Post 905 av 7194 träffar
Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter Prop. 2019/20:201
Ansvarig myndighet: Infrastrukturdepartementet
Dokument: Prop. 201
Regeringens proposition
2019/20:201
Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
Prop.
2019/20:201
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 3 september 2020
Morgan Johansson
Anders Ygeman
(Infrastrukturdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en ny lag om tystnadsplikt för privata tjänsteleverantörer. Lagen ska gälla när en myndighet, eller ett organ eller en verksamhet som jämställs med en myndighet, genom utkontraktering uppdrar åt en tjänsteleverantör att endast tekniskt bearbeta eller tekniskt lagra uppgifter. Lagen syftar till att uppgifter från en myndighet som hanteras av en tjänsteleverantör ska få ett sekretesskydd som är likvärdigt med det som gäller när en annan myndighet tillhandahåller en motsvarande tjänst.
Lagen föreslås träda i kraft den 1 januari 2021.
Innehållsförteckning
1 Förslag till riksdagsbeslut 3
2 Förslag till lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter 4
3 Ärendet och dess beredning 5
4 Myndigheters behov av en säker och effektiv it-drift 5
5 Nuvarande reglering 6
6 Behovet av att öka uppgiftsskyddet vid utkontraktering 10
7 En ny lag om tystnadsplikt införs 12
8 Lagens tillämpningsområde 13
9 Tystnadspliktens innebörd 16
10 Ikraftträdande 20
11 Konsekvenser 21
12 Författningskommentar 22
Bilaga 1 Sammanfattning av betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) i relevanta delar 26
Bilaga 2 Betänkandets lagförslag i relevanta delar 27
Bilaga 3 Förteckning över remissinstanserna 28
Bilaga 4 Lagrådsremissens lagförslag 30
Bilaga 5 Lagrådets yttrande 31
Utdrag ur protokoll vid regeringssammanträde den 3 september 2020 32
1
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
2 Förslag till lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
Härigenom föreskrivs följande.
1 § Denna lag tillämpas när en myndighet uppdrar åt ett företag eller en annan enskild (tjänsteleverantör) att endast tekniskt bearbeta eller tekniskt lagra uppgifter.
2 § Vid tillämpningen av denna lag ska med myndigheter jämställas
1. sådana aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, regioner eller kommunalförbund utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), och
2. de organ som anges i bilagan till offentlighets- och sekretesslagen i fråga om de verksamheter som anges där.
Med en myndighet ska också jämställas yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad och som
1. tillhör skolväsendet, de särskilda utbildningsformerna eller annan pedagogisk verksamhet enligt 1 kap., 24 kap. eller 25 kap. skollagen (2010:800),
2. utgör hälso- och sjukvård eller tandvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125), eller
3. bedrivs enligt socialtjänstlagen (2001:453), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1993:387) om stöd och service till vissa funktionshindrade eller utgör personlig assistans som utförs med assistansersättning enligt 51 kap. socialförsäkringsbalken.
3 § Vid tillämpningen av denna lag ska med en tjänsteleverantör jämställas en underleverantör som medverkar till att fullgöra tjänsteleverantörens uppdrag.
4 § Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
Denna lag träder i kraft den 1 januari 2021.
3 Ärendet och dess beredning
Regeringen gav den 24 november 2016 en särskild utredare i uppdrag att dels kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen, dels lämna förslag till de författningsändringar som bedöms ha störst potential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen. Utredningen antog namnet Digitaliseringsrättsutredningen.
Utredningen lämnade i mars 2018 betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). En sammanfattning av betänkandet i relevanta delar finns i bilaga 1. Utredningens lagförslag i relevanta delar finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Regeringskansliet (I2019/01021/DF).
I denna proposition behandlas utredningens förslag till en ny lag om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring (avsnitt 10 i betänkandet). Utredningens förslag till en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400), förkortad OSL, liksom utredningens förslag i övrigt, bereds vidare i Regeringskansliet.
Lagrådet
Regeringen beslutade den 13 augusti 2020 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnar förslaget utan erinran. I förhållande till lagrådsremissen har en redaktionell ändring gjorts.
4 Myndigheters behov av en säker och effektiv it-drift
Tillgång till säker och effektiv it-drift och it-baserade funktioner är i många fall en grundläggande förutsättning för att en statlig eller kommunal myndighet ska kunna bedriva en ändamålsenlig verksamhet. Digitalisering och it kan också bidra till en rättssäker och effektiv offentlig förvaltning och leverans av god service till enskilda. Eftersom myndigheter ofta hanterar uppgifter som omfattas av sekretess eller är integritetskänsliga, ställs särskilda krav på myndigheternas it-verksamheter. Dessutom kräver förvaltning och utveckling av it-drift och it-baserade funktioner ofta specialistkompetens och avancerade tekniska hjälpmedel som inte alltid kan hanteras av varje myndighet för sig. För en del myndigheter är därför utkontraktering till en privat tjänsteleverantör eller anslutning till en samordnad myndighetsgemensam lösning för it-drift en förutsättning för att kunna bedriva verksamheten. Oavsett hur en myndighet väljer att anordna sitt behov av it-driftstjänster och it-baserade funktioner är det alltid myndigheten själv som är ytterst ansvarig för att den information som hanteras, av myndigheten eller av någon annan, får ett ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt. För utkontraktering som omfattas av regelverket om säkerhetsskydd gäller särskilda förfaranderegler, se 2 kap. 6 § säkerhetsskyddsförordningen (2018:658).
Ett exempel på samordnad statlig it-drift är Försäkringskassans tidsbegränsade uppdrag att erbjuda samordnad och säker statlig it-drift (I2019/ 02515/DF och Fi2017/03257/DF). Syftet med uppdraget är att pröva och utvärdera former för samordnad it-drift inom staten. Intresset för att ansluta till Försäkringskassans tjänster har varit stort bland de statliga myndigheterna. Av bl.a. den anledningen har regeringen gett en särskild utredare i uppdrag att analysera och lämna förslag på mer varaktiga former för samordnad statlig it-drift (dir. 2019:64). Uppgifter som behandlas inom ramen för samordnad it-drift mellan myndigheter omfattas av tystnadsplikt enligt OSL under förutsättning att den mottagande myndigheten endast behandlar uppgifterna som ett led i en teknisk bearbetning eller teknisk lagring, se 11 kap. 4 a § och 40 kap. 5 § OSL och 2 kap. 13 § första stycket tryckfrihetsförordningen (TF).
Utkontraktering används ofta för att beskriva att en verksamhetsutövare genom upphandling, eller på annat sätt, uppdrar åt en utomstående leverantör att sköta drift, underhåll, skötsel eller liknande av en viss del av verksamheten. Termen utkontraktering har ingen legal definition och innebär inte heller någon tydlig avgränsning mellan olika organisatoriska enheter. Utkontraktering har därför olika innebörd i olika sammanhang.
Med utkontraktering avses i denna proposition att en myndighet uppdrar åt en privat tjänsteleverantör att tekniskt bearbeta eller lagra myndighetens information inom ramen för myndighetens grundläggande behov av it-driftstjänster och andra it-baserade funktioner. Det kan exempelvis röra sig om uppdrag där en tjänsteleverantör tillhandahåller teknisk infrastruktur eller en teknisk plattform för it-drift och uppdrag där en tjänsteleverantör tillhandahåller it-baserade funktioner i form av t.ex. applikationer och tjänster.
Vid utkontraktering av uppdrag till en privat tjänsteleverantör att tekniskt bearbeta eller tekniskt lagra uppgifter finns ingen författningsreglerad tystnadsplikt motsvarande den som finns för det allmännas verksamhet i OSL. Författningsreglerad tystnadsplikt, oavsett om den följer av OSL eller av särskilda bestämmelser om tystnadsplikt för den privata sektorn, är i regel förenad med straffansvar, se 20 kap. 3 § brottsbalken. För att tillgodose behovet av tystnadsplikt vid utkontraktering till en privat tjänsteleverantör upprättas vanligen ett civilrättsligt avtal om tystnadsplikt. En avtalsreglerad tystnadsplikt är dock inte straffsanktionerad. Även om ett visst uppgiftsskydd uppnås genom en avtalsreglerad tystnadsplikt, är alltså skyddet svagare än om personal som har tystnadsplikt enligt OSL eller någon annan författning hanterar uppgifterna i fråga.
5 Nuvarande reglering
Tryckfrihetsförordningen och offentlighetsprincipen
Var och en har rätt att ta del av allmänna handlingar, se 2 kap. 1 § TF. En handling är allmän, om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet, se 2 kap. 4 § TF. En elektronisk handling anses inkommen till myndigheten när någon annan har gjort upptagningen tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt, se 2 kap. 9 § första stycket TF.
