JURIDISKA FRÅGOR I SAMBAND MED MOLNTJÄNSTER OCH ANNAN OUTSOURCING

PROBLEMSTÄLLNINGEN:

- Hur Schrems 2-domen och GDPR men även bestämmelser om sekretess och säkerhet kan påverka möjligheterna att låta utomstående aktörer hantera personuppgifter och annan information

Connys nedslag i juridiken…

• Styrelsen i SIG Security – nu även ordförande

• Styrelsen i SIJU

• Integritetsskyddsombud vid FUD

• Medverkat vid framtagandet av Brottsdatalagen och följdförfattningar (SOU 2017:39)

• Medverkat i ett stort antal av Advokatsamfundets remissyttranden

• Bedriver utbildning (inte minst hos IFI)

• Skriver artiklar mm (bl.a. hos JP- Infonet)

• IT-avtal (rådgivning, utformning, tvister mm)

• IT-brott (utredning, brottmål mm)

• IT-incidentutredningar

• IT-säkerhet och juridik

1989 – Jur. kand. Stockholms Universitet Verksjurist, Televerket Radio

1992 – Kriminologi, Stockholms Universitet

1993 – Bolagsjurist, Telia-koncernen 1997

2001 – Jur. mag. Law & IT (LLM) 2001 – Bolagsjurist, Flextronics 2004 – Bolagsjurist, TeliaSonera

2008 – Verksjurist, Kronofogdemyndigheten

2009 – Advokatfirman Gärde & Partners Advokat 2011

2018 – Advokatfirman Xxxxx Xxxxxxx 2019 – Advokatfirman Singularity Law AB

ÖVERGRIPANDE FRÅGOR

Kvalitet	GDPR	Xxxxx lag	Sekretess	Säkerhet	Lämpligt
Är tjänsten	Kan vi	Omfattas vi	Kan det	Kommer	Kommer
bra rent	uppfylla	av och kan	vara ett	lösningen	lösningen
tekniskt	vad som	vi uppfylla	otillåtet/	att vara	att vara
och	krävs enligt	vad som	obehörigt	tillräckligt	lämplig,
kvalitativt?	GDPR när	krävs enligt	röjande om	säker för	t.ex. vad
	vi anlitar	annan lag?	vi låter en	att uppfylla	gäller vår
	annan för	- NIS-lagen	extern part	vad som	kontroll
	hantering	- SskL	få tillgång	krävs enligt	över hur
	av info?		till vår info?	lag/våra	vår info
				egna krav?	hanteras?

MOLNTJÄNSTAVTALENS GENERELLA UPPLÄGG

• Standardiserade och ensidiga konstruktioner

• Begränsade förhandlingsmöjligheter

• Garanterar långtgående friheter för leverantören

• Ofta SaaS-tjänster med licensavtal för drift av system och hantering

• Ofta ingår (och de är leverantörens egna)

1) Allmänna villkor

2) Personuppgiftsbiträdesavtal

3) SLA-bilaga

4) Säkerhetspolicy

MOLNTJÄNSTAVTALEN

KUND

MOLNTJÄNST- LEVERANTÖR

UNDER- LEVERANTÖR

UNDER-

LEVERANTÖR UNDER- LEVERANTÖR

UNDER- LEVERANTÖR

GDPR-PROBLEMET

NÄR VÅR INFO NU SKA FINNAS I NÅGON ANNANS DATOR . . .

• Hur kan vi uppfylla kravet att ha kontroll på behandlingen?

- Hur fungerar det om de standardiserade villkoren och leverantörens upplägg inte erbjuder den möjligheten (Art. 28 GDPR)?

• Hur kan det garanteras att personuppgifterna inte förs vidare till någon annan enligt det andra landets egna nationella lagregler?

