EU-kommissionen offentliggjorde den 27. november 2013 en analyse af EU-USA Safe Harbor-ordningen samt andre aftaler mellem EU og USA om overførsel af persondata fra EU til USA.

I henhold til persondataloven må der som udgangspunkt kun overføres persondata til et land udenfor EØS (de såkaldte tredjelande), hvis tredjelandet sikrer et tilstrækkeligt beskyttelsesniveau for behandling af persondata.

USA anses som et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. Supplerende til de andre retsgrundlag for overførsel til usikre tredjelande, har man indgået aftale mellem EU og USA om Safe Harbor-ordningen: Amerikanske virksomheder kan certificeres på USA's handelsministeriums hjemmeside, og betragtes derefter som virksomheder etableret i et sikkert tredjeland. Safe Harbor-ordningen gør overførslen af persondata fra EU til USA enklere og mindre bureaukratisk.

I sin analyse af Safe Harbor-ordningen konkluderer EU-kommissionen, at den nuværende ordning mangler gennemsigtighed samt ikke håndhæves i praksis. Resultatet er, at virksomheder, der er certificeret, i nogle tilfælde undlader at overholde principperne i Safe Harbor-ordningen, og dermed ikke leverer den beskyttelse af persondata som EU kræver.

EU-kommissionen anbefaler derfor, at Safe Harbor-certificerede virksomheder skal offentliggøre deres persondatapolitik samt persondataklausuler i kontrakter med underleverandører og samarbejdspartnere. Desuden anbefales det, at der foretages regelmæssig ekstern kontrol af, om certificerede virksomheder overholder principperne i Safe Harbor-ordningen.

Derudover ønsker EU-kommissionen også klarere retningslinjer for, i hvilke tilfælde amerikanske myndigheder kan opnå adgang til persondata, der behandles af en certificeret virksomhed i medfør af Safe Harbor-ordningen.

De tiltag, der er nødvendige for at imødekomme EU-kommissionens anbefalinger, vil blive forhandlet frem mod sommeren 2014. I forhandlingerne deltager både EU-kommissionen, Parlamentet, Rådet og de relevante amerikanske myndigheder. Herefter vil EU-kommissionen vurdere, om Safe Harbor-ordningen skal fastholdes i sin nuværende form, ændres, suspenderes eller ophæves.

I kølvandet på EU-kommissionens anbefalinger, vil Artikel 29-gruppen (der består af repræsentanter fra EU-medlemsstaternes nationale datatilsyn m.fl.) undersøge de registrerede personers rettigheder under Safe Harbor-ordningen. Artikel 29-gruppen planlægger at offentliggøre en foreløbig tilkendegivelse i februar 2014, inden den officielle undersøgelse offentliggøres.

Indtil EU-kommissionen har afgjort Safe Harbor-ordningens skæbne, kan den anvendes som hidtil. Virksomheder i EU, der ønsker at overføre persondata til virksomheder i USA, kan fortsat, som alternativ til Safe Harbor-ordningen, anvende EU-kommissionens standardkontrakt-bestemmelser.

For multinationale koncerner, er et andet alternativ at anvende bindende virksomhedsregler (Binding Corporate Rules). Ved at anvende et af de to alternativer sikrer virksomheder sig, at et tilstrækkeligt beskyttelsesniveau for behandlingen af persondata er opnået, uanset om Safe Harbor også kan anvendes fremover.