RSS

The extraterritoriality of EU’s Data Privacy Regulation – what does international law say?

0 kommentarer Av Sparad i English, international issues, privacy & data protection 4 mars 2014 @ 10:29

Work on the EU’s proposed new data privacy Regulation continues, and a wide extraterritorial reach remains a key feature of the Regulation. In a recent European Commission Memo titled Data Protection Day 2014: Full Speed on EU Data Protection Reform of 27 January 2014, it was noted that one of the key benefits for businesses was the creation of a ‘level playing field’:

The same rules for all companies – regardless of their establishment: Today European companies have to adhere to stricter standards than companies established outside the EU but also doing business on our Single Market. With the reform, companies based outside of Europe will have to apply the same rules. We are creating a level-playing field.” (p.4)

This is significant, not least when combined with another of the Regulations articulated ‘main innovations’:

European regulators will be equipped with strong enforcement powers: data protection authorities will be able to fine companies who do not comply with EU rules with up to 2% of their global annual turnover. The European Parliament has even proposed to raise the possible sanctions to 5%. Privacy-friendly European companies will have a competitive advantage on a global scale at a time when the issue is becoming increasingly sensitive.” (p.4)

In two previous blog posts, I have pointed to serious concerns with the current proposal (The territorial scope of the proposed EU Data Protection Regulation) and a potential improvement of how it delineates its extraterritorial scope (Re-thinking extraterritoriality in data privacy law). Here I will seek to assess what international law says about the legitimacy of the approach taken by the EU. Is it possible to either justify or object to the EU approach to extraterritoriality by reference to international law?

 

Under International Conventions

There are no treaties directly regulating jurisdictional claims in the data privacy context. However, a close study of the world’s, at least in theory, most significant human rights treaty, the International Covenant on Civil and Political Rights (ICCPR), shows that it arguably makes extraterritorial jurisdictional claims mandatory in the data privacy arena.

Importantly, Article 2(1) of the ICCPR states that:

“Each State Party to the present Covenant undertakes to respect and to ensure to all individuals within its territory and subject to its jurisdiction the rights recognized in the present Covenant, without distinction of any kind, such as race, colour, sex, language, religion, political or other opinion, national or social origin, property, birth or other status.”

If material originating in state A negatively affects the privacy of a person in state B, state B is arguably failing to provide “an effective remedy against those responsible” (ICCPR General Comment 16) to the affected individual “within its territory and subject to its jurisdiction” unless its laws provide for jurisdictional and legislative claims over the
offender in state A.

It can, of course, be said that even such a jurisdictional claim does not in itself provide “an effective remedy against those responsible” unless it can also be enforced. However, state B in our example can perhaps not be required to do more than what is in its power to do.

In light of the above, it is possible to suggest that the ICCPR is an example of an international convention that supports wide extraterritorial claims in the context of data privacy law.

 

Under International Custom

The 1935 Harvard Research Draft Convention on Jurisdiction with Respect to Crime (hereinafter, the Harvard Draft) is a natural point of departure for any discussion of jurisdiction under customary international law. Despite being dated, and despite being focused on jurisdiction with respect to crime, virtually every single text on public
international law relies upon the grounds for jurisdiction canvassed in the Harvard Draft (with the addition of the so-called ‘effects doctrine’).

So how does the traditional grounds for jurisdiction under customary international law impact the assessment of the extraterritorial claims of jurisdiction that the EU makes through its data privacy law? One thing is clear: in the context of typical data privacy infringements, four of the seven traditional principles for jurisdiction can be ignored. We need not busy ourselves with the subjective territoriality principle, the nationality principle, the protective principle, or the universal principle.

Article 4 of the current EU Data Protection Directive – in its focus on the geographical location of relevant equipment – could be argued to relate to the objective territoriality principle. That is because, as Kuner points out, this ground for jurisdiction “is at least partly based on the performance of an act (the use of equipment) occurring within the EU.”( Christopher Kuner, Data Protection Law and International Jurisdiction on the Internet (Part 1), 18 Int’l.  J. L. & Inf. Tech. 176, 190-191 (2010), at 188).

Article 3 of the proposed EU Data Protection Regulation – in placing focus, for example, on the behavioural monitoring of EU residents – seem likely to fall within the passive personality principle, or at least a permutation of it, even though its focus is on the residency of the data subject rather than on the data subject’s citizenship.

