18 Jan IT-DRIFTSUTREDNINGEN LÄMNAR FÖRSLAG OM SEKRETESSBRYTANDE REGEL
IT-driftsutredningen lämnade i fredags eftermiddag delbetänkandet Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1). Betänkandet på 398 sidor är mycket läsvärd för den som är intresserad av it-driftsfrågor, digitalisering och offentlig sektor, oavsett om man är jurist, upphandlare eller it-leverantör. Utredningen har kartlagt myndigheternas användning av it-driftstjänster, utkontraktering till leverantörer och framtida behov samt utfört en internationell omvärldsanalys.
För oss jurister är de stora nyheterna framförallt föreslaget om en ny sekretessbrytande regel tillsammans med en ny regel om inskränkning i meddelarfriheten. Utredningen föreslår att en sekretessbrytande regel med följande lydelse förs in som 10 kap 2a § i lag om ändring i offentlighets- och sekretesslagen (2009:400) (”OSL”)
”Sekretess hindrar inte att en uppgift lämnas ut till ett företag eller en annan enskild eller till en annan myndighet som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring för den utlämnande myndighetens räkning.
En uppgift ska inte lämnas ut om det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.”
Vidare föreslås att meddelarfriheten bör inskränkas för den krets av personer som träffas av lag (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, genom ett tillägg i OSL 44 kap 5 §.
Utredningen innehåller en omfattande redovisning av reglerna kring offentlighet och sekretess med en tolkning av röjandebegreppet som avviker från den praxis som utvecklats inom offentlig sektor med stöd av vägledning från bland annat eSam.[1] Röjandebegreppet har länge varit föremål för olika tolkningar och i delbetänkandet presenteras en tolkning av rättsfallet NJA 1991 s. 103 som av många ansetts vara vägledande vid just bedömningen av röjandebegreppet. Utredningen bedömer att ett utlämnande av uppgifter är att anse som ett röjande av uppgifterna enligt OSL. Detta får till följd att de uppgifter som lämnas ut av en myndighet till en tjänsteleverantör eller annan myndighet vid utkontraktering av it-drift, också är att betrakta som röjda enligt OSL.
Värt att notera är att den föreslagna nya sekretessbrytande regeln omfattar endast utkontraktering avseende teknisk bearbetning eller teknisk lagring för den utlämnande myndighetens räkning. Utredningen slår vidare fast att nyttjande av sådana elektroniska kommunikationstjänster som regleras i lagen (2003:389) om elektronisk kommunikation enligt utredningens definition inte är att betrakta som utkontraktering, och därför inte omfattas av den föreslagna sekretessbrytande regeln.
Utredningen belyser också relaterade dataskyddsfrågor och föreslår en ny tolkning av tredjelandsöverföring med betydelsen – en överföring av personuppgifter till tredjeland när en personuppgiftsansvarig eller ett personuppgiftsbiträde behandlar personuppgifter genom användning av utrustning som finns i tredjeland. Utöver detta behandlas även frågan om risken för att en privat tjänsteleverantör i enlighet med den lagstiftning som denne är bunden av (t.ex. US CLOUD Act eller någon liknande reglering). Av utredningen framgår att förhållandet att en privat tjänsteleverantör kan bli tvungen att lämna ut uppgifter till en utländsk myndighet inte innebär att den svenska myndigheten handlar i strid med 8 kap. 3 § OSL när den lämnar ut uppgifterna till tjänsteleverantören.
Vi kommer analysera delbetänkandet vidare och fortsättningsvis följa utvecklingen kring utredningen.
Har du frågor om betänkandet? Kontakt gärna,
Christina Wikström
Advokat & Managing Partner
christina@wikstrompartners.se
+46 70 691 6800