GC EU: Ustrezna raven varstva v ZDA
Splošno sodišče Evropske unije izdalo sodbo v zadevi Latombe proti Komisiji, s katero je potrdilo veljavnost Data Privacy Frameworka.
Odločitev je bila sprejeta 3. 9. 2025.
Splošno sodišče Evropske unije izdalo sodbo v zadevi Latombe proti Komisiji, s katero je zavrnilo tožbo francoskega poslanca Philippa Latomba zoper Komisijski izvedbeni sklep (EU) 2023/1795. Ta sklep je pravna podlaga za t. i. EU-US Data Privacy Framework in Združenim državam Amerike priznava status tretje države z ustrezno ravnijo varstva osebnih podatkov v smislu 45. člena GDPR. Posledično omogoča prenos osebnih podatkov iz Evropske unije k ameriškim organizacijam, ki so vključene na seznam Data Privacy Framework.
Prenosi osebnih podatkov v Združene države že več kot desetletje predstavljajo eno osrednjih in najbolj spornih vprašanj evropskega prava varstva osebnih podatkov. Prav v tem kontekstu je Sodišče Evropske unije sprejelo dve temeljni sodbi, znani kot Schrems I in Schrems II, s katerima sta bila razveljavljena prejšnja mehanizma za čezatlantske prenose podatkov, najprej Safe Harbour in nato Privacy Shield.
V teh sodbah je Sodišče jasno izoblikovalo več ključnih načel. Varstvo osebnih podatkov v tretji državi ni dolžno biti identično ureditvi v Uniji, mora pa biti po vsebini bistveno enakovredno. Nacionalna zakonodaja tretje države ne sme omogočati splošnega in neselektivnega dostopa javnih organov do elektronskih komunikacij, posegi v zasebnost pa morajo temeljiti na jasnih, natančnih in sorazmernih pravilih. Posebno težo je Sodišče pripisalo tudi obstoju učinkovitega pravnega sredstva. Posameznik mora imeti realno možnost, da pred neodvisnim in nepristranskim organom uveljavlja varstvo svojih pravic. Prav pomanjkanje takšnega mehanizma je bilo ključno pri razveljavitvi Privacy Shielda, saj varuh pravic, imenovan v okviru tega sistema, ni imel zadostne institucionalne neodvisnosti niti zavezujočih pristojnosti.
Po sodbi Schrems II je Evropska komisija z ZDA začela nov krog pogajanj, katerih rezultat je bil Data Privacy Framework. Njegova pravna podlaga je Komisijski izvedbeni sklep iz julija 2023, sprejet na podlagi 45. člena GDPR. Namen tega okvira je bil odpraviti pomanjkljivosti prejšnjega sistema, zlasti na področju nadzora obveščevalnih dejavnosti in pravnega varstva posameznikov iz EU.
Zoper ta sklep je Philippe Latombe vložil neposredno tožbo in zatrjeval, da Komisija kljub novim ameriškim zavezam ni zagotovila spoštovanja zahtev iz Listine EU o temeljnih pravicah, zlasti pravic do zasebnosti, varstva osebnih podatkov in učinkovitega sodnega varstva.
Odločitev Splošnega sodišča
Posebnost sodbe Latombe je že procesna odločitev sodišča. Čeprav so bili argumenti glede pomanjkanja aktivne legitimacije tožnika očitni, se Splošno sodišče do vprašanja dopustnosti ni opredelilo. Sklicevalo se je na načelo učinkovitega izvajanja sodnega varstva in presodilo, da je v okoliščinah primera smiselno odločiti neposredno o vsebini spora. Tak pristop sicer ni brez precedensa, vendar odpira vprašanja pravne varnosti, saj ne pojasni, ali bi bil podoben zahtevek v prihodnje sploh dopusten.
V vsebinskem delu sodbe je sodišče pritrdilo Komisiji. Ugotovilo je, da ameriški pravni okvir, kot je veljal ob sprejemu sklepa, zagotavlja raven varstva, ki je bistveno enakovredna tisti v Uniji. Posebej se je osredotočilo na novi sistem pravnega varstva za posameznike iz EU, ki ga je vzpostavil ameriški izvršilni ukaz. Ta sistem temelji na dvostopenjskem mehanizmu, v katerem najprej odloča uradnik za varstvo državljanskih svoboščin, nato pa še posebno telo, imenovano Data Protection Review Court. Po presoji sodišča ima to telo dovolj jamstev neodvisnosti, njegove odločitve so zavezujoče, mehanizem pa skupaj z dodatnim institucionalnim nadzorom zagotavlja učinkovito pravno sredstvo v smislu 47. člena Listine.
Sodišče se je prav tako postavilo na stališče, da pri presoji zakonitosti sklepa ni dopustno upoštevati dejstev, ki so nastala po njegovem sprejemu. Če bi se razmere v ZDA kasneje spremenile, bi bila po mnenju sodišča dolžnost Komisije, da sklep pregleda ali razveljavi. Takšna razlaga pomeni odmik od pristopa, ki ga je v preteklosti zavzelo Sodišče EU v zadevi Schrems I, in odpira resna vprašanja glede dejanskega obsega pravice do učinkovitega sodnega varstva.
Čeprav sodba formalno potrjuje veljavnost Data Privacy Frameworka, je njen pomen omejen. Ne gre za dokončno potrditev trajne skladnosti ameriškega sistema z evropskimi standardi, temveč za presojo, vezano na konkretno procesno situacijo neposredne tožbe in na stanje ob sprejemu sklepa. Napovedana pritožba na Sodišče EU in morebitni prihodnji postopki, sproženi po poti predhodnega vprašanja, bodo pokazali, ali bo ta okvir prestal tudi strožjo in bolj vsebinsko naravnano presojo.
Sodba je dostopna tukaj.
Vir: European Law Blog
Naslovna fotografija: Pexels
