Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen • 4 nov 2025 • Stockholm
    • Praxisdagen • 11 nov 2025 • Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

EU-dom får stora konsekvenser

ExpertkommentarMitt i sommarsemestern, den 16 juli, kom så EU-domstolens dom i det så kallade Schrems II-målet. Domstolens klargörande i frågan var efterlängtat, skriver Peter Nordbeck, men många drog nog efter andan efter domstolen klargörande.

| 2020-09-06
Peter Nordbeck, Inköpsrådets expert på it-avtal.

Målet handlar om huruvida det är lagligt för Facebook att överföra personuppgifter till USA med stöd av regelverket EU-US Privacy Shield, alternativt med tillämpning av de så kallade standardavtalsklasulerna (modellklausulerna), med hänsyn bland annat till de övervakningsprogram som genomförs i USA.

Standardavtalsklausulerna är en mekanism som EU kommissionen tagit fram för överföring av personuppgifter till land utanför EU/EES och som ofta används vid överföringar av personuppgifter till andra länder än USA.

Domstolens klargörande i frågan var efterlängtat, men många drog nog efter andan när det stod klart att EU-domstolen ogiltigförklarade regelverket Privacy Shield och genom sitt resonemang i domen även skapade osäkerhet kring om standardavtalsklausulerna kan användas för överföring av personuppgifter till USA.

I denna expertkommentar belyser jag några av de viktigaste aspekterna på EU-domstolens dom.  

Olika mekanismer för överföring av personuppgifter till land utanför EU/EES
När utkontraktering av verksamhet, till exempel i form av upphandling av molntjänster, sker till en leverantör i ett land utanför EU/EES är det nödvändigt att det finns mekanismer på plats som säkerställer att en överföring av personuppgifter kan ske i enlighet med EU:s dataskyddslagstiftning.

Två vanligt förekommande mekanismer är de ovan nämnda Privacy Shield – för överföring till USA – och standardavtalsklausulerna, men det finns även andra, alternativa, mekanismer i GDPR.

Det kan uppmärksammas att den problematik som aktualiseras i domen alltså inte gäller för överföringar till ett land inom EU/EES och inte heller till ett land som enligt beslut från EU kommissionen har ett adekvat skydd för personuppgifter (bland annat Schweiz).

Överföringar av personuppgifter till USA
När nu EU-domstolen ogiltigförklarar Privacy Shield och skapar osäkerhet kring om standardavtalsklausulerna kan användas för överföring av personuppgifter till USA, får detta naturligtvis direkta konsekvenser för avtal som upphandlats med amerikanska leverantörer eller med leverantörer som använder sig av amerikanska underleverantörer.

En viktig åtgärd blir i sådant fall att kontakta leverantören för att diskutera vägen framåt. Finns det alternativa mekanismer som kan användas i stället för Privacy Shield och standardavtalsklausulerna för överföring av personuppgifter till USA? I många fall kommer leverantörerna själva ta kontakt för att föreslå alternativa lösningar.

Överföringar av personuppgifter till andra länder utanför EU/EES
Utgången i målet har emellertid inte enbart betydelse för överföring av personuppgifter till USA.

Den får även påverkan på användningen av standardavtalsklausulerna för överföring av personuppgifter till andra länder utanför EU/EES. Anledningen är att EU-domstolen understryker att den som avser att överföra personuppgifter med stöd av standardavtalsklausulerna måste försäkra sig om att lagstiftningen i mottagarlandet gör det möjligt för leverantören i det landet att – enkelt uttryckt – följa EU:s krav på personuppgiftsskydd. Det räcker alltså inte med att så att säga mekaniskt använda sig av standardavtalsklausulerna.

Den personuppgiftsansvarige (den upphandlande enheten) måste även företa en undersökning av om lagstiftningen i mottagarlandet säkerställer ett tillräckligt skydd för personuppgifterna innan utkontraktering sker.

Denna princip är visserligen inte ny, men har enligt min erfarenhet inte tidigare slagit igenom fullt ut. Efter domen i Schrems II-målet kommer det, enligt min bedömning, att bli betydligt större fokus på att göra en sådan undersökning av hur lagstiftningen ser ut i mottagarlandet innan en överföring av personuppgifter sker till det landet.

Detta moment är inte helt enkelt och utförs i praktiken lämpligast av en jurist som är expert på lagstiftningen i det aktuella mottagarlandet. En inbyggd svårighet är att avgränsa uppdraget till juristen så att rätt frågor ställs och alla relevanta aspekter kommer fram.

När det väl har utretts hur lagstiftningen i mottagarlandet ser ut och förhåller sig till GDPR, blir utredningen en viktig pusselbit i den personuppgiftsansvariges skyldighet att dokumentera och motivera sin behandling av personuppgifter – principen om ansvarsskyldighet.       

I målet prövades en överföring av personuppgifter till USA bland annat mot bakgrund av de övervakningsprogram som används av den amerikanska regeringen.

Det finns emellertid även andra länder än USA som ägnar sig åt omfattande övervakning. I de fall en undersökning av mottagarlandets lagstiftning visar att en omfattande övervakning sker eller att ett skydd för personuppgifterna inte kan säkerställas, kan det innebära att en överföring av personuppgifter till det landet inte kan ske med stöd av standardavtalsklausulerna. Det är alltså inte enbart överföringar av personuppgifter till USA som kan bli problematiska.  

Slutsatser
EU-domstolens avgörande i Schrems II-målet i somras har verkligen ”rört om i grytan”.  Målet är av stor praktisk betydelse och innebär att överföringar av personuppgifter till USA försvåras.

Utgången i målet innebär även att alla personuppgiftsansvariga som avser att lägga ut verksamhet som innefattar personuppgiftsbehandling på en leverantör i ett land utanför EU/EES måste göra en undersökning av om det är möjligt med hänsyn till lagstiftningen i mottagarlandet innan en överföring sker. Resultatet av en sådan utredning kan innebära att även överföringar till andra länder än USA försvåras.

Det är tydligt att EU-domstolen anser att betydelsen av att tillämpa GDPR:s strikta och långtgående regler väger tyngre än att kunna använda sig av amerikanska tjänsteleverantörer, vilket i och för sig inte är överraskande.

Men även om läget är oklart just nu, kan vi nog utgå från att en lösning kommer att hittas, så att överföringar av personuppgifter till USA (och andra länder utanför EU/EES) även fortsättningsvis kan äga rum.

Det blir spännande att följa utvecklingen och jag kommer att återkomma till den i expertkommentarer längre fram.

Peter Nordbeck
Advokat, Advokatfirman Delphi

Vill du ställa frågor till Peter Nordbeck? Mejla info@inkopsradet.se

Läs mer: EU-domstolenExpertkommentar

Peter Nordbeck

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “EU-dom får stora konsekvenser”

  1. Richard Ericsson skriver:
    2020-09-10 kl. 15:42

    En offentlig anställds tjänste-epostadress åtnjuter ju inte något direkt skydd inom EU. Kan den då även lagras i t ex MS Azure?

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • AI för upphandlare | 27 november
  • LOU på två dagar | 2-3 december
  • Säkerhetsskyddad upphandling | 4 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Tillämpat krav som inte uttryckligen framgåttTillämpat krav som inte uttryckligen framgått
Hetaste rättsfallen från första kvartaletHetaste rättsfallen från första kvartalet
Mer restriktiv bedömning av avvikelser?Mer restriktiv bedömning av avvikelser?
Bakläxa om utredningsansvarBakläxa om utredningsansvar
Juridisk rapport om miljömärkning i upphandlingJuridisk rapport om miljömärkning i upphandling
Förtroendet för rättskipningen riskerar att urholkasFörtroendet för rättskipningen riskerar att urholkas
Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantagetFörslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Inga krav som inte uttryckligen följer dokumentInga krav som inte uttryckligen följer dokument

Nytt från Upphandling24

  • Låg kickback blir något högre
  • Mössan på med kommunala köp
  • “Namnet speglar kulturen”
  • Kommunen segrare i Värnamotvist
  • Dalauppror mot miljardgräns
  • Skanskas låga pris godkänns
  • Synar korruption vid upphandling

Kommentarer från läsarna

Fredrik : Hetaste rättsfallen från första kvartalet
Tack för bra "Reader's Digest".
Björn : Förtroendet för rättskipningen riskerar att urholkas
Jag instämmer med slutsatserna. Inte bara att KR tar upp väldigt få mål trots att det svämmar över av domstolsbeslut…
Louise Bylund : Följa upp avtal – en cirkulär process
Hej! Jag har en fundering om den cirkulära modellen har något specifikt namn? Med vänliga hälsningar, Louise, Offentlig upphandlare student.
Marianne Hammarström : Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Mycket bra. Tack för att ni driver detta och håller med att det är mycket svårtolkat.
Annika S : Hur allvarligt fel krävs för uteslutning?
Hej! Kan ni reda ut den här meningen lite - jag går vilse i olika "inte". Vidare har det förhållandet…
Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…

Senaste inläggen

  • Tillämpat krav som inte uttryckligen framgått
  • Hetaste rättsfallen från första kvartalet
  • Mer restriktiv bedömning av avvikelser?
  • Bakläxa om utredningsansvar
  • Juridisk rapport om miljömärkning i upphandling
  • Förtroendet för rättskipningen riskerar att urholkas
  • Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
  • Inga krav som inte uttryckligen följer dokument
  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl