Как и ранее, в соответствии с правилами «Безопасной гавани», компании, обрабатывающие персональные данные граждан Евросоюза, подлежат обязательной сертификации. При сертификации компании подтверждают свое намерение добровольно соблюдать систему Принципов конфиденциальности ( принципов Европейской Директивы по защите данных), а также систему принципов, которая была дополнительно установлена Министерством Торговли США.[12]
Несмотря на ужесточение требований к субъектам передачи данных и самому процессу трансфера в целом, данная система также прекратила свое действие вследствие акта Европейского Суда. В очередной раз дело не обошлось без Максимилиана Шремса. Спор, который получил название SchremsII, все также начался с подачи заявления в Ирландский орган по защите данных. Шремс апеллировал к недопустимости действующих способов защиты данных, использованных Facebook. И действительно, защита данных стала выглядеть сомнительно в связи с опубликованными Эдвардом Сноуденом разоблачениями систем наблюдения, используемыми Агентством национальной безопасности США. Как и в деле SchremsI, вновь встает вопрос о приоритете национального законодательства США в области вмешательства в процесс передачи данных. Правовое регулирование США позволяет обходить положения «Щита конфиденциальности». Так, к примеру, законодательство США допускает «интрузивное» наблюдение со стороны государства, в частности, такое положение закреплено в разделе 702 Акта «О негласном наблюдении в целях внешней разведки» (FISA)[13], а также в Приказе № 12333 «О разведывательной деятельности в США»[14]. Под действие соответствующих актов подпадает любая информация о персональных данных, передающаяся в электронном виде. Вследствие невозможности обеспечить адекватную правовую защиту данных Европейский суд инвалидировал систему «Щит конфиденциальности».