Manglende efterlevelse af Safe Harbour-0rdningen

22 september 2014

Centeret for Digitalt Demokrati, en af USA's førende forbrugerbeskyttelsesorganisationer, kritiserer flere forhold ved den nuværende Safe Harbour-ordning. I forbindelse hermed har organisationen anmeldt 30 Safe Harbour-certificerede virksomheder, som muligvis ikke overholder flere af de krav, ordningen stiller til blandt andet virksomhedernes oplysningspligt. 

Persondataoplysninger bliver som aldrig før overført udover landegrænser, til brug for udenlandske virksomheders behandling heraf. Når personoplysninger overføres på den måde, opstår spørgsmålet om, hvorvidt oplysningerne opnår beskyttelse på samme måde som i det land, hvor oplysningerne oprindeligt er indsamlet og behandlet.

Reguleringen af problemstillingen sondrer mellem overførsel af oplysninger inden for EU/EØS og overførsel til tredjelande:

EU- og EØS- landende har implementeret persondatadirektivet og har derfor en ensartet minimumsbeskyttelse i forhold til behandling af personoplysninger. Med få modifikationer er der derfor fri overførsel af personoplysninger inden for EU/EØS.

Efter direktivets artikel 25 må persondata kun overføres fra EU/EØS-lande til tredjelande, hvis modtagerlandet sikrer et tilstrækkeligt beskyttelsesniveau. Artiklen er implementeret i Danmark ved persondatalovens § 27, stk. 1.  Herudover er der, for så vidt angår USA, indført en særlig ordning (Safe Harbour-ordningen), som skal gøre det nemmere for EU/EØS-virksomheder at samarbejde med private virksomheder etableret i USA. De virksomheder i USA, der har tilsluttet sig denne ordning, skal opfylde flere betingelser og kan betragtes som virksomheder med et tilstrækkeligt beskyttelsesniveau.

Ca. 30 virksomheder, der alle er tilknyttet Safe Harbour-ordningen, er blevet anmeldt af Centeret for Digitalt Demokrati (herefter CCD) for ikke at efterkomme flere af ordningens betingelser for certificering. CCD påpeger endvidere, at virksomhedernes manglende efterlevelse viser, at Safe Harbour-ordningen i sin nuværende form har nogle fundamentale svagheder.

Ifølge CCD er der tale om følgende brud på Safe Harbour-ordningen:

  • Virksomhedernes Privacy Policies og Safe Harbour-erklæringer angiver ikke i tilstrækkelig grad, hvordan deres behandling af personoplysninger reelt foregår;
  • Forkert angivelse af virksomhederne som "databehandlere" og ikke som "dataansvarlige", hvilket efter CCD er et forsøg på at omgå betydningen af det ansvar, det efter EU-reglerne medfører at være "dataansvarlig";
  • Manglende gennemskuelighed af virksomhedernes koncernstruktur, hvilket har betydning for forbrugerne, idet de ikke opnår kendskab til den del af behandlingen, der sker i flere selskaber end antaget;
  • Besværlige eller helt manglende "opt-out-funktioner", som forbrugerne kan anvende, såfremt de ønsker at hindre en fremtidig indsamling og behandling af deres oplysninger;
  • Misvisende information til forbrugerne om, hvad der reelt indsamles af oplysninger, og hvilken type, de indsamlede oplysninger er.

CCD mener, at virksomhedernes manglende efterlevelse af disse forhold er et udtryk for, at virksomhederne ikke har respekt for ordningens betingelser, idet en overtrædelse heraf ikke på tilstrækkelig vis kan håndhæves. Dette medfører, at virksomhederne, som alle er tilhængere af Big Data, anvender Safe Harbour-ordningen som et skjold for deres uretmæssige behandling af personoplysninger tilhørende ca. 500 millioner europæere.

CCD klagen kommer i kølvandet på, at EU kommissionen i 2013 foreslog flere ændringer i Safe Harbour-ordningen og EU Parlamentets resolution i marts 2014 om øjeblikkelig suspension af ordningen.