Az Amerikai Egyesült Államok az Európai Gazdasági Térségből származó adattovábbítások esetén speciális helyzetben van, mivel az USA nem rendelkezik általános adatvédelmi szabályozással, hanem az amerikai gyakorlatot a szektorális adatvédelmi megközelítés jellemzi. Figyelembe véve az EU és az USA közötti kereskedelmi kapcsolatokat és a tömeges adattovábbításokat, az Amerikai Egyesült Államok Kereskedelmi Minisztériuma és az Európai Bizottság két évet szánt egy megfelelő egyezményes keret létrehozásának, aminek alapján amerikai adatkezelők az európai adatvédelmi irányelv követelményeinek – önszabályozás alapján – meg tudnak felelni. Ezek az ún Safe Harbor adatvédelmi elvek, melyek irányelvnek való megfelelőségéről 2000. július 26-án bocsátott ki határozatot az Európai Bizottság.
Amerikai egyesült államokbeli adatkezelő, illetve adatfeldolgozó esetében többek között abban az esetben biztosítottnak tekinthető a személyes adatok megfelelő szintű védelme (összhangban a magyar adatvédelmi törvény 9. § (2) bekezdésével), amennyiben a személyes adatokat ún. Safe Harbor listán szereplő vállalat részére továbbítják.
A Safe Harbor elveknek való megfelelés önminősítés alapján történik, az érintett amerikai székhelyű vállalat (corporation) önkéntes döntése alapján. Mivel csak vállalatok lehetnek alanyai e programnak, NGO-k ebben értelemszerűen ebben nem vehetnek részt, hanem más adattovábbítási megoldást kell alkalmazniuk. A Safe Harbor programban való részvétele esetén egy vállalat i. csatlakozik egy öntanúsítási programhoz, ami megfelel a Safe Harbor elveknek vagy saját adatvédelmi (ön)szabályozásnak veti alá magát; ii. kinyilvánítja a Safe Harbor elveknek való megfelelőségét, melyet adatvédelmi szabályzatában is nyilvánosan közzétesz, továbbá iii. minimális díj megfizetése mellett az USA Kereskedelmi Minisztériuma részére évente írásban kinyilvánítja (öntanúsítja), hogy az adatvédelmi elveknek megfelel és ezáltal feltüntetésre kerül a Safe Harbor listán.
A Safe Harbor gyakorlati jelentőségét mutatja, hogy a legnagyobb amerikai adatkezelők, a Facebook, a Google, Amazon, eBay illetve a legnagyobb amerikai vállalatok a Safe Harbor listán való szereplés útján biztosítják azt, hogy adatkezelésük megfeleljen az európai adatvédelmi irányelv rendelkezéseinek. A Safe Harbor lista hozzáférhető és nyilvánosan kereshető az alábbi link alatt.
Az EU-USA adattovábbításokat szabályozó Safe Harbor program idén ünnepelte 10. évfordulóját, ami nem volt kritikus felhangoktól sem mentes. A Safe Harbor végrehajtásában ugyanis komoly hiányosságok mutatkoznak, mivel ez kizárólag az amerikai jogszabályok alapján történik meg, végső esetben a szövetségi kereskedelmi hatóság a Federal Trade Commission (FTC) végrehajtása útján, ami „megtévesztés” miatt szankcionálhatja az adatvédelmi elveknek való megfelelést tanúsító, de azoknak gyakorlatilag eleget nem tevő vállalatokat. A végrehajtás gyengeségét mutatja, hogy az FTC részéről a tíz év alatt eddig csupán hét (sic!) esetben került sor eljárásindításra a Safe Harbor megsértése miatt, melyet a Schleswig-Holstein adatvédelmi hatóságának vonatkozó sajtónyilatkozata is kiemel.
A Schleswig-Holstein adatvédelmi biztosa szerint haladéktalanul meg kellene szüntetni a Safe Harbor rendszert az annál tapasztalható széleskörű visszaélések miatt. Idén áprilisban a düsseldorfi kör (Düsseldorfer Kreis) olyan tartalmú nyilatkozatot bocsátott ki, hogy Németországból exportált adatok esetében – amennyiben adattovábbításra a Safe Harbor keretén belül kerül sor – az exportáló felelőssége, hogy meggyőződjön arról is, hogy az importáló Safe Harbor önminősítése nem pusztán deklaráció, hanem az valóban végrehajtásra kerül. Ezzel kapcsolatban komoly vita lángolt fel, hogy Németország eme gyakorlata szembe megy-e az uniós joggal, mivel a megfelelő védelmi szint biztosításának bizottsági elismerését tagállami szinten nem lehet vitatni, igaz az irányelv egy mechanizmust, mellyel a tagállam értesítheti a Bizottságot és a többi tagállamot arról, ha úgy véli, hogy egy ország nem biztosít megfelelő szintű védelmet.