The US Safe Harbour Decision is Declared Invalid

The US Safe Harbour Decision is Declared Invalid

- The Court of Justice’s Judgement Regarding the Commission’s US Safe Harbour Decision

On October 6, 2015 the Court of Justice of the European Union (“CJEU”) declared the Commission’s US Safe Harbour decision (“the Safe Harbour Decision”) invalid. The judgement (Case C-362/14 Maximillian Schrems v Data Protection Commissioner) will have a big impact on the many companies within the European Union and especially anyone responsible for personal data. Furthermore, the judgment will have a significant impact on international trade.

Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data regulates the processing of personal data within the European Union. According to the directive, transfer of personal data to a third country may, in general, take place only if the third country ensures an adequate level of protection of the data. Furthermore, the Commission may, according to the directive, find that a third country ensures an adequate level of protection. This can be determined either by reason of the third country’s domestic law or its international commitments. Additionally, each member state is obligated to designate one or more public authorities to be responsible for the safeguarding of the national provisions based on the directive. In Sweden that public authority is the Swedish Data Protection Authority (in Swedish Datainspektionen).

The Commission has taken such a decision as mentioned above (2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce) regarding the transfer of personal data to the US. The Safe Harbour Decision provides, in summary, that personal data may be transferred to companies within the United States if those companies comply with the directive.

However, the recent judgement by the CJEU now declares the Safe Harbour Decision invalid, which means that any transfer of personal data that relies upon the Safe Harbour Decision is prohibited. The judgement will have a significant impact on many companies within the EU that deal with American companies. Those who are responsible for personal data will be forced to consider which personal data that is being transferred to the US by provision of the Safe Harbour Decision and establish a legally valid transfer of any such data, rewrite any personal data agreements allowing transfer by provision of the Safe Harbour Decision and evaluate any need to inform employees, consumers and customers about which efforts are being made to protect their personal data during transfer process.

The case was brought to the CJEU by the High Court of Ireland after a complaint lodged by an Austrian citizen regarding personal data transferred by Facebook’s Irish subsidiary. The reason for the complaint was that the revelations by Edward Snowden regarding activities by United States intelligence services clarified that the law and practice of the US do not offer sufficient protection against surveillance by public authorities.

In summary, the CJEU declared that national supervisory authorities, when dealing with a claim, always have the ability to examine, independently, whether the transfer of personal data to a third country complies with the requirements of the directive. This is the case even if the Commission has adopted a decision. However, the CJEU noted that it is ultimately the CJEU that has the authority to decide whether a decision by the Commission is valid or not. The CJEU thereafter investigated whether the Safe Harbour Decision should be declared invalid or not. In connection hereto the CJEU concluded, amongst other things, that the United States’ public authorities were not subject to the Safe Harbour scheme and that national security, public interest and law enforcement requirements of the United States prevail over the scheme. When a conflict occurs between the protective rules laid down by the scheme and the above mentioned interests of the United States the rules are therefore bound to be disregarded, without limitation. According to the CJEU this provides that the US Safe Harbour Scheme enables American public authorities to interfere with the fundamental rights EU citizens regarding the protection of their personal data. Furthermore, the CJEU found that the United States legislation compromises the fundamental right to respect for private life. The CJEU also declared that the United States legislation compromises the essence of the fundamental right to effective judicial protection. Lastly, the CJEU concluded that the Commission did not have competence to restrict the national supervisory authorities’ powers in the way they have been restricted by the Safe Harbour Decision. The CJEU therefore declared the Safe Harbour Decision invalid on those grounds.

Stockholm 2015-10-23,
Isabel Ringsby
Associate
FLOOD HERSLOW HOLME

Safe Harbour-beslutet har ogiltigförklarats

- EU-domstolens dom angående EU-kommissionens Safe Harbour-beslut

Den 6 oktober 2015 beslutade EU-domstolen genom dom (mål C-362/14 Maximillian Schrems v Data Protection Commissioner) att EU-kommissionens Safe Harbour-beslut är ogiltigt. Domen får stora konsekvenser för företag inom EU och speciellt för alla som är ansvariga för hantering av personuppgifter. Domen kommer dessutom ha en avsevärd betydelse för internationell handel.

