Decyzja Komisji Europejskiej z 2001 r., w której uznano, że w ramach programu "bezpieczna przystań" (Safe Harbour) Stany Zjednoczone zapewniają adekwatny poziom ochrony transferowanych do nich danych, jest nieważny - orzekł Trybunał Sprawiedliwości Unii Europejskiej.

Generalny inspektor danych osobowych lub inny właściwy organ nadzorczy ma zatem prawo przeprowadzać kontrole i zakazywać krajowym firmom przekazywania informacji na temat ich europejskich klientów do USA.

"Istnienie decyzji Komisji stwierdzającej, że państwo trzecie zapewnia odpowiedni stopień ochrony przekazywanych danych osobowych, nie może zniweczyć, ani nawet ograniczyć uprawnień, jakie przysługują krajowym organom nadzorczym na mocy Karty praw podstawowych Unii Europejskiej i dyrektywy" - stwierdził TSUE.

Trybunał podkreślił, że program "bezpieczna przystań" ma zastosowanie tylko do amerykańskich przedsiębiorstw, które do niego przystąpiły. Nie podlegają mu natomiast instytucje publiczne. Co więcej, firmy amerykańskie są zobowiązane do odstąpienia od przestrzegania zasad systemu ochrony danych osobowych w przypadku, gdy stoją one w sprzeczności z wymogami bezpieczeństwa narodowego oraz interesu publicznego Stanów Zjednoczonych. Afera Edwarda Snowdena pokazała zaś, że amerykańskie służby mogą uzyskać dostęp do informacji przekazywanych z państw członkowskich UE do USA, przetwarzać je niezgodnie z celem ich przekazywania oraz wykraczać poza to, co jest niezbędne i proporcjonalne dla zapewnienia bezpieczeństwa narodowego. Osoby, których dane te dotyczą, nie mają natomiast żadnych administracyjnych ani sądowych środków prawnych pozwalających im na uzyskanie do dostępu do tych danych bądź na ich usunięcie.

Zdaniem trybunału regulacja, która dopuszcza, aby organy publiczne miały nieograniczony dostęp do treści emaili, narusza prawo do poszanowania życia prywatnego. Brak możliwości skorzystania ze środków prawnych pozwalających obywatelom UE na uzyskanie dostępu, korektę lub usunięcie informacji na ich temat, jest zaś sprzeczne z prawem do skutecznej ochrony sądowej.

W konsekwencji wyroku TSUE irlandzki GIODO będzie musiał zbadać z należytą starannością skargę 26-letniego austriackiego prawnika i aktywisty Maxa Schremsa, który zapoczątkował precedensowe postępowanie dotyczące legalności wykorzystywania przez Facebooka prywatnych danych Europejczyków. W czerwcu 2013 r. po ujawnieniu afery PRISM złożył on do irlandzkiego komisarza ochrony danych kolejną skargę przeciwko Facebookowi, w której dowodził, że komercyjny transfer danych osobowych z europejskich firm do Stanów Zjednoczonych jest niezgodny z unijnymi przepisami ze względu na zbyt niski standard ochrony prywatności w USA. Po wyroku TSUE irlandzki GIODO będzie zobowiązany przeprowadzić odpowiednie dochodzenie i wydać decyzję, czy zawiesić z tego powodu przekazywanie danych europejskich użytkowników Facebooka do USA.