Den 3 september 2025 slog EU-domstolen fast att det nya avtalet för dataöverföringar till USA, Data Privacy Framework (DPF), gäller. Det betyder att personuppgifter återigen kan skickas till USA med tydliga regler, något som underlättar för region, myndigheter och andra offentliga verksamheter som använder amerikanska molntjänster.
Frågan om dataöverföringar till USA har varit ett långvarigt bekymmer:
- 2015 (Schrems I) ogiltigförklarades ramverket Safe Harbour.
- 2020 (Schrems II) föll även Privacy Shield.
Båda gångerna ansåg EU-domstolen att amerikanska myndigheter hade för stor tillgång till data, vilket gjorde skyddet otillräckligt. Efter dessa domar hamnade många offentliga organisationer i osäkerhet: kunde man egentligen använda amerikanska molntjänster som Microsoft 365, Google Workspace eller AWS utan att bryta mot GDPR?
Vad hände nu den 3 september 2025?
En fransk medborgare försökte få det nya ramverket ogiltigförklarat. Han menade att den amerikanska Data Protection
Review Court (DPRC) inte är oberoende och att underrättelsetjänsternas massinsamling fortfarande är olaglig.
Tribunaldomstolen avvisade klagomålet och konstaterade:
- DPRC anses oberoende tack vare rättsliga garantier.
- Massinsamling av data är tillåten, så länge den är underkastad efterhandskontrol, vilket sker i USA.
- Kommissionen måste följa utvecklingen och kan ändra eller stoppa ramverket om reglerna i USA förändras.
Med andra ord: ramverket gäller och USA anses just nu erbjuda en tillräcklig skyddsnivå för personuppgifter.
Vad innebär det för svensk offentlig sektor?
För offentlig sektor i Sverige innebär domen en lättnad – men också ett ansvar:
- Det är återigen juridiskt möjligt att använda amerikanska IT- och molntjänster för personuppgifter, utan att behöva bygga in lika många speciallösningar som tidigare.
- Amerikanska myndigheter kan i vissa fall samla in data i bulk. Även om detta bedöms vara i linje med EU-rätten, är det klokt att använda kryptering, åtkomstkontroller och andra skydd.
- Enligt GDPR måste myndigheter fortfarande göra riskbedömningar (Transfer Impact Assessments) när de använder amerikanska leverantörer. Domen gör processen enklare, men inte överflödig.
- Historien visar att EU-domstolen tidigare har ogiltigförklarat två liknande ramverk. Därför bör offentliga organisationer ha en ”plan B” för datalagring inom EU/EES.
Beslutet den 3 september 2025 ger andrum för svenska myndigheter och regioner. Det är nu möjligt att använda amerikanska molntjänster inom ramen för GDPR, men IT-säkerhet och dataskydd måste fortfarande prioriteras.
Läs mer om hur vi på Publitech jobbar med säkerhet
