Organisationen NOYB, ledd av Max Schrems, har uppmärksammat att det första steget mot att riva upp EU-US Data Privacy Framework kan ha tagits. Amerikanska medier rapporterar att representanter för det demokratiska partiet har fråntagits sina positioner i Privacy and Civil Liberties Oversight Board (PCLOB) – en organisation som spelar en central roll i tillsynen av personuppgiftsbehandling i USA, inklusive de uppgifter som överförs från EU. Problemet? Platserna har inte tillsatts av nya representanter (från något parti alls), vilket kort och gott betyder att PCLOB är underbemannad.
Och som om det inte vore nog: Tidigare beslut (presidentordrar) kopplade till nationell säkerhet – en av de grundläggande byggstenarna i överenskommelsen mellan EU och USA – ska nu ses över inom 45 dagar. Vad det kan leda till är ännu oklart, men det är ingen högoddsare att NOYB och andra kommer att försöka använda detta som argument för att ogiltigförklara ramverket.
I Danmark manar man till beredskap – men hur oroliga ska vi vara?
Samtidigt kommer varningssignaler även från Danmark. En expert vid Datatilsynet (Danmarks motsvarighet till IMY) har i dansk media sagt att företag bör ta fram en konkret plan för att kunna driva sin verksamhet utan de stora amerikanska IT-leverantörerna.
Låter det dramatiskt? Ja. Men vi har sett liknande varningar tidigare. Minns ni när Schrems II-domen slog ner som en bomb och många fruktade att amerikanska molntjänster skulle bli omöjliga att använda? I verkligheten blev det mer av en segdragen process med kompletterande åtgärder och riskbedömningar snarare än ett totalt uppbrott.
Vad kan vi göra nu?
Om PCLOB:s tillsynsfunktion urholkas och nationella säkerhetsbeslut förändras kan det inte bara ge NOYB argument för att på nytt utmana EU-US Data Privacy Framework i EU-domstolen. Det kan också, som NOYB skriver, innebära att EU-kommissionen omvärderar förutsättningarna för ramverket, och återkallar sitt beslut. Om det sker kommer alla som använder amerikanska IT-tjänster att behöva en plan B.
Så vad kan ni göra redan nu? Här är några steg att fundera på:
- Kartlägg era dataflöden – Var lagras er data? Vilka överföringar av personuppgifter till USA sker idag? Sker de med stöd av EU-US Data Privacy Framework?
- Se över era förutsättningar att tillfälligt lägga om verksamheten – Har ni beredskap för att hantera personuppgifter i alternativa system under en övergångsperiod?
- Utforska alternativa lösningar – Går det att se till att de amerikanska leverantörerna behandlar er information inom EU?
- Håll er uppdaterade – Det här är en pågående process där det gäller att vara steget före.
Det är precis som Alphaville sjöng: Hoping for the best, but expecting the worst. Vi på Forefront Legal Services har experterna som kan hjälpa er navigera osäkerheten kring dataskydd, IT-rätt och molnjuridik. Hör av er så ser vi till att ni är redo – oavsett vad nästa säsong av den transatlantiska dataskyddsligan har att bjuda på.
