#SafeHarbor: EU-domstolen river upp avtalen

I Dataskydd.NET 2.16.1 skrev vi att EU-domstolen föreslog att riva upp Safe Harbor-avtalen, en sorts dataskyddsavtal som EU-kommissionen slutit med USA:s regering runt millennieskiftet. EU-domstolen beslutade den 6 oktober 2015 att avtalen ska förklaras ogiltiga och att nationella myndigheter med ansvar för dataskydd inte kan gömma sig bakom EU-kommissionen för att slippa utreda överträdelser av dataskyddet i deras ansvarsområde.

Beslutet har rönt stor uppmärksamhet. Många företag och större koncerner använder dataöverföringar i sina lönebetalningssystem och vid personaladministration. Infrastrukturen för dataöverföringar mellan EU och USA är betydligt större än ett fåtal stora sociala nätverk riktade mot slutkonsumenter. Det råder också viss osäkerhet kring hur företag ska organisera sig framöver. EU-kommissionen hävdar till exempel att hävande av Safe Harbor-avtalen inte gör någon egentlig skillnad, och liknande åsikter har också lyfts i Sverige. Argumentet är att modellkontrakt kan användas istället.

EU-domstolen har dock ställt upp strikta kriterier för vad rättssäker behandling innebär. Det står bortom rimligt tvivel att enbart en lagförändring i USA med innebörden att europeiska medborgare får samma dataskydd i USA som de redan åtnjuter i Europa kommer att göra det riskfritt att överföra personuppgifter. En sådan lagförändring är å andra sidan inte uppenbart att vänta. USA saknar dels en juridisk tradition för det övergripande dataskydd som finns i EU. USA saknar också en juridisk tradition av att behandla alla privatpersoner, oavsett medborgarskap, lika. Ett modellkontrakt är inte nödvändigtvis tillräckligt - förutsatt att det finns effektiva rättsmedel för den integritetskränkte att åberopa.

De omedelbara konsekvenserna är svåra att förutse och mycket kommer att bero på hur tillsynsmyndigheterna (i Sverige Datainspektionen) hanterar frågan. Utan tillsyn och föreskrifter kan konsekvensen tyvärr bli att allting fortsätter som förut, men i en juridisk gråzon där privatpersoners rättigheter inte ges det utrymme som EU-domstolen uppenbarligen avser att de ska ha.

Domslutet väcker också frågor kring hur EU-domstolen skulle behandla liknande klagomål i relation till europeiska underrättelsetjänster. Varken Sverige, Tyskland eller Storbritannien har samma starka rättssäkerhetsåtgärder gentemot sina egna befolkningar som USA har gentemot sina medborgare. Facebook har servrar i Luleå. Det återstår att se i fall vi får prövningar framöver kring de olika EU-ländernas förpliktelser gentemot andra EU-länders medborgare.

Beslutet har redan kommenterats av ett antal aktörer. Den europeiska organisationen EDRi, som bedriver politisk påverkansarbete i Bryssel runt digitala rättigheter, har kommenterat att detta är andra gången på mindre än ett år som EU-kommissionen får se sig själv besegrad av EU-domstolen i viktiga frågor om mänskliga rättigheter i digitala miljöer (datalagring och Safe Harbor). Svenska Internetstiftelsen har publicerat en längre historieskildring av övervakning som går tillbaka till 1990-talets första konflikter om globala övervakningsprogram och krypteringsförbud. I Svenska Dagbladet kan man å andra sidan läsa att USA:s handelsdepartement är missnöjda med att förtroendet mellan EU och USA i och med domslutet blivit mindre.

EU-domstolens ordförande Koen Lenaerts har sagt till Wall Street Journal att varken domstolen som sådan eller Europa i sin helhet bör känna skam för sina mest grundläggande principer. Han säger också att det inte handlar om USA:s lagstiftning, utan huruvida europeisk lagstiftning uppnår sina målsättningar givet de förhållanden som råder. Precis som beslutet om rätten att bli bortglömd lär beslutet om Safe Harbor diskuteras under lång tid framöver.

Läs mer:

EU-domstolen. Pressmeddelande om avgörande i Schrems C-362/14 (06.10.2015):

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117...

EU-domstolen. Generaladvokat Bots förhandsutlåtande om Safe Harbor och Schrems C-362/14 (23.09.2015):

http://curia.europa.eu/jcms/jcms/P_174297/

EU-kommissionens särskilda pressmeddelande med Frans Timmersman och Vera Jourova (06.10.2015):

http://europa.eu/rapid/press-release_STATEMENT-15-5782_en.htm

IDG.se, Safe Harbor (artikelsamling) (06.10.2015):

http://www.idg.se/2.1085/1.638827/safe-harbor

Practical Law, ECJ rules that the EU-US safe harbor arrangement is invalid (08.10.2015):

http://uk.practicallaw.com/5-619-2986

Politico.EU, 5 takeaways from the death of safe harbor (06.10.2015):

http://www.politico.eu/article/5-takeaways-from-the-death-of-safe-harbor...

WSJ, European Court Chief Defends Decision to Strike Down Data-Transfer Agreement (13.10.2015):

http://www.wsj.com/articles/european-court-chief-defends-decision-to-str...

EDRi, Fifteen years late, Safe Harbor hits the rocks (06.10.2015):

https://edri.org/safeharbor-the-end/

IIS, EU sätter ner foten mot avlyssning – igen (09.10.2015):

https://www.iis.se/blogg/eu-satter-ner-foten-mot-avlyssning-igen/

SvD, EU-dom kan stoppa dataöverföring till USA (06.10.2015):

http://www.svd.se/eu-domstolen-osterrikare-vann-over-facebook/av/teresa-...

Dataskydd.NET 2.16.1: https://dataskydd.net/nyhetsbrev/dataskyddnet-216

Dataskydd.net, informationssida: https://dataskydd.net/safe-harbour-avtalen