Advanced

Dataskyddsförordningen i ett internationellt privaträttsligt perspektiv - En analys av frågan om tillämplig nationell rätt i avsaknad av en lagvalsregel

Lucius, Anton LU (2017) JURM02 20172
Department of Law
Faculty of Law
Abstract
Technological development has led to a substantial increase in the processing of personal data. Commercial players, usually for the purpose of identifying digital behaviour, collect personal information on a massive scale. The handling of personal data is, however, associated with the risk of privacy interference and in order to ensure EU citizens a protection of their data the EU data protection law has been adopted.

The most essential piece of EU legislation on data protection law, the Data Protection Directive, will be replaced by a regulation in May 2018. By creating a unified legal framework, the General Data Protection Regulation (GDPR) aims to harmonise the protection of personal data within the union. Despite the purpose of... (More)
Technological development has led to a substantial increase in the processing of personal data. Commercial players, usually for the purpose of identifying digital behaviour, collect personal information on a massive scale. The handling of personal data is, however, associated with the risk of privacy interference and in order to ensure EU citizens a protection of their data the EU data protection law has been adopted.

The most essential piece of EU legislation on data protection law, the Data Protection Directive, will be replaced by a regulation in May 2018. By creating a unified legal framework, the General Data Protection Regulation (GDPR) aims to harmonise the protection of personal data within the union. Despite the purpose of harmonisation the Regulation demonstrates a directive-like character since Member States are allowed to adopt national provisions. The autonomy given to the Member States will, regarding certain issues, most likely lead to diversity of laws.

When civil cross-border data protection disputes arise divergent national data protection laws will bring to the fore the question of the applicability of national law. Since the Regulation does not contain a choice-of-law provision the question of applicable law is not addressed in the GDPR. How applicable national law is to be determined in the absence of a choice-of-law provision is the main question that is examined in the essay.

The Data Protection Directive contains, in contrast to the Regulation, a choice-of-law provision which determines the applicable law on the basis of the establishment of the controller. This establishment criterion is also found in the Regulation although it corresponds to the provision of the Directive only regarding the function of enabling the applicability of EU law. Since there is no requirement for the adoption of national measures for a regulation to get legal effect, a reference to national law has not been considered necessary.

A solution to the choice-of-law dilemma which the national margin for manoeuvre contained in the GDPR might entail could potentially be found in the Rome Regulations. To what extent the Rome Regulations could be applied within the context of data protection disputes is, however, unclear. This uncertainty depends, amongst other things, on the difficulty of qualifying data protection rules as either private or public. Although the data protection legislation has a certain private law character many provisions are of public law nature.

Regarding the Rome II Regulation, disputes arising out of violations of data pro-tection are likely to be excluded from its scope of application. Furthermore, the universal application of the Rome I Regulation might point towards the law of a third country which would result in EU citizens being denied the protection of pri-vacy guaranteed to them by EU law. The application of the Rome Regulations in the context of data protection disputes raises a number of questions and how the choice-of-law dilemma caused by the GDPR will be dealt with in practice remains to be seen. (Less)
Abstract (Swedish)
Behandlingen av personuppgifter har i takt med den tekniska utvecklingen intensifierats. Personlig information samlas in i stor omfattning av kommersiella aktörer, inte sällan med syftet att kartlägga individers digitala beteenden. Hanteringen av personuppgifter är emellertid förenad med risken för att individens integritetsskydd åsidosätts och för att unionsmedborgarna ska tillförsäkras ett personuppgiftsskydd har den EU-rättsliga dataskyddslagstiftningen antagits.

Den centrala unionsrättsakten på dataskyddets område, dataskyddsdirektivet, kommer under maj 2018 att ersättas med en förordning. Genom att skapa en enhetlig dataskyddsrättslig ram har dataskyddsförordningen som målsättning att harmonisera personuppgiftsskyddet inom... (More)
Behandlingen av personuppgifter har i takt med den tekniska utvecklingen intensifierats. Personlig information samlas in i stor omfattning av kommersiella aktörer, inte sällan med syftet att kartlägga individers digitala beteenden. Hanteringen av personuppgifter är emellertid förenad med risken för att individens integritetsskydd åsidosätts och för att unionsmedborgarna ska tillförsäkras ett personuppgiftsskydd har den EU-rättsliga dataskyddslagstiftningen antagits.

Den centrala unionsrättsakten på dataskyddets område, dataskyddsdirektivet, kommer under maj 2018 att ersättas med en förordning. Genom att skapa en enhetlig dataskyddsrättslig ram har dataskyddsförordningen som målsättning att harmonisera personuppgiftsskyddet inom unionen. Trots detta harmoniseringssyfte har förordningen givits en direktivliknande karaktär då ett utrymme för nationell reglering har införts. Således kommer, beträffande vissa dataskyddsfrågor, medlemsstaternas autonomi sannolikt att medföra rättsliga skillnader inom EU.

Divergerande nationella dataskyddsregler kommer, vid gränsöverskridande civilrättsliga dataskyddstvister, att aktualisera den internationellt privaträttsliga frågeställningen om hur nationell rätt ska fastställas. Till följd av att dataskyddsförordningen saknar en kollisionsregel adresseras inte frågan om lagval i rättsakten. Hur tillämplig nationell rätt ska fastställas i avsaknad av en lagvalsregel i dataskyddsförordningen utgör den huvudsakliga frågeställning som analyseras i uppsatsen.

