(1)

I forordning (EU) 2016/679 (2) fastsættes reglerne for overførsel af personoplysninger fra en dataansvarlig eller databehandler i Unionen til tredjelande og internationale organisationer, i det omfang overførslen falder inden for forordningens anvendelsesområde. Reglerne for internationale dataoverførsler er fastsat i forordningens kapitel V. Strømmen af personoplysninger til og fra lande uden for EU er af afgørende betydning for udbygningen af den grænseoverskridende samhandel og det internationale samarbejde, men det beskyttelsesniveau, som personoplysninger sikres i Unionen, må ikke undermineres af overførsler til tredjelande eller internationale organisationer (3).

(2)

I henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 kan Kommissionen ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan personoplysninger overføres til et tredjeland uden yderligere godkendelse, som fastsat i artikel 45, stk. 1, og betragtning 103 til forordning (EU) 2016/679.

(3)

Som omhandlet i artikel 45, stk. 2, i forordning (EU) 2016/679 skal vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet finde sted på grundlag af en omfattende analyse af det pågældende tredjelands retsorden, både hvad angår de regler, der finder anvendelse på dataimportøren, og de begrænsninger og garantier, der gælder med hensyn til offentlige myndigheders adgang til personoplysninger. Kommissionen skal i sin vurdering fastslå, om det pågældende tredjeland sikrer et beskyttelsesniveau, som »i det væsentlige svarer« til det, der sikres i Unionen (betragtning 104 til forordning (EU) 2016/679). Om det er tilfældet, skal vurderes ud fra EU-lovgivningen, navnlig forordning (EU) 2016/679, samt Den Europæiske Unions Domstols (Domstolen) praksis (4).

(4)

Som Domstolen fastslog i sin dom af 6. oktober 2015 i sag C-362/14, Maximillian Schrems mod Data Protection Commissioner (5) (Schrems), indebærer dette ikke, at der skal findes et identisk beskyttelsesniveau. Navnlig kan de midler, som det pågældende tredjeland anvender til at beskytte personoplysninger, være forskellige fra de midler, som gennemføres inden for Unionen, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (6). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne duplikeres afsnit for afsnit. Testen består nærmere i, om det udenlandske system som helhed sikrer det krævede beskyttelsesniveau gennem kerneindholdet i retten til privatlivets fred og den effektive gennemførelse, overvågning og håndhævelse heraf (7). I henhold til denne dom bør Kommissionen desuden ved anvendelsen af denne standard navnlig vurdere, om det pågældende tredjelands retlige ramme indeholder regler, hvorved det tilsigtes at begrænse indgreb i de grundlæggende rettigheder hos de personer, hvis oplysninger bliver videregivet fra Unionen, hvilke indgreb de statslige enheder i dette land er beføjet til at foretage, når der herved forfølges legitime mål, såsom statens sikkerhed, og yder effektiv domstolsbeskyttelse mod indgreb af denne art (8). Det Europæiske Databeskyttelsesråds reference vedrørende et tilstrækkeligt beskyttelsesniveau (Adequacy Referential), der skal præcisere denne standard yderligere, giver også vejledning i denne henseende (9).

(5)

Den gældende standard med hensyn til et sådant indgreb i de grundlæggende rettigheder til privatlivets fred og databeskyttelse blev yderligere præciseret af Domstolen i dom af 16. juli 2020 i sag C-311/18, Data Protection Commissioner mod Facebook Ireland Limited og Maximillian Schrems (Schrems II), som ugyldiggjorde Kommissionens gennemførelsesafgørelse (EU) 2016/1250 (10) om en tidligere transatlantisk ramme for datastrømme, EU's og USA's værn om privatlivets fred (privatlivsskjoldet). Domstolen fandt, at de begrænsninger af beskyttelsen af personoplysninger, som følger af USA's nationale lovgivning om de amerikanske offentlige myndigheders adgang til og brug af sådanne oplysninger, der overføres fra Unionen til USA af hensyn til den nationale sikkerhed, ikke var afgrænset på en sådan måde, at de lever op til krav, som i det væsentlige svarer til dem, der er foreskrevet i EU-retten, hvad angår nødvendigheden og proportionaliteten af sådanne indgreb i retten til databeskyttelse (11). Domstolen fandt ligeledes, at der ikke var tilvejebragt et retsmiddel for et organ, som giver personer, hvis oplysninger overføres til USA, garantier, der i det væsentlige svarer til dem, der kræves i henhold til chartrets artikel 47 om adgang til effektive retsmidler (12).

(6)

Efter Schrems II-dommen indledte Kommissionen drøftelser med den amerikanske regering med henblik på en eventuel ny afgørelse om tilstrækkeligheden af beskyttelsesniveauet, som ville opfylde kravene i artikel 45, stk. 2, i forordning (EU) 2016/679 som fortolket af Domstolen. Som et resultat af disse drøftelser vedtog USA den 7. oktober 2022 det præsidentielle dekret om fremme af garantier i de amerikanske signalefterretningsaktiviteter (Executive Order 14086 »Enhancing Safeguards for US Signals Intelligence Activities« (EO 14086)), som suppleres af en forordning om Data Protection Review Court udstedt af den amerikanske justitsminister (Attorney General) (justitsministerens forordning) (13). Desuden er den ramme, der finder anvendelse på kommercielle enheder, som behandler oplysninger overført fra Unionen i henhold til denne afgørelse – »EU-USA-databeskyttelsesrammen« – blevet ajourført.

(7)

Kommissionen har nøje analyseret amerikansk lovgivning og praksis, herunder EO 14086 og justitsministerens forordning. På grundlag af konklusionerne i betragtning 9-200 konkluderer Kommissionen, at USA sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der i henhold til EU-USA-databeskyttelsesrammen overføres fra en dataansvarlig eller en databehandler i Unionen (14) til certificerede organisationer i USA.

(8)

Denne afgørelse indebærer, at overførsel af personoplysninger fra dataansvarlige og databehandlere i Unionen (15) til certificerede organisationer i USA kan finde sted uden yderligere godkendelse. Den berører ikke den direkte anvendelse af forordning (EU) 2016/679 på sådanne organisationer, når betingelserne vedrørende nævnte forordnings geografiske anvendelsesområde, jf. forordningens artikel 3, er opfyldt.

(9)

EU-USA-databeskyttelsesrammen er baseret på et certificeringssystem, hvorved amerikanske organisationer forpligter sig til at overholde en række principper for beskyttelse af privatlivets fred — »principperne i EU-USA-databeskyttelsesrammen«, herunder de supplerende principper (tilsammen: principperne) — udstedt af det amerikanske handelsministerium og indeholdt i bilag I til denne afgørelse (16). For at være berettiget til certificering i henhold til EU-USA-databeskyttelsesrammen skal en organisation være underlagt de undersøgelses- og håndhævelsesbeføjelser, der er tillagt Federal Trade Commission (den føderale handelskommission, FTC) eller det amerikanske transportministerium (17). Principperne finder anvendelse straks efter certificering. Som forklaret nærmere i betragtning 48-52 skal organisationer under EU-USA-databeskyttelsesrammen hvert år recertificere deres overholdelse af principperne (18).

(10)

Den beskyttelse, der ydes i henhold til EU-USA-databeskyttelsesrammen, gælder for alle personoplysninger, der overføres fra Unionen til organisationer i USA, som har certificeret deres overholdelse af principperne over for handelsministeriet, med undtagelse af oplysninger, der indsamles med henblik på offentliggørelse, radio- eller TV-udsendelser eller andre former for offentlig kommunikation af journalistisk materiale og oplysninger, der stammer fra tidligere offentliggjort materiale, der opbevares i et pressearkiv (19). Sådanne oplysninger kan derfor ikke overføres på grundlag af EU-USA-databeskyttelsesrammen.

(11)

I principperne defineres personoplysninger på samme måde som i forordning (EU) 2016/679, dvs. som »oplysninger, som kan henføres til en bestemt identificeret eller identificerbar person, som er omfattet af databeskyttelsesforordningen, som modtages fra EU af en organisation i USA, og som er registreret på en hvilken som helst måde« (20). De omfatter derfor også pseudonymiserede (eller »kodede«) forskningsdata (herunder når nøglen ikke deles med den modtagende amerikanske organisation) (21). På samme måde defineres begrebet behandling som »enhver operation eller række af operationer — med eller uden brug af elektronisk databehandling — som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, opbevaring, tilpasning eller ændring, selektion, søgning, brug, videregivelse eller formidling og slettelse eller tilintetgørelse« (22).

(12)

EU-USA-databeskyttelsesrammen finder anvendelse på organisationer i USA, der betragtes som dataansvarlige (dvs. som en person eller en organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger) (23) eller databehandlere (dvs. mandatarer for den dataansvarlige) (24). Databehandlere i USA skal være kontraktligt forpligtede til udelukkende at handle på den dataansvarlige i EU's anvisning og bistå denne med at besvare anmodninger fra fysiske personer, der udøver deres rettigheder i henhold til principperne (25). I forbindelse med udlicitering af databehandling skal databehandlere indgå en aftale med den underkontraherede databehandler, der sikrer det samme niveau af beskyttelse som i principperne, og sørge for, at den gennemføres korrekt (26).

(13)

Enhver behandling af personoplysninger skal være lovlig og rimelig. Personoplysninger skal indsamles til et specifikt formål og efterfølgende udelukkende anvendes, såfremt dette ikke er uforeneligt med behandlingsformålet.

(14)

I EU-USA-databeskyttelsesrammen sikres dette ved forskellige principper. For det første må en organisation i henhold til princippet om dataintegritet og formålsbegrænsning, i lighed med artikel 5, stk. 1, litra b), i forordning (EU) 2016/679, ikke behandle personoplysninger på en måde, der strider imod det formål, hvortil de oprindeligt er blevet indsamlet, eller det formål, der efterfølgende er blevet godkendt af den registrerede (27).

(15)

For det andet skal organisationen, inden det anvender personoplysninger til et nyt (ændret) formål, der er væsentligt forskelligt, men stadig foreneligt med det oprindelige formål, eller videregiver dem til tredjemand, i overensstemmelse med princippet om valgfrihed (28), give den registrerede mulighed for at modsætte sig anvendelsen af oplysningerne på en klar, åbenlys og let tilgængelig måde. Det er vigtigt at bemærke, at dette princip ikke træder i stedet for det udtrykkelige forbud mod uforenelig behandling (29).

(16)

Der skal forefindes særlige garantier i forbindelse med behandling af »særlige kategorier« af oplysninger.

(17)

I overensstemmelse med princippet om valgfrihed findes der særlige garantier for behandling af »følsomme oplysninger«, dvs. personoplysninger om helbredsforhold, race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, oplysninger om seksuelle forhold eller andre oplysninger, som modtages fra tredjemand, og som af den pågældende tredjemand betegnes og behandles som følsomme (30). Det betyder, at certificerede organisationer vil behandle alle oplysninger, der betragtes som følsomme i henhold til EU's databeskyttelseslovgivning (herunder oplysninger om seksuel orientering, genetiske data og biometriske data), som følsomme i henhold til EU-USA-databeskyttelsesrammen.

(18)

Generelt skal organisationer indhente de pågældende personers udtrykkelige samtykke (dvs. opt in), hvis oplysningerne skal anvendes til et andet formål end det, hvortil de oprindeligt er blevet indsamlet, eller som de pågældende personer efterfølgende har givet tilladelse til, eller hvis de skal videregives til tredjemand (31).

(19)

Et sådant samtykke skal ikke indhentes under begrænsede omstændigheder, som kan sammenlignes med undtagelser i henhold til EU's databeskyttelseslovgivning, f.eks. hvis behandlingen af følsomme oplysninger er i en persons vitale interesse, er nødvendig for at fastslå et retskrav, eller er nødvendig i forbindelse med medicinsk behandling eller diagnosticering (32).

(20)

Oplysningerne skal være nøjagtige og om nødvendigt holdes ajour. De skal være tilstrækkelige og relevante og ikke for omfattende i forhold til de formål, hvortil de behandles, og de må i princippet ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de behandles.

(21)

I henhold til princippet om dataintegritet og formålsbegrænsning (33) skal personoplysninger være begrænset til de oplysninger, der er relevante for formålene med behandlingen. Derudover skal organisationer, i det omfang det er nødvendigt for behandlingen, træffe passende foranstaltninger for at sikre, at personoplysningerne er pålidelige, nøjagtige, fuldstændige og ajourførte.

(22)

Personoplysninger må desuden alene opbevares i en form, der giver mulighed for at identificere eller gøre en person identificerbar (dvs. i form af personoplysninger) (34), så længe det tjener de(t) formål, hvortil de oprindeligt blev indsamlet eller efterfølgende godkendt i henhold til princippet om valgfrihed. Denne pligt forhindrer ikke organisationer i at fortsætte med behandlingen af personoplysninger i længere perioder, men dog kun så længe og i det omfang en sådan behandling med rimelighed tjener et af følgende formål, som kan sammenlignes med undtagelser i henhold til EU's databeskyttelseslovgivning: arkivering i samfundets interesse, journalistik, kunst og litteratur, videnskabelig og historisk forskning samt statistisk analyse (35). Hvis personoplysninger opbevares til et af disse formål, er behandlingen heraf underlagt garantierne i principperne (36).

(23)

Personoplysninger skal endvidere behandles på en måde, der garanterer deres sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Med henblik herpå skal de dataansvarlige og databehandlerne træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod mulige trusler. Disse foranstaltninger skal vurderes under hensyntagen til det aktuelle tekniske niveau og de dermed forbundne omkostninger samt behandlingens karakter, omfang, sammenhæng og formål samt risiciene for den enkeltes rettigheder.

(24)

I henhold til EU-USA-databeskyttelsesrammen sikres dette ved sikkerhedsprincippet, som i lighed med artikel 32 i forordning (EU) 2016/679 kræver, at der træffes rimelige og passende sikkerhedsforanstaltninger under hensyntagen til de risici, som behandlingen indebærer, og de pågældende oplysningers karakter (37).

(25)

De registrerede skal informeres om de vigtigste elementer i behandlingen af deres personoplysninger.

(26)

Dette sikres ved princippet om oplysningspligt (38), som i lighed med kravene om gennemsigtighed i forordning (EU) 2016/679 kræver, at organisationer giver oplysninger til registrerede om bl.a. i) organisationens deltagelse i databeskyttelsesrammen, ii) typen af indsamlede oplysninger, iii) formålet med behandlingen, iv) typen eller identiteten af tredjeparter, som personoplysninger kan blive videregivet til, og formålene hermed, v) deres individuelle rettigheder, vi) organisationens kontaktoplysninger og vii) tilgængelige klagemuligheder.

(27)

Meddelelsen herom skal formidles klart og tydeligt, når den enkelte første gang anmodes om at udlevere personoplysninger, eller så hurtigt som muligt derefter, dog under alle omstændigheder inden personoplysningerne anvendes til et væsentligt andet (men kompatibelt) formål end det, hvortil de blev indsamlet, eller inden de videregives til tredjemand (39).

(28)

Derudover skal organisationer offentliggøre deres politikker til beskyttelse af privatlivets fred, der afspejler principperne (eller, hvis der er tale om data vedrørende menneskelige ressourcer, gøre dem let tilgængelige for de berørte personer), og angive links til handelsministeriets websted (med yderligere oplysninger om certificering, de registreredes rettigheder og tilgængelige klagemekanismer), listen over deltagende organisationer i databeskyttelsesrammen og webstedet for en relevant udenretslig tvistbilæggelsesinstans (40).

(29)

De registrerede skal have visse rettigheder, som kan håndhæves over for den dataansvarlige eller databehandleren, navnlig retten til indsigt i oplysninger, retten til at gøre indsigelse mod behandlingen og retten til at få oplysninger berigtiget og slettet.

(30)

Princippet om indsigt (41) i EU-USA-databeskyttelsesrammen giver den enkelte sådanne rettigheder. Navnlig har registrerede ret til uden begrundelse at få oplyst, om en organisation behandler personoplysninger om dem, at få oplysningerne udleveret og at få oplysninger om formålet med behandlingen, de kategorier af personoplysninger, der behandles, og de (kategorier af) modtagere, som oplysningerne videregives til (42). Organisationer skal besvare anmodninger om indsigt inden for en rimelig frist (43). En organisation kan fastsætte en passende maksimumsgrænse for det antal gange, anmodninger om indsigt fra en bestemt person inden for en bestemt periode vil blive behandlet, og kan opkræve et gebyr, der ikke er uforholdsmæssigt stort, f.eks. hvis anmodningerne om indsigt er tydeligt overdrevne, navnlig fordi de gentages (44).

(31)

Retten til indsigt kan kun begrænses under særlige omstændigheder svarende til dem, der er fastsat i EU's databeskyttelseslovgivning, navnlig hvor det ville medføre en krænkelse af andre personers legitime rettigheder, hvor meradministrationen eller meromkostningerne ved at give indsigt i disse oplysninger ville være uforholdsmæssig store i forhold til risikoen for den pågældende persons privatliv under sagens omstændigheder (selv om meromkostninger og meradministration ikke er afgørende faktorer ved vurderingen af, om det er rimeligt at give indsigt), hvis en videregivelse kan antages at vanskeliggøre beskyttelsen af vigtige altovervejende offentlige interesser, herunder den nationale sikkerhed, den offentlige sikkerhed eller forsvaret), hvis oplysningerne indeholder fortrolige forretningsoplysninger, eller hvis oplysningerne udelukkende behandles med henblik på forskning eller i statistisk øjemed (45). Enhver nægtelse eller begrænsning af en rettighed skal være nødvendig og behørigt begrundet, og organisationen skal dokumentere, at disse krav er opfyldt (46). I forbindelse med denne vurdering skal organisationen navnlig tage hensyn til den enkeltes interesser (47). Hvis det er muligt at adskille oplysningerne fra andre data, der er omfattet af en begrænsning, skal organisationen bortredigere de beskyttede oplysninger og videregive de resterende oplysninger (48).

(32)

De registrerede har desuden ret til at få berigtiget eller ændret ukorrekte oplysninger og til at få slettet oplysninger, der er blevet behandlet i strid med principperne (49). Som forklaret i betragtning 15 har personer desuden ret til at gøre indsigelse mod/fravælge behandlingen af deres oplysninger til formål, der er væsentligt anderledes end (men forenelige med) dem, hvortil oplysningerne blev indsamlet, og videregivelsen af deres oplysninger til tredjemand. Når personoplysninger anvendes til direkte markedsføring, har personer generelt ret til enhver tid at fravælge behandlingen (50).

(33)

Principperne omhandler ikke specifikt spørgsmålet om beslutninger vedrørende en person, der alene er baseret på automatiseret behandling af personoplysninger. I forbindelse med personoplysninger, der er indsamlet i Unionen, vil enhver beslutning baseret på automatiseret behandling imidlertid typisk blive truffet af den dataansvarlige i Unionen (som har en direkte relation til den berørte registrerede), og den vil således være omfattet af forordning (EU) 2016/679 (51). Dette omfatter overførselsscenarier, hvor behandlingen foretages af en udenlandsk (f.eks. amerikansk) erhvervsdrivende, der handler som mandatar (databehandler) på vegne af den dataansvarlige i Unionen (eller som en underkontraheret databehandler, der handler på vegne af en databehandler i Unionen, som har modtaget oplysningerne fra den indsamlende dataansvarlige i Unionen), og som på dette grundlag således træffer beslutningen.

(34)

Dette blev bekræftet af en undersøgelse bestilt af Kommissionen i 2018 i forbindelse med den anden årlige evaluering af privatlivsskjoldets funktion (52), som konkluderede, at der på daværende tidspunkt ikke var noget, der tydede på, at organisationer i privatlivsskjoldet normalt traf automatiserede beslutninger på grundlag af personoplysninger, som blev overført under privatlivsskjoldet.