Offentlighetsprincipen har inte ansetts kräva att allmänheten ska ha tillgång till en upptagning hos en myndighet som endast tar teknisk befattning med den (prop. 1975/76:160 s. 87). Enligt 2 kap. 13 § första stycket TF anses en handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räkning inte som allmän handling hos den myndigheten. En handling som är allmän hos den utlämnande myndigheten blir alltså inte allmän hos den mottagande myndigheten.
I 2 kap. 9 § tredje stycket TF regleras situationen när en icke allmän handling, som någon tekniskt bearbetat eller lagrat, återkommer till den myndighet som tillhandahöll den för bearbetning eller lagring. Den bearbetade handlingen anses vid återkomsten inte vara inkommen. Bestämmelsen syftar till att förhindra att en handling endast på grund av att den skickats för teknisk bearbetning ändrar karaktär och blir allmän. I sådana fall är i stället det naturliga att se saken så att upptagningen aldrig har befunnit sig utanför myndigheten (prop. 1975/76:160 s. 137).
Det finns viss rättspraxis i fråga om tillämpningen av 2 kap. 13 § första stycket TF, som gäller när en myndighet är den part som tekniskt bearbetar eller tekniskt lagrar uppgifter för någon annans räkning (se t.ex. RÅ 1994 ref. 64, HFD 2011 ref. 52 och HFD 2018 ref. 48). Det är emellertid oklart i vilken utsträckning dessa avgöranden kan tjäna som vägledning när en privat aktör har i uppdrag att tekniskt bearbeta eller tekniskt lagra handlingar för en myndighets räkning, eftersom inte samma insynsintresse gör sig gällande som när en myndighet utför motsvarande uppdrag.
Sekretess hos det allmänna
Rätten att ta del av allmänna handlingar får enligt 2 kap. 2 § första stycket TF begränsas endast om det är nödvändigt med hänsyn till vissa intressen, bl.a. det allmännas ekonomiska intresse och skyddet för enskilds personliga eller ekonomiska förhållanden.
Sekretess innebär inte bara en begränsning av rätten att ta del av allmänna handlingar, utan även ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt (20 kap. 3 § brottsbalken).
Till den del sekretessbestämmelserna innebär tystnadsplikt medför de även en begränsning av yttrandefriheten enligt 2 kap. 1 § regeringsformen (RF) och artikel 10 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Enligt 2 kap. 20-21 §§ RF får begränsningar i yttrandefriheten endast göras i lag under vissa förutsättningar. En begränsning får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Begränsningen får inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Av 2 kap. 23 § RF framgår vidare att yttrandefriheten endast får begränsas av vissa särskilda angivna ändamål bl.a. med hänsyn till rikets säkerhet, enskildas anseende, privatlivets helgd eller om särskilt viktiga skäl föranleder det. Regleringen i RF syftar till att nödvändiga begränsningar inte ska träffa yttrande- och informationsfriheternas kärna. Även enligt Europakonventionen, som gäller som svensk lag (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna), får yttrandefriheten inskränkas under vissa förutsättningar. Sådana begränsningar måste vara föreskrivna i lag och nödvändiga i ett demokratiskt samhälle med hänsyn till statens säkerhet, till den territoriella integriteten eller den allmänna säkerheten, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller för annans goda namn och rykte eller rättigheter, för att förhindra att förtroliga underrättelser sprids eller för att upprätthålla domstolarnas auktoritet och opartiskhet. Enligt 2 kap. 19 § RF får lag eller annan föreskrift inte meddelas i strid med Sveriges åtaganden på grund av Europakonventionen.
Sekretessbestämmelserna i OSL gäller inte bara för uppgifter i allmänna handlingar. De gäller även för uppgifter som hos en myndighet finns i sådana handlingar som ännu inte har blivit allmänna, t.ex. arbetsmaterial, utkast och andra handlingar som varken har expedierats eller på annat sätt kommit att bli upprättade i TF:s mening.
Förbud att röja eller utnyttja en uppgift enligt OSL eller enligt lag eller förordning som OSL hänvisar till gäller för myndigheter (2 kap. 1 § första stycket OSL). Förbudet gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, tjänsteplikt eller på annan liknande grund (2 kap. 1 § andra stycket OSL).
Sekretess vid teknisk bearbetning eller teknisk lagring hos en myndighet
Enligt 40 kap. 5 § OSL gäller sekretess i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om enskilds personliga eller ekonomiska förhållanden.
Eftersom handlingar som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring inte är allmänna enligt 2 kap. 13 § första stycket TF, reglerar 40 kap. 5 § OSL i praktiken endast en tystnadsplikt i det allmännas verksamhet. Denna tystnadsplikt innebär ett förbud att röja en uppgift muntligen eller på annat sätt, t.ex. genom att handlingar som inte är allmänna lämnas ut. Tystnadsplikten är absolut, vilket innebär att uppgifter som omfattas av sekretessen ska hemlighållas utan någon skadeprövning. Bestämmelsens tillämpningsområde är detsamma som för undantaget från vad som är en allmän handling i 2 kap. 13 § första stycket TF. Enligt 40 kap. 8 § OSL inskränker tystnadsplikten rätten att meddela och offentliggöra uppgifter som annars följer av TF och yttrandefrihetsgrundlagen (YGL).
I 11 kap. 4 a § OSL anges att om en myndighet, i verksamhet för enbart teknisk bearbetning eller teknisk lagring, för en annan myndighets räkning får en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, ska sekretessbestämmelsen även tillämpas hos den mottagande myndigheten. Har den sekretess som överförs företräde framför rätten att meddela och offentliggöra uppgifter, gäller detta även hos den mottagande myndigheten. Genom att sekretessen överförs hindras att uppgifter i en upptagning som är sekretessreglerad av hänsyn till ett allmänt intresse hos den utlämnande myndigheten blir offentliga hos den mottagande myndigheten. Skälet till detta är bl.a. den ökade myndighetssamverkan inom it-driftsområdet, både i fråga om drift av it-system och tjänster som elektroniska arkiv (se prop. 2016/17:198 s. 22).
Tystnadsplikt i privat verksamhet
Bestämmelser om tystnadsplikt för funktionärer inom den privata sektorn finns i allmänhet i de författningar som reglerar den verksamhet där tystnadsplikten gäller. En föreskrift om tystnadsplikt är i regel förenad med straffansvar enligt 20 kap. 3 § brottsbalken, förutsatt att det inte i författningen eller på annat håll finns en särskild straffbestämmelse som reglerar brott mot tystnadsplikten.
I flera författningar regleras tystnadsplikt specifikt för privata utförare av offentligt finansierade tjänster. Här kan bl.a. nämnas tystnadsplikt för den som är eller har varit verksam i enskilt bedriven förskola, fritidshem eller förskoleklass enligt 29 kap. 14 § skollagen (2010:800), tystnadsplikt för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen enligt 15 kap. 1 § socialtjänstlagen (2001:453) och tystnadsplikt inom den privata hälso- och sjukvården enligt 6 kap. 12-14 och 16 §§ patientsäkerhetslagen (2010:659). Enligt säkerhetsskyddslagen (2018:585) gäller att den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter (5 kap. 2 §).
Syftet med tystnadspliktsbestämmelserna är bl.a. att uppgifter som behandlas inte ska få ett sämre skydd när de hanteras i enskild verksamhet än när motsvarande hantering sker hos en myndighet. Det finns ingen anledning att göra skillnad på tystnadspliktsförhållandena för privatanställda och offentliganställda (prop. 2017/18:89 s. 120). Vid tolkningen av bestämmelserna om tystnadsplikt kan ledning sökas i OSL:s motsvarande bestämmelser. Utgångspunkten är att det ska vara en nära överensstämmelse när det gäller innebörden av de olika bestämmelserna om tystnadsplikt för offentlig respektive enskild verksamhet.
Rätten att meddela och offentliggöra uppgifter
Med rätten att meddela och offentliggöra uppgifter avses de rättigheter som följer av 1 kap. 1 och 7 §§ TF och 1 kap. 1 och 10 §§ YGL. Rätten att meddela och offentliggöra uppgifter har som huvudregel företräde framför tystnadsplikten men aldrig företräde framför handlingssekretessen (7 kap. 20 § 1 och 22 § första stycket 2 TF samt 5 kap. 1 § och 4 § första stycket 2 YGL). Det kan alltså vara tillåtet att t.ex. muntligen lämna en sekretessbelagd uppgift till en journalist eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter lämna den allmänna handling där den sekretessbelagda uppgiften finns till en journalist eller att själv publicera denna handling.
I ett antal fall har emellertid även tystnadsplikten företräde framför rätten att meddela och offentliggöra uppgifter. I dessa fall är alltså rätten att meddela och offentliggöra uppgifter helt inskränkt. Varje gång en ny sekretessbestämmelse införs måste det övervägas om den tystnadsplikt som följer av den föreslagna bestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Utgångspunkten är att stor återhållsamhet ska iakttas vid en sådan bedömning.
