I denna expertkommentar tänker jag beröra Esams beslut att exkludera vissa leverantörer från utvärderingen med fokus på två rättsliga frågeställningar som gäller utkontraktering av it-tjänster från offentlig sektor. Frågorna gäller sekretess enligt OSL och överföring av personuppgifter till ett land utanför EU/EES. Nyheter inom dessa områden har behandlats i några av mina tidigare expertkommentarer.
Jag är kritisk till att Esam har exkluderat vissa leverantörer från utvärderingen. Anledningen är de grunder som Esam har byggt sitt ställningstagande på, i ljuset av den senaste rättsutvecklingen på området.
Exkludering av vissa leverantörer
Mot bakgrund av rättsliga överväganden kring sekretess vid utkontraktering och överföring av personuppgifter till land utanför EU/EES har vissa leverantörer exkluderats från Esams utvärdering av lösningar för digitala samarbetsplattformar för den offentliga sektorn. Så här skriver Esam:
”Vi har därför uteslutit lösningar som direkt eller indirekt, exempelvis genom infrastruktur, står under kontroll av ett utländskt bolag där det kan finnas risker för att sekretessbelagda uppgifter kan komma att röjas, eller risk för direkt eller indirekt överföring av personuppgifter till tredjeland utan laglig grund enligt EU:s dataskyddsförordning.”
Esams motivering för att utesluta leverantörerna är kort. I stället hänvisar Esam i huvudsak till de rättsliga bedömningar som Skatteverket och Kronofogdemyndigheten tidigare har gjort vid granskningen av Microsofts applikation Teams. Det är därför av betydelse att närmare se på vilka ställningstaganden som dessa myndigheter har gjort.
Skatteverkets och Kronofogdens beslut om Microsoft Teams
Skatteverket och Kronofogdemyndigheten beslutade den 3 maj 2021 att inte ersätta applikationen Skype med molntjänsten Teams för videokommunikation och samarbete.
Frågan om sekretess enligt OSL
Skatteverket och Kronofogden konstaterar att det är vanligt att de tecknar en sekretessförbindelse med en tjänsteleverantör. De påpekar att det sedan 2020 gäller lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter och att denna lag innebär ett utökat skydd för uppgifter genom att straffansvar medföljer för den som på grund av anställning med mera hos tjänsteleverantören obehörigen röjer sekretesskyddade uppgifter för utomstående.
Sammantaget konstaterar de att det rent generellt finns möjligheter att skydda sekretesskyddade uppgifter när en extern it-leverantör anlitas.
Därefter övergår myndigheterna till att resonera kring Microsoft som leverantör. Microsoft är ett amerikanskt företag som enligt amerikansk lag kan vara skyldig att bereda myndigheterna i hemlandet tillgång till uppgifter för att tillgodose underrättelseverksamhetens behov var än företaget har sin verksamhet.
Skatteverket och Kronofogden hänvisar till att Esams juridiska expertgrupp den 23 oktober 2018 konstaterade att om uppgifter görs tekniskt tillgängliga för en it-leverantör som till följd av ägarförhållanden är bunden av regler i ett annat land, enligt vilken tjänsteleverantören kan bli skyldig att överlämna information, får uppgifterna anses vara obehörigen röjda.
Det anges att Esam anser att detsamma får anses gälla om redan ägarförhållande eller geografisk placering av leverantörens infrastruktur ger anledning att befara att skyddet för privatliv eller det allmännas intressen inte säkerställs.
Frågan om överföring av personuppgifter till land utanför EU/EES
Skatteverket och Kronofogden skriver bland annat:
”Med anledning av vad som har framkommit om de amerikanska övervakningsprogrammen i bl.a. EU-domstolens avgörande Schrems II (C-311/18) finns det en reell risk för att uppgifterna som amerikanska bolag får tillgång till kan komma att lämnas vidare till det egna landets myndigheter. /…/”
””Av särskilt intresse är risken för ett olovligt röjande genom att uppgifterna överförs av Microsoft till amerikanska myndigheter. Detta kan komma att ske genom amerikanska extraterritoriell övervakningslagstiftning, framförallt FISA 702, och medför, om en amerikansk begäran efterföljs, ett olovligt röjande och tredjelandsöverföringar i strid med dataskyddsförordningen. /…/”
Kommentar
De bedömningar som Esam har gjort i den rättsliga delen förtjänar att kommenteras på några punkter.
Sekretess enligt OSL
Skatteverket och Kronofogden, vars bedömningar Esam grundar sina slutsatser på, hänvisar till ställningstagandet från Esams juridiska expertgrupp den 23 oktober 2018. Som framgår av redogörelsen ovan, menade expertgruppen – något förenklat – att ett utlämnande till en tjänsteleverantör som omfattas av Cloud Act innebär att uppgifterna får anses vara röjda.
Som jag pekat på i en tidigare expertkommentar har denna uppfattning kritiserats som alltför kategorisk.
Uppfattningen delas inte heller av It-driftsutredningen som publicerade sitt delbetänkande ”Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering”, SOU 2021:1, tidigare i år.
Utredningen skriver så här om utkontraktering och Cloud Act:
”Det förhållandet att det finns en risk för att en privat tjänsteleverantör i enlighet med den lagstiftning som denne är bunden av (t.ex. US CLOUD Act eller någon liknande reglering) kan bli tvungen att lämna ut uppgifter till en utländsk myndighet innebär inte att den svenska myndigheten handlar i strid med 8 kap. 3 § offentlighets- och sekretesslagen (2009:400) när den lämnar ut uppgifterna till tjänsteleverantören. Inte heller kan det bli fråga om ett otillåtet röjande enligt 8 kap. 3 § offentlighets- och sekretesslagen om tjänsteleverantören i ett senare skede lämnar ut uppgifterna till en utländsk myndighet.”
Anledningen till att det enligt utredningens bedömning inte kan bli fråga om ett otillåtet röjande enligt 8 kap. 3 § OSL om tjänsteleverantören lämnar ut uppgifterna till en utländsk myndighet i ett senare skede är att det endast är en sådan aktör som är bunden av OSL som kan vidta en åtgärd som leder till att uppgifter röjs.
Om It-driftsutredningens synsätt tillämpas kan alltså inte leverantörer diskrimineras för att de ingår i en koncern som har ett amerikanskt moderbolag. Tvärtom bör utgångspunkten vara att dessa leverantörer ska behandlas på samma sätt som svenska leverantörer.
Det finns således olika uppfattningar i frågan om röjande och Cloud Act och det händer mycket på området just nu – något som jag har belyst i tidigare expertkommentarer. Mot denna bakgrund anser jag att Esams slutsats att exkludera vissa leverantörer – ”huvudsakligen amerikanska” – från utvärderingen av olika lösningar för digitala samarbetsplattformar för den offentliga sektorn är förhastad.
Det finns inte rättsligt stöd för att exkludera vissa leverantörer på den av Esam tillämpade grunden. Rapporten med utvärdering av olika leverantörers lösningar framstår därför som ofullständig och riskerar att bli missvisande.
Frågan om överföring av personuppgifter till land utanför EU/EES
Sedan Skatteverkets och Kronofogdens beslut angående Teams, har den Europeiska Dataskyddsstyrelsen (EDPB) kommit med en slutlig version av sina rekommendationer om överföring av personuppgifter till länder utanför EU/EES.
Av den slutliga versionen framgår tydligt att det som ska bedömas är hur lagstiftningen och praxis i mottagarlandet påverkar den aktuella överföringen av personuppgifter i praktiken. Som jag tidigare skrivit om, anser jag att det har skett en ”uppmjukning” i EDPBs synsätt jämfört med hur resonemangen gick i den första versionen av rekommendationerna.
Under alla förhållanden innebär EDPBs rekommendationer att en prövning av om en överföring kan ske ska göras av varje aktuell överföring med beaktande av de omständigheter som är för handen i det specifika fallet. Exempelvis anger EDPB att en överföring av personuppgifter till USA kan vara tillåten om Section 702 i den amerikanska lagstiftningen FISA inte är tillämplig i praktiken på den aktuella överföringen och därför inte inskränker överföringsmekanismens (till exempel standardavtalsklausulernas) effektivitet.
Vad får detta för betydelse för Esams beslut att utesluta vissa leverantörer från utvärderingen av lösningar för digitala samarbetsplattformar?
Jag menar att med det synsätt som EDPB tillämpar i sina rekommendationer om överföring av personuppgifter till länder utanför EU/EES bör varje leverantör och tjänst bedömas för sig utifrån omständigheterna i det specifika fallet. Det är inte förenligt med EDPBs rekommendationer att, som Esam gjort i sin rapport, ”klumpa ihop” leverantörer och tjänster med allmänna motiveringar.
Mot denna bakgrund anser jag att det även i denna del saknas rättsligt stöd för att exkludera vissa leverantörer från utvärderingen av lösningar för digitala samarbetsplattformar för den offentliga sektorn. Esams rapport framstår därför även på denna grund som ofullständig.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Fotnot: Esam är ett medlemsdrivet program för samverkan mellan 35 myndigheter och SKR.
Men de har väl inte uteslutit _leverantörer_ utan leverantörernas tjänster?
De är ju rätt tydliga med att idag använder man Skype on prem, som bedöms vara ok ur ett GDPR-perspektiv, men att Teams går inte att få som on-prem lösning, varför Teams döms ut.
Var står det att de dömer ut leverantörer? Leverantörer som de dessutom försökt diskutera frågan med för att hitta en lösning men som inte velat lyssna?