Överföring av personuppgifter till USA.

Det väntade utfallet som ingen förberett sig på

Johanna Grundberg

ÖVERFÖRING AV

PERSONUPPGIFTER TILL USA

Termin 9 VT 2020 Examensarbete, 30 hp Juristprogrammet, 270 hp

Handledare: Jan Leidö

Innehållsförteckning

Förkortningar ... 5

1 Personuppgifters flöde till USA ... 6

1.1 Problembakgrund ... 6

1.2 Syfte ... 8

1.3 Metod och material ... 9

2 Det tudelade målet ... 16

2.1 Fritt flöde av personuppgifter ... 16

2.2 Dataskyddet ... 17

2.3 Hur individens kontroll över personuppgifter kommer till uttryck ... 19

2.3.1 Laglighet, korrekthet och öppenhet ... 20

2.3.2 Ändamålsbegränsning ... 21

2.3.3 Uppgiftsminimering ... 22

2.3.4 Lagringsminimering ... 22

2.3.5 Korrekthet ... 22

2.3.6 Integritet och konfidentialitet ... 22

2.3.7 Tillsyn och sanktionsavgifter ... 23

2.4 Balansen av dataskyddsförordningens mål ... 24

3 Tillämpningsområde och ansvarsfrågan ... 26

3.1 Personuppgifter ... 26

3.1.1 Varje upplysning ... 26

3.1.2 Identifierad eller identifierbar person ... 26

3.1.3 Sammanfattning ... 28

3.2 Behandling ... 28

3.2.1 Praktiska exempel på behandling ... 29

3.3 Territoriellt tillämpningsområde ... 29

3.3.1 Etableringskriteriet ... 30

3.3.2 Riktningskriteriet ... 32

3.4 Materiellt tillämpningsområde ... 33

3.5 Ansvar för behandling ... 34

3.5.1 Personuppgiftsbiträde ... 34

3.5.2 Personuppgiftsansvarig ... 35

3.5.3 Delat ansvar och gränsdragning ... 36

3

3.6 Sammanfattande slutsatser ... 37

4 Överföring till tredje land ... 39

4.1 Allmänna principer vid överföring till tredje land ... 39

4.2 Adekvat skyddsnivå ... 40

4.2.1 Allmänt ... 40

4.2.2 Godkända adekvata skyddsnivåer och tillämpning ... 41

4.2.3 USA:s avsaknad av adekvat skyddsnivå ... 41

4.3 Lämpliga skyddsåtgärder ... 42

4.3.1 Allmänt ... 43

4.3.2 Standardiserade dataskyddsbestämmelser antagna av kommissionen ... 44

4.3.3 Ytterligare åtgärder ... 46

4.4 Sammanfattning ... 47

5 Avslutande diskussion ... 48

5.1 Inledning ... 48

5.2 Ansvaret ... 48

5.3 Överföring på annan grund än adekvat skyddsnivå ... 49

5.4 Det fortsatta flödet – förändrad balans? ... 50

5.4.1 Internt flöde och skydd av personuppgifter ... 50

5.4.2 Externt flöde och skydd av personuppgifter ... 50

5.5 Vikten av dataexport till USA ... 52

5.6 Sammanfattning och avslutning ... 53

Käll- och litteraturförteckning ... 54

Offentligt tryck från EU ... 54

Direktiv 54 Förordning ... 54

Kommissionsbeslut ... 54

Lagstiftningsförarbeten ... 54

Generaladvokatens förslag till avgörande ... 55

Vägledande dokument från europeiska myndigheter ... 55

European Data Protection Board ... 55

Artikel 29-arbetsgruppen för skydd av personuppgifter ... 55

Rättspraxis ... 56

Avgöranden från EU-domstolen ... 56

Övriga avgöranden ... 57

4 Litteratur ... 57 Rapporter ... 58 Övriga källor ... 59

Förkortningar

Dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter

Dataskyddsförordnigen Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG

EDPB European Data Protection Board

EES Europeiska ekonomiska samarbetsområdet

EU Europeiska unionen

EU-domstolen Europeiska unionens domstol Facebook, Google,

Amazon och Microsoft Mjukvaruföretagen

Kommissionen Europeiska kommissionen

Privacy Shield Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna

Safe Harbour Kommissionens beslut 2000/520/EG av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles)

SCC Standard Contractual Clauses

Stadgan Europeiska unionens stadga om de grundläggande

rättigheterna

6

1 Personuppgifters flöde till USA

1.1 Problembakgrund

”If you are not paying for it, you are the product”.¹ Det är ingen nyhet att Facebook, Google, Amazon och Microsoft (nedan mjukvaruföretagen), för att bara nämna några – samlar in en stor mängd personuppgifter. Med hjälp av all den insamlade datan kan individens aktiviteter på och utanför plattformarna kartläggas,² vilket är en central del av deras affärsmodell.³ Företagens affärsmodeller är till och med beroende av dessa aktiviteter.⁴ Mjukvaruföretagen har alla sitt säte i USA och för över personuppgifter dit för bland annat lagring.⁵ Samhällets digitalisering bidrar till att många europeiska företag använder de stora mjukvaruföretagens tjänster, exempelvis molnlagring, reklamverktyg och inhämtande av användarstatistik från företagens egna webbsidor.⁶

När de europeiska företagen använder mjukvaruföretagens tjänster uppstår komplexa frågor om ansvarsförhållandet. Ansvarsfrågan är viktig för företagen såväl som för individen. Å ena sidan har mjukvaruföretagen och de europeiska företagen som använder deras plattformar ett intresse av att veta vilken behandling de ansvarar för och vilka regler de ska förhålla sig till. Å andra sidan har individen intresse av att veta vem som ansvarar för att skydda dennes personuppgifter, och vem denne ska vända sig till för att kräva sina rättigheter.

1Ett citat som florerar på sociala medier och i media, som tycks sakna upphovsman. Se t.ex. Forbes [https://www.forbes.com/sites/marketshare/2012/03/05/if-youre-not-paying-for-it-you-become-the- product/#638162e35d6e], 2020-12-30.

2 Se t.ex. Dagens Nyheter, [https://www.dn.se/din-plats-till-salu/]; Kramer m.fl., 2014, [https://www.pnas.org/content/111/24/8788], 2020-12-30.

3 Larsson, 2020, s. 21 [https://www.konkurrensverket.se/globalassets/publikationer/uppdragsforskning/forsk- rapport_2020-4.pdf], 2020-12-30.

4 Se Larsson, 2020, s. 22 [https://www.konkurrensverket.se/globalassets/publikationer/uppdragsforskning/forsk- rapport_2020-4.pdf], 2020-11-15; Konsumentverket,

[https://www.konsumentverket.se/globalassets/publikationer/produkter-och-tjanster/gemensamt/rapport-2017-4- personuppgifter-som-betalmedel-konsumentverket.pdf], 2020-12-30.

5 Facebook, [https://m.facebook.com/privacy/explanation?locale=sv_SE#], 2020-12-31; Google, [https://policies.google.com/privacy/frameworks?hl=sv], 2020-12-31; Amazon,

[https://www.amazon.com/gp/help/customer/display.html?nodeId=GX7NJQ4ZB8MHFRNJ#GUID-8966E75F- 9B92-4A2B-BFD5-967D57513A40__SECTION_A110DAC3F6BC4D5D9DDD59797104B1E5]; Microsoft, [https://privacy.microsoft.com/sv-se/privacystatement], 2020-12-31.

6 Se Larsson, 2020, s. 22 [https://www.konkurrensverket.se/globalassets/publikationer/uppdragsforskning/forsk- rapport_2020-4.pdf], 2020-12-30.