6 Behovet av att öka uppgiftsskyddet vid utkontraktering
För vissa statliga och kommunala myndigheter kan möjligheten att utkontraktera hela eller delar av it-driften eller de it-baserade funktionerna till en privat tjänsteleverantör vara en förutsättning för att verksamheten ska kunna bedrivas ändamålsenligt och kostnadseffektivt. Grundläggande vid sådan utkontraktering är att myndigheten alltid är ytterst ansvarig för att den information som lämnas ut får ett effektivt och ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt. Det innebär bl.a. att uppgifter som lämnas ut till en tjänsteleverantör inte får vara belagda med sekretess enligt OSL eller omfattas av tystnadsplikt enligt någon annan reglering.
I en utkontrakteringssituation är det inte ovanligt att tjänsteleverantören hanterar en stor mängd av myndighetens uppgifter inom ramen för uppdraget. Så kan exempelvis vara fallet vid utkontraktering av diarie- och ärendehanteringssystem eller system för kontorsstöd som omfattar t.ex. e-post, kalender och dokumenthanteringsstöd. Utmärkande för den här typen av tjänster är att det pågår ett konstant uppgiftsflöde. När det exempelvis gäller e-postsystem har en myndighet typiskt sett dessutom begränsad möjlighet att styra över vilka uppgifter som tillförs av enskilda som kommunicerar digitalt med myndigheten. Detta innebär att en myndighet som står inför en utkontraktering inte alltid har exakt kännedom om vilka uppgifter som kan komma att lämnas ut till den uppgiftsmottagande leverantören. Vid utlämnande av en omfattande uppgiftsmängd kan det också vara svårt att bilda sig en uppfattning om huruvida det finns enskilda uppgifter som är förknippade med särskild skaderisk i sekretesshänseende (jfr prop. 1979/80:2 Del A s. 81).
Utredningen beskriver att flera myndigheter upplever att rättsläget är oklart när det gäller de rättsliga förutsättningarna för att lämna ut sekretessreglerade uppgifter till en privat tjänsteleverantör i samband med utkontraktering. Ytterligare komplexitet följer av att en tjänsteleverantörs affärsmodell kan vara svår att överblicka. Det är exempelvis inte ovanligt att en tjänsteleverantör anlitar en eller flera underleverantörer som har i uppdrag att bidra till att leverantören uppfyller sina förpliktelser gentemot den uppdragsgivande myndigheten. Myndigheten måste alltså i sin prövning av om utkontraktering kan ske även beakta att en eller flera underleverantörer kan komma att ges tillgång till myndighetens uppgifter.
I syfte att uppnå ett högre uppgiftsskydd hos en uppgiftsmottagande tjänsteleverantör är det vanligt att en myndighet tecknar en sekretessförbindelse med tjänsteleverantören. En sådan lösning förespråkas också i förarbetena till den tidigare sekretesslagen (1980:100) när det finns behov av tystnadsplikt för andra personkategorier än de som omfattas av en författningsreglerad tystnadsplikt (prop. 1979/80:2 Del A s. 128). En avtalsreglerad tystnadsplikt innebär dock inte att straffansvar för brott mot tystnadsplikten kan uppkomma om tystnadsplikten bryts. Det är inte heller tydligt i vilken utsträckning en avtalsreglerad tystnadsplikt möjliggör utlämnande av annars sekretessbelagda uppgifter till en tjänsteleverantör. En sekretessförbindelse för en tjänsteleverantörs medarbetare gäller dessutom endast i förhållande till arbetsgivaren, dvs. tjänsteleverantören. En medarbetare som bryter mot sitt sekretessåtagande kan drabbas av sanktioner bara om det följer av avtalet, vilket i första hand är en fråga mellan avtalsparterna, dvs. arbetsgivaren och arbetstagaren. De sanktioner som kan komma i fråga är exempelvis skyldighet att betala skadestånd eller uppsägning.
Även om en avtalsreglerad tystnadsplikt inte innebär att straffansvar för brott mot tystnadsplikt kan uppkomma, medför en sådan tystnadsplikt att de uppgifter som hanteras av leverantören får ett visst högre skydd i dennes verksamhet. Förekomsten av en avtalsreglerad tystnadsplikt kan därmed vägas in i den sekretessprövning en myndighet ska göra innan en utkontraktering inleds. Även tjänsteleverantörens uppdrag är en omständighet som kan vägas in i prövningen. Utgångspunkten vid utkontraktering av it-driftstjänster och andra it-baserade funktioner som svarar mot en myndighets grundläggande behov är att leverantören inte ska behöva ta del av informationen som hanteras inom ramen för uppdraget i någon större utsträckning (jfr JO 2015/16 s. 606).
En självklar utgångspunkt för sådan uppgiftshantering som utförs för att tillgodose en myndighets grundläggande behov av it-drift och it-baserade funktioner bör vara att uppgifterna så långt som möjligt ska ha samma skydd oavsett om de hanteras av myndigheten själv eller av en tjänsteleverantör. Den osäkerhet som finns hos myndigheterna i dag när det gäller vilket skydd uppgifterna har hos en tjänsteleverantör är otillfredsställande. Som utredningen lyfter fram bör denna osäkerhet undanröjas och de rättsliga förutsättningarna för utkontraktering klargöras. Regeringen anser att ett klargörande av de rättsliga förutsättningarna bör göras genom att det införs en långsiktigt hållbar reglering som i första hand syftar till att säkerställa ett ökat sekretesskydd för uppgifter som hanteras av en privat tjänsteleverantör.
7 En ny lag om tystnadsplikt införs
Regeringens förslag: Det ska införas en ny lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Utredningens förslag överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av de remissinstanser som yttrar sig, däribland Föreningen Svenskt Näringsliv, Justitieombudsmannen, Polismyndigheten och Åklagarmyndigheten, tillstyrker eller invänder inte mot förslaget. Datainspektionen poängterar att en lagstadgad tystnadsplikt är nödvändig för att behandling av personuppgifter inom hälso- och sjukvård och social omsorg som utförs av personuppgiftsbiträden ska vara förenlig med Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Försvarsmakten framhåller att lagregler om tystnadsplikt inte alltid minimerar riskerna vid utkontraktering av it-drift. Statens jordbruksverk och Trafikverket påpekar att även med en lagreglerad tystnadsplikt är det fortsatt viktigt att vidta åtgärder för att begränsa tjänsteleverantörens åtkomst till informationen. Skatteverket menar att lagen kommer att få en begränsad praktisk betydelse med hänsyn till det stora antalet utländska tillhandahållare av it-driftstjänster. Region Skåne, tidigare Skåne läns landsting, anser att det är otydligt hur tystnadsplikt i svensk lag förhåller sig till den allmänna dataskyddsförordningen och användningen av personuppgiftsbiträden inom EU.
Skälen för regeringens förslag: Regeringen anser att det i allt ökande grad kan ifrågasättas om det är tillräckligt att reglera tystnadsplikt för en tjänsteleverantör enbart genom avtal. Det finns ett behov av att öka sekretesskyddet för uppgifter som hanteras av en tjänsteleverantör i samband med att en myndighet utkontrakterar sitt grundläggande behov av it-driftstjänster eller andra it-baserade funktioner. Sekretesskyddet bör så långt möjligt överensstämma med det som gäller för en myndighet som tillhandahåller motsvarande tjänster till en annan myndighet. Ett sekretesskydd för uppgifter som motsvarar det som gäller för det allmänna kan uppnås genom att en straffsanktionerad tystnadsplikt för privata tjänsteleverantörer införs (jfr tystnadsplikten i 5 kap. 2 § säkerhetsskyddslagen [2018:585], som kompletterar OSL). Eftersom tystnadsplikt utgör en begränsning av den grundlagsfästa yttrandefriheten, ska en sådan reglering ske i lag. Bestämmelserna kan inte på ett naturligt sätt inarbetas i befintlig lagstiftning. Tystnadsplikten bör därför regleras i en ny lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
En lagreglerad tystnadsplikt innebär emellertid inte, som Försvarsmakten framhåller, att riskerna med en utkontraktering alltid elimineras eller ens minimeras. En myndighet behöver därför alltid göra en övergripande bedömning av om en utkontraktering är lämplig i det enskilda fallet. För att kunna göra en sådan bedömning krävs att myndigheten genomför regelbundna och systematiska analyser av sin informationshantering. I sådana analyser behöver verksamhetens behov i kombination med informationssäkerhet och sekretess- och integritetsfrågor beaktas parallellt. En myndighet som genomfört grundliga analyser och informationssäkerhetsklassat sina informationstillgångar kan ställas inför det faktum att viss verksamhet inte lämpar sig för utkontraktering, av säkerhetsskäl eller av andra skäl. All utkontraktering som innebär att en myndighet överför uppgifter till en utomstående aktör bör ske med förtänksamhet och med beaktande av samtliga kända och potentiella risker.
