Soudní dvůr EU zamítl rozhodnutím ze dne 3.9.2025, T-553/23 (Latombe v Evropská komise), žalobu na určení neplatnosti nového rámce pro předávání osobních údajů mezi EU a USA (tzv. Rámce ochrany soukromí mezi EU a USA neboli EU-U.S. Data Privacy Framework), který přijala Evropská komise dne 10. července 2023. Podle Evropské komise zajišťuje EU-U.S. Data Privacy Framework v zásadě rovnocennou úroveň ochrany osobních údajů. A nyní k obdobnému závěru dospěl i Soudní dvůr EU.
Žalobce, pan Latombe, tvrdil, že odvolací soud pro ochranu údajů (Data Protection Review Court neboli DPRC) není nestranný ani nezávislý, ale naopak přímo závislý na výkonné moci. Navíc tvrdil, že praxe zpravodajských služeb USA, které hromadně shromažďují osobní údaje při jejich přenosu z EU bez předchozího povolení soudu nebo nezávislého správního orgánu, není dostatečně jasně a přesně vymezena, a je proto protiprávní.
Co je to DPRC?
EU-U.S. Data Privacy Framework obsahuje nový mechanismus nápravy v oblasti národní bezpečnosti. Fyzické osoby v členských státech EU/EHP mohou podat stížnost ve vztahu k činnostem signálového zpravodajství USA na nezákonný přístup zpravodajských služeb USA k jejich osobním údajům předávaným z EU společnostem v USA. Tento mechanismus nápravy se vztahuje na všechny osobní údaje předávané z EU/EHP do USA (tj. nejen na ty osobní údaje, které jsou předávány v rámci EU-U.S. Data Privacy Framework, ale např. i na ty které jsou předávány na základě vhodných záruk), ale vztahuje se pouze na údaje předané po 10. červenci 2023.
Stížnost je nutné podat u příslušného vnitrostátního orgánu pro ochranu osobních údajů (tedy v ČR u Úřadu pro ochranu osobních údajů). Stěžovatelé nemusí kvůli přípustnosti stížnosti dokládat, že jejich osobní údaje byly shromažďovány zpravodajskými službami USA. V případě, že je stížnost shledána úplnou, vnitrostátní orgán pro ochranu osobních údajů ji předá v zašifrovaném formátu sekretariátu EDPB. Ten ji pak v zašifrovaném formátu předá orgánům USA, které jsou příslušné k vyřízení stížnosti, konkrétně Úřadu ředitele národních zpravodajských služeb (Director of National Intelligence's Civil Liberties Protection Officer neboli CLPO).
CLPO zašle svou odpověď sekretariátu EDPB v zašifrovaném formátu, který ji poté předá, rovněž v zašifrovaném formátu, vnitrostátnímu orgánu pro ochranu osobních údajů, který stížnost původně obdržel. Tento vnitrostátní orgán pro ochranu osobních údajů následně informuje stěžovatele o odpovědi CLPO. Stěžovatelé mají možnost odvolat se proti rozhodnutí CLPO k odvolacího soudu pro ochranu údajů (DPRC) do 60 dnů od obdržení oznámení vnitrostátního orgánu pro ochranu osobních údajů o rozhodnutí CLPO. DPRC není běžným soudem zřízeným Kongresem podle článku III Ústavy USA, ale je založen na dekretu vydaném prezidentem USA. „Soudci“ DPRC jsou jmenováni na čtyřletá funkční období, která lze prodloužit, a po dobu dvou let předcházejících jejich prvnímu jmenování nesmí být zaměstnáni v rámci výkonné moci. Během doby, po kterou jsou jmenováni jako „soudci“ DPRC, nesmí mít žádné jiné oficiální povinnosti ani být zaměstnáni ve vládě USA. Všichni „soudci“ DPRC jsou držiteli bezpečnostní prověrky, aby měli přístup k utajovaným informacím, tj. aby mohli vykonávat samotnou funkci rozhodování případů národní bezpečnosti.
Odvolací řízení probíhá podobným způsobem jako řízení o původní stížnosti – vnitrostátní orgán pro ochranu osobních údajů předá odvolání v zašifrovaném formátu sekretariátu EDPB, který je následně v zašifrovaném formátu předá dále do USA.
