Centrum för forsknings- & bioetik (CRB)

Osäker hamn för forskare

2015-12-09

Många europeiska forskningsprojekt har de så kallade Safe harbour-klausulerna som rättslig grund för att kunna skicka och dela data mellan EU och USA. Dessa projekt kan nu hamna i en svår sits när nu EU-domstolen i en dom dragit slutsatsen Safe harbour inte längre är en korrekt rättslig grund för att dela data mellan länderna i EU och USA.  

Under de senaste åren har EU-domstolen dömt I riktning för ett starkare skydd för den personliga integriteten. Denna utveckling sammanfaller med de intensiva förhandlingarna i EU om en ny dataskyddsförordning. I det nyligen avdömda målet C-362/14 Schrems v. Data Protection Commissioner, analyserade domstolen  möjligheterna att överföra data från EU till USA. Domstolen drog slutsatsen att kommersiella och politiska intressen inte väger tyngre än individens rätt till skydd för den personliga integriteten. Fallet handlar om de s.k. Safe harbour-klausulerna. Domstolen kom i sin dom fram till att USA inte kan anses vara en “safe harbour” (skyddad hamn) eftersom data i sig självt inte skyddas i amerikansk rätt. I USA har nationella myndigheter rätt att få direkt tillgång till personlig data. Dessutom finns inte någon förvaltningsrättslig eller juridisk möjlighet för enskilda att klaga via I de fall de upplever att deras rättigheter har kränkts.

Domen innebär, för det första, att nationella myndigheter i EU-staterna måste ha möjlighet att bedöma lagligheten i kommissionens beslut som ligger till grund för dataöverföring till tredje land (dvs. ett land utanför EU). De nationella myndigheterna måste nämligen kunna fullgöra sin uppgift att skydda grundläggande rättigheter genom att övervaka hur dataskyddsreglerna respekteras. För att en nationell domstol skall kunna vända sig till EU-domstolen med en begäran om förhandsavgörande, måste de nationella myndigheterna ha rätt att få vända sig till nationell domstol. Detta är obligatoriskt och skall följa direkt från nationell lag.

För det andra måste andra rättsliga grunder än Safe harbour anges för att skicka data från ett EU-land till tredje land. Informerat samtycke eller i det individuella fallet tillämpliga standardkontraktsklausuler skulle kunna vara tillämpliga alternativ. Domstolen är dock tydlig med att informerat samtycke måste inkludera information att personuppgifterna skall skickas till USA och att det är ett land som inte har ett rättssystem som ger ett fullgott skydd för den personliga integriteten. Man kan dock ifrågasätta om det är tillräckligt. Är det t.ex. möjligt att samtycka till att inte ha tillgång till domstolsprövning när det I sig är en grundläggande rättighet I EU-rätten och som dessutom utgör själva grunden för rättsstaten?

De europeiska dataskyddsreglerna uttolkas av EU:s artikel 29-grupp. Denna expertgrupp reagerade snabbt på EU-domstolens avgörande. Trots detta, återstår ett antal frågor som inte är lätta att lösa. Artikel 29-gruppen drar slutsatsen att samtliga överföringar till USA som grundas på safe harbour är olagliga men att gruppen och nationella dataskyddsmyndigheter kommer att ge politiker i USA och EU några månader att söka förhandla fram en lösning på den uppkomna situationen. Efter denna övergångsperiod kommer de nationella dataskyddsmyndigheterna att besluta om hur enhetliga och gemensamma beslut och handlingsplaner kommer att se ut.

Anna-Sara Lind

Mer nyheter från CRB