Sodišče Evropske unije (SEU) je 16. julija 2020 izdalo sodbo v zadevi »Schrems II« (DPC Ireland v. Facebook Ireland and Schrems), s katero je razglasilo neveljavnost sklepa št. 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (»Privacy Shield«), ki je služil kot ena izmed podlag za prenos osebnih podatkov iz EU v ZDA, obenem pa odločilo, da standardne pogodbene klavzule za prenos osebnih podatkov v tretje države ostajajo veljavne.
Na podlagi Splošne uredbe o varstvu osebnih podatkov (GDPR) je prenos osebnih podatkov v tretje države dovoljen le, če te zagotavljajo ustrezno raven varstva osebnih podatkov. To lahko ugotovi Evropska komisija s sklepom o ustreznosti (kakršen je bil zasebnostni ščit), ob odsotnosti tovrstnega sklepa pa je prenos podatkov v tretjo državo dopusten le, če prenosnik iz Unije zagotovi ustrezne zaščitne ukrepe ter pod pogojem, da imajo posamezniki, na katere se podatki nanašajo, na voljo izvršljive pravice in učinkovita pravna sredstva, npr. z uporabo standardnih pogodbenih klavzul ali zavezujočih poslovnih pravil (46. člen GDPR) oziroma na podlagi izjem iz 49. člena GDPR.
Potem ko je Sodišče EU leta 2015 za neveljavno razglasilo odločitev o ustreznosti varstva na podlagi t.i. dogovora o »varnem pristanu« (sodba Schrems I), sta EU in ZDA sklenili Sporazum o zasebnostnem ščitu, ustreznost katerega je Komisija potrdila s Sklepom št. 2016/1250. S tem je pri posredovanju osebnih podatkov podjetjem v ZDA odpadla potreba po posebnem dovoljenju, zaščitnih ukrepih iz 46. člena oziroma izpolnjenosti posebnih pogojev iz 49. člena GDPR, če so bila podjetja samo-certificirana na podlagi t.i. zasebnostnega ščita.
Sodišče Evropske unije je s sodbo v zadevi “Schrems II“ tudi sklep št. 2016/1250 razglasilo za neveljavnega. Odločitev je utemeljilo z navedbo, da varstvo osebnih podatkov, kot ga zagotavlja zakonodaja v ZDA, ni ekvivalentno ravni varstva v EU. Izpostavilo je predvsem preširoka pooblastila državnih organov pri dostopu do prenesenih osebnih podatkov ter neustreznost pooblastil instituta ameriškega varuha človekovih pravic, ki naj bi zagotavljal pravico do pravnega sredstva.
Obenem je sodišče odločilo, da prenos osebnih podatkov na podlagi standardnih pogodbenih klavzul, uveljavljen s sklepom komisije št. 2010/87, ostaja v veljavi. Navedeni sklep namreč vsebuje učinkovite mehanizme, ki v praksi omogočajo, da se zagotovi raven varstva, ki se zahteva s pravom Unije, ter da se prenosi osebnih podatkov, ki temeljijo na takih določilih, v primeru kršitve začasno ustavijo ali prepovejo. Poudarilo pa je, da je obveznost tako izvoznika kot tudi prejemnika podatkov, da preverita, ali se v tretji državi zahtevana raven varstva spoštuje. V primeru, da prejemnik ustrezne ravni varstva osebnih podatkov ni zmožen zagotavljati, je zavezan o tem obvestiti izvoznika, ta pa mora začasno ustaviti prenos podatkov oziroma odstopiti od pogodbe.
Razglasitev neveljavnosti sklepa št. 2016/1250 torej ne pomeni, da prenos osebnih podatkov v ZDA ne bo več mogoč, saj je odpadla zgolj ena izmed podlag, predvidenih v GDPR. Pomembno pa je, da upravljavci, ki so doslej podatke v ZDA prenašali na podlagi sporazuma o zasebnostnem ščitu, poskrbijo za utemeljitev prenosa na eni izmed preostalih veljavnih podlag. Ob tem pa bodo morali sami zagotoviti, da so vzpostavljeni ustrezni zaščitni ukrepi za varovanje zasebnosti ter temeljnih pravic in svoboščin posameznikov.
Celotno besedilo sodbe je dostopno na tej povezavi.
