Remissyttrande över förslag till ändring av föreskrift om behandling av personuppgifter som rör lagöverträdelser
Säkerhets- och Försvarsföretagen (fortsättningsvis SOFF) ställer sig positiv till att Integritetsskyddsmyndigheten (IMY) genom tillägg till IMY:s föreskrift DIFS 2018:02 meddelar undantag från förbudet i artikel 10 EU:s dataskyddsförordning för andra än myndigheter att behandla uppgifter som rör lagöverträdelser.
SOFF konstaterar att det förslag som nu lagts fram av IMY speglar det undantag som IMY sedan tidigare beviljat SOFF:s medlemsföretag, vilket i korthet innebär att det är tillåtet för SOFF:s medlemsföretag som exporterar krigsmateriel eller produkter med dubbla användningsområden (PDA) att genom kontroller efterleva kraven som följer av de amerikanska ITAR- och EAR-regelverken eller sanktionsregelverk som fastställts av vissa amerikanska myndigheter.
Mot bakgrund av omständigheter som kommer att redovisas för nedan anser SOFF att ytterligare åtgärder bör vidtas.
- SOFF föreslår att föreskriften bör breddas på så sätt att fler länders sanktionslistor/sanktionsregelverk utöver amerikanska ska omfattas. I vart fall bör länder som ingår i Nato+-begreppet[1]och som har sanktionslistor som är fastställda i demokratisk ordning och som är allmänt tillgängliga innefattas i föreskriftens undantag.
- SOFF föreslår även att föreskriften bör tydliggöra att rätten att göra kontroller mot sanktionslistor/sanktionsregelverk även bör omfatta leverantörer/konsultföretag/IT-tjänst leverantörer m.m. till de företag som tillverkar, levererar och exporterar krigsmateriel eller PDA.
- SOFF anser avslutningsvis att en bredare översyn av detta område bör initieras.
Bakgrund
Efter att SOFF och andra företag i samband med remissyttrande över lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning framfört synpunkter avseende tillämpningen av artikel 10 i EU:s dataskyddsförordning har regeringen i propositionen 2017:39 Ny dataskyddslag, s 100-101, anfört att
”… Det är regeringens uppfattning att svenska företag inte ska ges sämre möjligheter att behandla uppgifter som rör lagöverträdelser än företag i andra länder. Regeringen kan också konstatera att det typiskt sett bör vara möjligt för svenska exportföretag att få tillstånd att behandla sådana uppgifter i den mån detta krävs för sådan kontroll mot sanktions- och spärrlistor som är nödvändig för export till vissa länder. Detta bör i vart fall gälla om dessa listor är fastställda i demokratisk ordning och allmänt tillgängliga. Några remissinstanser pekar på att systemet med särskilda beslut i enskilda fall är betungande för både tillsynsmyndigheten och företagen, varför föreskrifter som tillåter nödvändig behandling är att föredra. Med anledning av denna synpunkt vill regeringen understryka att det, t.ex. i fråga om vissa viktigare spärr- och sanktionslistor, kan finnas anledning för tillsynsmyndigheten att använda möjligheten att meddela föreskrifter. Detta kan minska den administrativa bördan både för företagen och för tillsynsmyndigheten själv….”
SOFF:s uppfattning är att regeringen genom denna skrivning förordat en bredare ansats för meddelande av föreskrift med innehåll som skulle göra det möjligt för svenska exportföretag att förhålla sig till viktigare spärr- och sanktionslistor i enlighet med vad SOFF nu föreslår.
- Föreskriften bör breddas på så sätt att fler länders sanktionslistor och sanktionsregelverk omfattas
Regeringen har i propositionen pekat ut att det bör vara tillåtet för svenska exportföretag att göra kontroller mot viktigare sanktions- och spärrlistor, i vart fall om dessa listor är fastställda i demokratisk ordning och allmänt tillgängliga. Härvid kan anses att regeringen har bekräftat att det föreligger en rättslig förpliktelse för företag som omfattas av andra länders sanktions- och spärrlistor att efterleva dessa. Av bilaterala- och multilaterala avtal mellan Sverige och andra nationer följer att Sverige har att tillse att spridning av exportkontrollerade data enbart får ske till personer som kan anses behöriga enligt motpartens nationella lagstiftning att ta del av data, dvs. spridning får inte ske till personer som finns upptagna på andra länders sanktions- och spärrlistor.
Fem år efter att regeringen kom fram till detta ställningstagande kan konstateras att sanktionsregelverken har fått en allt större utrikespolitisk betydelse. Om syftet med sanktions- och spärrlistor tidigare varit att bekämpa terrorism och andra allvarliga brott och oegentligheter med individer i fokus används nu sanktionsregelverken som ett verktyg för organisationer och länder att kunna påverka i första hand andra länder på olika sätt, tex genom att begränsa tillgång till viss teknik eller materiel eller finansiella tillgångar.
