LUP Student Papers

Hur långt sträcker sig EU-rättens dataskyddslagstiftning? - En analys av EU-rättens territoriella räckvidd avseende tillämpningsområdet vid behandling av personuppgifter enligt dataskyddsdirektivet och dataskyddsförordningen

• Mark

Abstract

The EU data protection law aims at protecting personal data as they are subject to data processing by various actors. The current EU law governing data processing is the Data Protection Directive (DPD). During the past few years the EU data protection law has undergone a reform that ultimately led to the adaption of the General Data Protection Regulation (GDPR). The GDPR will come into force as of 25 May 2018. The EU data protection law has given rise to some difficult questions concerning its territorial reach, which is the subject of this thesis.

The thesis thus aims at exploring the territorial reach of the EU data protection law, i.e. the DPD and the GDPR. Within that aim lays a question regarding the effects for data controllers in... (More)

The EU data protection law aims at protecting personal data as they are subject to data processing by various actors. The current EU law governing data processing is the Data Protection Directive (DPD). During the past few years the EU data protection law has undergone a reform that ultimately led to the adaption of the General Data Protection Regulation (GDPR). The GDPR will come into force as of 25 May 2018. The EU data protection law has given rise to some difficult questions concerning its territorial reach, which is the subject of this thesis.

The thesis thus aims at exploring the territorial reach of the EU data protection law, i.e. the DPD and the GDPR. Within that aim lays a question regarding the effects for data controllers in third countries. The paper initially explores the foundations of data protection law as well as the fundamental rights governed in the European Convention of Human Rights and in the EU Charter.

The thesis subsequently turns to the DPD and the GDPR and the provisions determining the respective regulations extraterritorial reach. Article 4 of the DPD is therefore studied. Extraterritorial application of the DPD can come into question in the case that a data controller is considered to be established in a Member Sate or when the data controller makes use of equipment in a Member State’s territory for the processing of personal data. The provisions have been criticized in the legal doctrine for being vague. Moreover, the CJEU has interpreted the article rather extensively to guarantee the protection of personal data. In the corresponding article 3 of the GDPR the equipment criterion in article 4.1 c of the DPD is abandoned and instead the article adopts a targeting approach for determining when the GDPR shall apply in respect to data controllers that are not established in the EU.

Moreover, the thesis shows that the effects of extraterritorial application of the data protection law leads to inter alia an obligation to appoint a representative, however, the possibilities to enforce such obligation are limited.

It is concluded that it is apparent that both the DPD and the GDPR are given a very extensive territorial application. Particularly the relevant provisions in the DPD can be criticized for being vague and ill fitted to guarantee the right to the protection of personal data in today’s digital environment as well as being uncertain for the data controller. The GDPR solves some of the problems that occurred in relation to the DPD, however, some issues remain and in their turn risk new interpretational issues, in particular when personal data is processed in the marketing of goods or services to individuals in the EU. (Less)

Abstract (Swedish)

Det nu gällande EU-rättsliga regelverket som reglerar skyddet för personuppgifter är dataskyddsdirektivet. En ny dataskyddsförordning som kommer träda i kraft i maj 2018 har emellertid antagits. En särskild fråga som också utgör huvudföremålet för denna uppsats är frågan om dataskyddsreglernas extraterritoriella tillämpningsområde.

Uppsatsen syftar således till att utreda dataskyddsreglernas extraterritoriella tillämpningsområde. Inom syftet inryms även att utreda och analysera vad bestämmelserna får för effekter för personuppgiftsansvariga i tredjeland. I uppsatsen behandlas inledningsvis grunderna för personuppgiftsskyddet och därtill dess ställning som grundläggande rättighet enligt såväl EKMR som EU-stadgan.

I uppsatsen utreds... (More)

Det nu gällande EU-rättsliga regelverket som reglerar skyddet för personuppgifter är dataskyddsdirektivet. En ny dataskyddsförordning som kommer träda i kraft i maj 2018 har emellertid antagits. En särskild fråga som också utgör huvudföremålet för denna uppsats är frågan om dataskyddsreglernas extraterritoriella tillämpningsområde.

Uppsatsen syftar således till att utreda dataskyddsreglernas extraterritoriella tillämpningsområde. Inom syftet inryms även att utreda och analysera vad bestämmelserna får för effekter för personuppgiftsansvariga i tredjeland. I uppsatsen behandlas inledningsvis grunderna för personuppgiftsskyddet och därtill dess ställning som grundläggande rättighet enligt såväl EKMR som EU-stadgan.

I uppsatsen utreds sedermera i tur och ordning dataskyddsdirektivet och dataskyddsförordningens extraterritoriella tillämpningsområde. Dataskyddsdirektivets extraterritoriella tillämpningsområde styrs av artikel 4. Extraterritoriell tillämpning av dataskyddsdirektivet kan bli aktuellt bl.a. då en personuppgiftsansvarig är etablerad i en medlemsstat eller då utrustning för behandling av personuppgifter är placerad i en medlemsstat. Bestämmelserna är vaga och har kritiserats i doktrin. Vidare framgår av EU-domstolens praxis i Google Spain och Weltimmo att artikel 4 i dataskyddsdirektivet tolkas tämligen utsträckt för att garantera skyddet för personuppgifter. I dataskyddsförordningen återfinns motsvarande reglering i artikel 3. Det framkommer att dataskyddsförordningen överger utrustningsregleringen och i stället anlägger en targeting approach på när dataskyddsdirektivet ska tillämpas då en personuppgiftsansvarig inte är etablerad inom EU.

Det framkommer även att effekterna av extraterritoriell tillämpning av dataskyddsreglerna bl.a. leder till krav på att utse företrädare inom aktuella medlemsstater men att möjligheterna att tillse att detta efterlevs är begränsade.

I analysen diskuteras och analyseras det som framkommit kring dataskyddsreglernas extraterritoriella tillämpningsområde i uppsatsen. Tydligt är att dataskyddslagstiftningen enligt såväl dataskyddsdirektivet som dataskyddsförordningen ges ett mycket vidsträckt extraterritoriellt tillämpningsområde. Bestämmelserna i framförallt dataskyddsdirektivet kan emellertid kritiseras då de är både vaga och illa lämpade att garantera personuppgiftsskyddet i dagens digitala miljö. Dataskyddsförordningen medför enligt författaren flera förbättringar men läker inte alla problem och vållar i sin tur nya tillämpningsproblem särskild då personuppgifter behandlas vid utbjudande av varor eller tjänster till individer inom EU. (Less)