Även med en lagreglerad tystnadsplikt är det, som Statens jordbruksverk och Trafikverket påpekar, fortsatt viktigt för en utkontrakterande myndighet att vidta åtgärder för att begränsa tjänsteleverantörens åtkomst till informationen. Det kan exempelvis röra sig om att avtalsreglera behörighetsstyrning och kryptering. Vidare bör en myndighet alltid överväga om det finns skäl att komplettera med en avtalsreglerad tystnadsplikt för sådana uppgifter som inte omfattas av tystnadsplikten, se vidare avsnitt 9.
Det är inte ovanligt att en tjänsteleverantör, eller en underleverantör anlitad av tjänsteleverantören, är etablerad eller bedriver sin verksamhet utanför Sveriges gränser. Var en uppgiftshantering sker rent geografiskt kan, som Skatteverket framhåller, påverka lagens räckvidd, se vidare avsnitt 9. Det kan dock framhållas att den nya lagen inte påverkar befintliga möjligheter att anlita en tjänsteleverantör som är etablerad eller driver sin verksamhet utanför Sveriges gränser. Det gäller även när tjänsteleverantören agerar i rollen som personuppgiftsbiträde enligt den allmänna dataskyddsförordningen. Någon risk för konflikt mellan regleringen i den allmänna dataskyddsförordningen och den här föreslagna lagen, som Region Skåne möjligen befarar, uppkommer därmed inte.
8 Lagens tillämpningsområde
Regeringens förslag: Lagen ska tillämpas när en myndighet, eller en aktör som är jämställd med en myndighet, uppdrar åt ett företag eller en annan enskild (tjänsteleverantör) att endast tekniskt bearbeta eller tekniskt lagra uppgifter.
Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens lagförslag har dock en annan utformning.
Remissinstanserna: Majoriteten av de remissinstanser som yttrar sig tillstyrker eller invänder inte mot förslaget. Flera remissinstanser, däribland E-hälsomyndigheten, Läkemedelsverket och Skolverket, är dock tveksamma till användningen av begreppet teknisk bearbetning och lagring, eftersom det saknas en tydlig definition av begreppets innebörd. Ytterligare ett antal remissinstanser, bl.a. Arbetsgivarverket, Region Örebro, tidigare Örebro läns landsting, Sveriges advokatsamfund, Sveriges Kommuner och Regioner, tidigare Sveriges Kommuner och Landsting, samt Tandvårds- och läkemedelsförmånsverket menar att behovet av tystnadsplikt för tjänsteleverantörer är större än att enbart avse teknisk bearbetning och lagring. Inera AB förordar, liksom Sveriges Kommuner och Regioner, att tystnadsplikten utsträcks till att omfatta alla former av utkontraktering till privata aktörer av en myndighet.
Skälen för regeringens förslag
Lagen ska tillämpas på myndigheter och på aktörer som jämställs med en myndighet
Alltmer offentligt finansierad verksamhet bedrivs i privat regi. Behovet av uppgiftsskydd gör sig gällande på samma sätt oavsett om uppgifter hanteras av en myndighet eller av en annan aktör som har i uppdrag att utföra offentligt finansierad verksamhet. Förutsättningarna för utkontraktering av grundläggande it-driftstjänster och it-baserade funktioner bör vara likartade för myndigheter och för andra aktörer som utför offentligt finansierad verksamhet. Lagen bör därför gälla för vissa aktörer som trätt i stället för en myndighet, när en sådan aktör uppdrar åt en tjänsteleverantör att tekniskt bearbeta eller tekniskt lagra uppgifter i samband med utkontraktering. Vid tillämpningen av lagen bör därför aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, regioner eller kommunalförbund utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § OSL jämställas med en myndighet. Samma sak ska gälla för de organ som anges i bilagan till OSL i fråga om de verksamheter som anges där.
Utredningen föreslår också att yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad och som anges i 2 § första stycket lagen (2017:151) om meddelarskydd i vissa enskilda verksamheter ska jämställas med en myndighet vid tillämpningen av lagen. Avgränsningen tar sikte på följande enskilda verksamheter inom skola, vård och omsorg:
1. skolväsendet, de särskilda utbildningsformerna eller annan pedagogisk verksamhet enligt skollagen (2010:800),
2. hälso- och sjukvård eller tandvård enligt hälso- och sjukvårdslagen (1982:763) eller tandvårdslagen (1985:125), och
3. verksamhet som bedrivs enligt socialtjänstlagen (2001:453), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1993:387) om stöd och service till vissa funktionshindrade eller utgör personlig assistans som utförs med assistansersättning enligt 51 kap. socialförsäkringsbalken.
Enskilda bör kunna förvänta sig ett likvärdigt skydd för sina uppgifter vid utkontraktering av it-drift oavsett om utkontrakteringen görs av en privat eller av en offentlig aktör inom något av de aktuella verksamhetsområdena. Regeringen instämmer därför i utredningens bedömning att de angivna verksamheterna bör omfattas av lagens tillämpningsområde. Eftersom tystnadsplikten är straffsanktionerad, bör verksamheterna anges i lagen av förutsebarhetsskäl.
Med offentlig finansiering avses ett direkt stöd eller en betalning från det allmänna för att driva en viss verksamhet. Ett krav bör vara att finansieringen är kopplad till själva driften av verksamheten. Ett krav på att den enskilda verksamheten är helt offentligt finansierad kan emellertid leda till att många verksamheter, t.ex. fristående skolor och privata läkarmottagningar, inte omfattas av lagen eftersom de sällan är helt offentligt finansierade. Dessutom riskerar ett sådant krav att leda till bristande förutsebarhet för enskilda vars uppgifter hanteras inom verksamheten, eftersom det kan kräva viss efterforskning för att ta reda på om en verksamhet är helt eller bara delvis offentligt finansierad. Det vore inte heller tillfredsställande med skillnader i uppgiftsskyddet beroende på i vilken utsträckning en verksamhet är offentligt finansierad. Lagen ska därför vara tillämplig i alla enskilda verksamheter inom skola, vård och omsorg som till någon del är offentligt finansierade.
Skola, vård och omsorg bedrivs huvudsakligen inom relativt klart definierbara enheter. Som Skolverket uppmärksammar kan det dock förekomma situationer där viss gränsdragning behöver göras, t.ex. när ett större företag bedriver även annan verksamhet. Det kan röra sig om ett företag som driver fristående skolor och även producerar läromedel. I ett sådant fall bör lagen omfatta endast sådan utkontraktering som sker i själva skolverksamheten.
Lagen ska gälla vid utkontraktering till en tjänsteleverantör
Utredningen föreslår att lagens tillämpningsområde avgränsas till privata leverantörer till vilka utkontraktering sker för en myndighets räkning. Med privat leverantör avses en utomstående enskild aktör som levererar en tjänst eller funktion på uppdrag av en myndighet. Stockholms universitet, Förvaltningsrätten i Stockholm och Skolverket har synpunkter på det valda begreppet.
Lagen bör omfatta utkontraktering till ett företag eller en annan enskild. Vilken civilrättslig verksamhetsform aktören i fråga har bör sakna betydelse och det bör inte heller finnas något krav på att ekonomisk ersättning ska lämnas för det uppdrag som utförs. Regeringen anser att det framstår som lämpligt att i lagen använda ordet tjänsteleverantör för att beskriva de företag och enskilda som avses, eftersom denna benämning är relativt vanligt förekommande för de aktörer som tillhandahåller it-tjänster. I sak innebär inte denna ändring någon skillnad i förhållande till utredningens förslag.
Med en tjänsteleverantör ska jämställas en underleverantör som medverkar till att fullgöra det utkontrakterade uppdraget
Det är vanligt att en tjänsteleverantör anlitar en eller flera underleverantörer som medverkar till att fullgöra tjänsteleverantörens uppdrag. Underleverantörer kan också finnas i flera led genom att en underleverantör anlitar egna underleverantörer, som i sin tur bidrar till att fullgöra tjänsteleverantörens uppdrag. Under uppdragets löptid kan underleverantörer bytas ut och nya kan tillkomma. En underleverantör som medverkar till att fullgöra tjänsteleverantörens uppdrag att endast tekniskt bearbeta eller tekniskt lagra myndighetens uppgifter ska vid tillämpningen av lagen jämställas med en tjänsteleverantör.
Lagen ska gälla när tjänsteleverantörens uppdrag är att endast tekniskt bearbeta eller tekniskt lagra uppgifter
Utredningen föreslår att tystnadsplikten ska gälla när en tjänsteleverantör utför tjänster som innebär endast teknisk bearbetning eller teknisk lagring av uppgifter för en myndighets räkning. Uttrycket teknisk lagring eller teknisk bearbetning härrör från bestämmelser om allmänna handlingar, se 2 kap. 9 och 13 §§ TF.
Som framgår av avsnitt 5 innebär TF:s reglering att en handling som inte är allmän hos en myndighet inte heller ska anses inkommen till myndigheten när handlingen återvänder dit efter att någon annan har vidtagit åtgärder endast som ett led i en teknisk bearbetning eller teknisk lagring med den. Därmed är handlingen efter återvändandet alltjämt inte att anse som allmän. Dessa bestämmelser i TF gör ingen åtskillnad på allmänna handlingar i fysisk form, dvs. papper, och upptagningar. I dag har bestämmelserna stor praktisk betydelse just vid hanteringen av tekniska upptagningar.
Flera remissinstanser, däribland E-hälsomyndigheten, Läkemedelsverket och Skolverket, anser att uttrycket teknisk bearbetning eller teknisk lagring är otydligt och att avsaknaden av en legal definition medför tillämpningssvårigheter vid dagens teknikanvändning. Regeringen kan konstatera att uttrycket teknisk bearbetning eller teknisk lagring är både teknikneutralt och etablerat. Även om tillämpningen kan orsaka vissa svårigheter i ljuset av dagens, och framtidens, teknikanvändning och teknikutveckling bedömer regeringen, när det gäller myndigheters grundläggande behov av it-driftstjänster och andra it-baserade funktioner, att uttrycket är tillräckligt tydligt. Det bör därför inte vålla några större tillämpningssvårigheter i praktiken.
Ett antal remissinstanser, bl.a. Inera AB och Sveriges Kommuner och Regioner, påpekar att behovet av tystnadsplikt är större och därför bör utsträckas till att omfatta alla former av utkontraktering till privata aktörer av en myndighet. Regeringen ifrågasätter inte att det kan finnas behov av tystnadsplikt även vid utkontraktering som omfattar andra moment än endast teknisk bearbetning eller teknisk lagring men anser, i likhet med utredningen, att ytterligare behov av tystnadsplikt främst bör tillgodoses inom ramen för sektorsspecifik lagstiftning.
9 Tystnadspliktens innebörd
Regeringens förslag: Tystnadsplikt ska införas för den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter. Tystnadsplikt ska även gälla för anställda m.fl. hos underleverantörer till tjänsteleverantören, som medverkar till att fullgöra dennes uppdrag.
I det allmännas verksamhet ska offentlighets- och sekretesslagen tillämpas.
Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningens lagförslag har dock en annan utformning.
Remissinstanserna: Majoriteten av de remissinstanser som yttrar sig tillstyrker eller invänder inte mot förslaget. Försvarsmakten kan dock inte tillstyrka förslaget innan en utförlig konsekvensanalys har genomförts avseende uppgifter som är belagda med sekretess till skydd för det allmänna. Försvarsmakten framhåller också, liksom Örebro universitet, att även andra anställda än de som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifter för en myndighets räkning bör omfattas av tystnadsplikten. Bolagsverket och Statens servicecenter anser att den tekniska bearbetningen och lagringen inte bör kopplas direkt till en fysisk person. Justitiekanslern och Riksdagens ombudsmän anser att det uttryckligen bör framgå av lagtexten att tystnadsplikten ska gälla även när en anställd eller uppdragstagare har lämnat sin befattning. Region Skåne pekar på att det fortsatt kommer finnas en osäkerhet kring gränsdragningen för s.k. osjälvständiga uppdragstagare. Förvaltningsrätten i Stockholm anser att det bör övervägas att komplettera lagen med ett bemyndigande att meddela föreskrifter på vissa områden, t.ex. upplysningsplikt. Arbetsförmedlingen, Riksrevisionen och Åklagarmyndigheten lyfter frågan om hur lagföring ska kunna ske när brott mot tystnadsplikten begås utomlands.
Skälen för regeringens förslag
Vilka personkategorier bör omfattas av tystnadsplikten?
Enligt utredningens förslag ska tystnadsplikt gälla för den som på grund av anställning eller uppdrag hos en tjänsteleverantör tekniskt bearbetar eller tekniskt lagrar uppgifter för en myndighets räkning. Som några remissinstanser påpekar, däribland Försvarsmakten och Bolagsverket, innebär en sådan avgränsning att det inte är självklart att andra personer än de som har teknisk bearbetning eller lagring som faktisk arbetsuppgift har tystnadsplikt. Även andra personkategorier kan ha eller ta sig åtkomst till uppgifter som hanteras inom ramen för uppdraget. Att avgränsa tystnadsplikten till de personkategorier som i praktiken utför den tekniska bearbetningen eller lagringen av uppgifter riskerar att medföra avsevärda tillämpningssvårigheter inte minst i bevishänseende, där det t.ex. kan uppstå en fråga om huruvida en teknisk bearbetning har utförts av en människa eller av en maskin.
Eftersom åtkomst till uppgifter kan ske på flera olika sätt, även obehörigen, och för att undvika onödiga gränsdragningsproblem och tillämpningssvårigheter, bör tystnadsplikten omfatta samtliga personkategorier som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet tekniskt bearbeta eller tekniskt lagra uppgifter. Genom en sådan utformning tydliggörs att även andra personkategorier hos tjänsteleverantören som kan bereda sig tillgång till myndighetens uppgifter lyder under tystnadsplikt. I linje med vad Justitiekanslern och Riksdagens ombudsmän anför tydliggörs också att tystnadsplikten även gäller efter att en anställning eller ett uppdrag har upphört. För en underleverantör som omfattas av lagens tillämpningsområde gäller samma räckvidd och avgränsning av den personkrets som omfattas av tystnadsplikten.
För anställda m.fl. hos en enskild aktör som bedriver säkerhetskänslig verksamhet och hanterar säkerhetsskyddsklassificerade uppgifter enligt säkerhetsskyddslagen (2018:585) gäller tystnadsplikten i den lagen (se 5 kap. 2 §). Tystnadsplikt enligt den nu föreslagna lagen kan dock komplettera säkerhetsskyddslagen i den utsträckning som den senare lagen inte är tillämplig. Så kan exempelvis vara fallet för en tjänsteleverantör som inte bedriver säkerhetskänslig verksamhet men som hanterar säkerhetsskyddsklassificerade uppgifter med stöd av ett säkerhetsskyddsavtal. Någon särskild reglering om förhållandet till säkerhetsskyddslagen bedöms dock inte behövlig. För anställda i det allmännas verksamhet tillämpas i stället OSL.
Region Skåne framför att det fortsatt kommer att finnas en stor osäkerhet om gränsdragningen för s.k. osjälvständiga uppdragstagare. För det fall någon inte omfattas av OSL:s tillämpningsområde kan en tystnadsplikt som motsvarar den enligt OSL finnas enligt den nu föreslagna lagen. På så vis kompletterar de båda regelverken varandra.
Vilka uppgifter bör omfattas av tystnadsplikten?
En utgångspunkt är att tystnadsplikten enligt den nya lagen så långt som möjligt ska överensstämma med den tystnadsplikt som gäller enligt OSL vid teknisk bearbetning och teknisk lagring hos det allmänna. Vid en utkontraktering kan en myndighet ha behov av att lämna vidare uppgifter som är sekretessreglerade både till skydd för allmänna intressen och till skydd för enskilds personliga eller ekonomiska förhållanden. En sekretessreglerad uppgift bör ha samma skydd hos tjänsteleverantören som hos det allmänna, oavsett vilken typ av sekretess som uppgiften omfattas av. Tystnadsplikten bör därför avse både uppgifter som skyddas av sekretess till skydd för allmänna intressen och uppgifter som skyddas av sekretess till skydd för enskilds personliga eller ekonomiska förhållanden.
Regeringen vill dock betona vikten av att en myndighet noga prövar om det finns rättsligt stöd att lämna ut sekretessreglerade uppgifter till en tjänsteleverantör utan att det finns risk för skada eller men för de intressen som sekretessen ska skydda. Dessutom bör en myndighet grundligt analysera övriga risker som kan uppkomma vid en utkontraktering och ta ställning till lämpligheten i förfarandet. Det går inte dra några generella slutsatser i fråga om vilken typ av uppgifter som lämpar sig eller inte lämpar sig att hantera inom ramen för utkontraktering. Det kan finnas uppgifter som är sekretessreglerade till skydd för allmänna intressen eller till skydd för enskilds personliga eller ekonomiska förhållanden som av olika omständigheter inte bör lämnas ut till en tjänsteleverantör även om en myndighet bedömer att det inte finns några lagliga hinder mot utkontraktering. Varje myndighet behöver alltså ta ställning till lämpligheten i en utkontraktering innan avtal ingås med en tjänsteleverantör.
En myndighet som lämnar ut sekretessreglerade uppgifter till en tjänsteleverantör bör också upplysa tjänsteleverantören om tystnadspliktens räckvidd. För det fall tjänsteleverantören, efter myndighetens godkännande, anlitar en underleverantör, bör myndigheten också försäkra sig om att tjänsteleverantören i sin tur informerar underleverantören om tystnadspliktens räckvidd. Någon författningsreglerad upplysningsplikt, som Förvaltningsrätten i Stockholm föreslår, bedöms dock inte behövas.
