Post 273 av 7191 träffar
Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter Prop. 2022/23:97
Ansvarig myndighet: Finansdepartementet
Dokument: Prop. 97
Regeringens proposition
2022/23:97
Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter
Prop.
2022/23:97
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 23 mars 2023
Ebba Busch
Niklas Wykman
(Finansdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en ny sekretessbrytande bestämmelse som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständigheterna är olämpligt. Vidare föreslås en inskränkning av meddelarfriheten för den som omfattas av tystnadsplikt enligt lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Förslagen syftar till att skapa bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas till en enskild vid utkontraktering av it-drift. Bestämmelserna föreslås införas i offentlighets- och sekretesslagen (2009:400).
Lagändringarna föreslås träda i kraft den 1 juli 2023.
Innehållsförteckning
1 Förslag till riksdagsbeslut 3
2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 4
3 Ärendet och dess beredning 6
4 Utkontraktering och samordning av myndigheters it-drift 6
4.1 En ändamålsenlig verksamhet förutsätter tillgång till säker och effektiv it-drift 6
4.2 Uppgiftsutlämnande vid utkontraktering eller samordning av it-drift 7
4.3 Tystnadsplikt och meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter 8
5 En ny sekretessbrytande bestämmelse 9
6 Inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter 13
7 Ikraftträdande 15
8 Konsekvenser 15
9 Författningskommentar 16
Bilaga 1 Sammanfattning av betänkandet Säker och kostnadseffektiv it-drift (SOU 2021:1) i relevanta delar 19
Bilaga 2 Betänkandets lagförslag 20
Bilaga 3 Förteckning över remissinstanserna 22
Bilaga 4 Lagrådsremissens lagförslag 23
Bilaga 5 Lagrådets yttrande 25
Utdrag ur protokoll vid regeringssammanträde den 23 mars 2023 27
1
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 44 kap. 5 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 10 kap. 2 a §, och närmast före 10 kap. 2 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
Teknisk bearbetning och teknisk lagring
2 a §
Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, och
5. av 32 § lagen (2020:62) om hemlig dataavläsning.
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning, och
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Denna lag träder i kraft den 1 juli 2023.
3 Ärendet och dess beredning
Regeringen gav den 26 september 2019 en särskild utredare i uppdrag att bl.a. analysera de säkerhetsmässiga och rättsliga förutsättningarna för myndigheter att utkontraktera it-drift till privata leverantörer och för samordnad statlig it-drift. Utredningen lämnade i januari 2021 delbetänkandet Säker och kostnadseffektiv it-drift - rättsliga förutsättningar för utkontraktering (SOU 2021:1). En sammanfattning av betänkandet i relevanta delar finns i bilaga 1. Betänkandets lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Regeringskansliet (I2021/00342).
I mars 2018 redovisade Digitaliseringsrättsutredningen (Fi 2016:13) sitt betänkande Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). I betänkandet föreslår utredningen bl.a. en liknande sekretessbrytande bestämmelse vid utlämnande av uppgift för teknisk bearbetning eller teknisk lagring som den som behandlas i detta lagstiftningsärende.
I propositionen behandlas de förslag lämnas i SOU 2021:1.
Lagrådet
Regeringen beslutade den 26 januari 2023 att inhämta Lagrådets yttrande över lagförslagen i bilaga 4. Lagrådets yttrande finns i bilaga 5. Regeringen följer delvis Lagrådets förslag och synpunkter, som behandlas i avsnitt 5 och i författningskommentaren. I förhållande till lagrådsremissen har det även gjorts vissa språkliga och redaktionella ändringar.
4 Utkontraktering och samordning av myndigheters it-drift
4.1 En ändamålsenlig verksamhet förutsätter tillgång till säker och effektiv it-drift
Tillgång till säker och effektiv it-drift är en grundläggande förutsättning för att en statlig eller kommunal myndighet ska kunna bedriva en ändamålsenlig verksamhet. En myndighet som inom ramen för sin egen verksamhet har tillgång till tillräckliga ekonomiska och personella resurser och den specialistkompetens som krävs har i regel goda förutsättningar för it-drift i egen regi. En myndighet som saknar sådana resurser kan tillgodose sitt behov av säker och effektiv it-drift genom att utkontraktera sin it-drift till en privat tjänsteleverantör eller genom att ansluta sig till en samordnad it-driftslösning.
Med samordnad it-drift avses här att en myndighet uppdrar åt en annan myndighet att tillhandahålla grundläggande it-driftstjänster åt den uppdragsgivande myndigheten. Med utkontraktering av it-drift avses att en myndighet ger motsvarande uppdrag åt en privat tjänsteleverantör. Inom ramen för samordning eller utkontraktering kan en myndighet eller en tjänsteleverantör exempelvis tillhandahålla en teknisk infrastruktur eller teknisk plattform för it-drift eller it-baserade funktioner i form av applikationer och tjänster (se prop. 2019/20:201 s. 6).
4.2 Uppgiftsutlämnande vid utkontraktering eller samordning av it-drift
Vid utkontraktering eller samordning av it-drift lämnar en myndighet i regel ut en omfattande uppgiftsmängd till en tjänsteleverantör eller till en annan myndighet. Uppgifterna kan ingå i allmänna handlingar eller i handlingar som ännu inte är eller som inte kommer att bli allmänna. Utlämnande av uppgifter inom ramen för utkontraktering eller samordning av it-drift är inte ett utslag av offentlighetsprincipen, eftersom utlämnandet sker på en uppdragsgivande myndighets eget initiativ. Likväl är en myndighet förhindrad att lämna ut uppgifter om det innebär ett otillåtet röjande enligt offentlighets- och sekretesslagen (2009:400).
It-drift som kan bli föremål för utkontraktering eller samordning är exempelvis diarie- och ärendehanteringssystem eller system för kontorsstöd, som kan inkludera e-post, kalender och dokumenthanteringsstöd. Utmärkande för den här typen av system är att det ofta pågår ett konstant uppgiftsflöde. I exempelvis ett e-postsystem kan en myndighet ha begränsade möjligheter att styra över vilka uppgifter som tillförs av enskilda som kommunicerar med myndigheten.
