sou 2018 63

SOU och Ds kan köpas från Norstedts Juridiks kundservice. Beställningsadress: Norstedts Juridik, Kundservice, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: kundservice@nj.se

Webbadress: www.nj.se/offentligapublikationer

För remissutsändningar av SOU och Ds svarar Norstedts Juridik AB på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02).

En kort handledning för dem som ska svara på remiss.

Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remisser

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck: Elanders Sverige AB, Stockholm 2018

ISBN 978-91-24849-2

ISSN 0375-250X

Till statsrådet och chefen för Försvarsdepartementet

Regeringen beslutade den 27 april 2017 att tillkalla en särskild ut- redare med uppdrag att göra en översyn av den lagstiftning som gäller för personuppgiftsbehandling inom Försvarsmakten och För- svarets radioanstalt. Syftet med uppdraget är att säkerställa att lag- stiftningen är anpassad till den tekniska och legala utvecklingen.

Som särskild utredare förordnades samma dag f.d. generaldirek- tören och chefen för Försvarets radioanstalt Ingvar Åkesson.

Som sakkunniga i utredningen förordnades samma dag ämnes- rådet och biträdande enhetschefen Mikael Andersson, Försvars- departementet och kanslirådet Eva Larsson Behrmann, Försvars- departementet.

Som experter att biträda utredningen förordnades den 2 juni 2017 chefsjuristen Michaela Dràb, Försvarets radioanstalt, avdelnings- chefen Stefan Vestergren, Försvarsmakten, sektionschefen Annika Grahn Sulusi, Försvarsmakten och avdelningsdirektören Christer Hellsten, Försvarets radioanstalt.

Som sekreterare anställdes den 29 maj 2017 hovrättsassessorn Alexander Lundén.

Utredningen har antagit namnet Utredningen om behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt.

Härmed överlämnas betänkandet Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63). Upp- draget är härmed slutfört.

Stockholm i juli 2018

Ingvar Åkesson

/Alexander Lundén

SOU 2018:63Innehåll

5.1.4Behandling av personuppgifter hos

	Försvarets radioanstalt i vissa fall .........................	123
5.1.5	Uppgiftssamlingar .................................................	124

5.1.6Vidarebehandling av personuppgifter

för vissa andra ändamål..........................................

125

5.1.7Elektroniskt utlämnande av och direktåtkomst

till personuppgifter ................................................

126

5.1.8Information till den enskilde, rättelse

		och skadestånd.......................................................	128
	5.1.9	Säkerheten vid behandling ....................................	129
	5.1.10	Personuppgiftsombud ...........................................	130
	5.1.11	Tillsyn och kontroll...............................................	131
	5.1.12	Gallring av personuppgifter ..................................	131
	5.1.13	Straff och överklagande.........................................	134
6	Överväganden och förslag .........................................		137
6.1	Allmänna utgångspunkter ....................................................		137
	6.1.1	Reglering i två nya lagar ........................................	137
	6.1.2	Särskild författningsreglering ...............................	138
6.2	Allmänna bestämmelser........................................................		139
	6.2.1	Syftet med lagarna .................................................	139

6.2.2Tillämpningsområden för lagen om behandling av personuppgifter

vid Försvarsmakten ...............................................

141

6.2.3Tillämpningsområden för lagen om behandling av personuppgifter

	vid Försvarets radioanstalt ....................................	144
6.2.4	Behandlingar som omfattas av de nya lagarna .....	146

Sammanfattning

Uppdraget

Sedan nuvarande särskilda regler för personuppgiftsbehandling i För- svarsmaktens och Försvarets radioanstalts verksamheter trädde i kraft år 2007 har det skett en omfattande utveckling och ett reformarbete på personuppgiftsområdet. Bl.a. har Europeiska unionen (EU) enats om en genomgripande dataskyddsreform som genomfördes under våren 2018. Reformen omfattade dels en allmän dataskyddsförord- ning, dels ett dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet. En konse- kvens av EU:s reform är att den svenska personuppgiftslagen har upphävts och att all personuppgiftslagstiftning som anknyter till denna lag därför behöver ses över och anpassas.

Verksamheter inom försvar och nationell säkerhet är uttryckligen undantagna från EU:s lagstiftningskompetens. Viss verksamhet vid Försvarsmakten och Försvarets radioanstalt regleras emellertid för närvarande av personuppgiftslagen, varför denna utredning fick i upp- drag bl.a. att göra en översyn av de författningar som reglerar per- sonuppgiftsbehandling inom Försvarsmakten och Försvarets radio- anstalt. Utredningen fick även i uppdrag att analysera huruvida rådande lagstiftning är ändamålsenlig för Försvarsmaktens och För- svarets radioanstalts verksamheter och om den är tillräcklig i fråga om skyddet för enskildas personliga integritet.

Sammanfattning

SOU 2018:63

Anpassningar och andra ändringar genom två nya lagar

Tillämpningsområdet

Utredningen föreslår att viss, särskilt angiven verksamhet hos För- svarsmakten och Försvarets radioanstalt även fortsättningsvis ska sär- regleras i två nya heltäckande och självständiga lagar. Utredningen föreslår samtidigt ett antal ändringar i förhållande till nuvarande reg- ler för personuppgiftsbehandling hos de båda myndigheterna. Bl.a. vidgas tillämpningsområdet för vilka verksamheter hos de båda myn- digheterna som omfattas av den särskilda lagregleringen.

Tillåtna rättsliga grunder och behandling för nya ändamål

Som anförts ovan föreslår utredningen vidgade tillämpningsområ- den för de båda nya lagarna jämfört med nuvarande lagstiftning. De nya lagarna innehåller emellertid också tydliga och uttömmande rättsliga grunder som anger vilka personuppgiftsbehandlingar som omfattas av de båda nya lagarna. För Försvarets radioanstalt införs dessutom bestämmelser om s.k. preciserad finalitet, vilket innebär förbättrad förutsägbarhet om i vilka syften Försvarets radioanstalt får vidarebehandla inhämtade uppgifter.

Rättslig grund för Försvarsmakten – Sveriges försvar och säkerhet

Personuppgiftsbehandling inom Försvarsmaktens huvuduppgifter bör omfattas av en svensk nationell reglering. Försvarsmakten före- slås därför få behandla personuppgifter om det är nödvändig för att planera, förbereda och genomföra verksamhet som rör Sveriges för- svar och säkerhet eller internationellt försvars- och säkerhetssamar- bete. Uppgiften att bedriva sådan verksamhet ska följa av lag, förord- ning eller ett särskilt beslut i vilket regeringen har uppdragit åt myndigheten att utföra uppgiften.

Försvarsmakten har bl.a. i uppdrag att upprätthålla och utveckla ett militärt försvar som ytterst kan möta ett väpnat angrepp samt att försvara Sverige och främja svensk säkerhet. Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och använda alla krigsförband för att möta ett militärt hot mot Sverige och svenska intressen. Krigsorganisationen och planeringen av denna innefattar

SOU 2018:63

Sammanfattning

personuppgiftsbehandling av anställda i Försvarsmakten och andra som på annat sätt är knutna till myndigheten. När Försvarsmakten planerar, förbereder och genomför militära operationer och öv- ningar behandlar myndigheten också uppgifter om de som deltar i operationerna och övningarna. Personuppgiftsbehandling inom under- rättelseverksamhet för att lösa Försvarsmaktens militära uppgifter, som inte utgör försvarsunderrättelseverksamhet eller militär säker- hetstjänst, omfattas av bestämmelsen om den rättsliga grunden, lik- som att pröva och anpassa teknisk utrustning och tekniska system. Den rättliga grunden ger Försvarsmakten det stöd för personupp- giftsbehandling enligt den föreslagna lagen som krävs inom bl.a. dessa verksamheter.

Rättsliga grunder för Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst

Med vissa ändringar innehåller den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten i huvudsak samma rättsliga grunder för myndighetens försvarsunderrättelseverksamhet och mili- tära säkerhetstjänst som i nuvarande lagstiftning. Kravet att uppgif- ter om en person får behandlas i försvarsunderrättelseverksamheten endast om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten tas dock bort.

Rättsliga grunder för Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet

Också för denna verksamhet innehåller den föreslagna lagen om be- handling av personuppgifter vid Försvarets radioanstalt samma rätts- liga grunder som i nuvarande lagstiftning. Kravet att uppgifter om en person får behandlas i försvarsunderrättelseverksamheten endast om personen har anknytning till en preciserad inriktning för för- svarsunderrättelseverksamheten tas dock bort.

Sammanfattning

SOU 2018:63

Rättslig grund för Försvarets radioanstalts informationssäkerhetsverksamhet

Av Försvarets radioanstalts instruktion framgår att Försvarets radio- anstalt har i uppdrag att vara statens resurs för teknisk informa- tionssäkerhet och ska ha hög kompetens inom informationssäker- hetsområdet. Förslaget till lag om behandling av personuppgifter vid Försvarets radioanstalt innehåller en rättslig grund som innebär att personuppgifter får behandlas i Försvarets radioanstalts informa- tionssäkerhetsverksamhet om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller reger- ingsbeslut i ett enskilt fall.

Det finns även ett antal tillkommande ändamål för vilka person- uppgifter som behandlas i informationssäkerhetsverksamheten bör få behandlas. Personuppgiftsbehandling föreslås få ske om det är nödvändigt för att tillhandahålla information som behövs hos den som tar emot uppgifter om informationssäkerhet samt om det är nödvändigt för att tillhandahålla information som behövs med an- ledning av samverkan med andra som verkar på informationssäker- hetsområdet såväl inom som utom landet. Detta bör dock bara få ske i den utsträckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det.

En nära samverkan mellan försvarsunderrättelseverksamheten och informationssäkerhetsverksamheten är enligt utredningen av stor betydelse. För underrättelseverksamheten är det angeläget att kunna ta del av uppgifter från informationssäkerhetsverksamheten när det gäller att kartlägga allvarliga yttre hot mot samhällets infra- struktur och främmande underrättelseverksamhet. Personuppgifter förslås därför även få behandlas om det är nödvändigt för att till- handahålla information av detta slag.

Informationssäkerhetsverksamheten är även av betydelse för ut- vecklingsverksamheten. Personuppgifter som får behandlas i infor- mationssäkerhetsverksamheten förslås därför även få behandlas om det är nödvändigt för att tillhandahålla information som behövs i utvecklingsverksamheten.

SOU 2018:63

Sammanfattning

Behandling av personuppgifter i allmänt tillgänglig information

För att kunna bedriva en effektiv försvarsunderrättelseverksamhet utöver den information som inhämtas genom hemliga metoder be- höver både Försvarsmakten och Försvarets radioanstalt också till- gång till allmänt tillgänglig information. Allmänt tillgänglig infor- mation kan vara personuppgifter som kan påträffas vid sökning på internet eller vid sökningar i öppna databaser. Uppgifterna kan vara gratis eller tillgängliga på kommersiell grund. Det kan också röra sig om uppgifter som t.ex. en abonnent på ett eller annat sätt har sam- tyckt att uppgifterna finns med i elektroniska telefonkataloger eller förteckningar över ip-adresser i olika länder

Personuppgifter som utgör allmänt tillgänglig information före- slås därför få behandlas av Försvarsmakten om det är nödvändigt för planering, förberedelse och genomförande av verksamhet som rör Sveriges försvar och säkerhet eller internationellt försvars- och säker- hetssamarbete, försvarsunderrättelseverksamheten, eller den militära säkerhetstjänsten. Motsvarande föreslås för Försvarets radioanstalt om det är nödvändigt för de ändamål som anges för försvarsunder- rättelse- och utvecklingsverksamheten och informationssäkerhets- verksamheten.

Behandling av känsliga personuppgifter

De föreslagna lagarna, liksom de nuvarande, förbjuder behandling av personuppgifter som grundar sig enbart på känsliga personuppgifter. Författningarna innehåller undantag från förbudet genom att andra uppgifter får kompletteras med känsliga uppgifter och att känsliga personuppgifter får användas som sökbegrepp om det är absolut nöd- vändigt. Känsliga personuppgifter i form av biometriska uppgifter får emellertid behandlas självständigt, medan behandling av gene- tiska uppgifter föreslås vara helt förbjudet för båda myndigheterna.

Känsliga personuppgifter föreslås emellertid få behandlas utan hinder av dessa regler om den som personuppgifterna rör har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt har offentliggjort uppgifterna. Detta ska dock inte gälla genetiska uppgifter.

Sammanfattning

SOU 2018:63

Längsta tid för behandling

De föreslagna lagarna reglerar längsta tid för behandling, men inne- håller inte – som de nuvarande – regler om bevarande och gallring. Lagarna syftar nämligen till att skydda den personliga integriteten och reglerar inte bevarande och gallring i arkivlagens mening. Jäm- fört med nuvarande bestämmelser har de därför formuleras om så att det framgår att det är fråga om dataskyddsbestämmelser. Regler- ingen ska utgå från hur länge personuppgifter får behandlas.

Utökade möjligheter till elektroniskt utlämnande

Regleringen av i vilken utsträckning personuppgifter får lämnas ut på medium för automatiserad behandling moderniseras för att möta de ökade behoven av att kunna kommunicera elektroniskt. För För- svarsmakten blir det tillåtet att lämna ut personuppgifter elektro- niskt på annat sätt än genom direktåtkomst om det inte är olämpligt, medan utlämnande från Försvarets radioanstalt är fortsatt mer restriktivt.

Försvarsmakten och Försvarets radioanstalt ska få medge varandra och Säkerhetspolisen direktåtkomst till personuppgifter som har gjorts gemensamt tillgängliga och som behandlas för vissa syften. Även utländska underrättelse- och säkerhetstjänster kan få medges direktåtkomst till uppgifter som Försvarsmakten behandlar för vissa syften, om det t.ex. behövs för samarbetet mot terrorism. Sådan direktåtkomst ska dock endast få medges till personuppgifter i en avskild uppgiftssamling och endast om svenska intressen kan moti- vera det.

Tillsyn över myndigheternas personuppgiftsbehandling

Både Datainspektionen och Statens inspektion för försvarsunder- rättelseverksamheten ska på samma sätt som i dag utöva tillsyn och kontroll över Försvarsmaktens och Försvarets radioanstalts person- uppgiftsbehandling.

SOU 2018:63

Sammanfattning

Konsekvenser för den personliga integriteten

Sammantaget innebär förslagen att skyddet för den personliga integ- riteten kommer att vara på samma nivå som för närvarande. I viss mån kan intrånget i personlig integritet öka genom de ökade möjlig- heterna till direktåtkomst som motiveras av starka försvars- och säker- hetsintressen.

Ikraftträdande och övergångsbestämmelser

De nya författningarna och ändringarna i de befintliga författning- arna föreslås träda i kraft den 1 oktober 2019. Det krävs särskilda övergångsbestämmelser för bestämmelserna om loggning i uppgifts- samlingar. Till de nya lagarna krävs det också övergångsbestämmel- ser för ärenden om tillsyn eller granskning som rör behandlingen av personuppgifter som har påbörjats före ikraftträdandet men inte hunnit slutföras.

Förkortningar m.m.

2016 års dataskydds- Europaparlamentets och rådets direktiv

direktiv	(EU) 2016/680 av den 27 april 2016 om
	skydd för fysiska personer med avseende
	på behöriga myndigheters behandling av
	personuppgifter för att förebygga, för-
	hindra, utreda, avslöja eller lagföra brott
	eller verkställa straffrättsliga påföljder, och
	det fria flödet av sådana uppgifter och om
	upphävande av rådets rambeslut
	2008/977/RIF
brottsdatalagen	Brottsdatalagen (2018:1177)
dataskyddsdirektivet	Europaparlamentets och rådets direktiv
	95/46/EG av den 24 oktober 1995 om
	skydd för enskilda personer med avseende
	på behandling av personuppgifter och om
	det fria flödet av sådana uppgifter
dataskydds-	Europaparlamentets och rådets förordning
förordningen	(EU) 2016/679 av den 27 april 2016 om
	skydd för fysiska personer med avseende
	på behandling av personuppgifter och om
	det fria flödet av sådana uppgifter och om
	upphävande av direktiv 95/46/EG (allmän
	dataskyddsförordning)
dataskydds-	Europarådets konvention av den 28 januari
konventionen	1981 om skydd för enskilda vid automatisk
	databehandling av personuppgifter
	21

Förkortningar

SOU 2018:63

dataskyddslagen	Lagen (2018:218) med kompletterande
	bestämmelser till EU:s dataskydds-
	förordning
dataskydds-	Rådets rambeslut 2008/977/RIF av den
rambeslutet	27 november 2008 om skydd av person-
	uppgifter som behandlas inom ramen för
	polissamarbete och straffrättsligt
	samarbete
DI	Datainspektionen
dir.	direktiv
dnr	diarienummer
EU	Europeiska unionen
Europadomstolen	Europeiska domstolen för de mänskliga
	rättigheterna
Europakonventionen	Europeiska konventionen den 4 november
	1950 angående skydd för de mänskliga
	rättigheterna och de grundläggande
	friheterna
EU-stadgan	Europeiska unionens stadga om de grund-
	läggande rättigheterna
f./ff.	följande sida/sidor
FM	Försvarsmakten
FM-PuF	förordningen (2007:260) om behandling
	av personuppgifter i Försvarsmaktens
	försvarsunderrättelseverksamhet och
	militära säkerhetstjänst

SOU 2018:63Förkortningar

FM-PuL	Lagen (2007:258) om behandling av
	personuppgifter i Försvarsmaktens
	försvarsunderrättelseverksamhet och
	militära säkerhetstjänst
FN	Förenta nationerna
FRA	Försvarets radioanstalt
FRA-PuF	förordningen (2007:261) om behandling av
	personuppgifter i Försvarets radioanstalts
	försvarsunderrättelse- och utvecklings-
	verksamhet
FRA-PuL	lagen (2007:259) om behandling av person-
	uppgifter i Försvarets radioanstalts
	försvarsunderrättelse- och utvecklings-
	verksamhet
FUL	lagen (2000:130) om försvarsunderrättelse-
	verksamhet
Fö	Försvarsdepartementet
IKFN	förordningen (1982:765) om Försvars-
	maktens ingripanden vid kränkningar av
	Sveriges territorium under fred och
	neutralitet m.m.
JO	Riksdagens ombudsmän
JK	Justitiekanslern
KU	Konstitutionsutskottet
MSB	Myndigheten för samhällsskydd
	och beredskap

Förkortningar

SOU 2018:63

NCT	Nationellt centrum för
	terrorhotbedömning
OSL	offentlighets- och sekretesslagen
	(2009:400)
prop.	regeringens proposition
PUL	personuppgiftslagen (1998:204)
RA-FS	Riksarkivets författningssamling
RA-MS	Riksarkivets myndighetsspecifika
	föreskrifter
rskr.	Riksdagsskrivelse
Signalspaningslagen	lagen (2008:717) om signalspaning
	i försvarsunderrättelseverksamhet
Siun	Statens inspektion för försvarsunder-
	rättelseverksamheten
SOU	Statens offentliga utredningar
TDV	Tekniskt detekterings- och varningssystem
TF	Tryckfrihetsförordningen (1949:105)

1 Författningsförslag

1.1Förslag till lag (2019:000) om behandling av personuppgifter vid Försvarsmakten

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att säkerställa att Försvarsmakten kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid Försvarsmaktens behandling av personupp- gifter som rör Sveriges försvar och säkerhet.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter som är till- gängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Vid behandling av personuppgifter enligt denna lag gäller inte lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning.

Författningsförslag

SOU 2018:63

Förhållandet till annan reglering

5 § Bestämmelserna i denna lag ska inte tillämpas i den utsträck- ning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter.

Personuppgiftsansvar

6 § Försvarsmakten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under myndighetens ledning eller på dess vägnar.

7 § Försvarsmakten får vara gemensamt personuppgiftsansvarig med annan endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Definitioner

8 § I denna lag används följande uttryck med nedan angiven be- tydelse.

Uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller kombination av
	åtgärder som vidtas i fråga om per-
	sonuppgifter eller uppsättningar
	av personuppgifter, oavsett om
	det görs automatiserat eller inte,
	t.ex. insamling, registrering, orga-
	nisering, strukturering, lagring,
	bearbetning eller ändring, fram-
	tagning, läsning, användning, ut-
	lämnande, spridning eller till-
	handahållande på annat sätt,
	justering, sammanföring, begräns-
	ning, radering eller förstöring.

SOU 2018:63Författningsförslag

Biometriska uppgifter	Personuppgifter som rör en per-
	sons fysiska, fysiologiska eller
	beteendemässiga kännetecken,
	som tagits fram genom särskild
	teknisk behandling och som möj-
	liggör eller bekräftar unik identi-
	fiering av personen i fråga.
Dataskyddsombud	En fysisk person som utses av
	den personuppgiftsansvarige för
	att självständigt se till att person-
	uppgifter behandlas författnings-
	enligt och på ett korrekt sätt.
Genetiska uppgifter	Personuppgifter som rör en per-
	sons nedärvda eller förvärvade
	genetiska kännetecken och som
	härrör från analys av ett spår av
	eller ett prov från personen i
	fråga.
Logg	Behandlingshistorik som sparas
	viss tid.
Mottagare	Den till vilken personuppgifter
	lämnas ut, med undantag av en
	myndighet som med stöd av för-
	fattning utövar tillsyn, kontroll
	eller revision.
Personuppgift	Varje upplysning om en identi-
	fierad eller identifierbar fysisk
	person som är i livet.
Personuppgiftsansvarig	Den som ensam eller tillsam-
	mans med andra bestämmer ända-
	målen med och medlen för be-
	handlingen av personuppgifter.

FörfattningsförslagSOU 2018:63

Personuppgiftsbiträde	Den som, med stöd av ett skrift-
	ligt avtal eller annan skriftlig
	överenskommelse, behandlar per-
	sonuppgifter för den personupp-
	giftsansvariges räkning.
Tredje part	Någon annan än den som per-
	sonuppgiften rör, personupp-
	giftsansvarige, dataskyddsombu-
	det, personuppgiftsbiträdet och
	sådana personer som under den
	personuppgiftsansvariges eller per-
	sonuppgiftsbiträdets direkta an-
	svar har rätt att behandla person-
	uppgifter.
Uppgiftssamling	En samling med uppgifter som
	med hjälp av automatiserad be-
	handling är gemensamt tillgäng-
	liga.

2 kap. Behandling av personuppgifter

Rättsliga grunder

Försvar och säkerhet

1 § Försvarsmakten får behandla personuppgifter om det är nödvän- digt för att planera, förbereda och genomföra verksamhet som rör

1.Sveriges försvar och säkerhet, eller

2.internationellt försvars- och säkerhetssamarbete. Försvarsmaktens uppgift att bedriva sådan verksamhet som anges

iförsta stycket ska följa av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften.

SOU 2018:63

Författningsförslag

Särskilt om försvarsunderrättelseverksamhet

2 § Personuppgifter får behandlas i Försvarsmaktens försvarsunder- rättelseverksamhet om det är nödvändigt för att bedriva den verksam- het som anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

3 § De personuppgifter som Försvarsmakten har fått tillgång till i myndighetens försvarsunderrättelseverksamhet får fortsatt behand- las i den verksamheten, om det behövs för att fullgöra den.

Vad som sägs i första stycket gäller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslut- ning till lagen.

Särskilt om militär säkerhetstjänst

4 § Personuppgifter får behandlas i Försvarsmaktens militära säker- hetstjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhets- intressen, om det är nödvändigt för att

1.klarlägga verksamhet som innefattar hot mot Sveriges säker- het, eller

2.vidta åtgärder som hindrar eller försvårar säkerhetshotande verksamhet.

5 § Uppgifter om en person får behandlas för de ändamål som anges i 4 § endast om

1.uppgifterna är nödvändiga för att kartlägga verksamhet som innefattar brott som kan hota Sveriges säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvar- ande brottslighet enligt tidigare lagstiftning,

2.uppgifterna är nödvändiga för att kartlägga underrättelseverk- samhet riktad mot Försvarsmakten och dess säkerhetsintressen,

3.uppgifterna är nödvändiga för att kartlägga annan säkerhets- hotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften ska behandlas,

4.personen har lämnat uppgifter om säkerhetshotande verksam- het och personuppgifterna är nödvändiga för att bedöma personens trovärdighet, eller

Författningsförslag

SOU 2018:63

5.uppgifterna avser information som har framkommit i samband med säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) eller

iannat fall är nödvändiga för att utföra en uppgift som rör säker- hetsskydd.

6 § Personuppgifter som behandlas enligt 5 § ska förses med upp- lysning om på vilken av de angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brotts- lig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

Personuppgifter som behandlas enligt 5 § första stycket 1–3 ska i förekommande fall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

7 § Trots vad som sägs i 5 och 6 §§ får personuppgifter som ingår i eller har uppkommit i samband med användning av totalförsvarets telekommunikations- och informationssystem behandlas för att för- hindra obehörig insyn i och påverkan av dessa system. Det gäller även sådana uppgifter som avses i 15, 16, 18 och 19 §§. Behandling som särskilt syftar till att identifiera en person får dock endast utföras om bestämmelserna i 5 § 1, 2 eller 3 tillämpas.

Övriga rättsliga grunder

8 § Personuppgifter som utgör allmänt tillgänglig information får behandlas av Försvarsmakten om det är nödvändigt för de ändamål som anges i 1, 2 och 4 §§.

9 § Personuppgifter får behandlas av Försvarsmakten om det är nöd- vändigt för diarieföring, arkivering, handläggning av ett ärende eller för att utföra annan liknande uppgift som åligger myndigheten.

SOU 2018:63

Författningsförslag

10 § Försvarsmakten får behandla personuppgifter för vetenskap- liga, statistiska eller historiska ändamål inom denna lags tillämp- ningsområde.

11 § Försvarsmakten får behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lämna information vid tillsyn eller kontroll.

Grundläggande krav

Ändamål

12 § Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oför- enligt med det ändamål för vilket personuppgifterna ursprungligen behandlades.

Författningsenlig och korrekt behandling

13 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

14 § Personuppgifter som behandlas ska vara adekvata och rele- vanta i förhållande till ändamålen med behandlingen och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Författningsförslag

SOU 2018:63

Känsliga personuppgifter

15 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

När uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen.

16 § Biometriska uppgifter får behandlas endast om det är absolut nödvändigt för ändamålet för behandlingen. Genetiska uppgifter får inte behandlas.

17 § Vid sökning får personuppgifter som avslöjar ras, etniskt ur- sprung, politiska åsikter, religiös eller filosofisk övertygelse eller med- lemskap i fackförening eller som rör hälsa, sexualliv eller sexuell lägg- ning användas som sökbegrepp om det är absolut nödvändigt för syftet med behandlingen. Detsamma gäller biometriska uppgifter.

Personnummer

18 § Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till

1.ändamålet med behandlingen,

2.vikten av en säker identifiering, eller

3.något annat beaktansvärt skäl.

Om den som uppgifterna rör har offentliggjort uppgifterna eller lämnat sitt samtycke

19 § Utan hinder av vad som föreskrivs i 15, 16 och 18 §§ får per- sonuppgifter behandlas, om den som personuppgifterna rör har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt har offentliggjort uppgifterna.

Första stycket gäller inte genetiska uppgifter.

SOU 2018:63

Författningsförslag

Behandling av personuppgifter i vissa fall

20 § Hantering av information som innebär behandling av person- uppgifter ska inte anses oförenlig med bestämmelserna i 1, 2, 4, 5, 7, 8 och 12–16 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller.

Längsta tid som personuppgifter får behandlas

21 § Personuppgifter som behandlas automatiserat får inte behand- las under längre tid än vad som behövs för något eller några av de ändamål som anges i 1–11 §§.

Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett en- skilt fall besluta att personuppgifter får behandlas under endast viss tid eller bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av personuppgifter

22 § Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller internationella organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvars- makten ska kunna fullgöra sina uppgifter inom ramen för inter- nationellt försvars- och säkerhetssamarbete.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring får ske även i andra fall om det är nödvändigt för verksamheten vid Försvarsmakten.

23 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 2–4 §§.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personupp- gifter elektroniskt enligt första stycket.

Författningsförslag

SOU 2018:63

3 kap. Gemensamt tillgängliga uppgifter

Personuppgifter som får göras gemensamt tillgängliga

1 § Personuppgifter får göras gemensamt tillgängliga om det behövs för något av de ändamål som anges i 2 kap. Personuppgifter som endast ett fåtal personer har tillgång till anses inte som gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling.

Direktåtkomst

Försvarsunderrättelseverksamhet

2 § Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretess- lagen (2009:400) får Säkerhetspolisen och Försvarets radioanstalt medges direktåtkomst till personuppgifter som utgör bearbetnings- underlag och analysresultat inom försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar.

3 § Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrättelse- och säkerhetssam- arbete får, i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det, en utländsk under- rättelse- eller säkerhetstjänst medges direktåtkomst till personuppgif- ter som behandlas med stöd av 2 kap. 2 § och som finns i uppgifts- samlingar.

Direktåtkomst i andra fall

4 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter eller särskilt beslut om vilka som i andra fall än de som anges i 2 § och 3 § får ha direktåtkomst till gemensamt tillgäng- liga uppgifter.

SOU 2018:63

Författningsförslag

Övriga bestämmelser

5 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktåtkomsten, och

2.föreskrifter om behörighet och säkerhet vid sådan åtkomst.

4 kap. Skyldighet som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

1 § Försvarsmakten ska, genom lämpliga tekniska och organisato- riska åtgärder, säkerställa att behandlingen av personuppgifter är för- fattningsenlig och skydda rättigheterna för dem som uppgifterna rör.

2 § Försvarsmakten ska säkerställa att det förs loggar över person- uppgiftsbehandling av gemensamt tillgängliga uppgifter. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om loggar.

3 § Tillgången till personuppgifter ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Säkerheten för personuppgifter

4 § Försvarsmakten ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling eller förstöring och mot för- lust eller annan oavsiktlig skada.

Dataskyddsombud

5 § Försvarsmakten ska inom myndigheten utse ett eller flera data- skyddsombud och anmäla till tillsynsmyndigheten när dataskydds- ombud utses och entledigas.

Författningsförslag

SOU 2018:63

6 § Dataskyddsombudet ska

1.självständigt kontrollera att Försvarsmakten behandlar person- uppgifter författningsenligt och på ett korrekt sätt och i övrigt full- gör sina skyldigheter,

2.informera och ge råd till Försvarsmakten och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samråda med tillsynsmyndigheten, och

4.föra en förteckning över de kategorier av behandlingar som Försvarsmakten ansvarar för och som är helt eller delvis automati- serade.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en förteckning som avses i första stycket 4 ska innehålla.

Om Försvarsmakten bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och rättelse inte vidtas, ska data- skyddsombudet anmäla det till tillsynsmyndigheten.

Personuppgiftsbiträden

7 § Försvarsmakten får, om det är lämpligt, anlita personuppgifts- biträden för behandling av personuppgifter på Försvarsmaktens vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarsmakten försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organi- satoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rättigheterna för den som uppgifterna rör.

8 § Personuppgiftsbiträdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.

9 § Ett personuppgiftsbiträde får inte anlita ett annat personupp- giftsbiträde utan skriftligt tillstånd av Försvarsmakten.

10 § Ett personuppgiftsbiträde eller den eller de personer som arbetar under biträdets eller Försvarsmaktens ledning ska behandla person- uppgifter i enlighet med instruktioner från Försvarsmakten.

SOU 2018:63

Författningsförslag

Om ett personuppgiftsbiträde, i strid med Försvarsmaktens in- struktioner, bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

11 § Det som sägs om Försvarsmaktens skyldigheter i 2–4 §§ gäller även för personuppgiftsbiträden som Försvarsmakten anlitar.

5 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Försvarsmakten ska göra följande allmänna information till- gänglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.Ändamålen med behandlingen.

4.Rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 6 §.

Information som ska lämnas om uppgifterna samlas in från personen själv

2 § Om uppgifter om en person samlas in från personen själv, ska Försvarsmakten när personuppgifterna erhålls, självmant lämna föl- jande information till den som uppgifterna rör:

1.uppgift om att det är Försvarsmakten som är personuppgifts- ansvarig för behandlingen,

2.uppgift om ändamålen med behandlingen, och

3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rättigheter i samband med behandlingen, så- som information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Författningsförslag

SOU 2018:63

Information som ska lämnas efter begäran

3 § Försvarsmakten är skyldig att en gång per kalenderår till den som begär det lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökan- den få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av be- handlingen enligt 6 §.

Utlämnande enligt första stycket behöver inte omfatta person- uppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

En ansökan enligt första stycket ska göras skriftligen hos För- svarsmakten och vara undertecknad av den sökande själv. Informa- tion enligt första stycket ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Begränsning av rätten till information

4 § Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträck- ning sekretess hindrar att uppgifterna lämnas ut.

Om förutsättningarna i första stycket är uppfyllda, är Försvars- makten inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behand- lingen enligt 6 §.

5 § Informationsskyldigheten i 2 och 3 §§ gäller inte personupp- gifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

SOU 2018:63

Författningsförslag

Informationsskyldigheten gäller dock om uppgifterna har läm- nats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.

Rätten till rättelse, radering och begränsning av behandlingen

6 § Försvarsmakten ska på begäran av den som personuppgiften rör snarast rätta, radera eller begränsa sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Försvarsmakten ska också underrätta tredje part till vilken upp- gifterna har lämnats ut om åtgärden, om den som personuppgiften rör begär det eller om en mera betydande skada eller olägenhet för denne skulle kunna undvikas genom en underrättelse.

Någon underrättelse behöver dock inte lämnas, om sekretess hind- rar det eller detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Avgiftsfri information

7 § Information enligt 1 och 2 §§ ska lämnas utan avgift. Information och uppgifter enligt 3 § ska lämnas utan avgift en

gång per kalenderår. Om någon begär information och uppgifter en- ligt 3 § oftare än en gång per kalenderår, får Försvarsmakten avslå begäran.

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 § Den myndighet som regeringen bestämmer ska utöva allmän tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge råd och stöd till Försvarsmakten om myndighetens skyldigheter enligt lag eller annan författning eller när det i övrigt är påkallat.

Författningsförslag

SOU 2018:63

Befogenheter

Utredningsbefogenheter

2 § Tillsynsmyndigheten har rätt att av Försvarsmakten eller ett personuppgiftsbiträde på begäran få

1.tillgång till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

Förebyggande befogenheter

3 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Försvarsmakten eller personuppgifts- biträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att plane- rad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riske- rar att stå i strid med lag eller annan författning.

Korrigerande befogenheter

4 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvars- makten eller ett personuppgiftsbiträde annars inte fullgör sina skyl- digheter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 3 § första stycket försöka förmå Försvarsmakten eller personuppgiftsbiträdet att vidta åtgär- der för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter, eller

2.förelägga Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att full- göra andra skyldigheter.

SOU 2018:63

Författningsförslag

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

7 kap. Skadestånd och överklagande

Skadestånd

1 § Den personuppgiftsansvarige ska ersätta den som personupp- giften rör för skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

Ersättningsskyldigheten kan i den utsträckning det är skäligt, jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne.

Överklagande

2 § Försvarsmaktens beslut om information som ska lämnas enligt 5 kap. 2 och 3 §§ och om rättelse och underrättelse till tredje part enligt 5 kap. 6 § får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

3 § Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrätt.

1.Denna lag träder i kraft den 1 oktober 2019.

2.Bestämmelsen i 4 kap. 2 § om loggning behöver inte tillämpas på automatiserade system för behandling av personuppgifter som inrättats före ikraftträdandet förrän den 1 maj 2024.

3.Ärenden om tillsyn eller granskning av Försvarsmaktens person- uppgiftsbehandling som Datainspektionen eller Statens inspektion för försvarsunderrättelseverksamheten inte har avgjort före ikraftträdan- det handläggs enligt äldre föreskrifter.

Författningsförslag

SOU 2018:63

1.2Förslag till lag (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syftet med lagen

1 § Syftet med denna lag är att säkerställa att Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet samt informationssäkerhetsverksamhet.

3 § Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i eller är av- sedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

4 § Vid behandling av personuppgifter enligt denna lag gäller inte lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning.

Förhållandet till annan reglering

5 § Bestämmelserna i denna lag ska inte tillämpas i den utsträck- ning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsför- ordningen att lämna ut personuppgifter.

SOU 2018:63

Författningsförslag

Personuppgiftsansvar

6 § Försvarets radioanstalt är personuppgiftsansvarig för den be- handling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under myndighetens ledning eller på dess vägnar.

7 § Försvarets radioanstalt får vara gemensamt personuppgifts- ansvarig med annan endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Definitioner

8 § I denna lag används följande uttryck med nedan angiven be- tydelse.

Uttryck	Betydelse
Behandling av personuppgifter	En åtgärd eller kombination av
	åtgärder som vidtas i fråga om
	personuppgifter		eller	uppsätt-
	ningar av personuppgifter, oav-
	sett om det görs automatiserat
	eller inte, t.ex. insamling, regi-
	strering,	organisering,		struktu-
	rering, lagring, bearbetning eller
	ändring,	framtagning,		läsning,
	användning, utlämnande, sprid-
	ning eller tillhandahållande på
	annat sätt, justering, sammanför-
	ing, begränsning,		radering eller
	förstöring.
Biometriska uppgifter	Personuppgifter som rör en per-
	sons fysiska, fysiologiska eller
	beteendemässiga		kännetecken,
	som tagits fram genom särskild

FörfattningsförslagSOU 2018:63

	teknisk behandling och som möj-
	liggör eller bekräftar unik identi-
	fiering av personen i fråga.
Dataskyddsombud	En fysisk person som utses av
	den personuppgiftsansvarige för
	att självständigt se till att person-
	uppgifter behandlas författnings-
	enligt och på ett korrekt sätt.
Genetiska uppgifter	Personuppgifter som rör en per-
	sons	nedärvda eller		förvärvade
	genetiska kännetecken och som
	härrör från analys av ett spår av
	eller ett prov från personen i
	fråga.
Logg	Behandlingshistorik som sparas
	viss tid.
Mottagare	Den till vilken personuppgifter
	lämnas ut, med undantag av en
	myndighet som med stöd av för-
	fattning utövar tillsyn, kontroll
	eller revision.
Personuppgift	Varje upplysning om en identi-
	fierad	eller	identifierbar fysisk
	person som är i livet.
Personuppgiftsansvarig	Den som ensam eller tillsam-
	mans	med	andra	bestämmer
	ändamålen med och medlen för
	behandlingen av personuppgifter.

SOU 2018:63Författningsförslag

Personuppgiftsbiträde	Den som, med stöd av ett skrift-
	ligt avtal eller annan skriftlig
	överenskommelse, behandlar per-
	sonuppgifter för den personupp-
	giftsansvariges räkning.
Tredje part	Någon annan än den som person-
	uppgiften rör, personuppgiftsan-
	svarige, dataskyddsombudet, per-
	sonuppgiftsbiträdet och sådana
	personer som under den person-
	uppgiftsansvariges eller person-
	uppgiftsbiträdets direkta ansvar
	har rätt att behandla person-
	uppgifter.
Uppgiftssamling	En samling med uppgifter som
	med hjälp av automatiserad be-
	handling är gemensamt tillgäng-
	liga.

2 kap. Behandling av personuppgifter

Rättsliga grunder

Försvarsunderrättelseverksamhet

1 § Personuppgifter får behandlas i Försvarets radioanstalts för- svarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunder- rättelseverksamhet och lagen (2008:717) om signalspaning i försvars- underrättelseverksamhet.

2 § De personuppgifter som Försvarets radioanstalt har fått till- gång till i myndighetens försvarsunderrättelseverksamhet får fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.

Vad som sägs i första stycket gäller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslut- ning till lagen.

Författningsförslag

SOU 2018:63

3 § Personuppgifter som behandlas med stöd av 1 och 2 §§ får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrättelseverksamhet,

2.med anledning av samarbete med andra länder och interna- tionella organisationer enligt lagen (2000:130) om försvarsunder- rättelseverksamhet och lagen (2008:717) om signalspaning i försvars- underrättelseverksamhet,

3.i utvecklingsverksamheten för de ändamål som anges i 4 §,

4.i informationssäkerhetsverksamheten för de ändamål som an- ges i 6 §, eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Utvecklingsverksamhet

4 § Om det är nödvändigt för försvarsunderrättelseverksamheten får Försvarets radioanstalt behandla personuppgifter för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska ut- vecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

5 § Personuppgifter som behandlas med stöd av 4 § får även be- handlas om det är nödvändigt för att tillhandahålla information som behövs

1.med anledning av samverkan med annan avseende utvecklings- verksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med andra länder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,

3.i försvarsunderrättelseverksamheten för de ändamål som anges

i1 och 2 §§,

4.i informationssäkerhetsverksamhet för de ändamål som anges

i6 §, eller

SOU 2018:63

Författningsförslag

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Informationssäkerhetsverksamhet

6 § Personuppgifter får behandlas i Försvarets radioanstalts infor- mationssäkerhetsverksamhet om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verk- samheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

7 § Personuppgifter som behandlas med stöd av 6 § får även be- handlas om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos den som tar emot uppgifter om informa- tionssäkerhet,

2.med anledning av samverkan med andra som verkar på infor- mationssäkerhetsområdet såväl inom som utom landet i den ut- sträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det,

3.i försvarsunderrättelseverksamheten för de ändamål som anges

i1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i för- svarsunderrättelseverksamhet, eller

4.i utvecklingsverksamheten för de ändamål som anges i 4 §.

Övriga rättsliga grunder

8 § Personuppgifter som utgör allmänt tillgänglig information får behandlas av Försvarets radioanstalt om det är nödvändigt för de ända- mål som anges i 1, 2, 4 och 6 §§.

9 § Försvarets radioanstalt får behandla personuppgifter för veten- skapliga, statistiska eller historiska ändamål inom denna lags tillämp- ningsområde.

Författningsförslag

SOU 2018:63

10 § Försvarets radioanstalt får behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lämna information vid tillsyn eller kontroll.

Grundläggande krav

Ändamål

11 § Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprung- ligen behandlades.

Författningsenlig och korrekt behandling

12 § Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifternas kvalitet

13 § Personuppgifter som behandlas ska vara adekvata och rele- vanta i förhållande till ändamålen med behandlingen och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Känsliga personuppgifter

14 § Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

SOU 2018:63

Författningsförslag

När uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen.

15 § Biometriska uppgifter får behandlas endast om det är absolut nödvändigt för ändamålet för behandlingen. Genetiska uppgifter får inte behandlas.

16 § Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning användas som sökbegrepp om det är absolut nödvändigt för syftet med behandlingen. Detsamma gäller biometriska uppgifter.

Om den som uppgifterna rör har offentliggjort uppgifterna

17 § Utan hinder av vad som föreskrivs i 14 och 15 §§ får person- uppgifter behandlas, om den som personuppgifterna rör på ett tyd- ligt sätt offentliggjort uppgifterna.

Första stycket gäller inte genetiska uppgifter.

Behandling av personuppgifter i vissa fall

18 § Hantering av information som innebär behandling av per- sonuppgifter ska inte anses oförenlig med bestämmelserna i 1, 4, 6, 8 och 11–15 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka personuppgifter som informationen innehåller.

Längsta tid som personuppgifter får behandlas

19 § Personuppgifter som behandlas automatiserat får inte be- handlas under längre tid än vad som behövs för något eller några av de ändamål som anges i 1–10 §§.

Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter får behandlas under endast

Författningsförslag

SOU 2018:63

viss tid eller bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utlämnande av personuppgifter

20 § Personuppgifter som behandlas med stöd av denna lag får föras över till en utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informationssäkerhetsområdet eller en interna- tionell organisation endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internationellt försvarsunderrättelse- och säkerhetssamarbete.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter eller i enskilt fall besluta att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarets radioanstalt.

21 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om regeringen har meddelat föreskrifter eller särskilt beslutat om det.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 2–6 §§.

3 kap. Gemensamt tillgängliga uppgifter

Personuppgifter som får göras gemensamt tillgängliga

1 § Personuppgifter får göras gemensamt tillgängliga och behand- las i uppgiftssamlingar om det behövs för något av de ändamål som anges i 2 kap. 1–10 §§. Personuppgifter som endast ett fåtal personer har tillgång till anses inte som gemensamt tillgängliga.

SOU 2018:63

Författningsförslag

Direktåtkomst

Försvarsunderrättelseverksamhet

2 § Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretess- lagen (2009:400) får Säkerhetspolisen och Försvarsmakten medges direktåtkomst till personuppgifter som utgör analysresultat inom försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar.

3 § Om det behövs för samarbetet mot terrorism eller för annat internationellt säkerhetssamarbete får, i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utländsk underrättelse- eller säkerhetstjänst medges direkt- åtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § och som finns i uppgiftssamlingar.

Informationssäkerhetsverksamhet

4 § Om det behövs för samarbetet mot it-relaterade hot mot sam- hällsviktiga system får, i den utsträckning det följer av lag eller för- ordning eller om regeringen i ett enskilt fall beslutar om det, en utländsk organisation inom informationssäkerhetsområdet medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 6 § och som finns i uppgiftssamlingar.

Direktåtkomst i andra fall

5 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter eller särskilt beslut om vilka som i andra fall än i 2–4 §§ får ha direktåtkomst till uppgiftssamlingar.

Övriga bestämmelser

6 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktåtkomsten, och

2.föreskrifter om behörighet och säkerhet vid sådan åtkomst.

Författningsförslag

SOU 2018:63

4 kap. Skyldighet som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

1 § Försvarets radioanstalt ska, genom lämpliga tekniska och orga- nisatoriska åtgärder, säkerställa att behandlingen av personuppgifter är författningsenlig och skydda rättigheterna för dem som uppgift- erna rör.

2 § Försvarets radioanstalt ska säkerställa att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling. Regeringen eller den myn- dighet regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om loggar.

3 § Tillgången till personuppgifter ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Säkerheten för personuppgifter

4 § Försvarets radioanstalt ska vidta lämpliga tekniska och organi- satoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

Dataskyddsombud

5 § Försvarets radioanstalt ska inom myndigheten utse ett eller flera dataskyddsombud och anmäla dessa till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

6 § Dataskyddsombudet ska

1.självständigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samråda med tillsynsmyndigheten, och

SOU 2018:63

Författningsförslag

4.föra en förteckning över de kategorier av behandlingar som Försvarets radioanstalt ansvarar för och som är helt eller delvis auto- matiserade.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en förteckning som avses i första stycket 4 ska innehålla.

Om Försvarets radioanstalt bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och rättelse inte vidtas, ska dataskyddsombudet anmäla det till tillsynsmyndigheten.

Personuppgiftsbiträden

7 § Försvarets radioanstalt får, om det är lämpligt, anlita person- uppgiftsbiträden för behandling av personuppgifter på Försvarets radioanstalts vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarets radioanstalt försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rättigheterna för den som uppgifterna rör.

8 § Personuppgiftsbiträdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.

9 § Ett personuppgiftsbiträde får inte anlita ett annat personupp- giftsbiträde utan skriftligt tillstånd av Försvarets radioanstalt.

10 § Ett personuppgiftsbiträde eller den eller de personer som arbe- tar under biträdets eller Försvarets radioanstalts ledning ska behandla personuppgifter i enlighet med instruktioner från Försvarets radio- anstalt.

Om ett personuppgiftsbiträde, i strid med Försvarets radioanstalts instruktioner, bestämmer ändamålen med och medlen för behand- lingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

11 § Det som sägs om Försvarets radioanstalts skyldigheter i 2–4 §§ gäller även för personuppgiftsbiträden som Försvarets radio- anstalt anlitar.

Författningsförslag

SOU 2018:63

5 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 § Försvarets radioanstalt ska göra följande allmänna information tillgänglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.Ändamålen med behandlingen.

4.Rätten enligt 2 § att begära att få information om behandling av personuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av be- handlingen enligt 5 §.

Information som ska lämnas efter begäran

2 § Försvarets radioanstalt är skyldig att utan onödigt dröjsmål en gång per kalenderår till den som begär det lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behand- las sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av be- handlingen enligt 5 §.

En ansökan enligt första stycket ska göras skriftligen hos För- svarets radioanstalt och vara undertecknad av den sökande själv. Infor- mation enligt första stycket ska lämnas inom en månad från det att

SOU 2018:63

Författningsförslag

ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Begränsning av rätten till information

3 § Informationsskyldigheten i 2 § gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut.

Om förutsättningarna i första stycket är uppfyllda, är Försvarets radioanstalt inte skyldig att lämna ut skälen för beslut enligt första stycket eller beslut i fråga om rättelse, radering eller begränsning av behandlingen enligt 5 §.

4 § Informationsskyldigheten i 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjor- des eller som utgör minnesanteckning eller liknande.

Rätten till rättelse, radering och begränsning av behandlingen

5 § Försvarets radioanstalt ska på begäran av den som personupp- giften rör snarast rätta, radera eller begränsa sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Försvarets radioanstalt ska också underrätta tredje part till vilken uppgifterna har lämnats ut om åtgärden, om den som personupp- giften rör begär det eller om en mera betydande skada eller olägenhet för denne skulle kunna undvikas genom en underrättelse.

Någon underrättelse behöver dock inte lämnas, om sekretess hindrar det eller detta är omöjligt eller skulle innebära en opropor- tionerligt stor arbetsinsats.

Författningsförslag

SOU 2018:63

Avgiftsfri information

6 § Information enligt 1 § ska lämnas utan avgift.

Information och uppgifter enligt 2 § ska lämnas utan avgift en gång per kalenderår. Om någon begär information och uppgifter enligt 2 § oftare än en gång per kalenderår, får Försvarets radioanstalt avslå begäran.

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 § Den myndighet som regeringen bestämmer ska utöva allmän tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge råd och stöd till Försvarets radio- anstalt om myndighetens skyldigheter enligt lag eller annan författ- ning eller när det i övrigt är påkallat.

2 § I lagen (2008:717) om signalspaning i försvarsunderrättelse- verksamhet finns det särskilda bestämmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvars- underrättelse- och utvecklingsverksamheten.

Befogenheter

Utredningsbefogenheter

3 § Tillsynsmyndigheten har rätt att av Försvarets radioanstalt eller ett personuppgiftsbiträde på begäran få

1.tillgång till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

SOU 2018:63

Författningsförslag

Förebyggande befogenheter

4 § Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Försvarets radioanstalt eller personupp- giftsbiträdet att vidta åtgärder för att minska den risken.

Korrigerande befogenheter

5 § Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvarets radio- anstalt eller ett personuppgiftsbiträde annars inte fullgör sina skyl- digheter, får tillsynsmyndigheten

1.genom sådana åtgärder som anges i 4 § första stycket försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att upp- fylla andra skyldigheter, eller

2.förelägga Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

7 kap. Skadestånd och överklagande

Skadestånd

Författningsförslag

SOU 2018:63

Ersättningsskyldigheten kan i den utsträckning det är skäligt, jäm- kas om den personuppgiftsansvarige visar att felet inte berodde på denne.

Överklagande

2 § Försvarets radioanstalts beslut om information som ska lämnas enligt 5 kap. 2 § och om rättelse och underrättelse till tredje part en- ligt 5 kap. 5 § får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

3 § Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrätt.

1.Denna lag träder i kraft den 1 oktober 2019.

2.Bestämmelsen i 4 kap. 2 § om loggning behöver inte tillämpas på uppgiftssamlingar som inrättats före ikraftträdandet förrän den

1maj 2024.

3.Ärenden om tillsyn eller granskning av Försvarets radioanstalts personuppgiftsbehandling som Datainspektionen eller Statens in- spektion för försvarsunderrättelseverksamheten inte har avgjort före ikraftträdandet handläggs enligt äldre föreskrifter.

SOU 2018:63

Författningsförslag

1.3Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att 1 kap. 3 § lagen (2018:218) med komplet- terande bestämmelser till EU:s dataskyddsförordning ska ha föl- jande lydelse.

Nuvarande lydelseFöreslagen lydelse

1 kap.

3 §

Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av

1. lagen (2007:258) om behand-	1. lagen (2019:000) om behand-
ling av personuppgifter i Försvars-	ling av personuppgifter vid Försvars-
maktens försvarsunderrättelseverk-	makten,
samhet och militära säkerhetstjänst,
2. lagen (2007:259) om behand-	2. lagen (2019:000) om behand-
ling av personuppgifter i Försvarets	ling av personuppgifter vid För-
radioanstalts försvarsunderrättelse-	svarets radioanstalt, eller
och utvecklingsverksamhet, eller
3. 6 kap. polisdatalagen	3. 6 kap. polisdatalagen
(2010:361).	(2010:361).

Denna lag träder i kraft den 1 oktober 2019.

Författningsförslag

SOU 2018:63

1.4Förslag till lag om ändring i lagen (2008:717) om signalspaning

i försvarsunderrättelseverksamhet

Härigenom föreskrivs att 2 a och 12 a §§ lagen (2008:717) om signal- spaning i försvarsunderrättelseverksamhet ska ha följande lydelser.

