Behöver vi oroa oss för en Schrems III?

Framtiden för EU–US Data Privacy Framework (DPF) väcker många frågor. Kommer det en Schrems III-dom? Och vad händer med användningen av exempelvis amerikanska molntjänster om DPF ogiltigförklaras?

Företrädare för NOYB ska i januari 2025 fått frågan om de planerar att utmana DPF juridiskt. Svaret var nej – åtminstone inte på kort sikt. Deras bedömning var istället att det är mer sannolikt att ramverket kollapsar på grund av politiska förändringar i USA. Skulle frågan drivas rättsligt, skulle det sannolikt ta minst två år innan en dom faller. Det innebär att en Schrems III inte vore aktuell före mitten av 2027.

Samtidigt finns redan tecken på att tillsynen i USA försvagats. Privacy and Civil Liberties Oversight Board (PCLOB), som spelar en central roll för att EU ska se det som att skyddsnivån i USA är tillförlitlig, har för närvarande endast en medlem kvar. Tre av fyra medlemmar avsattes nyligen av Trumps administration. Det riskerar att underminera förtroendet för skyddet av personuppgifter i USA.

Men om DPF skulle upphävas – blir då amerikanska molntjänster olagliga att använda? En färsk EU-dom från den 8 januari 2025 (Bindl, T-354/22) ger viss vägledning. EU-kommissionen lagrade uppgifter hos Amazon på servrar inom EU och domstolen slog fast att enbart risken för att uppgifter kan komma att överföras till USA inte i sig innebär att en tredjelandsöverföring har skett. Det krävs en faktisk överföring till tredje land för att artikel 46 i GDPR ska gälla, risken för en sådan kan inte likställas med ett åsidosättande av bestämmelsen.

Så hur bör organisationer agera? Vår rekommendation är att förbereda en plan för hur ni kan agera om förutsättningarna förändras – till exempel genom att säkerställa att ni snabbt kan byta tjänsteleverantörer eller lagringsplats om så krävs. Följ utvecklingen och var beredda på att agera.

Vill ni säkra era molntjänster inför framtida förändringar? Kontakta Morling Consulting – våra GDPR-jurister hjälper er att fatta rätt beslut i tid.