Re-thinking extraterritoriality in data privacy law

The most important question for non-EU businesses and organisations watching the development of the new data privacy framework for the EU is whether that framework will affect those businesses and organisations. It seems clear that the proposed Regulation will do so indirectly in many ways; for example, through restrictions on the export of personal data.

However,  the question of whether the new data privacy framework will directly affect non-EU  businesses and organisations, by being binding on them, has gained surprisingly scant attention.

The approach taken to extraterritoriality, both in the current data privacy Directive and in the proposed Regulation, is binary. All or nothing. If a non-EU business or organisation meets the ‘extraterritoriality test’, it is bound by the full force of the Regulation.

This unsophisticated approach is problematic. It simply does not make sense to apply the same standard of extraterritoriality to provisions such as Article 5 (requiring e.g. that personal data is processed lawfully, fairly and in a transparent manner), and to Article 35 (demanding the designation of a potentially costly data protection officer). While it may be reasonable to ask a foreign company to abide by a country’s rules discouraging or penalising unauthorised and unreasonable disclosure or other use of personal data based on a certain degree of contact between that company and that country (eg a transaction involving the collection of personal data), the same degree of contact may not justify that country imposing on the company the duty of designating a data protection officer. The first type of rule is similar in nature to rules found in other areas of law, such as the law of defamation. In a sense, they are private in nature, while rules such as e.g. requiring a data protection officer are of a, comparatively heavy-handed, public law nature.

In an article recently published in International Data Privacy Law, I have put forward a proposal for an alternative approach to delineating the extraterritorial scope of data privacy laws (Dan Svantesson, A “layered approach” to the extraterritoriality of data privacy laws, International Data Privacy Law (2013) 3(4); pp. 278-286). I will here summarise the key  points of that approach.

  • Data privacy laws always incorporate a diverse range of legal rules. Thus, it is misguided and naive to think that the same rule of extraterritoriality can be applied to all these types of rules.
  • Thus, I propose that we dissect our data privacy law and assign all substantive rules to one of the following three ‘layers’:
    1. The abuse-prevention layer;
    2. The rights layer; and
    3. The administrative layer.
  • As already noted, data privacy laws commonly contain provisions seeking to discourage or even penalise unauthorised and unreasonable disclosure or other use of personal data, in a manner similar to how eg defamation law seeks to prevent abuse. Such rules ought to clearly fall within the abuse-prevention layer.
  • Within the rights layer we can comfortably place data privacy rules such as the right of access and the right of correction commonly found in data privacy laws.
  • As already hinted at, in the administrative layer, we should place data privacy rules such as the requirements of a designated data protection officer found in the proposed EU data privacy Regulation.
  • We can then assign a different extraterritorial test for each layer, with a more restrictive test for layer two than for layer one, and even more restrictive test for layer three.

Experience has taught us that the current approaches to extraterritoriality in data privacy law simply do not work. They are clumsily managing to be both overzealous and inadequate at the same time. Thus, this conundrum must be solved through the development of new approaches, such as the ‘layered approach’ advocated above.

For more about extraterritoriality issues in data privacy law, see e.g.: Dan Svantesson, Extraterritoriality in Data Privacy Law, Ex Tuto Publishing (November 2013)

Upcoming Events

Some interesting events related to the field of IT law in the spring:

Event: International Conference on Multisensory Law
Organised by: University of Zurich
Time & Place: January 27-28 2014, Zurich
More information: http://www.rwi.uzh.ch/oe/zrf/abtrv/brunschwig/konferenzen/2014/Zuerich_en.html

Event: Information Influx Conference
Organised by: Institute for Information Law, University of Amsterdam
Time & Place: 2-4 July 2014, Amsterdam, the Netherlands
More information & call for papers: http://informationinflux.org/

Call for Papers: 10th International Conference on Internet, Law & Politics (IDP 2014) A decade of transformations. Barcelona, 3-4 July, 2014

The 10th International Conference on Internet, Law and Politics is seeking papers about:

(1) Privacy and data protection;
(2) Copyright and industrial property rights;
(3) E-commerce and consumers;
(4) Cybercrimes; and
(5) E-Government Internet and Politics.

You can find more information here.

Sammanfattning 2013 Konferens Persondataskydd – ännu en gång

Här följer en kort sammanfattning av några presentationer vid konferensen Persondataskydd – ännu en gång, Rättsläget i avvaktan på resultatet av EU:s reformarbete, 19 november 2013. Hela programmet finns här (pdf) och presentationer är publicerade här.

Cecilia Magnusson Sjöberg öppnade konferensen.

