Regeringens proposition 2022/23:97

Sekretessgenombrott vid utlämnande för teknisk Prop.
bearbetning eller teknisk lagring av uppgifter 2022/23:97

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 23 mars 2023

Ebba Busch

Niklas Wykman (Finansdepartementet)

Propositionens huvudsakliga innehåll

I propositionen föreslås en ny sekretessbrytande bestämmelse som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständigheterna är olämpligt. Vidare föreslås en inskränkning av meddelarfriheten för den som omfattas av tystnadsplikt enligt lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

Förslagen syftar till att skapa bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas till en enskild vid utkontraktering av it-drift. Bestämmelserna föreslås införas i offentlighets- och sekretesslagen (2009:400).

Lagändringarna föreslås träda i kraft den 1 juli 2023.

1

Prop. 2022/23:97

2

Innehållsförteckning

1 Förslag till riksdagsbeslut ................................................................. 3
2 Förslag till lag om ändring i offentlighets- och sekretesslagen  
  (2009:400)......................................................................................... 4
3 Ärendet och dess beredning .............................................................. 6
4 Utkontraktering och samordning av myndigheters it-drift................ 6
  4.1 En ändamålsenlig verksamhet förutsätter tillgång till  
    säker och effektiv it-drift.................................................... 6

4.2Uppgiftsutlämnande vid utkontraktering eller

samordning av it-drift......................................................... 7

4.3Tystnadsplikt och meddelarfrihet vid teknisk

    bearbetning eller teknisk lagring av uppgifter .................... 8
5 En ny sekretessbrytande bestämmelse .............................................. 9
6 Inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk  
  lagring av uppgifter......................................................................... 13
7 Ikraftträdande.................................................................................. 15
8 Konsekvenser.................................................................................. 15
9 Författningskommentar................................................................... 16
Bilaga 1 Sammanfattning av betänkandet Säker och  
    kostnadseffektiv it-drift (SOU 2021:1) i relevanta  
    delar.................................................................................. 19
Bilaga 2 Betänkandets lagförslag ................................................... 20
Bilaga 3 Förteckning över remissinstanserna ................................. 22
Bilaga 4 Lagrådsremissens lagförslag ............................................ 23
Bilaga 5 Lagrådets yttrande ............................................................ 25
Utdrag ur protokoll vid regeringssammanträde den 23 mars 2023 ......... 27
1 Förslag till riksdagsbeslut Prop. 2022/23:97
 

Regeringens förslag:

Riksdagen antar regeringens förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

3

2Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 44 kap. 5 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 10 kap. 2 a §, och närmast före 10 kap. 2 a § en ny rubrik av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

10 kap.

Teknisk bearbetning och teknisk lagring

2 a §

Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.

44 kap.

5 §1

Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer

1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,

2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,

3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),

  4. av 5 kap. 15 § lagen 4. av 5 kap. 15 § lagen
  (1998:293) om utländska försäk- (1998:293) om utländska försäk-
  ringsgivares och tjänstepensions- ringsgivares och tjänstepensions-
  instituts verksamhet i Sverige, och instituts verksamhet i Sverige,  
  5. av 32 § lagen (2020:62) om 5. av 32 § lagen (2020:62) om
  hemlig dataavläsning.   hemlig dataavläsning, och    
          6. av 4 § lagen (2020:914) om
          tystnadsplikt vid utkontraktering av
4 1 Senaste lydelse 2022:1495.            

teknisk bearbetning eller lagring av uppgifter.

Denna lag träder i kraft den 1 juli 2023.

5

Prop. 2022/23:97

6

3Ärendet och dess beredning

Regeringen gav den 26 september 2019 en särskild utredare i uppdrag att bl.a. analysera de säkerhetsmässiga och rättsliga förutsättningarna för myndigheter att utkontraktera it-drift till privata leverantörer och för samordnad statlig it-drift. Utredningen lämnade i januari 2021 delbetänkandet Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1). En sammanfattning av betänkandet i relevanta delar finns i bilaga 1. Betänkandets lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Regeringskansliet (I2021/00342).

I mars 2018 redovisade Digitaliseringsrättsutredningen (Fi 2016:13) sitt betänkande Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). I betänkandet föreslår utredningen bl.a. en liknande sekretessbrytande bestämmelse vid utlämnande av uppgift för teknisk bearbetning eller teknisk lagring som den som behandlas i detta lagstiftningsärende.

I propositionen behandlas de förslag lämnas i SOU 2021:1.

Lagrådet

Regeringen beslutade den 26 januari 2023 att inhämta Lagrådets yttrande över lagförslagen i bilaga 4. Lagrådets yttrande finns i bilaga 5. Regeringen följer delvis Lagrådets förslag och synpunkter, som behandlas i avsnitt 5 och i författningskommentaren. I förhållande till lagrådsremissen har det även gjorts vissa språkliga och redaktionella ändringar.

4Utkontraktering och samordning av myndigheters it-drift

4.1En ändamålsenlig verksamhet förutsätter tillgång till säker och effektiv it-drift

Tillgång till säker och effektiv it-drift är en grundläggande förutsättning för att en statlig eller kommunal myndighet ska kunna bedriva en ändamålsenlig verksamhet. En myndighet som inom ramen för sin egen verksamhet har tillgång till tillräckliga ekonomiska och personella resurser och den specialistkompetens som krävs har i regel goda förutsättningar för it-drift i egen regi. En myndighet som saknar sådana resurser kan tillgodose sitt behov av säker och effektiv it-drift genom att utkontraktera sin it-drift till en privat tjänsteleverantör eller genom att ansluta sig till en samordnad it-driftslösning.

Med samordnad it-drift avses här att en myndighet uppdrar åt en annan myndighet att tillhandahålla grundläggande it-driftstjänster åt den upp-

dragsgivande myndigheten. Med utkontraktering av it-drift avses att en Prop. 2022/23:97 myndighet ger motsvarande uppdrag åt en privat tjänsteleverantör. Inom

ramen för samordning eller utkontraktering kan en myndighet eller en tjänsteleverantör exempelvis tillhandahålla en teknisk infrastruktur eller teknisk plattform för it-drift eller it-baserade funktioner i form av applikationer och tjänster (se prop. 2019/20:201 s. 6).

4.2Uppgiftsutlämnande vid utkontraktering eller samordning av it-drift

Vid utkontraktering eller samordning av it-drift lämnar en myndighet i regel ut en omfattande uppgiftsmängd till en tjänsteleverantör eller till en annan myndighet. Uppgifterna kan ingå i allmänna handlingar eller i handlingar som ännu inte är eller som inte kommer att bli allmänna. Utlämnande av uppgifter inom ramen för utkontraktering eller samordning av it-drift är inte ett utslag av offentlighetsprincipen, eftersom utlämnandet sker på en uppdragsgivande myndighets eget initiativ. Likväl är en myndighet förhindrad att lämna ut uppgifter om det innebär ett otillåtet röjande enligt offentlighets- och sekretesslagen (2009:400).

