Data Protection Blog

Är det på väg att bli omöjligt att lagligen överföra personuppgifter till USA?

En av USAs nytillträdda presidents första åtgärder var att skriva under en ”executive order”, ett särskilt presidentbeslut, med en instruktion till federala myndigheter att säkerställa att personer som inte är medborgare i landet eller har permanent uppehållstillstånd berövas skyddet för personuppgifter enligt ”The US Privacy Act” i så stor utsträckning som tillämplig lag tillåter. Vad beslutet faktiskt kommer innebära i praktiken är ännu osäkert men klart är att det har väckt liv i frågan om lagligheten i att överföra personuppgifter från EU till USA.

Det har inte gått mer än sex månader sedan det så kallade Privacy Shield-ramverket kom på plats. Tanken var att behandling av personuppgifter utförd av företag och organisationer som anslutit sig till ramverket skulle garanteras i allt väsentligt samma skyddsnivå i USA som inom EES. Nästan 1500 företag – däribland Facebook och Google – har hittills anslutit sig. Den nya instruktionen från Trump (citerad nedan) skulle enligt sin ordalydelse kunna tolkas som att bl.a. EU-medborgare i grunden ska fråntas skydd för personuppgifter.

“Privacy Act.  Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”

I och med att ett adekvat skydd för personuppgifter är en grundförutsättning för att en överföring från EES till ett tredje land ska vara laglig kan presidentens beslut potentiellt få avgörande konsekvenser för alla överföringar till landet – oavsett om mottagande organisation är ansluten till Privacy Shield eller om annat rättsligt stöd åberopas (t.ex. avtal baserade på EUs modellklausuler).

Hittills har en talesperson för Kommissionen uttalat sig och sagt att Privacy Shield aldrig har vilat på ”The US Privacy Act” vad gäller skydd för européers personuppgifter i USA. Klart är dock att frågan om lagligheten i överföringar av personuppgifter till USA återigen är omgärdad av stor osäkerhet och än är knappast sista ordet sagt.