Adwokat Generalny Yves Bot w swojej opinii z 23 września 2015 r., wydanej w sprawie Schrems v. irlandzki komisarz ochrony danych (C- 362/14), negatywnie ocenił amerykański system zabezpieczeń należytego przetwarzania danych osobowych obywateli UE, (danych) które pozyskiwane są w Europie, a przetwarzane za Atlantykiem.
Opinia Adwokata Generalnego nie wiąże Trybunału Sprawiedliwości UE, ale prawdopodobieństwo negatywnego dla Facebooka rozstrzygnięcia zasadniczo wzrosło. Cała sprawa bezpośrednio oddziałuje także na takich gigantów jak Apple, Google, Microsoft i Yahoo, gdyż wyrok zgodny z opinią oznaczać będzie trudne do ocenienia nakłady na przeformatowanie procesu przetwarzania danych i budowę chińskich murów pomiędzy zbiorami danych pozyskiwanych w Europie i poza nią. Takie rozwiązania mogą utrudnić dostęp służb specjalnych USA do informacji o obywatelach UE, ale wiara, że zostanie on w ten sposób wyeliminowany, graniczy z naiwnością.
Milowy krok
Nie zmienia to faktu, że właśnie organy unijne robią istotny krok w stronę zwiększenia ochrony prawnej procesu przetwarzania naszych danych osobowych czy mówiąc językiem Karty Praw Podstawowych – w stronę wzmocnienia prawa do poszanowania życia prywatnego i rodzinnego (art. 6) oraz prawa do ochrony danych osobowych (art. 7).
Sprawę rozpoczął austriacki student Maximilian Schrems, który od 2008 r. korzystał z Facebooka. Pod wpływem informacji ujawnionych przez Edwarda Snowdena o przetwarzaniu danych osobowych zgromadzonych w Europie przez władze amerykańskie, a zwłaszcza przez National Security Agency (NSA), Austriak uznał, że jego dane osobowe nie są wystarczająco chronione, i rozpoczął postępowanie o przywrócenie stanu zgodnego z prawem (w jego ocenie) w Irlandii, czyli miejscu rejestracji europejskiej spółki zależnej Facebooka. Od strony formalnej poszło o to, czy w świetle „oryginalnie zatytułowanej" decyzji Komisji 2000/520 z 26 lipca 2000 r. w sprawie „adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA" (Dz. Urz. WE 215, 25.8.2000), właściwe władze państwa członkowskiego w ogóle mogą (powinny) analizować poziom bezpieczeństwa danych przetwarzanych w USA. Innymi słowy: czy w trakcie rozpatrywania wniosku skarżącego, który twierdzi, że obowiązujące w USA przepisy i praktyka prawna nie gwarantują adekwatnej ochrony jego danych, właściwy organ jest „bezwzględnie związany odmiennymi ustaleniami Wspólnoty zawartymi w decyzji Komisji z 26 lipca 2000 r. nr 2000/520/CE"?
Dziki Zachód
Przedstawiając swoją opinię, Yves Bot konstatuje, że władze krajowe (w Polsce GIODO) mają prawo uznać, że przekazanie do USA danych naruszałoby akceptowalny poziom ochrony prywatności, i to bez względu na to, co wynika z ogólnej oceny wyrażonej przez Komisję Europejską. Kompetencje przyznane Komisji przez dyrektywę 95/46 z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dyrektywa) nie ograniczają kompetencji przyznanych przez ten akt prawny władzom krajowym. Oczywiście z tej perspektywy pogląd Komisji wyrażony na podstawie art. 25 ust. 6 dyrektywy nie knebluje władzy państwa członkowskiego. Dla porządku odnotujmy, iż wspomniany art. 25 ust. 6 stanowi, że „Komisja może stwierdzić (...), że państwo trzecie zapewnia prawidłowy stopień ochrony (...), co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło (...) w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych".
