EU domstolen underkänner Safe Harbor – en första kommentar
Efter vår analys här på bloggen av generaladvokatens förslag till avgörande i mål C–362/14 meddelade EU domstolen i veckan sitt avgörande.
Tillsynsmyndigheternas befogenhet
EU domstolen följer generaladvokatens resonemang att EU kommissionens beslut 2000/520 inte inskränker de nationella tillsynsmyndigheternas befogenheter enligt artikel 8.3 i rättighetsstadgan och artikel 28 i dataskyddsdirektivet (punkt 53). Den första frågan från den irländska domstol (High Court) besvaras därför med att ett kommissionsbeslut inte hindrar privatpersoner från att vända sig till de nationella tillsynsmyndigheterna (punkt 66).
EU domstolen konstaterade t.o.m. att Kommissionen – genom antagandet av Artikel 3 i beslutet – överskridit sin befogenhet enligt Artikel 25.6 i dataskyddsdirektivet och förklarade därför Artikel 3 ogiltig (punkt 104).
Giltigheten av Kommissionens beslut 2000/520
EU domstolen bestämde sig även, som generaladvokaten föreslog, att undersöka om beslutet är giltigt. Domstolen byggde resonemanget att undersöka giltigheten på de tvivel som Max Schrems samt den irländska domstolen uttryckte (punkt 67). Med andra ord ställdes denna fråga aldrig uttryckligen av den irländska domstolen. EU domstolen prövade således om Kommissionens beslut uppfyller kraven i dataskyddsdirektivet och EU:s rättighetsstadgan.
Såsom generaladvokaten byggde EU domstolen sin rättsliga analys både på kraven i direktivet (speciellt Artikel 25.2) och de grundläggande rättigheter som uttrycks i rättighetsstadgans Artikel 7 och 8.
EU domstolen påpekade att uttrycket “adekvat skyddsnivå” inte definieras i direktivet (punkt 70). Artikel 25.2 i direktivet innehåller endast en “icke-uttömmande uppräckning av de omständigheter som ska beaktas” vid bedömningen. Det som framgår dock av Artikel 25.6 är principens syftet att “säkerställa att den höga skyddsnivån vidmakthålls vid överföring av personuppgifter till ett tredjeland” (punkt 72). Skyddsnivån i tredjelandet ska, med andra ord, vara likvärdig skyddsnivån inom EU (punkt 72).
Enligt EU domstolen är Kommissionen skyldig att inte bara bedöma innehållet i lagstiftningen eller de internationella förpliktelser av tredjelandet, utan även ta hänsyn till praxis vad gäller tillämpning av dessa regler (punkt 75). Med tanke på att omständigheter kan förändras ska Kommissionen regelbundet kontrollera om ett beslut enligt Artikel 25.6 fortfarande är “sakligt och rättsligt motiverat” och tredjelandet fortfarande säkerställer en adekvat skyddsnivå (punkt 76). Denna kontroll ska vara strikt med hänsyn till kraven i dataskyddsdirektivet och rättighetsstadgan.
EU domstolen ifrågasätter inte självcertifieringssystemet Safe Harbor i sig, men påpekar att systemets tillförlitlighet är särskild viktigt i detta sammanhang, speciellt med hänsyn till “effektiva spårnings- och kontrollmekanismer som gör det praktiskt möjligt att upptäcka och beivra eventuella överträdelser” av skyddet för privatliv (punkt 81). Domstolen understryker att Safe Harbor principerna är tillämpliga på självcertifierade amerikanska organisationer, men inte på amerikanska myndigheter (punkt 82, se även bilaga I till Kommissionens beslut).
Kommissionens beslut möjliggör att “krav i fråga om nationell säkerhet, allämnintresset och rättsefterlevnaden” ges företräde framför safe harbor principerna (punkt 86). Utöver detta – anser EU domstolen – ger beslutet inget effektivt rättsligt skydd i detta fall (punkt 89), en fråga som både generaladvokaten påpekade i sitt förslag till avgörande (punkt 204–206) och Kommissionen i sina meddelanden från 2013 (se nästa stycke).
