LUP Student Papers

Skyddsnivån på andra sidan vattnet - Om bedömningen av tredjelands skyddsnivå vid överföring av personuppgifter

• Mark

Abstract (Swedish)

EU anses av många ha en av världens strängaste regleringar för dataskydd. Unionen och dess medlemsstater har dock, likt resten av världen, i och med den globala och tekniska utvecklingen ett intresse av att kunna överföra personuppgifter till tredjeländer. I syfte att balansera det höga integritetsskyddet mot intresset av att överföra personuppgifter till tredjeland, finns i dataskyddsförordningen olika mekanismer för att kunna utföra sådana överföringar. Ett av alternativen tillhandahåller kommissionen möjligheten att fatta beslut om att ett land säkerställer en adekvat skyddsnivå, vilket möjliggör fria överföringar till det landet. Nyligen meddelade EU-domstolen, för andra gången, att ett sådant beslut gällande överföringar till USA... (More)

EU anses av många ha en av världens strängaste regleringar för dataskydd. Unionen och dess medlemsstater har dock, likt resten av världen, i och med den globala och tekniska utvecklingen ett intresse av att kunna överföra personuppgifter till tredjeländer. I syfte att balansera det höga integritetsskyddet mot intresset av att överföra personuppgifter till tredjeland, finns i dataskyddsförordningen olika mekanismer för att kunna utföra sådana överföringar. Ett av alternativen tillhandahåller kommissionen möjligheten att fatta beslut om att ett land säkerställer en adekvat skyddsnivå, vilket möjliggör fria överföringar till det landet. Nyligen meddelade EU-domstolen, för andra gången, att ett sådant beslut gällande överföringar till USA ogiltigförklarades, vilket visar på att bedömningen av tredjelands skyddsnivå inte är helt okomplicerad. I dagsläget pågår dessutom en bedömningsprocess av Storbritanniens skyddsnivå, på grund av landets utträde ur unionen. Denna uppsats syftar huvudsakligen till att undersöka hur bedömningen av skyddsnivån i tredjeland förhåller sig till den EU-rättsliga skyddsnivån, samt vilka utmaningar som följer av en sådan bedömning. Utredningen har genomförts med hjälp av den rättsdogmatiska och EU-rättsliga metoden och innefattar presentation av relevant lagstiftning, genomgång av EU-domstolens praxis vad gäller begränsningar av integritetsskyddet samt adekvansbeslut och slutligen en genomgång av förslaget till beslut för Storbritannien.

Vid bedömning av om tredjeland säkerställer en adekvat skyddsnivå för personuppgifter, ska EU-kommissionen utreda alla omständigheter som i någon mån påverkar skyddet för personuppgifter. Till exempel ska kommissionen se till landets integritetsrättsliga ramar, tillsynsmekanismer, tillgången till rättsmedel samt vilken åtkomst som offentliga myndigheter har till personuppgifter. I avgörandena om USA:s skyddsnivå, uppger EU-domstolen att en skyddsnivå i tredjeland inte behöver vara identisk med unionens utan endast väsentligen likvärdig. Enligt domstolen utgör dessutom nationella övervakningsprogram utan tydliga syften, begränsningar eller skyddsåtgärder en sådan åtgärd som står i strid med proportionalitetsprincipen, och skyddsnivån ska under sådana omständigheter inte anses adekvat. Kommissionen anser att Storbritannien säkerställer en adekvat skyddsnivå. Enligt europeiska dataskyddstyrelsen föreligger dock ett flertal omständigheter som möjliggör ett ifrågasättande av ett sådant påstående. Till exempel bedriver även Storbritannien omfattande övervakning, och är dessutom part i internationella avtal som möjliggör vidare överföring till länder som inte ansetts säkerställa en adekvat skyddsnivå, som till exempel USA.

