Safe Harbor var en selvsertifiseringsordning for virksomheter som ønsket å overføre personopplysninger mellom EU/EØS-land og USA. Ordningen forenklet overføring av personopplysninger til USA, ved at selskap som var sertifisert etter Safe Harbor-prinsippene enklere kunne overføre personopplysninger til USA.

Kommisjonens beslutning om Safe Harbor ble gjennomført i Norge i personopplysningsforskriften § 6-1, som viser til at kommisjonsbeslutninger også skal gjelde for Norge, med mindre vi reserverer oss. Beslutningen ble på dette grunnlag gjennomført ved at den ble tatt inn i EØS-avtalen.

Den 6. oktober 2015 avsa imidlertid EU-domstolen en dom som konkluderte med at EU-kommisjonens beslutning om Safe Harbor-avtalen var ugyldig. Det innebar at den forenklede ordningen for overføring av personopplysninger som Safe Harbor-beslutningen innebar, ikke lenger kan benyttes. Som en naturlig følge av dette er ordningen nå også formelt opphevet for EØS-landene.