Den nya lagen innebär ett förbud mot att obehörigen röja eller utnyttja uppgifter. Som obehörigt röjande anses inte sådant behörigt utlämnande av uppgifter som kan ske t.ex. med stöd av lag eller med stöd av den uppdragsgivande myndighetens samtycke.
Intresseavvägning
Vid bedömningen av behovet av tystnadsplikt ska intresset av att uppgifterna skyddas mot obehörigt röjande och utnyttjande av tjänsteleverantörens personal vägas mot personalens intresse av yttrandefrihet. När en tjänsteleverantörs uppdrag innebär att myndighetens uppgifter endast tekniskt bearbetas eller tekniskt lagras är avsikten att tjänsteleverantörens personal inte ska ta del av själva informationsinnehållet i större utsträckning än vad som kan anses vara absolut nödvändigt för att tillhandahålla tjänsterna i fråga. Tystnadsplikt för anställda hos en tjänsteleverantör är inte heller något nytt utan regleras ofta redan i dag genom sekretessförbindelser i samband med en utkontraktering. De privatanställda tjänstemännens intresse av yttrandefrihet när det gäller uppgifter av aktuellt slag bör vara ytterst begränsat. Motsvarande bedömning gjordes vid den utvidgning av tystnadsplikten som gäller i det allmännas verksamhet för enbart teknisk bearbetning eller lagring (prop. 2016/17:198 s. 20).
För enskilda är det av stor betydelse att uppgifter om deras personliga förhållanden, som kan vara väldigt integritetskänsliga, skyddas vid en utkontraktering. På samma sätt är det av vikt att uppgifter som är sekretessreglerade till skydd för allmänna intressen får ett ändamålsenligt skydd. För att teknisk bearbetning eller teknisk lagring av uppgifter ska kunna utkontrakteras till en tjänsteleverantör utan ett bristande sekretesskydd, kan därför tystnadsplikt inte anses mer långtgående än vad som behövs med hänsyn till regleringens ändamål. Regeringen bedömer alltså att behovet av tystnadsplikt för den som är anställd eller på något annat sätt deltar eller har deltagit i en tjänsteleverantörs verksamhet att endast tekniskt bearbeta eller tekniskt lagra uppgifter väger tyngre än intresset av yttrandefrihet för dessa personer. Regeringen anser att de förslag som nu läggs fram är proportionerliga och även i övrigt uppfyller de krav som gäller för begränsningar i yttrandefriheten enligt RF och Europakonventionen.
Rätten att meddela och offentliggöra uppgifter
Rätten att meddela och offentliggöra uppgifter (meddelarfrihet) som framgår av 1 kap. 1 § andra stycket och 7 § första stycket TF samt 1 kap. 1 § första stycket och 10 § första stycket YGL innebär en rätt att lämna uppgifter, även sådana som omfattas av sekretess eller tystnadsplikt, för offentliggörande i tryckt skrift, program eller genom tekniska upptagningar. Rätten att meddela eller offentliggöra uppgifter som följer av TF och YGL har som huvudregel företräde framför tystnadsplikten.
Som grundprincip gäller att stor återhållsamhet bör iakttas vid prövningen av om undantag från meddelarfrihet ska göras i ett enskilt fall. Den berörda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från meddelarfriheten än i andra fall. Det bör också beaktas om uppgiften har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till myndighetsutövning. I det förra fallet bör rätten att meddela och offentliggöra uppgifter normalt sett inskränkas, medan denna rätt normalt sett bör ha företräde när det är fråga om uppgifter som hänför sig till myndighetsutövning (se prop. 1979/80:2 del A s. 104 f.).
Offentliga funktionärers tystnadsplikt för uppgift om enskilds personliga eller ekonomiska förhållanden som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring inskränker meddelarfriheten (40 kap. 5 och 8 §§ OSL). Meddelarfriheten är även inskränkt för uppgift som är sekretessreglerad av hänsyn till ett allmänt intresse enligt en bestämmelse som har företräde framför meddelarfriheten och som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring för en annan myndighets räkning. Det gäller dock inte om en annan primär sekretessbestämmelse till skydd för samma intresse, som inte har företräde framför meddelarfriheten, är tillämplig hos den uppgiftsmottagande myndigheten (jfr 11 kap. 4 a och 8 §§ OSL).
Utredningen analyserar inte frågan närmare. Regeringen anser att det inte nu finns anledning att föreslå en inskränkning av meddelarfriheten men att det vid behov kan finnas anledning att på nytt överväga frågan.
Internationell räckvidd av straffbestämmelsen om brott mot tystnadsplikt
Frågan om huruvida ett brott mot tystnadsplikt som begås utanför Sveriges gränser kan bedömas av svensk domstol avgörs utifrån den generella regleringen av tillämpligheten av svensk lag i 2 kap. brottsbalken. Det innebär normalt, för sådana brott mot tystnadsplikten som begås utomlands, att svensk domsrätt kommer att finnas om brottet begås av en svensk medborgare eller av en utlänning med hemvist i Sverige (se 2 kap. 2 § första stycket 1 brottsbalken). Som ett ytterligare krav gäller att gärningen ska vara straffbar även på gärningsorten, s.k. dubbel straffbarhet. Enligt 2 kap. 3 § första stycket 4 brottsbalken är svensk domstol behörig att döma över ett brott som har begåtts utomlands trots att det inte föreligger dubbel straffbarhet, om brottet har förövats mot Sverige, svensk kommun eller annan menighet eller en svensk allmän inrättning. Som Åklagarmyndigheten anför kan det finnas många situationer där det kan sättas i fråga om ett röjande av uppgifter är att anse som ett brott riktat mot svenska intressen, exempelvis röjande av enstaka namn eller adressuppgifter. Det är därför viktigt att fortsatt reglera tystnadsplikt i avtal för de fall där brott mot tystnadsplikten i den nya lagen inte kan beivras.
10 Ikraftträdande
Regeringens förslag: Lagen ska träda i kraft den 1 januari 2021.
Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen föreslår ett tidigare ikraftträdande.
Remissinstanserna yttrar sig inte i denna del.
Skälen för regeringens förslag: Det är angeläget att lagförslaget träder i kraft så snart som möjligt, vilket bedöms vara den 1 januari 2021.
11 Konsekvenser
Regeringens bedömning: Förslagen väntas öka skyddet för uppgifter som hanteras av en tjänsteleverantör vid utkontraktering av en myndighets grundläggande behov av it-driftstjänster och andra it-baserade funktioner. Förslagen bedöms i enstaka fall medföra en ökad möjlighet för myndigheter att utkontraktera. Som en följd av detta kan positiva ekonomiska konsekvenser för enskilda myndigheter uppstå. Tjänste-leverantörernas verksamhet bedöms inte påverkas ekonomiskt eller organisatoriskt i någon större grad. Förslagen bedöms inte ha några budgetära konsekvenser i övrigt.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna yttrar sig inte i denna del.
Skälen för regeringens bedömning: Den nya lagen innebär att uppgifter som en myndighet lämnar till en tjänsteleverantör vid utkontraktering av ett uppdrag som är begränsat till endast teknisk bearbetning eller teknisk lagring kommer att ha samma sekretesskydd hos tjänsteleverantören som hos en myndighet som tillhandahåller motsvarande verksamhet. Det ökade uppgiftsskyddet kan få viss positiv effekt för skyddet av den personliga integriteten. Förslaget väntas ge mer stabila rättsliga förutsättningar för utkontraktering av myndigheternas grundläggande behov av it-driftstjänster och andra it-baserade funktioner. Någon avsevärd ökning av myndigheters utkontraktering väntas inte ske. För en enskild myndighet kan förslaget medföra kostnadsbesparingar om en viss utkontraktering möjliggörs till följd av det ökade uppgiftsskyddet hos tjänsteleverantören.
När det gäller yrkesmässigt bedrivna enskilda verksamheter inom skola, vård och omsorg kan det finnas behov av vissa informationsinsatser för att upplysa om den nya lagen innan den träder i kraft.
Förslaget bedöms inte påverka tjänsteleverantörers verksamhet i någon större grad vare sig ekonomiskt eller organisatoriskt. Avtal om tystnadsplikt är redan i dag allmänt förekommande vid utkontraktering till en tjänsteleverantör. Den nya lagen bör därför i praktiken inte medföra några särskilda omställningsbehov för de företag och enskilda som omfattas av lagens tillämpningsområde.
De brottsbekämpande myndigheternas verksamhet liksom domstolarnas måltillströmning kan väntas öka ytterst marginellt, vilket bedöms kunna finansieras inom befintliga anslag.
