LUP Student Papers

Skyddet för den personliga integriteten i informationssamhället - Om tredjelandsöverföringar av personuppgifter och datalagring

• Mark

Abstract

The development of the information society brings new challenges to legal constructions created in a landscape of traditional boundaries when these are to be upheld and enforced in a borderless digital environment, mainly due to a technical development that is constantly pushing the boundaries. An increased digitalisation of the society gives rise to not necessarily new legal questions but put them in a non-familiar context which brings uncertainty to many legal situations. From this outset this essay addresses the problems associated with transfers of personal data to third countries and the storage of personal data outside the EU or the EEA, specifically regarding personal data that are being retained for the purpose of crime prevention... (More)

The development of the information society brings new challenges to legal constructions created in a landscape of traditional boundaries when these are to be upheld and enforced in a borderless digital environment, mainly due to a technical development that is constantly pushing the boundaries. An increased digitalisation of the society gives rise to not necessarily new legal questions but put them in a non-familiar context which brings uncertainty to many legal situations. From this outset this essay addresses the problems associated with transfers of personal data to third countries and the storage of personal data outside the EU or the EEA, specifically regarding personal data that are being retained for the purpose of crime prevention in accordance with the Electronic Communications Act in Sweden.

The Electronic Communications Act contains no requirements on where the data that are being retained are to be stored. Whether or not there should be a requirement on where the data have to be stored geographically is one of the question that has been raised after the Court of Justice of the European Union (CJEU) found that the Data Retention Directive was invalid in its judgement delivered in April 2014 in the joined cases Digital Rights Ireland and Seitlinger and others. The question of where to store this information refers specifically to the difficulties of control of compliance with the rules that are to be ensured by an independent authority, and the possibilities to do this if the personal data that are being retained are stored outside the EU or the EEA. This is one of the issues that the CJEU once again will have to take a closer look at since the Swedish Administrative Court of Appeal in Stockholm has requested a preliminary ruling in the pending case between Tele2 and Post- och telestyrelsen (the Swedish Post and Telecom Authority).

Where personal data are being stored is fundamentally a question concerning compliance with human rights. The close connection between the right to protection of personal data in article 8 of the EU Charter of Fundamental Rights (EU Charter) and the right to respect for private life layed down in article 7 in the EU Charter and article 8 of the European Convention on Human Rights is therefore examined in the essay. It is concluded that the right to respect for private life and the right to protection of personal data are closely related, and to a certain extent overlapping, but the special characteristics of the latter are highlighted.

The concept of privacy, or personal integrity as it is usually called in Sweden, is examined in the essay and it is concluded that privacy is hard to define. This can be explained by the dynamic nature of the concept which varies depending on the social context. Nevertheless, it is usually described as a concept and a right of great importance, although not an absolute right but a relative one. Furthermore, the challenges associated with the digitalisation of society with regards to matters of privacy are highlighted. The dichotomy between privacy and effective crime prevention is also further examined.

A thorough examination is made in the essay of the EU law concerning privacy in relation to the protection of personal data, especially regarding the Data Protection Directive. The Data Protection Directive is the central legal instrument concerning privacy in relation to data protection within the EU and contains the specific rules for third country transfers of personal data. The prerequisites for a third country transfer of personal data to take place and possible derogations from the main rule, that an adequate level of protection has to be ensured, are presented and problematized. The recent CJEU ruling in the case Schrems, in which the court invalidated the European Commission’s decision to allow transfers of personal data from the EU to the US, is highlighted in the essay.

The establishment of independent supervisory authorities as an essential component of the protection of individuals with regard to the processing of personal data is also emphasized, in particular the possibility for the supervisory authorities to cooperate across national borders.

The interaction between the Council of Europe’s Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 108) and the EU Data Protection Directive is also examined in the essay. Furthermore, the provisions in the invalidated Data Retention Directive and the categories of data to be retained which, taken as a whole, allowed for very precise conclusions to be drawn concerning the private lives of the persons whose data that had been retained, are touched upon.

The essay also sheds light on the Swedish legislation for protection of personal integrity in the Swedish Instrument of Government and in the Personal Data Act. The fact that the explicit reference made to supervisory authorities is found in the Additional Protocol to the CETS No.108, yet no distinction is made in the Swedish Personal Data Act between third country transfers of personal data to states which have ratified both the CETS No. 108 and the Additional Protocol, or just the former, is a problem that is particularly highlighted in the essay.

