Amerikansk høyesterett utfordrer grunnlaget for overføring av data fra EU til USA
Hjem / Artikler / Personvern / Amerikansk høyesterett utfordrer grunnlaget for overføring av data fra EU til USA
Personvern

Amerikansk høyesterett utfordrer grunnlaget for overføring av data fra EU til USA

En fersk høyesterettsdom i USA slår fast at FTC ikke lenger er konstitusjonelt uavhengig – og undergraver dermed et sentralt premiss bak EU–USA Data Privacy Framework. Personvernorganisasjonen noyb varsler allerede mulig søksmål, og norske virksomheter bør følge med. Les mer under.
Publisert: 01.07.26

29. juni 2026 avsa USAs høyesterett dom i Trump v. Slaughter. Saken handlet tilsynelatende om hvem presidenten kan avskjedige i forvaltningen, men konsekvensene strekker seg langt inn i personvernretten.

Høyesterett fastslo med seks mot tre stemmer at Federal Trade Commissions (FTC) lovfestede vern mot vilkårlig avskjedigelse er i strid med den amerikanske grunnloven. Begrunnelsen bygger på den såkalte unitary executive-teorien, som krever at presidenten har full styringsrett over alle deler av den utøvende makt. FTC er med dette ikke lenger uavhengig i konstitusjonell forstand.

Det er her koblingen til personvernretten oppstår. EU–USA Data Privacy Framework (DPF) er det rettslige grunnlaget for overføring av personopplysninger fra EØS til sertifiserte amerikanske selskaper. Rammeverket bygger på at EU-kommisjonen har vurdert det amerikanske personvernnivået som vesentlig likeverdig med EØS-standarden. En bærebjelke i denne vurderingen er at FTC fungerer som et uavhengig tilsynsorgan. Kommisjonen viser til FTC 259 ganger i selve adekvansvedtaket.

Personvernorganisasjonen noyb, grunnlagt av Max Schrems, sendte 30. juni et brev til Kommisjonen med krav om ordnet tilbaketrekning av adekvansvedtaket. Noyb varsler samtidig en ny sak for EU-domstolen. Schrems vant frem med Schrems I i 2015 og Schrems II i 2020 og felte dermed henholdsvis Safe Harbor og Privacy Shield. En eventuell ny CJEU-prosess vil i personvernmiljøene bli omtalt som Schrems III.

DPF er likevel fortsatt gyldig. Adekvansvedtaket gjelder inntil Kommisjonen aktivt tilbakekaller det, eller CJEU erklærer det ugyldig. En ny CJEU-prosess tar normalt to til fire år. Virksomheter som i dag baserer overføringer på DPF-sertifisering, kan fortsette å gjøre det inntil videre.

I tillegg til dette har det såkalte Civil Liberties Oversight Board (PCLOB) siden januar 2025 har vært uten det lovpålagte kvorumet sitt. Trump-administrasjonen avskjediget de tre demokratisk oppnevnte styremedlemmene ved innsettelsen, og PCLOB kan i praksis ikke utføre sine kjerneoppgaver. Uten PCLOBs årsrapporter mister Kommisjonen et sentralt verktøy for å kontrollere om USA etterlever sine forpliktelser under DPF.

For norske virksomheter er det nå god grunn til å kartlegge hvilke overføringer som er basert på DPF og hvilke som er basert på standard personvernbestemmelser (SCC), og å sikre at konsekvensvurderingene for overføring av data er oppdaterte. Det er også et godt tidspunkt å vurdere om kritiske tjenester kan flyttes til europeiske leverandøralternativer.

Bull følger saken tett. Ta gjerne kontakt med vår personverngruppe for en vurdering av din virksomhets eksponering.

Du finner vår fagavdeling for personvern her.

Relaterte artikler

Hvordan kan vi hjelpe deg?

Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.