Visa som printvänlig

EU-USA:s överenskommelse om skydd av personuppgifter ogiltigförklarat

I ett välpublicerat beslut idag (6 oktober 2015), förklarade EU domstolen att den så kallade Safe Harbor överenskommelsen mellan Europeiska Kommissionen och USA är ogiltig. Beslutet förväntas ha långtgående konsekvenser för molntjänster och sociala nätverk såväl som för organisationer som använder sig av molntjänster för att hantera personuppgifter.

I reaktion till domstolsbeslutet så förklarade Kommissionär Věra Jourová på en presskonferens i Strasbourg idag att Safe Harbor-principen inte längre kan tillämpas och att organisationer måste använda sig av andra metoder tillgängliga i dataskyddsdirektivet fram till att det finns en ny överenskommelse med USA. Det finns alternativ såsom Kommissionens standardkontraktsklausuler för överförandet av personuppgifter till länder som saknar godtagbara lagar för skydd av personuppgifter, samt även vissa begränsade undantag, men i de flesta fall så måste överenskommelse ske genom fritt och informerat samtycke vilket kan vara problematiskt i sammanhang där det finns en etablerad länk med personen vars data hanteras såsom för anställda samt för konsumenttjänster där användare vanligtvis inte läser detaljerade klausuler.

Utöver ogiltigförklaringen av Safe Harbor-avtalet, så ansåg domstolen även att Kommissionen inte har behörighet att begränsa de nationella tillsynsmyndigheternas befogenheter på det sätt som Safe Harbor-avtalet gjorde. Framförallt måste de nationella tillsynsmyndigheterna oberoende kunna undersöka om överföringen av personuppgifter till ett tredje land uppfyller de krav som anges i direktivet. Domstolsbeslutet öppnar således även för möjligheten att Kommissionens beslut om modellklausuler anses otillräckliga.

Ytterligare anmärkningsvärda punkter i beslutet:

  1. Nationell amerikansk lag har företräde framför Safe Harbor-avtalet vilket i praktiken innebär att Safe Harbor-principerna kommer i andra hand i händelse av konflikt med nationell lagstiftning och Safe Harbor systemet möjliggör därmed ingrepp på EU-medborgares grundläggande rättigheter.
  2. Safe Harbor systemet tillåter inte rättelse och tillgång till lagrad data, och det i sig är ett brott mot den grundläggande rätten till ett effektivt domstolsskydd.

Kommissionär Jourová bekräftade också vid presskonferensen att Kommissionen kommer att börja arbeta på ett nytt “säkrare safe harbor-avtal” parallellt med de pågående förhandlingarna om nytt skydd av personuppgifter på EU-nivå. Framförallt betonade hon behovet av samordning och koordination med de 28 nationella tillsynsmyndigheterna. Hon tillade även att kommissionen kommer att presentera riktlinjer de kommande veckorna för att hjälpa företag till följd av domstolsbeslutet.

Ifall ni har några frågor angående Safe Harbor-överenskommelsen eller hur ni kan säkerställa lagenlig hantering av personuppgifter, vänligen kontakta Christian Ernhede (ce@prudens.se).