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter reglerar behandling av personuppgifter inom EU. Enligt direktivet kan överföring av personuppgifter normalt ske till ett tredje land om det landet säkerställer en adekvat skyddsnivå för personuppgifterna. Kommissionen kan vidare konstatera att ett tredje land erbjuder en adekvat skyddsnivå. Detta kan beslutas antingen på grundval av landets interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet. Vidare ska varje medlemsstat ha ett eller flera offentliga organ som ansvarar för de nationella bestämmelser som baseras på direktivet. I Sverige är den aktuella tillsynsmyndigheten Datainspektionen.

När det gäller överföring av personuppgifter till USA har EU-kommissionen fattat ett sådant beslut som nämns ovan, Kommissionens beslut av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat. Kortfattat innebär beslutet att personuppgifter får överföras till företag i USA om företaget följer reglerna i direktivet.

EU-domstolens dom innehåller dock ett ogiltigförklarande av Safe Harbour-beslutet, vilket innebär att all överföring av personuppgifter som sker med stöd av beslutet är förbjuden. Domen kommer att få en avsevärd betydelse för många företag inom EU som har affärsrelationer med amerikanska företag. De personuppgiftsansvariga måste nu utvärdera vilka personuppgifter som överförs till USA med stöd av Safe Harbour-beslutet samt etablera en juridiskt korrekt överföring av sådana personuppgifter, skriva om alla avtal som tillåter överföring av personuppgifter med stöd av Safe Harbour-beslutet och utvärdera behovet av att informera anställda, konsumenter och kunder om vilka åtgärder som vidtas för att skydda deras personuppgifter vid överföringar till USA.

Målet fördes till EU-domstolen av High Court of Ireland (Irlands högsta domstol) efter ett klagomål gällande personuppgifter som överförs från Facebook Ireland ingivet av en österrikisk medborgare. Bakgrunden till klagomålet var att Edward Snowdens avslöjanden om USA:s underrättelsetjänster tydliggör att USA inte säkerställer ett adekvat skydd mot övervakning av offentliga organ.

Kort och sammanfattningsvis kan konstateras att EU-domstolen först kom fram till att nationella tillsynsmyndigheter, vid hanteringen av krav, alltid har möjlighet att helt självständigt undersöka om överföringen av personuppgifter till ett tredje land står i överensstämmelse med kraven i direktivet. Det är dock ytterst EU-domstolen som har auktoritet att avgöra om ett beslut av Kommissionen är giltigt. Därefter undersökte EU-domstolen om Safe Harbour-beslutet skulle ogiltigförklaras. I anslutning härtill deklarerade EU-domstolen bland annat att USA:s offentliga organ inte är föremål för Safe Harbour-reglerna och att nationell säkerhet, offentliga intressen och krav inom rättsväsendet i USA får företräde framför Safe Harbour-reglerna. Detta innebär att Safe Harbour-reglerna möjliggör för amerikanska myndigheter att inkräkta på EU-medborgares grundläggande rättigheter gällande skydd för deras personuppgifter. Vidare fann EU-domstolen att den amerikanska lagstiftningen inkräktar på den grundläggande rätten till respekt för privatlivet. EU-domstolen fastställde att den amerikanska lagstiftningen dessutom äventyrar självaste kärnan av den grundläggande rätten till effektivt domstolsskydd. Slutligen kom EU-domstolen fram till att Kommissionen inte hade möjlighet att begränsa de nationella tillsynsmyndigheternas befogenheter på det sätt som skedde genom Safe Harbour-beslutet. EU-domstolen ogiltigförklarade därför på dessa grunder Safe Harbour-beslutet.

 

For further details contact:

Isabel Ringsby

Email isabel.ringsby@fhhlaw.se

Website www.fhhlaw.se

Phone Tel.: +46 (0)8 56 26 90 30