Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Corporate accountability under EU's data protection proposal- Who safeguards your virtual life?

Karlsson, Mikaela LU (2013) JURM02 20131
Department of Law
Abstract
Summary

The protection of personal data is a fundamental right in accordance with Article 8 of the European Convention of Human Rights. Every person has the right to the protection of information that concerns him or her. Globalisation and technological advancements have enormously transformed the way our personal data is collected.

An updated legislation on data protection is needed and the proposed regulation is a clear attempt to reflect the current challenges of the digital environment. The material scope includes online identifiers while the territorial scope has been extended to non-EU established companies who intentionally offer or target goods and services to EU residents. In addition, the regulation includes non-EU... (More)
Summary

The protection of personal data is a fundamental right in accordance with Article 8 of the European Convention of Human Rights. Every person has the right to the protection of information that concerns him or her. Globalisation and technological advancements have enormously transformed the way our personal data is collected.

An updated legislation on data protection is needed and the proposed regulation is a clear attempt to reflect the current challenges of the digital environment. The material scope includes online identifiers while the territorial scope has been extended to non-EU established companies who intentionally offer or target goods and services to EU residents. In addition, the regulation includes non-EU companies who monitor behavior of EU residents.

Territorial and material scope aside, the legal grounds controllers may base their processing operations on seem stricter in the proposed regulation; in reality the provision offers companies “loopholes”. However, the most crucial part of data processing is not the processing itself, it’s the lack of transparency.

Companies can collect personal data on a wide scale, but an accountability principle will force companies to keep in-house operations which will strengthen companies’ compliance with data protection and in return provide data subjects a better protection, even if the obligations put on companies are burdensome and may lead to higher fees for data subjects.

Under the new provision the distinction between controllers and processors is highly relevant since controllers are under stricter obligations. Thus, the scope for controllers has been broadened. The new provision’s terms are confusing as to whether a company should qualify as controllers; this is the appropriate approach for cloud environments where actors often share same data for multiple purposes.

In order to strengthen data subjects’ rights, data subjects may exercise a “right to be forgotten”. However, the provision is too broad, given current technological limitations. Fundamental freedoms such as information, expression, and privacy intervene with a complete right for data subjects to obtain a complete erasure online.


Finally, BCRs are the best option for multinational companies to adapt a legal instrument in order to transfer data outside the European Union. A natural effect of cross-border data flows is the loss of effective control over transferred data. Nevertheless, in practice it is necessary for companies to be able to transfer information to third parties, thus the legislator and the business sector must seek a solution that maximizes data protection. (Less)
Abstract (Swedish)
Sammanfattning

I Europakonventionen artikel 8 skyddas rätten till privatliv. Varje person har rätt till skydd av personuppgifter som tillhör honom eller henne. Globalisering och teknologisk utveckling har anmärkningsvärt förändrat sättet på hur personuppgifter behandlas.

En uppdaterad lagstiftning för personuppgiftsskydd behövs och EUs föreslagna förordning reflekterar tydligt utmaningarna för behandling av personuppgifter i den digitala miljön. Det materiella tillämpningsområdet har utvidgats till att uttryckligen inkludera online-identifierare medan det territoriella tillämpningsområdet utvidgas till att omfatta icke EU etablerade företag (nedan “registeransvariga”) som medvetet erbjuder varor och tjänster till personer (nedan... (More)
Sammanfattning

I Europakonventionen artikel 8 skyddas rätten till privatliv. Varje person har rätt till skydd av personuppgifter som tillhör honom eller henne. Globalisering och teknologisk utveckling har anmärkningsvärt förändrat sättet på hur personuppgifter behandlas.

En uppdaterad lagstiftning för personuppgiftsskydd behövs och EUs föreslagna förordning reflekterar tydligt utmaningarna för behandling av personuppgifter i den digitala miljön. Det materiella tillämpningsområdet har utvidgats till att uttryckligen inkludera online-identifierare medan det territoriella tillämpningsområdet utvidgas till att omfatta icke EU etablerade företag (nedan “registeransvariga”) som medvetet erbjuder varor och tjänster till personer (nedan “registrerade”) boende inom den Europeiska Unionen. Förordningen omfattar även icke EU etablerade registeransvariga som övervakar beteenden av registrerade boende inom Unionen.

Förutsättningarna för registeransvariga att behandla personuppgifter kan tyckas begränsade i den föreslagna förordningen, i själva verket erbjuder förordningen kryphål för registeransvariga att behandla personuppgifter. Det mest vanskliga med uppgiftsskyddslagstiftningen är dock inte behandlingen av personuppgifter, utan avsaknaden av transparens.