En uppgift som omfattas av sekretess och som görs tillgänglig för en tjänsteleverantör eller en samordnande myndighet betraktas som utlämnad eller röjd i offentlighets- och sekretesslagens mening. Ett sådant röjande är bara tillåtet om sekretess inte hindrar att uppgiften lämnas ut. En annan sak är om uppgiften är krypterad på ett sådant sätt att mottagaren saknar teknisk kapacitet att forcera krypteringen. När en uppgift skyddas av en kryptografisk funktion som hindrar mottagaren att ta del av uppgiftens informationsbärande innehåll, bör den inte betraktas som röjd enligt offentlighets- och sekretesslagen.
En sekretessreglerad uppgift kan omfattas av ett rakt eller omvänt skaderekvisit eller av absolut sekretess. När det gäller uppgifter som omfattas av ett skaderekvisit ska en utlämnande myndighet göra en bedömning i det enskilda fallet av om uppgiften kan lämnas ut utan att det leder till skada eller men. För en uppgift som omfattas av ett rakt skaderekvisit gäller en presumtion för att den är offentlig och kan lämnas ut. Det motsatta gäller för en uppgift som omfattas av ett omvänt skaderekvisit. Då finns det en presumtion för sekretess. En uppgift som omfattas av absolut sekretess får bara lämnas ut om det finns en tillämplig sekretessbrytande bestämmelse.
En större uppgiftsmängd innehåller ofta uppgifter som omfattas av olika sekretessbestämmelser. En myndighet som utkontrakterar eller samordnar sin it-drift kan av naturliga skäl inte granska varje sekretessreglerad uppgift som kan bli föremål för utlämnande. Myndigheten får i stället göra en övergripande analys av vilka uppgifter eller kategorier av uppgifter som kommer eller kan komma att lämnas ut. Med utgångspunkt i den analysen får myndigheten pröva om sekretess utgör ett hinder för utlämnande. Prövningen kan innehålla påtagliga osäkerhetsmoment i de fall utkontrakteringen eller samordningen innebär konstanta uppgiftsflöden. I en sådan situation går det inte alltid att förutse om uppgifter som omfattas av sekretess kan komma att bli föremål för utlämnande (jfr prop. 1979/80:2 del A s. 81 och prop. 2019/20:201 s. 10). Prövningen kan också resultera i att enstaka uppgifter bedöms omfattas av sekretess och därför inte kan lämnas ut. En myndighet kan alltså vara förhindrad att utkontraktera eller samordna sin it-drift på grund av att enstaka sekretessbelagda uppgifter inte kan avskiljas från en större uppgiftsmängd eller för att uppgiftsflödet i den aktuella tjänsten inte går att förutse. Det saknar betydelse att den aktuella it-driftstjänsten i övrigt bedöms vara laglig och lämplig och stödja en ändamålsenlig verksamhet hos myndigheten.
Att tillgängliggöra uppgifter till följd av utkontraktering eller samordning av it-drift skiljer sig emellertid på ett antal väsentliga punkter från ett sedvanligt utlämnande enligt offentlighetsprincipen. Utkontraktering och samordning grundar sig på avtal eller överenskommelser som bl.a. reglerar mottagarens hantering av de utlämnade uppgifterna. Det innebär i allmänhet att uppgiftsmottagaren inte får behandla de utlämnade uppgifterna för andra ändamål än de som anges i avtalet och att uppgifterna ska återlämnas när avtalsförhållandet upphör. Vidare är det inte ovanligt att ett huvudsakligt syfte med en utkontraktering eller samordning är att uppnå ett mer robust uppgiftsskydd. I fråga om säkerhetsskyddsklassificerade uppgifter finns även bestämmelser i bl.a. säkerhetsskyddslagen (2018:585) som behöver beaktas.
4.3 Tystnadsplikt och meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter
Vid samordnad it-drift gäller tystnadsplikt för offentliga funktionärer för uppgifter som tekniskt bearbetas eller tekniskt lagras hos en samordnande myndighet (11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen). Den tystnadsplikt för uppgift om enskilds personliga eller ekonomiska förhållanden som följer av 40 kap. 5 § offentlighets- och sekretesslagen inskränker också meddelarfriheten (40 kap. 8 § offentlighets- och sekretesslagen). Meddelarfriheten är även inskränkt för en uppgift som omfattas av sekretess av hänsyn till ett allmänt intresse enligt en bestämmelse som har företräde framför meddelarfriheten och som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring för en annan myndighets räkning. Det gäller dock inte om en annan primär sekretessbestämmelse till skydd för samma intresse, som inte har företräde framför meddelarfriheten, är tillämplig hos den uppgiftsmottagande myndigheten (11 kap. 4 a och 8 §§ offentlighets- och sekretesslagen).
För en privat tjänsteleverantör som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifter åt en myndighet kan tystnadsplikt gälla enligt 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, nedan kallad tystnadspliktslagen. Någon motsvarande inskränkning av meddelarfriheten likt den som gäller för offentliga funktionärer finns emellertid inte (jfr prop. 2019/20:201 s. 19-20). Det innebär att rätten att meddela och offentliggöra uppgifter har företräde framför den tystnadsplikt som gäller för uppgifter som hanteras av en privat tjänsteleverantör, till skillnad mot vad som gäller när motsvarande hantering sker inom ramen för en myndighetsgemensam samordnad it-drift.
5 En ny sekretessbrytande bestämmelse
Regeringens förslag: Sekretess ska inte hindra att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften. En uppgift ska dock inte få lämnas ut om det är olämpligt med hänsyn till omständigheterna.
Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår att en uppgift inte ska lämnas ut om det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.
Remissinstanserna: En majoritet av remissinstanserna, t.ex. Centrala studiestödsnämnden, Malmö kommun, Myndigheten för digital förvaltning, Riksarkivet och Statens servicecenter, tillstyrker eller är positiva till en ny sekretessbrytande bestämmelse.
