USA:s safe harbor-system underkänns

För bara några dagar sedan slog EU-domstolen fast att USA inte har ett tillräckligt skydd för personuppgifter som överförts från EU-länder. Kommissionens tidigare beslut att godkänna den så kallade safe harbor-överenskommelsen mellan EU och USA har därför ogiltigförklarats. Domen innebär att företag som för över personuppgifter från EU till USA måste se över alternativa sätt för att överföra uppgifterna.

Safe harbor-överenskommelsen som tidigare förhandlats fram mellan EU och USA innebär att företag i USA kan förbinda sig att följa en uppsättning bestämmelser för personuppgiftsskydd.

Frågan om överenskommelsens förenlighet med dataskyddsdirektivet förpassades till EU-domstolen från High Court of Ireland sedan en österrikisk Facebook-användare, i efterdyningarna av Edward Snowdens avslöjande år 2013, gjort en anmälan till den irländska tillsynsmyndigheten.

EU-domstolen konstaterar i domen att amerikanska företag är skyldiga att frångå safe harbor-systemets skyddsregler när dessa står i konflikt med amerikansk lag och krav som rör nationell säkerhet. Trots safe harbor-systemet är alltså ingrepp från amerikanska myndigheter i enskilda EU-medborgares grundläggande rättigheter fortfarande möjliga. Att amerikanska myndigheter tillåts generell åtkomst till innehållet i elektroniska kommunikationer anses kränka rätten till respekt för privatlivet.

I avvaktan på att EU och USA slutför de pågående förhandlingarna om ett nytt safe harbor-avtal innebär domen en utmaning för företag som Google och Facebook. Artikel 29-gruppen, som består av medlemsstaternas dataskyddsmyndigheter och har till uppgift att utöva tillsyn av dataskyddsdirektivets efterlevnad, har den 16 oktober 2015 publicerat en kommentar till domen. Gruppen konstaterar att överföringar av personuppgifter som grundar sig på safe harbor-överenskommelsen i fortsättningen är olagliga. Tills vidare anser gruppen att så kallade modellklausuler och företagsinterna regler kan användas.

Mot bakgrund av det grundläggande problemet med amerikanska myndigheters tillgång till personuppgifter som domstolen pekar på är det svårt att se hur modellklausuler och företagsinterna regler kan vara en hållbar lösning. Att inhämta den enskildes samtycke för personuppgifter som ska överföras är emellertid i många fall inte något attraktivt alternativ för företagen. Vi får med all säkerhet anledning att återkomma i denna fråga i kommande nummer av Frankly.

Tillbaka till Frankly #7

Prenumerera på Frankly

Frankly ges ut en gång i månaden till dig som vill veta mer om vad som händer på Frank
och innehåller även artiklar om regler och lagar.

Vi använder cookies på denna webbplats för att ge dig en bättre upplevelse. En cookie är en textfil som sparas på din dator. Genom att använda vår webbplats accepterar du att cookies används. Läs mer om cookies här. Jag förstår