Den 9 september trädde den nya EU-förordningen om handel med produkter med dubbla användningsområden (”PDA”) i kraft. Produkter med dubbla användningsområden är hårdvara, mjukvara eller teknik, som kan nyttjas för både civila samt militära ändamål. Exempel på produkter som kan utgöra PDA är övervakningskameror, halvledare, ventiler, laboratorieutrustning och kemikalier, men även kunskap, såsom tekniska ritningar. Förordningen är i flera avseenden inte anpassad till hur företag bedriver sin verksamhet och svår att tillämpa. Många företag är också omedvetna om att de omfattas och kan riskera stränga straff. 

Den nya förordningen innebär utökade kontrollmöjligheter för myndigheter samt möjligheten att införa dels tillståndskrav för export av cyberövervakningsprodukter, dels två ytterligare generella exporttillstånd. 

Målet är att stärka skyddet och verka för ickespridning av massförstörelsevapen, bidra till säkerställandet av mänskliga rättigheter och internationell humanitär rätt samt bidra till regional fred, säkerhet och stabilitet. Omarbetningen av PDA-förordningen ansågs nödvändig för att kunna anpassa sig till den ständigt föränderliga teknologin, ekonomin och politiken. Den nya förordningen ersätter, efter en mycket långdragen lagstiftningsprocess, den tidigare PDA-förordningen nr 428/2009 och blir direkt tillämplig i samtliga EU:s medlemsstater. 

Företag inte medvetna

Svenska företag som exporterar PDA-klassificerade produkter, mjukvara eller teknologi, måste nu se över sina processer och policyer för att leva upp till kraven. Vi har sett att många svenska företag inte är medvetna om att de omfattas av regelverket och eller vilka skyldigheter som åligger dem. Straffet för att bryta mot PDA-förordningen är fängelse i upp till sex år och/eller böter. 

Huvudregeln, för såväl den gamla som den nya förordningen, är att det i princip inte ska krävas exporttillstånd för att exportera PDA-klassade produkter inom EU, förutom för de produkter som klassas som särskilt känsliga. Vid export av PDA-produkter till länder utanför EU krävs dock tillstånd från Inspektionen för strategiska produkter (ISP) eller från Strålsäkerhetsmyndigheten. 

Kontroll av cyberövervakningsprodukter

Förordningen medför några förändringar värda att notera. För det första införs en ny så kallad catch-all-kontroll, som fokuserar på cyberövervakningsprodukter , vilka kan användas vid internt förtryck eller för allvarliga kränkningar av mänskliga rättigheter. Syftet med den nya catch all-kontrollen är att bättre hantera risken för att personer eller bolag ska medverka till den här typen av kränkningar.

Underlätta administration

Vidare införs två nya EU-generella tillstånd som ska underlätta administrationen att behöva söka individuella eller globala exportlicenser för både myndigheter och bolag. Det första är ett tillstånd för koncernintern överföring av teknik och programvara klassificerad som PDA. Tillståndet möjliggör överföring av viss mjukvara och teknologi från ett moderbolag inom EU, till ett helägt dotterbolag utanför EU samt till systerbolag utanför EU, men dock bara till vissa utvalda länder. 

Begränsningen till vilka länder som tillståndet kan användas medför ett stort praktiskt hinder för många svenska bolag. Här borde EU ha gått längre och utökat tillståndet till att gälla för betydligt fler länder, i likhet med vad myndigheter har gjort i USA och Storbritannien, där man på ett bättre sätt har anpassat regelverket efter hur företag arbetar. 

Det andra är ett EU-generellt tillstånd avseende export av ett flertal produkter med krypteringsfunktionalitet. Tillståndet innefattar en möjlighet att exportera dessa produkter till flera länder. Men detta tillstånd är också alldeles för begränsat i förhållande till många företags behov. Flera av de länder som svenska bolag exporterar till omfattas inte av tillståndet, till exempel Kina och Ryssland, där exportörer istället måste ansöka om individuella eller globala licenser.  Detta är beklagligt och innebär extra administration och arbete för bolagen.

Utvärdera förändringarna

Med facit i hand kan vi konstatera att förordningen innefattar färre nyheter och kommer att ha en mer begränsad praktisk påverkan på företag än vad som initialt hade förutspåtts. Företag bör se över sina processer och utvärdera om och vilka förändringar som krävs. För företag som inte är compliant kan konsekvenserna bli digra. 
Teknik- och mjukvaruföretag som omfattas av PDA-förordningen bör också särskilt utvärdera hur deras IT-infrastruktur är uppbyggd då den nya förordningen även kan medföra möjligheter, för en flexibel handel med produkter med dubbla användningsområden

Olof König
Advokat, Baker McKenzie advokatbyrå  
Rebecca Hörnell
Biträdande jurist, Baker McKenzie advokatbyrå