Presudom 16. Srpnja 2020. (slučaj C-311/18), Europski sud pravde (ECJ) proglasio je odluku Europske komisije 2016/1250 o prijenosu osobnih podataka SAD (Privacy Shield) nevaljanom. Istodobno je ECJ rekao da je odluka Komisije 2010/87/EZ o standardnim ugovornim klauzulama (SCC) još uvijek na snazi.
Presuda ima sljedeće učinke na prijenos osobnih podataka u SAD i druge treće zemlje:
- Prijenos osobnih podataka u SAD na temelju tzv. Štita privatnosti (dalje: Privacy Shield) nije dopušten i mora se odmah zaustaviti. ECJ je Privacy Shield proglasio nevaljanim jer američko pravo kako je procijenio ECJ ne nudi razinu zaštite koja je u osnovi jednaka onoj u EU. Američki zakon na koji se poziva Europski sud odnosi se, primjerice, na ovlasti za prikupljanje osobnih podataka os strane obavještajnih službi, navedeno prema odjeljku 702 FISA te naredbi 12 333.
- Postojeće standardne ugovorne klauzule Europske Komisije u načelu se i dalje mogu koristiti za prijenos osobnih podataka u SAD i ostale treće zemlje.
ECJ je, međutim, naglasio odgovornost voditelja obrade i primatelja podataka da procijene koriste li zaštitne mjere koje osiguravaju prava ispitanika u trećoj zemlji na jednakoj razine zaštite kao i Europska Unija. Tek nakon što se navedeno procjeni se može odlučiti mogu li se jamstva iz standardnih ugovornih klauzula ostvariti u praksi. Ukoliko to nije slučaj, potrebno je ispitati koje se dodatne mjere mogu poduzeti kako bi se osigurala razina zaštite koja je jednaka razini zaštite u Europskoj uniji. Unatoč tome, zakon treće zemlje ne smije umanjiti ove dodatne zaštitne mjere na način koji sprječava njihov stvarni učinak. Prema presudi Europskog suda, standardne ugovorne klauzule bez dodatnih mjera, u većini slučajeva, nisu dovoljne za prijenos podataka u SAD.
- Presuda ima učinak i primjenjuje se i na druga jamstva iz čl. 46. Opće uredbe o zaštiti podataka, poput obvezujućih internih propisa o zaštiti osobnih podataka („obvezujuća korporativna pravila“- BCR), na temelju kojih se osobni podaci prenose u SAD i ostale treće zemlje. Stoga se također moraju ugovoriti/ propisati dodatne mjere za prijenos podataka na temelju BCR-a, pod uvjetom da prava ispitanika u trećoj zemlji imaju jednaku razinu zaštite kao u Europskoj Uniji. I u ovom slučaju morate biti u mogućnosti zajamčiti jednaku razinu zaštite za sve prenesene podatke kao u EU.
- Prijenos osobnih podataka iz EU u SAD i ostale treće zemlje u skladu s člankom 49. Opće uredbe o zaštiti podataka i dalje je dopušten, pod uvjetom da su u pojedinačnim slučajevima ispunjeni uvjeti članka 49. Europski odbor za zaštitu podataka objavio je smjernice za primjenu i tumačenje ove odredbe.
- Odgovorni koji bi željeli i dalje prenositi osobne podatke u SAD ili druge treće zemlje moraju odmah provjeriti mogu li to učiniti pod spomenutim uvjetima.
Čak i ako je ECJ u svojoj odluci naglasio primarnu odgovornost izvoznika osobnih podataka i uvoznika odnosno voditelja i izvršitelja obrade, nadzornim je tijelima dodijelio ključnu ulogu u provedbi Opće uredbe o zaštiti podataka, odluka Suda kao i o daljnjim odlukama o prijenosu podataka u treće zemlje. Njemačka nadzorna tijela primjerice, koordinirat će svoje postupke sa svojim kolegama uz Europskog odbora za zaštitu podataka, a u budućnosti će savjetovati i o konkretnijim pitanjima i voditelje obrade.
Nakon presude Europskog suda, Europski odbor za zaštitu podataka objavio je ključna pitanja i odgovore (FAQ) o provedbi presude na svom sastanku 23. Srpnja 2020.