Soudní dvůr Evropské unie ve svém rozsudku z C-311/18 ze dne 16. července 2020 rozhodl o zrušení tzv. Privacy Shieldu, když rozhodoval o předběžné otázce, kterou položil irský Vrchní soud ve věci Data Protection Commissioner Facebook Ireland Ltd v. Maximillian Schrems (také známo jako rozhodnutí Schrems II).
Systém Privacy Shield umožňoval společnostem předávat osobní údaje svých uživatelů z EU subjektům v USA, přičemž tento režim byl založen rozhodnutím Evropské komise na základě závazků a prohlášení americké vlády. Kontroverzí bylo, že společnosti zpracovávající data evropských uživatelů měly povinnost tyto údaje zpřístupňovat americkým bezpečnostním službám, nicméně právě režim Privacy Shieldu měl zároveň zajistit standard ochrany práv Evropanů rovnocenný s úrovní zaručenou GDPR na území EU.
Soud však shledal, že požadavky vnitrostátního práva USA a programy umožňující přístup k osobním údajům orgánům USA k účelům národní bezpečnosti mají za následek situaci, kdy omezení ochrany osobních údajů občanů EU neodpovídají požadavkům vyžadovaných podle unijního práva. Ve stejném rozsudku soud zkoumal i platnost rozhodnutí Evropské komise o standartních smluvních doložkách, kdy dospěl k tomu, že rozhodnutí obsahuje účinné mechanismy, které umožňují úroveň ochrany zaručenou v EU, za předpokladu, že společnosti předávající osobní údaje do zahraniční budou mít za ověřené, že potřebná úroveň ochrany dat je v konkrétní třetí zemi zaručena. Zároveň však vývozcům osobních údajů hrozí, že v případě porušení nebo nemožnosti dodržení standartních doložek o ochraně údajů bude předávání zakázáno.
Předávání osobních dat do USA tak nebude nadále možné na základě systému Privacy Shield, nýbrž právě v režimu standartních smluvních doložek, jejichž platnost soud v rozhodnutí potvrdil. Dalším možným způsobem předávání je přijetí závazných podnikových pravidel ve smyslu GDPR v rámci skupiny společností. Dále lze data uživatelů předávat s výslovným údajem těchto subjektů.
Klíčové však bude, jak budou rozhodnutí reflektovat konkrétní dozorové úřady. Zejména se čeká na stanoviska Evropského sboru pro ochranu osobních údajů (EDPB), který by měl zajišťovat jednotný výklad rozhodnutí stran dozorových úřadů. EDPB zatím sestavil pracovní skupinu, která se bude zabývat stížnostmi podanými k dozorovým úřadům v návaznosti na rozhodnutí Schrems II a připraví doporučení pro kontrolory a zpracovatele s ohledem na to, jak dále postupovat ve věci zajištění adekvátní ochrany při předávání dat do třetích zemí. Dle předsedkyně EDPB Andrey Jelinek bude s ohledem na dalekosáhlé dopady rozhodnutí Schrems II potřeba postupovat velmi citlivě a vždy s ohledem na specifika jednotlivých případů předávání osobních údajů.
