The EU Commission’s Proposal For Sweeping Data Protection Reform

The annual conference, Computers, Privacy & Data Protection  was held in Brussels last week.   The purpose of the conference is to create a forum where various individuals can exchange ideas about key issues in the fields of privacy, data protection, technology and society.  This year, of course, the biggest topic of discussion was the European Commission’s proposal for a comprehensive reform of EU data protection rules which was announced on the first day of the meeting.

On January 25, Ms. Francoise Le Bail, Director-General for DG Justice, gave a key-note speech where she highlighted some of the major goals in the Commission’s proposal.  First, she emphasized that the proposal is unequivocally designed to modernize the EU’s data protection regime and to strengthen the rights of individuals.  She explained that one way to achieve these goals is to require “explicit” consent in order to process data, despite the fact that this may be burdensome for data processors (how many pop-up boxes requiring consent constitutes “explicit” consent?).   Second, she emphasized that the use of a “single rule” (i.e. the use of a regulation rather than a directive ) would help to reinforce the rights of individuals, save companies money and reduce “red tape” insofar as it would create a “one stop shop” for data protection regulation and enforcement.  Third, she highlighted the proposal’s goal of strengthening the powers of national data protection authorities who, pursuant to the draft document, would be empowered to fine companies that violate EU data protection rules up to €1 million or up to 2% of the company’s global annual turnover.  Finally, Ms. Le Bail stated that the proposal seeks to facilitate the free flow of data among the member states and to third countries to the extent that it is designed to reduce authorizations, facilitate binding corporate rules and clarify adequacy decisions.  For more, see the Commission’s press release.

Privacy and data protection advocates at the conference, at least, generally, seem to applaud the Commission’s sweeping reform and viewed it as an excellent starting point for a modern EU data protection regime.  These individuals seemed particularly pleased with the application of a regulation which would allow all EU citizens to receive the same high level of data protection regardless of their country of residence.  Privacy advocates also welcomed the proposal’s call for increased accountability on behalf of data controllers and its ambition to strengthen enforcement powers of national data protection authorities.  For more see, European Data Protection Supervisor’s press release.

The business reaction at the conference was mixed.  Businesses seemed pleased with the prospect of reduced administrative burdens facilitated by the “one stop shop” approach.  On the other hand, there was a feeling that the proposal creates a gulf between the theory and practice of data processing.  Christopher Kuner  noted that while Privacy Impact Assessments (PIAs) can be useful and necessary in many instances, the provisions on PIAs in the proposal might overly burden small and medium sized businesses.  He also stated that many EU companies might to have to renegotiate their contracts in order to adapt to the reallocation of duties between data controllers and processors. He further stated that provisions concerning “the right to be forgotten” and the security breach notifications appeared to be problematic (at least from his cursory view of the proposal which was announced just hours before his speech).  Finally, he noted that the data transfer issues posed by cloud computing did not appear to be adequately addressed by the regulation.

Ultimately, it will probably be another year or two before the Commission’s proposal is adopted so we will have to stayed tuned to see what happens.

Shedding Light on Internet Regulation in Belarus

By Aleksey Ponomarev, LL.M in Law and Information Technology from Stockholm University

Since the beginning of January 2012 a new Belarusian Internet regulation has been at the center of attention of various online media resources. However, it appears that the rules of the previously enacted President Edict N 60 have been interpreted in a wrong way, which has caused serious confusion in the world media. The sensation from Belarus named “Belarus Bans Browsing of All Foreign Websites” is being widely discussed and has been republished by various online media resources (BBC, Washington Post, Forbes, La Stampa, ZDNet, The Next Web, Mashable, TorrentFreak, etc.) The initial source of incorrect assumptions surprisingly seems to be the reputable resource of the US Library of Congress, which published the article “Belarus: Browsing Foreign Websites a Misdemeanor”[1] referring to Belarusian “yellow pages” Interfax news agency as source. The speed with which the misleading story filled the mainstream media was truly remarkable and in a few days more than 50 resources from different states have republished the incorrect information without being properly checked.

The confusion can be explained by the lack of objective and qualified information on the Belarusian Internet regulation, on the one hand, and the ambiguity of the provisions of law regulating the Internet, on the other hand. It is important to understand that the Presidential Edict No 60 on Measures to Improve the Use of the National Segment of the Internet Network (hereinafter referred to as the Edict) entered into force on 1 July, 2010, and its provisions have been in force for the past year and a half. Since entering into force the Edict, being supported by subordinate legislation, has neither brought any radical changes to the Belarusian online market nor heavy limitations of human rights and freedoms. Contrary to media reports neither is visiting foreign websites is considered as a violation of the law nor has any of foreign websites been blocked, as both these measures are not prescribed by the Edict.

