• No results found

DATASKYDDSFÖRORDNINGEN OCH TREDJELANDS-ÖVERFÖRINGAR

N/A
N/A
Info
Download
Protected

Academic year: 2021

Share "DATASKYDDSFÖRORDNINGEN OCH TREDJELANDS-ÖVERFÖRINGAR"

Copied!
54
0
0

Loading.... (view fulltext now)

Download now ( 54 Page )

Full text

(1)

JURIDISKA INSTITUTIONEN Stockholms universitet

DATASKYDDSFÖRORDNINGEN OCH TREDJELANDS-

ÖVERFÖRINGAR

En trygg hamn i informationssamhället

Astrid Bohlin

Examensarbete i Rättsinformatik, 30 hp Examinator: För- och efternamn

Stockholm, Höstterminen 2017

(2)

2

Abstract

The EU General Data Protection Regulation will enter into force the 25 th of May 2018. The regulation will provide all the countries within the EU the same regulation, and the same protection, for data privacy. There has previously been a directive that regulated data privacy, and the member states could make additional regulation within the national regulation. Theese days, when more people are living a great part of their lives on the internet, is the protection of data and personal integrity is a question of vital importance. Personal data is transferred all over the world, and all countries can’t make sure that they have the same protection for the personal data as countries within the EU. When transfering personal data to a country thats not a member of the EU, a so called third county, that country needs to ensure an adequate level of protection for the personal data. I have in this exposition investigated and analyzed what an adequate level of protection is.

A decision from the European court of justice in 2015 rejected the European Commissions’

set of rules called Safe Harbor. The European Commission had trough their set of rules laid down that the US had an adequate level of protecting. The European Court of Justice case made it forbidden to transfer personal data from the EU to the US. Many international companies are depending on being able to transfer personal data between the EU and the US and the rejection had consequences for companies all over the world. The US department of Commerce created a new set of rules to make transfers of personal data between the EU and the US legal again. The new rules were called Privacy Shield and were approved by the European commission in July 2016.

The US have a different legal system than Sweden. The US is divided into states and each state has its own laws. Some states have laws that regulate the use of personal data. There are also federal laws, but no federal laws in the area if personal data as we know it in the EU. I have in the exposition investigated and analyzed some of the American law in the area of personal data and transfers of personal data between the EU and the US.

(3)

3

Sammanfattning

Dataskyddsförordningen från EU blir tillämplig den 25 maj 2018. Då kommer alla

medlemsländer i EU ha samma reglering, och samma skydd, för personuppgifter. När en allt större del av världens befolkning lever en stor del av sina liv på internet är skyddet för den personliga integriteten och skydd för personuppgifter en fråga av allt större vikt.

Personuppgifter överförs till länder världen över och alla länder kan inte säkerställa samma skydd för den enskilde och dennes personuppgifter som länderna inom unionen. För att en personuppgiftsansvarig ska få överföra personuppgifter till ett land utanför EU ska det landet ha en adekvat skyddsnivå för personuppgifter. I denna framställning har jag undersökt och analyserat vad en adekvat skyddsnivå är.

2015 kom ett avgörande från EU-domstolen som underkände EU-kommissionens beslut att USA uppnår en adekvat skyddsnivå genom sitt regelverk Safe Harbor. Detta gjorde att det inte längre var tillåtet att överföra personuppgifter från EU till USA. Många internationella företag är beroende av att kunna överföra personuppgifter mellan EU och USA och detta fick konsekvenser för företag över hela världen. För att göra överföringar mellan EU och USA tillåtna igen skapade det amerikanska handelsdepartementet en ny uppsättning regler om skydd för personuppgifter. De nya reglerna kallas för Privacy Shield och godkändes av EU- kommissionen i juli 2016.

USA:s rättssystem är annorlunda än Sveriges. USA är uppdelat i delstater och varje delstat har egna lagar. Det finns även lagar som gäller över hela landet, så kallade federala lagar. Det finns inte någon federal lag som berör personuppgiftshantering, men det finns lagar inom vissa områden, exempelvis bankområdet, som berör hur hantering av personuppgifter ska ske.

I denna framställning har jag undersökt och analyserat den amerikanska lag-stiftningen på personuppgiftsområdet och överföringar av personuppgifter från EU till USA.

(4)

4 Innehållsförteckning

Abstract 2

Sammanfattning 3

Förkortningar 5

1. Presentation av ämnet 6

1.1 Inledning 6

1.2 Frågeställningar 8

1.3 Avgränsningar 8

1.4 Disposition 8

1.5 Material och metod 9

2. Skyddet för privatpersoners personliga integritet genom de grundläggande fri- och

rättigheterna 10

2.1 Skyddet för den personliga integriteten 10

2.2 Yttrandefrihet och informationsfrihet 12

2.3 Offentlighetsprincipen 13

3. Framväxt av dataskyddsregleringar i Sverige och EU 14

4. En allmän bakgrund om dataskyddsförordningen 17

4.1 Inledning 17

4.2 Centrala begrepp 19

4.3 Artikel 29-gruppen 20

5. Tredjelandsöverföringar 20

5.1 Inledning 20

5.2 Om beslut om adekvat skyddsnivå i ett tredjeland saknas 24

6. Vad innebär begreppet en adekvat skyddsnivå? 25

7. Personuppgiftsbehandling i USA 26

7.1 Inledning 26

7.2 Amerikanska lagar som behandlar personlig integritet och personuppgifter 26

7.3 Överföring av personuppgifter från USA till EU 30

7.4 Rätt till radering 30

7.5 USA Patriot Act 31

8. Safe Harbor 31

8.1 Inledning 31

8.2 Mål C-362/14-Schrems 32

9. Privacy Shield 35

9.1 Inledning 35

9.2 Rättslig prövning enligt Privacy Shield 37

9.3 Ombudsperson inom Privacy Shield 38

10. Vad gör Maximilian Schrems nu? 38

11. Vad är rättsläget för överföringar av personuppgifter från EU till USA? 42

12. Diskussion 42

Slutsats 51

Källförteckning 52

Litteratur 52

Offentligt tryck 52

Internetkällor 53

(5)

5

Förkortningar

BrB– Brottsbalk (1962:700)

Bryssel I-förordningen– Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande och verkställighet av domar på privaträttens område

EU– Europeiska unionen

EKMR– Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna

EUF-fördraget– Fördraget om Europeiska unionens funktionssätt FTC Act– The Federal Trade Commission Act

GLB Act– The Financial Services Modernization Act NSA– National Security Agency

OSL– Offentlighets- och sekretesslagen (2009:400) PuL– Personuppgiftslagen (1998:204)

RF– Regeringsformen (1974:152)

Rom I-förordningen– (Europaparlamentets och rådets förordning (EG) nr 593/2008 av den 17 juni 2008 om tillämplig lag för avtalsförpliktelser

SOU– Statens offentliga utredningar TF– Tryckfrihetsförordningen (1949:105)

(6)

6

1. Presentation av ämnet

1.1 Inledning

Jag har valt att skriva min juridiska examensuppsats om den nya förordningen från Europeiska unionen (EU) om behandling av personuppgifter: Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Dataskydd och personuppgiftsbehandling har varit aktuella ämnen sedan 1970-talet och har fått en allt större betydelse i och med den tekniska utvecklingen. Idag använder gemene man ett flertal applikationer, molntjänster (som visserligen också kan utgöra applikationer) och internetforum dagligen1. När man använder dessa tjänster behandlas användarens personuppgifter. När personuppgifter är lätta att tillgängliggöra för ett stort antal aktörer finns det ett större behov av skydd, eftersom de flesta anser att den personliga integriteten är något som vi bör skydda. Kränkningar av den personliga integriteten får också större konsekvenser i en globaliserad värld. Att använda personuppgifter på ett sätt som den som är registrerade inte har gett sitt godkännande till kan vara en lönsam affärsidé för kriminella grupper. Syftet med förordningen är att stärka skyddet för den personliga integriteten för enskilda EU-medborgare.

