Safe Harbour underkjent

safe-harbourTirsdag 6. oktober utstedte EU-domstolen en pressemelding om Safe Harbour-ordningen fra juli 2000: “[…] Domstolen erklærer Safe Harbour-beslutningen [av kommisjonen i 2000] ugyldig”. Beslutningen ønskes velkommen av forbrukerorganisasjoner, men reiser en del spørsmål for bedrifter som benytter seg av amerikanske netttjenester.

Bakgrunn

Safe Harbour-avtalen ble inngått mellom USA og EU som følge av at EU i 1998 effektuerte Data Protection Directive. Intensjonen var at Safe Harbour skulle bygge bro mellom EUs og USAs tilnærming til personvern, og på den måten bidra til at selskaper i USA enkelt skulle kunne tilby tjenester til selskaper og personer i EU.

For at et selskap skal dekkes av Safe Harbour må det, i følge myndighetene i USA, skrive et brev til Department of Commerce hvor de oppgir hvem de er, beskriver hvilke aktiviteter organisasjonen bedriver og noe informasjon om den gjeldende personvernerklæring – inkludert hvor denne er å finne for kunden. Et slikt brev, som utgjør en selvsertifisering, må sendes årlig for at bedriften skal fortsette å være underlagt Safe Harbour.

At Safe Harbour har blitt behandlet av EU-domstolen, kommer som en følge av at den østerrikske studenten Max Schrems klaget Facebook inn for irske tilsynsmyndigheter. Dette gjorde han fordi han var urolig for at hans Facebook-data også kunne være overvåket som følge av Snowden-avsløringene. De irske tilsynsmyndighetene ville ikke behandle klagen, hvilket gjorde at saken havnet for retten. Høyesterett i Irland ba EU-domstolen om å ta stilling til hvorvidt kommisjonens beslutning om å innføre Safe Harbour hindrer nasjonale tilsynsmyndigheter fra å etterforske klager på at tredjeland ikke har tilstrekkelig beskyttelse av data.

En mer inngående (og engelsk) gjennomgang finner du på bloggen til Steve Peers.

Underkjent

Med hensyn til Safe Harbours gyldighet heter det i pressemeldingen (oversatt til norsk):

Domstolen undersøker hvorvidt Safe Harbour-avgjørelsen er gyldig. I denne forbindelse påpeker Domstolen at kommisjonen måtte påvise at USA faktisk sikrer beskyttelse av grunnleggende rettigheter, ved nasjonal lovgivning eller internasjonale forpliktelser, som i hovedsak tilsvarer hva er garantert innen EU gjennom direktivet lest i lys av Charteret. Domstolen registrerer at kommisjonen ikke påviste dette, men bare studerte Safe Harbour-ordningen.

Domstolen fortsetter med å påpeke at selv om bedrifter er underlagt Safe Harbour-ordningen i USA, gjelder ikke det samme myndighetene. Og det påpekes videre at det er et problem at nasjonale interesser tar presedens over Safe Harbour-ordningen:

Dessuten, krav rundt nasjonal sikkerhet, offentlighetens interesse og politimyndighetene i USA går foran Safe Harbour-ordningen, slik at foretak i USA er nødt til, uten unntak, å se bort fra vernereglene fastsatt av ordningen når disse kommer i konflikt med slike krav.

Argumentasjonen i dommen bygger på at man fratar innbyggerne fundamentale rettigheter slik de står i EUs Charter of Fundamental Rights of the European Union. Spesielt fremheves:

  • Rett til respekt for privatlivet
  • Rett til effektiv rettsbeskyttelse

Med hensyn til nasjonale personvernmyndigheter heter det:

[…] kommisjonen hadde ikke kompetanse til å begrense de nasjonale tilsynsmyndigheter på den måten.

[…]

På bakgrunn av alle disse grunner, erklærer Domstolen Safe Harbour-beslutningen ugyldig.

Dommen og bakgrunnsmaterialet kan lese her

En mer inngående gjennomgang av dommen, samt oppklarende kommentarer, kan du lese på bloggen til professor Steve Peers fra universitetet i Essex.

Veien videre

I påvente av et klart rettslig rammeverk for transatlantisk utveksling av personopplysninger (i alle fall fra EU til USA), blir spørsmålet hvor veien går videre?

Det pågår forhandlinger mellom USA og EU om en oppdatering av Safe Harbour-ordningen, men denne dommen kan komme til å komplisere disse forhandlingene – i følge Alex Loomis – spesielt med tanke på at Domstolen har uttalt at kommisjonen ikke har kompetanse til å tilsidesette de nasjonale tilsynsmyndighetene.

Til tross for at Safe Harbour-ordningen er underkjent, opprettholder amerikanske myndigheter ordningen og lar fortsatt bedrifter foreta selvsertifisering i henhold til Safe Harbour.

Et resultat av dommen er at tilsyns- og beslutningsmyndighet er tilbakeført til de nasjonale tilsynsmyndigheter i følge Datatilsynet:

Til nå har datatilsynsmyndighetene vært meget tilbakeholdne med å gjøre egne vurderinger av tredjeland, men etter dommen vil slike avgjørelser være noe datatilsynsmyndighetene i EU-medlemslandene og EØS-landene selv kan ta, ser det ut til. Uansett føyer dagens avgjørelse seg inn i en lang rekke saker der datatilsynsmyndighetenes uavhengighet blir fremhevet som et essensielt element i europeisk databeskyttelse.

Datatilsynet påpeker videre:

Konsekvensen for europeiske, og norske, dataeksportører blir etter dette merkbare. Ettersom Safe Harbor ikke lenger kan benyttes som grunnlag for å overføre data fra EU – og Norge, som EØS-land –må man benytte seg av det eksisterende standardkontraktsregimet [informasjon her], som brukes ved dataeksport til alle andre tredjeland.

Både Microsoft og Amazon hevder at det er trygt å fortsette å benytte deres tjenester, da de holder seg innenfor loven gjennom andre avtaler og virkemidler. Dette er en oppfatning som ikke nødvendigvis deles av datatilsynmyndigheten i den tyske delstaten Schleswig Holstein, som mener at man med utgangspunkt i EU-domstolens argumentasjon ikke kan tillate at personopplysninger transporteres til eller lagres i USA.

Om du kom hit i håp om klare og tydelige råd om hvordan du skulle håndtere din bedrifts avhengighet av amerikanske nettjenester, er det bare å beklage at dette ikke kan gis på inneværende tidspunkt. Det beste råd som kan gis er å gjennomføre tilstrekkelige risikoanalyser, rådføre seg med Datatilsynet og deres publiserte råd, samt søke juridisk assistanse fra kompetent personale.

Illustrasjon ved Rob Deutscher CC BY 2.0