I mars offentliggjorde EU och USA att man nått en principiell överenskommelse om ett nytt avtal för dataöverföringar, för att ersätta Privacy Shield som ogiltigförklarades av EU-domstolen 2020.
Efter Schrems II-domen har det från flera håll framförts vikten av att ta fram ett nytt juridiskt ramverk som tillåter dataöverföring till tredje land – ett ramverk som behöver uppfylla de krav som EU-domstolen pekat på.
– Många är förhoppningsfulla, men även om det talas om en principöverenskommelse är det viktigt att framhålla att det inte innebär några förändringar för den som i dagsläget vill föra över data till USA, säger Malin Jakobsson, Compliance-chef på GleSYS, och fortsätter:
– Innan vi har ett nytt juridiskt ramverk på plats är det fortfarande samma hinder, som idag, att överföra personuppgifter till USA. Till dess, att ett ramverk är på plats, behöver den som för över data till USA säkerställa att de verktyg man använder uppfyller kraven i dataskyddsförordningen och EU-domstolens praxis.
Innehållet i överenskommelsen har inte offentliggjorts men förhandlingarna om att omsätta principöverenskommelsen till ett bindande avtal har fortsatt. Ett bevis på det är den executive order som Biden-administrationen annonserade i oktober.
– Det är bra att det pågår förhandlingar, men en executive order betyder i detta läget egentligen inte mer än att presidenten vill gå EU till mötes. USA behöver justera i sin grundlag och det sker i kongressen. Och även om det sker en lagändring så måste det till ett ramverk som innehåller garantier för registrerade i EU/EES ska kunna utöva sina rättigheter ifråga om skydd för personuppgifter, säger Malin Jakobsson.
Malin Jakobsson, Compliance-chef på GleSYS.
– De många turerna kring dataöverföring till tredjeland gör det svårt att veta vad som gäller, och bedömningen läggs ofta på enskilda företaget och organisationer. Osäkerheten och oron gör att många företag blir avvaktande, vilket medför att viktiga digitala investeringar skjuts upp eller kanske aldrig ser dagens ljus, säger Malin.
– Även om vi har någon form av överenskommelse på plats nästa år, är det många som spår en Schrems III-dom och då har vi samma läge som nu.
– För att inte oroa sig om man följer EU:s förordningar vad gäller dataöverföring, så behöver man se över sin molnstrategi. Genom att klassificera sin data får man en enkel bild över vilken data som man bör placera i Sverige eller EU och vilken data som man kan föra över till USA. Genom att införa en multi cloud-lösning där kritisk data stannar i Sverige, kan du vara trygg med att du uppfyller så kallad regelefterlevnad.