It-drift som kan bli föremål för utkontraktering eller samordning är exempelvis diarie- och ärendehanteringssystem eller system för kontorsstöd, som kan inkludera e-post, kalender och dokumenthanteringsstöd. Utmärkande för den här typen av system är att det ofta pågår ett konstant uppgiftsflöde. I exempelvis ett e-postsystem kan en myndighet ha begränsade möjligheter att styra över vilka uppgifter som tillförs av enskilda som kommunicerar med myndigheten.

En uppgift som omfattas av sekretess och som görs tillgänglig för en tjänsteleverantör eller en samordnande myndighet betraktas som utlämnad eller röjd i offentlighets- och sekretesslagens mening. Ett sådant röjande är bara tillåtet om sekretess inte hindrar att uppgiften lämnas ut. En annan sak är om uppgiften är krypterad på ett sådant sätt att mottagaren saknar teknisk kapacitet att forcera krypteringen. När en uppgift skyddas av en kryptografisk funktion som hindrar mottagaren att ta del av uppgiftens informationsbärande innehåll, bör den inte betraktas som röjd enligt offentlighets- och sekretesslagen.

En sekretessreglerad uppgift kan omfattas av ett rakt eller omvänt skaderekvisit eller av absolut sekretess. När det gäller uppgifter som omfattas av ett skaderekvisit ska en utlämnande myndighet göra en bedömning i det enskilda fallet av om uppgiften kan lämnas ut utan att det leder till skada eller men. För en uppgift som omfattas av ett rakt skaderekvisit gäller en presumtion för att den är offentlig och kan lämnas ut. Det motsatta gäller för en uppgift som omfattas av ett omvänt skaderekvisit. Då finns det en presumtion för sekretess. En uppgift som omfattas av absolut sekretess får bara lämnas ut om det finns en tillämplig sekretessbrytande bestämmelse.

En större uppgiftsmängd innehåller ofta uppgifter som omfattas av olika sekretessbestämmelser. En myndighet som utkontrakterar eller samordnar sin it-drift kan av naturliga skäl inte granska varje sekretessreglerad

uppgift som kan bli föremål för utlämnande. Myndigheten får i stället göra

7

Prop. 2022/23:97 en övergripande analys av vilka uppgifter eller kategorier av uppgifter som kommer eller kan komma att lämnas ut. Med utgångspunkt i den analysen får myndigheten pröva om sekretess utgör ett hinder för utlämnande. Prövningen kan innehålla påtagliga osäkerhetsmoment i de fall utkontrakteringen eller samordningen innebär konstanta uppgiftsflöden. I en sådan situation går det inte alltid att förutse om uppgifter som omfattas av sekretess kan komma att bli föremål för utlämnande (jfr prop. 1979/80:2 del A s. 81 och prop. 2019/20:201 s. 10). Prövningen kan också resultera i att enstaka uppgifter bedöms omfattas av sekretess och därför inte kan lämnas ut. En myndighet kan alltså vara förhindrad att utkontraktera eller samordna sin it-drift på grund av att enstaka sekretessbelagda uppgifter inte kan avskiljas från en större uppgiftsmängd eller för att uppgiftsflödet i den aktuella tjänsten inte går att förutse. Det saknar betydelse att den aktuella it-driftstjänsten i övrigt bedöms vara laglig och lämplig och stödja en ändamålsenlig verksamhet hos myndigheten.

8

Att tillgängliggöra uppgifter till följd av utkontraktering eller samordning av it-drift skiljer sig emellertid på ett antal väsentliga punkter från ett sedvanligt utlämnande enligt offentlighetsprincipen. Utkontraktering och samordning grundar sig på avtal eller överenskommelser som bl.a. reglerar mottagarens hantering av de utlämnade uppgifterna. Det innebär i allmänhet att uppgiftsmottagaren inte får behandla de utlämnade uppgifterna för andra ändamål än de som anges i avtalet och att uppgifterna ska återlämnas när avtalsförhållandet upphör. Vidare är det inte ovanligt att ett huvudsakligt syfte med en utkontraktering eller samordning är att uppnå ett mer robust uppgiftsskydd. I fråga om säkerhetsskyddsklassificerade uppgifter finns även bestämmelser i bl.a. säkerhetsskyddslagen (2018:585) som behöver beaktas.

4.3Tystnadsplikt och meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter

Vid samordnad it-drift gäller tystnadsplikt för offentliga funktionärer för uppgifter som tekniskt bearbetas eller tekniskt lagras hos en samordnande myndighet (11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen). Den tystnadsplikt för uppgift om enskilds personliga eller ekonomiska förhållanden som följer av 40 kap. 5 § offentlighets- och sekretesslagen inskränker också meddelarfriheten (40 kap. 8 § offentlighets- och sekretesslagen). Meddelarfriheten är även inskränkt för en uppgift som omfattas av sekretess av hänsyn till ett allmänt intresse enligt en bestämmelse som har företräde framför meddelarfriheten och som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring för en annan myndighets räkning. Det gäller dock inte om en annan primär sekretessbestämmelse till skydd för samma intresse, som inte har företräde framför meddelarfriheten, är tillämplig hos den uppgiftsmottagande myndigheten (11 kap. 4 a och 8 §§ offentlighets- och sekretesslagen).

För en privat tjänsteleverantör som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifter åt en myndighet kan tystnadsplikt gälla enligt 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, nedan kallad tystnadspliktslagen.

Någon motsvarande inskränkning av meddelarfriheten likt den som gäller Prop. 2022/23:97 för offentliga funktionärer finns emellertid inte (jfr prop. 2019/20:201

s. 19–20). Det innebär att rätten att meddela och offentliggöra uppgifter har företräde framför den tystnadsplikt som gäller för uppgifter som hanteras av en privat tjänsteleverantör, till skillnad mot vad som gäller när motsvarande hantering sker inom ramen för en myndighetsgemensam samordnad it-drift.

5 En ny sekretessbrytande bestämmelse  
   
Regeringens förslag: Sekretess ska inte hindra att en uppgift lämnas  
till en enskild eller till en annan myndighet som för den utlämnande  
myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller  
tekniskt lagra uppgiften. En uppgift ska dock inte få lämnas ut om det  
är olämpligt med hänsyn till omständigheterna.  
     
