Soudní dvůr Evropské unie svým dnešním rozhodnutím ve sporu Schrems v. Data Protection Commissioner (C-362/14) rozhodl o neplatnosti rozhodnutí Komise o odpovídající ochraně pro subjekty údajů, tzv. „Safe Harbor“, a to při vyřizování stížnosti na předávání údajů do USA.
Připomeňme, že předávání osobních údajů do třetích zemí, tedy zemí mimo Evropskou unii, je možné pouze tehdy, pokud zařízení, na nichž jsou údaje uchovávány nebo jinak zpracovávány, se nacházejí v zemích, které ratifikovaly Úmluvu 108 (pro zajímavost, vedle zemí EU mezi ně patří např. Albánie, Srbsko, ale také Ukrajina) a nebo v zemích, o kterých Komise rozhodla, že poskytují přiměřenou úroveň ochrany osobních údajů. Mezi takové země patří např. Kanada, Nový Zéland, Švýcarsko a také za určitých podmínek USA, jde o tzv. Safe Harbor („bezpečný přístav“). Pokud takové podmínky nejsou splněny, je nutné, aby sám správce osobních údajů zajistil předávaným údajům odpovídající ochranu, tedy takovou, kterou předvídá unijní právo, u nás provedené zákonem o ochraně osobních údajů.
V uvedeném sporu rakouský státní občan, a také od r. 2008 uživatel sociální sítě Facebook, zpochybnil ochranu svých osobních údajů ve Spojených státech, a to v souvislosti s kauzou Edwarda Snowdena. Systém „bezpečného přístavu“ je aplikovatelný jen na organizace v USA, které získávají osobní údaje z EU, aby mohly splnit požadavky „bezpečného přístavu“ s vlastním osvědčením, a z něj tedy vyplývající domněnku „odpovídající ochrany údajů“. Veřejné orgány USA mu nejsou nijak podřízeny a zásadám „bezpečného přístavu“ nepodléhají. Krom toho tam, kde právo USA stanoví povinnosti odporující zásadám „bezpečného přístavu“, musí americká organizace takovou povinnost respektovat, a to bez ohledu na to, zda se „bezpečného přístavu“ účastní či nikoliv. Přednost mají jistě především požadavky bezpečnosti státu či veřejného zájmu a americké organizace nemohou uplatňovat zásady „bezpečného přístavu“, pokud se ukážou jako neslučitelné právě s vnitrostátní právní úpravou. Soud dospěl k závěru, že v případě osobních údajů předávaných do USA, kdy veřejné orgány mohou, a to bez jakéhokoliv rozlišování, omezení či výjimek činěných podle toho, jaký cíl je sledován, k těmto datům přistupovat a jednotlivec (notabene státní občan jiné země) nemá možnost se právní cestou účinně bránit, výše uvedené podmínky pro předávání osobních údajů do třetí země, podmínky „bezpečného přístavu“, splněny nejsou.
Soudní dvůr tak prohlásil rozhodnutí Komise 2000/520/ES za neplatné a irský dozorový orgán (pod který spadá Facebook v EU) se bude muset při svém rozhodování vypořádat s tím, zda by podle evropské směrnice na ochranu osobních údajů měl být přenos údajů evropských uživatelů Facebooku do USA pozastaven, a to právě z důvodu absence přiměřené ochrany předávaných osobních údajů. Toto rozhodnutí může mít dalekosáhlé důsledky nejen pro Facebook, ale i pro další služby (zejm. Google) a i samotné organizace, které využívají např. cloudových řešení nebo mají správu údajů řešenou v rámci koncernu mimo EU.