Överföring av personuppgifter till USA. / Personal data transfer to USA.

Grundberg, Johanna

January 2020

No description available.

GDPR

Privacy Shield

Law

Juridik

Molntjänster i kommuner: en studie om rättsliga och informationssäkerhetsmässiga aspekter kring arbetet med molntjänster / Cloud computing in municipalities: a study of legal and information security aspects around the work with cloud computing

Farah, Hamza Hayd, Aden, Ayan Ali

January 2020

I samband med digitaliseringens framfart hanteras, lagras samt används information av allatyper av verksamheter. Den ökade digitaliseringen av samhället har bidragit till en förhöjdefterfrågan av innovativa teknologier såsom molntjänster. Molntjänster är en populär teknik vilken erbjuder skalbara IT-lösningar på begäran över internet och vilken har signifikanta fördelar när det gäller kostnadsreducering och säker IT-drift. Trots de positiva aspekterna med molntjänster uppkommer nya rättsliga och säkerhetsmässiga problem vilka inte tidigare existerat i den traditionella IT-infrastrukturen, såsom datalokalisering samt säkerhet och integritet av information. Syftet med detta arbete är att analysera samt undersöka legala och säkerhetsmässiga åtgärder som de undersökta kommunerna vidtar vid hantering av information i molnet. Studien genomfördes i form av en kvalitativ studie, där sju semistrukturerade intervjuer utfördes. Resultatet tyder på att de undersökta kommunernas val av molntjänstleverantör beror på flertal aspekter såsom den geografiska placeringen av data samt säkerhet på information i molntjänsten. Vidare visar resultatet att kommunerna genomför åtgärder såsom att utbilda sina medarbetare samt klassificera information som kommer att lagras i molnet. / Information is handled, processed, stored, and used by all types of businesses as a result of progress in digitalization. The increased digitalization of society has contributed to an increased demand for innovative technologies such as cloud computing. Cloud computing is a popular technology that offers scalable IT solutions on demand over the Internet, and which has major advantages regarding cost reduction and secure IT operations. Despite the positive aspects of cloud computing, new legal and security issues are emerging which have not previously existed in the traditional IT infrastructure, such as data localization and the security and integrity of information. The purpose of this work is to analyze and investigate legal and security measures that the surveyed municipalities take when handling information in the cloud. The study was conducted in the form of a qualitative study, in which seven semi-structured interviews were conducted. The results indicate that the surveyed municipalities' choice of cloud computing provider depends on several aspects such as the geographical location of data and security of information in cloud computing. Furthermore, the results show that the municipalities implement measures such as training their employees and classifying information that will be stored in the cloud.

cloud computing

municipalities

GDPR

Cloud Act

Privacy Shield

Schrems II-domen

information security

digitalization.

molntjänster

kommuner

GDPR

Cloud Act

Privacy Shield

Schrems II-domen

informationssäkerhet

digitalisering

Information Systems, Social aspects

Dataskyddsförordningens tillämplighet vid personuppgiftshantering i molntjänster : En studie av Dataskyddsförordningen, utifrån perspektivet användande av molntjänster / The applicability of the General Data Protection Regulation when processing personal data in cloud services : A study of the General Data Protection Regulation, from the perspective of the use of cloud services

