När molnen hopar sig vid horisonten - En analys avseende EU:s regler om överföring av personuppgifter till tredjeländer och deras förenlighet med rätten till personlig integritet

Sammanfattning: Nu för tiden använder människor världen över, medvetet eller omedvetet, molntjänster, där stora mängder personlig information placeras och lagras. Personuppgifter är en av de mest värdefulla tillgångar ett företag kan inneha, och således utnyttjar företag runt om i världen sådan personlig information för kommersiella syften. Samtidigt har statliga myndigheters övervakning av personer och insamling av personlig information ökat. Det finns länder som exempelvis USA, vilka har lagar som ger olika myndigheter befogenheter att övervaka både inhemska och utländska medborgare för att bl.a. upprätthålla nationell säkerhet. Utvecklingen av informations- och kommunikationsteknologi under de senaste tre decennierna har inneburit ett paradigmskifte vad gäller hantering av personuppgifter och numera överförs stora mängder personuppgifter varje sekund mellan företag och myndigheter världen över. I denna uppsats studeras EU-rättens nuvarande och, eventuellt, framtida regler avseende överföring av personuppgifter till tredjeländer i förhållande till EU-medborgares rätt till personlig integritet. Reglerna analyseras ur ett molntjänstperspektiv, eftersom utvecklingen av molntjänster har bidragit till ett ökat internationellt utbyte av personuppgifter. EU:s nuvarande dataskyddsdirektiv reglerar automatisk behandling av personuppgifter och har till syfte att skydda fysiska personers rätt till personlig integritet, men även att säkerställa det fria flödet av personuppgifter inom unionen. I dataskyddsdirektivet anges att det som huvudregel är förbjudet att överföra personuppgifter till tredjeland. Det är däremot tillåtet att överföra uppgifter till tredjeland om en adekvat skyddsnivå kan garanteras i detta tredjeland. Från detta krav på adekvat skyddsnivå, föreskrivs det undantag vilka möjliggör en överföring till ett tredjeland som inte kan säkerställa en adekvat skyddsnivå. Ett sådant undantag föreligger om det istället finns ett samtycke från den registrerade, eller om registerföraren tillämpar BCR:s, modellklausuler eller principerna som är fastställda i Safe Harbor-ramverket. Merparten av den typ av personlig information som laddas upp i molnet, vid användning av exempelvis sociala medier, utgör uppgifter om privatlivet och är skyddade mot otillåtna ingrepp enligt Europakonventionen artikel 8 och EU-stadgan artikel 7 och 8. I uppsatsen argumenteras för att den i Europakonventionen och EU-stadgan föreskrivna rätten till personlig integritet innebär en negativ skyldighet för EU att inte föreskriva regler vilka tillåter en överföring av personuppgifter till tredjeländer där de riskerar att behandlas på ett sätt som innebär en otillåten inskränkning i de ovan nämnda mänskliga rättigheterna. I uppsatsen undersöks det även om de föreslagna reglerna om överföring av personuppgifter till tredjeländer i förslaget till allmän dataskyddsförordning medför ett förstärkt skydd av EU-medborgarnas rätt till personlig integritet. De undantag som återfinns i dataskyddsdirektivet behålls även i förslaget till allmän dataskyddsförordning. Även om reglerna kan anses ha utvecklats och specificerats för att underlätta både tolkning och tillämpning, argumenteras det i denna uppsats för att reglerna innebär en ökad möjlighet för bl.a. EU-baserade molntjänstkunder och molntjänstleverantörer att överföra person-uppgifter till ett tredjeland som inte kan säkerställa en adekvat skyddsnivå. En sådan ökad möjlighet till överföring kan ifrågasättas ur ett människorättsperspektiv. Hantering av personuppgifter i molnet problematiseras av dess gränslösa karaktär. Rätten till personlig integritet värderas och regleras olika runt om i världen, där Europa kan anses utgöra den världsdel där rättigheten skyddas allra högst. Vid en överföring av personuppgifter från EU till ett tredjeland kan det således uppkomma en risk för ett försvagat integritetsskydd för den EU-medborgare vars uppgifter överförs till ett tredjeland. Det uppstår därför en lucka i skyddet som måste lösas på nationell, regional eller internationell nivå. I denna uppsats undersöks vilka möjligheter EU har att påverka lösningen av denna gränsöverskridande problematik. Sammanfattningsvis påvisas det att EU har tre alternativa möjligheter, vilka är följande; (1) en unilateral lösning genom att utvidga EU:s dataskyddslagstiftning till att ha en extraterritoriell effekt, (2) en bilateral eller multilateral lösning genom att förhandla fram avtal med andra länder eller arbeta fram ett internationellt avtal, eller (3) en multilateral lösning genom EU-ledarskap och normspridning. Eventuellt krävs det en kombination av de tre nämnda alternativen för att åstadkomma en effektiv lösning på detta globala problem.