Dataöverföringar till tredje land regleras i GDPR och har ytterligare tolkats i EU-domstolens så kallade Schrems II-dom. Om offentliga aktörer kommer ställa mer omfattande krav på dataskydd än vad lagstiftningen och EU-domstolens praxis kräver kommer det få konsekvenser för offentlig sektors digitalisering och möjligheten att använda skattemedel på mest effektiva sätt.
Svenskt Näringsliv är oroad över att it-driftsutredningen gör en bedömning av rättsläget som kan få stora konsekvenser för hur verksamheter i Sverige fortsatt kan använda kommunikationstjänster som till exempel e-posttjänster, videomöten, analysverktyg, marknadsföringstjänster samt användning av en molnleverantör för säkerhetskopior och lagring av aktiva data. Bedömningen framstår som mycket allvarlig om den skulle vinna spridning inom den offentliga sektorn och smitta över till den privata sektorn.
Svenska företag förlitar sig på att de största sökmotorerna för att vara synliga och relevanta för konsumenter och B2B-kunder över hela världen. Amerikanska tjänster gör svenska företag tillgängliga på den globala marknaden. Effekten av it-driftsutredningens tolkning skulle bli påtaglig för ett exportberoende land som Sverige då våra företag förlorar konkurrenskraften på marknaden på grund av bristande synlighet. Svenskt Näringsliv har via BusinessEurope och tillsammans med stora delar av näringslivet i Europa påtalat till European Data Protection Board (EDPB, december 2020) hur allvarlig situationen är och vad som borde vara rimligt. Framförallt bör det riskbaserade förhållningssättet som såväl GDPR som Schrems II-domen ger uttryck för användas. Myndigheten väntas komma med justerade rekommendationer om ytterligare åtgärder för hur företag ska kunna överföra data till tredje land. Dessa rekommendationer kommer sannolikt vara vägledande för tillsynsmyndigheten Integritetsskyddsmyndighetens syn på dataöverföringar till tredje land oavsett vad utredningen gör för bedömningar.
Att regelverket tolkas enhetligt av offentliga myndigheter inom EU är centralt för en väl fungerande digital inre marknad, harmoniserade dataskyddsregler och därmed konkurrens på lika villkor inom EU. Att i detta synnerligen ansträngda läge för dataflöden komma med en ny tolkning av rättsläget är allt annat än önskvärt för näringslivets internationella konkurrensförmåga.
Man bör inte underskatta hur allvarlig en restriktiv tolkning riskerar att hämma den digitala utvecklingen. Att regeringen låter utreda de rättsliga förutsättningarna för att myndigheter, kommuner och regioner med ökad rättslig trygghet fortsatt ska kunna utkontraktera sin it-drift är positivt, men Sverige bör inte inskränka företagens affärsmöjligheter med överimplementering av GDPR och EU-domstolens Schrems II-dom.
Om kommuner och regioner kommer ställa mer omfattande krav på dataskydd än vad lagstiftningen och EU-domstolens praxis kräver kommer det
försvåra både nuvarande och framtida utkontraktering av it-drift. Därför är det av stor vikt att frågan hanteras av regeringen. En spretig tolkning av juridiken där olika myndigheter gör olika tolkningar vore djup olyckligt för digitalisering och svensk konkurrenskraft.