Vissa remissinstanser, däribland Inera AB, Sveriges Kommuner och Regioner och Transportstyrelsen, är positiva till förslaget men anser att det bör klargöras om den sekretessbrytande bestämmelsen är tillämplig när en tjänsteleverantör överför uppgifter till en underleverantör.
Några remissinstanser har synpunkter på att bestämmelsen avgränsas till uppgifter som endast tekniskt bearbetas eller tekniskt lagras. Amazon Web Services, Integritetsskyddsmyndigheten, Microsoft AB och Region Skåne menar att uttryckets innebörd behöver förtydligas. Försäkringskassan, Kammarkollegiet, Skatteverket och Totalförsvarets forskningsinstitut anser att uttrycket är för snävt och inte tillgodoser myndigheternas behov. Sveriges advokatsamfund förespråkar en modernare och mer anpassad begreppsanvändning.
I fråga om intresseavvägningen framför flera remissinstanser, bl.a. Myndigheten för samhällsskydd och beredskap, Skatteverket, Säkerhetspolisen och Östersunds kommun, att tillämpningen riskerar att bli godtycklig och leda till bristande rättssäkerhet. Enligt Skatteverket är det problematiskt att väga ett sekretessintresse mot en myndighets driftsmässiga och ekonomiska skäl för utkontraktering. Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets forskningsinstitut anser att bestämmelsen bör preciseras eller villkoras på annat sätt. E-hälsomyndigheten och Sveriges advokatsamfund framhåller att det finns andra aspekter att ta hänsyn till vid utkontraktering än de som kan beaktas inom ramen för en intresseavvägning, exempelvis den generella lämpligheten. Andra remissinstanser, bl.a. Säkerhetspolisen och Uppsala universitet, anser att även mottagarens förmåga att skydda uppgifterna, antalet underleverantörer som anlitas och om mottagaren lyder under ett annat lands rättsordning bör beaktas. Flera remissinstanser, bl.a. Arbetsförmedlingen, Försvarsmakten, Riksdagsförvaltningen och Sveriges Kommuner och Regioner, poängterar att det finns ett övergripande behov av stöd och vägledning för att uppnå en enhetlig tillämpning. Några remissinstanser, bl.a. Skolverket och Trafikverket, avstyrker intresseavvägningen i dess helhet.
Polismyndigheten och Åklagarmyndigheten avstyrker förslaget. Enligt Åklagarmyndigheten behöver myndigheternas arbete med informationssäkerhet förbättras innan förslaget genomförs. Internetstiftelsen framför liknande synpunkter.
Skälen för regeringens förslag
En sekretessbrytande bestämmelse skapar bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift
Utkontraktering eller samordning av it-drift kan bidra till att en myndighet uppnår ett säkrare och mer robust uppgiftsskydd samt en mer kostnadseffektiv verksamhet. En förutsättning för att kunna uppdra åt en privat tjänsteleverantör eller en annan myndighet att tillhandahålla en it-driftstjänst är emellertid att det finns rättsligt stöd för den uppdragsgivande myndigheten att lämna ut de uppgifter som kommer att hanteras i tjänsten.
Utkontraktering eller samordning av it-drift kan dock vara förenat med särskilda risker. För att minimera dessa risker är det, som Åklagarmyndigheten framhåller, mycket viktigt att myndigheter arbetar aktivt för att skydda sina informationstillgångar ur ett tekniskt, organisatoriskt och administrativt perspektiv. Oavsett hur en myndighet väljer att tillgodose sitt behov av it-drift är det alltid myndigheten själv som är ytterst ansvarig för att den information som hanteras, av myndigheten eller av någon annan, får ett ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt. En myndighet som avser att utkontraktera eller samordna sin it-drift behöver ta hänsyn till de regelverk som finns för att skydda olika typer av uppgifter, t.ex. säkerhetsskyddslagen och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
I likhet med majoriteten av remissinstanserna anser regeringen att det bör införas en sekretessbrytande bestämmelse som skapar bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift. Den sekretessbrytande bestämmelsen bör vara av generell karaktär och placeras i 10 kap. offentlighets- och sekretesslagen. Att bestämmelsen placeras i offentlighets- och sekretesslagen innebär att den endast kan tillämpas av de myndigheter och med myndigheter jämställda organ som omfattas av den lagens tillämpningsområde (se 2 kap. offentlighets- och sekretesslagen). En privat tjänsteleverantör, som inte omfattas av offentlighets- och sekretesslagen, kan därmed inte tillämpa bestämmelsen när denne avser att exempelvis överföra uppgifter till en underleverantör, vilket bl.a. Inera AB, Sveriges Kommuner och Regioner och Transportstyrelsen har efterfrågat ett förtydligande om.
Lagrådet, som inte har några invändningar mot förslaget i sak, föreslår att den nya paragrafen ska formuleras på ett annat sätt. Regeringen anser dock att paragrafen bör utformas så att den stämmer överens med de begrepp och den systematik som används i offentlighets- och sekretesslagen i övrigt, och således inte på det sätt som Lagrådet föreslår.
Förslaget påverkar inte gällande bestämmelser om överföring av sekretess och tystnadsplikt när it-drift samordnas med annan myndighet, se t.ex. 11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen, eller om tystnadsplikt för enskild enligt 4 § tystnadspliktslagen.
Den sekretessbrytande bestämmelsen ska vara tillämplig när mottagaren har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgifterna
För att den sekretessbrytande bestämmelsen ska få ett tydligt och förutsägbart tillämpningsområde bör den förses med vissa avgränsningar som klargör under vilka omständigheter den ska vara tillämplig. Bestämmelsens syfte är att utvidga en myndighets möjlighet att lämna ut uppgifter som omfattas av sekretess endast vid utkontraktering eller samordning av it-drift. Den syftar alltså inte till att möjliggöra andra former av utkontraktering eller samordning av tjänster med digitala inslag som en myndighet kan ha behov av. Regeringen föreslår därför att bestämmelsen ska vara tillämplig när uppgiftsmottagarens uppdrag består i att utföra endast teknisk bearbetning eller teknisk lagring av uppgifter för den uppdragsgivande myndighetens räkning.
