Mäletatavasti tegi Euroopa Liidu kohus 16. juulil 2020 pöördelise otsuse „Schrems II“ kohtuasjas (C-311/18), milles seisid vastakuti tuntud Austria päritolu privaatsusõiguse aktivist Maximilien Schrems ja Facebook Ireland Ltd.
„Privacy Shield“ oli EL-USA andmekaitseraamistik (lisaks osales seal ka Šveits), mis pakkus ettevõtetele mõlemal pool Atlandi ookeani mehhanismi, et edastada isikuandmeid Euroopast USA-sse kooskõlas GDPR-ga. Pärast „Schrems II“-e kohtuotsust ei ole Privacy Shield enam legaalne lahendus ning kasutada tuleb teisi õiguslikke võimalusi.
Lahendusi, mille abil andmeedastus kolmandatesse riikidesse (väljaspoole EL-i) siiski seaduspärane oleks, leiab GDPR V peatükist. Muu hulgas mainib EL kohus ühe lahendusena GDPR artiklit 49.
Nii sätestab artikkel 49, et artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ühel järgmistest tingimustest:
a) andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;
b) edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;
c) edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;
d) edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;
e) edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;
f) edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;
g) edastamine tehakse registrist, mis liidu või liikmesriigi õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või isikutele, kes suudavad tõendada õigustatud huvi, kuid ainult ulatuses, mis on EL või EL liikmesriigi õigusega ette nähtud.
Artiklis 49 kohaldamist selgitavad GDPR vastavad põhjenduspunktid.
Allviidatud lingilt avanev tabel esitab kokkuvõtlikult need asjaolud/faktorid, mida arvesse võtta:
https://iapp.org/resources/article/article-49-derogations-summary-table-with-examples/