LUP Student Papers

Europeiska kommissionens standardavtalsklausulers förenlighet med gällande rätt vid en överföring av personuppgifter till tredje land

• Mark

Abstract

Today's society is defined by a growing digital character, in which cross-border commercial relationships develop in accordance with the rapidly expanding technology. Such relationships also increase the flow of personal data from the European Union (the Union) to third countries, and are essential for the digital economy. The Member States of the Union are governed by the General Data Protection Regulation (GDPR), whose main purpose is, inter alia, to ensure that the data subjects are adequately protected. In third countries, the same general rules that provide equivalent guarantees, do not exist.

Chapter V in the GDPR contains a specific set of rules that enables a third-country transfer. Primarily, such a transfer may take place if... (More)

Today's society is defined by a growing digital character, in which cross-border commercial relationships develop in accordance with the rapidly expanding technology. Such relationships also increase the flow of personal data from the European Union (the Union) to third countries, and are essential for the digital economy. The Member States of the Union are governed by the General Data Protection Regulation (GDPR), whose main purpose is, inter alia, to ensure that the data subjects are adequately protected. In third countries, the same general rules that provide equivalent guarantees, do not exist.

Chapter V in the GDPR contains a specific set of rules that enables a third-country transfer. Primarily, such a transfer may take place if the third country ensures an adequate level of protection. If an adequate level of protection is not achieved, the transfer may be based on the decision of the European Commission on standard contractual clauses. Today, there are three sets of standard contractual clauses, all of which are based on the Data Protection Directive. Two out of three of these regulate the relationship when both the transferor and the recipient are a controller. The last set is suitable for the contractual relationship in which the transferor is the controller and the recipient a processor. However, there is a significant risk that the standard contractual clauses do not correspond to the personal data protection provided by today’s applicable law.

When transferring personal data from the Union into the United States of America (USA), the contract parties used to apply a specific regulatory framework, the Safe Harbor system. However, in 2015 the system was invalidated by the Court of Justice of the European Union. The Safe Harbor principles aimed to guarantee the data subjects a proper protection of personal data as the Union citizens' information was transferred from the Union into the USA. The generally designed Safe Harbor principles led to the national law to take precedence over the Safe Harbor system if the national law required it. In cases where national law had required a breach of the Safe Harbor principles, it was shown that the breach was not strictly necessary and proportionate. This thesis aims to investigate whether the standard contractual clauses are compatible with today’s applicable law from a business perspective.

The thesis finds that the standard contractual clauses demonstrate similar structures to the void Safe Harbor system. The structures give openings to prioritize a third country's national law over the principles of the standard contractual clauses, in a way which can challenge the data protection. With the entry into force of the GDPR, new principles should be taken into account when applying the standard contractual clauses. In conclusion, the thesis finds that the standard contractual clauses should be applied with great caution until they are on trial in the Court of Justice of the European Union. (Less)

Abstract (Swedish)

Dagens samhälle präglas av en växande digital karaktär, där gränsöverskridande kommersiella relationer utvecklas i enlighet med den snabbt expansiva tekniken. Sådana relationer ökar även flödet av personuppgifter från unionen till tredje land, som är nödvändiga för den digitala ekonomin. Medlemsländerna inom den Europeiska unionen lyder under dataskyddsförordningen, vars huvudsyfte bland annat ska garantera de registrerade en hög nivå av skydd för personuppgifter. I tredje land existerar dock inte samma generella regelverk som ger motsvarande garantier.

I kapitel V dataskyddsförordningen återfinnes ett särskilt regelverk som möjliggör en tredjelandsöverföring. Enligt huvudregeln får en sådan överföring ske om tredjelandet säkerställer... (More)

Dagens samhälle präglas av en växande digital karaktär, där gränsöverskridande kommersiella relationer utvecklas i enlighet med den snabbt expansiva tekniken. Sådana relationer ökar även flödet av personuppgifter från unionen till tredje land, som är nödvändiga för den digitala ekonomin. Medlemsländerna inom den Europeiska unionen lyder under dataskyddsförordningen, vars huvudsyfte bland annat ska garantera de registrerade en hög nivå av skydd för personuppgifter. I tredje land existerar dock inte samma generella regelverk som ger motsvarande garantier.

I kapitel V dataskyddsförordningen återfinnes ett särskilt regelverk som möjliggör en tredjelandsöverföring. Enligt huvudregeln får en sådan överföring ske om tredjelandet säkerställer en adekvat skyddsnivå. I andra hand, om en adekvat skyddsnivå inte uppnås, kan överföringen baseras på en tillämpning av kommissionens beslut om standardavtalsklausuler. Det finns i skrivande stund tre uppsättningar standardavtalsklausuler vilka samtliga är grundade på dataskyddsdirektivet. Två av tre uppsättningar reglerar relationen då både överförare och mottagare är personuppgiftsansvariga. Den sist beslutade uppsättningen lämpar sig för den avtalsrelation där överföraren är personuppgiftsansvarig och mottagaren ett personuppgiftsbiträde. Det föreligger dock en betydande risk för att standardavtalsklausulerna inte motsvarar det personuppgiftsskydd som gällande rätt uppställer. Denna uppsats ämnar att utreda om standardavtalsklausulerna är förenliga med gällande rätt från ett företagsperspektiv.

Vid en överföring av personuppgifter från unionen till USA tillämpades ett särskilt regelverk, Safe Harbor-systemet, som år 2015 ogiltigförklarades av EU-domstolen. Safe Harbor-principerna skulle garantera de registrerade ett fullgott skydd för personuppgifter då unionsmedborgarnas uppgifter överfördes från unionen till USA. Ogiltigförklarandet baserades på kommissionens underlåtande att konstatera genom vilka åtgärder USA vidtog i sin interna lagstiftning eller internationella åtaganden för att uppnå en adekvat skyddsnivå. De generellt utformade Safe Harbor-principerna medförde även att nationell rätt hade företräde framför Safe Harbor-systemet i de fall den nationella rätten krävde det. I de fall den nationella rätten hade krävt ett åsidosättande av Safe Harbor-principerna visades att åsidosättandet inte varit strängt nödvändigt.

Uppsatsen finner att standardavtalsklausulerna påvisar liknande strukturer som det ogiltigförklarande Safe Harbor-systemet. Strukturerna möjliggör att ett tredje lands nationella rätt ges företräde framför principerna i standardavtalsklausulerna på ett sätt som kan äventyra skyddet av personuppgifter. Med dataskyddsförordningens ikraftträdande införs nya bestämmelser som bör beaktas vid en tillämpning av standardavtalsklausuler. Avslutningsvis finner uppsatsen att standardavtalsklausulerna bör tillämpas med stor försiktighet till dess att de i framtiden prövats av EU-domstolen. (Less)