A vonatkozó adatvédelmi szabályozás alapján az EU-ból harmadik országba történő adattovábbításra csak akkor kerülhet sor az érintett kifejezett hozzájárulása nélkül, ha a célzott harmadik országban a személyes adatok védelmének megfelelő szintje biztosított. Ezen utóbbi minősítés volt elérhető az amerikai vállalkozások számára, amennyiben magukra nézve kötelezőnek ismerték el a Safe Harbor rendszerben felsorakoztatott adatvédelmi elveket.
Ezen Amerika és EU között 15 éve hatályban lévő adattovábbítási mechanizmus alkalmasságát kérdőjelezte meg Max Schrems osztrák joghallgató, amikor panaszt nyújtott be az Ír Adatvédelmi Hatósághoz a Facebook adatkezelésére vonatkozóan, tekintettel arra, hogy a Facebook európai felhasználóinak adatkezelését végző ír leányvállalata szintén továbbít adatokat a Facebook amerikai szerveire. „Az Amerikába történő adattovábbításokkal szembeni aggályok leginkább az USA hírszerző tevékenységeire vonatkozó 2013-as Snowden kiszivárogtatásokat követően kerültek előtérbe, amikor nyilvánvalóvá vált, hogy az USA-ba továbbított adatok esetében nem biztosított adataink védelme az amerikai hatóságok megfigyeléseivel szemben” – vélekedett Ódor Dániel, a Taylor Wessing nemzetközi ügyvédi iroda munkatársa.
Miután az ügy az Európai Unió Bíróságára került, a bíróság október eleji ítéletében kimondta, hogy a tagállami hatóságok, így a Nemzeti Adatvédelmi és Információszabadság Hatóság is jogosult arra, hogy megvizsgálja a harmadik országba irányuló adattovábbítások kapcsán az adatvédelmi garanciák meglétét, még akkor is, ha az Európai Bizottság a tárgyban határozatot fogadott el. Másfelől, az Európai Unió Bírósága kimondta az Európai Bizottság azon határozatának érvénytelenségét, amely a Safe Harbor rendszere alapján lehetővé tette személyes adatok továbbítását az Amerikai Egyesült Államokba.
A Safe Harbor rendszere alapján történő adattovábbítás korszaka tehát véget ért. Az Amerikába adattovábbítást végző vállalkozásoknak más garanciákat kell nyújtaniuk a továbbiakban az adatvédelem megfelelő szintjének biztosítása érdekében. Az eddigi rendszer módosítása nem várt költségeket és erőforrásokat igényel az érintett cégektől. Míg korábban elegendő volta Safe Harbor szerinti adatvédelmi elvek vállalása az amerikai vállalkozások részéről, addig az alternatív megoldások már jóval költségesebb és időigényesebb alternatívák számukra.
Másik alternatívát a kötelező szervezeti szabályozás alkalmazása jelentheti, mely október 1-jétől hazánkban is elérhető. A szabályozás lényege, hogy a Safe Harborhoz hasonlóan szintén egyoldalú kötelezettségvállalás keretében nyílik lehetőség adattovábbításra harmadik célország irányába. A konstrukció biztonságát a Safe Harborral szemben az biztosítja, hogy kizárólag a tagállami adatvédelmi hatóság által jóváhagyott, kötelező belső adatvédelmi szabályzat alapján történhet az adattovábbítás. Hátrányát jelenti azonban, hogy csak vállalatcsoporton belüli megoldás lehet a kötelező szervezeti szabályozás, külső szereplők irányába történő adattovábbításokra nem alkalmazható.
A legfontosabb üzenet a cégeknek az, hogy cselekedjenek azonnal. Azok a szervezetek, amelyek lassan reagálnak, magukra vonhatják a szabályzó hatóságok figyelmét. Több amerikai cég már korábban kilépett a Safe Harbor, mint megfelelőségi biztosíték alól, hiszen a megállapodás már jó ideje kivizsgálás alatt volt, különösen a Snowden-kiszivárogtatás óta. Most a többieknek is követniük kell őket, hogy alternatívát találjanak az adatok megfelelő szintű védelmének biztosítására.