It is concluded in the essay that the current system for third country transfers of personal data, retained in accordance with the Electronic Communications Act, still could be possible as long as the control by an independent authority is fully ensured. This is possible if certain prerequisites are met within the assessment of an adequate level of protection for transfers of personal data to third countries. These prerequisites would require a
high standard regarding the control of compliance by an independent authority in a third country and may consequently imply that many transfers may not be able to take place. The risks associated with mission creep, the expansion of a mission beyond its original goals, are also presented and how this might cause problems from a national security perspective.

Furthermore, the possibility to transfer personal data to third countries based on the possible derogations in the Data Protection Directive or the Personal Data Act are viewed upon as doubtful in relation to the data retained in accordance with the Electronic Communications Act. However, they are not excluded as possible ways to perform third country transfers. Consent as a legal basis for third country transfers is particularly highlighted in the essay as one possible derogation. All together, an overview of the European Commission’s decisions on the adequacy of the protection of personal data in third countries and the standard contract clauses, which Member States have to comply with, are recommended. Lastly, the possibility to impose a future prohibition on third country transfers of the data being retained in accordance with the Electronic Communications Act is elaborated on, given the sensitive nature of the data being retained. Concluding remarks are made on the possibility to introduce mandatory prior checking for this specific category of personal data as a security measure. (Less)

Abstract (Swedish)

Informationssamhällets framväxt bidrar med nya utmaningar för rättsliga regleringar utformade efter traditionella gränser när dessa ska upprätthållas i en gränslös digital miljö. Digitaliseringen av samhället ger upphov till rättsfrågor som inte nödvändigtvis är nya men som placerar dessa i en ny miljö, vilket bidrar till en viss osäkerhet kring rättsläget i många fall. Mot bakgrund av detta behandlas i uppsatsen den särskilda problematik som rör tredjelandsöverföringar av personuppgifter, insamlade för brottsbekämpande ändamål med stöd av lag (2003:389) om elektronisk kommunikation (LEK). I svensk rätt finns det inga bestämmelser om vart lagringen av dessa uppgifter får ske. Om sådana bestämmelser borde finnas är en av de frågor som har... (More)

Informationssamhällets framväxt bidrar med nya utmaningar för rättsliga regleringar utformade efter traditionella gränser när dessa ska upprätthållas i en gränslös digital miljö. Digitaliseringen av samhället ger upphov till rättsfrågor som inte nödvändigtvis är nya men som placerar dessa i en ny miljö, vilket bidrar till en viss osäkerhet kring rättsläget i många fall. Mot bakgrund av detta behandlas i uppsatsen den särskilda problematik som rör tredjelandsöverföringar av personuppgifter, insamlade för brottsbekämpande ändamål med stöd av lag (2003:389) om elektronisk kommunikation (LEK). I svensk rätt finns det inga bestämmelser om vart lagringen av dessa uppgifter får ske. Om sådana bestämmelser borde finnas är en av de frågor som har aktualiserats efter att det uppmärksammade datalagringsdirektivet ogiltigförklarades av EU-domstolen i de förenade målen Digital Rights Ireland och Seitlinger m.fl. i april 2014. Frågan om vart uppgifterna får lagras gäller specifikt svårigheterna med att bedriva en oberoende myndighetskontroll för att säkerställa att skyddet av personuppgifter efterlevs om uppgifterna lagras utanför EU eller EES. Frågeställningen har vidare aktualiserats genom att Kammarrätten i Stockholm beslutat att inhämta ett förhandsavgörande från EU-domstolen i det pågående målet mellan Tele2 och Post- och telestyrelsen om de svenska reglerna om datalagring.

Vart lagringen av personuppgifter får ske är en fråga som i grund och botten handlar om efterlevnaden av mänskliga rättigheter. Det nära samband som föreligger mellan rätten till skydd av personuppgifter i artikel 8 i EU-stadgan och rätten till respekt för privatlivet i artikel 7 i EU-stadgan respektive artikel 8 i Europakonventionen behandlas därför också närmare i uppsatsen. Det konstateras i uppsatsen att rätten till skydd av personuppgifter och rätten till respekt för privatlivet är nära besläktade, och till viss del överlappande, samtidigt som de särdrag som präglar rätten till skydd av personuppgifter lyfts fram.

