Safe Harbour-avtalet mellan EU och USA – en kvalitetsgaranti som ingen övervakar 

Många Internettjänster, i synnerhet sociala medietjänster, produceras i Förenta staterna. Eftersom Förenta staternas dataskyddslagstiftning inte är på samma nivå som Finlands, krävs det i princip tillstånd för att överföra personuppgifter dit. Eftersom handeln och informationsutbytet mellan EU och Förenta staterna är omfattande har länderna försökt lösa problemet.

Syftet med Safe Harbour-avtalet¹⁰ som slöts år 2000 är att amerikanska företag ska följa upp sin verksamhet årligen och, vad dataskyddet beträffar, omforma den så att den motsvarar EU:s lagstiftning. Förenta staternas handelskommission Federal Trade Comission, FTC¹¹ , administrerar en Safe Harbour -webbplats¹², där amerikanska företag informeras om villkoren i Safe Harbour-avtalet. Webbplatsen innehåller även en förteckning över företag  som har gjort sin årliga anmälan och uppgett att de följer villkoren i Safe Harbour¹³. FTC har också befogenheter att använda lagliga sanktioner mot företag som bryter mot reglerna. Den europeiska aktören behöver bara meddela om eventuella förseelser till FTC, som enligt avtalet för ärendet vidare.

Målet är alltså att europeiska konsumenter som använder tjänster som produceras av amerikanska företag som anslutit sig till Safe Harbour ska kunna vara säkra på att dataskyddet är på europeisk nivå. 

Safe Harbour har ändå under senare år kritiserats. En av dem som motiverat sin kritik bäst är den australiske dataskyddsaktivisten och -konsulten Chris Connolly. Han har bland annat studerat hur Safe Harbour-avtalet följs i sin utredning  som publicerades år 2008¹⁴.  

Av utredningen framgår följande: 

• Förenta staternas handelsministerium överdriver kraftigt antalet företag som är med i Safe Harbour. I oktober 2008 påstod handelsministeriet att antalet var 1 597. I förteckningen fanns dock 19 företag antecknade två eller tre gånger och en anteckning var ett test. Totalt 342 företag hade handelsministeriets anmärkning "avtalet inte i kraft för tillfället". Dessutom hade 136 företag inte lämnat in sin årliga rapport inom utsatt tid. Antalet hade alltså överdrivits med en tredjedel.
• Connolly fann 206 företag som påstod att de hade antagit Safe Harbour-villkoren men de fanns inte i FTC:s förteckning. Under år 2009 väckte FTC för första gången talan mot ett sådant företag¹⁵.
• En del företag hävdade att FTC eller EU hade certifierat dem, trots att företagen eller organisationerna själva hade genomfört certifieringen.
• Vissa företag hänvisade till certifieringsprogram som redan hade avslutats.
• En stor del av företagen garanterade inte avgiftsfri rätt att kontrollera personuppgifter, vilket garanteras i EU:s personskyddsdirektiv. I Förenta staterna kostar användningen av juridiska tjänster alltid och samma princip tillämpas också om man kontrollerar sina egna uppgifter.
• Somliga företag publicerar inte användarvillkoren offentligt på en sida som är tillgänglig också för användare som ännu inte har registrerat sig. Det är mot Safe Harbour-principerna.

När man från det totala antalet företag stryker alla som begått ovannämnda fel, finns det endast 348 företag kvar av de ursprungliga 1 597. Det är bara cirka en femtedel av det antal som FTC anger. Då alla villkor i Safe Harbour-avtalet granskades var det endast 54 företag, d.v.s. cirka tre procent av det totala antalet företag på FTC:s lista, som uppfyllde alla villkor i avtalet.

Det finns ingen anledning att tro att FTC skulle övervaka EU-medborgarnas rättigheter. EU-medborgarna tillhör snarare ännu kategorin "övriga världen" och FTC uppfyller endast minimikraven och bevakar närmast de amerikanska företagens intressen. EU-kommissionen har inte heller på något sätt aktivt övervakat rättigheterna.

Det största problemet med de sociala medierna är att merparten av de företag som erbjuder dem inte är med i Safe Harbour över huvudtaget. Avtalet skulle, trots sina brister, ändå ge någon slags garanti för att företaget har funderat på dataskydd ur den europeiska användarens synvinkel. Det är svårt att väga fördelarna med tjänsterna mot nackdelarna som det bristfälliga dataskyddet eventuellt medför. I regel är det bäst att inte alls använda dylika tjänster. Om man använder dem ska användarna först informeras om att tjänsteleverantören inte uppfyller kriterierna i Finlands lagstiftning för behandling av personuppgifter. Om användarna är minderåriga behövs det i vilket fall som helst tillstånd av vårdnadshavaren/vårdnadshavarna. 

10. Kommissionens beslut enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat. (EUR-Lex)
11. Federal Trade Commission (FTC) 
12. Safe Harbor (Expert.gov)
13. Safe Harbor List (Expert.gov)
14. Safe Jarbpr - Fact or Fiction? (2008)
14. Connolly har under en internationell konferens om dataskydd meddelat att han kommer att publicera en uppdaterad version av utredningen i augusti 2010. I skrivandets stund är den nya versionen inte ännu publicerad