TSUE unieważnił Tarczę Prywatności powołując się na niewystarczającą ochronę przed dostępem władz publicznych do danych przekazywanych do tego kraju.
W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) unieważnił tzw. Tarczę Prywatności. Tarcza Prywatności (Privacy Shield) to nazwa Decyzji wykonawczej Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętej na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Tarcza Prywatności stanowiła jedną z podstaw do przekazywania danych osobowych do kraju trzeciego – w tym wypadku Stanów Zjednoczonych. Co do zasady zgodnie z RODO dane osobowe mogą być przekazane do państwa trzeciego (spoza obszaru EOG), jeżeli to trzecie państwo zapewnia odpowiedni poziom ochrony danych osobowych. Stwierdzenie zapewnienia odpowiedniego poziomu ochrony może nastąpić na podstawie decyzji Komisji zgodnie z art. 45 RODO. Wtedy na podstawie takiej decyzji (w tym przypadku Tarczy Prywatności) przekazanie danych nie wymaga specjalnego zezwolenia.
Wyrok zapadł w związku ze skargą Maximilliana Schremsa, obywatela Austrii, który jest od 2008 r. użytkownikiem Facebooka. Wniósł on skargę do irlandzkiego organu nadzorczego zmierzającą do zakazania przekazywania danych przez Facebook Ireland na serwery Facebook Inc., znajdujące się na terytorium Stanów Zjednoczonych, gdzie dane te dalej są przetwarzane. Skarżący podniósł, że prawo i praktyka Stanów Zjednoczonych nie zapewniają wystarczającej ochrony przed dostępem władz publicznych do danych przekazywanych do tego kraju.
W sprawie toczącej się pod sygnaturą C-311/18 Trybunał zbadał ważność Tarczy Prywatności w świetle wymogów wynikających z RODO, interpretowanych w świetle postanowień Karty Praw Podstawowych gwarantujących poszanowanie dla życia prywatnego i rodzinnego, ochrony danych osobowych oraz prawa do skutecznej ochrony sądowej. W tym względzie Trybunał zauważył, że w Tarczy Prywatności wyrażone jest stanowisko, zgodnie z którym wymogi bezpieczeństwa narodowego, interesu publicznego i ochrony porządku publicznego Stanów Zjednoczonych mają pierwszeństwo przed prawami osób, dopuszczając ingerencję w prawa podstawowe osób, których dane są przekazywane do tego celu przez państwo trzecie.
TSUE uznało, że ograniczenia w zakresie ochrony danych osobowych wynikające z krajowego prawa Stanów Zjednoczonych dotyczącego dostępu i wykorzystywania przez organy publiczne Stanów Zjednoczonych takich danych przekazywanych z Unii Europejskiej nie są określone w sposób, który spełniałby wymogi równoważne z tymi stawianymi przez prawo UE. Programy nadzoru oparte na prawie krajowym Stanów Zjednoczonych w sprawie dostępu i wykorzystania danych przez władze publiczne USA nie są ograniczone do tego, co ściśle konieczne zgodnie z zasadą proporcjonalności.
Trybunał badał również kwestię ważności standardowych klauzul umownych (Decyzja Komisji 2010/87 z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady). Zdaniem TSUE ważność decyzji 2010/87 zależy od tego, czy przewiduje ona skuteczne mechanizmy umożliwiające w praktyce zapewnienie przestrzegania wymaganego przez prawo Unii stopnia ochrony i czy odbywające się na podstawie takich klauzul przekazywanie danych osobowych zostanie w przypadku ich naruszenia lub niemożności ich przestrzegania zawieszone lub zakazane. W ocenie Trybunału decyzja 2010/87 wprowadza takie mechanizmy oraz w świetle Karty praw podstawowych Unii Europejskiej nie wykazuje niczego, co mogłoby podważać jej ważność.