Till senaste kommentaren
Kommentaren du söker har flyttats till en ny diskussion, eller är borttagen.

Ställa krav på att sekretessbelagd information lagras i Sverige respektive inom EU/EES?

Hej,

med tanke på E-sams uttalande angående röjande och molntjänster hur ser Upphandlingsmyndigheten på möjligheterna att ställa krav på att den sekretessbelagda informationen som leverantören ska hantera enbart ska lagras och hanteras i Sverige alternativt inom EU/EES för att informationen inte ska anses vara röjd?

Kan ni sammanställa relevant praxis från EU-domstolen och nationell rätt?

Kommer Upphandlingsmyndigheten (och/eller MSB) ta fram vägledning i frågan?

Kommentarer

  • Hej,

    Beroende på den sekretessbelagda informationens innehåll kan dataskyddsförordningen eller säkerhetsskyddslagstiftningen bli aktuell. Med säkerhetsskyddslagstiftningen menas säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658).

    Dataskyddsförordningen är tillämplig på personuppgifter medan säkerhetsskyddslagstiftningen är tillämplig på uppgifter som har betydelse för Sveriges säkerhet. Önskas närmare information om vad som gäller för personuppgifter och dess lagring utanför Sverige alternativt EU/EES enligt dataskyddsförordningen hänvisar vi till Datainspektionen som är ansvarig myndighet på området. Se bland annat Överföring till tredje land på Datainspektionens webbplats.

    Säkerhetsskyddslagstiftningen tar sikte på säkerhetsskyddsklassificerade uppgifter och har inga bestämmelser om huruvida säkerhetsskyddsklassificerade uppgifter får lagras utanför Sverige alternativt EU/EES. Det grundläggande syftet är att skydda de intressen som säkerhetsskyddslagstiftningen slår vakt om. I upphandlingssammanhang uppnås detta bland annat genom säkerhetsskydd i upphandlingar. Med säkerhets­skydd avses skydd av säkerhets­känslig verksamhet mot spioneri, sabotage, terrorist­brott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhets­skydds­klassificerade uppgifter. De säkerhets­skydds­åtgärder som vidtas ska enligt säkerhets­skydds­lagen beakta informations­säkerhet, fysisk säkerhet och personal­säkerhet.

    Den upphandlande myndigheten eller enheten kan genom att vidta åtgärder enligt säkerhetsskyddslagstiftningen säkerställa att myndighetens eller enhetens säkerhetsskyddsklassificerade uppgifter får samma säkerhetsskydd hos leverantören som den upphandlande myndigheten eller enheten tillämpar i sin egen verksamhet.

    Genom att vidta åtgärder i enlighet med säkerhetsskyddslagstiftningen kan den upphandlande myndigheten eller enheten ta fram ett ändamålsenligt skydd för de säkerhetsskyddsklassificerade uppgifterna, oaktat var dessa uppgifter lagras.

    Den upphandlande myndigheten eller enheten ska i detta sammanhang också beakta proportionalitetsprincipen, en av de grundläggande principerna inom offentlig upphandling. Proportionalitetsprincipen innebär att kraven och villkoren i upphandlingen ska stå i rimlig proportion till det som upphandlas. De åtgärder som den upphandlande myndigheten eller enheten genomför får inte gå utöver vad som är nödvändigt för den aktuella upphandlingen.

    Såvitt vi känner till finns inga rättsfall där lagring av säkerhetsskyddsklassificerade uppgifter i utlandet har varit föremål för domstolsprövning. Kanske kan utredningen som gjordes med anledning av Transportstyrelsens upphandling av IT-drift vara till hjälp, se Granskning av Transportstyrelsens upphandling av it-drift (Ds 2018:6).

    I dagsläget har Upphandlingsmyndigheten inga planer på att ta fram en vägledning i just denna fråga. Upphandlingsmyndigheten har däremot tagit fram ett omfattande stöd om säkerhetsskyddade upphandlingar som i generella drag behandlar er fråga, se vår webbplats.

    Uppdaterad: den 16 augusti 2019

    Med vänlig hälsning,
    Arash Upphandlingsspecialist

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post visas aldrig publikt.