Mechanismem pro předávání osobních údajů z EU do USA byl původně Safe Harbour. Ten byl však rozsudkem Soudního dvora Evropské unie (SDEU) z roku 2015 označen za neplatný, neboť podle názoru SDEU Safe Harbour nedostatečně chránil osobní údaje občanů, které byly zpracovávány v USA. V souvislosti s nedostatečnou ochranou osobních údajů rozsudek SDEU přímo uvádí: „Konkrétně právní úprava, která veřejným orgánům umožňuje globální přístup k obsahu elektronických komunikací, musí být považována za zasahující do podstaty základního práva na respektování soukromého života“.

Globálním přístupem, ve výše uvedené citaci z rozsudku, měl SDEU na mysli „rozsáhlé a nediferencované sledování a zachycování [osobních údajů]“ ze strany NSA a dalších federálních orgánů USA. Navíc dle SDEU úprava Safe Harbour odpírala dohledové pravomoci vnitrostátním orgánům dozoru (tj. úřadům pro ochranu osobních údajů).

V důsledku zrušení Safe Harbour bylo třeba přijmout novou úpravu, která zajistí dostatečnou úroveň ochrany osobních údajů zpracovávaných v USA. Touto úpravou je Privacy Shield. Dvěma hlavními právními dokumenty, ze kterých tato úprava sestává jsou:

• prováděcí rozhodnutí Komise (EU) 2016/1250 ze dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí (zkráceně označováno jako rozhodnutí o přiměřenosti); a
• dohoda mezi EU a USA nazvaná „Umbrella Agreement“, která potom upravuje právní rámec pro přenos osobních údajů mezi EU a USA.

Tyto právní dokumenty jsou zároveň základem pro fungování Privacy Shield, který nově upravuje povinnosti, které mají organizace v USA při nakládání s osobními údaji evropských občanů. Základní povinností je provedení autocertifikace (self-certification), čímž se rozumí závazek americké organizace dodržovat soubor zásad ochrany osobních údajů stanovený v Privacy Shield. Mezi další povinnosti amerických organizací účastnících se Privacy Shield bude patřit:

• zavedení nezávislého a bezplatného odvolacího mechanismu pro řešení sporů s občany ohledně jejich osobních údajů;
• zavedení mechanismu pro ověřování dodržování požadavků na ochranu osobních údajů stanovených v Privacy Shield;
• určení kontaktního místo pro řešení skutečností týkajících se ochrany soukromí; a
• oznámení svého zapojení do Privacy Shield americkému Ministerstvu obchodu, které vede rejstřík těchto společností.

Privacy Shield dále upravuje dohled nad dodržováním v něm uvedených povinností. Ten bude náležet americkému Ministerstvu obchodu, které ho bude vykonávat u jednotlivých amerických organizací. Kromě toho bude toto ministerstvo vyřizovat stížnosti ohledně zpracování osobních údajů od jednotlivých občanů, předané od evropských orgánů ochrany údajů, a spolu s Evropskou komisí bude pravidelně vyhodnocovat fungování Privacy Shield.

Privacy Shield rovněž zavádí postup občanů pro podávání stížností, pokud se domnívají, že došlo k protiprávnímu zpracování jejich osobních údajů. Ty mají díky Privacy Shield hned několik možností pro podání stížnosti. Stížnost může být tedy podána:

• k dané organizaci;
• k orgánu ochrany osobních údajů členského státu; nebo
• s využitím odvolacího mechanismu u nezávislého odvolacího orgánu.

Pokud tyto možnosti nepovedou k nápravě, tak mají občané ještě možnost odvolat se k Privacy Shield Panel, který je oprávněn vydávat pro americké organizace závazná rozhodnutí.

Jak již bylo výše uvedeno, tak jedním z důvodů pro zrušení Safe Harbour bylo rozsáhlé a nediferencované sledování a zachycování osobních údajů ze strany federálních orgánů USA. Privacy Shield se proto zabývá i otázkou hromadného shromažďování osobních údajů ze strany těchto orgánů. Záruky proti takovému hromadnému shromažďování spatřuje Evropská komise v:

• prezidentské směrnici 28, která stanoví přednost cíleného shromažďování údajů před hromadným shromažďováním a u hromadného shromažďování přesně vymezuje jeho účely;
• zákonu USA Freedom Act, jenž rovněž omezuje hromadné shromažďování a opravňuje společnosti vydávat zprávu o průhlednosti; a
• písemném ujištění USA, uveřejněném ve Federálním úředním věstníku USA, o tom, že přístup orgánů veřejné moci bude podléhat jasně nastaveným omezením, ochranným opatřením a dohledovým mechanismům.

Subjekty osobních údajů budou mít dále právo obrátit se na amerického ombudsmana (nezávislého na tajných službách) se svými stížnostmi týkajícími se neoprávněného zpracování osobních údajů federálními orgány. Otázka hromadného zpracování údajů bude rovněž předmětem každoročního vyhodnocování Privacy Shield.

Privacy Shield tedy dává občanům v EU a organizacím v USA znovu prostor pro předávání osobních údajů, které by mělo poskytovat záruky jejich ochrany dle požadavků EU. Klíčové však bude jeho uplatnění v praxi. Pokud i opatření zavedená skrze Privacy Shield budou v budoucnu shledána za nedostatečná (např. ze strany SDEU), vzhledem k přísné úpravě ochrany osobních údajů v EU, tak nelze vyloučit, že Privacy Shield nakonec potká stejný osud jako Safe Harbour.