СЕС постанови, че компаниите, които прехвърлят лични потребителски данни от ЕС в други юрисдикции, ще трябва да осигурят същите защити, които са предоставени вътре в блока.
Решението може да повлияе на това как компаниите прехвърлят данните на европейските потребители в Съединените щати и други страни, като Великобритания.
Правната битка започна през 2013 г., когато активистът за поверителност Макс Шремс подаде жалба до ирландския комисар по защита на данните. Той твърдеше, че в светлината на разкритията на Едуард Сноудън, американският закон не предлага достатъчна защита срещу надзор от страна на публичните власти.
Шремс повдигна жалбата срещу социалната мрежа Facebook, която, подобно на много други фирми, прехвърляше своите и други потребителски данни в Щатите.
Жалбата му стигна до Европейския съд (ЕС), който през 2015 г. постанови, че тогавашното Споразумение, което позволява преместването на данните на европейските потребители в САЩ, не е валидно и не защитава адекватно европейските граждани.
В резултат на това компаниите, работещи в Европа, преминаха към стандартни договорни клаузи, които гарантираха, че все още могат да преместват данни в Атлантическия океан. Междувременно Европейският съюз и Съединените щати разработиха ново споразумение, като рамка за защита на личните данни, за да заменят споразумението с безопасно такова.
Съдът постанови в четвъртък, че тези клаузи са валиден начин за прехвърляне на данни, но обезсилват използването на рамката за защита на личните данни. На практика това означава, че страни извън ЕС или компании, които искат да преместят данните на европейските потребители в чужбина, ще трябва да осигурят равностойно ниво на защита на строгите европейски закони за данни.
„По отношение на степента на защита, необходима по отношение на такова прехвърляне, Съдът приема, че изискванията, определени за такива цели от GDPR (Общ регламент за защита на данните) относно подходящи защитни мерки, изпълними права и ефективни правни средства за защита, трябва да се тълкуват така: на субектите на данни, чиито лични данни се прехвърлят в трета държава съгласно стандартните клаузи за защита на данните, трябва да се осигури ниво на защита, което е по същество еквивалентно на това, гарантирано в рамките на ЕС от GDPR“, заяви съдът в четвъртък.
Регулацията на GDPR, въведена през 2018 г., позволи на европейските потребители да имат по-голяма защита и да преценяват за това как и дали компаниите използват тяхната информация.