Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Lättare föra över personuppgift till USA

ExpertkommentarI min förra expertkommentar skrev jag om att EU-parlamentet hade invändningar mot European Union-U.S. Data Privacy Framework, ett ramverk som syftar till att göra det möjligt att överföra personuppgifter från EU till USA. Min gissning då var att EU-kommissionen ändå skulle driva igenom ett beslut om adekvat skyddsnivå för ramverket. Och det var det som hände, skriver Peter Nordbeck.

| 2023-10-02
Peter Nordbeck, advokat, Advokatfirman Delphi.

Mitt i sommaren kom EU-kommissionens beslut som innebär att personuppgifter kan överföras till USA utan krav på standardavtalsklausuler eller andra motsvarande skyddsåtgärder.

I denna expertkommentar redogör jag för beslutet och de praktiska konsekvenserna för myndigheter som använder tjänster där det blir fråga om överföring av personuppgifter till land utanför EU/EES (så kallat tredje land).

Vad innebär EU-kommissionens beslut om adekvat skyddsnivå för USA?
Beslutet innebär att överföringar av personuppgifter från EU till organisationer som anslutit sig till European Union-U.S. Data Privacy Framework kan skeutan att standardavtalsklausuler eller andra lämpliga skyddsåtgärder enligt artikel 46 i GDPR behöver användas. En översyn av hur ramverket fungerar ska göras regelbundet, den första inom ett år från det att beslutet trätt ikraft.

En lista över vilka organisationer som anslutit sig till ramverket finns bland annat på Integritetsskyddsmyndighetens (IMY:s) hemsida. Flera stora leverantörer är med på listan och en rimlig slutsats är att alla de stora leverantörerna kommer att delta.

För de leverantörer som inte deltar i ramverket gäller att en Transfer Impact Assessment (TIA) behöver göras på samma sätt som tidigare, men att de bedömningar som EU-kommissionen har gjort i sitt adekvansbeslut kan användas och blir en viktig del när en TIA ska upprättas.

En viktig avgränsning är att adekvansbeslutet bara gäller för överföringar av personuppgifter från EU till USA. Om överföring av personuppgifter sker till andra länder utanför EU/EES, som inte omfattas av något adekvansbeslut, behöver fortfarande en TIA upprättas.

Praktiska utmaningar med adekvansbeslutet
Adekvansbeslutet underlättar för myndigheter att träffa avtal med amerikanska it-leverantörer. En utmaning är dock att delar av it-leverantörernas tjänster kan komma att levereras från andra tredjeländer än USA.

Ofta gäller det supporttjänster. Ett vanligt upplägg är att data lagras i Sverige eller annars inom EU men att supporttjänster utförs av leverantörens personal eller underleverantörer i USA liksom i andra länder utanför EU/EES. För support som utförs i USA gäller adekvansbeslutet (om supportleverantören har anslutit sig).

Men hur ska myndigheten resonera kring support och andra liknande tjänster som utförs av företag i andra tredjeländer? Frågan är inte ny, men den ställs på sin spets i och med adekvansbeslutet.

En första fråga är vem som ansvarar för att säkerställa att supportleverantören i det andra tredje landet behandlar personuppgifter i enlighet med ramverket och GDPR. Är det myndigheten eller it-leverantörens ansvar?

Enligt Europeiska Dataskyddsstyrelsens (EDPB) rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter ligger ansvaret på uppgiftsutföraren, som kan vara den personuppgiftsansvarige eller personuppgiftsbiträdet.

Om standardavtalsklausulerna personuppgiftsbiträde – personuppgiftsbiträde används innebär det således att ansvaret ligger på personuppgiftsbiträdet. Av artikel 44 i GDPR följer dock att den personuppgiftsansvarige och personuppgiftsbiträdet ansvarar för att villkoren i kapitel V i GDPR uppfylls. För att den personuppgiftsansvarige ansvarar talar även andra bestämmelser i GDPR, som till exempel kraven i artikel 28.