7 Behandling av personuppgifter är reglerat genom europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen) och europeiska unionens stadga om de grundläggande rättigheterna (stadgan). Enligt artikel 8 i stadgan är skydd av personuppgifter en grundläggande rättighet. Dataskyddsförordningen syftar dels till att skydda individers personuppgifter, dels till att låta personuppgifter flöda fritt inom Europeiska unionen (EU) – förutsatt att kraven på skydd av personuppgifter i dataskyddsförordningen är uppfyllda. Skyddet omfattar insamling av personuppgifter av företag i EU, oavsett om uppgifterna stannar i EU eller förs över till ett land utanför EU (tredje land).⁷ För att föra över personuppgifter från EU till ett tredje land krävs lagligt stöd enligt artikel 44 i dataskyddsförordningen. Det kan ta formen av ett kommissionsbeslut om att det tredje landet säkerställer en adekvat skyddsnivå i enlighet med artikel 45. Privacy Shield⁸ är ett exempel på att USA säkerställde adekvat skyddsnivå.⁹ Om ett beslut om adekvat skyddsnivå saknas får en aktör föra över personuppgifter efter att lämpliga skyddsåtgärder vidtagits enligt artikel 46. Lämpliga skyddsåtgärder kan vara att tillämpa standardavtal utfärdade av Europeiska kommissionen (kommissionen) parterna emellan. Dessa standardavtal kallas Standard Contractual Clauses (SCC). Kommissionen har utfärdat SCC vilket är en vanlig grund som många mjukvaruföretag stödjer sin överföring på.¹⁰

Europeiska unionens domstol (EU-domstolen) har i mål C-311/18, Schrems II, slagit fast att amerikanska myndigheter har en alltför långtgående möjlighet att komma åt personuppgifter och upphävde Privacy Shield. Över en natt tappade därmed Privacy Shield rättslig giltighet vilket påverkade företags möjlighet att på ett dataskyddsförordningsenligt sätt föra över personuppgifter till USA. Av experter i media har framförts att upphävandet av Privacy Shield var väntat, det var nämligen inte första gången kommissionens beslut om USA:s adekvata skyddsnivå upphävdes.¹¹ Målet har ändå upprört företag i Europa vars verksamhet bygger på

7 Se artikel 1 och kapitel V dataskyddsförordningen.

8 Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna.

9 Beslutet upphävdes dock genom mål C-311/18, Schrems II.

10 Kommissionens beslut 2010/87 av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland; Facebook,

[https://m.facebook.com/privacy/explanation?locale=sv_SE#], 2020-12-31; Google, [https://policies.google.com/privacy/frameworks?hl=sv], 2020-12-31.

11Se Dagens Juridik, [https://www.dagensjuridik.se/nyheter/schrems-ii-domen-kan-fa-omfattande-konsekvenser- for-svenska-foretag-och-myndigheter/], 2020-12-30; Mål C-362/14, Schrems I.

8 användande av mjukvaruföretagens tjänster och hävdar att det internationella samarbetet försvårats.¹² Trots domen tycks inte dataflödena till USA förändras.¹³

Det ligger nära tillhands att fundera över om överföring av personuppgifter till USA är förenlig med dataskyddsförordnigens regler om skydd av personuppgifter.¹⁴ Samtidigt är det fria flödet av personuppgifter ett viktigt mål enligt dataskyddsförordningen och möjligheten att föra över personuppgifter till tredje land en viktig del av EU:s internationella samarbete.¹⁵

1.2 Syfte

Syftet med uppsatsen är att utreda och analysera företags rättsliga utrymmeefter Schrems II att föra över personuppgifter med ursprung i EU till USA enligt dataskyddsförordningens bestämmelser om adekvat skyddsnivå och lämpliga skyddsåtgärder genom SCC, utifrån dataskyddsförordningens tudelade mål. Syftet kommer uppfyllas genom att svara på följande frågor:

1. Vem ansvarar för överföring av personuppgifter till USA som sker av mjukvaruföretagen¹⁶?

2. I vilken mån kan företag föra över personuppgifter med ursprung i EU till USA på grundval av ett nytt beslut om adekvat skyddsnivå eller genom SCC?

3. I vilken mån har Schrems II påverkat balansen mellan å ena sidan skydd av personuppgifter och å andra sidan fri rörlighet av personuppgifter, eller kan vikten av dataexport för europeiska företag förklara det fortsatta dataflödena till USA?

4. Hur kan dataskyddsarbetet efter Schrems II förstås utifrån vikten av dataexport för europeiska företag till USA?

12 Svenskt näringsliv m.fl. [https://www.svensktnaringsliv.se/english/positionpapers/letter- scc_finalpdf_1149500.html/Letter+SCC_final.pdf], 2020-12-30.

13 Mjukvaruföretagen för fortfarande över data till USA enligt sina integritetspolicys. Facebook, [https://m.facebook.com/privacy/explanation?locale=sv_SE#], 2020-12-31; Google,

[https://policies.google.com/privacy/frameworks?hl=sv], 2020-12-31; Amazon,

[https://www.amazon.com/gp/help/customer/display.html?nodeId=GX7NJQ4ZB8MHFRNJ#GUID-8966E75F- 9B92-4A2B-BFD5-967D57513A40__SECTION_A110DAC3F6BC4D5D9DDD59797104B1E5]; Microsoft, [https://privacy.microsoft.com/sv-se/privacystatement], 2020-12-31.

14 Se också EDPB, Guidelines 8/2020, s. 6 fotnot 14.

15 Se skäl 101 dataskyddsförordningen.

16 Se inledningen.

9 1.3 Metod och material

För att svara på första och andra frågeställningen har en liknande metod använts. Förordningen har därvid tolkats och rättspraxis samt doktrin har undersökts och analyserats. För att fastställa första frågeställningen – vem som ansvarar för överföring av personuppgifter till USA – har tillämpningsområdet samt grundläggande begrepp i dataskyddsförordningen först undersökts, för att sedan kunna utreda ansvarsfrågan. Därefter har den andra frågeställningen undersökts – överföring av personuppgifter till USA på grundval av adekvat skyddsnivå eller SCC.

För att svara på den första och andra frågeställningen har relevanta delar i rättsakten studerats.¹⁷ EU-domstolen har slagit fast en metod för att tolka en rättsakt.¹⁸ I enlighet med EU-domstolens metod har ordalydelsen av de relevanta artiklarna undersökts och studerats för att utreda semantiken. En tolkning av ordalydelsen motiveras dessutom av att en bestämmelse inte bör tolkas i strid med sin ordalydelse och ges en vidare tolkning än vad unionslagstiftaren fastslagit.

Som känt ankommer det på unionslagstiftaren och inte på domstolen att ändra rättsläget.¹⁹ I många fall är dock de skrivna bestämmelserna vaga och ger därför inte mycket vägledning,²⁰ varför doktrin har studerats för att underlätta tolkning av ordalydelsen. Två språkversioner av lagtexten har studerats – den svenska och engelska. EU har 24 officiella språk där engelska och svenska är två av dem. Alla språk har samma värde.²¹ Att ha 24 officiella språk bidrar till problem avseende språklig precision samt språklig klarhet i översättningarna, varför fler än ett språk bör studeras.²² Dessutom har EU-domstolen slagit fast att endast en språkversion inte kan ligga till grund för tolkningen av rättsakter,²³ varför språkversionerna nämnda ovan har studerats i detta avseende. I de fall ordalydelsen i språkversionerna skiljer sig åt har fler språkversioner undersökts för att fastställa den tänkta innebörden. På grund av ordalydelsens begränsade vägledning har dessutom fler tolkningsmetoder använts. EU-domstolen har anfört att om två språkversioner skiljer sig åt har samtliga språkversioner samma värde och ska tolkas i enlighet med den allmänna systematiken i och syftet med den lagstiftning som bestämmelsen är en del av.²⁴ Det är därför motiverat att använda fler tolkningsmetoder.

17 Artikel 2, 3, 4 och relevanta delar i kapitel V dataskyddsförordningen.

18 Se mål C-621/18, Wightman, § 47.

19 Se de förenade målen C-310/98 och C-406/98, Hauptzollamt Neubrandenburg, § 32.

20 Hettne och Eriksson, 2011, s. 49.

21 Se mål C-16/16 P, Konungariket Belgien mot kommissionen, § 49.

22 Bernitz och Kjellgren, 2018, s. 203; se också Neergaard och Nielsen, 2012, s. 97.

23 Mål C-16/16 P, Konungariket Belgien mot kommissionen, § 50; Se också mål C-296/95, The Queen mot Commissioners of Customs and Excise, § 36.

