Generalny inspektor danych osobowych powinien móc zakazywać krajowym firmom przekazywania danych na temat ich europejskich klientów do USA, gdyż jak pokazała sprawa Edwarda Snowdena, prawo nie zapewnia tam odpowiedniej ochrony prywatności i nie gwarantuje, że prywatne informacje Europejczyków nie trafią w ręce amerykańskich służb. To odpowiedź rzecznika generalnego trybunału luksemburskiego na skargę przeciwko Facebookowi.

Jednocześnie opowiedział się on za nieważnością decyzji Komisji Europejskiej z 2001 r., w której uznano, że w ramach programu "bezpieczna przystań" (Safe Harbour) Stany Zjednoczone zapewniają adekwatny poziom ochrony transferowanych do nich informacji. W jego ocenie tego rodzaju decyzja nie może ograniczać uprawnień krajowych organów nadzorczych w zakresie badania poziomu ochrony danych osobowych.

"Prawo i praktyka USA pozwalają na gromadzenie na szeroką skalę przekazywanych danych osobowych obywateli Unii, przy czym wspomniani obywatele nie mają zapewnionej skutecznej ochrony prawnej" - czytamy w opinii rzecznika generalnego TSUE Yvesa Bota. Jego zdaniem udostępnienie amerykańskim służbom specjalnym tak ogromnego dostępu do danych stanowi ingerencję w prawo do poszanowania życia prywatnego i prawo do ochrony danych osobowych. Zwłaszcza w świetle faktu, że obywatele UE nie mają możliwości realizacji przysługującego im prawa do bycia wysłuchanym na temat przechowywania informacji na ich temat (prawo do skutecznego środka prawnego).

Precedensowe postępowanie dotyczące legalności wykorzystywania przez Facebooka prywatnych danych Europejczyków (w tym przekazywania ich amerykańskiej Narodowej Agencji Bezpieczeństwa) zapoczątkował 26-letni austriacki prawnik i aktywista Max Schrems. W czerwcu 2013 r. po ujawnieniu afery PRISM złożył on do irlandzkiego komisarza ochrony danych kolejną skargę przeciwko Facebookowi, w której dowodził, że komercyjny transfer danych osobowych z europejskich firm do Stanów Zjednoczonych jest niezgodny z unijnymi przepisami ze względu na zbyt niski standard ochrony prywatności w USA. A przekazanie NSA milionów informacji dotyczących Europejczyków przez Facebooka jest tego najlepszym dowodem.

Irlandzki GIODO uznał, że udostępnienie NSA przez spółkę Facebook Ireland (za pośrednictwem swojej spółki matki) prywatnych informacji pozostaje w zgodzie z przepisami unijnymi i odmówił podjęcia interwencji w tej sprawie. Natomiast sąd rozpatrujący odwołanie od tej decyzji stwierdził wprawdzie, że adresatem pozwu młodego aktywisty powinien być raczej amerykański specjalny sąd ds. wywiadu (Foreign Intelligence Surveillance Court), ale docenił powagę poruszonego w nim problemu konstytucyjnego. Ostatecznie zdecydował więc o zawieszeniu postępowania i wystąpienia do Trybunału Sprawiedliwości UE.

Jeśli TSUE podzieli opinię rzecznika generalnego, firmy technologiczne takie jak Facebook czy Google, które które dzięki transferowi danych osobowych (np. informacji o lokalizacji użytkownika) mogą zarabiać na sprzedaży reklam kontekstowych, być może zostaną zmuszone do radykalnej zmiany swoich praktyk w Europie.