Misbrug af Safe Habor ordningen vedrørende persondata

Den amerikanske Federal Trade Commission (FTC) har indgået forlig i sagen mod tolv virksomheder, der overtrådte EU-US Safe Habor ordningen og Schweiz-US Safe Habor ordningen for overførsler af persondata til USA.

De tolv virksomheder kommer fra brancher som detailhandel, inkasso, informationssikkerhed og professionel sport. I sidstnævnte branche er tre NFL-klubber at finde; Atlanta Falcons, Tennessee Football og Denver Broncos - holdet der netop har tabt Super Bowl.

De tolv virksomheder behandler en lang række personoplysninger - i nogle tilfælde oplysninger om helbredsmæssige og arbejdsrelaterede forhold. Virksomhedernes certificering under Safe Harbor ordningerne var alle bortfaldet. Alligevel gav virksomhederne indtryk af at være certificerede under ordningerne ved at skrive det i deres data/privatlivspolitikker eller ved at anvende Safe Harbor certificeringsmærket. Dette er i strid med artikel 5 i FTC Act.

FCT udstedte en indledende klage til alle virksomhederne for overtrædelse af EU-US Safe Harbor ordningen og tre virksomheder modtog derudover en klage for overtrædelse af Schweiz-US Safe Harbor ordningen. Efter udstedelse af klagerne valgte alle tolv virksomheder at indgå forlig med FTC, hvilket indebærer at virksomhederne forbydes at give vildledende oplysninger om, i hvilket omfang de deltager i data- og privatlivsprogrammer administreret af offentlige eller private institutioner mv.

Det skal dog bemærkes, at virksomhedernes overtrædelse af FTC Act ikke nødvendigvis betyder, at der har været brud på datasikkerheden eller misbrug af personoplysninger. Bortfaldet af certificering kan være udtryk for, at virksomhederne har glemt eller undladt at forny certifikatet, men til trods for det, overholdt retningslinjerne i Safe Harbor ordningen.

Overtrædelsen har også betydet, at europæiske virksomheder, som har overført personoplysninger til de tolv virksomheder i USA på grundlag af Safe Harbor ordningen, har gjort dette uden tilstrækkeligt lovgrundlag. Det er den eksporterende virksomheds ansvar at sikre, at modtageren i USA har den Safe Harbor certificering, som modtageren påstår. 

Man skal være opmærksom på, hvilke eksporterende lande og hvilke kategorier af personoplysninger certificeringen dækker.

Forliget kommer i kølvandet på den analyse af EU-USA Safe Harbor ordningen samt andre aftaler mellem EU og USA om overførsel af persondata fra EU til USA, som EU-Kommissionen offentliggjorde den 27. november 2013. I analysen rettede Kommissionen kritik af uigennemsigtigheden, manglende håndhævelse og certificerede virksomheders manglende overholdelse af principperne i Safe Harbor ordningen. Frem mod sommeren 2014 vil der blive forhandlet om, hvilke tiltag der er nødvendige for at imødegå problemerne, som Kommissionen har peget på i Safe Harbor ordningen.