Flera remissinstanser, bl.a. Försäkringskassan och Skatteverket, anser att uttrycket teknisk bearbetning eller teknisk lagring är alltför otydligt och riskerar att tolkas olika av de utlämnande myndigheterna. Uttrycket finns emellertid sedan tidigare i bestämmelser om allmänna handlingar i tryckfrihetsförordningen och har samma innebörd som i den lagen (2 kap. 9 och 13 §§ tryckfrihetsförordningen). Därutöver förekommer uttrycket i offentlighets- och sekretesslagen och i tystnadspliktslagen. I den sistnämnda lagen har uttrycket en tydlig koppling till utkontraktering av it-drift. Regeringen anser mot denna bakgrund, till skillnad från Sveriges advokatsamfund, att samma uttryck bör användas i den nu föreslagna bestämmelsen. Som konstateras i förarbetena till tystnadspliktslagen (prop. 2019/20:201 s. 16) är uttrycket teknikneutralt och etablerat i det aktuella sammanhanget. Regeringen delar därför inte Amazon Web Services, Integritetsskyddsmyndighetens, Microsoft AB:s och Region Skånes uppfattning att uttrycket behöver förtydligas, utan anser, i likhet med Centrala studiestödsnämnden, att uttrycket är tillräckligt tydligt och motsvarar de behov en myndighet har inom ramen för utkontraktering eller samordning av grundläggande it-driftstjänster. En fördel med en avgränsning till endast teknisk bearbetning eller teknisk lagring som utförs för den utlämnande myndighetens räkning är också att uppgifterna vid sådan hantering får ett särskilt skydd hos uppgiftsmottagaren (se 11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen samt 4 § tystnadspliktslagen). Sammanfattningsvis anser regeringen alltså att sekretessen ska kunna brytas när mottagaren har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgifter för den utlämnande myndighetens räkning.
En uppgift ska få lämnas ut om det inte är olämpligt med hänsyn till omständigheterna
Utkontraktering eller samordning av it-drift föregås i allmänhet av ett omfattande förberedelsearbete hos en uppdragsgivande myndighet. I den processen behöver myndigheten bl.a. analysera om den tänkta uppgiftshanteringen och tjänsten i sin helhet är förenlig med gällande rätt avseende exempelvis dataskydd, säkerhetsskydd och informationssäkerhet. I säkerhetsskyddslagstiftningen finns bestämmelser om särskilda bedömningar, lämplighetsprövningar och krav på samråd med tillsynsmyndigheter om en utomstående aktör under vissa förutsättningar kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet. Därutöver finns ytterligare omständigheter som kan behöva beaktas för att uppgiftshanteringen ska vara säker och förutsebar. Tjänsteleverantörens affärsmodell och de avtalsvillkor som styr förhållandet mellan parterna bör granskas. Myndigheten bör också ta ställning till om utkontrakteringen kan innebära en ökad riskexponering för de uppgifter som lämnas ut, exempelvis genom att de samlokaliseras med uppgifter som tillhör andra myndigheter eller organisationer.
I syfte att förhindra att uppgifter av särskilt känslig karaktär utsätts för onödiga risker vid utkontraktering eller samordning av it-drift föreslår utredningen att sekretessen ska få brytas endast efter en intresseavvägning. Regeringen anser dock, i likhet med bl.a. Myndigheten för samhällsskydd och beredskap, Skatteverket, Säkerhetspolisen och Östersunds kommun, att en sådan intresseavvägning är mindre lämplig. Som bl.a. E-hälsomyndigheten och Uppsala universitet pekar på finns det andra omständigheter som bör beaktas än sådana som faller inom ramen för en intresseavvägning, som t.ex. mottagarens förmåga att skydda uppgifterna.
För att förhindra att uppgifter lämnas ut när det framstår som olämpligt anser regeringen, i likhet med flera remissinstanser, att den sekretessbrytande bestämmelsen bör vara villkorad på något annat sätt. När det gäller utformningen av ett sådant villkor gör regeringen följande överväganden. Ett sätt att säkerställa att uppgifter inte lämnas ut i olämpliga fall skulle kunna vara att från bestämmelsen undanta särskilt skyddsvärda uppgifter. En högre grad av precision i den sekretessbrytande bestämmelsen skulle kunna underlätta för en myndighet i bedömningen av om en uppgift kan lämnas ut eller inte. Det är emellertid förenat med betydande svårigheter att sortera ut de sekretessbestämmelser i offentlighets- och sekretesslagen som alltid får anses ha en sådan särställning att de uppgifter som omfattas av sekretessen aldrig bör bli föremål för utkontraktering eller samordnad it-drift. Regeringen bedömer mot denna bakgrund att det inte vore lämpligt att undanta vissa uppgifter från tillämpningsområdet.
Regeringen ser däremot flera fördelar med en mer generell lämplighetsbedömning, som E-hälsomyndigheten och Sveriges advokatsamfund förespråkar. En sådan bedömning bör ta sikte på om det med hänsyn till omständigheterna är olämpligt att en uppgift lämnas ut. I sammanhanget kan nämnas att även Digitaliseringsrättsutredningen i sitt betänkande SOU 2018:25 föreslår att en sekretessbrytande bestämmelse vid utlämnande för teknisk bearbetning och teknisk lagring bl.a. bör villkoras av att ett utlämnande inte är olämpligt. Till skillnad från en intresseavvägning, som endast avser en prövning av om intresset av att lämna ut en uppgift väger tyngre än det intresse som sekretessen ska skydda, är en bedömning av om ett utlämnande är olämpligt mer omfattande till sin karaktär. Bedömningen bör avse samtliga omständigheter som är relevanta i en specifik utkontrakterings- eller samordningssituation. Det kan vara omständigheter kopplade till den uppgiftslämnande myndigheten, till uppgiftsmottagaren eller till de uppgifter som lämnas ut. Omständigheterna kan också avse den aktuella it-driftstjänsten, avtalsförhållandet mellan den uppdragsgivande myndigheten och uppgiftsmottagaren eller det allmänna säkerhetsläget, nationellt eller internationellt.