Det tydligaste exemplet är här att EU och Nato-allierade efter Rysslands invasion av Ukraina infört stränga sanktioner mot Ryssland för att bland annat göra det svårare för Ryssland att fortsätta sin krigföring genom att förhindra att Ryssland får tillgång till komponenter och materiel för att t.ex. återuppbygga stridsvagnar och tillverka missiler.
Det är dock uppenbart för EU och Nato-allierade att Ryssland använder kryphål i sanktionsregelverken för att skaffa viktig västerländsk mikroelektronik och komponenter för sin militära infrastruktur. Nato och EU är därför i ett pågående arbete med att förbättra sanktionerna för att bromsa flödet av västerländska komponenter till Ryssland och härigenom försvaga Rysslands i dess krigsföring. Det kan t.ex. komma att handla om att sanktioner ska omfatta företag och/eller individer som på olika sätt satt i system att kringgå de befintliga sanktionsregelverken.
EU och Nato-allierade eftersträvar här samma mål med sanktionsregelverken och det kan även konstateras att EU och Nato redan idag och med stor sannolikhet allt tydligare framöver kommer att driva en säkerhets- och försvarspolitik med liknande inriktning och fokus.
Inför ett sannolikt svenskt Nato-medlemskap bör därför sanktionsefterlevnad för svenska företag inte enbart vara lagligt avseende de sanktionsregelverk som antas av EU utan svenska företag måste även ha möjlighet att kunna efterleva de sanktionsregelverk som antas av Nato-länder som inte är medlemmar i EU, t.ex. Storbritannien.
Härvid bör särskilt beaktas att Nato-länder utanför EU redan idag har viktiga försvarssamarbeten med Sverige, att svenska Försvarsmakten gör gemensamma materielanskaffningar tillsammans med dessa länder och att många svenska exportföretag har sålt och säljer krigsmateriel och PDA till Nato-länder som inte är del av EU.
Vidare bör svenska företags möjlighet att efterleva andra länders sanktionsregelverk även omfatta de länder där regeringen pekat ut att det finns en positiv presumtion för att export av krigsmateriel ska tillåtas vid prövning av Inspektionen för strategiska produkter. Till dessa länder hör – förutom de redan nämnda Nato+-länderna – Sydafrika, Sydkorea och Brasilien.[2]
Om svenska företag inte har en laglig möjlighet att efterleva de sanktionslistor som antagits av Nato-länder utanför EU finns det risk för att denna typ av samarbeten och materielförsäljningar kan försvåras för svenska företag på ett sätt som inte drabbar företag inom andra EU- och Nato-länder. Detta kan bli en konkurrensnackdel för svenska företag.
Omständigheten att svenska företag inte har samma möjlighet att efterleva sanktionsregelverk som t.ex. USA och Storbritannien har antagit kan även innebära en säkerhetspolitisk risk för Sverige. Om Sverige och svenska företag skulle identifieras som svaga länkar avseende möjligheten till sanktionsefterlevnad jämfört med företag inom andra EU- och Nato-länder kan viktig teknologi som idag importeras från dessa länder komma att utebli.
Betydelsen av att länder med en samsyn och ett samarbete avseende säkerhets- och utrikespolitik även har en enad linje i sanktionstillämpning har även blivit tydligare när man tar i beaktande att andra mellanstatliga organisationer, t.ex. FN, har försvagats. Detta då FN är beroende av enighet mellan samtliga länder för att sanktioner ska kunna antas, vilket sannolikt inte kommer att kunna uppnås mot bakgrund av den rådande situationen. Säkerhetsrådet fattar bindande beslut, men en av de fem permanenta medlemmarna kan emellertid lägga in sitt veto, vilket är förklaringen till att FN inte infört några sanktioner mot Ryssland. Samma situation skulle kunna uppstå inom EU om vissa EU-länder skulle ändra position avseende t.ex. hur EU gemensamma sanktioner mot Ryssland ska utformas. Då kan det bli mycket viktigt att även sanktionsregelverk som antas i demokratisk ordning i enskilda länder inom EU och Nato kan efterlevas av svenska företag.
- Föreskriften bör tydliggöra att rätten att göra kontroller mot sanktionslistor även omfattar leverantörer/konsultföretag/IT-tjänst leverantörer m.m. till företag som tillverkar, levererar och exporterar krigsmateriel eller PDA
Behovet av att efterleva sanktionslistor föreligger inte enbart i förhållande till svenska företag som tillverkar, levererar och exporterar krigsmateriel eller produkter med dubbla användningsområden utan möjligheten att efterleva sanktionsregelverken måste omfatta alla företag i Sverige för att kunna vara effektiva.
