Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Spännande utveckling inom dataskydd

ExpertkommentarDet händer mycket inom dataskyddsområdet just nu som har stor betydelse för it-avtal, skriver Inköpsrådets expert Peter Nordbeck. Han välkomnar en ny lag som underlättar utkontraktering av vissa it-tjänster. 

| 2020-12-02
Peter Nordbeck, Inköpsrådets expert på it-avtal.

I en expertkommentar i somras skrev jag om EU-domstolens dom i det så kallade Schrems II-målet.

I domen ogiltigförklarade EU-domstolen Privacy Shield som en mekanism för överföring av personuppgifter till USA, men ansåg att standardavtalsklausulerna fortfarande kan användas.

Den personuppgiftsansvarige måste dock göra en undersökning av om lagstiftningen i mottagarlandet säkerställer ett tillräckligt skydd för personuppgifterna innan utkontraktering sker.

Sedan EU-domstolens dom har bland annat följande skett:

  1. Den Europeiska Dataskyddsstyrelsen (EDPB) har meddelat rekommendationer angående överföring av personuppgifter till länder utanför EU/EES.
  2. EU-kommissionen har tagit fram förslag på nya standardavtalsklausuler
  3. Den 1 januari 2021 träder en ny lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter i kraft.

Jag går översiktligt igenom dessa nyheter nedan.

EDPB:s rekommendationer angående överföring av personuppgifter till länder utanför EU/EES
Rekommendationerna innehåller en ”roadmap” som bolag, myndigheter och andra organisationer bör följa inför en tredjelandsöverföring (och i förhållande till pågående överföringar) liksom information kring vilka kompletterande skyddsåtgärder som kan behöva vidtas för att tredjelandsöverföringen ska vara förenlig med GDPR.

De har varit ute på remiss till den 30 november och kommer att slutligt fastställas efter att man tagit hänsyn till de synpunkter som framförts under remisstiden.

Utöver dessa rekommendationer har EDPB även tagit fram rekommendationer om så kallade väsentliga europeiska garantier vid övervakningsåtgärder (European Essential Guarantees for surveillance measures) i syfte att ge vägledning vid bedömningen av mottagarlandets lagstiftning.

De olika steg som organisationer bör följa vid en tredjelandsöverföring är enligt EDPB:s rekommendationer:

  • Identifiera vilka överföringar av personuppgifter som sker till tredje land,
  • Identifiera vilken överföringsmekanism i GDPR:s kapitel V (till exempel standardavtalsklausulerna) som används,
  • Utreda huruvida lagstiftning eller praxis i det tredje landet inskränker överföringsmekanismens effektivitet,
  • Identifiera och vidta ytterligare skyddsåtgärder om nödvändigt,
  • Vidta nödvändiga processuella åtgärder som krävs för tillämpning av de ytterligare skyddsåtgärderna,
  • Utvärdera med lämpliga intervaller skyddsnivån för personuppgifter som överförts till det tredje landet samt bevaka om det skett eller kommer att ske ändringar som kan komma att påverka skyddsnivån.

En vanlig mekanism för överföring av personuppgifter till ett land utanför EU/EES är standardavtalsklausulerna. Enligt steg 3 ska en prövning göras om lagstiftningen och rättstillämpningen i mottagarlandet leder till att standardavtalsklausulerna kan användas för en överföring av personuppgifter till det landet.

Det är omständigheterna kring den aktuella överföringen som är relevanta att beakta. Om bedömningen efter en sådan prövning är att standardavtalsklausulerna kan tillämpas, behöver man inte gå vidare till nästa steg.

Om bedömningen däremot är att standardavtalsklausulerna – med hänsyn till lagstiftningen och rättspraxis i mottagarlandet – inte är en tillräcklig lämplig skyddsåtgärd, behöver man gå vidare till steg 4.

Detta steg innebär att en undersökning måste göras om det finns ytterligare skyddsåtgärder som kan vidtas och som gör att standardavtalsklausulerna kan tillämpas.

EDPB ger i sina rekommendationer exempel på vad sådana ytterligare skyddsåtgärder kan vara. Ett praktiskt exempel är kryptering av personuppgifterna, till exempel då den tjänst som en molntjänstleverantör erbjuder är lagring av uppgifter.

