Byla T‑553/23

Philippe Latombe

prieš

Europos Komisiją

2025 m. rugsėjo 3 d. Bendrojo Teismo sprendimas

„Asmens duomenų perdavimas į Jungtines Amerikos Valstijas – Komisijos įgyvendinimo sprendimas dėl Jungtinių Amerikos Valstijų užtikrinamo tinkamo asmens duomenų apsaugos lygio – Teisė į veiksmingą teisinę gynybą – Teisė į privatų ir šeimos gyvenimą – Sprendimai, grindžiami tik automatizuotu asmens duomenų tvarkymu – Asmens duomenų tvarkymo saugumas“

  1. Ieškinys dėl panaikinimo – Priimtinumas – Ieškinio atmetimas dėl esmės, nenusprendus dėl jo priimtinumo – Sąjungos teismo diskrecija

    (SESV 263 straipsnis)

    (žr. 14, 15 punktus)

  2. Ieškinys dėl panaikinimo – Teisėtumo kontrolė – Kriterijai – Atsižvelgimas į ginčijamo akto priėmimo metu buvusias teisines ir faktines aplinkybes

    (SESV 263 straipsnis)

    (žr. 22 punktą)

  3. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriame konstatuojama, jog trečiojoje šalyje užtikrinamas tinkamas apsaugos lygis, priėmimas – Sprendimas 2023/1795 dėl tinkamo asmens duomenų apsaugos lygio užtikrinimo Jungtinėse Amerikos Valstijose – Teisės į veiksmingą teisminę gynybą pažeidimas – Teisės kreiptis į pagal įstatymą įsteigtą nepriklausomą ir nešališką teismą pažeidimas – Nebuvimas

    (ESS 2 straipsnis; Europos Sąjungos pagrindinių teisių chartijos 47 straipsnio antra pastraipa; Europos Parlamento ir Tarybos reglamento 2016/679 45 straipsnio 2 dalis)

    (žr. 24, 35–37, 39, 42, 46, 51, 53–58, 60, 62, 64, 66–82 punktus)

  4. Pagrindinės teisės – Teisė į veiksmingą teisminę gynybą – Įtvirtinimas Pagrindinių teisių chartijos 47 straipsnio antroje pastraipoje ir Europos žmogaus teisių konvencijos 6 straipsnio 1 dalyje – Vienoda reikšmė ir apimtis – Chartija užtikrinamas apsaugos lygis, nepažeidžiantis minėta konvencija suteikiamo apsaugos lygio

    (ESS 6 straipsnio 3 dalis; Europos Sąjungos pagrindinių teisių chartijos 47 straipsnio antra pastraipa ir 52 straipsnio 3 dalis)

    (žr. 27–30 punktus)

  5. Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Asmens duomenų perdavimas į trečiąsias šalis – Komisijos sprendimo, kuriame konstatuojama, jog trečiojoje šalyje užtikrinamas tinkamas apsaugos lygis, priėmimas – Sprendimas 2023/1795 dėl tinkamo asmens duomenų apsaugos lygio užtikrinimo JAV – JAV žvalgybos agentūrų atliekamas asmens duomenų, perduodamų iš Sąjungos, rinkimas be atrankos – Teisės į privatų gyvenimą ir asmens duomenų apsaugą pažeidimas – Nebuvimas – Sąlygos

    (Europos Sąjungos pagrindinių teisių chartijos 7 ir 8 straipsniai; Europos Parlamento ir Tarybos reglamento 2016/679 45 straipsnis)

    (žr. 83, 92, 98, 105–108, 113, 117, 119, 122, 123, 128, 137–146, 148, 150–153 punktus)