- Leverantören (PuB) är ju skyldig att följa det egna landets lagar och kan drabbas av sanktioner om vederbörande vägrar lyda

- Svenska lagar gäller ju inte i andra länder och EU-rätten gäller ju inte utanför EU

• Hur kan vi skapa internationella lösningar som vi kan lita på att de håller?

- Först ogiltigförklarades Safe Harbour och nu Privacy Shield av EU-domstolen

- Varför skulle detta inte kunna ske även beträffande EU:s modellklausuler?

- Varför skulle detta inte även kunna hända om PuA och PuB kommit fram till en egen lösning (PuB måste ju fortfarande lyda det egna landets lagar oavsett vad vi skriver i våra avtal)?

PuA

PuB

PuB (UB)

Personuppgiftsansvarig - PuA (art. 4.7): En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt

Personuppgiftsbiträde - PuB (art. 4.8): en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

Underbiträde - UB: Den som PuB i sin tur anlitar (d.v.s. som är PuB:s PuB) – finns dock INTE som begrepp i vare sig PuL eller GDPR

Ansvaret

Roller & ansvar är formellt definierade och kan inte avtalas bort!

PuB (UB)

PuA måste ha koll hela vägen!

- Ger molntjänstavtalet oss möjlighet till detta!!!???

PuB-avtalet

ÖVERGRIPANDE KRAV PÅ PuB-AVTALET:

 Personuppgifter får endast behandlas enligt PuAs instruktioner

 PuB måste ålägga personalen tystnadsplikt, om de inte omfattas av tystnadsplikt enligt lag

 PuB måste vidta säkerhetsåtgärder enligt art 32

 PuB får inte anlita annat PuB (UB) utan PuAs skriftliga OK

 Om PuB anlitar annat PuB ska motsvarande avtal ordnas även där

 PuB ska tekniskt och organisatoriskt bistå PuA att fullgöra sin infoplikt mot de registrerade

 PuB ska tekniskt och organisatoriskt uppfylla säkerhetskraven enligt GDPR (art 32-36)

 Vid avtalets upphörande enligt XxXx önskemål radera eller återlämna personuppgifterna

 PuB ska ge PuA tillgång till info + tillfälle inspektera att PuB fullgör sina skyldigheter

• Regressanspråk om den ene parten orsakar att den andre parten drabbas av skadeståndsansvar eller sanktionsavgift?

• Kan även räcka med att PuB anslutit sig till EU-godkänd uppförandekod eller certifierats (art 40 och 42 GDPR och skäl 81)

• EU-kommissionen eller tillsynsmyndigheten (DI) kan bestämma standardavtalsvillkor för PuB- avtalen

UPPFYLLER MOLNTJÄNSTAVTALET DETTA KRAV PÅ INNEHÅLL?

(Art. 28.2-3 GDPR)

Säkerhetskraven

SÄKERHETEN VID BEHANDLING AV PERSONUPPGIFT Vi ska uppnå en ”lämplig” säkerhetsnivå m.h.t. olika faktorer
1) den tekniska utvecklingen	Främja ny teknik	Kraven är inte konkreta Vi får själva göra sammanvägningen på egen risk Flexibilitet vs förutsebarhet
2) genomförandekostnaderna	Proportionerliga/rimliga?
3) behandlingens art, omfattning, sammanhang och ändamål	uppgifter av känslig art eller av stor mängd
4) ev. risker (sannolikhet & allvarlighetsgrad)	särskilt beakta riskerna för - oavsiktlig/olaglig förstöring, - förlust eller ändring, - obehörigt röjande/åtkomst
Såväl tekniska som organisatoriska åtgärder Privacy by design bör prioriteras (säkerheten bör vara automatisk)

(Art. 32 GDPR)

Outsourcing och säkerhet

NÄR VÅR INFO NU FINNS I NÅGON ANNANS DATOR . . .

• De säkerhetskrav som gäller mot oss gäller även när vi anlitar någon annan för infohanteringen

- Ansvaret försvinner ju inte bara för att vi låter någon annan sköta jobbet!

• Därför måste vi se till att molntjänstleverantören åtar sig att uppfylla de säkerhetskrav som gäller mot oss, d.v.s. kolla avtalsvillkoren

- Kan vi verkligen göra det mot stora starka molntjänstleverantörer?

- Om leverantören inte uppfyller säkerhetskraven på det sätt vi vill, kan kraven möjligen uppfyllas på annat sätt som kan anses tillräckligt?

- Om leverantören inte kan uppfylla våra säkerhetskrav på ett tillfredsställande sätt, måste vi avstå affären!

• Kan molntjänstleverantören åta sig att uppfylla våra krav?

- Om leverantören eller dennes anlitade underleverantörer finns i andra länder gäller det landets egna tvingande lagar

- Leverantören kan därför inte åta sig att uppfylla något som gäller enligt svenska lagar

- Om leverantören inte kan uppfylla de tvingande lagkrav som gäller för oss i Sverige, måste vi avstå affären!

Internationella dimensionen

VI KAN STÅ INFÖR VALET MELLAN ATT LÅTA UPPGIFTERNA BEHANDLAS PÅ OLIKA STÄLLEN

1) Lokalt i egna servrar i vår egen fysiska miljö eller i vår egen driftmiljö (stort behov av kontroll och säkerhet, eller p.g.a. vissa lagkrav, t.ex. säkerhets- skyddslagen)

2) Inom Sverige (behov av kontroll och säkerhet, eller

p.g.a. vissa lagkrav, t.ex. säkerhetsskyddslagen, BFL)

3) Inom EU/EES (behov av kontroll och säkerhet kan inte tillgodoses vid behandling på annat ställe – tredjeland)

4) Globalt (behov av kontroll och säkerhet är inte större än att det är OK efter vissa åtgärder)

Behandling utanför EU/EES (tredjeland)

KRAV FÖR ÖVERFÖRING AV PERSON- UPPGIFTER TILL TREDJE LAND

3) Särskilt undantag

(Art. 49 GDPR)

2) Lämpliga skyddsåtgärder (Art. 46 GDPR)

1) Beslut av EU- kommissionen (Art. 45 GDPR)

ALLMÄN PRINCIP

Se alltid till att överföringen är OK enligt art. 44-50 GDPR!!!

GDPR Kapitel V (art. 44-50)

ART. 44 – GENERELLT OCH ÖVERGRIPANDE KRAV (Allmän princip):

för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, […] Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

= Behandlingen måste uppfylla art. 44-50 GDPR för att vara tillåten!!!

Allmän princip

GDPR Kapitel V (art. 44-50)

ART. 44 – GENERELLT OCH ÖVERGRIPANDE KRAV (Allmän princip):

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, […] Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

= Behandlingen måste uppfylla art. 44-50 GDPR för att vara tillåten!!!

1) beslut om adekvat skyddsnivå

ART. 45 – ÖVERFÖRING PÅ GRUNDVAL AV ETT BESLUT OM ADEKVAT SKYDDSNIVÅ:

1. Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

ART. 45 – ÖVERFÖRING PÅ GRUNDVAL AV ETT BESLUT OM ADEKVAT SKYDDSNIVÅ:

2. När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta ett antal kriterier som räknas upp

• EU-kommissionen beslutar att visst land är OK

- T.ex. hur landet uppfyller rättsstatsprincipen, de mänskliga rättigheterna och hur lagstiftning och rättspraxis ser ut

• Överföringar som sker därefter anses OK utan särskilt tillstånd

• T.ex. besluten om Safe Harbour och Privacy Shield . . .

2. När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta ett antal kriterier som räknas upp

• EU-kommissionen beslutar att visst land är OK

- T.ex. hur landet uppfyller rättsstatsprincipen, de mänskliga rättigheterna och hur lagstiftning och rättspraxis ser ut

• Överföringar som sker därefter anses OK utan särskilt tillstånd

• T.ex. besluten om Safe Harbour och Privacy Shield . . .

2) lämpliga skyddsåtgärder

ART. 46 – ÖVERFÖRING SOM OMFATTAS AV LÄMPLIGA SKYDDSÅTGÄRDER:

1. I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och

ART. 46 – ÖVERFÖRING SOM OMFATTAS AV LÄMPLIGA SKYDDSÅTGÄRDER:

effektiva rättsmedel för registrerade finns tillgängliga..

• Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

• Då kan överföringen i stället vara OK om

1) ”Lämpliga skyddsåtgärder” vidtagits, och

2) Det finns lagstadgade rättigheter och effektiva rättsmedel för de registrerade

• Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

• Då kan överföringen i stället vara OK om

1) ”Lämpliga skyddsåtgärder” vidtagits, och

2) Det finns lagstadgade rättigheter och effektiva rättsmedel för de registrerade

- skyddsåtgärderna

ART. 46.2 – LÄMPLIGA SKYDDSÅTGÄRDER:

a) Rättsligt bindande och verkställbara instrument mellan offentliga myndigheter/organ,

b) Bindande företagsbestämmelser (BCR) enligt art. 47,

c) Standardiserade dataskyddsbestämmelser som antas/godkänns av EU- kommissionen (t ex SCC – Standard Contractual Clauses),

d) Uppförandekod (art. 40) + rättsligt bindande & verkställbara åtaganden för PuA/PuB

ART. 46.2 – LÄMPLIGA SKYDDSÅTGÄRDER:

a) Rättsligt bindande och verkställbara instrument mellan offentliga myndigheter/organ,

b) Bindande företagsbestämmelser (BCR) enligt art. 47,

c) Standardiserade dataskyddsbestämmelser som antas/godkänns av EU- kommissionen (t ex SCC – Standard Contractual Clauses),

i aktuellt tredjeland om lämpliga skyddsåtgärder + rättigheter för de registrerade,

e) Certifiering (art 42) rättsligt bindande & verkställbara åtaganden för PuA/PuB i tredjelandet om lämpliga skyddsåtgärder + rättigheter för de registrerade

f) Avtalsklausuler mellan PuA eller PuB och PuA, PuB eller mottagaren av uppgifterna i 3:e land, eller

g) Bestämmelser som ska införas i administrativa överenskommelser mellan myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

d) Uppförandekod (art. 40) + rättsligt bindande & verkställbara åtaganden för PuA/PuB i aktuellt tredjeland om lämpliga skyddsåtgärder + rättigheter för de registrerade,

e) Certifiering (art 42) rättsligt bindande & verkställbara åtaganden för PuA/PuB i tredjelandet om lämpliga skyddsåtgärder + rättigheter för de registrerade

f) Avtalsklausuler mellan PuA eller PuB och PuA, PuB eller mottagaren av uppgifterna i 3:e land, eller

g) Bestämmelser som ska införas i administrativa överenskommelser mellan myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

3) Särskilda undantag

ART. 49 – UNDANTAG I SÄRSKILDA SITUATIONER:

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

ART. 49 – UNDANTAG I SÄRSKILDA SITUATIONER:

• Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

• Och om det även saknas lämpliga skyddsåtgärder enligt art. 46

• Då kan överföringen i stället vara OK om något av undantagen i art. 49 är aktuellt . . .

• Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

• Och om det även saknas lämpliga skyddsåtgärder enligt art. 46

• Då kan överföringen i stället vara OK om något av undantagen i art. 49 är aktuellt . . .

- undantagen

ART. 49 – UNDANTAG:

a) Den registrerades samtycke,

b) Nödvändigt för fullgörande av avtal mellan den registrerade och PuA eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran,

c) Nödvändigt för att ingå eller fullgöra ett avtal mellan PuA och en annan person i den

ART. 49 – UNDANTAG:

a) Den registrerades samtycke,

b) Nödvändigt för fullgörande av avtal mellan den registrerade och PuA eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran,

registrerades intresse,

d) Överföringen är nödvändig av viktiga skäl som rör allmänintresset,

e) Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,

f) Överföringen är nödvändig för att skydda den registrerades eller andra personers

grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge

c) Nödvändigt för att ingå eller fullgöra ett avtal mellan PuA och en annan person i den registrerades intresse,

d) Överföringen är nödvändig av viktiga skäl som rör allmänintresset,

e) Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,

sitt samtycke.

g) Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

f) Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

”SCHREMSDOMEN”

SCHREMS I – Mål C-362/14 Xxxxxxxxxxx Xxxxxxx mot Data Protection Commissioner (”Safe Harbour”)

SCHREMS II – Mål C-311/18 Data Protection Commissioner mot Facebook Ireland Ltd, Xxxxxxxxxxx Xxxxxxx (“Privacy Shield”)

• Båda domarna handlar om huruvida EU-kommissionens beslut enligt art. 45 GDPR om att ett beslut av ett tredjeland varit tillräckligt för att säkerställa en adekvat skyddsnivå vid behandling av personuppgifter som överförs till det aktuella tredjelandet

• I båda fallen har EU-domstolen kommit fram till att det inte finns tillräckliga garantier för hur personuppgifterna behandlas, t.ex. om de kan komma att lämnas vidare till olika myndigheter och hur de behandlas där

USA vs EU

• USA har som tradition att i första hand skydda nationen och dess intresse i att genom övervakning och behandling av information skydda den egna nationens intressen

• EU har som tradition att skydda den personliga integriteten och att låta detta intresse vägas mot det nationella intresset, vilket ibland inskränker möjligheterna att behandla uppgifter

= REDAN TILL FÖLJD AV DE BÅDA SAMHÄLLSSYSTEMENS OLIKA UTGÅNGSPUNKTER FINNS EN INTRESSEKONFLIKT

“Know your transfers”

1. Lista alla överföringar

2. Bekräfta att data är riktig, relevant och begränsad till vad som är nödvänding för sysftet med överföringen/ behandlingen i tredje land

Identifiera och bekräfta vilka överförings- mekanismer som används (Art 46, SCC,

BCR eller annan?)

-Art 49 ska enbart användas för enskilda fall och vara tillfälligt!

Bedöm om det finns något i aktuellt tredje lands lag eller hantering som påverkar giltigheten av grund i (2)

-Se bl a. EDPB

Essential Guarantees recommen- dations

Identifiera ev ”komplette- rande åtgärder”

-Se EDPB-

rekommenda- tionen

Recommendations 02/2020 on the European Essential Guarantees for surveillance measures | European Data Protection Board (xxxxxx.xx)

Vidta ev. formella processkrav

Repetera 1-5 med jämna mellanrum

VAD GÖR VI NU?

SEKRETESSPROBLEMET

NÄR VÅR INFO NU SKA FINNAS I NÅGON ANNANS DATOR . . .

• Xxx kommer den dit om den inte blir utlämnad eller röjd?

- Utlämnad eller röjd = tillgänglig för någon annan (jfr TF 2:12)

• Skulle det inte behöva vara ett röjande om leverantörens personal inte får tillgång till info, utan bara t.ex. en programvara?

- Men att jag spelar in något i stället för att direkt lyssna själv löser inget…

- Varför skulle det då vara annorlunda om info t.ex. bearbetas av en programvara?

• Skulle det inte behöva vara ett röjande om en molntjänstleverantör kan anses pålitlig och säker?

- Hur vet man det?

- Borde i så fall gälla andra än bara molntjänstleverantörerna, t.o.m. familjemedlemmar?

- Pålitligheten bör väl i så fall kunna gälla även för underleverantörer, vilket skulle bana väg för ett gränslöst utlämnande/vidarebefordrande utan att ett röjande anses föreligga?

- Jfr. eSams rättsliga uttalanden om röjande och molntjänster, 2018-10-23, dnr/ref VER 2018:57 och om röjandebegreppet enligt offentlighets- och sekretesslagen, 2015-12-17, dnr/ref VER 2015:190 och nu – SOU 2021:1 (delbetänkande om OSL 10:2a)

OSL och sekretess

Offentlighets- och sekretesslagen (2009:400) – OSL

DRABBAR MYNDIGHETER/OFFENTLIGA AKTÖRER!

Huvudregel: OFFENTLIGHETSPRINCIPEN!

Undantag: SEKRETESS:

1) Rakt skaderekvisit – sekretess undantagsvis (om utlämnande kan antas

leda till skada…)

2) Omvänt skaderekvisit – sekretess utgångspunkt (om det ej står klart att

utlämnande kan ske utan skada…)

3) Absolut sekretess – alltid sekretess (oberoende av menbedömning)

INNAN VI LÄGGER UT INFOHANTERINGEN EXTERNT MÅSTE VI FÖRST KONSTATERA ATT DET INTE INNEBÄR ETT RÖJANDE I STRID MED OSL!

OSL och röjandet

Lagrum	Fråga	Bedömning
TF 2:12	Är det ett verkligen ett röjande när leverantören får tillgång till info, även om det endast är en teknisk tillgång och inte personell?	Svårt att se någon logik i att leverantören kan ha fått tillgång till info utan att den anses röjd och tillgången behöver inte vara personell för att ett röjande ska anses föreligga
OSL 2:1	Kan leverantören anses ingå i myndighetens verksamhet på så sätt att info inte anses utlämnad till någon extern part?	Svårt att kunna förklara hur t.ex. Microsoft skulle kunna anses internt ingå i någon verksamhet på så sätt att regeln blir aktuell
OSL 10:2	Skulle det kunna anses vara nödvändigt för verksamheten att anlita leverantören och utlämnande av info skulle kunna ske med detta som sekretessbrytande grund?	Svårt att kunna förklara varför verksamheten inte skulle kunna fungera utan molntjänsten, dvs kan det lösas på annat sätt är röjandet inte nödvändigt
OSL diverse	Skulle info kunna utlämnas efter en sekretess- prövning/menbedömning där det konstateras inte kunna medföra någon risk för skada?	Möjligt, åtminstone när det gäller sekretess med rakt skaderekvisit, eftersom offentlighet då är utgångspunkt. Mycket mer tveksamt när det är ett omvänt skaderekvisit, eftersom (stark) sekretess då är utgångspunkten. Inte alls möjligt vid absolut sekretess
OSL 8:3	Varför har det betydelse om leverantören finns utomlands?	En utländsk leverantör kan aldrig lova att inte röja info, eftersom denne kan vara tvingad till det enligt landets lagar. Då anses vi ha röjt info automatiskt för ev. aktörer i det andra landet (t.ex. NSA, CIA, FBI i USA etc.)

PROBLEMET UPPMÄRKSAMMAT…

Lagstiftningskedjan

Kommittédirektiv Departementsserien, Ds SOU 2018:25

Lagrådsremiss Prop. 2019/20:201

Lag (2020:914)

• JO 2014-09-09, dnr 3032-2011

- Kritik mot två landsting för att ha outsourcat hantering av känsliga uppgifter om hälsa

• eSams rättsliga uttalande om röjande och molntjänster (2018-10-23, dnr/ref VER 2018:57)

- försiktigt ifrågasättande…

• eSams rättsliga uttalande om röjandebegrepp enligt offentlighets- och sekretesslagen, (2015-12-17, dnr/ref VER 2015:190)

- skarpare ifrågasättande

• SOU 2018:25 – Digitaliseringsrättutredningen

- Ett flertal förslag till nya och ändrade regler, bl.a. ny OSL 10:2a

• Prop. 2019/20:201 – se särskilt sid 10 ff

• Lag (2020:914) om tystnadsplikt vid utkontrak- tering av teknisk bearbetning eller lagring av uppgifter.

• SOU 2021:1 – Nya delbetänkandet om införande av ny OSL 10:2a

SKYLDIGHET ATT HEMLIGHÅLLA UPPGIFT:

Sekretess – Hos myndighet enligt lagen om offentlighet och sekretess (2009:400) (OSL)

Företagshemlighet – Enligt lagen (2018:558) om företagshemligheter och kan gälla hos alla

OBS! Reglerna kan se olika ut

• Ofta förbud mot ”obehörigt” röjande

• Vad är ”obehörigt”???

- Står oftast inte direkt i regeln, utan vi får kolla i förarbeten och rättspraxis…

• Ibland finns påföljderna direkt i lagen

• Ibland h.v.t. BrB 20:3

Tystnadsplikt enligt speciallag

– Som gäller i aktuell verksamhet

Avtal – Enligt villkor i avtal

Att åsidosätta en avtalad sekretess är inte straffbart! Kan dock medföra skadestånd

Viss verksamhet kan vara specialreglerad

 Särskilda krav p.g.a. verksamhetens särskilda natur…

 Den som i …..verksamhet får tillgång till uppgift om … får inte obehörigen röja eller utnyttja sådan uppgift!

 Brukar ha eget straffstadgande direkt i lagen, eller hänvisar till BrB 20:3 - Brott mot tystnadsplikt!

Postverksamhet (2 kap. 14-18 §§ Postlagen (2010:1045))

Televerksamhet (6 kap. 20-21 §§ L (2003:389) om elektronisk kommunikation, LEK)

Inkassoverksamhet (11 § Inkassolagen (1974:182))

Kreditupplysningsverksamhet (14 § Kreditupplysningslagen (1973:1173), KuL)

Präst (Se 36 kap. 5 § st. 5 RB)

Rättegång (Rättegångsbalken, RB 5:4)

Skyddsombud m fl (7 kap. 13 § Arbetsmiljölagen (1977:1160), AML) Banksekretessen (1 kap. 10 § L om bank- och finansieringsrörelse (2004:297), LBF) Advokatsekretessen (RB 8:4 jfr. med 2.2.1 Advokatsamfundets regler för advokatverksamhet)

… och många fler …

Kan det verkligen vara ”behörigt” i sig att

röja (tillgängliggöra) uppgifter till sådana

leverantörer som anlitas för hanteringen?

AVSLUTANDE FUNDERINGAR

❑ Varför ska det vara så svårt att få lagstiftning/rättstillämpning och teknikutveckling att lira ihop?

❑ Kommer myndigheter/offentliga aktörer och privata aktörer att avstå från att åtnjuta fördelarna med tekniken när det är tveksamt om regler om sekretess eller tystnadsplikt tillåter att uppgifter blir tillgänglig för leverantörerna?

❑ Kommer vi att se en trend mot en mer flexibel lagtolkning/rättstillämpning, där ändamålen helgar medlen (jfr t.ex. Transportstyrelsens outsourcing)?

❑ Är det i så fall möjligt att anse att tillgängliggörandet av info till leverantörerna INTE är ett röjande?

❑ Kan vi verkligen göra en GENERELL menbedömning och komma fram till att en outsourcing av uppgifterna ALLTID är OK? (se prop. 2019/20:201, s.10)

❑ D.v.s. konflikten mellan behoven av FLEXIBILITET och FÖRUTSEBARHET…

KONTAKTINFO

SLUT!!!

Tack för

mig!

Xxxxx Xxxxxxx

Advokatfirman Singularity Law AB

Fridhems Gränd 5

SE-18491 Åkersberga Tel: x00 00 000 00 00

Document Metadata

Table of Contents

JURIDISKA FRÅGOR I SAMBAND MED MOLNTJÄNSTER OCH ANNAN OUTSOURCING

Document Metadata