En annan skyddsåtgärd som lyfts fram är pseudonymisering av personuppgifter, det vill säga personuppgifterna visas inte i klartext utan det krävs kompletterande uppgifter för att kunna identifiera individen.     

Rekommendationerna får anses vara ett bra hjälpmedel i den svåra bedömning som den personuppgiftsansvarige måste göra och det ligger nära till hands att steg-för-steg modellen som EDPB anvisar blir ”best practice”.

Som jag skrev i en tidigare krönika, är det lämpligt att konsultera en jurist som är expert på lagstiftningen i det aktuella mottagarlandet för att komma rätt i bedömningen.

Jag återkommer i en senare expertkommentar när EDPB:s slutgiltiga rekommendationer har fastställts.    

EU-kommissionens förslag på nya standardavtalsklausuler
EU-kommissionen har tagit fram förslag på nya standardavtalsklausuler. Förslaget är ute på remiss till och med den 10 december 2020. 

För närvarande finns det två olika typer av standardavtalsklausuler:

  1. Standardavtalsklausuler för överföring av personuppgifter från personuppgiftsansvarig inom EU till personuppgiftsansvarig i ett land utanför EU/EES.
  2. Standardavtalsklausuler för överföring av personuppgifter från personuppgiftsansvarig inom EU till personuppgiftsbiträde i ett land utanför EU/EES.

Dessa standardavtalsklausuler togs fram före GDPR, men gäller även efter tillkomsten av GDPR och används frekvent vid utkontraktering där leverantören eller en underleverantör finns i ett land utanför EU/EES.

Det nya förslaget till standardavtalsklausuler är GDPR-anpassat och täcker överföringar enligt ovan, men även andra typer av överföringar än dessa.

Rent avtalstekniskt har man samlat alla typer av överföringar i ett dokument och delat upp parternas åtaganden i olika moduler.

Följande moduler finns:

  1. Överföring från personuppgiftsansvarig till personuppgiftsansvarig
  2. Överföring från personuppgiftsansvarig till personuppgiftsbiträde
  3. Överföring från personuppgiftsbiträde till personuppgiftsbiträde
  4. Överföring från personuppgiftsbiträde till personuppgiftsansvarig

Parternas åtaganden varierar beroende på vilken modul som är aktuell att använda. Tanken är att det ska vara möjligt för flera än två parter att använda sig av standardavtalsklausulerna.

När de nya standardavtalsklausulerna har antagits, återkommer jag med en närmare analys.

Den nya lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
Slutligen vill jag nämna något om den nya lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

Lagstiftningen träder i kraft den 1 januari 2021 och gäller när en myndighet, eller ett organ eller en verksamhet som jämställs med en myndighet, genom utkontraktering uppdrar åt en tjänsteleverantör att endast tekniskt bearbeta eller tekniskt lagra uppgifter.

Syftet är att uppgifter från en myndighet som hanteras av en tjänsteleverantör ska få ett sekretesskydd som är likvärdigt med det som gäller när en annan myndighet tillhandahåller en motsvarande tjänst.

Lagen gäller endast vid tjänster som avser teknisk bearbetning eller teknisk lagring av uppgifter. Typiska tillämpningsområden är it-drifttjänster och lagringstjänster. Det kan inte uteslutas att gränsdragningsproblem kan uppkomma avseende tillämpningen på andra typer av tjänster.

Lagen innebär att den som är anställd i eller uppdragstagare till tjänsteleverantören eller en underleverantör inte obehörigen får röja eller utnyttja uppgifterna.

Den nya lagen är välkommen genom att den underlättar utkontraktering av vissa it-tjänster. Det blir också intressant att se vilka ytterligare åtgärder för att förenkla upphandlingen av it-tjänster inom offentlig sektor som förhoppningsvis kommer att presenteras i den statliga utredning som för närvarande tittar på dessa frågor.        

Peter Nordbeck
Advokat, Advokatfirman Delphi

 

Få din fråga om upphandling besvarad
Skickar

Läs mer: Expertkommentar

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Inga krav som inte uttryckligen följer dokumentInga krav som inte uttryckligen följer dokument
Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl

Nytt från Upphandling24

  • Vill se statistik från krona ett
  • Så ska KKV beräkna böter
  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Inga krav som inte uttryckligen följer dokument
  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025