Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

EU-dom får stora konsekvenser

ExpertkommentarMitt i sommarsemestern, den 16 juli, kom så EU-domstolens dom i det så kallade Schrems II-målet. Domstolens klargörande i frågan var efterlängtat, skriver Peter Nordbeck, men många drog nog efter andan efter domstolen klargörande.

| 2020-09-06
Peter Nordbeck, Inköpsrådets expert på it-avtal.

Målet handlar om huruvida det är lagligt för Facebook att överföra personuppgifter till USA med stöd av regelverket EU-US Privacy Shield, alternativt med tillämpning av de så kallade standardavtalsklasulerna (modellklausulerna), med hänsyn bland annat till de övervakningsprogram som genomförs i USA.

Standardavtalsklausulerna är en mekanism som EU kommissionen tagit fram för överföring av personuppgifter till land utanför EU/EES och som ofta används vid överföringar av personuppgifter till andra länder än USA.

Domstolens klargörande i frågan var efterlängtat, men många drog nog efter andan när det stod klart att EU-domstolen ogiltigförklarade regelverket Privacy Shield och genom sitt resonemang i domen även skapade osäkerhet kring om standardavtalsklausulerna kan användas för överföring av personuppgifter till USA.

I denna expertkommentar belyser jag några av de viktigaste aspekterna på EU-domstolens dom.  

Olika mekanismer för överföring av personuppgifter till land utanför EU/EES
När utkontraktering av verksamhet, till exempel i form av upphandling av molntjänster, sker till en leverantör i ett land utanför EU/EES är det nödvändigt att det finns mekanismer på plats som säkerställer att en överföring av personuppgifter kan ske i enlighet med EU:s dataskyddslagstiftning.

Två vanligt förekommande mekanismer är de ovan nämnda Privacy Shield – för överföring till USA – och standardavtalsklausulerna, men det finns även andra, alternativa, mekanismer i GDPR.

Det kan uppmärksammas att den problematik som aktualiseras i domen alltså inte gäller för överföringar till ett land inom EU/EES och inte heller till ett land som enligt beslut från EU kommissionen har ett adekvat skydd för personuppgifter (bland annat Schweiz).

Överföringar av personuppgifter till USA
När nu EU-domstolen ogiltigförklarar Privacy Shield och skapar osäkerhet kring om standardavtalsklausulerna kan användas för överföring av personuppgifter till USA, får detta naturligtvis direkta konsekvenser för avtal som upphandlats med amerikanska leverantörer eller med leverantörer som använder sig av amerikanska underleverantörer.

En viktig åtgärd blir i sådant fall att kontakta leverantören för att diskutera vägen framåt. Finns det alternativa mekanismer som kan användas i stället för Privacy Shield och standardavtalsklausulerna för överföring av personuppgifter till USA? I många fall kommer leverantörerna själva ta kontakt för att föreslå alternativa lösningar.

Överföringar av personuppgifter till andra länder utanför EU/EES
Utgången i målet har emellertid inte enbart betydelse för överföring av personuppgifter till USA.

Den får även påverkan på användningen av standardavtalsklausulerna för överföring av personuppgifter till andra länder utanför EU/EES. Anledningen är att EU-domstolen understryker att den som avser att överföra personuppgifter med stöd av standardavtalsklausulerna måste försäkra sig om att lagstiftningen i mottagarlandet gör det möjligt för leverantören i det landet att – enkelt uttryckt – följa EU:s krav på personuppgiftsskydd. Det räcker alltså inte med att så att säga mekaniskt använda sig av standardavtalsklausulerna.

Den personuppgiftsansvarige (den upphandlande enheten) måste även företa en undersökning av om lagstiftningen i mottagarlandet säkerställer ett tillräckligt skydd för personuppgifterna innan utkontraktering sker.

Denna princip är visserligen inte ny, men har enligt min erfarenhet inte tidigare slagit igenom fullt ut. Efter domen i Schrems II-målet kommer det, enligt min bedömning, att bli betydligt större fokus på att göra en sådan undersökning av hur lagstiftningen ser ut i mottagarlandet innan en överföring av personuppgifter sker till det landet.

Detta moment är inte helt enkelt och utförs i praktiken lämpligast av en jurist som är expert på lagstiftningen i det aktuella mottagarlandet. En inbyggd svårighet är att avgränsa uppdraget till juristen så att rätt frågor ställs och alla relevanta aspekter kommer fram.

När det väl har utretts hur lagstiftningen i mottagarlandet ser ut och förhåller sig till GDPR, blir utredningen en viktig pusselbit i den personuppgiftsansvariges skyldighet att dokumentera och motivera sin behandling av personuppgifter – principen om ansvarsskyldighet.       

I målet prövades en överföring av personuppgifter till USA bland annat mot bakgrund av de övervakningsprogram som används av den amerikanska regeringen.

Det finns emellertid även andra länder än USA som ägnar sig åt omfattande övervakning. I de fall en undersökning av mottagarlandets lagstiftning visar att en omfattande övervakning sker eller att ett skydd för personuppgifterna inte kan säkerställas, kan det innebära att en överföring av personuppgifter till det landet inte kan ske med stöd av standardavtalsklausulerna. Det är alltså inte enbart överföringar av personuppgifter till USA som kan bli problematiska.  

Slutsatser
EU-domstolens avgörande i Schrems II-målet i somras har verkligen ”rört om i grytan”.  Målet är av stor praktisk betydelse och innebär att överföringar av personuppgifter till USA försvåras.

Utgången i målet innebär även att alla personuppgiftsansvariga som avser att lägga ut verksamhet som innefattar personuppgiftsbehandling på en leverantör i ett land utanför EU/EES måste göra en undersökning av om det är möjligt med hänsyn till lagstiftningen i mottagarlandet innan en överföring sker. Resultatet av en sådan utredning kan innebära att även överföringar till andra länder än USA försvåras.

Det är tydligt att EU-domstolen anser att betydelsen av att tillämpa GDPR:s strikta och långtgående regler väger tyngre än att kunna använda sig av amerikanska tjänsteleverantörer, vilket i och för sig inte är överraskande.

Men även om läget är oklart just nu, kan vi nog utgå från att en lösning kommer att hittas, så att överföringar av personuppgifter till USA (och andra länder utanför EU/EES) även fortsättningsvis kan äga rum.

Det blir spännande att följa utvecklingen och jag kommer att återkomma till den i expertkommentarer längre fram.

Peter Nordbeck
Advokat, Advokatfirman Delphi

Vill du ställa frågor till Peter Nordbeck? Mejla info@inkopsradet.se

Läs mer: EU-domstolenExpertkommentar

Peter Nordbeck

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “EU-dom får stora konsekvenser”

  1. Richard Ericsson skriver:
    2020-09-10 kl. 15:42

    En offentlig anställds tjänste-epostadress åtnjuter ju inte något direkt skydd inom EU. Kan den då även lagras i t ex MS Azure?

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Krävs mer än spekulationer för utredningsansvarKrävs mer än spekulationer för utredningsansvar

Nytt från Upphandling24

  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp
  • Livsmedelsupphandlare med många järn i elden
  • Pionjär inom cirkulära förkläden

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025