Ny EU-dom: Så påverkas överföring av personuppgifter till USA

Den 4 september meddelade EU-domstolen (Tribunalen) en betydelsefull dom som påverkar alla organisationer som överför personuppgifter till USA. Enligt domen anses USA fortsatt erbjuda ett tillräckligt dataskydd för personuppgifter som överförs enligt Data Privacy Framework. Domen ger efterlängtad tydlighet för företag, men kan komma att överklagas. Vad innebär beslutet i praktiken? Och hur ska svenska verksamheter agera framåt?

EU-domstolens dom bekräftar EU-kommissionens beslut från juli 2023 om att en så kallad adekvat skyddsnivå i USA fortsatt är giltigt.

Ett välkommet klargörande

Detta innebär att det även framöver är tillåtet att föra över personuppgifter till amerikanska verksamheter så länge dessa är anslutna till ramverket Data Privacy Framework (DPF). För företag som använder amerikanska molntjänster, HR-system, marknadsplattformar eller andra typer av digitala lösningar, innebär det ett fortsatt användbart rättsligt stöd.

– Domen innebär ett välkommet klargörande för företag som arbetar med internationell personuppgiftsöverföring. Den skapar en välbehövlig trygghet för verksamheter som arbetar internationellt, säger Carin Wenner, jurist och lärare på Srf konsulternas Mikrokurs om ansvarsroller under GDPR.

Hon fortsätter:

– Det är dock viktigt att alltid säkerställa att leverantören eller samarbetspartnern faktiskt är ansluten till DPF – något som inte alla stora molnleverantörer är, även om man lätt kan tro det.

Vad innebär domen för företag i praktiken?

För många svenska företag innebär domen att de kan fortsätta att använda tjänsteleverantörer i USA så länge den amerikanska mottagaren är ansluten till DPF och listas som sådant på det amerikanska handelsdepartementets webbplats. Det är vidare viktigt att vid överföringar till länder utanför EU/EES självklart även följa övriga regler i dataskyddsförordningen, GDPR.

– För att kontrollera om en leverantör är ansluten till DPF kan man söka i den officiella listan som publiceras av U.S. Department of Commerce på deras webbplats för Data Privacy Framework. Genom att kontrollera leverantörens status där, bedöma eventuella risker med överföringen och dokumentera slutsatserna i sitt behandlingsregister eller på annat sätt kan företag visa ansvarsskyldighet och står bättre rustad vid tillsyn.

Rättsligt lugn – men inga garantier på sikt

Trots att domen bekräftar det aktuella rättsläget är det viktigt att komma ihåg att det kan ändras. Ett beslut om adekvat skyddsnivå fortsätter att gälla tills det återkallas eller upphävs av EU-kommissionen eller ogiltigförklaras av EU-domstolen.

Därför är det många experter som menar att även denna dom bör ses som en tillfällig lösning, snarare än ett långsiktigt facit.

–  DPF kan komma att ogiltigförklaras i framtiden och företag som vet att de även framöver behöver överföra personuppgifter till USA bör därför redan nu bygga in en långsiktig strategi med alternativa skydd, som standardavtalsklausuler och regelbundna riskbedömningar – eller, där det är möjligt, välja europeisk lagring av personuppgifter – för att stå väl förberedda om regelverket ändras, säger Carin Wenner.

The post Ny EU-dom: Så påverkas överföring av personuppgifter till USA appeared first on Tidningen Konsulten.