12 Författningskommentar
Förslaget till lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
1 § Denna lag tillämpas när en myndighet uppdrar åt ett företag eller en annan enskild (tjänsteleverantör) att endast tekniskt bearbeta eller tekniskt lagra uppgifter.
Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 8.
Lagen gäller när en myndighet uppdrar åt ett företag eller en annan enskild, dvs. en tjänsteleverantör, att endast tekniskt bearbeta eller tekniskt lagra uppgifter. Ett sådant uppdrag kan utföras inom ramen för en tjänsteleverantörs tillhandahållande av en it-driftstjänst, t.ex. en teknisk infrastruktur eller en teknisk plattform, eller tillhandahållande av en it-baserad funktion, t.ex. en applikation eller en standardiserad eller anpassad digital tjänst. Det finns inte något krav på att ekonomisk ersättning ska utgå för uppdraget och det saknar betydelse vilken juridisk verksamhetsform tjänsteleverantören i fråga har. Genom uttrycket ett företag eller en annan enskild utesluts emellertid offentliga aktörer från kretsen tjänsteleverantörer som omfattas av lagen.
Att lagen är tillämplig när en tjänsteleverantörs uppdrag är att endast tekniskt bearbeta eller tekniskt lagra uppgifter innebär att ett uppdrag som innehåller annat än enbart sådana tekniska moment faller utanför tillämpningsområdet. I situationer där en myndighet rörande uppgifter utkontrakterar uppdrag av olika karaktär till samma tjänsteleverantör, t.ex. ett uppdrag som innebär att leverantören endast tekniskt bearbetar eller tekniskt lagrar uppgifter och ett annat uppdrag som omfattar åtgärder rörande uppgifterna som går utöver detta, är lagen bara tillämplig i det förstnämnda fallet och bara på sådana uppgifter som inte dessutom hanteras inom ramen för det andra uppdraget.
Innebörden av teknisk bearbetning eller teknisk lagring är densamma som i 2 kap. 9 § tredje stycket tryckfrihetsförordningen (jfr 2 kap. 13 § första stycket tryckfrihetsförordningen). Vilka slag av åtgärder som kan omfattas av teknisk bearbetning eller teknisk lagring behöver tolkas i förhållande till dagens digitala informationshantering och den fortgående tekniska utvecklingen. En tjänsteleverantör kan exempelvis ha i uppdrag att införa, förvalta, utveckla och så småningom avveckla en tjänst åt en myndighet. Tjänsteleverantören kan under dessa olika faser behöva vidta en mängd olika åtgärder som innefattar teknisk bearbetning eller teknisk lagring av uppgifter för att upprätthålla den tillgänglighet, funktionalitet och prestanda i tjänsten som har avtalats mellan parterna. Sådana åtgärder kan röra sig om förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. Det kan också röra sig om säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Vid avveckling av en tjänst kan myndighetens information behöva migreras eller exporteras tillbaka till myndigheten eller till en annan tjänsteleverantör.
Under samtliga moment av teknisk bearbetning eller teknisk lagring kan det förekomma att personal hos tjänsteleverantören tar del av de uppgifter som hanteras för den uppdragsgivande myndighetens räkning. Detta kan vara nödvändigt för att de ska kunna utföra sina arbetsuppgifter som ett led i den tekniska bearbetningen eller tekniska lagringen. Det torde normalt röra sig om drifts- och säkerhetsrelaterad information, t.ex. uppgifter om användarkonton, loggar, krypteringsnycklar, lösenord och säkerhetsinställningar. Men det kan också röra sig om uppgifter i läsbar form (jfr prop. 1975/76:160 s. 87). För den som tar del av eller på annat sätt förfogar över en uppgift som hanteras som ett led i en teknisk bearbetning eller teknisk lagring gäller tystnadsplikt enligt 4 §.
2 § Vid tillämpningen av denna lag ska med myndigheter jämställas
1. sådana aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, regioner eller kommunalförbund utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), och
2. de organ som anges i bilagan till offentlighets- och sekretesslagen i fråga om de verksamheter som anges där.
Med en myndighet ska också jämställas yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad och som
1. tillhör skolväsendet, de särskilda utbildningsformerna eller annan pedagogisk verksamhet enligt 1 kap., 24 kap. eller 25 kap. skollagen (2010:800),
2. utgör hälso- och sjukvård eller tandvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125), eller
3. bedrivs enligt socialtjänstlagen (2001:453), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1993:387) om stöd och service till vissa funktionshindrade eller utgör personlig assistans som utförs med assistansersättning enligt 51 kap. socialförsäkringsbalken.
Paragrafen anger vilka aktörer som vid tillämpningen av lagen ska jämställas med en myndighet. Övervägandena finns i avsnitt 8.
Lagen gäller därmed även när en aktör som anges i paragrafen uppdrar åt en tjänsteleverantör att endast tekniskt bearbeta eller tekniskt lagra uppgifter.
I första stycket första punkten anges att vissa juridiska personer där kommuner, regioner eller kommunalförbund utövar ett rättsligt bestämmande inflytande ska jämställas med en myndighet. Vad som avses med rättsligt bestämmande inflytande för kommuner och regioner regleras i 2 kap. 3 § andra och tredje styckena offentlighets- och sekretesslagen.
I första stycket andra punkten regleras att även de organ som anges i bilagan till offentlighets- och sekretesslagen, i fråga om de verksamheter som nämns där, ska jämställas med en myndighet vid tillämpningen av lagen.
I andra stycket anges att viss yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad ska jämställas med en myndighet. De verksamheter som avses tillhör skola, vård och omsorg. Stycket motsvarar 2 § första stycket lagen (2017:151) om meddelarskydd i vissa enskilda verksamheter och är avsedd att ha samma innebörd som den bestämmelsen (se prop. 2016/17:31 s. 21 f. och 55 f.).
3 § Vid tillämpningen av denna lag ska med en tjänsteleverantör jämställas en underleverantör som medverkar till att fullgöra tjänsteleverantörens uppdrag.
Paragrafen anger att med en tjänsteleverantör ska jämställas en underleverantör som medverkar till att fullgöra tjänsteleverantörens uppdrag. Övervägandena finns i avsnitt 8.
Det förekommer att en tjänsteleverantör anlitar en eller flera underleverantörer som medverkar till att fullgöra det uppdrag som en myndighet har utkontrakterat till tjänsteleverantören. På samma sätt kan en underleverantör i sin tur anlita ytterligare en eller flera underleverantörer som också bidrar till uppdragets fullgörande. En underleverantör vars uppdrag innebär att underleverantören direkt eller indirekt medverkar till att fullgöra den utkontrakterande myndighetens uppdrag ska jämställas med en tjänsteleverantör vid tillämpningen av lagen.
4 § Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
Paragrafen anger tystnadspliktens närmare innebörd. Övervägandena finns i avsnitt 9.
I första stycket regleras att tystnadsplikt gäller för den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på en myndighets uppdrag endast tekniskt bearbeta eller tekniskt lagra uppgifter. Exempel på personer som på "något annat sätt" deltar i en tjänsteleverantörs verksamhet är inhyrda konsulter eller andra uppdragstagare. Det kan även vara fråga om styrelseledamöter, ägare och andra personer i tjänsteleverantörens verksamhet som kan bereda sig tillgång till eller på annat sätt förfoga över de uppgifter som tjänsteleverantören hanterar. På samma sätt gäller tystnadsplikt även för personal m.fl. hos en underleverantör som omfattas av lagens tillämpningsområde (se 3 §). Tystnadsplikten, som gäller även efter det att en anställning eller ett uppdrag upphört, motsvarar den som gäller för offentliga funktionärer som deltar i en myndighets verksamhet att endast tekniskt bearbeta eller tekniskt lagra uppgifter för en annan myndighets räkning. Det innebär att tystnadsplikt gäller för en uppgift som hos en myndighet skulle ha omfattats av sekretess till skydd för allmänna intressen enligt 11 kap. 4 a § eller till skydd för enskilds personliga eller ekonomiska förhållanden enligt 40 kap. 5 § offentlighets- och sekretesslagen.
Tystnadsplikten kan i vissa fall komplettera den tystnadsplikt som följer av 5 kap. 2 § säkerhetsskyddslagen (2018:585). Det gäller bl.a. personal m.fl. hos en tjänsteleverantör som inte bedriver säkerhetskänslig verksamhet men som hanterar säkerhetsskyddsklassificerade uppgifter med stöd av ett säkerhetsskyddsavtal.
Tystnadsplikten innebär ett förbud mot att obehörigen röja eller utnyttja uppgifter. Som obehörigt röjande eller utnyttjande anses inte sådant behörigt utlämnande av uppgifter som sker med stöd av lag eller med den uppdragsgivande myndighetens godkännande. Innan ett uppdrag överlämnas bör myndigheten upplysa den uppgiftsmottagande tjänsteleverantören om tystnadspliktens räckvidd. Myndigheten bör också säkerställa att tjänsteleverantören informerar eventuella underleverantörer om tystnadsplikten.
