Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

När molnen hopar sig vid horisonten - En analys avseende EU:s regler om överföring av personuppgifter till tredjeländer och deras förenlighet med rätten till personlig integritet

Jönsson, Jeanette LU (2014) JURM02 20142
Department of Law
Abstract (Swedish)
Nu för tiden använder människor världen över, medvetet eller omedvetet, molntjänster, där stora mängder personlig information placeras och lagras. Personuppgifter är en av de mest värdefulla tillgångar ett företag kan inneha, och således utnyttjar företag runt om i världen sådan personlig information för kommersiella syften. Samtidigt har statliga myndigheters övervakning av personer och insamling av personlig information ökat. Det finns länder som exempelvis USA, vilka har lagar som ger olika myndigheter befogenheter att övervaka både inhemska och utländska medborgare för att bl.a. upprätthålla nationell säkerhet. Utvecklingen av informations- och kommunikationsteknologi under de senaste tre decennierna har inneburit ett paradigmskifte... (More)
Nu för tiden använder människor världen över, medvetet eller omedvetet, molntjänster, där stora mängder personlig information placeras och lagras. Personuppgifter är en av de mest värdefulla tillgångar ett företag kan inneha, och således utnyttjar företag runt om i världen sådan personlig information för kommersiella syften. Samtidigt har statliga myndigheters övervakning av personer och insamling av personlig information ökat. Det finns länder som exempelvis USA, vilka har lagar som ger olika myndigheter befogenheter att övervaka både inhemska och utländska medborgare för att bl.a. upprätthålla nationell säkerhet. Utvecklingen av informations- och kommunikationsteknologi under de senaste tre decennierna har inneburit ett paradigmskifte vad gäller hantering av personuppgifter och numera överförs stora mängder personuppgifter varje sekund mellan företag och myndigheter världen över.

I denna uppsats studeras EU-rättens nuvarande och, eventuellt, framtida regler avseende överföring av personuppgifter till tredjeländer i förhållande till EU-medborgares rätt till personlig integritet. Reglerna analyseras ur ett molntjänstperspektiv, eftersom utvecklingen av molntjänster har bidragit till ett ökat internationellt utbyte av personuppgifter. EU:s nuvarande dataskyddsdirektiv reglerar automatisk behandling av personuppgifter och har till syfte att skydda fysiska personers rätt till personlig integritet, men även att säkerställa det fria flödet av personuppgifter inom unionen. I dataskyddsdirektivet anges att det som huvudregel är förbjudet att överföra personuppgifter till tredjeland. Det är däremot tillåtet att överföra uppgifter till tredjeland om en adekvat skyddsnivå kan garanteras i detta tredjeland. Från detta krav på adekvat skyddsnivå, föreskrivs det undantag vilka möjliggör en överföring till ett tredjeland som inte kan säkerställa en adekvat skyddsnivå. Ett sådant undantag föreligger om det istället finns ett samtycke från den registrerade, eller om registerföraren tillämpar BCR:s, modellklausuler eller principerna som är fastställda i Safe Harbor-ramverket.

Merparten av den typ av personlig information som laddas upp i molnet, vid användning av exempelvis sociala medier, utgör uppgifter om privatlivet och är skyddade mot otillåtna ingrepp enligt Europakonventionen artikel 8 och EU-stadgan artikel 7 och 8. I uppsatsen argumenteras för att den i Europakonventionen och EU-stadgan föreskrivna rätten till personlig integritet innebär en negativ skyldighet för EU att inte föreskriva regler vilka tillåter en överföring av personuppgifter till tredjeländer där de riskerar att behandlas på ett sätt som innebär en otillåten inskränkning i de ovan nämnda mänskliga rättigheterna.
I uppsatsen undersöks det även om de föreslagna reglerna om överföring av personuppgifter till tredjeländer i förslaget till allmän dataskyddsförordning medför ett förstärkt skydd av EU-medborgarnas rätt till personlig integritet. De undantag som återfinns i dataskyddsdirektivet behålls även i förslaget till allmän dataskyddsförordning. Även om reglerna kan anses ha utvecklats och specificerats för att underlätta både tolkning och tillämpning, argumenteras det i denna uppsats för att reglerna innebär en ökad möjlighet för bl.a. EU-baserade molntjänstkunder och molntjänstleverantörer att överföra person-uppgifter till ett tredjeland som inte kan säkerställa en adekvat skyddsnivå. En sådan ökad möjlighet till överföring kan ifrågasättas ur ett människorättsperspektiv.