24 Mål C-16/16 P, Konungariket Belgien mot kommissionen, § 49.

10 Enligt EU-domstolens metod²⁵ ska också ändamålen med en bestämmelse beaktas,²⁶ därför har en teleologisk tolkning gjorts. EU-domstolen är inte helt konsekvent i val av material för den teleologiska tolkningen,²⁷ men för att förstå det övergripande syftet med specifika artiklar och begrepps betydelse bör ingressen tillsammans med förarbetena analyseras.²⁸ Ett generellt problem med ingressen i metodhänseende är att den ofta är kortfattad och allmänt hållen.²⁹ Ingressen är inte heller juridiskt bindande och kan inte användas för att göra undantag från förordningen, men ses ändå vara en god tolkningshjälp. Till följd därav står ingressen under artikels ordalydelse samt bedömningar i rättspraxis.³⁰

Förarbeten till EU-lagstiftning bedöms sällan som dokument med syfte att vägleda rättstillämpningen och anses vara av begränsad betydelse som rättskälla eftersom slutprodukten sällan överensstämmer med kommissionsförslaget. Förarbetena har ställning som supplementärt tolkningsmedel och kan användas av domstolen när det förekommer tolkningsoklarheter eller tvetydighet, de står därmed under lagtext, ingressen, domar och doktrin i rättskällehierarkin.³¹ Däremot har EU-domstolen angett att förarbetena kan ge relevanta upplysningar om tolkningen av en unionsbestämmelse,³² och har använts som tolkningskälla för att fastställa syftet vilket i sin tur underbyggt tolkning av ordalydelsen.³³ Därför har förarbetena använts vid den teleologiska tolkningen för att underbygga en syftestolkning i fall det uppkommit tolkningssvårigheter. Förarbetena har varit viktiga när praxis inte kan ge tillräcklig vägledning. Vid studerande av förarbeten har kommissionens förslag varit av störst vikt, men stöd har också hämtats i rådets och parlamentets motivering av ändring av kommissionens förslag. Dessa kommer undersökas i syfte att ta reda på om kommissionens förslag ändrades.

Stadgan är också en källa att använda vid den teleologiska tolkningen. Dels används den av EU-domstolen som källa vid syftestolkningar,³⁴ dels är den en del av primärrätten i vilken

25 Se mål C-621/18, Wightman, § 47.

26 Se mål C-621/18, Wightman, § 47.

27 Jfr de förenade målen C-446/12 och C-449/12, Willems, § 37 med mål C-578/08, Chakroun, § 62 och mål C- 83/13, Fonnship A/S, § 33.

28 Se t.ex. mål C-578/08, Chakroun, § 62 och mål C-83/13, Fonnship A/S, § 33.

29 Bernitz och Kjellgren, 2018, s. 199.

30 Se Bernitz och Kjellgren, 2018, s. 198 f.; Klimas och, Vaiciukaite, 2008, s. 92.

31 Bernitz och Kjellgren, 2018, s. 200.

32 Mål C-16/16 P, Konungariket Belgien mot Kommissionen, § 49.

33 Se t.ex. de förenade målen C-446/12 och C-449/12, Willems, § 37.

34 Se t.ex. mål C-578/08, Chakroun, § 62.

11 sekundärrätten ska tolkas.³⁵ Dataskyddsförordningen är så kallad sekundärrätt och står under stadgan i EU-rättens normhierarki.³⁶ Ordalydelsen i artikel 8 i stadgan kommer analyseras och användas för att göra syftestolkningen. Att använda ingressen tillsammans med förarbeten och stadgan tryggar en korrekt syftestolkning, viket motiverar valet av källorna för den teleologiska tolkningen. På grund av EU:s flerspråkiga system har de engelska och de svenska versionerna av både ingressen, förarbetena och stadgan att studerats för att trygga en korrekt tolkning. I de fall språkversionerna skiljer sig åt har fler språkversioner studerats. Dessutom kommer, som nämnts ovan, syftestolkningen trygga en korrekt tolkning av rättsakterna.

I enlighet EU-domstolens metod³⁷ har även en systematisk tolkning gjorts. Metoden har ofta mycket nära samband med den teleologiska tolkningen i EU-domstolens praxis. Den systematiska tolkningen ska göras utifrån sammanhanget och är användbar när det uppstår oförenligheter mellan olika rättsregler. Vikt kan fästas vid en bestämmelses placering i ett större sammanhang eller hur själva bestämmelsen är uppbyggd.³⁸ Därför har hänsyn tagits till vilket avsnitt i förordningen bestämmelsen tillhör, samt om bestämmelsen utgör en huvudregel eller ett undantag. Dessutom har undersökts hur dataskyddsförordningen förhåller sig till de rättsakter som omsluter bestämmelsen, alltså artikel 8 i stadgan.

Praxis från EU-domstolen har stor betydelse för tolkning av unionslagstiftning,³⁹ därför har det getts stort utrymme. Omständigheterna i EU-rättens praxis är av mindre betydelse, vilket har beaktats vid tolkning av domarna. Fokus har legat på att förstå de olika test EU-domstolen ställer upp för att komma fram till sina slutsatser.

För att utreda den första frågeställningen – grundläggande begrepp, tillämpningsområdet samt ansvarsfrågan – har rättspraxis hänförliga till både dataskyddsförordningen och europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) valts. På grund av att dataskyddsförordningen är relativt ny är

35 Bernitz och Kjellgren, 2018, s. 50 och 184 f; Lebeck, 2016, s. 23. Se dock Hettne och Eriksson, 2011, s. 114 som inte ser stadgan som primärrätt utan anser att det är svårt att bedöma dess rättsliga ställning. Detta är en förlegad syn eftersom stadgan i nyare doktrin anges vara en del av primärrätten genom 6.1 FEU.

36 Se artikel 263 fördraget om Europeiska unionens funktionssätt.

37 Se mål C-621/18, Wightman, § 47.

38 Hettne och Eriksson, 2011, s. 167 f.

39 Se Neegaard och Nielsen, 2012, s 122; Jfr Hettne och Eriksson, 2011, s. 49 och Bernitz och Kjellgren, 2018, s.

188.

12 utbudet av vägledande praxis hänförlig till förordningen begränsat. Dataskyddsdirektivet var föregångaren till dataskyddsförordningen och förordningen bygger på mycket av principerna i direktivet.⁴⁰ Vissa legaldefinitioner har identisk eller liknande ordalydelse.⁴¹ Praxis gällande dataskyddsdirektivet är inte en lika säker tolkningskälla som praxis rörande dataskyddsförordningen eftersom den är hänförlig till en annan rättsakt. För att utreda i vilken mån praxis från dataskyddsdirektivet kan användas för att tolka förordningens bestämmelser har en jämförelse gjorts mellan artiklarnas ordalydelse i direktivet och motsvarande artikel i förordningen för att förstå i vilken grad de överensstämmer med varandra. Därefter har kunnat konstaterats hur god vägledning avgörandet ger. Doktrin avseende förordningen, generaladvokatens förslag på avgörande och vägledande dokument från European Data Protection Board (EDPB) har också studerats för att undersöka huruvida praxis från dataskyddsdirektivet kan anses vara en tillförlitlig källa för att tolka dagens rättsläge.

För att utreda den andra frågeställningen, företags rättsliga möjlighet att föra över personuppgifter med ursprung inom EU till USA, har främst två rättsfall varit viktig vägledning – Schrems I och Schrems II. Syftet i sig motiverar valet av Schrems II, och Schrems I har valts för att det har gett en bakgrund till de frågor som berörs i Schrems II. Schrems II har analyserats för att undersöka företags rättsliga möjlighet att föra över personuppgifter med ursprung inom EU till USA.

De största språken, som engelska tyska och franska, är de viktigaste språken vid tolkning av domar. Dessutom är franska domstolens arbetsspråk.⁴² De språkversioner som har studerats har bestämts av rättegångsspråket i domarna, men eftersom franska är domstolens arbetsspråk har det funnits anledning att jämföra domarna med den franska språkversionen. Rättegångsspråket i Schrems I och II är engelska,⁴³ varför de engelska språkversionerna har studerats i det fallet.

Generaladvokatens förslag till avgörande, litteratur samt vägledande dokument från EDPB samt dess föregångare Artikel 29-gruppen har använts som stöd för att tolka praxis. Yttranden från Artikel 29-gruppen är formellt sett inte bindande. I doktrin anses yttrandet utgöra bäst tolkningsstöd i vissa frågor i avsaknad av tillräcklig vägledning från praxis, på grund av

40 Öman, 2019, s. 19; Skäl 9 dataskyddsförordningen.

41 Jfr. artikel 2 i dataskyddsdirektivet med artikel 4 i dataskyddsförordningen.

42 Neergaard och Nielsen, 2012, s. 99.

43 Se mål C-311/18, Schrems II.

13 organets ställning och oberoende roll.⁴⁴ EDPB skapades genom dataskyddsförordningen och är en internationell myndighet som enligt artikel 70 i dataskyddsförordningen ska utfärda riktlinjer och andra vägledande dokument till dataskyddsförordningen.⁴⁵ EDPB:s vägledning i de olika frågorna är inte bindande och står därmed under rättsaktens ordalydelse samt praxis. Domstolen hänvisar sällan till myndighetens vägledning, men däremot anser generaladvokaterna att dokumenten är en viktig vägledning.⁴⁶ Därmed bör riktlinjerna anses vara en god vägledande källa för att tolka praxis och utveckling av rättsläget. Viss vägledning som utfärdats av EDPB är ännu ej definitiv, utan planeras att revideras. I det fallet vägledningen ännu inte är definitiv har EDPB:s riktlinjer studerats för att förstå de tekniska aspekterna med dataskydd. Hänsyn har i utredningen tagits till att riktlinjerna kan ändras.

I doktrin förespråkas att generaladvokatens yttrande studeras för att förstå bakgrunden till en dom samt inhämta fler synpunkter gällande tolkning och tillämpning av EU-rätten.⁴⁷ Av den anledningen kommer generaladvokatens yttrande studeras i syfte att inhämta sådan kunskap i de mål där det är nödvändigt. Generaladvokatens förslag till avgörande är en vägledande rättskälla men saknar, till skillnad från EU-domstolens domar, ställning som ett rättsligt bindande instrument.⁴⁸ Den språkversion som kommer studeras kommer även här avgöras av domstolsspråket. Versionen kommer sedan jämföras mot engelska i första hand, annars tyska eller franska. Doktrin har en lägre ställning som tolkningskälla än generaladvokatens förslag till avgörande angående tolkning av en dom, eftersom domstolen är mer benägen att hänvisa till generaladvokatens förslag till avgöranden än doktrin. Generaladvokaten kan därmed genom sitt förslag påverka hur domstolen dömer i frågan. Den doktrin som valts är främst engelskspråkig på grund av att språkets ställning, men det har också legat nära tillhands att studera svensk litteratur. Genom det ovan anförda har därmed ett svar på frågeställning två kunnat fastställas.

För att svara på den tredje och sista frågeställningen har först EU:s intentioner om hur intressena ska balanseras undersökts. För att fastställa EU:s intentioner om hur intressena ska balanseras

44 Kahn, Gustafsson, 2017, s. 277.

45 Se vidare skäl 139 dataskyddsförordningen.

46 Se t.ex. generaladvokatens förslag till avgörande i mål C-131/12, Google Spain, § 31; Generaladvokatens förslag till avgörande i mål 40/17, Fashion ID, § 99 f.; Generaladvokatens förslag till avgörande i mål C-210/16, Wirtschaftsakademie, § 46.

47 Hettne och Eriksson, 2011, s. 117 ff.

48 Bernitz och Kjellgren, 2018, s. 195; Se också Hettne och Eriksson, 2011, s. 117. Såklart får en del av förslaget samma ställning som en dom när EU-domstolen hänvisar till den delen i yttrandet.

14 har utgångspunkt tagits i dataskyddsförordningen där artikel 1 studerats på samma vis som beskrivits ovan – genom semantisk-, teleologisk- och systematisk tolkning enligt EU- domstolens tolkningsmetod av rättsakter⁴⁹.⁵⁰ Historisk tolkning ses som en god tolkningsmetod av EU-domstolen.⁵¹ Den historiska tolkningen har också använts för att förstå bakgrunden till reglerna och säkerställa en korrekt tolkning av EU:s intentioner.

För att utreda artikelns ordalydelse har artikel 1 studerats och analyserats. För att göra den teleologiska tolkningen har syftet bakom reglerna utretts. I det avseendet har förarbeten och ingressen samt ordalydelsen i artikel 8 i stadgans använts som källor. Ingressen är, som redan nämnts, inte sällan kortfattad och allmänt hållen.⁵² Den teleologiska tolkningen har därmed inte gett tillräcklig ledning för att förstå hur reglerna ska balanseras mot varandra. Den systematiska tolkningen har redan presenterats ovan och är inte annorlunda för utredningen av den tredje frågeställningen.

För att göra den historiska tolkningen har doktrin varit en viktig källa. Doktrin av Bygrave och Lynskey har studerats för att få en förståelse till katalysatorn av regler om dataskydd. Hur dataskyddet utvecklats inom EU har därefter undersökts genom litteraturen.

I den historiska utredningen har det också varit viktigt att utreda varför personuppgifter och det fria flödet av personuppgifter är skyddsvärda, för att förstå balansen mellan dessa. Idén om individens kontroll över sina personuppgifter utvecklades visserligen i USA innan den kom till Europa, men skyddet i USA och EU bygger på olika grunder. Den tyska idén om individens informationssjälvbestämmande anses vara en starkare rätt till kontroll över personuppgifter.⁵³ Den tyska synen på dataskydd influerade, och är fortfarande en stor del av, dataskyddsreglerna inom Europa,⁵⁴ och genom att undersöka den kommer utredningen ge svar på varför integriteten är viktig att skydda, ur ett europeiskt perspektiv. Det första rättsfallet som gjorde dataskyddet

49 Se mål C-621/18, Wightman, § 47.

50 För att utreda det skydd individen åtnjuter kan utgångspunkten för utredningen antingen vara stadgan eller rättigheterna enligt dataskyddsförordningen. Eftersom utredningen syftar till att undersöka

dataskyddsförordningens bestämmelser är det därför motiverat att ta utgångspunkt i dessa regler och tolka dem i ljuset av stadgan.

51 Jfr. mål C-621/18, Wightman, § 47.

52 Bernitz och Kjellgren, 2018, s. 199.

53 Se Lynskey, 2015, s. 178; Se Ausloos, 2020, s. 61 f.

54 Ausloos, 2020, s. 41; Se också skäl 7 i dataskyddsförordningen som understryker individens rätt till kontroll över sin data.

15 till en del av den tyska konstitutionen har undersökts för att förstå varför intressena är viktiga.

Doktrin har använts för att tolka rättsfallet.

Fokus i den historiska tolkningen har alltså också varit att förstå varför reglerna i dataskyddsförordningen är viktiga. För att få djupare förståelse för varför skyddet av personuppgifter är viktigt har doktrin studerats och analyserats. Doktrin skriven utifrån andra perspektiv än ett konstitutionellt har varit svårfunnet, frågan tycks endast tas upp utifrån ett konstitutionellt perspektiv. Trots det konstitutionella perspektivet har litteraturen gett svar på varför reglerna är viktiga. Doktrin av Ausloos har varit viktig för att förstå varför skydd av personuppgifter finns och det ursprungliga tankarna bakom varför integritet och skydd av personuppgifter är viktigt. Doktrin av Lynskey har varit viktig för att förstå individens samhällsenliga nytta av dataskydd. Hennes bok har valts eftersom den beskriver individens nytta ur ett dataskyddsperspektiv med hjälp av ekonomiska och sociala teorier. För att svara på varför det fria flödet av personuppgifter är viktigt har det inte funnits lika stort utbud av doktrin.