Nuvarande lydelseFöreslagen lydelse

2 a §

Inhämtning får inte avse signaler mellan en avsändare och mot- tagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen eller uppteck- ningen förstöras så snart det står klart att sådana signaler har inhämtats.

Första stycket tillämpas inte i		Första stycket tillämpas inte i
fråga om signaler mellan sändare		fråga om signaler som utväxlas
och mottagare på utländska stats-		autonomt mellan tekniska system
fartyg, statsluftfartyg eller mili-		i sådana fall där signalerna inte
tära fordon.		innehåller personuppgifter. Första
		stycket tillämpas inte heller i fråga
		om övriga signaler mellan sän-
		dare och mottagare på utländska
		statsfartyg, statsluftfartyg eller
		militära fordon.
	12 a §
I lagen (2007:259) om be-		I lagen (2019:000) om be-
handling	av personuppgifter i	handling av personuppgifter vid
Försvarets	radioanstalts försvars-	Försvarets radioanstalt finns ytter-
underrättelse- och utvecklingsverk-		ligare bestämmelser om behand-
samhet finns ytterligare bestäm-		lingen av inhämtade personupp-
melser om behandlingen av in-		gifter.
hämtade personuppgifter.

Denna lag träder i kraft den 1 oktober 2019.

SOU 2018:63

Författningsförslag

1.5Förslag till lag om ändring i brottsdatalagen (2018:1177)

Härigenom föreskrivs att 1 kap. 4 § brottsdatalagen (2018:1177) ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1kap. 4 §

Lagen gäller inte vid Säkerhetspolisens behandling av person- uppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhets-

polisen.
Lagen gäller inte heller i sådan	Lagen gäller inte heller i sådan
verksamhet som omfattas av lagen	verksamhet som omfattas av lagen
(2007:258) om behandling av per-	(2019:000) om behandling av per-
sonuppgifter i Försvarsmaktens för-	sonuppgifter vid Försvarsmakten.
svarsunderrättelseverksamhet och
militära säkerhetstjänst.

Denna lag träder i kraft den 1 oktober 2019.

Författningsförslag

SOU 2018:63

1.6Förslag till förordning (2019:000) om behandling av personuppgifter vid Försvarsmakten

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syfte

1 § I denna förordning finns kompletterande föreskrifter till lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. Uttryck som används i förordningen har samma innebörd som i den lagen.

Gemensamt personuppgiftsansvar

2 § Försvarsmakten får vara gemensamt personuppgiftsansvarig med Säkerhetspolisen, Nationella operativa avdelningen i Polismyn- digheten, Myndigheten för samhällsskydd och beredskap, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets rekryter- ingsmyndighet.

3 § När Försvarsmakten är gemensamt personuppgiftsansvarig med annan ska myndigheten säkerställa att de förpliktelser var och en har i egenskap av personuppgiftsansvarig regleras i en skriftlig överens- kommelse. Vid sådan överenskommelse kvarstår Försvarsmaktens författningsenliga skyldigheter.

Den som personuppgiften rör får, trots en sådan överenskom- melse som avses i första stycket, utöva sina rättigheter gentemot var och en av de personuppgiftsansvariga.

SOU 2018:63

Författningsförslag

2 kap. Behandling av personuppgifter

Utlämnande av personuppgifter

1 § Säkerhetspolisen, Polismyndigheten, Myndigheten för samhälls- skydd och beredskap, Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Totalför- svarets rekryteringsmyndighet, Fortifikationsverket och Försvars- högskolan har rätt att vid direktåtkomst enligt 3 kap. 6, 7, 9 och 10 §§ ta del av de personuppgifter som omfattas av åtkomsten.

2 § Försvarsmakten får inom ramen för internationellt försvars- och säkerhetssamarbete överföra personuppgifter till en utländsk myndig- het eller en internationell organisation, om överföringen tjänar den svenska statsledningen eller det svenska totalförsvaret.

Överföringen av personuppgifter enligt första stycket får inte vara till skada för svenska intressen.

3 kap. Gemensamt tillgängliga uppgifter

Uppgiftssamlingar

Försvarsunderrättelseverksamhet

1 § Vid Försvarsmakten får det finnas uppgiftssamlingar för för- svarsunderrättelseverksamhet som innehåller personuppgifter. Upp- giftssamlingarna får endast innehålla uppgifter som är nödvändiga för att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130) om försvarsunderrättelseverksamhet.

2 § En uppgiftssamling för försvarsunderrättelseverksamhet får endast innehålla

1.identifieringsuppgifter,

2.uppgifter om de omständigheter och händelser som ger anled- ning att anta att den som behandlingen rör har betydelse för för- svarsunderrättelseverksamheten,

3.upplysningar om varifrån uppgiften kommer och om en upp- giftslämnares trovärdighet, och

4.allmänt tillgänglig information som finns på internet eller i öppna databaser.

Författningsförslag

SOU 2018:63

När personuppgifter som avses i första stycket och som finns i rapportunderlag och underrättelserapporter inte längre behövs för de ändamål för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ändamål.

Militär säkerhetstjänst

3 § Vid Försvarsmakten får det finnas uppgiftssamlingar för säker- hetsunderrättelsetjänst som innehåller personuppgifter. Uppgiftssam- lingarna får endast innehålla uppgifter som är nödvändiga för att upp- täcka och klarlägga säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen samt allmänt tillgänglig information som finns på internet eller i öppna databaser.

4 § Vid Försvarsmakten får det finnas uppgiftssamlingar för säker- hetsskyddstjänst som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen.

5 § Vid Försvarsmakten får det finnas uppgiftssamlingar för sig- nalkontroll som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att förhindra obehörig insyn i och påverkan av totalförsvarets telekommunika- tions- och informationssystem.

Personuppgifter i en uppgiftssamling för signalkontroll får inte behandlas längre än ett år efter att behandlingen av uppgifterna på- börjades.

SOU 2018:63

Författningsförslag

Övrig verksamhet

6 § För sådan verksamhet som inte utgör försvarsunderrättelseverk- samhet eller militär säkerhetstjänst får Försvarsmakten bestämma vilka uppgiftssamlingar myndigheten ska ha och vad de ska innehålla.

Direktåtkomst

Försvar och säkerhet

7 § Försvarets materielverk får medges direktåtkomst till person- uppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. Direktåtkomsten får endast avse personuppgifter som rör Försvarsmaktens materiel- och logistikförsörjning och som har gjorts gemensamt tillgängliga.

8 § Totalförsvarets rekryteringsmyndighet får medges direktåtkomst till personuppgifter om som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. Direktåtkomsten får endast avse personuppgifter som rör totalför- svarspliktiga och Försvarsmaktens krigsorganisation och som har gjorts gemensamt tillgängliga.

9 § Finlands försvarsmakt får medges direktåtkomst till person- uppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten om det behövs för planering, förberedelser och genomförande av stöd inom ramen för lagen (2019:000) om operativt militärt stöd mellan Sverige och Finland. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

Försvarsunderrättelseverksamhet

10 § Regeringskansliet, Säkerhetspolisen, Nationella operativa av- delningen i Polismyndigheten, Myndigheten för samhällsskydd och beredskap, Inspektionen för strategiska produkter, Försvarets mate- rielverk, Totalförsvarets forskningsinstitut och Tullverket får med- ges direktåtkomst till personuppgifter som utgör analysresultat och

Författningsförslag

SOU 2018:63

underrättelser och som finns i uppgiftssamlingar för försvarsunder- rättelseverksamhet.

11 § Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrättelse- och säkerhetssamar- bete får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas enligt 2 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmak- ten och som finns i en uppgiftssamling som Försvarsmakten upprättat i syfte att dela informationen med mottagaren.

Innan direktåtkomst medges en utländsk underrättelse- eller säker- hetstjänst enligt första stycket ska Försvarsmakten underrätta Reger- ingskansliet (Försvarsdepartementet).

Militär säkerhetstjänst

12 § Säkerhetspolisen, Nationella operativa avdelningen i Polis- myndigheten, Myndigheten för samhällsskydd och beredskap, Migra- tionsverket, Försvarets materielverk, Försvarets radioanstalt, Total- försvarets forskningsinstitut, Totalförsvarets rekryteringsmyndighet, Fortifikationsverket och Försvarshögskolan får medges direktåt- komst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 1 och 2 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för säker- hetsunderrättelsetjänst.

13 § Säkerhetspolisen får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 5 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för säkerhetsskyddstjänst.

14 § Om det behövs för samarbetet mot säkerhetshotande verk- samhet som riktas mot Försvarsmakten och dess säkerhetsintressen får en utländsk underrättelse- eller säkerhetstjänst medges direkt- åtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § 1 och 2 och som finns i en avskild uppgiftssamling som Försvars- makten upprättat i syfte att dela informationen med mottagaren.

SOU 2018:63

Författningsförslag

Innan direktåtkomst medges en utländsk underrättelse- eller säker- hetstjänst enligt första stycket ska Försvarsmakten underrätta Reger- ingskansliet (Försvarsdepartementet).

Omfattning av direktåtkomst

15 § Försvarsmakten beslutar om omfattningen av direktåtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.

16 § Försvarsmakten ska säkerställa att förutsättningarna för direkt- åtkomsten dokumenteras.

Tillgången till uppgifter hos mottagaren ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.

Direktåtkomst får inte medges innan Försvarsmakten har för- säkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet.

4 kap. Skyldigheter som personuppgiftsansvarig

Tekniska och organisatoriska åtgärder

1 § De åtgärder som Försvarsmakten ska vidta enligt 4 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska vara rimliga med beaktande av behandlingens art, omfattning, sam- manhang och ändamål och de särskilda riskerna med behandlingen.

2 § Försvarsmakten ska föra loggar i myndighetens informations- system som innehåller gemensamt tillgängliga uppgifter. Av loggarna ska framgå vilken medarbetare eller annan som läst, skapat, ändrat eller raderat personuppgifter samt tidpunkten för åtgärden.

Skyldigheten enligt första stycket gäller inte informationssystem som ännu inte börjat användas.

Författningsförslag

SOU 2018:63

Behörigheter

3 § För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

Försvarsmakten ansvarar för att det inom myndigheten finns ruti- ner för tilldelning, förändring, borttagning och regelbunden upp- följning av behörigheter för åtkomst till personuppgifter.

Säkerheten vid behandling av personuppgifter

4 § Skyddsåtgärder enligt 4 kap. 4 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarsmakten ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av

1.de tekniska möjligheter som finns,

2.vad det skulle kosta att genomföra åtgärderna,

3.behandlingens art, omfattning, sammanhang och ändamål,

4.de särskilda risker som finns med behandlingen av person- uppgifterna,

5.om känsliga personuppgifterna behandlas, och

6.hur integritetskänsliga övriga personuppgifter som behandlas är.

Anmälan av överträdelser

5 § Försvarsmakten ska ha interna rutiner för anmälan av över- trädelser av bestämmelser om personuppgiftsbehandling som garan- terar att anmälarens identitet skyddas.

Dataskyddsombud

6 § Försvarsmakten ska säkerställa att dataskyddsombud ges möj- lighet att delta i de frågor som rör skyddet av personuppgifter.

Försvarsmakten ska se till att dataskyddsombud kan utföra de uppgifter som anges i 4 kap. 6 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten genom att tillhandahålla nöd- vändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till personuppgifter

SOU 2018:63

Författningsförslag

som behandlas. Försvarsmakten ska också se till att dataskyddsom- bud ges möjlighet att upprätthålla sin sakkunskap.

Förteckning över kategorier av behandlingar

7 § Den förteckning över kategorier av behandlingar av personupp- gifter som är helt eller delvis automatiserade som ska föras av data- skyddsombudet enligt 4 kap. 6 § första stycket 4 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska innehålla följande uppgifter.

1.Namnet på och kontaktuppgifter till myndigheten.

2.Namnet på och kontaktuppgifter till gemensamt personupp- giftsansvariga.

3.Namnet på dataskyddsombudet.

4.Namnet på personuppgiftsbiträdet.

5.Den rättsliga grunden för behandlingen.

6.Ändamålen med behandlingen.

7.Kategorier av de som berörs av behandlingen.

8.Kategorier av personuppgifter som kan komma att behandlas.

9.Kategorier av tjänstemän som har tillgång till de personupp- gifter som behandlas.

10.Säkerhetsåtgärder.

11.Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i annat land eller internationella organisationer.

12.Överföring av personuppgifter till annat land eller internatio- nella organisationer.

Personuppgiftsbiträden

Avtalets eller överenskommelsens innehåll

8 § Ett avtal eller en annan överenskommelse enligt 4 kap. 8 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av de som berörs av behandlingen och Försvarsmaktens skyldigheter och rättig- heter. I avtalet eller överenskommelsen ska det särskilt föreskrivas att personuppgiftsbiträdet ska

Författningsförslag

SOU 2018:63

1.behandla personuppgifter bara enligt instruktioner från För- svarsmakten,

2.säkerställa att personer som har tillstånd att behandla person- uppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

3.hjälpa Försvarsmakten att säkerställa att bestämmelserna om de rättigheter som de som behandlingen rör har följts,

4.radera eller återlämna alla personuppgifter till Försvarsmakten när uppdraget har slutförts och, om inte annat följer av lag eller för- ordning, radera befintliga kopior,

5.ge Försvarsmakten tillgång till den information som krävs för att visa att det som sägs i denna bestämmelse, 9 § och 4 kap. 7, 9–11 §§ lagen (2019:000) om behandling av personuppgifter vid Försvars- makten följs, och

6.respektera de villkor som framgår av denna bestämmelse och 3 kap. 9 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten vid anlitande av ett annat personuppgiftsbiträde.

Övriga skyldigheter

9 § Det som sägs om Försvarsmaktens skyldigheter i 4 § gäller även för personuppgiftsbiträden som Försvarsmakten anlitar.

5 kap. Enskildas rättigheter

Krav på utformningen av information

1 § Information enligt 5 kap. 1–3 §§ lagen (2019:000) om behand- ling av personuppgifter vid Försvarsmakten ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form.

Beslut

2 § Beslut enligt 5 kap. 3 och 6 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten ska vara skriftliga. Beslut som går den sökande emot ska motiveras.

SOU 2018:63

Författningsförslag

Av 5 kap. 4 § andra stycket lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten framgår att skälen för vissa be- slut inte behöver lämnas ut.

6 kap. Tillsyn

Tillsynsmyndighet

1 § Datainspektionen är tillsynsmyndighet enligt lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten.

Anmälningsskyldighet

2 § Om Datainspektionen i sin tillsyn uppmärksammar förhållan- den som kan utgöra brott, ska myndigheten anmäla det till Åklagar- myndigheten.

Datainspektionen ska samråda med Åklagarmyndigheten innan en sådan anmälan görs. Till anmälan ska inspektionen foga det under- lag som finns och även i övrigt lämna det bistånd som behövs i anled- ning av anmälan.

7 kap. Bemyndiganden

1 § Riksarkivet får, efter samråd med Försvarsmakten, meddela föreskrifter om att personuppgifter som inte längre får behandlas enligt 2 kap. 21 § lagen (2019:000) om behandling av personuppgif- ter vid Försvarsmakten ska bevaras.

2 § Försvarsmakten får meddela närmare föreskrifter om verk- ställighet av bestämmelserna i lagen (2019:000) om behandling av per- sonuppgifter vid Försvarsmakten.

Om föreskrifterna berör integritetsskyddet vid personuppgifts- behandling ska Försvarsmakten samråda med Datainspektionen innan föreskrifterna beslutas.

SOU 2018:63

Författningsförslag

1.7Förslag till förordning (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Syfte

1 § I denna förordning finns kompletterande föreskrifter till lagen (2019:000) om behandling av personuppgifter vid Försvarets radio- anstalt. Uttryck som används i förordningen har samma innebörd som i den lagen.

Gemensamt personuppgiftsansvar

2 § Försvarets radioanstalt får med Försvarsmakten och Säkerhets- polisen ha gemensamt personuppgiftsansvar, inom ramen för myn- dighetsöverskridande samverkan mellan myndigheterna, för att kunna kartlägga

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

3.strategiska förhållanden avseende internationell terrorism som kan hota väsentliga nationella intressen,

4.allvarliga yttre hot mot samhällets infrastrukturer, eller

5.främmande underrättelseverksamhet mot svenska intressen.

3 § När Försvarets radioanstalt är gemensamt personuppgiftsansva- rig med annan ska myndigheten säkerställa att de förpliktelser var och en har i egenskap av personuppgiftsansvarig regleras i en skriftlig överenskommelse. Vid sådan överenskommelse kvarstår Försvarets radioanstalts författningsenliga skyldigheter.

Den som personuppgiften rör får, trots en sådan överenskom- melse som avses i första stycket, utöva sina rättigheter gentemot var och en av de personuppgiftsansvariga.

Författningsförslag

SOU 2018:63

2 kap. Behandling av personuppgifter

Utlämnande av personuppgifter

Överföring av personuppgifter till myndigheter i andra länder och internationella organisationer

1 § Personuppgifter får föras över till en utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informationssäker- hetsområdet eller en internationell organisation, om överföringen tjänar den svenska statsledningen eller det svenska totalförsvaret.

Överföringen av personuppgifter enligt första stycket får inte vara till skada för svenska intressen.

Elektroniskt utlämnande

2 § Personuppgifter får lämnas ut elektroniskt till statliga myndig- heter på annat sätt än genom direktåtkomst.

3 kap. Gemensamt tillgängliga uppgifter

Uppgiftssamlingar

Försvarsunderrättelse- och utvecklingsverksamhet

1 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för råmaterial som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla obearbetat och automatiskt bearbetat material vars relevans för verksamheten ännu inte bedömts.

Personuppgifter i en uppgiftssamling för råmaterial får inte be- handlas längre än ett år efter det att behandlingen av uppgifterna påbörjades.

2 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för analyser som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla bearbetningsunderlag och analysresultat.

SOU 2018:63

Författningsförslag

3 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för underrättelser som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla rapportunderlag och färdiga underrättelserap- porter.

4 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om signalmiljön som innehåller personuppgifter. Upp- giftssamlingarna får endast innehålla information som rör signalmiljön.

5 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om företeelser mot vilka signalspaningen inriktas som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla sådan information om fysiska personer och andra källor som är nöd- vändig eller kan vara nödvändig för att verkställa inriktningar av signalspaning.

6 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för information om teknik- och metodikutveckling som innehåller per- sonuppgifter. Uppgiftssamlingarna får endast innehålla information som rör teknik- och metodikutvecklingen.

7 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för signalskydd som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla information som rör signalskyddet.

Informationssäkerhetsverksamhet

8 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för informationssäkerhetsverksamhet som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla information om uppdrags- givare, information som rör it-angrepp samt bearbetningsunderlag och analysresultat.

Författningsförslag

SOU 2018:63

Övrigt

9 § Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för allmänt tillgänglig information som innehåller personuppgifter. Upp- giftssamlingarna får endast innehålla information som finns eller har funnits på internet eller i öppna databaser.

10 § Vid Försvarets radioanstalt får det finnas uppgiftsamlingar för loggar som förs med stöd av 2 kap. 10 § och 4 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.

Direktåtkomst

Försvarsunderrättelseverksamhet

11 § Regeringskansliet, Säkerhetspolisen, Nationella operativa avdel- ningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvarsmakten, Försvarets materielverk, Totalförsvarets forsknings- institut, Myndigheten för samhällsskydd och beredskap, och Tull- verket får medges direktåtkomst till personuppgifter som utgör under- rättelser och som finns i uppgiftssamlingar.

Informationssäkerhetsverksamhet

12 § Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till personuppgifter som utgör analysresultat och som behandlas i en uppgiftssamling för informationssäkerhetsverksamhet.

Omfattning av direktåtkomst

13 § Försvarets radioanstalt beslutar om omfattningen av direktåt- komst som följer av lag, förordning eller regeringens beslut i enskilt fall.

14 § Försvarets radioanstalt ska säkerställa att förutsättningarna för direktåtkomsten dokumenteras.

Tillgången till uppgifter hos mottagaren ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.

SOU 2018:63

Författningsförslag

Direktåtkomst får inte medges innan Försvarets radioanstalt har försäkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet.

4 kap. Skyldigheter som personuppgiftsansvarig

Tekniska och organisatoriska åtgärder

1 § De åtgärder som Försvarets radioanstalt ska vidta enligt 4 kap. 1, 2 och 4 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska vara rimliga med beaktande av behand- lingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen.

2 § Försvarets radioanstalt ska föra loggar i myndighetens infor- mationssystem som innehåller uppgiftssamlingar för försvarsunder- rättelse- och informationssäkerhetsverksamhet. Av loggarna ska fram- gå vilken medarbetare eller annan som läst, skapat, ändrat eller raderat personuppgifter samt tidpunkten för åtgärden.

Skyldigheten enligt första stycket gäller inte informationssystem som ännu inte börjat användas.

Behörigheter

3 § För tilldelning av behörighet för åtkomst till personuppgifter ska det särskilt beaktas att det, utöver behovet av uppgifterna, ställs krav på utbildning och erfarenhet.

Försvarets radioanstalt ansvarar för att det inom myndigheten finns rutiner för tilldelning, förändring, borttagning och regelbun- den uppföljning av behörigheter för åtkomst till personuppgifter.

Säkerheten vid behandling av personuppgifter

4 § Skyddsåtgärder enligt 4 kap. 4 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av

1.de tekniska möjligheter som finns,

2.vad det skulle kosta att genomföra åtgärderna,

Författningsförslag

SOU 2018:63

3.behandlingens art, omfattning, sammanhang och ändamål,

4.de särskilda risker som finns med behandlingen av personupp- gifterna,

5.om känsliga personuppgifterna behandlas, och

6.hur integritetskänsliga övriga personuppgifter som behandlas är.

Anmälan av överträdelser

5 § Försvarets radioanstalt ska ha interna rutiner för anmälan av överträdelser av bestämmelser om personuppgiftsbehandling som garanterar att anmälarens identitet skyddas.

Dataskyddsombud

6 § Försvarets radioanstalt ska säkerställa att dataskyddsombud ges möjlighet att delta i de frågor som rör skyddet av personuppgifter.

Försvarets radioanstalt ska se till att dataskyddsombud kan ut- föra de uppgifter som anges i 4 kap. 6 § lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt genom att till- handahålla nödvändiga resurser, ge tillgång till dokumentation om behandling av personuppgifter och vid behov medge åtkomst till per- sonuppgifter som behandlas. Försvarets radioanstalt ska också se till att dataskyddsombud ges möjlighet att upprätthålla sin sakkunskap.

Förteckning över kategorier av behandlingar

7 § Den förteckning över kategorier av behandlingar som ska föras av dataskyddsombudet enligt 4 kap. 6 § första stycket 4 lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska innehålla följande uppgifter.

1.Namnet på och kontaktuppgifter till myndigheten.

2.Namnet på och kontaktuppgifter till gemensamt personupp- giftsansvariga.

3.Namnet på dataskyddsombudet.

4.Namnet på personuppgiftsbiträden.

5.Den rättsliga grunden för behandlingen.

6.Ändamålen med behandlingen.

SOU 2018:63

Författningsförslag

7.Kategorier av de som berörs av behandlingen.

8.Kategorier av personuppgifter som kan komma att behandlas.

9.Kategorier av tjänstemän som har tillgång till de personupp- gifter som behandlas.

10.Säkerhetsåtgärder.

11.Kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut, även i annat land eller internationella organisationer.

12.Överföring av personuppgifter till annat land eller internatio- nella organisationer.

Personuppgiftsbiträden

Avtalets eller överenskommelsens innehåll

8 § Ett avtal eller en annan överenskommelse enligt 4 kap. 8 § lagen (2019:000) om behandling av personuppgifter vid Försvarets radio- anstalt ska ange vad behandlingen ska avse, hur länge behandlingen ska pågå, dess art och ändamål, typen av personuppgifter, kategorier av de som berörs av behandlingen och Försvarets radioanstalts skyl- digheter och rättigheter. I avtalet eller överenskommelsen ska det sär- skilt föreskrivas att personuppgiftsbiträdet ska

1.behandla personuppgifter bara enligt instruktioner från För- svarets radioanstalt,

2.säkerställa att personer som har tillstånd att behandla person- uppgifter har förbundit sig att iaktta regler om tystnadsplikt eller omfattas av lagstadgad tystnadsplikt,

3.hjälpa Försvarets radioanstalt att säkerställa att bestämmel- serna om de rättigheter som de som behandlingen rör har följts,

4.radera eller återlämna alla personuppgifter till Försvarets radio- anstalt när uppdraget har slutförts och, om inte annat följer av lag eller förordning, radera befintliga kopior,

5.ge Försvarets radioanstalt tillgång till den information som krävs för att visa att det som sägs i denna bestämmelse, 9 § och 4 kap. 7, 9–11 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt följs, och

6.respektera de villkor som framgår av denna bestämmelse och 4 kap. 9 § lagen (2019:000) om behandling av personuppgifter vid För- svarets radioanstalt vid anlitande av ett annat personuppgiftsbiträde.

Författningsförslag

SOU 2018:63

Övriga skyldigheter

9 § Det som sägs om Försvarets radioanstalts skyldigheter i 4 § gäller även för personuppgiftsbiträden som Försvarets radioanstalt anlitar.

5 kap. Enskildas rättigheter

Krav på utformningen av information

1 § Information enligt 5 kap. 1 och 2 §§ lagen (2019:000) om be- handling av personuppgifter vid Försvarets radioanstalt ska vara lättillgänglig och lättbegriplig och lämnas i lämplig form.

Beslut

2 § Beslut enligt 5 kap. 2 och 5 §§ lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt ska vara skriftliga. Beslut som går den sökande emot ska motiveras.

Av 5 kap. 3 § andra stycket lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt framgår att skälen för vissa beslut inte behöver lämnas ut.

6 kap. Tillsyn

Tillsynsmyndighet

1 § Datainspektionen är tillsynsmyndighet enligt lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt.

Anmälningsskyldighet

2 § Om Datainspektionen i sin tillsyn uppmärksammar förhållan- den som kan utgöra brott, ska myndigheten anmäla det till Åklagar- myndigheten.

SOU 2018:63

Författningsförslag

7 kap. Bemyndiganden

1 § Riksarkivet får, efter samråd med Försvarets radioanstalt, med- dela föreskrifter om att personuppgifter som inte längre får behand- las enligt 2 kap. 19 § lagen (2019:000) om behandling av personupp- gifter vid Försvarets radioanstalt ska bevaras. Sådana föreskrifter får dock inte omfatta personuppgifter som inte längre får behandlas en- ligt 3 kap. 1 § denna förordning.

2 § Försvarets radioanstalt får meddela närmare föreskrifter om verk- ställighet av bestämmelserna i lagen (2019:000) om behandling av per- sonuppgifter vid Försvarets radioanstalt.

Om föreskrifterna berör integritetsskyddet vid personuppgifts- behandling ska Försvarets radioanstalt samråda med Datainspektio- nen innan föreskrifterna beslutas.

1.Denna förordning träder i kraft den 1 oktober 2019.

2.Bestämmelserna i 3 kap. 10 § om loggning behöver inte tilläm- pas på uppgiftssamlingar som inrättats före ikraftträdandet förrän den 1 maj 2024.

Författningsförslag

SOU 2018:63

1.8Förslag till förordning om ändring i förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrättelseverksamheten

Härigenom föreskrivs att 1 och 3 §§ förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrättelseverk- samheten ska ha följande lydelser.

Nuvarande lydelse

Föreslagen lydelse

1 §

Statens inspektion för försvarsunderrättelseverksamheten har till uppgift att kontrollera försvarsunderrättelseverksamheten hos de myndigheter som enligt förordningen (2000:131) om försvarsunder- rättelseverksamhet bedriver sådan verksamhet. Inspektionen ska kontrollera att dessa myndigheter, i den försvarsunderrättelseverk- samhet som utförs, efterlever lagar och förordningar samt i övrigt fullgör sina skyldigheter.

Inspektionen har även till uppgift att lämna myndigheterna råd och stöd beträffande myndig- heternas skyldigheter i den verk- samhet som inspektionen har till uppgift att kontrollera och granska.

3 §

Statens inspektion för försvarsunderrättelseverksamheten ska

granska
behandlingen av uppgifter en-	den behandling av personupp-
ligt lagen (2007:258) om behand-	gifter i Försvarsmaktens försvars-
ling av personuppgifter i Försvars-	underrättelseverksamhet och mili-
maktens försvarsunderrättelseverk-	tära säkerhetstjänst som sker med
samhet och militära säkerhetstjänst	stöd av lagen (2019:000) om be-
samt enligt lagen (2007:259) om	handling av personuppgifter vid
behandling av personuppgifter i	Försvarsmakten. Inspektionen ska
Försvarets radioanstalts försvars-	även granska den behandling av
underrättelse- och utvecklings-	personuppgifter i Försvarets radio-
verksamhet.	anstalts försvarsunderrättelse- och

Författningsförslag

SOU 2018:63

1.9Förslag till förordning om ändring i förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten

Härigenom föreskrivs att 3 § förordningen (1995:1301) om hand- läggning av skadeståndsanspråk mot staten ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §

Justitiekanslern handlägger anspråk på ersättning med stöd av

–36 kap. 17 § andra stycket brottsbalken,

–2 kap. 1 § eller 3 kap. 1, 2 eller 4 § skadeståndslagen (1972:207), om anspråket grundas på ett påstående om felaktigt beslut eller underlåtenhet att meddela beslut,

–23 § datalagen (1973:289),

–artikel 82 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

2 kap. 6 § lagen (2007:258)		7 kap. 1 § lagen (2019:000)
om behandling av personuppgifter		om behandling av personuppgifter
i Försvarsmaktens försvarsunder-		vid Försvarsmakten och 7 kap. 1 §
rättelseverksamhet	och militära	lagen (2019:000) om behandling
säkerhetstjänst och 2 kap. 5 § lagen		av personuppgifter vid Försvarets
(2007:259) om	behandling av	radioanstalt,
personuppgifter i Försvarets radio-
anstalts försvarsunderrättelse- och
utvecklingsverksamhet,

–lagen (1998:714) om ersättning vid frihetsberövanden och andra tvångsåtgärder, dock inte anspråk som avses i 8 § i den lagen,

–5 kap. 3 § lagen (2017:496) om internationellt polisiärt sam- arbete, om anspråket grundas på ett påstående om felaktigt beslut eller underlåtenhet att meddela beslut,

–26 § lagen (2011:111) om förstörande av vissa hälsofarliga miss- brukssubstanser,

–46 kap. 20 § skatteförfarandelagen (2011:1244), eller

–44 § kameraövervakningslagen (2013:460).

2Utredningens uppdrag och arbete

2.1Utredningsuppdraget

Utredningsuppdraget består i att göra en översyn av den lagstiftning som gäller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt och för att säkerställa att lagstiftningen är anpassad till den tekniska och legala utvecklingen.

Utredningen syftar till att analysera om rådande lagstiftning är ändamålsenlig för Försvarsmaktens och Försvarets radioanstalts verk- samheter och om den är tillräcklig i fråga om skydd för enskildas per- sonliga integritet Uppdraget omfattar även att utreda hur person- uppgifter behandlas hos Försvarets radioanstalt i samband med att myndigheten stödjer andra myndigheter och statligt ägda bolag inom informationssäkerhetsområdet.

Om EU:s dataskyddsförordning, som trädde i kraft den 25 maj 2018, och därtill kopplad svensk författning skapar behov av komp- letterande författningsbestämmelser för Försvarsmaktens och För- svarets radioanstalts personuppgiftsbehandling, ska utredningen även lämna förslag till sådana kompletterande bestämmelser.

Utredningens direktiv finns i bilaga 1.

Tilläggsdirektiv (förlängd tid för uppdraget) finns i bilaga 2.

2.2Genomförande av uppdraget

Utredningsarbetet påbörjades i slutet av maj 2017 och har bedrivits på sedvanligt sätt med regelbundna utredningssammanträden med experter och sakkunniga. Utredningen har sammanträtt vid 17 till- fällen. Utredningen har besökt Försvarets radioanstalt, Försvarsmakten

3Försvarsmaktens och Försvarets radioanstalts uppgifter

3.1Försvarsmaktens uppgifter

Försvarsmaktens grundläggande uppgifter framgår av 1–3 a §§ förord- ningen (2007:1266) med instruktion för Försvarsmakten (instruktio- nen för Försvarsmakten). Försvarsmakten har ett brett uppdrag som övergripande innebär ansvar för att upprätthålla och utveckla ett militärt försvar som ytterst kan möta ett väpnat angrepp. Grunden för Försvarsmaktens verksamhet ska vara förmågan till väpnad strid. Av bestämmelserna framgår vidare bl.a. att Försvarsmakten ska för- svara Sverige och främja svensk säkerhet; upptäcka och avvisa kränk- ningar av det svenska territoriet; kunna delta i internationella militära insatser; genomföra räddnings-, evakuerings-, och förstärkningsinsat- ser; bedriva omvärldsbevakning och upptäcka och identifiera yttre hot mot Sverige och svenska intressen samt att ta fram underlag för beslut om höjd beredskap. Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och använda alla krigsförband för att möta ett militärt hot mot Sverige och svenska intressen. Krigsför- band ska kunna krigsorganiseras även om höjd beredskap inte råder.

Försvarsmakten ska vidare, enligt 3 b § 1–4 instruktionen för För- svarsmakten särskilt bedriva verksamhet enligt lagen (2000:130) om försvarsunderrättelseverksamhet; leda och bedriva militär säkerhets- tjänst; leda och samordna signalskyddstjänsten, inklusive arbetet med säkra kryptografiska funktioner som är avsedda att skydda skyddsvärd information, samt biträda Regeringskansliet i frågor som rör kryptoverksamhet och annan signalskyddsverksamhet. Försvars- maktens underrättelseverksamhet beskrivs närmare i avsnitt 3.3.

Av instruktionen för Försvarsmakten följer även att Försvars- makten, med myndighetens befintliga förmåga och resurser ska kunna lämna stöd till civil verksamhet; ansvara för att samla in, bearbeta

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

och lämna Kustbevakningen sjölägesinformation; på uppdrag av För- svarets materielverk bedriva exportrelaterad verksamhet inom för- svarssektorn; medverka i statsceremonier och på begäran av polisen utföra helikoptertransporter som är av större vikt för genomföran- det av polisiära insatser; bedriva militär luftfart; kunna bedriva inter- nationell militär test-, utbildnings-, och övningsverksamhet i Sverige och genomföra utbildning för svenska och utländska deltagare av- seende internationell fredsfrämjande, säkerhetsfrämjande och kon- fliktförebyggande verksamhet.

För att upprätthålla och utveckla ett militärt försvar krävs utveck- ling av teknik och metodik. Enligt 5 f § instruktionen för Försvars- makten ska Försvarsmakten bl.a. bedriva egna studier och försök för inriktning och utveckling av det militära försvaret. Som ett exempel på när Försvarsmakten har behov av att bedriva dessa studier och försök kan nämnas regeringens uppdrag till Försvarsmakten att, med stöd av Försvarets radioanstalt, analysera och utveckla förmåga att genomföra aktiva operationer i cybermiljön för ett förstärkt cyber- försvar (Försvarsmaktens regleringsbrev för 2018).

Försvarsmakten ansvarar även jämte Säkerhetspolisen för den huvudsakliga tillsynen av säkerhetsskyddet i Sverige. Fördelningen myndigheterna emellan innebär att Säkerhetspolisen utövar tillsyn över myndigheter på det civila området och Försvarsmakten över myndig- heter som hör till Försvarsdepartementet samt Försvarshögskolan och Fortifikationsverket (39 § säkerhetsskyddsförordningen [1996:633]). Sammantaget innebär regleringen i säkerhetsskyddsförordningen att Försvarsmakten och Säkerhetspolisen har rätt att utöva tillsyn i alla slag av verksamheter som säkerhetsskyddslagen (1996:627) gäller för, med undantag för Regeringskansliet, riksdagen och dess myndigheter och Justiekanslern. Till dessa verksamheter ska i stället Säkerhets- polisen på begäran lämna råd (47 § säkerhetsskyddsförordningen).

Här kan anmärkas att regeringen har föreslagit en ny säkerhets- skyddslag (prop. 2017/18:89). Den nya lagen föreslås träda i kraft den 1 april 2019.

Försvarsmakten har vidare vissa andra arbetsuppgifter som rör Sveriges försvar och säkerhet och som anges i lag eller förordning. Nedan ges ett antal exempel på sådana uppgifter.

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

1.Enligt förfogandelagen (1978:262) får Försvarsmakten under vissa omständigheter besluta att ta i anspråk egendom eller tjänster.

2.För att utreda och bedöma en totalförsvarspliktigs förutsättningar att fullgöra värnplikt kan Försvarsmakten genomföra annan utred- ning enligt 2 kap. 1 § lagen (1994:1809) om totalförsvarsplikt (3 kap. 5 § andra stycket förordningen [1995:238] om totalförsvarsplikt).

3.I lagen (2006:343) om Försvarsmaktens stöd till polisen vid terrorismbekämpning finns bestämmelser om Försvarsmaktens stöd till Polismyndigheten och Säkerhetspolisen vid terrorism- bekämpning i form av insatser som kan innebära användning av våld eller tvång mot enskilda.

4.Försvarsmakten är enligt 4 § instruktionen för Försvarsmakten beslutsmyndighet enligt lagen (2006:939) om kvalificerade skydds- identiteter i fall som avses i 2 § 3 den lagen.

5.Enligt förordningen (1982:314) om utnyttjande av Kustbevak- ningen inom Försvarsmakten ska personal ur Kustbevakningen inom Försvarsmakten användas för övervakning, transporter och andra uppgifter enligt närmare överenskommelse mellan myndig- heterna.

6.Enligt förordningen (1992:391) om uttagning av egendom för totalförsvarets behov ska Försvarsmakten föra ett register över uttagen egendom och egendomens ägare.

7.Enligt förordningen om Sveriges försvarsattachéer (FFS 1985:20) ska en försvarsattaché, i det land eller de länder som han eller hon svarar för, följa och bedöma den militärpolitiska utvecklingen och utvecklingen i övrigt inom det totala försvaret, hålla sig under- rättad om den säkerhetspolitiska utvecklingen samt i övrigt full- göra uppgifter enligt Försvarsmaktens bestämmande.

Internationella samarbeten

Svensk säkerhet är beroende av internationella samarbeten och Sverige är en aktiv medlem i FN och EU. Sverige ingår också i ett partner- skap med Nato och bedriver bi- och multilaterala samarbeten på försvarsområdet med de nordiska och baltiska länderna, liksom med andra länder, t.ex. Storbritannien, Tyskland och USA.

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

Sverige utvecklar ett särskilt fördjupat försvarssamarbete med Finland. Som ett utslag av detta kan nämnas att det i SOU 2018:31 föreslås en lag om operativt militärt stöd mellan Sverige och Finland. Lagen syftar till att möjliggöra ett snabbare beslutsfattande om att, efter begäran från Finland, sätta in svenska väpnade styrkor för att stödja Finland med att hindra kränkningar av finskt territorium, samt att begära stöd från Finland i form av militära styrkor för att möta ett väpnat angrepp mot Sverige eller för att hindra kränkningar av svenskt territorium. Betänkandet bereds i Regeringskansliet.

Försvarsmakten deltar i de internationella samarbeten Sverige har på försvarsområdet, liksom i internationella fredsfrämjande och humanitära insatser. Försvarsmakten bidrar också till ett förstärkt underrättelsesamarbete inom ramen för EU:s gemensamma utrikes- och säkerhetspolitik och EU:s krishanteringsförmåga. Målsättningen för det internationella försvarssamarbetet är att effektivare använda resurser och öka den operativa förmågan för det svenska försvaret. Den svenska försvarsförmågan syftar ytterst till försvar av det egna territoriet men ska också betraktas som en del i en gemenskap för stabilitet och säkerhet i Europa.

3.2Försvarets radioanstalts uppgifter

Försvarets radioanstalts uppgifter framgår av förordningen (2007:937) med instruktion för Försvarets radioanstalt. Av förordningen fram- går bl.a. att Försvarets radioanstalt har till uppgift att bedriva signal- spaning enligt lagen (2008:717) om signalspaning i försvarsunder- rättelseverksamhet och anslutande förordning (1 §).

Försvarets radioanstalt ska enligt 2 § förordningen med instruk- tion för Försvarets radioanstalt särskilt

1.följa förändringen av signalmiljön i omvärlden, den tekniska ut- vecklingen och signalskyddet,

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten, och

3.utföra matematiska bedömningar av kryptosystem för totalför- svaret.

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

Enligt samma förordning ska Försvarets radioanstalt därutöver upp- rätthålla kompetensen för de nationella behoven i fråga om krypto- logi (2 a §) samt biträda andra myndigheter vid värdering, utveck- ling, anskaffning och drift av signalspaningssystem (3 §).

Försvarets radioanstalt ska också stödja Försvarsmakten genom att utveckla metodik och utbilda personal inom signalspanings- området (3 a §), stödja Försvarsmaktens deltagande i internationella insatser med kompetens, personal och materiel (3 b §), vidmakthålla och utveckla signalreferensbibliotek för Försvarsmaktens behov (3 c §).

På uppdrag av Försvarets materielverk ska Försvarets radioanstalt utföra prov och utveckling inom teleteknikområdet (3 d §).

Försvarets radioanstalt ska ha hög teknisk kompetens inom informationssäkerhetsområdet och får efter begäran stödja sådana statliga myndigheter och statligt ägda bolag som hanterar informa- tion som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende. Försvarets radioanstalt ska särskilt kunna stödja insatser vid nationella kriser med it-inslag, medverka till identifieringen av inblandade aktörer vid it-relaterade hot mot samhällsviktiga system, genomföra it-säkerhetsanalyser och ge annat tekniskt stöd. Försvarets radioanstalt ska samverka med andra organisationer inom informationssäkerhetsområdet såväl inom som utom landet (4 §).

Av Försvarets radioanstalts regleringsbrev för 2018 framgår att myndigheten ska fortsatt utveckla och på begäran kunna placera ut tekniska detekterings- och varningssystem (TDV) vid de mest skydds- värda verksamheterna bland statliga myndigheter och statligt ägda bolag, som hanterar information som bedöms vara känslig från sår- barhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende.

Av regleringsbrevet för 2018 framgår vidare att myndigheten ska stödja Försvarsmakten i dess uppdrag att fortsätta analysera och ut- veckla förmåga att genomföra aktiva operationer i cybermiljön för ett förstärkt cyberförsvar.

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

3.3Försvarsunderrättelseverksamhet

Försvarsunderrättelseverksamhet bedrivs enligt särskild reglering i bl.a. lagen (2000:130) och förordningen (2000:131) om försvarsunderrättel- severksamhet, samt i lagen (2008:717) och förordningen (2008:923) om signalspaning i försvarsunderrättelseverksamhet.

Av lagen om försvarsunderrättelseverksamhet framgår att försvars- underrättelseverksamhet ska bedrivas till stöd för svensk utrikes-, säkerhets-, och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet samt att försvarsunderrättelseverksamhet endast får avse utländska förhållanden. I verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete. Lagen anger vidare att regeringen ska bestämma försvarsunderrättelseverksam- hetens inriktning. Inom ramen för denna inriktning får de myndig- heter som regeringen bestämmer ange en närmare inriktning av verksamheten. Inriktning av signalspaning i försvarsunderrättelse- verksamhet regleras i lagen om signalspaning i försvarsunderrättelse- verksamhet, se avsnitt 3.3.5.

Avgränsningen till utländska förhållanden innebär att försvars- underrättelseverksamheten typiskt sett ska inhämta, bearbeta, ana- lysera och delge sådan information om företeelser och förhållanden i andra länder som ger svenska beslutsfattare ett förbättrat underlag för beslut och bedömningar i utrikes-, säkerhets- och försvarspoli- tiska frågor eller för att skydda svensk personal som deltar i inter- nationella insatser. Verksamheten kan under vissa förhållanden även avse företeelser inom landet exempelvis om en organisation med verksamhet som utgör ett hot mot landet har sitt ursprung i ett annat land, men verkar genom representanter i Sverige eller genom att på annat sätt utnyttja resurser i Sverige. Det handlar då om att följa upp utländska förhållandens koppling till Sverige för att kunna bedöma hotbilden mot landet.

Enligt 2 § förordningen om försvarsunderrättelseverksamhet ska försvarsunderrättelseverksamhet bedrivas av Försvarsmakten, För- svarets radioanstalt, Försvarets materielverk och Totalförsvarets forskningsinstitut.

Försvarsunderrättelseverksamheten ska fullgöras genom inhämt- ning (teknisk och personbaserad), bearbetning och analys av infor- mation samt rapportering till berörda myndigheter (2 § lagen om försvarsunderrättelseverksamhet). Lagen hänvisar till att det i lagen

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

(2008:717) om signalspaning i försvarsunderrättelseverksamhet finns vissa bestämmelser om teknisk inhämtning.

De myndigheter som bedriver försvarsunderrättelseverksamhet får inte vidta åtgärder som syftar till att lösa uppgifter som enligt lagar eller andra föreskrifter ligger inom ramen för Polismyndighetens, Säkerhetspolisens och andra myndigheters brottsbekämpande och brottsförebyggande verksamheter. Om det inte finns hinder enligt andra bestämmelser, får de myndigheter som bedriver försvarsunder- rättelseverksamhet emellertid lämna stöd till andra myndigheters brottsbekämpande och brottsförebyggande verksamhet (4 § lagen om försvarsunderrättelseverksamhet). Försvarsunderrättelseverksamhet som består i att genom tekniska metoder, såsom signalspaning, in- hämta kommunikation anses inte utgöra en sådan åtgärd som avses i 4 §. Sådan verksamhet bedrivs nämligen inte på sådant sätt att den kan störa andra myndigheters verksamhet, och den syftar inte heller till att lösa en föreskriven uppgift för brottsbekämpande och brotts- förebyggande verksamhet (jfr prop. 2006/07:63 s. 48).

Enligt 3 § lagen om försvarsunderrättelseverksamhet får de myndig- heter som ska bedriva försvarsunderrättelseverksamhet, etablera och upprätthålla samarbete i underrättelsefrågor med andra länder och inte- rnationella organisationer. Enligt 3 § förordningen om försvarsunder- rättelseverksamhet får samarbetet ske endast under förutsättning att syftet med samarbetet är att tjäna den svenska statsledningen och det svenska totalförsvaret. Det anges vidare att de uppgifter som myn- digheterna lämnar till andra länder och internationella organisationer inte får vara till skada för svenska intressen. I den efterföljande para- grafen föreskrivs att myndigheterna ska anmäla frågor om att etablera och upprätthålla samarbetet och om viktiga frågor som uppkommer i samarbetet till Regeringskansliet (Försvarsdepartementet).

Exempel på vad som utgör försvarsunderrättelseverksamhet är säkerhetspolitiska och militärstrategiska bedömningar, analyser av pågående och framtida konflikter, internationella terroristgrupper, cyberhot, massförstörelsevapen samt biografiska underrättelser som avser utländsk militär personal eller andra viktiga befattningshavare.

Försvarsunderrättelseverksamheten går ut på att inom ramen för gällande inriktningar från uppdragsgivare upptäcka på förhand okända företeelser och uppgifter av relevans för dessa. Det kan exempelvis röra sig om uppgifter om nya hot mot svenska säkerhetsintressen, samhällsviktiga funktioner, eller mot svensk hemlig information

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

som inte får hamna hos främmande makt. Verksamheten innebär även att kartlägga redan kända företeelser och följa förändringar i dessa för att tidigt få kunskap om aktörers nya ambitioner, avsikter och för- mågor.

Försvarsunderrättelseverksamhet är också ett centralt verktyg vid kartläggning i efterhand av händelser som oförutsett inträffat, i syfte att finna förklaringar till det inträffade samt för att kartlägga even- tuella ännu inte identifierade inslag i en inträffad händelse. Genom sådan uppföljning kan ytterligare underrättelseinformation produ- ceras som ger dels bättre förståelse för orsakerna bakom det in- träffade, dels kompletterande information om inslag som ännu inte identifierats, t.ex. kvarvarande oupptäckta hot.

3.3.1Försvarsmaktens underrättelseverksamhet och militära säkerhetstjänst

Den underrättelseverksamhet som bedrivs inom Försvarsmakten kan i rättsligt hänseende i huvudsak hänföras till försvarsunderrättelse- verksamhet, militär säkerhetsunderrättelsetjänst och övrig militär underrättelseverksamhet. Den militära säkerhetstjänsten inbegriper, förutom säkerhetsunderrättelsetjänst, säkerhetsskydd och signalskydd.

3.3.2Försvarsmaktens försvarsunderrättelseverksamhet

Av Försvarsmaktens arbetsordning framgår att det är chefen för den militära underrättelse- och säkerhetstjänsten (Must) som ska planera, leda, genomföra och följa upp försvarsunderrättelseverksamheten inom Försvarsmakten (11 kap. 1 § Försvarsmaktens föreskrifter med arbetsordning för Försvarsmakten, FFS 2016:2).

Av lagstiftningen följer att försvarsunderrättelseverksamhet ska följa regeringens inriktning och Försvarsmaktens samt ett antal andra myndigheters närmare inriktning. Dessa inriktningar är hemliga.

Rapportering sker kontinuerligt i form av föredragningar, dialo- ger och skriftliga rapporter.

För att lösa sina uppgifter har Must ett antal egna källor och möj- ligheten att ha samarbeten med utländska myndigheter och inter- nationella organisationer. Must får även information från bland andra

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

Säkerhetspolisen och Försvarets radioanstalt inom ramen för gällande regelverk.

3.3.3Försvarsmaktens militära säkerhetstjänst

Av 3 b § instruktionen för Försvarsmakten framgår att Försvars- makten särskilt ska leda och bedriva militär säkerhetstjänst. I säker- hetsskyddslagen (1996:627) finns bestämmelser om säkerhetsskydd. Med säkerhetsskydd avses enligt 6 § säkerhetsskyddslagen dels skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, dels skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säker- het. Vidare avses med säkerhetsskydd även skydd mot terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott, även om brotten inte hotar rikets säkerhet.

Den militära säkerhetstjänstens uppgift är att skydda de säker- hetsintressen som berör Försvarsmakten och dess tillsynsområde enligt säkerhetsskyddslagstiftningen. Den militära säkerhetstjänsten ska samverka med Säkerhetspolisen och Polismyndigheten. Den militära säkerhetstjänsten ska också samverka med Myndigheten för samhällsskydd och beredskap och andra myndigheter rörande säker- hetsintressen som berör totalförsvaret.

Säkerhetsintressena omfattar, eller kan hänföras till personal, materiel, information, anläggningar och verksamhet. Med begreppet militär säkerhetstjänst avses såväl verksamheten som dess organisa- tion. Den militära säkerhetstjänsten består av säkerhetsunderrät- telsetjänst, säkerhetsskyddstjänst och signalskyddstjänst. Den kan riktas mot hela eller delar av Försvarsmakten, viss funktion eller verksamhet och förband samt verksamhet inom Försvarsmaktens in- tresseområde, t.ex. försvarsindustri (se prop. 2006/07:46 s. 25).

Säkerhetsunderrättelsetjänsten har till uppgift att klarlägga och ana- lysera den säkerhetshotande verksamhetens mål, medel och metoder. Säkerhetshotande verksamhet mot Sverige eller mot insatta förband och insatser i andra länder kan förekomma i form av främmande under- rättelseverksamhet, sabotage, subversiv verksamhet, terrorism och kriminalitet. Säkerhetsunderrättelsetjänst bedrivs genom planläggning, inhämtning, bearbetning och analys samt delgivning av säkerhets- underrättelser.

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

Säkerhetsskyddstjänstens uppgift är att ta fram åtgärder som syftar till att hindra eller försvåra säkerhetshotande verksamhet såsom exempelvis obehörigt röjande av hemliga uppgifter som rör Sveriges säkerhet, sabotage, stöld och terrorism. Säkerhetsskyddstjänsten ska, utifrån hotbild och säkerhetshotande verksamhet, ge säkerhetsin- tressena relevant skydd i form av informationssäkerhet, tillträdes- begränsning och säkerhetsprövning.

Signalskyddstjänsten syftar till att förhindra obehörig insyn i och påverkan av telekommunikations- och it-system med hjälp av kryp- tografiska metoder och övriga signalskyddsåtgärder. Signalskydds- tjänsten är en säkerhetsskyddsangelägenhet där ansvaret omfattar hela totalförsvaret och syftet är att säkerställa säker kommunikation.

En del av signalskyddstjänsten är kontroll av signalskyddet i tele- kommunikations- och it-system, s.k. signalkontroll. Signalkontroll syftar till att klarlägga riskerna för obehörig åtkomst till eller för- vanskning av uppgifter eller störning av telekommunikation. Vidare kan signalkontroll klarlägga att systemen används enligt gällande regelverk (prop. 2006/07:46 s. 25 f.).