Det är den myndighet som ansvarar för uppgifterna som har bäst förutsättningar att bedöma om det med hänsyn till omständigheterna i det enskilda fallet är olämpligt att lämna ut uppgifterna för teknisk bearbetning eller teknisk lagring. Flera myndigheter med ansvar för frågor som kan aktualiseras vid utkontraktering eller samordning av it-drift, som t.ex. Integritetsskyddsmyndigheten, Kammarkollegiet och Myndigheten för samhällsskydd och beredskap, har publicerat information och vägledningar på sina webbplatser som kan underlätta bedömningen. Regeringen ser därför inte något behov av ytterligare vägledning för bedömningen.
För att förhindra att en myndighets verksamhet eller uppgifter utsätts för särskilda risker i samband med utkontraktering eller samordning av it-drift anser regeringen alltså att en uppgift ska få lämnas ut bara om det med hänsyn till omständigheterna inte är olämpligt. Inom ramen för en sådan generell bedömning finns det utrymme att ta hänsyn till att det inom vissa områden, exempelvis försvarsområdet, förekommer uppgifter vars röjande kan få mycket allvarliga och långtgående konsekvenser och för vilka det kan finnas särskilda bestämmelser som gör ett utlämnande olämpligt.
6 Inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter
Regeringens förslag: Tystnadsplikten enligt lagen om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter ska ha företräde framför rätten att meddela och offentliggöra uppgifter.
Utredningens förslag överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Ekonomistyrningsverket, Länsstyrelsen i Uppsala län och Transportstyrelsen, tillstyrker eller har ingen invändning mot förslaget. Svenska Journalistförbundet och Åklagarmyndigheten avstyrker dock förslaget. Svenska Journalistförbundet anser att rätten att meddela uppgifter till medierna är en viktig princip som stärker demokratin och att det i detta fall saknas skäl att inskränka meddelarfriheten.
Skälen för regeringens förslag: Rätten att meddela och offentliggöra uppgifter (meddelarfrihet) innebär en rätt att lämna uppgifter, även sådana som omfattas av sekretess eller tystnadsplikt, för offentliggörande i tryckt skrift, program eller genom tekniska upptagningar (1 kap. 1 § andra stycket och 7 § första stycket tryckfrihetsförordningen samt 1 kap. 1 § första stycket och 10 § första stycket yttrandefrihetsgrundlagen). Rätten att meddela eller offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen har som huvudregel företräde framför tystnadsplikten.
Som grundprincip gäller att stor återhållsamhet bör iakttas vid prövningen av om undantag från meddelarfrihet ska göras i ett enskilt fall. Den berörda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från meddelarfriheten än i andra fall (prop. 1979/80:2 del A s. 111).
Offentliga funktionärers tystnadsplikt för uppgift om enskilds personliga eller ekonomiska förhållanden som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring är absolut och inskränker meddelarfriheten (se 40 kap. 5 och 8 §§ offentlighets- och sekretesslagen). Detsamma gäller för en uppgift som är sekretessreglerad av hänsyn till ett allmänt intresse enligt en bestämmelse som har företräde framför meddelarfriheten och som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring för en annan myndighets räkning. Det gäller dock inte om en annan primär sekretessbestämmelse till skydd för samma intresse, som inte har företräde framför meddelarfriheten, är tillämplig hos den uppgiftsmottagande myndigheten (11 kap. 4 a och 8 §§ offentlighets- och sekretesslagen). Avsikten med den tystnadsplikt för privata tjänstemän som följer av tystnadspliktslagen är att den så långt som möjligt ska överensstämma med den tystnadsplikt som enligt offentlighets- och sekretesslagen gäller för offentliga funktionärer vid teknisk bearbetning och teknisk lagring hos det allmänna (prop. 2019/20:201 s. 18 och 24).
Den sekretessbrytande bestämmelse som föreslås i avsnitt 5 förväntas öka myndigheternas möjlighet att lämna ut sekretessreglerade uppgifter till privata tjänsteleverantörer. En tjänsteleverantör kan alltså på uppdrag av en eller flera myndigheter komma att hantera stora informationsmängder som innehåller skyddsvärda uppgifter. Ett sådant uppdrag kan närmast anses vara av förtroendekaraktär, där den utlämnande myndigheten fortlöpande är beroende av den tjänst som leverantören tillhandahåller för att bedriva sin verksamhet. När det gäller intresset av meddelarfrihet avseende de uppgifter som lämnas ut till en privat tjänsteleverantör, bör det anses tillgodosett genom den eventuella rätt att meddela och offentliggöra uppgifterna som gäller hos den myndighet som har utkontrakterat it-driften. Därtill ska läggas att meddelarfriheten i motsvarande situationer är inskränkt för offentliga funktionärer i verksamhet för enbart teknisk bearbetning eller teknisk lagring.
Av dessa skäl anser regeringen, till skillnad från Svenska Journalistförbundet och Åklagarmyndigheten, att det är motiverat att inskränka rätten att meddela och offentliggöra uppgifter även för den som har tystnadsplikt enligt tystnadspliktslagen. Som Transportstyrelsen framhåller innebär förslaget att skyddet för de uppgifter som utkontrakteras stärks. Inskränkningen är inte mer ingående än den som gäller för offentliga funktionärer i verksamhet för enbart teknisk bearbetning eller teknisk lagring.
7 Ikraftträdande
Regeringens förslag: Lagändringarna ska träda i kraft den 1 juli 2023.
Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen föreslår ett tidigare ikraftträdande.
Remissinstanserna: De remissinstanser som uttalar sig i frågan, bl.a. Arbetsförmedlingen, Länsstyrelsen i Västra Götalands län och Svenskt Näringsliv, framhåller vikten av ett skyndsamt ikraftträdande.
Skälen för regeringens förslag: Förslagen bör träda i kraft så snart som möjligt, vilket bedöms vara den 1 juli 2023.
8 Konsekvenser
Regeringens bedömning: Den nya sekretessbrytande bestämmelsen kommer att bidra till ökade möjligheter för statliga och kommunala myndigheter att utkontraktera eller samordna sin it-drift. Den bedömning av om det är olämpligt att lämna ut sekretessreglerade uppgifter som ska föregå ett beslut om utkontraktering eller samordning av it-drift kan inledningsvis innebära en viss ökad administrativ börda och merkostnader, som dock bedöms vara marginella.
