Sodišče EU razveljavilo dogovor o iznosu osebnih podatkov v ZDA
Sodišče EU (ECJ) je razveljavilo dogovor Privacy Shield (Zasebnostni ščit) med ZDA in EU, ki je podjetjem dovoljeval enostavnejši iznos osebnih podatkov v ZDA. Enako odločitev je ECJ sprejelo že pred petimi leti, potem pa je dogovor Privacy Shield nastal kot odgovor na to. A tudi novi dogovor (gre za sklep 2016/1250, ki ga je sprejela Komisija leta 2016) ni ustrezen, je sedaj odločilo ECJ.
Zgodba sega v leto 2014, ko je avstrijski aktivist Maximilian Schrems od Facebook zahteval izročitev vseh osebnih podatkov, ki jih Facebook hrani o njem, saj storitev uporablja od leta 2008. K temu ga je spodbudil študijski obisk ZDA, kjer je poslušal predavanje vodje Facebookove pravne službe o (ne)zaščiti osebnih podatkov. Facebook mu je poslal CD s 1200 stranmi, ki pa še vedno niso bili vsi njegovi osebni podatki, ki jih je imel Facebook.
Zato je Schrems najprej tožil Facebook pred avstrijskim sodiščem zaradi škode, ki mu je nastala z uporabo njegovih osebnih podatkov, kasneje pa je na Irskem tožil informacijskega pooblaščenca, češ da je bil do Facebooka pri pregledu mehanizmov za varovanje osebnih podatkov preveč popustljiv. Informacijski pooblaščenec se je skliceval na odločbo Evropske komisije (2000/520), ki je ZDA zagotavljala status varnega pristana. Poenostavljeno to pomeni, da je Komisija ugotovila, da je v ZDA standard varovanja osebnih podatkov dovolj visok, da lahko podjetja tja izvažajo osebne podatke Evropejcev.
ECJ je oktobra 2015 omenjeno odločbo odpravilo, pri čemer se je oprlo na dejstvo, da so osebni podatki v ZDA dostopni tudi obveščevalnim službam (afera Snowden). Evropska komisija je zato leto dni pozneje sprejela sklep 2016/1250, ki je prepoznal Privacy Shield kot ustreznost varstva osebnih podatkov v ZDA. Z drugimi besedami: Komisija je še enkrat ugotovilo isto, kar je ugotovila v leto pred tem odpravljeni odločbi. Sodišče EU je danes ugotovilo, da je tudi ta sklep neveljaven in ga odpravilo.
Brez takšnega dogovora je iznos podatkov v ZDA enako težak kot v katerokoli tretjo državo. To v praksi pomeni, da mora upravljavec pridobiti pozitivno odločbo informacijskega pooblaščenca, kateremu je moral prej seveda dokazati, da se bo s podatki ravnalo v skladu z GDPR. Trenutna situacija je torej takšna, da mora vsako podjetje pridobiti odločbo, če želi podatke iznašati v ZDA. Če želi potem spremeniti vrsto podatkov, ki jih iznaša (denimo dodatki telefonsko številko), mora dobiti novo odločbo. Zato je pričakovati, da bo Komisija v spregi z ameriškimi podjetji še v tretje poizkusila obiti to odločitev.
