Nu finns förutsättningar för att ett nytt dataöverföringsbeslut mellan EU och USA ska kunna komma på plats. President Biden har undertecknat en exekutiv order för att stärka skyddet för personuppgifter i USA. Det är ett krav för att företag återigen på ett smidigt sätt ska få skicka personuppgifter över Atlanten. Utbyte och affärer med USA förenklas förhoppningsvis framåt våren.
Många företag sliter hårt för att kunna överföra persondata från EU till USA. För alla typer av personuppgifter ska företag göra bedömningar om och hur de kan föra över data. Ibland finns inte rimliga skyddsåtgärder att tillgå. De omfattande kraven på tekniska skyddsåtgärder, som till exempel end-to-end kryptering, är kostsamma, tidskrävande och ibland innebär de att vitsen med dataöverföringarna går förlorade.
Tidigare har det funnits adekvansbeslut som inneburit att EU godkänt USA som mottagarland av personuppgifter. Det senaste beslutet, kallat Privacy Shield, ogiltigförklarades i juli 2020 i Schrems II domen från EU-domstolen. Domen har fått stora konsekvenser. Företag har fått lägga stora resurser för att kunna säkerställa skydd av personuppgifterna i enlighet med domstolsbeslutet och europeiska dataskyddsstyrelsens, EDPB:s, vägledning samt följa de krav som ställs i så kallade överföringsmekanismer som standardkontraktsklausuler och bindande koncernregler. Men även det offentliga Sverige har belastats, inte minst genom icke-myndigheten eSAM:s tolkning att amerikanska IT-leverantörer och molntjänster inte ska användas.
För ett nytt adekvansbeslut måste USA anta regelverk som endast tillåter proportionerlig statlig övervakning och ger enskilda möjlighet till rättslig prövning av hur deras personuppgifter behandlats. Detta har nu President Biden säkerställt enligt information från Vita Huset.
EU-kommissionen kommer nu förbereda ett nytt beslut för personuppgifter till USA under de närmsta månaderna. Efter att EDPB lämnat sitt yttrande ska medlemsstaterna godkänna förslaget innan EU-kommissionen formellt kan anta adekvansbeslutet. Framåt våren kan företagen förhoppningsvis dra en lättnadens suck när överföring av personuppgifter underlättas genom EU-U.S. Data Privacy Framework, EU-U.S.DPF. När beslutet är fattat kan företag förlita sig på att personuppgifter i USA skyddas på motsvarande sätt som inom EU. Då gäller endast GDPRs krav på en riskbaserad bedömning och åtgärder därefter.
DataanvändningInternationella dataflödenUSA