(C/2023/348)Język postępowania: francuski
(Dz.U.UE C z dnia 30 października 2023 r.)
Strony
Strona skarżąca: Philippe Latombe (Nantes, Francja) (przedstawiciele: N. Coutrelis i J.-B. Soufron, adwokaci)
Strona pozwana: Komisja Europejska
Żądania
Strony wnosi do Sądu o:
- stwierdzenie nieważności art. 1 i 2 decyzji wykonawczej Komisji C(2023) 4745 final z dnia 10 lipca 2023 r., stwierdzającej zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 zapewnienie odpowiedniego stopnia ochrony danych osobowych w ramach ochrony danych UE-Stany Zjednoczone;
- obciążenie Komisji Europejskiej kosztami postępowania.
Zarzuty i główne argumenty
Na poparcie skargi skarżący podnosi pięć zarzutów.
1. Zarzut pierwszy dotyczący naruszenia rozporządzenia nr 1/1958 1 . Skarżący podnosi, że zaskarżoną decyzję notyfikowano państwom członkowskim z naruszeniem art. 4 tego rozporządzenia, który stanowi, że rozporządzenia i inne dokumenty powszechnie obowiązujące sporządza się w językach urzędowych Unii.
2. Zarzut drugi dotyczący naruszenia art. 7 i 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej "kartą") ze względu na niewystarczające gwarancje poszanowania życia prywatnego i rodzinnego w świetle masowego i "hurtowego" gromadzenia danych osobowych.
3. Zarzut trzeci dotyczący naruszenia art. 47 karty i art. 45 ust. 2 rozporządzenia 2016/679 2 ze względu na brak gwarancji prawa do skutecznego środka prawnego i do dostępu do niezawisłego sądu. Skarżący podnosi, że organ odwoławczy ustanowiony w Stanach Zjednoczonych, utworzony aktem władzy wykonawczej Stanów Zjednoczonych, a nie ustawą, nie jest niezawisłym sądem i nie zapewnia gwarancji analogicznych do gwarancji wymaganych prawem europejskim.
4. Zarzut czwarty dotyczący naruszenia art. 22 ogólnego rozporządzenia o ochronie danych ze względu na brak ram zautomatyzowanego podejmowania decyzji. Skarżący powołuje się na okoliczność, że prawo Stanów Zjednoczonych nie przewiduje żadnej ogólnej gwarancji względem zautomatyzowanego podejmowania decyzji, czego ryzyko wystąpienia nie jest zatem wyeliminowane za pomocą ustanowionej regulacji.
5. Zarzut piąty dotyczący naruszenia art. 32 w związku z art. 45 ust. 2 ogólnego rozporządzenia o ochronie danych ze względu na brak gwarancji dotyczących bezpieczeństwa przetwarzanych danych z uwagi na to, że prawo Stanów Zjednoczonych przewiduje jedynie niedookreślone środki, a nie ścisłe obowiązki w tej dziedzinie ciążące na operatorach przekazujących dane.
1 Rozporządzenie nr 1 w sprawie określenia systemu językowego Europejskiej Wspólnoty Gospodarczej (Dz.U. 1958, 17, s. 385).
2 Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowania: Dz.U. 2018, L 127, s. 2; Dz.U. 2021, L 74, s. 35).