Santrauka

Savo sprendime Bendrojo Teismo išplėstinė kolegija atmetė Prancūzijos piliečio pareikštą ieškinį dėl Europos Komisijos sprendimo dėl tinkamumo, kuriuo nustatoma nauja transatlantinė asmens duomenų srautų tarp Europos Sąjungos ir JAV sistema ( 1 ), panaikinimo. Taip Bendrasis Teismas, tęsdamas šioje srityje suformuotą Teisingumo Teismo jurisprudenciją ( 2 ), pateikė paaiškinimų dėl Data Protection Review Court ( 3 ) (Duomenų apsaugos kontrolės teismas, Jungtinės Amerikos Valstijos; toliau – DPRC) nešališkumo ir nepriklausomumo vertinimo, taip pat dėl šios šalies žvalgybos agentūrų atliekamo asmens duomenų, perduodamų iš Sąjungos, rinkimo be atrankos teisėtumo.

Sprendimais Schrems I ir Schrems II Teisingumo Teismas panaikino du ankstesnius sprendimus dėl tinkamumo, motyvuodamas tuo, kad „saugaus uosto“ ir „privatumo skydo“ sistemomis, reglamentuojančiomis asmens duomenų perdavimą iš Sąjungos į JAV, neužtikrinamas iš esmės lygiavertis pagrindinių teisių ir laisvių apsaugos lygis, koks garantuojamas pagal Sąjungos teisę. Vėliau Komisija pradėjo derybas su JAV vyriausybe dėl galimo naujo sprendimo dėl tinkamumo, kuris atitiktų Bendrojo duomenų apsaugos reglamento ( 4 ) reikalavimus, kaip juos išaiškino Teisingumo Teismas.

2022 m. spalio 7 d. Jungtinės Amerikos Valstijos priėmė Executive Order 14086 (Prezidento dekretas Nr. 14086; toliau – E. O. 14086), sustiprinantį privatumo apsaugos priemones, reglamentuojančias JAV žvalgybos agentūrų vykdomą signalų žvalgybos veiklą. Šį dekretą papildė Attorney General Order 28 CFR Part 201 (Generalinio prokuroro nutarimas Nr. 28 CFR Part 201; toliau – AG reglamentas), kuriuo buvo iš dalies pakeistos nuostatos, reglamentuojančios DPRC įsteigimą ir veikimą.

Išnagrinėjusi šiuos reglamentavimo pokyčius, 2023 m. liepos 10 d. Komisija priėmė ginčijamą sprendimą. Gavęs ieškinį dėl panaikinimo, Bendrasis Teismas turi išnagrinėti to sprendimo teisėtumą, be kita ko, atsižvelgdamas į BDAR ir Europos Sąjungos pagrindinių teisių chartiją (toliau – Chartija).

Bendrojo Teismo vertinimas

Visų pirma Bendrasis Teismas priėmė sprendimą dėl klausimo, ar Komisija pažeidė Chartijos 47 straipsnio antrą pastraipą ir BDAR 45 straipsnio 2 dalį, nes ginčijamame sprendime konstatavo, kad DPRC suteikia „tinkamą apsaugos lygį“, kiek tai susiję su Sąjungos piliečių teise kreiptis į pagal įstatymą įsteigtą nepriklausomą ir nešališką teismą.

Šiomis aplinkybėmis jis pirmiausia atmetė priekaištą, grindžiamą tuo, kad DPRC nėra nepriklausomas ir nešališkas teismas, o yra nuo vykdomosios valdžios priklausanti institucija.

Šiuo tikslu Bendrasis Teismas atmetė, pirma, argumentą, kad DPRC nėra nepriklausomas ir nešališkas teismas, nes jo užduotis – peržiūrėti prie JAV nacionalinės žvalgybos direktoriaus biuro priskirtus Civil Liberties Protection Officer of the Director of National Intelligence (Nacionalinės žvalgybos direktoriaus pilietinių laisvių apsaugos pareigūnas, toliau – CLPO) sprendimus.

Šiuo klausimu jis pažymėjo, kad su CLPO nepriklausomumu susijusių garantijų nagrinėjimas neturi reikšmės vertinant, ar DPRC yra nepriklausomas ir nešališkas teismas. Iš tiesų DPRC buvo įsteigtas kaip nepriklausomas CLPO priežiūros organas, o E. O. 14086 buvo numatytos garantijos, kad DPRC galėtų peržiūrėti ir prireikus nepriklausomai ir nešališkai pakeisti CLPO sprendimus.

Taigi ieškovas nepagrįstai teigia, kad CLPO taikomų garantijų nepakankamumas daro poveikį DPRC nepriklausomumui ir nešališkumui.

Antra, Bendrasis Teismas atmetė argumentą, kad DPRC nėra nepriklausomas ir nešališkas teismas, nes jį sudaro teisėjai, kuriuos skiria generalinis prokuroras, pasikonsultavęs su Privacy and Civil Liberties Oversight Board (Privatumo ir piliečių laisvių priežiūros valdyba, toliau – PCLOB), kuri yra nuo vykdomosios valdžios priklausanti institucija.

Visų pirma jis konstatavo, kad PCLOB (nors buvo įsteigta vykdomosios valdžios sudėtyje), atsižvelgiant į jos sudėtį, yra nepriklausoma agentūra, kurios užduotis – nešališkai prižiūrėti vykdomosios valdžios atliekamą darbą siekiant, be kita ko, apsaugoti privatumą ir piliečių laisves.

Taigi tai, kad PCLOB buvo įsteigta vykdomosios valdžios sudėtyje, savaime neleidžia daryti išvados, kad DPRC nėra nepriklausomas ir nešališkas teismas, nes prieš skiriant DPRC teisėjus buvo konsultuojamasi su PCLOB.

Toliau Bendrasis Teismas pažymėjo, kad, pirma, siekiant užtikrinti, kad DPRC teisėjai būtų nepriklausomi nuo vykdomosios valdžios, E. O. 14086 numatyta, kad juos skirdamas generalinis prokuroras turi laikytis tam tikrų kriterijų ir sąlygų.

Be to, DPRC teisėjus gali atleisti tik generalinis prokuroras ir tik dėl svarios priežasties, deramai atsižvelgdamas į federaliniams teisėjams taikomus standartus, išdėstytus Teismų elgesio ir teismų nepajėgumo procedūrų taisyklėse.

Tuo remdamasis Bendrasis Teismas padarė išvadą, kad DPRC teisėjų skyrimo ir atleidimo iš pareigų tvarka negali paneigti DPRC nepriklausomumo ir nešališkumo.

Galiausiai Bendrasis Teismas pažymėjo, kad Komisija privalo nuolat stebėti teisinio pagrindo, kuriuo grindžiamas ginčijamas sprendimas, taikymą, kad nustatytų, ar Jungtinės Amerikos Valstijos ir toliau užtikrina tinkamą apsaugos lygį. Taigi, jei ginčijamo sprendimo priėmimo metu JAV galioję teisės aktai pasikeičia, Komisija prireikus gali nuspręsti sustabdyti ginčijamo sprendimo galiojimą, jį pakeisti ar panaikinti arba apriboti jo taikymo sritį.

Trečia, Bendrasis Teismas atmetė argumentą, kad DPRC nėra nepriklausomas ir nešališkas teismas, nes AG reglamente neatmetama galimybė, kad DPRC teisėjams vykdomoji valdžia gali taikyti kitokią nei kasdienę priežiūrą.

Šiuo klausimu Bendrasis Teismas pažymėjo, kad nors iš bylos medžiagos matyti, jog DPRC teisėjams neturi būti taikoma kasdienė generalinio prokuroro priežiūra, ginčijamame sprendime taip pat nurodyta, kad pagal E. O. 14086 žvalgybos agentūros ir generalinis prokuroras neturi nepagrįstai trukdyti DPRC darbui arba daryti jam įtakos. Be to, iš bylos medžiagos matyti, kad šiuo prezidento dekretu ir AG reglamentu ribojama vykdomosios valdžios galimybė daryti įtaką DPRC darbui, nes nustatyta, kad teisėjus gali atleisti tik generalinis prokuroras ir tik dėl svarios priežasties.

Bendrasis Teismas taip pat atmetė priekaištą, grindžiamą tuo, kad DPRC nebuvo iš anksto įsteigtas pagal įstatymą, nes buvo įsteigtas ne JAV Kongreso priimtu įstatymu, o vykdomosios valdžios aktu, t. y. generalinio prokuroro sprendimu.

Bendrasis Teismas visų pirma priminė, kad siekiant įvertinti, ar įvykdyti iš Chartijos 47 straipsnio antros pastraipos kylantys reikalavimai, reikia įvertinti ne tik teisės akto, kuriuo įsteigiamas teismas ir nustatomos jo veiklos taisyklės, formalų pobūdį, bet ir tai, ar šiame teisės akte numatytos pakankamos garantijos, kuriomis siekiama užtikrinti jo nepriklausomumą ir nešališkumą kitų valdžios institucijų, visų pirma vykdomosios valdžios, atžvilgiu.

Be to, Bendrasis Teismas pažymėjo, kad, kaip Teisingumo Teismas konstatavo sprendimuose Schrems I ir Schrems II, priimdama sprendimą dėl tinkamumo Komisija neprivalo įsitikinti, kad atitinkamos trečiosios šalies nuostatos yra identiškos Sąjungoje galiojančioms nuostatoms, pakanka, kad jos būtų lygiavertės Sąjungos teisės nuostatoms, numatytoms pagal BDAR, siejamą su Chartija. Darytina išvada, kad nagrinėjamu atveju Bendrasis Teismas turi patikrinti ginčijamame sprendime Komisijos padarytos tinkamumo išvados, kad JAV teisės nuostatos, susijusios su DPRC įsteigimu ir veikimu, suteikia garantijas, iš esmės lygiavertes numatytoms Sąjungos teisėje, t. y. Chartijos 47 straipsnio antroje pastraipoje, pagrįstumą. Tokios garantijos visų pirma suteikiamos, kai teisės aktu, kuriuo įsteigiamas toks teismas ir nustatomos jo veiklos taisyklės, siekiama užtikrinti jo nepriklausomumą ir nešališkumą kitų valdžios institucijų, visų pirma vykdomosios valdžios, atžvilgiu, nepaisant to, kad minėtas aktas formaliai nėra įstatymas.

Nagrinėjamu atveju iš ginčijamo sprendimo matyti, kad DPRC buvo įsteigtas ne įstatymų leidžiamosios valdžios, t. y. JAV Kongreso, priimtu įstatymu, o vykdomosios valdžios aktu.

Šiomis aplinkybėmis Bendrasis Teismas patikrino, ar E. O. 14086 ir AG reglamente numatytos iš esmės lygiavertės Sąjungos teisei garantijos, kuriomis siekiama užtikrinti DPRC nepriklausomumą ir nešališkumą.

Išnagrinėjęs, be kita ko, DPRC, kaip įgaliojimus priimti sprendimus turinčios nepriklausomos įstaigos, įsteigimo tvarką, jo teisėjų skyrimo ir atleidimo iš pareigų tvarką, taip pat su jų užduočių vykdymu susijusias procedūrines garantijas, Bendrasis Teismas konstatavo, kad Sprendime Schrems II Teisingumo Teismo nurodyti trūkumai buvo pašalinti.

Atsižvelgdamas į visa tai, kas išdėstyta, Bendrasis Teismas atmetė visą pagrindą, grindžiamą Chartijos 47 straipsnio antros pastraipos ir BDAR 45 straipsnio 2 dalies pažeidimu.