Förslaget om inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter bedöms inte få några ingripande konsekvenser för företag eller enskilda.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna har inga synpunkter i denna del. Förvaltningsrätten i Jönköping framhåller att antalet offentliga upphandlingar kan öka och därmed också domstolarnas måltillströmning. Kommerskollegium anser att förslaget om inskränkt meddelarfrihet omfattas av anmälningsplikten i Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (tjänstedirektivet).
Skälen för regeringens bedömning: Den sekretessbrytande bestämmelsen väntas leda till minskad osäkerhet för en myndighet som avser att lämna ut sekretessreglerade uppgifter inom ramen för en utkontraktering eller samordning av it-drift. Den bedömning av om det är olämpligt att lämna ut sekretessreglerade uppgifter som ska föregå ett beslut om utkontraktering eller samordning av it-drift kan innebära att en myndighet behöver införa nya administrativa rutiner, vilket kan medföra vissa begränsade merkostnader av övergående karaktär. Sådana merkostnader bedöms kunna hanteras inom myndigheternas befintliga ekonomiska ramar. Till skillnad från Förvaltningsrätten i Jönköping bedömer regeringen att den eventuellt ökade utkontraktering som förslaget kan leda till endast marginellt kan komma att påverka domstolarnas måltillströmning. Förslaget väntas inte innebära några särskilda konsekvenser för företag eller andra enskilda som tillhandahåller it-driftstjänster till myndigheterna.
Förslaget om inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter innebär att det blir straffbart att lämna ut uppgifter till grundlagsskyddade medier för den som omfattas av tystnadspliktslagen, om det sker i publiceringssyfte. Antalet brottmål väntas dock inte öka i någon nämnvärd omfattning med anledning av detta. Inte heller väntas förslaget medföra några konsekvenser för brottsligheten eller det brottsförebyggande arbetet.
Förslaget påverkar inte en tjänsteleverantörs tillträde till eller utövande av sin verksamhet. Regeringen delar därför inte Kommerskollegiums uppfattning att förslaget skulle vara anmälningspliktigt enligt tjänstedirektivet eller Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster.
Förslagen bedöms inte inskränka den kommunala självstyrelsen eller få några effekter på utbudet av offentlig service i olika delar av landet. Förslagen påverkar inte jämställdheten mellan kvinnor och män, de integrationspolitiska målen eller de nationella klimat- och miljömålen. Förslagen bedöms inte heller ha någon påverkan på de åtaganden som följer av Sveriges medlemskap i Europeiska unionen.
9 Författningskommentar
Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
10 kap.
Teknisk bearbetning och teknisk lagring
2 a § Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.
Paragrafen, som är ny, innehåller en sekretessbrytande bestämmelse. Paragrafens rubrik har utformats efter synpunkter från Lagrådet. Övervägandena finns i avsnitt 5.
Innebörden av uttrycket teknisk bearbetning eller teknisk lagring är densamma som i 2 kap. 13 § första stycket tryckfrihetsförordningen (jfr 2 kap. 9 § tredje stycket tryckfrihetsförordningen). Ett uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifter kan exempelvis bestå i att införa, förvalta, utveckla och så småningom avveckla en it-driftstjänst. Under dessa olika faser kan en mängd olika åtgärder behöva vidtas för att upprätthålla den tillgänglighet, funktionalitet och prestanda i tjänsten som har avtalats mellan parterna. Det kan röra sig om förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration med andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. Det kan också röra sig om säkerhetstester och andra säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Vid avveckling av en tjänst kan myndighetens uppgifter behöva migreras eller exporteras tillbaka till myndigheten eller till en annan uppdragstagare. Vilka slags åtgärder som kan omfattas av uttrycket teknisk bearbetning eller teknisk lagring kan komma att förändras över tid med anledning av den tekniska utvecklingen.
Att det ska vara fråga om endast teknisk bearbetning eller teknisk lagring hindrar inte att personal hos uppdragstagaren tar del av de uppgifter som hanteras för den uppdragsgivande myndighetens räkning. Det kan vara nödvändigt för att personalen ska kunna utföra sina arbetsuppgifter som ett led i den tekniska bearbetningen eller tekniska lagringen. Främst handlar det om drifts- och säkerhetsrelaterad information, exempelvis uppgifter om användarkonton, loggar, krypteringsnycklar, lösenord och säkerhetsinställningar. Det kan dock också röra sig om andra uppgifter i läsbar form (jfr prop. 1975/76:160 s. 87).
En uppgift får inte lämnas ut om det med hänsyn till omständigheterna är olämpligt. Det innebär att en myndighet, innan en uppgift lämnas ut, ska pröva om det finns skäl som talar emot att uppgiften lämnas ut. De omständigheter som ska beaktas är som utgångspunkt sådana som har koppling till den utlämnande myndigheten och till uppgiftsmottagaren likväl som till de uppgifter som är eller kan bli föremål för utlämnande. Det ska alltså göras en allsidig prövning av alla omständigheter som är relevanta i det enskilda fallet.
Omständigheter som kan ha betydelse är exempelvis vilken typ av uppgifter det rör sig om, vilka intressen som ligger till grund för sekretessen och uppgifternas omfattning. En omständighet som med viss tyngd kan tala emot ett utlämnande är att det är fråga om uppgifter av särskilt känsligt slag, exempelvis uppgifter av synnerlig betydelse för rikets säkerhet när det gäller totalförsvaret. Det bör också beaktas vilka åtgärder som uppgiftsmottagaren vidtar för att skydda uppgifterna och om denne omfattas av en lag- eller avtalsreglerad tystnadsplikt. Även avtalsförhållandet mellan parterna ska beaktas och då i synnerhet sådana avtalsvillkor som riskerar att frånta den utlämnande myndigheten kontrollen över uppgifterna. Var uppgifterna kommer att hanteras geografiskt kan ha betydelse liksom om det förekommer underleverantörer som potentiellt kan få tillgång till uppgifterna. Vidare ska den utlämnande myndigheten ta hänsyn till om de uppgifter som lämnas ut kommer att samlokaliseras med uppgiftsmängder som tillhör andra kunder och bedöma om detta innebär några särskilda risker. Det kan vara lämpligt att den uppgiftsutlämnande myndigheten dokumenterar de avvägningar och bedömningar som görs vid ett utlämnande som omfattar en större uppgiftsmängd eller uppgifter som är av känslig karaktär. Om det rör sig om säkerhetsskyddsklassificerade uppgifter gäller härutöver särskilda bestämmelser enligt säkerhetsskyddslagen (2018:585).
44 kap.
5 § Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning, och
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
I paragrafen regleras när en tystnadsplikt som följer av bestämmelser om tystnadsplikt i någon annan lag inskränker rätten att meddela och offentliggöra uppgifter. Övervägandena finns i avsnitt 6.
I paragrafen införs en ny punkt 6, som ger tystnadsplikten företräde framför rätten att meddela och offentliggöra uppgifter för den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter, se 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter. En person som på något annat sätt deltar i en tjänsteleverantörs verksamhet kan vara en inhyrd konsult eller annan uppdragstagare, liksom en styrelseledamot, ägare eller annan person som kan bereda sig tillgång till eller förfoga över de uppgifter som en tjänsteleverantör hanterar (prop. 2019/20:201 s. 24).
Ikraftträdandebestämmelse
Denna lag träder i kraft den 1 juli 2023.
Av bestämmelsen framgår att lagändringarna ska träda i kraft den 1 juli 2023. Övervägandena finns i avsnitt 7.
Sammanfattning av betänkandet Säker och kostnadseffektiv it-drift (SOU 2021:1) i relevanta delar
En säker och kostnadseffektiv it-drift är en förutsättning för den offentliga förvaltningens digitalisering. Statliga myndigheter, kommuner och regioner ansvarar för att verksamhetens it-driftslösningar stödjer en effektiv verksamhetsutveckling och uppfyller krav på säkerhet (säkerhetsskydd, sekretess och dataskydd) och kostnadseffektivitet. It-drift kan bedrivas i egen regi, genom utkontraktering till tjänsteleverantör eller genom samordnad it-drift. Vilken it-driftslösning som är den mest lämpade beror på verksamhetens uppdrag och vilka uppgifter som hanteras i verksamheten.
Utkontraktering av it-drift och användning av molntjänster är ett vanligt sätt för statliga myndigheter, kommuner och regioner att hantera sin it-drift. Det råder dock en viss osäkerhet bland dessa aktörer när det gäller de rättsliga förutsättningarna för utkontraktering av it-drift till privata tjänsteleverantörer. Osäkerheten gäller främst tolkningen av när en uppgift ska anses röjd enligt sekretesslagstiftningen och om det utifrån ett säkerhetsperspektiv är lämpligt att utkontraktera it-drift. Detta medför att en del aktörer avvaktar med beslut om it-drift, vilket kan få negativa konsekvenser för verksamhetens utveckling, säkerhet och kostnad.
Vi bedömer att en myndighet som utkontrakterar it-drift har lämnat ut de uppgifter som omfattas av utkontrakteringen till tjänsteleverantören. Detta gäller oavsett om omständigheterna när uppgifterna tillgänglig-gjordes tjänsteleverantören var sådana att man - t.ex. pga. kryptering eller annan teknisk säkerhetsåtgärd - inte måste ha räknat med att tjänsteleverantören eller någon annan utomstående skulle komma att ta del av uppgifterna. Uppgifterna är röjda enligt offentlighets- och sekretesslagen (2009:400) eftersom ett utlämnande är en form av röjande.
Vi föreslår att det i 10 kap. 2 a § OSL införs en sekretessbrytande bestämmelse som tar sikte på fall då uppgifter lämnas ut till företag eller en annan enskild (tjänsteleverantör) eller till en annan myndighet som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring av de uppgifter som lämnas ut för den utlämnande myndighetens räkning. Ett utlämnande ska - enligt den föreslagna bestämmelsen - inte ske om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av utkontraktering.
Vi föreslår att meddelarfriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen ska inskränkas för den krets av personer som träffas av tystnadspliktslagen.
Betänkandets lagförslag
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att det ska införas en ny paragraf, 10 kap. 2 a §, och en ny rubrik före 10 kap. 2 a §av följande lydelse,
dels att 44 kap. 5 § ska ha följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
Utkontraktering av teknisk bearbetning eller lagring av uppgifter
2 a §
Sekretess hindrar inte att en uppgift lämnas ut till ett företag eller en annan enskild eller till en annan myndighet som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring av de uppgifter som lämnas ut för den utlämnande myndighetens räkning.
En uppgift ska inte lämnas ut om det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, och
5. av 32 § lagen (2020:62) om hemlig dataavläsning.