(35)

Under alle omstændigheder indeholder amerikansk ret på de områder, hvor organisationer ofte anvender automatiseret behandling af personoplysninger til at træffe beslutninger vedrørende en fysisk person (f.eks. långivning, realkreditlån, ansættelse, bolig og forsikring), særlige garantier vedrørende negative beslutninger (53). Disse love indeholder typisk bestemmelser, der giver fysiske personer ret til at blive oplyst om de specifikke årsager til beslutningen (f.eks. afvisning af lån), at bestride ufuldstændige eller unøjagtige oplysninger (samt anvendelsen af uretmæssige forhold) samt til at klage. På forbrugerkreditområdet indeholder Fair Credit Reporting Act (FCRA) og Equal Credit Opportunity Act (ECOA) garantier, der giver forbrugerne en form for ret til en forklaring og ret til at anfægte beslutningen. Disse love er relevante på en lang række områder, herunder långivning, ansættelse, bolig og forsikring. Desuden giver visse love om bekæmpelse af forskelsbehandling, såsom Title VII i Civil Rights Act og Fair Housing Act, personer beskyttelse med hensyn til modeller, der anvendes i automatiserede beslutningsprocesser, som kan føre til forskelsbehandling på grundlag af visse kendetegn, og de giver personer ret til at anfægte sådanne beslutninger, herunder de automatiserede beslutninger. Hvad angår sundhedsrelaterede oplysninger skaber reglen om beskyttelse af privatlivets fred i Health Insurance Portability and Accountability Act (HIPAA) visse rettigheder, der svarer til rettighederne i forordning (EU) 2016/679 med hensyn til adgangen til personlige sundhedsoplysninger. Derudover kræver retningslinjer fra de amerikanske myndigheder, at udbydere af sundhedsydelser modtager oplysninger, der gør det muligt for dem at informere enkeltpersoner om automatiserede beslutningssystemer, der anvendes i sundhedssektoren (54).

(36)

Disse regler giver derfor en beskyttelse svarende til den, der er fastsat i EU's databeskyttelseslovgivning, i den usandsynlige situation, hvor organisationen under EU-USA-databeskyttelsesrammen selv træffer automatiserede beslutninger.

(37)

Beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til organisationer i USA, må ikke undergraves ved videre overførsel af sådanne oplysninger til en modtager i USA eller et andet tredjeland.

(38)

I henhold til princippet om ansvar for videreoverførsel (55) findes der særlige regler for såkaldte »videreoverførsler«, dvs. overførsler af personoplysninger fra en organisation under EU-USA-databeskyttelsesrammen til tredjemand, som er dataansvarlig eller databehandler, uanset om sidstnævnte befinder sig i USA eller et tredjeland uden for USA (og EU). Videreoverførsel kan alene finde sted i) til begrænsede og bestemte formål, ii) på grundlag af en aftale mellem organisationen under EU-USA-databeskyttelsesrammen og den pågældende tredjepart (56) (eller et tilsvarende arrangement i en koncern (57)) og iii) udelukkende, hvis denne aftale sikrer, at tredjeparten sikrer det samme beskyttelsesniveau som principperne.

(39)

Denne forpligtelse til at sikre det samme beskyttelsesniveau som principperne, sammenholdt med princippet om dataintegritet og formålsbegrænsning, betyder navnlig, at tredjemand kun må behandle de personoplysninger, der videregives til vedkommende, til formål, der ikke er uforenelige med de formål, hvortil de blev indsamlet, eller som den registrerede efterfølgende har godkendt (i overensstemmelse med princippet om valgfrihed).

(40)

Princippet om ansvar for videreoverførsel bør også ses i sammenhæng med princippet om oplysningspligt og, i tilfælde af videreoverførsel til en dataansvarlig tredjepart (58), princippet om valgfrihed, ifølge hvilke den registrerede skal oplyses om (bl.a.) typen/identiteten af en eventuel tredjepartsmodtager, formålet med videreoverførslen og valgfriheden og kan vælge at modsætte sig (opt out) eller, i forbindelse med følsomme oplysninger, skal give sit »udtrykkelige samtykke« (opt in) til videreoverførslen.

(41)

Pligten til at yde samme niveau af beskyttelse som krævet i principperne gælder alle tredjeparter, der deltager i behandlingen af overførte oplysninger, uanset hvor de befinder sig (i USA eller et andet tredjeland), også når den oprindelige modtagende tredjepart selv overfører oplysningerne til en anden modtagende tredjepart f.eks. i forbindelse med udlicitering.

(42)

Under alle omstændigheder skal det fastslås i aftalen med den modtagende tredjepart, at denne underretter organisationen under EU-USA-databeskyttelsesrammen, hvis den beslutter, at den ikke længere kan opfylde denne pligt. Når en tredjepart træffer en sådan beslutning, skal denne ophøre med at behandle oplysningerne eller træffe andre rimelige og passende skridt for at rette op på situationen (59).

(43)

Der gælder yderligere garantier i tilfælde af videreoverførsel til en tredjepart, der fungerer som mandatar (dvs. en databehandler). I et sådant tilfælde skal den amerikanske organisation sikre, at mandataren kun handler efter dets anvisninger, og træffe rimelige og passende foranstaltninger til i) at sikre, at mandataren behandler de overførte personoplysninger i overensstemmelse med organisationens pligter i henhold til principperne, og ii) at indstille og afhjælpe uautoriseret behandling efter eventuel meddelelse herom (60). Organisationen kan af handelsministeriet blive pålagt at forelægge et sammendrag eller en repræsentativ kopi af de relevante bestemmelser om beskyttelse af privatlivets fred i aftalen (61). I tilfælde af problemer med overholdelsen i udliciterings- eller behandlingskæden skal organisationen, der fungerer som dataansvarlig for personoplysningerne, påtage sig ansvaret, jf. princippet om klageadgang, håndhævelse og ansvar, medmindre det beviser, at det ikke er skyld i den begivenhed, der medførte skaden (62).

(44)

I henhold til princippet om ansvar skal enheder, der behandler oplysninger, træffe passende tekniske og organisatoriske foranstaltninger med henblik på effektiv overholdelse af deres databeskyttelsesforpligtelser, og de skal være i stand til at dokumentere denne overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(45)

Når en organisation frivilligt har besluttet at foretage certificering (63) under EU-USA-databeskyttelsesrammen, skal det overholde principperne til fulde, og overholdelsen skal håndhæves. I henhold til princippet om klageadgang, håndhævelse og ansvar (64) skal organisationer under EU-USA-databeskyttelsesrammen iværksætte effektive mekanismer, der sætter dem i stand til at overholde principperne. Organisationer skal desuden træffe foranstaltninger til at kontrollere (65), at deres politik til beskyttelse af privatlivets fred er i overensstemmelse med principperne og rent faktisk overholdes. Dette kan enten gøres gennem selvevaluering, som skal inkludere interne procedurer, der sikrer, at de ansatte informeres om implementeringen af organisationens politik til beskyttelse af privatlivets fred, og at overholdelsen kontrolleres regelmæssigt og objektivt, eller gennem ekstern kontrol af overholdelsen, der kan omfatte revision, stikprøvekontrol eller anvendelse af teknologiske værktøjer.

(46)

Derudover skal organisationerne føre protokol over implementeringen af deres praksis under EU-USA-databeskyttelsesrammen og på anmodning herom stille disse protokoller til rådighed for et uafhængigt tvistbilæggelsesorgan eller en kompetent håndhævelsesmyndighed i forbindelse med en undersøgelse eller klage vedrørende manglende overholdelse (66).

(47)

EU-USA-databeskyttelsesrammen vil blive forvaltet og overvåget af det amerikanske handelsministerium. Rammen indeholder tilsyns- og håndhævelsesmekanismer til at kontrollere og sikre, at organisationer under EU-USA-databeskyttelsesrammen overholder principperne, og at der tages hånd om eventuel manglende overholdelse. Disse mekanismer er indeholdt i principperne (bilag I) og de tilsagn, der er afgivet af det amerikanske handelsministerium (bilag III), FTC (bilag IV) og det amerikanske transportministerium (bilag V).

(48)

Certificering i henhold til EU-USA-databeskyttelsesrammen (eller årlig recertificering) kræver, at organisationerne offentligt erklærer deres tilslutning til principperne, offentliggør deres politik til beskyttelse af privatlivets fred og implementerer den fuldt ud (67). Som led i deres ansøgning om (re)certificering skal organisationerne indsende oplysninger til handelsministeriet om bl.a. navnet på den relevante organisation, en beskrivelse af de formål, hvortil organisationen vil behandle personoplysninger, de personoplysninger, der vil være omfattet af certificeringen, samt den valgte kontrolmetode, den relevante uafhængige klageinstans og det lovbestemte organ, der har kompetence til at håndhæve overholdelsen af principperne (68).

(49)

Organisationer kan modtage personoplysninger på grundlag af EU-USA-databeskyttelsesrammen fra den dato, hvor handelsministeriet optager dem på listen over deltagende organisationer i databeskyttelsesrammen. Af hensyn til retssikkerheden og for at undgå »falske påstande« er organisationer, der certificeres for første gang, ikke berettiget til offentligt at henvise til deres tilslutning til principperne, før handelsministeriet har fastslået, at organisationens anmeldelse om certificering er fuldstændig, og har tilføjet organisationen til listen over deltagende organisationer (69). For fortsat at kunne modtage personoplysninger fra EU inden for EU-USA-databeskyttelsesrammen skal disse organisationer årligt recertificere deres deltagelse. Hvis en organisation af den ene eller anden årsag forlader EU-USA-databeskyttelsesrammen, skal det fjerne alle udtalelser, der lader formode, at organisationen fortsat deltager i databeskyttelsesrammen (70).

(50)

Som det fremgår af tilsagnene i bilag III, kontrollerer det amerikanske handelsministerium, om organisationerne opfylder alle certificeringskrav og har indført en (offentlig) politik til beskyttelse af privatlivets fred, som indeholder de oplysninger, der kræves i henhold til princippet om oplysningspligt (71). På grundlag af erfaringerne med (re)certificeringsprocessen under privatlivsskjoldet vil handelsministeriet foretage en række kontroller, herunder for at kontrollere, om organisationernes politikker til beskyttelse af privatlivets fred indeholder et hyperlink til den korrekte klageformular på det relevante tvistbilæggelsesorgans websted, og — hvis flere af en organisations enheder og datterselskaber er omfattet af en anmeldelse om certificering — om alle disse enheders politikker til beskyttelse af privatlivets fred opfylder certificeringskravene og er let tilgængelige for de registrerede (72). Derudover vil handelsministeriet om nødvendigt foretage krydskontrol sammen med FTC og transportministeriet for at kontrollere, at organisationerne er underlagt det tilsynsorgan, der er identificeret i deres anmeldelse om (re)certificering, og det vil samarbejde med alternative tvistbilæggelsesorganer for at kontrollere, at organisationerne er registreret hos den uafhængige klageinstans, der er identificeret i deres anmeldelse om (re)certificering (73).

(51)

Handelsministeriet underretter organisationerne om, at de for at fuldføre (re)certificeringen skal afhjælpe alle de problemer, der blev identificeret under ministeriets revision. Såfremt en organisation ikke svarer inden for en af handelsministeriet fastsat frist (f.eks. forventes det i forbindelse med (re)certificering, at processen afsluttes inden for 45 dage) (74) eller på anden måde ikke fuldfører certificeringen, anses anmeldelsen for at være opgivet. I så fald kan der mod en organisation, der afgiver urigtige oplysninger vedrørende dets deltagelse i eller overholdelse af EU-USA-databeskyttelsesrammen, anlægges en håndhævelsessag for FTC eller transportministeriet (75).

(52)

For at sikre en korrekt anvendelse af EU-USA-databeskyttelsesrammen skal interesserede parter, f.eks. registrerede, dataeksportører og de nationale databeskyttelsesmyndigheder kunne identificere de organisationer, der har tilsluttet sig principperne. For at sikre en sådan gennemsigtighed på »indgangsstedet« har handelsministeriet påtaget sig at føre og offentliggøre listen over organisationer, der på grundlag af certificering har tilsluttet sig principperne, og som er underlagt mindst en af de håndhævelsesmyndigheder, der er nævnt i bilag IV og V til denne afgørelse (76). Handelsministeriet vil ajourføre listen på grundlag af en organisations årlige anmeldelser om recertificering, og når en organisation trækker sig ud af eller udelukkes fra EU-USA-databeskyttelsesrammen. For også at sikre gennemsigtigheden på »udgangsstedet« vil ministeriet ligeledes føre og offentliggøre en fortegnelse over organisationer, der er blevet fjernet fra listen, og i hvert enkelt tilfælde angive årsagen hertil (77). Endelig vil ministeriet angive et link FTC's websted vedrørende EU-USA-databeskyttelsesrammen, som indeholder en liste over FTC-håndhævelsessager relateret til databeskyttelsesrammen (78).

(53)

Handelsministeriet vil løbende holde øje med, at organisationerne under EU-USA-databeskyttelsesrammen faktisk overholder principperne ved hjælp af forskellige mekanismer (79). Det vil navnlig foretage stikprøvekontrol af tilfældigt udvalgte organisationer samt ad hoc-stikprøvekontrol af specifikke organisationer, når der konstateres potentielle problemer med overholdelsen (som f.eks. er blevet indberettet til handelsministeriet af tredjeparter), for at kontrollere, om i) de kontaktpunkter, der håndterer klager og anmodninger fra registrerede, er tilgængelige og imødekommende, ii) organisationens politik til beskyttelse af privatlivets fred er let tilgængelig, både på dens websted og via et hyperlink på handelsministeriets websted, iii) organisationens politik til beskyttelse af privatlivets fred fortsat er i overensstemmelse med certificeringskravene, og iv) det uafhængige tvistbilæggelsesorgan, som organisationen har valgt, er til rådighed til at behandle klager (80).

(54)

Hvis der er troværdig dokumentation for, at en organisation ikke overholder sine forpligtelser i henhold til EU-USA-databeskyttelsesrammen (herunder hvis handelsministeriet modtager klager, eller organisationen ikke svarer tilfredsstillende på dets forespørgsler), vil handelsministeriet kræve, at organisationen udfylder og indsender et detaljeret spørgeskema (81). en organisation, der ikke besvarer spørgeskemaet rettidigt og på tilfredsstillende vis, vil blive henvist til den relevante myndighed (FTC eller transportministeriet) med henblik på eventuelle håndhævelsesforanstaltninger (82). Som led i sine overvågningsaktiviteter under privatlivsskjoldet gennemførte handelsministeriet regelmæssigt de stikprøvekontroller, der er nævnt i betragtning 53, og overvågede løbende offentlige rapporter, hvilket gjorde det muligt at identificere, tage fat om og løse problemer med overholdelsen (83). Organisationer, der vedvarende overtræder principperne, vil blive fjernet fra listen over deltagere i databeskyttelsesrammen, og de skal tilbagesende eller slette de personoplysninger, de har modtaget i henhold til databeskyttelsesrammen (84).

(55)

I andre tilfælde af fjernelse, f.eks. frivillig udtræden eller manglende recertificering, skal organisationen enten slette eller tilbagesende oplysningerne, eller det kan beholde dem, hvis det hvert år bekræfter over for handelsministeriet, at det fortsat vil anvende principperne, eller sikrer en tilstrækkelig beskyttelse af personoplysningerne på anden godkendt vis (f.eks. ved hjælp af en aftale, der fuldt ud afspejler kravene i de relevante standardkontraktbestemmelser, som Kommissionen har godkendt) (85). I dette tilfælde skal en organisation desuden udpege et kontaktpunkt i organisationen for alle spørgsmål relateret til EU-USA-databeskyttelsesrammen.

(56)

Handelsministeriet vil holde øje med falske påstande om deltagelse i EU-USA-databeskyttelsesrammen eller uretmæssig brug af certificeringsmærket for EU-USA-databeskyttelsesrammen, både ex officio og på grundlag af klager (f.eks. fremsendt af databeskyttelsesmyndigheder) (86). Handelsministeriet vil navnlig løbende kontrollere, at organisationer, der i) trækker sig ud af EU-USA-databeskyttelsesrammen, ii) ikke foretager den årlige recertificering (dvs. som enten påbegyndte, men ikke afsluttede den årlige recertificeringsproces rettidigt, eller slet ikke påbegyndte den årlige recertificeringsproces), iii) fjernes fra listen over deltagere, navnlig for »vedvarende overtrædelse«, eller iv) ikke foretager den indledende certificering (dvs. som påbegyndte, men ikke afsluttede den første recertificeringsproces rettidigt), fjerner alle henvisninger til EU-USA-databeskyttelsesrammen fra alle relevante offentliggjorte politikker til beskyttelse af privatlivets fred, der lader formode, at organisationen fortsat deltager aktivt i databeskyttelsesrammen (87). Handelsministeriet vil endvidere foretage internetsøgninger for at identificere henvisninger til EU-USA-databeskyttelsesrammen, herunder for at identificere falske påstande fremsat af organisationer, som aldrig har deltaget i EU-USA-databeskyttelsesrammen (88).

(57)

Hvis ministeriet konstaterer, at henvisninger til EU-USA-databeskyttelsesrammen ikke er blevet fjernet eller bruges uretmæssigt, vil ministeriet underrette organisationen om, at det eventuelt vil henvise sagen til FTC/transportministeriet (89). Hvis en organisation ikke reagerer på tilfredsstillende vis, henviser handelsministeriet sagen til den relevante myndighed med henblik på eventuelle håndhævelsesforanstaltninger (90). En organisation, der afgiver urigtige oplysninger til offentligheden vedrørende dens tilslutning til principperne i form af vildledende udtalelser eller praksis, kan indbringes for FTC, transportministeriet eller andre relevante håndhævelsesmyndigheder i USA. Afgivelse af urigtige oplysninger til handelsministeriet kan håndhæves i henhold til False Statements Act (18 U.S.C. § 1001).

(58)

For at garantere, at der også i praksis sikres et tilstrækkeligt niveau for databeskyttelse, skal der oprettes en uafhængig tilsynsmyndighed, der har beføjelser til at overvåge og håndhæve overholdelsen af databeskyttelsesreglerne.

(59)

Organisationer under EU-USA-databeskyttelsesrammen skal være underlagt de kompetente amerikanske myndigheders kompetence (FTC og transportministeriet), som har de nødvendige undersøgelses- og håndhævelsesbeføjelser til effektivt at sikre overholdelse af principperne (91).

(60)

FTC er en uafhængig myndighed bestående af fem kommissærer, som udnævnes af præsidenten efter råd fra Senatet og med dets samtykke (92). Kommissærerne udnævnes for en syvårig periode og kan kun afsættes af præsidenten på grund af uduelighed, tjenesteforsømmelse eller embedsmisbrug. FTC må ikke have mere end tre kommissærer fra samme politiske parti, og kommissærerne må under deres mandat ikke beskæftige sig med andre former for virksomhed, erhverv eller arbejde.

(61)

FTC kan undersøge overholdelsen af principperne samt falske påstande om tilslutning til principperne eller deltagelse i EU-USA-databeskyttelsesrammen fra organisationer, som enten ikke længere er opført på listen over deltagere i databeskyttelsesrammen eller aldrig har foretaget certificering (93). FTC kan håndhæve overholdelsen ved at anmode om administrative eller føderale retsafgørelser (herunder »consent orders« (forligsafgørelser)) (94) med henblik på foreløbige eller endelige forbud eller påbud eller andre afhjælpende foranstaltninger og vil systematisk overvåge overholdelsen af disse afgørelser (95). Hvis en organisation ikke efterlever afgørelsen, kan FTC søge idømmelse af civilretlige sanktioner eller andre afhjælpende foranstaltninger, herunder for enhver skade som følge af den ulovlige adfærd. Enhver forligsafgørelse, der udstedes til en organisation under EU-USA-databeskyttelsesrammen, vil indeholde bestemmelser om selvrapportering (96), og organisationerne vil blive anmodet om at offentliggøre alle afsnit relateret til databeskyttelsesrammen i alle overholdelses- eller vurderingsrapporter forelagt FTC. Endelig vil FTC føre en onlineliste over organisationer omfattet af FTC- eller retsafgørelser i sager om EU-USA-databeskyttelsesrammen (97).

(62)

Med hensyn til privatlivsskjoldet traf FTC håndhævelsesforanstaltninger i ca. 22 sager, både i forbindelse med overtrædelser af specifikke krav under rammen (f.eks. manglende bekræftelse over for handelsministeriet af, at organisationen fortsat anvendte beskyttelsen under privatlivsskjoldet, efter at det havde forladt rammen, manglende kontrol — gennem selvevaluering eller ekstern kontrol af overholdelsen — af, at organisationen overholdt rammen) (98) og falske påstande om deltagelse i rammen (f.eks. fra organisationer, der ikke fuldførte de nødvendige skridt for at opnå certificering eller lod deres certificering udløbe, men afgav urigtige oplysninger om deres fortsatte deltagelse i rammen) (99). Disse håndhævelsesforanstaltninger var bl.a. et resultat af den proaktive brug af administrative pålæg til at indhente materiale fra visse deltagere i privatlivsskjoldet for at kontrollere, om der forelå væsentlige tilsidesættelser af forpligtelserne i privatlivsskjoldet (100).