Hantering av personuppgifter i molnet problematiseras av dess gränslösa karaktär. Rätten till personlig integritet värderas och regleras olika runt om i världen, där Europa kan anses utgöra den världsdel där rättigheten skyddas allra högst. Vid en överföring av personuppgifter från EU till ett tredjeland kan det således uppkomma en risk för ett försvagat integritetsskydd för den EU-medborgare vars uppgifter överförs till ett tredjeland. Det uppstår därför en lucka i skyddet som måste lösas på nationell, regional eller internationell nivå. I denna uppsats undersöks vilka möjligheter EU har att påverka lösningen av denna gränsöverskridande problematik. Sammanfattningsvis påvisas det att EU har tre alternativa möjligheter, vilka är följande; (1) en unilateral lösning genom att utvidga EU:s dataskyddslagstiftning till att ha en extraterritoriell effekt, (2) en bilateral eller multilateral lösning genom att förhandla fram avtal med andra länder eller arbeta fram ett internationellt avtal, eller (3) en multilateral lösning genom EU-ledarskap och normspridning. Eventuellt krävs det en kombination av de tre nämnda alternativen för att åstadkomma en effektiv lösning på detta globala problem. (Less)
Popular Abstract
Today, people all around the world, consciously or unconsciously, use services provided by cloud computing where large amounts of personal data is placed and stored. Personal data is one of the most valuable assets a company can hold, and therefore companies utilise such data for commercial purposes. At the same time, the surveillance powers and the collection of personal data have increased among enforcement and security agencies controlled by governments. Certain countries, for example the U.S., have laws authorising enforcement and security agencies to access personal data of U.S. citizens and non-U.S. citizens in order to ensure, inter alia, national security. The development of information and communication technology in the last... (More)
Today, people all around the world, consciously or unconsciously, use services provided by cloud computing where large amounts of personal data is placed and stored. Personal data is one of the most valuable assets a company can hold, and therefore companies utilise such data for commercial purposes. At the same time, the surveillance powers and the collection of personal data have increased among enforcement and security agencies controlled by governments. Certain countries, for example the U.S., have laws authorising enforcement and security agencies to access personal data of U.S. citizens and non-U.S. citizens in order to ensure, inter alia, national security. The development of information and communication technology in the last three decades has resulted in a paradigm shift regarding the processing of personal data and today, vast amounts of personal data is being transferred and exchanged between companies and governments across the globe every second.

This thesis examines the current and the proposed future EU data protection rules regarding transfer of personal data from the EU to third countries in relation to EU citizens´ right to privacy. Due to the significance of the current development in cloud computing and its effect on the international exchange of personal data, the EU data protection framework are examined in a cloud context. The existing EU Data Protection Directive regulates the processing of personal data wholly or partially by automatic means. The Data Protection Directive shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy. It shall also ensure the free flow of personal data within the Union. As a general rule, the Directive prohibits the transfer of personal data to third countries unless that country ensures an adequate level of protection. A transfer of personal data from the Union to a third country, which cannot provide an adequate level of protection, may take place where one of the derogations from the adequacy principle applies. This means that such a transfer may be lawful if the data subject has consented to the transfer or if the transfer is made on terms ensuring adequate safeguards. Such terms may be provided by BCRs, standard contractual clauses or Safe Harbor principles.

