Chodzi o przekazywanie danych osobowych, przetwarzanych przez administratorów danych, z Unii Europejskiej do Stanów Zjednoczonych.
Kanwą sprawy jest skarga użytkownika portalu społecznościowego Facebooka - Austriaka Maximilliana Schremsa - na przekazywanie jego danych osobowych przez Facebook Ireland na serwery znajdującej się na terytorium Stanów Zjednoczonych, gdzie dane te są przetwarzane.
Podniósł on, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju.
6 października 2015 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok (C-362-14), w którym stwierdził nieważność decyzji Komisji Europejskiej z 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani" przez Stany Zjednoczone (decyzja KE nr 2000/520/WE).
W reakcji na to orzeczenia Komisja Europejska przyjęła Tarczę Prywatności UE-USA (EU-US Privacy Shield). Ustanowiono w niej m.in., że amerykański Departament Sprawiedliwości będzie robił przeglądy firm, że masowa inwigilacja będzie ograniczona, że powstanie mechanizm corocznego przeglądu itd.
W czwartek TSUE stwierdził nieważność decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.
Zdaniem Trybunału, ograniczenia ochrony danych osobowych, które wynikają z wewnętrznego uregulowania Stanów Zjednoczonych dotyczącego dostępu i wykorzystywania przez organy amerykańskich władz publicznych takich danych przekazywanych z Unii do tego państwa i które Komisja Europejska poddała ocenie w decyzji 2016/1250, nie są uregulowane w sposób odpowiadający wymogom merytorycznie równoważnym tym, które ustanawia w prawie Unii zasada proporcjonalności, ponieważ programy nadzoru oparte na tych przepisach nie są ograniczone do tego, co ściśle konieczne. TSUE dodał, że choć uregulowanie to ustanawia wymogi, które powinny być przestrzegane przez władze amerykańskie przy wdrażaniu odpowiednich programów nadzoru, to nie przyznaje ono zainteresowanym osobom praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami.
W odniesieniu do wymogu ochrony sądowej, Trybunał orzekł, że wbrew temu, co przyjęła Komisja w decyzji 2016/1250, mechanizm mediacyjny, o którym mowa w tej decyzji, nie dostarcza tym osobom środka odwoławczego przed organem zapewniającym zabezpieczenia merytorycznie równoważne zabezpieczeniom wymaganym prawem Unii, które zapewniałyby zarówno niezależność rzecznika przewidzianego w tym mechanizmie, jak i istnienie norm uprawniających tego rzecznika do przyjęcia wiążących decyzji wobec amerykańskich służb wywiadowczych.
Na Twitterze dr Maciej Kawecki - ekspert w dziedzinie ochrony danych osobowych - ocenił, że to bardzo ważne orzeczenie, bowiem unieważniona przez TSUE decyzja Komisji Europejskiej to jedna z najważniejszych podstaw przekazywania danych z Unii Europejskiej do USA.
Wyrok w sprawie C-311/18 Data Protection Commissioner/ Maximillian Schrems i Facebook Ireland
