Schrems II
W wyroku Trybunału Sprawiedliwości UE (TSUE) w sprawie C-311/18 (Schrems II) TSUE wypowiedział się na temat zakresu stosowania RODO, zasad przekazywania danych do państw trzecich, kompetencji organów nadzorczych w tym kontekście, a także dopuszczalności przekazywania danych osobowych do Stanów Zjednoczonych Ameryki. TSUE uznał poziom ochrony zapewnianej przez Tarczę Prywatności za nieadekwatny, wskutek czego została ona unieważniona. Według TSUE, prawo amerykańskie (m.in. sekcja 702 FISA i Rozporządzenie Wykonawcze 12333) nie zapewnia odpowiedniego stopnia ochrony, a Tarcza Prywatności nie zabezpiecza prawa do poszanowania życia prywatnego oraz prawa do ochrony danych osobowych zawartych w art. 7 i art. 8 Kraty Praw Podstawowych UE.
Konsekwencją wyroku TSUE jest nałożenie na administratorów przekazujących dane osobowe do państw trzecich obowiązku dokonania oceny, czy prawo w danym państwie nie ma negatywnego wpływu na zapewnienie odpowiedniego poziom ochrony danych osobowy przy wykorzystaniu instrumentów prawnych, o których mowa w art. 46 RODO (np. standardowych klauzul ochrony danych, czy wiążących reguł korporacyjnych). W razie stwierdzenia, że takie przepisy uniemożliwiają przestrzeganie np. standardowych klauzul ochrony danych, transfer danych jest możliwy tylko po zastosowania dodatkowych środków uzupełniających.
Właściwe wdrożenie wyroku TSUE w sprawie C-311/18 musi być prowadzone w sposób skoordynowany. Co za tym idzie, należy zapewnić jednolite podejście we wszystkich państwach członkowskich UE. W ramach prac Europejskiej Rady Ochrony Danych (ERPD) przyjęto pierwsze wspólne wytyczne w niniejszej sprawie.
Po wyroku TSUE, EROD opublikowała wytyczne 01/2020 w sprawie środków uzupełniających. Jeśli administrator przekazujący dane osobowe do państw trzecich uzna, że poziom ochrony nie jest odpowiedni, może zastosować dodatkowe środki uzupełniające w celu zrekompensowania braku ochrony. Obejmują one środki techniczne (np. szyfrowanie danych), umowne (np. obowiązki przejrzystości) i organizacyjne (np. dokumentacja dostępu rządowego). Zastosowanie środków uzupełniających jest w stanie zapewnić legalność transferów na podstawie instrumentów prawnych wymienionych w art. 46 RODO. Z pewnością nie jest to rozwiązanie uniwersalne. Wręcz przeciwnie, środki uzupełniające użyte przez administratorów powinny być oceniane w każdym przypadku z osobna w celu upewnienia się, że zastosowany środek lub zestaw środków uzupełniających jest w stanie zagwarantować odpowiedni poziom ochrony.
TSUE w odniesieniu do przekazywania danych do USA rozstrzygnął, że w takim zakresie, w jakim jest objęte ocenionymi przez Trybunał przepisami prawa amerykańskiego, administratorzy, by móc kontynuować transfery danych, muszą zastosować dodatkowe środki uzupełniające.
W przypadku prawa amerykańskiego EROD określiła, że gdy odbierający dane podlega obowiązkom określonym w Sekcji 702 FISA, podjęte środki techniczne muszą być takie, aby dostęp do danych był niemożliwy lub nieskuteczny. Jeżeli żaden z tych środków nie jest odpowiedni, organy ochrony danych mają za zadanie nadzorować, czy państwo trzecie zapewnia poziom ochrony zasadniczo odpowiadający stopniowi ochrony w UE. Jeżeli nie można osiągnąć tego poziomu, przekazywanie danych osobowych należy zawiesić.