Personlig integritet har inte någon generell definition, men brukar i allmänhet betecknas som individens värde och värdighet och rätten till en egen sfär. 2

En av grundpelarna i EU-samarbetet är det som kallas de fyra friheterna. De fyra friheterna innebär att det inom unionen ska råda fri rörlighet för människor, kapital, varor och tjänster.

Detta ska uppnås bl.a. genom att alla EU-länder har samma lagstiftning inom vissa områden.

Genom att alla EU-länder har samma reglering för behandling av personuppgifter förenklas användningen av personuppgifter och dataskydd mellan länderna, och på så sätt också den fria rörligheten för bland annat kapital och tjänster. Det betyder även att det kommer att finnas ett större skydd för EU-medborgares personuppgifter inom hela unionen. Behandling av personuppgifter är all hantering av personuppgifter som kan härledas till en identifierbar person, och med dataskydd avses skydd för dessa personuppgifter.

1 Det finns många typer av molntjänster. Typiskt sett är en molntjänst en IT-tjänst där en användare kan använda någon annans server för att lagra filer, använda tillämpningsprogram eller för att få bättre processorkraft.

2 Kommittédirektiv 2014:65, Den personliga integriteten, sid. 2.

(7)

7 Den 25 maj 2018 blir den nya förordningen tillämplig och innebär att alla medlemsländer kommer att ha samma skyddsnivå. Men förordningen ställer även krav på att länder utanför EU kan garantera att personuppgifter hanteras på ett sätt som uppfyller kraven för att anses ha en adekvat skyddsnivå. För att ett företag, en organisation eller en myndighet inom EU ska få överföra personuppgifter till ett tredjeland måste det tredjelandet ha en adekvat skyddsnivå.

Ett tredjeland är ett land som inte är medlem i EU eller EES. En tredjelandsöverföring är när en personuppgift överförs från ett land inom EU eller EES till ett land som inte är medlem i EU eller EES. Dataskyddsförordningen kommer därför ha inverkan på alla företag, myndigheter och andra organisationer i hela världen som hanterar EU-medborgares personuppgifter, även om företaget, myndigheten eller organisationen för egen del inte har något med EU att göra i övrigt.

Det har funnits både nationella och internationella regler om skydd för den personliga integriteten i flera årtionden och EU har ett dataskyddsdirektiv från 19953. En stor skillnad med den nya dataskyddsförordningen jämfört med de tidigare reglerna är de kraftfulla sanktionerna. Tidigare reglering har varit relativt tandlös. Om ett företag behandlar personuppgifter på ett felaktigt sätt kan en tillsynsmyndighet enligt den nya dataskyddsförordningen utdöma administrativa sanktionsavgifter på upp till 20 miljoner euro, eller 4 % av den totala globala årsomsättningen beroende på vilken summa som är störst. Hur hög avgiften blir beror dock på omständigheter i det särskilda fallet och vilken artikel som har överträtts.4 Att inte följa de nya reglerna kan alltså bli kostsamt och påverka en hel koncern.

Ett syfte med min uppsats är att belysa varför personlig integritet är en aktuell fråga i dagens samhälle. Ett annat syfte är att undersöka vad rättsläget är vad gäller överföringar av personuppgifter från EU till USA är, efter ett tidigare avgörande från EU-domstolen som förbjöd överföringar av personuppgifter till USA. I det ingår att beskriva och analysera vad personlig integritet och personuppgiftsbehandling är. Fokus kommer framför allt ligga på överföringar av personuppgifter till tredje länder, men även andra aspekter av personuppgiftsbehandling kommer att beröras för att läsaren ska kunna ta del av den slutliga

3 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

4http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/administrativa- sanktionsavgifter/

(8)

8 diskussionen. Läsaren ska efter avslutad läsning ha fått en fördjupad förståelse för personuppgiftsbehandling både inom och utom EU.

1.2 Frågeställningar

I dataskyddsförordningens artikel 45 stadgas att för att överföring av personuppgifter till ett tredjeland (det vill säga ett land utanför EU och EES-området) ska vara tillåten ska det finnas en adekvat skyddsnivå för uppgifterna. Det är alltså ett begrepp som måste definieras. Det föranleder min första frågeställning. Vad innebär begreppet adekvat skyddsnivå?

Under hösten 2015 kom en uppmärksammad dom från EU-domstolen som i praktiken förbjöd överföringar av personuppgifter från EU till USA, den så kallade Safe Harbor-domen5. Detta innebar problem för många företag, myndigheter och organisationer som bedriver verksamhet internationellt. USA och EU har genom en ny uppsättning regler för överföringar av personuppgifter, Privacy Shield, försökt avhjälpa problemet och göra överföringar från EU till USA tillåtna igen. Det föranleder min andra frågeställning: Vad är rättsläget gällande Safe Harbor och Privacy Shield och överföringar av personuppgifter till USA?

1.3 Avgränsningar

Även fast jag hade velat utvidga antalet länder att jämföra med finns det varken utrymme eller tid för att sätta sig in i allt för många länders reglering på personuppgiftsområdet. Jag kommer därför enbart att fokusera på EU:s dataskyddsförordning och dess effekter gentemot USA.

1.4 Disposition

För att läsaren ska få ut så mycket som möjligt av denna uppsats kommer dispositionen utgå från en trattmodell, där ämnet inledningsvis är relativt brett för att sedan smalna av.

Uppsatsen kommer att inledas med en övergripande genomgång av skyddet för den personliga integriteten, för att sedan avhandla framväxten av dataskyddsregleringar i Sverige och EU.

Detta för att läsaren ska få en överblick av den nuvarande regleringen. Sedan kommer jag att skriva om dataskyddsförordningen, och då framför allt fokusera på överföringar till tredjeländer. Därefter följer en beskrivning av den amerikanska regleringen av skydd för personlig integritet och behandling av personuppgifter. Vidare kommer jag att fokusera på målet från EU-domstolen som underkände EU-kommissionens beslut om att USA uppnår en

5 C-362/14.

(9)

9 adekvat skyddsnivå för behandling av personuppgifter. Avslutningsvis kommer jag att beskriva den process som Maximiliam Schrems nu för i österrikisk domstol mot Facebook, angående Facebooks behandling av personuppgifter. Slutligen kommer jag föra en diskussion kring mina frågeställningar och dataskyddsförordningen.

1.5 Material och metod

För att hitta svaret på mina frågeställningar kommer jag att använda traditionella rättskällor såsom lagtext och domstolsavgöranden. Eftersom förordningen ännu inte är tillämplig finns det inte några domstolsavgöranden som utgår från dataskyddsförordningen. Det saknas därför praxis om just dataskyddsförordningen. Vissa tidigare avgöranden, exempelvis Google Spain mot Costeja Gonzales6 om rätten till radering, kan komma att ha betydelse även framtiden, men det är inte en fråga jag kommer diskutera i denna framställning. Däremot kommer delar av min uppsats att baseras på tidigare avgöranden från EU-domstolen angående personuppgiftsöverföringar till USA. Även andra föreskrifter från både nationella och internationella myndigheter kommer användas som källor.

I min examensuppsats är det nödvändigt att undersöka vad gällande rätt är eller kommer att bli, så även rättsdogmatisk metod kommer att användas för att besvara mina frågeställningar.

Rättsdogmatisk metod utgår från de allmänt accepterade rättskällorna: lagstiftning, rättspraxis, förarbeten och juridisk doktrin, och målet är att man ska finna gällande rätt.

