Den 1 januari i år trädde en ny lag i kraft om tystnadsplikt vid offentlig utkontraktering av teknisk bearbetning eller lagring av uppgifter (2020:914).
Bakgrunden till lagstiftningen är Digitaliseringsrättsutredningens betänkande (SOU 2018:25) häromåret. I betänkandet undersöktes hur gällande lagstiftning förhöll sig till den digitala utvecklingen inom den offentliga förvaltningen. I regeringens proposition (prop 2019/20:201) konstateras att upphandling av tjänster för it-drift och andra it-baserade funktioner från privata aktörer ofta är en förutsättning för att myndigheter ska kunna bedriva en säker och effektiv verksamhet. Kompetens och kapacitet inom dessa områden finns ofta utanför myndigheten.
I lagmotiven konstateras vidare att behovet av att utkontraktera – eller s k outsourcing av – vissa tjänster och det faktum att myndigheter behandlar sekretessbelagd information, har föranlett en diskussion om en sådan ordning är förenlig med regleringen i offentlighets- och sekretesslagen (2009:400). Leverantörernas tystnadsplikt regleras normalt genom civilrättsliga avtal. En på avtal grundad tystnadsplikt är dock begränsad och eventuella överträdelser har inte omfattats av straffsanktioner.
Den nya lagen – lag (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter – avser att underlätta för myndigheter att utkontraktera tillhandahållandet av it-tjänster till privata aktörer. Lagen föreskriver tystnadsplikt för den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter.
Tystnadsplikten för medarbetare hos privata aktörer är avsedd att motsvara den som gäller för myndigheternas egen personal i motsvarande fall. I likhet med vad som är fallet för offentliganställda, ska åsidosättande av tystnadsplikten av privatanställda kunna föranleda straffansvar för brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken (1962:700). Tystnadsplikten gäller under och efter anställningen hos berörda leverantörer samt, i förkommande fall, underleverantörer.
För att tystnadsplikten ska vara tillämplig krävs att uppdraget endast avser teknisk bearbetning eller teknisk lagring av uppgifter. I propositionen exemplifieras berörda slag av uppdrag med åtgärder i samband med att införa, förvalta, utveckla och avveckla en tjänst, exempelvis förändringar av funktionen för en tjänst, införande av tilläggstjänster och supporttjänster. Vidare nämns åtgärder med säkerhetskopiering, uppgraderingar och uppdateringar samt export av information vid avveckling av en tjänst.
Den principiella frågan om det behövs ett uttryckligt stöd i offentlighets- och sekretesslagen, för att myndigheter ska kunna överlämna sekretesskyddade uppgifter till privata aktörer, fick inte en lösning genom den nya lagen. Således kommer Digitaliseringsrättsutredningens förslag att införa en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen vid utlämnande av uppgifter till enskilda aktörer som utför teknisk bearbetning eller teknisk lagring, att beredas vidare av regeringen.
Regeringens proposition, Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter, prop 2019/20:201 hittar du här.
Om du har frågor med anledning av den nya lagen eller vill veta mer om reglerna för tystnadsplikt är du välkommen att kontakta advokat Esa Kymäläinen på TIME DANOWSKY Advokatbyrå.
