Когато лицата, пребиваващи в ЕС, предоставят данни на Facebook, данните се прехвърлят върху разположени на територията на САЩ сървъри, където се съхраняват.
Г-н Maximilian Schrems е австрийски граждани, който ползва Facebook. Той подава жалба до ирландския орган за защита на личните данни, тъй като счита, че предвид направените през 2013 г. разкрития от г-н Едуард Сноудън относно дейността на разузнавателните служби на САЩ (по-специално National Security Agency или „NSA“) САЩ не предоставят реална защита срещу наблюдението от страна на американската държавна администрация на прехвърляните към тази страна данни.
Ирландският орган отхвърля жалбата по-специално с довода, че в решение от 26 юли 2000 г. Европейската комисия е приела, че в рамките на т.нар. схема за „сфера на неприкосновеност на личния живот“ САЩ гарантират достатъчна степен на защита на прехвърляните лични данни.
High Court of Ireland (Върховен съд, Ирландия) е сезиран със случая и иска да се установи дали посоченото решение на ЕК е пречка съответният национален надзорен орган да проведе разследване по жалба, в която се твърди, че определена трета страна не гарантира достатъчна степен за защита, и при необходимост да преустанови оспорваното прехвърляне на данни. Съдът отправя преюдициално запитване до Съд на ЕС.
В заключението си Генералният адвокат Yves Bot приема, че наличието на решение на ЕК, с което се констатира, че дадена трета страна гарантира достатъчна степен за защита на прехвърляните лични данни, не може да отнеме, нито дори да намали правомощията, с които разполагат националните надзорни органи по силата на директивата за обработването на лични данни. Генералният адвокат приема, че решението на Комисията е невалидно.
Много бързо след огласяване на заключението стана известно и решението на Съда на ЕС (6 октомври 2015) по делото Schrems, което напълно потвърждава изводите на Генералния адвокат. Ефектите на решението надхвърлят отношенията Facebook – ЕС.
Съдът на ЕС не просто решава, че
1) Директива 95/46/ЕО и Хартата на основните права на Европейския съюз изискват решения – като Решение 2000/520/ЕО, с което Европейската комисия констатира, че трета страна гарантира достатъчна степен на защита, не е пречка надзорен орган на държава от ЕС да разгледа жалбата на лице — отнасяща се до защита на неговите права и свободи при обработването на засягащи го лични данни, които са били прехвърлени към тази трета страна — ако то твърди, че действащите в момента право и практики в третата страна не гарантират достатъчна степен на защита.
но – тъй като невалидността на отделни разпоредби от решението засяга валидността на цялото решение – и:
2) Решение 2000/520 е невалидно.
Решението на ЕК беше основа на на т.н. документация Safe Harbor – юридическата рамка за трансфера на лични данни между Европейския съюз и САЩ.
В първите коментари се сочи ролята на Съда на ЕС за развитие на правната рамка на защитата на личните данни – особено след решението Google Spain.
В интернет средата се обсъжда предимно отражението на решението върху трансфера на данни онлайн, облачните услуги и потоците от данни в глобалните компании “като Google, Facebook, Microsoft, Apple [и] Yahoo“, регистрирани в САЩ, които обслужват и европейските граждани. Напомня се и важността на разкритията на Сноудън за намесата в личната сфера от страна на американското разузнаване.
Според решението националните регулатори могат да правят преценка във всеки отделен случай. В случая ирландският надзорен орган ще прецени адекватността – и съответно дали да спре трансфера на лични данни към Facebook. Несъмнено ролята на националните регулатори в бъдеще е ключова.
Но има нужда от системно решение. Изказванията на представители на ЕС са в смисъл, че рамката на трансфера на лични данни ЕС – САЩ ще се подобрява. Това се оказва трудно, ако си спомним безпрецедентните акции на ЕП по отношение на предходни решения на ЕК за трансфера на личните данни на пътниците – European Parliament v Council of the European Union (C-317/04) и European Parliament v Commission (C-318/04).
След 6 октомври има анализи и за връзката между практиката на Съда на ЕС от последно време и бъдещата правна рамка, която – договорено е между държавите – няма да понижи нивото на защита спрямо нивото, установено с Директива 96/45. Но предстои да видим.