Den 10 juli 2023 introducerade Europeiska kommissionen ett nytt beslut om tillräcklighet inom ramen för EU-US Data Privacy Framework. Detta beslut är ett svar på de utmaningar som den så kallade Schrems II-domen från 2020 medförde, där Privacy Shield-ramverket ogiltigförklarades. Domen gjorde det svårt att överföra data från EU till USA inom ramen för GDPR.

Amerikanska åtgärder

Som svar på denna utmaning antog USA en exekutiv order i oktober 2022, som inför starkare skydd för europeiska medborgares data. Det är dock viktigt att notera att en exekutiv order inte är en permanent lösning och kan förändras av framtida administrationer.

Efter en granskningsperiod ansåg Europeiska kommissionen att dessa förändringar i amerikansk lagstiftning var tillräckliga, vilket ledde till det nya beslutet om tillräcklighet.

Nytt beslut av Europeiska kommissionen

Trots Europeiska kommissionens nya beslut om tillräcklighet kvarstår osäkerhet, särskilt med tanke på att amerikanska myndigheter fortfarande har rätt att begära personuppgifter från amerikanska cloud-tjänster inom EU. Experter och kritiker, såsom Max Schrems från organisationen NOYB, påpekar att de grundläggande problemen med amerikansk övervakningslagstiftning består.

”Vi hade nu ’Harbors’, ’Umbrellas’, ’Shields’ och ’Frameworks’ – men ingen väsentlig förändring i amerikansk övervakningslag.” - Max Schrems

Tre viktiga punkter kring beslutet om tillräcklighet

Begränsningar för dataöverföringar till USA

Mottagare av dataöverföringar i USA är skyldiga att certifiera sig under beslutet om tillräcklighet. Beslutet tillåter alltså inte överföringar till USA i allmänhet.

Den fortsatta konflikten med GDPR

Amerikansk lag ger deras myndigheter rätt att begära personuppgifter från amerikanska cloud-tjänster i EU, vilket enligt NOYB utgör en fortsättning på konflikten med GDPR.

Skyddsnivå inom EU

Organisationer inom EU måste säkerställa den skyddsnivå som krävs enligt GDPR. Beslutet möttes av kritik om att effektivt skydd inte kan garanteras när tredjelandslagstiftning kan tillåta inskränkningar i europeiska individers rättigheter.

Vill du fördjupa dina kunskaper om hur beslutet om tillräcklighet påverkar ditt företag? Ladda ner vår guide till cloud-efterlevnad för mer information.