Integritetsskyddsmynidgheten (IMY) svarar i ett blogginlägg på frågor om användningen av USA-baserade molntjänster. Många har hört av sig till myndigheten med frågor. 

Frågorna grundar sig på att USA:s president gjort förändringar som påverkar tillämpningen av ett datadelningsavtal som finns mellan Europeiska Unionen (EU) och USA. Datadelningsavtalet heter EU-US Data Protection Framework (DPF).

Problemet är att president Trump har sparkat fyra ledamöter (inklusive ordföranden) i ett viktigt tillsynsorgan. Tillsynsorganet ska ha fem ledamöter och kan lagligen inte fatta viktiga beslut när det bara finns en ledamot. Organet säkerställer att amerikanska myndigheter skyddar överförda personuppgifter i enlighet med DPF.

IMY kan informera men inte agera

Farhågan är att USA inom en snar framtid inte längre anses uppfylla kraven i datadelningsavtalet. IMY råder företag och myndigheter att bevaka frågan. Om det kommer nya bud från EU kommer IMY att dela med sig av detta omgående.

IMY tydliggör att myndigheten inte har någon befogenhet att fatta beslut om datadelningsavtalet. Bara EU-domstolen och EU-kommissionen kan återkalla eller ogiltigförklara det nuvarande avtalet med USA. Det har inte skett ännu. 

Det är också värt att notera att den norska dataskyddsmyndigheten, Datatilsynet rekommenderar organisationer som behandlar personuppgifter att ha en exit-strategi. Det vill säga att ha en plan för vad man ska göra den dagen då avtalet eventuellt ogiltigförklaras. Om detta händer, kommer det med största sannolikhet inte finnas någon övergångsperiod. Amerikanska molntjänster som behandlar personuppgifter på europeisk mark påverkas också.

Enligt en artikel i Euractiv har EU-kommissionen inte agerat, trots att det numera saknas en reell och trovärdig tillsyn, vilket är ett centralt krav i DPF.

Förklaring av reglerna för internationella överföringar

GDPR innehåller regler som kräver att personuppgifter som överförs utanför EU ska skyddas enligt en minimistandard. Reglerna om internationella överföringar av personuppgifter i GDPR bygger i sin tur på skyddet av privatlivet som en grundläggande rättighet i EU:s stadga om de grundläggande rättigheterna samt Europarådets konvention 108 om dataskydd.

EU-kommissionen beslutade den 10 juli 2023 att USA erbjuder en adekvat skyddsnivå för personuppgifter under vissa förutsättningar. Beslutet möjliggör överföring av personuppgifter till USA enligt EU-US Data Privacy Framework, som omfattar både privata företag och myndigheter på en särskild lista.

Ett beslut om adekvat skyddsnivå från Europeiska kommissionen innebär att landet har granskats noggrant och uppfyller särskilda kriterier, inklusive demokrati, ett oberoende rättsväsende, rättsstatsprincipen och rättsligt skydd för överförda europeiska uppgifter. EU-medborgare måste ha rätt att klaga till domstol.

USA har ingen heltäckande federal integritetslagstiftning, och därför är dataöverföringar begränsade till organisationer som har valt att ansluta sig till DPF. Ramverket införlivar de centrala principerna i GDPR och gör dem till bindande amerikansk lag för deltagande företag när de hanterar uppgifter som överförs inom ramen för DPF.

Privacy and Civil Liberties Oversight Board (PCLOB)

PCLOB är en myndighet inom USA:s regering. Myndigheten består av fem styrelseledamöter. USA:s president avskedade dock fyra av styrelseledamöterna, inklusive ordföranden, den 27 januari 2025. 

För närvarande har styrelsen endast en republikansk medlem, Beth A. William. Myndigheten existerar på pappret men kan inte fatta några beslut av större vikt. I praktiken kan myndigheten inte fullgöra sitt tillsynsuppdrag. 

Läs mer

Överföring av personuppgifter till USA, vad gäller?, Integritetsskyddsmyndigheten, 5 mars 2025

Informasjon om overføringer til USA, Datatilsynet, 26 februari 2025 

Adequacy decision for safe EU-US data flows, 10 juli 2023

Board Member Beth A. Williams State of the Net Keynote, The Privacy and Civil Liberties Oversight Board, 11 februari 2025

Trump promised to keep spying agencies in check. Then he fired the watchdogs he appointed, 27 februari 2025

Trump Fires Democrats from Privacy Oversight Board, Bloomberg Law, 28 januari 2025 

Trump ‘unlawfully’ fired watchdogs who track government surveillance and protect civil liberties in attempt to ‘starve Congress’ of info it needs to legislate, lawsuit says, MSN news, 25 februari 2025

Deafening Commission silence with no credible EU-US data oversight left, Euractiv, 3 mars 2025

US Cloud soon illegal? Trump punches first hole in EU-US Data Deal, Noyb 23 januari 2025What the PCLOB Firings Mean for the EU-US Data Privacy Framework, Center for Democracy and Technology, 14 februari 2025