Safe Harbor-avtalet för dataöverföringar var ramavtal om dataöverföringar från EU till USA som slutits mellan EU-kommissionen och amerikanska regeringen. EU-domstolen förklarade den 6 oktober 20151 att avtalen var oförenliga med EU:s stadga för mänskliga rättigheter och EU:s lagstiftning i övrigt. Bland annat ansåg domstolen att EU-kommissionen inte sett till att det fanns tillräckliga rättsmedel för europeiska medborgare att tillgripa när myndigheter i landet datan överförs till missbrukar sitt förtroende. Det finns i dagsläget ytterligare 11 safe harbor-avtal som EU-kommissionen förhandlat med länder och regioner utanför USA, men statusen och giltigheten för dessa avtal är mot bakgrund av EU-domstolens beslut sannolikt osäker.

Det mest kontroversiella safe harbour-avtalet2 var avtalet med USA som var på plats mellan 2000-2015. De sa att företag med huvudkontor i USA får uppskatta huruvida de tycker att de uppfyller kriterierna på dataskydd i Europeiska unionen. Det var den amerikanska myndigheten för handel, FTC, som hade till uppgift att kontrollera att företagen har rätt i sin självuppskattning.

Även SWIFT3 - och PNR4 -avtalen är dataöverföringsavtal, där vissa typer av uppgifter om europeiska medborgare anses nödvändiga att överföra mellan EU och USA. Hösten 2015 har EU-kommissionen presenterat ett nytt förslag på ett mer omfattande dataöverföringsavtal för samarbete mellan polismyndigheter5. Det nya avtalet täcker inte bara bankuppgifter och passageraruppgifter, utan alla sorters personuppgifter.

Efter Snowden-avslöjandena har det i ännu större utsträckning än tidigare ifrågasatts om "safe harbour" verkligen är "safe". Det är uppenbart att europeiska privatpersoner inte åtnjuter något skydd under amerikanska lagar, eftersom USA:s konstitution bara skyddar amerikanska medborgare. Det gör att USA kan övervaka alla europeiska medborgare när de vill, utan någon misstanke om brott. Det europeiska rättssystemet, å andra sidan, försöker ge alla samma rättigheter hela tiden, oavsett var de är medborgare.

Safe harbor innan oktober 2015

Europaparlamentet krävde efter Snowden-avslöjandena att safe harbour-avtalen rivs upp och förhandlas om. EU-kommissionen var inte villiga att gå så långt, och försökte istället förhandla fram nya avtal med USA. Hösten 2015 har de förhandlingarna inte rört sig nämnvärt. Den österrikiske juridikstudenten Max Schrems lyckades dock 2014 få safe harbour-avtalen vidareskickade till EU-domstolen av en irländsk domstol6.

Max Schrems rättsfall rör att han, när han gick med på Facebook, inte fick information eller hade möjlighet att värja sig emot att hans personuppgifter delades med amerikansk underrättelsetjänst och polismyndigheter trots att han inte är misstänkt för något. Den irländska dataskyddsmyndigheten ville inte utreda fallet. När Max Schrems överklagade dataskyddsmyndighetens vägran att inleda vidare undersökningar till domstol svarade den irländska domstolen att den här sortens dataöverföringar är olagliga under irländsk rätt, men att domstolen var osäker på om safe harbour-avtalen från EU överträffar den irländska lagen och därför undantar dataskyddsmyndigheten från utredningsplikt, trots överföringarnas olaglighet.

EU-domstolen har bedömt att den irlänska datainspektionen hade en skyldighet att utreda Max Schrems misstankar, och att den irländska datainspektionen inte kan hänvisa till ett avtal som EU-kommissionen slutit för att undvika den skyldigheten. EU-domstolen bedömde också att Safe Harbour-avtalen som sådana inte var tillräckliga för att ge europeiska medborgare ett tillräckligt skydd mot kränkning av deras privatliv och rätt till dataskydd.

  • 1. EU-domstolens domslut i mål C-362/14, Maximilian Schrems mot Data Protection Commissioner
  • 2. En uppmärksammad studie från Galexia 2008 kom fram till att bara 54 av fler än 1500 företag som anmält sig som "självcertifierade" enligt safe harbour-avtalet faktiskt uppfyllde minimikraven för samtliga datakategorier.
  • 3. SWIFT-avtalet är ett avtal om överföring av bankuppgifter (kontoinnehavare, transaktionsdata) mellan polismyndigheter.
  • 4. PNR står för "Passenger Name Records".
  • 5. Se EU-kommissionens pressrelease om det nya "Paraplyavtalet".
  • 6. Man kan följa Max Schrems samtliga försök att få Facebook att följa privatlivslagar i EU på hemsidan Europe-v-Facebook: http://www.europe-v-facebook.org/EN/en.html