Further, both types of extraterritorial claims seem to fall squarely within the effects doctrine. Regardless of the methods used to connect foreign conduct with the jurisdiction where the data privacy law has been enacted (such as focusing on the use of equipment situated on the territory or on the behavioural monitoring of EU residents), one can
argue that the conduct has an effect within the jurisdiction.  Thus, both the approach taken in Article 4 of the current EU Data Protection Directive and the approach taken in Article 3 of the proposed EU Data Protection Regulation seem to fall within the effects doctrine.

Thus, one can conclude that customary international law is closer to supporting the EU approach to extraterritoriality, than it is to prohibiting it.

 

Under General Principles of Law Recognized by Civilized Nations

Our search for relevant so-called “general principles of law recognized by civilized nations” may be focused in a variety of manners. Here, I will restrict myself to considering whether the EU’s approach to extraterritoriality in data privacy law can be seen as a general principle of law recognized by civilized nations.

There are now more than 100 countries with data privacy laws. Many of those laws such as the laws of Australia, Singapore, the Philippines, Cape Verde, Malaysia, India  and indeed in the US, all have an extraterritorial reach more or less similar to that of EU law. However, examples may also be found of data privacy laws that currently make no extraterritorial claims (see e.g. Israel and Japan). Given this, the conclusion must be that the EU’s approach to extraterritoriality in data privacy law cannot be seen as a
general principle of law recognized by civilized nations. However, with an increasing number of countries implementing or revising data privacy laws, we may have reason to revisit this issue in a not too distant future.

 

Concluding remarks

The above signals that international law is closer to justifying, than it is to objecting to, the EU’s approach to extraterritoriality in data privacy law. This is significant. However, it does not necessarily mean that the EU approach is to be endorsed.

It remains my view that, the current EU Directive’s approach to extraterritoriality is dysfunctional in its unnecessary complexity and that the proposed EU Regulation needs to be refined, and should ideally adopt the ‘layered approach’ I have proposed elsewhere.

 

For more about the extraterritoriality issues in data privacy law raised here, see e.g.: Dan Svantesson, The Extraterritoriality of EU Data Privacy Law – Its Theoretical Justification and Its Practical Effect on U.S. Businesses, 50(1) Stanford Journal of International Law (2014).

Update from the Computer Privacy and Data Protection Conference

0 kommentarer Av Sparad i English, privacy & data protection, Svenska 22 januari 2014 @ 21:31

Today was off to an interesting start at the annual Computer Privacy and Data Protection conference in Brussels.  Here are a few points (not direct quotes) that I glistened from listening to a myriad of terrific speakers:

  • What is on the table now is progress. It is not perfection.  It reflects a lot of compromising. (Paul Nemitz)
  • Law enforcement’s use of data collected from social media providers to profile individuals should not be a situation “caught between pillars.”  This is especially true when Article 16 of the Lisbon Treaty provides the opportunity to create a single instrument to address this pressing issue.  Law enforcement’s reuse of private sector data is a huge gap in the new reform package. (Alba Bosch)
  • The principle of accountability is good because it provides data controllers with the kind of flexibility that they need.  This shift away from bureaucratic requirements should be applauded. (Thomas Boué)
  • If EU institutions are excluded from the Regulation then, at the very least, there must be another instrument which provides for exactly similar rules: there must be consistency at a high level. (Hielke Hijmans)
  • The name of this panel should not be “EU Data Protection Reform: Fixing the Last Bugs” it should be “EU Data Protection Reform: The Attack of the Killer Bees” as there are a lot of major problems that must still be addressed. (Christopher Kuner)
  • There is a serious lack of awareness about data protection rights exhibited on behalf of individuals, lawyers and courts.  Please see the FRA handbook that was just released .  It is a tool to understand data protection in a straight forward way. (Mario Oetheimer)
  • There is a tendency for governments and corporations to seek “clearance” or a “green light.”  Sometimes, however, no official clearance should be possible.  One must be prepared to be responsible for his/her decisions in court.  This is the real world after all. (Paul de Hert).
  • There is a tension between a rights-based notion of regulation and a harms-based notion of regulation.  There is a prevailing wind to think more about the harms-based notion of regulation. (Charles Raab)
  • Defining the object of the risk is the hard question in a risk assessment. When using risk assessment, one must examine his/her own normative commitments.  Take nuclear reactors for example.  What is the object of the risk posed by nuclear reactors?  Is it just the reactor pressure vessel?  What about the uranium mining or the transportation of material or the recycling of the material etc.?  Where does one draw the line? (Brian Wynne)
  • There has been little improvement in the Council over the last few months.  The same questions are repeated and repeated.  The reform package will not be done before the spring elections. Let’s hope the Council reaches a decision by the end of summer.  The worst result would be that the Council does not reach an agreement, which will force the Parliament to put the 4000 amendments back on the table and further delay the reform for many more years. (Wojciech Wiewiórowski)
  • From an American perspective, the EU Commission seems to resemble a black box.  What kind of transparency mechanisms are in place in order to allow individuals to understand what is going on there? (Julie Cohen)

