En högaktuell fråga av stor betydelse för upphandlande enheter är om och hur uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL, kan göras tillgängliga för en it-leverantör som i sin tur omfattas av den amerikanska Cloud Act-lagstiftningen, utan att uppgifterna ska anses röjda i strid med OSL.
Cloud Act innebär mycket förenklat att amerikanska myndigheter, under vissa omständigheter, kan kräva att få se en molntjänstleverantörs kunders data om leverantören omfattas av amerikansk jurisdiktion. Ett exempel på bolag som omfattas av amerikansk jurisdiktion är sådana som ingår i en koncern med verksamhet i USA.
I anslutning till att Cloud Act trädde i kraft publicerade Esam, ett program för samverkan i digitaliseringsfrågor mellan myndigheter och Sveriges Kommuner och Regioner, SKR, ett rättsligt utlåtande.
Det tar sikte på anlitande av molntjänstleverantörer som enligt ett annat lands lagstiftning kan tvingas överlämna sekretesskyddade uppgifter i strid med OSL. Den mest omdiskuterade delen av utlåtandet lyder:
”Om sekretessreglerade uppgifter görs tekniskt tillgängliga för en tjänsteleverantör som till följd av ägarförhållanden eller annars är bunden av regler i ett annat land, enligt vilka tjänsteleverantören kan bli skyldig att överlämna information utan att internationell rättshjälp anlitats eller annan laglig grund föreligger enligt svensk rätt, får uppgifterna anses vara röjda. Anledningen är att det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående.” (min understrykning)
I avsaknad av modern lagstiftning och rättspraxis om hur begreppet ”röjande” ska tolkas i en modern it-kontext har uttalandet, trots att det är icke-bindande, i praktiken fått stor betydelse.
Det har rent av fått aktörer inom det offentliga att avvakta med viktiga investeringar av rädsla för att sekretesskyddade uppgifter med automatik skulle anses röjda till amerikanska myndigheter, vilket skulle vara förbjudet enligt OSL.
Samtidigt har uttalandet mötts av viss kritik för att vara alltför kategoriskt och för att det inte skulle vila på tillräcklig kunskap om hur Cloud Act och amerikansk processuell lagstiftning fungerar. Kritikerna har bland annat ifrågasatt om lagstiftning likt Cloud Act verkligen innebär att ”det inte längre är osannolikt att uppgifterna kan komma att lämnas till utomstående”.
2019 publicerade Esam en ny vägledning om sekretess och dataskydd i samband med outsourcing av funktioner som annars skulle skötas i det offentligas egen regi. Vägledningen innehåller bland annat avsnitt som bemöter kritiken kring sannolikhetsbedömningen.
I 2019 års vägledning skriver Esam att en sannolikhetsbedömning enligt 2018 års uttalande aldrig blir aktuell om det framgår av den svenska myndighetens bedömning att ”tjänsteleverantören på grund av regler i en främmande rättsordning [kan] bli tvungen att lämna ut uppgifter”. Motiveringen är kraftigt nedkortat i denna text men sammanfattningsvis menar Esam att uppgifterna under sådana omständigheter ska anses röjda.
Esams uttalanden måste värderas i ljuset av de skarpa rättskällor som finns. Rättskällor som tydligast behandlar tolkningen av begreppet ”röjande” enligt OSL är ett rättsfall från Högsta domstolen (NJA 1991 s. 103) och ett från Arbetsdomstolen (AD 2019 nr 15).
Enligt dessa domar krävs inte att någon de facto tagit del av en uppgift för att den ska anses röjd. Det avgörande är om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter att man måste räkna med att den obehörige kommer att ta del av uppgiften.
Detta ger visst fog för 2018 års uttalande, i vilket Esam talar om en sannolikhetsbedömning. Det rimliga utfallet av en sådan sannolikhetsbedömning kan däremot diskuteras och det finns i vart fall vissa omständigheter som kan användas till stöd för kritikernas argumentationslinje.
Däremot saknar 2019 års uttalande, om att en sannolikhetsbedömning aldrig blir aktuell om tjänsteleverantören på grund av regler i en främmande rättsordning kan bli tvungen att lämna ut uppgifter, tydligt stöd i de rättskällor som finns i dag.
Samtidigt kan det inte uteslutas att en domstol vid prövning av frågan skulle komma fram till en liknande slutsats som Esam.
Avslutningsvis förtjänar att påpekas att det är mycket fokus på Cloud Act, men att det mycket väl kan finnas lagstiftning i flera länder som ger myndigheterna i de länderna rätt att kräva tillgång till uppgifter som en svensk myndighet har gett en molntjänstleverantör tillgång till.
Det behöver inte nödvändigtvis vara fråga om lagstiftning med extraterritoriell räckvidd (likt Cloud Act) men icke desto mindre lagstiftning som kan användas för att få åtkomst till uppgifter som omfattas av sekretess enligt OSL.
Hur ska man till exempel se på lagstiftning som kan tvinga en molntjänstleverantör att lämna över en svensk myndighets sekretessreglerade uppgifter inom ramen för en husrannsakan?
Peter Nordbeck
Advokat, Advokatfirman Delphi
Vill du ställa frågor till Peter Nordbeck? Mejla info@inkopsradet.se
Kommentatorerna ansvarar för sina egna kommentarer