Jul 1, 2026
analys

Är det nu EU-US DPF spricker?

SCOTUS / FTC / PCLOB / EU-US DPF / GDPR. Många har redan skrivit om detta, så jag tänkte egentligen låta bli, men jag ville ändå försöka bryta ner nuläget på ett enkelt sätt.

eu-us dpf

  1. PCLOB
    Övervakar att de amerikanska underrättelsetjänsterna följer lagen och utövar tillsyn över delar av den amerikanska signalunderrättelseverksamheten. Sedan Trump avskedade de demokratiska ledamöterna är PCLOB i praktiken inte beslutsför. Endast en ledamot återstår, en Trump-allierad republikan.

    Status: Ej oberoende och politiskt styrd.

  2. FTC
    Övervakar att företag följer amerikansk lag. FTC har traditionellt haft en hög grad av oberoende från den verkställande makten. SCOTUS beslut i veckan (detta är det nya) innebär att presidentens kontroll över FTC nu stärks, vilket förändrar förutsättningarna för myndighetens oberoende.

    Status: Ej oberoende och politiskt styrd.

  3. Hur påverkar det Sverige?
    Idag är det lagligt att överföra personuppgifter från EU till certifierade amerikanska företag genom EU-US Data Privacy Framework (EU-US DPF). Det bygger på EU-kommissionens bedömning att dessa företag erbjuder en adekvat skyddsnivå, trots att personuppgifter lämnar EU. Den bedömningen bygger bland annat på olika former av tillsyn och rättssäkerhetsmekanismer där både PCLOB och FTC spelar viktiga roller.

    Status: Osäkert. Om EU-US DPF skulle ifrågasättas igen handlar det inte bara om juridik. Det påverkar tusentals svenska företag som använder amerikanska molntjänster varje dag.

Slutsats

Det blir allt svårare för Europeiska kommissionen att hävda att samma förhållanden gäller idag som när adekvansbeslutet för EU-US DPF fattades.

Frågan har redan omprövats relativt nyligen, främst eftersom PCLOB inte fungerat på länge. Efter SCOTUS beslut ökar osäkerheten ytterligare.

Det är lätt att säga “Vad var det jag sa” eller peka finger. Jag har upprepade gånger skrivit om detta sedan februari 2025 (se listan i slutet av posten). Kontentan är att skiten kan träffa fläkten inom kort och att EU-US DPF sannolikt behöver ses över. IMY lutar sig på EDPB, men från båda dessa är det generellt väldigt tyst.

Viktigt är dock att skilja på laglighet och säkerhet. EU-US DPF reglerar om det är lagligt att överföra personuppgifter till amerikanska molntjänster. Det säger däremot ingenting om hur trygg man känner sig med att lagra verksamhetskritisk information i en viss jurisdiktion.

Frågan varje organisation behöver ställa sig är därför: Vill man och behöver man verkligen ha sin data i amerikanska molntjänster eller finns alternativ i Sverige / EU?

Alla företag behöver därför ta detta på allvar och fundera över hur både verksamhetsdata och personuppgifter hanteras. Bara för att något fortfarande är lagligt betyder det inte att det är rätt beslut för den egna verksamheten.

Tidigare poster på ämnet

← Fler bloggposter

© 2026 Fredrik Stenbeck.