Komentar AmCham-a nalazi se u nastavku:

Mogućnost međunarodnog prijenosa podataka neodvojivi je dio globalnoga gospodarstva i društvenih razmjena. Organizacije svih sektora EU-a, bilo javnih ili privatnih, velika međunarodna društva te manja i srednja poduzeća zapravo se uvelike oslanjaju na mogućnost prijenosa osobnih podataka trećim zemljama za pružanje svojih usluga unutar EU-u i diljem svijeta. Danas gotovo ni jedna organizacija, bez obzira na sektor, ne bi mogla poslovati, a kamoli sudjelovati u međunarodnoj trgovini, bez mogućnosti slanja podataka preko granica. Protoci podataka igraju nevidljivu, ali strukturnu ulogu u isporuci proizvoda i usluga na koje se građani EU-a oslanjaju u svakodnevnom životu. 

Preporukama se ne uzimaju u obzir ove činjenice i ne uzima se u obzir da će pretjerano težak i preskriptivan pristup koji se njima određuje vjerojatno imati vrlo dalekosežne negativne učinke na temeljna prava i slobode građana EU-a i organizacija unutar EU-a, na gospodarstvo EU-a te općenitije na život. 

U preporukama se ne razmatra pristup GDPR-a koji se temelji na procjeni rizika i ne razlikuju se kategorije podataka; stoga bi se s opterećenjem servera, metapodacima o uslugama, provjerama konfiguracije ili zapisima koji bi mogli sadržavati informacije na temelju kojih se može utvrditi identitet korisnika postupalo na isti način kao sa spolnom orijentacijom, političkim opredjeljenjem ili podacima o religiji. Opasnosti koje su usko povezane s gore navedenim kategorijama uvelike se razlikuju od opasnosti koje ugrožavaju prava i slobode fizičkih osoba. Usto, Odbor uklanja mogućnost razmatranja vjerojatnosti, što je osnovni dio bilo koje procjene rizika u skladu sa široko prihvaćenim međunarodnim standardima i uvodnom izjavom 75. GDPR-a. 

Preporuke odražavaju neuzimanje u obzir nikakvih drugih prava i sloboda iz Povelje EU-a o temeljnim pravima, kao ni drugih legitimnih interesa, uključujući sadašnjost i budućnost gospodarstva EU-a, društveno blagostanje i zdravlje građana EU-a te sigurnost EU-a za koje je potreban globalni pristup. 

Preporuke su prekomjerno preskriptivne i uvelike opterećuju organizacije koje možda ne mogu uvijek postići i održati sukladnost. Primjerice, preporuke zahtijevaju detaljnu analizu značajki svakoga prijenosa i procjenu svih primjenjivih lokalnih zakona – to je vrlo složena procjena za koju je potreban pravni savjet stručnjaka iz više područja i treba se rutinski ponovno procjenjivati, što si brojna poduzeća nebi mogla priuštiti. Usto bi zbog troška uvođenja nekih stvarnih preporučenih zaštita neka poduzeća postala neodrživa ili prezahtjevna. 

Preporukama se potkopavaju i oštetit će se prava i mogućnosti građana i poduzeća EU-a time što se ne usvaja proporcionalni pristup koji se usto temelji na procjeni rizika i time što ne se priznaje važnost drugih temeljnih prava i sloboda, uključujući pravo na slobodu izražavanja i informiranja (članci 11. i 7. Povelje) i slobodu poduzetništva (članak 16. Povelje). Pravo na zaštitu osobnih podataka mora postojati uz ta druga temeljna prava i biti uravnoteženo s njima.

Preporukama se posebno zahtijevaju dodatne dopunske mjere koje onemogućavaju pristup iz tehničke perspektive ili čine taj pristup neučinkovitim u trećoj zemlji. U praksi to bi zabranjivalo bilo kojem poduzeću iz EU-a da se oslanja na brojne globalne pružatelje usluga koji pružaju komunikacijske usluge (npr. e-poštu, videokonferencije, objavljivanje itd.) ili novčane prijenose za koje je potrebno pristupiti komunikacijama ili povezanim osobnim podacima za isporuku tih usluga. 

Preporukama se u osnovi traži da organizacije provedu određene tehničke mjere za oslanjanje na standardne ugovorne klauzule (SUK-ove) u brojnim slučajevima i za onemogućivanje oslanjanja na organizacijske, ugovorne i druge mjere. Preporuke time značajno odudaraju od teksta GDPR-a i presude Suda EU-a u slučaju Schrems II – ni u kojem od tih dokumenata tehničkih se mjerama ne daje prednost u odnosu na druge vrste mjera kao što su organizacijske, ugovorne ili pravne. Isto tako, predložene tehničke zaštitne mjere prestroge su u vezi s kontrolama upravljanja ključevima za šifriranje jer nalažu da izvoznici podataka trebaju upravljati vlastitim ključevima za šifriranje. To može izazvati nenamjernu zabrinutost u vezi s mogućim gubitkom podataka i možda neće uvijek biti najprikladnije rješenje sa stajališta informacijske sigurnosti.