Säkerhetsskyddstjänsten och signalskyddstjänsten syftar gemen- samt till att förebygga, förhindra och motverka säkerhetshotande verksamhet. Tillsyn, utbildning, uppföljning och kontroll är nöd- vändiga beståndsdelar för att uppnå ett fullgott säkerhetsskydd.

Chefen för militära underrättelse- och säkerhetstjänsten ansvarar för Försvarsmaktens tillsyn vad avser säkerhetsskyddet vid Fortifi- kationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet (11 kap. 12 § första stycket 6 Försvarsmaktens föreskrifter med arbetsordning för Försvarsmakten, FFS 2016:2).

3.3.4Övrig militär underrättelseverksamhet

Övrig militär underrättelseverksamhet utgörs av den underrättelse- tjänst som Försvarsmakten genomför för att kunna lösa Försvars- maktens militära uppgifter såsom dessa uppgifter framträder exem- pelvis i Försvarsmaktens instruktion, regleringsbrev eller särskilda regeringsbeslut och som inte utgör försvarsunderrättelseverksamhet eller militär säkerhetstjänst. Denna underrättelseverksamhet syftar främst till i att skapa en lägesbild och ge beslutsunderlag för militära chefer.

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

Must bedriver t.ex. militär underrättelsetjänst till stöd för Över- befälhavaren (ÖB), i enlighet med dennes inriktning. Uppgifterna till Must omfattar stöd med bedömningar för ÖB:s långsiktiga utveck- ling av Försvarsmaktens förmågor och förband, försvarsplanläggning, ledning, planering och genomförande av militära insatser i när- området och i de internationella insatsområdena. Must är ålagd att kontinuerligt följa den militära utvecklingen och verksamheten i närområdet.

3.3.5Försvarets radioanstalts signalspaning

i försvarsunderrättelse- och utvecklingsverksamhet

Signalspaning, inhämtning av signaler i elektronisk form, är en in- hämtningsmetod i försvarsunderrättelseverksamheten som regleras i lagen om signalspaning i försvarsunderrättelseverksamhet. Inrikt- ning av signalspaning får endast anges av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdel- ningen vid Polismyndigheten (4 §).

Av 1 § lagen om signalspaning i försvarsunderrättelseverksamhet följer att signalspaning endast får avse utländska förhållanden och ske i syfte att kartlägga vissa i lagen särskilt uppräknade företeelser:

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära internationella insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

3.strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsent- liga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av pro- dukter med dubbla användningsområden och av tekniskt bistånd,

5.allvarliga yttre hot mot samhällets infrastrukturer,

6.konflikter utomlands med konsekvenser för internationell säkerhet,

7.främmande underrättelseverksamhet mot svenska intressen, eller

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

8.främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- eller försvarspolitik.

Försvarets radioanstalt ska ansöka om tillstånd hos Försvarsunder- rättelsedomstolen för den signalspaning som får utföras enligt lagen (4 a §), varefter domstolen meddelar tillstånd om vissa krav är upp- fyllda, bl.a. att syftet med inhämtningen inte kan tillgodoses på ett mindre ingripande sätt och uppdraget beräknas ge information vars värde är klart större än det integritetsintrång som inhämtning i enlighet med ansökan kan innebära (5 §).

Signalspaning i försvarsunderrättelseverksamhet syftar alltid till att rapportera underrättelser som ger ett kompletterande mervärde för uppdragsgivarna utöver den rapportering och det öppna infor- mationsflöde som de i övrigt kan ta del av. Det sker genom att Försvarets radioanstalt inhämtar information som är relevant för att tillgodose de underrättelsebehov som regeringen och andra upp- dragsgivare uttryckt i en inriktning.

Det är normalt sett informationen, inte den källa som för stunden hanterar eller förmedlar information, som är det centrala. Inom vissa underrättelseområden, t.ex. främmande underrättelseverksamhet och terrorism, kan dock enskilda källor vara centrala om de i sig kan ut- göra ett hot mot Sverige och svenska intressen.

Signalspaningen är en viktig del av Sveriges försvarsunderrättelse- verksamhet och bidrar till att ge regeringen underlag för en självstän- dig svensk utrikes-, säkerhets- och försvarspolitik och till att ge andra inriktande myndigheter kvalificerad underrättelseinformation om utländska förhållanden för att de i sin tur ska kunna fullgöra sina uppgifter.

All signalspaning vid Försvarets radioanstalt sker inom ramen för givna inriktningar. De enskilda, i varje givet ögonblick, mest ange- lägna konkreta underrättelsefrågorna kan ofta inte ställas i förväg då de ännu inte är kända. Omvärlden förändras fortlöpande och därmed de konkreta underrättelsebehoven. Av detta följer att Försvarets radioanstalt behöver vara väl förberedd på nya frågeställningar genom att ständigt utveckla förmågor att hitta och identifiera nya relevanta källor till information.

Den information som Försvarets radioanstalt strävar efter att finna och rapportera, i syfte att tillgodose uttryckta underrättelse- behov, är ofta konfidentiell och således skyddsvärd för den källa som

100

SOU 2018:63

Försvarsmaktens och Försvarets radioanstalts uppgifter

hanterar informationen. Informationen är därför ofta försedd med någon form av åtkomstskydd för att förhindra obehörig åtkomst. För att framgångsrikt bedriva försvarsunderrättelse- och utveck- lingsverksamhet krävs därför aktuell och ingående kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som används för att skydda informationen.

För att kunna tillgodose uppdragsgivarnas underrättelsebehov behöver Försvarets radioanstalt ingående kunskap om signalmiljön för att på ett effektivt sätt kunna rikta inhämtningskapacitet mot rätt delar av signalmiljön samt för att kunna urskilja, extrahera och tyda den relevanta informationen. För detta krävs omfattande expertkun- skaper om såväl signalmiljöns struktur som dess användning. För- svarets radioanstalt bedriver därför en utvecklingsverksamhet för att etablera och upprätthålla en tillräckligt god förståelse av signal- miljön, samt tillräckligt god förmåga att kunna bedriva inhämtning, bearbetning och analys av den information som förekommer i signal- miljön. Om det är nödvändigt för försvarsunderrättelseverksamheten får enligt 1 § tredje stycket lagen om signalspaning i försvarsunder- rättelseverksamhet signaler i elektronisk form även inhämtas vid signalspaning för att följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet samt för att fortlöpande utveckla den teknik och metodik som behövs för att bedriva verk- samheten.

Utvecklingsverksamheten har således inte något självständigt existensberättigande, utan syftar enbart till att etablera och vidmakt- hålla fortsatt förmåga som är nödvändig för försvarsunderrättelse- verksamheten.

3.3.6Försvarets radioanstalts informationssäkerhetsverksamhet

Som beskrivits i avsnitt 3.2 har Försvarets radioanstalt ett särskilt uppdrag att lämna stöd så att informationssäkerheten kan upprätt- hållas vid de mest skyddsvärda verksamheterna i Sverige. Försvarets radioanstalt har även till uppgift enligt 17 § förordningen (2015:1053) om totalförsvar och höjd beredskap att tilldela säkra kryptografiska funktioner till ett antal civila myndigheter och organisationer.

101

Försvarsmaktens och Försvarets radioanstalts uppgifter

SOU 2018:63

Försvarets radioanstalt möjlighet att hantera de allvarligaste it- angreppen mot de mest skyddsvärda verksamheterna kräver en för- måga att upptäcka dessa samt att kartlägga bakomliggande aktörer. Signalspaning har en avgörande betydelse för att Försvarets radio- anstalt ska kunna förse uppdragsgivare med unika underrättelser kring it-relaterade hot mot Sverige och svenska intressen. Samma underrättelser kan inom Försvarets radioanstalts informationssäker- hetsverksamhet omsättas till indirekt och direkt skydd som omfattar såväl tekniska tjänster (exempelvis signalskydd, sensorsystem och informationssäkerhetsanalyser) som rådgivning och utbildning.

Ett tydligt exempel på detta ömsesidiga utbyte av information är det tekniska detekterings- och varningssystem (TDV) som Försva- rets radioanstalt tagit fram på uppdrag av regeringen. TDV erbjuds de mest skyddsvärda verksamheter som redan har uppnått en egen god informationssäkerhet, ofta med stöd av Försvarets radioanstalt. Genom signaturer från signalspaning upptäcker systemet avancerade angrepp som kommersiella antivirusprogram inte kan hitta. Sam- tidigt kan det återkommande stöd som Försvarets radioanstalt ger de mest skyddsvärda verksamheterna, ge signalspaningen ny kunskap om tidigare okända angreppsmetoder, tillvägagångssätt eller aktörer. Genom att tillvarata synergierna mellan försvarsunderrättelse- och in- formationssäkerhetsverksamheten skapas således viktiga mervärden.

102

4 Gällande rätt

4.1Internationella överenskommelser

4.1.1Förenta nationerna

Förenta nationernas (FN) allmänna förklaring om de mänskliga rättig- heterna antogs år 1948 av FN:s generalförsamling. Förklaringen om- fattar politiska, medborgerliga, sociala, ekonomiska och kulturella rättigheter. Även om den allmänna förklaringen inte är bindande för medlemsstaterna ses den som ett uttryck för den internationella opinionens krav. Skyddet för den personliga integriteten behandlas i artikel 12. Där anges att ingen får utsättas för godtyckligt ingri- pande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast får underkastas sådana inskränk- ningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, all- män ordning och allmän välfärd. FN har också antagit den inter- nationella konventionen om medborgerliga och politiska rättigheter som trädde i kraft år 1976, till vilken Sverige är ansluten. Skyddet för den personliga integriteten regleras i artikel 17 i konventionen, vilken till sitt innehåll är likvärdig med ovan nämnda artikel 12 i den all- männa förklaringen. Kommittén för de mänskliga rättigheterna har inrättats för att övervaka att medlemsstaterna efterlever sina skyldig- heter enligt konventionen. I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter. Enligt riktlinjerna får medlemsstaterna i den nationella lagstiftningen avseende datoriserade register med person- uppgifter inte samla in eller behandla personuppgifter på ett olagligt sätt eller använda uppgifterna för syften som står i strid med FN:s

103

Gällande rätt

SOU 2018:63

stadga. Ändamålet med ett register ska vara specificerat, berättigat och på något sätt uttryckligt angivet för den som berörs. Detta för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med ändamålet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet.

4.1.2OECD

Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat riktlinjer angående integritetsskyddet och flödet av per- sonuppgifter över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd samtidigt som en rekommendation till medlemsländernas reger- ingar om att beakta riktlinjerna i nationell lagstiftning. Sverige har godtagit rekommendationerna och därmed åtagit sig att följa rikt- linjerna. Riktlinjerna, som är att betrakta som minimiregler, mot- svarar i princip bestämmelserna i Europarådets dataskyddskonven- tion och är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn. Riktlinjerna gäller såväl för uppgifter som lagras automatiskt som uppgifter som förs manuellt. Riktlinjerna innehåller grundläggande principer till skydd för den personliga integriteten, bl.a. att personuppgifter ska vara relevanta för de ända- mål för vilka de ska användas. Vidare anges att personuppgifterna även ska vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ändamål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

4.2Europarätt

4.2.1Europarådet

Europakonventionen

De rättigheter som anges i FN:s allmänna förklaring om de mänsk- liga rättigheterna har utvecklats vidare i Europakonventionen.

Europakonventionen gäller sedan den 1 januari 1995 som lag i Sverige (lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och grundläggande friheterna). Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift

104

SOU 2018:63

Gällande rätt

inte får meddelas i strid med Sveriges åtaganden på grund av kon- ventionen. Det är framför allt artikel 8 i konventionen som har bety- delse för skyddet av den personliga integriteten. Av artikeln framgår att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, till förebyggande av oord- ning eller brott, till skydd för hälsa och moral eller för andra per- soners fri- och rättigheter. Tillämpningsområdet för artikeln omfat- tar behandling av personuppgifter om privatliv, familjeliv, hem eller korrespondens. Artikeln innebär att staten ska avhålla sig från in- grepp i den skyddade rättigheten men också en skyldighet för staten att vidta åtgärder för att skydda den enskildes privata sfär (Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.). En inskränkning i en konventionsskyddad rättighet ska ha stöd i lag. Lagen ska vara så preciserad att inskränkningarna är förutsebara och att lagen är allmänt tillgänglig. Europadomstolen har i praxis slagit fast att intrånget ska vara nödvändigt, dvs. det ska finnas ett ”ange- läget samhälleligt behov” och inskränkningen ska stå i rimlig pro- portion till det syfte som ska tillgodoses genom den.

Europarådets dataskyddskonvention

De dataskyddsregler som antagits inom ramen för Europarådet finns i första hand i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter1 (ETS 108), den s.k. dataskyddskonventionen. Konventionen, som trädde i kraft den 1 oktober 1985, kompletteras av ett antal av ministerkommittén an- tagna icke bindande rekommendationer om hur personuppgifter bör behandlas inom olika områden. Dataskyddskonventionen gäller för Europarådets 47 medlemsstater, men även Mauritius, Senegal, Tunisien och Uruguay är parter till konventionen.

Konventionen brukar ses som en precisering av artikel 8 i Europa- konventionen och syftar till att säkerställa respekten för grund- läggande fri- och rättigheter, särskilt den enskildes rätt till personlig

1Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108).

105

Gällande rätt

SOU 2018:63

integritet i samband med automatiserad behandling av personupp- gifter (artikel 1). Konventionen tar sikte på behandling av personupp- gifter i automatiserade personregister och automatiserad personupp- giftsbehandling i allmän och enskild verksamhet. Personuppgifterna ska enligt konventionen inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet (artikel 5). Vissa kategorier av personuppgifter får inte behandlas genom automati- serad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd (”appropriate safeguards”). Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott (artikel 6).

Konventionen innehåller även enskildas rätt att veta att informa- tion lagras om honom eller henne och rätten att vid behov få den korrigerad (artikel 8). Restriktioner när det gäller rättigheterna i kon- ventionen är endast möjliga när det handlar om ett överordnat intresse, såsom statens säkerhet eller försvar (artikel 9).

Enligt artikel 10 i dataskyddskonventionen, som även omfattar personuppgiftsbehandling som rör nationell säkerhet, åtar sig kon- ventionsstaterna att införa lämpliga sanktioner och rättsmedel (”appro- priate sanctions and remedies”) för överträdelser av sådana bestäm- melser i den nationella lag genom vilka de grundläggande principer för dataskydd som har angetts i konventionen har genomförts. Konven- tionen anger dock inte vilka krav som ställs på sådana sanktioner.

Europarådets ministerkommitté antog år 2001 ett tilläggsproto- koll till dataskyddskonventionen (ETS 181). Det innehåller bestäm- melser om tillsynsmyndigheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004. Av protokollet framgår bl.a. att varje konventionsstat ska se till att en eller flera myndigheter ansvarar för att kontrollera att de åtgärder respekteras som inom dess nationella lagstiftning ger verkan åt de principer som anges i konventionen. Tilläggsprotokollet innehåller vidare bestämmelser som anger att konventionsstaterna ska vidta åtgärder för att säkerställa att över- föring av personuppgifter till ett land som inte är konventionspart får ske bara om landet i fråga säkerställer en adekvat skyddsnivå för uppgifterna.

Konventionens roll som grundläggande dokument för automati- serad behandling av personuppgifter inom EU har i princip över-

106

SOU 2018:63

Gällande rätt

tagits av EU:s reglering i form av direktiv och förordning. EU:s reg- lering omfattar emellertid inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet (dvs. utan- för unionsrätten). På dessa områden är dataskyddskonventionen därför fortfarande av betydelse.

Europarådet inledde år 2010 en översyn av konventionen och rekommendationerna. Europarådets medlemsstater antog ett ändrings- protokoll den 18 maj 2018. Ändringsprotokollet träder i kraft när det har ratificerats av Europarådets alla 47 medlemsstater. Ändrings- protokollet kan också träda i kraft om det har ratificerats av 38 med- lemsstater, men gäller följaktligen då endast för de stater som har ratificerat protokollet.2

4.2.2Europeiska unionen

Stadgan

Av Europeiska unionens stadga om de grundläggande rättigheterna3 framgår att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens sam- tycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs (artikel 8).

I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får en- dast göras om de är nödvändiga och svarar mot ett allmänt samhälls- intresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

2Ändringsprotokollet (Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), som antogs på Europarådets ministermöte i Helsingör, Danmark, finns tillgängligt på Europarådets hemsida: www.coe.int

3Europeiska unionens stadga om de grundläggande fri- och rättigheterna (2010/C 83/02).

107

Gällande rätt

SOU 2018:63

EU-stadgan är rättsligt bindande för medlemsstaterna vid tillämp- ning av unionsrätten. Stadgan ska således inte tillämpas på nationell lagstiftning inom områden där EU inte har lagstiftningskompetens.4

1995 års dataskyddsdirektiv

Den allmänna regleringen av personuppgiftsbehandling inom Euro- peiska unionen fanns till den 25 maj 2018 i 1995 års dataskyddsdirek- tiv. Direktivet syftade till att garantera en hög och i alla medlems- stater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Direktivet, som har genomförts i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med tillhörande förordning gällde inte för behandling av personuppgifter utanför unionsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Personuppgiftslagen redogörs närmare för i avsnitt 4.3.3.

EU:s dataskyddsreform

Europeiska kommissionen presenterade i januari 2012 förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Reformen omfattar dels en allmän dataskyddsförordning som ersätter 1995 års dataskyddsdirektiv, dels ett nytt direktiv (2016 års data- skyddsdirektiv) med särregler för personuppgiftsbehandling i främst den brottsbekämpande sektorn.

EU:s dataskyddsförordning och 2016 års dataskyddsdirektiv är tvingande endast inom unionsrätten och innehåller också uttryckliga undantag för behandling av personuppgifter som sker inom verk- samhet som inte omfattas av unionsrätten.

4Lissabonfördraget artikel 6.

108

SOU 2018:63

Gällande rätt

EU:s dataskyddsförordning

Allmänt

Sedan den 25 maj 2018 utgör Europaparlamentets och rådets förord- ning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), hädanefter EU:s dataskyddsförordning eller dataskydds- förordningen, grunden för generell personuppgiftsbehandling inom EU. Det huvudsakliga syftet med dataskyddsförordningen är bl.a. att säkerställa en enhetlig skyddsnivå över hela unionen och att und- vika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden. Dataskyddsförordningen är direkt tillämp- lig i alla EU:s medlemsstater men förutsätter och möjliggör samti- digt kompletterande och specificerande nationella bestämmelser av olika slag.

Behandling av personuppgifter som sker inom verksamhet som inte omfattas av EU-rätten, t.ex. försvar och nationell säkerhet, behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik, behandling som utförs av en fysisk person och som är av rent privat natur samt behandling som sker inom brottsbekämpande verksamhet, är uttryckligen undantagna från tillämpningsområdet (artikel 2).

Dataskyddsförordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, person- uppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav. I förhållande till tidigare lag- stiftning ställer dataskyddsförordningen högre krav på de personupp- giftsansvariga genom bestämmelser om bl.a. utökad informationsskyl- dighet och möjlighet att besluta om administrativa sanktionsavgifter (artikel 83). Dessutom inrättas Europeiska dataskyddsstyrelsen med representanter från samtliga EU-länders dataskyddsmyndigheter, däribland Datainspektionen (artikel 68). Styrelsen har befogenhet att fatta beslut i frågor där nationella tillsynsmyndigheter inte kan komma överens, ge råd och vägledning om hur dataskyddsförordningen ska tillämpas och godkänna EU-omfattande uppförandekoder och certifieringar.

109

Gällande rätt

SOU 2018:63

I Sverige

Utöver dataskyddsförordningen gäller sedan den 25 maj 2018 även lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning (dataskyddslagen). Samtidigt som denna lag trädde i kraft upphävdes personuppgiftslagen.

Enligt 1 kap. 2 § dataskyddslagen gäller bestämmelserna i EU:s data- skyddsförordning och dataskyddslagen även vid behandling av person- uppgifter som utgör ett led i en verksamhet som inte omfattas av unions- rätten. Europeiska dataskyddsstyrelsen saknar emellertid behörighet inom detta utvidgade tillämpningsområde (se prop. 2017/18:105 s. 184).

Särskilda undantag från detta utvidgade tillämpningsområde har gjorts för bl.a. lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säker- hetstjänst och lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverk- samhet.

Enligt övergångsbestämmelserna i dataskyddslagen ska personupp- giftslagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet som inte omfattas av unionsrätten. Övergångsbestämmelserna gäller av förklarliga skäl inte sådan personuppgiftsbehandling som om- fattas av Försvarsmaktens och Försvarets radioanstalts ovan nämnda särlagstiftning.

2016 års dataskyddsdirektiv

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 20165 (2016 års dataskyddsdirektiv) innehåller särregler för den personuppgiftsbehandling som behöriga myndigheter utför bl.a. i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott samt för att skydda mot, förebygga och förhindra hot mot den allmänna

5Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga på- följder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF.

110

SOU 2018:63

Gällande rätt

säkerheten. Direktivet ersätter det gällande dataskyddsrambeslu- tet (2008/977/RIF)6 som reglerar utbyte av personuppgifter mellan medlemsstaterna inom denna sektor. Direktivets tillämpningsområde omfattar, till skillnad från rambeslutet, även rent nationell person- uppgiftsbehandling på området för brottsbekämpning, brottmåls- hantering och straffverkställighet.

EU:s nya dataskyddsdirektiv har i huvudsak genomförts genom en ny ramlag, brottsdatalagen (2018:1177) som träder i kraft den 1 augusti 2018. Syftet med lagen är både att skydda fysiska personers grundläggande fri- och rättigheter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt. Lagen är, liksom tidigare personuppgifts- lagen, subsidiär i förhållande till annan lag eller förordning, vilket möj- liggör avvikande bestämmelser i s.k. registerförfattningar.

Brottsdatalagen reglerar inte Säkerhetspolisens behandling av per- sonuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säker- hetspolisen. Utredningen om 2016 års dataskyddsdirektiv har före- slagit att dessa områden ska regleras särskilt (SOU 2017:74). För- slaget bereds i Regeringskansliet.

Brottsdatalagen kan även bli tillämplig i vissa delar av Försvars- maktens verksamhet, t.ex. när militärpolisen och militära skyddsvakter utför uppgifter med polismans befogenhet. Motsvarande kan gälla i samband med att Försvarsmakten lämnar stöd till polisen vid terror- ismbekämpning. Nu nämnda exempel kan dock också komma att utföras inom ramen för Försvarsmaktens militära säkerhetstjänst. Av 4 § brottsdatalagen framgår därför att lagen inte är tillämplig i sådan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst (se prop. 2017/18:232 s. 14 och 102 f.).

6Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Genomfört i svensk rätt huvudsakligen genom personuppgiftslagen (1998:204) med kompletterande bestämmel- ser i lag (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen (2013 års lag).

111

Gällande rätt

SOU 2018:63

4.3Nationell reglering till skydd för den personliga integriteten

4.3.1Rätten till personlig integritet

Svensk rätt saknar en allmängiltig definition av begreppet personlig integritet. Någon entydig definition finns inte heller i internationell rätt7.

Ett sätt att bestämma begreppet personlig integritet är att ange vilka handlingar som utgör kränkningar av densamma. Enligt denna modell, som använts i bl.a. prop. 2006/07:63, En anpassad försvars- underrättelseverksamhet (s. 61), kan kränkningarna delas in i tre huvudgrupper: 1) intrång i en persons privata sfär i fysisk eller annan mening, 2) insamlande av uppgifter om en persons privata förhål- landen och 3) offentliggörande eller annan användning (t.ex. som bevisning i rättegång) av uppgifter om en persons privata förhållan- den. Som konkreta exempel på olika slag av kränkningar angavs intrång i en persons privata sfär genom bl.a. olovlig ljudupptagning, brytande av brevhemlighet, telefonavlyssning och utnyttjande av elektronisk avlyssningsapparatur.

Den personliga integriteten kan alltså kränkas på många olika sätt. Även om det inte finns någon entydig definition av begreppet kan konstateras att kränkningarna innebär ett intrång i en fredad sfär som den enskilde bör vara tillförsäkrad.

4.3.2Regeringsformen

Regeringsformen innehåller grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt bl.a. för den enskilda människans frihet och enligt fjärde stycket ska det allmänna värna om den enskildes privat- och familjeliv. Bestämmel- serna har dock inte någon bindande verkan för det allmänna och kan följaktligen inte ligga till grund för några individuella rättigheter (prop. 1975/76:209 s. 128 och prop. 2009/10:80 s. 173). I 2 kap. reger- ingsformen finns bestämmelser som skyddar enskildas integritet i en vidare mening. Enligt 2 kap. 6 § andra stycket regeringsformen är var

7SOU 2016:65 s. 34, med vidare hänvisning till bl.a. Integritetsutredningen i SOU 2002:18 s. 52 f. och Integritetsskyddskommittén i SOU 2007:22 s. 53 f.

112

SOU 2018:63

Gällande rätt

och en – utöver vad som anges i första stycket i paragrafen om bl.a. påtvingade kroppsliga ingrepp – skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Grundlagsskyddet omfattar enbart betydande intrång. Bestämmelsen infördes den 1 januari 2011 i syfte att stärka skyddet för den personliga integriteten. Begränsning av skyddet får enligt 2 kap. 20 § regeringsformen göras i lag. Det får endast ske för att tillgodose ändamål som är godtagbara i ett demokratiskt sam- hälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 §).

I förarbetena till ändringen i 2 kap. 6 § framhålls att det är natur- ligt att det läggs stor vikt vid uppgifternas karaktär vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utläm- nande av uppgifter om enskildas personliga förhållanden. Ju känsligare uppgifterna är, desto mer ingripande anses det allmännas hantering av uppgifterna normalt vara. Även hantering av ett fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid be- dömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan enligt förarbetena normalt anses vara mer käns- lig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Mängden uppgifter kan också vara en betydelsefull faktor i sammanhanget (prop. 2009/10:80 s. 183).

4.3.3Personuppgiftslagen

Personuppgiftslagen upphävdes i samband med dataskyddslagens ikraftträdande. Enligt övergångsbestämmelse 2 till dataskyddslagen ska personuppgiftslagen bl.a. fortsätta att gälla i sådan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrätten. Den behandling av personuppgifter som omfattas

113

Gällande rätt

SOU 2018:63

av lagen om behandling av personuppgifter i Försvarsmaktens för- svarsunderrättelse- och militära säkerhetstjänst och lagen om behand- ling av personuppgifter i Försvarets radioanstalts försvarsunderrät- telse- och utvecklingsverksamhet är undantagen dataskyddslagen på sätt som beskrivs närmare i avsnitt 4.3.3. Mot denna bakgrund följer här en redogörelse för personuppgiftslagens innehåll.

Personuppgiftslagen innehåller generella regler för all behandling av personuppgifter, dvs. enligt lagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begrep- pet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara eller sprida uppgifter (3 §).

Personuppgiftslagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter men är även tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

Personuppgiftslagen uppställer vissa grundläggande krav för be- handling av personuppgifter; bl.a. laglig behandling, på ett korrekt sätt och i enlighet med god sed (9 §). Därtill får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Personuppgif- terna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Denna s.k. finalitetsprin- cip är av central betydelse vid behandling av personuppgifter och innebär att en prövning måste göras av om eventuella nya ändamål med behandlingen är oförenliga med de ursprungligt angivna ända- målen.

Personuppgiftslagen förbjuder behandling av känsliga personupp- gifter; uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackföre- ning och uppgifter som rör hälsa eller sexualliv. Sådana uppgifter får emellertid behandlas i enlighet med vissa särskilt angivna undantag, bl.a. uttryckligt samtycke från den registrerade. Regeringen, eller den myndighet regeringen bestämmer, får föreskriva ytterligare undan- tag från förbudet om det behövs med hänsyn till ett viktigt allmänt intresse (13, 15 och 20 §§).

114

SOU 2018:63

Gällande rätt

Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen (2 § personuppgiftsförordningen [1998:1191]).

Även om personuppgiftslagen härrör ur ett EU-direktiv är lagen, som den formulerats i svensk rätt, inte begränsad till vissa områden, utan är generellt tillämplig och omfattar således även personupp- giftsbehandling utanför unionsrätten. Särreglering i lag eller förord- ning gäller emellertid framför bestämmelserna i personuppgiftslagen (2 §). Sådan särreglering får inte stå i strid med dataskyddskonven- tionen.

Enligt 22 § personuppgiftslagen får uppgifter om personnummer eller samordningsnummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestäm- melser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–27 §§. Bestämmelserna om informationsplikt gäller inte om sekretess eller tystnadsplikt är före- skriven för uppgifterna. På begäran av den registrerade är den per- sonuppgiftsansvarige skyldig att snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med per- sonuppgiftslagen eller föreskrifter som har utfärdats med stöd av lagen (28 §). Om felaktiga uppgifter har lämnats ut till tredje man är den personuppgiftsansvarige i vissa fall skyldig att underrätta denne om rättelsen. Det ska ske om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Tredje man behöver dock inte underrättas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. För att säkerställa en hög säker- hetsnivå vid behandling av personuppgifter finns särskilda bestäm- melser om detta i 30–32 §§.

Det är förbjudet att föra över personuppgifter till tredje land, dvs. en stat utanför EU eller EES, som inte har en adekvat nivå för skyd- det av personuppgifterna (33 §). Förbudet gäller i princip alla per- sonuppgifter. Under vissa förutsättningar är det dock tillåtet att föra över uppgifter till tredje land under förutsättning att den registre- rade antingen gett sitt samtycke eller överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller för att vitala intressen för den registrerade ska kunna skyddas (34 §). Det är också tillåtet att föra över personuppgifter för

115

Gällande rätt

SOU 2018:63

användning enbart i en stat som har anslutit sig till dataskyddskon- ventionen. Regeringen får meddela föreskrifter om ytterligare undantag från förbudet mot överföring (35 §).

Behandling av personuppgifter ska som huvudregel anmälas till Datainspektionen i dess egenskap av tillsynsmyndighet. En anmälan behöver dock inte göras om det finns ett personuppgiftsombud eller om något av de i personuppgiftsförordningen föreskrivna undan- tagen är tillämpligt (36 och 37 §§).

Vidare finns det i personuppgiftslagen bestämmelser om person- uppgiftsombud (38–40 §§), krav på förhandskontroll i vissa fall (41 §), allmän informationsskyldighet (42 §) och tillsynsmyndighetens be- fogenheter (43–47 §§). Det finns också bestämmelser om skadestånd och straff (48–49 §§) samt om överklagande (51–53 §§).

4.3.4Särskilda registerförfattningar

Syftet med särskilda registerförfattningar är att anpassa skyddet för enskildas personliga integritet vid myndigheters personuppgifts- behandling när det finns ett behov av att avvika från eller komplet- tera personuppgiftslagens bestämmelser. Inom olika verksamhets- områden i den offentliga sektorn är det inte ovanligt att myndigheter har särskilda behov som tillgodoses genom att i en registerförfatt- ning ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter. Riksdagen har sedan lång tid tillbaka också gett ut- tryck för uppfattningen att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt i lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11 och rskr. 1990/91:160). Det finns ett stort antal lagar om behandling av personuppgifter som gäller i viss verksamhet eller för ett visst register. Exempel på sådana särskilda registerförfattningar är lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga, patientdatalagen (2008:355) och polisdatalagen (2010:361).

Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet regleras i särskilda författningar, vilket beskrivs närmare i avsnitt 5.

116

5Regleringen av personuppgiftsbehandling vid Försvarsmakten och Försvarets radioanstalt

5.1.1Allmänt

Försvarsmaktens personuppgiftsbehandling inom ramen för försvars- underrättelseverksamheten och den militära säkerhetstjänsten regle- ras i lagen (2007:258) och förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksam- het och militära säkerhetstjänst (FM-PuL och FM-PuF). Regleringen är uppbyggd på samma sätt för Försvarets radioanstalts behandling av personuppgifter som sker med stöd av lagen (2007:259) och för- ordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL och FRA-PuF).

FM-PuL och FRA-PuL gäller vid behandling av personuppgifter inom respektive lags tillämpningsområden om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgäng- liga för sökning eller sammanställning enligt särskilda kriterier. Båda lagarna syftar också till att skydda människor mot att deras person- liga integritet kränks genom behandling av personuppgifter inom lagarnas respektive tillämpningsområden (1 kap. 1 och 2 §§ FM-PuL och FRA-PuL).

Propositionen 2006/07:46 ligger till grund för både FM-PuL och FRA-PuL och merparten av bestämmelserna för Försvarsmaktens och Försvarets radioanstalts personuppgiftsbehandling är utformade på samma sätt i de båda lagarna. Vissa bestämmelser som gäller för den ena myndigheten saknar emellertid motsvarighet i den andra

119

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

lagen. Dessa bestämmelser redovisas i förekommande fall separat för respektive myndighet.

FM-PuL och FRA-PuL är båda självständiga och heltäckande regleringar som ersätter personuppgiftslagen fullt ut inom sina res- pektive tillämpningsområden (1 kap. 1 § andra stycket FM-PuL och FRA-PuL).

Försvarsmakten respektive Försvarets radioanstalt är personupp- giftsansvariga för den behandling av personuppgifter som myndig- heterna utför (1 kap. 5 § FM-PuL och FRA-PuL).

När det gäller Försvarets radioanstalt innehåller även lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet vissa bestämmelser om personuppgiftsbehandling, t.ex. användningen av sökbegrepp och förstöringsskyldighet. Av lagen framgår bl.a. att in- hämtning av signaler i tråd ska ske automatiserat och att sådan inhämt- ning endast får avse signaler som identifierats genom sökbegrepp. Upptagning eller uppteckning av uppgifter som inhämtats enligt lagen om signalspaning i försvarsunderrättelseverksamhet ska omgående förstöras om innehållet bl.a. berör en viss fysisk person och har bedömts sakna betydelse för försvarsunderrättelseverksamheten (1 och 7 §§).

För Försvarsmaktens och Försvarets radioanstalts övriga person- uppgiftsbehandling som inte omfattas av FM-PuL eller FRA-PuL gäller personuppgiftslagen (1998:204). Som nämnts i avsnitt 4.2.2 gäller detta sedan 25 maj 2018 för sådan verksamhet som inte omfattas av unionsrätten.

5.1.2När behandling av personuppgifter är tillåten

Myndigheternas försvarsunderrättelseverksamhet

Av 1 kap. 8 § FM-PuL och FRA-PuL framgår att personuppgifter får behandlas i respektive myndighets försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet. Regeringen konstaterade att försvarsunderrättelseverksamheten är av sådan art att det inte ansetts möjligt att i lagform reglera den i detalj. Utöver bestämmelserna i lagen och förordningen om försvarsunderrättelse- verksamhet styrs emellertid verksamheten även av regeringens inrikt- ning, vilken ytterligare avgränsar de ändamål för vilka verksamheten

120

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

får bedrivas. Försvarsmakten och Försvarets radioanstalt producerar dessutom interna styrdokument där en ytterligare precisering i förhållande till regeringens inriktning görs. På detta sätt bestämmer myndigheterna närmare ändamålen för verksamheten – och därmed ramen för behandlingen av personuppgifter – i enlighet med vad uppgiften som personuppgiftsansvarig ålägger myndigheten (se prop. 2006/07:46 s. 64, 65 och 67). Som beskrivits i avsnitt 3.3.5 anger lagen om signalspaning i försvarsunderrättelseverksamhet för vilka syften signalspaning får ske.

Av 1 kap. 8 § andra stycket FM-PuL och FRA-PuL framgår att uppgifter om en person endast får behandlas om personen också har anknytning till en preciserad inriktning för försvarsunderrättelse- verksamheten och behandlingen är nödvändig för att fullfölja den inriktningen. Med preciserad inriktning avses de interna styrdoku- ment som myndigheterna fastställer för närmare avgränsning av verk- samheten. Vilken grad av anknytning en person ska ha till en preci- serad inriktning för att behandling av uppgifter om honom eller henne ska kunna anses godtagbar, måste med hänsyn till verksam- heternas speciella karaktär avgöras från fall till fall. Under alla om- ständigheter måste det emellertid alltid finnas en sådan koppling mellan en person och den företeelse som verksamheten syftar till att kartlägga att man i efterhand kan kontrollera att personuppgifts- behandlingen är motiverad av verksamhetsskäl och kan hänföras till en viss preciserad inriktning (se prop. 2006/07:46 s. 65 och 67).

Tillgången till personuppgifter ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (1 kap. 16 § FM-PuL och FRA-PuL).

Försvarsmaktens militära säkerhetstjänst

Personuppgifter får enligt 1 kap. 9 § FM-PuL behandlas i den mili- tära säkerhetstjänstens verksamhet för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktar sig mot Försvars- makten och dess säkerhetsintressen, om det är nödvändigt för att

1.klarlägga verksamhet som innefatta hot mot rikets säkerhet, eller

2.vidta åtgärder som hindrar eller försvårar säkerhetshotande verk- samhet.

121

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

För de ändamål som anges i 1 kap. 9 § FM-PuL får uppgifter om en person enligt 1 kap. 10 § behandlas endast om uppgifterna ger grun- dad anledning att anta att personen

1.har utövat eller kan komma att utöva verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,

2.har utövat eller kan komma att utöva underrättelseverksamhet riktad mot Försvarsmakten och dess säkerhetsintressen,

3.utövar annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställ- ning hos Försvarsmakten, och det finns särskilda skäl till att upp- giften skall behandlas,

4.har lämnat uppgifter om säkerhetshotande verksamhet och per- sonuppgifterna är nödvändiga för att bedöma personens trovär- dighet, eller

5.att uppgifterna avser information som har framkommit i sam- band med att en person har genomgått registerkontroll eller sär- skild personutredning enligt säkerhetsskyddslagen (1996:627).

Av 1 kap. 11 § FM-PuL framgår när personuppgifter som ingår i eller har uppkommit i samband med användning av totalförsvarets tele- kommunikations- och informationssystem får behandlas i förhållande till de nämnda villkoren i 10 §.

Liksom inom försvarsunderrättelseverksamheten ska tillgången till personuppgifter alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Försvarets radioanstalts utvecklingsverksamhet

Personuppgifter får enligt 1 kap. 9 § FRA-PuL behandlas av Försva- rets radioanstalt om det är nödvändigt för att

1.följa förändringen av signalmiljön i omvärlden, den tekniska ut- vecklingen och signalskyddet, och

122

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Därutöver får personuppgifter behandlas av Försvarets radioanstalt om det är nödvändigt för att biträda andra myndigheter vid värdering utveckling, anskaffning och drift av signalspaningssystem (1 kap. 10 § FRA-PuL).

5.1.3Känsliga personuppgifter

Försvarsmakten och Försvarets radioanstalt får inte behandla person- uppgifter enbart på grund av vad som är känt om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska över- tygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om myndigheterna behandlar uppgifter om en person på annan grund får de emellertid komplettera (dvs. behandla) dessa uppgifter med känsliga personuppgifter om det är absolut nöd- vändigt för ändamålet med behandlingen (1 kap. 12 § FM-PuL och 1 kap. 11 § FRA-PuL).

5.1.4Behandling av personuppgifter hos Försvarets radioanstalt i vissa fall

Försvarets radioanstalt tillförs en mycket stor mängd obearbetad in- formation som inhämtats genom signalspaning. Informationen är ofta såväl krypterad som avfattad på ett främmande språk. Det är först sedan de inhämtade signalerna har lagrats och därefter krypto- forcerats och översatts, som informationen kan tas fram i klartext eller sändningarnas innehåll kan beskrivas. Det är alltså först då det är utrett om det insamlade materialet innehåller personuppgifter och om det även är fråga om t.ex. känsliga personuppgifter. 1 kap. 13 § FRA-PuL ges Försvarets radioanstalt ett stöd för nu beskrivna åt- gärder inte strider mot lagen i det skede av behandlingen då det ännu inte kunnat fastställas om informationen innehåller personuppgifter. Så snart det kunnat fastställas om informationen innehåller person- uppgifter måste vidare behandling av sådana uppgifter ske i överens- stämmelse med vad som anges i lagen.

123

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

5.1.5Uppgiftssamlingar

Försvarsmakten och Försvarets radioanstalt får behandla personupp- gifter i uppgiftssamlingar (1 kap. 7 § FM-PuL och FRA-PuL).

Av FM-PuF och FRA-PuF framgår vilka uppgiftssamlingar som får finnas hos Försvarsmakten respektive Försvarets radioanstalt samt vilka uppgifter som får behandlas i varje samling.

Uppgiftssamlingar hos Försvarsmakten

Hos Försvarsmakten får det finnas uppgiftssamlingar för försvars- underrättelseverksamhet. Dessa uppgiftssamlingar får endast innehålla identifieringsuppgifter, uppgifter om de omständigheter och händel- ser som ger anledning att anta att den registrerade har betydelse för försvarsunderrättelseverksamheten samt upplysningar om varifrån den registrerade uppgiften kommer och om en uppgiftslämnares trovärdighet. Det framgår vidare att uppgiftssamlingarna endast får innehålla uppgifter som behövs för att Försvarsmakten ska kunna fullgöra uppgifter enligt lagen (2000:130) om försvarsunderrättelse- verksamhet (2 § FM-PuF).

Försvarsmakten får även inom ramen för den militära säkerhets- tjänsten behandla personuppgifter i uppgiftssamlingar för:

1.Säkerhetsunderrättelsetjänst (3 §). Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att upptäcka och klar- lägga säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen.

2.Säkerhetsskyddstjänst (4 §). Uppgiftssamlingarna får endast inne- hålla uppgifter som är nödvändiga för att förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen.

3.Signalkontroll (5 §). Uppgiftssamlingarna får endast innehålla upp- gifter som är nödvändiga för att förhindra obehörig insyn i och påverkan av totalförsvarets telekommunikations- och informations- system.

Bestämmelserna i 3–5 §§ innehåller även vissa särskilda regler om gall- ring av uppgifter i uppgiftssamlingarna. Bestämmelser om gallring redogörs för i avsnitt 5.1.12.

124

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

Uppgiftssamlingar hos Försvarets radioanstalt

Hos Försvarets radioanstalt får det enligt FRA-PuF finnas uppgifts- samlingar för:

1.Råmaterial (2 §). Uppgiftssamlingarna får endast innehålla obear- betat och automatiskt bearbetat material som har inhämtats i försvarsunderrättelseverksamheten och utvecklingsverksamheten.

2.Analyser (3 §). Uppgiftssamlingarna får endast innehålla analys- resultat samt bearbetnings- och rapportunderlag.

3.Underrättelser (4 §). Uppgiftssamlingarna får endast innehålla fär- diga underrättelserapporter.

4.Information om signalmiljön (5 §). Uppgiftssamlingarna får endast innehålla information och tekniska parametrar som rör signal- miljön.

5.Information om företeelser mot vilka signalspaningen inriktas (6 §). Uppgiftssamlingarna får endast innehålla sådan information om signalspaningsobjekt som är nödvändig för att verkställa in- riktningar av signalspaningen.

6.Information om teknik- och metodikutveckling (6 a §). Uppgifts- samlingarna får endast innehålla information och tekniska para- metrar som rör teknik- och metodikutvecklingen.

7.Information om signalskydd (6 b §). Uppgiftssamlingarna får en- dast innehålla information och tekniska parametrar som rör signal- skyddet.

Bestämmelserna i 2, 5 och 6 §§ innehåller även vissa särskilda regler om hur länge personuppgifterna får behandlas. Bestämmelser om gall- ring redogörs för i avsnitt 5.1.12.

5.1.6Vidarebehandling av personuppgifter för vissa andra ändamål

Vidarebehandling av personuppgifter för vissa andra ändamål än de ursprungliga, s.k. sekundära ändamål, får göras med stöd av 1 kap. 6 § 4 p FM-PuL och FRA-PuL. Bestämmelserna ger möjlighet att fortsatt behandla insamlade uppgifter så länge personuppgifterna inte

125

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

behandlas för något ändamål som är oförenligt med det för vilket upp- gifterna samlades in (finalitetsprincipen).

5.1.7Elektroniskt utlämnande av och direktåtkomst till personuppgifter

Utlämnande på medium för automatiserad behandling

Försvarsmakten och Försvarets radioanstalt får endast lämna ut en- staka personuppgifter på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall (1 kap. 14 § FM-PuL och FRA-PuL). Av FM-PuF och FRA-PuF fram- går att utlämnande på sådant medium får ske avseende fler än enstaka uppgifter om uppgifterna lämnas ut till en annan statlig myndighet.

Direktåtkomst

Bestämmelser om direktåtkomst regleras i 1 kap. 15 § FM-PuL och FRA-PuL och är ändrad sedan den 1 mars 2018. Innan ändringen fick regeringen meddela föreskrifter om vilka myndigheter som får ha direktåtkomst till Försvarsmaktens och Försvarets radioanstalts upp- giftssamlingar. Regeringen föreslog i prop. 2017/18:36 att Säkerhets- polisen, Försvarets radioanstalt och Försvarsmakten, inom ramen för samarbetet vid Nationellt centrum för terrorhotbedömning (NCT), ska få lämna ut uppgifter till varandra elektroniskt genom direktåtkomst. Regeringens förslag innehöll ändringar i FM-PuL, FRA-PuL och polisdatalagen (2010:361). När det gäller valet av reg- leringsform fann regeringen att ett möjliggörande av direktåtkomst som form för utlämnande av uppgifter mellan ovan nämnda myndig- heter inom ramen för NCT-samarbetet inte medför att det uppkom- mer ett sådant betydande intrång i enskildas personliga integritet som innebär övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket regeringsformen. Regeringen ansåg emel- lertid ändå att det i det aktuella fallet vara mest ändamålsenligt att reglera direktåtkomsten i lag, främst mot bakgrund av den känsliga verksamhet som myndigheterna inom NCT-samarbetet bedriver samt då utlämnandet förutsätter att sekretessbrytande bestämmelser

126

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

om uppgiftsskyldighet införs. Regeringen beaktade också det faktum att Säkerhetspolisens utlämnande av uppgifter genom direktåtkomst föreslogs regleras i lag (prop. 2017/18:36 s. 27–28).

Riksdagen antog den 24 januari 2018 regeringens proposition och lagändringarna trädde i kraft den 1 mars 2018. Det innebär att Säker- hetspolisen, Försvarets radioanstalt och Försvarsmakten, inom ramen för samarbetet vid NCT, får lämna ut uppgifter till varandra elek- troniskt genom direktåtkomst till uppgifter som behövs för att kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och mot svenska intressen. Direktåtkomsten innebär att myndigheterna kan dela information digitalt, i stället för som tidigare i pappers- format. Nya sekretessbrytande bestämmelser i form av uppgiftsskyl- digheter möjliggör utlämnandet mellan myndigheterna (1 kap. 15 a § FM-PuL och FRA-PuL). Direktåtkomsten innebär ett effektivare arbetssätt för de tre myndigheterna, men omfattar inte fler uppgifter än vad som gällde innan lagändringarna. För övriga situationer av direktåtkomst gäller alltjämt att regeringen får meddela föreskrifter om vilka myndigheter som får ha sådan åtkomst till Försvarsmaktens och Försvarets radioanstalts uppgiftssamlingar. Regeringen, eller den myndighet som regeringen bestämmer, meddelar också de ytter- ligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten som behövs. Det framgår exempelvis av FM-PuF och FRA-PuF att de båda myndigheterna får ha direktåtkomst till uppgifter i uppgiftssamlingar för försvarsunderrättelseverksamhet hos den andra myndigheten i den omfattning som den personupp- giftsansvariga myndigheten beslutar.

Överföring av personuppgifter till andra länder

Av 1 kap. 17 § FM-PuL och FRA-PuL följer att personuppgifter som behandlas med stöd av respektive lag får föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarsmakten eller Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall be- slutat om att överföring får ske även i andra fall då det är nödvändigt för Försvarsmaktens eller Försvarets radioanstalts verksamheter.

127

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

5.1.8Information till den enskilde, rättelse och skadestånd

Information till den enskilde

Försvarsmakten och Försvarets radioanstalt är enligt 2 kap. FM-PuL och FRA-PuL skyldiga att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om huruvida personupp- gifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter ska skriftlig information lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller katego- rier av mottagare som uppgifterna lämnas ut. Sådan information be- höver inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnes- anteckning eller liknande. Informationen ska lämnas inom en månad från ansökan, eller inom fyra månader om det finns särskilda skäl.

Om uppgifter om en person har samlats in i den militära säkerhets- tjänsten från personen själv ska Försvarsmakten dessutom i samband med insamlingen självmant lämna den registrerade viss information om behandlingen av uppgifterna, bl.a. ändamålet med behandlingen och information om mottagarna av uppgifterna. Sådan information behöver emellertid inte lämnas om sådant som den registrerade redan känner till.

Om det vid signalspaning har använts sökbegrepp som är direkt hänförliga till en viss fysisk person ska Försvarets radioanstalt under- rätta personen om detta enligt lagen om signalspaning i försvars- underrättelseverksamhet.

De skyldigheter om informationsgivning och underrättelse som nämnts ovan gäller inte i den utsträckning uppgifterna omfattas av sekretess.

Rättelse

Försvarsmakten och Försvarets radioanstalt är skyldiga att på be- gäran av en registrerad snarast rätta, blockera eller utplåna sådana per- sonuppgifter som inte har behandlats i enlighet med FM-PuL eller FRA-PuL, eller föreskrifter som meddelats med stöd av dessa lagar. Försvarsmakten och Försvarets radioanstalt ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den

128

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver inte lämnas, om detta är omöj- ligt eller skulle innebära en oproportionerligt stor arbetsinsats (2 kap. 5 § FM-PuL och 2 kap. 4 § FRA-PuL).

Motsvarande bestämmelse finns i personuppgiftslagen. Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifter ska vara förknippade med information om att de är spärrade och om anledningen till spärren. Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. Bestämmelsen omfattar inte behandling av uppgifter avseende juridiska personer (se prop. 2006/07:46 s. 90).

Skadestånd

Staten ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL eller föreskrifter som har meddelats med stöd av lagarna har orsakat. Ersättningsskyldig- heten kan i den utsträckning det är skäligt jämkas, om Försvarsmakten respektive Försvarets radioanstalt visar att felet inte berodde på myn- digheten.

Anspråk på ersättning med stöd av 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL riktas mot staten och handläggs av Justitiekanslern (3 § förordningen [1995:1301] om handläggning av skadeståndsanspråk mot staten). Justitiekanslern får besluta att den myndighet som är berörd i ett skaderegleringsärende eller en rättegång ska ansvara för att bl.a. ersättningsbelopp betalas ut till motparten (2 a § förord- ningen [1975:1345] med instruktion för Justitiekanslern).

5.1.9Säkerheten vid behandling

I tredje kapitlet i FM-PuL och FRA-PuL anges vad som krävs för att ett personuppgiftsbiträde eller annan person som arbetar under bi- trädet eller Försvarsmaktens alternativt Försvarets radioanstalts led- ning ska få behandla personuppgifter. Vidare tydliggörs att För- svarsmakten och Försvarets radioanstalt ska vidta lämpliga tekniska

129

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

och organisatoriska åtgärder för att skydda de personuppgifter som behandlas av myndigheterna eller av ett personuppgiftsbiträde som myndigheterna anlitat.

5.1.10Personuppgiftsombud

Av 4 kap. FM-PuL och FRA-PuL framgår att Försvarsmakten och Försvarets radioanstalt ska utse ett eller flera personuppgiftsombud och anmäla dessa till tillsynsmyndigheten. Även ett entledigande av ett personuppgiftsombud ska anmälas till tillsynsmyndigheten. Person- uppgiftsombudet ska ha till uppgift att självständigt se till att den behandlande myndigheten behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för myndigheten.

Om personuppgiftsombudet har anledning att misstänka att den behandlande myndigheten bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet anmäla förhållandet till tillsynsmyndigheten. Personuppgiftsombudet ska även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas.

Personuppgiftsombudets uppgifter omfattar även att föra förteck- ningar över de behandlingar som Försvarsmakten och Försvarets radioanstalt genomför och som är helt eller delvis automatiserade. För Försvarsmakten ska separata förteckningar föras för försvars- underrättelseverksamheten och den militära säkerhetstjänsten. Reger- ingen, eller den myndighet som regeringen bestämmer, meddelar före- skrifter om vad förteckningarna ska innehålla.

Personuppgiftsombudet ska också hjälpa registrerade att få rät- telse när det finns anledning att misstänka att behandlade person- uppgifter är felaktiga eller ofullständiga.

130

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

5.1.11Tillsyn och kontroll

Datainspektionen

Datainspektionen är tillsynsmyndighet för den personuppgiftsbehand- ling som sker enligt FM-PuL och FRA-PuL, och tillsynen regleras i lagarnas femte kapitel.

Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få till- gång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Om tillsynsmyndigheten konsta- terar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas, om ett beslut om utplånande inte skulle vara oskäligt.

