SEKRETESSREGLER SOM HINDER MOT OUTSOURCING? OUTSOURCING AV INFORMATIONSHANTERINGEN: ÄR DET LAGLIGT ENLIGT SEKRETESSREGLERNA? TILLÄMPLIGA REGLER? SÄRSKILDA KRAV? = LAGLIGT LÄMPLIGT? / LÄMPLIGT LAGLIGT? 1
DEFINITIONER SOURCING MOLNTJÄNST OUTSOURCING INSOURCING MULTISOURCING Outsourcing = låta annan sköta en eller flera verksamheter/processer (utkontraktering) Insourcing = vanligtvis ta tillbaka verksamheter som tidigare har varit outsourcade, men även att centralisera vissa funktioner i stället för att ha olika enheter med olika rutiner och system Multisourcing = outsourca verksamhet eller ha flera olika leverantörer för att få flexiblare och kortare avtal, men också för att utnyttja olika leverantörers spetskompetens och minimera risker Ingen legaldefinition! Datorerna används över Internet i st f i egna datorhallar Programvaran och datalagringen tillhandahålls som en tjänst Kontrollen finns då någon annanstans T.ex: - processorkraft online - lagring online - inga installationer behövs - uppdateringar ingår - tillgängligt överallt (via Internet) Knappast några juridiskt vedertagna termer, så avtalet måste ha en definition! 2
HELHETSPERSPEKTIV! Det handlar inte bara om upphandlingsregler, säkerhetskrav eller sekretess utan en hel del mer! INNAN BESLUT OM UPPHANDLING! - Är det lagligt? - Är det lämpligt? UPPHANDLINGEN Säkerhetsskydd? - Rikets säkerhet? - Spioner? - Mål för terrorister? Sekretess? - Utlämnande? - Otillåtet? Person-upp gifter? - Känsliga? - Annars särskilt skyddsvärda? Licens-frågor? - Rättigheterna? - Äga/hyra? - Säkerställa att SW finns kvar? Facket? - Ska vi primärförhandla? Åtgärder? - Upphandlingslag? - Upphandlingsform? - Annonsering? - Förfrågningsunderlag? - m.m.... Säkerhets-sky ddslagen (1996:627) Offentlighets- & sekretesslagen (2009:400) PuL (1998:204) GDPR Upphovsrätts-lag en (1960:729) MBL (1976:580) LOU, LUF, LUK, LUFS 3
SEKRETESS/TYSTNADSPLIKT SKYLDIGHET ATT HEMLIGHÅLLA UPPGIFT: Sekretess Hos myndighet enligt lagen om offentlighet och sekretess (2009:400) (OSL) ersatte sekrl (1980:100) Företagshemlighet Enligt lagen (1990:409) om skydd för företagshemligheter Tystnadsplikt enligt speciallag Som gäller i aktuell verksamhet Avtal Enligt villkor i avtal Att åsidosätta en avtalad sekretess är inte straffbart! Kan medföra skadestånd OBS! Reglerna kan se olika ut Ofta förbud mot obehörigt röjande Vad är obehörigt??? Står oftast inte direkt i regeln, utan vi får kolla i förarbeten och rättspraxis Ibland finns påföljderna direkt i lagen Ibland h.v.t. BrB 20:3 T.ex.: - Banksekretess (bankrörelselagen) - Tystnadsplikt teleoperatörer (LEK) - Inkassoföretag (Inkassolagen) - Kreditupplysningsföretag (KUL) - Advokater (RB 8:4 + adv.samf. regler) 4
Ska vi sekretesspröva? Sekretessprövning ska göras INNAN uppgiften lämnas ut! (Se 2 kap. 14 TF, 6 kap. 2 och 4 OSL) TF 2 kap. 14 Begäran att få taga del av allmän handling göres hos myndighet som förvarar handlingen. Begäran prövas av myndighet som angives i första stycket. Om särskilda skäl föranleda det, får dock i bestämmelse som avses i 2 andra stycket föreskrivas att prövningen vid tillämpningen av bestämmelsen skall ankomma på annan myndighet. I fråga om handling som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall begäran om utlämnande genast hänskjutas till behörig myndighet. Myndighet får inte på grund av att någon begär att få taga del av allmän handling efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att handlingen lämnas ut. Lag (1982:939). OSL 6 kap. 2 Av 2 kap. 14 andra stycket tryckfrihetsförordningen framgår att en fråga om utlämnande av en allmän handling prövas av den myndighet som förvarar handlingen, om det inte är särskilt föreskrivet att prövningen ska göras av en annan myndighet. OSL 6 kap. 4 En myndighet ska på begäran av en enskild lämna uppgift ur en allmän handling som förvaras hos myndigheten, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Om vi ställer ut burken med de sekretessbelagda uppgifterna i molnet och uppgifterna därefter inhämtas av någon, har detta så föregåtts av någon sekretessprövning??? Eftersom prövningen ska ske utifrån det specifika skyddsintresset, kan prövningen knappast göras generellt och omfatta ALLA uppgifterna!?? 5
Kan leverantören anses ingå i verksamheten? Sekretess gäller även för uppdragstagare! (Se 2 kap. 1 OSL) OSL 2 kap. 1 Förbud att röja eller utnyttja en uppgift enligt denna lag eller enligt lag eller förordning som denna lag hänvisar till gäller för myndigheter. Ett sådant förbud gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet 1. på grund av anställning eller uppdrag hos myndigheten, 2. på grund av tjänsteplikt, eller 3. på annan liknande grund. Vi kan knappast argumentera att leverantören är knuten till eller ingår i verksamheten på ett sätt att utlämnandet blir behörigt Men, kan molntjänstleverantören anses ingå i myndighetens verksamhet så att det inte blir fråga om ett utlämnande??? - Skulle Microsoft Inc. verkligen kunna anses ingå i myndigheten? Vi kan räkna med att det anses vara ett utlämnande när vi gör info tillgänglig för leverantören 6
Blir uppgifter tillgängliga = utlämnande? Utlämnande föreligger när uppgiften gjorts tillgänglig! (Se 2 kap. 12 TF) TF 2 kap. 12 Allmän handling som får lämnas ut skall på begäran genast eller så snart det är möjligt på stället utan avgift tillhandahållas den, som önskar taga del därav, så att handlingen kan läsas, avlyssnas eller på annat sätt uppfattas. Handling får även skrivas av, avbildas eller tagas i anspråk för ljudöverföring. Kan handling ej tillhandahållas utan att sådan del därav som icke får lämnas ut röjes, skall den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia. Myndighet är icke skyldig att tillhandahålla handling på stället, om betydande hinder möter. I fråga om upptagning som avses i 3 första stycket föreligger ej heller sådan skyldighet, om sökanden utan beaktansvärd olägenhet kan taga del av upptagningen hos närbelägen myndighet. Lag (1976:954). Jfr t.ex. NJA 1991 s. 103 En uppgift kan anses ha avslöjats eller uppenbarats om det finns en person för vilken uppgiften görs tillgänglig, även om denne inte faktiskt har fått kännedom om uppgiften. Därmed skulle det som regel vara tillräckligt att en handling med hemliga uppgifter har kommit i någon obehörigs besittning. Avgörande för straffansvar bör främst vara om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter, att man måste räkna med att den obehörige kommer att ta del av uppgiften Legaldefinition av utlämnande saknas - Viss vägledning, t.ex. i TF 2:12 TILLGÄNGLIG = UTLÄMNANDE??? Kan det anses föreligga ett utlämnande/ röjande om vi ställer ut burken med de sekretessbelagda uppgifterna i molnet??? - Blir uppgifterna därmed tillgängliga för annan? - Om uppgifterna behandlas utomlands, blir de också tillgängliga för utländska myndigheter! - Tvingande lag kan inte avtalas bort! - D.v.s. vi gör ett medvetet val att låta uppgifterna kunna bli tillgängliga för utländska myndigheter/andra aktörer... 7
Är utländsk åtkomst tillåten? Kan vi hindra andra från att få tillgång till uppgifterna i molnet, eller kan det vara OK att de får det? OSL 8 kap. 3 En uppgift för vilken sekretess gäller enligt denna lag får inte röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte 1. utlämnande sker i enlighet med särskild föreskrift i lag eller förordning, eller 2. uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen. Om leverantören är skyldig att lämna uppgift till utländska myndigheter och vi vet att detta kan bli aktuellt, kan vi därmed också anses ha lämnat ut till dem??? Kan svensk lag hindra utländska subjekt från att inhämta uppgifter enligt det egna landets lag??? - OSL gäller endast i Sverige!!! Kan sekretessen undanröjas om utländsk myndighet inhämtar uppgifterna??? - Men det sker ju ingen sekretessprövning i ett enskilt fall som regeln egentligen är tänkt för, utan utlämnandet blir generellt - Dessutom tar myndigheten vad den vill ha (NSA, CIA, FBI m.fl.) 8
Tillåtet som sekretessbrytande grund? Kan det anses tillåtet i sig med outsourcing/ molntjänst? OSL 10 kap. 2 Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Vi kan knappast hävda att vi inte kan sköta hanteringen utan att anlita någon annan - Att det blir billigare, bättre eller effektivare räcker inte som skäl Kan det anses nödvändigt för fullgörandet av myndighetens verksamhet att använda molntjänster??? - Eller kan verksamheten fullgöras på annat sätt? EN MÖJLIG FRAMTIDA LÖSNING? - Tillägg i OSL 10:2: Uppgift får också utlämnas till någon som myndigheten anlitar för att sköta myndighetens informationshantering, förutsatt att detta kan ske enligt tillämpliga säkerhetskrav och sekretessbestämmelser. I så fall gäller dessa krav och bestämmelser även hos den som anlitas, om detta inte strider mot lag eller annan författning. - Uttalande i förarbetena: Om uppgifterna omfattas av tystnadsplikt enligt särskilda bestämmelser och någon annan ska anlitas för informationshantering, ska ett utlämnande till denne inte anses obehörigt om åtgärder kan vidtas för att åstadkomma lämplig säkerhet och att säkerställa att den som anlitas i sin tur inte obehörigen använder eller röjer informationen. 9
KONTAKTINFO SLUT!!! Tack för mig! Conny Larsson conny.larsson@gardepartners.se Advokatfirman Gärde & Partners AB Danderydsgatan 14 SE-114 26 Stockholm Tel: 08-660 00 41/Fax: 08-660 00 51 10