(63)

Mere generelt har FTC i de seneste år truffet håndhævelsesforanstaltninger i en række sager vedrørende overholdelse af specifikke databeskyttelseskrav, der også er fastsat i EU-USA-databeskyttelsesrammen, f.eks. med hensyn til principperne om formålsbegrænsning og datalagring (101), dataminimering (102), datasikkerhed (103) og datanøjagtighed (104).

(64)

Transportministeriet har enekompetence til at regulere luftfartsselskabernes databeskyttelsespraksis og deler kompetence med FTC for så vidt angår rejsebureauernes databeskyttelsespraksis i forbindelse med salg af lufttransportydelser. Transportministeriets embedsmænd sigter først og fremmest mod at nå frem til et forlig og kan, hvis dette ikke er muligt, indlede en håndhævelsesprocedure, der omfatter bevishøring for en af ministeriets forvaltningsdommere, som er bemyndiget til at udstede forbud og idømme civilretlige sanktioner (105). Forvaltningsdommere er omfattet af flere beskyttelsesforanstaltninger i henhold til Administrative Procedure Act (APA) for at sikre deres uafhængighed og upartiskhed. De kan f.eks. kun afsættes med god grund, tildeles sager efter tur, må ikke udføre opgaver, der er uforenelige med deres pligter og ansvar som forvaltningsdommere, er ikke underlagt tilsyn af undersøgelsesholdet hos den myndighed, de er ansat af (i dette tilfælde transportministeriet), og de skal udøve deres dømmende/håndhævende funktion upartisk (106). Transportministeriet har påtaget sig at overvåge håndhævelsesafgørelser og sikre, at afgørelser, der udstedes i sager om EU-USA-databeskyttelsesrammen, offentliggøres på dets websted (107).

(65)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektive muligheder for administrativ og retslig prøvelse.

(66)

I henhold til princippet om klageadgang, håndhævelse og ansvar inden for rammerne af EU-USA-databeskyttelsesrammen skal organisationer give fysiske personer, der er berørt af manglende overholdelse, mulighed for at klage, dvs. give registrerede i EU mulighed for at indgive klager vedrørende organisationer i EU-USA-databeskyttelsesrammens manglende overholdelse og om nødvendigt få disse klager afgjort ved en afgørelse om effektive afhjælpende foranstaltninger (108). Som led i deres certificering skal organisationer opfylde kravene i dette princip ved at sørge for effektive og let tilgængelige uafhængige klageinstanser, som kan undersøge og finde en hurtig løsning på klager fra fysiske personer eller eventuelle tvister, uden ekstra omkostninger for den pågældende (109).

(67)

Organisationer kan vælge at benytte uafhængige klageinstanser i enten EU eller i USA. Som forklaret nærmere i betragtning 73 omfatter dette også muligheden for frivilligt at forpligte sig til at samarbejde med databeskyttelsesmyndighederne i EU. Når organisationerne behandler oplysninger om menneskelige ressourcer, er det obligatorisk at samarbejde med databeskyttelsesmyndighederne i EU. Andre alternativer er udenretslig tvistbilæggelse eller programmer til beskyttelse af privatlivets fred udviklet i den private sektor, som principperne indarbejdes i. Disse programmer skal omfatte effektive håndhævelsesmekanismer i overensstemmelse med kravene i princippet om klageadgang, håndhævelse og ansvar.

(68)

EU-USA-databeskyttelsesrammen giver således de registrerede en række muligheder for at udøve deres rettigheder, indgive klager vedrørende organisationer i EU-USA-databeskyttelsesrammens manglende overholdelse og om nødvendigt at få klagerne afgjort ved en afgørelse om effektive afhjælpende foranstaltninger. Fysiske personer kan indbringe en klage direkte til en organisation, til en uafhængig tvistbilæggelsesinstans, der er udpeget af organisationen, til de nationale databeskyttelsesmyndigheder, til handelsministeriet eller til FTC. Hvis deres klager ikke afgøres ved hjælp af disse klage- eller håndhævelsesmekanismer, kan fysiske personer indbringe sagen til tvungen voldgift (bilag I til bilag I til denne afgørelse). Med undtagelse af indbringelse for voldgiftspanelet, der kræver, at visse andre retsmidler først skal være udtømt, kan fysiske personer frit vælge at benytte enhver af eller alle disse mekanismer og er ikke forpligtet til at vælge en bestemt mekanisme frem for en anden eller til at følge en bestemt rækkefølge.

(69)

For det første kan registrerede i EU rette klager vedrørende manglende overholdelse af principperne direkte til organisationerne under EU-USA-databeskyttelsesrammen (110). Organisationen skal indføre en effektiv klagemekanisme til behandling af disse klager for at fremme en løsning. En organisations politik til beskyttelse af privatlivets fred skal derfor indeholde klare oplysninger til fysiske personer om et kontaktpunkt i eller uden for organisationen, der behandler klagerne (herunder ethvert relevant organ i EU, som kan besvare forespørgsler eller klager), og oplysninger om den udpegede uafhængige tvistbilæggelsesinstans (jf. betragtning 70). Ved modtagelsen af en klage fra en fysisk person, enten direkte fra personen selv eller via handelsministeriet, som har fået sagen henvist fra en databeskyttelsesmyndighed, skal organisationen fremsende et svar til den registrerede i EU inden for 45 dage (111). Organisationerne skal ligeledes straks besvare henvendelser og andre anmodninger om oplysninger fra handelsministeriet eller en databeskyttelsesmyndighed (112) (hvis organisationen har forpligtet sig til at samarbejde med databeskyttelsesmyndighederne) vedrørende deres tilslutning til principperne.

(70)

For det andet kan fysiske personer ligeledes indgive klagen direkte til den uafhængige tvistbilæggelsesinstans (enten i USA eller i EU), der er udpeget af en organisation til at undersøge og afgøre individuelle klager (medmindre klagerne tydeligt er ubegrundede eller useriøse) og sikre fysiske personer passende gratis klageadgang (113). De sanktioner og afhjælpende foranstaltninger, der pålægges af denne instans, skal være af en sådan karakter, at organisationerne tilskyndes til at overholde principperne, og de bør sikre, at organisationen imødegår eller afhjælper følgerne af den manglende overholdelse og, afhængigt af omstændighederne, at den videre behandling af de pågældende personoplysninger indstilles, eller at oplysningerne slettes, og at konstateringerne af manglende overholdelse offentliggøres (114). De uafhængige tvistbilæggelsesinstanser, der udpeges af en organisation, skal angive relevante oplysninger om EU-USA-databeskyttelsesrammen og om de tjenester, de tilbyder i tilknytning hertil, på deres offentlige websteder (115). De skal hvert år offentliggøre en årlig rapport med en samlet statistik over disse tjenester (116).

(71)

Handelsministeriet kan som led i sin kontrol af overholdelsen ligeledes kontrollere, om organisationer under EU-USA-databeskyttelsesrammen rent faktisk har ladet sig registrere ved den uafhængige klageinstans, som de påstår at have registreret sig ved (117). Både organisationerne og de ansvarlige uafhængige klageinstanser skal straks besvare forespørgsler og anmodninger fra handelsministeriet om oplysninger vedrørende EU-USA-databeskyttelsesrammen. Handelsministeriet vil samarbejde med de uafhængige klageinstanser for at kontrollere, at de lægger oplysninger ud på deres websteder om principperne og de tjenester, de tilbyder i henhold til EU-USA-databeskyttelsesrammen, og at de offentliggør årlige rapporter (118).

(72)

I tilfælde, hvor organisationen ikke følger et tvistbilæggelsesorgans eller et selvregulerende organs afgørelse, skal disse indberette den manglende overholdelse til handelsministeriet og FTC (eller en anden amerikansk myndighed med kompetence til at undersøge organisationens manglende overholdelse) eller til en kompetent domstol (119). Hvis en organisation nægter at følge et selvregulerende organs, et uafhængigt tvistbilæggelsesorgans eller et statsligt organs endelige afgørelse, eller hvis et sådant organ fastslår, at en organisation regelmæssigt overtræder principperne, kan dette blive betragtet som en vedvarende overtrædelse med det resultat, at handelsministeriet, efter at have givet den pågældende organisation 30 dages varsel og mulighed for at fremsætte bemærkninger, fjerner organisationen fra listen over deltagere i databeskyttelsesrammen (120). Hvis organisationen efter at være blevet fjernet fra listen fastholder påstande om deltagelse i EU-USA-databeskyttelsesrammen, henviser ministeriet det til FTC eller en anden retshåndhævende myndighed (121).

(73)

For det tredje kan enkeltpersoner også indgive deres klager til en national databeskyttelsesmyndighed i Unionen, som kan gøre brug af deres undersøgelsesbeføjelser og afhjælpende beføjelser i henhold til forordning (EU) 2016/679. Organisationer er forpligtede til at samarbejde med databeskyttelsesmyndigheden i forbindelse med undersøgelsen og afgørelsen af klager, enten når det drejer sig om behandling af oplysninger om menneskelige ressourcer, der er indsamlet i forbindelse med ansættelsesforhold, eller når den pågældende organisation frivilligt har underlagt sig databeskyttelsesmyndighedernes tilsyn (122). Organisationerne skal navnlig besvare forespørgsler, rette sig efter databeskyttelsesmyndighedens anbefalinger, herunder om afhjælpende eller kompenserende foranstaltninger, og give databeskyttelsesmyndigheden en skriftlig bekræftelse på, at disse foranstaltninger er truffet (123). I tilfælde af manglende overholdelse af databeskyttelsesmyndighedens rådgivning vil databeskyttelsesmyndigheden henvise sådanne sager til handelsministeriet (som kan fjerne organisationer fra EU-USA-databeskyttelsesrammens liste) eller, med henblik på eventuelle håndhævelsesforanstaltninger, til FTC eller transportministeriet (manglende samarbejde med databeskyttelsesmyndighederne eller overholdelse af principperne kan anfægtes i henhold til amerikansk lovgivning) (124).

(74)

For at fremme samarbejdet om effektiv behandling af klager har både handelsministeriet og FTC udpeget et særligt kontaktpunkt, der skal fungere som bindeled direkte til databeskyttelsesmyndighederne (125). Disse kontaktpunkter hjælper databeskyttelsesmyndigheden med at besvare forespørgsler om en organisations overholdelse af principperne.

(75)

Databeskyttelsesmyndighedernes anbefalinger (126) afgives, når begge parter i sagen har haft passende mulighed for at fremsætte bemærkninger og fremlægge eventuel dokumentation, som de finder relevant. Panelet kan afgive sine anbefalinger så hurtigt som muligt under hensyntagen til kravet om behørig behandling og som hovedregel senest 60 dage efter modtagelse af klagen (127). Hvis en organisation ikke har rettet sig efter en anbefaling senest 25 dage efter anbefalingens afgivelse og ikke har givet en tilfredsstillende forklaring på denne forsinkelse, kan panelet meddele, at det agter at indbringe sagen for FTC (eller et andet kompetent amerikansk retshåndhævende organ) eller at konkludere, at der er sket en væsentlig overtrædelse af samarbejdsaftalen. I det første tilfælde kan det føre til håndhævelsesforanstaltninger i henhold til Section 5 i FTC Act (eller tilsvarende lov) (128). I det andet tilfælde vil panelet underrette handelsministeriet, der vil betragte organisationens afslag på at efterkomme panelet af databeskyttelsesmyndigheders anbefalinger som en vedvarende overtrædelse, der indebærer, at organisationen fjernes fra listen over deltagere i databeskyttelsesrammen.

(76)

Hvis den databeskyttelsesmyndighed, som har modtaget en klage, ikke har truffet eller har truffet utilstrækkelige foranstaltninger vedrørende klagen, har den enkelte klager mulighed for at indbringe sagen for de nationale domstole i den pågældende EU-medlemsstat.

(77)

Fysiske personer kan også indgive klager til databeskyttelsesmyndighederne, selv om organisationen ikke har udpeget panelet som tvistbilæggelsesinstans. I disse tilfælde kan databeskyttelsesmyndigheden henvise klagen til enten handelsministeriet eller FTC. For at fremme og styrke samarbejdet om spørgsmål relateret til individuelle klager og manglende overholdelse fra deltagere i EU-USA-databeskyttelsesrammens side vil handelsministeriet udpege et særligt kontaktpunkt, der skal agere bindeled og hjælpe med at besvare forespørgsler om en organisations overholdelse af principperne (129). Tilsvarende har FTC forpligtet sig til at udpege et særligt kontaktpunkt (130).

(78)

For det fjerde har handelsministeriet forpligtet sig til at modtage, gennemgå og gøre sit yderste for at behandle klager om en organisations manglende overholdelse af principperne (131). Handelsministeriet har i den forbindelse indført særlige procedurer, som databeskyttelsesmyndighederne skal følge ved henvisning af klager til et særligt kontaktpunkt, sporing af klagerne og opfølgning over for organisationerne for at fremme en løsning (132). For at fremskynde behandlingen af individuelle klager tager kontaktpunktet direkte kontakt til den pågældende databeskyttelsesmyndighed i tilfælde af problemer med overholdelsen og underretter navnlig myndigheden om status for klagerne senest 90 dage efter henvisningen (133). Dette giver registrerede mulighed for at indgive klager over organisationer under EU-USA-databeskyttelsesrammen, der ikke overholder principperne, direkte til deres nationale databeskyttelsesmyndighed og få dem kanaliseret videre til handelsministeriet, der er den amerikanske myndighed, som forvalter EU-USA-databeskyttelsesrammen.

(79)

Hvis handelsministeriet på grundlag af sin ex officio-kontrol, klager eller andre oplysninger konkluderer, at en organisation vedvarende overtræder principperne, kan det fjerne organisationen fra listen over deltagere i databeskyttelsesrammen (134). Hvis en organisation nægter at rette sig efter den endelige afgørelse truffet af en uafhængig selvregulerende tvistbilæggelsesinstans med kompetence inden for beskyttelse af privatlivets fred eller af en statslig instans, herunder en databeskyttelsesmyndighed, vil det blive betragtet som en vedvarende overtrædelse af principperne (135).

(80)

For det femte skal en organisation i EU-USA-databeskyttelsesrammen være underlagt de amerikanske myndigheders, og navnlig FTC's, kompetence (136), idet de har de undersøgelses- og håndhævelsesbeføjelser, som er nødvendige for effektivt at sikre overholdelsen af principperne. FTC prioriterer sager om manglende overholdelse af principperne, der henvises fra uafhængige tvistbilæggelsesorganer eller selvregulerende organer, handelsministeriet og databeskyttelsesmyndighederne (der handler på eget initiativ eller på grundlag af klager) for at bestemme, om Section 5 i FTC Act er blevet overtrådt (137). FTC har forpligtet sig til at indføre en standardiseret henvisningsprocedure, til at udpege et kontaktpunkt for henvisninger fra databeskyttelsesmyndighederne og til at udveksle oplysninger om henvisninger. Derudover kan FTC tage imod klager direkte fra fysiske personer og på eget initiativ foretage undersøgelser relateret til EU-USA-databeskyttelsesrammen, navnlig som led i sine mere generelle undersøgelser af forhold vedrørende beskyttelse af privatlivets fred.

(81)

Hvis en klage fra en fysisk person ikke er blevet afgjort på tilfredsstillende vis via de andre tilgængelige klagemuligheder, kan den registrerede i EU for det sjette som en sidste udvej indbringe sagen for »panelet i EU-USA-databeskyttelsesrammen« med henblik på tvungen voldgift (138). Organisationer skal informere de registrerede om muligheden for at indbringe sagen til tvungen voldgift, og de er forpligtede til at reagere, når en registreret benytter sig af denne mulighed og retter henvendelse til den berørte organisation (139).

(82)

Panelet i EU-USA-databeskyttelsesrammen består af en pulje af mindst ti voldgiftsmænd udpeget af det amerikanske handelsministerium og Kommissionen på grundlag af deres uafhængighed, integritet samt erfaring med USA's og EU's databeskyttelsesregler. I forbindelse med de enkelte tvister skal parterne sammensætte et panel med en eller tre (140) voldgiftsmænd fra denne pulje.

(83)

Handelsministeriet har udvalgt International Centre for Dispute Resolution (ICDR), den internationale afdeling af American Arbitration Association (AAA), til at forvalte voldgiftssager. Proceduren ved panelet for EU-USA-databeskyttelsesrammen vil være underlagt en række godkendte voldgiftsregler og en adfærdskodeks for de udpegede voldgiftsmænd. ICDR-AAA's websted indeholder klare og kortfattede oplysninger til fysiske personer om voldgiftsordningen og proceduren for indgivelse af voldgiftssager.

(84)

De voldgiftsregler, der er fastlagt af handelsministeriet og Kommissionen, supplerer EU-USA-databeskyttelsesrammen, der indeholder flere elementer, som giver registrerede i EU større mulighed for at anvende denne ordning, bl.a. i) kan den registrerede få hjælp af sin nationale databeskyttelsesmyndighed til at fremsætte en klage for panelet, ii) har den registrerede i EU mulighed for at deltage i voldgiftsbehandlingen, som foregår i USA, via video- eller telekonference uden ekstra omkostninger for den registrerede, iii) vil voldgiftsproceduren som regel foregå på engelsk, men den registrerede vil på begrundet anmodning normalt have adgang til tolkning under voldgiftsbehandlingen og oversættelser uden ekstra omkostninger for den registrerede, iv) og endelig skal hver part afholde egne omkostninger til advokatsalær, hvis parten møder ved advokat for panelet, men handelsministeriet vil etablere en fond finansieret via årlige bidrag fra organisationerne i EU-USA-databeskyttelsesrammen, som skal dække voldgiftsomkostningerne op til maksimumsbeløb, der skal fastlægges af de amerikanske myndigheder i samråd med Kommissionen (141).

(85)

Panelet i EU-USA-databeskyttelsesrammen har beføjelse til at give rimelig individuel ikkepengemæssig oprejsning (142) (»individual-specific, non-monetary equitable relief«) for at afhjælpe overtrædelsen af principperne. Selv om panelet tager højde for andre afhjælpende foranstaltninger, der allerede er iværksat gennem andre mekanismer i EU-USA-databeskyttelsesrammen, når det træffer sin afgørelse, kan den enkelte stadig vælge at få sagen afgjort ved voldgift, hvis den pågældende mener, at disse andre retsmidler er utilstrækkelige. Det giver registrerede i EU mulighed for at kræve sagen afgjort ved voldgift, hver gang de tiltag, som organisationerne under EU-USA-databeskyttelsesrammen, de uafhængige klageinstanser eller de kompetente amerikanske myndigheder (f.eks. FTC) har (eller ikke har) iværksat, ikke har ført til en tilfredsstillende afgørelse af deres klager. Der kan ikke stilles krav om voldgift, hvis en databeskyttelsesmyndighed har retligt grundlag for at afgøre den pågældende klage over organisationen under EU-USA-databeskyttelsesrammen, nemlig i de sager, hvor organisationen enten er forpligtet til at samarbejde med og rette sig efter databeskyttelsesmyndighedernes anbefalinger om behandling af personoplysninger om menneskelige ressourcer, der indsamles inden for rammerne af et ansættelsesforhold, eller hvis de frivilligt har forpligtet sig til at gøre dette. Fysiske personer kan få fuldbyrdet voldgiftsafgørelser ved de amerikanske domstole i henhold til Federal Arbitration Act, som således sikrer effektive retsmidler i tilfælde af, at en organisation ikke overholder principperne.

(86)

For det syvende findes der i tilfælde af en organisations manglende overholdelse af principperne og af dens offentliggjorte politik til beskyttelse af privatlivets fred andre muligheder for retslig prøvelse i de enkelte amerikanske staters lovgivning, herunder for at opnå skadeserstatning. Personer kan f.eks. på visse betingelser opnå domstolsprøvelse (herunder skadeserstatning) i henhold til en stats forbrugerlovgivning i tilfælde af svigagtig afgivelse af urigtige oplysninger, illoyal eller vildledende praksis (143) og i henhold til erstatningsretten (navnlig i tilfælde af krænkelse af privatlivets fred (144), tilegnelse af navn eller lignende (145) og offentliggørelse af private forhold (146)).