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning, och
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Förteckning över remissinstanserna
Följande remissinstanser har yttrat sig: Amazon Web Services Sweden AB, Arbetsförmedlingen, Attunda tingsrätt, Barnombudsmannen, Bolagsverket, Boverket, Centrala studiestödsnämnden, City Network International AB, Diskrimineringsombudsmannen, Domstolsverket, E-hälsomyndigheten, Ekonomistyrningsverket, Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarsmakten, Försäkringskassan, Förvaltningsrätten i Jönköping, Google Sweden AB, Göta hovrätt, Göteborgs kommun, Härnösands kommun, Härryda kommun, IIS - Internetstiftelsen i Sverige, Inera AB, Integritetsskyddsmyndigheten, IT & Telekomföretagen, Justitiekanslern, Kalmar kommun, Kammarkollegiet, Kammarrätten i Stockholm, Karlskoga kommun, Katrineholms kommun, Kommerskollegium, Konkurrensverket, Kronofogdemyndigheten, Kungliga biblioteket, Kungliga tekniska högskolan, Landskrona kommun, Lantmäteriet, Lidingö kommun, Lidköpings kommun, Luftfartsverket, Luleå kommun, Länsstyrelsen i Uppsala län, Länsstyrelsen i Västra Götalands län, Malmö kommun, Mariestads kommun, Microsoft AB, Myndigheten för digital förvaltning, Myndigheten för familjerätt och föräldraskapsstöd, Myndigheten för samhällsskydd och beredskap, Nacka kommun, Naturhistoriska riksmuseet, Naturvårdsverket, Netnod Internet Exchange i Sverige AB, Pensionsmyndigheten, Piteå kommun, Polismyndigheten, Post- och telestyrelsen, Regelrådet, Region Skåne, Region Stockholm, Region Västerbotten, Riksarkivet, Riksdagens ombudsmän, Riksrevisionen, Skatteverket, Socialstyrelsen, Statens haverikommission, Statens jordbruksverk, Statens servicecenter, Statens skolverk, Statens tjänstepensionsverk, Statistiska centralbyrån, Statskontoret, Stockholms kommun, Stockholms universitet, Svenskt Näringsliv, Sveriges advokatsamfund, Sveriges Akademikers Centralorganisation, Sveriges Kommuner och Regioner, Säkerhets- och försvarsföretagen, Säkerhetspolisen, Söderhamns kommun, Teknikföretagen, Tierps kommun, Totalförsvarets plikt- och prövningsverk, Trafikverket Transportstyrelsen, Tullverket, Universitets- och högskolerådet, Upphandlingsmyndigheten, Uppsala kommun, Uppsala universitet, Verket för innovationssystem, Vetenskapsrådet, Åklagarmyndigheten, Örebro universitet och Östersunds kommun.
Följande remissinstanser har avstått från att yttra sig eller inte hört av sig: Arboga kommun, Binero AB, Cisco Systems (Sweden) AB, Företagarna, Genomic Medicine Sweden, GleSYS AB, Halmstads kommun, Hedemora kommun, IBM Svenska AB, Lekebergs kommun, Munkfors kommun, Norrtälje kommun, Region Halland, Saab AB, Skara kommun, Skurups kommun, Sollefteå kommun, Strängnäs kommun, Sundsvalls kommun och Tingsryds kommun.
Yttranden har också kommit in ifrån Amerikanska handelskammaren i Sverige, Knowit AB, Open Source Sweden, Riksdagsförvaltningen, Swedish Medtech, Svenska institutet för standarder, Svenska Journalistförbundet, Sveriges läkarförbund, Telia Company AB, Totalförsvarets forskningsanstalt och en privatperson.
Lagrådsremissens lagförslag
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 44 kap. 5 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 10 kap. 2 a §, och närmast före 10 kap. 2 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
Teknisk bearbetning och lagring
2 a §
Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.
44 kap.
5 §
Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer
1. av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,
2. av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,
3. av 4 kap. 16 § försäkringsrörelselagen (2010:2043),
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, och
5. av 32 § lagen (2020:62) om hemlig dataavläsning.
4. av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om hemlig dataavläsning, och
6. av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Denna lag träder i kraft den 1 juli 2023.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2023-02-14
Närvarande: F.d. justitierådet Martin Borgeke samt justitieråden Leif Gäverth och Eric M. Runesson
Sekretessgenombrott vid teknisk bearbetning eller lagring av uppgifter
Enligt en lagrådsremiss den 26 januari 2023 har regeringen (Finansdepartementet) beslutat att inhämta Lagrådets yttrande över förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).
Förslaget har inför Lagrådet föredragits av departementssekreteraren Anna Renman.
Förslaget föranleder följande yttrande.
Förslagen i remissen
I lagrådsremissen föreslås en ny sekretessbrytande bestämmelse som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständigheterna är olämpligt. Vidare föreslås en inskränkning av meddelarfriheten för den som omfattas av tystnadsplikt enligt lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.
Förslagen syftar till att skapa bättre förutsättningar för myndigheter att sluta avtal om eller annars samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas till en enskild vid utkontraktering av it-drift.
Bestämmelserna är tänkta att börja gälla den 1 juli 2023.
Lagrådsremissens rubrik
Rubriken på lagrådsremissen tar sikte på sekretessgenombrott vid teknisk bearbetning eller (teknisk) lagring. Rubriken vore mer innehållsbeskrivande om den angav att sekretessgenombrott kan ske vid utlämnande för teknisk bearbetning eller (teknisk) lagring.
Lagförslagen
10 kap. 2 a §
I lagtexten talas det om teknisk lagring men i remissrubriken endast om lagring. Även i rubriken före 2 a § står det bara "lagring".
Lagrådet är medvetet om att den lag som reglerar tystnadsplikten för enskilda som får uppgifter för teknisk bearbetning eller teknisk lagring heter lag om tystnadsplikt vid teknisk bearbetning eller lagring av uppgifter. I lagtexten i den lagen talas det dock om att tekniskt bearbeta eller tekniskt lagra uppgifter.
Det hade varit önskvärt med en högre grad av konsekvens i uttryckssätten.
Beträffande lagtexten föreslår Lagrådet följande formulering.
Sekretess hindrar inte att en myndighet lämnar en uppgift till en enskild eller till en annan myndighet om det sker med anledning av uppdrag att för myndighetens räkning tekniskt bearbeta eller tekniskt lagra uppgiften. En uppgift får dock lämnas endast om det inte är olämpligt.
Lagrådet vill i sammanhanget hävda att det råder en viss skillnad mellan det uttryckssätt som har valts i remissen, dvs. att uppgifterna får lämnas om det inte är olämpligt och det omvända, som skulle ha inneburit att uppgifterna fick lämnas om det vore lämpligt. Som Lagrådet ser det finns det anledning att i författningskommentaren upprätthålla denna skillnad.
44 kap. 5 §
Lagrådet lämnar förslaget utan erinran.
Finansdepartementet
Utdrag ur protokoll vid regeringssammanträde den 23 mars 2023
Närvarande: statsrådet Busch, ordförande, och statsråden Billström, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Jonson, Strömmer, Tenje, Forssell, Wykman, Malmer Stenergard, Kullgren, Liljestrand, Bohlin, Carlson
Föredragande: statsrådet Wykman
Regeringen beslutar proposition Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter