Sodišče EU: shranjevanje osebnih podatkov na ameriških strežnikih ni ustrezno
Izmenjava podatkov s tretjimi državami je v EU urejena z direktivo o zaščiti podatkov (direktiva 95/46/EC), ki pod določenimi pogoji dopušča prenos podatkov izven jurisdikcije EU v tretje države, če so tudi tam deležni ustrezne zaščite. Generalni pravobranilec Sodišča Evropske unije Yves Bot je izdal mnenje, da je prenos podatkov v ZDA zaradi nedavno razkritega prisluškovanja nedopusten. Sodišče bo o primeru še odločalo, a po navadi sledi mnenju generalnega pravobranilca.
Evropska komisija je leta 2000 odločila (Odločba 2000/520/EC), da je varovanje osebnih podatkov v ZDA zadostno in da ustreza standardom EU. To je podjetjem omogočilo prenos nekaterih podatkov na ameriške strežnike; recimo Facebook, ki v Evropi posluje prek irske podružnice, lahko podatke o Evropejcih hrani na ameriških strežnikih. Toda to je bilo leta 2000, medtem ko smo leta 2013 v aferi Snowden izvedeli, da je prisluškovanje in prestrezanje podatkov v ZDA izjemno razširjeno, NSA pa bere praktično vse.
Avstrijski aktivist Maximillian Schrems je zato pri irskem informacijskem pooblaščencu vložil pritožbo, da Facebook zaradi razkritij o prisluškovanju NSA ne sme prenašati podatkov z evropskih strežnikov v ZDA. Irski informacijski pooblaščenec je pritožbo zavrnil na podlagi omenjene Odločbe. Irsko višje sodišče, ki je primer obravnavalo na drugi stopnji, je zaprosilo Sodišče EU za pojasnila, ali omenjena odločba pomeni, da se vsi tovrstni zahtevki glede ZDA zavrnejo.
Bot meni, da to ne drži. Obstoj same odločbe držav ne razvezuje odgovornosti, da svojim državljanom nudijo ustrezno zaščito osebnih podatkov. Če posamezna država ugotovi, da je prenos podatkov v tujino kršitev pravice do zasebnosti in varovanja podatkov, mora nemudoma ustaviti prenos, ne glede na mnenje Evropske komisije. Po njegovem mnenju je celotna odločba 2000/520/EC neveljavna, saj Komisija nima pravice omejevati pristojnosti nacionalnih nadzornikov.
Zato mora irsko višje sodišče o Schremsovi pritožbi odločati vsebinsko. Bot meni, da dostop do podatkov, ki ga imajo ZDA, predstavlja vmešavanje v pravico do zasebnosti in zaščite osebnih podatkov. Prav tako državljani EU nimajo mehanizma za učinkovito pravno zaščito, ko ti podatkov prispejo v ZDA. Prisluškovanje NSA predstavlja nesorazmeren poseg v svoboščine, zato generalni pravobranilec meni, da mora Komisija nemudoma odpraviti odločbo in prepovedati prenos podatkov v ZDA, dokler se na novih pogajanjih ne dosežejo ustrezni pogoji in zagotovila. Nova pogajanja so se začela že pred objavo te odločbe, torej je tako EU kot ZDA jasno, da trenutni dogovor ni vzdržen.
V praksi to ne pomeni, da bodo prekinjeni vsi prenosi podatkov. Večina jih ni posebej zaščitena, recimo rezervacije hotelov, podatki o bančnih nakazilih in še številni drugi, pojasnjuje Schrems. Za upravljavce družabnih omrežij pa utegne to pomeniti, da bodo morali infrastrukturo za Evropejce postaviti v Evropi.