  Utredningens förslag överensstämmer delvis med regeringens förslag.  
Utredningen föreslår att en uppgift inte ska lämnas ut om det intresse som  
sekretessen ska skydda har företräde framför intresset av att uppgiften  
lämnas ut.  
  Remissinstanserna: En majoritet av remissinstanserna, t.ex. Centrala  
studiestödsnämnden, Malmö kommun, Myndigheten för digital förvalt-  
ning, Riksarkivet och Statens servicecenter, tillstyrker eller är positiva till  
en ny sekretessbrytande bestämmelse.  
  Vissa remissinstanser, däribland Inera AB, Sveriges Kommuner och  
Regioner och Transportstyrelsen, är positiva till förslaget men anser att  
det bör klargöras om den sekretessbrytande bestämmelsen är tillämplig när  
en tjänsteleverantör överför uppgifter till en underleverantör.  
  Några remissinstanser har synpunkter på att bestämmelsen avgränsas till  
uppgifter som endast tekniskt bearbetas eller tekniskt lagras. Amazon Web  
Services, Integritetsskyddsmyndigheten, Microsoft AB och Region Skåne  
menar att uttryckets innebörd behöver förtydligas. Försäkringskassan,  
Kammarkollegiet, Skatteverket och Totalförsvarets forskningsinstitut  
anser att uttrycket är för snävt och inte tillgodoser myndigheternas behov.  
Sveriges advokatsamfund förespråkar en modernare och mer anpassad  
begreppsanvändning.  
  I fråga om intresseavvägningen framför flera remissinstanser, bl.a.  
Myndigheten för samhällsskydd och beredskap, Skatteverket, Säkerhets-  
polisen och Östersunds kommun, att tillämpningen riskerar att bli godtyck-  
lig och leda till bristande rättssäkerhet. Enligt Skatteverket är det prob-  
lematiskt att väga ett sekretessintresse mot en myndighets driftsmässiga  
och ekonomiska skäl för utkontraktering. Försvarets materielverk, För-  
svarets radioanstalt och Totalförsvarets forskningsinstitut anser att  
bestämmelsen bör preciseras eller villkoras på annat sätt. E-hälsomyndig-  
heten och Sveriges advokatsamfund framhåller att det finns andra aspekter  
att ta hänsyn till vid utkontraktering än de som kan beaktas inom ramen  
för en intresseavvägning, exempelvis den generella lämpligheten. Andra  
remissinstanser, bl.a. Säkerhetspolisen och Uppsala universitet, anser att 9
   

Prop. 2022/23:97 även mottagarens förmåga att skydda uppgifterna, antalet underleverantörer som anlitas och om mottagaren lyder under ett annat lands rättsordning bör beaktas. Flera remissinstanser, bl.a. Arbetsförmedlingen, Försvarsmakten, Riksdagsförvaltningen och Sveriges Kommuner och Regioner, poängterar att det finns ett övergripande behov av stöd och vägledning för att uppnå en enhetlig tillämpning. Några remissinstanser, bl.a. Skolverket och Trafikverket, avstyrker intresseavvägningen i dess helhet.

Polismyndigheten och Åklagarmyndigheten avstyrker förslaget. Enligt Åklagarmyndigheten behöver myndigheternas arbete med informationssäkerhet förbättras innan förslaget genomförs. Internetstiftelsen framför liknande synpunkter.

Skälen för regeringens förslag

En sekretessbrytande bestämmelse skapar bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift

Utkontraktering eller samordning av it-drift kan bidra till att en myndighet uppnår ett säkrare och mer robust uppgiftsskydd samt en mer kostnadseffektiv verksamhet. En förutsättning för att kunna uppdra åt en privat tjänsteleverantör eller en annan myndighet att tillhandahålla en it-drifts- tjänst är emellertid att det finns rättsligt stöd för den uppdragsgivande myndigheten att lämna ut de uppgifter som kommer att hanteras i tjänsten.

Utkontraktering eller samordning av it-drift kan dock vara förenat med särskilda risker. För att minimera dessa risker är det, som Åklagarmyndigheten framhåller, mycket viktigt att myndigheter arbetar aktivt för att skydda sina informationstillgångar ur ett tekniskt, organisatoriskt och administrativt perspektiv. Oavsett hur en myndighet väljer att tillgodose sitt behov av it-drift är det alltid myndigheten själv som är ytterst ansvarig för att den information som hanteras, av myndigheten eller av någon annan, får ett ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt. En myndighet som avser att utkontraktera eller samordna sin it-drift behöver ta hänsyn till de regelverk som finns för att skydda olika typer av uppgifter, t.ex. säkerhetsskyddslagen och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

I likhet med majoriteten av remissinstanserna anser regeringen att det bör införas en sekretessbrytande bestämmelse som skapar bättre förutsättningar för myndigheter att utkontraktera eller samordna sin it-drift. Den sekretessbrytande bestämmelsen bör vara av generell karaktär och placeras i 10 kap. offentlighets- och sekretesslagen. Att bestämmelsen placeras i offentlighets- och sekretesslagen innebär att den endast kan tillämpas av de myndigheter och med myndigheter jämställda organ som omfattas av den lagens tillämpningsområde (se 2 kap. offentlighets- och sekretesslagen). En privat tjänsteleverantör, som inte omfattas av offentlighets- och sekretesslagen, kan därmed inte tillämpa bestämmelsen när denne avser att exempelvis överföra uppgifter till en underleverantör, vilket bl.a. Inera AB, Sveriges Kommuner och Regioner och Transportstyrelsen har efterfrågat ett förtydligande om.

10

Lagrådet, som inte har några invändningar mot förslaget i sak, föreslår att den nya paragrafen ska formuleras på ett annat sätt. Regeringen anser dock att paragrafen bör utformas så att den stämmer överens med de begrepp och den systematik som används i offentlighets- och sekretesslagen i övrigt, och således inte på det sätt som Lagrådet föreslår.

Förslaget påverkar inte gällande bestämmelser om överföring av sekretess och tystnadsplikt när it-drift samordnas med annan myndighet, se t.ex. 11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen, eller om tystnadsplikt för enskild enligt 4 § tystnadspliktslagen.

Den sekretessbrytande bestämmelsen ska vara tillämplig när mottagaren har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgifterna

För att den sekretessbrytande bestämmelsen ska få ett tydligt och förutsägbart tillämpningsområde bör den förses med vissa avgränsningar som klargör under vilka omständigheter den ska vara tillämplig. Bestämmelsens syfte är att utvidga en myndighets möjlighet att lämna ut uppgifter som omfattas av sekretess endast vid utkontraktering eller samordning av it-drift. Den syftar alltså inte till att möjliggöra andra former av utkontraktering eller samordning av tjänster med digitala inslag som en myndighet kan ha behov av. Regeringen föreslår därför att bestämmelsen ska vara tillämplig när uppgiftsmottagarens uppdrag består i att utföra endast teknisk bearbetning eller teknisk lagring av uppgifter för den uppdragsgivande myndighetens räkning.

Flera remissinstanser, bl.a. Försäkringskassan och Skatteverket, anser att uttrycket teknisk bearbetning eller teknisk lagring är alltför otydligt och riskerar att tolkas olika av de utlämnande myndigheterna. Uttrycket finns emellertid sedan tidigare i bestämmelser om allmänna handlingar i tryckfrihetsförordningen och har samma innebörd som i den lagen (2 kap. 9 och 13 §§ tryckfrihetsförordningen). Därutöver förekommer uttrycket i offentlighets- och sekretesslagen och i tystnadspliktslagen. I den sistnämnda lagen har uttrycket en tydlig koppling till utkontraktering av it-drift. Regeringen anser mot denna bakgrund, till skillnad från Sveriges advokatsamfund, att samma uttryck bör användas i den nu föreslagna bestämmelsen. Som konstateras i förarbetena till tystnadspliktslagen (prop. 2019/20:201 s. 16) är uttrycket teknikneutralt och etablerat i det aktuella sammanhanget. Regeringen delar därför inte Amazon Web Services, Integritetsskyddsmyndighetens, Microsoft AB:s och Region Skånes uppfattning att uttrycket behöver förtydligas, utan anser, i likhet med Centrala studiestödsnämnden, att uttrycket är tillräckligt tydligt och motsvarar de behov en myndighet har inom ramen för utkontraktering eller samordning av grundläggande it-driftstjänster. En fördel med en avgränsning till endast teknisk bearbetning eller teknisk lagring som utförs för den utlämnande myndighetens räkning är också att uppgifterna vid sådan hantering får ett särskilt skydd hos uppgiftsmottagaren (se 11 kap. 4 a § och 40 kap. 5 § offentlighets- och sekretesslagen samt 4 § tystnadspliktslagen). Sammanfattningsvis anser regeringen alltså att sekretessen ska kunna brytas när mottagaren har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgifter för den utlämnande myndighetens räkning.

Prop. 2022/23:97

11

Prop. 2022/23:97

12

En uppgift ska få lämnas ut om det inte är olämpligt med hänsyn till omständigheterna

Utkontraktering eller samordning av it-drift föregås i allmänhet av ett omfattande förberedelsearbete hos en uppdragsgivande myndighet. I den processen behöver myndigheten bl.a. analysera om den tänkta uppgiftshanteringen och tjänsten i sin helhet är förenlig med gällande rätt avseende exempelvis dataskydd, säkerhetsskydd och informationssäkerhet. I säkerhetsskyddslagstiftningen finns bestämmelser om särskilda bedömningar, lämplighetsprövningar och krav på samråd med tillsynsmyndigheter om en utomstående aktör under vissa förutsättningar kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet. Därutöver finns ytterligare omständigheter som kan behöva beaktas för att uppgiftshanteringen ska vara säker och förutsebar. Tjänsteleverantörens affärsmodell och de avtalsvillkor som styr förhållandet mellan parterna bör granskas. Myndigheten bör också ta ställning till om utkontrakteringen kan innebära en ökad riskexponering för de uppgifter som lämnas ut, exempelvis genom att de samlokaliseras med uppgifter som tillhör andra myndigheter eller organisationer.

I syfte att förhindra att uppgifter av särskilt känslig karaktär utsätts för onödiga risker vid utkontraktering eller samordning av it-drift föreslår utredningen att sekretessen ska få brytas endast efter en intresseavvägning. Regeringen anser dock, i likhet med bl.a. Myndigheten för samhällsskydd och beredskap, Skatteverket, Säkerhetspolisen och Östersunds kommun, att en sådan intresseavvägning är mindre lämplig. Som bl.a. E-hälso- myndigheten och Uppsala universitet pekar på finns det andra omständigheter som bör beaktas än sådana som faller inom ramen för en intresseavvägning, som t.ex. mottagarens förmåga att skydda uppgifterna.

För att förhindra att uppgifter lämnas ut när det framstår som olämpligt anser regeringen, i likhet med flera remissinstanser, att den sekretessbrytande bestämmelsen bör vara villkorad på något annat sätt. När det gäller utformningen av ett sådant villkor gör regeringen följande överväganden. Ett sätt att säkerställa att uppgifter inte lämnas ut i olämpliga fall skulle kunna vara att från bestämmelsen undanta särskilt skyddsvärda uppgifter. En högre grad av precision i den sekretessbrytande bestämmelsen skulle kunna underlätta för en myndighet i bedömningen av om en uppgift kan lämnas ut eller inte. Det är emellertid förenat med betydande svårigheter att sortera ut de sekretessbestämmelser i offentlighets- och sekretesslagen som alltid får anses ha en sådan särställning att de uppgifter som omfattas av sekretessen aldrig bör bli föremål för utkontraktering eller samordnad it-drift. Regeringen bedömer mot denna bakgrund att det inte vore lämpligt att undanta vissa uppgifter från tillämpningsområdet.

Regeringen ser däremot flera fördelar med en mer generell lämplighetsbedömning, som E-hälsomyndigheten och Sveriges advokatsamfund förespråkar. En sådan bedömning bör ta sikte på om det med hänsyn till omständigheterna är olämpligt att en uppgift lämnas ut. I sammanhanget kan nämnas att även Digitaliseringsrättsutredningen i sitt betänkande SOU 2018:25 föreslår att en sekretessbrytande bestämmelse vid utlämnande för teknisk bearbetning och teknisk lagring bl.a. bör villkoras av att ett utlämnande inte är olämpligt. Till skillnad från en intresseavvägning, som

endast avser en prövning av om intresset av att lämna ut en uppgift väger Prop. 2022/23:97 tyngre än det intresse som sekretessen ska skydda, är en bedömning av om

ett utlämnande är olämpligt mer omfattande till sin karaktär. Bedömningen bör avse samtliga omständigheter som är relevanta i en specifik utkontrakterings- eller samordningssituation. Det kan vara omständigheter kopplade till den uppgiftslämnande myndigheten, till uppgiftsmottagaren eller till de uppgifter som lämnas ut. Omständigheterna kan också avse den aktuella it-driftstjänsten, avtalsförhållandet mellan den uppdragsgivande myndigheten och uppgiftsmottagaren eller det allmänna säkerhetsläget, nationellt eller internationellt.

Det är den myndighet som ansvarar för uppgifterna som har bäst förutsättningar att bedöma om det med hänsyn till omständigheterna i det enskilda fallet är olämpligt att lämna ut uppgifterna för teknisk bearbetning eller teknisk lagring. Flera myndigheter med ansvar för frågor som kan aktualiseras vid utkontraktering eller samordning av it-drift, som t.ex. Integritetsskyddsmyndigheten, Kammarkollegiet och Myndigheten för samhällsskydd och beredskap, har publicerat information och vägledningar på sina webbplatser som kan underlätta bedömningen. Regeringen ser därför inte något behov av ytterligare vägledning för bedömningen.

