej "muszą stosować możliwie jak najmniej inwazyjne metody gromadzenia danych na terytorium Stanów Zjednoczonych". Aby uzyskać dodatkowe informacje na temat ograniczeń związanych z możliwością zastąpienia wszystkich przypadków hurtowego gromadzenia danych ukierunkowanym gromadzeniem danych, zob. wyniki oceny przeprowadzonej przez Krajową Radę ds. Badań przekazane Agencji Praw Podstawowych Unii Europejskiej zawarte w dokumencie pt. Nadzór nad służbami wywiadowczymi: gwarancje i środki ochrony prawnej w zakresie praw podstawowych w UE (Surveillance by Intelligence Services: Fundamental Rights Safeguards and Remedies in the EU) (2015), s. 18.
70 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 4.
71 Zob. również sekcja 5 lit. d) dyrektywy politycznej Prezydenta nr 28, w której Dyrektora Krajowych Służb Wywiadowczych - współpracującego z jednostkami Wspólnoty Wywiadowczej i Urzędem ds. Polityki w dziedzinie Nauki i Technologii - zobowiązano do przekazywania Prezydentowi "sprawozdania dotyczące możliwości opracowania oprogramowania, które pozwoliłoby Wspólnocie Wywiadowczej usprawnić metodę ukierunkowanego gromadzenia danych, aby zapoczątkować proces odchodzenia od hurtowego gromadzenia danych". Z informacji podanych do wiadomości publicznej wynika, że w sprawozdaniu stwierdzono, iż "obecnie nie istnieje żadne bazujące na oprogramowaniu rozwiązanie alternatywne, które mogłoby w pełni zastąpić metodę hurtowego gromadzenia danych na potrzeby wykrywania określonych zagrożeń dla bezpieczeństwa narodowego". Zob. reforma systemu rozpoznania radioelektronicznego, sprawozdanie roczne za 2015 r.
72 Zob. przypis 68.
73 Zob. przypis 68.
74 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI). Dotyczy to przede wszystkim obaw wyrażonych przez krajowe organy ochrony danych w opinii dotyczącej projektu decyzji w sprawie odpowiedniej ochrony danych osobowych. Zob. opinia 01/2016 Grupy Roboczej Art. 29 dotycząca projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach Tarczy Prywatności UE-USA (przyjęta w dniu 13 kwietnia 2016 r.), s. 38, nr 47.
75 Zob. sekcja 2 dyrektywy politycznej Prezydenta nr 28.
76 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 4. Zob. również dyrektywa Wspólnoty Wywiadowczej nr 203.
77 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 2. W tym kontekście zastosowanie mają również ograniczenia ustanowione w rozporządzeniu wykonawczym nr 12333 (np. wymóg zapewnienia zgodności gromadzonych informacji z priorytetami wywiadowczymi wyznaczonymi przez Prezydenta).
78 Zob. wyrok w sprawie Schrems, pkt 93.
79 Ponadto Federalne Biuro Śledcze może również gromadzić dane na podstawie zezwoleń w zakresie egzekwowania prawa (zob. sekcja 3.2 niniejszej decyzji).
80 Aby uzyskać dodatkowe informacje na temat korzystania z wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 13-14, nr 38. Jak wskazano w tych oświadczeniach, Federalne Biuro Śledcze może skorzystać z wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego wyłącznie w celu zwrócenia się o przekazanie informacji niedotyczących treści istotnych w kontekście zatwierdzonego krajowego postępowania sprawdzającego prowadzonego w celu zapewnienia ochrony przed terroryzmem międzynarodowym lub tajnymi działaniami wywiadowczymi. Jeżeli chodzi o przekazywanie danych w ramach Tarczy Prywatności UE-USA, za najistotniejsze upoważnienie prawne należałoby uznać ustawę o ochronie danych w łączności elektronicznej (tytuł 18 § 2709 U.S.C.), w której ustanowiono wymóg opatrzenia każdego wniosku o przekazanie informacji na temat abonenta lub o udostępnienie rejestrów transakcji "elementem umożliwiającym bezpośrednią identyfikację danej osoby, podmiotu, numeru telefonicznego lub rachunku".
81 Tytuł 50 § 1804 U.S.C. Choć ta podstawa prawna wymaga "przedstawienia stanu faktycznego i okoliczności, na które wnioskodawca powołał się, aby uzasadnić swoje przekonanie, że a) podmiot objęty dozorem elektronicznym jest kontrolowany przez obce państwo lub jest agentem obcego państwa", ta ostania kategoria może obejmować osoby niebędące obywatelami ani rezydentami amerykańskimi, które są zaangażowane w międzynarodowy terroryzm lub w rozprzestrzenianie broni masowego rażenia na szczeblu międzynarodowym (uwzględniając czynności przygotowawcze) (tytuł 50 § 1801 lit. b) pkt 1 U.S.C). Istnieje jednak tylko teoretyczne powiązanie z danymi osobowymi przekazywanymi w ramach Tarczy Prywatności UE-USA, zważywszy, że przedstawienie stanu faktycznego musi także uzasadnić przekonanie, iż "każdy obiekt lub każde miejsce, na które ukierunkowany jest dozór elektroniczny, są użytkowane lub wkrótce będą użytkowane przez obce państwo lub przez agenta obcego państwa". W każdym razie skorzystanie z tej podstawy prawnej wymaga złożenia wniosku do Sądu ds. Inwigilacji Obcych Wywiadów, który oceni m.in. czy na podstawie przedstawionych faktów istnieje uzasadnione podejrzenie, że dane zdarzenie faktycznie miało miejsce.
82 Tytuł 50 § 1842 i § 1841 ust. 2 i tytuł 18 sekcja 3127 U.S.C. Ta podstawa prawna odnosi się nie do treści komunikatów, lecz raczej dotyczy informacji na temat klienta lub abonenta korzystającego z usługi (takich jak imię i nazwisko, adres, numer abonenta, okres/ rodzaj otrzymywanej usługi, źródło/mechanizm płatności). Wymaga ona złożenia wniosku o wydanie nakazu przez Sąd ds. Inwigilacji Obcych Wywiadów (lub amerykańskiego sędziego pokoju) i zastosowanie konkretnego terminu identyfikującego w rozumieniu § 1841 ust. 4, tj. terminu, który w konkretny sposób identyfikuje daną osobę, konto itd. i jest stosowany w celu ograniczenia w jak największym stopniu zakresu żądanych informacji.
83 Chociaż w sekcji 501 ustawy o kontroli wywiadu (dawna sekcja 215 amerykańskiej ustawy antyterrorystycznej) upoważnia się FBI do wystąpienia o nakaz sądowy mający na celu przedstawienie "przedmiotów materialnych" (w szczególności metadanych telefonicznych, ale również dokumentacji dotyczącej prowadzonej działalności) do celów wywiadu zagranicznego, zgodnie z sekcją 702 ustawy o kontroli wywiadu jednostki amerykańskiej Wspólnoty Wywiadowczej mogą starać się o uzyskanie dostępu do informacji, w tym treści komunikatów internetowych, od Stanów Zjednoczonych, skupiając się jednak na określonych osobach niebędących obywatelami ani rezydentami amerykańskimi przebywających poza Stanami Zjednoczonymi.
84 Na podstawie tego przepisu FBI może zażądać wydania "przedmiotów materialnych" (np. rejestrów, opracowań, dokumentów) na podstawie wykazania przed Sądem ds. Inwigilacji Obcych Wywiadów, że istnieją uzasadnione przesłanki, aby przypuszczać, że mają one istotne znaczenie dla konkretnego dochodzenia prowadzonego przez FBI. Prowadząc takie poszukiwania, FBI musi korzystać z terminów umożliwiających selekcję zatwierdzonych przez Sąd ds. Inwigilacji Obcych Wywiadów, w odniesieniu do których istnieje "uzasadnione, wyraźne podejrzenie", że taki termin jest powiązany z co najmniej jednym obcym państwem lub agentem obcego państwa zaangażowanego w międzynarodowy terroryzm lub związane z tym działania przygotowawcze. Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 59; Biuro Wolności Obywatelskich i Ochrony Prywatności Agencji Bezpieczeństwa Narodowego, Sprawozdanie z przejrzystości: Wdrażanie zmian w zakresie dokumentacji dotyczącej prowadzonej działalności i ustawy o kontroli wywiadu wprowadzonych w amerykańskiej ustawie o wolności (Transparency Report: The USA Freedom Act Business Records FISA Implementation) z dnia 15 stycznia 2016 r., s. 4-6.
85 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 13 (nr 38).
86 Zob. przypis 81.
87 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 702, s. 32-33, z dalszymi odniesieniami. W uzgodnieniu ze swoim biurem ochrony prywatności Agencja Bezpieczeństwa Narodowego musi sprawdzić, czy istnieje związek między docelową osobą a selektorem, musi udokumentować dane wywiadowcze, które mają zostać pozyskane, dane te muszą zostać poddane przeglądowi i zatwierdzone przez dwóch starszych rangą analityków Agencji Bezpieczeństwa Narodowego, a cały proces będzie śledzony na potrzeby kolejnych przeglądów zgodności przez Urząd Dyrektora Krajowych Służb Wywiadowczych i Departament Sprawiedliwości. Zob. Biuro Wolności Obywatelskich i Ochrony Prywatności w ramach Agencji Bezpieczeństwa Narodowego, Wdrażanie sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego (NSA's Implementation of Foreign Intelligence Act Section 702) z dnia 16 kwietnia 2014 r.
88 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 702, s. 111; Zob. także oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 9 ("Gromadzenie danych zgodnie z sekcją 702 [ustawy o kontroli wywiadu] nie jest »masowe i bezkrytyczne«, lecz jest ściśle ukierunkowane na gromadzenie zagranicznych informacji wywiadowczych od indywidualnie określonych, uzasadnionych osób wybranych jako cel działań wywiadowczych") oraz s. 13, nr 36 (wraz z odniesieniami do opinii Sądu ds. Inwigilacji Obcych Wywiadów z 2014 r.); Biuro Wolności Obywatelskich i Ochrony Prywatności w ramach Agencji Bezpieczeństwa Narodowego, Wdrażanie sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego z dnia 16 kwietnia 2014 r. Nawet w przypadku UPSTREAM Agencja Bezpieczeństwa Narodowego może jedynie wystąpić o przechwytywanie komunikatów elektronicznych do określonych selektorów, od tych selektorów lub na ich temat.
89 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 18. Zob. także s. 6, zgodnie z którą mające zastosowanie procedury świadczą o "wyraźnym zaangażowaniu w zapobieganie gromadzeniu danych w ramach rozpoznania radioelektronicznego w sposób arbitralny i bezkrytyczny oraz we wdrażanie - począwszy od najwyższych szczebli naszego rządu - zasady rozsądnego działania".
90 Zob. statystyczne sprawozdanie z przejrzystości dotyczące korzystania z dokumentów stanowiących podstawę prawną do celów bezpieczeństwa narodowego (Statistical Transparency Report Regarding Use of National Security Authorities) z dnia 22 kwietnia 2015 r. W odniesieniu do ogólnego przepływu danych w internecie zob. np. Agencja Praw Podstawowych, Inwigilacja prowadzona przez służby wywiadowcze: gwarancje i środki ochrony prawnej w zakresie praw podstawowych w UE (Surveillance by Intelligence Services: Fundamental Rights Safeguards and Remedies in the EU) (2015), s. 15-16. Jeżeli chodzi o program agencji UPSTREAM, zgodnie z odtajnioną opinią Sądu ds. Inwigilacji Obcych Wywiadów z 2011 r. ponad 90 % komunikatów elektronicznych zgromadzonych zgodnie z sekcją 702 ustawy o kontroli wywiadu pochodziło z programu agencji PRISM, podczas gdy mniej niż 10 % pochodziło z programu agencji UPSTREAM. Zob. Sąd ds. Inwigilacji Obcych Wywiadów, Opinia w sprawie memorandum, 2011 WL 10945618 (Sąd ds. Inwigilacji Obcych Wywiadów, z dnia 3 października 2011 r.), nr 21 (dokument dostępny na stronie internetowej: http://www.dni.gov/files/documents/0716/October-2011-Bates-Opinion-and%20°rder-20140716.pdf).