‘Infobesity’ – are we drowning in the wealth of information?

0 kommentarer Av Sparad i access to information & transparency, English, supply of legal information 4 januari 2014 @ 23:40

The Internet gives us access to a volume of research findings unimaginable just some decades ago. Through electronic communications, primarily the Internet, access is no longer limited by distance. Further, in avoiding printing and shipping costs, electronic soft copies are typically cheaper than hard copy materials, contributing further to accessibility.

In addition, there seems to be a strong, and increasing, emphasis on publishing amongst legal academics, and perhaps also amongst legal practitioners. We have witnessed a dramatic increase in the number of available law journals: “It has been calculated that there were eight law journals in Australia in 1960, nine in 1970, fourteen in 1980 and about 50 in 1994” (John Gava, ‘Scholarship and Community’ (1995) 16 Sydney Law Review 443, 459). In 2011, there were “more than 70 Australian law journals” (Dan Svantesson, ‘Truisms about the Australian publishing climate for law journal articles, and some strategies to cope; or “A Feminist perspective on the human rights of vegetarian child-soldiers in
outerspace” (2011) 10(3) Canberra Law Review (Online) 4, 19). Similarly dramatic figures can be found in the US. One study shows that, the number of US law journals have increased from about 90 in the mid 1930s, to around 900 in 2009 (John Doyle, ‘The Law Reviews: Do Their Paths of Glory Lead but to the Grave?’ (2009) 10 Journal of Appellate Practice and Process 179, 180).

This development may partly be due to the ‘publish or perish’ principle commonly in the consciousness of academics. Other reasons may be found in developments such as increased specialisation sparking the need for specialist journals, and of course the possibility of publishing e-journals with lower costs to operate.

Adding further to the wealth of law journal articles available to us is the fact that research output, not least in the form of journal articles, now often is available for free, either in pre-print versions often found e.g. on the Social Science Research Network (SSRN), or in final versions in databases such as the Australasian Legal Information Institute (AustLII) or in university institutional repositories (see e.g. e-publications@bond).

As a result of all this, we are arguably at the risk of drowning in the mass of publications being produced. In more detail, there are two sides to this risk:

1. that the ‘high quality’ work of authors may drown in publications of ‘lower quality’; and
2. that the reader may drown in irrelevant ‘low quality’ content in the search for ‘high quality’ relevant content.

Thus, the risk affects both authors and readers.

It is of course not possible to scientifically assess what content is of ‘high quality’ and what content is of ‘low quality’. However, it is worth noting that one interesting study shows that 43% of law journal articles, notes and so on end up never being cited in any other law review article or indeed in any court decision (Thomas A. Smith, ‘The Web of Law’ (2007) 44 San Diego Law Review 309, 336). Some critics have gone as far as to suggest that the “most serious concern […] with legal scholarship is that too much of it is useless.” (Harry T. Edwards, ‘Reflections (On Law Review, Legal Education, Law Practice, and My Alma Mater)’ (2002) 100 Michigan Law Review 1999, 2001). Be that as it may, it is undeniable that more legal scholarship (including law journal articles) is produced, than what is ‘consumed’. In any such situation, the importance of connecting the right reader with the right content is high.

Search engines have helped alleviate the risk of drowning in the information ocean. However, they can only partially mitigate the problem as the need for human analysis of the content’s relevance and ‘quality’ remains to a great degree. As pointed out by Robertson and Warren searches in a full-text database “has the potential to find articles with the desired terms, yet which have nothing to do with the required topic.” (Tracy Robertson and Dennis Warren, ‘Online legal
indexes: An abstract likeness or a true portrait?’ (2008) 16 Australian Law Librarian 271 2008, 274).