Statens inspektion för försvarsunderrättelseverksamheten

Statens inspektion för försvarsunderrättelseverksamheten (Siun) är ansvarig kontrollmyndighet för försvarsunderrättelseverksamheten enligt lagen om försvarsunderrättelseverksamhet och för signalspaning i sådan verksamhet enligt lagen om signalspaning i försvarsunder- rättelseverksamhet. Siun har även till uppgift att granska behand- lingen av uppgifter enligt FM-PuL och FRA-PuL, vilket framgår av 3 § förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrättelseverksamheten.

5.1.12Gallring av personuppgifter

Gallring av personuppgifter hos Försvarsmakten

Vilka uppgiftssamlingar som finns hos Försvarsmakten behandlas ovan under avsnitt 5.1.5.

Enligt huvudregeln i 6 kap. 1 § FM-PuL ska personuppgifter hos Försvarsmakten gallras så snart uppgifterna inte längre behövs för

131

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

det ändamål för vilket de behandlas. Detta gäller dock inte, som an- getts ovan, behandling av personuppgifter i samband med de interna och administrativa åtgärder som kan förekomma i myndighetens verk- samhet.

För Försvarsmakten finns det i 3–5 §§ FM-PuF preciserade gall- ringsbestämmelser för uppgifter som behandlas i olika uppgiftssam- lingar.

Personuppgifter i en uppgiftssamling för säkerhetsunderrättelse- tjänst eller i en uppgiftssamling för säkerhetsskyddstjänst ska gallras senast vid utgången av det tionde året efter det att behandlingen på- börjades, om inte Försvarsmakten dessförinnan har beslutat att upp- gifterna ska bevaras därför att de fortfarande behövs för det ändamål för vilket de behandlas. Om uppgifter bevaras med stöd av ett sådant beslut ska de gallras eller frågan om bevarande prövas på nytt senast vid utgången av det tionde året efter beslutet. Personuppgifter i en uppgiftssamling för

Personuppgifter i en uppgiftssamling för signalkontroll ska gall- ras senast ett år efter det att behandlingen av uppgifterna påbörjades.

Några sådana preciserade gallringsbestämmelser finns inte när det gäller uppgifter som behandlas i en uppgiftssamling för försvars- underrättelseverksamhet, varför det beträffande dessa uppgifter är huvudregeln i 6 kap. 1 § FM-PuL som är tillämplig. Enligt 12 § FM-PuF får Riksarkivet meddela föreskrifter om att uppgifter och handlingar som ska gallras enligt 6 kap. 1 § FM-PuL ska bevaras.

Riksarkivet har meddelat föreskrifter som anger att vissa uppgifter som ska gallras enligt ovan ska bevaras för historiska, statistiska och vetenskapliga ändamål (se Riksarkivets föreskrifter RA-MS 2014:38). Dessa uppgifter får således inte gallras ur Försvarsmaktens arkiv.

Gallring av personuppgifter hos Försvarets radioanstalt

Vilka uppgiftssamlingar som finns hos Försvarets radioanstalt be- handlas ovan under avsnitt 5.1.5.

I 6 kap. 1 § FRA-PuL föreskrivs att personuppgifter som har be- handlats automatiserat ska gallras så snart uppgifterna inte längre be- hövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i enskilt fall beslutat att gallring ska ske senast vid viss tidpunkt

132

SOU 2018:63

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

eller att uppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål. Regeringen har gett Riksarkivet ett sådant bemyn- digande att meddela föreskrifter (12 § FRA-PuF). Sådana föreskrifter får dock inte omfatta personuppgifter i uppgiftssamlingar för rå- material.

Särskild reglering om gallring finns i 2, 5 och 6 §§ FRA-PuF när det gäller uppgiftssamlingar för råmaterial, för information om signal- miljön och för information om företeelser mot vilka signalspaningen inriktas.

Personuppgifter i en uppgiftssamling för råmaterial ska gallras senast ett år efter det att behandlingen av uppgifterna påbörjats (2 § FRA-PuF).

Personuppgifter i en uppgiftssamling om signalmiljön ska gallras senast vid utgången av det första året efter det att behandlingen av uppgifterna påbörjades, om inte Försvarets radioanstalt dessförinnan beslutat att uppgifterna ska bevaras därför att de fortfarande behövs för det ändamål för vilket de behandlas. Om uppgifterna bevaras med stöd av ett sådant beslut ska de gallras eller frågan om bevarande prövas på nytt senast vid utgången av det första året efter beslutet (5 § FRA-PuF).

Personuppgifter i en uppgiftssamling för information om före- teelser mot vilka signalspaningen inriktas ska gallras senast vid ut- gången av det tredje året efter det att behandlingen av uppgifterna påbörjades, om inte Försvarets radioanstalt dessförinnan har be- slutat att uppgifterna ska bevaras därför att de fortfarande behövs för det ändamål för vilket de behandlas. Om uppgifter bevaras med stöd av ett sådant beslut ska de gallras eller frågan om bevarande prövas på nytt senast vid utgången av det tredje året efter beslutet (6 § FRA-PuF).

Riksarkivet har beslutat att personuppgifter i Försvarets radio- anstalts uppgiftssamlingar för underrättelser ska bevaras för historiska, statistiska och vetenskapliga ändamål (dnr KrA H231-2009/333). Riks- arkivet har vidare beslutat att även personuppgifter i rapportunderlag i uppgiftsamlingar för analyser ska bevaras för dessa ändamål (dnr KrA H231-2017/2031).

I sammanhanget ska också nämnas de föreskrifter om förstörings- skyldighet som finns i 7 § lagen om signalspaning i försvarsunder- rättelseverksamhet. Av denna bestämmelse framgår att upptagning eller

133

Regleringen av personuppgiftsbehandling vid Försvarsmakten ...

SOU 2018:63

uppteckning av uppgifter som inhämtats enligt lagen omgående ska förstöras om innehållet

1.berör en viss fysisk person och har bedömts sakna betydelse för verksamhet som avses i 1 § (ändamålsparagrafen, se avsnitt 3.3.5),

2.avser uppgifter för vilka tystnadsplikt gäller enligt 3 kap. 3 § tryck- frihetsförordningen eller 2 kap. 3 § yttrandefrihetsgrundlagen, eller som omfattas av efterforskningsförbudet i 3 kap. 4 § tryck- frihetsförordningen eller 2 kap 4 § yttrandefrihetsgrundlagen,

3.omfattar uppgifter i sådana meddelanden mellan en person som är misstänkt för brott och hans eller hennes försvarare vilka skyd- das enligt 27 kap. 22 § första stycket rättegångsbalken, eller

4.avser uppgifter lämnade under bikt eller enskild själavård, såvida det inte finns synnerliga skäl att behandla uppgifterna för syften som anges i 1 § andra stycket (de åtta kartläggningssyftena, se av- snitt 3.3.5).

Förstöring av upptagningar eller uppteckningar enligt 7 § lagen om signalspaning i försvarsunderrättelseverksamhet ska enligt 5 § för- ordningen (2008:923) om signalspaning i försvarsunderrättelseverk- samhet ske på ett sådant sätt att uppgifterna inte kan återskapas.

En bestämmelse om förstöringsplikt finns också i 2 a § nämnda lag. Enligt den bestämmelsen får inhämtning inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upp- tagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats.

5.1.13Straff och överklagande

6kap. 2 § FM-PuL och FRA-PuL innehåller bestämmelser om straff för lämnande av osann uppgift vid vissa i bestämmelserna angivna fall och behandling av känsliga personuppgifter i strid med vad som anges i de respektive lagarna. Straffbestämmelserna infördes med be- aktande av 49 § personuppgiftslagen (se prop. 2006/07:46 s. 106–107).

Av 6 kap. 3 § FM-PuL och FRA-PuL framgår att Försvarsmak- tens respektive Försvarets radioanstalts beslut om viss information som ska lämnas samt om rättelse och underrättelse till tredje man får

134

6 Överväganden och förslag

6.1Allmänna utgångspunkter

6.1.1Reglering i två nya lagar

Utredningens förslag: Två nya lagar bör reglera personuppgifts- behandlingar inom Försvarsmakten och Försvarets radioanstalt: Lag om behandling av personuppgifter vid Försvarsmakten och Lag om behandling av personuppgifter vid Försvarets radioanstalt.

Skäl för utredningens förslag: Utredningen föreslår ett flertal för- ändringar av befintlig lagstiftning på området; nya författningsbestäm- melser, förändringar av befintliga författningar samt nya rubriker. Målet med utredningens arbete med en ändamålsenlig lagstiftning har inte bara varit att bestämmelserna i sig ska vara anpassade efter den tekniska och legala utvecklingen, utan att lagarna, även efter de föreslagna förändringarna, ska vara överblickbara med logisk struk- tur och innehålla begrepp och definitioner som i möjligaste mån stämmer överens med annan lagstiftning som reglerar hantering av personuppgifter. Med beaktande av att utredningen föreslår föränd- ringar av ett stort antal bestämmelser i lagen om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksam- het och militära säkerhetstjänst (FM-PuL) och lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet (FRA-PuL) och därtill helt nya bestäm- melser till följd av vidgade tillämpningsområden bör två nya lagar ersätta de befintliga lagarna.

137

Överväganden och förslag

SOU 2018:63

6.1.2Särskild författningsreglering

Utredningens förslag: De nya lagarna ska vara heltäckande och utformas så att de exklusivt gäller på de områden som anges i respektive lag.

Skäl för utredningens förslag: Unionsrätten omfattar inte nationell säkerhet och försvar, vilket innebär att varken EU:s dataskydds- direktiv eller dataskyddsförordning omfattar behandling av person- uppgifter som rör dessa verksamheter. Den EU-rättsliga regleringen bygger emellertid på och vidareutvecklar dataskyddskonventionen som omfattar även dessa områden. Sverige är folkrättsligt bundet av konventionen med dess tilläggsprotokoll. Regleringen av Försvars- maktens och Försvarets radioanstalts personuppgiftsbehandling får således inte strida mot bestämmelserna i dataskyddskonventionen, vilket bl.a. innebär att personuppgifter som undergår automatisk databehandling ska lagras för särskilt angivna och lagliga ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål (artikel 5). Avvikelser från konventionen får endast göras om sådana avvikelser medges i nationell lagstiftning och avvikelsen är nödvän- dig i ett demokratiskt samhälle för att bl.a. skydda statens säkerhet (artikel 9). Det är utredningens uppfattning att det förslag till lagstift- ning som här läggs fram är i överensstämmelse med konventionen.

I lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) utvidgas tillämpningen av bestämmelserna i dataskyddsförordningen till att även gälla vid be- handling av personuppgifter som utgör led i verksamhet som inte omfattas av unionsrätten (1 kap. 2 §). Detta gäller dock inte verk- samhet som omfattas av FM-PuL eller FRA-PuL (1 kap. 3 §). Enligt den proposition som ligger till grund för dataskyddslagen förklarar regeringen att det med hänsyn till rikets säkerhet inte är lämpligt att dataskyddsförordningen blir tillämplig även inom de mest känsliga verksamhetsområdena innan den pågående översynen av författ- ningarna på försvarsområdet har avslutats (prop. 2017/18:105 s. 31).

Av övergångsbestämmelserna framgår bl.a. att personuppgifts- lagen ska fortsätta att gälla i sådan verksamhet hos Försvarsmakten och Försvarets radioanstalt som inte omfattas av unionsrätten och som inte heller omfattas av de särskilda lagarna om behandling av

138

SOU 2018:63

Överväganden och förslag

personuppgifter i Försvarsmaktens och Försvarets radioanstalts verk- samheter.

Med utgångspunkt från att ämnet för den lagstiftning som här är aktuell ligger utanför unionsrätten bör den författningsreglering som utredningen föreslår därför vara heltäckande och utformas så att den exklusivt gäller på de områden som anges i respektive lag inom det aktuella området.

Som anfördes i förarbetena till FM-PuL och FRA-PuL är de verk- samheter som de båda myndigheterna bedriver och som omfattades av de då aktuella förslagen, som gällde personuppgiftsbehandling i försvarsunderrättelseverksamhet och militär säkerhetstjänst, inte identiska och verksamheterna hade endast till viss del samma syfte. Av den anledningen föranledde regleringen av respektive myndighets personuppgiftsbehandling i flera avseenden olika rättsliga lösningar (prop. 2006/07:46 s. 47). Med hänsyn till de vidgade tillämpnings- områden som utredningen föreslår för regleringen av myndigheter- nas personuppgiftsbehandling blir detta förhållande än tydligare. Detta gäller särskilt för Försvarsmakten där tillämpningsområdet föreslås gälla myndighetens mycket omfattande huvuduppgifter.

Med beaktande av detta utformas de föreslagna lagarna så att de så långt det är möjligt och lämpligt är lika och följer strukturen i likartad lagstiftning såsom i förslaget till Säkerhetspolisens datalag.

6.2Allmänna bestämmelser

6.2.1Syftet med lagarna

Utredningens förslag: Syftet med lagarna ska vara att säkerställa att Försvarsmakten och Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.

Utredningens bedömning: De föreslagna lagarna uppfyller kraven i 2 kap. 21 § regeringsformen.

139

Överväganden och förslag

SOU 2018:63

Skäl för utredningens förslag: Syftet med den nuvarande lag- stiftningen anges vara att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvarsunderrättelse- och utvecklings- verksamhet (1 kap. 2 § FM-PuL och FRA-PuL). Av andra bestämmel- ser i lagarna framgår att personuppgiftsbehandlingen ska vara nöd- vändig (1 kap. 8 §) och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (1 kap. 6 § 6 p FM-PuL och FRA-PuL). Enligt utredningens mening bör den särskilda bestämmelse som anger syftet med lagarna inne- hålla såväl kravet på ändamålsenlighet som intresset att skydda fysiska personers fri- och rättigheter.

Skäl för utredningens bedömning: I avsnitt 4.3.2 tar utredningen upp de överväganden som ligger till grund för regleringen i 2 kap. 6 § andra stycket regeringsformen om skyddet gentemot det allmänna mot betydande intrång i den personliga integriteten. Som nämns i det avsnittet får en begränsning av grundlagsskyddet göras enligt 2 kap. 20 § regeringsformen genom lag. Begränsningen får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 §).

I förarbetena till bestämmelserna i 2 kap. 6 § regeringsformen angav regeringen att vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden, är det naturligt att stor vikt läggs vid upp- gifternas karaktär. Ju känsligare uppgifterna är desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett fåtal uppgifter kan innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär (prop. 2009/10:80 En reformerad grundlag s. 183).

Den personuppgiftsbehandling som är aktuell i detta samman- hang utgör till en del betydande intrång i den personliga integriteten

140

SOU 2018:63

Överväganden och förslag

och kräver därför lagstöd. Särskilt gäller detta personuppgiftsbehand- lingen i försvarsunderrättelseverksamheten. I det sammanhanget bör dock erinras att den bara får avse utländska förhållanden. De svenska försvars- och säkerhetsintressen som lagstiftningen avser att stödja har alltid varit starka och de har vuxit i styrka mot bakgrund av den säkerhetspolitiska utvecklingen. Lagstiftningens ändamål får därför anses godtagbara i ett demokratiskt samhälle och uppfyller enligt utredningen mening även i övrigt kraven i 2 kap. 21 § regerings- formen.

I tillämpningen av lagstiftningen åligger det myndigheterna att göra en avvägning mellan ändamålet med en avsedd personuppgifts- behandling å ena sidan och graden av intrång i den personliga integ- riteten å den andra. Detta följer av bestämmelserna om att person- uppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Utredningen återkommer till detta i avsnitt 6.4.1.

6.2.2Tillämpningsområden för lagen om behandling av personuppgifter vid Försvarsmakten

Utredningens förslag: Lagen om behandling av personuppgifter vid Försvarsmakten ska gälla Försvarsmaktens behandling av per- sonuppgifter som rör Sveriges försvar och säkerhet.

Skäl för utredningens förslag: Som framgått av avsnitt 6.1.2. faller frågor om försvar och nationell säkerhet utanför unionsrätten. Enligt dataskyddslagen ska personuppgiftslagen fortsätta att gälla i sådan verksamhet hos Försvarsmakten som inte omfattas av unions- rätten och som inte nu regleras i FM-PuL. Bakgrunden är att denna utredning bl.a. ska analysera vilket utrymme som finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten som

idag regleras i personuppgiftslagen och utifrån den analysen bedöma om behandlingen helt eller delvis bör regleras särskilt. På sikt inne- bär detta att det som inte regleras särskilt kommer att omfattas av dataskyddsförordningen. Det är nämligen att förvänta att övergångs- regleringen kommer att ändras så att detta blir fallet.

Utredningen utgår i sin analys från de uppgifter som Försvars- makten har.

141

Överväganden och förslag

SOU 2018:63

I avsnitt 3.1 finns en utförlig beskrivning av Försvarsmaktens upp- gifter. Här ska endast en kort återblick göras med betoning på myn- dighetens huvuduppgifter. Försvarsmakten ska upprätthålla och ut- veckla ett militärt försvar som ytterst kan möta ett väpnat angrepp. Grunden för Försvarsmaktens verksamhet är förmågan till väpnad strid.

Försvarsmakten ska försvara Sverige och främja svensk säkerhet samt upptäcka och avvisa kränkningar av det svenska territoriet. Försvarsmakten ska dessutom kunna värna Sveriges suveräna rättig- heter och svenska intressen samt kunna förebygga och hantera kon- flikter och krig såväl nationellt som internationellt. Försvarsmakten ska kunna utföra sina uppgifter självständigt eller i samverkan med andra myndigheter, länder och organisationer. Försvarsmakten ska vidare med myndighetens befintliga förmåga och resurser kunna lämna stöd till civil verksamhet.

Enligt utredningens mening är det uppenbart att de nu beskrivna uppgifterna ligger utanför unionsrätten med undantag för uppgiften att kunna lämna stöd till civil verksamhet. Uppgifterna har också en nära beröring med Försvarsmaktens försvarsunderrättelseverksam- het och militära säkerhetstjänst, verksamheter där personuppgifts- behandlingen i dag är särreglerad genom FM-PuL och som enligt data- skyddslagen fortfarande ska var särreglerad med hänsyn till Sveriges säkerhet. Som anförs i den proposition som låg till grund för lagen om försvarsunderrättelseverksamhet, ligger det i sakens natur att för- svarsunderrättelseverksamheten ska ses som ett led i Försvarsmaktens uppgifter i fred, under beredskap och i krig. I propositionen anförs vidare att försvarsunderrättelseverksamheten ska ge underlag för Försvarsmaktens beredskap, operativa verksamhet och förbands- produktion samt för krigsorganisationens utveckling och materiella förnyelse (prop. 1999/2000:25 s. 14 f.).

Dataskyddsförordningen är, som nyss nämnts, inte tillämplig på personuppgiftsbehandling som rör försvar och nationell säkerhet. Bestämmelserna i förordningen har därför inte utformats med beak- tande av försvar och nationell säkerhet. Utredningen kan heller inte se någon fördel med att låta dataskyddsförordningen helt eller delvis

142

SOU 2018:63

Överväganden och förslag

bli tillämplig på Försvarsmaktens ovan beskrivna huvuduppgifter, sär- skilt som det i denna verksamhet finns andra verksamheter integrerade som regleras särskilt när det gäller behandlingen av personuppgifter. Tvärtom innebär detta nackdelar som kan beskrivas enligt följande.

Omvärldsbevakning behövs för att upptäcka och identifiera yttre hot mot Sverige och svenska intressen. Logistik behövs för att få fram resurser till förbandet, personaladministration för att se till att rätt personer finns på plats för att lösa uppgiften, underrättelser behövs för att lokalisera fientliga styrkor. Operationsplanering är nödvändig för att planera och genomföra en insats. Säkerhetstjänst behövs för att säkerställa att fienden inte får tillgång till operationsplaneringen och kan motverka den. Samband behövs för att uppnå en effektiv kommunikation inom förbandet och andra förband. Civil-militär samverkan är nödvändig för att undvika skador på civilbefolkning och infrastruktur. Ett internationellt samarbete är nödvändigt när det gäller försvarsunderrättelseverksamhet men också när det gäller annat internationellt försvarssamarbete för att Försvarsmakten ska få olika former av stöd från andra länder och internationella organisa- tioner. Inom alla dessa områden hanteras personuppgifter.

I militär säkerhetstjänst och försvarsunderrättelseverksamhet till- lämpas FM-PuL, men inom logistik, samband och personaladminis- tration tillämpas personuppgiftslagen (1998:204). Omvärldsbevakning, operationsplanering, civil-militär samverkan, samt taktisk och operativ underrättelsetjänst bedrivs med stöd av antingen FM-PuL eller person- uppgiftslagen beroende på vem som hanterar uppgifterna och i vilket syfte. En personuppgift kopplad till exempelvis en specifik operation kan därför behandlas med olika personuppgiftslagstiftningar i samma databehandlingssystem.

Att ha olika regleringar för behandlingen av uppgifterna kom- plicerar informationsutbytet mellan system och verksamheter. Det leder till att effektiviteten inom Försvarsmakten och därmed den samlade operativa effekten försämras.

Med hänsyn till Försvarsmaktens stora betydelse för Sveriges försvar och säkerhet är det enligt utredningens uppfattning viktigt att myndighetens huvuduppgifter omfattas av en svensk nationell reglering, vilket innefattar myndighetens behandling av personupp- gifter i verksamhet där uppgifterna fullgörs.

143

Överväganden och förslag

SOU 2018:63

En samlad reglering bedöms innebära en förenkling för Försvars- makten och därmed i förlängningen att integritetsskyddet stärks vid myndighetens behandling av personuppgifter.

Utredningen anser alltså att den föreslagna lagen bör omfatta behandlingen av personuppgifter i Försvarsmaktens verksamhet av- seende Sveriges försvar och säkerhet. I avsnitt 6.3.1 återkommer ut- redningen till hur detta närmare bör regleras.

6.2.3Tillämpningsområden för lagen om behandling av personuppgifter vid Försvarets radioanstalt

Utredningens förslag: Lagen om behandling av personuppgifter vid Försvarets radioanstalt ska gälla behandling av personupp- gifter i myndighetens försvarsunderrättelse- och utvecklingsverk- samhet samt informationssäkerhetsverksamhet.

Skäl för utredningens förslag: Försvarets radioanstalts försvars- underrättelse- och utvecklingsverksamhet är till för Sveriges försvar och säkerhet och omfattas därmed inte av unionsrätten. För person- uppgiftsbehandlingen i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet gäller inte den bestämmelse i dataskydds- lagen som utvidgar dataskyddsförordningen tillämpningsområde (se härom avsnitt 6.1.2). Detta är ett uttryck för att denna verksamhet ligger utanför unionsrätten och att behandlingen av personuppgifter i verksamheten fortfarande ska vara särreglerad. Utredningen före- slår ingen ändring i detta avseende.

Vidgat tillämpningsområde – informationssäkerhetsverksamhet

I avsnitt 3.3.6 redovisar utredningen Försvarets radioanstalts infor- mationssäkerhetsverksamhet. Någon särskild reglering av person- uppgiftsbehandlingen i den verksamheten finns inte.

Enligt dataskyddslagen ska personuppgiftslagen fortsätta att gälla i sådan verksamhet hos Försvarets radioanstalt som inte omfattas av unionsrätten och inte heller av FRA-PuL. Bakgrunden är att denna utredning bl.a. ska analysera vilket utrymme som finns för nationell reglering av den personuppgiftsbehandling i Försvarets radioanstalt

144

SOU 2018:63

Överväganden och förslag

som i dag regleras i personuppgiftslagen och utifrån den analysen bedöma om behandlingen helt eller delvis bör regleras särskilt (se härom avsnitt 6.1.2). På sikt innebär detta att det som inte regleras särskilt kommer att omfattas av dataskyddsförordningen. Som tidi- gare nämnts är det att förvänta att övergångsregleringen kommer att ändras så att detta blir fallet.

Syftet med informationssäkerhetsverksamheten vid Försvarets radioanstalt är att stödja verksamheter som har betydelse för Sveriges säkerhet. Den omfattas därför inte av unionsrätten. Som framgår av avsnitt 3.3.6 har informationssäkerhetsverksamheten ett nära sam- band med signalspaningen. Enligt lagen (2008:717) om signalspa- ning i försvarsunderrättelseverksamhet får signalspaning ske i syfte att kartlägga bl.a. allvarliga yttre hot mot samhällets infrastruktur. Som utredningen utvecklar i avsnitt 3.3.6 innebär möjligheten till ut- byte av information mellan signalspaningen och informationssäker- hetsverksamheten ett viktigt verktyg för att kunna upprätthålla Sveriges säkerhet.

Dataskyddsförordningen är som nämnts i avsnitt 6.1.2 inte till- lämplig på försvar och nationell säkerhet och har därför inte utfor- mats med beaktande av detta. I likhet med vad som sägs i nämnda avsnitt kan utredningen inte heller se någon fördel med att göra dataskyddsförordningen helt eller delvis tillämplig på Försvarets radio- anstalts informationssäkerhetsverksamhet. Utredningen anser därför att behandlingen av personuppgifter i informationssäkerhetsverksam- heten bör vara särreglerad i likhet med behandlingen av personuppgifter

iförsvarsunderrättelse- och utvecklingsverksamheten. Utredningen återkommer till ämnet i avsnitt 6.3.8.

Till skillnad mot Försvarsmaktens huvuduppgifter med ett flertal olika verksamheter består uppgiften för Försvarets radioanstalt av två områden: försvarsunderrättelseverksamhet och informations- säkerhetsverksamhet. Som tidigare nämnts bidrar denna skillnad till olika rättsliga lösningar för de båda myndigheterna. Det visar sig främst genom att den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten kommer att avse behandlingen av sådana uppgifter rörande myndighetens personal (avsnitt 6.3.1). Något behov av en motsvarande reglering när det gäller behandlingen av personupp- gifter rörande personalen vid Försvarets radioanstalt har utredningen inte funnit.

145

Överväganden och förslag

SOU 2018:63

6.2.4Behandlingar som omfattas av de nya lagarna

Utredningens förslag: De föreslagna lagarna ska gälla för sådan behandling av personuppgifter som är helt eller delvis auto- matiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Skäl för utredningens förslag: Bestämmelserna i 1 kap. 1 § FM-PuL och FRA-PuL gäller vid behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och Försvarets radioanstalts försvarsunderrättelse- och utvecklings- verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad sam- ling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier. Manuell behandling i t.ex. regis- ter omfattas alltså av lagstiftningen om uppgifterna är tillgängliga för sökning eller sammanställning enligt mer än ett kriterium. Motiven finns i prop. 2006/07:46 s. 46–47.

Utredningen anser att den nuvarande regleringen bör behållas.

6.2.5Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning gäller inte personuppgiftsbehandling enligt de nya lagarna

Utredningens förslag: I de föreslagna lagarna ska införas en bestämmelse med upplysning om att lagen (2018:218) med kom- pletterande bestämmelser till EU:s dataskyddsförordning inte gäller vid behandling av personuppgifter i verksamheter enligt respek- tive lag.

Skäl för utredningens förslag: Som framgår av avsnitt 6.1.2 om- fattar unionsrätten inte nationell säkerhet och försvar. De föreslagna lagarna föreslås vara helt självständiga i förhållande till övrig lagstiftning på personuppgiftsområdet, bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Nämnda lag innehåller en bestämmelse som anger att verksamhet som bedrivs med stöd av FM-PuL och FRA-PuL inte omfattas av lagen

146

SOU 2018:63

Överväganden och förslag

(1 kap. 3 §). Detta förhållande bör även komma till uttryck i lagarna om behandlingen av personuppgifter vid Försvarsmaktens och Försvarets radioanstalt.

6.2.6Lagarnas förhållande till annan reglering

Utredningens förslag: Bestämmelserna i de föreslagna lagarna ska inte tillämpas i den utsträckning det skulle inskränka skyldig- heten enligt 2 kap. tryckfrihetsförordningen att lämna ut person- uppgifter.

Skäl för utredningens förslag: De grundläggande bestämmelserna om offentlighetsprincipen finns i 2 kap. tryckfrihetsförordningen (TF). I 2 kap. 1 § TF anges att varje svensk medborgare har rätt att ta del av allmänna handlingar. Denna rätt får enligt 2 kap. 2 § TF begränsas endast om det behövs med hänsyn till bl.a. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation. Begränsningar i rätten att ta del av allmänna handlingar ska noga anges i en särskild lag eller annan lag som den särskilda lagen hänvisar till. Den särskilda lag som åsyftas är offentlighets- och sekretess- lagen (2009:400). Offentlighetsprincipen innebär således att myn- digheterna är skyldiga att – i den utsträckning sekretess inte hindrar det – lämna ut allmänna handlingar till den som begär det.

En bestämmelse som i klargörande syfte upplyser att lagen inte tillämpas om det skulle inskränka Försvarsmaktens respektive För- svarets radioanstalts skyldighet enligt 2 kap. TF att lämna ut person- uppgifter finns i 1 kap. 3 § FM-PuL och FRA-PuL. Motiven framgår av prop. 2006/07:46 s. 49 f.

Samma skäl som tidigare gör sig fortfarande gällande och utred- ningen föreslår därför att även de nya lagarna ska innehålla en mot- svarande upplysning. Bestämmelsen föreslås bli neutralt formulerad, men innehåller inte några förändringar i sak i förhållande till nu- varande lydelse.

147

Överväganden och förslag

SOU 2018:63

6.2.7Personuppgiftsansvar

Utredningens förslag: Försvarsmakten respektive Försvarets radioanstalt ska vara personuppgiftsansvariga för den behandling som respektive myndighet utför. Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighe- tens ledning eller på dess vägnar.

Skäl för utredningens förslag: Av 1 kap. 5 § i FM-PuL och FRA- PuL framgår att Försvarsmakten respektive Försvarets radioanstalt är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Motiven framgår av prop. 2006/07:46 s. 52 f.

Med personuppgiftsansvarig avses den som ensam eller tillsam- mans med andra bestämmer ändamålen med och medlen för behand- ling av personuppgifter.

Av FM-PuL och FRA-PuL framgår för vilka ändamål behandling av personuppgifter får ske. I personuppgiftsansvaret ingår att bestämma medlen för och, inom ramen för dessa ändamål, de närmare ända- målen med behandlingen av personuppgifterna. Försvarsmakten respektive Försvarets radioanstalt är personuppgiftsansvariga för den behandling av personuppgifter som utförs inom respektive myn- dighets verksamhet. Personuppgiftsansvaret innebär bl.a. att Försvars- makten och Försvarets radioanstalt har ansvaret för att uppgifter som behandlas i t.ex. ett datorsystem är korrekta och att de inte behandlas på ett sätt som strider mot lagstiftningen eller de före- skrifter som meddelats med stöd av denna. Motsvarande bestäm- melser föreslås ingå även i de nya lagarna.

6.2.8Gemensamt personuppgiftsansvar

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt får vara gemensamt personuppgiftsansvarig med annan endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Skäl för utredningens förslag: Begreppet gemensamt personupp- giftsansvar finns i både dataskyddsförordningen (artikel 26) och i 2016 års dataskyddsdirektiv (artikel 21). Av dataskyddsförordningen

148

SOU 2018:63

Överväganden och förslag

framgår att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Enligt förordningen ska gemen- samt personuppgiftsansvariga under öppna former fastställa sitt respektive ansvar för att fullgöra de skyldigheter som framgår av för- ordningen, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla information, i den mån detta inte framgår av förordningen. Inom ramen för arrange- manget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses. Detta arrangemang ska på lämpligt sätt återspegla de gemen- samt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade och det väsentliga innehållet i arrangemanget ska också göras tillgängligt för den registrerade. Oavsett formerna för de gemensamt personuppgiftsansvarigas arrangemang får den registrerade utöva sina rättigheter emot var och en av de person- uppgiftsansvariga.

Även enligt 2016 års dataskyddsdirektiv avses att två eller flera personuppgiftsansvariga har gemensamt ansvar för registrerade upp- gifter, om de gemensamt fastställer behandlingens ändamål och medel och på samma sätt som de enligt förordningen fastställer sitt respektive ansvar för regelefterlevnaden, särskilt vad gäller utövan- det av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla viss information. På samma sätt som enligt data- skyddsförordningen får den registrerade utöva sina rättigheter med avseende på var och en av de personuppgiftsansvariga.

En bestämmelse om gemensamt personuppgiftsansvar finns i för- slaget till Säkerhetspolisens datalag (SOU 2017:74). Enligt den får Säkerhetspolisen vara gemensamt personuppgiftsansvarig med annan i den utsträckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det (1 kap. 8 §).

Med anledning av Försvarsmaktens och Försvarets radioanstalts nära samarbete dels med varandra, dels med Säkerhetspolisen, bedö- mer utredningen att det bör införas en möjlighet att ha gemensamt personuppgiftsansvar.

Liksom i förslaget till Säkerhetspolisens datalag bör gemensamt personuppgiftsansvar endast få förekomma i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

149

Överväganden och förslag

SOU 2018:63

I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarsmakten bör föreskrivas att Försvars- makten får vara gemensamt personuppgiftsansvarig med Säkerhets- polisen, Nationella operativa avdelningen i Polismyndigheten, Myn- digheten för samhällsskydd och beredskap, Försvarets materielverk, Försvarets radioanstalt och Totalförsvarets rekryteringsmyndighet.

I den förordning som ska anknyta till lagen om behandling av personuppgifter vid Försvarets radioanstalt bör anges att Försvarets radioanstalt får ha gemensamt personuppgiftsansvar med Försvars- makten och Säkerhetspolisen inom ramen för myndighetsövergri- pande samverkan mellan myndigheterna för att kunna kartlägga

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och huma- nitära insatser eller hot mot säkerheten för svenska intressen vid genomförande av sådana insatser

3.strategiska förhållanden avseende internationell terrorism som kan hota väsentliga nationella intressen,

4.allvarliga yttre hot mot samhällets infrastruktur, samt

5.främmande underrättelseverksamhet mot svenska intressen.

I förordningarna bör det vidare föreskrivas att när respektive myn- dighet är gemensamt personansvarig med annan ska myndigheten säkerställa att de förpliktelser var och en har i egenskap av person- uppgiftsansvarig regleras i en skriftlig överenskommelse Vid en sådan överenskommelse ska respektive myndighets författningsenliga skyl- digheter kvarstå. I förordningarna bör slutligen föreskrivas att den som personuppgiften rör får, trots en sådan överenskommelse, utöva sina rättigheter gentemot var och en av de personuppgiftsansvariga.

6.2.9Uttryck i lagen

Utredningens förslag: Vissa uttryck som används i de föreslagna lagarna ska definieras.

150

SOU 2018:63

Överväganden och förslag

Skäl för utredningens förslag: Sedan FM-PuL:s och FRA-PuL:s tillkomst 2007 har det skett vissa förändringar på de tekniska och legala områdena vilket har påverkat vissa begrepps innebörd. Ut- vecklingen innebär också att vissa begrepp har tillkommit medan andra har tagits bort eller bytts ut. Med anledning av EU:s dataskyddsför- ordning och de lagar och lagändringar som är en följd av 2016 års dataskyddsdirektiv förekommer vissa begrepp både i lagstiftning som faller under och utanför EU-rätten. I den mån samma begrepp används bör de i möjligaste mån ha samma betydelse även i lagstift- ning som reglerar verksamhet utanför EU-rätten.

Nedan följer en genomgång av begreppens definitioner samt huru- vida begreppen är nytillkomna, förändrade, oförändrade eller inte längre ska förekomma i lagtexten.

Behandling av personuppgifter

Behandling av personuppgifter definieras i FM-PuL och FRA-PuL som varje åtgärd eller serie av åtgärder som vidtas i fråga om person- uppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insam- ling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översän- dande, spridning eller annat tillhandahållande av uppgifter, samman- ställning eller samkörning, blockering, utplåning eller förstöring.

Utredningen föreslår att behandling av personuppgifter i de nya lagarna definieras som ”En åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter eller uppsättningar av personupp- gifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller tillhandahållande på annat sätt, justering, sammanföring, begränsning ändring, framtagning, läsning, användning, utlämnande, spridning eller, radering eller förstöring.”

Den föreslagna lydelsen, som har samma lydelse som förslagen till motsvarande definitioner i Säkerhetspolisens datalag och brotts- datalagen, innebär språkliga skillnader jämfört med dataskyddsför- ordningen och vissa ändringar i de uppräknade exemplen jämfört med FM-PuL och FRA-PuL; återvinning, inhämtande, blockering och utplåning tas bort, medan strukturering, framtagning, läsning, juster- ing, sammanföring, begränsning och radering tillkommer.

151

Överväganden och förslag

SOU 2018:63

Beträffande begreppen radering och förstöring kan följande note- ras. Radering finns med i uppräkningen i dataskyddsförordningens artikel 4 som alternativ till bl.a. förstöring, men någon närmare förklaring till vad radering innebär finns inte utöver att raderingen (enligt artikel 17) kopplas till ”rätten att bli bortglömd”. Radering/ rätten att bli bortglömd antyder att radering enligt dataskyddsför- ordningen innebär att personuppgifterna ska raderas/tas bort per- manent från alla databärare/informationssamlingar, dvs. på ett sådant sätt att informationen inte kan återskapas vid senare tillfälle (se även SOU 2017:29 s. 727 och SOU 2017:39 s. 317), dvs. samma betydelse som utplåna enligt FM-PuL och FRA-PuL (jfr. SOU 1997:39 s. 402 f.). Begreppet radering kan jämföras med förstöring, som är det begrepp som används i lagen om signalspaning i försvarsunderrättelseverk- samhet (2 a, 7 och 10 §§). Enligt 5 § förordningen om signalspaning i försvarsunderrättelseverksamhet ska förstöring ske på ett sådant sätt att uppgifterna inte kan återskapas. Båda begreppen syftar alltså till att data ska raderas/förstöras på ett sådant sätt att den inte kan återskapas. Hur dessa processer går till får förändras i takt med den tekniska utvecklingen.

Beträffande begreppet begränsning kan följande noteras. Enligt 1 kap. 4 § FM-PuL och FRA PuL är blockering en åtgärd som vidtas för att personuppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF. Definitionen stämmer väl överens med beskriv- ningen av begränsning, dvs. att den personuppgiftsansvarige vidtar en åtgärd med personuppgifterna som visar att behandlingen har be- gränsats. Hur begränsningen bör göras får bedömas med utgångs- punkt i vad som är lämpligt i det enskilda fallet. En naturlig åtgärd kan vara att avskilja uppgifterna från det datasystem där de behand- las. Begränsningen kan också ha formen av en teknisk begränsning. En tredje möjlighet att begränsa behandlingen är att inskränka till- gången till uppgifterna.

152

SOU 2018:63

Överväganden och förslag

Biometriska uppgifter

Utredningen föreslår att en definition av begreppet Biometriska upp- gifter bör införas i de nya lagarna och definieras som ”Personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga.”

Begreppet har inte definierats i FM-PuL och FRA-PuL. Den före- slagna definitionen stämmer överens med förslaget till Säkerhets- polisens datalag och i huvudsak med dataskyddsförordningen. Bio- metriska uppgifter behandlas under avsnitt 6.4.2.

Dataskyddsombud

Personuppgiftsombud definieras i FM-PuL och FRA-PuL som den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Funktionen som enligt nuvarande lag benämns personuppgifts- ombud föreslås fortsättningsvis benämnas dataskyddsombud och definieras som en fysisk person som utses av den personuppgifts- ansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt.

Motiven för ändringen utvecklas under avsnitt 6.6.5.

Genetiska uppgifter

Utredningen föreslår att en definition av begreppet Genetiska upp- gifter bör införas i de nya lagarna och definieras som ”Personupp- gifter som rör en persons nedärvda eller förvärvade genetiska känne- tecken och som härrör från analys av ett spår av eller ett prov från personen i fråga”.

Begreppet har inte definierats i FM-PuL och FRA-PuL. Den föreslagna definitionen stämmer överens med förslaget till lagen om behandling av personuppgifter vid Säkerhetspolisen och i huvudsak med dataskyddsförordningen. Genetiska uppgifter behandlas under avsnitt 6.4.2.

153

Överväganden och förslag

SOU 2018:63

Logg

Logg definieras inte i FM-PuL och FRA-PuL. Utredningen föreslår att en logg definieras som en behandlingshistorik som sparas viss tid.

Loggning och logguppföljning behandlas under avsnitt 6.6.2.

Mottagare

Mottagare definieras i FM-PuL och FRA-PuL som den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut från För- svarsmakten eller Försvarets radioanstalt för att en annan myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte den myndigheten som mottagare.

Mottagare definieras på samma sätt, något annorlunda uttryckt, i brottsdatalagen och förslaget till Säkerhetspolisens datalag (SOU 2017:74 s. 36) som ”den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision.”

Utredningen föreslår att mottagare i de nya lagarna ska definieras på samma sätt som i förslaget till Säkerhetspolisens datalag. Änd- ringen i förhållande till FM-PuL och FRA-PuL är endast av språklig karaktär.

Personuppgift

Personuppgifter definieras i FM-PuL och FRA-PuL som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Utredningen föreslår att personuppgifter i de nya lagarna definie- ras som ”Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet”, i likhet med bl.a. dataskyddsförordningen. Den nya lydelsen innebär inte någon ändring i sak, men gör defini- tionen enhetlig med övriga lagar på personuppgiftsområdet.

154

SOU 2018:63

Överväganden och förslag

Personuppgiftsansvarig

Utredningen föreslår att en definition av begreppet Personuppgifts- ansvarig införs i de nya lagarna och definieras som ”Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter”.

Begreppet har inte definierats i FM-PuL och FRA-PuL. Den föreslagna definitionen stämmer överens med förslaget till Säker- hetspolisens datalag.

Personuppgiftsbiträde

Utredningen föreslår att definitionen av begreppet Personuppgifts- biträde ska definieras i de nya lagarna som ”den som, med stöd av ett skriftligt avtal eller annan skriftlig överenskommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning”.

Den föreslagna definitionen, som stämmer överens med förslaget till Säkerhetspolisens datalag, innehåller även ett uttryckligt krav på skriftligt avtal, vilket saknas i definitionen i FM-PuL och FRA-PuL (krav på skriftligt avtal framgår emellertid av 3 kap. 1 § FM-PuL och FRA-PuL). Den föreslagna lydelsen avviker från dataskyddsför- ordningens definition som inte innehåller krav på skriftligt avtal.

Tredje part

Tredje man definieras i FM-PuL och FRA-PuL som någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsom- budet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter.

Utredningen föreslår att termen ska ändras till tredje part med oförändrad lydelse i övrigt. Skälen för förslaget är att det saknas skäl att hålla fast vid man i detta sammanhang när betydelsen är helt frikopplad från ordets egentliga betydelse. Även dataskyddsför- ordningen, som flertalet övriga svenska myndigheter, företag och organisationer kommer att tillämpa, anger numera tredje part. Inte heller man i betydelsen människa utgör skäl att behålla man i nu aktuella lagar eftersom en utomstående i sammanhanget likaväl kan

155

Överväganden och förslag

SOU 2018:63

vara en myndighet, sammanslutning eller organisation. Förslaget av- viker i denna del från förslaget till Säkerhetspolisens datalag.

Uppgiftssamling

Uppgiftssamling definieras i FM-PuL och FRA-PuL som en samling med uppgifter som med hjälp av automatiserad behandling används gemensamt.

Utredningen föreslår att definitionen ska införas i de nya lagarna med den ändringen att används gemensamt” byts ut mot ”är gemen- samt tillgängliga”.

Begreppets innebörd behandlas i avsnitt 6.5.1.

6.3Behandlingen av personuppgifter

6.3.1Försvar och säkerhet som rättslig grund för behandling av personuppgifter hos Försvarsmakten

Utredningens förslag: Försvarsmakten får behandla personupp- gifter om det är nödvändigt för att planera, förbereda och genom- föra verksamhet som rör

1.Sveriges försvar och säkerhet, eller

2.internationellt försvars- och säkerhetssamarbete.

Försvarsmaktens uppgift att bedriva sådan verksamhet ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen upp- dragit åt myndigheten att ansvara för uppgiften.

Skäl för utredningens förslag: Personuppgifter får enligt den före- slagna bestämmelsen behandlas i Försvarsmaktens verksamhet om behandlingen är nödvändig för att planera, förbereda och genomföra verksamhet som rör Sveriges försvar och säkerhet. Försvarsmaktens uppgift att bedriva sådan verksamhet ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften.

156

SOU 2018:63

Överväganden och förslag

Regler om denna verksamhet omfattas inte av unionsrätten och enligt utredningens mening bör någon ändring härvidlag inte göras utan här bör enbart nationella bestämmelser gälla.

I det följande beskriver utredningen vilken verksamhet i Försvars- makten som den föreslagna bestämmelsen omfattar. Till en del inne- bär beskrivningen en upprepning av bakgrundsbeskrivningen i av- snitt 3.1 men bedöms nödvändig här för att ge en uppfattning om den personuppgiftsbehandling som är aktuell i sammanhanget.

Som framgår av avsnitt 3.1 har Försvarsmakten i uppdrag att upp- rätthålla och utveckla ett militärt försvar som ytterst kan möta ett väpnat angrepp samt att försvara Sverige och främja svensk säkerhet. Grunden för Försvarsmaktens verksamhet är förmågan till väpnad strid.

Vid höjd beredskap ska Försvarsmakten kunna krigsorganisera, mobilisera och använda alla krigsförband för att möta ett militärt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigs- organiseras, även om höjd beredskap inte råder. Krigsorganisationen och planeringen av denna innefattar personuppgiftsbehandling av anställda i Försvarsmakten och andra som på annat sätt är knutna till myndigheten.

Behandlingen avser:

1.yrkesofficerare, kontinuerligt tjänstgörande anställda gruppbefäl, soldater och sjömän och Försvarsmaktens civila arbetstagare,

2.de som är tidsbegränsat anställda med stöd av 2 § lagen (2010:449) om Försvarsmaktens personal vid internationella militära insatser,

3.officersaspiranter,

4.reservofficerare och tidvis tjänstgörande anställda gruppbefäl, soldater och sjömän,

5.hemvärnsmän och frivillig personal,

6.den som är inskriven för värnplikt och som tjänstgör i Försvars- makten, och

7.krigsfrivilliga.

157

Överväganden och förslag

SOU 2018:63

När det gäller personal i krigsorganisationen som inte är anställd i Försvarsmakten bör personuppgiftsbehandlingen enbart gälla upp- gifterna i krigsorganisationen. Detta blir en följd av kravet att per- sonuppgiftsbehandlingen ska vara nödvändig för att upprätta och utveckla ett militärt försvar eller för att försvara Sverige. Det är bara i dessa sammanhang som det kravet gör sig gällande för denna per- sonalkategori.

För de anställda i Försvarsmakten tillkommer emellertid att de också är föremål för Försvarsmaktens personuppgiftsbehandling i den för alla myndigheter normala personaladministrativa verksam- heten, såsom hanteringen av löner, ledigheter etc. Den personupp- giftsbehandlingen har dock ett nära samband med den som avser krigsorganisationen och planeringen av denna. Det är enligt utred- ningens mening inte lämpligt att de separeras på så sätt att de kom- mer att omfattas av skilda regelsystem. För att på ett ändamålsenligt sätt upprätthålla och utveckla Sveriges militära försvar eller för att försvara Sverige är det enligt utredningens mening nödvändigt att de omfattas av samma reglering.

När det gäller Försvarsmaktens krigsorganisation omfattar be- stämmelsen således behandlingen av personuppgifter som rör anställda i Försvarsmakten och annan personal som ingår i eller kan komma att ingå i myndighetens krigsorganisation.

Operationer och övningar är nödvändiga för Försvarsmaktens uppdrag att upprätthålla och utveckla ett militärt försvar och att ha förmåga till väpnad strid. När Försvarsmakten planerar, förbereder och genomför militära operationer och övningar behandlar myndig- heten uppgifter om de som deltar i operationerna och övningarna. I dessa kan andra än personal i krigsorganisationen delta. Vid genomförande av nationella militära operationer och internationella militära insatser behandlar Försvarsmakten även uppgifter om mot- ståndare eller andra aktörer. Även denna personuppgiftsbehandling omfattas av bestämmelsen.

Enligt förordningen (1982:765) om Försvarsmaktens ingripanden vid kränkningar av Sveriges territorium under fred och neutralitet

m.m.(IKFN) ska Försvarsmakten bl.a. upptäcka och avvisa kränk- ningar av svenskt territorium och i samarbete med civila myndigheter ingripa vid andra överträdelser av tillträdesförordningen (1992:118). Vid dessa ingripanden kan personuppgifter komma att behandlas. Sådan behandling omfattas också av bestämmelsen.

158

SOU 2018:63

Överväganden och förslag

En annan verksamhet när det gäller att upprätthålla och utveckla ett militärt försvar är utveckling av teknik och metodik (se vidare avsnitt 3.1). Det är oundvikligt att verksamhet som bl.a. syftar till att pröva och anpassa teknisk utrustning och tekniska system leder till att personuppgifter behandlas. Även i detta sammanhang kan det bli aktuellt med behandling av personuppgifter. Också sådan behand- ling omfattas av bestämmelsen.

Som anges i avsnitt 3.1. bedriver Försvarsmakten till stöd för lösan- det av Försvarsmaktens militära uppgifter underrättelseverksamhet som inte utgör försvarsunderrättelseverksamhet eller militär säkerhetstjänst. Personuppgiftsbehandlingen inom denna underrättelseverksamhet rör Sveriges försvar och säkerhet och omfattas därför av bestämmelsen.

Försvarsmakten har vidare vissa andra arbetsuppgifter som rör Sveriges försvar och säkerhet och som anges i lag eller förordning. I avsnitt 3.1 ges ett antal exempel på sådana uppgifter. De gäller stöd till polisen vid terrorismbekämpning, omvärldsbevakning och viss attachéverksamhet. Där anges också utnyttjande av personal inom Kustbevakningen, polismäns deltagande i försvaret av riket i krig samt utredningar för att bedöma totalförsvarspliktigas förutsättningar att fullgöra värnplikt.

Den personuppgiftsbehandling som är nödvändig för Försvars- makten att genomföra de nu nämnda verksamheterna omfattas av bestämmelsen. Beskrivningen av verksamheterna gör inte anspråk på att vara fullständig. Det kan finnas andra uppgifter för Försvarsmakten som rör Sveriges försvar och säkerhet. Sådana kan också tillkomma.

Avslutningsvis vill utredningen nämna några författningsenliga upp- gifter som klart faller utanför bestämmelsen. Som tidigare antytts ska myndigheten enligt 2 § andra stycket förordningen (2007:1266) med instruktion för Försvarsmakten med myndighetens befintliga för- måga och resurser kunna lämna stöd till civil verksamhet, se vidare härom förordningen (2002:375) om Försvarsmaktens stöd till civil verksamhet. Enligt 3 § förordningen med instruktion för Försvars- makten ska myndigheten ansvara för att samla in, bearbeta och lämna Kustbevakningen sjölägesinformation sammanställd för civila behov och på begäran av polisen utföra helikoptertransporter som är av större vikt för genomförandet av polisiära insatser, se härom vidare förordningen (2017:113) om Försvarsmaktens stöd till polisen med helikoptertransporter. Slutligen ska nämnas förordningen (2000:278) om gåvor och överföringar av överskottsmateriel hos Försvarsmakten.

159

Överväganden och förslag

SOU 2018:63

Den föreslagna bestämmelsen omfattar i och för sig också Försvars- maktens försvarsunderrättelsetjänst och militära säkerhetstjänst. Med hänsyn till dessa verksamheters karaktär och till att de hittills har reglerats i FM-PuL anser utredningen att de även i den föreslagna lagen ska regleras särskilt.

Internationellt försvars- och säkerhetssamarbete

Personuppgifter får enligt den föreslagna bestämmelsen behandlas i Försvarsmaktens verksamhet om behandlingen är nödvändig för att planera, förbereda och genomföra verksamhet som avser internatio- nellt försvars- och säkerhetssamarbete. Försvarsmaktens uppgift att bedriva sådan verksamhet ska framgå av lag, förordning eller ett sär- skilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. I 2 § och 3 a § förordningen med instruktion för Försvars- makten ges Försvarsmakten uppdrag av detta slag. En närmare beskriv- ning av Försvarsmaktens internationella samarbeten finns i avsnitt 3.1. Här ska endast konstateras att det inom dessa samarbeten behandlas uppgifter som kan avse andra personer än de som ingår eller kan komma att ingå i krigsorganisationen. Sådan behandling omfattas av bestämmelsen.

6.3.2Försvarsunderrättelseverksamhet som rättslig grund för behandling av personuppgifter hos Försvarsmakten

Utredningens förslag: Personuppgifter får behandlas i Försvars- maktens försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

De personuppgifter som Försvarsmakten har fått tillgång i myndighetens försvarsunderrättelseverksamhet får fortsatt behand- las i den verksamheten, om det behövs för att fullfölja den.

Detta gäller dock endast om inget annat följer av den före- slagna lagen om behandling av personuppgifter hos Försvarsmakten eller förordning som regeringen har meddelat i anslutning till den lagen.

