Tech Blog

Giltigheten av Safe Harbor besluten ifrågasätts av Generaladvokaten

Av Christine Storr (Kirchberger)

Safe Harbor reglerna utgör grunden för att en överföring till tredje land (i vårt fall USA) är tillåten enligt § 33 personuppgiftslagen (1998:204) utan krav på samtycke. Eftersom USA saknar en heltäckande dataskyddslagstiftning på federal nivå, kunde EU Kommissionen inte konstatera att landet uppfyller ett adekvat skyddnivå i enlighet med Art 25 dataskyddsdirektivet. Lösningen blev Safe Harbor reglerna som bygger på en kombination av ett beslut från EU Kommissionen (2000/520/EG av den 26 juli 2000 – Safe Harbor Privacy Principles) och frågor/svar från USA:s handelsministerium (Safe Harbor). Företagen som anlsutar sig till denna självreglering via en uppförandekod anses uppfylla en adekvat skyddsnivå. Listan över de anslutna organisationer finns på handelsministeriets webbplats.

EU domstolens mål om safe harbor reglerna
Efter Snowden avslöjanden anmälde Österrikaren Max Schrems (Europe vs Facebook) Facebook till den irländska dataskyddsombudsmannen. Denna konstaterade att Safe Harbor principerna gäller och att den inte kan undersöka om Kommissionens beslut är korrekt. Schrems överklagade till den irländska High Court som skickade frågan vidare till EU domstolen (EUD) – mål C–362/14. Förra veckan lämnade Generaladvokaten Yves Bot sitt förslag till avgörande.

Den huvudsakliga frågan för EU domstolen handlade om ifall en nationell tillsynsmyndighet kan undersöka om ett företag uppfyller ett adekvat skyddsnivå trots att Kommissionen redan har konstaterat att tredje landet gör det via safe harbor principerna. Generaladvokaten besvarade denna fråga jakande med hänsyn till oberoende kriteriet för tillsynsmyndigheter som föreskrivs i Artikel 28 dataskyddsdirektivet (stycke 61 och 71). Tillsynsmyndigheten får även tillfälligt förbjuda överföring av uppgifter.

Generaladvokaten tog frågan ännu längre och undersökte i vilken mån Kommissionens beslut från 2000 fortfarande kan anses vara giltig med tanke på faktorerna som lades fram i målet. Med hänvisning till domen i Digital Rights Ireland (C–293/12 och C–594/12) där datalagringsdirektivet upphävdes lägger generaladvokaten bl.a. fokus på omfånget av övervakningen (stycke 198–200) och nödvändigheten av denna samt avsaknad (stycke 189–192, 215) av en effektiv rättslig prövning av beslut om övervakning (stycke 206–207, 211).

Intressant nog konstaterade generaladvokaten även att bedömningen av en adekvat skyddsnivå inte endast ska tar sikte på lagstiftning och internationella åtaganden utan även dess tillämpning i praktiken (stycke 227).

Generaladvokaten kom till slutsatsen att

Kommissionens beslut 2000/520/EG av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat, är ogiltigt.

Det kan konstateras att även utan safe harbor beslutet tillåter § 34 personuppgiftslagen överföring av personuppgifter till länder utanför EES, dock krävs i så fall samtycke. Utgångspunkten är dock alltid att en överföring är förbjuden enligt § 33 PUL om det tredje landet inte garanterar en adekvat skyddsnivå. Skäl 57 i dataskyddsdirektivetstödjer denna tanke (se stycke 231 i generaladvokatens förslag).

Översyn av safe harbor
Kommissionen påbörjade i november 2013 en översyn av safe harbor principerna (se vårt tidigare blogginläggpressmeddelandet och Kommissionens rapport). Inga officiella beslut har dock tagits sedan dess. En överenskommelse mellan EU Kommissionen och USA (Umbrella Agreement) som avser samarbetet för brottsbekämpande myndigheter läckte i september. Kommissionen hade meddelat om förhandlingarna tidigare. Intressant nog innehåller Umbrella Agreement en möjlighet till rättslig prövning för EU medborgare.

Om utvecklingen i EU domstolen skyndar på processen av en översyn återstår att se. Kommissionären Věra Jourová var dock i september optimistisk till att översynen och förhandlingarna med USA närmar sig ett avslut.

Kommentar och framtiden
Vi väntar i alla fall på EU domstolens dom nu. Om Kommissionens safe harbor beslutet faller, kan detta inte längre användas som rättslig grund för överföring av personuppgifter till USA. I stället måste andra möjligheter undersökas, som t.ex. samtycke till just överföringen (se ovan).

Intressant i detta sammanhang är också Microsoft målet på Irland (se våra tidigare inlägg här) där en amerikansk domstol vill få tillgång till data som ett amerikanskt bolag (Microsoft) lagrar på en server på Irland. Med andra ord, i stället för att utöka det EU-rättsliga personuppgiftsskyddet till USA, ökas USA:s åtkomst till uppgifter lagrade i EU. Hur denna rättegång påverkar safe harbor diskussionerna återstår också att se.

Enligt Max Schrems förväntas domen i målet C–362/14 den 6:e oktober i år:

Vi håller er självklart uppdaterade!