Soudní dvůr Evropské unie svým rozsudkem ze dne 16. července ve věci C-311/18 zrušil tzv. štít na ochranu soukromí jako nástroj umožňující transatlantický tok osobních dat. Řízení před Soudním dvorem Evropské unie bylo zahájeno stížností rakouského státního příslušníka proti předávání osobních údajů uživatelů sociální sítě Facebook, kteří mají bydliště na území Evropské unie společností Facebook Ireland na servery ve vlastnictví společnosti Facebook Inc. umístěné na území Spojených států z důvodu jejich nedostatečné ochrany.

Soudní dvůr Evropské unie ve svém rozhodnutí odkázal na požadavky GDPR, tedy, že na osoby, jejichž osobní údaje jsou předávány do třetí země na základě standardních smluvních doložek, se musí vztahovat úroveň ochrany odpovídající ochraně v Evropské unii. Při posouzení úrovně ochrany je přitom nezbytné vzít do úvahy nejenom smluvní ujednání mezi vývozcem osobních údajů usazeným v Evropské unii a příjemcem ze třetí země, ale i přístup orgánů veřejné moci takové třetí země k předávaným osobním údajům a relevantní prvky právního řádu třetí země.

Na základě výše uvedených kritérií Soudní dvůr Evropské unie dospěl k závěru, že vnitrostátní předpisy USA neposkytují rovnocennou ochranu zaručenou v Evropské unii. Standardní smluvní doložky pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích naproti tomu zůstávají platné.