Data Privacy Framework pro předávání dat do USA obstál v soudním přezkumu

Dne 3. září 2025 vydal Tribunál (obecný soud Evropské unie) zásadní rozhodnutí, které má významné důsledky pro mezinárodní přenosy osobních údajů mezi EU a USA. Zamítl žalobu francouzského poslance Philippa Latombeho na zneplatnění rozhodnutí Evropské komise o tzv. Data Privacy Frameworku (DPF), čímž fakticky potvrdil jeho platnost. Tato výhra znamená, že přenosy osobních údajů do USA na základě DPF mohou zatím nadále pokračovat, byť není vyloučeno odvolání k Soudnímu dvoru EU.

‍
O čem Tribunál rozhodoval?
‍

Rozhodnutí se dotýká klíčových témat evropské ochrany osobních údajů: rozsahu hromadného sběru dat, účinné soudní ochrany, automatizovaného rozhodování a přiměřenosti bezpečnostních opatření v USA.

‍
Přeshraniční přenosy osobních údajů z EU podléhají přísným pravidlům podle GDPR, zejména čl. 44 a násl. Jedním z nástrojů umožňujících tyto přenosy je tzv. rozhodnutí o odpovídající ochraně podle čl. 45 GDPR, kdy Evropská komise konstatuje, že právní řád třetí země zajišťuje „v podstatě rovnocennou" úroveň ochrany údajů jako EU.

‍
V roce 2022 Komise vydala takové rozhodnutí pro nový tzv. Data Privacy Framework, který měl nahradit zneplatněné režimy Safe Harbor (2015) a Privacy Shield (2020). Proti tomuto rozhodnutí podal francouzský europoslanec Latombe žalobu a žádal jeho zneplatnění.

‍
Klíčové aspekty rozhodnutí
‍

Sběr dat ze strany amerických zpravodajských služeb není „neomezený“

‍
Latombe tvrdil, že DPF nebrání „rozsáhlému" či „hromadnému" shromažďování osobních údajů, což je v rozporu s čl. 7 a 8 Listiny základních práv EU. Tribunál ale konstatoval, že americké právo neumožňuje hromadný sběr dat na území USA, preferováno je cílené shromažďování. Tam, kde dochází k širšímu sběru (např. mimo území USA), existují jasné právní rámce, omezení účelu a kontrolní mechanismy (bod 84–86 rozhodnutí). Unijní právo nevyžaduje nutně předběžné povolení nezávislého soudce pro každý sběr dat, postačí ex post soudní přezkum, který americké právo poskytuje (bod 104–105).

‍
Soudní ochrana evropských subjektů údajů
‍

Další klíčovou námitkou bylo, že DPF neposkytuje dotčeným subjektům údajů právo na účinnou obranu před nezávislým soudem (čl. 47 Listiny). Tribunál však rozhodl, že americký orgán Data Protection Review Court (DPRC) je nezávislým soudním orgánem, jehož soudci jsou jmenováni na základě přísných kritérií, mají pevně stanovené funkční období, mohou být odvoláni pouze ze zákonných důvodů a jejich rozhodnutí jsou závazná a konečná (bod 43). Námitka, že DPRC „není zřízen zákonem“, byla odmítnuta. Důležitá je záruka nezávislosti a nestrannosti, nikoli formální právní povaha jeho vzniku (bod 71).

‍
Automatizované rozhodování: Ochrana existuje i v USA

‍
Latombe dále tvrdil, že americké právo neobsahuje odpovídající rámec pro ochranu práv při automatizovaném individuálním rozhodování. Tribunál uvedl, že USA mají sektorové právní předpisy chránící před riziky automatizace např. v oblasti hodnocení úvěruschopnosti, zaměstnání, bydlení či pojištění (bod 175). Právní úprava ve třetí zemi nemusí kopírovat GDPR, postačuje funkčně rovnocenná ochrana práv dosažená jinými prostředky (bod 178).

‍
Bezpečnostní opatření v USA: Přiměřená ochrana
‍

Pro Tribunál nebyla rozhodující ani namítaná neurčitost amerických požadavků na zabezpečení údajů. Tribunál i k tomuto argumentu zopakoval, že třetí země nemusí mít identické záruky, pokud poskytuje substančně rovnocennou ochranu.

‍
Procesní otázka: Měl Latombe vůbec právo žalobu podat?

‍
Komise namítla, že pan Latombe nesplňuje podmínky aktivní legitimace dle čl. 263 Smlouvy o fungování EU. Podle judikatury Soudní dvora EU může jednotlivec napadnout rozhodnutí EU pouze tehdy, pokud se ho přímo a individuálně dotýká. Tribunál se této otázce výslovně nevyjádřil. Uvedl však, že v zájmu efektivní správy soudnictví může přistoupit rovnou k věcnému posouzení žaloby, aniž by nejprve rozhodl o její přípustnosti (body 14–15).

‍
Co rozhodnutí znamená pro praxi?

‍
Rozhodnutí Tribunálu přináší stabilitu pro podniky využívající DPF k přenosům osobních údajů do USA. Zároveň potvrzuje, že „rovnocenná ochrana" osobních údajů ve třetí zemi neznamená identickou právní úpravu, ale ochranu poskytující v praxi srovnatelnou úroveň práv a záruk. Přesto však nejde o konečnou tečku. Proti rozhodnutí je možné podat odvolání k Soudnímu dvoru EU. A jak ukázaly předchozí případy (Schrems I a II), přezkum transatlantických rámců může přinést další překvapení.

Doporučení pro správce a zpracovatele

‍
Jaké konkrétní ponaučení si z Rozsudku mají vzít správci a zpracovatelé, kteří na Data Privacy Framework v praxi spoléhají a využívají jej?

‍
- Pokračujte v používání DPF, ale zvažte záložní mechanismy (např. standardní smluvní doložky) pro případ další právní nejistoty.
- Sledujte vývoj případného odvolání poslance Latombeho k Soudními dvoru EU.
- Vnímejte DPF jako součást širší strategie souladu s GDPR, nikoli jako záruku „bezstarostného“ přenosu dat.

‍