GDPR problematiserar användandet av amerikanska molntjänster
I Schrems-II domen fastslog EU-domstolen att det s.k. Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. EU-domstolen ansåg även att överföring av personuppgifter genom standardavtalsklausuler endast går att tillämpa om skyddsnivån i mottagarlandet är ”väsentligen likvärdig med den som inom EU garanteras genom den allmänna dataskyddsförordningen”. Detta anses inte gälla för USA där Facebook och många andra stora IT-bolag omfattas av Foreign Intelligence Surveillance Act (FISA). FISA är en lag som gör att amerikanska myndigheter har rätt att inhämta personuppgifter av EU-medborgare hos dessa bolag, vilket strider mot GDPR.
18 juni 2021 publicerade den europeiska dataskyddsstyrelsen EDPD (European Data Protection Board) rekommendationer som kompletterar Schrems II-domen. Dessa ger utrymme för personuppgiftsansvariga i EU att ta hänsyn till den praktiska tillämpningen och bedöma vilka risker det finns för personuppgifterna i mottagarlandet. Det krävs emellertid att man tydligt, genom dokumentation och objektiva ställningstaganden, visar att mottagarlandets lagstiftning inte i praktiken tillämpas på ett problematiskt sätt. Man kan tex. påvisa att amerikanska myndigheter i praktiken aldrig har begärt åtkomst till den aktuella sortens personuppgifter, men det måste kompletteras i en helhetsbedömning baserad på även andra källor.