Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Lättare föra över personuppgift till USA

ExpertkommentarI min förra expertkommentar skrev jag om att EU-parlamentet hade invändningar mot European Union-U.S. Data Privacy Framework, ett ramverk som syftar till att göra det möjligt att överföra personuppgifter från EU till USA. Min gissning då var att EU-kommissionen ändå skulle driva igenom ett beslut om adekvat skyddsnivå för ramverket. Och det var det som hände, skriver Peter Nordbeck.

| 2023-10-02
Peter Nordbeck, advokat, Advokatfirman Delphi.

Mitt i sommaren kom EU-kommissionens beslut som innebär att personuppgifter kan överföras till USA utan krav på standardavtalsklausuler eller andra motsvarande skyddsåtgärder.

I denna expertkommentar redogör jag för beslutet och de praktiska konsekvenserna för myndigheter som använder tjänster där det blir fråga om överföring av personuppgifter till land utanför EU/EES (så kallat tredje land).

Vad innebär EU-kommissionens beslut om adekvat skyddsnivå för USA?
Beslutet innebär att överföringar av personuppgifter från EU till organisationer som anslutit sig till European Union-U.S. Data Privacy Framework kan skeutan att standardavtalsklausuler eller andra lämpliga skyddsåtgärder enligt artikel 46 i GDPR behöver användas. En översyn av hur ramverket fungerar ska göras regelbundet, den första inom ett år från det att beslutet trätt ikraft.

En lista över vilka organisationer som anslutit sig till ramverket finns bland annat på Integritetsskyddsmyndighetens (IMY:s) hemsida. Flera stora leverantörer är med på listan och en rimlig slutsats är att alla de stora leverantörerna kommer att delta.

För de leverantörer som inte deltar i ramverket gäller att en Transfer Impact Assessment (TIA) behöver göras på samma sätt som tidigare, men att de bedömningar som EU-kommissionen har gjort i sitt adekvansbeslut kan användas och blir en viktig del när en TIA ska upprättas.

En viktig avgränsning är att adekvansbeslutet bara gäller för överföringar av personuppgifter från EU till USA. Om överföring av personuppgifter sker till andra länder utanför EU/EES, som inte omfattas av något adekvansbeslut, behöver fortfarande en TIA upprättas.

Praktiska utmaningar med adekvansbeslutet
Adekvansbeslutet underlättar för myndigheter att träffa avtal med amerikanska it-leverantörer. En utmaning är dock att delar av it-leverantörernas tjänster kan komma att levereras från andra tredjeländer än USA.

Ofta gäller det supporttjänster. Ett vanligt upplägg är att data lagras i Sverige eller annars inom EU men att supporttjänster utförs av leverantörens personal eller underleverantörer i USA liksom i andra länder utanför EU/EES. För support som utförs i USA gäller adekvansbeslutet (om supportleverantören har anslutit sig).

Men hur ska myndigheten resonera kring support och andra liknande tjänster som utförs av företag i andra tredjeländer? Frågan är inte ny, men den ställs på sin spets i och med adekvansbeslutet.

En första fråga är vem som ansvarar för att säkerställa att supportleverantören i det andra tredje landet behandlar personuppgifter i enlighet med ramverket och GDPR. Är det myndigheten eller it-leverantörens ansvar?

Enligt Europeiska Dataskyddsstyrelsens (EDPB) rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter ligger ansvaret på uppgiftsutföraren, som kan vara den personuppgiftsansvarige eller personuppgiftsbiträdet.

Om standardavtalsklausulerna personuppgiftsbiträde – personuppgiftsbiträde används innebär det således att ansvaret ligger på personuppgiftsbiträdet. Av artikel 44 i GDPR följer dock att den personuppgiftsansvarige och personuppgiftsbiträdet ansvarar för att villkoren i kapitel V i GDPR uppfylls. För att den personuppgiftsansvarige ansvarar talar även andra bestämmelser i GDPR, som till exempel kraven i artikel 28.