Be to, Bendrasis Teismas priėmė sprendimą dėl klausimo, ar Komisija pažeidė Chartijos 7 ir 8 straipsnius, susijusius atitinkamai su privataus gyvenimo gerbimu ir asmens duomenų apsauga, nes nusprendė, kad Jungtinės Amerikos Valstijos užtikrina tinkamą apsaugos lygį, kiek tai susiję su šios šalies žvalgybos agentūrų atliekamu asmens duomenų rinkimu be atrankos, nepaisant to, kad E. O. 14086 šioms žvalgybos agentūroms nenustatyta pareiga prieš masiškai renkant asmens duomenis gauti išankstinį teisminės ar administracinės institucijos leidimą.

Šiomis aplinkybėmis Bendrasis Teismas, pirma, atmetė argumentą, grindžiamą tuo, kad JAV žvalgybos agentūrų vykdomam asmens duomenų rinkimui be atrankos netaikoma teisminė kontrolė ir nenustatytos pakankamai aiškios ir tikslios taisyklės.

Visų pirma Bendrasis Teismas pabrėžė, kad Sprendime Schrems II nėra nieko, kas leistų manyti, jog asmens duomenų rinkimui be atrankos būtinas išankstinis nepriklausomos institucijos leidimas. Atvirkščiai, iš to sprendimo matyti, kad turi būti atliekama bent jau a posteriori tokio sprendimo leisti rinkti duomenis teisminė kontrolė.

Šiuo atveju pagal E. O. 14086 ir AG reglamentą JAV žvalgybos agentūrų vykdomai signalų žvalgybos veiklai taikoma DPRC atliekama a posteriori teisminė kontrolė. Taigi negalima teigti, kad asmens duomenų rinkimas be atrankos, kurį žvalgybos agentūros atliko remdamosi ginčijamu sprendimu, neatitinka iš Sprendimo Schrems II kylančių reikalavimų šiuo klausimu.

Be to, Bendrasis Teismas pažymėjo, kad E. O. 14086 nustatyta, jog duomenų rinkimas be atrankos galimas tik tam, kad būtų užtikrintas patvirtintas žvalgybos prioritetas, kurio negalima pagrįstai užtikrinti taikant tikslinį duomenų rinkimą, įtvirtinti pagrindiniai reikalavimai, taikomi visai signalų žvalgybos veiklai, ir konkrečios apsaugos priemonės, taikomos asmens duomenų rinkimui be atrankos.

Šiomis aplinkybėmis Bendrasis Teismas mano, kad negalima pagrįstai teigti, jog duomenų rinkimas be atrankos nėra pakankamai aiškiai ir tiksliai apibrėžtas.

Antra, Bendrasis Teismas atmetė argumentą, kad pagal Sprendimą La Quadrature du Net ir kt. ( 5 ) tam, kad JAV žvalgybos agentūros galėtų masiškai rinkti asmens duomenis, perduodamus iš Sąjungos, turėtų būti gautas išankstinis leidimas.

Šiuo klausimu Bendrasis Teismas konstatavo, kad byloje, kurioje priimtas Sprendimas La Quadrature du Net ir kt., nagrinėtas atvejis skiriasi nuo šioje byloje nagrinėjamo atvejo, ir tuo remdamasis padarė išvadą, kad nuoroda į minėtą sprendimą nėra reikšminga.

Trečia, Bendrasis Teismas atmetė argumentą, kad pagal EŽTT sprendimą Big Brother Watch ( 6 ) JAV žvalgybos agentūros taikomam iš Sąjungos perduodamų asmens duomenų rinkimui be atrankos turėtų būti gautas išankstinis leidimas.

