Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.
O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim" odnosom do varstva
Irsko sodišče je to vprašanje predložilo Sodišču EU - v bistvu ga sprašujejo, ali so evropski pooblaščenci dolžni spoštovati sistemske dogovore EU in ZDA, ali pa lahko kar sami preverjajo (skozi poseben postopek, ki se konča z izdajo pritrdilne ali zavrnilne odločbe), ali je prošnja za iznos osebnih podatkov določenemu tujemu upravljavcu dopustna.
Postopek pred Sodiščem EU ima več faz. Najprej je na vrsti pisni postopek, v katerem tožeča (Schrems) in tožena stranka (Irski pooblaščenec) izmenjata svoje memurandume. Potem je možna intervencija tretjih držav članic, ki bi imele o zadevi kaj povedati. Slovenija je intervenirala, konkretno (in zelo poenostavljeno) s stališčem, da mora imeti pristojni evropski pooblaščenec pravico, da kljub obstoju krovnega sporazuma tudi sam preveri, kaj se s podatki dogaja po iznosu. Potem sledi opcijski ustni postopek, z isto vsebino, v katerem se lahko spor še enkrat prevetri in razjasni. Še potem ima sodišče možnost, da, če gre zahtevnejše pravno vprašanje, zaprosi še za pripravo mnenja s strani generalnega pravobranilca (advocate general). Gre za posebno pisarno posebej usposobljenih pravnih strokovnjakov, ki sodišču svetujejo, kako naj odloči. Njihovo mnenje ni zavezujoče, a je po navadi precej vplivno in dobro nakazuje smer kasnejše odločitve sodišča.
Včeraj je bilo obljavljeno 40-stransko mnenje (francoskega) pravobranilca Yvesa Bota. V njem ugotavlja, da ameriška podjetja na splošno ne dosegajo evropskih standardov varstva osebnih podatkov (zakonitosti, namenskosti, sorazmernosti, spoštovanja pravic posameznika) in da si zatorej ne zaslužijo privilegiranega statusa, ki jim ga daje dogovor o varnem pristanu. Še posebej pa izpostavlja vprašljivo zakonitost njihovega sodelovanja z varnostno-obveščevalnimi in pravosodnimi službami. Posledično predlaga Sodišču, da ta dogovor odpravi. Prav tako pravi, da morajo imeti pooblaščenci držav članic v vsakem primeru možnost presojati, ali je iznos osebnih podatkov v neko državo v skladu s temeljnimi pravicami njihovih državljanov.
Odprava dogovora bi pomenila veliko spremembo za slabih 5000 podjetij, ki so trenutno "samocertificirana" v skladu z varnim pristanom. Pravo EU (Direktiva 46/95, v postopku zamenjave) namreč upravljavcem na splošno prepoveduje iznos osebnih podatkov v tretje države. Če želijo iznašati, morajo dokazati, da podatke dajejo v zaupanja vredne roke. Tipično to dokažejo, kakor vedo in znajo, v postopku pred domačim pooblaščencem, ki o tem tudi izda odločbo. Za določene države pa takšna odločba dosedaj ni bila potrebna, ker je vse potrebno uredila Evropska komisija z omenjenimi "safe harbour" dogovori. Če bi to odpadlo, bi iznašanje Facebook profilov, Google mailov, oz. vseh storitev, ki gostujejo na strežnikih in oblakih ameriških ponudnikov, postalo prepovedano. Evropski upravljavci, ki podatke pošiljajo tja, pa bi morali vsak posebej pokazati, da se bo s podatki v redu ravnalo in za to dobiti odločbo. Če bi želeli podatke obdelovati še kako drugače, bi rabili novo odločbo, ne pa samo spremembo splošnih pogojev.
To ni mala stvar. Velik del storitev, ki jih vsakodnevno uporabljamo, gostuje v ZDA. Njihovo vsakdanje delovanje se zanaša na obstoj dogovora in na izjemno fleksibilnost, ki jim ga dogovor daje. Zatorej je zdaj pričakovati pritisk ameriške strani, po sodbi (če bo takšna kot to mnenje) pa seveda pritisk k sklenitvi novega sporazuma. Ta praktično gotovo bo, je pa to odlična priložnost, da EU izsili boljše pogoje za ravnanje s podatki svojih državljanov pri ameriških ponudnikih storitev, če že pač ne zna sama pripraviti enako kvalitetnih in zaželenih storitev.
Zanimivo bo tudi, kako bo dogodek vplival na pripravo nove krovne uredbe EU o varstvu osebnih podatkov, ki je trenutno (podan je predlog Sveta, ki gre zdaj v usklajevanje s Komisijo in Parlamentom) poln raznih ameriških izjem. Moment za strožji pristop tam vsekakor ne bi bil škodil.
Naložijo pa naj mu, da mora odpraviti vohunjenje za uporabniki.