Desi Curtea este singura competenta sa constate nevaliditatea unui act al Uniunii, autoritatile nationale de supraveghere sesizate cu o plangere pot, chiar si in prezenta unei decizii a Comisiei prin care se constata ca o tara terta ofera un nivel adecvat de protectie a datelor personale, sa analizeze daca transferul datelor unei persoane catre aceasta tara respecta cerintele legislatiei Uniunii referitoare la protectia datelor mentionate si sa sesizeze instante nationale, in acelasi mod ca persoana vizata, pentru ca acestea sa efectueze o trimitere preliminara in vederea examinarii validitatii respectivei decizii.
Directiva privind prelucrarea datelor cu caracter personal prevede ca transferul unor asemenea date catre o tara terta nu poate avea loc, in principiu, decat daca tara terta in discutie asigura un nivel adecvat de protectie a acestor date. Tot potrivit directivei, Comisia poate constata ca o tara terta asigura, in temeiul legislatiei interne sau al angajamentelor sale internationale, un nivel de protectie adecvat. In sfarsit, directiva prevede ca fiecare stat membru desemneaza una sau mai multe autoritati publice responsabile de supravegherea aplicarii pe teritoriul sau a dispozitiilor nationale adoptate in temeiul directivei („autoritatile nationale de supraveghere”).
Domnul Maximillian Schrems, cetatean austriac, utilizeaza Facebook din anul 2008. Ca si in cazul celorlalti utilizatori care au resedinta in Uniune, datele furnizate Facebook de domnul Schrems sunt transferate, in tot sau in parte, de la filiala irlandeza a Facebook pe servere situate pe teritoriul Statelor Unite, unde fac obiectul unei prelucrari. Domnul Schrems a depus o plangere la autoritatea irlandeza de protectie a datelor, considerand ca, avand in vedere dezvaluirile facute in anul 2013 de domnul Edward Snowden cu privire la activitatile serviciilor de informatii ale Statelor Unite (in special National Security Agency sau „NSA”), dreptul si practicile din Statele Unite nu asigura o protectie suficienta a datelor transferate catre aceasta tara impotriva supravegherii de catre autoritatile publice. Autoritatea irlandeza a respins plangerea, in special pentru motivul ca, intr-o decizie din 26 iulie 2000, Comisia a apreciat ca, in cadrul sistemului denumit al „sferei de siguranta” Statele Unite asigura un nivel adecvat de protectie a datelor cu caracter personal transferate.
Sesizata cu aceasta cauza, High Court of Ireland (Inalta Curte de Justitie a Irlandei) solicita sa se stabileasca daca decizia mentionata a Comisiei are drept efect sa impiedice o autoritate nationala de supraveghere sa investigheze o plangere in care se pretinde ca o tara terta nu asigura un nivel de protectie adecvat si, daca este cazul, sa suspende transferul de date contestat.
Cerintele privind securitatea nationala, interesul public si respectarea legilor Statelor Unite prevaleaza asupra sistemului sferei de siguranta, astfel incat intreprinderile americane sunt obligate sa inlature, fara nicio restrictie, principiile de protectie prevazute de acest sistem atunci cand intra in conflict cu asemenea cerinte. Sistemul american al sferei de siguranta face astfel posibile ingerinte ale autoritatilor publice americane in drepturile fundamentale ale persoanelor, decizia Comisiei necuprinzand nicio constatare nici in privinta existentei, in Statele Unite, a unor norme destinate sa limiteze aceste eventuale ingerinte, nici in privinta existentei unei protectii juridice eficiente impotriva acestor ingerinte.
In ceea ce priveste nivelul de protectie in esenta echivalent cu libertatile si drepturile fundamentale garantate in cadrul Uniunii, Curtea constata ca, in dreptul Uniunii, o reglementare nu este limitata la strictul necesar in cazul in care autorizeaza in mod generalizat stocarea integralitatii datelor cu caracter personal ale tuturor persoanelor ale caror date sunt transferate din Uniune catre Statele Unite, fara a se face vreo diferentiere, limitare sau exceptie in functie de obiectivul urmarit si fara a se prevedea criterii obiective in vederea delimitarii accesului autoritatilor publice la date si a utilizarii lor ulterioare. Curtea adauga ca trebuie sa se considere ca o reglementare care le permite autoritatilor publice accesul in mod generalizat la continutul comunicarilor electronice aduce atingere substantei dreptului fundamental la respectarea vietii private.
De asemenea, Curtea arata ca o reglementare care nu prevede nicio posibilitate pentru justitiabil de a exercita cai legale pentru a avea acces la date cu caracter personal care il privesc sau de a obtine rectificarea sau stergerea unor astfel de date aduce atingere substantei dreptului fundamental la o protectie jurisdictionala efectiva, o asemenea posibilitate fiind inerenta existentei unui stat de drept.
In sfarsit, Curtea constata ca Decizia Comisiei din 26 iulie 2000 priveaza autoritatile nationale de supraveghere de competentele lor, in cazul in care o persoana pune in discutie compatibilitatea deciziei cu protectia vietii private si a drepturilor si libertatilor fundamentale ale persoanelor. Curtea considera ca Comisia nu avea competenta de a restrange astfel competentele autoritatilor nationale de supraveghere.
Pentru toate aceste motive, Curtea declara Decizia Comisiei din 26 iulie 2000 nevalida. Aceasta hotarare are drept consecinta faptul ca autoritatea irlandeza de supraveghere este tinuta sa examineze cererea domnului Schrems cu toata diligenta necesara si ca ii revine acesteia sarcina de a decide, la finalizarea investigatiei sale, daca, in temeiul directivei, trebuie sa suspende transferul datelor utilizatorilor europeni al Facebook catre Statele Unite pentru motivul ca aceasta tara nu ofera un nivel adecvat de protectie a datelor personale.