Här har återigen Lynskey kunnat ge vägledning. Dessutom har det funnits anledning att undersöka forskning för en djupare förståelse för den inre marknadens effekter för individen.

Därtill har kort nämnts hur det fria flödet av personuppgifter möjliggörs och hur personuppgifter skyddas. Hur det fria flödet möjliggörs har analyserats utifrån reglerna om hur personuppgifter skyddas i dataskyddsförordningen. För att utreda hur personuppgifter skyddas har lagtext, doktrin och vägledande dokument från EDPB och Artikel 29-gruppen studerats.

Genom dessa tolkningsmetoder har kunnat fastställas EU:s intentioner om hur fritt flöde av personuppgifter ska balanseras mot skydd av personuppgifter.

Fastställandet av EU:s intentioner om hur det tudelade målet ska balanseras har därefter utgjort jämförelseobjektet i den avslutande analysen för att svara på frågeställning tre. Svaret på frågeställning två – det rättsliga utrymme som finns för företag att föra över personuppgifter till USA efter Schrems II – har därvid jämförts med EU:s intentioner om hur intressena ska balanseras, för att analysera om Schrems II ligger i linje med EU:s intentioner. Dessutom har vikten av dataexport analyserats för att undersöka om det kan förklara det fortsatta flödet av personuppgifter till USA samt hur dataskyddsarbetet för europeiska företag kan förstås efter Schrems II. För att undersöka vikten av dataexport har forskningsrapporter studerats och analyserats. De forskningsrapporter som valts är skrivna av europeiska forskare eller myndigheter. Vägledande dokument från EDPB har också valts för att hämta information om varför dataexport är viktigt.

16

2 Det tudelade målet

Genom dataskyddsdirektivet blev dataskyddsregler för första gången harmoniserade genom lag inom EU. Dataskyddsdirektivet hade ett tudelat mål där ena intresset var rättighetsbaserat och det andra ekonomiskt.⁵⁵ Å ena sidan skulle individerna skyddas från ingrepp i deras grundläggande fri- och rättigheter, speciellt rätten till privatliv, i samband med behandling av personuppgifter. Å andra sidan skulle det fria flödet av personuppgifter inom unionen skyddas, enligt artikel 1 i dataskyddsdirektivet. I dataskyddsförordningen finns samma tudelade mål, enligt artikel 1. Det fria flödet av personuppgifter utanför Europa är inte en del av huvudmålen, men med anledning av Schrems II tycks det internationella samarbetet försvåras. I följande kapitel kommer reglernas ursprung samt anledningen till att dessa intressen är skyddsvärda att redogöras för. Dessutom kommer förordningens principer för behandling av personuppgifter att redogöras för kort, för att ge läsaren en förståelse för hur personuppgifter skyddas. Till sist kommer EU:s tanke om hur målen ska balanseras redogöras för.

Dataskydd existerade i vissa medlemsländer på nationell nivå innan reglerna harmoniserades genom dataskyddsdirektivet.⁵⁶ När direktivet skapades skedde det i en kontext av en inre marknad.⁵⁷ Dataskyddsdirektivet har således sin grund i den inre marknaden som ska främja fritt flöde av varor, tjänster, personer och kapital,⁵⁸ varför det fria flödet av personuppgifter kommer utredas först.

2.1 Fritt flöde av personuppgifter

Idén om det fria flödet av personuppgifter uppkom i och med digitaliseringen av samhället.

Gränsöverskridande aktiviteter gjorde det oundvikligt att personuppgifter överfördes mellan medlemsländer. De olika medlemsländernas dataskyddsregler, eller avsaknad av regler, hindrade EU-medborgare från att utöva sina stadgerättigheter i den nya digitala eran. Det var bland annat svårt för företag att låta anställda arbeta över gränserna, när överföring av anställdas personuppgifter mellan medlemsländer inte var en självklar möjlighet. För att unionsmedborgarna skulle ha en fortsatt möjlighet att utöva sina rättigheter krävdes en

55 Se Proposal for a Council Directive concerning the protection of individuals in relation to the processing of personal data; Lynskey, 2015, s. 49.

56 Ausloos, 2020, s. 40 f.

57 Se Proposal for a Council Directive concerning the protection of individuals in relation to the processing of personal data; Lynskey, 2015, s. 49.

58 Jfr. Proposal for a Council Directive concerning the protection of individuals in relation to the processing of personal data. Se Lynskey, 2015, s. 49.

17 harmonisering av dataskyddsreglerna. Dataskyddsdirektivet syftade till att eliminera regulatoriska olikheter bland medlemsländernas dataskydd, vilket ansågs viktigt för att främja den inre marknaden. Harmoniseringen möjliggjorde därmed gränsöverskridande dataöverföring. Den inre marknaden skulle främjas dels genom en fungerande handel med personuppgifter, dels genom att resterande delar av den inre marknaden främjades. Exempelvis är fritt flöde av personuppgifter inom EU en förutsättning för det fria flödet av personer som vill jobba eller studera. ⁵⁹ Ytterligare harmoniseringsåtgärder tilltogs genom dataskyddsförordningen, vilken skulle förinta de sista kvarlevande olikheterna i medlemsstaternas dataskyddslagstiftning, för att ytterligare främja den inre marknaden. Idag möjliggörs det fria flödet av personuppgifter av EU:s harmonisering av dataskyddsregler. Det är alltså klart att det fria flödet av personuppgifter är begränsat till inom EU:s gränser, på samma sätt som det fria flödet av de fyra rättigheterna⁶⁰.

Personuppgifter med ursprung inom EU som ska föras över till tredje land är inte en grundförutsättning för EU:s funktion, men är däremot en förutsättning för det internationella samarbetet samt utveckling av den nationella handeln.⁶¹ Det internationella samarbetet är i sin tur viktigt för att upprätthålla internationella relationer och är därmed i allra högsta grad en politisk fråga. Det internationella samarbetet har blivit allt mer viktigt i och med globalisering av marknader. Globalisering av marknader leder till ökad konkurrens vilket bidrar till minskad risk för en snedvridning. I ett senare led bidrar en ökad konkurrens till ekonomiska vinster för företag och konsumenter.⁶² Den exportbegränsning som råder motiveras av att individens rättigheter inte ska undergrävas. Begränsningen syftar till att ge individen möjlighet att skydda sig mot otillåten användning och till att ge individen möjlighet att få sina rättigheter prövade.⁶³

2.2 Dataskyddet

Det ligger nära tillhands att tänka att dataskydd är viktigt för att skydda individens autonomi.

Utöver individens autonoma fördelar leder en begränsning av den inre marknaden i allmänhet dessutom till ekonomiska och sociala fördelar. Nedan kommer inledningsvis dataskyddets

59 Se Lynskey, 2015, s. 49 f. och s. 77; Se dock Bygrave, 2002, s. 93 ff. som är av uppfattningen att förutom digitaliseringen motiverades reglerna av rädslor för digitaliseringen samt juridiska faktorer.

60 Varor, tjänster, personer och kapital.

61 Jfr. skäl 101 i dataskyddsförordningen.

62 Erixon, [https://ecipe.org/wp-content/uploads/2018/01/Globalization-paper-SWE.pdf], 2020-12-30.

63 Se skäl 116 i dataskyddsförordningen.

18 bidragande till individens autonoma fördelar att redogöras för, följt av dennes ekonomiska- och sociala fördelar.

