Gerecht EU: Data Privacy Framework biedt passend beschermingsniveau

Gerecht EU 3 september 2025, IT 4963; ECLI:EU:T:2025:831 (Philippe Latombe tegen European Commission). Het Gerecht van de Europese Unie verwerpt het beroep van de Franse Europarlementariër Philippe Latombe tegen het besluit van de Europese Commissie over het EU–VS Data Privacy Framework (DPF). Latombe voert aan dat dit nieuwe stelsel, waarmee de Commissie in juli 2023 opnieuw een “adequaat beschermingsniveau” voor doorgifte van persoonsgegevens naar de Verenigde Staten vaststelt, niet wezenlijk verschilt van de eerder door het Hof van Justitie vernietigde regelingen Safe Harbour en Privacy Shield. Volgens hem biedt het DPF onvoldoende bescherming tegen grootschalige surveillance door Amerikaanse inlichtingendiensten, is het nieuwe Amerikaanse toezichtorgaan niet onafhankelijk genoeg, en biedt het onvoldoende waarborgen op het gebied van geautomatiseerde besluitvorming, beveiliging van persoonsgegevens en risicobeoordeling in vergelijking met de Algemene verordening gegevensbescherming (AVG). Ook stelt hij dat de Commissie haar beoordelingsplicht schendt door te weinig rekening te houden met recente rechtspraak en door de verplichtingen uit het EU-Handvest en artikel 8 EVRM te negeren.

Het Gerecht oordeelt echter dat de Commissie binnen haar ruime beoordelingsmarge mag concluderen dat het DPF een wezenlijk gelijkwaardig beschermingsniveau biedt. Centraal staat de oprichting van het nieuwe Data Protection Review Court (DPRC), dat volgens het Gerecht voldoende onafhankelijk en onpartijdig is, bindende beslissingen kan nemen en niet onder politieke invloed staat. De Amerikaanse regels beperken bulkverzameling van gegevens tot situaties waarin gerichte verzameling niet mogelijk is en voorzien in wettelijke grenzen en toezicht door instanties zoals de Privacy and Civil Liberties Oversight Board (PCLOB). Ook acht het Gerecht de Amerikaanse waarborgen voor gegevensbeveiliging, risicobeheersing en automatische besluitvorming voldoende, mede gezien het stelsel van sectorale privacywetten en de verplichtingen voor gecertificeerde organisaties. Ten slotte wijst het Gerecht erop dat de Commissie regelmatig moet monitoren en het adequaatheidsbesluit kan opschorten als de VS zich niet aan de afspraken houdt. Omdat geen sprake is van schending van de rechten van betrokkenen of van de beoordelingsnormen uit het EU-recht, wijst het Gerecht het beroep af en draagt Latombe zijn eigen kosten.

106    In the present case, as indicated in paragraphs 24 to 82 above, by virtue of Executive Order 14086 and the Attorney General Order the signals intelligence activities carried out by the United States intelligence agencies, including where those agencies carry out bulk collection of personal data, are subject to ex post facto judicial oversight by the DPRC, whose decisions are final and binding and must be complied with both by the United States Government and by those agencies. Contrary to the applicant’s claims, therefore, it cannot be found that the bulk collection of personal data engaged in by the intelligence agencies on the basis of the contested decision does not satisfy the requirements flowing from the judgment in Schrems II in that respect.