Sök Logga in

Ny vändning i frågan om dataöverföringar mellan EU och USA

Marcus Österberg Skapad 2025-09-03, uppdaterad 2025-09-05 4 minuters läsning Nyhetsnotiser GDPR DPF Dataskydd
Flaggor från USA och EU

EU:s förstainstansdomstol har just avgjort det första rättsliga testet av Data Privacy Framework. Avtalet för dataöverföringar mellan EU och USA.

Den franske parlamentsledamoten Philippe Latombe hade väckt talan mot EU-kommissionens beslut om att godkänna det så kallade Trans-Atlantic Data Privacy Framework från 2023. Domen väcker frågor om hur vi i Europa ska förhålla oss till amerikanska molntjänster när grunderna för avtalet redan undergrävs.

Vad handlar Latombe-fallet om?

Philippe Latombe utmanade det senaste försöket att skapa en laglig grund för överföringar av personuppgifter från EU till USA. Det nya avtalet är i princip identiskt med de två tidigare avtalen som EU-domstolen underkände i de uppmärksammade fallen Schrems I och Schrems II. Latombe argumenterade för att även detta tredje avtal är olagligt, särskilt med tanke på utvecklingen i USA under den nya administrationen.

Förstainstansdomstolen accepterade att Latombe hade rätt att föra talan eftersom han ansågs vara direkt berörd av avtalet. Detta var en viktig principiell fråga som EU-kommissionen fortfarande kan överklaga. Däremot fann domstolen inte hans specifika argument övertygande nog för att underkänna avtalet.

Det är viktigt att notera att Latombe valde en relativt smal och teknisk argumentation. En bredare genomgång av de faktiska förhållandena i USA skulle kunna ge ett annat resultat.

Problematiska antaganden i domen

Det mest anmärkningsvärda med domen är hur domstolen bedömer oberoende och rättssäkerhet i USA. Domstolen menar att den nya Data Protection Court of Review (DPCR) skulle vara oberoende, trots att denna domstol endast existerar genom en presidentorder och inte genom lag.

Samtidigt ser vi just nu hur den amerikanska presidenten avskedar personer vars oberoende faktiskt är garanterat i lag, som ledare för Federal Trade Commission och Federal Reserve. Att en domstol som kan upphävas med ett penndrag från Trump skulle utgöra ett tillräckligt skydd för europeiska medborgares rättigheter framstår som extremt naivt.

Förstainstansdomstolen verkar också ha tagit avstånd från EU-domstolens tidigare praxis. Skyddet i det nya avtalet är nästan identiskt med det som tidigare underkänts, och i vissa delar till och med svagare. Det är därför lite förvånande att domstolen kommer till en annan slutsats denna gång. Dock har domstolen endast prövat de specifika invändningar som Latombe framförde och har inte nödvändigtvis tagit ställning till alla de aspekter som prövades i Schrems-fallen. En bredare talan med andra argument skulle kunna leda till en annan bedömning.

Vad betyder detta för svenska organisationer?

För organisationer i Sverige och övriga EU innebär domen ingen egentlig förändring av läget. Integritetsskyddsmyndigheten har redan påpekat att USA:s president nyligen avskedat flera ledamöter i Privacy and Civil Liberties Board (PCLOB), vilket gör att denna tillsynsmyndighet inte längre är beslutför. Utan en fungerande tillsynsmyndighet saknas en grundläggande förutsättning för det avtal som EU-kommissionen godkänt.

Våra nordiska dataskyddsmyndigheter är eniga i sin bedömning. Som Allan Frank på danska Datatilsynet uttryckt det har det aldrig varit viktigare att ha en verklig plan B för att kunna frigöra sig från amerikanska molntjänster. Norska Datatilsynet har kommit till samma slutsats.

Vägen framåt

Fallet kommer sannolikt att överklagas till EU-domstolen, som tidigare visat sig mer benägen att värna europeiska medborgares grundläggande rättigheter. NOYB och Max Schrems överväger redan att initiera en bredare utmaning av avtalet som tar hänsyn till den faktiska situationen i USA idag.
EU-US Data Transfers: First Reaction on "Latombe" Case (NOYB)

För svenska organisationer är budskapet tydligt. Det är dags att på allvar överväga europeiska alternativ och bygga upp en digital infrastruktur som respekterar våra värderingar och regelverk. Det handlar inte bara om regelefterlevnad utan om att värna de grundläggande rättigheter som är inbyggda i vårt europeiska samhällskontrakt. Vi har rätt till respekt för vårt privatliv och våra kommunikationer enligt EU:s stadga om grundläggande rättigheter. Detta är värden som vi inte bör kompromissa bort för bekvämlighets skull.

Det finns gott om europeiska alternativ som både fungerar väl tekniskt och respekterar våra dataskyddsregler. Frågan är mest om vi har viljan att prioritera våra medborgares rättigheter framför kortsiktig bekvämlighet. Med tanke på den rättsliga osäkerheten och de politiska realiteterna på andra sidan Atlanten är det svårt att se hur vi kan fortsätta förlita oss på att amerikanska molntjänster skulle vara förenliga med våra europeiska värderingar och regelverk.

Jag ser fram emot att följa utvecklingen när fallet når EU-domstolen. Förhoppningsvis får vi då en dom som tar hänsyn till de faktiska förhållandena snarare än teoretiska konstruktioner om de skydd som inte existerar i praktiken.

Mer om DPF, Latombe och GDPR

Relaterat innehåll

Ironisk illustration över etikett till flaska med fejkad medicin, så kallad ormolja. (Bild av armageddon på deviantart, licens CC BY-NC-ND 3.0))

Fungerar tillgänglighets­lager? Nej!

I veckan uppmärksammades det förmodligen första företaget som säljer ”accessibility overlays” på den svenska marknaden. Så vad är då detta, och funkar de?