LUP Student Papers

Adekvat skyddsnivå vid dataöverföring till USA enligt artikel 45 GDPR

• Mark

Abstract (Swedish)

År 2018 införlivades Europeiska Unionens dataskyddsförordning i svensk rätt och dataskydd som ämne fick en allt större uppmärksamhet i media och i debatt. Dataskyddets framväxt började dock tidigare än så och är en viktig fråga för både enskild individ som för stat och företag.

Tack vare en snabb teknisk utveckling och smarta algoritmer är personlig information en allt mer värdefull tillgång hos både företag som stat. Samtidigt syns en okunskap hos befolkningen i hur deras personuppgifter samlas in och hur de används. Vid en ökad massbehandling av personuppgifter uppstår en risk för att individers integritetsskydd inte tas tillvara på. Dataskyddsförordningen ställer därför upp flera krav på behandlingen för att säkerställa en hög... (More)

År 2018 införlivades Europeiska Unionens dataskyddsförordning i svensk rätt och dataskydd som ämne fick en allt större uppmärksamhet i media och i debatt. Dataskyddets framväxt började dock tidigare än så och är en viktig fråga för både enskild individ som för stat och företag.

Tack vare en snabb teknisk utveckling och smarta algoritmer är personlig information en allt mer värdefull tillgång hos både företag som stat. Samtidigt syns en okunskap hos befolkningen i hur deras personuppgifter samlas in och hur de används. Vid en ökad massbehandling av personuppgifter uppstår en risk för att individers integritetsskydd inte tas tillvara på. Dataskyddsförordningen ställer därför upp flera krav på behandlingen för att säkerställa en hög skyddsnivå för individers integritet.

Inom EU råder fri rörlighet av personuppgifter men för överföring till tredjeland som exempelvis USA ställer dataskyddsförordningens regelverk upp särskilda krav. Ett av kraven för överföring av personlig information handlar om att överföringen måste säkerställa en adekvat skyddsnivå. Ett beslut om att behandling uppfyller kraven på adekvat skyddsnivå kan fattas av Europeiska Kommissionen och överföring till tredjeland får då ske utan något särskilt tillstånd.

Efter att Europeiska kommissionens båda beslut om adekvat skyddsnivå för överföring av personuppgifter till USA har ogiltigförklarats av EU-domstolen är behovet av vägledning stort kring vad som är ett väsentligt likvärdig skydd av personuppgifter likt det skydd som ges europeiska medborgare inom unionen vid överföring av data till USA.

I en komparativ analys av dataskyddets regelverk i EU respektive USA finner uppsatsen att synen på individers integritet skiljer sig väsentligt åt mellan USA respektive EU. Den motstridiga synen på integritet och enskildas rättigheter påverkar i förlängningen kommissionens arbete vid utformningen av ett nytt beslut. För att ett nytt beslut ska kunna antas har uppsatsen identifierat främst tre faktorer för att en adekvat skyddsnivå ska anses väsentligt likvärdig skyddet för europeiska medborgares personliga information inom EU. Faktorerna grundar sig i rättspraxis och handlar främst om hur ett nytt besluts undantag bör utformas samt om hur europeiska medborgares rättigheter kan tillgodoses i USA. De fundamentala skillnaderna i EU:s respektive USA:s dataskydd är ofrånkomliga men bör i den mån det är möjligt att harmoniseras för båda parternas skull. Uppsatsen finner slutligen att de inskränkande och obegränsade underrättelselagarna i USA måste revideras för att ett nytt beslut om adekvat skyddsnivå ska kunna fattas. (Less)

Abstract

In 2018, the European Union's General Data Protection Regulation (the GDPR) was incorporated into Swedish law, and data protection as such was increasingly noticed and given attention in the media. However, the emergence of data protection began a lot earlier than 2018 and is an important matter as for both individuals such as the state and companies.

Through rapid technological development and smart algorithms, personal information is an increasingly valuable asset for both companies and the state. At the same time, the population is unaware of how their personal data is being collected and how it is used. With increased mass processing of personal data, there is a risk for individuals privacy protection to not be respected. The GDPR... (More)

In 2018, the European Union's General Data Protection Regulation (the GDPR) was incorporated into Swedish law, and data protection as such was increasingly noticed and given attention in the media. However, the emergence of data protection began a lot earlier than 2018 and is an important matter as for both individuals such as the state and companies.

Through rapid technological development and smart algorithms, personal information is an increasingly valuable asset for both companies and the state. At the same time, the population is unaware of how their personal data is being collected and how it is used. With increased mass processing of personal data, there is a risk for individuals privacy protection to not be respected. The GDPR therefore sets out several requirements for processing in order to ensure a high level of protection for the privacy of individuals.

Within the EU, there is free movement of personal data, but for transfer of data to third countries such as the United States, the GDPR set out special requirements. One of the requirements for the transfer is that it must ensure an adequate level of protection. The European Commission can, through a decision on adequate level of protection, validate transfers to a third country. Following a decision on adequate level of protection, transfers to the country may take place without any special permissions.

Since the annulment of both of the European Commission's decision on the adequate level of protection for the transfer of personal data to the United States by the European Court of Justice, there is a great need for guidance on what constitutes an essentially equivalent level of protection of personal data.

In a comparative analysis of data protection regulations in the EU and USA, this thesis finds that the perception of individuals' integrity is significantly different between the EU and USA. The conflicting view of integrity and the rights of individuals is affeciting the European Commissions’ work in drafting a new decision. In order for a new decision to be adopted, the thesis has identified three main factors for an adequate level of protection to be considered essentially equivalent to the protection of European citizens personal information within the EU given by the GDPR. The factors are based on case law from the European Court of Justice and depict how a new decision should be exempted and how European citizens' rights can be met in the United States. The fundamental differences between the EU and US data protection are inevitable, but in order to meet a new agreement both parties should strive for harmonization. Finally, the thesis finds that the restrictive and unlimited intelligence laws in the United States must be revised in order for a new decision on an adequate level of protection to be made. (Less)