Managing Migration Flows by processing Personal Data within the adequate Data Protection Instrument: Scoping Exercise between general and law enforcement Data Protection Rules applicable to Third Country Nationals
2021 (English)Doctoral thesis, monograph (Other academic)
Abstract [en]
In the aftermath of increased migration flows coming to Europe in 2015, the so-called migration crisis, irregular migration and related crimes such as migrant smuggling and human trafficking became a hotly debated topic on European Union (EU) level. The results of those discussions were the fortification of the EU’s external borders, the strengthening of the mandate of relevant EU Agencies and the establishment of new databases in the Area of Freedom, Security and Justice (AFSJ). As a final step, the European Commission was tasked to examine the possibility of establishing a legal framework to enable the sharing of information among the different databases. The long-term objective was rendering all existing and anticipated AFSJ databases interoperable in order to create more comprehensive profiles of third country nationals (TCNs) with all data available. Migration management, border control and asylum had become a relevant element in the debate of internal security within the EU with a strong focus on the processing of personal data in that context. In May 2018, the EU Data Protection Reform entered into force and introduced, besides a Regulation covering personal data processing of general nature (General Data Protection Regulation, GDPR), a Directive applicable to the processing of personal data carried out in the context of police and criminal justice (Law Enforcement Directive, LED). The Reform had become both necessary and possible after the entry into force of the Lisbon Treaty and the Charter of Fundamental Rights of the European Union (EU Charter) becoming legally binding. In addition, under Article 16 Treaty on the Functioning of the European Union, the European Parliament as new co-legislator obtained a robust mandate to adopt, together with the Council, solid data protection rules, also in the former Third Pillar. While the GDPR emphasises the principle of transparency, in the law enforcement context many processing operations may be carried out in secrecy and without involving the individual whose personal data are processed.Where migration and related crimes are increasingly treated as security concerns, the scope of the LED may be widened as to include processing of personal data of TCNs in the area of border control. Hence, while data protection rules should apply to everyone in the EU irrespective of their nationality, in the context of border control, migration management and asylum, where personal data are needed for the assessment of TCNs, the rights of those individuals are seemingly of secondary nature compared to those of EU citizens. Taking into account the difference made between general processing, and processing for law enforcement purposes under EU data protection law, and a potential division between certain groups of persons, in this case EU citizens and TCNs, the following research questions will be answered: How are TCNs affected by the unclear delineation between different data protection laws, and what solutions could clarify this delineation?While answering these research questions, this dissertation demonstrates that, in the area of migration, border control and asylum, EU data protection law potentially allows for a lowering of data protection rights of TCNs. The assessment emphasizes the way in which legislative texts inherently criminalize migrants, for instance, by streamlining law enforcement access to personal data of TCNs stored in non-law enforcement AFSJ databases. The analysis identifies situations in which data protection rules originally determined for the law enforcement context may be applied in the area of migration. Further, potential risks for TCNs as data subjects on both national and EU level are exemplified. The concluding remarks propose several amendments to existing data protection laws in the law enforcement area that could contribute to a clearer delineation between general and law enforcement rules and thereby prevent the latter from being applied to processing in a non-law enforcement context.
Abstract [sv]
I efterdyningarna av de ökade migrationsströmmarna till Europa 2015, den så kallade migrationskrisen, blev irreguljär migration och därmed sammanhängande brottslighet såsom flyktingsmuggling och människohandel ett hett omdebatterat ämne på EU-nivå. Som resultat av dessa diskussioner förstärktes EU:s yttre gränser, utvidgades relevanta EU-byråers uppdrag och upprättades nya databaser inom området för frihet, säkerhet och rättvisa (AFSJ). Dessutom fick Europeiska kommissionen till uppgift att undersöka möjligheten att upprätta en rättslig ram som skulle möjliggöra informationsutbyte mellan de olika databaserna. Det långsiktiga målet var att sammanlänka alla befintliga och förväntade AFSJ-databaser för att skapa mer omfattande profiler av tredjelandsmedborgare med alla tillgängliga personuppgifter. Migrationshantering, gränskontroll och asyl hade blivit ett relevant inslag i debatten om inre säkerhet inom EU med starkt fokus på behandling av uppgifter i detta sammanhang.
I maj 2018 trädde EU:s dataskyddsreform i kraft och införde, förutom en förordning som omfattar behandling av personuppgifter av allmän karaktär (EU:s Dataskyddsförordningen, GDPR), ett direktiv som är tillämpligt på behandling av personuppgifter som utförs inom ramen för polisiärt och straffrättsligt samarbete (EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet, LED). Efter Lissabonfördraget hade denna reform blivit både nödvändig och möjlig och den Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) blev juridiskt bindande. Enligt artikel 16 i Fördraget om Europeiska unionens funktionssätt fick Europaparlamentet, som ny medlagstiftare tillsammans med rådet, ett kraftfullt mandat att anta solida dataskyddsregler, även i den tidigare tredje pelaren. Medan GDPR betonar principen om öppenhet, kan det i brottsbekämpande sammanhang utföras många behandlingar i hemlighet och utan att involvera den person vars personuppgifter behandlas.
När migration och därmed sammanhängande brottslighet i allt större omfattning behandlas som säkerhetsproblem, kan LED:s räckvidd utvidgas så att det även omfattar behandling av tredjelandsmedborgares personuppgifter inom området för gränskontroll. Även om dataskyddsreglerna bör tillämpas på alla i EU oavsett nationalitet, är tredjelandsmedborgares rättigheter i samband med gränskontroll, migrationshantering och asyl, där personuppgifter behövs för bedömning av tredjelandsmedborgare, till synes av sekundär karaktär jämfört med EU-medborgarnas.
Med hänsyn till skillnaden mellan allmän behandling och behandling för brottsbekämpande ändamål enligt EU:s dataskyddsregler och en potentiell uppdelning mellan vissa grupper av personer, i detta fall EU-medborgare och tredjelandsmedborgare, kommer följande forskningsfrågor besvaras: Hur påverkas tredjelandsmedborgare av den otydliga avgränsningen mellan olika dataskyddslagar, och vilka lösningar kan klargöra denna avgränsning?
Vid besvarandet av dessa frågor, visar denna avhandling att EU:s dataskyddslagstiftning, när det gäller migration, gränskontroll och asyl möjliggör ett försämrat skydd av tredjelandsmedborgares dataskyddsrättigheter. Bedömningen understryker hur allt fler lagstiftningsakter i sig kriminaliserar migranter, exempelvis genom att effektivisera brottsbekämpningens tillgång till personuppgifter om tredjelandsmedborgare lagrade i icke-brottsbekämpande AFSJ-databaser. Analysen identifierar situationer där dataskyddsregler som ursprungligen fastställts för det brottsbekämpande sammanhanget kan tillämpas inom migrationsområdet. Dessutom exemplifieras potentiella risker för registrerade tredjelandsmedborgare på både nationell nivå och EU-nivå. Som resultat föreslås flera ändringar av befintliga dataskyddslagar inom området för brottsbekämpning som skulle kunna bidra till en tydligare avgränsning mellan allmänna regler och brottsbekämpande regler och därigenom förhindra att de senare tillämpas på behandling i ett icke-brottsbekämpande sammanhang.
Place, publisher, year, edition, pages
Uppsala: Department of Law, Uppsala University , 2021. , p. 290
Keywords [en]
EU data protection, third country nationals, immigration, Directive (EU) 2016/680, Regulation (EU) 2018/1725
National Category
Law (excluding Law and Society)
Research subject
European (Integration) Law
Identifiers
URN: urn:nbn:se:uu:diva-446483ISBN: 978-91-506-2886-9 (print)OAI: oai:DiVA.org:uu-446483DiVA, id: diva2:1569545
Public defence
2021-09-10, The faculty of law economics and finance (FDEF), Luxembourg, 10:00 (English)
Opponent
Supervisors
2021-08-192021-06-202024-03-05Bibliographically approved