Till skillnad från förordningen finns i dataskyddsdirektivet en kollisionsregel som, utifrån den personuppgiftsansvariges etablering som anknytningsmoment, anger vilket lands lag som ska tillämpas vid gränsöverskridande rättsförhållanden. Detta etableringskriterium återfinns i förordningen men motsvarar direktivets bestämmelse endast med avseende på funktionen att möjliggöra för tillämpningen av EU-rätten. Då en förordning får rättslig effekt oberoende av medlemsstaternas införlivning har en hänvisning till nationell rätt inte ansetts nödvändig.

En lösning på den lagvalsproblematik som dataskyddsförordningens utrymme för nationell reglering riskerar att innebära går eventuellt att finna i Rom I- och Rom II-förordningarna. Huruvida Romförordningarna kan tillämpas inom en dataskyddsrättslig kontext är dock oklart, inte minst mot bakgrund av svårigheten i att kvalificera dataskyddsreglerna som antingen privat- eller offentligrättsliga. Dataskyddslagstiftningen innehar en viss privaträttslig karaktär men flera bestämmelser är också av offentligrättslig art.

Vad beträffar Rom II-förordningen är tvister hänförliga till kränkningar av personuppgiftsskyddet troligtvis undantagna förordningens tillämpningsområde. Rom I-förordningen, genom dess universella tillämplighet, riskerar dessutom att anvisa lagen i tredje land vilket skulle resultera i att unionsmedborgarna förvägras det integritetsskydd som EU-rätten tillförsäkrar dem. En tillämpning av Romförordningarna inom ramen för dataskyddstvister ger således upphov till en rad frågetecken och det återstår att se hur den lagvalsproblematik som dataskyddsförordningens utrymme för nationell reglering medför kommer att bemötas i praktiken. (Less)
Please use this url to cite or link to this publication:
author
Lucius, Anton LU
supervisor
organization
alternative title
The General Data Protection Regulation in a private international law perspective - An analysis of the question of applicable national law in the absence of a choice-of-law provision
course
JURM02 20172
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
EU-rätt, internationell privaträtt, GDPR, Dataskyddsförordningen
language
Swedish
id
8930845
date added to LUP
2018-01-25 08:25:34
date last changed
2018-01-25 08:25:34
@misc{8930845,
  abstract     = {Technological development has led to a substantial increase in the processing of personal data. Commercial players, usually for the purpose of identifying digital behaviour, collect personal information on a massive scale. The handling of personal data is, however, associated with the risk of privacy interference and in order to ensure EU citizens a protection of their data the EU data protection law has been adopted.

The most essential piece of EU legislation on data protection law, the Data Protection Directive, will be replaced by a regulation in May 2018. By creating a unified legal framework, the General Data Protection Regulation (GDPR) aims to harmonise the protection of personal data within the union. Despite the purpose of harmonisation the Regulation demonstrates a directive-like character since Member States are allowed to adopt national provisions. The autonomy given to the Member States will, regarding certain issues, most likely lead to diversity of laws. 

When civil cross-border data protection disputes arise divergent national data protection laws will bring to the fore the question of the applicability of national law. Since the Regulation does not contain a choice-of-law provision the question of applicable law is not addressed in the GDPR. How applicable national law is to be determined in the absence of a choice-of-law provision is the main question that is examined in the essay.

The Data Protection Directive contains, in contrast to the Regulation, a choice-of-law provision which determines the applicable law on the basis of the establishment of the controller. This establishment criterion is also found in the Regulation although it corresponds to the provision of the Directive only regarding the function of enabling the applicability of EU law. Since there is no requirement for the adoption of national measures for a regulation to get legal effect, a reference to national law has not been considered necessary. 

A solution to the choice-of-law dilemma which the national margin for manoeuvre contained in the GDPR might entail could potentially be found in the Rome Regulations. To what extent the Rome Regulations could be applied within the context of data protection disputes is, however, unclear. This uncertainty depends, amongst other things, on the difficulty of qualifying data protection rules as either private or public. Although the data protection legislation has a certain private law character many provisions are of public law nature. 

Regarding the Rome II Regulation, disputes arising out of violations of data pro-tection are likely to be excluded from its scope of application. Furthermore, the universal application of the Rome I Regulation might point towards the law of a third country which would result in EU citizens being denied the protection of pri-vacy guaranteed to them by EU law. The application of the Rome Regulations in the context of data protection disputes raises a number of questions and how the choice-of-law dilemma caused by the GDPR will be dealt with in practice remains to be seen.},
  author       = {Lucius, Anton},
  keyword      = {EU-rätt,internationell privaträtt,GDPR,Dataskyddsförordningen},
  language     = {swe},
  note         = {Student Paper},
  title        = {Dataskyddsförordningen i ett internationellt privaträttsligt perspektiv - En analys av frågan om tillämplig nationell rätt i avsaknad av en lagvalsregel},
  year         = {2017},
}