Uppdateringar kring överföringar av personuppgifter från EU till USA
Juristen förklarar
10 oktober 2025
EU-domstolen avvisar ogiltighetstalan mot Data Privacy Framework
Bakgrund
Den 3 september 2025 meddelade EU-domstolens dom i mål Latombe v Commission (T-553/23). Målet rörde en talan om ogiltigförklaring av kommissionens beslut att anta det nya EU–US Data Privacy Framework (DPF), som reglerar överföringar av personuppgifter från EU till certifierade organisationer i USA.
Frågan om överföringar av personuppgifter till USA har tidigare varit uppe i EU-domstolen två gånger genom Schrems I och Schrems II. I de båda målen ogiltigförklarade domstolen avtalen, Safe Harbour-avtalet respektive Privacy Shield, eftersom amerikansk lag inte gav ett tillräckligt skydd för EU-medborgares personuppgifter, särskilt mot övervakning från underrättelsetjänster. Konsekvensen av EU-domstolens ogiltigförklarande var att det inte längre fanns något giltigt beslut om adekvat skyddsnivå – överföringar av personuppgifter till USA var således inte längre möjlig med stöd av artikel 45 GDPR. För överföringar till USA krävdes att andra lämpliga skyddsåtgärder vidtogs. Ett exempel är användandet av standardavtalsklausuler (SCC) i enlighet med artikel 46 GDPR. Men Schrems II-domen underströk även att SCC i sig inte alltid är tillräckligt, man måste göra en konsekvensbedömning (Transfer Impact Assessment – TIA) av mottagarlandet och vid behov införa kompletterande säkerhetsåtgärder.
Käranden i målet T-553/23, Latombe, hävdade att EU-kommissionens beslut bröt mot kraven i Dataskyddsförordningen (GDPR) samt i Europeiska unionens stadga om de grundläggande rättigheterna, särskilt respekten för privatlivet och familjelivet (artikel 7) och skydd av personuppgifter (artikel 8).
Domstolens bedömning
Domstolen avvisade talan i sin helhet och slog fast att DPF uppfyller kraven på en adekvat skyddsnivå enligt artikel 45 GDPR samt att artikel 7 och 8 i stadgan om de grundläggande rättigheterna inte har åsidosatts. Två huvudfrågor var särskilt viktiga i målet:
- Oberoende i DPRC
Käranden gjorde gällande att Data Protection Review Court (DPRC) – en särskild instans i USA dit EU-medborgare kan vända sig till om de anser att deras uppgifter hanteras fel – inte är en oavhängig och opartisk domstol, utan ett organ utanför domstolsväsendet som är beroende av regeringen. Domstolen granskade DPRC och fann dock att DPRC har tillräckliga skydd för domarnas oberoende. - Amerikansk underrättelsetjänsts tillgång till personuppgifter
Frågan om underrättelsetjänsters tillgång till personuppgifter utgjorde en stor del i målet. Käranden gjorde gällande att USA inte säkerställde adekvat skyddsnivå vad gäller landets underrättelsetjänsters bulkinsamling av personuppgifter. Domstolen konstaterade dock att de amerikanska reformerna sedan Schrems I och Schrems II infört tydligare och mer precisa regler för datainsamling.
Domstolen framhöll att prövningen ska ske mot bakgrund av de förhållanden som rådde vid tidpunkten för kommissionens beslut. Vid denna tidpunkt ansåg domstolen att USA kunde uppvisa en adekvat skyddsnivå i den mening som avses i GDPR.
Konsekvenser
Domen innebär att överföringar av personuppgifter till USA, när de sker på grundval av DPF, inte strider mot EU-rätten. För företag i EU och USA innebär detta en ökad rättssäkerhet och förutsebarhet efter flera år av rättslig osäkerhet sedan Schrems II. Dock kan utvecklingen inte betraktas som slutgiltig. Precis som tidigare ramverk (Safe Harbor och Privacy Shield) kan DPF bli föremål för vidare rättslig prövning. Om Latombe väljer att överklaga domen kan ett slutligt avgörande dröja minst 18 månader. Fram till dess gäller dock domen, vilket gör att DPF tills vidare står fast.
För företag innebär alltså domen en möjlighet att med större trygghet använda DPF som säkerhetsmekanism, samtidigt som det påminner om att adekvat skydd alltid måste följas upp i praktiken.
Den nya domen om EU–US Data Privacy Framework (DPF) ger företag nya möjligheter – men också nya ansvar. Vi hjälper ditt företag att utnyttja fördelarna fullt ut och samtidigt säkerställa att överföringar sker i enlighet med GDPR. Kontakta oss redan idag för praktisk och uppdaterad rådgivning så att ditt företag kan agera tryggt och säkert i internationella dataflöden.
Artikel författad av
Zandra Larsen, jurist och dataskyddssamordnare på Freja Partner
