Critical assessment of the extraterritoriality of the EU General Data Protection Regulation
| Title: | Critical assessment of the extraterritoriality of the EU General Data Protection Regulation |
| Author(s): | Beletski, Roman |
| Contributor: | University of Helsinki, Faculty of Law |
| Discipline: | Communication and information law |
| Language: | English |
| Acceptance year: | 2019 |
| Abstract: |
Suvereenien valtioiden yksinoikeus säännellä omalla alueellaan tapahtuvaa toimintaa on toiminut vuosikymmenten ajan lähtökohtana kansainvälisessä oikeudessa. Tähän periaatteeseen sisältyy myös muiden valtioiden velvollisuus olla puut-tumatta tällaisiin toisten valtioiden sisäisiin asioihin. Globalisaatio ja internetin kehitys ovat kuitenkin horjuttaneet tätä lähtökohtaa –territoriaalista lähestymistapaa ei voi enää pitää riittävänä takaamaan verkossa tapahtuvan toiminnan säänte-lyn aukottomuutta ja tehokkuutta. Toisaalta, liian laajat ekstraterritoriaaliset vaatimukset voivat olla kyseenalaisia muiden valtioiden kannalta, sillä näillä valtioilla voivat olla omat intressit säännellä kyseistä toimintaa. Kuten tutkielmasta ilmenee, kyseinen lähestymistapojen vastakkainasettelu on erityisen relevantti henkilötietojen suojaa koskevan sääntelyn konteks-tissa.
Tutkielman tavoitteina on (1) tarkastella EU:n yleisen tietosuoja-asetuksen (TSA) ekstraterritoriaalisia vaikutusmekanismeja ja näiden laajuutta, minkä jälkeen tarkoituksena on (2) arvioida näitä mekanismeja kriittisesti kansainvälisen oikeuden periaatteiden valossa. Tarkastelussa käytetään pääasiallisesti lainopillista metodia, minkä lisäksi kysymyksessä (1) esite-tään tiettyjä sosiologisia lisäargumentteja. Kysymyksessä (2) lainopilliseen metodiin liittyy kriittinen näkökulma, koska TSA:n ekstraterritoriaalisten mekanismien kohtuullisuutta arvioidaan käyttämällä normatiivisena pohjana kansainvälisen julkisoikeuden periaatteita. Jotta tämä normatiivinen pohja voidaan perustaa, tutkielman alussa tutkitaan suvereniteetin, toimivallan (engl. jurisdiction) ja ekstraterritoriaalisuuden käsitteitä. Koska ekstraterritoriaalisuus on perusluonteeltaan poliittista, myös poliittisia näkökulmia otetaan esiin tarvittaessa.
TSA:ssa käytetään useita eri mekanismeja, joiden avulla asetuksen vaikutukset ulottuvat EU:n rajojen ulkopuolille. Osa näistä mekanismeista on suorempia kuin toiset. Ensinnäkin TSA:lla on 3 artiklan perusteella melko laaja alueellinen sovel-tamisala, minkä johdosta asetus soveltuu EU:n ulkopuolisiin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, joilla joko on toimipiste EU:ssa tai jotka kohdistavat toimintansa unionissa sijaitseville rekisteröidyille. Lisäksi TSA vaikuttaa rekisterinpitä-jiin ja käsittelijöihin, jotka vastaanottavat henkilötietoja tietojen viejältä EU:sta, vaikka kyseiset toimijat eivät muuten olisi asetuksen alaisia sen alueellisen soveltamisalan mukaisesti. Eurooppalaisen tietosuojalainsäädännön vaikutus ulkomailla näkyy myös Euroopan komission tietosuojan riittävyyttä koskevissa päätöksissä, kahden- ja monenkeskisesti neuvotelluis-sa asiakirjoissa, asetuksen Bryssel-efektissä ja jopa yleisessä yksityisyyskysymyksiä koskevassa valveutuneisuudessa, johon ovat vähintään epäsuorasti vaikuttaneet EU:n tietosuojalainsäädännön tiukat vaatimukset.