The majority of the personal data uploaded to the cloud, when using for example social media, is considered to be information that is included in the meaning of private life. Article 8 of the ECHR and Article 7 and 8 of the EU Charter of Fundamental Rights protect such personal data against unlawful interference. It is argued that the ECHR and the EU Charter of Fundamental Rights imply a negative obligation on the EU not to adopt laws that facilitate the transfer of EU citizens´ personal data to third countries where they are put at risk from actions taken by that third country that would constitute an unlawful interference, that would violate the above-mentioned human rights.

Further, this thesis analyses whether the purposed rules regarding transfer of personal data to third countries in the draft of the EU General Data Protection Regulation are likely to increase the protection of EU citizens’ right to privacy. The Data Protection Directive´s derogations, which permit transfer of personal data to a third country where an adequate level of protection is not provided, are retained in the proposal for a General Data Protection Regulation. Although the rules can be considered to have been developed to facilitate its interpretation and application, it is argued in the thesis that the rules expand the ability of cloud customers and cloud providers to transfer personal data to a third country which does not provide an adequate level of protection. Such expanded opportunities to transfer personal data outside the EU are questionable from a human right perspective.

The borderless character of cloud computing leads to problems regarding which country´s law applies on the processing of personal data in the cloud. The human right to privacy is valued and regulated differently around the world, where Europe can be regarded as the part of the world where the right to privacy is protected the most. Therefore, a transfer of personal data from the EU to a third country may pose a risk of weakened protection for EU citizens. Such risk arises due to a gap in the laws of human right protection that must be addressed either at a national, regional or international level. This thesis explores opportunities of the EU to influence a solution to this global problem. In conclusion, three alternatives are demonstrated to be possible solutions of the aforementioned problem; (1) a unilateral solution which expands the territorial scope of the EU data protection regulation, resulting in an extraterritorial application of the regulation, (2) a bilateral or multilateral solution, meaning the development of an international data protection agreement, or (3) a multilateral solution, meaning the EU acting as a leader and EU norm diffusion. Solving the aforementioned problem in an effective way might require a combination of these three options. (Less)
Please use this url to cite or link to this publication:
author
Jönsson, Jeanette LU
supervisor
organization
alternative title
Clouds on the horizon - An analysis of the EU regulations on transfer of personal data to third countries and their compatibility with the right to privacy
course
JURM02 20142
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
Europakonventionen, Dataskyddsdirektivet, Överföring av personuppgifter till tredjeland, EU-rätt, Mänskliga rättigheter, FISA, Rätt till respekt för privatlivet, EU-stadgan, Rätt till skydd av personuppgifter, Molntjänster
language
Swedish
id
4905290
date added to LUP
2015-02-17 14:35:08
date last changed
2015-02-17 14:35:08
@misc{4905290,
  abstract     = {{Nu för tiden använder människor världen över, medvetet eller omedvetet, molntjänster, där stora mängder personlig information placeras och lagras. Personuppgifter är en av de mest värdefulla tillgångar ett företag kan inneha, och således utnyttjar företag runt om i världen sådan personlig information för kommersiella syften. Samtidigt har statliga myndigheters övervakning av personer och insamling av personlig information ökat. Det finns länder som exempelvis USA, vilka har lagar som ger olika myndigheter befogenheter att övervaka både inhemska och utländska medborgare för att bl.a. upprätthålla nationell säkerhet. Utvecklingen av informations- och kommunikationsteknologi under de senaste tre decennierna har inneburit ett paradigmskifte vad gäller hantering av personuppgifter och numera överförs stora mängder personuppgifter varje sekund mellan företag och myndigheter världen över. 

I denna uppsats studeras EU-rättens nuvarande och, eventuellt, framtida regler avseende överföring av personuppgifter till tredjeländer i förhållande till EU-medborgares rätt till personlig integritet. Reglerna analyseras ur ett molntjänstperspektiv, eftersom utvecklingen av molntjänster har bidragit till ett ökat internationellt utbyte av personuppgifter. EU:s nuvarande dataskyddsdirektiv reglerar automatisk behandling av personuppgifter och har till syfte att skydda fysiska personers rätt till personlig integritet, men även att säkerställa det fria flödet av personuppgifter inom unionen. I dataskyddsdirektivet anges att det som huvudregel är förbjudet att överföra personuppgifter till tredjeland. Det är däremot tillåtet att överföra uppgifter till tredjeland om en adekvat skyddsnivå kan garanteras i detta tredjeland. Från detta krav på adekvat skyddsnivå, föreskrivs det undantag vilka möjliggör en överföring till ett tredjeland som inte kan säkerställa en adekvat skyddsnivå. Ett sådant undantag föreligger om det istället finns ett samtycke från den registrerade, eller om registerföraren tillämpar BCR:s, modellklausuler eller principerna som är fastställda i Safe Harbor-ramverket. 

Merparten av den typ av personlig information som laddas upp i molnet, vid användning av exempelvis sociala medier, utgör uppgifter om privatlivet och är skyddade mot otillåtna ingrepp enligt Europakonventionen artikel 8 och EU-stadgan artikel 7 och 8. I uppsatsen argumenteras för att den i Europakonventionen och EU-stadgan föreskrivna rätten till personlig integritet innebär en negativ skyldighet för EU att inte föreskriva regler vilka tillåter en överföring av personuppgifter till tredjeländer där de riskerar att behandlas på ett sätt som innebär en otillåten inskränkning i de ovan nämnda mänskliga rättigheterna. 
I uppsatsen undersöks det även om de föreslagna reglerna om överföring av personuppgifter till tredjeländer i förslaget till allmän dataskyddsförordning medför ett förstärkt skydd av EU-medborgarnas rätt till personlig integritet. De undantag som återfinns i dataskyddsdirektivet behålls även i förslaget till allmän dataskyddsförordning. Även om reglerna kan anses ha utvecklats och specificerats för att underlätta både tolkning och tillämpning, argumenteras det i denna uppsats för att reglerna innebär en ökad möjlighet för bl.a. EU-baserade molntjänstkunder och molntjänstleverantörer att överföra person-uppgifter till ett tredjeland som inte kan säkerställa en adekvat skyddsnivå. En sådan ökad möjlighet till överföring kan ifrågasättas ur ett människorättsperspektiv. 

Hantering av personuppgifter i molnet problematiseras av dess gränslösa karaktär. Rätten till personlig integritet värderas och regleras olika runt om i världen, där Europa kan anses utgöra den världsdel där rättigheten skyddas allra högst. Vid en överföring av personuppgifter från EU till ett tredjeland kan det således uppkomma en risk för ett försvagat integritetsskydd för den EU-medborgare vars uppgifter överförs till ett tredjeland. Det uppstår därför en lucka i skyddet som måste lösas på nationell, regional eller internationell nivå. I denna uppsats undersöks vilka möjligheter EU har att påverka lösningen av denna gränsöverskridande problematik. Sammanfattningsvis påvisas det att EU har tre alternativa möjligheter, vilka är följande; (1) en unilateral lösning genom att utvidga EU:s dataskyddslagstiftning till att ha en extraterritoriell effekt, (2) en bilateral eller multilateral lösning genom att förhandla fram avtal med andra länder eller arbeta fram ett internationellt avtal, eller (3) en multilateral lösning genom EU-ledarskap och normspridning. Eventuellt krävs det en kombination av de tre nämnda alternativen för att åstadkomma en effektiv lösning på detta globala problem.}},
  author       = {{Jönsson, Jeanette}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{När molnen hopar sig vid horisonten - En analys avseende EU:s regler om överföring av personuppgifter till tredjeländer och deras förenlighet med rätten till personlig integritet}},
  year         = {{2014}},
}