Amerykańskie służby mają zbyt łatwy dostęp do danych osobowych Europejczyków co stanowi naruszenie istoty istotę podstawowego prawa do poszanowania życia prywatnego – orzekł Trybunał Sprawiedliwości Unii Europejskiej stwierdzając, że decyzja Komisji Europejskiej z 2000 r.
uznająca USA za „bezpieczną przystań” (z ang. „Safe Harbour”) jest nieważna. Nie oznacza to automatycznie, że Facebook musi zaprzestać transferu danych na amerykańskie serwery, ale w przyszłości tym właśnie grozi. Nie tylko Facebookowi zresztą, ale także innym globalnym koncernom przesyłającym dane do USA, takim jak Google, Twitter czy Apple.
Sprawie tej początek dał jeden z użytkownik Facebooka, student prawa z Austrii – Max Schrems. Jego zaniepokojenie wzbudziły informacje, jakie obiegły światowe media po ujawnieniu przez Edwarda Snowdena afery PRISM.
Uznał on, że skoro amerykańskie służby masowo i w zasadzie bez jakiejkolwiek kontroli inwigilują internautów z UE, to trudno mówić, by tamtejsze przepisy odpowiednio chroniły dane osobowe. A w tej sytuacji transfer danych do USA nie powinien być dopuszczalny. Stosowną skargę złożył do rzecznika ochrony danych osobowych w Irlandii, bo to w tym właśnie kraju swoją siedzibę ma oddział Facebooka na UE.
Irlandzki odpowiednik polskiego Generalnego Inspektora Ochrony Danych Osobowych uznał, że nie może rozpoznać skargi, gdyż dane są przekazywane do USA na podstawie wspomnianej decyzji Komisji Europejskiej dotyczącej Safe Harbour. Schrems nie dał za wygraną i zaskarżył tę decyzję do irlandzkiego sądu. A ten skierował pytanie prejudycjalne do Trybunału Sprawiedliwości Unii Europejskiej.
Trybunał we wtorkowym wyroku wykroczył poza wniosek prejudycjalny i przede wszystkim skupił się na samej decyzji Komisji Europejskiej, którą uznał za nieważną. System Safe Harbour nie obejmuje bowiem amerykańskich służb, które na podstawie mają zagwarantowany swobodny dostęp do danych przechowywanych przez tamtejsze firmy.
„Amerykański system bezpiecznej przystani umożliwia zatem ingerencję amerykańskich organów publicznych w prawa podstawowe osób, przy czym w decyzji KE nie wskazano ani na istnienie w USA przepisów mających na celu ograniczenie tych możliwych ingerencji, ani na istnienie skutecznej ochrony prawnej przed tymi ingerencjami” - można przeczytać w komunikacie prasowym wydanym po ogłoszeniu wyroku.
Zgodnie z orzeczeniem irlandzki rzecznik ochrony danych osobowych będzie teraz musiał zbadać „z wszelką wymaganą starannością i po przeprowadzeniu dochodzenia” czy należy zawiesić przekazywanie danych europejskich użytkowników Facebooka do USA z tego względu, że państwo to nie zapewnia odpowiedniego stopnia ochrony danych osobowych.
Teoretycznie może się ono opierać na innych podstawach prawnych, przede wszystkim na tzw. „standardowych klauzulach umownych”. W praktyce jednak może to być trudne, gdyż z wyroku KE wynika jednoznacznie, że amerykańskie regulacje nie odpowiadają tym jakie przewiduje europejskie prawo w dyrektywie 95/46/WE. A tylko wówczas transfer poza UE jest dopuszczalny.
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 6 października 2015r., sprawa nr C-362/14