Je DPRC nezávislý?
Soudní dvůr EU dospěl ve svém rozhodnutí k závěru, že jmenování soudců do DPRC a fungování DPRC jsou doprovázeny několika zárukami a podmínkami, které mají zajistit nezávislost jejích členů. Soudci DPRC mohou být navíc odvoláni pouze generálním prokurátorem a pouze z vážných důvodů, přičemž generální prokurátor a zpravodajské služby nesmějí bránit jejich práci ani ji nepatřičně ovlivňovat.
Podle Soudního dvora EU je irelevantní, že DPRC není soudním orgánem zřízeným podle článku III Ústavy USA. Soudní dvůr EU již v rozsudku Schrems II konstatoval, že účinnou soudní ochranu může zajistit nejen soud patřící do soudního systému, ale také jakýkoli jiný „orgán“, který osobám, jejichž osobní údaje jsou předávány do USA, poskytuje záruky, které jsou v podstatě rovnocenné zárukám požadovaným článkem 47 Listiny základních práv EU. Tento požadavek DPRC splňuje.
Sběr údajů ze strany amerických zpravodajských služeb je slučitelný se základními právy EU
Praktiky sběru údajů ze strany amerických zpravodajských služeb jsou z pohledu Soudního svora EU slučitelné se základními právy EU, a to díky systému ex post kontroly. Soudní dvůr EU zejména ve svém rozhodnutí poukázal na to, že nic v rozsudku Schrems II nenasvědčuje tomu, že by hromadné shromažďování osobních údajů americkými zpravodajskými službami muselo být nutně podřízeno předchozímu povolení vydanému nezávislým orgánem. Z předmětného rozsudku spíše vyplývá, že rozhodnutí o povolení takového shromažďování musí být přinejmenším podrobeno soudnímu přezkumu ex post. Podle práva USA podléhají činnosti v oblasti signálního zpravodajství prováděné americkými zpravodajskými službami soudnímu dohledu ex post ze strany DPRC. Soudní dvůr EU proto shledal, že nelze mít za to, že hromadné shromažďování osobních údajů americkými zpravodajskými službami nesplňuje požadavky vyplývající z rozsudku Schrems II nebo že právo USA nezajišťuje úroveň právní ochrany, která je v podstatě rovnocenná úrovni zaručené právem EU.
Pravidelný přezkum EU-U.S. Data Privacy Framework
Soudní dvůr EU rovněž ve svém rozhodnutí konstatoval, že podle napadeného rámce pro předávání osobních údajů mezi EU a USA je Evropská komise povinna průběžně sledovat uplatňování daného právního rámce. Pokud se tedy právní řád platný v USA v době přijetí napadeného rámce pro předávání osobních údajů mezi EU a USA změní, může Evropská komise v případě potřeby rozhodnout o pozastavení, změně nebo zrušení napadeného rámce pro předávání osobních údajů mezi EU a USA nebo o omezení jeho působnosti.
Podobný přezkum přitom Evropská komise provedla zhruba před rokem. Dne 9. října 2024 vydala zprávu popisující zjištění a závěry prvního přezkumu EU-U.S. Data Privacy Framework. Evropská komise přitom dospěla k závěru, že orgány USA zavedly nezbytné struktury a postupy k zajištění účinného fungování EU-U.S. Data Privacy Framework. Evropská komise ve své zprávě uvedla, že bude v následujících měsících a letech pečlivě sledovat příslušný vývoj a věnovat zvláštní pozornost:
nadcházejícím zprávám Výboru pro dohled nad ochranou soukromí a občanských svobod o provádění prezidentského dekretu č. 14086 a fungování nápravného mechanismu v oblasti signálového zpravodajství, zejména DPRC;
případným dalším změnám § 702 zákona o dohledu nad zahraniční informační službou (FISA) a
nominaci a jmenování členů Výboru pro dohled nad ochranou soukromí a občanských svobod (Privacy and Civil Liberties Oversight Board neboli PCLOB) na místa, která se uvolní.
Bližší informace o předmětné zprávě naleznete v našem článku zde.