91 Zob. sekcja 4 lit. a) ppkt (ii) dyrektywy politycznej Prezydenta nr 28. Zob. także Urząd Dyrektora Krajowych Służb Wywiadowczych, Ochrona danych osobowych wszystkich osób: Sprawozdanie z postępu prac nad opracowywaniem i wdrażaniem procedur przewidzianych w dyrektywie politycznej Prezydenta nr 28 (Safeguarding the Personal Information of all People: A Status Report on the Development and Implementation of Procedures under Presidential Policy Directive 28), lipiec 2014 r., s. 5, zgodnie z którym "polityka jednostek Wspólnoty Wywiadowczej powinna służyć wzmocnieniu istniejących praktyk i norm analitycznych, na mocy których analitycy muszą dążyć do strukturyzowania zapytań lub innych warunków i technik wyszukiwania w celu wskazania danych wywiadowczych istotnych z perspektywy ważnego zadania z zakresu działań wywiadowczych lub egzekwowania prawa; muszą zagwarantować, że zapytania dotyczące osób będą koncentrować się na tych kategoriach danych wywiadowczych, które odpowiadają wymogowi dotyczącemu działań wywiadowczych lub egzekwowania prawa; oraz zminimalizować przegląd danych osobowych niemających znaczenia z punktu widzenia wymogów dotyczących działań wywiadowczych lub egzekwowania prawa". Zob. np. CIA, Działalność w zakresie rozpoznania radioelektronicznego (Signals Intelligence Activities), s. 5; Federalne Biuro Śledcze, Strategie polityczne i procedury przewidziane w dyrektywie politycznej Prezydenta nr 28 (Presidential Policy Directive 28 Policies and Procedures), s. 3. Według sprawozdania z postępów z 2016 r. dotyczącego reformy systemu rozpoznania radioelektronicznego jednostki Wspólnoty Wywiadowczej (w tym FBI, CIA i Agencja Bezpieczeństwa Narodowego) podjęły kroki mające na celu uwrażliwienie pracowników na wymogi określone w dyrektywie politycznej Prezydenta nr 28 poprzez opracowanie nowych lub zmianę istniejących strategii szkoleniowych.
92 Zgodnie z oświadczeniami Urzędu Dyrektora Krajowych Służb Wywiadowczych ograniczenia te mają zastosowanie niezależnie od tego, czy informacje gromadzone są hurtowo czy poprzez ukierunkowane gromadzenie danych oraz niezależnie od narodowości osoby fizycznej.
93 Zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI).
94 Zob. sekcja 4 lit. a) ppkt (i) dyrektywy politycznej Prezydenta nr 28 oraz sekcja 2.3 rozporządzenia wykonawczego 12333.
95 Sekcja 4 lit. a) ppkt (i) dyrektywy politycznej Prezydenta nr 28; oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 7. Na przykład w odniesieniu do danych osobowych gromadzonych na podstawie sekcji 702 ustawy o kontroli wywiadu w ramach procedur minimalizacji Agencji Bezpieczeństwa Narodowego zatwierdzonych przez Sąd ds. Inwigilacji Obcych Wywiadów przewiduje się zasadę, zgodnie z którą metadane i nieocenione treści na potrzeby programu PRISM są przechowywane przez okres nie dłuższy niż pięć lat, zaś dane z programu UPSTREAM są przechowywane nie dłuższej niż dwa lata. Agencja Bezpieczeństwa Narodowego przestrzega tych terminów przechowywania dzięki zautomatyzowanemu procesowi, w ramach którego usuwa się zgromadzone dane po zakończeniu odpowiedniego okresu przechowywania. Zob. procedury minimalizacji Agencji Bezpieczeństwa Narodowego określone w sekcji 702 ustawy o kontroli wywiadu oraz sekcja 7 i sekcja 6 lit. a) pkt 1; Biuro Wolności Obywatelskich i Ochrony Prywatności Agencji Bezpieczeństwa Narodowego, sprawozdanie dotyczące wdrażania sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego z dnia 16 kwietnia 2014 r. Podobnie przechowywanie danych na mocy sekcji 501 ustawy o kontroli wywiadu (dawna sekcja 215 amerykańskiej ustawy antyterrorystycznej) jest ograniczone do pięciu lat, chyba że dane osobowe są objęte należycie zatwierdzonym rozpowszechnianiem danych wywiadowczych lub Departament Sprawiedliwości doradzi Agencji Bezpieczeństwa Narodowego na piśmie, że rejestry podlegają obowiązkowi zachowania w związku z toczącym się lub przewidywanym postępowaniem sądowym. Zob. Biuro Wolności Obywatelskich i Ochrony Prywatności Agencji Bezpieczeństwa Narodowego, Sprawozdanie z przejrzystości: Wdrażanie zmian w zakresie dokumentacji dotyczącej prowadzonej działalności i ustawy o kontroli wywiadu wprowadzonych w amerykańskiej ustawie o wolności z dnia 15 stycznia 2016 r.
96 W szczególności w przypadku sekcji 501 ustawy o kontroli wywiadu (dawna sekcja 215 amerykańskiej ustawy antyterrorystycznej) dane osobowe można rozpowszechniać jedynie do celów walki z terroryzmem lub jako dowód przestępstwa; w przypadku sekcji 702 ustawy o kontroli wywiadu - tylko jeżeli istnieje ważny cel działań wywiadowczych lub działań z zakresu egzekwowania prawa. Por. Biuro Wolności Obywatelskich i Ochrony Prywatności Agencji Bezpieczeństwa Narodowego, sprawozdanie dotyczące wdrażania sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego z dnia 16 kwietnia 2014 r.; Sprawozdanie z przejrzystości: Wdrażanie zmian w zakresie dokumentacji dotyczącej prowadzonej działalności i ustawy o kontroli wywiadu wprowadzonych w amerykańskiej ustawie o wolności z dnia 15 stycznia 2016 r. Zob. także opracowane przez Agencję Bezpieczeństwa Narodowego sprawozdanie dotyczące środków ochrony wolności obywatelskich i prywatności na potrzeby ukierunkowanych działań w obszarze SIGINT na mocy rozporządzenia wykonawczego nr 12333 z dnia 7 października 2014 r.
97 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 7 (w odniesieniu do dyrektywy Wspólnoty Wywiadowczej nr 203).
98 Trybunał Sprawiedliwości wyjaśnił, że bezpieczeństwo narodowe stanowi uzasadniony cel polityki. Zob. wyrok w sprawie Schrems, pkt 88. Zob. także wyrok w sprawie Digital Rights Ireland i in., pkt 42-44 i 51, w którym Trybunał Sprawiedliwości uznał, że walka z poważną przestępczością, a zwłaszcza z przestępczością zorganizowaną i terroryzmem, może w dużym stopniu zależeć od wykorzystania nowoczesnych technik dochodzeniowo-śledczych. Ponadto w przeciwieństwie do czynności dochodzeniowo-śledczych, które zazwyczaj dotyczą retrospektywnego ustalenia odpowiedzialności i winy za czyny popełnione w przeszłości, działania wywiadowcze często polegają na zapobieganiu zagrożeniom dla bezpieczeństwa narodowego przed wystąpieniem szkody. Dlatego takie dochodzenia często muszą obejmować szerszy krąg ewentualnych zaangażowanych podmiotów ("namierzanych osób") oraz większy obszar geograficzny. Por. wyrok Europejskiego Trybunału Praw Człowieka w sprawie Weber i Saravia przeciwko Niemcom z dnia 29 czerwca 2006 r., skarga nr 54934/00, pkt 105-118 (w sprawie tzw. "monitorowania strategicznego").
99 Zob. wyrok w sprawie Schrems, pkt 91 z dalszymi odniesieniami.
100 Wyrok w sprawie Schrems, pkt 93.
101 Por. wyrok w sprawie Schrems, pkt 94.
102 Urząd Dyrektora Krajowych Służb Wywiadowczych, Ochrona danych osobowych wszystkich osób: Sprawozdanie z postępu prac nad opracowywaniem i wdrażaniem procedur przewidzianych w dyrektywie politycznej Prezydenta nr 28, s. 7. Zob. np. CIA, Działalność w zakresie rozpoznania radioelektronicznego, s. 6 (Zgodność); Federalne Biuro Śledcze, Strategie polityczne i procedury przewidziane w dyrektywie politycznej Prezydenta nr 28, sekcja III pkt A ust. 4, sekcja III pkt B ust. 4; Agencja Bezpieczeństwa Narodowego, Procedury przewidziane w sekcji 4 dyrektywy politycznej Prezydenta nr 28 (PPD-28 Section 4 Procedures) z dnia 12 stycznia 2015 r., sekcja 8.1, 8.6 lit. c).
103 Na przykład Agencja Bezpieczeństwa Narodowego zatrudnia ponad 300 pracowników ds. zgodności w Dyrekcji ds. Zgodności. Zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 7.
104 Zob. pismo dotyczące urzędu Rzecznika (załącznik III), sekcja 6 lit. b) ppkt (i)-(iii).
105 Zob. tytuł 42 § 2000ee-1 U.S.C. Obejmuje to np. Departament Stanu, Departament Sprawiedliwości (w tym FBI), Departament Bezpieczeństwa Krajowego, Departament Obrony, Agencję Bezpieczeństwa Narodowego, CIA i Urząd Dyrektora Krajowych Służb Wywiadowczych.
106 Według rządu Stanów Zjednoczonych, jeżeli Biuro Wolności Obywatelskich i Ochrony Prywatności Urzędu Dyrektora Krajowych Służb Wywiadowczych otrzyma skargę, będzie również współpracowało z innymi jednostkami Wspólnoty Wywiadowczej nad sposobem rozpatrzenia skargi w ramach Wspólnoty Wywiadowczej. Zob. pismo dotyczące urzędu Rzecznika (załącznik III), sekcja 6 lit. b) ppkt (ii).
107 Zob. tytuł 42 § 2000ee-1 lit. f) pkt 1 i 2 U.S.C.
108 Zob. opinia 01/2016 Grupy Roboczej Art. 29 dotycząca projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach Tarczy Prywatności UE-USA (przyjęta w dniu 13 kwietnia 2016 r.), s. 41.
109 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 7. Zob. np. Agencja Bezpieczeństwa Narodowego, Procedury przewidziane w sekcji 4 dyrektywy politycznej Prezydenta nr 28 z dnia 12 stycznia 2015 r., sekcja 8.1; CIA, Działalność w zakresie rozpoznania radioelektronicznego, s. 7 (Obowiązki).
110 Inspektora Generalnego (urząd ten utworzono w październiku 2010 r.) powołuje Prezydent za zgodą Senatu; Inspektor może zostać odwołany wyłącznie przez Prezydenta - takie uprawnienie nie przysługuje Dyrektorowi Krajowych Służb Wywiadowczych.
