Odkąd Trybunał Sprawiedliwości UE wydał 6 października 2015 r. orzeczenie w sprawie Schrems (C-362/14) unieważniające decyzję Komisji 2000/520/WE z 26 lipca 2000 r. (...) w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach bezpiecznej przystani (...), przedsiębiorcy utracili możliwość przekazywania danych osobowych do USA w oparciu o program Safe Harbour (z ang. Bezpieczna przystań). Dla wielu stanowi to znaczące ograniczenie w ich działalności, które pojawiło się bez żadnego okresu przejściowego pozwalającego na przygotowanie innych podstaw prawnych do kontynuowania takiego przekazywania danych. Dlatego spore zainteresowanie wzbudziły prace Komisji Europejskiej nad nowym programem, który miałby zastąpić „Bezpieczną przystań".
29 lutego Komisja Europejska przedstawiła teksty dokumentów, które będą stanowiły podstawę prawną nowego programu, zwanego Privacy Shield (z ang. Tarcza prywatności). Podstawowe zasady działania tego programu będą analogiczne do zasad znanych wcześniej z programu Safe Harbour. Wyznaczone więc zostaną standardy ochrony danych osobowych, a przedsiębiorstwa z USA będą mogły przystąpić do programu Privacy Shield po spełnieniu określonych wymagań. Te, które będą wpisane na listę uczestników programu, będą zaś korzystać z ułatwienia, jakim jest możliwość przekazywania do nich danych osobowych z terytorium UE (bez konieczności spełniania dalszych wymagań związanych z samym transferem danych).
W porównaniu jednak z programem Safe Harbour, Privacy Shield ma w założeniu zapewniać skuteczniejsze mechanizmy nadzoru nad przedsiębiorstwami w USA przetwarzającymi przekazane dane osobowe, większą przejrzystość zasad udostępniania takich danych organom administracji rządowej USA oraz środki prawne do dochodzenia roszczeń przez obywateli UE.
Przedsiębiorstwa, które będą chciały przystąpić do programu Privacy Shield, będą musiały zobowiązać się do przestrzegania zasad ochrony danych osobowych (Privacy Principles). Zasady te obejmują:
1.
Zasadę informacji. Przedsiębiorstwa zobowiązane będą informować osoby, których dotyczy przekazanie danych, o kategoriach danych, celach ich przetwarzania, prawie dostępu do nich, ewentualnym dalszym przekazywaniu danych i odpowiedzialności podmiotu je przetwarzającego.