För att förhindra att en myndighets verksamhet eller uppgifter utsätts för särskilda risker i samband med utkontraktering eller samordning av it-drift anser regeringen alltså att en uppgift ska få lämnas ut bara om det med hänsyn till omständigheterna inte är olämpligt. Inom ramen för en sådan generell bedömning finns det utrymme att ta hänsyn till att det inom vissa områden, exempelvis försvarsområdet, förekommer uppgifter vars röjande kan få mycket allvarliga och långtgående konsekvenser och för vilka det kan finnas särskilda bestämmelser som gör ett utlämnande olämpligt.

6 Inskränkt meddelarfrihet vid teknisk  
  bearbetning eller teknisk lagring av  
  uppgifter  
   
Regeringens förslag: Tystnadsplikten enligt lagen om tystnadsplikt  
vid utkontraktering av teknisk bearbetning eller lagring av uppgifter ska  
ha företräde framför rätten att meddela och offentliggöra uppgifter.  
     
  Utredningens förslag överensstämmer med regeringens förslag.  
  Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Ekonomi-  
styrningsverket, Länsstyrelsen i Uppsala län och Transportstyrelsen,  
tillstyrker eller har ingen invändning mot förslaget. Svenska Journalist-  
förbundet och Åklagarmyndigheten avstyrker dock förslaget. Svenska  
Journalistförbundet anser att rätten att meddela uppgifter till medierna är  
en viktig princip som stärker demokratin och att det i detta fall saknas skäl  
att inskränka meddelarfriheten.  
  Skälen för regeringens förslag: Rätten att meddela och offentliggöra  
uppgifter (meddelarfrihet) innebär en rätt att lämna uppgifter, även sådana  
som omfattas av sekretess eller tystnadsplikt, för offentliggörande i tryckt 13
   

skrift, program eller genom tekniska upptagningar (1 kap. 1 § andra stycket och 7 § första stycket tryckfrihetsförordningen samt 1 kap. 1 § första stycket och 10 § första stycket yttrandefrihetsgrundlagen). Rätten att meddela eller offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen har som huvudregel företräde framför tystnadsplikten.

Som grundprincip gäller att stor återhållsamhet bör iakttas vid prövningen av om undantag från meddelarfrihet ska göras i ett enskilt fall. Den berörda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från meddelarfriheten än i andra fall (prop. 1979/80:2 del A s. 111).

Offentliga funktionärers tystnadsplikt för uppgift om enskilds personliga eller ekonomiska förhållanden som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring är absolut och inskränker meddelarfriheten (se 40 kap. 5 och 8 §§ offentlighets- och sekretesslagen). Detsamma gäller för en uppgift som är sekretessreglerad av hänsyn till ett allmänt intresse enligt en bestämmelse som har företräde framför meddelarfriheten och som hanteras i verksamhet för endast teknisk bearbetning eller teknisk lagring för en annan myndighets räkning. Det gäller dock inte om en annan primär sekretessbestämmelse till skydd för samma intresse, som inte har företräde framför meddelarfriheten, är tillämplig hos den uppgiftsmottagande myndigheten (11 kap. 4 a och 8 §§ offentlighets- och sekretesslagen). Avsikten med den tystnadsplikt för privata tjänstemän som följer av tystnadspliktslagen är att den så långt som möjligt ska överensstämma med den tystnadsplikt som enligt offentlighets- och sekretesslagen gäller för offentliga funktionärer vid teknisk bearbetning och teknisk lagring hos det allmänna (prop. 2019/20:201 s. 18 och 24).

Den sekretessbrytande bestämmelse som föreslås i avsnitt 5 förväntas öka myndigheternas möjlighet att lämna ut sekretessreglerade uppgifter till privata tjänsteleverantörer. En tjänsteleverantör kan alltså på uppdrag av en eller flera myndigheter komma att hantera stora informationsmängder som innehåller skyddsvärda uppgifter. Ett sådant uppdrag kan närmast anses vara av förtroendekaraktär, där den utlämnande myndigheten fortlöpande är beroende av den tjänst som leverantören tillhandahåller för att bedriva sin verksamhet. När det gäller intresset av meddelarfrihet avseende de uppgifter som lämnas ut till en privat tjänsteleverantör, bör det anses tillgodosett genom den eventuella rätt att meddela och offentliggöra uppgifterna som gäller hos den myndighet som har utkontrakterat it-driften. Därtill ska läggas att meddelarfriheten i motsvarande situationer är inskränkt för offentliga funktionärer i verksamhet för enbart teknisk bearbetning eller teknisk lagring.

Av dessa skäl anser regeringen, till skillnad från Svenska Journalistförbundet och Åklagarmyndigheten, att det är motiverat att inskränka rätten att meddela och offentliggöra uppgifter även för den som har tystnadsplikt enligt tystnadspliktslagen. Som Transportstyrelsen framhåller innebär förslaget att skyddet för de uppgifter som utkontrakteras stärks. Inskränkningen är inte mer ingående än den som gäller för offentliga funktionärer i verksamhet för enbart teknisk bearbetning eller teknisk lagring.

14

7Ikraftträdande

Regeringens förslag: Lagändringarna ska träda i kraft den 1 juli 2023.

Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen föreslår ett tidigare ikraftträdande.

Remissinstanserna: De remissinstanser som uttalar sig i frågan, bl.a. Arbetsförmedlingen, Länsstyrelsen i Västra Götalands län och Svenskt Näringsliv, framhåller vikten av ett skyndsamt ikraftträdande.

Skälen för regeringens förslag: Förslagen bör träda i kraft så snart som möjligt, vilket bedöms vara den 1 juli 2023.

8Konsekvenser

Regeringens bedömning: Den nya sekretessbrytande bestämmelsen kommer att bidra till ökade möjligheter för statliga och kommunala myndigheter att utkontraktera eller samordna sin it-drift. Den bedömning av om det är olämpligt att lämna ut sekretessreglerade uppgifter som ska föregå ett beslut om utkontraktering eller samordning av it-drift kan inledningsvis innebära en viss ökad administrativ börda och merkostnader, som dock bedöms vara marginella.

Förslaget om inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter bedöms inte få några ingripande konsekvenser för företag eller enskilda.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna har inga syn-

punkter i denna del. Förvaltningsrätten i Jönköping framhåller att antalet offentliga upphandlingar kan öka och därmed också domstolarnas måltillströmning. Kommerskollegium anser att förslaget om inskränkt meddelarfrihet omfattas av anmälningsplikten i Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (tjänstedirektivet).

Skälen för regeringens bedömning: Den sekretessbrytande bestämmelsen väntas leda till minskad osäkerhet för en myndighet som avser att lämna ut sekretessreglerade uppgifter inom ramen för en utkontraktering eller samordning av it-drift. Den bedömning av om det är olämpligt att lämna ut sekretessreglerade uppgifter som ska föregå ett beslut om utkontraktering eller samordning av it-drift kan innebära att en myndighet behöver införa nya administrativa rutiner, vilket kan medföra vissa begränsade merkostnader av övergående karaktär. Sådana merkostnader bedöms kunna hanteras inom myndigheternas befintliga ekonomiska ramar. Till skillnad från Förvaltningsrätten i Jönköping bedömer

regeringen att den eventuellt ökade utkontraktering som förslaget kan leda

15

till endast marginellt kan komma att påverka domstolarnas måltillströmning. Förslaget väntas inte innebära några särskilda konsekvenser för företag eller andra enskilda som tillhandahåller it-driftstjänster till myndigheterna.

Förslaget om inskränkt meddelarfrihet vid teknisk bearbetning eller teknisk lagring av uppgifter innebär att det blir straffbart att lämna ut uppgifter till grundlagsskyddade medier för den som omfattas av tystnadspliktslagen, om det sker i publiceringssyfte. Antalet brottmål väntas dock inte öka i någon nämnvärd omfattning med anledning av detta. Inte heller väntas förslaget medföra några konsekvenser för brottsligheten eller det brottsförebyggande arbetet.

Förslaget påverkar inte en tjänsteleverantörs tillträde till eller utövande av sin verksamhet. Regeringen delar därför inte Kommerskollegiums uppfattning att förslaget skulle vara anmälningspliktigt enligt tjänstedirektivet eller Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster.

Förslagen bedöms inte inskränka den kommunala självstyrelsen eller få några effekter på utbudet av offentlig service i olika delar av landet. Förslagen påverkar inte jämställdheten mellan kvinnor och män, de integrationspolitiska målen eller de nationella klimat- och miljömålen. Förslagen bedöms inte heller ha någon påverkan på de åtaganden som följer av Sveriges medlemskap i Europeiska unionen.

9 Författningskommentar

Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

10 kap.

Teknisk bearbetning och teknisk lagring

2 a § Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.

  Paragrafen, som är ny, innehåller en sekretessbrytande bestämmelse.
  Paragrafens rubrik har utformats efter synpunkter från Lagrådet. Över-
  vägandena finns i avsnitt 5.
  Innebörden av uttrycket teknisk bearbetning eller teknisk lagring är
  densamma som i 2 kap. 13 § första stycket tryckfrihetsförordningen (jfr
  2 kap. 9 § tredje stycket tryckfrihetsförordningen). Ett uppdrag att tekniskt
  bearbeta eller tekniskt lagra uppgifter kan exempelvis bestå i att införa,
  förvalta, utveckla och så småningom avveckla en it-driftstjänst. Under
  dessa olika faser kan en mängd olika åtgärder behöva vidtas för att
16 upprätthålla den tillgänglighet, funktionalitet och prestanda i tjänsten som
 

har avtalats mellan parterna. Det kan röra sig om förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration med andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. Det kan också röra sig om säkerhetstester och andra säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Vid avveckling av en tjänst kan myndighetens uppgifter behöva migreras eller exporteras tillbaka till myndigheten eller till en annan uppdragstagare. Vilka slags åtgärder som kan omfattas av uttrycket teknisk bearbetning eller teknisk lagring kan komma att förändras över tid med anledning av den tekniska utvecklingen.

Att det ska vara fråga om endast teknisk bearbetning eller teknisk lagring hindrar inte att personal hos uppdragstagaren tar del av de uppgifter som hanteras för den uppdragsgivande myndighetens räkning. Det kan vara nödvändigt för att personalen ska kunna utföra sina arbetsuppgifter som ett led i den tekniska bearbetningen eller tekniska lagringen. Främst handlar det om drifts- och säkerhetsrelaterad information, exempelvis uppgifter om användarkonton, loggar, krypteringsnycklar, lösenord och säkerhetsinställningar. Det kan dock också röra sig om andra uppgifter i läsbar form (jfr prop. 1975/76:160 s. 87).

En uppgift får inte lämnas ut om det med hänsyn till omständigheterna är olämpligt. Det innebär att en myndighet, innan en uppgift lämnas ut, ska pröva om det finns skäl som talar emot att uppgiften lämnas ut. De omständigheter som ska beaktas är som utgångspunkt sådana som har koppling till den utlämnande myndigheten och till uppgiftsmottagaren likväl som till de uppgifter som är eller kan bli föremål för utlämnande. Det ska alltså göras en allsidig prövning av alla omständigheter som är relevanta i det enskilda fallet.

Omständigheter som kan ha betydelse är exempelvis vilken typ av uppgifter det rör sig om, vilka intressen som ligger till grund för sekretessen och uppgifternas omfattning. En omständighet som med viss tyngd kan tala emot ett utlämnande är att det är fråga om uppgifter av särskilt känsligt slag, exempelvis uppgifter av synnerlig betydelse för rikets säkerhet när det gäller totalförsvaret. Det bör också beaktas vilka åtgärder som uppgiftsmottagaren vidtar för att skydda uppgifterna och om denne omfattas av en lag- eller avtalsreglerad tystnadsplikt. Även avtalsförhållandet mellan parterna ska beaktas och då i synnerhet sådana avtalsvillkor som riskerar att frånta den utlämnande myndigheten kontrollen över uppgifterna. Var uppgifterna kommer att hanteras geografiskt kan ha betydelse liksom om det förekommer underleverantörer som potentiellt kan få tillgång till uppgifterna. Vidare ska den utlämnande myndigheten ta hänsyn till om de uppgifter som lämnas ut kommer att samlokaliseras med uppgiftsmängder som tillhör andra kunder och bedöma om detta innebär några särskilda risker. Det kan vara lämpligt att den uppgiftsutlämnande myndigheten dokumenterar de avvägningar och bedömningar som görs vid ett utlämnande som omfattar en större uppgiftsmängd eller uppgifter som är av känslig karaktär. Om det rör sig om säkerhetsskyddsklassificerade uppgifter gäller härutöver särskilda bestämmelser enligt säkerhetsskyddslagen (2018:585).

Prop. 2022/23:97

17

Prop. 2022/23:97 44 kap.

5 § Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer

1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,

2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,

3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),

4.av 5 kap. 15 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige,

5.av 32 § lagen (2020:62) om hemlig dataavläsning, och

6.av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

I paragrafen regleras när en tystnadsplikt som följer av bestämmelser om tystnadsplikt i någon annan lag inskränker rätten att meddela och offentliggöra uppgifter. Övervägandena finns i avsnitt 6.

I paragrafen införs en ny punkt 6, som ger tystnadsplikten företräde framför rätten att meddela och offentliggöra uppgifter för den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter, se 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter. En person som på något annat sätt deltar i en tjänsteleverantörs verksamhet kan vara en inhyrd konsult eller annan uppdragstagare, liksom en styrelseledamot, ägare eller annan person som kan bereda sig tillgång till eller förfoga över de uppgifter som en tjänsteleverantör hanterar (prop. 2019/20:201 s. 24).

Ikraftträdandebestämmelse

Denna lag träder i kraft den 1 juli 2023.

Av bestämmelsen framgår att lagändringarna ska träda i kraft den 1 juli 2023. Övervägandena finns i avsnitt 7.

18

Sammanfattning av betänkandet Säker och kostnadseffektiv it-drift (SOU 2021:1) i relevanta delar

En säker och kostnadseffektiv it-drift är en förutsättning för den offentliga förvaltningens digitalisering. Statliga myndigheter, kommuner och regioner ansvarar för att verksamhetens it-driftslösningar stödjer en effektiv verksamhetsutveckling och uppfyller krav på säkerhet (säkerhetsskydd, sekretess och dataskydd) och kostnadseffektivitet. It-drift kan bedrivas i egen regi, genom utkontraktering till tjänsteleverantör eller genom samordnad it-drift. Vilken it-driftslösning som är den mest lämpade beror på verksamhetens uppdrag och vilka uppgifter som hanteras i verksamheten.

Utkontraktering av it-drift och användning av molntjänster är ett vanligt sätt för statliga myndigheter, kommuner och regioner att hantera sin itdrift. Det råder dock en viss osäkerhet bland dessa aktörer när det gäller de rättsliga förutsättningarna för utkontraktering av it-drift till privata tjänsteleverantörer. Osäkerheten gäller främst tolkningen av när en uppgift ska anses röjd enligt sekretesslagstiftningen och om det utifrån ett säkerhetsperspektiv är lämpligt att utkontraktera it-drift. Detta medför att en del aktörer avvaktar med beslut om it-drift, vilket kan få negativa konsekvenser för verksamhetens utveckling, säkerhet och kostnad.

Vi bedömer att en myndighet som utkontrakterar it-drift har lämnat ut de uppgifter som omfattas av utkontrakteringen till tjänsteleverantören. Detta gäller oavsett om omständigheterna när uppgifterna tillgängliggjordes tjänsteleverantören var sådana att man – t.ex. pga. kryptering eller annan teknisk säkerhetsåtgärd – inte måste ha räknat med att tjänsteleverantören eller någon annan utomstående skulle komma att ta del av uppgifterna. Uppgifterna är röjda enligt offentlighets- och sekretesslagen (2009:400) eftersom ett utlämnande är en form av röjande.

Vi föreslår att det i 10 kap. 2 a § OSL införs en sekretessbrytande bestämmelse som tar sikte på fall då uppgifter lämnas ut till företag eller en annan enskild (tjänsteleverantör) eller till en annan myndighet som har i uppdrag att utföra endast teknisk bearbetning eller teknisk lagring av de uppgifter som lämnas ut för den utlämnande myndighetens räkning. Ett utlämnande ska – enligt den föreslagna bestämmelsen – inte ske om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av utkontraktering.

Vi föreslår att meddelarfriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen ska inskränkas för den krets av personer som träffas av tystnadspliktslagen.

Prop. 2022/23:97 Bilaga 1

19

Prop. 2022/23:97 Bilaga 2

20

Betänkandets lagförslag

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att det ska införas en ny paragraf, 10 kap. 2 a §, och en ny rubrik före 10 kap. 2 a §av följande lydelse,

dels att 44 kap. 5 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse
  10 kap.
  Utkontraktering av teknisk bearbet-
  ning eller lagring av uppgifter
  2 a §
  Sekretess hindrar inte att en
  uppgift lämnas ut till ett företag
  eller en annan enskild eller till en
  annan myndighet som har i
  uppdrag att utföra endast teknisk
  bearbetning eller teknisk lagring av
  de uppgifter som lämnas ut för den
  utlämnande myndighetens räkning.
  En uppgift ska inte lämnas ut om
  det intresse som sekretessen ska
  skydda har företräde framför
  intresset av att uppgiften lämnas ut.

44kap. 5 §

Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer

1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,

2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,

3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),

4. av 5 kap. 15 § lagen 4. av 5 kap. 15 § lagen
(1998:293) om utländska försäk- (1998:293) om utländska försäk-
ringsgivares och tjänstepensions- ringsgivares och tjänstepensions-
instituts verksamhet i Sverige, och instituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om 5. av 32 § lagen (2020:62) om
hemlig dataavläsning.   hemlig dataavläsning, och  
6. av 4 § lagen (2020:914) om Prop. 2022/23:97
tystnadsplikt vid utkontraktering av Bilaga 2
teknisk bearbetning eller lagring av  
uppgifter.  

21

Prop. 2022/23:97 Bilaga 3

22

Förteckning över remissinstanserna

Följande remissinstanser har yttrat sig: Amazon Web Services Sweden AB, Arbetsförmedlingen, Attunda tingsrätt, Barnombudsmannen, Bolagsverket, Boverket, Centrala studiestödsnämnden, City Network International AB, Diskrimineringsombudsmannen, Domstolsverket, E-hälso- myndigheten, Ekonomistyrningsverket, Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarsmakten, Försäkringskassan, Förvaltningsrätten i Jönköping, Google Sweden AB, Göta hovrätt, Göteborgs kommun, Härnösands kommun, Härryda kommun, IIS – Internetstiftelsen i Sverige, Inera AB, Integritetsskyddsmyndigheten, IT & Telekomföretagen, Justitiekanslern, Kalmar kommun, Kammarkollegiet, Kammarrätten i Stockholm, Karlskoga kommun, Katrineholms kommun, Kommerskollegium, Konkurrensverket, Kronofogdemyndigheten, Kungliga biblioteket, Kungliga tekniska högskolan, Landskrona kommun, Lantmäteriet, Lidingö kommun, Lidköpings kommun, Luftfartsverket, Luleå kommun, Länsstyrelsen i Uppsala län, Länsstyrelsen i Västra Götalands län, Malmö kommun, Mariestads kommun, Microsoft AB, Myndigheten för digital förvaltning, Myndigheten för familjerätt och föräldraskapsstöd, Myndigheten för samhällsskydd och beredskap, Nacka kommun, Naturhistoriska riksmuseet, Naturvårdsverket, Netnod Internet Exchange i Sverige AB, Pensionsmyndigheten, Piteå kommun, Polismyndigheten, Post- och telestyrelsen, Regelrådet, Region Skåne, Region Stockholm, Region Västerbotten, Riksarkivet, Riksdagens ombudsmän, Riksrevisionen, Skatteverket, Socialstyrelsen, Statens haverikommission, Statens jordbruksverk, Statens servicecenter, Statens skolverk, Statens tjänstepensionsverk, Statistiska centralbyrån, Statskontoret, Stockholms kommun, Stockholms universitet, Svenskt Näringsliv, Sveriges advokatsamfund, Sveriges Akademikers Centralorganisation, Sveriges Kommuner och Regioner, Säkerhets- och försvarsföretagen, Säkerhetspolisen, Söderhamns kommun, Teknikföretagen, Tierps kommun, Totalförsvarets plikt- och prövningsverk, Trafikverket Transportstyrelsen, Tullverket, Universitets- och högskolerådet, Upphandlingsmyndigheten, Uppsala kommun, Uppsala universitet, Verket för innovationssystem, Vetenskapsrådet, Åklagarmyndigheten, Örebro universitet och Östersunds kommun.