Konstatavęs, kad asmens duomenų rinkimas be atrankos, kaip antai tas, dėl kurio priimtas ginčijamas sprendimas, patenka į pirmąjį duomenų perėmimo etapą, kurį Europos Žmogaus Teisių Teismas nustatė Sprendime Big Brother Watch, nes juo siekiama nacionalinio saugumo užtikrinimo tikslais rinkti iš Sąjungos perduodamus daugelio asmenų asmens duomenis, Bendrasis Teismas, vertindamas ginčijamo sprendimo teisėtumą, atsižvelgė į minėtą sprendimą.

Taigi Bendrasis Teismas pažymėjo, kad Sprendime Big Brother Watch Europos Žmogaus Teisių Teismas nurodė, jog masiniam asmens duomenų perėmimui turi būti taikomos įvairios apsaugos priemonės, kaip antai: nepriklausomos institucijos leidimo gavimas, kai tik nustatomas nagrinėjamos stebėjimo operacijos dalykas ir apimtis, priežiūros sistemos ir a posteriori nepriklausomos teisminės kontrolės nustatymas, taip pat teisinių normų, leidžiančių kiekviename duomenų perėmimo etape užtikrinti taikomų priemonių būtinumą ir proporcingumą, numatymas.

Be to, Europos Žmogaus Teisių Teismas nurodė, kad poreikis numatyti garantijas didėja, kai procesas peržengia šiuos skirtingus etapus ir dėl to teisės į privataus gyvenimo gerbimą pažeidimas tampa didesnis.

Šiomis aplinkybėmis Bendrasis Teismas priminė, kad Komisija, priimdama sprendimą dėl tinkamumo, neprivalo įsitikinti, kad atitinkamos trečiosios šalies nuostatos yra identiškos Sąjungoje galiojančioms nuostatoms, pakanka, kad jos būtų iš esmės lygiavertės.

Taigi Bendrasis Teismas šiuo konkrečiu atveju mano, kad poreikis numatyti žvalgybos agentūrų diskreciją ribojančias garantijas yra ribotas, atsižvelgiant į aplinkybes, kuriomis vykdomas duomenų perėmimas. Iš tiesų šioje byloje kalbama tik apie pirminį žvalgybos agentūrų atliekamą asmens duomenų perėmimą be atrankos, o ne apie vėlesnę veiklą.

Be to, Bendrasis Teismas priminė, kad išankstinio leidimo numatymas nėra vienintelė garantija, kuri turi būti taikoma masiniam asmens duomenų perėmimui, bet yra vienas iš elementų, kurie, vertinami kartu, yra bet kokios masinio duomenų perėmimo tvarkos kertinis akmuo. Šiuo klausimu galiojančiuose JAV teisės aktuose numatytos teisės normos, kuriomis pakankamai aiškiai ir tiksliai reglamentuojamas JAV žvalgybos agentūrų vykdomas asmens duomenų rinkimas be atrankos, o duomenų subjektams, kurių duomenys perduodami, suteikiama teisė į veiksmingą teisminę teisių gynimo priemonę DPRC. Be to, ginčijamo sprendimo 162–169 konstatuojamosiose dalyse nurodyta (ieškovas to neginčija), kad žvalgybos agentūrų vykdomą žvalgybos veiklą kontroliuoja PCLOB, kuri, remiantis jos įstatais, buvo sukurta kaip nepriklausoma agentūra. Be to, minėtos veiklos priežiūrą atlieka, pirma, teisininkai ir deleguoti asmenys, kurie kiekvienoje žvalgybos agentūroje yra atsakingi už šios teisės stebėjimą ir laikymąsi, antra, kiekvienos žvalgybos agentūros nepriklausomas generalinis inspektorius, atsakingas už atitinkamos agentūros vykdomos užsienio žvalgybos veiklos kontrolę, trečia, Intelligence Oversight Board (Žvalgybos stebėjimo taryba), įsteigta President’s Intelligence Advisory Board (Prezidento žvalgybos patariamoji taryba, Jungtinės Amerikos Valstijos), privalanti prižiūrėti, kaip JAV valdžios institucijos laikosi teisės aktų, ir, ketvirta, Jungtinių Amerikos Valstijų Kongrese įsteigti specialieji komitetai, kurie prižiūri visą šios šalies užsienio žvalgybos veiklą.