(87)

Tilsammen sikrer de forskellige klagemuligheder, der er beskrevet ovenfor, at alle klager over certificerede organisationers manglende overholdelse af EU-USA-databeskyttelsesrammen effektivt vil blive afgjort og afhjulpet.

(88)

Kommissionen har også vurderet begrænsningerne og garantierne, herunder tilsynet og de enkelte prøvelsesmekanismer, i amerikansk ret i forbindelse med amerikanske offentlige myndigheders indsamling og efterfølgende anvendelse af personoplysninger, der er blevet overført til dataansvarlige og databehandlere i USA i offentlighedens interesse, navnlig med henblik på strafferetlig håndhævelse og til nationale sikkerhedsformål (myndighedsadgang) (147). Ved vurderingen af, om de betingelser, hvorunder myndighedsadgangen til oplysninger, der overføres til USA i medfør af denne afgørelse, opfylder »væsentlighedskriteriet« i henhold til artikel 45, stk. 1, i forordning (EU) 2016/679, som fortolket af Domstolen i lyset af chartret om grundlæggende rettigheder, har Kommissionen taget hensyn til flere kriterier.

(89)

Navnlig skal enhver begrænsning af retten til beskyttelse af personoplysninger være fastlagt i lovgivningen, og det retsgrundlag, som tillader et indgreb i disse rettigheder, skal selv definere rækkevidden af begrænsningen af udøvelsen af den pågældende rettighed (148). For at opfylde kravet om proportionalitet, ifølge hvilket undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det, der i et demokratisk samfund er strengt nødvendigt for at opfylde specifikke mål af almen interesse svarende til dem, der er anerkendt af Unionen, skal dette retsgrundlag fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav, således at de personer, hvis data er blevet overført, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personoplysninger mod risikoen for misbrug (149). Desuden skal disse regler og garantier være juridisk bindende og kunne håndhæves af retssubjekter (150). De registrerede skal navnlig have mulighed for at anlægge sag ved en uafhængig og upartisk domstol med henblik på at få adgang til deres personoplysninger eller for at få sådanne oplysninger berigtiget eller slettet (151).

(90)

Med hensyn til indgreb i personoplysninger overført under EU-USA-databeskyttelsesrammen med henblik på strafferetlig håndhævelse, indfører USA's lovgivning en række begrænsninger i adgangen til og anvendelsen af personoplysninger og indeholder tilsyns- og klagemekanismer, som er i overensstemmelse med de krav, der er omhandlet i betragtning 89 til denne afgørelse. De betingelser, hvorunder en sådan adgang kan finde sted, og de garantier, der gælder for udøvelsen af disse beføjelser, vurderes nærmere i de følgende afsnit. I denne forbindelse har den amerikanske regering (gennem det amerikanske justitsministerium) ligeledes givet sikkerhed for de gældende begrænsninger og garantier (bilag VI til denne afgørelse).

(91)

Amerikanske forbundsanklagere og føderale efterforskningsagenter kan få adgang til personoplysninger, der behandles af certificerede amerikanske organisationer, og som er overført fra EU på grundlag af EU-USA-databeskyttelsesrammen, med henblik på strafferetlig håndhævelse i henhold til forskellige procedurer, som forklaret nærmere i betragtning 92-99. Disse procedurer gælder på samme måde, når der indhentes oplysninger fra en hvilken som helst amerikansk organisation, uanset de pågældende registreredes nationalitet eller opholdssted (152).

(92)

For det første kan en dommer efter anmodning fra en føderal retshåndhævelsesembedsmand eller en regeringsadvokat udstede en kendelse om ransagning eller beslaglæggelse (herunder af elektronisk lagrede oplysninger) (153). En sådan kendelse kan kun udstedes, hvis der er begrundet mistanke (»probable cause«) (154) om, at der sandsynligvis kan findes genstande, der kan beslaglægges (»seizable items«) (bevis for en forbrydelse, genstande, som en person er i ulovlig besiddelse af, eller ejendele, der er designet eller beregnet til eller brugt til at begå en forbrydelse), på det sted, der er angivet i kendelsen. I kendelsen skal de ejendele eller genstande, der skal beslaglægges, identificeres, og den dommer, som kendelsen skal tilbageleveres til, skal angives. En person, der er udstedt en ransagningskendelse mod, eller hvis ejendele er genstand for en ransagning, kan kræve, at bevismateriale, der er fremskaffet under eller kan henføres til en ulovlig ransagning, slettes, hvis dette bevismateriale føres mod den pågældende under en straffesag (155). Når en dataindehaver (f.eks. en virksomhed) skal videregive oplysninger i henhold til en kendelse, kan den pågældende navnlig anfægte kravet om videregivelse som værende urimeligt byrdefuldt (156).

(93)

For det andet kan en anklagejury (grand jury, domstolens efterforskningsgren, som udpeges af en dommer) udstede en stævning i forbindelse med efterforskning af visse alvorlige forbrydelser (157), normalt på forbundsanklagerens foranledning, for at pålægge en person at tilvejebringe eller udlevere forretningsoplysninger, elektronisk lagrede oplysninger eller andre konkrete ting. Derudover kan der i henhold til forskellige love udstedes administrative pålæg om tilvejebringelse eller udlevering af forretningsoplysninger, elektronisk lagrede oplysninger eller andre konkrete ting i sager, der involverer misbrug af sundhedsydelser, børnemishandling, beskyttelse af efterretningstjenester og kontrollerede stoffer samt i forbindelse med generalinspektørernes undersøgelser (158). I begge tilfælde skal oplysningerne være relevante for efterforskningen, og pålægget må ikke være urimeligt, dvs. overdrevent, undertrykkende eller byrdefuldt (og kan anfægtes af modtageren af pålægget med henvisning til disse grunde) (159).

(94)

Der gælder meget lignende betingelser for administrative pålæg, der udstedes for at søge adgang til oplysninger, som virksomheder i USA er i besiddelse af, til civile eller lovgivningsmæssige formål (»offentlig interesse«). Bemyndigelsen af agenturer med civilt og reguleringsmæssigt ansvar til at udstede sådanne administrative pålæg skal fastsættes ved lov. Anvendelsen af et administrativt pålæg er underlagt en »rimelighedstest«, som kræver, at undersøgelsen gennemføres i overensstemmelse med et legitimt formål, at de oplysninger, der anmodes om i henhold til anmodningen, er relevante for dette formål, at agenturet ikke allerede er i besiddelse af de oplysninger, som det søger sammen med anmodningen, og at de nødvendige administrative skridt til at udstede anmodningen er blevet fulgt (160). Højesteret har også i sin retspraksis præciseret behovet for at afveje betydningen af den offentlige interesse i de oplysninger, der anmodes om, med betydningen af personlige og organisatoriske interesser i privatlivets fred (161). Selv om anvendelsen af et administrativt pålæg ikke er betinget af en forudgående retslig godkendelse, bliver den genstand for domstolsprøvelse i tilfælde af, at modtageren anfægter dette af ovennævnte grunde, eller hvis den udstedende myndighed søger at fuldbyrde stævningen i retten (162). Ud over disse generelle overordnede begrænsninger kan specifikke (strengere) krav følge af individuelle love (163).

(95)

For det tredje findes der flere retsgrundlag, som giver de strafferetlige håndhævelsesmyndigheder mulighed for at få adgang til kommunikationsdata. En domstol kan udstede en afgørelse, der giver tilladelse til indsamling af ikkeindholdsmæssige realtidsoplysninger om opkald, routing, adressering og signalering for et telefonnummer eller en e-mailadresse (ved anvendelse af en pen-register- eller trap and trace-anordning), hvis den finder, at myndigheden har attesteret, at de oplysninger, der forventes opnået, er relevante for en verserende strafferetlig efterforskning (164). Afgørelsen skal bl.a. angive den mistænktes identitet, hvis den kendes, de væsentligste egenskaber ved den kommunikation, den vedrører, og en angivelse af den lovovertrædelse, som de oplysninger, der skal indsamles, relaterer til. Anvendelsen af en pen-register- eller trap and trace-anordning kan tillades for en periode på højst 60 dage, som kun kan forlænges ved en ny retsafgørelse.

(96)

Desuden kan der med henblik på strafferetlig håndhævelse opnås adgang til internetudbyderes, teleselskabers og andre eksterne tjenesteudbyderes opbevarede abonnentoplysninger, trafikdata og lagrede kommunikationsindhold på grundlag af Stored Communications Act (165). For at få udleveret lagret elektronisk kommunikationsindhold skal strafferetlige håndhævende myndigheder generelt have udstedt et påbud af en dommer med den begrundelse, at der er begrundet mistanke om, at den pågældende konto indeholder beviser for en forbrydelse (166). Strafferetlige håndhævende myndigheder kan få udleveret abonnentoplysninger, IP-adresser og tilknyttede tidsstempler samt faktureringsoplysninger på grundlag af et påbud. I forbindelse med de fleste andre lagrede, ikkeindholdsmæssige oplysninger såsom e-mail-hoveder uden emnelinjen skal de strafferetlige håndhævende myndigheder have en retsafgørelse, som udstedes, hvis dommeren mener, at der er rimelig grund til at antage, at de udbedte oplysninger er relevante og væsentlige for en verserende strafferetlig efterforskning.

(97)

Udbydere, der modtager anmodninger i henhold til Stored Communications Act, kan frivilligt underrette en kunde eller abonnent, hvis oplysninger udbedes, medmindre den relevante strafferetlige håndhævende myndighed indhenter en sikrende kendelse, der forbyder sådan underretning (167). En sådan sikrende kendelse er en retsafgørelse, der pålægger en udbyder af elektroniske kommunikationstjenester eller fjerndatabehandlingstjenester, som en ransagningskendelse, et pålæg eller en retsafgørelse er rettet til, ikke at underrette andre om ransagningskendelsen, pålægget eller retsafgørelsen, så længe retten finder det hensigtsmæssigt. Der afsiges sikrende kendelser, hvis en ret finder, at der er grund til at antage, at en underretning i alvorlig grad ville skade en efterforskning eller forsinke en retssag unødigt, f.eks. fordi det ville bringe en persons liv eller fysiske sikkerhed i fare, medføre flugt for at undgå retsforfølgning, intimidering af potentielle vidner osv. Et memorandum fra vicejustitsministeren (som er bindende for alle advokater og befuldmægtigede) kræver, at anklagerne foretager en detaljeret vurdering af behovet for en sikrende kendelse og begrunder over for retten, hvordan de lovbestemte kriterier for indhentning af en sikrende kendelse er opfyldt i det konkrete tilfælde (168). Ifølge dette memorandum må anmodninger om sikrende kendelser desuden generelt ikke have til formål at forsinke underretningen i mere end et år. Hvis det under særlige omstændigheder kan være nødvendigt med sikrende kendelser med en længere varighed, kan sådanne kendelser kun indhentes efter skriftlig aftale med en tilsynsmyndighed udpeget af den amerikanske justitsminister eller den relevante assisterende justitsminister. Derudover skal en anklager, når en efterforskning nedlukkes, straks vurdere, om der er grundlag for at opretholde eventuelle udestående sikrende kendelser, og, hvis dette ikke er tilfældet, bringe den sikrende kendelse til ophør og sikre, at tjenesteudbyderen underrettes herom (169).

(98)

De strafferetlige håndhævende myndigheder kan desuden opfange trådbåren, mundtlig eller elektronisk kommunikation i realtid på grundlag af en retsafgørelse, hvor en dommer bl.a. vurderer, at der er begrundet mistanke om, at aflytningen eller den elektroniske opfangning vil tilvejebringe bevis for en føderal forbrydelse eller for opholdsstedet for en person, der er på flugt for at undgå retsforfølgning (170).

(99)

Der ydes yderligere beskyttelse gennem justitsministeriets politikker og retningslinjer, herunder justitsministerens retningslinjer for FBI's indenlandske operationer (AGG-DOM), som bl.a. kræver, at Federal Bureau of Investigation (FBI) anvender de mindst indgribende efterforskningsmetoder under hensyntagen til indvirkningen på privatlivets fred og borgerlige frihedsrettigheder (171).

(100)

Ifølge den amerikanske regerings udredninger er der det samme eller et højere beskyttelsesniveau som beskrevet ovenfor i forbindelse med retshåndhævende efterforskninger på delstatsniveau (efterforskninger omfattet af delstatslove) (172). Navnlig bekræfter forfatningsmæssige bestemmelser samt love og retspraksis på statsniveau ovennævnte beskyttelse mod urimelige ransagninger og beslaglæggelser ved at kræve udstedelse af en ransagningskendelse (173). I lighed med den beskyttelse, der ydes på forbundsplan, kan der kun udstedes ransagningskendelser, hvis der kan påvises begrundet mistanke, og det skal angives, hvor ransagningen skal foretages, og hvilken person eller ting der skal beslaglægges (174).

(101)

Hvad angår den videre anvendelse af oplysninger indsamlet af føderale strafferetlige håndhævende myndigheder indeholder forskellige love, retningslinjer og standarder specifikke garantier. Med undtagelse af de specifikke instrumenter, der finder anvendelse på FBI's aktiviteter (AGG-DOM og FBI's interne undersøgelses- og driftsvejledning (Domestic Investigations and Operations Guide)), gælder kravene i dette afsnit generelt for alle føderale myndigheders videre anvendelse af data, herunder data, der tilgås til civile eller lovgivningsmæssige formål. Dette omfatter de krav, der følger af Office of Management and Budget memos/regulations, Federal Information Security Management Modernisation Act, E-Government Act og Federal Records Act.

(102)

I overensstemmelse med den bemyndigelse, der er fastsat i Clinger-Cohen Act (P.L. 104-106, Division E) og Computer Security Act af 1987 (P.L. 100-235), udstedte Office of Management and Budget (OMB) cirkulære nr. A-130 om fastsættelse af generelle bindende retningslinjer, der finder anvendelse på alle forbundsmyndigheder (herunder retshåndhævende myndigheder), når de håndterer personligt identificerbare oplysninger (175). Cirkulæret kræver navnlig, at alle forbundsorganer »begrænser udarbejdelsen, indsamlingen, anvendelsen, behandlingen, opbevaringen, vedligeholdelsen, udbredelsen og videregivelsen af personligt identificerbare oplysninger til de oplysninger, der er godkendt ved lov, relevante og med rimelighed kan anses for nødvendige for en korrekt udførelse af de autoriserede organers opgaver« (176). Desuden skal forbundsorganer i det omfang, det med rimelighed er praktisk muligt, sikre, at personligt identificerbare oplysninger er nøjagtige, relevante, rettidige og fuldstændige og reduceret til det minimum, der er nødvendigt for en korrekt udførelse af et organs opgaver. Mere generelt skal forbundsorganer udarbejde et omfattende program til beskyttelse af privatlivets fred for at sikre, at de gældende krav om beskyttelse af privatlivets fred overholdes, udvikle og evaluere politikker til beskyttelse af privatlivets fred og håndtere risici for privatlivets fred, opretholde procedurer til at identificere, dokumentere og indberette tilfælde af manglende respekt for privatlivets fred, udvikle oplysnings- og uddannelsesprogrammer om privatlivets fred for medarbejdere og kontrahenter og indføre politikker og procedurer for at sikre, at personalet holdes ansvarligt for overholdelsen af krav og politikker til beskyttelse af privatlivets fred (177).

(103)

Derudover kræver E-Government Act (178), at alle forbundsorganer (herunder strafferetlige håndhævende myndigheder) indfører informationssikkerhedsbeskyttelse, der står i et rimeligt forhold til risikoen for og omfanget af den skade, der ville opstå som følge af uautoriseret adgang, anvendelse, videregivelse, afbrydelse, ændring eller tilintetgørelse, har en informationschef, som sikrer overholdelse af informationssikkerhedskravene og foranlediger en årlig uafhængig evaluering (f.eks. foretaget af en generalinspektør, jf. betragtning 109) af deres program og praksis med hensyn til informationssikkerhed (179). Tilsvarende kræver Federal Records Act (FRA) (180) og supplerende bestemmelser (181), at oplysninger, som forbundsorganer er i besiddelse af, er underlagt sikkerhedsforanstaltninger, der sikrer oplysningernes fysiske integritet og beskytter dem mod uautoriseret adgang.

(104)

I henhold til deres føderale lovhjemmel, herunder Federal Information Security Modernisation Act af 2014, har OMB og National Institute of Standards and Technology (NIST) udviklet standarder, som er bindende for forbundsorganer (herunder strafferetlige håndhævende myndigheder), og som yderligere fastsætter de mindstekrav til informationssikkerhed, der skal indføres, herunder adgangskontrol, oplysning og uddannelse, beredskabsplanlægning, reaktion på hændelser, værktøjer med hensyn til revision og ansvar, sikring af system- og informationsintegriteten, gennemførelse af vurderinger vedrørende privatlivets fred og sikkerhedsrisici osv. (182) Derudover skal alle forbundsorganer (herunder strafferetlige håndhævende myndigheder) i overensstemmelse med OMB's retningslinjer udarbejde og gennemføre en plan for håndtering af brud på datasikkerheden, herunder reaktion på sådanne brud og vurdering af risikoen for skade (183).

(105)

Med hensyn til opbevaring af oplysninger kræver FRA (184), at amerikanske forbundsorganer (herunder strafferetlige håndhævende myndigheder) fastsætter opbevaringsperioder for deres optegnelser (hvorefter sådanne optegnelser skal bortskaffes), som skal godkendes af National Archives and Record Administration (185). Varigheden af denne opbevaringsperiode fastsættes ud fra forskellige faktorer, såsom efterforskningstype, om beviserne stadig er relevante for efterforskningen osv. Hvad angår FBI fastsætter AGG-DOM, at FBI skal have en sådan plan for opbevaring af optegnelser og føre et system, der hurtigt kan hente status over og grundlaget for en efterforskning.

(106)

Endelig indeholder OMB-cirkulære nr. A-130 ligeledes visse krav, der skal overholdes ved videregivelse af personligt identificerbare oplysninger. Formidling og videregivelse af personligt identificerbare oplysninger skal i princippet begrænses til, hvad der er retligt tilladt, relevant og anset for rimeligt nødvendigt for en korrekt udførelse af et agenturs opgaver (186). Når amerikanske forbundsorganer udveksler personligt identificerbare oplysninger med andre statslige enheder, skal de, hvor det er relevant, opstille betingelser (herunder gennemførelse af specifikke kontroller af sikkerheden og respekten for privatlivets fred), der regulerer behandlingen af oplysninger gennem skriftlige aftaler (herunder kontrakter, aftaler om dataanvendelse, aftaler om udveksling af oplysninger og aftalememoranda) (187). For så vidt angår grundene til, at oplysninger kan udbredes, fastsætter AGG-DOM og FBI Domestic Investigations and Operations Guide (188) f.eks., at FBI kan være underlagt et retligt krav herom (f.eks. i henhold til en international aftale) eller har tilladelse til at formidle oplysninger under visse omstændigheder, f.eks. til andre amerikanske myndigheder, hvis videregivelsen er forenelig med det formål, som oplysningerne blev indsamlet til, og er relateret til deres ansvar, til kongressen, til udenlandske agenturer, hvis oplysningerne vedrører deres ansvar, og videregivelsen er i overensstemmelse med USA's interesser; videregivelsen er navnlig nødvendig for at beskytte personer eller ejendom eller beskytte mod eller forebygge en forbrydelse eller trussel mod den nationale sikkerhed, og videregivelsen er forenelig med det formål, hvortil oplysningerne blev indsamlet (189).

(107)

De føderale strafferetlige håndhævende myndigheder er underlagt forskellige organers tilsyn (190). Som forklaret i betragtning 92-99 omfatter dette i de fleste tilfælde forudgående tilsyn fra retsvæsenets side, som skal godkende individuelle indsamlingsforanstaltninger, før de kan anvendes. Desuden fører andre organer tilsyn med forskellige faser af de retshåndhævende myndigheders aktiviteter, herunder indsamling og behandling af personoplysninger. Tilsammen sikrer disse retslige og udenretslige organer, at de retshåndhævende myndigheder er underlagt uafhængigt tilsyn.