För att besvara frågeställning i uppsatsen undersöks begreppet personlig integritet närmare, vilket har visat sig vara svårdefinierat mot bakgrund av att det är ett högst dynamiskt begrepp som varierar över tid och samhällskontext. Emellertid har det återkommande beskrivits som en mycket viktig rättighet, om än inte någon absolut rättighet utan en rättighet som måste vägas mot andra intressen. Vidare framhålls i uppsatsen de utmaningar som finns vad gäller skydd för den personliga integriteten med avseende på behandling av personuppgifter och upprätthållandet av dataskyddsregleringar i takt med att samhället alltmer digitaliseras.

Spänningsförhållandet mellan personlig integritet och effektiv brottsbekämpning undersöks också närmare mot bakgrund av syftet med att samla in de uppgifter som lagras med stöd av LEK.

En ingående genomgång ges i uppsatsen över den EU-rättsliga regleringen till skydd av den personliga integriteten med avseende på skyddet av personuppgifter, främst vad gäller dataskyddsdirektivet som är det centrala rättsliga instrumentet inom EU för dataskydd och som även innehåller bestämmelserna om tredjelandsöverföringar. Förutsättningarna för att en tredjelandsöverföring ska få genomföras samt de undantag som finns från huvudregeln om att en adekvat skyddsnivå ska säkerställas redogörs för och problematiseras. Målet Schrems varigenom EU-domstolen ogiltigförklarade EU-kommissionens beslut om överföringar av personuppgifter från EU till USA lyfts särskilt fram. Tillsynsmyndigheternas avgörande betydelse för enskildas skydd vad gäller behandling av personuppgifter belyses också samt vikten av att dessa kan samarbeta med varandra över nationella gränser.

Samspelet mellan Europarådets dataskyddskonvention och datalagringsdirektivet redogörs också för. Vidare berörs det numera ogiltigförklarade datalagringsdirektivets bestämmelser och vilka uppgifter som skulle lagras enligt direktivet, vilket var uppgifter som gjorde det möjligt att dra mycket precisa slutsatser om personers privatliv.

Den svenska regleringen vad gäller skydd av den personliga integriteten i regeringsformen och personuppgiftslagen (1998:204) (PUL), och de särskilda lagringsbestämmelserna som återfinns i LEK som numera stödjer sig på artikel 15.1 i e-Privacy direktivet eftersom datalagringsdirektivet ogiltigförklarades, belyses också. Att det i svensk rätt inte görs någon åtskillnad mellan tredjelandsöverföringar till stater som anslutit sig till dataskyddskonventionen samt dess tilläggsprotokoll eller enbart den förstnämnda diskuteras särskilt.

I uppsatsen konstateras att överföringar av de uppgifter som lagras med stöd av LEK i svensk rätt inom det rådande systemet för tredjelandsöverföringar alltjämt borde vara möjliga att genomföra genom att den oberoende myndighetskontrollen garanteras fullt ut. Detta givet att vissa premisser är uppfyllda inom ramen för prövningen om en adekvat skyddsnivå säkerställs eller inte. Dessa premisser medför höga krav i form av möjligheterna till oberoende tillsyn i tredje land, mot bakgrund av att bedömningen om en adekvat skyddsnivå säkerställs är individuell och att högre krav ska ställas ju känsligare uppgifter det rör sig om. I praktiken skulle detta mycket väl kunna medföra att många överföringar inte kan genomföras. Risken för ändamålsglidning har också belysts särskilt och hur detta kan vara problematiskt även ur ett nationellt säkerhetsperspektiv.

Möjligheterna att överföra personuppgifter till tredje land med stöd av något av undantagen i dataskyddsdirektivet eller PUL bedöms vara tveksamt men inte uteslutet för tillfället. Samtycke som grund för en överföring till tredje land diskuteras särskilt i uppsatsen. Sammantaget rekommenderas en översyn av såväl de rådande besluten som EU-kommissionen fattat om en adekvat skyddsnivå i vissa länder som de framtagna standardavtalsklausulerna som är bindande för medlemsstaterna.

Slutligen redogörs även för möjligheterna att införa ett förbud mot att överföra de uppgifter som lagras med stöd av LEK till tredje land och slutsatsen lyder att detta mycket väl kan vara möjligt att genomföra i framtiden, mot bakgrund av att det rör sig om en särskild kategori integritetskänsliga personuppgifter. Möjligheten att införa krav på förhandskontroll i svensk rätt för tredjelandsöverföringarna för denna särskilda kategori uppgifter som en särskild säkerhetsåtgärd presenteras även. (Less)