To conclude, it may be said that unless we act now, the enormous advantages that can be gained from the ever increasing wealth of information available may well be lost in the chaos of information overload (also referred to as ‘infobesity’). To adopt a term that overuse has rendered a mere cliché, what we need is a paradigm shift in how we provide potential readers information about the content of the articles we publish.

In an article recently published in the Alternative Law Journal, I argue that such a paradigm shift can be achieved through the widespread adoption of a more advanced method – what we can call Uniform Summary Statements (USS) – for giving potential readers the possibility to evaluate the content of articles they are considering reading (Dan Svantesson, Improving Accessibility to Research Findings in Law: Uniform Summary Statements, Alternative Law Journal 38(4) (2013); pp. 260-264). Such USS could usefully replace the tired, neglected and misused abstract (commonly limited to around 50 to 250 words) that is an ineffective tool to communicate a sufficiently detailed description of the content of an article.

I propose that a USS should include the following eleven types of information:

  1. Title of the article
  2. Name of author(s)
  3. Author affiliation(s);
  4. The subject of the article;
  5. The aim of the article;
  6. The method used;
  7. The results/conclusions reached by the author;
  8. An outline of what jurisdictions the article relate to (where applicable);
  9. A list of key cases (where applicable);
  10. A list of key legislation, international instruments or the like (where applicable); and
  11. A list of key academic publications discussed (where applicable).

For most articles, it ought to be possible to limit the USS to two pages.

Automated reasoning

0 kommentarer Av Sparad i English, technology, teknik 2 januari 2014 @ 13:14

Does this conversation embody artificial intelligence at it’s finest as of today? Perhaps in a near future we could look forward to hearing the parties opinions on the topic of ‘Automation of legal reasoning’ (ref. Wahlgren, P., Automation of legal reasoning; A study on Artificial Intelligence and Law, Kluwer Law and Taxation Publishers, Juristförlaget, Stockholm, 1992).

Sök ADBJ:s stipendium för uppsats!

0 kommentarer Av Sparad i utbildning & lärande 20 december 2013 @ 12:13

Har du skrivit uppsats inom området Juridik och IT under 2013? I så fall, sök ADBJ:s stipendium för uppsats!

Svenska Föreningen för IT och Juridik (ADBJ) välj ut årligen den bästa uppsatsen inom området juridik och IT.

Stipendiet kan sökas av student eller handledare åt student för examensarbete som inte är äldre än ett år räknat från sista ansökningsdag. Stipendiet utgår med 10 000 kronor till en stipendiat.

Sista ansökningsdag: 20 januari 2014
Dokument att bifoga: examensarbetet, ett intyg från handledaren
Skickas till: kansliet@adbj.se med ärenderaden ”Stipendium för uppsats” (gärna i PDF-format)

Mer information finns på ADBJ:s webbplats.

Re-thinking extraterritoriality in data privacy law

0 kommentarer Av Sparad i international issues, privacy & data protection 16 december 2013 @ 0:03

The most important question for non-EU businesses and organisations watching the development of the new data privacy framework for the EU is whether that framework will affect those businesses and organisations. It seems clear that the proposed Regulation will do so indirectly in many ways; for example, through restrictions on the export of personal data.

However,  the question of whether the new data privacy framework will directly affect non-EU  businesses and organisations, by being binding on them, has gained surprisingly scant attention.

The approach taken to extraterritoriality, both in the current data privacy Directive and in the proposed Regulation, is binary. All or nothing. If a non-EU business or organisation meets the ‘extraterritoriality test’, it is bound by the full force of the Regulation.

This unsophisticated approach is problematic. It simply does not make sense to apply the same standard of extraterritoriality to provisions such as Article 5 (requiring e.g. that personal data is processed lawfully, fairly and in a transparent manner), and to Article 35 (demanding the designation of a potentially costly data protection officer). While it may be reasonable to ask a foreign company to abide by a country’s rules discouraging or penalising unauthorised and unreasonable disclosure or other use of personal data based on a certain degree of contact between that company and that country (eg a transaction involving the collection of personal data), the same degree of contact may not justify that country imposing on the company the duty of designating a data protection officer. The first type of rule is similar in nature to rules found in other areas of law, such as the law of defamation. In a sense, they are private in nature, while rules such as e.g. requiring a data protection officer are of a, comparatively heavy-handed, public law nature.