(108)

For det første findes der databeskyttelsesansvarlige (Privacy and Civil Liberties Officers) i forskellige ministerier med ansvar for strafferetlig håndhævelse (191). Selv om disse databeskyttelsesansvarliges specifikke beføjelser kan variere afhængigt af lovhjemlen, omfatter de typisk tilsynet med procedurer for at sikre, at det pågældende ministerium/organ tager tilstrækkeligt hensyn til beskyttelsen af privatlivets fred og borgerlige frihedsrettigheder, og at der er indført passende procedurer for behandling af klager fra fysiske personer, der mener, at deres privatliv eller borgerlige frihedsrettigheder er blevet krænket. Lederne af de forskellige ministerier eller organer skal sikre, at de databeskyttelsesansvarlige har materiale og ressourcer til at varetage deres mandat, har adgang til alt det materiale og personale, der er nødvendigt for at udføre deres opgaver og underrettes og høres om forslag til politiske ændringer (192). De databeskyttelsesansvarlige rapporterer regelmæssigt til den amerikanske Kongres, herunder om antallet og karakteren af de klager, som ministeriet/organet har modtaget, med en oversigt over afgørelserne i disse klagesager, de gennemførte undersøgelser og forespørgsler og resultaterne af deres aktiviteter (193).

(109)

For det andet fører en uafhængig generalinspektør (Inspector General) tilsyn med justitsministeriets, herunder FBI's, aktiviteter (194). Generalinspektører er lovmæssigt uafhængige (195) og har ansvaret for at foretage uafhængige undersøgelser, revisioner og inspektioner af ministeriets programmer og operationer. De har adgang til alle optegnelser, rapporter, revisioner, evalueringer, dokumenter, papirer, anbefalinger eller andet relevant materiale, om nødvendigt på grundlag af et pålæg, og kan indhente vidneudsagn (196). Selv om generalinspektørerne fremsætter ikkebindende anbefalinger om korrigerende foranstaltninger, offentliggøres deres rapporter, herunder om opfølgende foranstaltninger (eller mangel herpå) (197), generelt, og de fremsendes til den amerikanske Kongres, der på dette grundlag kan udøve sin tilsynsfunktion (jf. betragtning 111) (198).

(110)

For det tredje er afdelinger med ansvar for strafferetlig håndhævelse, i det omfang de udfører terrorbekæmpelsesaktiviteter, underlagt tilsyn af rådet for tilsyn med privatlivets fred og borgerlige rettigheder (Privacy and Civil Liberties Oversight Board — PCLOB), et uafhængigt agentur inden for den udøvende magt, der består af et tværpolitisk råd med fem medlemmer, der udpeges af formanden for en fast periode på seks år med senatets godkendelse (199). I henhold til PCLOB's stiftelsesdokument har rådet ansvarsområder relateret til terrorbekæmpelsespolitikker og deres gennemførelse med henblik på at beskytte privatlivets fred og borgerlige frihedsrettigheder. I forbindelse med sin revision kan rådet få adgang til alle tjenesternes relevante optegnelser, rapporter, revisioner, evalueringer, dokumenter, papirer og anbefalinger, herunder klassificerede oplysninger, gennemføre interview og indhente vidneudsagn (200). Det modtager rapporter fra databeskyttelsesansvarlige i en række føderale ministerier og organer (201), det kan udstede anbefalinger til statslige og retshåndhævende myndigheder og rapporterer regelmæssigt til forskellige kongresudvalg og præsidenten (202). Rådets rapporter, herunder dets rapporter til Kongressen, skal i videst muligt omfang gøres offentligt tilgængelige (203).

(111)

Endelig er strafferetlige håndhævelsesaktiviteter underlagt specifikke kongresudvalgs tilsyn (retsudvalgene i Repræsentanternes Hus og Senatet). Retsudvalgene fører regelmæssigt tilsyn på forskellig vis, navnlig ved høringer, undersøgelser, revisioner og rapporter (204).

(112)

Som nævnt skal de strafferetlige håndhævende myndigheder i de fleste tilfælde indhente en forudgående retskendelse for at kunne indsamle personoplysninger. Selv om dette ikke er påkrævet i forbindelse med administrative pålæg, er disse begrænset til særlige situationer, og de vil blive underlagt uafhængig domstolsprøvelse, i hvert fald når regeringen anmoder om at få håndhævet pålægget ved domstolene. Modtagere af administrative pålæg kan navnlig anfægte dem ved domstolene med den begrundelse, at de er urimelige, dvs. overdrevne, undertrykkende eller byrdefulde (205).

(113)

Enkeltpersoner kan først og fremmest indgive anmodninger eller klager til de retshåndhævende myndigheder på det strafferetlige område vedrørende behandlingen af deres personoplysninger. Dette omfatter muligheden for at anmode om adgang til og berigtigelse af personoplysninger (206). For så vidt angår aktiviteter i forbindelse med terrorbekæmpelse kan enkeltpersoner også indgive en klage til databeskyttelsesansvarlige (Privacy and Civil Liberties Officers) (eller andre embedsmænd, der beskæftiger sig med beskyttelse af privatlivets fred) hos retshåndhævende myndigheder (207).

(114)

Derudover er der i amerikansk ret fastsat en række klagemuligheder for fysiske personer, så de kan klage over offentlige myndigheder eller en offentlig ansat i tilfælde, hvor disse myndigheder behandler personoplysninger (208). Disse muligheder, der navnlig er fastsat i APA, Freedom of Information Act (FOIA) og Electronic Communications Privacy Act (ECPA), er tilgængelige for alle fysiske personer uanset nationalitet under iagttagelse af gældende betingelser.

(115)

I bestemmelserne om adgang til retslig prøvelse i APA (209) slås det fast, at »enhver person, mod hvem der er begået juridisk uret på grund af et agenturs foranstaltninger, eller som er blevet krænket eller forurettet herved«, kan begære retslig prøvelse (210). Det omfatter muligheden for at anmode domstolen om at »erklære agenturets foranstaltninger, konstateringer og konklusioner for ulovlige og annullere dem, hvis de er vilkårlige, ustadige eller udtryk for magtmisbrug eller på anden vis ikke er i overensstemmelse med loven« (211).

(116)

Mere specifikt fastsættes der i Title II i ECPA (212) en række lovbestemte rettigheder med hensyn til privatlivets fred, der regulerer retshåndhævende myndigheders adgang til indholdet af trådbåren, mundtlig eller elektronisk kommunikation, der lagres af tredjepartsudbydere (213). Herved kriminaliseres den ulovlige adgang (dvs. den adgang, der ikke er godkendt af en domstol eller i øvrigt tilladt) til sådan kommunikation, og den pågældende person får mulighed for at anlægge et civilt søgsmål ved en amerikansk forbundsdomstol mod en embedsmand, der forsætligt har begået sådanne ulovlige handlinger, eller mod USA for at få tilkendt direkte og pønalt begrundet erstatning eller for at søge oprejsning og anerkendelse.

(117)

Derudover giver adskillige andre bestemmelser de registrerede ret til at anlægge sag mod en amerikansk offentlig myndighed eller offentlig ansat for behandling af deres personoplysninger, herunder Wiretap Act (214), Computer Fraud and Abuse Act (215), Federal Torts Claim Act (216), Right to Financial Privacy Act (217) og Fair Credit Reporting Act (218).

(118)

I henhold til FOIA (219), 5 U.S.C., § 552, har enhver person ret til at få adgang til registre fra forbundsagenturet, herunder hvis disse indeholder personens personoplysninger. Når de administrative retsmidler er udtømt, kan en person påberåbe sig en sådan ret til aktindsigt i retten, medmindre disse registre er beskyttet mod offentliggørelse ved en undtagelse eller en særlig udelukkelse fra retshåndhævelse (220). I dette tilfælde vil retten vurdere, om en undtagelse finder anvendelse eller lovligt er blevet påberåbt af den relevante offentlige myndighed.

(119)

Amerikansk ret indeholder forskellige begrænsninger og garantier med hensyn til adgangen til og brugen af personoplysninger til nationale sikkerhedsformål samt tilsyns- og klagemekanismer, der er i overensstemmelse med de krav, der er omhandlet i betragtning 89 til denne afgørelse. De betingelser, hvorunder en sådan adgang kan finde sted, og de garantier, der gælder for udøvelsen af disse beføjelser, vurderes nærmere i de følgende afsnit.

(120)

De amerikanske myndigheder kan indsamle personoplysninger, der overføres fra Unionen til organisationer under EU-USA-databeskyttelsesrammen, til nationale sikkerhedsformål på grundlag af forskellige retlige instrumenter. Denne indsamling er dog underlagt specifikke betingelser og garantier.

(121)

Når organisationer i USA har modtaget personoplysninger, kan amerikanske efterretningstjenester kun søge adgang til sådanne oplysninger af hensyn til den nationale sikkerhed i henhold til loven, nærmere bestemt i henhold til Foreign Intelligence Surveillance Act (FISA) eller lovbestemmelser, der giver adgang via nationale sikkerhedsbreve (NSL) (221). Der er en række retsgrundlag i FISA, som kan anvendes til at indsamle (og efterfølgende behandle) personoplysninger for registrerede i EU overført under EU-USA-databeskyttelsesrammen (Section 105 i FISA (222), Section 302 i FISA (223), Section 402 i FISA (224), Section 501 i FISA (225) og Section 702 i FISA (226)), som nærmere beskrevet i betragtning 142-152.

(122)

Amerikanske efterretningstjenester har endvidere mulighed for at indsamle personoplysninger uden for USA, hvilket kan omfatte personoplysninger i transit mellem Unionen og USA. Indsamlingen af personoplysninger uden for USA er baseret på præsidentielt dekret 12333 (EO 12333) (227), udstedt af præsidenten (228).

(123)

Indsamlingen af signalefterretninger er den form for indsamling af efterretninger, der er mest relevant for den foreliggende konstatering af et tilstrækkeligt beskyttelsesniveau, da den vedrører indsamling af elektronisk kommunikation og data fra informationssystemer. En sådan indsamling kan foretages af amerikanske efterretningstjenester i USA (på grundlag af FISA), og mens oplysningerne er i transit til USA (på grundlag af EO 12333).

(124)

Den 7. oktober 2022 udstedte den amerikanske præsident EO 14086 med titlen Enhancing Safeguards for United States Signals Intelligence, der fastsætter begrænsninger og garantier for alle amerikanske signalefterretningsaktiviteter. Dette præsidentielle dekret erstatter i vid udstrækning præsidentielt direktiv PPD 28 (229), styrker de betingelser, begrænsninger og garantier, der gælder for alle signalefterretningsaktiviteter (dvs. på grundlag af FISA og EO 12333), uanset hvor de finder sted (230), og indfører en ny klagemekanisme, hvorigennem disse garantier kan påberåbes og håndhæves af fysiske personer (231) (jf. betragtning 176-194 for yderligere oplysninger). Derved gennemfører det resultatet af de drøftelser, der fandt sted mellem EU og USA efter Domstolens ugyldiggørelse af Kommissionens afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedrørende privatlivsskjoldet, i amerikansk ret (jf. betragtning 6). Det er derfor et særdeles vigtigt element i den retlige ramme, der vurderes i denne afgørelse.

(125)

De begrænsninger og garantier, der blev indført ved EO 14086, supplerer de begrænsninger og garantier, der er fastsat i Section 702 i FISA og EO 12333. Efterretningstjenesterne skal anvende de krav, der er beskrevet nedenfor (i afsnit 3.2.1.2 og 3.2.1.3), når de deltager i signalefterretningsaktiviteter i henhold til Section 702 i FISA og EO 12333, f.eks. ved udvælgelse/identifikation af kategorier af udenlandske efterretningsoplysninger, der skal indhentes i henhold til Section 702 i FISA, indsamle udenlandske efterretninger eller kontraefterretninger i henhold til EO 12333 og træffe individuelle afgørelser om målretning i henhold til Section 702 i FISA og EO 12333.

(126)

Kravene i dette præsidentielle dekret er bindende for hele efterretningssamfundet. De skal gennemføres yderligere ved efterretningstjenesternes politikker og procedurer, der omsætter dem til konkrete retningslinjer for de daglige operationer. I den forbindelse giver EO 14086 de amerikanske efterretningstjenester en frist på højst et år til at ajourføre deres eksisterende politikker og procedurer (dvs. senest den 7.10.2023) og bringe dem i overensstemmelse med kravene i det præsidentielle dekret. Sådanne ajourførte politikker og procedurer skal udarbejdes i samråd med den amerikanske justitsminister, den ansvarlige for beskyttelse af borgerlige frihedsrettigheder (Civil Liberties Protection Officer) under direktøren for den nationale efterretningstjeneste (ODNI CLPO) og PCLOB — et uafhængigt tilsynsorgan, der er bemyndiget til at gennemgå den udøvende magts politikker og gennemførelsen heraf med henblik på at beskytte privatlivets fred og de borgerlige frihedsrettigheder (jf. betragtning 110 for så vidt angår PCLOB's rolle og status) — og gøres offentligt tilgængelige (232). Når de ajourførte politikker og procedurer er på plads, foretager PCLOB desuden en gennemgang for at sikre, at de er i overensstemmelse med det præsidentielle dekret. Senest 180 dage efter, at PCLOB har afsluttet denne gennemgang, skal de enkelte efterretningstjenester nøje overveje og gennemføre eller på anden måde forholde sig til alle PCLOB's anbefalinger. Den 3. juli 2023 offentliggjorde den amerikanske regering sådanne ajourførte politikker og procedurer (233).

(127)

EO 14086 fastsætter en række vidtgående krav, som gælder for alle signalefterretningsaktiviteter (indsamling, anvendelse, videregivelse osv. af personoplysninger).

(128)

For det første skal sådanne aktiviteter være hjemlet ved lov eller præsidentiel bemyndigelse og udføres i overensstemmelse med amerikansk lovgivning, herunder forfatningen (234).

(129)

For det andet skal der være indført passende garantier for at sikre, at hensynet til privatlivets fred og borgerlige frihedsrettigheder integreres i planlægningen af sådanne aktiviteter (235).

(130)

Navnlig må enhver signalefterretningsaktivitet kun udføres, »efter at det på grundlag af en rimelig vurdering af alle relevante faktorer er fastslået, at aktiviteterne er nødvendige for at fremme en valideret efterretningsprioritet« (jf. betragtning 135, hvad angår begrebet »valideret efterretningsprioritet«) (236).

(131)

Derudover kan sådanne aktiviteter kun udføres »i et omfang og på en måde, der står i et rimeligt forhold til den validerede efterretningsprioritet, som de er godkendt til« (237). Med andre ord skal der findes en passende balance »mellem betydningen af den efterretningsprioritet, der forfølges, og indvirkningen på privatlivets fred og de berørte personers borgerlige frihedsrettigheder, uanset deres nationalitet og opholdssted« (238).

(132)

For at sikre overholdelsen af disse generelle krav — som afspejler principperne om lovlighed, nødvendighed og proportionalitet — er signalefterretningsaktiviteter underlagt tilsyn (se nærmere i afsnit 3.2.2) (239).

(133)

Disse overordnede krav underbygges yderligere med hensyn til indsamling af signalefterretninger af en række betingelser og begrænsninger, der sikrer, at indgrebet i fysiske personers rettigheder begrænses til, hvad der er nødvendigt og forholdsmæssigt for at fremme et legitimt mål.

(134)

For det første begrænser det præsidentielle dekret de forhold, der kan ligge til grund for dataindsamling som led i signalefterretningsaktiviteter, på to måder. På den ene side fastlægger det præsidentielle dekret de legitime mål, der kan forfølges ved indsamling af signalefterretninger, f.eks. at forstå eller vurdere udenlandske organisationers, herunder internationale terrororganisationers, kapaciteter, hensigter eller aktiviteter, der udgør en aktuel eller potentiel trussel mod USA's nationale sikkerhed, at beskytte landet mod udenlandsk militærs kapaciteter og aktiviteter, at forstå eller vurdere tværnationale trusler, der påvirker den globale sikkerhed, såsom klimaændringer og andre miljøændringer, risici for folkesundheden og humanitære trusler (240). På den anden side opregner det præsidentielle dekret visse mål, som aldrig må forfølges med signalefterretningsaktiviteter, f.eks. at undertrykke kritik, uenighed eller fysiske personers eller pressens frie tilkendegivelse af meninger eller politiske holdninger, at forskelsbehandle mennesker på grund af etnisk oprindelse, race, køn, kønsidentitet, seksuel orientering eller religion, eller at give amerikanske virksomheder en konkurrencefordel (241).

(135)

Desuden kan efterretningstjenesterne ikke alene påberåbe sig de legitime mål, der er fastsat i EO 14086, som en begrundelse for indsamling af signalefterretninger, idet disse mål i operationelt øjemed skal omsættes til mere konkrete prioriteter, til hvilke der kan indsamles signalefterretninger. Med andre ord kan egentlig indsamling kun finde sted for at fremme en mere specifik prioritet. Sådanne prioriteter fastlægges gennem en særlig proces, der har til formål at sikre, at de gældende retlige krav overholdes, herunder dem, der vedrører privatlivets fred og borgerlige frihedsrettigheder. Efterretningsprioriteterne opstilles nærmere bestemt først af direktøren for den nationale efterretningstjeneste (gennem den såkaldte National Intelligence Priorities Framework), hvorefter de forelægges præsidenten til godkendelse (242). Inden direktøren forelægger præsidenten sådanne efterretningsprioriteter, skal direktøren i overensstemmelse med EO 14086 indhente en vurdering fra ODNI CLPO for hver prioritet med hensyn til, om den 1) fremmer et eller flere af de legitime mål i det præsidentielle dekret, 2) hverken er udformet til eller forventes at resultere i indsamling af signalefterretninger med henblik på et af de forbudte formål i det præsidentielle dekret, og 3) er fastlagt, efter at der er taget behørigt hensyn til privatlivets fred og de borgerlige frihedsrettigheder for alle personer, uanset deres nationalitet og opholdssted (243). Såfremt direktøren er uenig i CLPO's vurdering, skal begge synspunkter forelægges præsidenten (244).

(136)

Denne proces sikrer dermed navnlig, at der tages hensyn til privatlivets fred allerede i den indledende fase, hvor efterretningsprioriteterne opstilles.

(137)

For det andet gælder det, at når en efterretningsprioritet er blevet fastlagt, er der en række krav, der bestemmer, om og i hvilket omfang der kan indsamles signalefterretninger for at fremme en sådan prioritet. Disse krav operationaliserer de overordnede nødvendigheds- og proportionalitetsstandarder, der er fastsat i Section 2(a) i EO.

(138)

Navnlig må der kun indsamles signalefterretninger, »når det på grundlag af en rimelig vurdering af alle relevante faktorer er fastslået, at indsamlingen er nødvendig for at fremme en specifik efterretningsprioritet« (245). Ved afgørelsen af, om en bestemt indsamling af signalefterretninger er nødvendig for at fremme en valideret efterretningsprioritet, skal de amerikanske efterretningstjenester overveje, om andre mindre indgribende kilder og metoder, herunder diplomatiske og offentlige kilder, er tilgængelige, anvendelige og hensigtsmæssige (246). Sådanne alternative, mindre indgribende kilder og metoder skal prioriteres, når de er tilgængelige (247).

(139)

Når indsamling af signalefterretninger anses for nødvendig ved anvendelsen af disse kriterier, skal den være så »målrettet som muligt« og må »ikke i uforholdsmæssig grad påvirke privatlivets fred og de borgerlige frihedsrettigheder« (248). For at sikre, at privatlivets fred og de borgerlige frihedsrettigheder ikke påvirkes uforholdsmæssigt — dvs. for at finde en passende balance mellem nationale sikkerhedsbehov og beskyttelsen af privatlivets fred og de borgerlige frihedsrettigheder — skal der tages behørigt hensyn til alle relevante faktorer, såsom arten af det forfulgte mål, indsamlingens indgribende karakter, herunder dens varighed, indsamlingens sandsynlige bidrag til opnåelsen af det forfulgte mål, de konsekvenser for fysiske personer, der med rimelighed kan forudses, og arten og følsomheden af de oplysninger, der skal indsamles (249).

(140)

Hvad angår formen for indsamling af signalefterretninger skal indsamlingen af oplysninger i USA, som er mest relevant for den nuværende konstatering af et tilstrækkeligt beskyttelsesniveau, da den vedrører oplysninger, der er blevet overført til organisationer i USA, altid være målrettet, som forklaret nærmere i betragtning 142-153.