EU domstolen hänvisar till Kommissionens egna meddelande COM(2013) 846 final och meddelande COM(2013) 847 final, där Kommissionen själv konstaterade att amerikanska myndigheterna kunde behandla personuppgifter som överförts till USA på ett sätt som är oförenligt med syftena för deras överföring och som “går utöver vad som var strängt nödvändigt och proportionerligt för att skydda den nationella säkerheten” (punkt 90).
EU domstolen anger i punkt 91:
“Vad gäller den nivå för skyddet av grundläggande fri- och rättigheter som garanteras inom unionen måste en unionslagstiftning som innebär ett ingrepp i de grundläggande rättigheter som garanteras av artiklarna 7 och 8 i stadgan, enligt domstolens fasta praxis, föreskriva tydliga och precisa bestämmelser som reglerar räckvidden och tillämpligheten av en åtgärd och slå fast minimikrav, så att de personer vilkas personuppgifter berörs har tillräckliga garantier som möjliggör ett effektivt skydd av deras uppgifter mot risker för missbruk och otillåten åtkomst eller användning. Behovet av sådana garantier är av än större betydelse när personuppgifterna är föremål för automatisk behandling och risken för otillåten åtkomst till uppgifterna är stor (dom Digital Rights Ireland m.fl., C–293/12 och C–594/12, EU:C:2014:238, punkterna 54 och 55 och där angiven rättspraxis).”
Domstolen säger vidare i punkt 93 att ”[e]n lagstiftning är således inte begränsad till vad som är strängt nödvändigt när den generellt tillåter lagring av samtliga personuppgifter om alla personer vilkas uppgifter har överförts från unionen till Förenta staterna, utan att det görs några åtskillnader, begränsningar eller undantag med beaktande av det eftersträvade syftet och utan att det föreskrivs något objektivt kriterium som gör det möjligt att avgränsa myndigheternas åtkomst till uppgifterna och att avgränsa deras senare användning till bestämda, strängt begränsade syften som kan motivera det ingrepp som såväl åtkomst som användning av uppgifterna innebär.”
EU domstolen beslöt därför att Artikel 1 i Kommissionens beslut 2000/520 åsidosätter kraven i Artikel 25.6 i dataskyddsdirektivet och är därmed ogiltig.
Giltighet av hela beslutet
I och med ogiltigförklaradet av Artikel 1 och Artikel 3 av Kommissionens beslut 2000/520resonerade EU domstolen att hela beslutet påverkades av detta och därmed skulle förklaras ogiltig i sin helhet.
Kommentar och reaktioner
Avgörandet har fått stor uppmärksamhet i pressen, både i Sverige och utomlands. Som vi nämnde i vårt tidigare inlägg, är safe harbor reglerna inte den enda möjligheten att överföra personuppgifter, om än en effektiv sådan. § 34 personuppgiftslagen tillåter överföring av personuppgifter till länder utanför EES om en person t.ex. har lämnat sitt samtycke. Varken EU domstolen eller generaladvokaten nämner andra möjligheter att överföra personuppgifter, vilket är dock inte överraskande eftersom denna bedömning inte var del av frågan som ställdes till domstolen.
Från Kommissionens sida kan domen möjligtvis hjälpa i förhandlingarna med USA om en ny Safe Harbor överenskommelse. Dessa har varit på gång under några år redan. Europaparlamentets ordförande i LIBE utskottet – Claude Moraes underströk i veckanvikten av ett nytt stabilt ramverk för överföring av personuppgifter mellan EU och USA. I ett pressmeddelande välkomnade Artikel 29 gruppen domen men poängterade samtidigt konsekvenserna för alla organisationer som påverkas.
Personligen ser jag att både USA och EU har ett intresse att nå en överenskommelse inom snar framtid. “Hoten” av förslaget till dataskyddsförordning som bl.a. utökar tillämpningen av dataskyddsreglerna till amerikanska företag kan också vara en pusselbit i det hela. På lång sikt måste en lösning finnas på ett internationellt plan. Dataöverföringar sker hela tiden och avser oftast personuppgifter. Amerikanska företag har en mycket stor andel av marknaden för molntjänster och som leverantörer av sociala medier tjänster. En lösning kan därför inte endast finnas inom EU även om det är en bra början.
Stay tuned!