EU-US Data Privacy Framework
EU-U.S. Data Privacy Framework (EU-U.S. DPF) er en aftale mellem EU og USA, der fastsætter en række databeskyttelsesretlige forpligtelser, som de organisationer, der certificerer sig under ordningen, skal overholde.
EU-U.S. DPF danner grundlaget for den tilstrækkelighedsafgørelse (EU) 2023/1795, som Kommissionen har vedtaget for USA i 2023. Tilstrækkelighedsafgørelsen danner grundlag for at overføre personoplysninger til organisationer i USA, der har certificeret sig under EU-U.S. DPF hos det amerikanske handelsministerium.
Sagen kort fortalt
Det franske Europa-Parlamentsmedlem Philippe Latombe anlagde sag mod EU-Kommissionen, hvor han blandt andet hævdede, at DPF ikke sikrede et tilstrækkeligt beskyttelsesniveau for personoplysninger. Han kritiserede især, at amerikanske efterretningstjenester fortsat kan masseindsamle EU-borgeres data uden tilstrækkelig kontrol, hvilket han mente var i strid med databeskyttelsesforordningen (GDPR) og EU’s grundlæggende rettigheder. Derudover påpegede han, at databeskyttelsesappelinstansen, Data Protection Review Court (DPRC), manglede reel uafhængighed og ikke tilbød tilstrækkelige retsmidler.
Rettens afgørelse
EU-Domstolen (Retten) afviste den 3. september anmodningen om at ophæve EU-US Privacy Framework (DPF).
Retten fastslår, at USA på tidspunktet for Kommissionens tilstrækkelighedsafgørelse den 10. juli 2023 sikrede et tilstrækkeligt beskyttelsesniveau for de personoplysninger, der overføres fra EU til visse amerikanske organisationer.
Hvad angår DPRC, fastslår Retten bl.a., at det tydeligt fremgår af sagens dokumenter, at udnævnelsen af dommere til DPRC og dens funktioner er ledsaget af safeguard-foranstaltninger, som skal sikre dommernes uafhængighed. Dommere kan kun afskediges af Attorney General og kun af saglige grunde.
Derudover understreger Retten også, at den omfattende dataindsamling, som amerikanske efterretningstjenester foretager, ikke anses at være i strid med kravene i Schrems II-dommen.