Atsižvelgdamas į tai, kas išdėstyta, Bendrasis Teismas nusprendė, jog nepakanka aplinkybės, kad nenumatytas išankstinis leidimas, taikomas JAV žvalgybos agentūrų vykdomam pirminiam iš Sąjungos perduodamų asmens duomenų rinkimui be atrankos, kad būtų galima konstatuoti, jog JAV teisėje nėra numatytos garantijos, iš esmės lygiavertės numatytoms Sąjungos teisėje.

Galiausiai, ketvirta, Bendrasis Teismas nepritarė argumentui, kad JAV žvalgybos agentūrų vykdomam asmens duomenų, perduodamų iš Sąjungos, rinkimui be atrankos turėtų būti taikomas išankstinis leidimas pagal Europos duomenų apsaugos valdybos (EDAV) priimtą Nuomonę 5/2023 ( 7 ).

Šiuo klausimu Bendrasis Teismas pažymėjo, kad Nuomonė 5/2023 buvo priimta remiantis BDAR 70 straipsnio 1 dalies s punktu. Kai EDAV veikia šiuo pagrindu, ji atlieka tik konsultavimo funkciją. Taigi ši nuomonė nėra privaloma Komisijai.

Bet kuriuo atveju Bendrasis Teismas konstatavo, kad šioje nuomonėje EDAV nenurodė, jog išankstinės kontrolės, susijusios su asmens duomenų rinkimu be atrankos, neįdiegimas neišvengiamai pakenktų teigiamam Komisijos vertinimui dėl pagal ES–JAV duomenų apsaugos sistemą užtikrinamo asmens duomenų apsaugos lygio tinkamumo.

Taigi Bendrasis Teismas atmetė pagrindą, grindžiamą Chartijos 7 ir 8 straipsnių pažeidimu, ir visą ieškinį.

( 1 ) 2023 m. liepos 10 d. Komisijos įgyvendinimo sprendimas (ES) 2023/1795, priimtas pagal Europos Parlamento ir Tarybos reglamentą (ES) 2016/679, dėl tinkamo asmens duomenų apsaugos lygio pagal ES ir JAV duomenų privatumo sistemą (OL L 231, 2023, p. 118; toliau – ginčijamas sprendimas).

( 2 ) 2015 m. spalio 6 d. Sprendimas Schrems (C‑362/14, EU:C:2015:650; toliau – Sprendimas Schrems I) ir 2020 m. liepos 16 d. Sprendimas Facebook Ireland ir Schrems (C‑311/18, EU:C:2020:559; toliau – Sprendimas Schrems II).

( 3 ) Tai JAV institucija, atsakinga už asmens duomenų perdavimo iš Europos Sąjungos teisėtumo kontrolę.

( 4 ) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL L 119, 2016, p. 1, klaidų ištaisymas OL L 127, 2018, p. 2; toliau – BDAR) 45 straipsnio 2 dalis.

( 5 ) 2020 m. spalio 6 d. Sprendimas La Quadrature du Net ir kt. (C‑511/18, C‑512/18 ir C‑520/18; toliau – Sprendimas La Quadrature du Net ir kt., EU:C:2020:791).

( 6 ) 2021 m. gegužės 25 d. EŽTT sprendimas Big Brother Watch ir kiti prieš Jungtinę Karalystę (CE:ECHR:2021:0525JUD005817013, toliau – Sprendimas Big Brother Watch).

( 7 ) 2023 m. vasario 28 d. Nuomonė 5/2023 dėl Europos Komisijos įgyvendinimo sprendimo dėl tinkamos asmens duomenų apsaugos pagal ES ir JAV duomenų privatumo sistemą projekto (toliau – Nuomonė 5/2023).