Ett rimligt förhållningssätt är att myndigheten under alla förhållanden har ett ansvar för att säkerställa att supportleverantören i det andra tredje landet behandlar personuppgifter i enlighet med ramverket och GDPR.

Som utgångspunkt bör myndigheten göra en TIA på överföringen till det tredje landet för att säkerställa att en överföring kan ske. En utmaning är dock att it-leverantörernas avtal inte sällan innehåller en uppräkning av underleverantörer som någon gång kan komma att användas, men att det är oklart vilka underleverantörer som används i det specifika fallet. Vidare framgår det inte tillräckligt tydligt i vilken utsträckning som underleverantörerna kommer att behandla personuppgifter i samband med supporten.

Det innebär att arbetet med att göra en TIA väsentligen försvåras. Frågan som myndigheten får ställa sig är om det är rimligt att lägga resurser på att göra en TIA när det är oklart vilka tredjeländer som personuppgifter kan komma att överföras till och om det överhuvudtaget sker en överföring av personuppgifter till det tredje landet.

Ett sätt att komma till rätta med problemet är naturligtvis att fråga leverantören. Erfarenhetsmässigt är det dock svårt att få svar som kan ligga till grund för en bedömning. Det vore önskvärt om it-leverantörernas villkor görs betydligt tydligare i denna viktiga del. Fram till dess får myndigheten göra en bedömning inom ramen för sin risk- och sårbarhetsanalys, där bland annat typen av personuppgifter och tillämpliga säkerhetsåtgärder är av betydelse.

Elefanten i rummet – Schrems III
Eftersom ramverken Safe Harbor och Privacy Shield båda underkändes efter att ha hamnat under EU-domstolens lupp hänger frågan i luften – kommer ramverket European Union-U.S. Data Privacy Framework klara en domstolsprövning?

Organisationen NOYB har redan sagt att man kommer att utmana adekvansbeslutet och nyligen kunde man läsa om att en medlem av det franska parlamentet har utmanat beslutet. Vi kan alltså med stor sannolikhet vänta oss en prövning av adekvansbeslutet i EU-domstolen.

Det går naturligtvis inte att nu uttala sig om utfallet. Men ett underkännande av adekvansbeslutet – ett Schrems III – skulle innebära ett hårt slag mot möjligheten att överföra personuppgifter till USA.

Hur bör då myndigheten tänka under tiden?

Jag menar att det är rimligt att utgå från att det är möjligt att överföra personuppgifter till USA med stöd av adekvansbeslutet. Myndigheten bör dock bevaka utvecklingen och ha en reservplan för det fall adekvansbeslutet skulle falla. I den utsträckning det är möjligt, bör myndigheten också ta hänsyn till ändrade förutsättningar i avtalet.

Peter Nordbeck
Advokat, Advokatfirman Delphi  

Få din fråga om upphandling besvarad
Skickar

Läs mer: Expertkommentar

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Lättare föra över personuppgift till USA”

  1. Katarina Bjerling skriver:
    2023-10-05 kl. 12:58

    Min bedömning, som skribenten tar upp i sista stycket, är att beslutet inte öppnar upp för behandling av uppgifter i USA mer än i begränsad omfattning. Det finns ju en dom (FR 3079-23) som tar upp just detta vad gäller Kanada. Det formuleras ” Även om det förvisso kan konstateras att Kanada för närvarande har ett så kallat ”adekvansbeslut”, kan detta beslut upphävas från en dag till en annan.”.

    Det är inte speciellt ofta man vill ingå ett avtal på kanske 4-6 år med vetskapen att man när som helst måste stänga en tjänst.

    Bra av skribenten att ta upp frågan om supportflöden som är riktigt knivigt i sammanhanget.