(141)

»Masseindsamling« (250) må kun gennemføres uden for USA på grundlag af EO 12333. Også i dette tilfælde skal målrettet indsamling prioriteres i henhold til EO 14086 (251). Omvendt er masseindsamling kun tilladt, hvis de oplysninger, der er nødvendige for at fremme en valideret efterretningsprioritet, ikke med rimelighed kan opnås gennem målrettet indsamling (252). Når det er nødvendigt at foretage masseindsamling af oplysninger uden for USA, gælder der særlige garantier i henhold til EO 14086 (253). For det første skal der anvendes metoder og tekniske foranstaltninger for at begrænse de indsamlede oplysninger til det, der er nødvendigt for at fremme en valideret efterretningsprioritet, samtidig med at indsamlingen af ikkerelevante oplysninger mindskes (254). For det andet begrænser det præsidentielle dekret anvendelsen af masseindsamlede oplysninger (herunder søgninger) til seks specifikke mål, herunder beskyttelse mod terrorisme, gidseltagning og tilbageholdelse af personer, der holdes fanget af eller på vegne af en udenlandsk regering, en udenlandsk organisation eller en udlænding, beskyttelse mod udenlandsk spionage, sabotage eller mord, beskyttelse mod trusler som følge af udvikling, besiddelse eller spredning af masseødelæggelsesvåben eller relaterede teknologier og trusler osv. (255) Endelig må enhver søgning i masseindsamlede signalefterretninger kun finde sted, når det er nødvendigt for at fremme en valideret efterretningsprioritet, med henblik på at nå disse seks mål og i overensstemmelse med politikker og procedurer, der tager behørigt hensyn til søgningernes indvirkning på privatlivets fred og de borgerlige frihedsrettigheder for alle personer, uanset deres nationalitet og opholdssted (256).

(142)

Ud over kravene i EO 14086 er signalefterretningsindsamling af oplysninger, der er blevet overført til en organisation i USA, underlagt specifikke begrænsninger og garantier i henhold til Section 702 i FISA (257). Section 702 i FISA gør det muligt at indsamle udenlandske efterretningsoplysninger ved at foretage målrettet overvågning af ikkeamerikanske personer, der med rimelighed kan formodes at befinde sig uden for USA, med påbudt bistand fra amerikanske udbydere af elektroniske kommunikationstjenester (258). Med henblik på at indsamle udenlandske efterretningsoplysninger i henhold til Section 702 i FISA indsender den amerikanske justitsminister og direktøren for den nationale efterretningstjeneste årlige certificeringer til den amerikanske domstol for overvågning af efterretningsvirksomhed i udlandet (Foreign Intelligence Surveillance Court (FISC)), som identificerer kategorier af udenlandske efterretningsoplysninger, der skal indhentes (259). Certificeringerne skal ledsages af målretnings-, minimerings- og søgningsprocedurer, som også godkendes af domstolen og er juridisk bindende for amerikanske efterretningstjenester.

(143)

FISC er en uafhængig domstol (260) oprettet ved føderal lov, hvis afgørelser kan indbringes for appeldomstolen for overvågning af efterretningsvirksomhed i udlandet (Foreign Intelligence Court of Review (FISCR)) (261) og i sidste ende for De Forenede Staters højesteret (Supreme Court of the United States) (262). FISC (og FISCR) understøttes af et fast panel bestående af fem advokater og fem tekniske eksperter i national sikkerhed og borgerlige frihedsrettigheder (263). Domstolen udnævner en person fra denne gruppe til at optræde som amicus curiae og bistå ved behandlingen af en anmodning om en kendelse eller prøvelse, der efter domstolens opfattelse udgør en ny eller væsentlig fortolkning af lovbestemmelser, medmindre domstolen finder, at en sådan udnævnelse ikke er hensigtsmæssig (264). Dette sikrer navnlig, at hensynet til privatlivets fred afspejles behørigt i domstolens vurdering. Domstolen kan ligeledes udpege en person eller en organisation til at optræde som amicus curiae, herunder til at bistå med teknisk ekspertise, når den finder det hensigtsmæssigt, eller på begæring tillade personer eller organisationer at indgive amicus curiae-indlæg (265).

(144)

FISC gennemgår certificeringerne og de dermed forbundne procedurer (navnlig målretnings- og minimeringsprocedurer) for overholdelse af kravene i FISA. Hvis domstolen mener, at kravene ikke er opfyldt, kan den helt eller delvist afvise certificeringen og anmode om, at procedurerne ændres (266). I denne forbindelse har FISC gentagne gange bekræftet, at dets gennemgang af målretnings- og minimeringsprocedurer i henhold til Section 702 ikke er begrænset til de nedskrevne procedurer, men også omfatter regeringens gennemførelse af procedurerne (267).

(145)

Individuelle afgørelser om målrettet overvågning træffes af National Security Agency (NSA, den efterretningstjeneste, der er ansvarlig for målretning i henhold til Section 702 i FISA) i overensstemmelse med FISC-godkendte målretningsprocedurer, som kræver, at NSA på grundlag af samtlige omstændigheder vurderer, at det er sandsynligt, at målretning mod en bestemt person vil udmønte sig i modtagelse af en kategori af udenlandske efterretningsoplysninger, der er identificeret i en certificering (268). Denne vurdering skal være specifik, baseret på kendsgerninger og udfærdiget på grundlag af en analytisk vurdering, analytikerens specialuddannelse og erfaring samt arten af de udenlandske efterretningsoplysninger, der skal indhentes (269). Målretningen foretages ved at fastlægge såkaldte selektorer, der identificerer specifikke kommunikationsfaciliteter, såsom målets e-mailadresse eller telefonnummer, men aldrig nøgleord eller navne på enkeltpersoner (270).

(146)

NSA-analytikere vil først identificere ikkeamerikanske personer uden for USA, hvor en overvågning ifølge analytikernes vurdering vil resultere i indsamling af relevante udenlandske efterretningsoplysninger som præciseret i certificeringen (271). Som det fremgår af NSA's målretningsprocedurer, kan NSA kun overvåge et mål, når det ved noget om målet (272). Denne viden kan følge af oplysninger fra forskellige kilder, f.eks. menneskelige efterretninger. Gennem disse andre kilder skal analytikeren også indhente viden om en specifik selektor (dvs. kommunikationskonto), der anvendes af det potentielle mål. Når disse individualiserede personer er blevet identificeret og den målrettede overvågning godkendt på grundlag af en omfattende evalueringsmekanisme i NSA (273), vil de selektorer, der identificerer de kommunikationsfaciliteter (f.eks. e-mailadresser), som anvendes af målene, derefter blive aktiveret (dvs. udviklet og anvendt) (274).

(147)

NSA skal dokumentere det faktuelle grundlag for udvælgelsen af målet (275) og med jævne mellemrum efter den første målrettede overvågning bekræfte, at målretningsstandarden fortsat er opfyldt (276). Så snart målretningsstandarden ikke længere er opfyldt, skal indsamlingen indstilles (277). NSA's udvælgelse af hvert enkelt mål og dets optegnelser over hver enkelt registreret målsætningsvurdering og -begrundelse gennemgås hver anden måned hvad angår overholdelsen af målretningsprocedurerne af embedsmænd i justitsministeriets efterretningstilsynsmyndigheder, som er forpligtet til at indberette enhver overtrædelse til FISC og Kongressen (278). NSA's skriftlige dokumentation gør det lettere for FISC at føre tilsyn med, om specifikke personer er velegnede mål i henhold til Section 702 i FISA, i overensstemmelse med de tilsynsbeføjelser, der er beskrevet i betragtning 173-174 (279). Endelig skal direktøren for den nationale efterretningstjeneste (DNI) også hvert år indberette det samlede antal mål i henhold til Section 702 i FISA i offentlige årlige statistiske rapporter om gennemsigtighed. Virksomheder, der modtager direktiver i henhold til Section 702 i FISA, kan offentliggøre aggregerede data (via gennemsigtighedsrapporter) om de anmodninger, de modtager (280).

(148)

Hvad angår de andre retsgrundlag for indsamling af personoplysninger, der overføres til organisationer i USA, gælder der forskellige begrænsninger og garantier. Generelt er masseindsamling af oplysninger og anvendelse af NSL specifikt forbudt i henhold til Section 402 i FISA (pen-register- og trap and trace-tilladelse), idet der i stedet anvendes specifikke »selektorer« (281).

(149)

For at udføre traditionel individualiseret elektronisk overvågning (i henhold til Section 105 i FISA) skal efterretningstjenesterne indgive en anmodning til FISC med en erklæring om de faktiske forhold og omstændigheder, der gøres gældende som begrundelse for den antagelse, at der er begrundet mistanke om, at faciliteten anvendes eller snart vil blive anvendt af en fremmed magt eller en agent fra en fremmed magt (282). FISC vil bl.a. vurdere, om der på grundlag af de forelagte faktiske forhold er begrundet mistanke om, at dette reelt er tilfældet (283).

(150)

For at foretage ransagning af lokaler eller ejendom, der skal føre til inspektion, beslaglæggelse m.v. af oplysninger, materiale eller ejendom (f.eks. computerudstyr) på grundlag af Section 301 i FISA, kræves der en anmodning om et pålæg fra FISC (284). En sådan anmodning skal bl.a. påvise, at der er en begrundet mistanke om, at målet for ransagningen er en fremmed magt eller en agent for en fremmed magt, at det lokale eller den ejendom, der skal ransages, indeholder udenlandske efterretningsoplysninger, og at det lokale, der skal ransages, ejes eller bruges af eller er i transit til eller fra en (agent fra en) fremmed magt eller er i dennes besiddelse (285).

(151)

Tilsvarende kræver installation af pen-register- eller trap and trace-anordninger (i henhold til Section 402 i FISA), at der indgives en anmodning til FISC (eller en amerikansk undersøgelsesdommer) om en afgørelse, og at der anvendes en specifik selektor, dvs. en term, der specifikt identificerer en person, konto osv., og som anvendes til at begrænse mængden af indhentede oplysninger i muligt og rimeligt omfang (286). Denne tilladelse vedrører ikke kommunikationens indhold, men derimod oplysninger om den kunde eller abonnent, der anvender en tjeneste (såsom navn, adresse, abonnentnummer, den modtagne tjenestes længde/type, betalingskilde/-mekanisme).

(152)

I henhold til Section 501 i FISA (287), som giver mulighed for indsamling af forretningsoplysninger fra en transportvirksomhed (dvs. enhver person eller enhed, der transporterer personer eller ejendom med bil, tog, skib eller fly mod vederlag), offentlig indkvarteringsfacilitet (f.eks. hotel, motel eller kro), biludlejningsfacilitet eller fysisk lagerfacilitet (dvs. som udbyder plads til eller tjenesteydelser i forbindelse med oplagring af varer og materialer) (288), skal der også indgives en anmodning til FISC eller en undersøgelsesdommer. Denne anmodning skal indeholde oplysninger om de ønskede optegnelser og de specifikke og præcise faktiske forhold, der giver grund til at antage, at den person, som optegnelserne vedrører, er en fremmed magt eller en agent for en fremmed magt (289).

(153)

Endelig er NSL tilladt i henhold til forskellige lovbestemmelser og giver efterforskningsorganer mulighed for at indhente visse oplysninger (bortset fra indholdet af kommunikation) fra visse enheder (f.eks. finansielle institutioner, kreditoplysningsbureauer, udbydere af elektronisk kommunikation), der er indeholdt i kreditoplysninger, finansielle oplysninger og elektroniske abonnent- og transaktionsoplysninger (290). Loven om NSL, der tillader indsigt i elektronisk kommunikation, må kun anvendes af FBI og kræver, at anmodninger anvender en term, der specifikt identificerer en person, en enhed, et telefonnummer eller en konto og attesterer, at oplysningerne er af relevans for en godkendt national sikkerhedsundersøgelse med henblik på beskyttelse mod international terrorisme eller hemmelige efterretningsaktiviteter (291). Modtagere af et NSL kan anfægte det ved domstolene (292).

(154)

Behandlingen af personoplysninger, som amerikanske efterretningstjenester indsamler gennem signalefterretninger, er underlagt en række sikkerhedsforanstaltninger.

(155)

For det første skal de enkelte efterretningstjenester sørge for passende datasikkerhed og forhindre uautoriserede personer i at få adgang til personoplysninger indsamlet gennem signalefterretninger. I denne forbindelse præciserer forskellige instrumenter, herunder lovbestemmelser, retningslinjer og standarder, de mindstekrav til informationssikkerhed, der skal indføres (f.eks. multifaktorgodkendelse, kryptering osv.) (293). Indsigt i indsamlede oplysninger skal begrænses til autoriseret, uddannet personale, der har brug for oplysningerne for at varetage deres opgaver (294). Mere generelt skal efterretningstjenesterne sørge for passende uddannelse af deres ansatte, herunder i procedurer for indberetning og håndtering af lovovertrædelser (herunder EO 14086) (295).

(156)

For det andet skal efterretningstjenesterne overholde efterretningssamfundets standarder for nøjagtighed og objektivitet, navnlig med hensyn til at sikre oplysningernes kvalitet og pålidelighed, hensyntagen til alternative informationskilder og objektivitet ved udførelsen af analyser (296).

(157)

For det tredje præciseres det i EO 14086 for så vidt angår opbevaring af data, at personoplysninger om ikkeamerikanske personer er omfattet af de samme opbevaringsperioder som dem, der gælder for oplysninger om amerikanere (297). Efterretningstjenester skal definere specifikke opbevaringsperioder og/eller de faktorer, der skal tages i betragtning ved fastsættelsen af længden af de gældende opbevaringsperioder (f.eks. om oplysningerne er bevis for en forbrydelse, om oplysningerne udgør udenlandske efterretningsoplysninger, om oplysningerne er nødvendige for at beskytte sikkerheden for personer eller organisationer, herunder ofre for eller mål for international terrorisme), som er fastsat i forskellige retlige instrumenter (298).

(158)

For det fjerde gælder der særlige regler for videregivelse af personoplysninger indsamlet gennem signalefterretninger. Som et generelt krav må personoplysninger om ikkeamerikanske personer kun videregives, hvis de omfatter samme type oplysninger som dem, der må videregives om amerikanere, f.eks. oplysninger, der er nødvendige for at beskytte en persons eller en organisations sikkerhed (f.eks. internationale terrororganisationers mål, ofre eller gidsler) (299). Derudover må personoplysninger ikke videregives alene på grund af en persons nationalitet eller opholdssted eller med det formål at omgå kravene i EO 14086 (300). Videregivelse inden for den amerikanske regering må kun finde sted, hvis en autoriseret og uddannet person har rimelig grund til at antage, at modtageren har behov for at kende oplysningerne (301) og vil beskytte dem på passende vis (302). For at afgøre, om personoplysninger kan videregives til modtagere uden for den amerikanske regering (herunder en udenlandsk regering eller international organisation), skal der tages hensyn til formålet med videregivelsen, arten og omfanget af de oplysninger, der videregives, og den potentielle skadelige indvirkning på den eller de berørte personer (303).

(159)

Endelig skal de enkelte efterretningstjenester, herunder for at lette tilsynet med overholdelsen af de gældende retlige krav og sikre effektiv klageadgang, i henhold til EO 14086 opbevare passende dokumentation om indsamlingen af signalefterretninger. Dokumentationskravene omfatter elementer såsom det faktuelle grundlag for den vurdering, hvorefter en specifik indsamlingsaktivitet er nødvendig for at fremme en valideret efterretningsprioritet (304).

(160)

Ud over ovennævnte garantier i EO 14086 for anvendelse af oplysninger indsamlet gennem signalefterretninger er alle amerikanske efterretningstjenester underlagt mere generelle krav om formålsbegrænsning, dataminimering, nøjagtighed, sikkerhed, opbevaring og formidling, navnlig i henhold til OMB-cirkulære nr. A-130, E-Government Act, Federal Records Act (se betragtning 101-106) og retningslinjer fra udvalget for nationale sikkerhedssystemer (CNSS) (305).

(161)

De amerikanske efterretningstjenesters aktiviteter er underlagt forskellige organers tilsyn.

(162)

For det første kræver EO 14086, at de enkelte efterretningstjenester har ledende juridiske samt tilsyns- og kontrolansvarlige embedsmænd, som sikrer, at gældende amerikansk lovgivning overholdes (306). De skal navnlig føre regelmæssigt tilsyn med signalefterretningsaktiviteter og sikre, at enhver manglende overholdelse afhjælpes. Efterretningstjenesterne skal give sådanne embedsmænd adgang til alle relevante oplysninger, så de kan udføre deres tilsynsfunktioner, og må ikke træffe foranstaltninger for at hindre eller påvirke deres tilsynsaktiviteter uretmæssigt (307). Endvidere skal alle væsentlige tilfælde af manglende overholdelse (308), som en tilsynsembedsmand eller en anden medarbejder konstaterer, straks indberettes til lederen af efterretningstjenesten og direktøren for den nationale efterretningstjeneste, som skal sikre, at alle nødvendige foranstaltninger træffes for at afhjælpe og forhindre en gentagelse af det væsentlige tilfælde af manglende overholdelse (309).

(163)

Denne tilsynsfunktion varetages af embedsmænd, der er udpeget til at varetage en kontrolfunktion, samt af databeskyttelsesansvarlige og generalinspektører (310).

(164)

Som det er tilfældet med de strafferetlige håndhævende myndigheder, findes der databeskyttelsesansvarlige i alle efterretningstjenester (311). Disse embedsmænds beføjelser omfatter typisk tilsynet med procedurer for at sikre, at det pågældende ministerium/organ tager tilstrækkeligt hensyn til beskyttelsen af privatlivets fred og borgerlige frihedsrettigheder, og at der er indført passende procedurer for behandling af klager fra fysiske personer, der mener, at deres privatliv eller borgerlige frihedsrettigheder er blevet krænket (og i nogle tilfælde har de selv beføjelse til at undersøge klager, f.eks. direktøren for den nationale efterretningstjeneste (ODNI) (312)). Lederne af efterretningstjenesterne skal sikre, at de databeskyttelsesansvarlige har ressourcer til at varetage deres mandat, at de får adgang til alt materiale og personale, der er nødvendigt for at udføre deres opgaver, og at de informeres og høres om foreslåede politiske ændringer (313). De databeskyttelsesansvarlige rapporterer regelmæssigt til den amerikanske Kongres og til PCLOB, herunder om antallet og karakteren af de klager, som ministeriet/organet har modtaget, med en oversigt over afgørelserne i disse klagesager, de gennemførte undersøgelser og forespørgsler og resultaterne af deres aktiviteter (314).

(165)

For det andet har hver efterretningstjeneste en uafhængig generalinspektør med ansvar for bl.a. tilsyn med udenlandske efterretningsaktiviteter. Dette omfatter inden for ODNI et generalinspektorat for efterretningssamfundet (Office of the Inspector General of the Intelligence Community), som har brede beføjelser til at føre tilsyn med hele den amerikanske efterretningstjeneste og til at undersøge klager eller oplysninger om påstande om ulovlig praksis eller magtmisbrug i forbindelse med ODNI's og/eller efterretningstjenestens programmer og aktiviteter (315). Som det er tilfældet med de strafferetlige håndhævende myndigheder (jf. betragtning 109), er sådanne generalinspektører lovmæssigt uafhængige (316) og har ansvar for revisioner og undersøgelser af de programmer og operationer, den pågældende tjeneste gennemfører til nationale efterretningsformål, herunder af misbrug og lovovertrædelser (317). De har adgang til alle optegnelser, rapporter, revisioner, evalueringer, dokumenter, papirer, anbefalinger eller andet relevant materiale, om nødvendigt på grundlag af et pålæg, og kan indhente vidneudsagn (318). Generalinspektørerne henviser sager om formodede strafferetlige overtrædelser til retsforfølgning og fremsætter anbefalinger om korrigerende foranstaltninger for tjenesternes ledere (319). Selv om deres anbefalinger ikke er bindende, offentliggøres deres rapporter, herunder om opfølgende foranstaltninger (eller mangel herpå) (320), og de fremsendes til den amerikanske Kongres, der på dette grundlag kan udøve sin tilsynsfunktion (jf. betragtning 168-169) (321).

