Enligt personuppgiftslagen (PUL) är det som huvudregel förbjudet att föra över personuppgifter till de länder utanför EU som saknar så kallad adekvat skyddsnivå för behandling av enskildas personuppgifter. Med anledning av att USA ansågs sakna adekvat skyddsnivå och att det fanns ett stort intresse från näringslivet fattade EU-kommissionen år 2000 ett beslut som medförde att personuppgifter fick föras över till de företag i USA som självcertifierade sig efter ett antal dataskyddsprinciper (Safe Harbor-principerna). Gårdagens dom innebär att det inte längre enbart går att hänvisa till Safe Harbor-undantaget.

Det huvudsakliga skälet till domslutet är att det framkommit att europeiska medborgares personuppgifter samlas in och behandlas av NSA och andra underrättelsemyndigheter på sätt som står i strid med EU-medborgares rättigheter till skydd mot behandling av deras personuppgifter.

Domen träffar främst företag som för över personuppgifter till koncernbolag i USA samt företag och organisationer som köper molntjänster m.m. avseende exempelvis CRM, HR och ekonomi som tillhandahålls från USA.

Det kommer framgent fortfarande vara möjligt att föra över personuppgifter till USA men då genom avtal baserat på EU-kommissionens så kallade modellklausuler. Att överföra personuppgifter till USA utan stöd i lag är straffbelagt med böter eller fängelse.

Du kan läsa domen på EU-domstolens hemsida.