Gå til innhold

Lov&Data

4/2025: Artikler
11/12/2025

Bedre (over)føre var? Latombe-sakens betydning for EU-US Data Privacy Framework

Av Ole Martin Moe, advokatfullmektig i Advokatfirmaet Bull og Trine Smedbold, advokatfullmektig i Advokatfirmaet Bull.

Den 3. september 2025 avsa Underretten i EU-domstolen (General Court) dom i saken T-553/23, Latombe v. Commission. Dommen bekrefter gyldigheten av EU-kommisjonens beslutning om at USA tilbyr et adekvat beskyttelsesnivå for personopplysninger som overføres fra EØS til USA under EU-USA Data Privacy Framework.

Dette innebærer at adekvansbeslutningen har bestått den første prøvingen i rettsapparatet, og at virksomheter fortsatt kan benytte den som grunnlag for overføring av personopplysninger til USA. Hva handlet dommen om, hva blir veien videre, og hvordan kan man være (over)føre var?

1. Bakgrunn

Illustrasjon: Colourbox.com

Saken ble reist av Philippe Latombe, en fransk parlamentariker, som utfordret EU-kommisjonens gjennomføringsbeslutning (EU) 2023/1795. Adekvansbeslutningen slo fast at USA gir et tilstrekkelig beskyttelsesnivå for personopplysninger som overføres under EU-USA Data Privacy Framework.

Latombe viste til tidligere avgjørelser fra EU-domstolen, som Schrems I og Schrems II, hvor de lignende adekvansbeslutningene Safe Harbor og Privacy Shield ble kjent ugyldige. Latombe hevdet blant annet at The Data Protection Review Court (“DPRC”), en sentral del av klagemekanismen som tilbys EØS-borgere i forbindelse med amerikanske etterretningsaktiviteter under EU-USA Data Privacy Framework, ikke kan anses som uavhengig.

Videre argumenterte han for at fraværet av forhåndsgodkjenning fra en domstol eller en uavhengig administrativ myndighet for amerikanske etterretningsaktiviteter knyttet til masseinnsamling av personopplysninger, ikke er forenlig med kravene for adekvansstatus.

Før vedtakelsen av adekvansbeslutningen ga EDPB sin Opinion 5/2023. Der anerkjente de det nye rammeverkets forbedringer sammenlignet med Privacy Shield, men pekte samtidig på gjenstående bekymringer – særlig knyttet til myndigheters tilgang til personopplysninger og effektiviteten av rettsmidler. Dette bakteppet illustrerer hvorfor Latombe-saken ble fulgt med så stor interesse.

2. Hovedpunkter fra dommen

I dommen avviser Underretten påstanden om at DPRC mangler uavhengighet. Retten viser til flere forhold som understøtter DPRCs uavhengige status: dommere utnevnes under omfattende garantier, kan kun avsettes av USAs justisminister på saklig grunnlag, og hverken justisministeren eller etterretningsorganisasjoner kan hindre eller påvirke DPRCs arbeid på en upassende måte. Videre understreker retten at EU-kommisjonen plikter å overvåke det amerikanske rettslige rammeverket og iverksette tiltak dersom det er nødvendig, for eksempel ved å suspendere adekvansbeslutningen.

Det er her viktig å notere seg at Underretten tar utgangspunkt i de faktiske forholdene og gjeldende lovgivning på tidspunktet da EU-kommisjonens adekvansbeslutning ble vedtatt sommeren 2023. Mye har skjedd i USA siden den gang, og særlig under Trump-administrasjonen fra januar 2025 og frem til i dag. Administrasjonen har blant annet avskjediget medlemmer av Privacy and Civil Liberties Oversight Board (PCLOB) og har ikke erstattet disse.

Pro et contra:

Pro (Underretten): institusjonelle og prosessuelle garantier sikrer DPRCs uavhengighet og upartiskhet.

  • Contra (NOYB m.fl.): DPRCs rammer skriver seg primært fra Executive Order 14086 og forskrift, ikke føderal lovgivning, og kan derfor være mer sårbare for politiske endringer.

  • Når det gjelder masseinnsamling av personopplysninger for etterretningsformål, konkluderer Underretten med at Schrems II-dommen ikke stiller krav om forhåndsgodkjenning av slike aktiviteter. Retten aksepterer et system med etterfølgende kontroll (ex post) gjennom DPRC, og vurderer at dette sikrer at USA tilbyr et beskyttelsesnivå som er vesentlig likt som i EØS.