Näiden mekanismien kriittiseksi arvioimiseksi työssä käytetään uudenlaista lähestymistapaa, jossa huomioidaan kaikki ekstraterritoriaalisia väitteitä arvioidessa merkitykselliset tekijät. Vaikka ei olekaan mahdollista varmuudella väittää, ettei tiettyä ekstraterritoriaalista väitettä voi hyväksyä, kokonaisarviointi kansainvälisen kohteliaisuuden (engl. comity) ja suve-reenisen yhdenvertaisuuden periaatteiden valossa voi olla hyödyllinen. Tällainen kokonaisarvio on eduksi, kun tutkitaan ovatko tietyt ekstraterritoriaaliset väitteet kyseenalaisia ja selvitetään vaihtoehtoisia lainsäädännöllisiä ratkaisuja, jotka sopisivat paremmin kansainväliseen oikeuteen. Täten, ottaen huomioon useita eri tekijöitä, kuten reiluuden, suhteellisuu-den, oikeutuksen ja ennakoitavuuden, päädytään siihen, että tiettyjä TSA:n ekstraterritoriaalisia mekanismeja voidaan pitää liian laajoina etenkin, kun niiden täytäntöönpanolle ei ole todellista mahdollisuutta. Tämän vuoksi tutkielmassa ehdote-taan, että erityistä painoarvoa tulisi antaa ensinnäkin niille ekstraterritoriaalisille mekanismeille, jotka ovat täytäntöönpanta-vissa EU:n sisällä ja toiseksi nille, jotka eivät edellytä lainkaan täytäntöönpanotoimenpiteitä toimiakseen. Lisäksi, kuten EUT varovasti viittasi viimeaikaisessa tuomiossaan asiassa C-507/17 – Google, on syytä etsiä asianmukaista tasapainoa EU:n ja muiden itsenäisten lainsäätäjien intressien välillä, kun määritellään TSA:n vaatimusten täytäntöönpanon laajuutta.
It has long been the starting point in international law that a sovereign state is entitled to exclusively have control over the activity taking place on its soil, and that states should abstain from attempts to intervene in such internal affairs of each other. However, increasing globalisation and the advent of internet have shaken up this status quo – a traditional territorial approach to the regulation of novel phenomena in the online world is simply no longer sufficient. At the same time, overly broad extraterritorial claims by one state can be seen unacceptable by other states that are also interested in regulating the matter themselves. As it is discussed in this work, the contrast between these two approaches is highly relevant in the field of protection of personal data.
The aim of this work is to (1) examine the extent of the extraterritorial mechanisms of the EU General Data Protection Regu-lation, after which (2) a critical assessment of these mechanisms will be performed from the perspective of international law. Both of these questions will be reviewed from a mainly doctrinal point of view, with certain additional sociological argu-ments being presented in relation to question (1). When examining question (2), the doctrinal method will take on a critical dimension, as the assessment of reasonableness of the extraterritorial mechanisms of the GDPR will be performed using principles of public international law as a normative framework. In order to establish said framework, a review of the con-cepts of sovereignty, jurisdiction and extraterritoriality will take place in the beginning of the work. Due to the political nature of extraterritoriality, political viewpoints will also be considered, where relevant.
The GDPR employs several different mechanisms that stretch the Regulation’s effects beyond the borders of the EU. Some of these effects are more direct than the others. First of all, the GDPR has a rather broad territorial scope under Article 3, pursuant to which the Regulation applies to non-EU controllers and processors that either have an establishment in the EU or target data subjects in the EU. In addition, the GDPR has an effect on controllers and processors receiving personal data from a data exporter in the EU, even if they would not be otherwise subject to the Regulation under its territorial scope. Furthermore, the European influence abroad is visible through the European Commission’s adequacy decisions, bilaterally and multilaterally negotiated instruments, the Regulation’s Brussels effect and even the public awareness concerning privacy matters that has been affected, at least indirectly, by the strict requirements of the EU data protection law.
In order to critically assess these mechanisms, a novel approach that accounts for all relevant factors when evaluating an extraterritorial assertion is assumed. While it is not possible to definitively claim that an extraterritorial claim is unacceptable, an overall assessment considering the principles of comity and sovereign equality can be helpful in order to establish whether certain extraterritorial assertions are questionable and to find alternative regulatory solutions that would be better in line with international law. Therefore, considering multiple factors, such as fairness, proportionality, justification, and predictability, it is concluded that certain extraterritorial mechanisms of the GDPR can be considered overly broad, especial-ly when there is no real chance that they could be enforced. For this reason, the study suggests that special emphasis should be given to those extraterritorial mechanisms that are enforceable within the EU and to mechanisms that require no enforcement action in order to function. Additionally, a proper balance between the interests between the EU and other independent regulators needs to be sought when determining the extent of the requirements of the GDPR, as it was cau-tiously implied in the recent CJEU judgment in C-507/17 – Google.
|
Files in this item
| Files | Size | Format | View |
|---|---|---|---|
| Beletski_Roman_Pro_gradu_2019.pdf | 1020.Kb |
This item appears in the following Collection(s)
-
Faculty of Law [3383]