Staffan Wikell, SKL, presenterade EU:s reformarbete. Efter en kort genomgång av nuvarande lagstiftning diskuteras Kommissionen:s förslag. De grundläggande principerna i förslaget är samma som tidigare. Förslaget var resultatet av ett samarbetet mellan Kommissionen, näringslivet, forskare och medlemsstaterna som hade pågått under 2 år. Anledningen varför förslaget avser en förordning i stället för ett direktiv var den bestående fragmentering av regelverket som bygger på dataskyddsdirektivet från 1995. Med 91 artiklar har förslaget dubbel så många bestämmelse som dagens dataskyddsdirektiv.

När förslaget behandlades i LIBE utskottet (Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor) las ursprungligen ca 3000 ändringsförslag fram. LIBE ville stärka individernas rättigheter, vilket ledde till många diskussioner både inom utskottet och i medierna. Den 21 oktober 2013 beslutade LIBE om sitt betänkande som innehåller 104 ändringar till KOM förslaget.

De viktigaste ändringar i förslaget gäller bl.a. den registrerades rättigheter genom att rätt till information ökas, dataportabilitet införs och rätt till radering utvidgas. Genom förordningen kommer både dataskyddsdirektivet och den svenska personuppgiftslagen upphöra att gälla. Förslaget innehåller en blandning av allmänna bestämmelser och detaljreglering. Delegerade akter infördes som ger Kommissionen rätt att lagstifta i viss mån. Dessa har kritiserats och i LIBE betänkandet minskas antalet från 26 till runt 7.

En annan nyhet i förslaget är den territoriella räckvidden; förordningen kommer även gälla för registeransvariga som inte är etablerade inom EU, men som erbjuder produkter eller tjänster som rikas till konsumenter inom EU.

Konferensen fortsatte med en paneldiskussion där Karl-Fredrik Björklund, Staffan Malmgren, Jane Reichel, Daniel Westman och Staffan Wikell diskuterade vad som är bäst respektive sämst med EU:s reformarbete.

Daniel Westman tyckte att fokus på frågorna om personlig integritet ökas pga förslaget vilket är en bra effekt som kan leda till större praktiskt genomslag av regelverket. En nackdel med förslaget är dock att den innebär en one-size-fits-all lösning; dataskydd ses som en rättighet i sig inte som en instrument vilket påverkar effektiviteten i lagstiftningen negativt. Lagstiftning borde i stället tar sikte på vissa beteenden och omfattar en blandning av allmänna bestämmelser och specifika regleringar för vissa verksamheter, t.ex. registerlagar för privata aktörers verksamheter.

Jane Reichel såg som fördel med förslaget en större enhetlighet inom EU och större harmonisering vilket leder till bättre rörlighet. En nackdel är dock den starka myndighetsstruktur som föreslås genom utökade kompetenser och möjligheter för dataskyddsmyndigheter. Tillsammans med en ny mekanism för enhetlighet (consistency mechanism) där frågor kan ställas till Kommissionen hur regelverket ska tolkas, blir perspektivet mycket snävt endast på dataskydd och ta inte hänsyn till andra relaterade områden. Detta leder till en annan typ av fragmentisering. På så sätt kan det talas om “administrative activism” i stället för “judicial activism”.

Karl-Fredrik Björklund ansåg det bästa med förslaget är harmonisering, en förstärkt roll av personuppgiftsombud som en slags internrevisor med ökade kompetenskrav. Dessa krav behöver inte vara juridiska eller tekniska, men något som visar att personuppgiftsombudet har förståelse för hanteringen av personuppgifterna i verksamheten. Det som är sämst med förslaget är mindre flexibilitet, t.ex. ingen möjlighet för missbruksprinciper som finns i dag enligt svensk lag.

Staffan Malmgren tyckte att det bästa med förslaget är att det tar hänsyn till den tekniska utvecklingen, bl.a. genom dataportabilitet och juridiska krav på det vilket betyder att datamodellerna måste anpassas och uppfyller en viss standard. Det som är sämst är osäkerheten kring undantagen speciellt med tanke på yttrandefriheten. I dag är regelverket väl utvecklat och speglar en balans som funnits mellan personlig integritet och yttrandefrihet. Hur förslaget påverkar denna balans är oklart i dags läget. Staffan förslår även en “agil lagstiftningsteknik” som tar hänsyn till beteenden som regleras just nu i förslaget kanske är föråldrade när förordningen väl antagits.

Staffan Wikell ansåg en utmaning med förslaget är att regelverket egentligen tar sikte på företag, även om de gäller också inom den offentliga sektorn. Yttranderiheten kommer finnas kvar, men oklart hur, eftersom den svenska personuppgiftslagen kommer upphöra att gälla försvinna, så en ny svensk lagstiftning behövs i detta avseende.

