Det har hunnit gå tre år sedan det tidigare dataavtalet Privacy Shield ogiltigförklarades i av EU-domstolen och för två veckor sedan kom det efterlängtade beskedet att det nu kommit ett nytt avtal på plats, kallat EU-U.S. Data Privacy Framework.
Caroline Olstedt Carlström.
Så är det fritt fram att föra över personuppgifter till USA nu?
– Ja, det är fullt lagligt att använda sig av den överföringsgrunden. EU-kommissionen har godkänt den överföringsmekanism som har förhandlats fram med USA baserat på de ändringar som har genomförts på amerikansk sida. Men det finns ett antal förutsättningar som måste vara uppfyllda för att den mekanismen ska kunna tillämpas. Det är inte carte blanche för att fritt överföra, säger Caroline Olstedt Carlström, ordförande för Forum för dataskydd och partner i advokatfirman Cirio.
Bland annat handlar det om att det mottagande företaget i USA ska vara certifiterat under det nya ramverket för att säkerställa att kraven på den amerikanska sidan uppfylls. Och eftersom överföringsmekanismen nu ser annorlunda ut än tidigare så måste man också se till att dokumentationen och avtalen som man har fortfarande stämmer och se till att anpassa dem annars.
Det gäller också att vara beredd på att även den nya mekanismen kan utmanas – aktivisten Max Schrems är mycket kritisk även denna gång och har sagt att han förväntar sig att det kommer att prövas i EU-domstolen.
Göra riskbedömning
Därför är det viktigt att också göra en affärsmässig riskbedömning av hur man ska lägga upp hur dataöverföringen ska se ut råder Caroline Olstedt Carlström.
– Man behöver en plan B – ha en exitstrategi klar för sig, säger hon.
– Vi vet sedan tidigare domar att avtalen upphävs med omedelbar verkan om domstolen anser att de inte lever upp till kraven. Och då måste man vara beredd.
Det kan handla om att ha en konstruktion med standardavtalsklausler på plats som direkt kan ersätta Data Privacy Framework.
– Där vet vi inte riktigt ännu hur bedömningarna kring sådana klausuler påverkas – ett domslut kan smitta över även på de klausulerna och till dem hörande dokumentation och riskbedömningar.
Alternativ leverantör
För att vara på säkra sidan bör svenska företag som har samarbete över Atlanten som är väldigt viktiga för dem ha en alternativ leverantör anser Caroline Olstedt Carlström.
– Det är viktigt att ledning och styrelse ser till att man har möjlighet att agera. Att integrera med en ny tjänst från stora plattformar kan ibland ta flera år. Så hur snabbt man kan byta fot till ett annat alternativ är en av de risker som behöver värderas, säger hon.