(166)

For det tredje fører Intelligence Oversight Board (IOB), som er nedsat under President's Intelligence Advisory Board (PIAB), tilsyn med de amerikanske efterretningsmyndigheders overholdelse af forfatningen og alle gældende bestemmelser (322). PIAB er et rådgivende organ i præsidentens kabinet, der består af 16 medlemmer udpeget af præsidenten, som ikke er med i den amerikanske regering. IOB består af højst fem medlemmer, som er udpeget af præsidenten blandt PIAB's medlemmer. Ifølge EO 12333 (323) skal lederne af alle efterretningstjenester indberette enhver efterretningsaktivitet, for hvilken der er grund til at tro, at den kan være ulovlig eller i strid med et præsidentielt dekret eller direktiv, til IOB. For at sikre, at IOB har adgang til de oplysninger, der er nødvendige for, at det kan udføre sine opgaver, pålægger EO 13462 direktøren for den nationale efterretningstjeneste og lederne af efterretningstjenesterne at fremlægge alle de oplysninger og yde den bistand, som IOB finder nødvendig for at udføre sine opgaver, i det omfang det er tilladt ved lov (324). IOB skal til gengæld underrette præsidenten om efterretningsaktiviteter, som det mener kan være i strid med amerikansk ret (herunder præsidentielle dekreter), og som ikke behandles hensigtsmæssigt af justitsministeren, direktøren for den nationale efterretningstjeneste eller lederen af en efterretningstjeneste (325). Derudover skal IOB underrette justitsministeren om mulige overtrædelser af straffelovgivningen.

(167)

For det fjerde er efterretningstjenester underlagt PCLOB's tilsyn. I henhold til PCLOB's stiftelsesdokument har rådet ansvarsområder relateret til terrorbekæmpelsespolitikker og deres gennemførelse med henblik på at beskytte privatlivets fred og borgerlige frihedsrettigheder. I forbindelse med sin revision af efterretningstjenesternes handlinger kan rådet få adgang til alle tjenesternes relevante optegnelser, rapporter, revisioner, evalueringer, dokumenter, papirer og anbefalinger, herunder klassificerede oplysninger, gennemføre interview og indhente vidneudsagn (326). Det modtager rapporter fra databeskyttelsesansvarlige i en række føderale ministerier og organer (327), det kan udstede anbefalinger til statslige agenturer og efterretningstjenester og rapporterer regelmæssigt til forskellige kongresudvalg og præsidenten (328). Rådets rapporter, herunder dets rapporter til Kongressen, skal i videst muligt omfang gøres offentligt tilgængelige (329). PCLOB har udstedt flere tilsyns- og opfølgningsrapporter, herunder en analyse af de programmer, der gennemføres på grundlag af Section 702 i FISA, og beskyttelsen af privatlivets fred i denne sammenhæng, samt om gennemførelsen af PPD 28 og EO 12333 (330). PCLOB varetager endvidere specifikke tilsynsfunktioner i forbindelse med gennemførelsen af EO 14086, navnlig ved at undersøge, om organernes procedurer er i overensstemmelse med det præsidentielle dekret (jf. betragtning 126), og evaluere, om klagemekanismen fungerer korrekt (jf. betragtning 194).

(168)

For det femte fører særlige udvalg i den amerikanske Kongres (efterretnings- og retsudvalgene i Repræsentanternes Hus og Senatet), ud over tilsynsmekanismerne under den udøvende magt, tilsyn med alle amerikanske udenlandske efterretningsaktiviteter. Udvalgsmedlemmerne har både adgang til klassificerede oplysninger og til efterretningsmetoder og -programmer (331). Udvalgene udøver deres tilsynsfunktioner på forskellig vis, navnlig gennem høringer, undersøgelser, evalueringer og rapporter (332).

(169)

Kongresudvalgene modtager regelmæssige rapporter om efterretningsaktiviteter, herunder fra justitsministeren, direktøren for den nationale efterretningstjeneste, efterretningstjenesterne og andre tilsynsorganer (f.eks. generalinspektørerne), jf. betragtning 164-165. I henhold til National Security Act »sikrer præsidenten, at Kongressens efterretningsudvalg orienteres fuldt ud og løbende om amerikanske efterretningsaktiviteter, herunder om betydelige forventede efterretningsaktiviteter som krævet i dette afsnit« (333). Det er ligeledes anført, at »præsidenten sikrer, at enhver ulovlig efterretningsaktivitet og enhver gennemført eller planlagt korrigerende foranstaltning over for denne ulovlige aktivitet straks indberettes til Kongressens efterretningsudvalg« (334).

(170)

Specifikke love indeholder yderligere rapporteringskrav. I henhold til FISA skal den amerikanske justitsminister navnlig »orientere« Repræsentanternes Hus' og Senatets efterretnings- og retsudvalg »fuldt ud« om regeringens aktiviteter i henhold til bestemte paragraffer i FISA (335). Der stilles ligeledes krav om, at regeringen giver kongresudvalgene kopier af alle afgørelser, kendelser eller udtalelser fra FISC eller FISCR, som indeholder en »væsentlig forståelse eller fortolkning« af FISA-bestemmelser. Med hensyn til overvågning i henhold til Section 702 i FISA udøves det parlamentariske tilsyn gennem lovpligtige rapporter til efterretnings- og retsudvalgene og gennem hyppige briefinger og høringer. Disse omfatter en halvårlig rapport udarbejdet af den amerikanske justitsminister om anvendelsen af Section 702 i FISA med tilhørende dokumenter, herunder justitsministeriets og ODNI's overholdelsesrapporter og en redegørelse for eventuelle tilfælde af manglende overholdelse (336), og en særskilt halvårlig vurdering fra den amerikanske justitsminister og DNI, der dokumenterer overholdelsen af målretnings- og minimeringsprocedurerne (337).

(171)

I henhold til FISA skal den amerikanske regering desuden hvert år bl.a. oplyse Kongressen (og offentligheden) om det antal FISA-kendelser, der er anmodet om og udstedt, og om det skønnede antal overvågede amerikanske og ikkeamerikanske personer (338). I loven stilles der ligeledes yderligere krav om offentliggørelse af antallet af udstedte NSL'er, også her vedrørende både amerikanske og ikkeamerikanske personer (og modtagerne af FISA-kendelser og -certificeringer og NSL-anmodninger får mulighed for at udarbejde gennemsigtighedsrapporter på visse betingelser) (339).

(172)

Mere generelt bestræber det amerikanske efterretningssamfund sig på forskellig vis på at skabe gennemsigtighed omkring dets (udenlandske) efterretningsaktiviteter. I 2015 vedtog ODNI f.eks. principperne for gennemsigtighed i efterretningsoplysninger og en plan for gennemførelse af gennemsigtighed og pålagde de enkelte efterretningstjenester at udpege en ansvarlig for gennemsigtighed i efterretningsoplysninger for at fremme gennemsigtigheden og gennemføre gennemsigtighedsinitiativer (340). Som led i disse bestræbelser har efterretningssamfundet offentliggjort — og fortsætter med at offentliggøre — afklassificerede dele af politikker, procedurer, tilsynsrapporter, rapporter om aktiviteter i henhold til Section 702 i FISA og EO 12333, FISC-afgørelser og andet materiale, bl.a. på et særligt websted »IC on the Record«, der forvaltes af ODNI (341).

(173)

Endelig er indsamlingen af personoplysninger i henhold til Section 702 i FISA ud over tilsynsorganernes tilsyn, som omhandlet i betragtning 162-168, underlagt FISC's tilsyn (342). I henhold til regel 13 i FISC's procedureregler skal kontrolansvarlige i de amerikanske efterretningstjenester indberette enhver overtrædelse af målretnings-, minimerings- og søgningsprocedurer i henhold til Section 702 i FISA til justitsministeriet og ODNI, som så indberetter dem til FISC. Derudover indsender justitsministeriet og ODNI fælles halvårlige tilsynsvurderingsrapporter til FISC, i hvilke der identificeres tendenser med hensyn til overholdelsen af målretningsprocedurerne, afgives statistiske oplysninger, beskrives kategorier af tilfælde af manglende overholdelse, gives en detaljeret beskrivelse af årsagerne til, at visse tilfælde af manglende overholdelse af målretningsprocedurerne er opstået, og i hvilke de foranstaltninger, som efterretningstjenesterne har truffet for at undgå gentagelse, skitseres (343).

(174)

Domstolen kan om nødvendigt (f.eks. hvis der konstateres overtrædelser af målretningsprocedurerne) pålægge den relevante efterretningstjeneste at træffe afhjælpende foranstaltninger (344). De pågældende afhjælpende foranstaltninger kan spænde fra individuelle til strukturelle foranstaltninger, f.eks. fra ophør med indsamlingen af oplysninger og sletning af ulovligt indhentede oplysninger til en ændring i indsamlingspraksis, herunder med hensyn til vejledning og uddannelse af personale (345). Desuden tager FISC i forbindelse med sin årlige evaluering af Section 702-certificeringerne hensyn til tilfældene af manglende overholdelse for at afgøre, om de indsendte certificeringer opfylder FISA's krav. Tilsvarende kan FISC, hvis den finder, at regeringens certificeringer ikke var tilstrækkelige, bl.a. på grund af særlige tilfælde af manglende overholdelse, udstede en såkaldt »utilstrækkelighedskendelse«, der pålægger regeringen at afhjælpe overtrædelsen inden for 30 dage eller kræver, at regeringen indstiller eller undlader at påbegynde gennemførelsen af Section 702-certificeringen. Endelig vurderer FISC tendenser, som den observerer med hensyn til overholdelsesproblemer, og kan kræve ændringer af procedurer eller yderligere tilsyn og rapportering for at tage højde for overholdelsestendenser (346).

(175)

Som forklaret nærmere i dette afsnit giver amerikansk ret de registrerede i EU en række muligheder for at anlægge sag ved en uafhængig og upartisk domstol med bindende beføjelser. Tilsammen giver de registrerede mulighed for at få indsigt i deres personoplysninger, få kontrolleret lovligheden af statslige organers adgang til deres oplysninger og, hvis det konstateres, at der er sket en overtrædelse, få en sådan overtrædelse afhjulpet, herunder ved at få berigtiget eller slettet deres personoplysninger.

(176)

For det første oprettes der i henhold til EO 14086 en særlig klagemekanisme, som suppleres af justitsministerens forordning om oprettelse af Data Protection Review Court (DPRC), der skal sikre, at klager fra fysiske personer vedrørende amerikanske signalefterretningsaktiviteter behandles og løses. Enhver person i EU har ret til at indgive en klage til klagemekanismen vedrørende en påstået overtrædelse af amerikansk ret om signalefterretningsaktiviteter (f.eks. EO 14086, Section 702 i FISA, EO 12333), der er til skade for den pågældendes interesser med hensyn til privatlivets fred og borgerlige frihedsrettigheder (347). Denne klagemekanisme er tilgængelig for fysiske personer i lande eller regionale organisationer for økonomisk integration, der af den amerikanske justitsminister er udpeget som »kvalificerede stater« (348). Den 30. juni 2023 blev Den Europæiske Union og de tre lande i Den Europæiske Frihandelssammenslutning, der tilsammen udgør Det Europæiske Økonomiske Samarbejdsområde, udpeget af Attorney General i henhold til section 3 (f) EO 14086 som en »kvalificeret stat« (349). Denne udpegelse berører ikke artikel 4, stk. 2, i traktaten om Den Europæiske Union.

(177)

En registreret i Unionen, der ønsker at indgive en sådan klage, skal indgive den til en tilsynsmyndighed i en EU-medlemsstat, der har kompetence til at føre tilsyn med offentlige myndigheders behandling af personoplysninger (en databeskyttelsesmyndighed) (350). Dette sikrer let adgang til klagemekanismen, idet personer kan henvende sig til en »lokal« myndighed, som de kan kommunikere med på deres eget sprog. Når kravene til indgivelse af en klage, jf. betragtning 178, er blevet kontrolleret, vil den kompetente databeskyttelsesmyndighed via Det Europæiske Databeskyttelsesråds sekretariat kanalisere klagen videre til klagemekanismen.

(178)

Fysiske personer skal kun opfylde få krav for at kunne indgive en klage til klagemekanismen, og de behøver f.eks. ikke at påvise, at deres oplysninger faktisk har været genstand for amerikanske signalefterretningsaktiviteter (351). Samtidig skal der som et udgangspunkt for klagemekanismens behandling af klagen afgives visse grundlæggende oplysninger, f.eks. vedrørende de personoplysninger, der med rimelighed kan antages at være blevet overført til USA, og de midler, hvormed de menes at være blevet overført, identiteten af de statslige enheder i USA, der menes at være involveret i den påståede overtrædelse (hvis de er kendt), grundlaget for påstanden om, at der er sket en overtrædelse af amerikansk ret (selv om dette igen ikke kræver, at det påvises, at personoplysninger rent faktisk er blevet indsamlet af amerikanske efterretningstjenester), og arten af den ønskede afhjælpning.

(179)

Den indledende undersøgelse af klager, der er indgivet til denne klagemekanisme, foretages af ODNI CLPO, hvis eksisterende lovbestemte rolle og beføjelser er blevet udvidet til også at omfatte de specifikke foranstaltninger, der skal træffes i henhold til EO 14086 (352). Inden for efterretningssamfundet er CLPO bl.a. ansvarlig for at sikre, at beskyttelsen af borgerlige frihedsrettigheder og privatlivets fred på passende vis indarbejdes i ODNI's og efterretningstjenesternes politikker og procedurer, for at føre tilsyn med, at ODNI overholder de gældende krav vedrørende borgerlige frihedsrettigheder og privatlivets fred, og for at foretage analyser af konsekvenserne for privatlivets fred (353). ODNI CLPO kan kun afsættes af direktøren for den nationale efterretningstjeneste i tilfælde af tjenesteforseelse, embedsmisbrug, brud på sikkerheden, tjenesteforsømmelse eller uarbejdsdygtighed (354).

(180)

ODNI CLPO har i forbindelse med sin behandling adgang til oplysningerne for at kunne foretage sin vurdering og kan regne med påbudt bistand fra de databeskyttelsesansvarlige i de forskellige efterretningstjenester (355). Efterretningstjenesterne må ikke hindre eller uretmæssigt påvirke ODNI CLPO's behandling. Dette omfatter direktøren for den nationale efterretningstjeneste, som ikke må blande sig i behandlingen (356). Ved behandlingen af en klage skal ODNI CLPO »anvende loven upartisk« under hensyntagen til både de nationale sikkerhedsinteresser inden for signalefterretningsaktiviteterne og beskyttelsen af privatlivets fred (357).

(181)

Som led i behandlingen afgør ODNI CLPO, om der er sket en overtrædelse af gældende amerikansk ret, og træffer i givet fald afgørelse om en passende afhjælpning (358). Sidstnævnte henviser til foranstaltninger, der fuldt ud afhjælper en konstateret overtrædelse, såsom ophør med ulovlig indsamling af oplysninger, sletning af ulovligt indsamlede oplysninger, sletning af resultaterne af ubehørigt foretagne søgninger i ellers lovligt indsamlede oplysninger, begrænsning af adgangen til lovligt indsamlede oplysninger til behørigt uddannet personale eller tilbagekaldelse af efterretningsrapporter, som indeholder oplysninger, der er indhentet uden lovlig tilladelse, eller som er blevet ulovligt videregivet (359). ODNI CLPO's afgørelser om individuelle klager (herunder om afhjælpning) er bindende for de berørte efterretningstjenester (360).

(182)

ODNI CLPO skal kunne dokumentere sin vurdering og fremlægge en klassificeret afgørelse, der forklarer grundlaget for dens faktuelle konklusioner, beslutningen om, hvorvidt der har fundet en overtrædelse sted, og beslutningen om passende afhjælpning (361). Såfremt ODNI CLPO's behandling afslører en overtrædelse begået af en myndighed, der er underlagt FISC's tilsyn, skal CLPO desuden forelægge en klassificeret rapport for den assisterende justitsminister for national sikkerhed (Assistant Attorney General for National Security), som igen er forpligtet til at indberette den manglende overholdelse til FISC, som kan træffe yderligere håndhævelsesforanstaltninger (i overensstemmelse med den procedure, der er beskrevet i betragtning 173-174) (362).

(183)

Når behandlingen er afsluttet, underretter ODNI CLPO via den nationale myndighed klageren om, at »behandlingen enten ikke identificerede nogen overtrædelse, eller at ODNI CLPO udstedte en beslutning om passende afhjælpning« (363). Dermed beskyttes fortroligheden af aktiviteter, der gennemføres for at beskytte den nationale sikkerhed, samtidig med at de omhandlede personer får en afgørelse, der bekræfter, at deres klage er blevet behørigt behandlet og afgjort. Denne afgørelse kan i øvrigt anfægtes af den omhandlede person. Med henblik herpå vil han eller hun blive underrettet om muligheden for at få CLPO's beslutninger prøvet ved DPRC (jf. betragtning 184 ff.), og at der, hvis sagen indbringes for domstolen, vil blive udpeget en særlig advokat til at forsvare klagerens interesser (364).

(184)

Enhver klager og enhver enhed i efterretningstjenesten kan anmode om at få ODNI CLPO's afgørelse prøvet ved Data Protection Review Court. Sådanne anmodninger om prøvelse skal indgives senest 60 dage efter modtagelsen af meddelelsen fra ODNI CLPO om, at dens behandling er afsluttet, og indeholde alle de oplysninger, som den pågældende ønsker at forelægge DPRC (f.eks. argumenter om retlige spørgsmål eller lovens anvendelse på sagens faktiske omstændigheder) (365). Registrerede i Unionen kan igen indgive deres ansøgning til den kompetente databeskyttelsesmyndighed (se betragtning 177).

(185)

DPRC er en uafhængig domstol, der er oprettet af justitsministeren på grundlag af EO 14086 (366). Den består af mindst seks dommere, der udnævnes af justitsministeren i samråd med PCLOB, handelsministeren og direktøren for den nationale efterretningstjeneste for en periode på fire år, der kan forlænges (367). Justitsministerens udnævnelse af dommere sker på grundlag af de kriterier, som den udøvende magt anvender ved vurderingen af kandidater til den føderale dommerstand, idet der lægges vægt på tidligere erfaring fra retsvæsenet (368). Desuden skal dommerne være aktører inden for retsvæsenet (dvs. være aktive medlemmer, der har et godt omdømme og har behørig tilladelse til at arbejde som advokat) og have relevant erfaring med lovgivningen om privatlivets fred og national sikkerhed. Justitsministeren skal bestræbe sig på at sikre, at mindst halvdelen af dommerne til enhver tid har tidligere erfaring fra retsvæsenet, og alle dommere skal være i besiddelse af sikkerhedsgodkendelser, så de kan få adgang til klassificerede nationale sikkerhedsoplysninger (369).

(186)

Kun personer, der har de kvalifikationer, der er nævnt i betragtning 185, og som ikke er eller har været ansat under den udøvende magt på tidspunktet for deres udnævnelse eller i de foregående to år, kan udnævnes til DPRC. Tilsvarende må dommerne under deres embedsperiode i DPRC ikke have andre officielle pligter eller være ansat i andre statslige organer end DPRC (370).

(187)

Beslutningsprocessens uafhængighed sikres gennem en række garantier. Navnlig er den udøvende magt (justitsministeren og efterretningstjenesterne) afskåret fra at blande sig i eller på utilbørlig vis påvirke DPRC's arbejde (371). DPRC er selv forpligtet til at træffe upartiske afgørelser i sager (372) og fungerer i henhold til sine egne procedureregler (vedtaget med flertal). Desuden kan DPRC's dommere kun afsættes af justitsministeren og kun i tilfælde af tjenesteforseelse (dvs. embedsmisbrug, brud på sikkerheden, tjenesteforsømmelse eller uarbejdsdygtighed), efter at der er taget behørigt hensyn til de standarder, der gælder for forbundsdommere, og som er fastsat i reglerne for sager om retsvæsenets aktørers adfærd og handicap (Rules for Judicial-Conduct and Judicial-Disability Proceedings) (373).