Tystnadsplikten är straffsanktionerad i 20 kap. 3 § brottsbalken.
I andra stycket finns en upplysning om att i det allmännas verksamhet tillämpas bestämmelserna i offentlighets- och sekretesslagen.
Sammanfattning av betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) i relevanta delar
I betänkandet föreslås en ny lag om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring. Lagen föreslås gälla för uppgifter som omfattas av sekretess och som lämnas ut till en privat leverantör i samband med utkontraktering när det är fråga om enbart teknisk bearbetning eller lagring. Tystnadsplikten ska gälla för anställda och uppdragstagare hos en privat leverantör som tekniskt bearbetar eller lagrar uppgifter för en myndighets räkning. Lagen som föreslås vara subsidiär i förhållande till säkerhetsskyddslagstiftningen, ska tillämpas när myndigheter, eller vissa organ eller verksamheter som trätt i stället för en myndighet, uppdrar åt en privat leverantör att behandla uppgifter för enbart teknisk bearbetning eller lagring för myndighetens, organets eller verksamhetens räkning. Den föreslagna bestämmelsen om tystnadsplikt ska vara straffsanktionerad.
Betänkandets lagförslag i relevanta delar
Förslag till lag om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller när en myndighet uppdrar åt en privat leverantör att behandla uppgifter för enbart teknisk bearbetning eller teknisk lagring för myndighetens räkning.
2 § Vid tillämpningen av denna lag ska följande organ och verksamheter jämställas med en myndighet
1. aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, landsting eller kommunalförbund utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400),
2. de organ som anges i bilagan till offentlighets- och sekretesslagen beträffande den verksamhet som anges där, eller
3. en yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad och som anges i 2 § första stycket lag (2017:151) om meddelarskydd i vissa enskilda verksamheter.
3 § Om det i säkerhetsskyddslagen (2018:000) eller i säkerhetsskyddsförordningen (1996:633) finns bestämmelser som avviker från denna lag ska de bestämmelserna gälla.
Tystnadsplikt
4 § Den som på grund av anställning eller uppdrag hos en privat leverantör tekniskt bearbetar eller tekniskt lagrar uppgifter för en myndighets räkning, får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Denna lag träder i kraft den 1 juli 2019.
Förteckning över remissinstanserna
Följande remissinstanser har yttrat sig över kap. 10 i betänkandet: Arbetsförmedlingen, Arbetsgivarverket, Bolagsverket, Boverket, Centrala studiestödsnämnden, Datainspektionen, E-hälsomyndigheten, Försvarsmakten, Försäkringskassan, Förvaltningsrätten i Jönköping, Förvaltningsrätten i Stockholm, Göta hovrätt, Göteborgs kommun, Härnösands kommun, Inera AB, Inspektionen för socialförsäkring, Justitiekanslern, Kammarrätten i Stockholm, Katrineholms kommun, Kommerskollegium, Kriminalvården, Kronofogdemyndigheten, Kungliga biblioteket, Kungliga Tekniska högskolan, Lantmäteriet, Lidingö kommun, Luleå kommun, Läkemedelsverket, Länsstyrelsen i Norrbottens län, Länsstyrelsen i Uppsala län, Malmö kommun, Mariestads kommun, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Naturvårdsverket, Patent- och registreringsverket, Pensionsmyndigheten, Piteå kommun, Polismyndigheten, Post- och telestyrelsen, Riksarkivet, Riksdagens ombudsmän, Riksrevisionen, Skatteverket, Skåne läns landsting, Socialstyrelsen, Statens jordbruksverk, Statens servicecenter, Statens skolverk, Statens tjänstepensionsverk, Statskontoret, Stockholms kommun, Stockholms läns landsting, Stockholms universitet (Institutionen för data- och systemvetenskap), Svenskt Näringsliv, Sveriges Kommuner och Landsting, Sveriges advokatsamfund, Säkerhets- och integritetsskyddsnämnden, Säkerhetspolisen, Tandvårds- och läkemedelsförmånsverket, Tillväxtverket, Totalförsvarets rekryteringsmyndighet, Trafikverket, Transportstyrelsen, Tullverket, Umeå tingsrätt, Uppsala kommun, Värmlands läns landsting, Västerbottens läns landsting, Åklagarmyndigheten, Örebro läns landsting, Örebro universitet, (Institutionen för juridik, psykologi, och socialt arbete) Östergötlands läns landsting och Överklagandenämnden för studiestöd.
Följande remissinstanser har inte svarat eller specifikt yttrat sig över kap. 10 i betänkandet: Arboga kommun, Atea Sverige AB, Attunda tingsrätt, Axians AB, CGI Sverige AB, Cybercom AB, Cygate AB, DGC Access Aktiebolag, Domstolsverket, Ekonomistyrningsverket, EVRY Sweden AB, Excanto AB, Fujitsu Sweden AB, Funktionsrätt Sverige, Försvarets materielverk, Försvarets radioanstalt, Gävleborgs läns landsting, Hallands läns landsting, Halmstads kommun, Hedemora kommun, Härryda kommun, IBM Svenska AB, Institutet för framtidsstudier, IT & Telekomföretagen, IT-mästaren Mitt AB, Kalmar kommun, Kammarkollegiet, Karlskoga kommun, Konkurrensverket, Landskrona kommun, Lycksele kommun, Microsoft AB, Munkfors kommun, Myndigheten för delaktighet, Nora kommun, Norrtälje kommun, Pensionärernas riksorganisation (PRO), Proact Managed Cloud Services AB, Pulsen AB, Regelrådet, Skara kommun, Skurups kommun, Sollefteå kommun, Statistiska centralbyrån, Strängnäs kommun, Sundsvalls kommun, Sveriges Akademikers Centralorganisation, Swedish Medtech, Säkerhets- och försvarsföretagen, Söderhamns kommun, Tieto Sweden AB, Tingsryds kommun, Upphandlingsmyndigheten, Uppsala läns landsting, Valdemarsvik kommun, Verket för innovationssystem, Visma Enterprise AB, Vårdföretagarna, Zetup AB, Åre kommun, Östersunds kommun och Övertorneå kommun.
Därutöver har yttranden inkommit från Länsstyrelsen i Västra Götalands län, Myndigheten för vård- och omsorgsanalys, Norrköpings kommun och Stiftelsen för internetinfrastruktur.
Lagrådsremissens lagförslag
Förslag till lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
Härigenom föreskrivs följande.
1 § Denna lag tillämpas när en myndighet uppdrar åt ett bolag eller en annan enskild (tjänsteleverantör) att endast tekniskt bearbeta eller tekniskt lagra uppgifter.
2 § Vid tillämpningen av denna lag ska med myndigheter jämställas
1. sådana aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, regioner eller kommunalförbund utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), och
2. de organ som anges i bilagan till offentlighets- och sekretesslagen i fråga om de verksamheter som anges där.
Med en myndighet ska också jämställas yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad och som
1. tillhör skolväsendet, de särskilda utbildningsformerna eller annan pedagogisk verksamhet enligt 1 kap., 24 kap. eller 25 kap. skollagen (2010:800),
2. utgör hälso- och sjukvård eller tandvård enligt hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125), eller
3. bedrivs enligt socialtjänstlagen (2001:453), lagen (1988:870) om vård av missbrukare i vissa fall, lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1993:387) om stöd och service till vissa funktionshindrade eller utgör personlig assistans som utförs med assistansersättning enligt 51 kap. socialförsäkringsbalken.
3 § Vid tillämpningen av denna lag ska med en tjänsteleverantör jämställas en underleverantör som medverkar till att fullgöra tjänsteleverantörens uppdrag.
4 § Den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter får inte obehörigen röja eller utnyttja dessa uppgifter.
I det allmännas verksamhet tillämpas offentlighets- och sekretesslagen (2009:400).
Denna lag träder i kraft den 1 januari 2021.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2020-08-19
Närvarande: F.d. justitierådet Ella Nyström samt justitieråden Per Classon och Stefan Johansson
Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
Enligt en lagrådsremiss den 13 augusti 2020 har regeringen (Infrastrukturdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Förslaget har inför Lagrådet föredragits av departementssekreteraren Ingela Alverfors.
Lagrådet lämnar förslaget utan erinran.
Infrastrukturdepartementet
Utdrag ur protokoll vid regeringssammanträde den 3 september 2020
Närvarande: statsrådet Morgan Johansson, ordförande, och statsråden Lövin, Baylan, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Shekarabi, Ygeman, Eriksson, Linde, Ekström, Eneroth, Nilsson, Ernkrans, Lindhagen, Lind, Hallberg, Nordmark, Micko
Föredragande: statsrådet Ygeman
Regeringen beslutar proposition 2019/20:201 Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter