Till senaste kommentaren
Kommentaren du söker har flyttats till en ny diskussion, eller är borttagen.

Ställa krav på att sekretessbelagd information lagras i Sverige respektive inom EU/EES?

Hej,

med tanke på E-sams uttalande angående röjande och molntjänster(http://www.esamverka.se/download/18.290a0225166bfafb714c0c7a/1542007824143/eSam%20-%20Ra%CC%88ttsligt%20uttalande%20om%20ro%CC%88jande%20och%20molntj%C3%A4nster.pdf) hur ser Upphandlingsmyndigheten på möjligheterna att ställa krav på att den sekretessbelagda informationen som leverantören ska hantera enbart ska lagras och hanteras i Sverige alternativt inom EU/EES för att informationen inte ska anses vara röjd?

Kan ni sammanställa relevant praxis från EU-domstolen och nationell rätt?

Kommer Upphandlingsmyndigheten (och/eller MSB) ta fram vägledning i frågan?

Kommentarer

  • Hej,

    Beroende på den sekretessbelagda informationens innehåll kan dataskyddsförordningen eller säkerhetsskyddslagstiftningen bli aktuell. Med säkerhetsskyddslagstiftningen menas säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633).

    Dataskyddsförordningen är tillämplig på personuppgifter medan säkerhetsskyddslagstiftningen är tillämplig på uppgifter som har bäring på rikets säkerhet. Önskas närmare information om vad som gäller för personuppgifter och dess lagring utanför Sverige alternativt EU/EES enligt dataskyddsförordningen hänvisar vi till Datainspektionen som är ansvarig myndighet på området. Se bland annat webbsidan Överföring till tredje land på Datainspektionens webbplats.

    Säkerhetsskyddslagstiftningen tar sikte på hemliga uppgifter och har inga bestämmelser om huruvida hemliga uppgifter får lagras utanför Sverige alternativt EU/EES. Det grundläggande syftet är att skydda de intressen som säkerhetsskyddslagstiftningen slår vakt om.

    I upphandlingssammanhang uppnås detta bland annat genom säkerhetsskydd i upphandlingar. Säkerhetsskydd i upphandlingar innebär att förebyggande åtgärder vidtas för att skydda Sverige mot terroristbrott och brott som har bäring på rikets säkerhet. När det begärs in anbud eller träffas avtal om upphandling där det förekommer hemliga uppgifter ska den upphandlande myndigheten eller enheten träffa ett säkerhetsskyddsavtal med företaget om det säkerhetsskydd som behövs i det särskilda fallet. Därefter genomförs säkerhetsprövningar, placeringar i säkerhetsklasser och andra åtgärder i enlighet med säkerhetsskyddsavtalet.

    Ett säkerhetsskyddsavtal ska bland annat säkerställa att myndighetens hemliga uppgifter får samma säkerhetsskydd hos företaget som den upphandlande myndigheten eller enheten tillämpar på sin egen verksamhet. Säkerhetsskyddsavtal kan upprättas i tre olika nivåer där nivån bland annat beror på var verksamheten kommer bedrivas. Dessutom ska personer i befattningar och funktioner som får ta del av hemliga uppgifter placeras i en säkerhetsklass.

    Statliga myndigheter som har för avsikt att genomföra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal nivå 1 ska dessutom upprätta en särskild säkerhetsanalys och samråda med sin tillsynsmyndighet. Tillsynsmyndigheterna är Säkerhetspolisen eller Försvarsmakten. Tillsynsmyndigheten kan göra bedömningen att upphandlingen inte får genomföras trots att det sker med ett säkerhetsskyddsavtal. Då kan behovet till exempel tillgodoses genom att bedriva den aktuella verksamheten i egen regi.

    Genom att vidta dessa åtgärder kan den upphandlande myndigheten eller enheten ta fram ett ändamålsenligt skydd för de hemliga uppgifterna, oaktat var de hemliga uppgifterna lagras.

    Den 1 april 2019 träder den nya säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658) i kraft. De nya lagarna innehåller en hel del nyheter. Innehållet i detta svar tar endast hänsyn till nu gällande lagstiftning.

    Såvitt vi känner till finns inga rättsfall där lagring av hemliga uppgifter i utlandet har varit föremål för domstolsprövning. Kanske kan utredningen som gjordes med anledning av Transportstyrelsens upphandling av IT-drift vara till hjälp, se Granskning av Transportstyrelsens upphandling av it-drift (Ds 2018:6).

    I dagsläget har Upphandlingsmyndigheten inga planer på att ta fram en vägledning i frågan. Upphandlingsmyndigheten kommer dock inom kort publicera ett stöd om säkerhetsskyddade upphandlingar. Myndigheten för samhällsskydd och beredskap (MSB) har sedan tidigare tagit fram ett stöd om informationssäkerhet, se MSB:s webbplats.

    Uppdaterad: den 25 mars 2019

    Med vänlig hälsning,
    Arash Upphandlingsspecialist

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post visas aldrig publikt.