Rendkívül érdekes volt az Európai Bíróság ítélethirdetési délelőttje december 19-én:
Itt most csak az adatvédelem szempontjából érdekes üggyel szeretnék foglalkozni. Maximilian Schrems osztrák joghallgató a Snowden-leleplezések után vette célba a Facebookot. A szociális hálózatok között legalábbis domináns helyzetben lévő portál sok stiklije mellett (erről többet itt lehet olvasni) szinte mellékesnek tűnhet, hogy az Írországban bejegyzett európai leányvállalat a felhasználók adatait elküldi az amerikai központnak, Schrems mégis úgy érzi, hogy miután az említett leleplezés szerint amerikai hatóságok válogatás nélkül tömegesen gyűjtenek adatokat az amerikai informatikai cégek szolgáltatásainak felhasználóiról,
Az első Schrems ügy a "Safe harbour" érvénytelenítésével végződött. Mi is ez? Európai uniós adatkezelők csak akkor adhatnak át személyes adatokat az unión kívülre, ha az érintett személyek jogai megfelelő védelemben részesülnek - azokat hasonló szabályok szerint kezeli, mint amit az uniós adatvédelmi szabályok előírnak, és johgsgálni, és amennyiben úgy találja, hogy a védelem megfelelő (nem kell azonosnak lennie, csak lényegét tekintve egyenértékűnek - ezt már a Bíróság állapította meg pont az első Schrems ügyben), kiad egy "megfelelőségi határozatot". Az Egyesült Államokban az üzleti vállalkozások és a hatóságok adatkezelése teljesen eltérő (nemrég lépett életbe a kaliforniai, ottani viszonylatban szigorú adatvédelmi rendelet, és csak most van a Képviselőház előtt egy hasonló szövetségi törvény). Ezért általános megfelelőségi határozat helyett egy önkéntes regisztrációs rendszert vezettek be, és azokat a cégeket tekintették az EU szabályainak megfelelően megbízhatóknak, amelyek regisztráltak az amerikai Kereskedelmi Minisztériumnál és vállalták a feltételek teljesítését. Ez volt a "Safe harbour".Emellett vannak más módok is a megfelelő védelem biztosítására, ennek egyik formájáról később lesz szó.
A Snowden által leleplezett válogatás nélküli és tömeges titkos adatgyűjtésre tekintettel az Európai Bíróság kimondta, hogy a "Safe harbour" feltételei nem teljesülnek, ezért a döntés érvénytelen. Ezután az EU és az USA gyorsan tető alá hozta a "Privacy shield"-et, amelynek feltételei már szigorúbbak voltak, létrejött a jogérvényesítésre egy ombudsmani hivatal, és a regisztráló vállalatok vállalásainak teljesítését ellenőrző mechanizmus. Az alap változatlanul egy önkéntes regisztráció, és természetesen a legtöbb nagy informatikai szolgáltató regisztrált. Schrems viszont nem találta kielégítőnek a védelmet, ezért ismét beperelte a Facebookot.
Egy kis kitérő: az Európai Bíróság nem dönt el olyan pereket, amelyekben nem európai intézmény a peres fél, viszont tagállami bíróságok fordulhatnak hozzá az előttük folyó peres ügyekkel kapcsolatban az európai jog értelmezésére vonatkozó kérdésekkel (ez az úgynevezett előzetes döntéshozatali eljárás). Minden tagállamban van emellett egy (vagy több, pl. Németországban) adatvédelmi hatóság, ez utóbbiakhoz kell fordulni, ha egy szervezet megsérti az adatvédelmi szabályokat. Az illetékes hatóság bírságolhat, utasíthatja az adatkezelő szervezetet a törvénytelen adatkezelés abbahagyására, illetve bíróság elé citálhatja a kihágást elkövetőket. Ebben az esetben Schrems perelte be az ír adatvédelmi hatóságot, mert nem volt hajlandó eljárni. A bíróság pedig kérelmére kérdéssel fordult az Európai Bírósághoz. Ebben egyrészt ismét kérdést tett fel a "Privacy shield" alkalmazhatóságáról. Ugyanakkor per közben a Facebook köpenyt váltott: kijelentette, hogy már nem a "Privacy shield", hanem az úgynevezett "általános adatvédelmi kikötések" alapján adta át az adatokat. Ezek az Európai Bizottság által jóváhagyott olyan szerződéses feltételek, amelyek alapján szintén jogszerű az adatátadás.
Az Európai Bíróság előtti eljárásokban először a bíróság szakértője, a főtanácsnok fogalmazza meg javaslatát (úgynevezett "főtanácsnoki indítvány", amelyet ebben az ügyben az említett csütörtöki ülésen hoztak nyilvánosságra.
Az indítvány lényegi része a javaslat: ebben Saumandsgard Øe főtanácsnok azt javasolta, hogy a fentemlített változtatásra tekintettel csak az általános szerződéses feltételekről nyilatkozzon a Bíróság, és annak érvényességét tartsa fent. Meg kell jegyezni, hogy ez nyitva hagyja a tagállami bíróság, illetve az adatvédelmi hatóság számára a lehetőséget, hogy a feltételek megszegése esetén alkalmazza a fentebb részletezett szankciókat.
Arról azonban csak az indokló részben írt a főtanácsnok, hogy mi a véleménye a "Privacy shield"-ről és megfogalmazta kételyeit, hogy az valóban megfelelő védelmet biztosít-e.
A bíróság az esetek nagy többségében követni szokta a főtanácsnok javaslatát, de pont a legérzékenyebb ügyekben el is szokott néha térni tőle. Meg kell tehát várni a tavasszal esedékes ítéletet, hogy mi lesz az ügy vége: továbbra is működhet a "Privacy shield"-en alapuló adatcsere vagy más megoldást kell keresni. Az általános szerződési feltételek alkalmas jelöltnek tűnhetnek, de azt is tudjuk, hogy sok szolgáltató (felmérést készítő, e-maileket küldő és más standardizált szolgáltatásokat nyújtó) cégek saját szerződéses feltételeikkel dolgoznak, és nem biztos, hogy hajlandóak lesznek európai ügyfeleiknek más feltételeket biztosítani, mint a világ többi részének és lehetővé tenni ezen feltételek teljesítésének ellenőrzését, hiszen üzleti modelljük lényege a standard, egyszerű szolgáltatások tömeges nyújtása. Nemsokára pedig hasonló gondokkal kell megküzdeni a brit vállalatoknak is.
A főtanácsnoki vélemény felvet még egy sor más kérdést, például az amerikai nemzetbiztonság céljára történő adatgyűjtéssel, az Általános Adatvédelmi Rendelet EU-n kívüli hatályával és általában a nemzetbiztonsági célú adatgyűjtéssel kapcsolatban. A második kérdés felmerült a Google/CNIL ügyben is (amely az elfeledtetéshez való jogot is érinti), amellyel párhuzamosan az információszabadság és az adatvédelem közötti egyensúly kérdéséről is döntött a Bíróság. Mindezekről a folytatásban lesz szó.
