Den 10 juli kom så äntligen beslutet från EU-kommissionen att dataflöden till USA återigen anses vara lagliga utan extra säkerhetsåtgärder. Det nya avtalet kallas EU-U.S. Data Privacy Framework och beskriver varför, till vem och hur personuppgifter lagligt kan överföras till USA. EU-kommissionen konstaterar också att de rättsliga förändringarna för dataskydd i USA underlättar användandet av andra överföringsmekanismer som till exempel Standardkontrakts klausuler som används vid kommersiell överföring till organisationer utan certifiering.
EU-kommissionen har fattat sitt beslut om adekvat skyddsnivå för personuppgifter från EU till organisationer i USA certifierade under det nya ramverket för dataskydd, EU-U.S. Data Privacy Framework, DPF. Därmed anses USA säkerställa en skyddsnivå jämförbar med GDPR för personuppgifter som överförs från EU till amerikanska företag och organisationer som certifierar sig enligt DPF. Så snart företagen hunnit certifiera sig kan personuppgifter överföras till dessa företag i USA utan att ytterligare dataskyddsåtgärder behöver vidas.
I skälen till beslutet beskrivs bland annat USA:s underrättelse- och övervakningsreglering och hur den förändrats av President Bidens Exekutiva Order (EO) 14086 ”Enhancing Safeguards for United States Signals Intelligence Activities” från 7 oktober 2022. EO14086 säkerställer att underrättelsetjänster endast kan få tillgång till uppgifter i den utsträckning som är nödvändig och proportionell och en förordning inrättar en oberoende och opartisk prövningsmekanism för att hantera och lösa klagomål från EU-medborgare om insamling av deras uppgifter för ändamål som rör den nationella säkerheten. I och med dessa förändringar anser EU-kommissionen att rättsläget är ändrat sedan Schrems II-domen som ogiltigförklarade det förra adekvansbeslutet Privacy Shield i juli 2020.
De skyddsåtgärder som har införts av den amerikanska regeringen på området nationell säkerhet samt den nya prövningsmekanismen gäller för alla dataöverföringar till företag i USA, oavsett vilka överföringsmekanismer som används. Dessa skyddsåtgärder underlättar därmed också användningen av andra verktyg som standard kontraktsklausuler, SCC, och bindande företagsbestämmelser, BCR.
Läs mer: Information om adekvansbeslutet
Dataanvändning