Efter panelen diskuterade lagstiftaren, forskare, Tillsynsmyndigheten, praktikern, journalisten och domaren vad som står högst på agendan.

Mats G. Hansson, Centre for Research ethics and Bioethics (CRB) framhävde vikten av identifikation och värdering av riskfaktorer, t.ex. genetisk risk, livsstil, miljö, socioekonomi, för preventiv förebyggande av sjukdomar. Medicinsk forskning har alltid byggt på frivillig riskexponering, men kräver användning av register, enkäter, osv. Statistik möjliggör att vissa idéer angående samband mellan orsaker och sjukdom prövas. Därför behövs sjukdomsspecifika register, populationsbaserade register och persondata i medicinska journaler. Utmaningen med dataskyddsreglering är att ändamålen inte alltid är specifierbara eftersom nya ändamål kan dyka upp i framtid forskning. Samtycke och förtroende är mycket viktiga för användning av registrerna. Ska dock i så fall ett nytt samtycke inhämtas varje gång forskningen leder till nya ändamål? Ju mer specifika ändamålsangivelse behövs enligt lag desto sämre nytta kan registren ha för forskningen. Med andra ord, möjligheterna försämras trots att integritetsskyddet är inte optimalt heller. Ett brett ändamål är inte nödvändigtvis lika med ett vagt ändamål.
Det behövs standarder för datasäkerhet, transparans och öppenhet för vilka syften och metoder forskningen bedrivs på.

Magnus Stenbeck, Karolinska Institutet, talade om registerforskning. Landskapet med register är komplicerad i dag; bortsett från hälsodataregistret från Socialstyrelsen, har SCB ca 40 nationella register och surveys. Utöver det finns i dag ca 12 andra statliga centrala register samt ca 100 nationella kvalitetsregister inom hälso- och sjukvården. För att tydliggöra landskapet har en portal skapats, registerforskning.se, där etiska principler och regler samt resurser tillgängliggörs.

I samband med förslaget undrar Magnus hur Artikel 6.2 ska tolkas. Artikel 6.2 hänvisar till Artikel 83:

Personuppgifter ska få behandlas om detta är nödvändigt för historiska, statistiska eller vetenskapliga forskningsändamål med förbehåll för de villkor och skyddsåtgärder som avses i artikel 83.

Betyder det att Artikeln 6 inte behöver tillämpas inom forskning? Artikel 83 saknar dock en reglering av etikprövning, vilket Sverige föreslog som tillägg men som togs bort i slutgiltiga förslaget.

Utöver det saknas en motsvarighet till 9 § 2 st personuppgiftslag i LIBE förslaget, men finns i Ministerrådets förslag:

I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Samtidigt pågår en svensk utredning om Registerbaserad forskning med stärkt integritetsskydd som förväntas lämna sitt förslag under sommaren 2014.

Efter forskningen hade tillsysnsmyndigheten ordet. Kristina Svahn Starrsjö, Datainspektionens (DI) generaldirektör, presenterar det som står högst i agendan för DI. Enligtverksamhetsplanen för 2013 är det bl.a. BYOD (bring your own device), smarta elnät, kameraövervakning, molntjänster och e-förvaltning. DI:s beslut angående Salem kommun:s användning av Google Apps har överklagats och förhandlingarna pågår. En ny kamerövervakningslag har trätt i kraft och lett till nya uppgifter för DI (som har tagits över från JK).

Från perspektivet från näringslivet berättade Caroline Olstedt Carlström, Klarna och Forum för dataskydd, om utmaningarna som finns på tapeten just nu. Transparans är mycket viktigt från ett praktiskt perspektiv, det ska vara tydligt vad man gör med personuppgifter. Privacy by design utgör en extra utmaning, speciellt vid upphandlingar. Gallring och anonymisering är en ytterligare utmaning eftersom persondatahantering kan vara komplext, inte minst med tanke på loggar. En fråga i samband med gallring är också om man ska loggar när man gallrar.

Det är viktigt att finna lämpliga modellösningar. Juridiska lösningar ibland enklare än praktiska implementering, t.ex. följer alla anställda de interna reglerna. Caroline nämner Neelie Kroes tweet “Want to stop your house getting burgled? You need a lock, not a lawyer.” En spännande utveckling i samband med EU förslaget är LIBE kommitteen:s förslag på visualisering.