Följande remissinstanser har avstått från att yttra sig eller inte hört av sig: Arboga kommun, Binero AB, Cisco Systems (Sweden) AB, Företagarna, Genomic Medicine Sweden, GleSYS AB, Halmstads kommun, Hedemora kommun, IBM Svenska AB, Lekebergs kommun, Munkfors kommun, Norrtälje kommun, Region Halland, Saab AB, Skara kommun, Skurups kommun, Sollefteå kommun, Strängnäs kommun, Sundsvalls kommun och Tingsryds kommun.

Yttranden har också kommit in ifrån Amerikanska handelskammaren i Sverige, Knowit AB, Open Source Sweden, Riksdagsförvaltningen, Swedish Medtech, Svenska institutet för standarder, Svenska Journalistförbundet, Sveriges läkarförbund, Telia Company AB, Totalförsvarets forskningsanstalt och en privatperson.

Lagrådsremissens lagförslag

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 44 kap. 5 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 10 kap. 2 a §, och närmast före 10 kap. 2 a § en ny rubrik av följande lydelse.

Prop. 2022/23:97 Bilaga 4

Nuvarande lydelse Föreslagen lydelse

10 kap.

Teknisk bearbetning och lagring

2 a §

Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.

44kap. 5 §1

Rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter inskränks av den tystnadsplikt som följer

1.av beslut som har meddelats med stöd av 7 § lagen (1999:988) om förhör m.m. hos kommissionen för granskning av de svenska säkerhetstjänsternas författningsskyddande verksamhet,

2.av 7 kap. 1 § 1 lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap,

3.av 4 kap. 16 § försäkringsrörelselagen (2010:2043),

4. av 5 kap. 15 § lagen 4. av 5 kap. 15 § lagen
(1998:293) om utländska försäk- (1998:293) om utländska försäk-
ringsgivares och tjänstepensions- ringsgivares och tjänstepensions-
instituts verksamhet i Sverige, och instituts verksamhet i Sverige,
5. av 32 § lagen (2020:62) om 5. av 32 § lagen (2020:62) om
hemlig dataavläsning.   hemlig dataavläsning, och  

6.av 4 § lagen (2020:914) om tystnadsplikt vid utkontraktering av

1 Senaste lydelse 2022:1495. 23

Prop. 2022/23:97 Bilaga 4

24

teknisk bearbetning eller lagring av uppgifter.

Denna lag träder i kraft den 1 juli 2023.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2023-02-14

Närvarande: F.d. justitierådet Martin Borgeke samt justitieråden Leif Gäverth och Eric M. Runesson

Sekretessgenombrott vid teknisk bearbetning eller lagring av uppgifter

Enligt en lagrådsremiss den 26 januari 2023 har regeringen (Finansdepartementet) beslutat att inhämta Lagrådets yttrande över förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400).

Förslaget har inför Lagrådet föredragits av departementssekreteraren Anna Renman.

Förslaget föranleder följande yttrande.

Förslagen i remissen

I lagrådsremissen föreslås en ny sekretessbrytande bestämmelse som möjliggör för myndigheter att lämna uppgifter som omfattas av sekretess till en enskild eller till en annan myndighet som har i uppdrag att tekniskt bearbeta eller tekniskt lagra uppgifterna för den uppgiftslämnande myndighetens räkning. En uppgift får dock inte lämnas om det med hänsyn till omständigheterna är olämpligt. Vidare föreslås en inskränkning av meddelarfriheten för den som omfattas av tystnadsplikt enligt lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter.

Förslagen syftar till att skapa bättre förutsättningar för myndigheter att sluta avtal om eller annars samordna sin it-drift samt att stärka skyddet för de uppgifter som lämnas till en enskild vid utkontraktering av it-drift.

Bestämmelserna är tänkta att börja gälla den 1 juli 2023.

Lagrådsremissens rubrik

Rubriken på lagrådsremissen tar sikte på sekretessgenombrott vid teknisk bearbetning eller (teknisk) lagring. Rubriken vore mer innehållsbeskrivande om den angav att sekretessgenombrott kan ske vid utlämnande för teknisk bearbetning eller (teknisk) lagring.

Lagförslagen

10 kap. 2 a §

Prop. 2022/23:97 Bilaga 5

25

Prop. 2022/23:97 Bilaga 5

26

I lagtexten talas det om teknisk lagring men i remissrubriken endast om lagring. Även i rubriken före 2 a § står det bara ”lagring”.

Lagrådet är medvetet om att den lag som reglerar tystnadsplikten för enskilda som får uppgifter för teknisk bearbetning eller teknisk lagring heter lag om tystnadsplikt vid teknisk bearbetning eller lagring av uppgifter. I lagtexten i den lagen talas det dock om att tekniskt bearbeta eller tekniskt lagra uppgifter.

Det hade varit önskvärt med en högre grad av konsekvens i uttryckssätten.

Beträffande lagtexten föreslår Lagrådet följande formulering.

Sekretess hindrar inte att en myndighet lämnar en uppgift till en enskild eller till en annan myndighet om det sker med anledning av uppdrag att för myndighetens räkning tekniskt bearbeta eller tekniskt lagra uppgiften. En uppgift får dock lämnas endast om det inte är olämpligt.

Lagrådet vill i sammanhanget hävda att det råder en viss skillnad mellan det uttryckssätt som har valts i remissen, dvs. att uppgifterna får lämnas om det inte är olämpligt och det omvända, som skulle ha inneburit att uppgifterna fick lämnas om det vore lämpligt. Som Lagrådet ser det finns det anledning att i författningskommentaren upprätthålla denna skillnad.

44 kap. 5 §

Lagrådet lämnar förslaget utan erinran.

Prop. 2022/23:97

Finansdepartementet

Utdrag ur protokoll vid regeringssammanträde den 23 mars 2023

Närvarande: statsrådet Busch, ordförande, och statsråden Billström,

Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson

Grönvall, Jonson, Strömmer, Tenje, Forssell, Wykman, Malmer

Stenergard, Kullgren, Liljestrand, Bohlin, Carlson

Föredragande: statsrådet Wykman

Regeringen beslutar proposition Sekretessgenombrott vid utlämnande för teknisk bearbetning eller teknisk lagring av uppgifter

27