Får vi överföra personuppgifter till USA?

Utgångspunkten är att överföring till ett tredje land, dvs. ett land utanför EU/EES, är förbjuden om inte personuppgifterna skyddas med samma skyddsnivå som följer av GDPR. Om ni till exempel lagrar personuppgifter i en molntjänst eller på en server som finns i t ex USA måste ni ha en laglig grund särskilt för överföringen. Sådana lagliga grunder är:

• om det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå (t ex tidigare tillåtna Privacy Shield),
• bindande företagsbestämmelser,
• standardavtalsklausuler, eller
• särskilda situationer och enstaka fall.

I det uppmärksammade målet som avgjordes av EU-domstolen i juli (även kallat Schrems II-domen) ogiltigförklarades Privacy Shield som i många fall används som laglig grund för överföring av personuppgifter till USA. Det är därför inte längre tillåtet att basera överföringen på denna grund. Företag som idag baseras sin överföring av personuppgifter på Privacy Shield måste därför hitta en annan laglig grund för överföringen. Många företag har t ex uppdaterat den lagliga grunden till standardavtalsklausulerna. Det är dock viktigt att vara medveten om att domstolen ansåg att det till stora delar var amerikansk nationell lagstiftning som inte gav ett tillräckligt skydd för personuppgifterna vilket gör det osäkert om personuppgifter kan överföras med ens med standardavtalsklausulerna som laglig grund.