Kluczowe dla orzeczenia były obawy dotyczące nadzoru bezpieczeństwa narodowego USA. Stanowisko TSUE wskazało na zagrożenie w zakresie zapewnienia wystarczających indywidualnych praw osób, których dane dotyczą oraz potencjalnego dochodzenia roszczeń przez te osoby.
Bez względu na powyższe w przypadku większości transferów danych do USA w ramach stosowanych klauzul umownych znamienita część amerykańskich firm bez większych trudności jest w stanie wykazać, że organy nadzoru nie będą ingerować w SCC.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zabrania przekazywania danych osobowych poza Europejski Obszar Gospodarczy (EOG) do krajów, których reżim prawny w zakresie prywatności nie został uznany za Komisję UE za „odpowiedni”.
Wyjątek stanowi sytuacja, kiedy przekazujący dane wdrożył zatwierdzone mechanizmy, bądź odwołuje się do odstępstw takich jak np. interes publiczny lub konieczność wykonania umowy.
Tarcza Prywatności stanowiła mechanizm zatwierdzony dla transferów USA-EU, podczas gdy klauzule umowne zostały zatwierdzone do użytku w celu autoryzacji przesyłania danych do innych krajów. Mogą one być wykorzystywane do przesyłania danych do Wenezueli, Chin lub innego kraju, którego reżim ochrony prywatności nie został uznany przez UE za odpowiedni.
Można mieć nadzieję, że organy nadzorcze Unii Europejskiej uznają, że przekazywanie danych do USA nie stanowi problemu, który został wskazany przez TSUE. Brak jest dowodów na faktyczną inwigilację amerykańskich agencji wywiadowczych w sferze przekazanych z Unii Europejskiej danych.
Ponadto ustawodawstwo krajowe wyklucza możliwość transferów pomiędzy firmami amerykańskimi. Powinny one być w stanie wywiązać się z obowiązku dotyczącego samooceny, wynikającego ze Schrems II.
Idealnym rozwiązaniem byłoby ustanowienie przez państwa UE organu w USA, który mógłby potwierdzić, że przekazywane dane nie są celem nadzoru naruszającego prawo do prywatności obywateli Unii Europejskiej.
Źródło: https://www.lawfareblog.com/why-schrems-ii-might-not-be-problem-eu-us-data-transfers