JURIDISKA FRÅGOR I SAMBAND MED MOLNTJÄNSTER OCH ANNAN OUTSOURCING



JURIDISKA FRÅGOR I SAMBAND MED MOLNTJÄNSTER OCH ANNAN OUTSOURCING


PROBLEMSTÄLLNINGEN:

- Hur Schrems 2-domen och GDPR men även bestämmelser om sekretess och säkerhet kan påverka möjligheterna att låta utomstående aktörer hantera personuppgifter och annan information


Connys nedslag i juridiken…


Styrelsen i SIG Security – nu även ordförande

Styrelsen i SIJU

Integritetsskyddsombud vid FUD

Medverkat vid framtagandet av Brottsdatalagen och följdförfattningar (SOU 2017:39)

Medverkat i ett stort antal av Advokatsamfundets remissyttranden

Bedriver utbildning (inte minst hos IFI)

Skriver artiklar mm (bl.a. hos JP- Infonet)

IT-avtal (rådgivning, utformning, tvister mm)

IT-brott (utredning, brottmål mm)

IT-incidentutredningar

IT-säkerhet och juridik

1989 – Jur. kand. Stockholms Universitet Verksjurist, Televerket Radio

1992 – Kriminologi, Stockholms Universitet

1993 – Bolagsjurist, Telia-koncernen 1997

2001 – Jur. mag. Law & IT (LLM) 2001 – Bolagsjurist, Flextronics 2004 – Bolagsjurist, TeliaSonera

2008 – Verksjurist, Kronofogdemyndigheten


2009 – Advokatfirman Gärde & Partners Advokat 2011

2018 – Advokatfirman Xxxxx Xxxxxxx 2019 – Advokatfirman Singularity Law AB


ÖVERGRIPANDE FRÅGOR



Kvalitet

GDPR

Xxxxx lag

Sekretess

Säkerhet

Lämpligt

Är tjänsten

Kan vi

Omfattas vi

Kan det

Kommer

Kommer

bra rent

uppfylla

av och kan

vara ett

lösningen

lösningen

tekniskt

vad som

vi uppfylla

otillåtet/

att vara

att vara

och

krävs enligt

vad som

obehörigt

tillräckligt

lämplig,

kvalitativt?

GDPR när

krävs enligt

röjande om

säker för

t.ex. vad


vi anlitar

annan lag?

vi låter en

att uppfylla

gäller vår


annan för

- NIS-lagen

extern part

vad som

kontroll


hantering

- SskL

få tillgång

krävs enligt

över hur


av info?


till vår info?

lag/våra

vår info





egna krav?

hanteras?

MOLNTJÄNSTAVTALENS GENERELLA UPPLÄGG

• Standardiserade och ensidiga konstruktioner

• Begränsade förhandlingsmöjligheter

• Garanterar långtgående friheter för leverantören

• Ofta SaaS-tjänster med licensavtal för drift av system och hantering

• Ofta ingår (och de är leverantörens egna)

1) Allmänna villkor

2) Personuppgiftsbiträdesavtal

3) SLA-bilaga

4) Säkerhetspolicy

MOLNTJÄNSTAVTALEN


KUND

MOLNTJÄNST- LEVERANTÖR

UNDER- LEVERANTÖR



UNDER-

LEVERANTÖR UNDER- LEVERANTÖR

UNDER- LEVERANTÖR


GDPR-PROBLEMET


NÄR VÅR INFO NU SKA FINNAS I NÅGON ANNANS DATOR . . .

Hur kan vi uppfylla kravet att ha kontroll på behandlingen?

- Hur fungerar det om de standardiserade villkoren och leverantörens upplägg inte erbjuder den möjligheten (Art. 28 GDPR)?

Hur kan det garanteras att personuppgifterna inte förs vidare till någon annan enligt det andra landets egna nationella lagregler?

- Leverantören (PuB) är ju skyldig att följa det egna landets lagar och kan drabbas av sanktioner om vederbörande vägrar lyda

- Svenska lagar gäller ju inte i andra länder och EU-rätten gäller ju inte utanför EU

Hur kan vi skapa internationella lösningar som vi kan lita på att de håller?