Johnsson, Lovisa

January 2017

För att förbättra säkerhetsarbetet och för att skapa harmonisering inom EU vad gäller skydd av personuppgifter antogs i april år 2016 en ny EU-förordning om dataskydd, General Data Protection Regulation (GDPR), även benämnd Dataskyddsförordningen. Förordningen börjar gälla som lag i Sverige först den 25 maj år 2018. Införandet av förordningen kommer innebära att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt Personuppgiftslagen (1998:204) (PUL) upphör att gälla. Det huvudsakliga syftet med Dataskyddsförordningen är att ytterligare harmonisera och effektivisera skyddet av personuppgifter för att förbättra den inre marknadens funktion samt att öka den enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig som lag i samtliga medlemsländer och kommer efter ikraftträdande utgöra grunden för generell personuppgiftsbehandling inom hela EU.  Det har under de senaste åren blivit allt mer vanligt att företag, organisationer, kommuner och myndigheter använder sig av molntjänster. Molntjänster är intressanta ur ett juridiskt perspektiv eftersom de mest uppmärksammade juridiska frågeställningarna angående molntjänster är frågor hänförliga till hantering av personuppgifter och säkerhet.   I uppsatsen redogörs för införandet av Dataskyddsförordningen (GDPR) utifrån perspektivet företags, organisationer, kommuners och myndigheters användande av molntjänster. I uppsatsen beskrivs även molntjänsters funktioner och egenskaper. Dataskyddsförordningen är nyligen antagen och utgör ännu inte svensk lag, förordningen baseras däremot i stora delar på Dataskyddsdirektivets innehåll och struktur. Dataskyddsdirektivet och PUL studeras därför i uppsatsen för att få en förståelse för bestämmelserna i Dataskyddsförordningen. Molntjänster finns i flera olika tekniska lösningar och är även gränsöverskridande, vilket innebär att användande av molntjänster i vissa fall innebär att personuppgifter överförs till ett tredje land. Uppsatsen behandlar därmed tillämpliga bestämmelser avseende överföringar av personuppgifter till tredje land. Uppsatsen avslutas med en analys och en slutsats. I slutsatsen konstateras att förordningen ger ett förstärkt skydd för den registrerade vid hantering av personuppgifter i molntjänster samt att förordningens utökade territoriella tillämpningsområde innebär att förordningen är bättre anpassad till molntjänstanvändande. Vidare konstateras i slutsatsen att rättsläget för överföringar av personuppgifter till USA med stöd av Privacy Shield-överenskommelsen för närvarande är osäkert.

General Data Protection Regulation

Cloud Services

Safe Harbor

Privacy Shield

GDPR

Dataskyddsförordningen

PuL

Personuppgiftslagen

Molntjänster

Law

Juridik

Kommersiella aktörers tredjelandsöverföring av personuppgifter efter Schrems II : GDPR-efterlevnad efter EU-domstolens ogiltigförklarande av Privacy Shield, och EU-domstolens uttalanden om acceptabel lägsta nivå för skyddet av personuppgifter / Transfers of personal data to third countries for commercial purposes, post Schrems II : – GDPR compliance after EU-US Privacy Shield invalidation by the Court of Justice of the European Union, and the courts statements regarding fundamental rights for the protection of personal data

Bolin, Josef, Svensson, Jimmy

January 2021

Sedan GDPR trädde i kraft har skyddet för personuppgifter stärkts och harmoniserats inom EU. GDPR tillförsäkrar fysiska personer en grundläggande rättighet till skydd för personuppgifter. Den som behandlar personuppgifter åläggs ett särskilt ansvar. Enligt huvudregeln är det förbjudet att överföra personuppgifter till tredjeland. För att tredjelandsöverföring ska vara tillåten, krävs att flera undantagsvillkor är uppfyllda. Den som ansvarar för behandling av personuppgifter, och inte uppfyller villkoren, riskerar dels skadeståndsansvar, dels administrativa sanktionsavgifter upp till så mycket som 20 000 000 euro, eller 4 % av den årliga omsättningen. Syftet med uppsatsen är att redogöra för de handlingsalternativ en kommersiell aktör har, för att tredjelandsöverföring av personuppgifter ska vara tillåten, vid lagring av personuppgifter hos molntjänstleverantör. För att besvara syftet har vi analyserat relevant svensk och EU-rättslig reglering, doktrin, praxis samt rekommendationer och riktlinjer utgivna av EDPB. Vi tillämpar en rättsdogmatisk och en EU-rättslig metod, vilket innebär att vi använder de allmänna rättskällorna, som för svensk rätt utgörs av lagar, förarbeten, praxis och doktrin. EU-rättslig praxis på området är begränsat och en betydelsefull dom avkunnades i närtid. Rättsläget efter domen är relativt oprövat. Den som behandlar personuppgifter är personuppgiftsansvarig. För denne föreligger ansvar att säkerställa att skyddet för personuppgifterna upprätthålls om uppgifterna överförs till tredjeland. Vid behandling av personuppgifter via molntjänst finns risk att personuppgifterna överförs till ett tredjeland, utanför den personuppgiftsansvariges kontroll. Om molntjänstleverantören faller under amerikansk jurisdiktion, kan amerikanska myndigheter med stöd av sin interna rätt, under vissa omständigheter, begära ut uppgifter från molntjänstleverantören. Kapitel V i GDPR reglerar ett antal undantag, som en personuppgiftsansvarig kan åberopa vid tredjelandsöverföring. Oavsett vilket verktyg som väljs, och oavsett om alla villkoren uppfylls, så har EU-domstolen genom Schrems II fastställt, att det i mottagarlandet måste finnas en adekvat skyddsnivå för personuppgifter, och att mottagarlandets interna rätt inte får urholka eller undanröja det skydd som säkerställs genom GDPR. Med adekvat skyddsnivå menas ett väsentligt likvärdigt skydd som tillförsäkras av EU-rätten.

