Ställa krav på att sekretessbelagd information lagras i Sverige respektive inom EU/EES?
Publicerad 04 januari 2019
Hej,
med tanke på E-sams uttalande angående röjande och molntjänster hur ser Upphandlingsmyndigheten på möjligheterna att ställa krav på att den sekretessbelagda informationen som leverantören ska hantera enbart ska lagras och hanteras i Sverige alternativt inom EU/EES för att informationen inte ska anses vara röjd?
Kan ni sammanställa relevant praxis från EU-domstolen och nationell rätt?
Kommer Upphandlingsmyndigheten (och/eller MSB) ta fram vägledning i frågan?
med tanke på E-sams uttalande angående röjande och molntjänster hur ser Upphandlingsmyndigheten på möjligheterna att ställa krav på att den sekretessbelagda informationen som leverantören ska hantera enbart ska lagras och hanteras i Sverige alternativt inom EU/EES för att informationen inte ska anses vara röjd?
Kan ni sammanställa relevant praxis från EU-domstolen och nationell rätt?
Kommer Upphandlingsmyndigheten (och/eller MSB) ta fram vägledning i frågan?
H
Publicerad 04 januari 2019
Hej,
Ska GDPR eller säkerhetsskyddslagen tillämpas?
Beroende på den sekretessbelagda informationens innehåll kan dataskyddsförordningen (GDPR) eller säkerhetsskyddslagstiftningen bli aktuell. Med säkerhetsskyddslagstiftningen menas säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658).
GDPR är tillämplig på personuppgifter medan säkerhetsskyddslagstiftningen är tillämplig på uppgifter som har betydelse för Sveriges säkerhet. Önskas närmare information om vad som gäller för personuppgifter och dess lagring utanför Sverige alternativt EU/EES enligt dataskyddsförordningen hänvisar vi till Integritetsskyddsmyndigheten som är ansvarig myndighet på området. Se bland annat mer ingående information om överföring till tredje land på Integritetsskyddsmyndighetens webbplats.
Säkerhetsskyddslagstiftningen tar sikte på säkerhetsskyddsklassificerade uppgifter och har inga bestämmelser om huruvida säkerhetsskyddsklassificerade uppgifter får lagras utanför Sverige alternativt EU/EES. Det grundläggande syftet är att skydda de intressen som säkerhetsskyddslagstiftningen slår vakt om. I upphandlingssammanhang uppnås detta bland annat genom säkerhetsskydd i upphandlingar. Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. De säkerhetsskyddsåtgärder som vidtas ska enligt säkerhetsskyddslagen beakta informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Läs mer om säkerhetsskyddad upphandling på vår webbplats.
Åtgärder enligt säkerhetsskyddslagstiftningen
Den upphandlande organisationen kan genom att vidta åtgärder enligt säkerhetsskyddslagstiftningen säkerställa att organisationens säkerhetsskyddsklassificerade uppgifter får samma säkerhetsskydd hos leverantören som den upphandlande organisationen tillämpar i sin egen verksamhet.
Genom att vidta åtgärder i enlighet med säkerhetsskyddslagstiftningen kan den upphandlande organisationen ta fram ett ändamålsenligt skydd för de säkerhetsskyddsklassificerade uppgifterna, oaktat var dessa uppgifter lagras.
Den upphandlande organisationen ska i detta sammanhang också beakta proportionalitetsprincipen, en av de grundläggande upphandlingsprinciperna. Proportionalitetsprincipen innebär att kraven och villkoren i upphandlingen ska stå i rimlig proportion till det som upphandlas. De åtgärder som den upphandlande organisationen genomför får inte gå utöver vad som är nödvändigt för den aktuella upphandlingen.
Läs mer
Såvitt vi känner till finns inga rättsfall där lagring av säkerhetsskyddsklassificerade uppgifter i utlandet har varit föremål för domstolsprövning. Kanske kan utredningen som gjordes med anledning av Transportstyrelsens upphandling av IT-drift vara till hjälp, se Granskning av Transportstyrelsens upphandling av it-drift (Ds 2018:6).
I dagsläget har Upphandlingsmyndigheten inga planer på att ta fram en vägledning i just denna fråga. Upphandlingsmyndigheten har däremot tagit fram ett omfattande stöd om säkerhetsskyddad upphandling som finns publicerat på vår webbplats.
Med vänlig hälsning,
Ska GDPR eller säkerhetsskyddslagen tillämpas?
Beroende på den sekretessbelagda informationens innehåll kan dataskyddsförordningen (GDPR) eller säkerhetsskyddslagstiftningen bli aktuell. Med säkerhetsskyddslagstiftningen menas säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658).
GDPR är tillämplig på personuppgifter medan säkerhetsskyddslagstiftningen är tillämplig på uppgifter som har betydelse för Sveriges säkerhet. Önskas närmare information om vad som gäller för personuppgifter och dess lagring utanför Sverige alternativt EU/EES enligt dataskyddsförordningen hänvisar vi till Integritetsskyddsmyndigheten som är ansvarig myndighet på området. Se bland annat mer ingående information om överföring till tredje land på Integritetsskyddsmyndighetens webbplats.
Säkerhetsskyddslagstiftningen tar sikte på säkerhetsskyddsklassificerade uppgifter och har inga bestämmelser om huruvida säkerhetsskyddsklassificerade uppgifter får lagras utanför Sverige alternativt EU/EES. Det grundläggande syftet är att skydda de intressen som säkerhetsskyddslagstiftningen slår vakt om. I upphandlingssammanhang uppnås detta bland annat genom säkerhetsskydd i upphandlingar. Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. De säkerhetsskyddsåtgärder som vidtas ska enligt säkerhetsskyddslagen beakta informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Läs mer om säkerhetsskyddad upphandling på vår webbplats.
Åtgärder enligt säkerhetsskyddslagstiftningen
Den upphandlande organisationen kan genom att vidta åtgärder enligt säkerhetsskyddslagstiftningen säkerställa att organisationens säkerhetsskyddsklassificerade uppgifter får samma säkerhetsskydd hos leverantören som den upphandlande organisationen tillämpar i sin egen verksamhet.
Genom att vidta åtgärder i enlighet med säkerhetsskyddslagstiftningen kan den upphandlande organisationen ta fram ett ändamålsenligt skydd för de säkerhetsskyddsklassificerade uppgifterna, oaktat var dessa uppgifter lagras.
Den upphandlande organisationen ska i detta sammanhang också beakta proportionalitetsprincipen, en av de grundläggande upphandlingsprinciperna. Proportionalitetsprincipen innebär att kraven och villkoren i upphandlingen ska stå i rimlig proportion till det som upphandlas. De åtgärder som den upphandlande organisationen genomför får inte gå utöver vad som är nödvändigt för den aktuella upphandlingen.
Läs mer
Såvitt vi känner till finns inga rättsfall där lagring av säkerhetsskyddsklassificerade uppgifter i utlandet har varit föremål för domstolsprövning. Kanske kan utredningen som gjordes med anledning av Transportstyrelsens upphandling av IT-drift vara till hjälp, se Granskning av Transportstyrelsens upphandling av it-drift (Ds 2018:6).
I dagsläget har Upphandlingsmyndigheten inga planer på att ta fram en vägledning i just denna fråga. Upphandlingsmyndigheten har däremot tagit fram ett omfattande stöd om säkerhetsskyddad upphandling som finns publicerat på vår webbplats.
Med vänlig hälsning,
Arash
21 januari 2019 (Uppdaterat 01 mars 2023)
Fråga oss!
Våra öppettider gäller endast på helgfria dagar.