Idén om dataskydd har funnits länge,⁶⁴ men det konstitutionella skyddet för självbestämmande över data kan spåras tillbaka till 1980-talets Tyskland då den blev en del av den tyska konstitutionen, genom Folkräkningsmålet.⁶⁵ Självbestämmandet är viktigt för att individen ska kunna kontrollera sina personuppgifter. Individen ska kunna bestämma om personuppgifterna ska utlämnas eller inte, samt i vilket syfte utlämnandet sker. Eller mer dramatiskt – förbli härskare över sina digitala spår. ⁶⁶ Den underliggande principen inom informationssjälvbestämmande är alltså individens rätt till kontroll över sin egna data. Denne rätt har ansetts kritisk för att kunna säkerställa viktiga värden hos individen, däribland dess autonomi, frihet samt värdighet. Dessutom har det ansetts viktig för att upprätthålla demokratin.⁶⁷

Rätten till informationssjälvbestämmande har beskrivits som en dimension av individens fria utveckling och autonomi. En förutsättning därvid är att individen behöver ha förmåga att självständigt kunna fatta fria beslut, i detta fall gällande personuppgifter.⁶⁸ Idén om självbestämmande ska dessutom skydda individen från att information om denne sprids från ett sammanhang till ett annat, utan dennes vetskap och vilja. Exempelvis ska information om en individs hälsotillstånd i huvudregel stanna hos läkaren och information om individens arbetsliv ska stanna hos arbetsgivaren. Om individen inte med säkerhet kan säga att dess beteende inte lagras, analyseras och överförs till andra aktörer kan individen underlåta att handla på så vissa sätt. Individen kan dessutom avstå från att använda sina grundläggande mänskliga rättigheter, av rädsla för att informationen om dennes agerande lagras permanent och i framtiden används för att skada individen. Med andra ord är informationssjälvbestämmande viktigt för personens deltagande i samhället.⁶⁹

Ur ett ekonomiskt perspektiv ska individen också skyddas mot en asymmetrisk maktbalans mellan sig och staten eller det publika. Det leder i sin tur till minskad risk för diskriminering

64 Ausloos, 2020, s. 38.

65BVerfGE 65, 1 (”Volkszählungsurteil”).

66 Ausloos, 2020, s. 62 ff.; Hornung och Schnabel, 2009, s. 84 ff.; Lynskey, 2015, s. 178.

67 Clifford och Ausloos, 2018, s. 130 ff; Ausloos, 2020, s. 61; Bygrave 2002, s. 130 ff.

68 González Fuster, 2014, s. 177 ff.

69 Se Hornung och Schnabel, 2009, s. 84 ff.; González Fuster, 2014, s. 177 ff.

19 samt skyddar individen från att känna sig hjälplös och från att fatta felaktiga beslut. Detta upprätthålls bland annat genom kravet på individens rätt till radering av eller tillgång till dennes personuppgifter.⁷⁰

De sociala fördelarna för individen som dataskyddet tillförsäkrar är individens rätt till information. En reglering av andrahandsmarknaden leder till att individen inte riskerar förluster i form av diskriminering⁷¹, identitetsstöld och i vissa undantagsfall fysisk smärta genom brott mot person⁷². Genom att reglera marknaden försvåras missbruk av data och tillförsäkrar att personuppgiftsansvariga och personuppgiftsbiträden lagrar personuppgifter utan att obehöriga ska kunna komma åt dem. Dessutom åtnjuter individen ett säkert samhälle genom att dataskyddet verkar för att tillförsäkra nationell säkerhet.⁷³ Dataskyddsförordningen ser till att individen åtnjuter dessa fördelar genom kontroll av personuppgifterna.

2.3 Hur individens kontroll över personuppgifter kommer till uttryck

Dataskyddsförordnigen har i doktrin förklarats vara ett knippe av regler eller en mängd mikrorättigheter som tillsammans ger individen kontroll över och skydd av sina personuppgifter⁷⁴.⁷⁵ Artikel 5 ger uttryck för dessa principer, vilka är:

a) laglighet, korrekthet och öppenhet b) ändamålsbegränsning

c) uppgiftsminimering d) korrekthet

e) lagringsminimering

f) integritet och konfidentialitet

Ovan principer ska enligt artikelns ordalydelse genomsyra förfarandet vid behandling av personuppgifter. Enligt artikel 5.2 är det den personuppgiftsansvarige⁷⁶ som är ansvarig för att kunna visa att principerna följs.

70 Se Lynskey, 2015, s. 77.

71 Att ge olika konsumenter olika priser möjliggörs av tillgång till personuppgifter och kallas prisdiskriminering, Lynskey, 2015, s. 209.

72 Vissa brott mot person förenklas genom tillgång till information om individen.

73 Se Lynskey, 2015, s. 78 f. och 209.

74 Personuppgifter är i korthet ett brett begrepp och omfattar varje upplysning av en identifierbar individ.

Begreppet kommer utvecklas i kapitel 3.1.

75 Se Lynskey, 2015, s. 75 och 81; Ausloos, 2020, s. 69 f.

76 Personuppgiftsansvarige är den som bestämmer ändamål och medel med en behandling. Se vidare kapitel 3.5.

20 Avsnittet syftar till att ge läsaren en förståelse för hur individens kontroll av personuppgifter kommer till uttryck i förordningen.⁷⁷ För att beskriva en individ registrerade hos en aktör används ofta ordet registrerad, terminologin kommer tillämpas vidare i uppsatsen.

2.3.1 Laglighet, korrekthet och öppenhet

I artikel 6 finns två grunder för laglig behandling – antingen kan företag stödja sig på den registrerades samtycke eller på grundval av att behandlingen är nödvändig på grund av vissa i artikeln uppräknade ändamål. För de verksamheter som är aktuella i uppsatsen är samtycke viktigare och kommer kort redogöras för nedan, följt av öppenhetsprincipen.

Varje behandling ska alltså vara laglig och korrekt, vilket uppfylls då reglerna i förordningen (och resterande tillämpliga regler i varje enskilt fall) följs.⁷⁸ Enligt artikel 6.1 a är en behandling av personuppgifter laglig om den registrerade har lämnat samtycke. Samtycket ska enligt artikeln lämnas för ett eller flera specifika ändamål med behandlingen. I artikel 4.11 finns legaldefinitionen av den registrerades samtycke. Genom artikelns ordalydelse går att utläsa fem krav som ska vara uppfyllda för att samtycket eller viljeyttringen ska vara lagligt.

För att de första fyra rekvisiten ska vara uppfyllda krävs en viljeyttring som är frivillig, specifik, informerad och otvetydig. Dessa rekvisit överlappar varandra i viss mån. För det första krävs enligt förordningen att individen ges möjlighet att välja vad denne samtycker till. Det krävs att individen har ett reellt val samt kontroll över sitt samtycke, där denne inte känner tvång.⁷⁹ För det andra krävs att individen ska samtycka till den behandling som företaget kommer göra, varken mer eller (definitivt inte) mindre.⁸⁰ För det tredje ska individen inse vad den godkänner.

Individen ska ges tillräcklig information för att förstå hur personuppgifterna kommer behandlas.⁸¹ För det fjärde krävs att individen utför en aktiv handling för att det ska bli självklart för individen att denne faktiskt lämnar sitt samtycke.⁸² Det sista och femte rekvisitet innebär att samtycket ska vara ett uttalande eller en entydig bekräftande handling, vilken godtar behandlingen av personuppgifterna som rör individen i fråga. Det är den

77 Som beskrivet i metodavsnittet är intresset i utredningen att utgå från rättigheterna enligt dataskyddsreglerna och tolka dessa i ljuset av stadgan.

78 Se skäl 39 i dataskyddsförordningen; Öman, 2019, s. 111. För förståelse för vilken aktör som ska följa reglerna, se kapitel 3.

79 EDPB, Guidelines 05/2020, s. 7 f.

80 EDPB, Guidelines 05/2020, s. 13 f.

81 EDPB, Guidelines 05/2020, s. 15 f.

82 EDPB, Guidelines 05/2020, s. 18 f.

21 personuppgiftsansvarige som ansvarar för att kunna visa att kraven är uppfyllda, enligt artikel 7.

Öppenhetsprincipen finns uttryckt i förordningens ingress. Här anges:

Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används.

Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på̊ och meddelande om vilka personuppgifter rörande dem som behandlas.⁸³

Öppenhetsprincipen är således också en princip som ger individen möjlighet att kontrollera sina personuppgifter, som dessutom överlappar principen om laglighet och korrekthet.⁸⁴ Ett klart och tydligt språk är viktigt för att individen ska förstå hur personuppgifterna behandlas och vem som ansvarar för behandlingen, enligt artikel 12. Enligt samma artikel är det viktigt att ge individen tydliga villkor för utövande av sina rättigheter. Dessutom krävs av den som behandlar personuppgifterna att denne tillhandahåller individen information om behandlingen, enligt artikel 13 och 14. I praktiken tillhandahålls ofta informationen digitalt på företagets hemsida.⁸⁵ Individen har också rätt att begära ut de personuppgifter som hänför sig till denne, enligt artikel 20.

2.3.2 Ändamålsbegränsning

Ändamålsminimering innebär att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål. Artikeln har ett nära samband med artikel 6, laglig behandling.⁸⁶ Personuppgifterna ska vara begränsade till att behandlas i enlighet med det tänkta syftet eller ändamålet.⁸⁷ I praktiken innebär det att i de fall samtycke endast inhämtats för att behandla personuppgifter i syfte att förbättra och optimera en webbsida, får personuppgifterna inte säljas vidare till tredje part.

83 Skäl 39 i dataskyddsförordningen, min kursivering.

84 Jfr. skäl 39 i dataskyddsförordningen med artikel 6.1 och artikel 4.11 i dataskyddsförordningen.

85 Se Voigt och von dem Bussche, 2017, s. 88; Se Artikel 29-gruppens riktlinjer, WP260 för vidare läsning om öppenhetsprincipen.

86 Jfr. artikel 5.1 b med artikel 6 i dataskyddsförordningen.

87 Voigt och von dem Bussche, 2017, s. 88 f.

22 2.3.3 Uppgiftsminimering

Personuppgifter ska enligt principen om uppgiftsminimering vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Behandlingen av personuppgifter ska minimeras till att vara proportionerlig i förhållande till syftet.⁸⁸

2.3.4 Lagringsminimering

Medan uppgiftsminimering handlar om mängden uppgifter handlar lagringsminimering om längden på tidsperioden för behandlingen av uppgifterna. Personuppgifterna ska raderas när de inte längre är nödvändigt att behandla dem i förhållande till syftet.⁸⁹ Individen har själv rätt till att begära att bli bortglömd, enligt artikel 17. Dessutom har individen rätt till att begära att behandlingen begränsas, enligt artikel 18.

2.3.5 Korrekthet

Personuppgifterna ska vara korrekta och uppdateras om nödvändigt, enligt principen om korrekthet. Personuppgifter som inte är korrekta ska raderas eller rättas. Principen innebär att personuppgifterna om t.ex. en persons karaktär ska överensstämma med verkligheten för att undvika felaktiga tolkningar av verkligheten.⁹⁰ Enligt artikel 16 har individen rätt till rättelse av personuppgifter.

2.3.6 Integritet och konfidentialitet

Enligt principen om att tillförsäkra integritet och konfidentialitet ska personuppgifterna skyddas genom organisatoriska och tekniska åtgärder mot obehörig behandling. I artikel 32 exemplifieras tekniska och organisatoriska åtgärder genom att vidta åtgärder som pseudonymisering och kryptering av personuppgifter. Syftet med införandet av krav på pseudonymisering och kryptering i vissa fall var att minska risker för obehörigt intrång vid behandling av deras personuppgifter.⁹¹ Pseudonymisering innebär:

[B]ehandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska

88 Voigt och von dem Bussche, 2017, s. 91.

89 Voigt och von dem Bussche, 2017, s. 92.

90 Voigt och von dem Bussche, 2017, s. 91.

91 Skäl 28 och 83 i dataskyddsförordningen.

23

åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.⁹²

Pseudonymisering är alltså en teknisk åtgärd som ska skydda individen från olaga intrång och åtkomst till uppgifter hänförliga till denne. En annan sådan åtgärd är kryptering.⁹³ Kryptering av information kan i korthet förklaras genom att personuppgifterna görs svårläsliga genom att bokstäver och siffror kastas om. Endast den med krypteringsnyckeln kan låsa upp kodsystemet och göra uppgifterna läslig igen. Kryptering av en fil kan förklaras genom att filen låses in i ett digitalt kassaskåp och kan endast öppnas av den med tillgång till krypteringsnyckeln.⁹⁴

2.3.7 Tillsyn och sanktionsavgifter

Förutom principerna i artikel 5 är tillsynsarbete av nationella myndigheter en viktig del av dataskyddsförordningens regler, vilket också tillförsäkrar individen kontroll över sina personuppgifter. Tillsyn och sanktionsavgifter ska upprätthålla individens skydd av personuppgifter, enligt artikel 51.⁹⁵ Tillsynsmyndigheternas syfte är att övervaka tillämpningen av bestämmelserna i förordningen och bidra till att tillämpningen blir enhetlig, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden.⁹⁶

Tillsynsmyndigheterna ska kunna utfärda effektiva, proportionerliga och avskräckande sanktionsavgifter till de som inte följer förordningens regler, enligt artikel 58 och 83. Därmed blir sanktionsavgifter större ju allvarligare överträdelsen är. Ledning kan hämtas i principerna i artikel 5 för att undersöka överträdelsens allvar.

Sanktionsavgifterna storlek är minst sagt avskräckande. Sanktionsavgiften kan som högst bli 20 miljoner euro, eller 4 % av föregående budgetårs omsättning, enligt artikel 83. Exempelvis har EDPB rapporterat att den tyska tillsynsmyndigheten har sanktionerat H&M 35,3 miljoner euro efter överträdelser av förordning.⁹⁷

92 Artikel 4.5 i dataskyddsförordningen.

93 Se också kapitel 2.3.6 för principen om integritet och konfidentialitet.

94 Edström och Fridh Kleberg, 2015, s. 37 f.

95 Se också skäl 7 och 117 i dataskyddsförordningen.

96 Skäl 123 i dataskyddsförordningen.

97 EDPB, [https://edpb.europa.eu/news/national-news/2020/hamburg-commissioner-fines-hm-353-million-euro- data-protection-violations_en], 2020-12-30.

24 2.4 Balansen av dataskyddsförordningens mål

Att både skydda personuppgifter och låta dessa flöda fritt kan låta paradoxalt, och i doktrin framhålls att förhållandet mellan målen alltid varit komplicerat. ⁹⁸ I artikel 1.3 i dataskyddsförordningen finns uttryckt hur balansen mellan förordningens mål ska förstås.

Enligt artikelns ordalydelse får det fria flödet av personuppgifter inte begränsas av skäl som rör personuppgiftsskydd. Därmed är det klart att det fria flödet av personuppgifter inom EU har en stark ställning. Det är dock fel att säga att det fria flödet går före skydd av personuppgifter. I artikel 8 i stadgan skyddas personuppgifter genom en separat grund, och gör skyddet till en grundläggande rättighet. Skyddet av personuppgifter har därmed också en stark ställning. De båda målens starka ställning kan förklaras genom att målen är tänkta att uppfyllas samtidigt.

Dataskyddsförordningen syftar således till att skydda individers personuppgifter samtidigt som företag som agerar i enlighet med förordningen har en möjlighet att handla med och låta personuppgifter flöda fritt inom och utanför unionens gränser.⁹⁹ EU kontrollerar därmed dataflöden och respekterar att personuppgifter behandlas av företag som omfattas av förordningens tillämpningsområde, så länge behandlingen är förenlig med förordningen.¹⁰⁰ Eftersom varje medlemsland ska tillförsäkra samma skydd av personuppgifter är det möjligt för personuppgifter att flöda fritt inom unionen utan att individens skydd av personuppgifter undergrävs. Efter införandet av rätten till skydd av personuppgifter i stadgan blev skyddet av personuppgifter inom EU starkare, eftersom förordningen ska tolkas i ljuset av stadgan.

Personuppgifter kan därmed flöda fritt inom EU utan att skyddet för personuppgifter skadas, ¹⁰¹ vilket är en fin tanke i teorin men svårare att uppfylla i praktiken.