GDPR

personuppgifter

tredjelandsöverföring

cloud act

schrems

integritet

personuppgiftsskydd

affärsrätt

EU

EU-rätt

dataskydd

dataskyddsförordning

privacy shield

Law and Society

Juridik och samhälle

Tredje gången gillt? : En analys av EU-US Data Privacy Framework / Third time’s the charm? : An analysis of the EU-US Data Privacy Framework

Bjerselius, Nathalie

January 2023

Through the GDPR, the member states of the EU and the EEA countries ensure equivalent protection for personal data which is why personal data within this area can be transferred freely. Transfers of personal data to a country outside the EU/EEA area, such as the U.S., are only permitted under the General Data Protection Regulation (GDPR) under cer­tain conditions, including if the EU Commission has decided that the country in ques­tion en­sures an adequate level of protection. The EU Commission has previously adopted two such decisions for the U.S., based on Safe Harbour and Privacy Shield. Those decisions were, how­ever, struck down by the Court of Justice of the European Union (CJEU) in Schrems I and II since the CJEU did not consider that the U.S. could ensure an adequate level of protection for per­sonal data that was transferred from the EU to the U.S. In July 2023, the EU Commission announced that it had once again adopted an adequacy decision for the U.S. meaning that personal data can now flow freely from the EU to companies and organ­izations in the U.S. certified under the EU-US Data Protection Framework (EU-US DPF). The adequacy decision followed a presidential order signed by U.S. President Biden in October 2022, which introduced new security measures intended to remedy the problems iden­tified by the CJEU in Schrems I and II. On the one hand, the US intelli­gence agencies’ access to personal data is limited to what is proportionate. On the other hand, a data protection court is established.  The purpose of this essay is to examine whether the changes that the presidential order has given rise to has changed the legal situation after Schrems II in such a way that the U.S. can now be considered to ensure an adequate level of protection for personal data that is being transferred from the EU to the U.S. By analyzing the EU-US DPF against the background of the jurisprudence of the CJEU and the European Court of Justice, I find that this is not the case. The U.S. intelligence agencies’ use of and access to EU citizens’ personal data is still not lim­ited to what is proportionate and EU citizens whose personal data is processed still do not have access to an effective remedy to challenge surveillance measures. Thus, the new adequacy decision for the U.S. is likely to be struck down by the CJEU in the coming years. The conse­quences of such an invalidation are examined to some extent in this essay, particularly in rela­tion to other transfer mechanisms in Chapter V of the GDPR, namely standard contractual clauses and binding corporate rules.

EU-US Data Protection Framework

EU-US DPF

GDPR

tredjelandsöverföringar

adekvansbeslut

Schrems I

Schrems II

Safe Harbour

Privacy Shield

personuppgifter

Law

Juridik

Transferring Big Data to the United States in the Post Snowden Era : Can the Fundamental Rights of EU citizens laid down in Articles 7,8 and 47 of the Charter be guaranteed?

Tenhovaara, Taru

January 2018

No description available.

data transfers

personal data

standard contractual clauses

privacy shield

binding corporate rules

fundamental rights

Snowden

big data

data mining

mass surveillance

general data protection regulation

GDPR

privacy

Social Sciences

Samhällsvetenskap

Law

Juridik