Съдът на ЕС забрани споразумението за трансфер на данни към САЩ чрез Privacy Shield поради опасения за достъп на разузнавателните агенции до тези данни. Решението ще засегне Facebook и други големи компании.

Според решението от 16 юли 2020 г.  данните, предавани чрез сертифицирането на механизмите за защита на личните данни „не се ограничават до това, което е строго необходимо“, когато става въпрос за подлагане на граждани на ЕС на наблюдение и подслушване в САЩ.

Съдът на Европейския съюз смята, че защитата на личните данни, произтичащи от вътрешното законодателство на Съединените щати относно достъпа на държавни агенции, не съответства на нивото, изисквано от законодателството на ЕС.

Решението е голям удар за хиляди корпорации – включително социални медии, но също така и за банки, адвокатски кантори, университети и производители – които прехвърлят множество данни между САЩ и Европа.

Решението на СЕС накратко:

  1. Регламентът се прилага за трансфер на данни към трети страни, независимо дали към момента на прехвърлянето или след това тези данни могат да бъдат обработвани от властите на въпросната трета държава за целите на обществената сигурност, отбраната и държавната сигурност;
  2. Подходящите защитни мерки, приложими права и ефективни правни средства за защита, изисквани от чл. 46, трябва да гарантират, че субектите на данни, чиито лични данни се прехвърлят в трета държава съгласно стандартните клаузи за защита на данните, ще получат ниво на защита, еквивалентно на това, гарантирано в Европейския съюз от GDPR и Хартата на основните права на Европейския съюз. За тази цел оценката на нивото на защита трябва да отчете както договорните клаузи, договорени между администратора или обработващия, установени в Европейския съюз, и получателя на данните, установен в съответната трета държава, така и всеки достъп на публичните органи на тази трета страна до прехвърлените лични данни, съответните аспекти на правната система на тази трета страна, по-специално тези, изложени неизчерпателно в Член 45, параграф 2 от регламента.
  3. Член 58, параграф 2, букви е) и й) от Регламента означава, че ако няма валидно решение за адекватност на Европейската комисия, компетентният надзорен орган е длъжен да спре или да забрани прехвърлянето на данни на трета държава съгласно стандартните клаузи за защита на данните, приети от Комисията, ако тези клаузи не са или не могат да бъдат спазени в тази трета държава и защитата на прехвърлените данни не може да бъде осигурена.
  4. Решение 2010/87 / ЕС на Комисията от 5 февруари 2010 г. относно стандартни договорни клаузи за прехвърляне на лични данни към обработващи, установени в трети страни съгласно Директива 95/46 / ЕС на Европейския парламент и на Съвета, изменена с Решение за изпълнение (ЕС) 2016/2297 на Комисията от 16 декември 2016 г. в светлината на членове 7, 8 и 47 от Хартата на основните права е валидно.
  5. Решение за прилагане (ЕС) 2016/1250 на Комисията от 12 юли 2016 г. съгласно Директива 95/46 / ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурена от Privacy Shield между ЕС и САЩ, е невалидно.

Така наречените Стандартни договорни клаузи (SCC) остават валиден начин за прехвърляне на лични данни от ЕС в трета страна, стига страната да „осигурява адекватно ниво на защита на данните“ .Това обаче предполага оценка.

Решението на съда идва, след като австрийският активист Макс Шремс подаде жалба срещу Facebook, като аргументира, че неговият личен живот е нарушен, тъй като компанията прехвърля данните в САЩ, където те могат да бъдат проследени от американските разузнавателни агенции.

Privacy Shield беше наследник на споразумението Safe Harbour, което също беше отхвърлено от европейските съдии през 2015 г. по дело на Шремс. В четвъртък той призова САЩ „сериозно да променят законите си за наблюдение, ако американските компании искат да продължат да играят основна роля на пазара на ЕС“. „От  решението става ясно, че компаниите не могат просто да подпишат Стандартни договорни клаузи, но също така трябва да проверят дали те могат да бъдат спазени на практика“, каза той.


Томас Буе, генерален директор за Европа, Близкия изток и Африка в Алианса за бизнес софтуер, който представлява компании, включително Microsoft, Oracle и IBM, коментира пред FT: „Ние сме облекчени, че SCC остават валидни, което е положителен резултат. Но днешното решение за защита на личните данни току-що премахна един от малкото и най-надеждни начини за прехвърляне на данни през Атлантическия океан. “