- Först ogiltigförklarades Safe Harbour och nu Privacy Shield av EU-domstolen

- Varför skulle detta inte kunna ske även beträffande EU:s modellklausuler?

- Varför skulle detta inte även kunna hända om PuA och PuB kommit fram till en egen lösning (PuB måste ju fortfarande lyda det egna landets lagar oavsett vad vi skriver i våra avtal)?

PuA

PuB

PuB (UB)

Personuppgiftsansvarig - PuA (art. 4.7): En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt

Personuppgiftsbiträde - PuB (art. 4.8): en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning,

Underbiträde - UB: Den som PuB i sin tur anlitar (d.v.s. som är PuB:s PuB) – finns dock INTE som begrepp i vare sig PuL eller GDPR

Ansvaret


Roller & ansvar är formellt definierade och kan inte avtalas bort!



PuB (UB)

PuA måste ha koll hela vägen!

- Ger molntjänstavtalet oss möjlighet till detta!!!???

PuB-avtalet


ÖVERGRIPANDE KRAV PÅ PuB-AVTALET:

Personuppgifter får endast behandlas enligt PuAs instruktioner

PuB måste ålägga personalen tystnadsplikt, om de inte omfattas av tystnadsplikt enligt lag

PuB måste vidta säkerhetsåtgärder enligt art 32

PuB får inte anlita annat PuB (UB) utan PuAs skriftliga OK

Om PuB anlitar annat PuB ska motsvarande avtal ordnas även där

PuB ska tekniskt och organisatoriskt bistå PuA att fullgöra sin infoplikt mot de registrerade

PuB ska tekniskt och organisatoriskt uppfylla säkerhetskraven enligt GDPR (art 32-36)

Vid avtalets upphörande enligt XxXx önskemål radera eller återlämna personuppgifterna

PuB ska ge PuA tillgång till info + tillfälle inspektera att PuB fullgör sina skyldigheter


Regressanspråk om den ene parten orsakar att den andre parten drabbas av skadeståndsansvar eller sanktionsavgift?

Kan även räcka med att PuB anslutit sig till EU-godkänd uppförandekod eller certifierats (art 40 och 42 GDPR och skäl 81)

EU-kommissionen eller tillsynsmyndigheten (DI) kan bestämma standardavtalsvillkor för PuB- avtalen

UPPFYLLER MOLNTJÄNSTAVTALET DETTA KRAV PÅ INNEHÅLL?

(Art. 28.2-3 GDPR)

Säkerhetskraven


SÄKERHETEN VID BEHANDLING AV PERSONUPPGIFT

Vi ska uppnå en ”lämplig” säkerhetsnivå m.h.t. olika faktorer

1) den tekniska utvecklingen

Främja ny teknik

Kraven är inte konkreta


Vi får själva göra sammanvägningen på egen risk


Flexibilitet vs förutsebarhet

2) genomförandekostnaderna

Proportionerliga/rimliga?

3) behandlingens art, omfattning, sammanhang och ändamål

uppgifter av känslig art eller av stor mängd

4) ev. risker (sannolikhet & allvarlighetsgrad)

särskilt beakta riskerna för

- oavsiktlig/olaglig förstöring,

- förlust eller ändring,

- obehörigt röjande/åtkomst

Såväl tekniska som organisatoriska åtgärder

Privacy by design bör prioriteras (säkerheten bör vara automatisk)


(Art. 32 GDPR)


Outsourcing och säkerhet



NÄR VÅR INFO NU FINNS I NÅGON ANNANS DATOR . . .

De säkerhetskrav som gäller mot oss gäller även när vi anlitar någon annan för infohanteringen

- Ansvaret försvinner ju inte bara för att vi låter någon annan sköta jobbet!

Därför måste vi se till att molntjänstleverantören åtar sig att uppfylla de säkerhetskrav som gäller mot oss, d.v.s. kolla avtalsvillkoren

- Kan vi verkligen göra det mot stora starka molntjänstleverantörer?

- Om leverantören inte uppfyller säkerhetskraven på det sätt vi vill, kan kraven möjligen uppfyllas på annat sätt som kan anses tillräckligt?

- Om leverantören inte kan uppfylla våra säkerhetskrav på ett tillfredsställande sätt, måste vi avstå affären!

Kan molntjänstleverantören åta sig att uppfylla våra krav?

- Om leverantören eller dennes anlitade underleverantörer finns i andra länder gäller det landets egna tvingande lagar

- Leverantören kan därför inte åta sig att uppfylla något som gäller enligt svenska lagar

- Om leverantören inte kan uppfylla de tvingande lagkrav som gäller för oss i Sverige, måste vi avstå affären!

Internationella dimensionen


VI KAN STÅ INFÖR VALET MELLAN ATT LÅTA UPPGIFTERNA BEHANDLAS PÅ OLIKA STÄLLEN


1) Lokalt i egna servrar i vår egen fysiska miljö eller i vår egen driftmiljö (stort behov av kontroll och säkerhet, eller p.g.a. vissa lagkrav, t.ex. säkerhets- skyddslagen)


2) Inom Sverige (behov av kontroll och säkerhet, eller

p.g.a. vissa lagkrav, t.ex. säkerhetsskyddslagen, BFL)


3) Inom EU/EES (behov av kontroll och säkerhet kan inte tillgodoses vid behandling på annat ställe – tredjeland)


4) Globalt (behov av kontroll och säkerhet är inte större än att det är OK efter vissa åtgärder)

Behandling utanför EU/EES (tredjeland)


KRAV FÖR ÖVERFÖRING AV PERSON- UPPGIFTER TILL TREDJE LAND



3) Särskilt undantag

(Art. 49 GDPR)

2) Lämpliga skyddsåtgärder (Art. 46 GDPR)

1) Beslut av EU- kommissionen (Art. 45 GDPR)

ALLMÄN PRINCIP

Se alltid till att överföringen är OK enligt art. 44-50 GDPR!!!

GDPR Kapitel V (art. 44-50)

ART. 44 – GENERELLT OCH ÖVERGRIPANDE KRAV (Allmän princip):

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll

för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, […] Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.


= Behandlingen måste uppfylla art. 44-50 GDPR för att vara tillåten!!!

Allmän princip



GDPR Kapitel V (art. 44-50)


ART. 44 – GENERELLT OCH ÖVERGRIPANDE KRAV (Allmän princip):

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, […] Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.


= Behandlingen måste uppfylla art. 44-50 GDPR för att vara tillåten!!!

1) beslut om adekvat skyddsnivå


ART. 45 – ÖVERFÖRING PÅ GRUNDVAL AV ETT BESLUT OM ADEKVAT SKYDDSNIVÅ:

1. Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

ART. 45 – ÖVERFÖRING PÅ GRUNDVAL AV ETT BESLUT OM ADEKVAT SKYDDSNIVÅ:

1. Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring ska inte kräva något särskilt tillstånd.

2. När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta ett antal kriterier som räknas upp


EU-kommissionen beslutar att visst land är OK

- T.ex. hur landet uppfyller rättsstatsprincipen, de mänskliga rättigheterna och hur lagstiftning och rättspraxis ser ut

Överföringar som sker därefter anses OK utan särskilt tillstånd

T.ex. besluten om Safe Harbour och Privacy Shield . . .

2. När kommissionen bedömer om en adekvat skyddsnivå föreligger ska den särskilt beakta ett antal kriterier som räknas upp


EU-kommissionen beslutar att visst land är OK

- T.ex. hur landet uppfyller rättsstatsprincipen, de mänskliga rättigheterna och hur lagstiftning och rättspraxis ser ut

Överföringar som sker därefter anses OK utan särskilt tillstånd

T.ex. besluten om Safe Harbour och Privacy Shield . . .

2) lämpliga skyddsåtgärder


ART. 46 – ÖVERFÖRING SOM OMFATTAS AV LÄMPLIGA SKYDDSÅTGÄRDER:

1. I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och

ART. 46 – ÖVERFÖRING SOM OMFATTAS AV LÄMPLIGA SKYDDSÅTGÄRDER:

effektiva rättsmedel för registrerade finns tillgängliga..


Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

Då kan överföringen i stället vara OK om

1) ”Lämpliga skyddsåtgärder” vidtagits, och

2) Det finns lagstadgade rättigheter och effektiva rättsmedel för de registrerade

1. I avsaknad av ett beslut i enlighet med artikel 45.3, får en personuppgiftsansvarig eller ett personuppgiftsbiträde endast överföra personuppgifter till ett tredjeland eller en internationell organisation efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga..


Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

Då kan överföringen i stället vara OK om

1) ”Lämpliga skyddsåtgärder” vidtagits, och

2) Det finns lagstadgade rättigheter och effektiva rättsmedel för de registrerade

- skyddsåtgärderna


ART. 46.2 – LÄMPLIGA SKYDDSÅTGÄRDER:

a) Rättsligt bindande och verkställbara instrument mellan offentliga myndigheter/organ,

b) Bindande företagsbestämmelser (BCR) enligt art. 47,

c) Standardiserade dataskyddsbestämmelser som antas/godkänns av EU- kommissionen (t ex SCC – Standard Contractual Clauses),

d) Uppförandekod (art. 40) + rättsligt bindande & verkställbara åtaganden för PuA/PuB

ART. 46.2 – LÄMPLIGA SKYDDSÅTGÄRDER:

a) Rättsligt bindande och verkställbara instrument mellan offentliga myndigheter/organ,

b) Bindande företagsbestämmelser (BCR) enligt art. 47,

c) Standardiserade dataskyddsbestämmelser som antas/godkänns av EU- kommissionen (t ex SCC – Standard Contractual Clauses),

i aktuellt tredjeland om lämpliga skyddsåtgärder + rättigheter för de registrerade,

e) Certifiering (art 42) rättsligt bindande & verkställbara åtaganden för PuA/PuB i tredjelandet om lämpliga skyddsåtgärder + rättigheter för de registrerade

f) Avtalsklausuler mellan PuA eller PuB och PuA, PuB eller mottagaren av uppgifterna i 3:e land, eller

g) Bestämmelser som ska införas i administrativa överenskommelser mellan myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

d) Uppförandekod (art. 40) + rättsligt bindande & verkställbara åtaganden för PuA/PuB i aktuellt tredjeland om lämpliga skyddsåtgärder + rättigheter för de registrerade,

e) Certifiering (art 42) rättsligt bindande & verkställbara åtaganden för PuA/PuB i tredjelandet om lämpliga skyddsåtgärder + rättigheter för de registrerade

f) Avtalsklausuler mellan PuA eller PuB och PuA, PuB eller mottagaren av uppgifterna i 3:e land, eller

g) Bestämmelser som ska införas i administrativa överenskommelser mellan myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

3) Särskilda undantag


ART. 49 – UNDANTAG I SÄRSKILDA SITUATIONER:

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:

ART. 49 – UNDANTAG I SÄRSKILDA SITUATIONER:

1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3, eller om lämpliga skyddsåtgärder enligt artikel 46, inbegripet bindande företagsbestämmelser, får en överföring eller uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske om något av följande villkor är uppfyllt:


Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

Och om det även saknas lämpliga skyddsåtgärder enligt art. 46

Då kan överföringen i stället vara OK om något av undantagen i art. 49 är aktuellt . . .

Om det inte finns ett gällande beslut av EU-kommissionen (t.ex. när Safe Harbour och Privacy Shield blivit ogiltiga)

Och om det även saknas lämpliga skyddsåtgärder enligt art. 46

Då kan överföringen i stället vara OK om något av undantagen i art. 49 är aktuellt . . .

- undantagen


ART. 49 – UNDANTAG:

a) Den registrerades samtycke,

b) Nödvändigt för fullgörande av avtal mellan den registrerade och PuA eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran,

c) Nödvändigt för att ingå eller fullgöra ett avtal mellan PuA och en annan person i den

ART. 49 – UNDANTAG:

a) Den registrerades samtycke,

b) Nödvändigt för fullgörande av avtal mellan den registrerade och PuA eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran,

registrerades intresse,

d) Överföringen är nödvändig av viktiga skäl som rör allmänintresset,

e) Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,

f) Överföringen är nödvändig för att skydda den registrerades eller andra personers

grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge

c) Nödvändigt för att ingå eller fullgöra ett avtal mellan PuA och en annan person i den registrerades intresse,

d) Överföringen är nödvändig av viktiga skäl som rör allmänintresset,

e) Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,

sitt samtycke.

g) Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

f) Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g) Överföringen görs från ett register som enligt unionsrätten eller medlemsstaternas nationella rätt är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, men endast i den utsträckning som de i unionsrätten eller i medlemsstaternas nationella rätt angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.


”SCHREMSDOMEN”


SCHREMS I – Mål C-362/14 Xxxxxxxxxxx Xxxxxxx mot Data Protection Commissioner (”Safe Harbour”)

SCHREMS II – Mål C-311/18 Data Protection Commissioner mot Facebook Ireland Ltd, Xxxxxxxxxxx Xxxxxxx (“Privacy Shield”)

• Båda domarna handlar om huruvida EU-kommissionens beslut enligt art. 45 GDPR om att ett beslut av ett tredjeland varit tillräckligt för att säkerställa en adekvat skyddsnivå vid behandling av personuppgifter som överförs till det aktuella tredjelandet

• I båda fallen har EU-domstolen kommit fram till att det inte finns tillräckliga garantier för hur personuppgifterna behandlas, t.ex. om de kan komma att lämnas vidare till olika myndigheter och hur de behandlas där


USA vs EU


• USA har som tradition att i första hand skydda nationen och dess intresse i att genom övervakning och behandling av information skydda den egna nationens intressen


• EU har som tradition att skydda den personliga integriteten och att låta detta intresse vägas mot det nationella intresset, vilket ibland inskränker möjligheterna att behandla uppgifter


= REDAN TILL FÖLJD AV DE BÅDA SAMHÄLLSSYSTEMENS OLIKA UTGÅNGSPUNKTER FINNS EN INTRESSEKONFLIKT



“Know your transfers”

1. Lista alla överföringar


2. Bekräfta att data är riktig, relevant och begränsad till vad som är nödvänding för sysftet med överföringen/ behandlingen i tredje land

1


Identifiera och bekräfta vilka överförings- mekanismer som används (Art 46, SCC,

BCR eller annan?)

-Art 49 ska enbart användas för enskilda fall och vara tillfälligt!

2


Bedöm om det finns något i aktuellt tredje lands lag eller hantering som påverkar giltigheten av grund i (2)

-Se bl a. EDPB

Essential Guarantees recommen- dations

3


Identifiera ev ”komplette- rande åtgärder”

-Se EDPB-

rekommenda- tionen

Recommendations 02/2020 on the European Essential Guarantees for surveillance measures | European Data Protection Board (xxxxxx.xx)

4


Vidta ev. formella processkrav

5


Repetera 1-5 med jämna mellanrum

6

VAD GÖR VI NU?


SEKRETESSPROBLEMET


NÄR VÅR INFO NU SKA FINNAS I NÅGON ANNANS DATOR . . .

Xxx kommer den dit om den inte blir utlämnad eller röjd?

- Utlämnad eller röjd = tillgänglig för någon annan (jfr TF 2:12)

Skulle det inte behöva vara ett röjande om leverantörens personal inte får tillgång till info, utan bara t.ex. en programvara?

- Men att jag spelar in något i stället för att direkt lyssna själv löser inget…

- Varför skulle det då vara annorlunda om info t.ex. bearbetas av en programvara?

Skulle det inte behöva vara ett röjande om en molntjänstleverantör kan anses pålitlig och säker?

- Hur vet man det?

- Borde i så fall gälla andra än bara molntjänstleverantörerna, t.o.m. familjemedlemmar?

- Pålitligheten bör väl i så fall kunna gälla även för underleverantörer, vilket skulle bana väg för ett gränslöst utlämnande/vidarebefordrande utan att ett röjande anses föreligga?

- Jfr. eSams rättsliga uttalanden om röjande och molntjänster, 2018-10-23, dnr/ref VER 2018:57 och om röjandebegreppet enligt offentlighets- och sekretesslagen, 2015-12-17, dnr/ref VER 2015:190 och nu – SOU 2021:1 (delbetänkande om OSL 10:2a)

OSL och sekretess

Offentlighets- och sekretesslagen (2009:400) – OSL

DRABBAR MYNDIGHETER/OFFENTLIGA AKTÖRER!


Huvudregel: OFFENTLIGHETSPRINCIPEN!

Undantag: SEKRETESS:

1) Rakt skaderekvisit – sekretess undantagsvis (om utlämnande kan antas

leda till skada…)

2) Omvänt skaderekvisit – sekretess utgångspunkt (om det ej står klart att

utlämnande kan ske utan skada…)

3) Absolut sekretess – alltid sekretess (oberoende av menbedömning)


INNAN VI LÄGGER UT INFOHANTERINGEN EXTERNT MÅSTE VI FÖRST KONSTATERA ATT DET INTE INNEBÄR ETT RÖJANDE I STRID MED OSL!

OSL och röjandet



Lagrum

Fråga

Bedömning

TF 2:12

Är det ett verkligen ett röjande när leverantören får tillgång till info, även om det endast är en teknisk tillgång och inte personell?

Svårt att se någon logik i att leverantören kan ha fått tillgång till info utan att den anses röjd och tillgången behöver inte vara personell för att ett röjande ska anses föreligga

OSL 2:1

Kan leverantören anses ingå i myndighetens verksamhet på så sätt att info inte anses utlämnad till någon extern part?

Svårt att kunna förklara hur t.ex. Microsoft skulle kunna anses internt ingå i någon verksamhet på så sätt att regeln blir aktuell

OSL 10:2

Skulle det kunna anses vara nödvändigt för verksamheten att anlita leverantören och utlämnande av info skulle kunna ske med detta som sekretessbrytande grund?

Svårt att kunna förklara varför verksamheten inte skulle kunna fungera utan molntjänsten, dvs kan det lösas på annat sätt är röjandet inte nödvändigt

OSL

diverse

Skulle info kunna utlämnas efter en sekretess- prövning/menbedömning där det konstateras inte kunna medföra någon risk för skada?

Möjligt, åtminstone när det gäller sekretess med rakt skaderekvisit, eftersom offentlighet då är utgångspunkt. Mycket mer tveksamt när det är ett omvänt skaderekvisit, eftersom (stark) sekretess då är utgångspunkten. Inte alls möjligt vid absolut sekretess

OSL 8:3

Varför har det betydelse om leverantören finns utomlands?

En utländsk leverantör kan aldrig lova att inte röja info, eftersom denne kan vara tvingad till det enligt landets lagar. Då anses vi ha röjt info automatiskt för ev. aktörer i det andra landet (t.ex. NSA, CIA, FBI i USA etc.)


PROBLEMET UPPMÄRKSAMMAT…



Lagstiftningskedjan


Kommittédirektiv Departementsserien, Ds SOU 2018:25

Lagrådsremiss Prop. 2019/20:201

Lag (2020:914)

JO 2014-09-09, dnr 3032-2011

- Kritik mot två landsting för att ha outsourcat hantering av känsliga uppgifter om hälsa

eSams rättsliga uttalande om röjande och molntjänster (2018-10-23, dnr/ref VER 2018:57)

- försiktigt ifrågasättande…

eSams rättsliga uttalande om röjandebegrepp enligt offentlighets- och sekretesslagen, (2015-12-17, dnr/ref VER 2015:190)

- skarpare ifrågasättande

SOU 2018:25 – Digitaliseringsrättutredningen

- Ett flertal förslag till nya och ändrade regler, bl.a. ny OSL 10:2a

Prop. 2019/20:201 – se särskilt sid 10 ff

Lag (2020:914) om tystnadsplikt vid utkontrak- tering av teknisk bearbetning eller lagring av uppgifter.

SOU 2021:1 – Nya delbetänkandet om införande av ny OSL 10:2a


SKYLDIGHET ATT HEMLIGHÅLLA UPPGIFT:


Sekretess – Hos myndighet enligt lagen om offentlighet och sekretess (2009:400) (OSL)

Företagshemlighet – Enligt lagen (2018:558) om företagshemligheter och kan gälla hos alla

OBS! Reglerna kan se olika ut

Ofta förbud mot ”obehörigt” röjande

Vad är ”obehörigt”???

- Står oftast inte direkt i regeln, utan vi får kolla i förarbeten och rättspraxis…

Ibland finns påföljderna direkt i lagen

Ibland h.v.t. BrB 20:3

Tystnadsplikt enligt speciallag

– Som gäller i aktuell verksamhet

Avtal – Enligt villkor i avtal



Att åsidosätta en avtalad sekretess är inte straffbart! Kan dock medföra skadestånd


Viss verksamhet kan vara specialreglerad

Särskilda krav p.g.a. verksamhetens särskilda natur…

Den som i …..verksamhet får tillgång till uppgift om … får inte obehörigen röja eller utnyttja sådan uppgift!

Brukar ha eget straffstadgande direkt i lagen, eller hänvisar till BrB 20:3 - Brott mot tystnadsplikt!


Postverksamhet (2 kap. 14-18 §§ Postlagen (2010:1045))

Televerksamhet (6 kap. 20-21 §§ L (2003:389) om elektronisk kommunikation, LEK)

Inkassoverksamhet (11 § Inkassolagen (1974:182))

Kreditupplysningsverksamhet (14 § Kreditupplysningslagen (1973:1173), KuL)

Präst (Se 36 kap. 5 § st. 5 RB)

Rättegång (Rättegångsbalken, RB 5:4)

Skyddsombud m fl (7 kap. 13 § Arbetsmiljölagen (1977:1160), AML) Banksekretessen (1 kap. 10 § L om bank- och finansieringsrörelse (2004:297), LBF) Advokatsekretessen (RB 8:4 jfr. med 2.2.1 Advokatsamfundets regler för advokatverksamhet)

… och många fler …

Kan det verkligen vara ”behörigt” i sig att

röja (tillgängliggöra) uppgifter till sådana



leverantörer som anlitas för hanteringen?



AVSLUTANDE FUNDERINGAR


Varför ska det vara så svårt att få lagstiftning/rättstillämpning och teknikutveckling att lira ihop?

Kommer myndigheter/offentliga aktörer och privata aktörer att avstå från att åtnjuta fördelarna med tekniken när det är tveksamt om regler om sekretess eller tystnadsplikt tillåter att uppgifter blir tillgänglig för leverantörerna?

Kommer vi att se en trend mot en mer flexibel lagtolkning/rättstillämpning, där ändamålen helgar medlen (jfr t.ex. Transportstyrelsens outsourcing)?

Är det i så fall möjligt att anse att tillgängliggörandet av info till leverantörerna INTE är ett röjande?

Kan vi verkligen göra en GENERELL menbedömning och komma fram till att en outsourcing av uppgifterna ALLTID är OK? (se prop. 2019/20:201, s.10)

D.v.s. konflikten mellan behoven av FLEXIBILITET och FÖRUTSEBARHET…


KONTAKTINFO


SLUT!!!

Tack för

mig!

Xxxxx Xxxxxxx



Advokatfirman Singularity Law AB


Fridhems Gränd 5

SE-18491 Åkersberga Tel: x00 00 000 00 00

Document Metadata

Filed: January 18th, 2021