3. Rettslig ramme og prøvingsintensitet

Retten anvender «essentially equivalent»-standarden fra Schrems II-avgjørelsen, og vurderer om den samlede beskyttelsen under amerikansk rett – sett i lys av adekvansbeslutningen – er vesentlig lik den i EØS. Innenfor rammen av personvernforordningen artikkel 45anerkjenner retten EU-kommisjonens skjønnsmargin, men kontrollerer samtidig at de rettslige garantiene faktisk foreligger og fungerer. Retten legger særlig vekt på DPRC som ex post-mekanisme, fremfor krav om generell forhåndsgodkjenning.

4. Kunne Latombe i de hele tatt reise søksmål?

Et av spørsmålene mange lurte på i forkant var om Latombe ville oppfylle kravet til rettslig interesse for EU-domstolen. Domstolen valgte overraskende å ikke behandle dette spørsmålet. I stedet uttalte den at et søksmål om annullering kan avvises basert på sakens materielle innhold uten først å ta stilling til spørsmålet om saken kan tas til behandling, dersom dette er begrunnet ut fra hensynet til en forsvarlig rettspleie.

Hvordan retten valgte å behandle saken prosessuelt har vært gjenstand for debatt i etterkant av dommen. Flere kommentatorer, deriblant Max Schrems, har påpekt at domstolen gikk rett til en vurdering av de materielle spørsmålene uten å avklare om Latombe i det hele tatt hadde prosessuell partsevne. Det er i seg selv uvanlig, men domstolen begrunnet som sagt dette med hensynet til en forsvarlig rettspleie. Dette kan bli vurdert annerledes i ankesaken.

Det er også verdt å merke seg at EU-domstolen er bundet av det faktum partene legger frem. Retten foretar ingen selvstendig faktaundersøkelse, noe som innebærer at kvaliteten på de fremlagte faktiske opplysningene kan bli avgjørende for dommens konklusjoner. I Latombe-saken ble det ikke lagt frem like omfattende og systematiske bevis som man har sett i andre personvernprosesser – for eksempel i saker anlagt av NOYB. Dersom saksgrunnlaget hadde vært bedre dokumentert, kunne rettens vurderinger ha sett annerledes ut.

Dette illustrerer at selv om Latombe-dommen opprettholder EU-USA Data Privacy Framework, innebærer den ikke nødvendigvis en endelig avklaring. Hvor robust rammeverket faktisk er, vil kunne settes på en mer krevende prøve dersom mer faktatunge og grundig prosederte saker bringes inn for domstolen i fremtiden.

5. Konsekvenser for norske og europeiske virksomheter

Underretten avviste dermed Latombes søksmål om annullering av EU-USA Data Privacy Framework og bekreftet rammeverkets gyldighet – for nå. Avgjørelsen gjør at Europeiske virksomheter enn så lenge kan puste lettet ut og fortsette overføring av personopplysninger til USA under adekvansbeslutningen. Samtidig er debatten om transatlantiske overføringer langt fra over, og avgjørelsen gir kun midlertidig juridisk sikkerhet.

Latombe har nå anket til Domstolen (EU-domstolens høyere instans), og anken kan innebære at både prosess- og realitetsspørsmål blir behandlet på nytt.

Etter dommen har Datatilsynet også uttalt at deres anbefaling om å være forberedt og ha en strategi for alternative løsninger fortsatt står ved lag.

Underretten avviste dermed Latombes søksmål om annullering av EU-USA Data Privacy Framework og bekreftet rammeverkets gyldighet – for nå.

6. Praktiske råd for virksomheter

  • Bruk DPF der mottaker i USA er sertifisert.

  • For andre overføringer: benytt SCC-er eller BCR kombinert med en Transfer Impact Assessment (TIA).

  • Oppretthold tekniske tiltak: pseudonymisering, ende-til-ende-kryptering, kunde-holdte nøkler, minimér data og loggtilgang.

  • Etabler en «Plan B» for rask omlegging ved en eventuell rettslig utvikling som underkjenner rammeverket.

For norske virksomheter betyr dette at man bør se Latombe-dommen som en midlertidig stabilisering, men ikke et punktum for debatten. Strategisk planlegging og tekniske sikkerhetstiltak er fortsatt nødvendig.

Ole Martin Moe
Trine Smedbold