Soudní dvůr Evropské unie prohlásil 6. října 2015 za neplatnou dohodu známou pod názvem Safe Harbor, na jejímž základě bylo dosud možné předávat osobní údaje do Spojených států amerických společnostem, které se dobrovolně zavázaly dodržovat zásady „bezpečného přístavu“ (Safe Harbor).

Dohoda Safe Harbor mezi EU a USA, vtělená do rozhodnutí Komise, která byla podepsána po dvouletém vyjednávání 26. července 2000, požadovala od amerických společností na seznamu Safe Harbor, aby při práci s údaji Evropanů dodržovaly zásady EU na ochranu soukromí, i když tyto údaje nejsou zpracovávány v rámci EU. Cílem dohody bylo zajistit přiměřenou úroveň ochrany předávaným osobním údajům, přičemž společnosti z USA se musely zavázat, že budou jednat v souladu s těmito pravidly.Především, že předávaným údajům bude zajištěna odpovídající úroveň ochrany podle stejných principů, jimiž se řídí ochrana údajů v EU (stanovení účelu, přiměřenost zpracovávaných dat, bezpečnost, transparentnost, omezení dalšího předávání atd.).

Velký senát Soudního dvora Evropské unie svým rozsudkem ve věci C-362/14 Maximilian Schrems v. Data Protection Commissioner rozhodl, že není nadále možné touto cestou legálně předávat osobní údaje do Spojených států amerických společnostem, které se zavázaly dodržovat zásady „bezpečného přístavu“. Jde o asi 4 500 společností nebo organizací se sídlem v USA, které se dobrovolně přihlásily dodržovat tyto zásady. Dotčeni tímto rozhodnutím by také mohli být uživatelé sociálních sítí a cloudových či e-mailových služeb, jejichž poskytovatelé mají  ve Spojených státech umístěny své servery.

K tématu bezpečnosti předávaných osobních údajů do USA se již v minulosti vyjádřila Evropská komise i Evropský parlament. Rovněž český Úřad pro ochranu osobních údajů (ÚOOÚ) v posledních letech upozorňoval exportéry osobních údajů do USA, že účast příjemce osobních údajů v programu Safe Harbor sama o sobě fakticky nemůže zajistit odpovídající úroveň ochrany osobních údajů ve Spojených státech amerických, a doporučoval předávání zajistit prostřednictvím jiných nástrojů.

Podle vyjádření ÚOOÚ je nutné do doby, než bude přijata ze strany orgánů Evropské unie alternativa k programu Safe Harbor, zajistit předání osobních údajů do Spojených států jinými nástroji, které zabezpečí odpovídající úroveň ochrany osobních údajů. Jako nejvhodnější se jeví standardní smluvní doložkynebozávazná podniková pravidla.  Ve svém prohlášení ze dne 16. října 2015 se v podobném smyslu vyjádřila i pracovní skupina WP29, která je složena z odborníků na ochranu osobních údajů jednotlivých zemí Unie, a Evropská komise ve svém sdělení Evropskému parlamentu a Radě z 6. listopadu 2015.

V souvislosti s využitím standardních smluvních doložek Úřad pro ochranu osobních údajů doporučuje, aby  správce/vývozce údajů jako jedna ze smluvních stran vždy důkladně zvážil rizika související s předáváním a prověřil, zda je vývozce údajů schopen dodržet zásady, k nimž se ve standardních smluvních doložkách zavázal. Je totiž především odpovědností vývozce údajů vyvinout přiměřené úsilí k tomu, aby zjistil, že je dovozce údajů schopen dostát svým závazkům vyplývajícím z doložek. V případě dotazů týkajících se dopadů rozsudku Evropského soudního dvora lze kontaktovat ÚOOÚ na tel. 234 665 315 nebo 234 665 201.

Verdikt Evropského soudního dvora z října tohoto roku završil několikaleté jednání, které vyvolal rakouský absolvent práv Maximilian Schrems. Ten se už v roce 2011 dostal do hledáčku médií, když v rámci uskupení Europe-versus-Facebook podal proti Facebooku, který si za evropské sídlo vybral Irsko, u irského úřadu pro ochranu údajů sérii několika stížností. V návaznosti na aféru bývalého zaměstnance americké tajné služby NSA Edwarda Snowdena se Schrems v červnu 2013 znovu obrátil na irský úřad s další stížností proti Facebooku.

Edward Snowden v květnu 2013 vynesl informace NSA o programu PRISM, podle nichž měla agentura přímý přístup k serverům některých amerických poskytovatelů internetových služeb včetně Facebooku. Ze strany NSA tak mohlo docházet mimo jiné k procházení historie vyhledání, obsahu e-mailové korespondence, přeposílaných dokumentů a chatů.

Schrems s odvoláním na informace o programu PRISM uvedl, že Facebook zpřístupňuje data svých uživatelů NSA, a to včetně osobních údajů evropských uživatelů Facebooku. Ty Facebook získává od své irské dceřiné společnosti a následně je uchovává na serverech v USA. Takový postup Schrems napadl s tím, že Spojené státy nezajišťují dostatečnou úroveň ochrany  osobních údajů.

Irský úřad jeho stížnost zamítl s odvoláním na rozhodnutí Komise týkající se programu Safe Harbor.  V rámci soudního přezkumu Schremsovy stížnosti se irský Vrchní soud obrátil na Soudní dvůr Evropské unie s předběžnou otázkou, zda je úřad pro ochranu údajů při posuzování stížnosti, podle které v USA údajně není zajištěna odpovídající ochrana pro subjekty údajů, absolutně vázán rozhodnutím komise o programu Safe Harbor, nebo zda může provést vlastní šetření.

V září 2015 generální advokát evropského soudu Yves Bot zveřejnil své stanovisko. Podle něj existence programu Safe Harbor nemůže vyloučit ani omezit pravomoc národních úřadů dozoru dohlížet na dodržování právních předpisů na ochranu osobních údajů. Podle jeho závěru nelze připustit, aby občané EU byli při zpracování svých osobních údajů méně chráněni, pokud dojde k předání jejich údajů do třetí země.

Yves Bot  dokonce dospěl k závěru, že s ohledem na nové skutečnosti nastalé po přijetí dohody „o bezpečném přístavu“ lze tuto dohodu považovat na neplatnou. Především s ohledem na možnost, že k osobním údajům předaným do USA mohou mít přístup tamní bezpečnostní agentury včetně NSA v rámci masového a neadresného sledování a že občané EU nepožívají ve Spojených státech soudní ochrany proti takovému sledování a zadržování svých údajů.

Evropský soudní dvůr výše uvedenou argumentaci generálního advokáta přijal a dohodu Safe Harbor prohlásil za neplatnou.

 .