Produkter för cyberövervakning

I vissa fall kan ISP besluta att en cyberövervakningsprodukt (eng. cyber-surveillance items) som inte redan listas i bilaga I till PDA-förordningen ska omfattas av tillståndskrav vid export ut ur EU.

Med cyberövervakningsprodukter avses produkter med dubbla användningsområden inkluderat programvara och teknik som är särskilt konstruerade för att möjliggöra dold övervakning av fysiska personer genom monitorering, extraktion, inhämtning eller analys av data från informations- och telekommunikationssystem.

I PDA-förordningens inledande skäl tydliggörs att risken med export av viss cyberövervakningsutrustning i synnerhet avser utrustning som är särskilt utformad för att möjliggöra intrång eller djup paketinspektion (eng. deep-packet inspections) i informations- och telekommunikationssystem för att utföra dold övervakning av fysiska personer genom övervakning, extraktion, insamling eller analys av data, inklusive biometriska data, från dessa system. Produkter som används för rent kommersiella tillämpningar såsom fakturering, marknadsföring, kvalitetstjänster, användarnöjdhet eller nätsäkerhet anses i allmänhet inte omfattas.

Tillämpning

Tillstånd ska krävas för export av cyberövervakningsprodukter som inte listas i bilaga I till PDA-förordningen om exportören har informerats av ISP om att produkterna i fråga, helt eller delvis, i det enskilda fallet är eller kan vara avsedda för användning i samband med internt förtryck och/eller för att begå allvarliga kränkningar av mänskliga rättigheter och internationell humanitär rätt.

Bevakningslista (watch-list)

Om en EU-medlemsstat tillståndsbelägger en export av cyberövervakningsprodukter ska medlemsstaten även informera övriga medlemsstater om att exporten har belagts med tillståndskrav. Om samtliga medlemsstater är överens om att tillståndskrav bör införas, för i allt väsentligt identiska transaktioner, ska EU-kommissionen publicera informationen i C-serien av EU:s officiella tidning.

En publicering av produkt eller destinationsland leder inte automatiskt till tillståndskrav för exportörer som vill genomföra en sådan export. Däremot utgör publiceringen en bevakningslista (eng. watch-list) över cyberövervakningsprodukter som kan kräva tillstånd vid export ut ur EU. 

Kräver exporten tillstånd?

Om den som exporterar känner till, i enlighet med sin undersökningsplikt (eng. due diligence), att de cyberövervakningsprodukter som inte listas i bilaga I till PDA-förordningen och som ska exporteras, helt eller delvis, är avsedda för användning i samband med internt förtryck och/eller för att begå allvarliga kränkningar av mänskliga rättigheter och internationell humanitär rätt ska ISP underrättas.

I det fall osäkerhet råder kan ISP konsulteras. ISP prövar då och beslutar huruvida den enskilda exporten ska omfattas av tillståndskrav. Förfrågan bör lämnas på nedanstående blankett via post eller e-post eller övrigt meddelande i Kundwebben.