(188)

Anmodninger indgivet til DPRC behandles af paneler bestående af tre dommere, herunder en retsformand, som skal handle i overensstemmelse med adfærdskodeksen for amerikanske dommere (Code of Conduct for United States Judges) (374). Hvert panel bistås af en særlig advokat (375), der har adgang til alle oplysninger vedrørende sagen, herunder klassificerede oplysninger (376). Den særlige advokats rolle er at sikre, at klagerens interesser er repræsenteret, og at DPRC-panelet er velinformeret om alle relevante retlige og faktiske spørgsmål (377). For yderligere at underbygge sin holdning til en anmodning om prøvelse, som en person indgiver til DPRC, kan den særlige advokat indhente oplysninger fra klageren gennem skriftlige forespørgsler (378).

(189)

DPRC gennemgår ODNI CLPO's beslutninger (både om der er sket en overtrædelse af gældende amerikansk ret og med hensyn til passende afhjælpning), hvilket som minimum sker på baggrund af optegnelserne over ODNI CLPO's undersøgelse samt alle oplysninger og indlæg fra klageren, den særlige advokat eller en efterretningstjeneste (379). Et DPRC-panel har adgang til alle de oplysninger, der er nødvendige for at foretage denne behandling, og det kan indhente disse oplysninger gennem ODNI CLPO (panelet kan f.eks. anmode CLPO om at supplere sine optegnelser med yderligere oplysninger eller faktuelle konklusioner, hvis det er nødvendigt for behandlingen) (380).

(190)

Ved behandlingens afslutning kan DPRC 1) beslutte, at der ikke er noget bevis for, at der er udført signalefterretningsaktiviteter, som involverer klagerens personoplysninger, 2) beslutte, at ODNI CLPO's beslutninger var juridisk korrekte og underbygget af væsentlige beviser, eller 3) hvis DPRC er uenig i ODNI CLPO's beslutninger (med hensyn til om der er sket en overtrædelse af gældende amerikansk ret eller med hensyn til passende afhjælpning), udstede sine egne beslutninger (381).

(191)

DPRC vedtager i alle sager en skriftlig afgørelse ved flertalsafstemning. Hvis behandlingen påviser en overtrædelse af de gældende regler, vil afgørelsen præcisere en passende afhjælpning, herunder sletning af ulovligt indsamlede oplysninger, sletning af resultaterne af ubehørigt foretagne søgninger, begrænsning af adgangen til lovligt indsamlede oplysninger til behørigt uddannet personale eller tilbagekaldelse af efterretningsrapporter, som indeholder oplysninger, der er indhentet uden lovlig tilladelse, eller som er blevet ulovligt videregivet (382). DPRC's afgørelse er bindende for så vidt angår den klage, der er indbragt for den (383). Såfremt behandlingen afslører en overtrædelse begået af en myndighed, der er underlagt FISC's tilsyn, skal DPRC desuden forelægge en klassificeret rapport for den assisterende justitsminister for national sikkerhed, som igen er forpligtet til at indberette den manglende overholdelse til FISC, som kan træffe yderligere håndhævelsesforanstaltninger (i overensstemmelse med den procedure, der er beskrevet i betragtning 173-174) (384).

(192)

Alle DPRC-panelernes afgørelser fremsendes til ODNI CLPO (385). I sager, hvor DPRC's undersøgelse kan henføres til en anmodning fra klageren, underrettes klageren via den nationale myndighed om, at DPRC har afsluttet behandlingen, og at »behandlingen enten ikke identificerede nogen overtrædelse, eller at DPRC udstedte en beslutning om passende afhjælpning« (386). Justitsministeriets kontor for privatlivets fred og borgerlige frihedsrettigheder fører optegnelser over alle de oplysninger, som DPRC har gennemgået, og alle de trufne afgørelser, som stilles til rådighed som ikkebindende præcedens for fremtidige DPRC-paneler (387).

(193)

Handelsministeriet skal også føre optegnelser over alle de klagere, der har indgivet en klage (388). For at øge gennemsigtigheden skal handelsministeriet mindst hvert femte år kontakte de relevante efterretningstjenester for at kontrollere, om oplysninger vedrørende sager ved DPRC er blevet afklassificeret (389). Hvis det er tilfældet, vil den berørte person blive underrettet om, at disse oplysninger kan være tilgængelige i henhold til gældende ret (dvs. at vedkommende kan anmode om indsigt i oplysningerne i henhold til Freedom of Information Act, jf. betragtning 199).

(194)

Endelig vil der blive foretaget en regelmæssig og uafhængig evaluering af, om denne klagemekanisme fungerer korrekt. I henhold til EO 14086 skal PCLOB, som er et uafhængigt organ, nærmere bestemt hvert år foretage en evaluering af klagemekanismens korrekte funktion (jf. betragtning 110) (390). Som led i denne evaluering vil PCLOB bl.a. vurdere, om ODNI CLPO og DPRC har behandlet klagerne rettidigt, om de har fået fuld indsigt i de nødvendige oplysninger, om de materielle garantier i EO 14086 er blevet taget behørigt i betragtning under evalueringen, og om efterretningstjenesten fuldt ud har efterlevet ODNI CLPO's og DPRC's beslutninger. PCLOB vil forelægge en rapport om resultatet af sin evaluering for præsidenten, justitsministeren, direktøren for den nationale efterretningstjeneste, lederne af efterretningstjenesterne, ODNI CLPO og Kongressens efterretningsudvalg, som også vil blive offentliggjort i en uklassificeret udgave — og som derefter vil indgå i Kommissionens regelmæssige evaluering af, hvorvidt denne afgørelse fungerer. Justitsministeren, direktøren for den nationale efterretningstjeneste, ODNI CLPO og lederne af efterretningstjenesterne skal gennemføre eller på anden måde forholde sig til alle de anbefalinger, der fremsættes i sådanne rapporter. Desuden vil PCLOB hvert år foretage en offentlig certificering af, hvorvidt klager indgivet til klagemekanismen behandles i overensstemmelse med kravene i EO 14086.

(195)

Ud over den særlige klagemekanisme, der er oprettet i henhold til EO 14086, har alle enkeltpersoner (uanset nationalitet eller opholdssted) adgang til retsmidler ved de almindelige amerikanske domstole (391).

(196)

FISA og en tilknyttet lov giver navnlig personer mulighed for at anlægge et civilt erstatningssøgsmål mod USA, når oplysninger om dem er blevet ulovligt og forsætligt anvendt eller videregivet (392), at sagsøge amerikanske regeringsembedsmænd personligt for økonomisk erstatning (393) og at gøre indsigelse mod lovligheden af overvågning (og anmode om at få oplysningerne fjernet), hvis den amerikanske regering agter at bruge eller videregive oplysninger indhentet gennem eller udledt af elektronisk overvågning mod den pågældende i forbindelse med retslige eller administrative procedurer i USA (394). Mere generelt gælder det, at hvis regeringen agter at bruge oplysninger, der er indhentet i forbindelse med efterretningsoperationer, mod en mistænkt i en straffesag, pålægger forfatnings- og lovkrav (395) forpligtelser til at videregive visse oplysninger, således at den sagsøgte kan anfægte lovligheden af regeringens indsamling og anvendelse af bevismaterialet.

(197)

Derudover er der flere specifikke muligheder for at anlægge sag mod embedsmænd for ulovlig statslig adgang til eller brug af personoplysninger, herunder til påståede nationale sikkerhedsformål (Computer Fraud and Abuse Act (396), Electronic Communications Privacy Act (397) og Right to Financial Privacy Act (398)). Alle disse muligheder for at anlægge sag vedrører specifikke oplysninger, mål og/eller typer af adgang (f.eks. fjernadgang fra en computer via internettet) og kan anvendes i visse tilfælde (f.eks. forsætlig adfærd, handlinger, der ligger uden for udførelsen af et hverv, lidt skade).

(198)

En mere generel klagemulighed findes i APA (399), ifølge hvilken »enhver person, mod hvem der er begået juridisk uret på grund af et agenturs foranstaltninger, eller som er blevet krænket eller forurettet herved« kan begære retslig prøvelse (400). Det omfatter muligheden for at anmode domstolen om at »erklære agenturets foranstaltninger, konstateringer og konklusioner for ulovlige og annullere dem, hvis de er vilkårlige, ustadige eller udtryk for magtmisbrug eller på anden vis ikke er i overensstemmelse med loven« (401). F.eks. traf en forbundsappeldomstol i 2015 afgørelse om en APA-påstand om, at den amerikanske regerings masseindsamling af telefonmetadata ikke var tilladt i henhold til Section 501 i FISA (402).

(199)

Endelig har enhver person ud over de klagemuligheder, der er nævnt i betragtning 176-198, ifølge FOIA ret til at søge indsigt i de amerikanske forbundsorganers eksisterende optegnelser, herunder når disse indeholder personens personoplysninger (403). En sådan indsigt kan også gøre det lettere at anlægge sag ved de almindelige domstole, herunder til støtte for ens søgsmålskompetence. Agenturerne kan tilbageholde oplysninger, der er omfattet af visse anførte undtagelser, herunder adgang til klassificerede informationer om den nationale sikkerhed og informationer om retshåndhævende efterforskning (404), men klagere, som er utilfredse med svaret, kan anfægte tilbageholdelsen ved at anmode om administrativ og efterfølgende retlig prøvelse (ved forbundsdomstolene) (405).

(200)

Det følger af det ovenstående, at når amerikanske retshåndhævende myndigheder og nationale sikkerhedsmyndigheder får adgang til personoplysninger, der er omfattet af denne afgørelse, er en sådan adgang underlagt retlige rammer, der fastsætter betingelserne for adgang og sikrer, at adgangen til og den videre anvendelse af oplysningerne begrænses til det, der er nødvendigt og står i rimeligt forhold til det mål af almen interesse, der forfølges. Disse garantier kan påberåbes af personer, der har ret til effektiv klageadgang.

(201)

Kommissionen finder, at USA — gennem de principper, som det amerikanske handelsministerium har opstillet — sikrer et niveau af beskyttelse af personoplysninger, der overføres fra Unionen til certificerede organisationer i USA under EU-USA-databeskyttelsesrammen, der i det væsentlige svarer til det niveau, der er garanteret ved forordning (EU) 2016/679.

(202)

Kommissionen mener desuden, at den effektive anvendelse af principperne er garanteret ved gennemsigtighedskrav og handelsministeriets forvaltning af databeskyttelsesrammen. Derudover gør mekanismerne for tilsyn og klageadgang i amerikansk ret det muligt at identificere overtrædelser af databeskyttelsesreglerne og straffe disse i praksis, og de sikrer registrerede retsmidler med henblik på at få adgang til personoplysninger, som vedrører de pågældende, eller til at få sådanne oplysninger berigtiget eller slettet.

(203)

På baggrund af de tilgængelige oplysninger om den amerikanske retsorden, herunder oplysningerne i bilag VI og VII, mener Kommissionen endelig, at eventuelle indgreb af hensyn til offentlige interesser fra de amerikanske offentlige myndigheders side i de grundlæggende rettigheder for de personer, hvis personoplysninger overføres fra EU til USA under EU-USA-databeskyttelsesrammen, navnlig med henblik på strafferetlig håndhævelse og nationale sikkerhedsformål, vil blive begrænset til det, der er strengt nødvendigt for at nå det tilsigtede legitime mål, og at der er en effektiv retsbeskyttelse mod sådanne indgreb. I lyset af ovenstående konklusioner bør det derfor fastslås, at USA sikrer et tilstrækkeligt beskyttelsesniveau i henhold til artikel 45 i forordning (EU) 2016/679, fortolket i lyset af Den Europæiske Unions charter om grundlæggende rettigheder, for personoplysninger, der overføres fra EU til organisationer, der er certificeret i henhold til EU-USA-databeskyttelsesrammen.

(204)

Eftersom de begrænsninger, garantier og klagemekanismer, der er indført ved EO 14086, er væsentlige elementer i det amerikanske retsgrundlag, som Kommissionens vurdering er baseret på, er denne afgørelses vedtagelse navnlig baseret på, at alle amerikanske efterretningstjenester vedtager ajourførte politikker og procedurer til gennemførelse af EO 14086, og at Unionen udpeges som en kvalificeret organisation med henblik på den klagemekanisme, som har fundet sted henholdsvis den 3. juli 2023 (jf. betragtning 126) og den 30. juni 2023 (jf. betragtning 176).

(205)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at efterkomme EU-institutionernes retsakter, idet sidstnævnte formodes at være lovlige og derfor afføder retsvirkninger, indtil de trækkes tilbage, annulleres under et annullationssøgsmål eller erklæres ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.

(206)

En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. Overførsler fra en dataansvarlig eller databehandler i Unionen til certificerede organisationer i USA kan navnlig finde sted uden yderligere godkendelse.

(207)

Det bør bemærkes, at i henhold til artikel 58, stk. 5, i forordning (EU) 2016/679, og som Domstolen forklarede i Schrems-dommen (406), skal den nationale lovgivning, når en national databeskyttelsesmyndighed, herunder efter en klage, sætter spørgsmålstegn ved, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med den enkeltes grundlæggende ret til privatlivets fred og databeskyttelse, give den mulighed for at gøre disse klagepunkter gældende for en national domstol, som eventuelt kan forelægge Domstolen et præjudicielt spørgsmål (407).

(208)

Ifølge Domstolens praksis (408) og som anerkendt i artikel 45, stk. 4, i forordning (EU) 2016/679 bør Kommissionen løbende overvåge den relevante udvikling i tredjelandet efter vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for at vurdere, hvorvidt tredjelandet stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan undersøgelse skal under alle omstændigheder foretages, når Kommissionen modtager oplysninger, der rejser begrundet tvivl i denne henseende.

(209)

Kommissionen bør derfor løbende overvåge situationen i USA med hensyn til de retlige rammer og den faktiske praksis for behandling af personoplysninger som vurderet i denne afgørelse. For at fremme denne proces bør de amerikanske myndigheder straks underrette Kommissionen om væsentlige ændringer i den amerikanske retsorden, der har betydning for de retlige rammer, der er genstand for denne afgørelse, samt enhver udvikling i den praksis for behandling af personoplysninger, der vurderes i denne afgørelse, både hvad angår certificerede organisationers behandling af personoplysninger i USA og de begrænsninger og garantier, der gælder for offentlige myndigheders adgang til personoplysninger.

(210)

For at gøre det muligt for Kommissionen effektivt at udøve sin overvågningsfunktion bør medlemsstaterne desuden underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig vedrørende forespørgsler eller klager fra registrerede i Unionen vedrørende overførsel af personoplysninger fra Unionen til certificerede organisationer i USA. Kommissionen bør også underrettes om eventuelle tegn på, at de foranstaltninger, der træffes af de amerikanske offentlige myndigheder med ansvar for forebyggelse, efterforskning, afsløring og retsforfølgelse af lovovertrædelser eller for den nationale sikkerhed, herunder tilsynsorganer, ikke sikrer det nødvendige beskyttelsesniveau.

(211)

I henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 (409) bør Kommissionen efter vedtagelsen af denne afgørelse med regelmæssige mellemrum undersøge, om konstateringen af, at USA sikrer et tilstrækkeligt beskyttelsesniveau under EU-USA-databeskyttelsesrammen, stadig er faktisk og retligt begrundet. Da navnlig EO 14086 og justitsministerens forordning kræver, at der oprettes nye mekanismer og indføres nye garantier, bør denne afgørelse underkastes en første revision senest et år efter dens ikrafttræden for at kontrollere, om alle relevante elementer er blevet gennemført fuldt ud og fungerer effektivt i praksis. Efter denne første revision og afhængigt af resultatet heraf vil Kommissionen i tæt samråd med det udvalg, der er nedsat i henhold til artikel 93, stk. 1, i forordning (EU) 2016/679 og Det Europæiske Databeskyttelsesråd, træffe afgørelse om hyppigheden af fremtidige revisioner (410).

(212)

Med henblik på denne revision skal Kommissionen mødes med det amerikanske handelsministerium, FTC og det amerikanske transportministerium, i påkommende tilfælde ledsaget af repræsentanter fra andre ministerier og agenturer involveret i gennemførelsen af EU-USA-databeskyttelsesrammen, og i forbindelse med de statslige myndigheders adgang til oplysninger med repræsentanter fra justitsministeriet, ODNI (herunder CLPO), andre efterretningsenheder, DPRC og de særlige advokater. Repræsentanter fra Det Europæiske Databeskyttelsesråd bør have mulighed for at deltage i dette møde.

(213)

Revisionerne bør omfatte alle aspekter af denne afgørelses funktionsmåde i forbindelse med behandlingen af personoplysninger i USA, navnlig anvendelsen og gennemførelsen af principperne, idet der lægges særlig vægt på den beskyttelse, der ydes i tilfælde af videreoverførsel, den relevante udvikling i retspraksis, effektiviteten af udøvelsen af individuelle rettigheder, overvågningen og håndhævelsen af princippernes overholdelse samt begrænsninger og sikkerhedsforanstaltninger med hensyn til statslig adgang, navnlig gennemførelsen og anvendelsen af de garantier, der blev indført ved EO 14086, herunder gennem politikker og procedurer udviklet af efterretningsagenturer, samspillet mellem EO 14086 og Section 702 i FISA og EO 12333 og effektiviteten af tilsynsmekanismerne og klagemulighederne (herunder funktionen af den nye klagemekanisme, der blev oprettet i henhold til EO 14086). I forbindelse med sådanne revisioner vil der også blive lagt vægt på samarbejdet mellem databeskyttelsesmyndighederne og USA's kompetente myndigheder, herunder udvikling af retningslinjer og andre fortolkningsværktøjer vedrørende anvendelsen af principperne samt andre aspekter af rammens funktion.

(214)

Kommissionen bør udarbejde en offentlig rapport til Europa-Parlamentet og Rådet på grundlag af denne revision.

(215)

Hvis tilgængelige oplysninger, navnlig oplysninger fra overvågningen af denne afgørelse eller fra USA's eller medlemsstaternes myndigheder, viser, at beskyttelsesniveauet for oplysninger, der overføres i henhold til denne afgørelse, muligvis ikke længere er tilstrækkeligt, bør Kommissionen straks underrette de kompetente amerikanske myndigheder herom og anmode om, at der træffes passende foranstaltninger inden for en angivet rimelig tidsramme.

(216)

Hvis de kompetente amerikanske myndigheder efter udløbet af den angivne tidsramme ikke har truffet disse foranstaltninger eller ikke på tilfredsstillende vis dokumenterer, at denne afgørelse fortsat er baseret på et tilstrækkeligt beskyttelsesniveau, vil Kommissionen indlede proceduren i artikel 93, stk. 2, i forordning (EU) 2016/679 med henblik på helt eller delvis at suspendere eller ophæve denne afgørelse.

(217)

Alternativt vil Kommissionen indlede den pågældende procedure med henblik på at ændre afgørelsen, f.eks. ved at underkaste dataoverførsler yderligere betingelser eller ved at begrænse anvendelsesområdet for konstateringen af et tilstrækkeligt beskyttelsesniveau til dataoverførsler, for hvilke der fortsat sikres et tilstrækkeligt beskyttelsesniveau.

(218)

Kommissionen bør navnlig indlede proceduren for suspension eller ophævelse:

(219)

Kommissionen bør ligeledes overveje at indlede proceduren med henblik på ændring, suspension eller ophævelse af denne afgørelse, hvis ikke de amerikanske myndigheder forelægger de oplysninger og præciseringer, der er nødvendige for at vurdere beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til USA, eller med hensyn til overholdelsen af denne afgørelse. I den forbindelse bør Kommissionen tage hensyn til, i hvilket omfang de relevante oplysninger kan indhentes fra andre kilder.

(220)

I behørigt begrundede særligt hastende tilfælde, f.eks. hvis EO 14086 eller justitsministerens forordning ændres på en måde, der underminerer det beskyttelsesniveau, der er beskrevet i denne afgørelse, eller hvis den amerikanske justitsministers udpegelse af Unionen som en kvalificeret organisation med henblik på klagemekanismen trækkes tilbage, vil Kommissionen gøre brug af muligheden for efter proceduren i artikel 93, stk. 3, i forordning (EU) 2016/679 at vedtage gennemførelsesretsakter, der finder anvendelse straks, om suspension, ophævelse eller ændring af denne afgørelse.

(221)

Det Europæiske Databeskyttelsesråd har offentliggjort sin udtalelse (411), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(222)

Europa-Parlamentet vedtog en beslutning om tilstrækkeligheden af den beskyttelse, som EU-USA-databeskyttelsesrammen giver (412).

(223)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 93, stk. 1, i forordning (EU) 2016/679 —