Ett exempel på detta är de amerikanska regelverken ITAR och EAR som finns med i den föreslagna föreskriften. Enligt dessa regelverk ska kontroller mot listorna göras så snart en export eller annan typ av tillgängliggörande sker, vilket enligt amerikansk lagstiftning innefattar varje situation när en person av annan nationalitet än amerikansk på något sätt kommer i kontakt med eller tar del av exportkontrollerade uppgifter eller materiel. Detta innebär att svenska företag som hanterar ITAR eller EAR materiel måste kontrollera alla personer – bl.a. anställda, arbetssökande, leverantörer, kunder, samarbetspartners – gentemot spärrlistorna. Samma kontroll måste kunna företas av t.ex. en IT-tjänstleverantör som på exportföretagets uppdrag hanterar ITAR eller EAR materiel i företagets IT-system. Den föreslagna föreskriftens begränsning till företag som omfattas av Europaparlamentets och rådets förordning (EU) 2021/821 blir då för snäv.
Ett annat exempel på denna vidare tillämpning av sanktionsregelverk som även träffar underleverantörsledet finns i Artikel 5k i rådets förordning (EU) 2022/57 av den 8 april 2022 om ändring av förordning (EU) nr 833/2014 om restriktiva åtgärder mot bakgrund av Rysslands åtgärder som destabiliserar situationen i Ukraina. Där framgår att om en underleverantör står för står för mer än 10 % av kontraktets värde så måste vissa relationer till Ryssland vara uteslutna för att det företag som vunnit en offentlig upphandling ska kunna nyttja denne underleverantör vid försäljning till statliga kunder.
Behovet av att kunna ställa krav på leverantörer avseende efterlevnad av sanktionslistor är en problematik som även har identifierats på annat håll. Svenska institutet för standarder, SIS, där även svenska myndigheter deltar, håller för närvarande på med arbetet att ta fram en standard över vilka krav en leverantör ska leva upp till för att kunna betraktas som ett säkert leverantörsval.
Avsikten är att svenska leverantörer ska kunna verifiera sig mot standarden och erhålla ett verifikat som bevis för att den lever upp till standardens alla krav. Standardförslaget ”ftSS 618000 Säkra affärer – Krav på leverantör och leverantörskedja” innehåller ett tydligt krav på att leverantören, dess personal och företrädare inte ska finnas med på sanktions- eller varningslistor innefattande bl.a. Finansinspektionens varningslista, EU:s terroristförteckning, FBI:s listor efter mest eftersökta och CIA:s listor efter mest eftersökta.
- En bredare översyn av hur svenska företag ska kunna efterleva sanktionsregelverk bör initieras
Den utveckling som pågått under de senaste åren visar på vikten av att regelverk och föreskrifter avseende sanktioner inte är för statiska i sin utformning. Det är tydligt att sanktionsregelverken ändras, att detta kan ske snabbt och att ändringarna i huvudsak kommer av politiska ställningstaganden.
Ett system som bygger på att en svensk myndighet ska meddela/ändra en föreskrift eller fatta särskilda beslut för att svenska företag ska kunna efterleva sanktionsregelverk är inte en lösning som kan uppfylla krav på snabb anpassning och flexibilitet. Mot bakgrund av den betydelse som sanktionsregelverken har ur ett säkerhets- och utrikespolitiskt perspektiv bör beslut om vilka sanktionsregelverk svenska företag ska efterleva fattas på politisk nivå i demokratisk ordning och spegla vad som är bäst för Sverige.
Mot denna bakgrund anser SOFF att det behövs en bredare översyn av hur svenska företag ska kunna efterleva sanktionsregelverk. Denna kan lämpligen ske i samband med implementering av det nya EU-direktivet för att begränsa kringgående av sanktioner och skärpa efterlevnaden av sanktioner som EU kommissionen lade fram den 5 december 2022 – förslag till direktiv om fastställande av brottsrekvisit och påföljder för överträdelser av unionens restriktiva åtgärder.
Kommittédirektivet 2023:96 som innefattar uppdraget att förbereda genomförandet av EU-direktivet bör därför breddas till att innefatta en översyn över hur Sverige och svenska företag bör förhålla sig till och efterleva sanktionsregelverk som det ligger i Sveriges säkerhets- och utrikespolitiska intresse att efterleva, innefattande sanktionsregelverk som beslutats av enskilda nationer med närliggande säkerhetspolitiska intressen som Sverige och EU. För det fallet att en översyn skulle leda till adekvata åtgärder kan behovet av den av IMY nu föreslagna föreskriften komma att upphöra.
[1] Länder som ingår i Nato+-begreppet är länder som är medlemmar i Nato och länder som har nära militära samarbeten med Nato innefattande alla EU-länder, Australien, Irland, Nya Zeeland, Schweiz och Japan.
[2] Prop. 2017/18:23, s. 70.