Trots att registeransvariga kan behandla personuppgifter i relativ omfattande utsträckning så kommer administrativa förpliktelser innebära att registeransvariga är ålagda att vidta interna åtgärder för att tillgodose att behandling av personuppgifter sker i enlighet med uppgiftsskyddlagstiftning. De administrativa förpliktelserna ämnar erbjuda bättre skydd av personuppgifter för registrerade boende inom Unionen trots att detta innebär en administrativ börda för registeransvariga och eventuellt ökade kostnader för registrerade.

Under den nya förordningen är distinktionen mellan en registeransvarig och en registerförare (aktör som utför behandling av personuppgifter på en registeransvarigs vägnar) mer väsentlig eftersom registeransvariga är ålagda striktare skyldigheter gällande behandling av personuppgifter. Tillämpningen för registeransvariga har utvidgats i den föreslagna förordningen, vilket är en rimlig utveckling för behandling av personuppgifter i molntjänster där molnaktörer ofta behandlar samma personuppgifter men för olika syften. Det är till exempel inte ovanligt att registerförare i själva verket agerar som registeransvarig.

För att stärka registrerades rättigheter, har registrerade “rätt att bli bortglömd” och rätt till radering av personuppgifter. Denna rätt ter sig dock alltför omfattande på grund av tekniska begränsningar. Fundamentala rättigheter som rätt till information, yttrandefrihet och privatliv kolliderar med en fullständig rätt för registrerade att radera information online.

Till sist, BCRs är det mest lämpliga juridiska instrument för överföring av personuppgifter till tredje land av multinationella registeransvariga. Möjligheten för registeransvariga att kunna överföra personuppgifter till tredje land är av väsentlig betydelse men innebär i praktiken förlust av effektiv kontroll över personuppgifterna, det är därmed av ytterst vikt att lagstiftaren och branschaktörer söker lösningar som maximerar personuppgiftsskydd. (Less)
Please use this url to cite or link to this publication:
author
Karlsson, Mikaela LU
supervisor
organization
course
JURM02 20131
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
EU-rätt, IT-rätt, Förmögenhetsrätt
language
English
id
3798609
date added to LUP
2013-06-13 15:40:02
date last changed
2013-06-13 15:40:02
@misc{3798609,
  abstract     = {{Summary

The protection of personal data is a fundamental right in accordance with Article 8 of the European Convention of Human Rights. Every person has the right to the protection of information that concerns him or her. Globalisation and technological advancements have enormously transformed the way our personal data is collected. 

An updated legislation on data protection is needed and the proposed regulation is a clear attempt to reflect the current challenges of the digital environment. The material scope includes online identifiers while the territorial scope has been extended to non-EU established companies who intentionally offer or target goods and services to EU residents. In addition, the regulation includes non-EU companies who monitor behavior of EU residents. 

Territorial and material scope aside, the legal grounds controllers may base their processing operations on seem stricter in the proposed regulation; in reality the provision offers companies “loopholes”. However, the most crucial part of data processing is not the processing itself, it’s the lack of transparency. 

Companies can collect personal data on a wide scale, but an accountability principle will force companies to keep in-house operations which will strengthen companies’ compliance with data protection and in return provide data subjects a better protection, even if the obligations put on companies are burdensome and may lead to higher fees for data subjects. 

Under the new provision the distinction between controllers and processors is highly relevant since controllers are under stricter obligations. Thus, the scope for controllers has been broadened. The new provision’s terms are confusing as to whether a company should qualify as controllers; this is the appropriate approach for cloud environments where actors often share same data for multiple purposes. 

In order to strengthen data subjects’ rights, data subjects may exercise a “right to be forgotten”. However, the provision is too broad, given current technological limitations. Fundamental freedoms such as information, expression, and privacy intervene with a complete right for data subjects to obtain a complete erasure online. 


Finally, BCRs are the best option for multinational companies to adapt a legal instrument in order to transfer data outside the European Union. A natural effect of cross-border data flows is the loss of effective control over transferred data. Nevertheless, in practice it is necessary for companies to be able to transfer information to third parties, thus the legislator and the business sector must seek a solution that maximizes data protection.}},
  author       = {{Karlsson, Mikaela}},
  language     = {{eng}},
  note         = {{Student Paper}},
  title        = {{Corporate accountability under EU's data protection proposal- Who safeguards your virtual life?}},
  year         = {{2013}},
}