160

SOU 2018:63

Överväganden och förslag

Skäl för utredningens förslag: Av 1 kap. 8 § första stycket FM-PuL framgår att personuppgifter får behandlas i Försvarsmaktens för- svarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunder- rättelseverksamhet. Enligt nämnda lag ska försvarsunderrättelseverk- samhet bedrivas till stöd för svensk utrikes-, säkerhets- och för- svarspolitik samt i övrigt för kartläggning av yttre hot mot landet. Det anges vidare att i verksamheten ingår att medverka i svenskt del- tagande i internationellt säkerhetssamarbete och att försvarsunder- rättelseverksamheten endast får avse utländska förhållanden. Enligt lagen ska regeringen bestämma försvarsunderrättelseverksamhetens inriktning och inom ramen för denna inriktning får de myndigheter som regeringen bestämmer ange en närmare inriktning av verksam- heten. Regeringen brukar bestämma detta i ett årligt inriktnings- beslut. Verksamheten ska fullgöras genom inhämtning, bearbetning och analys av information. Underrättelser ska rapporteras till berörda myndigheter.

Försvarsmakten beslutar för varje år en inhämtandeplan som bl.a. utgör en prioritering av vad myndigheten anser sig kunna utföra av de behov som uppdragsgivarna genom sina inriktningar har angett. I FM-PuL kommer detta till uttryck indirekt genom föreskriften i 1 kap. 8 § andra stycket om preciserad inriktning, som berörs närmare i det följande. I planen kan myndigheten göra de prioriteringar som den anser vara nödvändiga för att avgränsa verksamheten. Planen är också viktig för att uppfylla kravet att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål. Ut- redningen återkommer till detta i avsnitt 6.4.

Regeringens inriktning och de närmare inriktningarna anger beho- ven av underrättelser, dvs. vilken information som efterfrågas. Hur detta ska uppnås avgörs av den som utför uppgiften. För Försvars- maktens del är inhämtandeplanen ett instrument för detta. Som Wilhelm Agrell anför i boken Konsten att gissa rätt är underrättelse- behoven i sig ingen styrfunktion utan det är först när behoven omsätts i planering som de kan resultera i det konkreta arbete som under- rättelseprocessen förutsätter.1

1Agrell, Wilhelm, Konsten att gissa rätt, underrättelsevetenskapens grunder, Studentlittera- tur, Lund 1998.

161

Överväganden och förslag

SOU 2018:63

Som regeringen anför i den proposition som ligger till grund för nuvarande reglering av behandlingen av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet är ändamålet för behand- lingen att myndigheten ska kunna fullfölja de uppgifter som åligger myndigheten enligt lagen om försvarsunderrättelseverksamhet och den därtill hörande förordningen (prop. 2006/07:46 s. 64). Reger- ingen förklarade att det inte är möjligt att i lagtext närmare precisera de ändamål för vilka personuppgifter får behandlas i försvarsunder- rättelseverksamheten (se a. prop. s. 65). Det kan här tilläggas att det i den senare tillkomna lagen om signalspaning i försvarsunderrättelse- verksamhet anges åtta olika syften för signalspaningen (1 § andra stycket).

Enligt 1 kap. 8 § andra stycket FM-PuL får uppgifter om en per- son endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja den inriktningen. Vad som menas med preciserad inriktning anges inte i lagen utan har i praxis ansetts vara den nyss nämnda inhämtandeplanen.

I tillämpningen har fråga uppkommit om bestämmelsen om anknytning till preciserad inriktning innebär att varje personuppgift som behandlas i försvarsunderrättelseverksamheten måste hänföras direkt till regeringens vid varje tidpunkt gällande inriktning. Ett annat synsätt är att uppfattningen om anknytningens betydelse i sammanhanget inte bör drivas så långt. I stället räcker det att den indirekt berörs av den preciserade inriktningen på så sätt att behand- lingen av personuppgiften behövs för att fullfölja det som följer av regeringens och andra uppdragsgivares inriktning. Den osäkerhet som kan finnas när det gäller innebörden av anknytningen till pre- ciserad inriktning befrämjar enligt utredningens mening inte en effek- tiv underrättelseverksamhet. Utredningen anser därtill att kravet på anknytning till en preciserad inriktning kan ifrågasättas. Inriktningarna och planeringen utgör avgränsningar av behandlingen av person- uppgifter på så sätt att de anger underrättelsebehoven. Men med led- ning av inriktningarna och planeringen kan man inte i detalj avgöra vilken personuppgiftsbehandling som kan vara och bli nödvändig.

I underrättelseverksamhetens natur ligger nämligen att det inte går att på förhand göra tydliga avgränsningar av vilka uppgifter som måste inhämtas för att nå det slutliga målet att åstadkomma de

162

SOU 2018:63

Överväganden och förslag

underrättelser som uppdragsgivarna efterfrågar. Inhämtad informa- tion kan motivera inhämtning av annan information som man från början inte kände till. Det kan också uppkomma behov av att värdera trovärdigheten hos källor, som man heller inte kände till från början. Särskilt tydligt blir det nu sagda när verksamheten till stora delar går ut på att leta efter företeelser och hot som är okända men som man antar existerar.

I sammanhanget vill utredningen också peka på följande för- hållanden. Försvarsunderrättelseverksamhet är huvudsakligen fram- åtsyftande. Den kartlägger företeelser i syfte att kunna förvarna om bl.a. avsikter, aktiviteter och hot till stöd för de inriktande myn- digheternas egna verksamheter. Kartläggningar avser bl.a. skeenden, organisationer och aktörer av betydelse för förståelsen för den om- världsutveckling som inriktningarna adresserar. För att kunna förstå ett skeende eller en aktörs agerande behöver det observerade emeller- tid ofta sättas in i ett kontextuellt och historiskt sammanhang. Först därefter kan bedömningar om det observerades underrättelserele- vans göras. Det som observeras i dag behöver således jämföras med tidigare observationer. För vissa företeelser behöver sådana jämfö- relser kunna göras med observationer som gjordes långt tillbaka i tiden, inte sällan 10–20 år tillbaka. Vedertagna begrepp i samman- hanget är normalbild respektive avvikelse från normalbild. Av detta följer att underrättelseverksamhet alltid måste behandla äldre infor- mation, inklusive personuppgifter, för att man ska kunna förstå och bedöma den underrättelsemässiga relevansen av sådant som sker i dag.

Det som nu har sagts visar enligt utredningens mening att under- rättelseverksamhet som bedrivs enligt lagen om försvarsunderrät- telseverksamhet måste kunna avse förhållanden som inte alltid direkt kan hänföras till regeringens vid varje tidpunkt gällande inriktning så länge dessa förhållanden har betydelse för fullföljandet av det uppdrag som inriktningen innebär. Därmed måste det också vara möjligt att behandla personuppgifter som rör dessa förhållanden. Detta kommer till uttryck i den föreslagna regleringen på så sätt att personuppgifter får behandlas i Försvarsmaktens försvarsunderrät- telseverksamhet om det är nödvändigt för att bedriva den verksam- het som anges i lagen om försvarsunderrättelseverksamhet. Enligt utredningen får detta anses vara en tillräcklig ändamålsbeskrivning som dock i förtydligande syfte bör kompletteras i två avseenden till

163

Överväganden och förslag

SOU 2018:63

vilka utredningen återkommer i det följande och avsnitt 6.3.4. Utred- ningen anser således att den nuvarande ordningen med kravet på anknytning till en preciserad inriktning inte bör behållas.

Genom den föreslagna regleringen av ändamålen med person- uppgiftsbehandlingen i försvarsunderrättelseverksamheten kommer, som utredningen nyss nämnde, behandlingen kunna avse förhållan- den som inte alltid direkt kan hänföras till regeringens vid varje tidpunkt gällande inriktning så länge dessa förhållanden har bety- delse för fullföljandet av det försvarsunderrättelseuppdrag som följer av inriktningen.

Som ovan anförts måste en underrättelseverksamhet behandla äldre information, inklusive personuppgifter, för att man ska kunna förstå och bedöma den underrättelsemässiga relevansen av sådant som sker i dag. För tydlighetens skull anser utredningen att ända- målsbeskrivningen bör kompletteras med en föreskrift som innebär att de personuppgifter som Försvarsmakten har fått tillgång till i sin försvarsunderrättelseverksamhet fortsatt får behandlas i den verk- samheten, om det behövs för att fullgöra den.

Detta bör dock endast gälla om inget annat följer av den före- slagna lagen om behandling av personuppgifter vid Försvarsmakten eller förordning som regeringen har meddelat i anslutning till den lagen.

Den föreslagna föreskriften ger också ett stöd för behandling av uppgifter som behövs för att Försvarsmakten ska kunna uppfylla de krav som uppdragsgivarna ställer på snabbhet och flexibilitet i samband med internationella kriser och andra hastigt uppkomna händelser.

164

SOU 2018:63

Överväganden och förslag

6.3.3Militär säkerhetstjänst som rättslig grund för behandling av personuppgifter hos Försvarsmakten

Utredningens förslag: Personuppgifter får behandlas i Försvars- maktens militära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvars- makten och dess säkerhetsintressen, om det är nödvändigt för att

1.klarlägga verksamhet som innefattar hot mot Sveriges säker- het, eller

2.vidta åtgärder som hindrar eller försvårar säkerhetshotande verksamhet.

Uppgifter om en person får behandlas för de angivna ändamålen endast om

1.uppgifterna är nödvändiga för att kartlägga verksamhet som innefattar brott som kan hota Sveriges säkerhet eller terrorist- brott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstiftning,

2.uppgifterna är nödvändiga för att kartlägga underrättelseverk- samhet riktad mot Försvarsmakten och dess säkerhets- intressen,

3.uppgifterna är nödvändiga för att kartlägga annan säkerhets- hotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvars- makten, och det finns särskilda skäl till att uppgiften ska be- handlas,

4.personen har lämnat uppgifter om säkerhetshotande verk- samhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet,

5.uppgifterna avser information som har framkommit i samband med säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) eller i annat fall är nödvändiga för att utföra en uppgift som rör säkerhetsskydd.

Personuppgifter som behandlas enligt ovan ska förses med upp- lysning om på vilken av de angivna grunderna uppgiften behandlas.

165

Överväganden och förslag

SOU 2018:63

Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upp- lysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

Personuppgifter som behandlas enligt punkterna 1–3 ska i före- kommande fall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Trots vad som sägs ovan får personuppgifter som ingår i eller har uppkommit i samband med användning av totalförsvarets telekommunikations- och informationssystem behandlas för att förhindra obehörig insyn i och påverkan av dessa system. Det gäller även känsliga personuppgifter och personuppgifter där den som uppgifterna rör har offentliggjort dem eller lämnat sitt sam- tyckes. Behandling som särskilt syftar till att identifiera en person får dock endast utföras om bestämmelserna i punkterna 1, 2 eller 3 tillämpas.

Skäl för utredningens förslag: Liksom konstaterats beträffande försvarsunderrättelseverksamheten definieras inte heller vad som avses med militär säkerhetstjänst i FM-PuL. Ledning får därför hämtas i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633). Ändamålet med behandlingen av personuppgifter inom den militära säkerhetstjänsten är att tjänsten ska kunna fullgöra de uppgifter som följer av säkerhetsskyddslagen, den därtill hörande förordningen och förordningen med instruktion för Försvarsmakten. Regeringen föreslog därför i motiven till de nuvarande bestämmelserna, att personuppgifter ska få behandlas i den militära säkerhetstjänstens verksamhet med att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhets- intressen, om det är nödvändigt för att klarlägga verksamhet som innefattar hot mot rikets säkerhet. Denna säkerhetsverksamhet kallas säkerhetsunderrättelsetjänst. I samma syfte ska personuppgifter få behandlas, om det är nödvändigt för att vidta åtgärder som hindrar eller

166

SOU 2018:63

Överväganden och förslag

försvårar säkerhetshotande verksamhet. Då är det fråga om säkerhets- skyddstjänst. Även inom signalskyddstjänsten, som är en säkerhets- skyddsangelägenhet, kan arbete förekomma som avser att klarlägga säkerhetshotande verksamhet. Signalskyddstjänsten innefattar, liksom säkerhetsskyddstjänsten, åtgärder för att hindra eller försvåra säker- hetshotande verksamhet, varför den inte behöver regleras särskilt. I motiven till den nuvarande regleringen angavs även att det saknas behov av att i lagen ange de olika verksamhetsgrenarna inom den mili- tära säkerhetstjänsten (prop. 2006/07:46 s. 65 f.).

Den militära säkerhetstjänsten är en grundläggande verksamhet för Sveriges försvar och nationell säkerhet omfattas därmed inte av unionsrätten. Enligt utredningens mening bör personuppgiftsbehand- lingen såvitt avser denna verksamhet även fortsatt regleras särskilt och omfattas av den föreslagna särlagstiftningen.

Som framgår av avsnitt 5.1.2 får personuppgifter behandlas i Försvarsmaktens militära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvars- makten och dess säkerhetsintressen, om det är nödvändigt för att klarlägga verksamhet som innefattar hot mot rikets säkerhet, eller vidta åtgärder som hindrar eller försvårar säkerhetshotande verk- samhet (1 kap. 9 § FM-PuL). Utredningen anser att den bestämmel- sen bör föras in i den nya lagen.

Utredningen föreslår att de närmare bestämmelserna som anger villkoren för personuppgiftsbehandlingen utformas på samma sätt i den nya lagen som i den nuvarande med de ändringar som framgår av det följande.

Enligt första och andra punkterna får uppgifter behandlas för att kartlägga verksamhet som innefattar brott som kan hota rikets säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brottslighet enligt tidigare lagstift- ning eller om uppgifterna är nödvändiga för att kartlägga underrät- telseverksamhet riktad mot Försvarsmakten och dess säkerhets- intressen. Genom uttrycket ”kartlägga” blir bestämmelserna även tillämpliga på uppgifter om sådana personer som kan betraktas som sekundära i förhållande till den som utgör hotet eller utövar under- rättelseverksamheten men som ändå är av betydelse för att klarlägga verksamhet som innefattar hot mot Sveriges säkerhet.

167

Överväganden och förslag

SOU 2018:63

Enligt tredje punkten får uppgifter behandlas för de angivna ända- målen om uppgifterna är nödvändiga för att kartlägga annan säkerhets- hotande verksamhet och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgifterna behandlas. Även här blir det möjligt att behandla uppgifter om sådana personer som kan betraktas som sekundära i förhållande till den som utövar den säkerhetshotande verksamheten men som ändå är av betydelse för att klarlägga denna verksamhet.

Kravet på särskilda skäl innebär att personuppgifter inte får behandlas vid en rent bagatellartad förseelse som inte ens om den upprepades eller sammantaget med annan verksamhet skulle för- anleda någon åtgärd. Någon ytterligare omständighet erfordras för att behandling ska få ske, t.ex. att det bedöms föreligga risk för upprepning eller att personen i fråga har en sådan position att upp- följning är nödvändig. Som en grundläggande förutsättning gäller att den säkerhetshotande verksamheten ska vara riktad mot Försvars- makten och dess säkerhetsintressen (prop. 2006/07:46 s. 70 f.).

Enligt fjärde och femte punkterna får uppgifter behandlas för de angivna ändamålen om personen har lämnat uppgifter om säkerhets- hotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens trovärdighet (fjärde punkten) eller om uppgif- terna har framkommit genom att någon genomgått en säkerhets- prövning enligt säkerhetsskyddslagen (femte punkten).

Beträffande femte punkten gör utredningen följande övervägan- den i fråga om uttrycket ”säkerhetsprövning”. Försvarsmakten ska leda och bedriva militär säkerhetstjänst och måste för att uppfylla syftet med säkerhetsskyddslagen vidta vissa säkerhetsskyddsåtgärder. Dessa åtgärder benämns i säkerhetsskyddslagen informationssäkerhet, tillträdesbegränsning samt säkerhetsprövning. I bestämmelsen i femte punkten behöver således ”säkerhetsprövning” ersätta tidigare ut- trycken ”registerkontroll eller särskild personutredning”. Skälet är att säkerhetsprövning är ett vidare begrepp som innefattar mer än regi- sterkontroll eller särskild personutredning. Av 14 § säkerhetsskydds- förordningen framgår nämligen att säkerhetsprövningen grundas på

168

SOU 2018:63

Överväganden och förslag

1.den personliga kännedom som finns om den som prövningen gäller,

2.uppgifter som framgår av betyg, intyg och referenser, samt om bestämmelserna om sådana åtgärder är tillämpliga

3.uppgifter som har kommit fram vid registerkontroll och särskild personutredning.

Femte punkten bör således täcka in alla delar i en säkerhetsprövning enligt säkerhetsskyddslagen, vilket bör framgå direkt av författ- ningstexten.2

Av femte punkten bör även framgå att uppgifter om en person får behandlas för de angivna ändamålen om de i annat fall är nöd- vändiga för att utföra en uppgift som rör säkerhetsskydd. Exempel på sådana uppgifter är Försvarsmaktens tillträdeskontroll vid objekt, lokaler och områden där Försvarsmakten bedriver verksamhet som kräver säkerhetsskydd, behörighetshantering inom signalskydds- tjänsten, utbildning i säkerhetsskydd och kontroll av säkerhetsloggar.

Enligt 1 kap. 10 § andra stycket FM-PuL ska uppgifter om en person som behandlas inom den militära säkerhetstjänsten förses med upplysning om på vilken av de angivna grunderna uppgiften behandlas. Om behandlingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säker- hetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

Av 1 kap. 10 § tredje stycket FM-PuL framgår att uppgifter som om en person ska förses med en upplysning om på vilken av grund uppgiften behandlas. Uppgifter om en person som lämnat uppgifter om säkerhetshotande verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

2Se även prop. 1995/96:129 om säkerhetsskydd (s. 78) samt prop. 2006/07:46 s. 67, där det beskrivs att personuppgifter behandlas när någon varit föremål för säkerhetsprövning enligt säkerhetsskyddslagen.

169

Överväganden och förslag

SOU 2018:63

Motiven till bestämmelserna finns i prop. 2006/07:46 s. 70 f. och 122.

Utredningen föreslår att bestämmelser som motsvarar 1 kap. 10 § andra och tredje styckena FM-PuL införs i den nya lagen.

Enligt 1 kap. 11 § FM-PuL får, trots vad som krävs avseende rättslig grund för behandlingen enligt bestämmelserna ovan, per- sonuppgifter som ingår i eller har uppkommit i samband med använd- ning av totalförsvarets telekommunikations- och informations- system behandlas för att förhindra obehörig insyn i och påverkan av dessa system. Det gäller även känsliga personuppgifter och person- nummer. Behandling som särskilt syftar till att identifiera en person får dock endast utföras om någon av grunderna i punkterna 1, 2 eller 3 tillämpas. Enligt andra stycket samma bestämmelse ska Försvars- makten föra en förteckning över de behandlingar som särskilt syftar till att identifiera en person och de uppgifter som utgjort anled- ningen till behandlingen.

Motiven till bestämmelsen finns i prop. 2006/07:46 s. 72 f. och 123). Utredningen föreslår att en motsvarande bestämmelse införs i

den nya lagen.

I 1 kap. 11 § andra stycket FM-PuL finns en bestämmelse om att Försvarsmakten ska föra en förteckning över sådana behandlingar, av vilken ska framgå vilken person som avsetts med behandlingen och de uppgifter som utgjort anledningen till behandlingen. En sådan förteckning för att möjliggöra kontroll i efterhand av grunden för att en behandling utförts i syfte att identifiera en person. Utred- ningen föreslår inte någon sådan bestämmelse i den nya lagen efter- som Försvarsmakten är skyldig att spara sådana uppgifter redan på grund av bestämmelserna om krav på rättslig grund, loggning m.m. Vidare har dataskyddsombudet till uppgift att föra förteckning över behandlingar.

170

SOU 2018:63

Överväganden och förslag

6.3.4Rättsliga grunder för behandling vid Försvarsmakten av personuppgifter som utgör allmänt tillgänglig information

Utredningens förslag: Personuppgifter som utgör allmänt till- gänglig information får behandlas av Försvarsmakten om det är nödvändigt för

1.planering, förberedelse och genomförande av verksamhet som rör Sveriges försvar och säkerhet eller internationellt försvars- och säkerhetssamarbete,

2.försvarsunderrättelseverksamheten, eller

3.den militära säkerhetstjänsten.

Skäl för utredningens förslag: Som tidigare nämnts behöver Försvarsmakten för att kunna bedriva en effektiv försvarsunder- rättelseverksamhet utöver den information som den inhämtar genom hemliga metoder, också god tillgång till allmänt tillgänglig infor- mation. Därigenom kan den på hemligt sätt inhämtade informa- tionen på ett bättre sätt än eljest sättas in i sitt rätta sammanhang. Av intresse här är information som utgörs av personuppgifter som kan påträffas vid sökning på internet eller vid sökningar i öppna databaser. Uppgifterna kan vara gratis eller tillgängliga på kommer- siell grund. Gemensamt för dem är att de är publikt tillgängliga. Det kan röra sig om uppgifter som t.ex. en abonnent på ett eller annat sätt har samtyckt att uppgifterna finns med i elektroniska telefon- kataloger eller förteckningar över ip-adresser i olika länder. Efter- som försvarsunderrättelseverksamheten måste vara hemlig är det inte lämpligt att myndigheten exponerar sig eller sina uppdrags- givares underrättelsebehov genom att själv göra sökningar i dessa databaser. I stället måste databaserna anskaffas och läggas upp som referensdatabaser hos myndigheten där den kan göra sökningar.

Ett syfte med att behandla personuppgifter i referensdatabaser kan vara att kunna skaffa ytterligare kunskap om förhållanden av relevans för fullföljandet av en inriktning, t.ex. telefonnummer, adresser, geografisk hemvist etc. Ett annat syfte kan vara att kunna identifiera vem som använder en adressuppgift av intresse, t.ex. telefonnummer som förekommer i den inhämtade informationen.

171

Överväganden och förslag

SOU 2018:63

Det är inte bara i försvarsunderrättelseverksamheten som det finns ett behov av att behandla personuppgifter på det nu beskrivna sättet. Också den militära säkerhetstjänsten har behov av det. Behovet förekommer även när det gäller planering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och säker- het eller internationellt försvars- och säkerhetssamarbete.

Antalet personuppgifter i myndighetens referensdatabaser kan bli mycket stort. Även om uppgifterna är allmänt tillgängliga innebär ett stort antal en form av integritetsintrång. De föreslagna ändamåls- bestämmelserna kan visserligen sägas täcka den nu beskrivna behand- lingen av personuppgifter. I klarhetens intresse bör behandlingen dock få ett tydligt stöd i lagen. I lagen bör därför införas en föreskrift om att personuppgifter som utgörs av allmänt tillgänglig informa- tion får behandlas av Försvarsmakten om det är nödvändigt för pla- nering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och säkerhet eller internationellt försvars- och säker- hetssamarbete, försvarsunderrättelseverksamheten eller den militära säkerhetstjänsten.

6.3.5Övriga rättsliga grunder för behandlingen av personuppgifter vid Försvarsmakten

Utredningens förslag: Personuppgifter får även behandlas av Försvarsmakten om det är nödvändigt för diarieföring, arkiver- ing, handläggning av ett ärende eller för att utföra en annan lik- nande uppgift som åligger myndigheten.

Skäl för utredningens förslag: Försvarsmakten har elektroniska ärendehanteringssystem i vilka personuppgifter är sökbara enligt särskilda kriterier och behörigheter. Diarieföringen vid Försvars- makten avser handlingar som rör Sveriges försvar och säkerhet. Det samma gäller de arkiverade handlingarna. Ärendehandläggningen vid myndigheten kan avse skadeståndsärenden, tillträdesärenden (ansökan från annan stat om att få tillträde till svenskt territorium), ärenden inom Försvarsmaktens tillsyns- och inspektionsverksamhet, ärenden då Försvarsmakten ansöker om miljötillstånd, ärenden enligt för- fogandelagstiftningen, ärenden om kvalificerade skyddsidentiteter och ärenden om utlämnande av allmän handling. Andra uppgifter

172

SOU 2018:63

Överväganden och förslag

som liknar ärendehandläggning och som åligger myndigheten kan vara att besvara frågor rörande Sveriges försvar eller att kommu- nicera med anställda eller värnpliktiga i frågor som rör deras tjänst. Det kan också gälla utvärdering av den egna verksamheten såsom tidredovisning, lönesättning och sjuktal.

Utredningen anser att den behandling av personuppgifter som uppkommer i de nu beskrivna verksamheterna bör omfattas av den nya lagen.

6.3.6Försvarsunderrättelseverksamhet som rättslig grund för behandling av personuppgifter vid Försvarets radioanstalt

Utredningens förslag: Personuppgifter får behandlas i Försvarets radioanstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet och lagen (2008:717) om signal- spaning i försvarsunderrättelseverksamhet.

De personuppgifter som Försvarets radioanstalt har fått till- gång till i sin försvarsunderrättelseverksamhet får fortsatt behand- las i den verksamheten, om det behövs för att fullgöra den.

Detta gäller dock endast om inget annat följer av den före- slagna lagen om behandling av personuppgifter vid Försvarets radio- anstalt eller förordning som regeringen har meddelat i anslutning till den lagen.

Personuppgifter som behandlas i försvarsunderrättelseverk- samheten får även behandlas om det är nödvändigt för att till- handahålla information som behövs

1.i verksamhet hos berörda myndigheter som avses i 2 § lagen (2000:130) om försvarsunderrättelseverksamhet.

2.med anledning av samarbete med andra länder och inter- nationella organisationer enligt lagen (2000:130) om försvars- underrättelseverksamhet och lagen (2008:717) om signalspa- ning i försvarsunderrättelseverksamhet.

3.i utvecklingsverksamheten för de ändamål som anges för den verksamheten,

173

Överväganden och förslag

SOU 2018:63

4.i informationssäkerhetsverksamheten för de ändamål som anges för den verksamheten, eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Skäl för utredningens förslag: I FRA-PuL föreskrivs i 1 kap. 8 § första stycket att personuppgifter får behandlas i Försvarets radio- anstalts försvarsunderrättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om för- svarsunderrättelseverksamhet. Enligt den lagen ska försvarsunder- rättelseverksamhet bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. Det anges vidare att i verksamheten ingår att medverka i svenskt deltagande i internationellt säkerhetssamarbete och att försvarsunder- rättelseverksamheten endast får avse utländska förhållanden. I 1 § andra stycket lagen om signalspaning i försvarsunderrättelsetjänst anges att signalspaning får ske endast för att kartlägga

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära insatser eller hot mot säkerheten för svenska intres- sen vid genomförande av sådana insatser,

3.strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsent- liga nationella intressen

4.utveckling och spridning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen (200:1064) om kontroll av pro- dukter med dubbla användningsområden och av tekniskt bistånd,

5.allvarliga yttre hot mot samhällets infrastruktur,

6.konflikter utomlands med konsekvenser för internationell säkerhet,

7.främmande underrättelseverksamhet mot svenska intressen, eller

8.främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- och försvarspolitik.

174

SOU 2018:63

Överväganden och förslag

Enligt lagen om försvarsunderrättelseverksamhet ska regeringen bestämma försvarsunderrättelseverksamhetens inriktning och inom ramen för denna inriktning får de myndigheter som regeringen bestämmer ange en närmare inriktning av verksamheten. Regeringen brukar bestämma detta i inriktningsbeslutet. För Försvarets radio- anstalt anges kretsen av uppdragsgivare, såvitt gäller signalspaning, i 4 § första stycket lagen om signalspaning i försvarsunderrättelse- verksamhet. Enligt den bestämmelsen får inriktning av signalspaning endast anges av regeringen, Regeringskansliet, Försvarsmakten, Säker- hetspolisen och Nationella operativa avdelningen i Polismyndigheten.

Enligt 1 kap. 8 § andra stycket FRA-PuL får uppgifter om en per- son endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja den inriktningen.

Försvarets radioanstalt beslutar för varje år en preciserad inrikt- ning med produktionsplan som bl.a. utgör en prioritering av vad myndigheten anser sig kunna utföra av de behov som uppdrags- givarna genom sina inriktningar gett uttryck för. I FRA-PuL kom- mer detta till uttryck indirekt genom föreskriften i 1 kap. 8 § andra stycket om preciserad inriktning, som berörs närmare i det följande. I planen kan myndigheten göra de prioriteringar som den anser vara nödvändiga för att avgränsa verksamheten. Planen är också viktig för att uppfylla kravet att personuppgifter får behandlas bara för sär- skilda, uttryckligt angivna och berättigade ändamål. Utredningen återkommer till detta i avsnitt 6.4.

Utredningen har i avsnitt 6.3.2 när det gäller Försvarsmaktens försvarsunderrättelseverksamhet kommit fram till att ändamålet för personuppgiftbehandlingen i den verksamheten bör beskrivas så att den ska vara nödvändig för att bedriva försvarsunderrättelseverk- samhet. Enligt utredningens mening bör den nuvarande ordningen med krav på anknytning till en preciserad inriktning inte behållas. De skäl och slutsatser som utredningen har fört fram när det gäller ändamålen för personuppgiftsbehandlingen i Försvarsmaktens för- svarsunderrättelseverksamhet gäller även personuppgiftsbehandlingen

iFörsvarets radioanstalts försvarsunderrättelseverksamhet. Ända- målet för personuppgiftsbehandlingen i Försvarets radioanstalts för- svarsunderrättelseverksamhet bör således utformas i överensstäm- melse med det som utredningen föreslår för personuppgiftsbehand- lingen i Försvarsmaktens försvarsunderrättelseverksamhet.

175

Överväganden och förslag

SOU 2018:63

Beskrivningen bör också innehålla en hänvisning till lagen om signalspaning i försvarsunderrättelseverksamhet.

Liksom för Försvarsmaktens del bör ändamålsbeskrivningen kom- pletteras i två avseenden som utredningen berör i det följande och i avsnitt 6.3.9.

Även Försvarets radioanstalt måste i sin försvarsunderrättelse- verksamhet behandla äldre information, inklusive personuppgifter, för att man ska kunna förstå och bedöma den underrättelsemässiga relevansen av sådant som sker i dag. För tydlighetens skull anser utredningen att ändamålsbeskrivningen också för Försvarets radio- anstalt bör kompletteras med en föreskrift som innebär att de per- sonuppgifter som myndigheten har fått tillgång till i sin försvars- underrättelseverksamhet fortsatt får behandlas i den verksamheten, om det behövs för att fullgöra den.

Detta bör dock endast gälla om inget annat följer av den före- slagna lagen om behandling av personuppgifter hos Försvarets radio- anstalt eller förordning som regeringen har meddelat i anslutning till den lagen.

På samma sätt som för Försvarsmakten ges härmed ett tydligt stöd för behandling av uppgifter som behövs för att Försvarets radio- anstalt ska kunna uppfylla de krav som uppdragsgivarna ställer på snabbhet och flexibilitet i samband med internationella kriser och andra hastigt uppkomna händelser.

Enligt 2 a § lagen om signalspaning i försvarsunderrättelseverk- samhet får inhämtning inte avse signaler mellan en avsändare och en mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen eller upp- teckningen förstöras så snart det står klart att sådana signaler har inhämtats. Om en sådan otillåten inhämtning ändå sker, måste upp- tagningen eller uppteckningen alltså förstöras. Ett annat fall där en upptagning eller uppteckning ska förstöras regleras i 7 § nämnda lag. Den bestämmelsen tar sikte på vissa i paragrafen angivna uppgifter som inte får behandlas vidare. Förstöringsåtgärderna i båda dessa fall kan innefatta behandling av personuppgifter. Genom att ändamåls- bestämmelsen hänvisar till verksamhet som anges i lagen om signal- spaning i försvarsunderrättelseverksamhet skapas en rättslig grund för sådan behandling av personuppgifter som är nödvändig för att avskilja personuppgifter som inte ska inhämtas eller behandlas vidare.

176

SOU 2018:63

Överväganden och förslag

Genom signalspaning kan en inhämtad upptagning eller upp- teckning innehålla olika personuppgifter. En del är av betydelse för verksamheten medan andra inte är det. Det är ofta inte praktiskt möjligt att separera uppgifter i samma upptagning. Att förstöra hela upptagningen skulle i många fall vara klart menligt för verksamheten och därmed för uppdragsgivarnas behov. Behåller man den innebär det att även de personuppgifter som saknar betydelse kommer att behandlas. Detta är en oundviklig följd om intresset att använda övriga uppgifter i upptagningen är starkt.

Ett liknande resonemang fördes i prop. 2006/07:63 s. 108 och 109 i motiven till bestämmelsen om förstöring i 7 § den där föreslagna lagen om signalspaning i försvarsunderrättelseverksamhet. Där anför- des att det inte går att undvika att inhämtningen kommer att omfatta både relevant och irrelevant information, särskilt inte när inhämt- ningen förmedlas vid ett och samma kommunikationstillfälle. När det gäller uppgifter om fysiska personer omfattar den då föreslagna bestämmelsen om förstöring av upptagning eller uppteckning bara upptagningar som innehåller betydelselösa uppgifter. Det konsta- terades att bestämmelsen inte riktar sig mot upptagningar med både relevant och irrelevant information och att en sådan upptagning ju faktiskt – i vart fall till viss del – har betydelse för verksamheten och då inte ska förstöras. Det bör här nämnas att möjligheten att under- låta förstöring inte gäller de fall som anges i 7 § punkterna 2 och 3 dvs. uppgifter för vilka tystnadsplikt gäller enligt bestämmelser i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen och upp- gifter i sådana meddelanden mellan en person som är misstänkt för brott och dennes försvarare som skyddas av vissa bestämmelser i rättegångsbalken. I lagstiftningsärendet konstaterades vidare att pro- blemet med olika typer av uppgifter i en och samma upptagning inte kan lösas genom ett krav på att upptagningen eller uppteckningen ska redigeras så att endast betydelsefull information får kvarstå. En sådan ordning angavs ej vara genomförbar. Problemet fick enligt pro- positionen lösas genom en bestämmelse om att rapportering av under- rättelser som inhämtats genom signalspaning och som innefattar upp- gifter som berör fysisk person endast får avse förhållanden som är av betydelse för ändamålet med verksamheten såsom den formuleras i 1 § lagen om försvarsunderrättelseverksamhet.

177

Överväganden och förslag

SOU 2018:63

Utredningen kan konstatera att signalspaningslagstiftningen med det nu beskrivna synsättet kom till efter FRA-PuL Genom att ända- målsbestämmelsen hänvisar till verksamhet som anges i lagen om signalspaning i försvarsunderrättelseverksamhet får det beskrivna förfarandet ett rättsligt stöd.

Vidarebehandling av personuppgifter för vissa andra ändamål än de ursprungliga, får göras med stöd av 1 kap. 6 § 4 p FRA-PuL. Bestäm- melsen ger möjlighet att fortsatt behandla insamlade uppgifter så länge personuppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen).

Enligt utredningen mening är det en fördel från integritetsskydds- synpunkt att i görligaste mån precisera i vilka fall personuppgifts- behandling får ske för andra ändamål än det för vilket uppgifterna har samlats in. I förslaget till Säkerhetspolisens datalag förekommer en sådan reglering.

Till en början vill utredningen peka på två andra verksamheter inom Försvarets radioanstalt. Personuppgifter som behandlas i för- svarsunderrättelseverksamheten bör även få behandlas om det är nödvändigt för att tillhandahålla information som behövs i utveck- lingsverksamheten för de ändamål som gäller för den verksamheten. Den andra verksamheten är informationssäkerhetsverksamheten. Som framgår av avsnitt 3.3.6 är den nära knuten till vissa delar av försvarsunderrättelseverksamheten vilket ger unika möjligheterna till ökad säkerhet på it-området. Av den anledningen är det viktigt att personuppgifter som behandlas i försvarsunderrättelseverksam- heten också får behandlas i informationssäkerhetsverksamheten för de ändamål som anges för den verksamheten.

I ytterligare tre fall är det aktuellt med behandling av person- uppgifter för andra ändamål än de ursprungliga. Ett av dem avser verksamhet hos berörda myndigheter enligt 2 § lagen om försvars- underrättelseverksamhet. Det andra fallet gäller samarbete med andra länder och internationella organisationer enligt lagen om försvars- underrättelseverksamhet och lagen om signalspaning i försvars- underrättelseverksamhet. Det tredje fallet avser biträde till andra myndigheter vid anskaffning av signalspaningssystem i den utsträck- ning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det. Som nämnts i avsnitt 3.2 har regeringen i instruk- tionen för Försvarets radioanstalt föreskrivit att radioanstalten ska

178

SOU 2018:63

Överväganden och förslag

biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem

Den föreslagna regleringen innebär således att personuppgifts- behandling för vissa ändamål uttryckligen regleras i lag i stället för att, som tidigare, hanteras i enlighet med finalitetsprincipen. Avsik- ten är att åstadkomma tydlighet i de nu nämnda fallen. Finalitets- principen gäller därutöver.

6.3.7Utvecklingsverksamhet som rättslig grund för behandling av personuppgifter hos Försvarets radioanstalt

Utredningens förslag: Försvarets radioanstalt får i utvecklings- verksamheten behandla personuppgifter om det är nödvändigt för försvarsunderrättelseverksamheten för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska utvecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Personuppgifter som behandlas i denna utvecklingsverksamhet får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.med anledning av samverkan med annan avseende utveck- lingsverksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med ut- ländsk underrättelse- eller säkerhetstjänst enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,

3.i försvarsunderrättelseverksamheten för de ändamål som anges för den verksamheten.

4.i informationssäkerhetsverksamhet för de ändamål som anges för den verksamheten, eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

179

Överväganden och förslag

SOU 2018:63

Skäl för utredningens förslag: Som angetts i avsnitt 3.3.5 ska Försvarets radioanstalt enligt myndighetens instruktion bedriva viss utvecklingsverksamhet och särskilt följa förändringen av signal- miljön i omvärlden, den tekniska utvecklingen och signalskyddet. Myndigheten ska också fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten enligt lagen om signal- spaning i försvarsunderrättelseverksamhet. Av 1 § tredje stycket den lagen framgår att signaler i elektronisk form får inhämtas vid signal- spaning för dessa syften. Myndigheten ska vidare utföra matema- tiska bedömningar av kryptosystem för totalförsvaret samt biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem.

När teknik utvecklas och när nya metoder för forcering av kryp- terad information arbetas fram används oftast autentiskt signal- spaningsmaterial för att man ska kunna vara säker på teknikens riktighet. Det autentiska materialet kan innehålla personuppgifter. Stöd för denna personuppgiftsbehandling finns i 1 kap. 9 § FRA- PuL. Där föreskrivs att personuppgifter får behandlas av Försvarets radioanstalt om det är nödvändigt för att

1.följa förändringar av signalmiljön i omvärlden, den tekniska ut- vecklingen och signalskyddet, och

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Motiven finns i prop. 2006/07:46 s. 67 f. Utredningen föreslår att motsvarande bestämmelse införs i den nya lagen.

Vidarebehandling av personuppgifter för vissa andra ändamål än de ursprungliga, får, som nämnts i föregående avsnitt göras med stöd av 1 kap. 6 § 4 p FRA-PuL. Bestämmelsen ger möjlighet att fortsatt behandla insamlade uppgifter så länge personuppgifterna inte behand- las för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen).

Som utredningen har nämnt i avsnittet om radioanstaltens för- svarsunderrättelseverksamhet är det en fördel från integritetsskydds- synpunkt att i görligaste mån precisera i vilka fall personuppgifts- behandling får ske för andra ändamål än det för vilket uppgifterna har samlats in. En bestämmelse som avser ett sådant ändamål finns i

180

SOU 2018:63

Överväganden och förslag

1 kap. 10 § FRA-PuL. Motiven finns i a. prop. s. 67. Enligt bestäm- melsen får personuppgifter behandlas av Försvarets radioanstalt om det är nödvändigt för att biträda andra myndigheter vid värdering, utveckling, anskaffning och drift av signalspaningssystem. Utred- ningen föreslår att en bestämmelse med denna innebörd tas in i den nya lagen. Den bör dock utformas så att den inte bara tar sikte på värdering, utveckling, anskaffning och drift av signalspaningssystem utan bör få en vidare innebörd. Vidare bör som villkor för biträde till andra myndigheter anges att det kan ges i den utsträckning det följer av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Utredningen föreslår i det följande vissa ytterligare föreskrifter som avser i vilken utsträckning personuppgifter som behandlas för något av ändamålen i utvecklingsverksamheten även ska få behandlas i annan verksamhet inom den egna myndigheten för den verksam- hetens behov eller för att lämnas ut till annan för att tillgodose dennes behov.

Som beskrivits i avsnitt 3.3.5 är den information som Försvarets radioanstalt strävar efter att finna och rapportera, i syfte att tillg- odose uttryckta underrättelsebehov, ofta konfidentiell och således skyddsvärd för den källa som hanterar informationen. Informa- tionen är därför ofta försedd med någon form av åtkomstskydd för att förhindra obehörig åtkomst. För att framgångsrikt kunna bedriva försvarsunderrättelseverksamhet krävs därför aktuell och ingående kunskap dels om hur signaler förmedlas och hanteras i elektronisk form, dels om de mekanismer som används för att skydda infor- mationen. Personuppgifter som behandlas i Försvarets radioanstalts utvecklingsverksamhet bör därför även få behandlas om det är nöd- vändigt för att tillhandahålla information som behövs i samverkan med annan avseende utvecklingsverksamhet eller med anledning av samarbete om utvecklingsverksamhet med utländsk underrättelse- eller säkerhetstjänst enligt lagen om signalspaning i försvarsunder- rättelseverksamhet.

Eftersom utvecklingsverksamheten syftar till att främja försvars- underrättelseverksamheten är det inte oförenligt med det ändamål för vilka uppgifterna samlas in att uppgifterna också behandlas i för att tillhandahålla information som behövs i försvarsunderrättelse- verksamheten. Detta bör komma till uttryck i lagen.

Utvecklingsverksamheten har också betydelse för Försvarets radio- anstalts informationssäkerhetsverksamhet. Även i detta fall är det

181

Överväganden och förslag

SOU 2018:63

inte oförenligt med det ändamål för vilket uppgifterna samlats in att de också behandlas för att tillhandahålla information i den verksam- heten. Detta bör komma till uttryck i lagen.

Den föreslagna regleringen innebär således att personuppgifts- behandling för vissa ändamål uttryckligen regleras i lag, i stället för att, som tidigare, hanteras i enlighet med finalitetsprincipen. Avsik- ten är att åstadkomma tydlighet i de nu nämnda fallen. Finalitets- principen gäller därutöver.

6.3.8Informationssäkerhetsverksamhet som rättslig grund för behandling av personuppgifter hos Försvarets radioanstalt

Utredningens förslag: Personuppgifter får behandlas i Försvarets radioanstalts informationssäkerhetsverksamhet om det är nöd- vändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Personuppgifter som får behandlas enligt detta ändamål får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos den som tar emot uppgifter om informa- tionssäkerhet,

2.med anledning av samverkan med andra som verkar på infor- mationssäkerhetsområdet såväl inom som utom landet i den utsträckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutar om det,

3.i försvarsunderrättelseverksamheten när det gäller att kart- lägga allvarliga yttre hot mot samhällets infrastruktur och främmande underrättelseverksamhet, eller

4.i utvecklingsverksamheten för de ändamål som anges för den verksamheten.

Skäl för utredningens förslag: Av 4 § förordningen med instruk- tion för Försvarets radioanstalt framgår att Försvarets radioanstalt

182

SOU 2018:63

Överväganden och förslag

har i uppdrag att vara statens resurs för teknisk informationssäker- het och ska ha hög kompetens inom informationssäkerhetsområdet. Myndigheten får enligt samma bestämmelse efter begäran stödja myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhetssynpunkt eller i ett säkerhets- eller försvarspolitiskt avseende samt tilldela säkra kryptografiska funktioner till ett antal civila myndigheter och organisationer (se närmare om detta i avsnitt 3.2).

Imotiven till FRA-PuL (prop. 2006/07:46 s. 30 f.) anfördes att denna konsultverksamhet främst har rört aktiva it-kontroller, som innebär att Försvarets radioanstalt på uppdragsgivarens begäran söker efter och analyserar brister i säkerheten i datorsystemen. Den infor- mation som Försvarets radioanstalt då erhåller bedömdes kunna innehålla personuppgifter, men att Försvarets radioanstalt i så fall, med stöd av ett avtal med uppdragsgivaren, agerar personuppgifts- biträde vid behandling av dessa personuppgifter. Dessa personupp- gifterna skulle således komma att behandlas av Försvarets radio- anstalt helt i enlighet med uppdragsgivarens instruktioner och den information som Försvarets radioanstalt får i samband med att upp- draget utförs skulle inte kunna användas i myndighetens försvars- underrättelse- eller utvecklingsverksamhet. Data innehållande bl.a. personuppgifter återsänds till uppdragsgivaren i samband med slut- rapport eller förstörs av Försvarets radioanstalt. Denna beskrivning av konsultverksamheten är enligt utredningens uppfattning fortfarande aktuell. På senare tid har verksamheten utvecklats genom det tekniska detekterings- och varningssystemet (TDV) som beskrivs i avsnitt 3.3.6. Utredningen vill även tillägga att när Försvarets radioanstalt agerar personuppgiftsbiträde sker det inte bara i enlighet med uppdrags- givarens instruktioner utan också enligt de regler som gäller för denne. Vidare kan den information som Försvarets radioanstalt får i samband med att ett uppdrag utförs användas i myndighetens egen verksamhet, om uppdragsgivaren medger det och då sker denna behandling av personuppgifter enligt bestämmelserna för behand- ling av personuppgifter vid Försvarets radioanstalt.

De personuppgiftsbehandlingar Försvarets radioanstalt genom- för som personuppgiftsansvarig inom ramen för informationssäker- hetsverksamheten omfattas inte av FRA-PuL. Utredningen, som tidigare i avsnitt 6.2.3 konstaterat att verksamheten inte omfattas av unionsrätten, anser att det i den nya lagen bör föras in bestämmelser

183

Överväganden och förslag

SOU 2018:63

om behandlingen av personuppgifter i denna verksamhet. Den bör avse den behandling av personuppgifter i informationssäkerhets- verksamheten som är nödvändig för att kunna skydda den egna verk- samheten och för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Det bör föreskrivas att uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Som utredningen har nämnt i avsnitten om radioanstaltens för- svarsunderrättelse- och utvecklingsverksamhet är det en fördel från integritetsskyddssynpunkt att i görligaste mån precisera i vilka fall personuppgiftsbehandling får ske för andra ändamål än det för vilket uppgifterna har samlats in.

Det finns enligt utredningen ett antal tillkommande ändamål för vilka personuppgifter som behandlas i Försvarets radioanstalts infor- mationssäkerhetsverksamhet bör få behandlas. Det bör få ske om det är nödvändigt för att tillhandahålla information som behövs hos den som tar emot uppgifter om informationssäkerhet. Vidare bör det få ske om det är nödvändigt för att tillhandahålla information som behövs med anledning av samverkan med andra som verkar på infor- mationssäkerhetsområdet såväl inom som utom landet. Detta bör dock bara få ske i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

En nära samverkan mellan försvarsunderrättelseverksamheten och informationssäkerhetsverksamheten är av stor betydelse. För underrättelseverksamheten är det angeläget att kunna ta del av upp- gifter från informationssäkerhetsverksamheten när det gäller att kartlägga allvarliga yttre hot mot samhällets infrastruktur och främ- mande underrättelseverksamhet. Personuppgifter bör därför även få behandlas om det är nödvändigt för att tillhandahålla information av detta slag. Försvarets radioanstalt har därvid att förhålla sig till de regler som gäller för försvarsunderrättelseverksamheten.

Informationssäkerhetsverksamheten är även av betydelse för ut- vecklingsverksamheten. Personuppgifter som får behandlas i informa- tionssäkerhetsverksamheten bör därför även få behandlas om det är nödvändigt för att tillhandahålla information som behövs i utveck- lingsverksamheten.

Den föreslagna regleringen innebär således som i de tidigare behandlade fallen att personuppgiftsbehandling för vissa ändamål uttryckligen regleras i lag, i stället för att, som tidigare, hanteras i

184

SOU 2018:63

Överväganden och förslag

enlighet med finalitetsprincipen. Avsikten är att åstadkomma tyd- lighet i de nu nämnda fallen. Finalitetsprincipen gäller därutöver.

6.3.9Rättsliga grunder för behandling vid Försvarets radioanstalt av allmänt tillgänglig information för vissa ändamål

Utredningens förslag: Personuppgifter som utgör allmänt till- gänglig information får behandlas av Försvarets radioanstalt om det är nödvändigt för de ändamål som anges för försvarsunder- rättelse- och utvecklingsverksamheten och informationssäker- hetsverksamheten.

Skäl för utredningens förslag: Liksom Försvarsmakten (se av- snitt 6.3.4.) bör Försvarets radioanstalt ha ett tydligt stöd för att i s.k. referensdatabaser behandla sådana uppgifter om personer som är allmänt tillgängliga. Det gäller information som utgörs av person- uppgifter som kan påträffas vid sökning på internet eller vid sök- ningar i öppna databaser Uppgifterna kan vara gratis eller tillgängliga på kommersiell grund. Gemensamt för dem är att de är publikt till- gängliga. Det kan röra sig om uppgifter som t.ex. en abonnent på ett eller annat sätt har samtyckt att uppgifterna finns med i elektroniska telefonkataloger eller förteckningar över ip-adresser i olika länder. Utöver de syften för sådan behandling som beskrivs i avsnittet om Försvarsmakten när det gäller försvarsunderrättelseverksamheten, som endast får avse utländska förhållanden, behöver Försvarets radio- anstalt behandla personuppgifter i sådana databaser för att kunna filt- rera bort signaler i sådana fall där både sändare och mottagare befinner sig i Sverige, t.ex. genom att bedöma vilka ip-adresser som avser datorer i Sverige.

Som tidigare nämnts får enligt 2 a § lagen om signalspaning i för- svarsunderrättelseverksamhet inhämtning inte avse signaler mellan en avsändare och en mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upp- tagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats. Att i en referensdatabas behandla den typen av allmänt tillgängliga personuppgifter kan bidra till att minska antalet sådana inhämtningar.

185

Överväganden och förslag

SOU 2018:63

Även inom utvecklingsverksamheten kan det vara nödvändigt att kunna behandla personuppgifter som utgör allmänt tillgänglig infor- mation. Utvecklingsverksamheten syftar till att utveckla och vid- makthålla möjligheterna att bedriva försvarsunderrättelseverksam- het. För detta behöver personuppgifter behandlas t.ex. vid kartlägg- ning av signalmiljön, varvid allmänt tillgänglig information precis som i försvarsunderrättelseverksamheten behöver kunna användas i identifieringssyfte. Även utvecklingsverksamheten omfattas av 2 a § lagen om signalspaning i försvarsunderrättelseverksamhet, varvid behandling av allmänt tillgängliga personuppgifter kan bidra till att minska antalet inhämtningar som ej är tillåtna enligt den bestämmelsen.

Likaså vad gäller informationssäkerhetsverksamheten kan all- mänt tillgängliga personuppgifter behöva behandlas. Bland behoven finns möjligheter att identifiera ursprunget till skadlig kod och att löpande kunna bevaka vad som redan är känt avseende sårbarheter i mjuk- och hårdvaror.

I den till lagen anknutna förordningen bör föreskrivas att det för Försvarets radioanstalt får finnas uppgiftssamlingar för allmänt till- gänglig information och att de endast får innehålla information som finns eller har funnits på internet eller i öppna databaser.

Uppgifterna bör vara uppdaterade i enlighet med vad som föreslås i avsnitt 6.4.1.

6.3.10Rättsliga grunder för behandling för vetenskapliga, statistiska eller historiska ändamål

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom de föreslagna lagarnas tillämpnings- områden.

Skäl för utredningens förslag: Möjligheten att bevara person- uppgifter som behandlas automatiserat, för historiska, statistiska eller vetenskapliga ändamål är enligt FM-PuL och FRA-PuL kopplad till regler om gallring. Enligt 6 kap. 1 § i dessa lagar ska personupp- gifter gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i enskilt fall

186

SOU 2018:63

Överväganden och förslag

beslutat att gallring ska ske senast vid viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Enligt 12 § FM-PuF och FRA-PuF har Riksarkivet denna rätt att besluta om bevarande. Ett sådant beslut får till följd att uppgifterna inte gallras.

Utredningen bedömer att det även enligt de nya lagarna bör finnas utrymme att behandla personuppgifter för vetenskapliga, statistiska och historiska ändamål.

6.3.11Rättsliga grunder för behandling av personuppgifter för att tillgodose behov av information hos enskilda och behov av information vid tillsyn och kontroll

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt får behandla personuppgifter för att kunna tillgodose enskil- das behov av information och kunna lämna information vid tillsyn och kontroll.

Skäl för utredningens förslag: Datainspektionen är enligt 10 § FM- PuF och FRA-PuF tillsynsmyndighet enligt FM-PuL och FRA-PuL. Statens inspektion för försvarsunderrättelseverksamheten har enligt sin instruktion till uppgift att kontrollera försvarsunderrättelseverk- samheten hos de myndigheter som bedriver sådan verksamhet. Inspektionen är enligt sin instruktion även kontrollmyndighet enligt lagen om signalspaning i försvarsunderrättelseverksamhet. Enligt 10 a § i den lagen är kontrollmyndigheten skyldig att på begäran av en enskild kontrollera om hans eller hennes meddelanden har inhämtats i samband med signalspaning. Det ska här tilläggas att Riksrevisio- nen, Riksdagens ombudsmän och Justitiekanslern också kan utöva tillsyn.

Något uttryckligt stöd för personuppgiftsbehandling med anled- ning av en enskilds behov av information eller behov av information vid tillsyn och kontroll finns inte i FM-PuL eller FRA-PuL. Utred- ningen bedömer emellertid att den personuppgiftsbehandling genom exempelvis sökningar i uppgiftssamlingar och sammanställningar av uppgifter som är nödvändig för att Försvarsmakten och Försvarets radioanstalt ska kunna tillmötesgå enskildas och tillsynsmyndig-

187

Överväganden och förslag

SOU 2018:63

hetens och kontrollmyndighetens behov bör få direkt stöd i de före- slagna lagarna. Utredningen föreslår därför att det i de föreslagna lagarna tas in en bestämmelse om att respektive myndighet får behandla personuppgifter för att kunna tillgodose enskildas behov av information och behovet av information vid tillsyn och kontroll.

Den föreslagna bestämmelsen utgör även den rättsliga grunden för personuppgiftshantering i Försvarsmaktens och Försvarets radio- anstalts loggfunktioner i de uppgiftssamlingar som hanterar person- uppgifter för de syften som framgår av denna bestämmelse. Bestäm- melser om myndigheternas loggfunktioner behandlas i avsnitt 6.6.2.

6.4Grundläggande krav på behandling av personuppgifter

6.4.1Grundläggande krav

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt får behandla personuppgifter bara för särskilda, uttryck- ligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ur- sprungligen behandlades.

Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen.

Skäl för utredningens förslag: Av 1 kap. 6 § 1–7 FM-PuL och FRA-PuL framgår att Försvarsmakten respektive Försvarets radio- anstalt ska se till att personuppgifter behandlas bara om det är lagligt, att de alltid behandlas på ett korrekt sätt och i enlighet med god sed, att de samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Vidare framgår att personuppgifter inte får behandlas för

188

SOU 2018:63

Överväganden och förslag

något ändamål som är oförenligt med det för vilket uppgifterna sam- lades in, att de är adekvata och relevanta i förhållande till ändamålen med behandlingen. Myndigheterna ska vidare se till att de person- uppgifter som behandlas är nödvändiga med hänsyn till ändamålen med behandlingen samt att de är riktiga och, om det är nödvändigt, aktuella. Motiven till bestämmelserna finns i avsnitt 8.4 i prop. 2006/07:46. Ut- redningen anser att samma föreskrifter bör tas in i de nya lagarna med vissa språkliga justeringar.

En bestämmelse om att uppgifter som beskriver en persons ut- seende alltid ska utformas på ett objektivt sätt och med respekt för människovärdet finns i FM-PuL (1 kap. 12 § andra stycket andra meningen) och i FRA-PuL (1 kap. 11 § andra stycket andra meningen). Motivet till bestämmelsen finns i prop. 2006/07:46 s. 74 f. Utredningen anser att en sådan föreskrift bör tas in i de nya lagarna.

6.4.2Behandling av känsliga personuppgifter

Utredningens förslag: Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

När uppgifter om en person behandlas får de dock komplet- teras med sådana uppgifter som avses i föregående stycke, om det är absolut nödvändigt för syftet med behandlingen.

Biometriska uppgifter får behandlas endast om det är absolut nödvändigt för ändamålet för behandlingen. Genetiska uppgifter får inte behandlas.

Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter. religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning användas som sökbegrepp om det är absolut nödvändigt för syftet med behandlingen. Detsamma gäller bio- metriska uppgifter.

Skäl för utredningens förslag: Av 1 kap. 12 § FM-PuL och 1 kap. 11 § FRA-PuL framgår att uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv får behandlas endast

189

Överväganden och förslag

SOU 2018:63

såsom komplement till personuppgifter som behandlas på annan grund. Detta förutsätter att behandlingen är absolut nödvändig med hänsyn till syftet med behandlingen. Vid sökning ska sådana känsliga personuppgifter få användas som sökbegrepp endast om det är absolut nödvändigt med hänsyn till syftet med behandlingen. Motiven till bestämmelserna finns i prop. 2006/07:46 s. 73 f. Utredningen anser att en motsvarande reglering bör införas i de nya lagarna med det tillägget att bestämmelserna även bör gälla sexuell läggning.

Behandling av biometriska och genetiska uppgifter regleras inte i FM-PuL och FRA-PuL.

Med biometriska uppgifter avses enligt den föreslagna defini- tionen i avsnitt 6.2.9 personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Försvarsmakten och Försvarets radioanstalt behandlar biometriska uppgifter i sina för- svarsunderrättelseverksamheter. Inom signalspaningen får det betrak- tas som självklart att t.ex. en persons röstprofil, vilket är en bio- metrisk uppgift, behöver kunna behandlas i identifieringssyfte. Att kunna göra korrekta identifieringar är av avgörande betydelse vid bedömning av källors trovärdighet och informations sakriktighet.

Regeln om att känsliga personuppgifter endast får behandlas såsom komplement till personuppgifter som behandlas på annan grund kan inte tillämpas när det gäller biometriska personuppgifter t.ex. oidenti- fierade avtryck eller spår. Det finns därför skäl att reglera behandlingen av biometriska uppgifter särskilt. Försvarsmakten och Försvarets radioanstalt bör få behandla biometriska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen. Biometriska uppgifter bör också få behandlas vid sökning om det är absolut nödvändigt för syftet med behandlingen.

Med genetiska uppgifter avses enligt den definition som föreslås i avsnitt 6.2.9 personuppgifter som rör sådana nedärvda eller för- värvade kännetecken för en fysisk person som kan tas fram ur ett prov från personen i fråga. Genetiska uppgifter är av synnerligen integritetskänslig natur. Försvarsmakten och Försvarets radioanstalt har uppgett att de inte har behov av att behandla genetiska uppgifter. Utredningen anser att det av lagstiftningen bör framgå att sådan behandling inte är tillåten.

190

SOU 2018:63

Överväganden och förslag

6.4.3Behandling av personnummer och samordningsnummer

Utredningens förslag: I den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten tas in en bestämmelse om att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ända- målet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.

Utredningens bedömning: Någon sådan bestämmelse bör inte införas i den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt

Skäl för utredningens förslag och bedömning: En bestämmelse om behandling av personnummer och samordningsnummer finns i 1 kap. 13 § i FM-PuL och 1 kap. 12 § i FRA-PuL. Av bestämmelsen fram- går att uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl.

Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst respektive Försvarets radioanstalts försvarsunder- rättelse- och utvecklingsverksamhet baserar sig inte på samtycke från den enskilde. Försvarets radioanstalts verksamhet på försvarsunder- rättelse- och utvecklingsområdena är inriktad på utländska för- hållanden och behandlar därför i liten omfattning personnummer och samordningsnummer. Detsamma kan sägas om informations- säkerhetsverksamheten. Utredningen har konstaterat att en mot- svarande reglering inte finns med i förslaget till Säkerhetspolisens datalag. Utredningen anser sig kunna följa det exemplet när det gäller Försvarets radioanstalt.

Även Försvarsmaktens försvarsunderrättelseverksamhet är inrik- tad på utländska förhållanden och det är, precis som för Försvarets radioanstalt, inte vanligt att personnummer och samordningsnum- mer behandlas inom denna verksamhet.

För Försvarsmaktens del innebär dock det utökade tillämpnings- området i förhållande till FM-PuL att myndigheten kommer att

191

Överväganden och förslag

SOU 2018:63

behandla personnummer och samordningsnummer i stor utsträck- ning, bl.a. beträffande egen personal. Av den anledningen anser utred- ningen att regleringen bör behållas för Försvarsmakten.

6.4.4Behandling av personuppgifter om den som uppgifterna rör har offentliggjort uppgifterna eller lämnat sitt samtycke

Utredningens förslag: Utan hinder av vad som föreskrivs i de föreslagna lagarna om känsliga personuppgifter och, såvitt gäller Försvarsmakten, personnummer, får personuppgifter behandlas, om den som personuppgifterna rör har offentliggjort personupp- gifterna på ett tydligt sätt. För Försvarsmaktens del ska detta gälla även i det fall samtycke till behandlingen har lämnats av den som uppgifterna rör.

I inget av fallen bör det vara tillåtet att behandla genetiska uppgifter.

Skäl för utredningens förslag: Förslaget till Säkerhetspolisens data- lag innehåller bestämmelser om att känsliga personuppgifter får be- handlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt har offentliggjort uppgifterna. I FM-PuL och FRA-PuL saknas sådana bestämmelser. Utredningen anser att en motsvarande reglering bör införas i de föreslagna lagarna, dock med den skillnad som framgår av det följande. I Försvarets radio- anstalts försvarsunderrättelse- och utvecklingsverksamhet och infor- mationssäkerhetsverksamhet blir några samtyckessituationer sällan aktuella, varför någon samtyckesbestämmelse inte behöver finnas för Försvarets radioanstalts del. Detsamma kan sägas om Försvarsmak- tens försvarsunderrättelseverksamhet. Däremot kan det förekomma i Försvarsmaktens övriga verksamhet, varför utredningen föreslår att Försvarsmakten får behandla personuppgifter vid de situationer ett samtycke från den som personuppgifterna rör har lämnats.

I inget av fallen bör det vara tillåtet att behandla genetiska uppgifter.

192

SOU 2018:63

Överväganden och förslag

6.4.5Behandling av personuppgifter i vissa fall

Utredningens förslag: Hantering av information som innebär behandling av personuppgifter ska inte anses oförenlig med bestäm- melserna om tillåtlighet, grundläggande krav och känsliga person- uppgifter i det skede av behandlingen då det ännu inte har kunnat fastställas vilka personuppgifter som informationen innehåller. En bestämmelse om detta ska föras in i båda lagarna.

Skäl för utredningens förslag: I 1 kap. 13 § FRA-PuL anges att Försvarets radioanstalts behandling av personuppgifter som innebär inhämtning av personuppgifter genom signalspaning, lagring av upp- gifter som sker omedelbart därefter och bearbetning i form av krypto- forcering och språklig översättning inte ska anses som oförenlig med bestämmelserna om grundläggande krav, ändamål samt behandling av känsliga personuppgifter och personnummer. Så snart det har kunnat fastställas att informationen innehåller personuppgifter måste dock vidare behandling av sådana personuppgifter som förekommer i materialet ske i överenstämmelse med de nämnda bestämmelserna. Någon motsvarighet till 1 kap. 13 § FRA-PuL finns inte i FM-PuL.

Försvarets radioanstalts inhämtning av signaler i tråd ska enligt 3 § lagen om signalspaning i försvarsunderrättelseverksamhet ske automatiserat och det föreskrivs vidare att sådan inhämtning endast får avse signaler som identifierats genom sökbegrepp. Även vid annan inhämtning ska sökbegrepp enligt paragrafen användas för identifieringen av signaler. Detta förfarande reducerar informations- mängden på ett ändamålsenligt sätt före själva inhämtningen och tillvaratar därmed också integritetsskyddsintresset. Behandling av personuppgifter omfattar enligt 1 kap. 4 § FRA-PuL all slags behand- ling, alltså även den som sker på automatisk väg. Personuppgifter behandlas redan i det tidiga skede när informationen i tillståndsgivna signalbärare genomgår urval med hjälp av sökbegrepp. Det innebär att personuppgiftsbehandling sker även för information som inte inhämtas.

Många av de personuppgifter som behandlas automatiskt blir dessutom aldrig föremål för manuell granskning. Därför är det inte möjligt att veta om de behandlas enligt bestämmelserna i FRA-PuL om grundläggande krav, ändamål, känsliga personuppgifter och per- sonnummer.

193

Överväganden och förslag

SOU 2018:63

I tillämpningen har uppstått frågan om det är först när Försvarets radioanstalt får klart för sig vilka personuppgifter som behandlas som det är möjligt för myndigheten att behandla dem enligt bestäm- melserna i 1 kap. 6 och 8–12 §§ FRA-PuL.

I ett tillsynsbeslut den 24 oktober 2016 tog Datainspektionen upp frågan om tolkningen av 1 kap. 13 § FRA-PuL efter det att Statens inspektion för försvarsunderrättelseverksamheten hade anmält frågan dit. Datainspektionen kom fram till att varken bestämmelsens ordalydelse eller förarbetena till FRA-PuL ger stöd för en sådan tolkning som anges ovan. Inspektionen konstaterade vidare att bestäm- melsen enligt sin ordalydelse i praktiken inte går att förena med inhämtning genom signalspaning på det sätt som det förefaller ha förutsetts genom införandet av lagen om signalspaning. Det var enligt Datainspektionen således uppenbart att bestämmelsen inte är anpassad till för de behov och förutsättningar som gäller för För- svarets radioanstalts verksamhet i dag. Frågan om hur bestämmelsen ska tolkas borde enligt Datainspektionen ha tagits upp vid införan- det av lagen om signalspaning.

Det var Datainspektionens uppfattning att bestämmelsen behöver ses över och anpassas till det mandat lagstiftaren har gett Försvarets radioanstalt genom lagen om signalspaning. Datainspektionen fann mot den angivna bakgrunden anledning att uppmärksamma reger- ingen på detta behov och sände en kopia av beslutet till Försvars- departementet.

Utredningen kan konstatera att bestämmelsen enligt sin orda- lydelse innebär att den inte undantar tillämpning av de nämnda före- skrifterna om grundläggande krav, ändamål, känsliga personupp- gifter och personnummer i de fall då man redan från början vet att informationen innehåller personuppgifter. Praktiskt taget all infor- mation som innehållande kommunikation mellan människor som Försvarets radioanstalt inhämtar innehåller personuppgifter. Innan uppgifterna har översatts, forcerats och bedömts av analytiker är det okänt vilka specifika personuppgifter som behandlas. Många av de personuppgifter som behandlas på automatisk väg blir aldrig föremål för manuell granskning. Det är därför en omöjlighet för Försvarets radioanstalt att, såvida inte en analytiker bearbetat och bedömt per- sonuppgifterna, hävda att personuppgifterna har behandlats i enlig- het med bestämmelserna om grundläggande krav, ändamål, känsliga personuppgifter och personnummer.

194

SOU 2018:63

Överväganden och förslag

Som Datainspektionens beslut ger uttryck för står bestämmelsen därmed i konflikt med den personuppgiftsbehandling som lagen om signalspaning i försvarsunderrättelseverksamhet förutsätter ska ske hos Försvarets radioanstalt efter inhämtningsskedet. Utredningen föreslår därför att bestämmelsen utformas så att den tar sikte på det skede då det inte har kunnat fastställas vilka personuppgifterna är. Den närmare utformningen bör anpassas till den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt.

Även i Försvarets radioanstalts informationssäkerhetsverksam- het förekommer personuppgifter. Vilka dessa är kan visa sig först i ett senare skede av hanteringen. Den föreslagna bestämmelsen kom- mer att medge hantering av information som innebär behandling av personuppgifter i ett tidigt skede då det inte har kunnat fastställas vilka personuppgifterna är.

Motsvarande behov av legala förutsättningar för behandling av material innan det är klarlagt vilka personuppgifter materialet inne- håller finns även hos Försvarsmakten. Exempel på sådana situationer anges i det följande.

För att Försvarsmakten ska kunna bedriva en effektiv verksamhet är det nödvändigt att använda sig av information som t.ex. delges till Försvarsmakten av andra myndigheter. När sådan information tas in i myndighetens tekniska system är det inte möjligt för Försvars- makten att i förväg veta vad som rapporteras och vilka personupp- gifter som förekommer i handlingen. Det är därför heller inte möj- ligt att i förekommande fall veta om personuppgifterna behandlas enligt bestämmelserna om grundläggande krav.

När Försvarsmakten får in en rapport från en annan myndighet som rör försvarsunderrättelseverksamhet eller militär säkerhets- tjänst tas denna rapport normalt in i Försvarsmaktens informations- system för underrättelse- och säkerhetstjänsten. I samband med att rapporten läses in i systemet och diarieförs görs en notering om det förekommer personuppgifter i handlingen. Detsamma gäller om Försvarsmakten får in en handling om exempelvis försvarsplanering. Rapporten läses in i Försvarsmaktens informationssystem för ärende- hantering. Någon prövning utifrån bestämmelserna om grundläggande krav, tillåtlighet och känsliga personuppgifter görs dock inte förrän personuppgifterna bearbetas i respektive verksamhet. Det är först när personuppgifterna behandlas i verksamheten som en bedömning kan göras om de är nödvändiga för densamma.

195

Överväganden och förslag

SOU 2018:63

6.4.6Längsta tid som personuppgifter får behandlas

Utredningens förslag: Personuppgifter som behandlas automa- tiserat får inte behandlas under längre tid än vad som behövs för något eller några av de ändamål för vilka Försvarsmakten eller Försvarets radioanstalt enligt de föreslagna lagarna får behandla personuppgifter.

I lagarna tas in en upplysningsföreskrift om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter får behandlas endast under viss tid eller bevaras för historiska, statistiska eller veten- skapliga ändamål.

Skäl för utredningens förslag: Hur länge personuppgifter får beva- ras enligt FM-PuL och FRA-PuL regleras i bestämmelserna om gall- ring i 6 kap. 1 § FM-PuL och FRA-PuL. Av bestämmelserna framgår att personuppgifter som behandlas automatiserat ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behand- las, om inte regeringen eller den myndighet som regeringen bestäm- mer har meddelat föreskrifter eller i enskilt fall beslutat att gallring ska ske senast vid viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utredningen anser att samma reglering bör gälla i de föreslagna lagarna med en viss språklig justering som bl.a. innebär att uttrycket gallring inte används. I stället föreslås en föreskrift om längsta tid som personuppgifter får behandlas. Bestämmelsen hindrar inte att Försvarsmakten och Försvarets radioanstalt arkiverar och bevarar all- männa handlingar eller lämnar arkivmaterial till en arkivmyndighet.

Förordningsföreskrifter för Försvarsmakten

I den förordning som ska knyta an till den föreslagna lagen om behandling av personuppgifter vid Försvarsmakten bör tas in före- skrifter om bevarande av personuppgifter i uppgiftssamlingar i för- svarsunderrättelseverksamheten och den militära säkerhetstjänsten och som finns i rapportunderlag och underrättelserapporter. Om dessa personuppgifter inte längre behövs för de ändamål för vilka de

196

SOU 2018:63

Överväganden och förslag

behandlas, ska de enligt utredningens förslag bevaras för historiska, statistiska eller vetenskapliga ändamål.

I FM-PuF finns bestämmelser om uppgiftssamlingar för försvars- underrättelsetjänst, säkerhetsunderrättelsetjänst, säkerhetsskyddstjänst och signalkontroll. En redovisning av dem finns i avsnitt 5.1.5. I av- snitt 5.1.12 redovisas föreskrifter om gallring, såvitt avser uppgifts- samlingarna för säkerhetsunderrättelsetjänst, säkerhetsskyddstjänst och signalkontroll. Huvudregeln innebär att personuppgifter ska gallras när de inte längre behövs för det ändamål för vilket de behandl- as. Datainspektionen har pekat på att det ska vara en fortlöpande pröv- ning om en personuppgift ska behandlas eller inte. Det är därför heller inte av integritetsskyddsskäl nödvändigt med särskilda gallringsfris- ter inom delar av den militära säkerhetstjänsten. Där kan personupp- gifter i likhet med vad som är fallet i försvarsunderrättelseverksam- heten behöva behandlas under mycket lång tid. I den förordning som knyter an till lagen föreslår utredningen därför inga tidsfrister för behandlingen av personuppgifter i uppgiftssamlingarna för säkerhets- underrättelsetjänst och för säkerhetsskydd. Personuppgifter i en upp- giftssamling för signalkontroll får dock inte behandlas längre än ett år efter det att behandlingen påbörjades. Detta innebär igen ändring.

Utredningen föreslår vidare att det i förordningen tas in ett bemyn- digande för Riksarkivet att, efter samråd med Försvarsmakten, med- dela föreskrifter om att personuppgifter som inte längre får behand- las ska bevaras.

Förordningsföreskrifter för Försvarets radioanstalt

Enligt 4 § FRA-PuF ska det vid Försvarets radioanstalt finnas upp- giftssamlingar för underrättelser som innehåller personuppgifter. Upp- giftssamlingarna får endast innehålla färdiga underrättelserapporter. I den förordning som ska knyta an till den föreslagna lagen föreslår utredningen att uppgiftssamlingarna för underrättelser även får inne- hålla rapportunderlag. Utredningen återkommer till den frågan i av- snitt 6.5.1. När personuppgifter i rapportunderlag och underrättelse- rapporter inte längre behövs för de ändamål för vilka de behandlas ska de enligt utredningens förslag bevaras för historiska, statistiska eller vetenskapliga ändamål.

197

Överväganden och förslag

SOU 2018:63

I FRA-PuF finns bestämmelser om uppgiftssamlingar för bl.a. råmaterial, information om signalmiljön och företeelser mot vilka signalspaningen inriktas (2, 5 och 6 §§). I bestämmelserna finns före- skrifter om gallring. En redovisning av dem finns i avsnitt 5.1.12.

I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarets radioanstalt föreslår utredningen föreskrifter när det gäller hur länge uppgifter får behandlas. Person- uppgifter i en uppgiftssamling för råmaterial får inte behandlas längre än ett år efter det att behandlingen påbörjades. Detta innebär ingen ändring.

När det gäller uppgiftssamlingar för information om signalmiljön och företeelser mot vilka signalspaningen inriktas föreslår utredningen av samma anledning som nyss redovisats beträffande den militära säker- hetstjänsten däremot inga särskilda tidsfrister för behandlingen.

Utredningen föreslår vidare att det i förordningen tas in ett bemyn- digande för Riksarkivet att, efter samråd med Försvarets radio- anstalt, meddela föreskrifter om att personuppgifter som inte längre får behandlas ska bevaras. Detta ska dock inte gälla uppgiftssam- lingar för råmaterial.

6.4.7Försvarsmaktens utlämnande av personuppgifter

Utredningens förslag: Personuppgifter som behandlas med stöd av den föreslagna lagen får föras över till andra länder eller inter- nationella organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för det internationella försvars- och säkerhetssamarbetet.

Regeringen kan meddela föreskrifter eller i enskilt fall besluta att överföring får ske även i andra fall, om det är nödvändigt för verksamheten vid Försvarsmakten.

Försvarsmakten får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. Regeringen kan meddela föreskrifter som begränsar denna möjlighet.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i den föreslagna lagen.

198

SOU 2018:63

Överväganden och förslag

Skäl för utredningens förslag:

Utlämnande till andra länder

Enligt 1 kap. 17 § FM-PuL får personuppgifter som behandlas med stöd av den lagen föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nöd- vändigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säker- hetssamarbetet, om inte regeringen meddelat föreskrifter eller i ett enskilt fall beslutat om att överföring får ske även i andra fall då det är nödvändigt för verksamheten i Försvarsmakten. Motiven finns i prop. 2006/07:46 s. 80 f. Det kan här erinras om bestämmelsen i 3 § förordningen om försvarsunderrättelseverksamhet. Enligt den bestäm- melsen får de myndigheter som bedriver försvarsunderrättelseverk- samhet samarbeta i underrättelsefrågor med andra länder och inter- nationella organisationer endast under förutsättning att syftet med samarbetet är att tjäna den svenska statsledningen och det svenska totalförsvaret. De uppgifter som myndigheterna lämnar till andra länder och internationella organisationer får inte vara till skada för svenska intressen. Vad som avses med svenska intressen anges inte närmare. I tillämpningen har utöver svenska statens intressen även avsetts intressen hos svenska företag och enskilda.

Utredningen anser att en bestämmelse som motsvarar 1 kap. 17 § FM-PuL bör tas in i den nya lagen. Med hänsyn till det vidgade till- lämpningsområdet för behandlingen av personuppgifter vid Försvars- makten bör dock ”försvarsunderrättelse- och säkerhetssamarbetet” ersättas med ”försvars- och säkerhetssamarbetet”.

Elektroniskt utlämnande

Enligt 1 kap. 14 § FM-PuL får endast enstaka personuppgifter läm- nas ut på medium för automatiserad behandling, om inte regeringen har meddelat föreskrifter eller i ett enskilt fall beslutat om att uppgifter får lämnas ut på sådant medium även i andra fall. Motiven finns i prop. 2006/07:46 s. 77 f.

199

Överväganden och förslag

SOU 2018:63

om att personuppgifter lämnas t.ex. via e-post eller dvd-skiva eller genom direkt överföring från ett datasystem till ett annat via elektro- niska kommunikationsnät.

Utlämnande på medium för automatiserad behandling innebär som regel att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen. Detta inne- bär effektivitetsvinster för mottagaren, samtidigt som det kan inne- bära risker för den personliga integriteten. Regeringen ansåg därför i motiven till bestämmelsen i FM-PuL att möjligheten till utläm- nande av personuppgifter på medium för automatiserad behandling skulle vara begränsad (prop. 2006/07:46 s. 78).

Regeringen har utnyttjat bemyndigandet att meddela föreskrifter genom att föreskriva att utlämnande på medium för automatiserad behandling får omfatta fler än enstaka uppgifter, om uppgifterna lämnas ut till en annan statlig myndighet (7 § FM-PuF).

Elektroniskt utlämnande ger effektivitetsvinster

Myndigheter som arbetar med bl.a. underrättelse- och säkerhets- verksamhet har stora behov av att kommunicera med andra myndig- heter. Det kan röra sig om att både begära, lämna eller utbyta infor- mation. Huvuddelen av all lagring och kommunikation av information sker numera elektroniskt på olika sätt som ger effektivitetsvinster, vilket som angetts ovan även uppmärksammats vid tillkomsten av FM-PuL och FRA-PuL.

I takt med den generella utvecklingen av informationstekniken har även myndigheters möjligheter att på olika sätt dela och ta del av information ökat. Informationshanteringsutredningen, som hade i uppdrag att generellt se över frågor om elektroniskt utlämnande, framhöll att frågan om hur den bästa effektiviteten kan uppnås för närvarande inte synes handla så mycket om vilken elektronisk utläm- nandeform som bör väljas utan mer om myndigheternas möjlighet att överhuvudtaget åstadkomma det informationsutbyte som reger- ingen eller de själva vill ska förekomma. Problemen med att uppnå önskad effektivisering förefaller enligt den utredningen till viss del handla om legala förutsättningar för ett visst informationsutbyte (SOU 2015:39 s. 148).

200

SOU 2018:63

Överväganden och förslag

Risker med elektroniskt utlämnande

Utlämnande av personuppgifter på medium för automatiserad be- handling medför risker från integritetssynpunkt. Sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informa- tionen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar risken för att uppgifterna behandlas i strid med de grundläggande kraven på data- skydd. I detta sammanhang bör emellertid beaktas att en begräns- ning av möjligheter att överföra information elektroniskt i praktiken får begränsad betydelse eftersom modern teknik enkelt kan om- vandla text på papper till elektroniska uppgifter.

Bestämmelserna om elektronisk informationsöverföring behöver moderniseras

I förslaget till Säkerhetspolisens datalag föreslås att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt (1 kap. 19 §). Det anges vidare att regeringen kan meddela föreskrifter som begränsar möjligheten att lämna ut personuppgifter på det sättet (1 kap. 22 § 2).

I motiven till förslaget anges effektivitetsskäl. Det anförs att även om det förekommer integritetskänsliga uppgifter måste riskerna med att överföra sådana uppgifter elektroniskt vägas mot behovet av en snabb och effektiv säker kommunikation (SOU 2017:74 s. 374).

Sättet att hantera stora volymer information, inbegripet person- uppgifter, har genomgått stora förändringar sedan tillkomsten av FM-PuL. Huvuddelen av all informationsöverföring mellan Försvars- makten och andra myndigheter sker i dag elektroniskt, vilket talar för att behandlingen huvudsakligen bör regleras direkt i lag. I likhet med vad som har föreslagits när det gäller Säkerhetspolisens behand- ling av personuppgifter anser utredningen att Försvarsmakten bör kunna få lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. Utredningen anser i likhet med vad som föreslås för Säkerhetspolisen att regeringen kan meddela föreskrifter som begränsar möjligheten att lämna ut person- uppgifter på annat sätt än genom direktåtkomst.

Bestämmelser om direktåtkomst behandlas särskilt i avsnitt 6.5.2.

201

Överväganden och förslag

SOU 2018:63

6.4.8Försvarets radioanstalts utlämnande av personuppgifter

Utredningens förslag: Personuppgifter som behandlas med stöd av den föreslagna lagen får föras över till en utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informations- säkerhetsområdet eller en internationell organisation endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet.

Regeringen kan meddela föreskrifter eller i enskilt fall besluta att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarets radioanstalt.

Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om regeringen har meddelat föreskrifter eller särskilt beslutat om det.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i den föreslagna lagen.

Skäl för utredningens förslag: Enligt 1 kap. 17 § FRA-PuL får personuppgifter som behandlas enligt den lagen föras över till andra länder eller mellanfolkliga organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för det internationella försvarsunderrättelse- och säkerhetssamarbetet, om inte regeringen. har meddelat föreskrifter eller i ett enskilt fall beslutat att överföring får ske även i andra fall då det är nödvändigt för verksamheten vid Försvarets radioanstalt. Motiven finns i prop. 2006/07:47 s. 80 f.

I den föreslagna lagen bör enligt utredningens mening en mot- svarande föreskrift tas in. Dock bör den krets till vilken överföringen får ske anges vara utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informationssäkerhetsområdet eller en internationell organisation. I den förordning som ska knyta an till lagen bör föreskrivas att personuppgifter får föras över i sådana fall, om överföringen tjänar den svenska statsledningen eller det svenska totalförsvaret och att överföringen av uppgifter inte får vara till skada för svenska intressen. Som tidigare nämnts har i tillämpningen som svenska intressen avsetts, utöver svenska statens intressen, även intressen hos svenska företag och enskilda.

202

SOU 2018:63

Överväganden och förslag

Enligt 1 kap. 14 § FRA-PuL får endast enstaka personuppgifter lämnas ut på medium för automatiserad behandling, om inte reger- ingen har meddelat föreskrifter eller i ett enskilt fall beslutat att uppgifter får lämnas på sådant medium i andra fall. Motiven finns i prop. 2006/07:46 s. 77 f. I 8 § FRA-PuF har regeringen föreskrivit att utlämnande på medium för automatiserad behandling får omfatta fler än enstaka uppgifter, om uppgifterna lämnas ut till en annan statlig myndighet. Som tidigare nämnts finns liknande bestämmelser för Försvarsmakten i FM-PuL och FM-PuF.

Utredningen har, som framgått, för Försvarsmaktens del föreslagit en bestämmelse som innebär att utlämnande elektroniskt på annat sätt än genom direktåtkomst får ske, om det inte är olämpligt. Som utredningen konstaterat där har en liknande bestämmelse tagits in i förslaget till Säkerhetspolisens datalag. Skäl för en sådan bestäm- melse kan även anföras när det gäller Försvarets radioanstalt. Arten av och antalet uppgifter som det är fråga om vid Försvarets radio- anstalt gör att integritetsskyddsaspekterna enligt utredningens mening emellertid talar för en mer restriktiv lagreglering. Till skillnad mot Försvarsmakten har Försvarets radioanstalt inte heller önskat någon förändring av bestämmelsen.

Utredningen föreslår att det i den föreslagna lagen tas in en före- skrift enligt vilken personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om regeringen har meddelat före- skrifter eller särskilt beslutat om det. I förordningen till lagen bör regeringen föreskriva att personuppgifter får lämnas ut till statliga myndigheter på annat sätt än genom direktåtkomst. Den föreslagna regleringen blir därmed lika restriktiv som den nuvarande.

203

Överväganden och förslag

SOU 2018:63

6.5Gemensamt tillgängliga uppgifter

6.5.1Personuppgifter som får göras gemensamt tillgängliga

Utredningens förslag: Särskilda bestämmelser ska gälla för behand- ling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Dessa bestämmelser samlas i ett eget kapitel i respek- tive lag.

Försvarsmakten

Personuppgifter får göras gemensamt tillgängliga om det behövs för något av de ändamål för vilka Försvarsmakten får behandla personuppgifter. Personuppgifter som görs gemensamt tillgäng- liga inom Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst ska även fortsättningsvis behandlas i upp- giftssamlingar.

Personuppgifter som endast ett fåtal personer har tillgång till ska inte anses som gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter eller beslut i enskilda fall vilka uppgifts- samlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling.

Försvarets radioanstalt

Personuppgifter får göras gemensamt tillgängliga och behandlas i uppgiftssamlingar om det behövs för något av de ändamål som anges i lagen.

Personuppgifter som endast ett fåtal personer har tillgång till anses inte som gemensamt tillgängliga.

Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter eller beslut i enskilda fall vilka upp- giftssamlingar som får finnas och vilka uppgifter som får behand- las i respektive uppgiftssamling.

Skäl för utredningens förslag: Enligt 1 kap. 4 § FM-PuL och FRA- PuL är en uppgiftssamling en samling med uppgifter som med hjälp av automatiserad behandling används gemensamt. Enligt 1 kap. 7 § FM-PuL och FRA-PuL får, under de förutsättningar som anges i

204

SOU 2018:63

Överväganden och förslag

dessa lagar, personuppgifter behandlas i uppgiftssamlingar för För- svarsmaktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst samt Försvarets radioanstalts försvarsunderrättelse- och utveck- lingsverksamhet. Enligt bestämmelserna får regeringen meddela före- skrifter eller beslut i enskilda fall om vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive samling. Motiven finns i prop. 2006/07:46 s. 59 f.

Avgörande för när automatiserat behandlade uppgifter ska anses ingå i en uppgiftssamling är enligt förarbetena att uppgifterna används gemensamt av Försvarsmakten eller Försvarets radioanstalt i en viss verksamhet för de ändamål som ska styra behandlingen av uppgifter inom verksamheten. När en handläggare arbetar med ordbehandling lagras uppgifter elektroniskt på hårddisken i en dator eller i en server hos Försvarsmakten eller Försvarets radioanstalt. Uppgiften är då normalt åtkomlig endast för handläggaren själv och systemadmi- nistratören vid myndigheten. En sådan uppgift kan därför inte anses vara gemensamt tillgänglig. Syftet med sådan tillfällig behandling är inte att uppgifterna som lagras i datorn ska användas av andra än den som utför behandlingen. När en uppgift behandlas tillfälligt i en dator för att senare tillföras en uppgiftssamling och göras gemensam utgör den inte heller en del av uppgiftssamlingen.

Gemensamt tillgängliga uppgifter – ny reglering

Utöver de bestämmelser som behandlats ovan angående uppgifts- samlingar finns inte i FM-PuL och FRA-PuL några bestämmelser som reglerar behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga. Sådana bestämmelser finns i förslaget till Säkerhetspolisens datalag (SOU 2017:74). Med gemensamt tillgäng- liga uppgifter avses enligt dessa bestämmelser uppgifter som inte enbart ett fåtal har tillgång till.

Liksom i förslaget till Säkerhetspolisens datalag bör regleringen om gemensamt tillgängliga uppgifter finnas i ett särskilt kapitel i respektive lag. Det bör enligt utredningen finnas en tydlig koppling till de tillåtna rättsliga grunderna för personuppgiftsbehandling. Detta innebär tydliga regler och underlättar den bedömning som ska ske vid tillsyn och kontroll om huruvida behandlingen av personuppgif- ter vilar på rättslig grund.

205

Överväganden och förslag

SOU 2018:63

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga är att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgif- ter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga.

Försvarsmakten och Försvarets radioanstalt bör kunna samarbeta med andra, företrädesvis myndigheter, och inom ramen för sådant samarbete behandla personuppgifter i gemensamma projekt. Bland annat för att möjliggöra ett sådant samarbete görs bedömningen i avsnitten 6.5.2 och 6.5.3 att vissa myndigheter bör kunna medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga inom Försvarsmakten och Försvarets radioanstalt. Syftet med att begränsa åtkomsten till gemensamt tillgängliga uppgifter är att per- sonuppgifter – och behandlingen av sådana uppgifter – bör kring- gärdas av ett extra skydd när de sprids till andra myndigheter än Försvarsmakten och Försvarets radioanstalt. Konsekvensen av be- gränsningen blir att bestämmelserna om gemensamt tillgängliga uppgifter alltid blir tillämpliga i projekt med deltagare från andra myndigheter, oavsett antalet deltagare i projektet.

Liksom angavs i lagstiftningsarbetet vid tillkomsten av FM-PuL och FRA-PuL, anser utredningen att det inte är möjligt att i lagstift- ningen ange någon exakt gräns för när en viss behandling ska anses ske i en uppgiftssamling och därmed omfattas av de särskilda bestämmelser som reglerar sådana samlingar. Myndigheterna måste i det enskilda fallet avgöra om uppgifter som behandlas automa- tiserat är gemensamma eller inte. En handläggare inom Försvars- makten eller Försvarets radioanstalt torde i regel utan svårigheter kunna avgöra om han eller hon för tillfället arbetar med en uppgift direkt i en uppgiftssamling eller i ett ordbehandlingsdokument eller annat pro- gram där han eller hon ensam behandlar personuppgiften. Den personuppgiftsansvarige har emellertid ett ansvar för att gränsdrag- ningsproblem inte uppstår på grund av brister i den tekniska utform- ningen av ett datorsystem. Genom de höga säkerhetskrav som omgär- dar Försvarsmaktens och Försvarets radioanstalts informationssystem är det också nödvändigt att inom verksamheten ha klart för sig huru- vida en viss uppgift ingår i en uppgiftssamling eller inte.

Den närmare regleringen av vilka kategorier av uppgifter som ska få behandlas bör även fortsättningsvis huvudsakligen regleras i för- ordning eller genom regeringsbeslut.

206

SOU 2018:63

Överväganden och förslag

För att undvika en alltför detaljerad reglering i lag bör regeringen meddela närmare föreskrifter eller beslut i enskilda fall om vilka upp- giftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive samling.

Närmare om Försvarsmakten

Inom ramen för den personuppgiftsbehandling som sker av För- svarsmakten i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten är risken för integritetsintrång för den enskilde typiskt sett större än vid annan personuppgiftsbehandling som om- fattas av förslaget till lag om behandling av personuppgifter vid Försvarsmakten. Det finns därför enligt utredningen skäl att även fortsättningsvis reglera behandling av personuppgifter i uppgiftssam- lingar i dessa verksamheter i lag. Beträffande personuppgiftsbehandling utanför försvarsunderrättelseverksamheten och den militära säkerhets- tjänsten gör utredningen emellertid följande bedömning.

I stort sett samtliga personuppgifter som behandlas av Försvars- makten i de andra verksamheterna är av sådan karaktär att de kan betraktas som gemensamt tillgängliga. De uppgifter som personal hos Försvarsmakten har tillgång till begränsas dock genom krav på behörighet. Åtkomsten begränsas såtillvida att de som har behörig- het endast får tillgång till de delar av informationssystemen som de behöver för att kunna fullgöra sina arbetsuppgifter. Inloggning i Försvarsmaktens huvudsystem för ärendehantering, FM AP kan till exempel endast ske med hjälp av totalförsvarets elektroniska id-kort. Aktiviteter i systemen loggas och logguppföljning görs regelbundet av it-säkerhetschefen och verksamhetschefen.

Personuppgiftsbehandlingen inom ramen för lagförslaget omgär- das av särskilda skyddsregler. Personuppgiftsbehandlingen kommer exempelvis att begränsas genom bestämmelser om lagens tillämp- ningsområde och särskilda ändamålsbestämmelser, om att tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter. En begränsning följer också av att det föreslås en särskild reglering för när och hur direktåtkomst för andra aktörer får medges. Lagen föreslås även innehålla bestäm- melser om sökförbud. På detta sätt begränsas risken för otillbörlig spridning av uppgifterna.

207

Överväganden och förslag

SOU 2018:63

Mot denna bakgrund utgör de föreslagna skyddsreglerna ett tillräckligt integritetsskydd för den uppgiftsbehandling som omfattas av lagförslaget och som sker vid Försvarsmakten utanför försvars- underrättelseverksamheten och den militära säkerhetstjänsten. Något behov av en mer restriktiv särreglering finns därför inte. För behandling av personuppgifter avseende de nya ändamålen bör därför Försvars- makten få bestämma om uppgiftssamlingar ska införas och vad de i så fall ska innehålla. Detta bör anges i den nya förordningen om behandlingen av personuppgifter vid Försvarsmakten.

I den förordning som ska knyta an till den föreslagna lagen föreslås följande när det gäller uppgiftssamlingar hos Försvarsmakten.

Vid Försvarsmakten får det finnas uppgiftssamlingar för försvars- underrättelseverksamhet som innehåller personuppgifter. Uppgifts- samlingarna år endast innehålla uppgifter som är nödvändiga för att Försvarsmakten ska kunna bedriva verksamhet enligt lagen (2000:130) om försvarsunderrättelseverksamhet.

En uppgiftssamling för försvarsunderrättelseverksamhet får endast innehålla

1.identifieringsuppgifter,

2.uppgifter om de omständigheter och händelser som ger anledning att anta att den som behandlingen rör har betydelse för för- svarsunderrättelseverksamheten,

3.upplysningar om varifrån uppgiften kommer och om en uppgifts- lämnares trovärdighet, och

4.allmänt tillgänglig information som finns på internet eller i öppna databaser.

När personuppgifter som avses ovan och som finns i rapportunder- lag och underrättelserapporter inte längre behövs för de ändamål för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ändamål.

Vid Försvarsmakten får det finnas uppgiftssamlingar för säker- hetsunderrättelsetjänst som innehåller personuppgifter. Uppgifts- samlingarna får endast innehålla uppgifter som är nödvändiga för att upptäcka och klarlägga säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen samt allmänt tillgänglig information som finns på internet eller i öppna databaser.

208

SOU 2018:63

Överväganden och förslag

När personuppgifter som avses ovan och som finns i rapport- underlag och underrättelserapporter inte längre behövs för de ända- mål för vilka de behandlas, ska de bevaras för historiska, statistiska eller vetenskapliga ändamål.

Vid Försvarsmakten får det finnas uppgiftssamlingar för säker- hetsskyddstjänst som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att förebygga och avvärja säkerhetshotande verksamhet som riktas mot Försvars- makten och dess säkerhetsintressen.

Vid Försvarsmakten får det finnas uppgiftssamlingar för signal- kontroll som innehåller personuppgifter. Uppgiftssamlingarna får endast innehålla uppgifter som är nödvändiga för att förhindra obehörig insyn i och påverkan av totalförsvarets telekommunika- tions- och informationssystem.

I avsnitt 6.4.6 föreslår utredningen inga tidsfrister för behand- lingen av personuppgifter i uppgiftssamlingarna för säkerhetsunder- rättelsetjänst och för säkerhetsskydd. Personuppgifter i en uppgifts- samling för signalkontroll föreslås, i likhet med vad som nu gäller, inte få behandlas längre än ett år efter det att behandlingen på- börjades.

Närmare om Försvarets radioanstalt

På samma sätt som för Försvarsmakten föreslås för Försvarets radio- anstalts behandling av personuppgifter ett kapitel om personupp- gifter som får göras gemensamt tillgängliga. Enligt förslaget till ny reglering bör personuppgifter få göras gemensamt tillgängliga och behandlas i uppgiftssamlingar om det behövs för något av de syften som anges i lagens andra kapitel. Således omfattas, utöver försvars- underrättelse- och utvecklingsverksamheten, även informationssäker- hetsverksamheten av den nya regleringen.

I den förordning som ska knyta an till lagen om behandling av personuppgifter vid Försvarets radioanstalt föreslår utredningen följande förändringar när det gäller uppgiftssamlingar. Enligt 3 § FRA-PuF ska rapportunderlag finnas i uppgiftssamlingar för analy- ser. Uppgiftssamlingarna för underrättelser får enligt utredningens förslag innehålla rapportunderlag på grund av det nära sambandet mellan rapportunderlag och underrättelserapporter. Då analyser och

209

Överväganden och förslag

SOU 2018:63

bedömningar i underrättelserapporter bygger på information i rapport- underlagen är det logiskt att underlagen behandlas enligt samma regler som de resulterande underrättelserapporterna.

När personuppgifter i rapportunderlag och underrättelserappor- ter inte längre behövs för de ändamål för vilka de behandlas ska de bevaras för historiska, statistiska eller vetenskapliga ändamål. Där- med säkerställs bl.a. möjligheterna att i ljuset av ny information vid behov ompröva tidigare analyser och bedömningar. Detta torde vara ett grundläggande krav på all underrättelserapportering som kan ligga till grund för sådana aktiviteter som rapportmottagarna kan komma att genomföra baserade på rapporteringen.

Vid Försvarets radioanstalt får det finnas uppgiftssamlingar för informationssäkerhetsverksamhet som innehåller personuppgifter. De får endast innehålla information om uppdragsgivare, information som rör it-angrepp samt bearbetningsunderlag och analysresultat.

Vidare får det finnas uppgiftssamlingar för allmänt tillgänglig information som innehåller personuppgifter. De får endast innehålla information som finns eller har funnits på internet eller i öppna databaser.

Slutligen får det finnas uppgiftssamlingar för loggar som förs med stöd av bestämmelser i den föreslagna lagen.

6.5.2Direktåtkomst till personuppgifter hos Försvarsmakten

Utredningens förslag: Säkerhetspolisen och Försvarets radio- anstalt får medges direktåtkomst till personuppgifter som utgör bearbetningsunderlag och analysresultat inom försvarsunderrät- telseverksamheten och som finns i uppgiftssamlingar. Detta ska gälla även om uppgifterna omfattas av sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (uppgifter om enskilds perso- nliga och ekonomiska förhållanden).

Om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat internationellt underrättelse- och säkerhets- samarbete får, i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det, en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till per- sonuppgifter som behandlas i försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar.

210

SOU 2018:63

Överväganden och förslag

Regeringen kan meddela föreskrifter eller särskilt beslut om vilka som i andra fall får ha direktåtkomst till gemensamt till- gängliga uppgifter.

Regeringen, eller den myndighet som regeringen bestämmer, kan meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktåtkomsten, och

2.föreskrifter om behörighet och säkerhet vid sådan åtkomst.

Skäl för utredningens förslag: Direktåtkomst innebär att någon har direkt tillgång till en uppgiftssamling och kan söka efter information i denna, utan att kunna påverka innehållet i uppgiftssamlingen. Mottagare med direktåtkomst kan i regel också kopiera informa- tionen och därefter bearbeta den. Informationsöverföringen sker utan att den som ansvarar för uppgiftssamlingen i det enskilda fallet tar ställning till om informationen ska lämnas ut. Direktåtkomst innebär således att den myndighet som har sådan åtkomst fritt kan avgöra vilka uppgifter den vill ta del av med den begränsning som följer av offentlighets- och sekretesslagens bestämmelser. Om en myndighet har direktåtkomst till uppgifter får dessa därför anses utlämnade i och med att ett system för direktåtkomst upprättats. Det saknar betydelse om myndigheten faktiskt använder sig av en viss uppgift eller inte. Eftersom bestämmelser om direktåtkomst inte har någon sekretessbrytande verkan i sig, förutsätter direkt- åtkomst att de aktuella uppgifterna inte omfattas av sekretess eller att det finns en skyldighet enligt lag eller förordning att lämna ut de aktuella uppgifterna till den som får ha direktåtkomst.

Direktåtkomst för Säkerhetspolisen och Försvarets radioanstalt

Av 1 kap. 15 § första stycket FM-PuL framgår att Försvarsmakten får medge Säkerhetspolisen och Försvarets radioanstalt direktåtkomst till sådana uppgifter i en uppgiftssamling för försvarsunderrättelse- verksamhet som behövs för att myndigheterna, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och svenska intressen.

211

Överväganden och förslag

SOU 2018:63

Denna samverkan mellan de tre myndigheterna sker vid Nationellt centrum för terrorhotbedömning (NCT).

Tillgången till sådana uppgifter ska enligt den bestämmelsen vara förbehållen de personer inom myndigheterna som på grund av sina arbetsuppgifter inom sådan samverkan behöver ha tillgång till upp- gifterna. Enligt samma bestämmelse får regeringen meddela före- skrifter om vilka myndigheter som i andra fall får ha direktåtkomst till uppgiftssamlingar. Vidare får regeringen, eller den myndighet som regeringen bestämmer, meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten. Enligt bestäm- melsen gäller möjligheten att meddela föreskrifter även föreskrifter om behörighet och säkerhet vid sådan åtkomst.

Enligt 1 kap. 15 a § FM-PuL har de berörda myndigheterna rätt att ta del av sådana uppgifter som avses i 15 § första stycket trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen. Sekretess gäller enligt den paragrafen hos Försvarsmakten i försvarsunder- rättelseverksamheten och den militära säkerhetstjänsten för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

I motiven till bestämmelserna i FM-PuL anförde regeringen att eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter, som vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av. Eftersom de uppgifter som myn- digheterna inom ramen för samarbetet mot terrorism har för avsikt att lämna ut till varandra genom direktåtkomst omfattas av sekretess behövde sekretessen enligt regeringen sekretessen således på för- hand brytas.

Regeringen konstaterade att det för Försvarsmaktens del finns en bestämmelse om uppgiftsskyldighet i 2 § lagen om försvarsunder- rättelseverksamhet. Där anges att underrättelser ska rapporteras till berörda myndigheter. Denna uppgiftsskyldighet omfattar enligt regeringen dock inte den typ av uppgifter som myndigheterna inom samarbetet har behov av att utbyta och som de skulle få tillgäng- liggöra genom direktåtkomst.

212

SOU 2018:63

Överväganden och förslag

Efter en genomgång av skilda sekretessbestämmelser fann reger- ingen att bestämmelsen i 38 kap. 4 § offentlighets- och sekretess- lagen om sekretess för uppgifter om enskildas personliga och ekono- miska för hållanden som har ett omvänt skaderekvisit borde brytas genom en bestämmelse om uppgiftsskyldighet. Utlämnande av upp- gifter som rör enskildas personliga och ekonomiska förhållanden torde i den aktuella situationen nästan alltid vara till skada eller men för den enskilde (prop. 2017/18:36 s. 29 f.).

Som nyss nämnts avser bestämmelserna om direktåtkomst i 1 kap. 15 § första stycket FM-PuL sådana uppgifter som behövs för att Försvarsmakten, Försvarets radioanstalt och Säkerhetspolisen, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och svenska intressen (NCT).

Försvarsmakten och Försvarets radioanstalt har även på andra områden ett nära samarbete med varandra när det gäller yttre militära hot mot landet, förutsättningar för svenskt deltagande i freds- främjande och humanitära insatser eller hot mot säkerheten för svenska intressen vid genomförande av sådana insatser, konflikter utomlands med konsekvenser för internationell säkerhet och främ- mande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- och försvarspolitik.

Försvarets radioanstalt och Försvarsmakten samarbetar vidare med varandra och med Säkerhetspolisen när det gäller kartläggning av verksamhet som rör strategiska förhållanden avseende internatio- nell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen, utveckling och spridning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen (2000:1064) om kontroll av produkter med dubbla använd- ningsområden och av tekniskt bistånd, allvarliga yttre hot mot sam- hällets infrastruktur och främmande underrättelseverksamhet mot svenska intressen.

213

Överväganden och förslag

SOU 2018:63

sin underrättelse- och säkerhetstjänst. Hos Försvarsmakten bör direktåtkomsten för Säkerhetspolisen och Försvarets radioanstalt avse personuppgifter som utgör bearbetningsunderlag och analys- resultat inom försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar.

En del av dessa uppgifter kan röra uppgifter om enskilds per- sonliga och ekonomiska förhållanden och kan därför inte göras tillgängliga för direktåtkomst utan ett särskilt stöd i lag. Bestäm- melsen bör därför uttryckligen ge ett stöd för att bryta sekretessen i 38 kap. 4 § offentlighets- och sekretesslagen.

Direktåtkomst i internationellt försvars- och säkerhetssamarbete

Utvecklingen i Sverige och i omvärlden skärper kraven på Sveriges förmåga att värna sin säkerhet. Detta gäller inte minst på området försvarsunderrättelse- och säkerhetstjänst, där internationell sam- verkan i många fall är helt nödvändig för att Försvarsmakten och Försvarets radioanstalt ska kunna lösa sina uppgifter på detta område.

Samarbete sker i flera fall genom att ses och utbyta information i mötesform och/eller genom elektroniskt utlämnande av meddelan- den och rapporter. I de fall där samarbete sker med stora behov av skyndsamhet, samt i de fall där samarbete syftar till att gemensamt följa ett skeende, är det i vissa fall nödvändigt att inom ramen för samarbetet tillgängliggöra information genom direktåtkomst.

Behov av skyndsamhet kan exempelvis uppstå inför ett förmodat förestående terrordåd. Behov av att kunna medge direktåtkomst kan även uppstå på andra områden såsom när Försvarsmakten eller Försvarets radioanstalt följer ett underrättelsemässigt intressant skeende tillsammans med en internationell partner.

I sådana fall är det angeläget att kunna tillgängliggöra ett samlat kunskapsläge över tid, vilket lämpligen görs genom att Försvars- makten medger en partner direktåtkomst till en uppgiftssamling som etablerats specifikt för detta samarbete.

För Försvarsmaktens del föreslås därför en bestämmelse som innebär att en utländsk underrättelse- eller säkerhetstjänst får med- ges direktåtkomst till personuppgifter som behandlas i försvars- underrättelseverksamheten och som finns i uppgiftssamlingar. Som förutsättning bör gälla att det behövs för samarbetet mot terrorism

214

SOU 2018:63

Överväganden och förslag

eller vid svenskt deltagande i annat internationellt underrättelse- och säkerhetssamarbete. Vidare bör det bara få ske i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.

Reglering i förordning

Utredningen anser att i den förordning som knyter an till lagen bör föras in ytterligare föreskrifter om direktåtkomst enligt vad som framgår av det följande och som till en del kommenteras.

Försvar och säkerhet

1.Försvarets materielverk får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. Direktåtkomsten får endast avse personuppgifter som rör Försvarsmaktens materiel- och logistik- försörjning och som har gjorts gemensamt tillgängliga.

För Försvarets materielverk finns ett behov av direktåtkomst med anledning av uppdraget att materiel- och logistikförsörja Försvars- makten. Dessa gemensamt tillgängliga uppgifter innehåller uppgifter om anställda vid Försvarsmakten och Försvarets materielverk samt uppgifter om personer hos leverantörer.

2.Totalförsvarets rekryteringsmyndighet får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten. Direktåtkomsten får endast avse personuppgifter som rör totalförsvarspliktiga och Försvars- maktens krigsorganisation och som har gjorts gemensamt tillgängliga.

För Totalförsvarets rekryteringsmyndighet finns behovet med anled- ning av uppdraget avseende totalförsvarspliktiga. Försvarsmakten har direktåtkomst till system hos Totalförsvarets rekryteringsmyndighet.

3.Finlands försvarsmakt får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § lagen (2019:000) om behandling av

215

Överväganden och förslag

SOU 2018:63

personuppgifter vid Försvarsmakten om det behövs för planering, för- beredelser och genomförande av stöd inom ramen för lagen (2019:000) om operativt militärt stöd mellan Sverige och Finland. Direktåtkomsten får endast avse personuppgifter som har gjorts gemensamt tillgängliga.

I betänkandet SOU 2018:31 föreslås en lag om operativt militärt stöd mellan Sverige och Finland. I betänkandet föreslås vidare en förordning om utlämnande av sekretessbelagda uppgifter vid opera- tivt stöd inom försvarssamarbetet mellan Sverige och Finland. Uppgift för vilken sekretess gäller enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400) får enligt förslaget lämnas ut av Försvars- makten, Försvarets materielverk och Totalförsvarets forskningsinsti- tut till en finsk myndighet avseende planering, förberedelser och genomförande av stöd inom ramen för den föreslagna lagen om operativt militärt stöd mellan Sverige och Finland. Bestämmelserna föreslås träda i kraft den 1 juli 2019. För ett effektivt planerings- och förberedelsearbete liksom för ett effektivt genomförande av sam- arbetet är finsk direktåtkomst till uppgifter hos Försvarsmakten viktig. Uppgifterna kan innehålla personuppgifter, bl.a. personal hos Försvarsmakten men framför allt om personer hos motståndare eller andra aktörer.

Försvarsunderrättelseverksamhet

1.Regeringskansliet, Säkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvarets materielverk, Totalförsvarets forskningsinstitut, Myndigheten för sam- hällsskydd och beredskap och Tullverket får medges direktåtkomst till personuppgifter som utgör analysresultat och underrättelser och som finns i uppgiftssamlingar för försvarsunderrättelseverksamhet.

En motsvarande bestämmelse finns för Försvarets radioanstalt i 9 § FRA-PuL och tas in i den förordning som ska knyta an till den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt.

2.Om det behövs för samarbetet mot terrorism eller vid svenskt del- tagande i annat internationellt underrättelse- och säkerhetssamarbete

216

SOU 2018:63

Överväganden och förslag

får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas enligt 2 kap. 2 § lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling som Försvarsmakten upprättat i syfte att dela infor- mationen med mottagaren.

Innan direktåtkomst medges en utländsk underrättelse- eller säker- hetstjänst enligt första stycket ska Försvarsmakten underrätta Reger- ingskansliet (Försvarsdepartementet).

I Försvarsmaktens internationella samarbete med underrättelse- eller säkerhetstjänster i andra länder är finns ett behov av att kunna dela med sig information. Detta är särskilt påtagligt när det gäller samarbetet mot terrorism men gäller även övrigt samarbete. Enligt Försvarsmaktens bedömning kan man i framtiden etablera sam- arbeten som tekniskt skulle göra det möjligt att medge direktåtkomst hos Försvarsmakten. En sådan möjlighet gör samarbetet effektivare än annars, särskilt i brådskande situationer.

Militär säkerhetstjänst

1.Säkerhetspolisen, Nationella operativa avdelningen i Polismyndig- heten, Myndigheten för samhällsskydd och beredskap, Migrationsverket, Försvarets materielverk, Försvarets radioanstalt, Totalförsvarets forsk- ningsinstitut, Totalförsvarets rekryteringsmyndighet, Fortifikationsverket och Försvarshögskolan får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 1 och 2 lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för säkerhetsunderrättelsetjänst.

Försvarsmakten har till uppgift enligt 39 § säkerhetsskyddsförord- ningen att kontrollera säkerhetsskyddet hos Fortifikationsverket, Försvarshögskolan, och de myndigheter som hör till Försvars- departementet. För dessa myndigheter, som är av särskild vikt för totalförsvaret, behöver Försvarsmakten få möjlighet att genom direktåtkomst tillgängliggöra personuppgifter, kopplade till misstänkt eller konstaterad säkerhetshotande verksamhet. Syftet med detta är dels att göra det möjligt för Försvarsmakten att sprida kunskap om säkerhetshotande aktörer till de samverkande myndigheter som

217

Överväganden och förslag

SOU 2018:63

saknar egen inhämtning på säkerhetsunderrättelseområdet, dels att möjliggöra löpande informationsspridning under pågående säker- hetshotande verksamhet.

Att Försvarsmakten har möjlighet att tillgängliggöra denna infor- mation genom direktåtkomst innebär en väsentligt förbättrad möj- lighet för att kritisk information kan delges samverkande myndig- heter i tid.

För att Försvarsmakten ska kunna kartlägga verksamhet som utgör hot mot Sveriges säkerhet är myndigheten i flera fall beroende av samverkan med andra myndigheter. Detta gäller dels de myndig- heter som bedriver egen uppföljning av säkerhetshotande verksamhet, såsom Polismyndigheten, Säkerhetspolisen och Myndigheten för sam- hällsskydd och beredskap. För uppföljning av sådan säkerhetshotande verksamhet som är gränsöverskridande är Försvarsmakten vidare bero- ende av samverkan med Tullverket och Migrationsverket. Samverkan med dessa myndigheter bedrivs redan genom möten, översändande av rapporter m.m. Genom att Försvarsmakten har möjlighet att till- gängliggöra denna information genom direktåtkomst ökar effekt- iviteten i samarbetet.

2.Säkerhetspolisen får medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 5 § första stycket 5 lag (2019:000) om behandling av personuppgifter vid Försvarsmakten och som finns i en uppgiftssamling för säkerhetsskyddstjänst.

Bestämmelsen motsvarar 9 § FM-PuF.

3.Om det behövs för samarbetet mot säkerhetshotande verksamhet som riktas mot Försvarsmakten och dess säkerhetsintressen får en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till person- uppgifter som behandlas med stöd av 2 kap. 5 § 1 och 2 och som finns i en avskild uppgiftssamling som Försvarsmakten upprättat i syfte att dela informationen med mottagaren. för säkerhetsunderrättelsetjänst.

Innan direktåtkomst medges en utländsk underrättelse- eller säker- hetstjänst ska Försvarsmakten underrätta Regeringskansliet (Försvars- departementet).

218

SOU 2018:63

Överväganden och förslag

Liksom i försvarsunderrättelseverksamheten har Försvarsmakten i sin militära säkerhetstjänst ett behov av att kunna dela med sig infor- mation i samarbetet med underrättelse- eller säkerhetstjänster i andra länder.

Enligt Försvarsmaktens bedömning kan man i framtiden etablera samarbeten som tekniskt skulle göra det möjligt att medge direkt- åtkomst hos Försvarsmakten. En sådan möjlighet gör samarbetet effektivare än annars, särskilt i brådskande situationer.

Omfattning av direktåtkomst

Försvarsmakten beslutar om omfattningen av direktåtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.

Försvarsmakten ska säkerställa att förutsättningarna för direkt- åtkomsten dokumenteras.

Tillgången till uppgifter hos mottagaren ska vara förbehållen de per- soner som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.

Direktåtkomst får inte medges innan Försvarsmakten har försäkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet.

Utredningen föreslår till vissa delar ny reglering som möjliggör direktåtkomst hos Försvarsmakten under särskilt angivna premisser. I likhet med vad som följer av gällande regelverk är det Försvars- makten som beslutar i vilken omfattning direktåtkomst bör medges. Den föreslagna bestämmelsen tydliggör detta. Bestämmelsen slår också fast att tillgången av uppgifter hos mottagaren ska vara för- behållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna, liksom att någon direktåtkomst inte kan medges innan dess att Försvarsmakten har försäkrat sig om att mot- tagaren uppfyller kraven på behörighet och säkerhet.

219

Överväganden och förslag

SOU 2018:63

6.5.3Direktåtkomst till personuppgifter hos Försvarets radioanstalt

Utredningens förslag: Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till personuppgifter som utgör analys- resultat inom försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar. Detta ska gälla även om uppgifterna omfattas av sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (uppgifter om enskilds personliga och ekonomiska förhållanden).

Om det behövs för samarbetet mot terrorism eller för annat internationellt säkerhetssamarbete får, i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas i försvarsunder- rättelseverksamheten och som finns i uppgiftssamlingar.

Om det behövs för samarbetet mot it-relaterade hot mot sam- hällsviktiga system får, i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utländsk organisation inom informationssäkerhetsområdet med- ges direktåtkomst till personuppgifter som behandlas i informa- tionssäkerhetsverksamheten och som finns i uppgiftssamlingar.

Regeringen kan meddela föreskrifter eller särskilt beslut om vilka som i andra fall får ha direktåtkomst till gemensamt till- gängliga uppgifter.

Regeringen, eller den myndighet som regeringen bestämmer, kan meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfatt- ningen av direktåtkomsten, och

2.föreskrifter om behörighet och säkerhet vid sådan åtkomst.

Skäl för förslaget: Vad direktåtkomst innebär beskrivs i föregående avsnitt 6.5.2.

220

SOU 2018:63

Överväganden och förslag

Direktåtkomst för Säkerhetspolisen och Försvarsmakten

Av 1 kap. 15 § första stycket FRA-PuL framgår att Försvarets radio- anstalt får medge Säkerhetspolisen och Försvarsmakten direktåtkomst till sådana uppgifter i en uppgiftssamling för försvarsunderrättelse- verksamhet som behövs för att myndigheterna, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och svenska intressen. Denna samverkan mellan de tre myndigheterna sker vid Nationellt centrum för terrorhotbedömning (NCT).

Tillgången till sådana uppgifter ska enligt denna bestämmelse vara förbehållen de personer inom myndigheterna som på grund av sina arbetsuppgifter inom sådan samverkan behöver ha tillgång till upp- gifterna. Enligt samma bestämmelser får regeringen meddela före- skrifter om vilka myndigheter som i andra fall får ha direktåtkomst till uppgiftssamlingar. Vidare får regeringen, eller den myndighet som regeringen bestämmer, meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten. Enligt bestäm- melsen gäller möjligheten att meddela föreskrifter även föreskrifter om behörighet och säkerhet vid sådan åtkomst.

Enligt 1 kap. 15 a § FRA-PuL har de berörda myndigheterna rätt att ta del av sådana uppgifter som avses i 15 § första stycket trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen. Sekretess gäller enligt den paragrafen hos Försvarets radioanstalt i försvars- underrättelse- och utvecklingsverksamheten för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.

I motiven till bestämmelserna i FRA-PuL anförde regeringen att eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter, som vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av. Eftersom de uppgifter som myn- digheterna inom ramen för samarbetet mot terrorism har för avsikt att lämna ut till varandra genom direktåtkomst omfattas av sekretess

221

Överväganden och förslag

SOU 2018:63

behövde sekretessen enligt regeringen sekretessen således på för- hand brytas.

Regeringen konstaterade att för Försvarets radioanstalts del finns en bestämmelse om uppgiftsskyldighet i 2 § lagen om försvarsunder- rättelseverksamhet. Där anges att underrättelser ska rapporteras till berörda myndigheter. Denna uppgiftsskyldighet omfattar enligt reger- ingen dock inte den typ av uppgifter som myndigheterna inom sam- arbetet har behov av att utbyta och som de skulle få tillgängliggöra genom direktåtkomst.

Efter en genomgång av skilda sekretessbestämmelser fann reger- ingen att bestämmelsen i 38 kap. 4 § offentlighets- och sekretesslagen om sekretess för uppgifter om enskildas personliga och ekonomiska för hållanden som har ett omvänt skaderekvisit borde brytas genom en bestämmelse om uppgiftsskyldighet. Utlämnande av uppgifter som rör enskildas personliga och ekonomiska förhållanden torde i den aktuella situationen nästan alltid vara till skada eller men för den enskilde (prop. 2017/18:36 s. 29 f.).

Som nyss nämnts avser bestämmelserna om direktåtkomst i 1 kap. 15 § första stycket FRA-PuL sådana uppgifter som behövs för att Försvarsmakten, Försvarets radioanstalt och Säkerhetspolisen, inom ramen för myndighetsöverskridande samverkan, ska kunna göra bedömningar på strategisk nivå av terrorhotet mot Sverige och svenska intressen (NCT).

Försvarets radioanstalt och Försvarsmakten har även på andra områden ett nära samarbete med varandra när det gäller yttre militära hot mot landet, förutsättningar för svenskt deltagande i fredsfräm- jande och humanitära insatser eller hot mot säkerheten för svenska intressen vid genomförande av sådana insatser, konflikter utomlands med konsekvenser för internationell säkerhet och främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- och försvarspolitik.

Försvarets radioanstalt och Försvarsmakten samarbetar vidare med varandra och med Säkerhetspolisen när det gäller kartläggning av verksamhet som rör strategiska förhållanden avseende interna- tionell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen, utveckling och sprid- ning av massförstörelsevapen, krigsmateriel, och produkter som avses i lagen om kontroll av produkter med dubbla användnings- områden och av tekniskt bistånd, allvarliga yttre hot mot samhällets

222

SOU 2018:63

Överväganden och förslag

infrastruktur och främmande underrättelseverksamhet mot svenska intressen.

Detta samarbete har stor betydelse för Sveriges försvar och säkerhet, inte minst mot bakgrund av den säkerhetspolitiska utveck- ling som har ägt rum under de senast åren. Samarbetet leder till att myndigheterna delger varandra underrättelser. Några sekretesshinder föreligger normalt inte för sådan delgivning. Samarbetet ställer emeller- tid krav på att myndigheterna på ett arbetsbesparande sätt kan ta del även av andra uppgifter hos varandra som de behöver för sin under- rättelse- och säkerhetstjänst. Hos Försvarets radioanstalt bör direkt- åtkomsten för Säkerhetspolisen och Försvarsmakten avse person- uppgifter som utgör analysresultat och som finns i uppgiftssamlingar.

En del av dessa uppgifter kan röra uppgifter om enskilds person- liga och ekonomiska förhållanden och kan därför inte göras till- gängliga för direktåtkomst utan ett särskilt stöd i lag. Bestämmelsen bör därför uttryckligen ge ett stöd för att bryta sekretessen i 38 kap. 4 § offentlighets- och sekretesslagen.

Direktåtkomst i internationellt försvarsunderrättelsesamarbete

Utvecklingen i Sverige och i omvärlden skärper kraven på Sveriges förmåga att värna sin säkerhet. Detta gäller inte minst försvars- underrättelseverksamheten där internationell samverkan i många fall är helt nödvändigt för att Försvarets radioanstalt ska kunna lösa sina uppgifter på detta område.

Samarbete sker i flera fall genom att utbyta information i mötes- form eller genom elektroniskt utlämnande av meddelanden och rapporter. I de fall där samarbete sker med stora behov av skynd- samhet, samt i de fall där samarbete syftar till att gemensamt följa ett skeende, är det i vissa fall nödvändigt att inom ramen för samarbetet tillgängliggöra information genom direktåtkomst.

Behov av skyndsamhet kan exempelvis uppstå inför ett förmodat förestående terrordåd. Behov av att kunna medge direktåtkomst kan även uppstå på andra områden såsom när eller Försvarets radio- anstalt följer ett underrättelsemässigt intressant skeende tillsam- mans med en internationell partner.

I sådana fall är det angeläget att kunna tillgängliggöra ett samlat kunskapsläge över tid, vilket lämpligen görs genom att Försvarets

223

Överväganden och förslag

SOU 2018:63

radioanstalt medger en partner direktåtkomst till personuppgifter som finns i uppgiftssamlingar.

För Försvarets radioanstalt föreslås därför en bestämmelse som innebär att en utländsk underrättelse- eller säkerhetstjänst får med- ges direktåtkomst till personuppgifter som behandlas i försvars- underrättelseverksamheten och som finns i uppgiftssamlingar. Som förutsättning bör gälla att det behövs för samarbetet mot terrorism eller för annat internationellt säkerhetssamarbete. Vidare bör det bara få ske i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.

Direktåtkomst i internationellt informationssäkerhetssamarbete

Utvecklingen på informationssäkerhetsområde präglas av omfat- tande it-attacker och andra typer av intrång i viktiga informations- system. Företeelsen är global och kräver internationellt samarbete mellan organisationer som verkar på informationssäkerhetsområdet. Kännetecknande för samarbetet är att det ofta ställer krav på snabbt tillgänglig information för att man ska kunna vidta lämpliga åtgärder för att förhindra eller minimera skadeverkningar. Mot denna bak- grund föreslår utredningen att det ska vara möjligt för Försvarets radioanstalt att medge en utländsk organisation inom informations- säkerhetsområdet direktåtkomst till personuppgifter som behandlas i informationssäkerhetsverksamheten och som finns i uppgiftssam- lingar. Som förutsättning bör gälla att det behövs för samarbetet mot it-relaterade hot mot samhällsviktiga system. Vidare bör det även i detta fall bara få ske i den utsträckning det följer av lag eller förord- ning eller om regeringen i ett enskilt fall beslutat om det.

Reglering i förordning

Utredningen anser att i den förordning som knyter an till lagen bör föras in ytterligare föreskrifter om direktåtkomst enligt vad som framgår av det följande och som till en del kommenteras.

224

SOU 2018:63

Överväganden och förslag

Försvarsunderrättelseverksamhet

Regeringskansliet, Säkerhetspolisen, Nationella operativa avdelningen i Polismyndigheten, Inspektionen för strategiska produkter, Försvars- makten, Försvarets materielverk, Totalförsvarets forskningsinstitut, Myn- digheten för samhällsskydd och beredskap och Tullverket får medges direktåtkomst till personuppgifter som utgör underrättelser och som finns i uppgiftssamlingar.

Bestämmelsen motsvarar 9 § FRA-PuL.

Informationssäkerhetsverksamhet

Säkerhetspolisen och Försvarsmakten får medges direktåtkomst till per- sonuppgifter som utgör analysresultat och som behandlas i en uppgifts- samling för informationssäkerhetsverksamhet.

Utvecklingen på informationssäkerhetsområdet med ett ökande antal skadliga intrång i för samhället viktiga och känsliga informations- system kräver ett nära samarbete mellan Försvarets radioanstalt, Försvarsmakten och Säkerhetspolisen. Möjligheterna för Säkerhets- polisen och Försvarsmakten att få direktåtkomst till personupp- gifter som utgör analysresultat hos Försvarets radioanstalt medför att samarbetet blir effektivare och att skyddet för de mest skydds- värda informationssystemen kan stärkas.

Övrigt

Försvarets radioanstalt beslutar om omfattningen av direktåtkomst som följer av lag, förordning eller regeringens beslut i enskilt fall.

Försvarets radioanstalt ska säkerställa att förutsättningarna för direkt- åtkomsten dokumenteras.

Tillgången till uppgifter ska vara förbehållen de personer som på grund av sina arbetsuppgifter behöver ha tillgång till uppgifterna.

Direktåtkomst får inte medges innan Försvarets radioanstalt har försäkrat sig om att den mottagande parten uppfyller kraven på behörig- het och säkerhet.

225

Överväganden och förslag

SOU 2018:63

Utredningen föreslår till vissa delar ny reglering som möjliggör direktåtkomst hos Försvarets radioanstalt under särskilt angivna premisser. I likhet med vad som följer av gällande bestämmelser är det Försvarets radioanstalt som beslutar i vilken omfattning direkt- åtkomst bör medges. Den föreslagna bestämmelsen tydliggör detta. Bestämmelsen slår också fast att tillgången av uppgifter hos mot- tagaren ska vara förbehållen de personer som på grund av sina arbets- uppgifter behöver ha tillgång till uppgifterna, liksom att någon direktåtkomst inte kan medges innan dess att Försvarets radioanstalt har försäkrat sig om att mottagaren uppfyller kraven på behörighet och säkerhet.

6.6Skyldigheter som personuppgiftsansvarig

6.6.1Författningsenlig behandling genom lämpliga tekniska och organisatoriska åtgärder

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska genom lämpliga tekniska och organisatoriska åtgärder säkerställa att behandlingen av personuppgifter är författnings- enlig och skydda rättigheterna för dem som uppgifterna rör.

Skäl för utredningens förslag: Någon bestämmelse om att Försvars- makten och Försvarets radioanstalt genom lämpliga tekniska och organisatoriska åtgärder ska säkerställa att behandlingen av person- uppgifter är författningsenlig och att den enskildes rättigheter skyd- das finns inte i FM-PuL eller FRA-PuL.

Förslaget till Säkerhetspolisens datalag innehåller bestämmelser om personuppgiftsansvarigas skyldigheter, däribland att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter är författningsenlig och att regi- strerades rättigheter skyddas. Lämpliga tekniska och organisatoriska åtgärder ska enligt dessa bestämmelser vidtas med beaktande av behandlingens art, omfattning, sammanhang och ändamål och riskerna för fysiska personers rättigheter och friheter (SOU 2017:74).

I de föreslagna lagarna bör enligt utredningen införas en generell skyldighet för Försvarsmakten och Försvarets radioanstalt, att genom lämpliga tekniska och organisatoriska åtgärder säkerställa att

226

SOU 2018:63

Överväganden och förslag

behandlingen av personuppgifter är författningsenlig och att myn- digheterna skyddar rättigheterna för den vars uppgifter behandlas. Det är däremot inte möjligt att i de föreslagna lagarna närmare ange vilka tekniska och organisatoriska åtgärder som Försvarsmakten och Försvarets radioanstalt bör vidta, utan detta får avgöras beroende på vilken verksamhet hos de båda myndigheterna det rör sig om.

Utredningen anser att ett krav på att Försvarsmakten och Försvarets radioanstalt inte bara ska säkerställa att behandlingen utförs författ- ningsenligt utan också ska kunna visa att så är fallet går för långt och skulle innebära betungande rutiner. Den tillsyn och kontroll som ska ske är en tillräcklig funktion.

Vilka omständigheter som Försvarsmakten och Försvarets radio- anstalt ska beakta vid beslut om åtgärder enligt de föreslagna bestäm- melserna bör regleras i de förordningar som ska knyta an till lagarna. Där bör anges att de tekniska och organisatoriska åtgärder som Försvarsmakten och Försvarets radioanstalt ska vidta ska vara rim- liga med beaktande av behandlingens art, omfattning, sammanhang och ändamål och de särskilda riskerna med behandlingen.

6.6.2Myndigheterna ska föra loggar över personuppgiftsbehandling

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska säkerställa att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling.

Regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om loggar.

Skäl för utredningens förslag: Som framgår av avsnitt 6.6.4 ska myndigheterna enligt 3 kap. 2 § första stycket FM-PuL och FRA- PuL vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Ett led i att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personupp- gifter som behandlas är loggning och logguppföljning. Därigenom säkerställs att bestämmelser som ska skydda den personliga integ- riteten tillämpas korrekt. Ett grundläggande säkerhetskrav är att genom loggar skapa en sådan spårbarhet att man kan upptäcka otillå- ten tillgång till personuppgifter eller om det sker otillåtna sökningar.

227

Överväganden och förslag

SOU 2018:63

Loggarna ska följas upp regelbundet och för att skapa en före- byggande effekt ska användarna informeras om att loggning och logguppföljning sker.

Varken i FM-PuL eller FRA-PuL finns någon uttrycklig bestäm- melse om loggning. Utredningen anser att en sådan bestämmelse för tydlighetens skull bör införas i de nya lagarna. Enligt den bör Försvarsmakten och Försvarets radioanstalt säkerställa att det förs loggar över personuppgiftsbehandling av gemensamt tillgängliga uppgifter i den utsträckning regeringen eller den myndighet reger- ingen bestämmer föreskriver.

I de förordningar som ska knyta an till lagarna bör tas in före- skrifter om loggar.

För Försvarsmaktens del bör där anges att skyldigheten att föra loggar gäller myndighetens informationssystem som innehåller gemensamt tillgängliga uppgifter.

För Försvarets radioanstalts del bör där anges att Försvarets radioanstalt ska föra loggar i myndighetens informationssystem som innehåller uppgiftssamlingar för försvarsunderrättelse- och informa- tionssäkerhetsverksamhet. I båda fallen ska det av loggarna framgå vilken medarbetare eller annan som läst, skapat, ändrat eller raderat personuppgifter, samt tidpunkten för åtgärden. I båda fallen ska skyldigheten att föra loggar inte gälla informationssystem som ännu inte börjat användas.

6.6.3Myndigheterna ska begränsa tillgången till personuppgifter

Utredningens förslag: I de föreslagna lagarna ska föras in en föreskrift om att tillgången till personuppgifter ska alltid begrän- sas till vad var och en behöver för att kunna fullgöra sina arbets- uppgifter.

Skäl för utredningens förslag: Av 1 kap. 16 § FM-PuL och FRA- PuL framgår att tillgången till personuppgifter alltid ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsupp- gifter. Motiven finns i prop. 2006/07:46 s. 96. Utredningen anser att en motsvarande bestämmelse ska föras in i de nya lagarna.

228

SOU 2018:63

Överväganden och förslag

6.6.4Säkerheten för personuppgifter

Utredningens förslag: I de föreslagna lagarna ska föras in en föreskrift om att Försvarsmakten respektive Försvarets radio- anstalt ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling eller förstöring och mot för- lust eller annan oavsiktlig skada.

Skäl för utredningens förslag: Av 3 kap. 2 § FM-PuL och FRA- PuL framgår att Försvarsmakten respektive Försvarets radioanstalt ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstad- komma en säkerhetsnivå som är lämplig med beaktande av de tek- niska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av per- sonuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Motiven till bestämmelsen finns i prop. 2006/07:46 s. 95 f. Utred- ningen anser att en motsvarande bestämmelse bör införas i de nya lagarna.

6.6.5Dataskyddsombud

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

Dataskyddsombudet ska

1.självständigt kontrollera att myndigheten behandlar person- uppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till myndigheten och till dem som behandlar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samråda med tillsynsmyndigheten, och

229

Överväganden och förslag

SOU 2018:63

4.föra en förteckning över de kategorier av behandlingar som myndigheten ansvarar för och som är helt eller delvis auto- matiserade.

Regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vad en förteckning som avses i 4 ska innehålla.

Om Försvarsmakten eller Försvarets radioanstalt bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och rättelse inte vidtas, ska dataskyddsombudet anmäla det till tillsynsmyndigheten.

Skäl för utredningens förslag: Enligt 4 kap. 1 § FM-PuL och FRA- PuL ska Försvarsmakten och Försvarets radioanstalt utse ett eller flera personuppgiftsombud och anmäla dessa till tillsynsmyndigheten.

Personuppgiftsombudet har till uppgift att:

•självständigt se till att Försvarsmakten respektive Försvarets radio- anstalt behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för myndigheten,

•anmäla till tillsynsmyndigheten om personuppgiftsombudet har anledning att misstänka att Försvarsmakten respektive Försvarets radioanstalt bryter mot de bestämmelser som gäller för behand- lingen av personuppgifter och inte vidtar rättelse så snart det kan ske efter påpekande,

•även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av per- sonuppgifter ska tillämpas,

•föra en förteckning över de behandlingar som Försvarsmakten respektive Försvarets radioanstalt genomför och som är helt eller delvis automatiserade och

•hjälpa registrerade att få rättelse när det finns anledning att miss- tänka att behandlade personuppgifter är felaktiga eller ofull- ständiga.

230

SOU 2018:63

Överväganden och förslag

Motiven finns i prop. 2006/07:46 s. 98.

I den lagstiftning om behandling av personuppgifter som helt eller delvis bygger på unionsrätten har benämningen personuppgiftsombud ersatts av benämningen dataskyddsombud. Unionsrätten är som tidi- gare anförts inte tillämplig på den behandling av personuppgifter som omfattas av de lagförslag som utredningen lägger fram och utred- ningen anser inte att samma regler som gäller för dataskyddsombud enligt dataskyddsförordningen bör gälla på detta område. Dock finner utredningen att det är lämpligt att använda benämningen dataskydds- ombud i stället för personuppgiftsombud i de lagförslag som utred- ningen lägger fram.

Dataskyddsombudet bör ha samma uppgifter som personupp- giftsombudet har enligt FM-PuL och FRA-PuL, med undantag av skyldigheten att hjälpa registrerade att få rättelse när det finns anled- ning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Den uppgiften bör ligga på den personuppgiftsansvarige.

6.6.6Personuppgiftsbiträden

Utredningens förslag: Försvarsmakten respektive Försvarets radioanstalt får, om det är lämpligt, anlita personuppgiftsbiträden för behandling av personuppgifter på Försvarsmaktens respektive Försvarets radioanstalts vägnar. Innan ett personuppgiftsbiträde anlitas, ska myndigheten försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara författningsenlig och för att skydda rättigheterna för den som uppgifterna rör.

Personuppgiftsbiträdets behandling av personuppgifter ska reg- leras i ett skriftligt avtal eller annan skriftlig överenskommelse.

Ett personuppgiftsbiträde får inte anlita ett annat personupp- giftsbiträde utan skriftligt tillstånd av myndigheten.

Ett personuppgiftsbiträde eller den eller de personer som arbetar under biträdets eller myndighetens ledning ska behandla person- uppgifter i enlighet med instruktioner från myndigheten.

Om ett personuppgiftsbiträde, i strid med myndighetens in- struktioner, bestämmer ändamålen med och medlen för behand- lingen, ska biträdet anses vara personuppgiftsansvarig enligt den föreslagna lagen för den behandlingen.

231

Överväganden och förslag

SOU 2018:63

Skyldigheten att säkerställa att det förs loggar ska också gälla för personuppgiftsbiträdet. Detsamma gäller kravet på att till- gången till personuppgifter sak begränsas till vad var och en behö- ver för att kunna fullgöra sina arbetsuppgifter.

Personuppgiftsbiträdet ska också vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåtenbehandling eller förstöring och mot förlust eller annan oavsiktlig skada.

Skäl för utredningens förslag: Enligt 3 kap. 1 § FM-PuL och FRA- PuL får ett personuppgiftsbiträde och den eller de personer som arbetar under biträdet eller respektive myndighets ledning behandla personuppgifter bara i enlighet med instruktioner från myndigheten. Det ska enligt bestämmelsen finnas ett skriftligt avtal om person- uppgiftsbiträdets behandling av personuppgifter för myndighetens räkning. I det avtalet ska särskilt anges att personuppgiftsombudet får behandla personuppgifterna bara i enlighet med instruktioner från myndigheten och att personuppgiftsbiträdet är skyldigt att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas.

När myndigheten anlitar ett personuppgiftsbiträde ska den enligt 3 kap. 2 § FM-PuL och FRA-PuL förvissa sig om att ett person- uppgiftsbiträde kan genomföra de säkerhetsåtgärder som måste vid- tas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Motiven till bestämmelserna finns i prop. 2006/07:46 s. 95. Utredningen anser att motsvarande reglering bör införas i de nya

lagarna. Följande föreskrifter bör dock läggas till.

Ett personuppgiftsbiträde får inte anlita ett annat personupp- giftsbiträde utan skriftligt tillstånd från myndigheten.

Om ett personuppgiftsbiträde, i strid med myndighetens instruk- tioner, bestämmer ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet vara personuppgiftsansvarig enligt den före- slagna lagen för den behandlingen.

Skyldigheten att säkerställa att det förs loggar ska också gälla för personuppgiftsbiträdet. Detsamma gäller kravet på att tillgången till personuppgifter sak begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

232

SOU 2018:63

Överväganden och förslag

Personuppgiftsbiträdet ska också vidta lämpliga tekniska och orga- nisatoriska åtgärder för att skydda de personuppgifter som behand- las, särskilt mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

6.6.7Bestämmelser om konsekvensbedömningar bör inte införas

Utredningens bedömning: Särskilda regler om konsekvensbedöm- ningar bör inte införas i de föreslagna lagarna.

Skäl för utredningens bedömning: Enligt förslaget till Säkerhets- polisens datalag ska Säkerhetspolisen bedöma konsekvenserna för skyddet av personuppgifter om en typ av ny behandling, eller bety- dande förändringar avseende redan pågående behandling, kan antas medföra särskild risk för intrång i registrerades personliga integritet. Bedömningen ska ske innan typen av behandling påbörjas eller för- ändringen genomförs.

Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades personliga integritet eller om typen av behand- ling innebär särskild risk för intrång, ska Säkerhetspolisen samråda med tillsynsmyndigheten i god tid innan behandlingen påbörjas eller betydande förändringar genomförs (5 kap. 6 § förslaget till Säker- hetspolisens datalag).

Reglerna om konsekvensbedömningar och skyldighet att sam- råda med tillsynsmyndigheten grundar sig på unionsrätten. I sam- manhanget vill utredningen peka på skäl 93 i dataskyddsförordningen om konsekvensbedömningar. Där sägs att medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning i samband med antagande av medlemsstaters nationella rätt som ligger till grund för utövande av myndighetens eller det offentliga organets uppgifter och reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder. Den lagstiftning som utredningen föreslår består till en icke ringa del av bedömningar av konsekvenserna för skyddet av personuppgifter. Utredningen konstaterar att unionsrätten inte gäller de behandlingar av personuppgifter vid Försvarsmakten och Försvarets radioanstalt som utredningens lagförslag omfattar. Utredningen anser

233

Överväganden och förslag

SOU 2018:63

att det inte heller finns några skäl att föreslå att det i lagförslagen förs in bestämmelser om konsekvensbedömningar.

6.7Enskildas rättigheter

6.7.1Allmän information som ska göras tillgänglig

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska göra följande allmänna information tillgänglig:

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.Ändamålen med behandlingen.

4.Rätten att begära att få information om behandling av per- sonuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av be- handlingen.

Skäl för utredningens förslag: Några regler om att myndigheterna ska hålla information allmänt tillgänglig finns inte i FM-PuL och FRA-PuL. Utredningen föreslår att viss information om Försvars- makten och Försvarets radioanstalt ska vara allmänt tillgänglig. Med allmän menas information som riktar sig till en obestämd krets av personer. I kravet på att information ska vara tillgänglig ligger att allmänheten i princip ska ha möjlighet att ta del av informationen när den önskar. Informationen kan t.ex. publiceras på myndigheternas webbplatser eller finnas i en broschyr eller annan informationsskrift.

Utöver uppgifter om myndighetens identitet och kontaktupp- gifter föreslås i det följande att viss annan allmän information på områden som har anknytning till personuppgiftsbehandling ska göras allmänt tillgänglig av myndigheterna.

234

SOU 2018:63

Överväganden och förslag

Uppgifter om dataskyddsombudet

Dataskyddsombud behandlas i avsnitt 6.6.5.

I likhet med vad som föreslås i Säkerhetspolisens datalag anser utredningen att det finns skäl att i lag ha föreskrifter om att hålla vissa uppgifter om dataskyddsombudet allmänt tillgängliga. Det finns emellertid inte skäl att införa krav på att dataskyddsombudets identitet eller direkta kontaktuppgifter, exempelvis hans eller hennes e-postadress, ska göras allmänt tillgängliga, utan det är tillräckligt att det framgår att det finns ett dataskyddsombud och hur allmänheten kan kontakta honom eller henne.

Ändamålen med behandlingen

Den information som åsyftas i den föreslagna bestämmelsen avser, liksom de bestämmelser regeringen har föreslagit i brottsdatalagen (prop. 2017/18:232), att det är fråga om upplysningar av generell karaktär som gäller myndighetens personuppgiftsbehandling i all- mänhet. Det innebär att det inte är fråga om ändamålen för behand- ling i varje enskilt fall som avses utan för vilka kategorier av ändamål personuppgifter får behandlas. Det bör emellertid inte krävas en uttömmande uppräkning av för vilka ändamål personuppgifter behand- las, utan det bör vara tillräckligt att enskilda genom informationen får en god bild av den personuppgiftsbehandling som Försvarsmakten eller Försvarets radioanstalt utför.

Information om vissa rättigheter

Som angetts ovan ska Försvarsmakten respektive Försvarets radio- anstalt vidta vissa åtgärder efter begäran av en enskild. Någon bestämmelse om att information om dessa rättigheter ska göra all- mänt tillgänglig finns inte i FM-PuL och FRA-PuL.

Utredningen anser att informationen också ska avse rätten att få information om behandling av personuppgifter och att få del av dem liksom rätten att begära rättelse, radering eller begränsning av be- handlingen.

235

Överväganden och förslag

SOU 2018:63

6.7.2Enskilds rätt till personrelaterad information hos Försvarsmakten

Utredningens förslag:

Information som ska lämnas om uppgifterna samlas in från per- sonen själv.

Om uppgifter om en person samlas in från personen själv, ska Försvarsmakten när personuppgifterna erhålls, självmant lämna följande information till den som uppgifterna rör:

1.uppgift om att det är Försvarsmakten som är personupp- giftsansvarig för behandlingen,

2.uppgift om ändamålen med behandlingen, och

3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rättigheter i samband med behand- lingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om infor- mation och få rättelse.

Information som ska lämnas efter begäran

Försvarsmakten ska till den som begär det utan onödigt dröjsmål lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om sökanden som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av be- handlingen.

236

SOU 2018:63

Överväganden och förslag

Sådant utlämnande behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

Ansökan ska göras skriftligen hos Försvarsmakten och vara undertecknad av den sökande själv. Information enligt första stycket ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Skäl för utredningens förslag: Bestämmelser om att lämna infor- mation finns i 2 kap. 1 och 2 §§ FM-PuL.

Information som ska lämnas om uppgifterna samlas in från den som uppgifterna rör

Om uppgifter om en person samlas in i den militära säkerhetstjänsten från den som personuppgifterna rör ska Försvarsmakten i samband med insamlingen självmant lämna den registrerade information om behandlingen av uppgifterna. Sådan information ska omfatta uppgift om att det är Försvarsmakten som är personuppgiftsansvarig för behandlingen, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse (2 kap. 1 § FM-PuL). Av samma bestämmelse framgår att information inte behöver lämnas om sådant som den registrerade redan känner till.

Motiven finns i prop. 2006/07:46 s. 86 f. Bestämmelsen tillämpas huvudsakligen i samband med säkerhetsprövning enligt säkerhets- skyddslagen inför bl.a. anställning, uppdrag och tjänstgöring inom Försvarsmakten.

Information behöver inte lämnas om sådant som den person- uppgifterna rör redan känner till. Sådant som denne redan känner till kan vara sådant som han eller hon vet t.ex. på grund av att informa- tionen redan har lämnats i enlighet med annan lagstiftning eller när den personuppgiftsansvarige avser att fortlöpande samla in uppgifter om den uppgifterna rör. Information behöver då inte lämnas varje

237

Överväganden och förslag

SOU 2018:63

gång nya uppgifter samlas in, om den uppgifterna rör en gång har fått fullständig information och således redan känner till infor- mationen.

Liksom vid personuppgiftsbehandling inom ramen för den mili- tära säkerhetstjänstens verksamhet förekommer situationer även inom andra av Försvarsmaktens verksamhetsområden där uppgifter inhämtas från den som personuppgifterna rör. Utredningen föreslår inte någon förändring beträffande den informationsskyldighet som enligt nuvarande bestämmelser omfattar verksamhet inom den militära säkerhetstjänsten. Som framgått i tidigare avsnitt föreslår emellertid utredningen att den nya lagen om personuppgiftsbehandling inom Försvarsmakten ska ha ett utvidgat tillämpningsområde. Även inom verksamhetsområdena Sveriges försvar och säkerhet samt internatio- nellt säkerhets- och försvarssamarbete kan det förekomma situationer när Försvarsmakten behandlar personuppgifter som har lämnats av den enskilde själv. Det är därför inte lämpligt med lagens utvidgade tillämpningsområde att Försvarsmaktens informationsskyldighet begränsas till sådant som inhämtats inom ramen för den militära säkerhetstjänsten, utan Försvarsmakten bör även åläggas att lämna information om personuppgiftsbehandlingen som sker inom dessa tillkommande områden, dvs. Sveriges försvar och säkerhet samt inter- nationellt säkerhets- och försvarssamarbete, när uppgifterna hämtas från den enskilde själv.

Information som ska lämnas efter begäran

Enligt 2 kap. 2 § FM-PuL är Försvarsmakten skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (ärenden om personrelaterad information). En sökandes rätt enligt bestämmelserna att få reda på om personuppgifter som rör honom eller henne behandlas av Försvarsmakten gäller inte i den utsträckning som sekretess hindrar att uppgifterna lämnas ut till den registrerade, vilket framgår av 2 kap. 4 § FM-PuL. I motiven till bestämmelsen (prop. 2006/07:46 s. 89) anges att den sekretess som gäller för Försvarsmaktens verksamheter inom de områden som regleras av FM-PuL innebär att information sällan kommer lämnas

238

SOU 2018:63

Överväganden och förslag

ut, men att bestämmelser om information fyller en viktig funktion i de fall där sekretess inte gäller för uppgifterna.

Sekretessbestämmelser som begränsar den enskildes rätt till insyn gäller emellertid inte i förhållande till Datainspektionen, som ska utöva tillsyn över Försvarsmaktens personuppgiftsbehandling inom Försvarsmaktens försvarsunderrättelseverksamhet och militära säker- hetstjänst. Vid tillsyn har Datainspektionen rätt att få tillgång till de personuppgifter som behandlas, upplysningar om dokumentation av behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (se närmare om detta i avsnitt 6.8.1).

Försvarsmakten hanterar årligen ärenden om begäran om infor- mation enligt FM-PuL3, vilka sällan leder till annat än besked om att uppgifter som behandlas inom Försvarsmaktens försvarsunderrät- telseverksamhet och militära säkerhetstjänst omfattas av sekretess om det kan antas att det skadar Sveriges försvar eller på annat sätt vållar fara för rikets säkerhet om uppgifterna röjs. Även ett besked om att uppgifterna om en person inte förekommer i Försvarsmaktens för- svarsunderrättelseverksamhet eller militära säkerhetstjänst kan vålla sådan skada. Därutöver lämnar Försvarsmakten generell informa- tion om i vilka ärendehanteringssystem och andra administrativa system som personuppgifter kan komma att behandlas enligt per- sonuppgiftslagen.

Utredningen bedömer att rätten att begära information fortsatt är en viktig del i den enskildes rätt att i möjligaste mån informera sig om hur och i vilka sammanhang dennes personuppgifter behandlas. Även om det står klart att en begäran om sådan information, i vart fall inom Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst, sannolikt inte leder till annat än besked om att redan det förhållandet huruvida den enskildes personuppgifter förekommer i dessa verksamheter eller inte omfattas av sekretess, finns skäl att behålla denna begränsade möjlighet till insyn för den enskilde. Den föreslagna lagstiftningens utvidgade tillämpningsområde gör att denna möjlighet till insyn omfattar fler områden än tidigare.

3Att skilja från utlämningsärenden om allmänna handlingar. Försvarsmakten hanterade 43 ären- den om registerutdrag år 2015, 15 år 2016, 17 år 2017 och 8 till och med mars 2018.

239

Överväganden och förslag

SOU 2018:63

6.7.3Enskilds rätt till personrelaterad information hos Försvarets radioanstalt

Utredningens förslag: Försvarets radioanstalt är skyldig att till den som begär det utan onödigt dröjsmål en gång per kalenderår lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av be- handlingen.

Ansökan ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande själv. Information enligt första stycket ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Skäl för utredningens förslag: På samma sätt som Försvarsmakten är Försvarets radioanstalt enligt 2 kap. 1 § FRA-PuL skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om huruvida personuppgifter som rör den sökande behand- las eller inte. En sökandes rätt enligt bestämmelsen att få reda på om personuppgifter som rör honom eller henne behandlas av Försvarets radioanstalt gäller inte i den utsträckning som sekretess hindrar att

240

SOU 2018:63

Överväganden och förslag

uppgifterna lämnas ut till den registrerade, se vidare härom i av- snitt 6.7.4. Ovan angivna motivuttalanden om sekretess gäller även för Försvarets radioanstalts verksamhet och innebär på samma sätt som för Försvarsmakten att information sällan kommer lämnas ut, men att bestämmelser om information fyller en viktig funktion i de fall där sekretess inte gäller för uppgifterna.

Försvarets radioanstalt har hittills i samtliga ärenden om person- relaterad information som handlagts med stöd av FRA-PUL konsta- terat att sekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen (försvarssekretess) föreligger. Även uppgifter om att en person inte förekommer hos Försvarets radioanstalt har bedömts omfattas av nämnda sekretess. I samtliga dessa ärenden har sökanden således fått avslag på sin begäran, oavsett om det förekommer uppgifter om sökanden eller inte inom försvarsunderrättelse- och utvecklings- verksamheten. Enskilda har därmed inte kunnat kontrollera om eller i vilken omfattning det hos Försvarets radioanstalt behandlas per- sonuppgifter om honom eller henne inom dessa verksamheter. Det kan mot denna bakgrund argumenteras för att bestämmelsen inte fyller den funktion som antagits under lagstiftningsprocessen vid införandet av FRA-PuL. I sammanhanget kan nämnas att Europa- domstolen i ett avgörande den 19 juni 2018 om lagstiftningen om signalspaning i försvarsunderrättelseverksamhet i denna sak har funnit att ”the Court cannot find that it has practical importance”.

Av 5 kap. 1 § FRA-PuL och anslutande förordning framgår att Datainspektionen ska utöva tillsyn över Försvarets radioanstalts personuppgiftsbehandling inom försvarsunderrättelse- och utveck- lingsverksamheten. Vid tillsyn har Datainspektionen på samma sätt som hos Försvarsmakten rätt att få tillgång till de personuppgifter som behandlas, upplysningar om dokumentation av behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

Mot bakgrund av den stränga sekretess som gäller för Försvarets radioanstalts verksamhet har det, utöver Datainspektionens tillsyn, införts särskild granskning till skydd för den personliga integriteten (prop. 2006/07:46 s. 101). Statens inspektion för försvarsunderrät- telseverksamheten (Siun) har till uppgift att granska Försvarets radio- anstalts personuppgiftsbehandling enligt FRA-PuL. Denna gransk- ning inskränker inte Datainspektionens övergripande ansvar utan utgör en särskild granskning i syfte att kompensera för enskildas

241

Överväganden och förslag

SOU 2018:63

begränsade möjlighet till insyn i personuppgiftsbehandlingen inom försvars- och utvecklingsverksamheten. Siun är även kontrollmyn- dighet enligt lagen om försvarsunderrättelseverksamhet och lagen om signalspaning i försvarsunderrättelseverksamhet.

Efter FRA-PuL:s tillkomst har det genom 10 a § lagen om signal- spaning i försvarsunderrättelseverksamhet införts en möjlighet för enskilda att begära att Siun ska kontrollera om hans eller hennes meddelanden har inhämtats i samband med signalspaning och, om så är fallet, huruvida inhämtningen och behandlingen av inhämtade uppgifter har skett i enlighet med lag. Lagenligheten ska inte endast bedömas med utgångspunkt från lagen om signalspaning i försvars- underrättelseverksamhet utan också från vad som är föreskrivet i fråga om behandling av personuppgifter (prop. 2008/09:201 s. 92). Kontrollen som Siun utför påminner om de sökningar som Försvarets radioanstalt utför efter ansökan enligt 2 kap. 1 § FRA-PuL. Siun ska underrätta den enskilde om att kontrollen har utförts.

Försvarets radioanstalt har mottagit få ansökningar om personal- relaterad information. Varje ansökan innebär emellertid en resurs- krävande arbetsinsats vars resultat inte kommer att redovisas för den sökande med hänsyn till sekretess. Siuns kontroll enligt 10 a § lagen om signalspaning i försvarsunderrättelseverksamhet innebär också att Försvarets radioanstalts it-system söks igenom. Därutöver till- kommer att Försvarets radioanstalts personuppgiftsbehandling är föremål för tillsyn av Datainspektionen och särskild granskning av Siun. Detta talar för att behandlingen av personuppgifter inom Försvarets radioanstalt är föremål för en så omfattande och oberoende statlig kontroll att det kan ifrågasättas om möjligheten för enskilda att ansöka om personrelaterad information inom Försvarets radioanstalt försvarsunderrättelse- och utvecklingsverksamhet bör vara kvar. Att inte behålla möjligheten för enskilda att begära registerutdrag från Försvarets radioanstalt skulle dock innebära en inskränkning i, den i praktiken mycket begränsade, rätten att få del av information om myndighetens personuppgiftsbehandlingar. Att rätten sällan utnyttjas eller tillämpningen hittills inte har lett till något resultat för den enskilde bör inte föranleda att denna rättighet inskränks.

Eftersom tillämpningsområdet för den nya lagen föreslås utökas till att även avse informationssäkerhetsverksamheten, bör den före- slagna bestämmelsen även omfatta enskildas rätt till information som Försvarets radioanstalt behandlar inom denna verksamhetsgren.

242

SOU 2018:63

Överväganden och förslag

6.7.4Begränsning av rätten till information

Utredningens förslag: Informationsskyldigheten gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut. Om den förutsättningen är uppfylld är Försvarsmakten respektive Försvarets radioanstalt inte skyldig att lämna ut skälen för beslut om att inte lämna ut dessa uppgifter. Samma sak gäller beslut i fråga om rättelse, radering eller begränsning av behandlingen.

Informationsskyldigheten avseende information som ska lämnas om uppgifterna samlas in från personen själv samt information som ska lämnas efter begäran, gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande. Informationsskyl- digheten gäller dock om uppgifterna har lämnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller histo- riska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.

Skäl för utredningens förslag: Enskildas rätt till information begränsas av bestämmelser om sekretess (2 kap. 4 § FM-PuL och 2 kap. 3 § FRA-PuL). Motiven finns i prop. 2006/07:46 s. 89. Liksom anför- des av regeringen i motiven till de nuvarande bestämmelserna om enskildas rätt till information, är många uppgifter som behandlas i Försvarsmaktens och Försvarets radioanstalts verksamheter till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer (15 kap. 1 och 2 §§ offentlighets- och sekretesslagen). Den informationsskyldighet som föreslås i detta betänkande ska därför, på motsvarande sätt som enligt FM-PuL och FRA-PuL, inte gälla i den utsträckning sekretess hindrar att upp- gifterna lämnas ut till den som uppgifterna rör. Eftersom skälen för beslut om sekretess kan ge ledning om uppgifternas innehåll, ska inte heller skälen för beslut om sekretess lämnas till den som gett in begäran. Redan uppgiften om huruvida en enskilds personuppgifter behandlas av Försvarsmakten eller Försvarets radioanstalt kan således omfattas av sekretess. Detsamma gäller frågor som rör rättelse, radering eller begränsning av behandling av personuppgifter i dessa sammanhang.