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Strategisk Entreprenad­upphandlare/­kategori­ledare till Stockholm Vatten och Avfall

  • Avtalscontroller till Sektionen för inköp och upphandling
  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Advokatbyråns 15 förbättringsförslagAdvokatbyråns 15 förbättringsförslag
Oklara omständigheter för preklusionsreglerOklara omständigheter för preklusionsregler
Upphandlingsrättsliga föreningen firade 15 årUpphandlingsrättsliga föreningen firade 15 år
Annika är upphandlingsjuristen som inte ville bli juristAnnika är upphandlingsjuristen som inte ville bli jurist
Allvarligt fel när vd begått brottAllvarligt fel när vd begått brott
Fel att förkasta anbud som onormalt lågtFel att förkasta anbud som onormalt lågt
Subjektiv objektivitetSubjektiv objektivitet
Ok med förhandlat oannonserat förfarandeOk med förhandlat oannonserat förfarande

Nytt från Upphandling24

  • Kontrolltjänst med förhinder
  • Riksdagsenighet om IPI
  • Utlovar enklare annonsering
  • Nya perspektiv från syd
  • Växer med kommunsamverkan
  • Politisk träta om extramiljoner
  • Inköpsvolymen ökar kraftigt

Kommentarer från läsarna

Björn : Fel att förkasta anbud som onormalt lågt
Den som följer diskussioner om onormalt låga priser måste slås av myndigheternas och rättsväsendets total oförmåga att tackla relativt enkla…
Frans : Oklara omständigheter för preklusionsregler
Intressant! "Skäl till varför en omständighet ska få åberopas utgör knappast i sig en omständighet till stöd för en talan…
Eva : Subjektiv objektivitet
Förbittrad som leverantör blir man, när det hänvisas till ospecifiecad "kvalitet" Hur skall man som leverantör veta vad som kan…
Nils Larsson : Subjektiv objektivitet
Jag håller med, det är inte bra när utvärderingar ser godtyckliga ut, oavsett om de är det eller inte. Bortsett…
Johan : Ok med förhandlat oannonserat förfarande
Lagstiftaren har gjort det väldigt krångligt för alla inblandade genom att skilja på anbud som är: 1. ogiltiga 2. olämpliga…
En annan Björn : Fel datum – skäl för ingripande och rättelse
"Oaktat detta anser vi att den här typen av domar är betydelsefulla för övergripande diskussioner och debatt." Jag håller med!…
Håkan : Fel datum – skäl för ingripande och rättelse
2010? Skulle kunna tolkas som år 2010? Lite äldre än 3 år då..
David Sundgren : Fel datum – skäl för ingripande och rättelse
Jag anser nog att "datum" betyder att en viss dag ska kunna identifieras. "Oktober 2020" är således inget datum. Det…
Björn : Fel datum – skäl för ingripande och rättelse
Är det någon annan som undrar vem som bestämde att ett datum betyder "YYYYMMDD"? Jag anser att exempelvis "17 februari"…
Jakob Waldersten : Referensuppdraget godkändes inte
Ah, tack för förtydligandet! Och jag håller med om att det förekommer flera logiska glapp i LOU och bakomvarande direktiv.…

Senaste inläggen

  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt
  • Subjektiv objektivitet
  • Ok med förhandlat oannonserat förfarande
  • Leverantörer från tredjeland kan uteslutas
  • Hur bevisas yrkesmässig kapacitet?
  • Inte ok med koncernbolag i samma upphandling
  • Fel datum – skäl för ingripande och rättelse
  • Tilldelningsbeslut = slutbehandlat ärende
  • Tydligare gränser för hyresundantaget
  • Sunda företag vill ha högre hållbarhetskrav

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Robusta IT-avtal | 28 april
  • Hållbar upphandling | 29 april
  • LOU på två dagar | 6-7 maj
  • Entreprenadupphandling och AMA AF | 8 maj
  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Praktisk avtalsrätt inom LOU och LUF | Hösten 2025
  • Anbudsutvärdering | Hösten 2025
  • Kvalificerad entreprenad­upphandlare | Hösten 2025
  • Leda upphandlingar effektivt | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
  • Kvalificerad IT-upphandlare | Hösten 2025
  • Ramavtal – fördjupningskurs | Hösten 2025