Safe Harbor-prinsippene
Det følger av personverndirektivets art. 25 at personopplysninger kan overføres til en tredjestat dersom den berørte tredjestat sørger for et tilstrekkelig vernenivå. 26. juli 2000 besluttet EU-kommisjonen at virksomheter i USA som erklærer å følge en rekke prinsipper fastsatt av amerikanske myndigheter 21. juli 2000,skal anses å sikre et tilstrekkelig vernenivå for personopplysninger. Disse prinsippene med tilhørende spørsmål og svar (FAQ) omtales som Safe Harbor-avtalen eller bare Safe Harbor.
Les avtaleteksten, engelsk versjon (pdf)
Les avtaleteksten, dansk versjon (pdf)
EU-kommisjonens beslutning gjelder også i Norge, jf. personopplysningsforskriftens 6-1 annet ledd. Dette innebærer at personopplysninger kan overføres fra Norge til virksomheter i USA som har tilsluttet seg Safe Harbor-prinsippene. En forutsetning for at overføring kan skje er imidlertid at den underliggende behandlingen har et saklig begrunnet formål jf. personopplysningslovens § 11, b og at det foreligger et gyldig behandlingsgrunnlag i personopplysningslovens § 8 og eventuelt § 9. En norsk behandlingsansvarlig kan med andre ord ikke begrunne en utlevering av personopplysninger til USA bare med at virksomheten som skal motta opplysningene har implementert Safe Harbor-prinsippene.
Formålet med Safe Harbor-prinsippene
I EU/EØS-land er personopplysninger beskyttet gjennom reglene i personverndirektivet (implementert i norsk lov gjennom personopplysningsloven). USA har ikke tilsvarende regler for vern av personopplysninger. Direktivet forbyr derfor som utgangspunkt overføring av personopplysninger til USA, med mindre den registrerte samtykker til overføringen, eller en del andre vilkår er oppfylt (se personopplysningslovens § 30, a til h.). Imidlertid er det klart at det ved en del anledninger vil være nødvendig å overføre personopplyninger til virksomheter i USA samtidig som innhenting av et gyldig samtykke eller oppfyllelse av andre konkrete vilkår ikke er praktisk gjennomførbart.
Formålet med Safe Harbor-prinsippene er å legge til rette for at opplysninger kan overføres til virksomheter i USA på en trygg måte. Det er utformet syv prinsipper som er belyst gjennom 15 spørsmål og svar (FAQ). I følge prinsippene skal virksomhetene blant annet ivareta krav til informasjon til den registrerte, rett til innsyn, m.m. Når en virksomhet bekrefter at prinsippene blir oppfylt, anses det å foreligge tilstrekkelige garantier for vern av den registrertes rettigheter, slik at virksomheten kan få overført personopplysninger fra EU/EØS.
Hvordan slutte seg til Safe Harbor-prinsippene?
Safe Harbor-prinsippene legger opp til en selvsertifisering med mulig etterkontroll. Når virksomheten bekrefter overfor amerikanske myndigheter at prinsippene er implementert, anses tilstrekkelig garanti for vern av den registrertes rettigheter å foreligge, og overføring kan finne sted. Bekreftelsen skal gis i et brev til Department of Commerce (DoC) eller den det er delegert myndighet til, som er underskrevet av styreformannen eller person med tilsvarende myndighet i virksomheten. En del andre formkrav fremgår av FAQ nr. 6. DoC fører en offentlig oversikt over virksomheter som har erklært å følge Safe Harbor-prinsippene. Selvsertifiseringen er gyldig for ett år av gangen.
Prinsippene håndheves av Federal Trade Commission (FTC) eller The Department of Transportation (DoT). Amerikansk lov gjelder som hovedregel ved spørsmål om tolkning av innholdet i prinsippene. Klager knyttet til en virksomhets oppfølging av prinsippene skal følgelig rettes mot amerikanske myndigheter. Datatilsynet ønsker å bli varslet dersom dette skulle bli aktuelt.
Safe Harbor-sertifisering
Ikke alle amerikanske virksomheter har anledning til å benytte seg av selvsertifiseringsløsningen. Løsningen er kun åpen for virksomheter som er underlagt myndigheten til FTC eller DoT sin jurisdiksjon. I tillegg er det gjort eksplisitt unntak for enkelte virksomheter som ellers ville vært omfattet av disse organenes myndighetsområde. Dette gjelder bl.a. for finansinstitusjoner, herunder banker og kredittforetak, leverandører av teletjenester og flyselskap.
Dette innebærer at virksomheter innenfor disse bransjene ikke kan vise til Safe Harbor som et grunnlag for overføring av personopplysninger. Disse må da eventuelt falle tilbake på de øvrige unntaksbestemmelsene i personopplysningslovens § 30, 1. ledd, eller gi en annen garanti for vern av den registrertes rettigheter før overføring kan tillates.