111 Wspomniani Inspektorzy Generalni są powoływani na określoną kadencję i mogą zostać odwołani wyłącznie przez Prezydenta, który musi przedstawić Kongresowi pisemne uzasadnienie decyzji o ich odwołaniu. Nie oznacza to jednak, że inspektorzy działają w całkowicie niezależny sposób. W niektórych przypadkach dyrektor departamentu może zakazać inspektorowi generalnemu wszczęcia, przeprowadzania lub zakończenia audytu lub dochodzenia, w przypadku gdy uzna to za konieczne do zabezpieczenia ważnych interesów narodowych (interesów związanych z bezpieczeństwem narodowym). Kongres musi jednak zostać poinformowany o tym, że dyrektor skorzystał z tego uprawnienia, co może stanowić podstawę do pociągnięcia go do odpowiedzialności. Zob. np. ustawa o Inspektorze Generalnym z 1978 r., § 8 (Inspektor Generalny Departamentu Obrony); § 8E (Inspektor Generalny Departamentu Sprawiedliwości), § 8G lit. d) pkt 2 ppkt A, B (Inspektor Generalny Agencji Bezpieczeństwa Narodowego); tytuł 50 § 403q lit. b) U.S.C. (Inspektor Generalny Centralnej Agencji Wywiadowczej); ustawa o autoryzacji działań wywiadowczych na rok budżetowy 2010, sekcja 405 lit. f) (Inspektor Generalny Wspólnoty Wywiadowczej). Zgodnie z oceną krajowych organów ochrony danych Inspektorzy Generalni "mogą spełnić kryterium dotyczące niezależności organizacyjnej, jak określił Trybunał Sprawiedliwości Unii Europejskiej i Europejski Trybunał Praw Człowieka, przynajmniej od momentu gdy nowa procedura nominacji będzie miała zastosowanie do wszystkich organów". Zob. opinia 01/2016 Grupy Roboczej Art. 29 dotycząca projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach Tarczy Prywatności UE-USA (przyjęta w dniu 13 kwietnia 2016 r.), s. 40.
112 Zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 7. Zob. również ustawa o Inspektorze Generalnym z 1978 r., z późniejszymi zmianami, Zbiór ustaw publicznych nr 113-126 z dnia 7 lipca 2014 r.
113 Zob. ustawa o Inspektorze Generalnym z 1978 r., § 6.
114 Zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 7. Zob. również ustawa o Inspektorze Generalnym z 1978 r., § 4 ust. 5 i § 5. Zgodnie z sekcją 405 lit. b) pkt 3 i 4 ustawy o autoryzacji działań wywiadowczych na rok budżetowy 2010, Zbiór ustaw publicznych nr 111-259 z dnia 7 października 2010 r., Inspektor Generalny Wspólnoty Wywiadowczej przekazuje Dyrektorowi Krajowych Służb Wywiadowczych i Kongresowi informacje na temat konieczności podjęcia działań naprawczych oraz na temat postępów w realizacji tych działań.
115 Zgodnie z oceną krajowych organów ochrony danych Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi "wykazała się w przeszłości swoją niezależnością". Zob. opinia 01/2016 Grupy Roboczej Art. 29 dotycząca projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach Tarczy Prywatności UE-USA (przyjęta w dniu 13 kwietnia 2016 r.), s. 42.
117 Należy wśród nich wymienić przynajmniej Departament Sprawiedliwości, Departament Obrony, Departament Bezpieczeństwa Krajowego, Dyrektora Krajowych Służb Wywiadowczych i Centralną Agencję Wywiadowczą, a także wszelkie inne departamenty, agencje lub jednostki struktury władzy wykonawczej wskazane jako właściwe przez Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi.
118 Zob. tytuł 42 § 2000ee U.S.C. Zob. również pismo dotyczące urzędu Rzecznika (załącznik III), sekcja 6 lit. b) ppkt (iv). Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi jest m.in. zobowiązana do informowania, gdy władza wykonawcza agencji odmówi stosowania się do jej rad.
119 Urząd Dyrektora Krajowych Służb Wywiadowczych, Ochrona danych osobowych wszystkich osób: sprawozdanie z postępu prac nad opracowywaniem i wdrażaniem procedur przewidzianych w dyrektywie politycznej Prezydenta nr 28, s. 7-8.
120 Tamże s. 8. Zob. również oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 9.
121 Urząd Dyrektora Krajowych Służb Wywiadowczych, Ochrona danych osobowych wszystkich osób: Sprawozdanie z postępu prac nad opracowywaniem i wdrażaniem procedur przewidzianych w dyrektywie politycznej Prezydenta nr 28, s. 7. Zob. np. Agencja Bezpieczeństwa Narodowego, Procedury przewidziane w sekcji 4 dyrektywy politycznej Prezydenta nr 28 z dnia 12 stycznia 2015 r., sekcja 7.3, sekcja 8.7 lit. c) i d); Federalne Biuro Śledcze, Strategie polityczne i procedury przewidziane w dyrektywie politycznej Prezydenta nr 28, sekcja III pkt A ust. 4, sekcja III pkt B ust. 4; CIA, Działalność w zakresie rozpoznania radioelektronicznego, s. 6 (Zgodność) i s. 8 (Obowiązki).
122 Zob. rozporządzenie wykonawcze 12333, sekcja 1.6 lit. c).
123 Dyrektywa polityczna Prezydenta nr 28, sekcja 4 lit. a) ppkt (iv).
124 Zob. sekcja 501 lit. a) pkt 1 (tytuł 50 § 413 lit. a) pkt 1 U.S.C.). W przywołanym punkcie ustanowiono ogólne wymogi dotyczące nadzoru Kongresu nad kwestiami związanymi z bezpieczeństwem narodowym.
125 Zob. sekcja 501 lit. b) (tytuł 50 § 413 lit. b) U.S.C.).
126 Por. sekcja 501 lit. d) (tytuł 50 § 413 lit. d) U.S.C.).
127 Zob. tytuł 50 § 1808, 1846, 1862, 1871 i 1881f U.S.C.
128 Zob. tytuł 50 § 1881f U.S.C.
129 Zob. tytuł 50 § 1881a lit. l) pkt 1 U.S.C.
130 Zob. amerykańska ustawa o wolności z 2015 r., Zbiór ustaw publicznych nr 114-23, sekcja 602 lit. a). Ponadto zgodnie z sekcją 402 "Dyrektor Krajowych Służb Wywiadowczych, w porozumieniu z Prokuratorem Generalnym, przeprowadza przegląd w przedmiocie zniesienia klauzuli tajności w odniesieniu do poszczególnych orzeczeń, zarządzeń lub opinii wydanych przez Sąd ds. Inwigilacji Obcych Wywiadów lub przez Sąd Apelacyjny ds. Inwigilacji Obcych Wywiadów (zgodnie z sekcją 601 lit. e)), w których dokonano istotnej interpretacji lub wykładni przepisów ustawowych, uwzględniając wszelkie nowe lub istotne interpretacje lub wykładnie pojęcia »konkretnego terminu identyfikującego«, i - zgodnie z wynikami tego przeglądu - podaje takie orzeczenie, zarządzenie lub opinię do wiadomości publicznej w jak najszerszym zakresie".
131 Sekcja 602 lit. a) i sekcja 603 lit. a) amerykańskiej ustawy o wolności.
132 W przypadku niektórych rodzajów inwigilacji uprawnienie do rozpatrzenia wniosków i wydania zarządzeń może przysługiwać amerykańskiemu sędziemu pokoju powołanemu publicznie przez Prezesa Sądu Najwyższego Stanów Zjednoczonych.
133 W Sądzie ds. Inwigilacji Obcych Wywiadów zasiada jedenastu sędziów powołanych przez Prezesa Sądu Najwyższego Stanów Zjednoczonych spośród sędziów amerykańskich sądów dystryktowych, którzy zostali wcześniej mianowani przez Prezydenta za zgodą Senatu. Sędziowie, którzy sprawują swój urząd dożywotnio i mogą zostać odwołani wyłącznie z uzasadnionego powodu, orzekają w Sądzie ds. Inwigilacji Obcych Wywiadów w ramach siedmioletnich kadencji rozpoczynających się w różnych terminach. Zgodnie z wymogami ustawy o kontroli wywiadu sędziowie muszą zostać dobrani z co najmniej siedmiu różnych okręgów sądowych w Stanach Zjednoczonych. Zob. sekcja 103 ustawy o kontroli wywiadu (tytuł 50 § 1803 lit. a) U.S.C.); sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 174-187. Sędziowie korzystają ze wsparcia doświadczonych urzędników sądowych, którzy pełnią funkcję pracowników merytorycznych w sądach odpowiedzialnych za przygotowywanie analiz prawnych w odniesieniu do wniosków o wydanie zgody na gromadzenie informacji. Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 178; Pismo sędziego Reggiego B. Waltona, przewodniczącego składu sędziowskiego w Sądzie Stanów Zjednoczonych ds. Inwigilacji Obcych Wywiadów, do senatora Patricka J. Leathyego, przewodniczącego Komisji Sądownictwa w Senacie Stanów Zjednoczonych (z dnia 29 lipca 2013 r.) ("pismo Waltona"), s. 2-3.
134 W Sądzie Odwoławczym ds. Inwigilacji Obcych Wywiadów zasiada trzech sędziów powołanych przez prezesa Sądu Najwyższego Stanów Zjednoczonych, pochodzących z amerykańskich sądów dystryktowych lub sądów apelacyjnych, którzy sprawują swój urząd w ramach naprzemiennych siedmioletnich kadencji. Zob. sekcja 103 ustawy o kontroli wywiadu (tytuł 50 § 1803 lit. b) U.S.C.).
135 Zob. tytuł 50 § 1803 lit. b), § 1861a lit. f), § 1881a lit. h), § 1881a lit. i) pkt 4 U.S.C.
136 Na przykład dodatkowe szczegółowe informacje faktograficzne na temat obiektu inwigilacji, informacje techniczne dotyczące metody inwigilacji lub gwarancje dotyczące sposobu wykorzystywania i rozpowszechniania pozyskanych informacji. Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 177.
137 Tytuł 50 § 1804 lit. a) i § 1801 lit. g) U.S.C.
138 Sąd ds. Inwigilacji Obcych Wywiadów może zatwierdzić wniosek, zwrócić się o przekazanie dodatkowych informacji, stwierdzić konieczność przeprowadzenia wysłuchania lub wskazać, że wniosek w jego obecnym kształcie może zostać odrzucony. Na podstawie tych wstępnych ustaleń rząd przygotowuje ostateczną wersję wniosku. W przypadku uwzględnienia wstępnych uwag sędziego ostateczna wersja wniosku może istotnie różnić się od jego pierwotnej wersji. Choć Sąd ds. Inwigilacji Obcych Wywiadów zatwierdza dużą liczbę ostatecznych wersji wniosków, znaczną część tych wniosków stanowią wnioski, w których wprowadzono istotne zmiany w porównaniu z ich pierwotnym brzmieniem - np. w okresie od lipca do września 2013 r. dotyczyło to 24 % zatwierdzonych wniosków. Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 179; pismo Waltona, s. 3.
139 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 179, nr 619.
140 Tytuł 50 § 1803 lit. i) pkt 1 i tytuł 50 § 1803 lit. i) pkt 3 ppkt A U.S.C. W tych nowych przepisach zawarto zalecenia Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące utworzenia zespołu ekspertów ds. prywatności i wolności obywatelskich, który będzie mógł pełnić funkcję amicus curiae i dostarczać sądowi argumentów prawnych przyczyniających się do zapewnienia lepszej ochrony prywatności i wolności obywatelskich. Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 183-187.
141 Tytuł 50 § 1803 lit. i) pkt 2 ppkt A U.S.C. Zgodnie z informacjami przekazanymi przez Urząd Dyrektora Krajowych Służb Wywiadowczych dokonano już tego rodzaju powołań. Zob. reforma systemu rozpoznania radioelektronicznego, sprawozdanie okresowe za 2016 r.
142 Tytuł 50 § 1803 lit. i) pkt 2 ppkt B U.S.C.
143 Tytuł 50 § 1861 U.S.C.
144 Tytuł 50 § 1861 lit. b) U.S.C.
145 Tytuł 50 § 1881 U.S.C.
146 Tytuł 50 § 1881a lit. a) U.S.C.
147 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 702, s. 46.
148 Tytuł 50 § 1881a lit. h) U.S.C.
149 Tytuł 50 § 1881a lit. g) U.S.C. Według Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi kategorie te dotyczyły do tej pory głównie międzynarodowego terroryzmu i zagadnień takich jak nabywanie broni masowego rażenia. Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 702, s. 25.
150 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 702, s. 27.
151 Tytuł 50 § 1881a U.S.C.
152 "Liberty and Security in a Changing World", sprawozdanie i zalecenia prezydenckiej grupy oceniającej ds. wywiadu i technologii komunikacyjnych z dnia 12 grudnia 2013 r., s. 152.
153 Tytuł 50 § 1881a lit. i) U.S.C.
154 Zgodnie z zasadą 13 lit. b) regulaminu Sądu ds. Inwigilacji Obcych Wywiadów rząd ma obowiązek wystosować pisemne powiadomienie do Sądu niezwłocznie po ustaleniu, że jakiekolwiek upoważnienie lub zatwierdzenie przyznane przez Sąd zostało wykorzystane w sposób niezgodny z upoważnieniem lub zatwierdzeniem Sądu lub z mającym zastosowanie prawem. Zgodnie z tą samą zasadą rząd ma również obowiązek powiadomić Sąd na piśmie o sytuacji faktycznej i okolicznościach mających znaczenie dla takiego nieprzestrzegania zasad. Zazwyczaj rząd przedkłada ostateczne powiadomienie na podstawie zasady 13 lit. a) po ustaleniu istotnych okoliczności faktycznych i zniszczeniu wszelkich danych zgromadzonych w nieuprawniony sposób. Zob. pismo Waltona, s. 10.
155 Tytuł 50 § 1881 lit. l) U.S.C. Zob. również sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 702, s. 66-76. Biuro Wolności Obywatelskich i Ochrony Prywatności Agencji Bezpieczeństwa Narodowego, sprawozdanie dotyczące wdrażania sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego z dnia 16 kwietnia 2014 r. Gromadzenie danych osobowych do celów wywiadowczych na podstawie sekcji 702 ustawy o kontroli wywiadu podlega zarówno wewnętrznemu, jak i zewnętrznemu nadzorowi w ramach uprawnień władzy wykonawczej. Nadzór wewnętrzny obejmuje między innymi wewnętrzne programy zgodności służące ocenie i nadzorowi przestrzegania procedur ukierunkowania i minimalizacji; zgłaszanie przypadków nieprzestrzegania zasad, zarówno wewnętrznych, jak i zewnętrznych, Urzędowi Dyrektora Krajowych Służb Wywiadowczych, Departamentowi Sprawiedliwości, Kongresowi i Sądowi ds. Inwigilacji Obcych Wywiadów; oraz coroczne przeglądy przedkładane tym samym podmiotom. Jeżeli chodzi o nadzór zewnętrzny, składa się on głównie z przeglądów ukierunkowania i minimalizacji przeprowadzanych przez Urząd Dyrektora Krajowych Służb Wywiadowczych, Departament Sprawiedliwości i Inspektorów Generalnych, którzy z kolei przedkładają sprawozdania Kongresowi i Sądowi ds. Inwigilacji Obcych Wywiadów, w tym informacje na temat przypadków nieprzestrzegania zasad. Przypadki poważnego nieprzestrzegania zasad należy bezzwłocznie zgłosić Sądowi ds. Inwigilacji Obcych Wywiadów, natomiast inne przypadki należy zgłaszać co kwartał. Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 702, s. 66-77.
156 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi w sprawie oceny zaleceń z dnia 29 stycznia 2015 r., s. 20.
157 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi w sprawie oceny zaleceń z dnia 29 stycznia 2015 r., s. 16.
158 Ponadto w § 10 ustawy o procedurach dotyczących informacji niejawnych przewidziano, że w każdym postępowaniu karnym, w którym Stany Zjednoczone muszą ustalić, czy materiał dowodowy stanowi informacje niejawne (np. jako że wymaga ochrony przed nieuprawnionym ujawnieniem ze względów bezpieczeństwa narodowego), Stany Zjednoczone informują oskarżonego o częściach materiału dowodowego, na których - zgodnie z rozsądnymi przewidywaniami - będą się opierać, aby ustalić, jaka część oskarżenia stanowi informacje niejawne.
159 Zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 16.
160 Tytuł 18 § 2712 U.S.C.
161 Tytuł 50 § 1810 U.S.C.
162 Tytuł 50 § 1806 U.S.C.
163 Tytuł 18 § 1030 U.S.C.
164 Tytuł 18 § 2701-2712 U.S.C.
165 Tytuł 12 § 3417 U.S.C.
166 Oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 17.
167 Tytuł 5 § 706 ust. 2 pkt A U.S.C.
168 Tytuł 5 § 552 U.S.C. Podobne przepisy obowiązują na szczeblu stanowym.
169 Jeżeli ma to miejsce, osoba fizyczna otrzyma zazwyczaj tylko standardową odpowiedź, w której agencja odmówi potwierdzenia istnienia jakichkolwiek rejestrów tego rodzaju lub zaprzeczenia istnieniu takich rejestrów. Zob. wyrok w sprawie ACLU przeciwko CIA, 710 F.3d 422 (D.C. Cir. 2014).
170 Zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI), s. 16. Zgodnie z przedstawionymi wyjaśnieniami, aby móc skorzystać z dostępnych podstaw wszczęcia powództwa, musi wystąpić szkoda (tytuł 18 § 2712 U.S.C.; tytuł 50 § 1810 U.S.C.) lub należy wykazać, że rząd zamierza wykorzystać lub ujawnić informacje uzyskane lub pochodzące z dozoru elektronicznego danej osoby przeciwko tej osobie w postępowaniu sądowym lub administracyjnym w Stanach Zjednoczonych (tytuł 50 § 1806 U. S.C.). Jak Trybunał Sprawiedliwości jednak wielokrotnie podkreślał, dla stwierdzenia ingerencji w podstawowe prawo do prywatności nie ma znaczenia, czy dana osoba doświadczyła jakichkolwiek negatywnych konsekwencji w związku z tą ingerencją. Zob. wyrok w sprawie Schrems, pkt 89 z dalszymi odniesieniami.
171 To kryterium dopuszczalności wywodzi się z wymogu istnienia "sprawy lub sporu" (ang. case or controversy) z art. 3 konstytucji USA.
172 Zob. wyrok w sprawie Clapper przeciwko Amnesty International USA, Zbiór orzeczeń Sądu Najwyższego (S. Ct.) t. 133 s. 1138, 1144 (2013). Jeżeli chodzi o korzystanie z wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, w amerykańskiej ustawie o wolności (sekcje 502 lit. f)-503) przewidziano, że należy dokonywać okresowego przeglądu wymogów nieujawniania informacji i że należy powiadomić adresatów wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego, jeżeli okoliczności faktyczne nie przemawiają już za zastosowaniem wymogu nieujawniania informacji (zob. oświadczenia Urzędu Dyrektora Krajowych Służb Wywiadowczych (załącznik VI) s. 13). Nie gwarantuje to jednak, że osoba z UE, której dane dotyczą, jest świadoma, iż wszczęto wobec niej dochodzenie.
173 Jeżeli skarżący ubiega się o uzyskanie dostępu do dokumentów będących w posiadaniu amerykańskich organów publicznych, zastosowanie mają przepisy i procedury określone w ustawie o dostępie do informacji publicznej. Obejmuje to możliwość wniesienia sądowych środków odwoławczych (zamiast prowadzenia niezależnego nadzoru) w przypadku odrzucenia wniosku, na warunkach określonych w ustawie o dostępie do informacji publicznej.
174 Zgodnie z sekcją 4 lit. f) pisma dotyczącego urzędu Rzecznika (załącznik III) Rzecznik ds. Tarczy Prywatności będzie kontaktował się bezpośrednio z organem rozpatrującym skargi obywateli Unii, który z kolei będzie odpowiedzialny za kontakty z osobą fizyczną składającą wniosek. Jeżeli bezpośrednia komunikacja jest częścią jednego z "podstawowych procesów", które mogą zapewnić rozwiązanie problemu, o jakie występuje wnioskodawca (np. w przypadku wniosku o udostępnienie danych na podstawie ustawy o dostępie do informacji publicznej, zob. sekcja 5), wówczas taka komunikacja będzie odbywała się zgodnie z mającymi zastosowanie procedurami.
175 Zob. pismo dotyczące urzędu Rzecznika (załącznik III), sekcja 2 lit. a). Zob. również motywy 0-0.
176 Zob. pismo dotyczące urzędu Rzecznika (załącznik III), sekcja 2 lit. c). Zgodnie z wyjaśnieniami przedstawionymi przez rząd USA Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi stale dokonuje przeglądu strategii politycznych i procedur tych organów amerykańskich, które odpowiadają za walkę z terroryzmem, a także przeglądu wdrażania tych strategii i procedur przez wspomniane organy, w celu ustalenia, czy takie działania "zapewniają odpowiednią ochronę prywatności i wolności obywatelskich oraz czy są zgodne z obowiązującymi przepisami prawa, regulacjami i polityką w zakresie prywatności i wolności obywatelskich". Rada Nadzoru otrzyma również od urzędników ds. prywatności i urzędników ds. wolności obywatelskich sprawozdania i inne informacje oraz dokona ich przeglądu, a w stosownych przypadkach przekaże im zalecenia dotyczące prowadzonych przez nich działań.
177 Zob. wyrok w sprawie Roman Zakharov przeciwko Rosji z dnia 4 grudnia 2015 r. (Wielka Izba), skarga nr 47143/06, pkt 275 ("chociaż co do zasady pożądane jest powierzenie kontroli nadzorczej sędziemu, nadzór prowadzony przez organy pozasądowe można uznać za zgodny z konwencją, pod warunkiem że organ nadzorczy działa niezależnie od organów prowadzących nadzór i posiada wystarczające i skuteczne uprawnienia nadzorcze").
178 Zob. wyrok w sprawie Kennedy przeciwko Zjednoczonemu Królestwu z dnia 18 maja 2010 r., skarga nr 26839/05, pkt 167.
179 Wyrok w sprawie Schrems, pkt 95. Jak wyraźnie wynika z pkt 91 i 96 wyroku, pkt 95 dotyczy stopnia ochrony gwarantowanego w unijnym porządku prawnym, któremu stopień ochrony w państwie trzecim musi być "merytorycznie równoważny". Zgodnie z pkt 73 i 74 wyroku nie oznacza to, że stopień ochrony lub środki, z jakich to państwo trzecie korzysta, muszą być identyczne, chociaż stosowane środki muszą okazać się skuteczne w praktyce.
180 Zgodnie z czwartą poprawką "[p]rawa obywateli do nietykalności osobistej, mieszkania, dokumentów i mienia nie wolno naruszać przez bezzasadne rewizje i zatrzymanie; nakaz w tym przedmiocie można wystawić tylko wówczas, gdy zachodzi wiarygodna przyczyna potwierdzona przysięgą lub zastępującym ją przyrzeczeniem. Miejsce podlegające rewizji oraz osoby i rzeczy podlegające zatrzymaniu powinny być w nakazie szczegółowo określone". Tylko sędziowie mogą wydawać takie nakazy. Federalne nakazy wykonania kopii informacji przechowywanych elektronicznie zostały dodatkowo uregulowane w zasadzie 41 federalnego kodeksu postępowania karnego.
181 Sąd Najwyższy wielokrotnie podkreślał, że rewizje bez nakazu stanowią "wyjątkowe" przypadki. Zob. np. wyrok w sprawie Johnson przeciwko Stanom Zjednoczonym, Zbiór orzeczeń Stanów Zjednoczonych (U.S.) t. 333, s. 10, 14 (1948); wyrok w sprawie McDonald przeciwko Stanom Zjednoczonym, Zbiór orzeczeń Stanów Zjednoczonych (U.S.) t. 335, s. 451, 453 (1948); wyrok w sprawie Camara przeciwko Municipal Court, Zbiór orzeczeń Stanów Zjednoczonych (U.S.) t. 387, s. 523, 528-29 (1967); wyrok w sprawie G.M. Leasing Corp. przeciwko Stanom Zjednoczonym, Zbiór orzeczeń Stanów Zjednoczonych (U.S.) t. 429, s. 338, 352-53, 355 (1977). Podobnie Sąd Najwyższy regularnie powtarza, że "najbardziej podstawową zasadą konstytucyjną w tym obszarze jest to, że rewizje dokonywane poza postępowaniem sądowym, bez wcześniejszego zatwierdzenia przez sędziego, są jako takie bezpodstawne w świetle czwartej poprawki - z zastrzeżeniem zaledwie kilku utrwalonych i ściśle określonych wyjątków". Zob. np. wyrok w sprawie Coolidge przeciwko New Hampshire, Zbiór orzeczeń Stanów Zjednoczonych (U.S.) t. 403, s. 443, 454-55 (1971); wyrok w sprawie G.M. Leasing Corp. przeciwko Stanom Zjednoczonym, Zbiór orzeczeń Stanów Zjednoczonych (U.S.) t. 429, s. 338, 352-53, 358 (1977).
182 Wyrok w sprawie City of Ontario, Cal. przeciwko Quon, Zbiór orzeczeń Sądu Najwyższego (S. Ct.) t. 130 s. 2619, 2630 (2010).
183 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 107, odniesienie do wyroku w sprawie Maryland przeciwko King, Zbiór orzeczeń Sądu Najwyższego (S. Ct.) t. 133 s. 1958, 1970 (2013).
184 Sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi dotyczące sekcji 215, s. 107, odniesienie do wyroku w sprawie Samson przeciwko Kalifornii, Zbiór orzeczeń Stanów Zjednoczonych (U.S.) t. 547, s. 843, 848 (2006).
185 Wyrok w sprawie City of Ontario, Cal. przeciwko Quon, Zbiór orzeczeń Sądu Najwyższego (S. Ct.) t. 130 s. 2619, 2630 (2010), 2627.
186 Zob. np. wyrok w sprawie Stany Zjednoczone przeciwko Wilsonowi, 540 F.2d 1100 (D.C. Cir. 1976).
187 Por. wyrok z dnia 4 grudnia 2015 r. w sprawie Roman Zakharov przeciwko Rosji (Wielka Izba), skarga nr 47143/06, pkt 269, zgodnie z którym "wymóg przedstawienia upoważnienia do przechwytywania danych dostawcy usług telekomunikacyjnych przed uzyskaniem dostępu do treści wymienianych przez daną osobę wiadomości stanowi jedną z istotnych gwarancji chroniących osoby przed nadużyciami ze strony organów egzekwowania prawa i służy zagwarantowaniu, że przechwytywanie wiadomości będzie możliwe wyłącznie po uzyskaniu stosownego upoważnienia".
188 Oświadczenia Departamentu Sprawiedliwości (załącznik VII), s. 4, wraz z dalszymi odniesieniami.
189 Oświadczenia Departamentu Sprawiedliwości (załącznik VII), s. 2.
190 Zgodnie z informacjami otrzymanymi przez Komisję i abstrahując od określonych obszarów, które prawdopodobnie nie mają dużego znaczenia z perspektywy przekazywania danych w ramach Tarczy Prywatności UE-USA (np. dochodzenia w sprawach oszustw związanych z ochroną zdrowia, znęcania się nad dziećmi lub substancji kontrolowanych), dotyczy to głównie pewnych dokumentów stanowiących podstawę prawną wydawanych na podstawie ustawy o ochronie danych w łączności elektronicznej, a mianowicie wniosków o podstawowe informacje dotyczące abonentów, informacje dotyczące połączeń i informacje bilingowe (tytuł 18 § 2703 lit. c) pkt 1 i 2 U.S.C., np. informacje dotyczące adresu i rodzaju/czasu świadczenia usługi) i wnioski o treść wiadomości e-mail starszych niż 180 dni (tytuł 18 § 2703 lit. a) i b) U.S.C.). W tym drugim przypadku dana osoba fizyczna musi zostać jednak poinformowana, a zatem ma możliwość podważenia wniosku w sądzie. Zob. również przegląd przeprowadzony przez Departament Sprawiedliwości "Rewizja i zajmowanie komputerów oraz pozyskiwanie dowodów elektronicznych w dochodzeniach" (Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations), rozdział 3: ustawa o przechowywanych danych przekazywanych za pomocą łączności elektronicznej, s. 115-138.
191 Zgodnie z oświadczeniami przedstawionymi przez rząd USA adresaci wezwań administracyjnych mogą podważyć je w sądzie na tej podstawie, że są one niezasadne, tj. przesadzone, opresyjne i uciążliwe. Zob. oświadczenie Departamentu Sprawiedliwości (załącznik VII), s. 2.
192 Tytuł 5 § 702 U.S.C.
193 Zasadniczo przedmiotem kontroli sądowej może być wyłącznie "końcowe" działanie agencji, a nie jej "wstępne, procesowe lub pośrednie" działanie. Tytuł 5 § 704 U.S.C.
194 Tytuł 5 § 706 ust. 2 pkt A U.S.C.
195 Tytuł 18 §§ 2701-2712 U.S.C.
196 Przepisy ustawy o ochronie danych w łączności elektronicznej chronią komunikaty przechowywane przez podmioty należące do dwóch określonych kategorii dostawców usług sieciowych, mianowicie: (i) dostawców usług łączności elektronicznej, na przykład usług telefonicznych lub usług poczty elektronicznej; (ii) dostawców zdalnych usług komputerowych, takich jak komputerowe usługi przechowywania lub przetwarzania danych.
197 Wspomniane wyłączenia są jednak objęte ramami. Np. zgodnie z tytułem 5 § 552 lit. b) pkt 7 U.S.C. niemożliwe jest egzekwowanie praw wynikających z ustawy o dostępie do informacji publicznej w odniesieniu do "rejestrów lub informacji zebranych do celów egzekwowania prawa, ale tylko w zakresie, w jakim sporządzanie takich rejestrów lub informacji przez organy egzekwowania prawa (A) może w sposób uzasadniony zakłócić postępowanie egzekucyjne, (B) może pozbawić daną osobę prawa do rzetelnego procesu sądowego lub bezstronnego wyroku, (C) może w sposób uzasadniony stanowić nieuzasadnione naruszenie prywatności danej osoby, (D) może doprowadzić do ujawnienia tożsamości poufnego źródła, w tym państwa, lokalnej lub zagranicznej agencji lub organu lub dowolnej prywatnej instytucji, która przekazała informacje o charakterze poufnym, a także w przypadku rejestrów lub informacji zebranych przez organ egzekwowania prawa w toku dochodzenia lub przez agencję prowadzącą zgodne z prawem krajowe dochodzenie do celów bezpieczeństwa narodowego, informacji przekazanych przez poufne źródło, (E) może doprowadzić do ujawnienia technik i procedur prowadzenia dochodzeń i spraw sądowych dotyczących egzekwowania prawa, jeżeli takie ujawnienie mogłoby w uzasadniony sposób zagrozić obejściem prawa, lub (F) może w sposób uzasadniony zagrozić życiu lub bezpieczeństwu fizycznemu dowolnej osoby fizycznej". Ponadto "ilekroć zostanie złożony wniosek dotyczący dostępu do rejestrów [których przedstawienie może w sposób uzasadniony zakłócić postępowanie egzekucyjne] oraz - ilekroć (A) dochodzenie lub postępowanie dotyczy możliwego naruszenia prawa karnego; (B) jeżeli istnieje powód, aby sądzić, że (i) osoba objęta dochodzeniem lub postępowaniem nie zdaje sobie sprawy z trwania takiego dochodzenia lub postępowania oraz (ii) ujawnienie istnienia rejestrów może w sposób uzasadniony zakłócić postępowanie egzekucyjne, agencja może, tylko w takich okolicznościach, uznać, że wymogi określone w tej sekcji nie mają zastosowania do rejestrów" (tytuł 5 § 552 lit. c) pkt 1 U.S.C.).
198 Tytuł 18 §§ 2510 i nast. U.S.C. Na mocy ustawy o podsłuchach (tytuł 18 § 2520 U.S.C.) osoba, której łączność przewodowa, komunikacja ustna lub elektroniczna jest przechwytywana, ujawniana lub celowo wykorzystywana, może wytoczyć powództwo cywilne o naruszenie ustawy o podsłuchach, w tym, w pewnych okolicznościach, wobec określonego urzędnika rządowego lub Stanów Zjednoczonych. Aby uzyskać więcej informacji na temat gromadzenia adresów i innych informacji niedotyczących treści (np. adresu IP, przychodzący/wychodzący adres e-mail), zob. także rozdział w tytule 18 dotyczący urządzeń rejestrujących wybierane numery oraz urządzeń śledzących (tytuł 18 §§ 3121-3127 U.S.C., a w przypadku powództwa cywilnego - § 2707).
199 Tytuł 18 § 1030 U.S.C. Na mocy ustawy o oszustwach i nadużyciach komputerowych osoba może wnieść powództwo przeciwko dowolnej osobie w związku z umyślnym uzyskiwaniem nieuprawnionego dostępu (lub przekraczaniem granic uprawnionego dostępu) w celu pozyskania informacji z instytucji finansowej, systemu komputerowego rządu Stanów Zjednoczonych lub innego określonego komputera, w tym, w pewnych okolicznościach, przeciwko określonemu urzędnikowi rządowemu.
200 Tytuł 28 §§ 2671 i nast. U.S.C. Na mocy ustawy federalnej o roszczeniach z tytułu czynu niedozwolonego dana osoba może wytoczyć powództwo, w pewnych okolicznościach, przeciwko Stanom Zjednoczonym w związku z "zaniedbaniem lub niewłaściwym działaniem lub zaniechaniem ze strony dowolnego pracownika rządu podczas prowadzenia działań wchodzących w zakres jego urzędu lub stanowiska".
201 Tytuł 12 §§ 3401 i nast. U.S.C. Na mocy ustawy o prawie do prywatności w kwestiach finansowych dana osoba może wytoczyć powództwo, w pewnych okolicznościach, przeciwko Stanom Zjednoczonym w związku z uzyskaniem lub ujawnieniem chronionych dokumentów finansowych z naruszeniem ustawy. Rząd co do zasady nie ma dostępu do chronionych dokumentów finansowych, chyba że złoży wniosek, z zastrzeżeniem zgodnego z prawem wezwania lub nakazu przeszukania, lub - z zastrzeżeniem ograniczeń - formalny wniosek pisemny, a osoba fizyczna, na temat której chce uzyskać informacje, zostanie powiadomiona o takim wniosku.
202 Tytuł 15 §§ 1681-1681x U.S.C. Na mocy ustawy o rzetelnej sprawozdawczości kredytowej dana osoba może wnieść powództwo przeciwko dowolnej osobie, która nie przestrzega wymogów (w szczególności wymogu uzyskania prawnego upoważnienia) dotyczących gromadzenia, upowszechniania i wykorzystywania informacji dotyczących kredytów konsumentów, lub, w pewnych okolicznościach, przeciwko agencji rządowej.
203 Trybunał Sprawiedliwości uznał, że egzekwowanie prawa stanowi uzasadniony cel polityki. Zob. sprawy połączone C-293/12 i C-594/12, Digital Rights Ireland i in., EU:C:2014:238, pkt 42. Zob. także art. 8 ust. 2 europejskiej konwencji praw człowieka oraz wyrok Europejskiego Trybunału Praw Człowieka w sprawie Weber i Saravia przeciwko Niemcom, skarga nr 54934/00, pkt 104.
204 Wyrok w sprawie Schrems, pkt 40 i nast., pkt 101-103.
205 Wyrok w sprawie Schrems, pkt 51, 52 i 62.
206 Wyrok w sprawie Schrems, pkt 65.
207 Wyrok w sprawie Schrems, pkt 76.
208 Od dnia rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych Komisja będzie korzystała ze swoich uprawnień do przyjmowania - w należycie uzasadnionych i szczególnie pilnych przypadkach - aktu wykonawczego zawieszającego niniejszą decyzję, który stosuje się z efektem natychmiastowym bez uprzedniego przedkładania go odpowiedniemu komitetowi procedury komitetowej i który pozostaje w mocy przed okres nieprzekraczający sześciu miesięcy.
209 Opinia nr 01/2016 dotycząca projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach Tarczy Prywatności UE- USA, przyjęta w dniu 13 kwietnia 2016 r.
210 Rezolucja Parlamentu Europejskiego z dnia 26 maja 2016 r. w sprawie transatlantyckich przepływów danych (2016/2727(RSP).
211 Pod warunkiem że decyzja Komisji w sprawie adekwatności ochrony przewidzianej przez Tarczę Prywatności UE-USA ma zastosowanie do Islandii, Liechtensteinu i Norwegii, zasady Tarczę Prywatności UE-USA obejmują zarówno Unię Europejską, jak i te trzy kraje.
212 Sekcja I.5 zasad.
213 Rozdział 2 federalnej ustawy o arbitrażu stanowi, że "umowa o arbitraż lub orzeczenie arbitrażowe wynikające ze stosunku prawnego, umownego bądź nie, które uznaje się za handlowe, w tym transakcja, kontrakt lub umowa opisane w [sekcji 2 federalnej ustawy o arbitrażu], podlega postanowieniom Konwencji [o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych z dnia 10 czerwca 1958 r., Zbiór traktatów i innych umów międzynarodowych, których USA są stroną (U.S.T.), tom 21, s. 2519, Zbiór tekstów umów międzynarodowych, których USA są stroną (T.I.A.S.) Nr 6997 (»konwencja nowojorska«)]". Tytuł 9 § 202 U.S. C. Federalna ustawa o arbitrażu stanowi również, że "uznaje się, iż umowa lub orzeczenie wynikające ze stosunku istniejącego w całości między obywatelami Stanów Zjednoczonych nie podlega postanowieniom konwencji [nowojorskiej], chyba że stosunek taki dotyczy nieruchomości położonej za granicą, przewiduje podjęcie działać lub wykonanie za granicą lub jest w inny zasadny sposób powiązany z jednym państwem obcym lub większą ich liczbą". Tamże. Zgodnie z rozdziałem 2 "każda ze stron arbitrażu może wystąpić do dowolnego sądu posiadającego właściwość na mocy tego rozdziału o zatwierdzenie orzeczenia na niekorzyść dowolnej innej strony postępowania arbitrażowego. Sąd zatwierdzi orzeczenie, chyba że znajdzie jakąkolwiek podstawę do odmowy lub odroczenia uznania lub wykonania orzeczenia określonego we wspomnianej konwencji [nowojorskiej]". Tamże § 207. Rozdział 2 stanowi również, że "sądy pierwszej instancji Stanów Zjednoczonych ... są właściwe do orzekania .... w sprawie powództwa lub postępowania [podlegającego konwencji nowojorskiej], niezależnie od wartości przedmiotu sporu.". Tamże § 203. Rozdział 2 stanowi również, że "rozdział 1 ma zastosowanie do powództw i postępowań wszczętych na podstawie tego rozdziału, w zakresie, w jakim rozdział ten nie jest sprzeczny z niniejszym rozdziałem lub konwencją [nowojorską] ratyfikowaną przez Stany Zjednoczone". Tamże § 208. Rozdział 1 stanowi z kolei, że "pisemne postanowienie umowy potwierdzającej zawarcie transakcji handlowej dotyczące poddania pod arbitraż sporu wynikającego z takiej umowy lub transakcji lub odmowy wykonania całości lub części umowy bądź pisemna umowa dotycząca poddania pod arbitraż istniejącego sporu wynikającego z takiej umowy, transakcji lub odmowy są ważne, nieodwołalne i wykonalne, z zastrzeżeniem wszelkich podstaw przewidzianych w prawie lub w zasadach słuszności w odniesieniu do rozwiązania jakiejkolwiek umowy". Tamże § 2. Rozdział 1 stanowi ponadto, że "każda strona postępowania arbitrażowego może wnieść do wskazanego sądu o zatwierdzenie orzeczenia, przy czym sąd ma obowiązek wydać takie postanowienie, chyba że orzeczenie zostanie uchylone, zmienione lub sprostowane, jak określono w sekcjach 10 i 11 [federalnej ustawy o arbitrażu]". Tamże § 9.
214 Pod warunkiem że decyzja Komisji w sprawie adekwatności ochrony przewidzianej przez Tarczę Prywatności UE-USA ma zastosowanie do Islandii, Liechtensteinu i Norwegii, zasady Tarczę Prywatności UE-USA obejmą zarówno Unię Europejską, jak i te trzy kraje. Z tego względu odniesienia do Unii Europejskiej i jej państw członkowskich będą rozumiane jako obejmujące Islandię, Liechtenstein i Norwegię.
215 W zależności od okoliczności przykładami dopuszczalnych celów przetwarzania mogą być cele służące w sposób zasadny relacjom z klientami, zgodność i względy prawne, audyt, bezpieczeństwo i zapobieganie oszustwom, zachowanie praw podmiotu i ich obrona, lub inne cele zgodne z oczekiwaniami, jakie może mieć racjonalna osoba pod względem gromadzenia danych.
216 W tym kontekście, jeśli biorąc pod uwagę środki, jakimi można się racjonalnie posłużyć w celu identyfikacji (uwzględniając, między innymi koszty i czas potrzebny do zidentyfikowania danej osoby oraz technologię dostępną w momencie przetwarzania danych), a także formę, w jakiej dane są zatrzymywane, osoba fizyczna może być racjonalnie zidentyfikowana przez podmiot lub osobę trzecią - gdyby ta osoba trzecia miała dostęp do danych - wówczas osoba fizyczna jest "możliwa do zidentyfikowania".
217 Podmiot powinien udzielać odpowiedzi na zapytania osoby fizycznej dotyczące celów przetwarzania danych, kategorii przetwarzanych danych osobowych oraz odbiorców lub kategorii odbiorców, którym dane osobowe są ujawniane.
218 Sekcja I.5 zasad.
219 Organy ds. rozstrzygania sporów dysponują swobodą uznania co do okoliczności, w jakich zdecydują się na nałożenie tych sankcji. Wrażliwość danych stanowi jeden z czynników, jaki należy wziąć pod uwagę przy podejmowaniu decyzji, czy w danym przypadku zachodzi konieczność usunięcia danych, a także czy podmiot gromadził informacje, korzystał z nich lub ujawniał je z rażącym naruszeniem zasad Tarczy Prywatności.
220 Sekcja I.5 zasad.
221 Rozdział 2 federalnej ustawy o arbitrażu stanowi, że "umowa o arbitraż lub orzeczenie arbitrażowe wynikające ze stosunku prawnego, umownego bądź nie, które uznaje się za handlowe, w tym transakcja, kontrakt lub umowa opisane w [sekcji 2 federalnej ustawy o arbitrażu], podlega postanowieniom Konwencji [o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych z dnia 10 czerwca 1958 r., Zbiór traktatów i innych umów międzynarodowych, których USA są stroną (U.S.T.), tom 21, s. 2519, Zbiór tekstów umów międzynarodowych, których USA są stroną (T.I.A.S.) Nr 6997 (»konwencja nowojorska«)]". Tytuł 9 § 202 U.S. C. Federalna ustawa o arbitrażu stanowi również, że "uznaje się, iż umowa lub orzeczenie wynikające ze stosunku istniejącego w całości między obywatelami Stanów Zjednoczonych nie podlega postanowieniom konwencji [nowojorskiej], chyba że stosunek taki dotyczy nieruchomości położonej za granicą, przewiduje podjęcie działać lub wykonanie za granicą lub jest w inny zasadny sposób powiązany z jednym państwem obcym lub większą ich liczbą". Zgodnie z rozdziałem 2 "każda ze stron arbitrażu może wystąpić do dowolnego sądu posiadającego właściwość na mocy tego rozdziału o zatwierdzenie orzeczenia na niekorzyść dowolnej innej strony postępowania arbitrażowego. Sąd zatwierdzi orzeczenie, chyba że znajdzie jakąkolwiek podstawę do odmowy lub odroczenia uznania lub wykonania orzeczenia określonego we wspomnianej konwencji [nowojorskiej]". Tamże § 207. Rozdział 2 stanowi również, że "sądy pierwszej instancji Stanów Zjednoczonych ... są właściwe do orzekania .... w sprawie powództwa lub postępowania [podlegającego konwencji nowojorskiej], niezależnie od wartości przedmiotu sporu.". Tamże § 203. Rozdział 2 stanowi również, że "rozdział 1 ma zastosowanie do powództw i postępowań wszczętych na podstawie tego rozdziału, w zakresie, w jakim rozdział ten nie jest sprzeczny z niniejszym rozdziałem lub konwencją [nowojorską] ratyfikowaną przez Stany Zjednoczone". Tamże § 208. Rozdział 1 stanowi z kolei, że "pisemne postanowienie umowy potwierdzającej zawarcie transakcji handlowej dotyczące poddania pod arbitraż sporu wynikającego z takiej umowy lub transakcji lub odmowy wykonania całości lub części umowy bądź pisemna umowa dotycząca poddania pod arbitraż istniejącego sporu wynikającego z takiej umowy, transakcji lub odmowy są ważne, nieodwołalne i wykonalne, z zastrzeżeniem wszelkich podstaw przewidzianych w prawie lub w zasadach słuszności w odniesieniu do rozwiązania jakiejkolwiek umowy". Tamże § 2. Rozdział 1 stanowi ponadto, że "każda strona postępowania arbitrażowego może wnieść do wskazanego sądu o zatwierdzenie orzeczenia, przy czym sąd ma obowiązek wydać takie postanowienie, chyba że orzeczenie zostanie uchylone, zmienione lub sprostowane, jak określono w sekcjach 10 i 11 [federalnej ustawy o arbitrażu]". Tamże § 9.
222 Pod warunkiem że decyzja Komisji w sprawie adekwatności ochrony przewidzianej przez Tarczę Prywatności UE-USA ma zastosowanie do Islandii, Liechtensteinu i Norwegii, zasady Tarczę Prywatności UE-USA obejmują zarówno Unię Europejską, jak i te trzy kraje. Z tego względu odniesienia do Unii Europejskiej i jej państw członkowskich należy rozumieć jako obejmujące Islandię, Liechtenstein i Norwegię.
223 "Odstępstwa" w tym kontekście oznaczają przekazanie na zasadach handlowych, które ma miejsce pod warunkiem że: a) osoba, której dane dotyczą, udzieliła jednoznacznej zgody na proponowane przekazanie danych; lub b) przekazanie danych jest konieczne do wykonania umowy zawartej między osobą, której dane dotyczą, a administratorem danych lub do wdrożenia środków poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą; lub c) przekazanie danych jest konieczne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem danych a osobą trzecią; lub d) przekazanie danych jest konieczne lub wymagane prawnie z ważnych względów interesu publicznego lub w celu ustalenia, zgłoszenia lub obrony roszczeń prawnych; lub e) przekazanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą; lub f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, jako źródło informacji dla ogółu społeczeństwa i do którego mają wgląd albo wszystkie jednostki, albo każda osoba, która wykaże uzasadniony interes, w zakresie, w jakim warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.
224 "Możliwe przyszłe odstępstwa" w tym kontekście oznaczają przekazanie na zasadach handlowych, które ma miejsce pod jednym z następujących warunków, o ile dany warunek stanowi podstawę prawną do przekazania danych osobowych między Unią Europejską a Stanami Zjednoczonymi: a) osoba, której dane dotyczą, udzieliła wyraźnej zgody na proponowane przekazanie danych, po tym jak została poinformowana o możliwych zagrożeniach związanych z takim przekazaniem danych z powodu braku decyzji w sprawie odpowiedniej ochrony danych osobowych i odpowiednich gwarancji; lub b) przekazanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innych osób, w przypadku gdy osoby, których dane dotyczą, są fizycznie lub prawnie niezdolne do udzielenia zgody; lub c) w przypadku przekazania danych państwu trzeciemu lub organizacji międzynarodowej - gdy nie mają zastosowania inne odstępstwa lub możliwe przyszłe odstępstwa - jedynie gdy przekazanie nie odbywa się wielokrotnie, dotyczy wyłącznie ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, które nie są podrzędne wobec interesów lub praw i wolności osoby, której dane dotyczą, w przypadku gdy administrator ocenił wszystkie okoliczności związane z przekazaniem danych i na podstawie tej oceny przedstawił odpowiednie gwarancje w odniesieniu do ochrony danych osobowych.
225 Dodatkowe informacje o federalnych i stanowych przepisach Stanów Zjednoczonych przedstawiliśmy w załączniku A, zaś podsumowanie naszych ostatnich działań służących egzekwowaniu przepisów prawa dotyczących prywatności i bezpieczeństwa przedstawiliśmy w załączniku B. To podsumowanie dostępne jest również na stronie internetowej FTC pod adresem https://www.ftc. gov/reports/privacy-data-security-update-2015.
226 Tytuł 15 § 45 lit. a) U.S.C.
229 Zob. sprawa California Dental Ass'n przeciwko FTC, 526 Stany Zjednoczone 756 (1999).
230 Zob. Urząd Komisarza ds. Ochrony Prywatności w Kanadzie, skarga w sprawie PIPEDA przeciwko Accusearch, Inc. prowadzącemu działalność pod firmą Abika.com: https://www.priv.gc.ca/cf-dc/2009/2009_009_0731_e.asp. Urząd Komisarza ds. Ochrony Prywatności w Kanadzie przedłożył pismo w charakterze amicus curiae w postępowaniu odwoławczym w sprawie wszczętej przez FTC i przeprowadził własne dochodzenie, w wyniku którego stwierdził, że praktyki Accusearch naruszyły również prawo Kanady.
231 Zob. FTC przeciwko Accusearch, Inc., nr 06CV015D (Sąd pierwszej instancji dla okręgu Wyoming 20.12.2007), utrzymany w mocy wyrokiem Sądu Apelacyjnego, 570 F.3d 1187 (Sąd Apelacyjny dla Dziesiątego Okręgu, 2009).
232 Zob. sprawa True Ultimate Standards Everywhere, Inc., nr C-4512 (F.T.C 12.3.2015) (decyzja i nakaz), dokument dostępny pod adresem: https://www ftc.gov/system/files/documents/cases/150318trust-edo.pdf.
234 Zob. FTC przeciwko Karnani, nr 2:09-cv-05276 (Okręg centralny w Kalifornii 20.5.2011) (orzeczenie ostateczne w wyniku porozumienia stron), dokument dostępny pod adresem: https://www ftc.gov/sites/default/files/documents/cases/2011/06/110609karnanistip.pdf;; zob. również Lesley Fair, FTC Business Center Blog, "Around the World in Shady Ways", https://www ftc.gov/blog/2011/06/around-world-shady-ways (9 czerwca 2011 r.).
235 Pismo Kena Hyatta, pełniącego obowiązki podsekretarza handlu międzynarodowego, administracji handlu międzynarodowego do Věry Jourovej, komisarz ds. sprawiedliwości, konsumentów i równouprawnienia płci.
236 Określając, czy powinna skorzystać ze swojego uprawnienia na podstawie amerykańskiej ustawy o bezpieczeństwie w sieci, FTC uwzględnia między innymi: "(A) czy agencja, która wystąpiła o wsparcie, zgodziła się zapewnić lub zapewni wzajemne wsparcie Komisji; (B) czy zrealizowanie wniosku odbyłoby się ze szkodą dla amerykańskiego interesu publicznego; oraz (C) czy dochodzenie lub postępowanie służące egzekwowaniu prawa prowadzone przez agencję, która wystąpiła o wsparcie, dotyczy działań lub praktyk, które powodują lub które mogą spowodować szkodę dla znacznej liczby osób". Tytuł 15 § 46 lit. j) ppkt 3 U.S.C. To uprawnienie nie ma zastosowania do egzekwowania przepisów prawa konkurencji.
237 W latach budżetowych 2012-2015 przykładowo FTC skorzystała ze swojego uprawnienia do udostępniania informacji na podstawie amerykańskiej ustawy o bezpieczeństwie w sieci w odpowiedzi na prawie 60 wniosków od zagranicznych organów i wydała blisko 60 wezwań do przedstawienia dokumentów w postępowaniu cywilnym (takie wezwanie jest odpowiednikiem wezwania administracyjnego), aby wesprzeć dochodzenie w 25 zagranicznych sprawach.
238 Chociaż FTC nie rozstrzyga indywidualnych skarg konsumenckich ani nie pośredniczy w ich rozstrzyganiu, FTC potwierdza, że będzie przyznawać pierwszeństwo zgłoszeniom dotyczącym Tarczy Prywatności wniesionym przez unijne organy ochrony danych. Co więcej, FTC wykorzystuje skargi znajdujące się w bazie danych "straż konsumencka" (ang. Consumer Sentinel), do której dostęp ma wiele innych agencji egzekwowania prawa, aby określać tendencje, wskazywać priorytety egzekwowania prawa i identyfikować potencjalne cele dochodzenia. Osoby fizyczne z Unii Europejskiej mogą korzystać z tego samego systemu składania skarg, który jest dostępny dla amerykańskich obywateli, aby złożyć skargę do FTC; jest on dostępny pod adresem: www.ftc.gov/complaint. W przypadku indywidualnych skarg dotyczących Tarczy Prywatności najbardziej użyteczną drogą dla osób fizycznych z Unii Europejskiej może być jednak wnoszenie skarg do organu ochrony danych lub innego pozasądowego organu rozstrzygania sporów w ich państwie członkowskim.
239 Tytuł 15 § 45 lit. m) U.S.C; tytuł 16 § 1.98 kodeksu przepisów federalnych (ang. Code of Federal Regulations, "C.F.R.").
241 Każda jednostka, która się nie zastosuje do decyzji FTC, podlega karze na gruncie prawa cywilnego do 16 000 USD za każde naruszenie lub 16 000 USD za każdy dzień trwania naruszenia. Zob. tytuł 15 § 45 lit. l) U.S.C.; tytuł 16 § 1.98 lit. c) kodeksu przepisów federalnych (ang. Code of Federal Regulations, "C.F.R.").
242 Kongres wyraźnie potwierdził uprawnienie FTC do dochodzenia środków ochrony prawnej, w tym mających na celu przywrócenie stanu poprzedniego, w przypadku jakichkolwiek działań lub praktyk obejmujących handel zagraniczny które 1) powodują lub mogą spowodować możliwe do przewidzenia szkody w Stanach Zjednoczonych lub 2) obejmują prowadzenie istotnych operacji w Stanach Zjednoczonych. Zob. tytuł 15 § 45 lit. a) ppkt 4 U.S.C.
243 Niekiedy w następstwie wszczęcia przez Komisję spraw dotyczących ochrony prywatności i bezpieczeństwa można domniemywać, że przedsiębiorstwo stosowało zarówno praktyki wprowadzające w błąd, jak i nieuczciwe praktyki; sprawy te dotyczą również domniemanego naruszenia wielu ustaw, takich jak ustawa o rzetelnej sprawozdawczości kredytowej, ustawa Gramma-Leacha-Blileya oraz ustawa o ochronie prywatności dzieci w internecie.
246 Aby zapoznać się z bardziej kompleksowym skróconym opisem środków ochrony prawnej w Stanach Zjednoczonych - zob. Daniel J. Solove & Paul Schwartz, Information Privacy Law (wydanie 5, 2015 r.).
247 Instytucje finansowe, na podstawie ustawy Gramma-Leacha-Blileya, zostały zdefiniowane bardzo szeroko, aby objąć wszystkie przedsiębiorstwa, które są "znacząco zaangażowane" w sprzedaż produktów finansowych lub świadczenie usług finansowych. Obejmuje to na przykład przedsiębiorstwa umożliwiające szybkie zrealizowanie czeku (ang. check-cashing businesses), podmioty udzielające pożyczki krótkoterminowe bez zabezpieczenia (ang. payday lenders), pośredników hipotecznych, pożyczkodawców niebędących bankami, rzeczoznawców dokonujących oceny mienia lub nieruchomości oraz profesjonalistów przygotowujących coroczne deklaracje podatkowe.
248 Na podstawie ustawy o ochronie konsumentów w obszarze usług finansowych z 2010 r. ("CFPA"), Zbiór Ustaw Prawa Publicznego, tytuł X Pub. L. 111-203, 124 Stat. 1955 (21 lipca 2010 r.) (również znanej jako "ustawa Dodda-Franka dotycząca ochrony konsumentów i reformy Wall Street") większość uprawnień FTC w zakresie stanowienia prawa przyznanych jej na podstawie ustawy Gramma-Leacha-Blileya została przeniesiona na Biuro Ochrony Konsumentów w Obszarze Usług Finansowych ("CFPB"). FTC nadal przysługują uprawnienia, na podstawie ustawy Gramma-Leacha-Blileya, w zakresie egzekwowania prawa, jak również uprawnienia w zakresie stanowienia prawa na potrzeby zasady gwarancji i ograniczone uprawnienia w zakresie stanowienia prawa na podstawie zasady dotyczącej prywatności w odniesieniu do sprzedawców samochodów.
249 Na podstawie ustawy o ochronie konsumentów w obszarze usług finansowych Komisja dzieli uprawnienia do egzekwowania przepisów przyznane na mocy ustawy o rzetelnej sprawozdawczości kredytowej z CFPB, lecz w znacznej mierze uprawnienia te zostały przeniesione na CFPB (z wyjątkiem zasady systemu ostrzegawczego i zasad usuwania).
250 Zob. tytuł 45 C.F.R. pkt 160, 162, 164.
251 Zob. np. amerykańska ustawa o ożywieniu i reinwestowaniu (ang. American Recovery & Reinvestment Act) z 2009 r., Zbiór Ustaw Prawa Publicznego, Pub. L. No. 111-5, 123 Stat. 115 (2009 r.). i właściwe rozporządzenia - tytuł 45 kodeksu przepisów federalnych § 164.404-164.414; tytuł 16 kodeksu przepisów federalnych pkt 318.
254 Kalifornijski kodeks postępowania w określonych zawodach (ang. Cal. Bus. & Professional Code) § 22575-22579.
255 Kalifornijski kodeks cywilny. Kodeks § 1798.80-1798.84.
256 Kalifornijski kodeks postępowania w określonych zawodach § 22580-22582.
259 Więcej informacji na temat działań wywiadowczych Stanów Zjednoczonych można znaleźć w internecie i są one ogólnodostępne za pośrednictwem serwisu Wspólnoty Wywiadowczej "IC on the Record" (www.icontherecord.tumblr.com), ogólnodostępnej strony internetowej Urzędu Dyrektora Krajowych Służb Wywiadowczych poświęconej zwiększaniu publicznej widoczności działań wywiadowczych rządu.
261 Organy egzekwowania prawa lub agencje regulacyjne mogą wystąpić do korporacji o przekazanie danych do celów dochodzeniowych w Stanach Zjednoczonych zgodnie z innymi aktami stanowiącymi podstawę prawną na gruncie przepisów prawa karnego, z zakresu administracji cywilnej i przepisów regulacyjnych, które wykraczają poza zakres niniejszego dokumentu ograniczającego się do aktów stanowiących podstawę prawną na gruncie przepisów z zakresu bezpieczeństwa narodowego.
263 Jako przykład można podać procedury Agencji Bezpieczeństwa Narodowego służące wdrożeniu dyrektywy politycznej Prezydenta nr 28, zgodnie z którymi "[z]awsze, gdy jest to możliwe, gromadzenie danych odbywa się przy zastosowaniu co najmniej jednego terminu umożliwiającego selekcję, aby gromadzenie danych mogło skupiać się na konkretnych celach związanych z wywiadem zagranicznym (np. określonych znanych międzynarodowych terrorystach lub grupach terrorystycznych) lub określonych zagadnieniach związanych z wywiadem zagranicznym (np. rozprzestrzenianiu broni masowego rażenia przez zagraniczne siły lub ich przedstawicieli)".
267 Zob. np. sprawozdanie Departamentu Sprawiedliwości Stanów Zjednoczonych Inspektora Generalnego "Kontrola działań Federalnego Biura Śledczego zgodnie z sekcją 702 ustawy o kontroli wywiadu z 2008 r." (wrzesień 2012), dokument dostępny pod adresem https://oig.justice.gov/reports/2016/o1601a.pdf.
269 Tytuł 50 § 1881a.
270 Stany Zjednoczone mogą również uzyskać, zgodnie z innymi przepisami ustawy o kontroli wywiadu nakazy sądowe w sprawie tworzenia danych, w tym danych przekazywanych zgodnie z Tarczą Prywatności. Zob. tytuł 50 § 1801 i nast. U.S.C. Zgodnie z tytułem I i III ustawy o kontroli wywiadu, które zezwalają odpowiednio na obserwację elektroniczną oraz przeszukania, wymagany jest nakaz sądowy (poza nagłymi przypadkami); zawsze należy określić również prawdopodobną przyczynę podejrzeń, że dana osoba działa na korzyść innego kraju lub jest jego agentem. Tytuł IV ustawy o kontroli wywiadu zezwala na stosowanie urządzeń rejestrujących wybierane numery (ang. pen register) oraz urządzeń śledzących (ang. trap and trace) na mocy nakazu sądowego (poza nagłymi przypadkami) w autoryzowanych dochodzeniach służb wywiadowczych i dochodzeniach związanych z kontrwywiadem lub walką z terroryzmem. Tytuł V ustawy o kontroli wywiadu zezwala, na mocy nakazu sądowego (poza nagłymi przypadkami), na uzyskanie rejestrów handlowych istotnych dla autoryzowanych dochodzeń służb wywiadowczych oraz dochodzeń związanych z kontrwywiadem lub walką z terroryzmem. Jak omówiono poniżej, w amerykańskiej ustawie o wolności wyraźnie zakazuje się stosowania nakazów rejestrowania wybieranych numerów lub nakazów w sprawie uzyskania dokumentacji przedsiębiorstwa przewidzianych w ustawie o kontroli wywiadu dla celów hurtowego gromadzenia danych i nakłada się wymóg "konkretnych terminów umożliwiających selekcję", aby zapewnić wykorzystywanie środków w ukierunkowany sposób.
271 Przygotowane przez Radę Nadzoru nad Prywatnością i Wolnościami Obywatelskimi "Sprawozdanie z programu kontroli funkcjonującego zgodnie z art. 702 ustawy o kontroli wywiadu" (z 2 lipca 2014 r.) ("sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi").
272 Zob. Zbiór Ustaw Prawa Publicznego, Pub. L. No. 110-261, 122 Stat. 2436 (2008).
273 Zob. tytuł 50 § 1881a lit. a) i b) U.S.C.
274 Zob. tamże § 1801 lit. e).
275 Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, s. 99.
276 Zob. tytuł 50 § 1881a lit. d) i e) U.S.C.
277 Zob. sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, s. 111.
278 Tamże.
279 Tamże s. 8; tytuł 50 § 1881a lit. l); zob. także sprawozdanie Dyrektora ds. Wolności Obywatelskich i Prywatności Agencji Bezpieczeństwa Narodowego, "Wykonanie przepisów sekcji 702 ustawy o kontroli wywiadu przez Agencję Bezpieczeństwa Narodowego" (zwane dalej "sprawozdaniem Agencji Bezpieczeństwa Narodowego") s. 4, dokument dostępny pod adresem: http://icontherecord. tumblr.com/ppd-28/2015/privacy-civil-liberties.
282 Zob. sprawozdanie Agencji Bezpieczeństwa Narodowego, s. 4.
283 Zob. np. procedury minimalizacji Agencji Bezpieczeństwa Narodowego, s. 6.
285 Zob. procedury minimalizacji Agencji Bezpieczeństwa Narodowego; sekcja 4 dyrektywy politycznej Prezydenta nr 28.
286 Zob. tytuł 50 § 1881 lit. l) U.S.C.; zob. także sprawozdanie Rady Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, s. 66-76.
290 Zob. sekcja 401 amerykańskiej ustawy o wolności, Zbiór Ustaw Prawa Publicznego nr 114-23.
291 Zob. tytuł 50 § 1881f U.S.C.
292 Zob. tamże § 1881a lit. l) ppkt 1.
293 Zob. tamże § 1881a lit. l) ppkt 3. Niektóre z tych sprawozdań zostały utajnione.
295 Amerykańska ustawa o wolności z 2015 r., Pub. L. nr 114-23, § 401, 129 Stat. 268.
296 Zob. tamże §§ 103, 201, 501. Wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego są zatwierdzone na mocy różnych ustaw i umożliwiają FBI uzyskanie informacji zawartych w sprawozdaniach kredytowych, dokumentacji finansowej i dokumentacji abonenta elektronicznego i dokumentacji dotyczącej transakcji od niektórych rodzajów przedsiębiorstw, wyłącznie w celu ochrony przed terroryzmem międzynarodowym lub tajnymi działaniami wywiadowczymi. Zob. tytuł 12 § 3414 U.S.C.; tytuł 15 §§ 1681u-1681v U.S.C.; Tytuł 18 § 2709 U.S.C. FBI korzysta zwykle z wezwań do przedstawienia informacji do celów bezpieczeństwa narodowego w celu gromadzenia krytycznych informacji nieobejmujących treści na wczesnych etapach walki z terroryzmem i dochodzeń kontrwywiadu - takich jak informacje na temat tożsamości abonenta rachunku, który mógł komunikować się z przedstawicielami grupy terrorystycznej, np. ISIL. Odbiorcy wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego mają prawo zakwestionować je przed sądem. Zob. tytuł 18 § 3511 U.S.C.
297 Zob. tamże.
298 Zob. tamże, w § 401.
299 Zob. tamże, w § 602.
300 Zob. tamże.
301 Zob. tamże, w § 603.
302 Zob. tamże §§ 502 lit.f) - 503.
305 Zob. tamże.
307 Zob. np. wyrok w sprawie New York Times przeciwko Departamentowi Sprawiedliwości, 756 F.3d 100 (2d Cir. 2014) i wyrok w sprawie Amerykańska Unia Wolności Obywatelskich przeciwko CIA, 710 F.3d 422 (D.C. Cir. 2014).
308 Tytuł 42 § 2000ee lit. a) i h) U.S.C.
309 Tytuł 42 § 2000ee lit. k) U.S.C.
310 Tytuł 42 § 2000ee lit. d) ppkt 2 U.S.C.
314 Tytuł 42 § 2000ee lit. g) ppkt 1 pkt A U.S.C.
315 Tytuł 42 § 2000ee lit. g) ppkt 1 pkt B U.S.C.
316 Tytuł 42 § 2000ee lit. g) ppkt 1 pkt D U.S.C.
317 Tytuł 42 § 2000ee lit. f) U.S.C.
318 Sekcje 2 i 4 ustawy o generalnym inspektorze z 1978 r. wraz z późniejszymi zmianami; sekcja 103H(b) i (e) ustawy o bezpieczeństwie narodowym z 1947 r. wraz z późniejszymi zmianami.; sekcja 17(a) ustawy o Centralnej Agencji Wywiadowczej (zwanej dalej "ustawą o CIA").
319 Zob. Zbiór Ustaw Prawa Publicznego, Pub. L. No. 113-293, 128 Stat. 3990, (19 grudnia 2014 r.). Tylko generalni inspektorzy w Agencji Wywiadu Wojskowego i Państwowej Agencji ds. Wywiadu Geoprzestrzennego nie są mianowani przez Prezydenta; jednakże generalni inspektorzy w Departamencie Obrony Stanów Zjednoczonych i Wspólnocie Wywiadowczej równolegle sprawują właściwość nad tymi agencjami.
320 Sekcja 3 ustawy o generalnym inspektorze z 1978 r. wraz z późniejszymi zmianami; sekcja 103H(c) ustawy o bezpieczeństwie narodowym; i sekcja 17(b) ustawy o CIA.
321 Zob. sekcje 4(a) i 6(a)(2) ustawy o generalnym inspektorze z 1947 r.; sekcja 103H(e) i (g)(2)(A) ustawy o bezpieczeństwie narodowym; sekcja 17(a) i (c) ustawy o CIA.
322 Sekcje 3(d), 6(a)(7) i 6(f) ustawy o generalnym inspektorze; sekcje 103H(d), (i), (j) i (m) ustawy o bezpieczeństwie narodowym; sekcje 17 (e)(7) i (f) ustawy o CIA.
323 Sekcja 6(a)(1), (3), (4), (5) i (6) ustawy o generalnym inspektorze; sekcje 103H(g)(2) ustawy o bezpieczeństwie narodowym; sekcja 17(e) (1), (2), (4) i (5) ustawy o CIA.
324 Zob. np. sekcje 8(b) i 8E(a) ustawy o generalnym inspektorze; sekcja 103H(f) ustawy o bezpieczeństwie narodowym; sekcja 17(b) ustawy o CIA.
325 Sekcja 4(e)(5) ustawy o CIA; sekcja 103H(a)(b)(3) i (4) ustawy o bezpieczeństwie narodowym; sekcja 17(a)(2) i (4) ustawy o CIA.
328 Sekcja 7 ustawy o generalnym inspektorze; sekcja 103H(g)(3) ustawy o bezpieczeństwie narodowym; sekcja 17(e)(3) ustawy o CIA.
329 Sekcja 11 ustawy o generalnym inspektorze.
330 W niniejszym przeglądzie nie opisano narzędzi dochodzeniowych w obszarze bezpieczeństwa narodowego wykorzystywanych przez organy egzekwowania prawa w dochodzeniach dotyczących terroryzmu lub dochodzeniach dotyczących kwestii związanych z bezpieczeństwem narodowym, w tym wezwania do przedstawienia informacji do celów bezpieczeństwa narodowego dotyczącego określonych informacji pochodzących ze sprawozdań kredytowych, dokumentacji finansowej, dokumentacji abonenta elektronicznego i dokumentacji dotyczącej transakcji - zob. tytuł 12 § 3414 U.S.C; tytuł 15 § 1681u U.S.C.; tytuł 15 § 1681v U.S.C.; tytuł 18 § 2709 U. S.C. - a także informacji zgromadzonych w ramach obserwacji elektronicznej, nakazów przeszukania, dokumentacji dotyczącej prowadzonej działalności oraz innego rodzaju informacji zgromadzonych zgodnie z przepisami ustawy o kontroli wywiadu, zob. tytuł 50 § 1801 i nast. U.S.C.
331 W niniejszym piśmie omówiono federalne organy egzekwowania prawa i organy regulacyjne; w przypadkach naruszenia prawa stanowego dochodzenie prowadzą stany a postępowanie sądowe toczy się w sądach stanowych. Organy egzekwowania prawa na szczeblu stanowym korzystają z nakazów i wezwań wystawianych zgodnie z prawem stanowym, stosując zasadniczo takie same procedury jak te opisane w niniejszym piśmie, przy czym stanowe pisma sądowe mogą być objęte gwarancjami przewidzianymi w konstytucjach stanowych, których zakres wykracza poza zakres gwarancji przewidzianych w konstytucji Stanów Zjednoczonych. Gwarancje przewidziane w prawie stanowym muszą być co najmniej równoważne środkom przewidzianym w konstytucji Stanów Zjednoczonych, poprzez uwzględnienie co najmniej postanowień czwartej poprawki.