In an article recently published in International Data Privacy Law, I have put forward a proposal for an alternative approach to delineating the extraterritorial scope of data privacy laws (Dan Svantesson, A “layered approach” to the extraterritoriality of data privacy laws, International Data Privacy Law (2013) 3(4); pp. 278-286). I will here summarise the key  points of that approach.

  • Data privacy laws always incorporate a diverse range of legal rules. Thus, it is misguided and naive to think that the same rule of extraterritoriality can be applied to all these types of rules.
  • Thus, I propose that we dissect our data privacy law and assign all substantive rules to one of the following three ‘layers’:
    1. The abuse-prevention layer;
    2. The rights layer; and
    3. The administrative layer.
  • As already noted, data privacy laws commonly contain provisions seeking to discourage or even penalise unauthorised and unreasonable disclosure or other use of personal data, in a manner similar to how eg defamation law seeks to prevent abuse. Such rules ought to clearly fall within the abuse-prevention layer.
  • Within the rights layer we can comfortably place data privacy rules such as the right of access and the right of correction commonly found in data privacy laws.
  • As already hinted at, in the administrative layer, we should place data privacy rules such as the requirements of a designated data protection officer found in the proposed EU data privacy Regulation.
  • We can then assign a different extraterritorial test for each layer, with a more restrictive test for layer two than for layer one, and even more restrictive test for layer three.

Experience has taught us that the current approaches to extraterritoriality in data privacy law simply do not work. They are clumsily managing to be both overzealous and inadequate at the same time. Thus, this conundrum must be solved through the development of new approaches, such as the ‘layered approach’ advocated above.

For more about extraterritoriality issues in data privacy law, see e.g.: Dan Svantesson, Extraterritoriality in Data Privacy Law, Ex Tuto Publishing (November 2013)

Upcoming Events

0 kommentarer Av Sparad i education & learning 12 december 2013 @ 14:40

Some interesting events related to the field of IT law in the spring:

Event: International Conference on Multisensory Law
Organised by: University of Zurich
Time & Place: January 27-28 2014, Zurich
More information: http://www.rwi.uzh.ch/oe/zrf/abtrv/brunschwig/konferenzen/2014/Zuerich_en.html

Event: Information Influx Conference
Organised by: Institute for Information Law, University of Amsterdam
Time & Place: 2-4 July 2014, Amsterdam, the Netherlands
More information & call for papers: http://informationinflux.org/

Call for Papers: 10th International Conference on Internet, Law & Politics (IDP 2014) A decade of transformations. Barcelona, 3-4 July, 2014

0 kommentarer Av Sparad i education & learning 11 december 2013 @ 17:33

The 10th International Conference on Internet, Law and Politics is seeking papers about:

(1) Privacy and data protection;
(2) Copyright and industrial property rights;
(3) E-commerce and consumers;
(4) Cybercrimes; and
(5) E-Government Internet and Politics.

You can find more information here.

Sammanfattning 2013 Konferens Persondataskydd – ännu en gång

0 kommentarer Av Sparad i internationella frågor, personlig integritet, rättslig informationsförsörjning, utbildning & lärande 5 december 2013 @ 9:00

Här följer en kort sammanfattning av några presentationer vid konferensen Persondataskydd – ännu en gång, Rättsläget i avvaktan på resultatet av EU:s reformarbete, 19 november 2013. Hela programmet finns här (pdf) och presentationer är publicerade här.

Cecilia Magnusson Sjöberg öppnade konferensen.

Staffan Wikell, SKL, presenterade EU:s reformarbete. Efter en kort genomgång av nuvarande lagstiftning diskuteras Kommissionen:s förslag. De grundläggande principerna i förslaget är samma som tidigare. Förslaget var resultatet av ett samarbetet mellan Kommissionen, näringslivet, forskare och medlemsstaterna som hade pågått under 2 år. Anledningen varför förslaget avser en förordning i stället för ett direktiv var den bestående fragmentering av regelverket som bygger på dataskyddsdirektivet från 1995. Med 91 artiklar har förslaget dubbel så många bestämmelse som dagens dataskyddsdirektiv.

När förslaget behandlades i LIBE utskottet (Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor) las ursprungligen ca 3000 ändringsförslag fram. LIBE ville stärka individernas rättigheter, vilket ledde till många diskussioner både inom utskottet och i medierna. Den 21 oktober 2013 beslutade LIBE om sitt betänkande som innehåller 104 ändringar till KOM förslaget.

De viktigaste ändringar i förslaget gäller bl.a. den registrerades rättigheter genom att rätt till information ökas, dataportabilitet införs och rätt till radering utvidgas. Genom förordningen kommer både dataskyddsdirektivet och den svenska personuppgiftslagen upphöra att gälla. Förslaget innehåller en blandning av allmänna bestämmelser och detaljreglering. Delegerade akter infördes som ger Kommissionen rätt att lagstifta i viss mån. Dessa har kritiserats och i LIBE betänkandet minskas antalet från 26 till runt 7.

En annan nyhet i förslaget är den territoriella räckvidden; förordningen kommer även gälla för registeransvariga som inte är etablerade inom EU, men som erbjuder produkter eller tjänster som rikas till konsumenter inom EU.

Konferensen fortsatte med en paneldiskussion där Karl-Fredrik Björklund, Staffan Malmgren, Jane Reichel, Daniel Westman och Staffan Wikell diskuterade vad som är bäst respektive sämst med EU:s reformarbete.

Daniel Westman tyckte att fokus på frågorna om personlig integritet ökas pga förslaget vilket är en bra effekt som kan leda till större praktiskt genomslag av regelverket. En nackdel med förslaget är dock att den innebär en one-size-fits-all lösning; dataskydd ses som en rättighet i sig inte som en instrument vilket påverkar effektiviteten i lagstiftningen negativt. Lagstiftning borde i stället tar sikte på vissa beteenden och omfattar en blandning av allmänna bestämmelser och specifika regleringar för vissa verksamheter, t.ex. registerlagar för privata aktörers verksamheter.

Jane Reichel såg som fördel med förslaget en större enhetlighet inom EU och större harmonisering vilket leder till bättre rörlighet. En nackdel är dock den starka myndighetsstruktur som föreslås genom utökade kompetenser och möjligheter för dataskyddsmyndigheter. Tillsammans med en ny mekanism för enhetlighet (consistency mechanism) där frågor kan ställas till Kommissionen hur regelverket ska tolkas, blir perspektivet mycket snävt endast på dataskydd och ta inte hänsyn till andra relaterade områden. Detta leder till en annan typ av fragmentisering. På så sätt kan det talas om “administrative activism” i stället för “judicial activism”.

Karl-Fredrik Björklund ansåg det bästa med förslaget är harmonisering, en förstärkt roll av personuppgiftsombud som en slags internrevisor med ökade kompetenskrav. Dessa krav behöver inte vara juridiska eller tekniska, men något som visar att personuppgiftsombudet har förståelse för hanteringen av personuppgifterna i verksamheten. Det som är sämst med förslaget är mindre flexibilitet, t.ex. ingen möjlighet för missbruksprinciper som finns i dag enligt svensk lag.

Staffan Malmgren tyckte att det bästa med förslaget är att det tar hänsyn till den tekniska utvecklingen, bl.a. genom dataportabilitet och juridiska krav på det vilket betyder att datamodellerna måste anpassas och uppfyller en viss standard. Det som är sämst är osäkerheten kring undantagen speciellt med tanke på yttrandefriheten. I dag är regelverket väl utvecklat och speglar en balans som funnits mellan personlig integritet och yttrandefrihet. Hur förslaget påverkar denna balans är oklart i dags läget. Staffan förslår även en “agil lagstiftningsteknik” som tar hänsyn till beteenden som regleras just nu i förslaget kanske är föråldrade när förordningen väl antagits.

Staffan Wikell ansåg en utmaning med förslaget är att regelverket egentligen tar sikte på företag, även om de gäller också inom den offentliga sektorn. Yttranderiheten kommer finnas kvar, men oklart hur, eftersom den svenska personuppgiftslagen kommer upphöra att gälla försvinna, så en ny svensk lagstiftning behövs i detta avseende.

Efter panelen diskuterade lagstiftaren, forskare, Tillsynsmyndigheten, praktikern, journalisten och domaren vad som står högst på agendan.

Mats G. Hansson, Centre for Research ethics and Bioethics (CRB) framhävde vikten av identifikation och värdering av riskfaktorer, t.ex. genetisk risk, livsstil, miljö, socioekonomi, för preventiv förebyggande av sjukdomar. Medicinsk forskning har alltid byggt på frivillig riskexponering, men kräver användning av register, enkäter, osv. Statistik möjliggör att vissa idéer angående samband mellan orsaker och sjukdom prövas. Därför behövs sjukdomsspecifika register, populationsbaserade register och persondata i medicinska journaler. Utmaningen med dataskyddsreglering är att ändamålen inte alltid är specifierbara eftersom nya ändamål kan dyka upp i framtid forskning. Samtycke och förtroende är mycket viktiga för användning av registrerna. Ska dock i så fall ett nytt samtycke inhämtas varje gång forskningen leder till nya ändamål? Ju mer specifika ändamålsangivelse behövs enligt lag desto sämre nytta kan registren ha för forskningen. Med andra ord, möjligheterna försämras trots att integritetsskyddet är inte optimalt heller. Ett brett ändamål är inte nödvändigtvis lika med ett vagt ändamål.
Det behövs standarder för datasäkerhet, transparans och öppenhet för vilka syften och metoder forskningen bedrivs på.

Magnus Stenbeck, Karolinska Institutet, talade om registerforskning. Landskapet med register är komplicerad i dag; bortsett från hälsodataregistret från Socialstyrelsen, har SCB ca 40 nationella register och surveys. Utöver det finns i dag ca 12 andra statliga centrala register samt ca 100 nationella kvalitetsregister inom hälso- och sjukvården. För att tydliggöra landskapet har en portal skapats, registerforskning.se, där etiska principler och regler samt resurser tillgängliggörs.

I samband med förslaget undrar Magnus hur Artikel 6.2 ska tolkas. Artikel 6.2 hänvisar till Artikel 83:

Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

Betyder det att Artikeln 6 inte behöver tillämpas inom forskning? Artikel 83 saknar dock en reglering av etikprövning, vilket Sverige föreslog som tillägg men som togs bort i slutgiltiga förslaget.

Utöver det saknas en motsvarighet till 9 § 2 st personuppgiftslag i LIBE förslaget, men finns i Ministerrådets förslag:

I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Samtidigt pågår en svensk utredning om Registerbaserad forskning med stärkt integritetsskydd som förväntas lämna sitt förslag under sommaren 2014.

Efter forskningen hade tillsysnsmyndigheten ordet. Kristina Svahn Starrsjö, Datainspektionens (DI) generaldirektör, presenterar det som står högst i agendan för DI. Enligtverksamhetsplanen för 2013 är det bl.a. BYOD (bring your own device), smarta elnät, kameraövervakning, molntjänster och e-förvaltning. DI:s beslut angående Salem kommun:s användning av Google Apps har överklagats och förhandlingarna pågår. En ny kamerövervakningslag har trätt i kraft och lett till nya uppgifter för DI (som har tagits över från JK).

Från perspektivet från näringslivet berättade Caroline Olstedt Carlström, Klarna och Forum för dataskydd, om utmaningarna som finns på tapeten just nu. Transparans är mycket viktigt från ett praktiskt perspektiv, det ska vara tydligt vad man gör med personuppgifter. Privacy by design utgör en extra utmaning, speciellt vid upphandlingar. Gallring och anonymisering är en ytterligare utmaning eftersom persondatahantering kan vara komplext, inte minst med tanke på loggar. En fråga i samband med gallring är också om man ska loggar när man gallrar.

Det är viktigt att finna lämpliga modellösningar. Juridiska lösningar ibland enklare än praktiska implementering, t.ex. följer alla anställda de interna reglerna. Caroline nämner Neelie Kroes tweet “Want to stop your house getting burgled? You need a lock, not a lawyer.” En spännande utveckling i samband med EU förslaget är LIBE kommitteen:s förslag på visualisering.

Per Furberg talade om myndigheters utmaningar just nu. En viktig punkt när det gäller dataskydd är infrastruktur: Hur ska en helt elektronisk värld sorteras in under reglerna för persondataskydd? När virtuella rum skapas, kan PUL tillämpas rakt av i dessa?

En viktig fråga är vart finns datat? Vem är personuppgiftsansvarig för vilket data? Per tar upp examplet med e-legitimationer och visar vart data kan finnas när någon använder en eID tjänst. Per ser behovet av ett “tredimensionellt persondataskydd”.

Henrik Jermsten påpekade vissa frågor från domarens perspektiv. Dataskyddsreglering är speciellt på så sätt att den gäller både för enskild och offentlig verksamhet; inte många andra rättsområden där det finns samma lagstiftning. Dataskyddsdirektivet från 1995 var en av de första direktiven som Sverige genomförde efter landet biträdde EU. Detta ledde till bl.a. att förarbetena är fattiga på exempel. Henrik nämner flera intressanta rättsfall, t.ex. HFD fallet där försäkringskassan var ansvarig för personuppgifter i sms-tjänsten som gäller sjukskrivningar, även om FK faktiskt inte hade tillgång till uppgifterna. Ett annat fall rörde Tingsrätten på gotland som la ut uppropslistor på sin webbplats. Syftet var insyn och information till allmännheten, men DI tyckte annorlunda. Beslutet av Kammarrätten är nu överklagad till HFD.

Om dataskyddsförordningen antas blir det mindre utrymme för svenska domstolar att tolka. Flera utredningar just nu handlar om dataskydd, t.ex. informationshanteringsutredningen som ska se över registerlagstiftnigen.

Dag Wiese Schartum avslutade dagen med ett både teoretiskt och praktiskt perspektiv. Dataskydd har olika problemområden.

Materiella problem utgörs av starka motstridiga intressen, dynamisk utveckling av teknik och samhället, ett globalt behov for normer och faktumet att integritet gäller alla delar av samhället.

De regulatoriska problem handlar om rollen de nationella parlamenten ska ha, om vi talar om rättsenhet eller “juridisk interoperabilitet”, abstrakta regler eller särregulering. Implementeringsproblemen visar på skillnaden mellan law in books vs law in action. Abstrakta regler är för jurister och experter, konkreta regler kan å andra sidan förstås av alla.

I enlighet med Charles Clark uttalande “the answer to the machine is in the machine” finns flera tekniska lösningarförslag: privacy by design (PbD) och privacy enchancing technologies (PET) borde vara integrerad i systemlösningar. Lagreglering räcker inte här, det krävs IKT verktyg för systemutveckling av PET (risikoutvärdering) och gemensamma IKT komponenter för PbD (samtycke, insyn).

Handhevingsproblemer omfattar bl.a. att manuell kontroll aldrigkan blir tillfredställande och att en effektiv automatiserad kontroll kräver rättslig regulering. Läringsproblemen innebär samtidigt att ställa frågan om persondataskyddslagstiftning har den önskade effekten. I detta sammanhang ska man fundera över vilka kriterierna är för success och hur kan de mätas?

Persondataskydd är en omfattande uppgift. Effektiv regulering är omöjlig utan

- mer konrete regler
- evaluering av aktiv förberedning av lagstiftning och implementering
- aktivt användning av IKT

Utvecklingen inom persondataskydd är väldigt högt på agendan just nu. I samarbete med mig har Advokatfirman Delphi nyligen lanserat en blogg om personlig integritet och den pågående lagstiftningsprocessen inom EU.

Mac Users to Pay More?

0 kommentarer Av Sparad i e-business, privacy & data protection, technology 2 december 2013 @ 10:54

The era of “Big Data” and predictive analytics has resulted in the ability to scan large amounts of data in order to extract knowledge and predictive meaning. Price discrimination has been described as the charging of different prices to various customers for the same goods or services (see Andrew Odlyzko, Privacy, Economics and Price Discrimination on the Internethttp://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882, page 2, last accessed 2013-10-08).  Orbitz Worldwide Inc. is a travel company that provides an on-line service for the booking of hotel rooms and other travel arrangements. An article in the Wall Street Journal has highlighted the fact that in Orbitz has analysed its customer data and identified the fact that Apple Mac users generally spend approximately 30% more a night on hotels and other travel options than Windows users (see further http://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882).

This has resulted in Orbitz showing different hotel offers to Mac and PC visitors, the former usually being offered a costlier alternative. While Orbitz mentioned that it is not showing the same room to different users for different prices, thereby highlighting that classic price discrimination is not being practiced, this is a technological advance that could be put to practice as the knowledge gained from the practice of predictive analytics becomed more and more valuable.

Läs äldre poster

Copyright © blawblaw
Nyheter om, från och kring institutet för rättsinformatik

Byggt på Notes Blog Core
Powered by WordPress