Ny dom från EU-domstolen om överföring av personuppgifter till USA

Överföringen av personuppgifter från EU till USA har länge varit omdiskuterat ur ett dataskyddsrättsligt perspektiv. Den 10 juli 2023 fattade EU-kommissionen beslut om att USA säkerställer en adekvat skyddsnivå för personuppgifter som förs över till mottagare som omfattas av Data Privacy Framework-avtalet mellan EU och USA (det så kallade adekvansbeslutet). Du kan läsa mer om det i vår tidigare artikel här.

Den 3 september 2025 meddelade EU-domstolen en ny dom som rör möjligheten att föra över personuppgifter till USA. Domen rörde en talan om att ogiltigförklara Data Privacy Framework (Latombe v. Commission, T-553/23).

I det följande går vi igenom en kort bakgrund till domen och EU-domstolens slutsatser.

Tidigare ramverk för överföring av personuppgifter till USA

Även innan Data Privacy Framework antogs 2023 har det funnits två olika ramverk mellan EU och USA som möjliggjort överföringar av personuppgifter från EU till USA. Det två tidigare ramverken, Safe Harbor och Privacy Shield, har dock båda ogiltigförklarats av EU-domstolen genom domarna Schrems I och Schrems II. Grunden till att de tidigare ramverken ogiltigförklarades var att dessa inte ansågs medföra ett tillräckligt skydd vid överföring av personuppgifter till USA på grund av amerikansk underrättelselagstiftning (du kan läsa mer om ogiltigförklaring av Privacy Shield här).

Kort bakgrund till talan i EU-domstolen

Sedan Schrems II-domen 2020 har det pågått förhandlingar mellan EU och USA för att ta fram ett nytt adekvansbeslut. Den 10 juli 2023 antog EU-kommissionen ett nytt adekvansbeslut som möjliggjorde säker överföring av personuppgifter från EU till USA. Sedan Data Privacy Framework antogs har det dock diskuterats på olika håll huruvida det verkligen säkerställer tillräckligt skydd – åtgärder har vidtagits för att utmana beslutet.

En ledamot av det franska parlamentet valde att väcka talan i EU-domstolen och framhävde att den amerikanska domstolen som övervakar dataskyddet i USA inte är tillräckligt oberoende och att USA:s underrättelsetjänster kan samla in personuppgifter utan tillstånd. Sammantaget ansåg den franska parlamentarikern att EU-domstolen skulle ogiltigförklara Data Privacy Framework.

EU-domstolens bedömning

EU-domstolens bedömning omfattar huruvida Data Privacy Framework ska ha ansetts vara giltigt vid tidpunkten för när EU-kommissionen antog adekvansbeslutet under 2023. Domstolen påpekar att det finns flera skyddsåtgärder för att säkerställa att den amerikanska domstolen är oberoende. Dessutom anser domstolen att EU-kommissionen har tillräckliga verktyg för att kontinuerligt granska hur Data Privacy Framework efterlevs och avbryta, ändra eller upphäva Data Privacy Framework vid behov. EU-domstolen framhäver därför att USA, vid tiden för EU-kommissionens beslut, säkerställde en adekvat skyddsnivå.

Domen innebär att Data Privacy Framework fortfarande gäller och att det därmed är fortsatt tillåtet att föra över personuppgifter till USA med stöd av adekvansbeslutet, förutsatt att mottagaren i USA har anslutit sig till Data Privacy Framework. EU-domstolens pressmeddelande om domen går att läsa här.

Domen kan komma att överklagas. Det är därför viktigt att hålla sig uppdaterad om eventuella förändringar i det rättsliga ramverket.

Välkommen att höra av er till oss på Cederquist om ni har frågor om EU-domstolens dom eller några andra dataskyddsrättsliga frågor.