TSUE unieważnił 16 lipca 2020 r. (sprawa C‑311/18) Tarczę Prywatności podnosząc w zasadzie te same argumenty co w tzw. wyroku Schrems I z 6 października 2015 r. (sprawa C-362/14), którym TSUE unieważnił tzw. Bezpieczną Przystań – poprzedniczkę Tarczy Prywatności. TSUE ponownie wskazał na brak proceduralnych gwarancji dla osób spoza USA poddawanych masowej inwigilacji elektronicznej na podstawie amerykańskiego prawodawstwa. Trzy główne amerykańskie akty prawne poddane krytyce to ustawa o kontroli wywiadu zagranicznego (FISA), rozporządzenie wykonawcze 12333 i dyrektywa polityczna Prezydenta nr 28. Sąd, eufemistycznie to określając, wyraził dezaprobatę dla efektów negocjacji Komisji Europejskiej z USA co do zastąpienia unieważnionej wcześniej Bezpiecznej Przystani Tarczą Prywatności.
CZYTAJ TEŻ: Trzeba informować członków zarządu o przetwarzaniu ich danych
W ocenie TSUE uprawnienia amerykańskich agend rządowych wynikające z prawodawstwa amerykańskiego względem „danych zagranicznych” są tak duże i tak niekontrolowane, że nie sposób uznać, że Tarcza Prywatności rzeczywiście dawała rezydentom Unii Europejskiej ochronę odpowiednią do ochrony danych w EU. Sąd wskazał, że prawo amerykańskie inaczej (dużo bardziej) chroni obywateli amerykańskich, nie dając porównywalnych, a w zasadzie żadnych gwarancji ochrony prawnej przed inwigilacją osobom spoza USA.
Klauzule tak, transfer danych nie
Równocześnie sąd wskazał, że wprawdzie tzw. standardowe klauzule umowne (SCC) pozostają w mocy same w sobie (a konkretnie decyzja Komisji Europejskiej przyjmująca SCC). Natomiast niekoniecznie legalny jest transfer danych na podstawie SCC. Standardowe klauzule umowne to wzorce konkretnych zobowiązań umownych pomiędzy podmiotem transferującym dane poza UE a odbiorcą tych danych poza UE. Sąd wskazał, że legalność transferu danych w oparciu o SCC należy badać na tle prawodawstwa państwa docelowego. Jeżeli prawodawstwo to nie zapewnia odpowiednich proceduralnych gwarancji dla podmiotów danych (rezydentów UE) i dopuszcza dowolny dostęp do tych danych agendom rządowym państwa docelowego, to nie można uznać, że ochrona danych zapewniana przez SCC, będzie miała stopień odpowiedni do europejskiego. A w konsekwencji taki transfer pozostanie nielegalny lub może za taki zostać uznany przez organ nadzorczy i zakazany.
CZYTAJ TEŻ: Apel o ułatwienie stosowania RODO małym firmom