Ett rimligt förhållningssätt är att myndigheten under alla förhållanden har ett ansvar för att säkerställa att supportleverantören i det andra tredje landet behandlar personuppgifter i enlighet med ramverket och GDPR.

Som utgångspunkt bör myndigheten göra en TIA på överföringen till det tredje landet för att säkerställa att en överföring kan ske. En utmaning är dock att it-leverantörernas avtal inte sällan innehåller en uppräkning av underleverantörer som någon gång kan komma att användas, men att det är oklart vilka underleverantörer som används i det specifika fallet. Vidare framgår det inte tillräckligt tydligt i vilken utsträckning som underleverantörerna kommer att behandla personuppgifter i samband med supporten.

Det innebär att arbetet med att göra en TIA väsentligen försvåras. Frågan som myndigheten får ställa sig är om det är rimligt att lägga resurser på att göra en TIA när det är oklart vilka tredjeländer som personuppgifter kan komma att överföras till och om det överhuvudtaget sker en överföring av personuppgifter till det tredje landet.

Ett sätt att komma till rätta med problemet är naturligtvis att fråga leverantören. Erfarenhetsmässigt är det dock svårt att få svar som kan ligga till grund för en bedömning. Det vore önskvärt om it-leverantörernas villkor görs betydligt tydligare i denna viktiga del. Fram till dess får myndigheten göra en bedömning inom ramen för sin risk- och sårbarhetsanalys, där bland annat typen av personuppgifter och tillämpliga säkerhetsåtgärder är av betydelse.

Elefanten i rummet – Schrems III
Eftersom ramverken Safe Harbor och Privacy Shield båda underkändes efter att ha hamnat under EU-domstolens lupp hänger frågan i luften – kommer ramverket European Union-U.S. Data Privacy Framework klara en domstolsprövning?

Organisationen NOYB har redan sagt att man kommer att utmana adekvansbeslutet och nyligen kunde man läsa om att en medlem av det franska parlamentet har utmanat beslutet. Vi kan alltså med stor sannolikhet vänta oss en prövning av adekvansbeslutet i EU-domstolen.

Det går naturligtvis inte att nu uttala sig om utfallet. Men ett underkännande av adekvansbeslutet – ett Schrems III – skulle innebära ett hårt slag mot möjligheten att överföra personuppgifter till USA.

Hur bör då myndigheten tänka under tiden?

Jag menar att det är rimligt att utgå från att det är möjligt att överföra personuppgifter till USA med stöd av adekvansbeslutet. Myndigheten bör dock bevaka utvecklingen och ha en reservplan för det fall adekvansbeslutet skulle falla. I den utsträckning det är möjligt, bör myndigheten också ta hänsyn till ändrade förutsättningar i avtalet.

Peter Nordbeck
Advokat, Advokatfirman Delphi  

Få din fråga om upphandling besvarad
Skickar

Läs mer: Expertkommentar

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Lättare föra över personuppgift till USA”

  1. Katarina Bjerling skriver:
    2023-10-05 kl. 12:58

    Min bedömning, som skribenten tar upp i sista stycket, är att beslutet inte öppnar upp för behandling av uppgifter i USA mer än i begränsad omfattning. Det finns ju en dom (FR 3079-23) som tar upp just detta vad gäller Kanada. Det formuleras ” Även om det förvisso kan konstateras att Kanada för närvarande har ett så kallat ”adekvansbeslut”, kan detta beslut upphävas från en dag till en annan.”.

    Det är inte speciellt ofta man vill ingå ett avtal på kanske 4-6 år med vetskapen att man när som helst måste stänga en tjänst.

    Bra av skribenten att ta upp frågan om supportflöden som är riktigt knivigt i sammanhanget.

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Svenska Bostäder söker entreprenadupphandlare

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Krävs mer än spekulationer för utredningsansvarKrävs mer än spekulationer för utredningsansvar

Nytt från Upphandling24

  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp
  • Livsmedelsupphandlare med många järn i elden
  • Pionjär inom cirkulära förkläden

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025