Begreppet ”väsentligen likvärdig skyddsnivå” antyder att tredjelands skyddsnivå inte behöver vara identisk med EU:s skyddsnivå. Vilket utrymme som finns för avsteg från den EU-rättsliga nivån, är dock inte helt klarlagt. Den bortre gränsen för vad som anses godtagbart verkar bestämmas av huruvida ett beslut om adekvat skyddsnivå skulle riskera att kränka det väsentliga innehållet i de grundläggande rättigheterna enligt EU-stadgan. En utmaning med att bedöma tredjelands skyddsnivå är EU-domstolens förmåga att behandla tredjelands lagstiftning. Ytterligare en utmaning framträder när domstolen ska bedöma skyddsnivån på ett område där lagstiftningen inte är harmoniserad inom EU, som till exempel nationell säkerhet. EU-domstolen har i och med sina avgöranden satt höga krav på vad som ska anses utgöra en adekvat skyddsnivå, och det är möjligt att dessa krav skapar hinder för EU:s samarbete med tredjeländer vad gäller dataöverföringar. (Less)

Abstract

The EU is by many considered to have one of the world's strictest regulations for data protection. However, the Union and its Member States, like the rest of the world, have an interest in being able to transfer personal data to third countries due to global and technological developments. In order to balance the high level of privacy protection against the interest in transferring personal data to third countries, the General Data Protection Regulation contains various mechanisms for carrying out such transfers. One of the options provides the Commission with the possibility to decide that a country ensures an adequate level of protection, which allows for free transfers to that country. The European Court of Justice recently declared,... (More)

The EU is by many considered to have one of the world's strictest regulations for data protection. However, the Union and its Member States, like the rest of the world, have an interest in being able to transfer personal data to third countries due to global and technological developments. In order to balance the high level of privacy protection against the interest in transferring personal data to third countries, the General Data Protection Regulation contains various mechanisms for carrying out such transfers. One of the options provides the Commission with the possibility to decide that a country ensures an adequate level of protection, which allows for free transfers to that country. The European Court of Justice recently declared, for the second time, such a decision regarding transfers to the United States to be invalid, which shows that the assessment of the level of protection of third countries is not entirely straightforward. In addition, an assessment process of the UK's level of protection is currently under way, due to the country's withdrawal from the Union. This essay mainly aims to examine how the assessment of the level of protection in third countries relates to the level of protection under EU law, and what challenges arise from such an assessment. The investigation has been carried out using the legal dogmatic and the EU legal method and includes a presentation of relevant legislation, a review of the European Court of Justice's case law regarding adequacy decisions and restrictions on privacy protection, and finally a review of the draft decision for the United Kingdom.

When assessing whether third countries ensure an adequate level of protection of personal data, the European Commission shall investigate all circumstances that to some extent affect the protection of personal data. For example, the Commission should look at the country's privacy framework, supervisory mechanisms, access to justice and the public authorities' access to personal data. In its rulings on the level of protection of the United States, the European Court of Justice states that a level of protection in third countries does not have to be identical to that of the Union, only essentially equivalent. In addition, according to the Court, national surveillance programs without clear objectives, restrictions or safeguard measures constitute such a measure which is in conflict with the principle of proportionality, and the level of protection should not be considered adequate in such circumstances. The Commission considers that the United Kingdom ensures an adequate level of protection. According to the European Data Protection Board, however, there are a number of circumstances that make it possible to question such a claim. For example, the United Kingdom also conducts extensive surveillance, and is also a party to international agreements that enable further transfers to countries that have been considered not to ensure an adequate level of protection, such as the U.S.

The concept of "essentially equivalent level of protection" suggests that the level of protection of third countries does not need to be identical to the level of protection of the EU. However, the scope for deviating from the EU legal level is not entirely clear. The far limit of what is considered acceptable seems to be whether a decision on an adequate level of protection would risk violating the essential content of fundamental rights under the EU Charter. A challenge in assessing the level of protection of third countries is the ability of the European Court of Justice to deal with third country legislation. Another challenge arises when the Court has to assess the level of protection in an area where legislation is not harmonized within the EU, such as national security. In its rulings, the European Court of Justice has placed high demands on what should be considered an adequate level of protection, and it is possible that these requirements create obstacles to the EU's cooperation with third countries with regard to data transmissions. (Less)