Per Furberg talade om myndigheters utmaningar just nu. En viktig punkt när det gäller dataskydd är infrastruktur: Hur ska en helt elektronisk värld sorteras in under reglerna för persondataskydd? När virtuella rum skapas, kan PUL tillämpas rakt av i dessa?

En viktig fråga är vart finns datat? Vem är personuppgiftsansvarig för vilket data? Per tar upp examplet med e-legitimationer och visar vart data kan finnas när någon använder en eID tjänst. Per ser behovet av ett “tredimensionellt persondataskydd”.

Henrik Jermsten påpekade vissa frågor från domarens perspektiv. Dataskyddsreglering är speciellt på så sätt att den gäller både för enskild och offentlig verksamhet; inte många andra rättsområden där det finns samma lagstiftning. Dataskyddsdirektivet från 1995 var en av de första direktiven som Sverige genomförde efter landet biträdde EU. Detta ledde till bl.a. att förarbetena är fattiga på exempel. Henrik nämner flera intressanta rättsfall, t.ex. HFD fallet där försäkringskassan var ansvarig för personuppgifter i sms-tjänsten som gäller sjukskrivningar, även om FK faktiskt inte hade tillgång till uppgifterna. Ett annat fall rörde Tingsrätten på gotland som la ut uppropslistor på sin webbplats. Syftet var insyn och information till allmännheten, men DI tyckte annorlunda. Beslutet av Kammarrätten är nu överklagad till HFD.

Om dataskyddsförordningen antas blir det mindre utrymme för svenska domstolar att tolka. Flera utredningar just nu handlar om dataskydd, t.ex. informationshanteringsutredningen som ska se över registerlagstiftnigen.

Dag Wiese Schartum avslutade dagen med ett både teoretiskt och praktiskt perspektiv. Dataskydd har olika problemområden.

Materiella problem utgörs av starka motstridiga intressen, dynamisk utveckling av teknik och samhället, ett globalt behov for normer och faktumet att integritet gäller alla delar av samhället.

De regulatoriska problem handlar om rollen de nationella parlamenten ska ha, om vi talar om rättsenhet eller “juridisk interoperabilitet”, abstrakta regler eller särregulering. Implementeringsproblemen visar på skillnaden mellan law in books vs law in action. Abstrakta regler är för jurister och experter, konkreta regler kan å andra sidan förstås av alla.

I enlighet med Charles Clark uttalande “the answer to the machine is in the machine” finns flera tekniska lösningarförslag: privacy by design (PbD) och privacy enchancing technologies (PET) borde vara integrerad i systemlösningar. Lagreglering räcker inte här, det krävs IKT verktyg för systemutveckling av PET (risikoutvärdering) och gemensamma IKT komponenter för PbD (samtycke, insyn).

Handhevingsproblemer omfattar bl.a. att manuell kontroll aldrigkan blir tillfredställande och att en effektiv automatiserad kontroll kräver rättslig regulering. Läringsproblemen innebär samtidigt att ställa frågan om persondataskyddslagstiftning har den önskade effekten. I detta sammanhang ska man fundera över vilka kriterierna är för success och hur kan de mätas?

Persondataskydd är en omfattande uppgift. Effektiv regulering är omöjlig utan

- mer konrete regler
- evaluering av aktiv förberedning av lagstiftning och implementering
- aktivt användning av IKT

Utvecklingen inom persondataskydd är väldigt högt på agendan just nu. I samarbete med mig har Advokatfirman Delphi nyligen lanserat en blogg om personlig integritet och den pågående lagstiftningsprocessen inom EU.

Mac Users to Pay More?

The era of “Big Data” and predictive analytics has resulted in the ability to scan large amounts of data in order to extract knowledge and predictive meaning. Price discrimination has been described as the charging of different prices to various customers for the same goods or services (see Andrew Odlyzko, Privacy, Economics and Price Discrimination on the Internethttp://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882, page 2, last accessed 2013-10-08).  Orbitz Worldwide Inc. is a travel company that provides an on-line service for the booking of hotel rooms and other travel arrangements. An article in the Wall Street Journal has highlighted the fact that in Orbitz has analysed its customer data and identified the fact that Apple Mac users generally spend approximately 30% more a night on hotels and other travel options than Windows users (see further http://online.wsj.com/news/articles/SB10001424052702304458604577488822667325882).

This has resulted in Orbitz showing different hotel offers to Mac and PC visitors, the former usually being offered a costlier alternative. While Orbitz mentioned that it is not showing the same room to different users for different prices, thereby highlighting that classic price discrimination is not being practiced, this is a technological advance that could be put to practice as the knowledge gained from the practice of predictive analytics becomed more and more valuable.

Utmaningar vid värdering av elektroniska bevis

Det danska nyhetsorganet Version2 ställer aktuella frågor om svårigheter med och utmaningar vid rättslig värdering av elektroniska bevis. I en nyligen genomförd intervju med Er förtrolige om ämnet ventilerades några tankar: http://www.version2.dk/artikel/cyberkriminalitet-udfrodrer-retssystemet-paa-begge-sider-55209

Debate Article by Carl Bildt

Recently the Swedish Minister of Foreign Affairs Carl Bildt published a debate article in the New York Times. In the article entitled “The Internet and the Rule of Law” he set out some core principles that should be taken into account when state surveillance occurs on the Internet. The article can be found in its entirety on the following link:

www.regeringen.se/sb/d/17012/a/227782

Report from Transnational Commercial Law – 5th Teaching Conference, Fukuoka

This post has been written by Marcelo Corrales, Research Associate, Institute for Legal Informatics (IRI), Leibniz University of Hannover, who can also be found at his blog and on twitter @MarcelloCorComThe post is based on the Transnational Commercial Law – 5th Teaching Conference held at Kyushu University, Fukuoka, Japan on 21-22 October 2013.

I am sitting in the last day of the 5th Teaching Conference about Transnational Commercial Law held at Kyushu University in Fukuoka, Japan. The course “Transnational Commercial Law”, which is part of the curricula of the LL.M. program in International Business and Commercial Law at Kyushu University, was first introduced at the University of Oxford (UK) and is now spread throughout the globe. Today there are about 16 law schools in Asia, Europe, the Americas and the Middle East which have implemented this subject into their curricula. (See: http://www.law.kyushu-u.ac.jp/programsinenglish/tcl-conference2013/programme.html)

As commercial transactions become increasingly international and due to the expansion of the Internet and the upsurge of new technologies, the curricula of this course is designed, in particular, to discuss issues of modernisation of commercial law in cross-border transactions among other topics.

Therefore, this event aims to discuss the legal principles that govern relationships between companies and consumers in the global arena and to promote ideas and potential solutions to current problems related to inter alia the choice of law in commercial transactions, harmonisation of domestic laws and relevant issues of dispute resolution and arbitration.

During the conference there were several issues discussed including the UNIDROIT principles for international commercial contracts which are intended to provide a system of rules especially tailored to the needs of international commercial transactions; international business transactions in Japan such as the types of contracts, the boundaries between domestic and international transactions and their focus on private international law; IPRs in transnational secured transactions as these assets are increasingly getting more important in the global transactions; the recent developments of the UNCITRAL Supplement (2010) and the Geneva Securities Convention.

This is certainly a new field of law which cries out for harmonisation and coining the words of Professor Kronke, “The law reform must be designed for several countries because the objectives have changed”. How might this develop into the future? How might this influence traditional subjects such as Private International Law and Commercial Law? Our ability to combine this exotic field of law is certainly going to be a challenge for the future.

Upcoming Conference: The proof is in the digital pudding!

The Nordic Conference in ICT Law 2013 will be held in Oslo, organised by the Norwegian Research Centre for Computers and Law (SERI) at Oslo University and entitled “The proof is in the digital pudding“.

We have long discussed “digital footprint” and understand that the use of digital devices involves the automatic generation of data that is capable of revealing personal information. Our digital footprints are now everywhere. In addition to the automatically generated data, we also make our personal information available on social media. The combination of digital footprints and information provided on social media can be used to create a comprehensive and detailed picture of each person.

The conference will focus on the aggregation, storage, discovery, and use of information from people’s daily lives. The emphasis will primarily be use of such information by the state, namely police and other government authorities. Conference presentations will focus primarily on legal issues, with some discussion of the essential technologies.

Date: 14-15 November 2013
Location: The Bristol Hotel, Oslo, Norway
Websitefor programme and further information
Registration Deadline: 1 November 2013

Upcoming Conference! ICT 2013 – Create, Connect, Grow

As part of the Lithuanian Presidency of the Council of the European Union, the conference ICT 2013 - Create, Connect, Grow will be held in Vilnius. The conference will feature ICT professionals from industry, academia and research. Issues to be addressed include cloud computing, ICT infrastructures, ICT skills, cyber security, and visions for the future.

See the website for further information, the full program, and for registration.

Date: 6-8 November 2013
Location: Lithuanian Exhibition and Conference Centre, Vilnius
Websitehttps://ec.europa.eu/digital-agenda/en/ict-2013

Copyright © blawblaw
Nyheter om, från och kring institutet för rättsinformatik

Byggt på Notes Blog Core
Powered by WordPress