Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Är slutet nära för Privacy Shield? - En analys av huruvida Privacy Shield-beslutet är förenligt med det europeiska dataskyddet

Juhlin, Erica LU (2019) JURM02 20191
Department of Law
Faculty of Law
Abstract
With the fast development in information technology, personal data is increasingly being processed and interchanged cross-border. Processing and transfer of personal data is associated with a risk that the individual's privacy protection is disregarded.

The EU has strong data protection legislations and a strong protection of the personal data of EU citizens. The U.S. does not have as strong data protection legislation. The U.S. is at the same time an important trading partner and both the EU and the U.S. have an interest in a system which enables transferral of personal data from the EU to the U.S.

Transfers of personal data to a third country may take place after the European Commission finds that the third country ensures an... (More)
With the fast development in information technology, personal data is increasingly being processed and interchanged cross-border. Processing and transfer of personal data is associated with a risk that the individual's privacy protection is disregarded.

The EU has strong data protection legislations and a strong protection of the personal data of EU citizens. The U.S. does not have as strong data protection legislation. The U.S. is at the same time an important trading partner and both the EU and the U.S. have an interest in a system which enables transferral of personal data from the EU to the U.S.

Transfers of personal data to a third country may take place after the European Commission finds that the third country ensures an adequate level of protection. This was done by the Commission and it decided, together with the Department of Commerce (DoC), on a framework called the EU-US Safe Harbor. The Safe Harbor allowed transfers from the EU to U.S. organizations, provided that the organizations joined the framework and thus ensured that they adhered to the Safe Harbor Principles.

In a case in the Court of Justice of the European Union, Maximilian Schrems got the Safe Harbor decision void. The Court declared that the Commission did not provide sufficient reasons that the U.S. ensured an adequate level of protection, which meant a level of protection of fundamental rights essentially equivalent to what is guaranteed in the EU legal order.

The Commission, together with the DoC, implemented a new decision — the Privacy Shield. The decision is an updated version of the Safe Harbor and it is presently valid. It consists of a number of principles about how personal data transferred from the EU to the U.S. should be treated and different oversight and enforcement mechanisms to ensure compliance with the principles.

Although the Privacy Shield is an updated version of the Safe Harbor, it is not certain that the decision is compatible with European data protection. It is a complex decision and it is difficult for both companies and individuals to apply the decision. The lack of clarity has a negative impact on the data subjects’ rights.

The Privacy Shield was adopted when the Data Protection Directive was in force. The General Data Protection Regulation (GDPR) came into force in May 25, 2018, and is applicable in all EU countries. However, companies established outside the Union, which inter alia offer goods and services to registered persons in the EU, are covered by the regulation. The GDPR is more detailed and complex than the Data Protection Directive, and the Privacy Shield Principles need to be updated, in order to comply with the GDPR.

Schrems has once again attempted to have the decision on the transfer of personal data between the EU and the United States annulled, this time the Privacy Shield decision. Schrems means it does not maintain sufficient protection for the rights of EU citizens. The case has not yet been decided, but it shows that the question is highly relevant. (Less)
Abstract (Swedish)
I takt med den tekniska utvecklingen behandlas personuppgifter i allt större utsträckning och mer gränsöverskridande. Behandling och överföring av personuppgifter är förenat med en risk för att individens integritetsskydd åsidosätts.

EU har en stark dataskyddslagstiftning och värnar om skydd av EU-medborgares personuppgifter. USA har inte en lika stark dataskyddslagstiftning. Samtidigt är USA en viktig handelspartner och både EU och USA har ett intresse av att det ska vara möjligt attt överföra personuppgifter från EU till USA.

Överföringar till ett tredjeland är tillåtet efter att kommissionen beslutat om att en adekvat skyddsnivå föreligger. Detta gjorde kommissionen och den tog tillsammans med Department of Commerce (DoC) fram... (More)
I takt med den tekniska utvecklingen behandlas personuppgifter i allt större utsträckning och mer gränsöverskridande. Behandling och överföring av personuppgifter är förenat med en risk för att individens integritetsskydd åsidosätts.

EU har en stark dataskyddslagstiftning och värnar om skydd av EU-medborgares personuppgifter. USA har inte en lika stark dataskyddslagstiftning. Samtidigt är USA en viktig handelspartner och både EU och USA har ett intresse av att det ska vara möjligt attt överföra personuppgifter från EU till USA.

Överföringar till ett tredjeland är tillåtet efter att kommissionen beslutat om att en adekvat skyddsnivå föreligger. Detta gjorde kommissionen och den tog tillsammans med Department of Commerce (DoC) fram Safe Harbor-beslutet år 2000. Beslutet möjliggjorde överföringar från EU till amerikanska organisationer förutsatt att organisationerna anslutit sig till Safe Harbor och därmed försäkrat att de följde de principer som beslutet innehöll.

Maximilian Schrems fick i ett mål hos EU-domstolen Safe Harbor-beslutet ogiltigförklarat. EU-domstolen förklarade att kommissionen inte tillräckligt tydligt motiverat att USA säkerställde en adekvat skyddsnivå, vilket innebar en nivå för skyddet av de grundläggande rättigheterna som var väsentlig likvärdig med den nivå som garanterades i EU.

Efter ogiltigförklarandet av Safe Harbor tog DoC år 2016, tillsammans med kommissionen, fram ett nytt beslut – Privacy Shield-beslutet. Beslutet är en uppdaterad version av Safe Harbor och är för närvarande giltigt. Beslutet består av ett antal principer om hur personuppgifter som överförs från EU till USA ska hanteras samt olika översynsmekanismer för att se till att principerna följs.

Trots att Privacy Shield är en uppdaterad version av Safe Harbor är det inte säkert att beslutet är förenligt med det europeiska dataskyddet. Beslutet är komplext och det är svårt att tillämpa för både företag och enskilda. Bristen på klarhet har antagligen en negativ inverkan på registrerades rättigheter.

Privacy Shield-beslutet antogs när dataskyddsdirektivet gällde. Dataskyddsförordningen, som trädde i kraft den 25 maj 2018, gäller i alla EU-länder men även företag etablerade utanför unionen som bland annat erbjuder varor och tjänster till registrerade i unionen omfattas av förordningen. Dataskyddsförordningen är mer detaljerad och komplex än direktivet och Privacy Shield-principerna behöver uppdateras och ändras för att stämma överens med dataskyddsförordningen.

Schrems har ännu en gång försökt få beslutet om överföring av personuppgifter mellan EU och USA ogiltigförklarat, denna gång Privacy Shield-beslutet. Han menar det inte upprätthåller ett tillräckligt skydd för EU-medborgares rättigheter. Målet är ännu inte avgjort men det visar att frågan är högst aktuell. (Less)
Please use this url to cite or link to this publication:
author
Juhlin, Erica LU
supervisor
organization
alternative title
Is the end near for Privacy Shield?
course
JURM02 20191
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
IT-rätt, EU-rätt, Privacy Shield, Data Protection, dataskydd, personuppgifter, Safe Harbor, dataskyddsförordningen, GDPR
language
Swedish
id
8977211
date added to LUP
2019-06-24 11:11:19
date last changed
2019-06-24 11:11:19
@misc{8977211,
  abstract     = {{With the fast development in information technology, personal data is increasingly being processed and interchanged cross-border. Processing and transfer of personal data is associated with a risk that the individual's privacy protection is disregarded.

The EU has strong data protection legislations and a strong protection of the personal data of EU citizens. The U.S. does not have as strong data protection legislation. The U.S. is at the same time an important trading partner and both the EU and the U.S. have an interest in a system which enables transferral of personal data from the EU to the U.S. 

Transfers of personal data to a third country may take place after the European Commission finds that the third country ensures an adequate level of protection. This was done by the Commission and it decided, together with the Department of Commerce (DoC), on a framework called the EU-US Safe Harbor. The Safe Harbor allowed transfers from the EU to U.S. organizations, provided that the organizations joined the framework and thus ensured that they adhered to the Safe Harbor Principles.

In a case in the Court of Justice of the European Union, Maximilian Schrems got the Safe Harbor decision void. The Court declared that the Commission did not provide sufficient reasons that the U.S. ensured an adequate level of protection, which meant a level of protection of fundamental rights essentially equivalent to what is guaranteed in the EU legal order.

The Commission, together with the DoC, implemented a new decision — the Privacy Shield. The decision is an updated version of the Safe Harbor and it is presently valid. It consists of a number of principles about how personal data transferred from the EU to the U.S. should be treated and different oversight and enforcement mechanisms to ensure compliance with the principles. 

Although the Privacy Shield is an updated version of the Safe Harbor, it is not certain that the decision is compatible with European data protection. It is a complex decision and it is difficult for both companies and individuals to apply the decision. The lack of clarity has a negative impact on the data subjects’ rights.

The Privacy Shield was adopted when the Data Protection Directive was in force. The General Data Protection Regulation (GDPR) came into force in May 25, 2018, and is applicable in all EU countries. However, companies established outside the Union, which inter alia offer goods and services to registered persons in the EU, are covered by the regulation. The GDPR is more detailed and complex than the Data Protection Directive, and the Privacy Shield Principles need to be updated, in order to comply with the GDPR.

Schrems has once again attempted to have the decision on the transfer of personal data between the EU and the United States annulled, this time the Privacy Shield decision. Schrems means it does not maintain sufficient protection for the rights of EU citizens. The case has not yet been decided, but it shows that the question is highly relevant.}},
  author       = {{Juhlin, Erica}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Är slutet nära för Privacy Shield? - En analys av huruvida Privacy Shield-beslutet är förenligt med det europeiska dataskyddet}},
  year         = {{2019}},
}