Trybunał Sprawiedliwości Unii Europejskiej unieważnił decyzję Komisji Europejskiej w sprawie Tarczy Prywatności UE-USA. Popularna Privacy Shield podzieliła w ten sposób los swojej poprzedniczki, czyli Bezpiecznej Przystani (ang. Safe Harbour). Przekazywanie danych osobowych z obszaru Unii Europejskiej do Stanów Zjednoczonych znów się komplikuje.
Wyrok został ogłoszony przez TSUE dnia 16 lipca 2020 r. i od tej pory przekazywanie danych osobowych do USA nie może odbywać się na podstawie Tarczy Prywatności.
W wydanym krótko po wyroku komunikacie Europejska Rada Ochrony Danych poinformowała, że w przeszłości zidentyfikowała niektóre z głównych wad Tarczy Prywatności, które Trybunał wziął teraz pod uwagę podejmując decyzję o jej unieważnieniu.
Po dniu 16 lipca 2020 r. dane osobowe mogą być co prawda przekazywane do USA, ale pod warunkiem spełnienia wymogów przewidzianych w RODO dla transferu danych do państwa trzeciego. USA straciły swoją uprzywilejowaną pozycję, jaka wynikała z uchylonej decyzji.
W tej sytuacji europejskie firmy działające do tej pory w ramach Privacy Shield muszą pilnie zrewidować zasady przekazywania danych osobowych do USA.
Trybunał nie podważył w omawianym wyroku decyzji Komisji Europejskiej w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich.
Nie znaczy to jednak, że transfery danych do USA w oparciu o standardowe klauzule będą automatycznie uznane za legalne. Problem polega na tym, że Stany Zjednoczone nie są obecnie uznawane za państwo, które zapewnia odpowiednio wysoki poziom ochrony danych osobowych. A to z uwagi na szerokie uprawnienia tamtejszych władz do uzyskiwania dostępu do danych przetwarzanych na terytorium USA.
Co może zatem zrobić firma, która nie chce rezygnować z usług dostawców technologii informatycznych ze Stanów Zjednoczonych?
Jednym z rozwiązań jest korzystanie z usługi w modelu, który gwarantuje, że dane będą przechowywane w centrach danych zlokalizowanych na terenie Europejskiego Obszaru Gospodarczego. W takim wypadku musi to dotyczyć także wszystkich kopii danych, które nie mogą być transferowane do USA (ewentualnie do innych państw spoza EOG niegwarantujących odpowiedniej ochrony danych) w celu ich przechowywania w lokalnej infrastrukturze.
Drugim rozwiązaniem jest zapewnienie dodatkowych zabezpieczeń dla danych osobowych, które będą w dalszym ciągu transferowane do USA, np. w postaci szyfrowania.
Z punktu widzenia firmy kluczowe będzie wyważenie biznesowych korzyści z używania określonych rozwiązań technologicznych z potencjalnym ryzykiem dla ich bezpieczeństwa i poufności. Ocena ta powinna być dokonana indywidualnie, biorąc pod uwagę otoczenie regulacyjne danego podmiotu oraz specyfikację usługi informatycznej świadczonej przez dostawcę zza oceanu.