Meanwhile the Edict was left without reasonable attention of the foreign media; the enforcement of sanctions for violation of provisions of the Edict became the subject of hot discussions in January 2012. The Law Amending the Administrative Offences Code (hereinafter mentioned as the Law) which entered into force on 6 January, 2012, enacted the sanctions for violation of the provisions of the Edict in the form of a fine (approx EUR 32 to EUR 96) as the only possible legal sanctions applicable for violation of the rules prescribed by the Edict. Any kind of other sanctions in the form of blockage of access to foreign websites or other measures are prescribed neither by the Edict nor by the Law.

The full version of this article is available at the pages of the blog on Information Technology law and Internet regulation in Belarus available at www.ITlaw.by.


[1] Roudik, Peter, Belarus: Browsing Foreign Websites a Misdemeanor, available at: http://www.loc.gov/lawweb/servlet/lloc_news?disp3_l205402929_text

Förslag till förändrat PSI-direktiv publicerat

Av Lars Klasén

Den 12 december publicerade EU-kommissionen ett förslag till ändringar i det nuvarande s k PSI-direktivet, direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn. Inriktningen är att det nya direktivet ska börja gälla den 1 januari 2013. Därefter får medlemsstaterna 18 månader på sig att implementera det.

Bakgrunden är den översyn av direktivets tillämpning som genomfördes under 2009, följd av ett omfattande samråd med allmänheten hösten 2010. Slutsatsen blev att “mycket återstår för att göra för att maximera potentialen i vidareutnyttjandet” och att flera av direktivets  bestämmelser “behöver ändras eller förtydligas”. Frågan om avgiftsbeläggning gav inga samstämmiga svar, så här var slutsatsen bara att “skillnaderna mellan informationsinnehavarnas och vidareutnyttjarnas behov måste beaktas för att inte hämma vidareutnyttjandet av data”.

Viktiga ingredienser i det ändrade direktivet

- En allmän regel om att alla dokument som är tillgängliga hos myndigheter får återanvändas oavsett syfte, kommersiellt eller ickekommersiellt, såvida de inte skyddas av en tredje parts upphovsrätt.

- Även handlingar som finns vid bibliotek, muséer och arkiv, för vilka de innehar de immateriella rättigheterna, omfattas. Dessa institutioner är undantagna idag.

- Handlingarna bör tillgängliggöras i maskinläsbart format tillsammans med tillhörande metadata, när så är möjligt och lämpligt, i ett format som garanterar kompatibilitet.

- Om avgift tas ut ska den begränsas till marginalkostnaderna för reproduktion och spridning. Idag gäller självkostnadsprincipen. De flesta uppgifter ska dock tillhandahållas gratis eller nästan gratis.

- Bevisbördan för att avgifterna tas ut enligt ovan åligger den myndighet som tar ut avgift. En myndighets beslut ska kunna överprövas vid en särskild, oberoende, kontrollmyndighet. Denna ska också ha ansvaret för att medge undantag från direktivets regler, t ex för sådana myndigheter som är beroende av intäkter för sin drift.

- Licenser får användas, men bara om det är nödvändigt.

- Myndigheterna ska tillhandahålla möjlighet att söka efter vilka handlingar som finns tillgängliga för vidareutnyttjande, t ex via register eller förteckningar.

Kommentarer

Den grundläggande bevekelsegrunden  för direktivet är, som tidigare, i första hand knutet till den offentligt producerade informationens ekonomiska potential, uttryckt så här i EU-kommissionen pressrelease 2011-12-12: “Europas offentliga myndigheter sitter på en guldgruva av ekonomiska möjligheter som inte utnyttjas: de stora mängder information som det stora antalet offentliga myndigheter och tjänster har samlat in.”

Jag tror att dagens kommersiella informationsförmedlare är relativt tillfreds med de förändringar som föreslås. De får skarpare vapen i sin hand när de slåss mot de ofta motsträviga myndigheterna, inte bara vad gäller att få ut data utan också vad gäller avgifter. Kontrollmyndigheten är, som jag uppfattar det, fundamental i sammanhanget. Att idag driva sin sak gentemot en  myndighet är mycket omständligt. Men de som framför allt gynnas är en rad andra aktörer, ideella eller kommersiella, privatpersoner eller företag, som vill nyttja ”rådata” för att bygga applikationer, e-tjänster, etc.