När det gäller överföring av personuppgifter till tredje land är uppfattningen att det är viktigare att den skyddsnivå för fysiska personer som säkerställs genom dataskyddsförordningen inte undergrävs, än att personuppgifter flödar till tredje land. Det unionsexterna flödet av personuppgifter har därmed begränsats av skäl som rör skydd av personuppgifter. Det finns med andra ord en exportbegränsning på personuppgifter. Det fria flödet av personuppgifter utanför EU begränsas till situationer där tredje landet tillförsäkrar ett tillräckligt skydd av

98 Se Lynskey, 2015, s. 75.

99 Se skäl 6 i dataskyddsförordningen.

100 Lynskey, 2015, s. 81.

101 Se förslag till europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), kapitel 1 och 3.

25 personuppgifter.¹⁰² Därmed är det klart att personuppgiftsskyddet går före det internationella samarbetet och den internationella handeln.

Sammanfattningsvis kan konstateras att EU:s intentioner med förordningen är att personuppgifter ska tillförsäkras ett starkt skydd, oavsett om de stannar i EU eller överförs till tredje land. Eftersom varje medlemsland omfattas av förordningen finns samma minsta nivå av skydd inom EU vilket gör att personuppgifter kan flöda fritt inom EU utan att skyddet undergrävs. Däremot finns inget mål om ett fritt flöde till länder utanför EU. För att en tredjelandsöverföring ska vara möjlig krävs en bedömning där skyddet av personuppgifter i tredje landet måste undersökas. EU saknar kontroll över dessa länders nivå av personuppgiftsskydd och personuppgifterna får endast föras över till tredje land om de skyddas tillräckligt. Vikten av det internationella samarbetet är något som motiverar att möjligheten att föra över personuppgifter till tredjeländer finns, men ska inte tas med i bedömningen av om personuppgifterna får föras över till tredje landet.¹⁰³

102 Se artikel 44 dataskyddsförordningen; Se skäl 116 i dataskyddsförordningen; Se vidare kapitel 4.

103 Visserligen verkar kommissionen ha en vilja av att möjliggöra överföring till USA trots att lagarna i landet inte tillförsäkrar ett tillräckligt skydd av personuppgifter, vilket skulle kunna förklaras genom att kommissionen tar större hänsyn till det internationella samarbetet än vad EU avsett. Se vidare kapitel 4.

26

3 Tillämpningsområde och ansvarsfrågan

I det följande kommer begreppen personuppgifter och behandling att redogöras för, i syfte att göra utredningen av tillämpningsområdet mer begriplig. Därefter kommer förordningens tillämpningsområde beskrivas. Till sist kommer begreppen personuppgiftsansvariga och personuppgiftsbiträde att utredas, i syfte att klargöra ansvaret för den överföring av personuppgifter som sker till tredje land idag.

3.1 Personuppgifter

Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person, enligt artikel 4.1 i Dataskyddsförordningen. Den fysiska personen kallas i sammanhanget för registrerad. Rekvisiten i artikeln kommer behandlas nedan. EU-domstolen har tolkat Dataskyddsdirektivets motsvarande bestämmelse, vilket kan användas för tolkningen av begreppet i förordningen.¹⁰⁴

3.1.1 Varje upplysning

Vilka typer av upplysningar som omfattas av artikeln ska tolkas brett och kan vara av olika slag.¹⁰⁵ En tumregel är att alla upplysningar om en person är en personuppgift.¹⁰⁶Såväl objektiva som subjektiva upplysningar som lämnas i form av åsikter om eller bedömningar av den registrerade är personuppgifter.¹⁰⁷ Ett företagsnamn är dock inte en sådan upplysning som avses, trots att endast en person äger företaget. Kontaktuppgifter till fysiska personer hos en juridisk person är däremot personuppgifter, eftersom dessa hänför sig till de fysiska personerna.

Förordningen syftar inte till att skydda avlidna personer, men en uppgift om att en person avlidit av en ärftlig sjukdom kan vara en personuppgift för hans eller hennes nu levande släkting.¹⁰⁸

3.1.2 Identifierad eller identifierbar person

Upplysningen ska dessutom avse en identifierad eller identifierbar person. Hur en person blir identifierad framgår inte av ordalydelsen. Det räcker dock att en person är identifierbar för att

104 Jfr. artikel 3.1 i dataskyddsdirektivet med artikel i 4.1 dataskyddsförordningen; Se generaladvokatens förslag till avgörande i mål C-434/16, Nowak, § 3.

105Mål C-553/07, Rijkeboer, § 59; Mål C-434/16, Nowak, § 34.

106 Clifford och Ausloos, 2018, s. 130 f.

107 Mål C-434/16, Nowak, § 34.

108 Voigt och von dem Bussche, 2017, s. 11; IT Gocernance Privacy Team, 2017, s. 21. Se också skäl 27 och 35 i dataskyddsförordningen.

27 bestämmelsen ska bli tillämplig. Syftet är att begreppet identifierbar ska tolkas vidsträckt.¹⁰⁹ Begreppet har således en vid betydelse, vilket överensstämmer med det bakomliggande syftet med förordningen – att stärka skyddet av personuppgifter.¹¹⁰ En identifierbar person är någon som direkt eller indirekt kan identifieras. Rekvisitet direkt eller indirekt identifierbar inbegriper att man genom en registrerad uppgift ensamt eller tillsammans med andra tillgängliga uppgifter kan identifiera personen.¹¹¹ Särskilt ska beaktas om personen kan identifieras genom en identifierare som

• ett namn,

• ett identifikationsnummer,

• en lokaliseringsuppgift eller onlineidentifikatorer ¹¹²eller

• en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. ¹¹³

Som nämnts inledningsvis flödar en mängd uppgifter om användare på nätet. Genom att sätta ihop olika data kopplad till en person, t.ex. dennes rörelsemönster, blir individen identifierbar.¹¹⁴ Namn på användare av t.ex. en sökmotor finns nästan uteslutande tillgängligt för mjukvaruföretagen, genom vilket denne kan identifiera användaren med.¹¹⁵ Det krävs dock inte att en enda person innehar alla uppgifter som är nödvändiga för att identifiera personen.¹¹⁶ Identifieringen är dessutom teoretisk, om personuppgiftsansvariga på ett lagligt vis kan komma åt dess internetleverantörs uppgifter och därigenom identifiera personen är personen indirekt identifierbar. Det krävs därmed inte att personen i fråga de facto har identifierats.¹¹⁷

Om det inte på något vis går att koppla en upplysning till en fysisk peson är personen inte identifierbar och uppgiften bedöms inte vara en personuppgift enligt förordningen. Uppgiften

109 Skäl 26 i dataskyddsförordningen, vilket också har citerats av EU-domstolen i mål C-582/14, Breyer, s. 42.

Målet rörde dock dataskyddsdirektivet, men motsvarande text har förts över till förordningen, jfr. skäl 26 i dataskyddsdirektivet med skäl 26 i dataskyddsförordningen.

110Förslag till europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), kapitel 1; Skäl 11 i dataskyddsförordningen. Det överensstämmer dessutom med artikel 8 i stadgan.

111 Jfr. mål C-434/16, Nowak, § 35 Voigt och von dem Bussche, 2017, s. 12.

112 T.ex. IP-adress och kakor, jfr. skäl 30 i Dataskyddsförordningen. Se IT Gocernance Privacy Team, 2017, s.

20 f.

113 Se t.ex. mål C-101/01, Lindqvist, § 27; mål C-70/10, Scarlet, § 51; mål C-212/13, Ryneš, § 22 och mål C- 434/16, Nowak, § 34 och 62.

114 Se EDPB, Guidelines 8/2020, s. 8 och 16; Jfr. Artikel 29-gruppen, WP251.

115 Generaladvokatens förslag till avgörande i mål C-131/12, Google Spain, § 48.

116 Mål C-582/14, Beyer, § 43; Se också mål C-434/16, Nowak, § 31.

117 Se mål C-434/16, Nowak, § 30; Se mål C-582/14, Beyer, § 49.