Grunden för den rättsdogmatiska metoden är en problemformulering. Juristen tolkar sedan rättskällorna i ljuset av olika tolkningsnormer och rättsprinciper för att finna svaret på en juridisk fråga. Normerna kan exempelvis vara objektiv, logisk eller systematisk tolkning och ett exempel på en viktig rättsprincip är legalitetsprincipen. Genom att man redovisar sina källor, argument och ställningstaganden kan den som tolkar rätten ge tyngd åt sin juridiska bedömning.7

I och med att min uppsats kommer att behandla en förordning från EU är det naturligt att använda den EU-rättsliga metoden. Man tolkar då EU-rättsliga dokument mot bakgrund av EU:s syfte. Genom att skapa Kol- och stålunionen 1957 ville de ursprungliga

6 C-131/12 Google Spain SL, Google Inc. mot Agencia Española de Protección de Datos (AEPD), Mario Costeja González.

7 Korling Fredrik, Zamboni Mauro, Juridisk metodlära, Studentlitteratur, Lund, 2013. sid 21.

(10)

10 medlemsländerna främja demokratisk och fredlig utveckling i Europa och stärka de europeiska ländernas konkurrenskraft på den internationella marknaden. EU:s mål framgår i artikel 3 i Fördraget om Europeiska unionen. Genom EU-medlemskapet har en ökad internationalisering lett till att rättsakter inom vissa områden kan härledas från EU-rätt.

Många rättskällor är dock relativt övergripande och det krävs implementering och tolkning av de nationella myndigheterna och domstolarna för att de ska ha effekt. Till skillnad från svensk rätt, där förarbeten spelar en central roll, är det inom EU-rätt inte särskilt stort fokus på förarbeten till förordningar och direktiv. Mycket information om hur lagstiftaren har resonerat framkommer i de inledande skälen till förordningen. En central rättskälla är EU-domstolens avgöranden, eftersom det är EU-domstolen som gör EU:s förordningar och direktiv applicerbara i den gemene EU-medborgarens liv. EU-domstolen använder ofta den teleologiska tolkningsmetoden, det vill säga ändamålstolkning, för att uppnå EU:s syfte.8 De olika EU-rättsliga rättskällorna har olika genomslagskraft. En förordning har direkt effekt och behöver inte implementeras i den nationella lagstiftningen. Ett direktiv däremot ska implementeras i den nationella lagstiftningen, och det är upp till medlemsstaterna att göra det på det sätt som passar dem bäst. Direktivets resultat ska uppnås genom den nationella implementeringen.9

2. Skyddet för privatpersoners personliga integritet genom de grundläggande fri- och rättigheterna

2.1 Skyddet för den personliga integriteten

För att förstå varför dataskydd, personlig integritet och skydd för personuppgifter är viktigt kan man gå tillbaka till bland annat svensk grundlag och grundläggande internationella konventioner såsom Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, EKMR.

Begreppet personlig integritet har inte någon självklar definition. Integritetskommittén skriver i ett betänkande från 2016 att det inte heller är meningsfullt att definiera begreppet, bland annat eftersom rätten till personlig integritet inte är absolut. Vad som ryms inom begreppet personlig integritet förändras både över tid och efter omständigheterna vid ett specifikt fall.

Integritetskommittén ansluter sig till samma slutsats som uttrycktes i

8 Korling m.fl, sid. 111.

9 Hettne, Jörgen, Otken Eriksson, Ida, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, andra upplagan, Norstedts juridik, Stockholm, 2011 sid. 177 ff.

(11)

11 departementspromemorian ”Skyddet för enskilda personers privatliv- En studie” från 1994 där följande avgränsning gjordes:

”Det är svårt att ge ett sådant begrepp en tydligare avgränsning än att det innefattar vad som normalt framstår som angeläget att värna om för att den enskilde skall vara tillförsäkrad en rimlig, fredad, privat zon.”10

Magnusson Sjöberg skriver i antalogin Rättsinformatik att personlig integritet kan förklaras som skydd från intrång i den enskildas personliga sfär, men att även andra förklaringar förekommer såsom en rätt att bli lämnad ifred. Magnusson Sjöberg lyfter även aspekten att personlig integritet och dess innebörd förändras mellan olika generationer, kulturer och inte minst rättstraditioner. Svenskar torde i ett internationellt perspektiv generellt sett vara relativt vana vid en viss öppenhet med personuppgifter, i och med vår utpräglade offentlighetsprincip och vår tillgång till allmänna handlingar.11 Personlig integritet skyddas ändå på ett flertal sätt, genom bland annat EU-rättslig reglering och svensk grundlag.

- I EKMR framgår av artikel 8 att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

- Av artikel 16 i EUF-fördraget framgår att var och en har rätt till skydd av de personuppgifter som berör honom eller henne.

- I artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna, som genom Lissabonfördraget blev svensk lag, finns en rätt för var och en till respekt för sitt privatliv, familjeliv, sin bostad, sina kommunikationer och sina personuppgifter.

Det finns inte någon grundlagsbestämmelse som ger ett uppenbart skydd för den personliga integriteten i den svenska RF. Av 1 kap. 2 § fjärde stycket RF framgår att det allmänna ska verka för demokratins idéer, samt värna den enskildes privatliv och familjeliv. Även i 2 kap.

RF anges grundläggande fri- och rättigheter som kan kopplas till skyddet för den personliga integriteten. Exempelvis kan 2 kap. 2 § RF nämnas, där det framgår att det allmänna inte får

10 SOU 2016:41, Hur står det till med den personliga integriteten? En kartläggning av Integritetskommittén sid. 39.

11 Magnusson Sjöberg, Cecilia, Rättsinformatik: juridiken i det digitala informationssamhället, andra upplagan, Studentlitteratur, Lund, 2016, sid. 150.

(12)

12 tvinga någon att erkänna sina personliga åsikter i diverse frågor. Av EKMR artikel 8 framgår som sagt att var och en har rätt till respekt för sitt privat- och familjeliv. EKMR är sedan 1994 svensk lag. I 2 kap. 19 § RF stadgas att ingen lag eller föreskrift får meddelas i strid med EKMR. Detta skydd gäller dock enbart i förhållandet mellan enskilda och staten.

Av RF 2 kap. 6 § andra stycket framgår att var och en gentemot det allmänna är skyddad från betydande intrång i den personliga integriteten, om intrånget sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden. Värt att notera är, som Öman skriver i antalogin Rättsinformatik, att ”betydande intrång” är ett obestämt begrepp. Om intrånget rör en stor mängd personuppgifter kan det vara betydande, men även om det rör känsliga personuppgifter i mindre skala kan det vara ett betydande intrång. Öman skriver att man vid bedömningen av om intrånget är betydande, bör ta hänsyn till uppgifternas karaktär och omfattning, ändamålet för insamlingen samt hur personuppgifterna sprids. 12

Grundlagsskyddet för den personliga integriteten kan begränsas genom lag under vissa särskilda förutsättningar som framgår av 2 kap. 20–22 §§ RF. Begränsningarna måste exempelvis vara godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt.

Sammanfattningsvis kan sägas att begreppet personlig integritet inte har någon definition, utan att det förändras med hänsyn till omständigheter i det specifika fallet, berörd person och över tid. Vad som dock typiskt sett ryms inom begreppet är att en enskild ska ha en privat sfär, ett skydd mot intrång och rätt till respekt för privat- och familjeliv.

2.2 Yttrandefrihet och informationsfrihet

Andra rättigheter som bör omnämnas är rätten till yttrandefrihet och till informationsfrihet.

Även om var och en har rätt till personlig integritet har Sverige en stark rätt till yttrande- och informationsfrihet. Enligt 2 kap. 1 § RF är var och en gentemot det allmänna tillförsäkrad yttrandefrihet, frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar, uttrycka tankar, åsikter och känslor. Man är även garanterad informationsfrihet, frihet att inhämta och ta emot upplysningar samt att i övrigt ta del av andras yttringar. Grundlagsskyddet är

12 Magnusson Sjöberg, sid. 162.

(13)

13 teknikneutralt, och omfattar alltså även spridning och inhämtning av information via datorer.13

Yttrande- och informationsfriheten kan liksom grundlagsskyddet för den personliga integriteten begränsas genom lag om det föreligger vissa förutsättningar enligt 2 kap. 20–23

§§ RF. Begränsningarna måste även då vara godtagbara i ett demokratiskt samhälle och inte vara mer ingripande än nödvändigt.

2.3 Offentlighetsprincipen

Sverige har sedan länge ett grundlagsskydd som ger allmänheten tillgång till handlingar som förvaras och antingen inkommit eller upprättats hos en myndighet. I 2 kap. TF regleras allmänna handlingar och dess offentlighet. Detta är för att främja ett fritt meningsutbyte och en allsidig upplysning. Syftet med att handlingar är allmänna är att de ska främja demokrati och motverka korruption genom att ge enskilda tillgång till handlingar som ligger till grund för beslut, domar eller annan myndighetsutövning. Rätten att ta del av allmänna handlingar får enligt 2 kap. 2 § TF begränsas exempelvis om det är påkallat med hänsyn till rikets säkerhet, det allmännas ekonomiska intresse eller skyddet för en enskilds personliga eller ekonomiska hållanden. För att bestämma att en allmän handling inte ska vara offentlig fattas ett beslut med stöd av offentlighets- och sekretesslagen (2009:400), grundat på uppgifterna i den aktuella handlingen som begärs ut och den person som begär ut handlingen.

Det finns undantag för yttrande- och informationsfrihet och dataskyddsförordningen är förenlig med vår nuvarande tryckfrihetsförordning. Den svenska offentlighetsprincipen är inte hotad på grund av den nya förordningen. Enligt artikel 85 dataskyddsförordningen ska medlemsländerna förena yttrande- och informationsfrihet med skydd för den personliga integriteten. Enligt artikel 86 får personuppgifter i allmänna handlingar lämnas ut.

Dataskyddsförordningen är dock tillämplig på sådan utlämning av allmänna handlingar som sker på elektronisk väg, via till exempel internet eller email.14

13 Magnusson Sjöberg, sid. 164.

14http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/tillampningso mrade/undantag-for-yttrande-och-informationsfrihet/

(14)

14

3. Framväxt av dataskyddsregleringar i Sverige och EU

År 1973 började den svenska datalagen (1973:289) gälla, den första nationella datalagen i världen. Lagstiftaren befarade att man genom de nya stordatorerna skulle kunna missbruka användandet av personuppgifter och för att skydda medborgarnas personliga integritet stiftades datalagen. Lagen hade till syfte att reglera hur personregister fördes och det krävdes en licens för att få upprätta ett personuppgiftsregister. Datalagen utvecklades under 70-och 80-talen och 1995, samma år som Sverige blev medlem i EU, antogs EU:s nya dataskyddsdirektiv (95/46 EG). Sverige implementerade direktivet genom personuppgiftslagen (1998:204).15

Den tidigare EU-regleringen bestod av ett dataskyddsdirektiv16 och det nya regelverket är som tidigare nämnts en förordning. Den faktiska skillnaden är att ett direktiv ger medlemsstaterna möjligheten att implementera reglerna på det sätt som medlemsstaten anser är bäst för dem.

Direktivet anger en miniminivå, varför medlemsländerna kan lägga till ytterligare regler om de anser att det behövs. En förordning behöver inte implementeras i den nationella lagstiftningen utan reglerna kommer att gälla på samma sätt i alla medlemsländer.

Dataskyddsförordningen kommer dock att kompletteras med nationell lagstiftning inom vissa områden, exempelvis utreder svenska myndigheter just nu möjligheten till kompletterande bestämmelser genom bland annat en brottsdatalag.17 Sett i ljuset av ett direktiv kommer dataskyddsförordningen att ha en hybridkaraktär, eftersom viss komplettering i den nationella lagstiftningen kommer att ske.

I Sverige har vi exempelvis ett undantag för ostrukturerat material (personuppgiftslagen är tillämplig fram till den 25 maj 2018). Personuppgifter som behandlas i ostrukturerat material är delvis undantagna från personuppgiftslagen. Den så kallade missbruksregeln i 5 a § PuL innebär dock att det är förbjudet att hantera personuppgifter som kränker den registrerades personliga integritet även i ostrukturerat material. Sverige kunde införa denna extra reglering därför att det var ett direktiv som låg till grund för lagstiftningen. Just missbruksregelns förenlighet med dataskyddsdirektivet dock aldrig prövats av EU-domstolen, så huruvida

15 http://www.datainspektionen.se/om-oss/historik/

16 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

17 SOU 2017:74 Brottsdatalag- kompletterande lagstiftning sid. 23.

(15)

15 Sveriges tillämpning av den var tillåten eller inte kommer aldrig att ställas på sin spets.

Direktivet var en miniminivå och om ett land, såsom Sverige, ville lagstifta om mer skydd kunde landet införa egna regler. Den nya dataskyddsförordningen gör inte någon skillnad på strukturerat och ostrukturerat material, varför regeln om ostrukturerat material kommer att försvinna när förordningen blir tillämplig. 18

När Sverige genom PuL implementerade dataskyddsdirektivet finns enligt 33 § ett generellt förbud mot att överföra personuppgifter till länder som inte har en adekvat skyddsnivå. Det territoriella tillämpningsområdet för PuL vad gäller tredje länder sträcker sig till personuppgiftsansvariga som var etablerade i ett tredjeland, men som hade utrustning för personuppgiftsbehandling i Sverige.19 Vid tillämpning av PuL för överföring av personuppgifter till ett tredjeland är en förutsättning att det tredjelandet kan uppvisa att det har en adekvat skyddsnivå. Undantag från kravet på adekvat skyddsnivå kan ske om den registrerade ger sitt samtycke eller om det föreligger något annat förhållande som gör att överföringen är nödvändig. Det framgår av 34 § PuL. Det kan alltså vara tillåtet att överföra personuppgifter till ett land eller en region som egentligen inte uppfyller kravet på adekvat skyddsnivå, om den registrerade samtycker till det eller om överföringen är nödvändig exempelvis för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras eller för att kunna vidta åtgärder som den registrerade begärt innan ett avtal träffas. Utöver att överföringen ska falla inom något av undantagen i 34 § PuL måste behandlingen (alltså överföringen till ett tredjeland) vara tillåten enligt 10 § PuL, och om det gäller känsliga personuppgifter måste 13–19 §§ PuL efterföljas. Samma gäller uppgifter om lagöverträdelser och behandling av personnummer eller samordningsnummer.

Vidare kan en överföring till ett tredjeland vara tillåten om överföringen är nödvändig för att ett avtal i den registrerades intresse mellan en personuppgiftsansvarige och tredje man ska kunna ingås eller fullgöras eller om överföringen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Undantaget är även överföringar som är nödvändiga för att vitala intressen för den registrerade ska kunna skyddas.

18http://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/missbruksrege ln-upphor/

19 4 § personuppgiftlag (1998:204).

(16)

16 Det är enligt andra stycket PuL 34 § tillåtet att överföra personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Även regeringen kan enligt 35 § PuL meddela föreskrifter om undantag från kravet på adekvat skyddsnivå. Vid en överträdelse av reglerna kan enligt 49 § PuL böter eller fängelse i upp till sex månader eller, om brottet är grovt, två år, utdömas.

Som tidigare nämnts har den nuvarande regleringen sitt ursprung i ett EU-direktiv från 1995.

Den är självklart anpassad efter de förhållanden som rådde då. Med tanke på hur lång tid det tar att förhandla fram och fatta beslut om EU:s rättsakter, är det rimligt att anta att dataskyddsdirektivet i praktiken var anpassat efter förhållanden och utvecklingen ännu längre bak i tiden. Det har hänt mycket under dessa år och framför allt har internet blivit en stor del av många människors dagliga liv. För 20 år sedan fanns inte en tanke på att man skulle kunna veckohandla utan att lämna soffan, eller att man kan ha kontakt med folk från hela världen genom ett forum på internet. Många använder sig idag av så kallade molntjänster. En molntjänst är en tjänst där användaren via internet sparar filer på någon annans server. Flera företag erbjuder sådana tjänster, såsom Microsoft, Google och Dropbox. Då kan flera länders lagstiftning bli tillämpliga; användaren kan finnas i ett land, företaget som erbjuder tjänsten i ett annat och själva servern där filerna förvaras i ett tredje.

När en person använder internet är det ofrånkomligt att denne delar med sig av personuppgifter. En persons sökhistorik, användarnamn och cookies kan nämligen utgöra personuppgifter. Oftast används dessa uppgifter på ett bra och ansvarsfullt sätt, men det finns inte några garantier. EU försöker genom den nya dataskyddsförordningen bland annat att stärka skyddet för den personliga integriteten och anpassa den rättsliga utvecklingen till den tekniska utvecklingen. Genom förordningen försöker EU sprida medvetenhet om att personuppgifter hanteras och vilka risker det kan medföra20.

20 Skäl 63 dataskyddsförordningen.

(17)

17

4. En allmän bakgrund om dataskyddsförordningen

4.1 Inledning

Dataskyddsförordningen gäller för alla som behandlar personuppgifter. Genom dess införande kommer flera nyheter i förhållande till det tidigare dataskyddsdirektivet att introduceras.

Eftersom denna framställning ska fokusera på överföringar till tredje länder kommer jag att beröra ett fåtal av dessa förändringar och jag kommer bara ta upp dem översiktligt.

I de inledande skälen till dataskyddsförordningen slås det fast att skyddet för fysiska personers personuppgifter är en grundläggande rättighet.21 Det konstateras dock att det inte är fråga om en absolut rättighet, utan att man måste se den utifrån sitt syfte i samhället22. I skäl 2 till dataskyddsförordningen uttalas att

”avsikten med förordningen är att bidra till att skapa ett område med frihet, säkerhet och rättvisa och en ekonomisk union, till ekonomiska och sociala framsteg, till förstärkning och konvergens av ekonomierna inom den inre marknaden samt till fysiska personers välbefinnande.”

Detta går hand i hand med EU:s ursprungliga syfte och mål, att främja demokratisk och fredlig utveckling i Europa och att stärka de europeiska ländernas konkurrenskraft på den internationella marknaden.

I artikel 6 dataskyddsförordningen framgår kraven för att en behandling av personuppgifter ska vara laglig. Åtminstone ett av kraven måste vara uppfyllt och dessa är bland annat att den registrerade lämnat sitt samtycke, att behandlingen är nödvändig för att fullgöra ett avtal där den registrerade är part eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Om behandlingen grundar sig på samtycke anges i artikel 7 dataskyddsförordningen bland annat att alla som behandlar personuppgifter måste kunna visa att de har fått samtycke från den registrerade till behandlingen av personuppgifterna innan man påbörjade behandlingen.

Den registrerade ska inte enbart ha gett ett generellt samtycke till en behandling av

21 Skäl 1 dataskyddsförordningen.

22 Skäl 4 dataskyddsförordningen.

(18)

18 uppgifterna, utan samtycket ska gälla just den åtgärd som den personuppgiftsansvarige avser med behandlingen vid insamlingen av uppgiften. I artikel 12 i dataskyddsförordningen anges att den personuppgiftsansvarige har ansvar för att den registrerade får all den information om behandlingen som den registrerade har rätt till. Den personuppgiftsansvarige ska även ansvara för och kunna visa att den följer förordningens principer för personuppgiftsbehandling.

EU försöker på olika sätt göra allmänheten mer uppmärksam på behandling av personuppgifter och hur ofta man godkänner att företag, myndigheter och andra organisationer behandlar uppgifter. I dataskyddsförordningen ställs krav på hur den registrerade ska lämna sitt samtycke till registreringen. Samtycket ”bör lämnas genom en entydig bekräftande handling” vilket exempelvis innebär ett krav på att företag, myndigheter och organisationer ska ha ett opt-out-alternativ istället för ett opt-in-alternativ på sina internetsidor23. Med opt-out menas att man på internet måste göra ett aktivt val, ”klicka ur”

för att företaget, myndigheten eller organisationen inte ska behandla ens personuppgifter. Om företaget, myndigheten eller organisationen istället har en opt-in-funktion måste användaren acceptera att personuppgifterna samlas in. Om rutan är ikryssad på förhand ska detta inte räknas som ett samtycke till registrering.24 Förordningen präglas av att EU vill göra medborgarna medvetna om att deras personuppgifter behandlas på många sätt hela tiden.

Genom att synliggöra och tvinga enskilda att göra ett val att godkänna behandlingen ökas medvetenheten om personuppgiftsbehandling och det gör kanske allmänheten mer benägen att skydda sina personuppgifter.

I artikel 34 i dataskyddsförordningen framgår ett krav på att företaget, myndigheten eller organisationen informerar den registrerade om att det har skett ett dataintrång. Om det sker en personuppgiftsincident25 måste den personuppgiftsansvarige anmäla detta till tillsynsmyndigheten. Om incidenten innebär en hög risk för den enskildas rättigheter och friheter ska även den registrerade informeras om detta.26 Detta är viktigt eftersom det synliggör riskerna med personuppgiftsbehandling. Om den registrerade inte vet om att dennes

23 Skäl 32 dataskyddsförordningen.

24 Skäl 32 dataskyddsförordningen.

25 En personuppgiftsincident är enligt art. 4 dataskyddsförordningen en incident som exempelvis leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörig åtkomst till de personuppgifter som behandlats.

26 SOU 2017:52, Så stärker vi den personliga integriteten sid. 69.

(19)

19 personuppgifter har hamnat i orätta händer eller hotats på något sätt, förstår denne inte att det finns en risk med att ge andra tillgång till informationen.

Om ett företag, en myndighet eller en organisation behandlar personuppgifter på ett felaktigt sätt kan den nationella tillsynsmyndigheten påföra en administrativ sanktionsavgift. När tillsynsmyndigheten ska bestämma vilket belopp som ska betalas ska tillsynsmyndigheten ta hänsyn till bland annat överträdelsens karaktär, svårighetsgrad och varaktighet, om överträdelsen varit uppsåtlig eller oaktsam och om den personuppgiftsanvarige har vidtagit några åtgärder för att lindra skadan. Beroende på vilken bestämmelse som överträtts kan den administrativa sanktionsavgiften uppgå till 20 miljoner euro eller 4 % av den totala årsomsättningen.27

4.2 Centrala begrepp

För att ge läsaren en djupare förståelse för Dataskyddsförordningen följer här förklaringar av vissa begrepp inom personuppgiftshantering. I artikel 4 i dataskyddsförordningen finns definitioner på centrala begrepp. Urvalet har skett på grundval av vilka begrepp som används mest frekvent i Dataskyddsförordningen och i denna framställning.

En personuppgift är enligt artikel 4 varje uppgift som kan kopplas till en identifierad eller identifierbar fysisk person. En personuppgift kan exempelvis vara en persons namn, personnummer, ett foto eller skostorlek. Även bankuppgifter, användaruppgifter i olika forum och inlägg på sociala medier kan vara personuppgifter. Om informationen kan kopplas till en fysisk person som kan identifieras, är det en personuppgift och ska behandlas enligt dataskyddsförordningen.

Behandling av en personuppgift är en åtgärd beträffande personuppgifter, oavsett om behandlingen görs automatiskt eller inte. Behandling av personuppgifter kan till exempel vara insamling, organisering, lagring eller ändring.

I skäl 11 framgår att det för att säkerställa att den registrerades rättigheter tillgodoses är det viktigt att det är tydligt vilka skyldigheter de personuppgiftsansvariga har. I skäl 13 diskuteras att det är viktigt att förordningen kan tillgodose den registrerades rättigheter oavsett

27 Dataskyddsförordningen artikel 83.

(20)

20 vilket företag, myndighet eller organisation som behandlar personuppgifterna. Förordningen får inte heller hindra den fria rörligheten. I artikel 4 punkt 7 definieras den personuppgiftsansvarige som en fysisk eller juridisk person som på ett företag, myndighet eller organisation bestämmer ändamålet och medlen för behandling av personuppgifter. I artikel 24 i dataskyddsförordningen anges vad som är den personuppgiftsansvariges ansvar.

Den personuppgiftsansvariges uppgift är att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.

4.3 Artikel 29-gruppen

Artikel 29-gruppen är en rådgivande och oberoende arbetsgrupp inom EU. Den har till uppgift att utreda frågor om personuppgiftsbehandling. Gruppen består av en person från varje nationell tillsynsmyndighet, en person från EU-kommissionen och den europeiska dataskyddsombudsmannen. Det framgår av artikel 68. Vissa länder som inte är medlemmar i EU, såsom Norge, Island och Lichtenstein, deltar som observatörer.28 Genom den nya förordningen inrättar man istället för Artikel 29-gruppen den Europeiska dataskyddsstyrelsen29. Den europeiska dataskyddsstyrelsen har bland annat till uppgift att avge ett yttrande om huruvida ett tredjeland eller en internationell organisation uppnår adekvat skyddsnivå30. 31

5. Tredjelandsöverföringar

5.1 Inledning

Ett tredjeland är ett land som inte är medlem i EU eller EES. Det gamla dataskyddsdirektivet var tillämpligt på företag, myndigheter och organisationer i tredjeländer, om företaget, myndigheten eller organisationen var etablerat eller hade utrustning inom EU.32 Den nya dataskyddsförordningen sträcker sig längre och är tillämplig om ett företag är etablerat inom EU, erbjuder varor eller tjänster inom EU eller övervakar beteenden inom EU. Det innebär att företag, organisationer och myndigheter utan någon närvaro i EU ändå kommer att behöva följa den nya dataskyddsförordningen.

28 http://www.datainspektionen.se/dataskyddsreformen/forberedelser/samarbete-inom-eu/

29 Dataskyddsförordningen artikel 94.

30 Dataskyddsförordningen artikel 70.

31 http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

32 Artikel 4 Direktiv 95/46/EG.

(21)

21 För att exemplifiera:

Ett kinesiskt företag säljer kläder över internet. Företaget marknadsför sig inte på den europeiska marknaden, men kunderna finns ändå över hela världen, bland annat i Europa. En svensk person beställer kläder från det kinesiska företaget och det kinesiska företaget skickar dessa kläder till den svenska kunden. Det kinesiska företaget erbjuder då varor inom EU, och dataskyddsförordningen är tillämplig.

Nedan följer skäl som behandlar tredje länder, och sammanfattningar av artiklarna i dataskyddsförordningen som rör tredjelandsöverföringar, som närmare klargör begreppet adekvat skyddsnivå och aspekter som kommissionen ska lägga vikt vid i beslutsfattandet av huruvida ett tredjeland har en adekvat skyddsnivå.

I skäl 104 framkommer det att kommissionen bland annat bör, i enlighet med EU:s grundläggande värderingar, beakta hur ett tredjeland respekterar rättsstatsprincipen, tillgången till rättslig prövning, internationella människorättsnormer och landets allmänna lagstiftning.

När kommissionen ska anta ett beslut om att adekvat skyddsnivå föreligger bör hänsyn tas till tydliga och objektiva kriterier t.ex. specifik behandling och tillämpningsområdet för tillämpliga rättsliga standarder och gällande lagstiftning i tredjelandet. Tredjelandet bör kunna säkerställa en tillfredställande skyddsnivå som i huvudsak motsvarar den som uppställs i EU.

Framför allt bör det tredjelandet säkerställa en effektiv oberoende dataskyddsövervakning, samarbete mellan tredjelandets dataskyddmyndighet och EU:s medlemsstaters dataskyddsmyndigheter och de registrerade bör tillförsäkras effektiva, lagstadgade rättigheter och rättslig prövning.

Den allmänna principen för överföring av uppgifter till ett tredjeland finns i artikel 44.

Överföring av personuppgifter till ett tredjeland eller en internationell organisation får bara ske om den personuppgiftsansvarige och personuppgiftsbiträdet uppfyller villkoren i kapitel fem, inklusive om personuppgifterna ska föras vidare till ytterligare ett annat tredjeland. Alla bestämmelser i kapitel fem ska tillämpas för att skyddet för fysiska personer som följer av Dataskyddsförordningen inte ska undergrävas.

Artikel 45 dataskyddsförordningen behandlar adekvat skyddsnivå. Enligt första punkten får personuppgifter utan särskilt tillstånd överföras till ett tredjeland eller en internationell organisation om det finns ett beslut från EU-kommissionen som fastställer att det landet, ett

(22)

22 territorium eller en eller flera sektorer i landet eller organisationen uppnår en adekvat skyddsnivå för personuppgifter.

När kommissionen ska bedöma om det föreligger en adekvat skyddsnivå i ett tredjeland ska kommissionen ta vissa aspekter i beaktande. Dessa är sammanfattningsvis

a. rättsstatsprincipen, respekten för de mänskliga rättigheterna och de grundläggande friheterna, relevant lagstiftning avseende allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter samt tillämpningen av sådan lagstiftning, dataskyddsregler, yrkesregler och säkerhetsbestämmelser samt faktiska och verkställbara rättigheter för registrerade och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs,

b. om det finns en effektiv oberoende tillsynsmyndighet som har ansvar för att säkerställa och kontrollera att regler för dataskydd följs, och

c. vilka internationella åtaganden det tredjelandet eller den internationella organisationen har gjort eller andra skyldigheter som följer av konventioner och dylikt som särskilt rör personuppgifter.

I skäl 106 föreskrivs att kommissionen bör ha en regelbunden översyn över beslutet om adekvat skyddsnivå. Kommissionen får enligt punkt 3 genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå. Kommissionen ska också inrätta en mekanism för regelbunden översyn som ska beakta all relevant utveckling i det tredjelandet eller den internationella organisationen. Översynen ska ske minst vart fjärde år.

Enligt punkt 4 i artikel 45 ska kommissionen fortlöpande övervaka utvecklingen i dessa tredje länder och internationella organisationer ifall något händer som kan påverka beslutet om adekvat skyddsnivå.

Kommissionen bör alltså regelbundet utvärdera om det tredjelandets eller den internationella organisations skyddsnivå fortsätter att vara adekvat. Om det tredjelandet eller den internationella organisationen inte längre uppfyller kraven för adekvat skyddsnivå, ska kommissionen snarast informera det tredjelandet eller internationella organisationen om varför de inte längre uppfyller en adekvat skyddsnivå och inleda samtal om hur de ska

(23)

23 avhjälpa situationen. Om kommissionen får information om att ett tredjeland, ett territorium eller en eller flera sektorer inom tredjelandet i fråga eller en internationell organisation inte längre säkerställer adekvat skydd ska kommissionen enligt punkt 5 artikel 45 återkalla, ändra eller upphäva beslutet om adekvat skyddsnivå. Kommissionen ska dock enligt punkt 6 samråda med det tredjelandet eller den internationella organisationen för att lösa den situation som lett till att beslutet om adekvat skyddsnivå upphävdes.

Som framgår i artikel 45 är det EU-kommissionen som ska besluta om det föreligger adekvat skyddsnivå i ett tredjeland. Kommissionen kan även återkalla eller ändra ett beslut där ett land anses uppnå en adekvat skyddsnivå, om något gör att skyddsnivån förändras.33 Om det finns tvingade skäl att anta att ett land, en organisation eller en region inte upprätthåller en adekvat skyddsnivå ska kommissionen undersöka detta skyndsamt34.

I skälen till dataskyddsförordningen anges att det är en nödvändighet för utvecklingen av internationell handel och internationellt samarbete att det finns ett flöde av personuppgifter mellan unionen och tredjeländer. I skäl 101 framhålls vikten av att skyddet för personuppgifterna inte undergrävs på grund av att man kan undgå reglerna genom att överföra dem till ett land utanför unionen. En överföring av personuppgifter får endast ske om kraven som uppställs enligt förordningen är uppfyllda.35 I dagsläget har EU-kommissionen beslutat att tio länder eller regioner har en adekvat skyddsnivå, bland annat Argentina, Israel och Färöarna. USA och Kanada har en adekvat skyddsnivå i vissa regioner eller under särskilda villkor.36

Även inom området för överföringar till tredje länder finns det krav på att den personuppgiftsansvarige lämnar information till den registrerade. I artikel 13 punkt 1 f i dataskyddförordningen, som är tillämplig om uppgifterna har samlats in från den registrerade, anges att den personuppgiftsansvarige måste informera den registrerade om att uppgifterna avses överföras till ett tredjeland och om det finns ett beslut att det tredjelandet uppnår en adekvat skyddsnivå. Enligt artikel 14 punkt 1 f har den personuppgiftsansvarige samma skyldighet om personuppgifterna inte har samlats in direkt från den registrerade.

33 Skäl 103 dataskyddsförordningen.

34 Skäl 169 dataskyddsförordningen.

35 Skäl 101 dataskyddsförordningen.

36http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/hur-vet-jag-om- dataskyddsnivan-i-ett-land-ar-adekvat-eller-inte/

(24)

24 5.2 Om beslut om adekvat skyddsnivå i ett tredjeland saknas

Om EU-kommissionen inte har fattat ett beslut om att det föreligger adekvat skyddsnivå, får den personuppgiftsansvariga endast överföra personuppgifter efter att ha vidtagit lämpliga skyddsåtgärder. Det framgår i artikel 46 i dataskyddsförordningen. En lämplig skyddsåtgärd som inte kräver tillstånd av tillsynsmyndigheten kan exempelvis vara

a) ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,

b) bindande företagsbestämmelser i enlighet med artikel 47,

c) standardiserade dataskyddsbestämmelser som antas av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.2.

Med tillstånd från tillsynsmyndigheten kan lämpliga skyddsåtgärder även vara

a) avtalsklausuler mellan de inblandade parterna, eller

b) bestämmelser, som inbegriper verkställbara och faktiska rättigheter för registrerade, som införs i administrativa överenskommelser mellan offentliga myndigheter.

Av skäl 108 framgår vad en personuppgiftsansvarige ska göra om det inte finns något beslut att det föreligger adekvat skyddsnivå i ett tredjeland. Den personuppgiftsansvarige bör då vidta lämpliga skyddsåtgärder för den registrerade. I skälen lyfts exempelvis standardbestämmelser för dataskydd, tillämpning av bindande företagsbestämmelser eller avtalsbestämmelser som bestämts av en myndighet fram som lämpliga skyddsåtgärder. Det framhålls att skyddsåtgärderna bör säkerställa att de krav angående dataskydd och de registrerades rättigheter som ställs inom unionen uppnås och att det finns ett rättssäkert och effektivt sätt att föra talan på administrativ väg eller inför domstol, och att kräva kompensation i ett tredjeland.

Även om det saknas ett beslut om huruvida det föreligger en adekvat skyddsnivå enligt artikel 49 i dataskyddsförordningen får en överföring av personuppgifter ske under vissa förutsättningar:

Överföringen kan bland annat vara tillåten om den registrerade har samtyckt till att uppgifterna får överföras, efter att ha blivit informerad om riskerna med överföringen.

(25)

25 Överföringen kan också vara tillåten om den är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran eller för att ingå eller fullgöra ett avtal i den registrerades intresse.

Vidare kan överföringen vara tillåten om den är nödvändig med hänsyn till allmänintresset eller om överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Om överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke kan den också vara tillåten. Slutligen kan en överföring vara tillåten om den görs från ett register som är avsett att ge allmänheten information och som är tillgängligt för allmänheten.

6. Vad innebär begreppet en adekvat skyddsnivå?

I förordningen framgår det att kommissionen ska ta hänsyn till om ett tredjeland uppfyller rättsstatsprincipen, respekterar mänskliga rättigheter och har en tillsynsmyndighet för personuppgiftsbehandling när de avgöra huruvida ett tredjeland uppnår en adekvat skyddsnivå. Kommissionen ska även ta hänsyn till vilka internationella åtaganden det tredjelandet har.

Begreppet adekvat skyddsnivå är något oprecist. Respekt för mänskliga rättigheter och en möjlighet till prövning av personuppgiftsbehandlingen är av vikt när EU-kommissionen avgör om ett land uppnår en adekvat skyddsnivå. EU-kommissionen har som tidigare nämnts ansett att ca tio länder eller regioner har en adekvat skyddsnivå, förutom de 28 länder som är medlemmar i EU. Det lämnar mer än 150 länder och regioner utan beslut om de har en adekvat skyddsnivå. För att få överföra personuppgifter till något av dessa länder måste den personuppgiftsansvarige, som framgår av artikel 49, till exempel få den registrerades samtycke till överföringen efter att ha informerat om riskerna med överföringen, eller visa att överföringen är nödvändig för att kunna fullfölja ett avtal mellan den personuppgiftsansvarige och den registrerade. Det är rimligt att tro att artikel 49 kommer att användas mycket av personuppgiftsansvariga, på grund av det stora antalet länder som ännu inte uppfyller kraven för en adekvat skyddsnivå. Bland dessa 150 länder finns stora ekonomier som Kina, Ryssland och Australien.

(26)

26 EU-domstolen skriver i Safe Harbor-målet att det inte kan krävas att ett annat land ska ha en identisk skyddsnivå som EU, men att rättsordningen i ett tredjeland ska kunna säkerställa en skyddsnivå för grundläggande fri- och rättigheter som är ”väsentligen likvärdiga” med skyddet inom unionen. Detta var dock innan dataskyddsförordningen, så rättsläget är fortfarande något osäkert. Men överlag kan man konstatera att detta antagligen kommer vara av vikt även när dataskyddsförordningen blir tillämplig. Domstolens slutsats går hand i hand med EU:s syfte och mål, att uppnå ett demokratiskt samhälle. Genom att kräva att länder som personuppgifterna ska överföras till också kan säkerställa en rättssäker prövning av personuppgiftsbehandlingen, ger man fördelar till länder och regioner som har ett demokratiskt styre och ett välfungerande rättssystem.

7. Personuppgiftsbehandling i USA

7.1 Inledning

En frågeställning i denna framställning är hur rättsläget för överföringar från EU till USA ser ut i dagsläget. För att kunna besvara frågeställningen är det lämpligt att undersöka vilken reglering vad gäller personuppgifter som finns i USA. USA har ett annorlunda rättssystem än Sverige. Deras rättssystem utgår från att landet är uppdelat i delstater och varje delstat har sina egna lagar. Det finns dock vissa federala lagar som gäller över hela landet. Den viktigaste rättskällan i USA är deras konstitution, som innehåller de 27 tilläggen- ”amendments”. USA:s rättssystem liknar på vissa sätt EU:s. USA har vissa federala lagar som gäller över hela landet, vilket skulle kunna jämföras med en förordning från EU, men även lagar som enbart gäller i en speciell delstat, vilket skulle kunna jämföras med inhemsk rätt i en stat som är medlem i EU. USA:s lagar om behandling av personuppgifter är mer splittrade och utspridda än vad EU:s är. Det saknas därför ett lika starkt skydd för personuppgifter som inom EU.37 Det finns inte någon nationell lag som reglerar hur man får samla in och använda personuppgifter.

7.2 Amerikanska lagar som behandlar personlig integritet och personuppgifter USA har en konstitution som innehåller grundläggande regler för staten och där är personlig integritet skyddat bland annat genom den fjärde artikeln i konstitutionen kräver

37 Dr. Nora Ni, The end of Safe Harbor: Implications for EU digital privacy and data protection law, Februari, 2016.

(27)

27

” the right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated”.

Översatt blir det ungefär ”folkets rätt att vara tillförsäkrade mot orimliga genomsökningar och gripanden av sin person, i deras hus, av papper och ägodelar, får inte kränkas.” Det är alltså fastslaget i konstitutionen att alla har rätt till viss personlig integritet. Konstitutionen skyddar dock enbart den personliga integriteten gentemot statliga aktörer. Varje stat får sedan bestämma hur frågor angående personlig integritet i förhållande till en kommersiell part ska behandlas inom staten.

Istället för en gemensam lag om personuppgiftsbehandling finns det många olika lagar och andra författningar som ger skydd för den enskilde vid olika tillfällen. Det finns dock några lagar som är särskilt viktiga. Exempelvis kan The Federal Trade Commission Act, The FTC Act, nämnas. Det är en federal lag, det vill säga en lag som gäller i alla stater, som ska skydda konsumenter och deras personuppgifter. FTC Act är tillämplig på nästan alla företag och enskilda personer som gör affärer i USA, men det finns specialreglering för bland annat transportföretag och företag inom telekommunikation. FTC Act tar inte sikte på någon speciell sorts personuppgifter, utan riktar in sig på brister i sättet att behandla personuppgifterna. Det som är kriminaliserat är, förutom att inte lyckas med att skydda konsumenternas personuppgifter, att inte informera sina kunder om att företaget har ändrat sin policy för personuppgiftsbehandling och att inte följa sin policy för behandling.

Ett exempel på reglering i The FTC Act är att den inte ställer några krav på att en hemsida informerar om att den kommer behandla personuppgifter genom att till exempel registrera beteenden på hemsidan, men den rekommenderar att hemsidan har en sådan funktion. En användare inom EU har under flera år varit tvungen att godkänna att en hemsida sparar information om dennes förehavanden på hemsidan, en så kallad cookie. I USA det finns inte något krav på att den registrerade lämnar sitt samtycke till behandlingen av personuppgifterna, men the FCT Act rekommenderar att ett företag inhämtar samtycke från den registrerade när den ska behandla känsliga personuppgifter. Det kan jämföras med regleringen inom EU som under lång tid bland annat har krävt att den som behandlar personuppgifter inhämtar samtycke från den registrerade som ett sätt att göra överföringen tillåten. The FTC Act ställer krav på att personuppgifterna ska ha samma skydd, även om de

(28)

28 data som är i fråga har lämnat USA, eller om personuppgiftshantering har outsourcats till en tredje part.

Det är till en stor del den amerikanska handelskammaren som ser till att de nationella reglerna för dataskydd och personuppgiftsbehandling tillämpas och genomförs. Det är också handelskammaren som till exempel kan starta en utredning och stämma i domstol. Om ett företag, en organisation eller en myndighet inte följer reglerna kan de bli bötfällda på belopp upp till 16 000 $ per brott. Den amerikanska handelskammaren kan också ålägga företaget, organisationen eller myndigheten att ändra sin behandling av personuppgifter, eller tvinga dem att betala tillbaka till konsumenter eller investerare. Vissa stater godkänner enskilda personers talan, och även grupptalan, för ingrepp i den personliga integriteten.38

En annan amerikansk reglering är the Gramm–Leach–Bliley Act (the GLB Act) som reglerar hur olika finansiella institutioner såsom banker och försäkringsbolag får samla in, använda och avslöja personuppgifter. Av intresse att nämna angående the GLB Act är att den i vissa fall tvingar den finansiella institutionen att informera om hur de behandlar personuppgifter.

Detta anser nog de flesta européer vara en självklarhet eftersom det var ett krav redan i dataskyddsdirektivet från 1995 att den som behandlar personuppgifter ska informera om på vilket sätt de ska användas och om de ska lämnas ut till tredje man.39 The GLB Act är tillämplig på data som den finansiella institutionen samlar in som inte sedan tidigare är offentlig. I the GLB Act gör man skillnad på en konsument och en kund. En konsument är någon som har fått en finansiell service eller tjänst, men som inte en pågående kundrelation med det finansiella institutet. En kund är någon som har en pågående kundrelation med det finansiella institutet. Kraven på personuppgiftsbehandlingen är högre om behandlingen rör en kund än en konsument. Det viktigaste åliggandet för de finansiella instituten att skydda icke- offentliga data från utomstående. De finansiella instituten måste även informera om att de delar vidare deras kunders personuppgifter till tredje parter och ge kunderna möjlighet att markera att de inte vill att institutionen delar deras personuppgifter med en tredje part. Vid en jämförelse med dataskyddsförordningen kan man uppmärksamma att det där, som tidigare nämnts, ställs krav på att användaren ska opt-in för att dela personuppgifter istället för att opt- out.

38https://uk.practicallaw.thomsonreuters.com/6-502-

0467?transitionType=Default&contextData=(sc.Default)&firstPage=true

39 Dataskyddsdirektivet, skäl. 39.

References

Download now ( PDF - 54 Page - 507.41 KB )

Outline

Safe Harbor 1 Inledning Privacy Shield Vad gör Maximilian Schrems nu? EU till USA?

Related documents

PUL MYN protokoll juni 2017

Myndighetsnämnden tar inte ställning till hur vida åtgärden har avtalats med markägare eller ej då detta inte regleras i Plan- och bygglagen eller förordningar och föreskrifter

PUL MYN protokoll aug 2017

Beslutet avser: Förhandsbesked för nybyggnad av enfamiljshus på Bondarv 13:12 i

PUL MYN protokoll sept 2017

Beslutet avser: Ansökan om bygglov av enbostadshus och ateljé på Kramsta 4:29 i

PUL MYN protokoll okt 2017

· Nämnden har inte tagit ställning till om eventuell avloppsanläggning kan lösas på ett ekonomiskt rimligt sätt för sökanden.. · Nämnden har genom denna prövning inte

PUL MYN protokoll nov 2017

Detta innebär följande ”Halterna av gödande ämnen i mark och vatten ska inte ha någon negativ inverkan på människors hälsa, förutsättningar för biologisk mångfald

PUL MYN protokoll dec 2017

Detta resonemang leder fram till att myndighetsnämnden anser att bygglov för åtgärden ska

PUL MYN protokoll1 feb 2016

· Begäraatt KF ändrar index för uppräkning av timavgiften i taxa för offentlig kontroll av livsmedel, från konsumentprisindex till prisindex för kommunal verksamhet. Bakgrund

PUL MYN protokoll jan 2016

Beslutet avser: Ansökan om tidsbegränsat bygglov till och med den 31 december 2025 för ändrad användning av f d Gästis till HVB-hem på Lillbyn 15:9 i Färila.. Sökande: Parantel