Ett av mina husorgan, Computer Sweden, berör allt oftare ämnet. T ex skriver ledaren den 11/2 under rubriken ”Öppna data ger
nya utvecklarjobb
” att ”Vi uppmanar regeringen att tillsätta en expertgrupp som tar fram en plan för att skapa standardiserade
programmeringsgränssnitt för att ge både företag och medborgare tillgång till rådata”. Så lättvindigt går det naturligtvis inte – se bara hur ”segt” det har gått enbart inom rättsinformationen, ett litet område i sammanhanget – men ändå, det är ett tecken i tiden.

Om man ska tala om förlorare så är det väl de enskilda myndigheterna. Frånsett att det nog för många bär emot bara att lämna ut ”sin” information så kan ju de nya kraven innebära nya arbetsuppgifter som det är svårt att få kostnadstäckning för. För att inte tala om arbetet med att skapa tillgångsförteckningar, funktioner för uttag av rådata samt, i extremfall, de ”standariserade
programmeringsgränsnitt” som Computer Sweden efterlyser …

Kanske är det därför det är så tyst om ändringsförslaget? Inte ens Kungliga biblioteket eller Biblioteksföreningen, som brukar vara alerta med synpunkter, har reagerat. Men det som förvånar mest är att e-delegationen, som har som uppgift ”att främja och samordna myndigheternas arbete med att förbättra förutsättningarna för vidareutnyttjande av information från den offentliga förvaltningen”, inte med ett ord berör förslaget på sin webbplats.

Kommande ADBJ seminarium: “Dataspelens värld”

Tisdagen den 31 januari 2012, kl. 17:30

Advokatfirman Delphi, Regeringsgatan 30-32. Stockholm

Per Strömbäck, talesperson för Dataspelsbranschen, belyser spel- och branschutvecklingen, med nedslag i kultur, juridik och ekonomi. Han tar bland annat upp frågor kring ensamrättens betydelse, integriteten och integrationen med sociala medier.

Mer information om ADBJ kan hittas på: http://www.adbj.se/adbjweb/index.php

 

 

SubTech 2012 Conference in New York

The Twelfth International Conference on Substantive Technology in Legal Education and Practice (SubTech 2012), will be held
Thursday through Saturday, July 26-28, at New York Law School in New York City. (http://www.nyls.edu/ )

The SubTech Conference has been held since 1990 and is arranged bi-annually. It alternates between a US destination the one year followed by a European one the next. The Conference focuses on the use of technology in legal education and examines how technology can best be utilized in order to produce better legal graduates who have a greater understanding of technology and prepare them for the technologically advanced law firm or court room.

Some previous SubTech destinations include: Salzburg, Chicago, Paris, Montreal, Stockholm, Cambridge (MA), Warwick (UK), Seattle, Oslo, Williamsburg, and Zaragoza.

General Data Protection Regulation Delayed

The European Commissions’s proposed Regulation on Data Protection has been delayed. It was scheduled to be adopted in January but it has now been delayed until February/March 2012. It is assumed that criticism of the new posposed legislation during the internal legislative process is at the root of this decision.

More information regarding this can be found at the following link:

http://us2.campaign-archive2.com/?u=957214c9b3f3f5477a8fcc16d&id=fe2165ea59&e=40f331d5c7

IFCLA 2012 CONFERENCE

The International Federation of Computer Law Associations (IFCLA) is an umbrella organization for many technology law associations.

The 2012 IFCLA Conference will take place in Munich and is scheduled to take place between the 20th and 22nd of June.

More information concerning the Conference can be found at the following link:  www.ifcla2012.de

Cyber Security in 2012

Last month saw a variety of discussions regarding what cyber security issues may continue, or be introduced, in the new year. Experts highlighted increasing threats conducted via mobile computing and social media, as well as continued cyber espionage. There was a warning that expliotation may shift to damage or disruption. Discussions also continued past years’ debates regarding a possible increase of national legislation requiring incident reporting. Some forecasts of 2012 included recommendations to invest in cyber security companies, which likely will see a long future of growth opportunity!

Here’s a short list of various predictions. Add yours, or link to others, in the comments.

 

Copyright © blawblaw
Nyheter om, från och kring institutet för rättsinformatik

Byggt på Notes Blog Core
Powered by WordPress