Av 2 kap. 3 § FM-PuL och 2 kap. 2 § FRA-PuL framgår att infor- mation som har begärts av en enskild inte behöver lämnas om

243

Överväganden och förslag

SOU 2018:63

personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller lik- nande. Detta gäller dock inte om uppgifterna har lämnats ut till tredje man eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Motiven finns i prop. 2006/07:46 s. 87 f.

Motsvarande bestämmelser bör införas även i de nya lagarna.

6.7.5Rätten till rättelse, radering och begränsning av behandlingen

Utredningens förslag: Försvarsmakten och Försvarets radio- anstalt ska på begäran av den som personuppgiften rör snarast rätta, radera eller begränsa sådana personuppgifter som inte har behandlats i enlighet med de föreslagna lagarna eller föreskrifter som har meddelats med stöd av dessa lagar.

Försvarsmakten och Försvarets radioanstalt ska också under- rätta tredje part till vilken uppgifterna har lämnats ut om åtgär- den, om den som personuppgiften rör begär det eller om en mera betydande skada eller olägenhet för denne skulle kunna undvikas genom en underrättelse.

Någon underrättelse till tredje part behöver dock inte lämnas, om sekretess hindrar det eller detta är omöjligt eller skulle inne- bära en oproportionerligt stor arbetsinsats.

Skäl för utredningens förslag: Av 2 kap. 5 § FM-PuL och 2 kap. 4 § FRA-PuL framgår att Försvarsmakten respektive Försvarets radio- anstalt är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behand- lats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. Myndigheterna ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registre- rade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Motiven

244

SOU 2018:63

Överväganden och förslag

finns i prop. 2006/07:46 s. 89 f. I det i avsnitt 6.7.3 beskrivna avgöran- det av Europadomstolen har domstolen uttalat att ”that remedy must be deemed to be ineffective i practice”.

Vad som gäller enligt FM-PuL och FRA-PuL föreslås trots detta även gälla enligt de nya lagarna.

6.7.6Avgifter samt beslut om avslag vid upprepad begäran

Utredningens förslag: Allmän information som Försvarsmakten och Försvarets radioanstalt ska göra tillgänglig samt information som Försvarsmakten ska lämna om uppgifterna samlas in från personen själv, ska lämnas av respektive myndighet utan avgift.

Information som Försvarsmakten och Försvarets radioanstalt ska lämna efter begäran från den som uppgiften rör ska lämnas utan avgift en gång per kalenderår. Om någon begär sådan information om uppgifter oftare än en gång per kalenderår, får Försvars- makten och Försvarets radioanstalt avslå begäran.

Skäl för utredningens förslag: Som angetts i avsnitt 6.7.2 och 6.7.3 är Försvarsmakten respektive Försvarets radioanstalt skyldig att till var och som ansöker om det, en gång per kalenderår gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte (2 kap. 2 § FM-PuL och 2 kap. 1 § FRA-PuL). Hur en upprepad begäran inom samma kalenderår bör behandlas framgår emellertid inte av regeringens motiv till bestämmelserna. Utred- ningen anser att motsvarande bestämmelser ska införas även i de nya lagarna. De nya bestämmelserna bör dock göra det möjligt för Försvarsmakten respektive Försvarets radioanstalt att avslå upp- repad begäran om registerutdrag, dvs. begäran som inkommer till myndigheterna oftare än en gång per kalenderår. En sådan begräns- ning inskränker inte rätten att begära ut allmänna handlingar. Ett beslut om avslag på grund av att begäran är upprepad bör inte kunna överklagas, se vidare avsnitt 6.9.2.

245

Överväganden och förslag

SOU 2018:63

6.8Tillsyn och kontroll

6.8.1Tillsynsmyndighetens funktion, uppgifter och befogenheter

Utredningens förslag: Den myndighet som regeringen bestäm- mer ska utöva allmän tillsyn över Försvarsmaktens och Försvarets radioanstalts behandling av personuppgifter.

Tillsynsmyndigheten ska ge råd och stöd till Försvarsmakten och Försvarets radioanstalt om respektive myndighets skyldig- heter enligt lag eller annan författning eller när det i övrigt är påkallat.

Tillsynsmyndigheten har rätt att av Försvarsmakten eller För- svarets radioanstalt eller ett personuppgiftsbiträde på begäran få

1.tillgång till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av personuppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behandling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå Försvarsmakten eller Försvarets radio- anstalt eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behand- ling riskerar att stå i strid med lag eller annan författning.

Om tillsynsmyndigheten konstaterar att personuppgifter be- handlas i strid med lag eller annan författning, eller att Försvars- makten eller Försvarets radioanstalt eller ett personuppgiftsbiträde annars inte fullgör sina skyldigheter, får tillsynsmyndigheten

246

SOU 2018:63

Överväganden och förslag

1.genom sådana åtgärder som anges i det föregående försöka förmå Försvarsmakten eller Försvarets radioanstalt eller per- sonuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter,

2.förelägga Försvarsmakten eller Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda, och om det är lämpligt, vilka åtgärder som ska vidtas.

I förslaget till lag om behandling av personuppgifter vid För- svarets radioanstalt ska det tas in en bestämmelse som upplyser om att det i lagen (2008:717) om signalspaning i försvarsunder- rättelseverksamhet finns särskilda bestämmelser om kontroll som rör Försvarets radioanstalts behandling av personuppgifter i försvarsunderrättelse- och utvecklingsverksamheten.

Skäl för utredningens förslag: Bestämmelser om tillsynsmyndig- hetens funktion, uppgifter och befogenheter finns i 5 kap. 1–4 §§ FM-PuL och FRA-PuL. Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få,

1.tillgång till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

4.Om tillsynsmyndigheten konstaterar att personuppgifter behand- las eller kan komma att behandlas på ett olagligt sätt, ska myn- digheten genom påpekanden eller liknande förfarande en försöka åstadkomma rättelse.

Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats olagligt ska utplånas. Beslut om utplånande får inte meddelas om det är oskäligt.

247

Överväganden och förslag

SOU 2018:63

Motiven finns i prop. 2006/07:46 s. 99 ff.

Utredningen anser att de bestämmelser som reglerar tillsyns- och kontrollmyndigheternas funktion, uppgifter och befogenheter enligt nuvarande lagstiftning bör föras in i de nya lagarna med undantag av möjligheten att hos förvaltningsrätten ansöka om utplåning av personuppgifter. Såvitt är känt för utredningen har något sådant inte förekommit eller varit aktuellt. I stället föreslår utredningen att om tillsynsmyndigheten i sin tillsyn uppmärksammar förhållanden som kan utgöra brott, ska myndigheten anmäla det till Åklagarmyndig- heten. Bestämmelser om detta kan tas in i de förordningar som ska knyta an till lagarna.

Härutöver föreslår utredningen några tillägg i lagstiftningen. Det bör uttryckligen framgå att tillsynsmyndigheten ska ge råd

och stöd till Försvarsmakten och Försvarets radioanstalt om myn- digheternas skyldigheter enligt lag eller annan författning eller när det i övrigt är påkallat. Det bör även framgå att tillsynsmyndigheten på begäran ska få upplysningar om och dokumentation av behand- lingen av personuppgifter och säkerhets- och skyddsåtgärder vid behandlingen. Vidare bör tillsynsmyndigheten utöver rätten till till- träde till sådana lokaler som har anknytning till behandling av per- sonuppgifter även få tillgång till utrustning och andra medel för behandling av personuppgifter. Slutligen bör tillsynsmyndigheten få det biträde och annan information som behövs för tillsynen.

Om tillsynsmyndigheten bedömer att det finns risk för att per- sonuppgifter kan komma att behandlas i strid med lag eller annan författning, ska myndigheten genom råd, rekommendationer eller påpekanden försöka förmå den personuppgiftsansvarige att vidta åtgärder för att minska den risken.

Om en pågående eller planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning får tillsyns- myndigheten utfärda en skriftlig varning.

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att den personuppgifts- ansvarige annars inte fullgör sina skyldigheter, får tillsynsmyndig- heten försöka förmå eller förelägga den personuppgiftsansvarige att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla eller fullgöra andra skyldigheter.

248

SOU 2018:63

Överväganden och förslag

6.8.2Rapporteringsskyldighet för personuppgiftsincidenter bör inte införas i de nya lagarna

Utredningens bedömning: Bestämmelser om särskild rapporter- ingsskyldighet av personuppgiftsincidenter till tillsynsmyndig- heten och den som personuppgifterna rör, bör inte införas i de nya lagarna.

Skäl för utredningens bedömning: Personuppgiftsincident är ett nytt begrepp som varken har funnits i tidigare personuppgiftslagar eller FM-PuL respektive FRA-PuL. Bestämmelser om rapporter- ingsskyldighet och hantering av personuppgiftsincidenter finns där- för inte.

En personuppgiftsincident är enligt artikel 3.11 i 2016 års data- skyddsdirektiv en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Begreppet definieras följaktligen på samma sätt i de lagar som föreslagits med anledning av direktivet; bl.a. brottsdatalagen.

I brottsdatalagen regleras den personuppgiftsansvariges skyldig- heter vid en personuppgiftsincident. Där föreskrivs bl.a. att sådana incidenter ska anmälas till tillsynsmyndigheten inom viss tid och att den registrerade i vissa fall ska underrättas om incidenten. Enligt de föreslagna bestämmelserna ska anmälningsskyldigheten inte gälla om personuppgiftsincidenten rör nationell säkerhet (3 kap. 9–11 §§). En- ligt förslaget till Säkerhetspolisens datalag ska sådan rapporterings- skyldighet inte heller gälla för Säkerhetspolisen (SOU 2017:74 s. 684). I 1 kap. 4 § dataskyddslagen har regleringen rörande rapportering av dataskyddsincidenter i dataskyddsförordningen (art. 33 och 34) undan- tagits ifråga om personuppgiftsincidenter som rapporteras enligt säkerhetsskyddslagen eller föreskrifter som meddelats i anslutning till den lagen. Detta innebär att sådana incidenter som ska rappor- teras enligt 10 a § första stycket säkerhetsskyddsförordningen ska anmälas till den myndighet som utövar tillsyn över säkerhets- skyddet, dvs. Försvarsmakten eller Säkerhetspolisen, inte också ska rapporteras till tillsynsmyndigheten enligt dataskyddsförordningen.

249

Överväganden och förslag

SOU 2018:63

Personuppgiftsincidenter som inträffar i Försvarsmaktens och Försvarets radioanstalts informationssystem och som drabbar per- sonuppgifter som behandlas med stöd av de föreslagna lagarna kom- mer att röra nationell säkerhet. Sådana personuppgiftsincidenter hos Försvarsmakten och Försvarets radioanstalt kommer således att rapporteras i enlighet med vad som framgår av säkerhetsskyddsför- ordningen. Något behov av att införa särskilda bestämmelser om rapportering av personuppgiftsincidenter i de nya lagarna finns där- med inte.

6.8.3Sanktionsavgift bör inte få tas ut

Utredningens bedömning: Det bör inte tas in bestämmelser om sanktionsavgift i de nya lagarna om personuppgiftshantering hos Försvarsmakten och Försvarets radioanstalt.

Skäl för utredningens bedömning: Av 2016 års dataskyddsdirektiv följer att medlemsstaterna ska föreskriva sanktioner för överträ- delser av de bestämmelser som genomför direktivet och att sanktio- nerna ska vara effektiva, proportionerliga och avskräckande. I brotts- datalagen införs ett nytt system med administrativa sanktionsavgifter där tillsynsmyndigheten ska fatta beslut om sanktionsavgift.

Även EU:s dataskyddsförordning föreskriver att administrativa sanktionsavgifter ska kunna tas ut vid överträdelse av bestämmelser om personuppgiftsbehandling som sker inom ramen för verksamhet som regleras av denna förordning. Enligt 6 kap. 2 § dataskyddslagen kan tillsynsmyndigheten även ta ut en sanktionsavgift av en myn- dighet vid överträdelse av dataskyddsförordningen.

Huvudskälet till att Utredningen om 2016 års dataskyddsdirektiv föreslog att sanktionsavgift ska kunna tas ut av bl.a. Polismyndig- heten, Skatteverket, Tullverket och domstolarna, är att motsvarande sanktionssystem gäller enligt dataskyddsförordningen och att för flera av myndigheterna kommer sannolikt en större del av person- uppgiftsbehandlingen att regleras av dataskyddsförordningen. Utred- ningen ansåg att det var svårt att motivera att helt olika sanktions- system ska gälla beroende på om brottsdatalagen eller förordningen var tillämplig vid överträdelser som är likartade och som därför kan antas motivera samma sanktion (SOU 2017:29 s. 492). Utredningen

250

SOU 2018:63

Överväganden och förslag

föreslog dock inte att sanktionsavgifter skulle kunna tas ut av Säkerhetspolisen. Som skäl anfördes att Säkerhetspolisens verksamhet rör nationell säkerhet och därmed inte omfattas av vare sig dataskydds- direktivets eller dataskyddsförordningens tillämpningsområde

Till en början kan konstateras att de krav på sanktionsavgifter som unionsrätten ställer inte gäller för de behandlingar av person- uppgifter som regleras i den lagstiftning som utredningen lägger fram i detta betänkande.

Dataskyddskonventionen (se avsnitt 4.2.1) som även omfattar personuppgiftsbehandling som rör nationell säkerhet, ställer krav på att det ska finnas lämpliga sanktioner och rättsmedel för överträ- delser av bestämmelser om dataskydd, men anger inte närmare vilka krav som ställs på sådana sanktioner.

Den nuvarande regleringen ger möjlighet till skadestånd. Utred- ningen föreslår ingen ändring i detta avseende. Vidare kan straffrättsligt ansvar utkrävas enligt brottsbalken. Utöver Datainspektionens till- synsverksamhet kontrollerar Statens inspektion för försvarsunder- rättelseverksamheten (Siun) försvarsunderrättelseverksamheten och granskar behandlingen av personuppgifter i Försvarsmaktens försvars- underrättelseverksamhet och militära säkerhetstjänst samt Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet När det gäller signalspaningen finns bestämmelser som är av intresse i detta sammanhang i lagen om signalspaning i försvarsunderrättelse- verksamheten. Signalspaningsmyndigheten (Försvarets radioanstalt) ska ansöka om tillstånd hos Försvarsunderrättelsedomstolen för signalspaning (4 a §). Kontrollmyndigheten (Siun) får besluta att viss inhämtning ska upphöra eller att upptagning eller uppteckning av inhämtade uppgifter ska förstöras, om det vid kontroll fram- kommer att inhämtningen inte är förenlig med tillstånd som har meddelats enligt lagen (10 §). Vidare är kontrollmyndigheten skyl- dig att på begäran av en enskild kontrollera om hans eller hennes meddelanden har inhämtats i samband med signalspaning och, om så är fallet, huruvida inhämtningen och behandlingen har skett i enlig- het med lag (10 a §). Mot bakgrund av den tillsyn, kontroll och granskning som gäller för de verksamheter som de föreslagna lagarna omfattar anser utredningen att konventionens krav på lämpliga sank- tioner och rättsmedel är uppfyllda.

Enligt utredningens mening är de sanktionsmöjligheter som före- slås gälla i fortsättningen tillräckliga. Utredningen anser därför att

251

Överväganden och förslag

SOU 2018:63

det inte bör införas någon möjlighet att ta ut sanktionsavgift vid överträdelse av bestämmelser i de nya lagarna.

6.9Skadestånd och överklagande

6.9.1Skadestånd

Utredningens förslag: Den personuppgiftsansvarige ska ersätta den som en personuppgift rör för den skada och kränkning av den personliga integriteten som orsakats av behandling av person- uppgiften i strid med de föreslagna lagarna, eller föreskrifter som har meddelats i anslutning till dem.

Ersättningsskyldigheten kan jämkas i den utsträckning det är skäligt, om den personuppgiftsansvarige visar att felet inte be- rodde på denne.

Skäl för utredningens förslag: Enligt 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL ska staten ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av per- sonuppgifter i strid med dessa lagar eller föreskrifter som har med- delats med stöd av lagarna har orsakat. Enligt bestämmelsens andra stycke kan ersättningsskyldigheten i den utsträckning det är skäligt jämkas, om Försvarsmakten respektive Försvarets radioanstalt visar att felet inte berodde på myndigheten.

Motiven finns i prop. 2006/07:46 s. 90 ff.

Utredningen anser att motsvarande bestämmelser bör införas i de nya lagarna.

Av bestämmelserna i FM-PuL och FRA-PuL framgår att det är staten som ska ersätta den drabbade vid felaktig behandling av per- sonuppgifter.

Enligt 3 § förordningen (1995:1301) om handläggning av skade- ståndsanspråk mot staten handlägger Justitiekanslern anspråk på ersättning enligt 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL. Detta innebär att Försvarsmakten och Försvarets radioanstalt ska över- lämna ersättningsanspråk med anledning av personuppgiftshanter- ing enligt FM-PuL och FRA-PuL till Justitiekanslern för vidare hantering och beslut. För det fall den som personuppgifterna rör vänder sig till domstol för Justitiekanslern statens talan i saken.

252

SOU 2018:63

Överväganden och förslag

Oavsett om Justitiekanslern eller domstolen fattar beslut om ersätt- ning överlämnar Justitiekanslern med stöd i 2 a § förordningen (1975:1345) med instruktion för Justitiekanslern, till den myndighet som är berörd i skaderegleringsärendet att ansvara för att ersätt- ningsbelopp betalas ut till motparten.

6.9.2Överklagande av en myndighets beslut i egenskap av personuppgiftsansvarig

Utredningens förslag: Försvarsmaktens och Försvarets radio- anstalts beslut om information som ska lämnas efter begäran av en enskild och om rättelse och underrättelse till tredje part samt Försvarsmaktens beslut om information som ska lämnas om uppgifter samlas in från personen själv, får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt lagen får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.

Beslut i frågor om sekretess överklagas till kammarrätt.

Skäl för utredningens förslag: Försvarsmaktens respektive Försvarets radioanstalts beslut beträffande information som ska lämnas om uppgifterna samlas in från personen själv (endast Försvarsmakten) samt efter begäran (Försvarsmakten och Försvarets radioanstalt) och om rättelse och underrättelse till tredje man får enligt 6 kap.

3§ FM-PuL och FRA-PuL överklagas hos allmän förvaltningsdom- stol. Andra beslut som har meddelats med stöd av respektive lag får inte överklagas.

Som tidigare har anförts bör fysiska personer av integritetsskydds- skäl ha vissa grundläggande rättigheter som rör behandlingen av uppgifter om dem. Förutom rätt till information, rättelse och skade- stånd, bör också vissa beslut av Försvarsmaktens och Försvarets radio- anstalts beslut kunna överklagas.

Som framgått i tidigare avsnitt föreslås att de bestämmelser i FM- PuL och FRA-PuL som ger enskilda rätt till information efter ansökan samt rättelse och underrättelse till tredje part, med vissa justeringar och tillägg, ska införas även i de nya lagarna. Därför bör enligt utredningen Försvarsmaktens och Försvarets radioanstalts beslut i dessa frågor kunna överklagas till allmän förvaltningsdomstol på samma sätt som enligt FM-PuL och FRA-PuL. Den begränsning

253

Överväganden och förslag

SOU 2018:63

som föreslås, om att Försvarsmakten och Försvarets radioanstalt får avslå sådan begäran om registerutdrag som enskild lämnar vid fler än ett tillfälle per kalenderår, begränsar endast enskilds rätt att ta del av information. Försvarsmaktens och Försvarets radioanstalts initiala prövning i dessa frågor blir huruvida en sådan begäran inkommit vid tidigare tillfälle innevarande kalenderår. Om så är fallet kommer en sådan begäran leda till ett omedelbart beslut om avslag. En sådan prövning är närmast att betrakta som av processuell karaktär och någon rätt till särskild överprövning av sådana beslut föreslås därför inte.

I klargörande syfte föreslås även att det upplyses om att beslut om sekretess överklagas till kammarrätt (se Högsta förvaltnings- domstolens avgörande i HFD 2014 ref 55).

6.10Övriga bestämmelser

6.10.1Straff

Utredningens bedömning: Överträdelser av bestämmelserna om personuppgiftsbehandling bör inte vara straffsanktionerade ut- över vad som gäller enligt brottsbalken.

Skäl för utredningens bedömning: Bestämmelser om straff för vissa gärningar i samband med personuppgiftshantering regleras sär- skilt i 6 kap. 2 § FM-PuL och FRA-PuL. Den som uppsåtligen eller av grov oaktsamhet lämnar osann uppgift i information till den som personuppgiften rör, till tillsynsmyndigheten eller behandlar käns- liga uppgifter i strid med vad som gäller enligt de särskilda bestäm- melserna för den behandlingen. Straffet kan vara böter eller fängelse i högst sex månader, eller om brottet är grovt, till fängelse i högst två år. I ringa fall döms inte till ansvar.

Av skälen till regeringens förslag om införande av straffbestämmelser framgår att bestämmelserna om straff vid visst förfarande med person- uppgifter har sitt ursprung i motsvarande bestämmelser i personup- pgiftslagen. Enligt regeringens uttalanden fyller införande av straff- bestämmelser en viktig funktion för att markera allvaret i överträdelser av regler till skydd för enskildas integritet. Regeringen ansåg därför att straffbestämmelser motsvarande delar av 49 § personuppgiftslagen även skulle intas i FM-PuL och FRA-PuL (prop. 2006/07:46 s. 107).

254

SOU 2018:63

Överväganden och förslag

Behandling av personuppgifter i strid med lag kan föra med sig skyldighet för staten att betala skadestånd till de drabbade. Presum- tionen för att skadestånd ska utgå liksom tillsynen och kontrollen bör enligt utredningen utgöra tillräckligt skydd för enskildas integ- ritet. Utredningen anser att straffbestämmelserna i den del som avser utlämning av personuppgifter till tillsyns- och kontrollmyn- digheterna inte bör föras över till de nya lagarna eftersom de skärpta formuleringarna om insyn och biträde för tillsynsmyndigheterna gör att utrymmet att lämna osanna uppgifter till tillsynsmyndigheten får betraktas som litet. Härtill bör beaktas att de nuvarande reglerna inte riktas mot vare sig den personuppgiftsansvarige eller personupp- giftsbiträden, utan mot den enskilde befattningshavaren, vars gär- ningar dessutom redan omfattas av reglerna om tjänstefel i 20 kap. 1 § brottsbalken. Överträdelser kan dessutom vara resultatet av flera personers agerande och underlåtenhet. Det blir då svårt att visa var skulden ligger och vad som lett till överträdelsen.

Utredningen anser mot bakgrund av det anförda att straffbestäm- melserna i FM-PuL och FRA-PuL inte bör tas in i de nya lagarna.

6.11Övergångsbestämmelser

Utredningens förslag: De föreslagna lagarna och de till dem knutna förordningarna ska träda i kraft den 1 oktober 2019.

Bestämmelserna om loggning behöver inte tillämpas på upp- giftssamlingar som inrättats före ikraftträdandet förrän den 1 maj 2024.

Ärenden om tillsyn eller granskning som inte har avgjorts före ikraftträdandet handläggs enligt äldre föreskrifter.

Skäl för utredningens förslag: Med hänsyn till den tid som krävs för remissbehandling, beredning inom Regeringskansliet samt riks- dagsbehandling, bör de nya lagarna och förordningarna träda i kraft den 1 oktober 2019.

Det kommer att ta tid att anpassa de uppgiftssamlingar som har inrättats före den 1 oktober 2019 till bestämmelserna om loggning. Av den anledningen bör bestämmelserna inte tillämpas på sådana uppgiftssamlingar förrän den 1 maj 2024.

255

Överväganden och förslag

SOU 2018:63

Ärenden om tillsyn eller granskning av Försvarsmaktens eller Försvarets radioanstalts personuppgiftsbehandling som Datainspek- tionen eller Statens inspektion för försvarsunderrättelseverksam- heten inte har avgjort före ikraftträdandet bör handläggas enligt äldre föreskrifter.

6.12Ändringar i andra författningar till följd av utredningens förslag

6.12.1Ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Utredningens förslag: Undantaget i dataskyddslagen från bestäm- melsen i den lagen som utsträcker dataskyddsförordningens till- lämpningsområde ändras till att gälla lagarna om behandling av per- sonuppgifter vid Försvarsmakten och Försvarets radioanstalt.

Skäl för utredningens förslag: I avsnitt 6.1.1 föreslår utredningen att FM-PuL och FRA-PuL ersätts med två nya lagar. Den bestäm- melse om undantag från dataskyddsförordningen som finns i 1 kap. 3 § dataskyddslagen bör därför ändras och utformas i enlighet med detta, dvs. att undantaget gäller de nya lagarna.

6.12.2Ändring i brottsdatalagen (2018:1177)

Utredningens förslag: Undantaget i brottsdatalagen från sådan verksamhet som omfattas av lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelse-verk- samhet och militära säkerhetstjänst ändras till att gälla lagen om behandling av personuppgifter vid Försvarsmakten.

Skäl för utredningens förslag: I avsnitt 6.1.1 föreslår utredningen bl.a. att FM-PuL ersätts med en ny lag. Den bestämmelse om undantag från brottsdatalagen i 1 kap. 4 § andra stycket brottsdata- lagen bör därför ändras och utformas i enlighet med detta, dvs. att undantaget gäller den nya lagen.

256

SOU 2018:63

Överväganden och förslag

6.12.3Ändring i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet

Utredningens förslag: I bestämmelsen i 2 a § lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet om att inhämt- ning inte får avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige införs i bestämmelsens andra stycke ett undantag i fråga om signaler som utväxlas autonomt mellan tekniska system i sådana fall där signalerna inte innehåller per- sonuppgifter.

Hänvisningen i 12 a § samma lag till lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvars- underrättelse- och utvecklingsverksamhet ändras till att avse lagen om behandling av personuppgifter vid Försvarets radioanstalt.

Skäl för utredningens förslag: Utredningen har uppmärksammats på en lagbestämmelse som avser att främja integritetsskyddsintresset har fått en räckvidd som inverkar menligt på för försvaret viktiga verksamheter och där några sådana intressen av tekniska skäl inte kan förekomma.

Bestämmelsen i fråga är 2 a § lagen om signalspaning i försvars- underrättelseverksamhet. Enligt den får inhämtning inte avse sig- naler mellan en avsändare och mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämt- ningen, ska upptagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats. I paragrafens andra stycke undantas från denna bestämmelse signaler mellan sändare och mottagare på utländska statsfartyg, luftfartyg och militära fordon.

Föreskrifterna i 2 a § gäller såväl kommunikationsspaning (mänsk- lig kommunikation) som teknisk signalspaning.

Den tekniska signalspaningen riktar in sig på egenskaper hos tekniska signaler, dvs. sådana signaler som inte bär mänsklig kom- munikation. Denna signalspaning syftar till att beskriva signalers olika tekniska parametrar, exempelvis pulsfrekvens och amplitud.

Radarsignaler är exempel på tekniska signaler som utväxlas auto- nomt i och mellan tekniska system och där det inte finns några inslag av mänsklig kommunikation eller information och där det därför inte kan uppkomma frågor om personlig integritet.

257

Överväganden och förslag

SOU 2018:63

Radar är utrustning som skickar ut elektromagnetiska pulser och som tar emot reflektionen av de utskickade signalerna. Radar används främst för att mäta avstånd och riktning till objekt i omgivningen. Mätningen görs oftast genom att en puls skickas ut. Pulsen studsar sedan mot något och fångas därefter in av radarn. Sändare och mot- tagare finns alltså i samma tekniska utrustning. Genom att mäta tiden det tar för pulsen att komma tillbaka samt övervaka i vilken riktning pulsen skickas ut kan man avgöra avståndet och riktningen till objektet. En radarsignal innehåller endast tekniska parametrar, t.ex. frekvens, och alltså, som nyss nämnts, inte information med mänsklig kommunikation.

Försvarets radioanstalt inhämtar och analyserar radarsignaler inom ramen för den tekniska signalspaningen i syfte att identifiera dem och associera dem till det objekt (plattform eller farkost) de härrör från.

Inhämtningen av radarsignaler är av betydelse för uppbyggnaden och vidmakthållandet av det s.k. signalreferensbiblioteket som Försvarets radioanstalt enligt 3 c § förordningen med instruktion för Försvarets radioanstalt har till uppgift att vidmakthålla och utveckla för Försvarsmaktens behov. Användningen av detta har stor betydelse för Försvarsmaktens möjligheter att identifiera farkoster och vapen- bärare av olika slag och för bedömningar om vilket hot dessa i varje givet ögonblick kan utgöra för Försvarsmaktens plattformar och personal. För detta syfte är det nödvändigt att biblioteket innehåller uppgifter om såväl utländska som inhemska signaler, civila som militära. Som anförs i förarbetena till 2 a § kan inhämtning av den här typen av signaler från Försvarsmaktens utrustningar och platt- formar ske med samtycke från Försvarsmakten, även när de befinner sig i Sverige (prop. 2008/09:201). När det gäller signaler mellan sändare och mottagare på utländska statsfartyg, luftfartyg och militära fordon som befinner sig i Sverige är inhämtning likaledes möjlig enligt undantagsregeln i andra stycket.

I andra fall är det enligt bestämmelsen i 2 a § otydligt huruvida det är möjligt att mäta signaler som emanerar från svenskt territo- rium. Vad gäller radarsignaler kan man hävda att eftersom samma radarsignal utgår och återkommer till samma radarutrustning så är det inte fråga om signaler mellan avsändare och mottagare av det slag som avses med 2 a §, och därmed inte heller signaler mellan en avsändare och mottagare som befinner sig i Sverige. Ett annat synsätt

258

SOU 2018:63

Överväganden och förslag

är att det objekt som radarsignalen studsar mot är att betrakta som sändare. Det är dock den som sänder ut radarsignalen, inte Försvarets radioanstalt, som kan registrera på vilket objekt som signalen studsar.

Även i andra sammanhang än vid teknisk signalspaning till stöd för produktion av signalreferensbibliotek förekommer signaler som utväxlas autonomt i och mellan tekniska system där ingen mänsklig information förekommer och där inga integritetsaspekter gör sig gällande. Inte heller i dessa sammanhang gör sig de integritetshänsyn som avsändare-mottagare-begreppet adresserar gällande.

Som framgår ovan innehåller de beskrivna signalerna inte upp- gifter om mänsklig kommunikation och inhämtningen har därmed ingen betydelse för personrelaterad integritet. Utredningen föreslår därför att undantagsregeln i andra stycket kompletteras med ett undantag som innebär att huvudregeln i första stycket inte tillämpas i fråga om signaler som utväxlas autonomt mellan tekniska system och inte innehåller personuppgifter.

Bestämmelsen i 12 a § lagen om signalspaning i försvarsunder- rättelsetjänst hänvisar till lagen (2007:259) om behandling av per- sonuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet för ytterligare bestämmelser om behandlingen av inhämtade personuppgifter. Denna hänvisning bör ändras så att den avser lagen om personuppgiftsbehandling vid Försvarets radio- anstalt.

6.12.4Ändring i förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrättelseverksamheten

Utredningens förslag: Bestämmelserna i instruktionen för Statens inspektion för försvarsunderrättelseverksamheten om att inspek- tionen ska granska behandlingen av personuppgifter som sker med stöd av FM-PuL och FRA-PuL utformas så att de direkt tar sikte på den behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst som sker med stöd av lagen (2019:000) om behandling av personupp- gifter vid Försvarsmakten och den behandling av personuppgifter i

259

Överväganden och förslag

SOU 2018:63

Försvarets radioanstalts försvarsunderrättelse- och utvecklings- verksamhet som sker med stöd av lagen (2019:000) om behand- ling av personuppgifter vid Försvarets radioanstalt.

Inspektionen ska utöver uppgiften att utöva kontroll och granskning även ha till uppgift att lämna myndigheterna råd och stöd beträffande myndigheternas skyldigheter i den verksamhet som inspektionen har till uppgift att kontrollera och granska.

Skäl för utredningens förslag: Statens inspektion för försvars- underrättelseverksamheten (Siun) har enligt 1 § förordningen med instruktion för Statens inspektion för försvarsunderrättelseverksam- heten till uppgift att kontrollera försvarsunderrättelseverksamheten hos de myndigheter som enligt förordningen (2000:131) om för- svarsunderrättelseverksamhet bedriver sådan verksamhet. Siun ska kontrollera att dessa myndigheter i den försvarsunderrättelseverk- samhet som utförs, efterlever lagar och förordningar samt i övrigt fullgör sina skyldigheter.

Siun ska vidare enligt 3 § instruktionen granska behandlingen av uppgifter enligt FM-PuL och FRA-PuL.

Med hänsyn till de föreslagna lagarnas vidgade tillämpnings- områden bör hänvisningarna i dem om behandling av personupp- gifter utformas så att de direkt tar sikte på försvarsunderrättelseverk- samheten och den militära säkerhetstjänsten vid Försvarsmakten och försvarsunderrättelse- och utvecklingsverksamheten vid Försvarets radioanstalt.

Siuns tillsyns- och granskningsuppdrag avser rättslig granskning i efterhand. Det innebär att planerade åtgärder hos myndigheterna inte kan bli föremål för granskning och att Siuns verksamhet inte kan uppfattas som ett godkännande av framtida åtgärder. Det bör dock finnas ett utrymme för överväganden som kan komma att påverka den framtida personuppgiftsbehandlingen. Enligt utred- ningens mening skulle det vara värdefullt för myndigheterna att, med den begränsning som nyss berörts, kunna få råd och stöd beträffande deras skyldigheter i de verksamheter som Siun har till uppgift att granska. Förslaget överensstämmer med det som lämnas när det gäller tillsynsmyndigheten i avsnitt 6.8.1.

260

SOU 2018:63

Överväganden och förslag

6.12.5Ändring i förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten

Utredningens förslag: Föreskrifterna i 3 § förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten att Justitie- kanslern handlägger anspråk på ersättning med stöd av 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL ändras till att avse anspråk på ersättning med stöd av 7 kap. 1 § i lagen om behandling av person- uppgifter vid Försvarsmakten och 7 kap. 1 § lagen om behandling av personuppgifter vid Försvarets radioanstalt.

Skäl för utredningens förslag: I 3 § förordningen om handläggning av ersättningsanspråk mot staten anges att Justitiekanslern hand- lägger anspråk på ersättning bl.a. med stöd av 2 kap. 6 § FM-PuL och 2 kap. 5 § FRA-PuL. Bestämmelsen bör ändras så att den avser mot- svarande föreskrifter i de nya lagarna.

261

7 Konsekvenser

7.1Inledning

I kommittéförordningen (1998:1474) finns bestämmelser om konse- kvensbeskrivningar.

Av 14 § framgår att om förslagen i ett betänkande påverkar kost- naderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kom- mittén föreslå en finansiering.

Av 15 § framgår att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, för brottsligheten och det brotts- förebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrens- förmåga eller villkor i övrigt i förhållande till större företags, för jäm- ställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen, ska konsekvenserna i det avseendet anges i betänkandet.

Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i be- tänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgiv- ning (15 a §).

Enligt utredningens direktiv ska utredaren bedöma de ekono- miska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det all- männa ska utredaren föreslå hur de ska finansieras. Utredaren ska

263

Konsekvenser

SOU 2018:63

också redovisa förslagens konsekvenser för den personliga integ- riteten och för eventuella verksamhetsmässiga konsekvenser.

7.2Konsekvenser av förslagen

7.2.1Två nya lagar men inga nya uppgifter

Utredningens bedömning: De föreslagna lagarna innebär inga nya uppgifter för Försvarsmakten eller Försvarets radioanstalt. De kommer att leda till ökad tydlighet och förbättrad effektivitet.

Skäl för bedömningen: De föreslagna lagarna innebär inga nya uppgifter för Försvarsmakten eller Försvarets radioanstalt. De anslu- ter till stora delar vad som gäller i dag genom FM-PuL och FRA-Pul samt PuL. I vissa delar medför förslagen förtydliganden och förbätt- ringar när det gäller behandlingen av personuppgifter i försvars- underrättelseverksamheten. Ökade möjligheter för direktåtkomst för Försvarsmakten, Försvarets radioanstalt och Säkerhetspolisen i försvarsunderrättelseverksamheten bör öka myndigheternas effekti- vitet på det området. För Försvarsmaktens del innebär ökade möj- ligheter till annat elektroniskt informationsutbyte förbättringar för verksamheten. Regleringen för vilka andra ändamål än huvudända- målen som behandling av personuppgifter får ske i Förvarets radio- anstalts verksamheter innebär förtydliganden som är av godo såväl för myndigheten som för tillsynen och kontrollen.

7.3Ekonomiska konsekvenser

Utredningens bedömning: De föreslagna lagarna innebär inga ökade kostnader för Försvarsmakten, Försvarets radioanstalt eller de myndigheter som utövar tillsyn och kontroll eller i övrigt för det allmänna. De har ingen ekonomisk betydelse för enskilda.

Skäl för bedömningen: De föreslagna lagarna medför inga nya uppgifter för Försvarsmakten och Försvarets radioanstalt. De nya reglerna kan medföra ett visst behov av utbildning av myndigheter- nas personal utöver den utbildningsverksamhet som myndigheterna

264

SOU 2018:63

Konsekvenser

redan nu bedriver. De kostnader som detta kan medföra bör kunna rymmas inom myndigheternas befintliga ekonomiska ramar. Som nämnts i avsnitt 7.2.1 kan de föreslagna lagarna medföra förbätt- ringar av myndigheternas effektivitet.

Några ekonomiska konsekvenser i övrigt för det allmänna upp- kommer inte. Inte heller medför förslagen ekonomiska konsekven- ser för enskilda.

7.3.1Konsekvenser för den personliga integriteten

Utredningens bedömning: Sammantaget innebär förslagen att skyddet för den personliga integriteten kommer att vara på samma nivå som för närvarande. I viss mån kan intrånget i personlig integritet öka genom de ökade möjligheterna till direktåtkomst som motiveras av starka försvars- och säkerhetsintressen.

Skäl för bedömningen: När det gäller Försvarsmakten innebär en samlad reglering en förenkling för myndigheten och därmed i för- längningen en förstärkning av integritetsskyddet vid myndighetens behandling av personuppgifter.

Regleringen för vilka andra ändamål än huvudändamålen som be- handling av personuppgifter får ske i Förvarets radioanstalts verksam- heter är även till fördel från integritetskyddssynpunkt.

De effektiviseringar som föreslås för försvarsunderrättelseverk- samheten och den militära säkerhetstjänsten, främst när det gäller möjligheter till direktåtkomst, kan innebära ett visst ytterligare intrång i den personliga integriteten. Samtidigt måste man beakta den säker- hetspolitiska utvecklingen på senare tid och de hot som riktas och som kan komma att riktas mot vårt land och de människor som finns här. Integritetsintrånget måste därför ställas mot de starka försvars- och säkerhetsintressen som här gör sig gällande och som motiverar behovet av en effektiv verksamhet på de områden som de föreslagna lagarna omfattar.

Att dataskyddsförordningens och dataskyddslagens bestämmel- ser om tillsynsmyndighetens befogenhet att förbjuda behandling inte ska gälla kan uppfattas som negativt för skyddet av enskildas personliga integritet. Detsamma gäller att personuppgiftsincidenter

265

Konsekvenser

SOU 2018:63

inte ska rapporteras till tillsynsmyndigheten och att sanktionsavgif- ter inte ska få tas ut. Med hänsyn till den betydelse myndigheternas verksamhet har för Sveriges försvar och säkerhet är det olämpligt med föreskrifter om förbud mot behandling, rapportering av person- uppgiftsincidenter och sanktionsavgifter. När det gäller frågan om rapportering av personuppgiftsincidenter bör erinras om den skyldighet att rapportera it-incidenter enligt 10 a § säkerhetskyddsförordningen som ska gälla i stället. I avsnitt 6.8.1–6.8.3 redovisar utredningen de bestämmelser om tillstånd, kontroll, granskning och tillsyn som gäller och ska gälla för den behandling av personuppgifter som den före- slagna lagstiftningen omfattar. Enligt utredningens mening får dessa bestämmelser anses tillgodose intresset av integritetsskydd.

7.3.2Konsekvenser i övrigt

Utredningens bedömning: Förslagen förväntas inte få några andra konsekvenser.

Skäl för bedömningen: Förslagen får inte några samhällsekono- miska konsekvenser eller några konsekvenser för den kommunala självstyrelsen. Förslagen får inte heller några konsekvenser för jäm- ställdheten eller andra sådana konsekvenser som avses i 14, 15 och 15 a §§ kommittéförordningen.

266

8 Författningskommentar

8.1Förslaget till lag om behandling av personuppgifter vid Försvarsmakten

1 kap. Allmänna bestämmelser

Syftet med lagen

1 §

Syftet med denna lag är att säkerställa att Försvarsmakten kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.

Paragrafen, som behandlas i avsnitt 6.2.1, anger syftet med lagen. Syftet är att säkerställa att Försvarsmakten kan behandla person- uppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling. Av paragrafen framgår att lagen gäller fysiska personer och inte juridiska personer.

Lagens tillämpningsområde

2 §

Denna lag gäller vid Försvarsmaktens behandling av personuppgifter som rör Sveriges försvar och säkerhet.

Paragrafen reglerar, tillsammans med 3 §, lagens tillämpningsområde. Den behandlas i avsnitt 6.2.2.

I paragrafen anges att lagen gäller vid Försvarsmaktens behand- ling av personuppgifter som rör Sveriges försvar och säkerhet. Vad

267

Författningskommentar

SOU 2018:63

som är en personuppgift och behandling av personuppgifter definie- ras i 8 §.

I Försvarsmaktens uppgifter ingår att upprätthålla och utveckla ett militärt försvar som ytterst kan möta ett väpnat angrepp. Grun- den för Försvarsmaktens verksamhet är förmågan till väpnad strid. Försvarsmakten ska försvara Sverige och främja svensk säkerhet samt upptäcka och avvisa kränkningar av det svenska territoriet. Försvars- makten ska dessutom kunna värna Sveriges suveräna rättigheter och svenska intressen samt kunna förebygga och hantera konflikter och krig såväl nationellt som internationellt. Försvarsmakten ska kunna utföra dess uppgifter självständigt eller i samverkan med andra myn- digheter, länder och organisationer. Vid höjd beredskap ska Försvars- makten kunna krigsorganisera, mobilisera och använda alla krigs- förband för att möta ett militärt hot mot Sverige och svenska intressen. Krigsförband ska kunna krigsorganiseras, även om höjd beredskap inte råder. Försvarsmaktens uppgifter utvecklas närmare i av- snitt 3.1.

De beskrivna uppgifterna ligger utanför unionsrätten. Även sådana arbetsuppgifter som kan tillkomma för Försvarsmaktens del, och som ligger utanför unionsrätten, ska behandlas med stöd av lagen.

3 §

Lagen gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Paragrafen behandlas i avsnitt 6.2.4. Den begränsar lagens tillämp- ningsområde till sådan behandling av personuppgifter som är helt eller delvis automatiserad, eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

268

SOU 2018:63

Författningskommentar

4 §

Vid behandling av personuppgifter enligt denna lag gäller inte lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning.

Paragrafen behandlas i avsnitt 6.2.5. Den upplyser om att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning inte gäller när personuppgifter behandlas enligt lagen om behandling av personuppgifter vid Försvarsmakten.

Förhållandet till annan reglering

5 §

Bestämmelserna i denna lag ska inte tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

Paragrafen, som behandlas i avsnitt 6.2.6, klargör att bestämmelserna i lagen inte ska tillämpas om det skulle inskränka Försvarsmaktens skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut person- uppgifter.

Personuppgiftsansvar

6 §

Försvarsmakten är personuppgiftsansvarig för den behandling av per- sonuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighetens ledning eller på dess vägnar.

Bestämmelsen behandlas i avsnitt 6.2.7 och motsvarar 1 kap. 6 § lagen om behandling av personuppgifter vid Försvarets radioanstalt.

Personuppgiftsansvarig definieras i 1 kap. 8 § som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Skyldigheterna som personupp- giftsansvarig regleras i 4 kap.

269

Författningskommentar

SOU 2018:63

Bestämmelsen tydliggör att Försvarsmakten är personuppgifts- ansvarig för all den personuppgiftsbehandling som myndigheten utför, dvs. även den behandling av personuppgifter som utförs under myndighetens ledning eller på dess vägnar.

Den närmare innebörden av personuppgiftsansvaret framgår av lagens övriga bestämmelser bl.a. att personuppgifter behandlas för- fattningsenligt och på ett säkert sätt (4 kap. 1 och 4 §§) samt skyl- digheter att tillgodose enskildas rättigheter (5 kap.) och behov av information vid tillsyn och kontroll (6 kap.).

Personuppgiftsansvaret omfattar all behandling av personupp- gifter som utförs under den personuppgiftsansvariges ledning. Med det avses all personuppgiftsbehandling vid Försvarsmakten inom lagens verksamhetsområden. Det gäller både behandling som utförs genom en aktiv handling, t.ex. insamling eller sökning, och passiv behandling, t.ex. lagring.

Försvarsmakten är också ansvarig för all behandling av person- uppgifter som utförs på dess vägnar. Med det avses främst sådan behandling som Försvarsmakten har uppdragit åt ett personupp- giftsbiträde att utföra. Försvarsmakten kan uppdra åt ett biträde att utföra viss behandling av personuppgifter, men kan inte genom det avsäga sig personuppgiftsansvaret. Bestämmelser om personupp- giftsbiträde finns i 4 kap. 7–11 §§.

7 §

Försvarsmakten får vara gemensamt personuppgiftsansvarig med annan endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Paragrafen behandlas i avsnitt 6.2.8. Gemensamt personuppgiftsansvar får endast förekomma om det har beslutats genom lag eller förordning eller av regeringen i ett enskilt fall. Försvarsmakten får inte på egen hand komma överens med en annan aktör om att personuppgifts- ansvaret för viss personuppgiftsbehandling ska vara gemensamt.

Om det vid en bedömning av de faktiska omständigheterna kon- stateras att gemensamt personuppgiftsansvar föreligger, trots att det inte finns något beslut om det, står behandlingen i strid med denna paragraf.

270

SOU 2018:63

Författningskommentar

Definitioner

8 §

I paragrafen, som behandlas i avsnitt 6.2.9, definieras vissa uttryck som används i lagen.

Behandling av personuppgifter

En åtgärd eller kombination av åtgärder som vidtas i fråga om per- sonuppgifter eller uppsättningar av personuppgifter, oavsett om det görs automatiserat eller inte, t.ex. insamling, registrering, organisering, struk- turering, lagring, bearbetning eller ändring, framtagning, läsning, använd- ning, utlämnande, spridning eller tillhandahållande på annat sätt, juster- ing, sammanföring, begränsning, radering eller förstöring.

Uttrycket behandling av personuppgifter omfattar alla åtgärder som vidtas med sådana uppgifter. Så snart personuppgifter hanteras på något sätt är det fråga om behandling som omfattas av lagens bestäm- melser, om den är helt eller delvis automatiserad eller avser manuell behandling i en strukturerad samling av personuppgifter. Uppräk- ningen i definitionen av olika sätt att hantera personuppgifter är således inte uttömmande.

Biometriska uppgifter

Personuppgifter som rör en persons fysiska, fysiologiska eller beteende- mässiga kännetecken, som tagits fram genom särskild teknisk behand- ling och som möjliggör eller bekräftar unik identifiering av personen i fråga.

Biometriska uppgifter behandlas i avsnitt 6.4.2. Biometri är ett sam- lingsnamn för sådan automatiserad teknik som syftar till att identi- fiera en person eller avgöra om en påstådd identitet är riktig. Den baseras på fysiska karaktärsdrag hos den som ska identifieras. Mönster av fingeravtryck, ansiktsgeometri, ögats iris, regnbågshinna och näthinna, röst, hand, blodkärl, dna eller gång är exempel på områden där sådan teknik kan användas. Gemensamt för teknikerna är att

271

Författningskommentar

SOU 2018:63

kroppen mäts elektroniskt. Biometriska uppgifter är den informa- tion som kan tas fram ur ett biometriskt underlag. Uppgifterna kan användas för att skapa en referensmall eller för att jämföra med tidigare lagrade referensmallar i syfte att kontrollera en persons iden- titet. Fingeravtryck och dna-profiler är i dag de vanligaste formerna av biometriska uppgifter.

Biometriska uppgifter i form av fingeravtryck kan framgå av ett spår som påträffas vid utredning av en händelse som exempelvis ett angrepp mot svensk trupp utomlands. Även analys av spåren om- fattas av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Dna-spår behandlas i kommen- taren till uttrycket genetiska uppgifter.

Av 2 kap. 16 § framgår att biometriska uppgifter bara får behandlas om det är absolut nödvändigt för ändamålet med behandlingen.

Fotografier och filmer som inte bearbetas tekniskt i syfte att åstadkomma unik identifiering faller utanför definitionen. Bearbet- ning av bilder av personer för att förbättra bildkvaliteten, förstärka detaljer och liknande omfattas alltså inte. Om bilder däremot bear- betas i exempelvis ett ansiktsigenkänningsprogram i syfte att identi- fiera personer omfattas de av definitionen. Att fotografier kan om- fattas av regleringen av känsliga personuppgifter på andra grunder behandlas i kommentaren till 2 kap. 15 §.

Dataskyddsombud

En fysisk person som utses av den personuppgiftsansvarige för att själv- ständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt.

Dataskyddsombud behandlas i avsnitt 6.6.5.

Ett dataskyddsombud är en fysisk person som utses av den per- sonuppgiftsansvarige att självständigt utföra vissa uppgifter i syfte att se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt. Ett dataskyddsombud kan antingen vara anställd hos den personuppgiftsansvarige eller en utomstående. Kravet på själv- ständighet innebär att dataskyddsombud ska kunna utföra sina arbets- uppgifter på ett oberoende sätt. Ombuden förutsätts framför allt ha

272

SOU 2018:63

Författningskommentar

goda kunskaper om reglerna om personuppgiftsbehandling. Om- buden bör också ha sådan ställning i organisationen att deras syn- punkter och råd tas på allvar.

Dataskyddsombudets uppgifter, som motsvarar personuppgifts- ombudets uppgifter enligt 4 kap. 2–4 §§ FM-PuL, regleras i 4 kap. 6 §.

Genetiska uppgifter

Personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga.

Genetiska uppgifter behandlas i avsnitt 6.4.2 och 6.4.4.

All information som rör en persons nedärvda eller förvärvade genetiska kännetecken och som kan tas fram ur ett spår från män- niskokroppen omfattas av definitionen.

Genetiska uppgifter behandlas vid dna-analyser i forensisk verk- samhet för att ta fram dna-profiler eller forensiska uppslag. Behand- lingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Eftersom nedärvda eller förvärvade gene- tiska kännetecken för en person kan framgå av ett spår som påträffas vid utredning av en händelse, omfattas även analys av spåren av definitionen, trots att de vid den tidpunkten inte går att härleda till en identifierad person. Själva dna-profilen, som behandlas i dna- register, utgör däremot inte en genetisk uppgift, eftersom inga nedärvda eller förvärvade genetiska kännetecken kan utläsas ur den. Dna-profilen är i stället en biometrisk uppgift, eftersom den tas fram genom en särskild teknisk behandling av en persons arvsmassa för att möjliggöra eller bekräfta unik identifiering av personen i fråga.

Logg

Behandlingshistorik som sparas viss tid.

Logg och logguppföljning behandlas i avsnitt 6.6.2.

En logg definieras som en behandlingshistorik som sparas viss tid. Vad som ska loggas framgår av kommentaren till 4 kap. 2 §.

273

Författningskommentar

SOU 2018:63

Mottagare

Den till vilken personuppgifter lämnas ut, med undantag av en myn- dighet som med stöd av författning utövar tillsyn, kontroll eller revision.

Mottagare definieras som den till vilken personuppgifter lämnas ut, med undantag av en myndighet som med stöd av författning utövar tillsyn, kontroll eller revision. Undantaget omfattar bl.a. myndig- heter som tar del av personuppgifter i sin tillsyn och kontroll av viss verksamhet, t.ex. Datainspektionen och Statens inspektion för för- svarsunderrättelseverksamheten. Även andra myndigheter som utövar tillsyn, t.ex. Riksdagens ombudsmän (JO) och Justitiekanslern, om- fattas av undantaget.

Personuppgift

Varje upplysning om en identifierad eller identifierbar fysisk person som är i livet.

Med personuppgift avses varje upplysning om en identifierad eller identifierbar fysisk person som är i livet. Uttrycket behandlas i avsnitt 6.2.9.

Varje information som kan hänföras till en fysisk person är en personuppgift. Det gäller även information som kan hänföras till en individ om en fysisk person kan identifieras med hjälp av infor- mationen. Det krävs inte att den personuppgiftsansvarige ska för- foga över samtliga uppgifter som gör identifieringen möjlig. Det innebär att t.ex. oidentifierade fingeravtryck och dna-profiler är personuppgifter, eftersom det är möjligt att identifiera en person med hjälp av dem. Även bild- eller ljudupptagningar kan utgöra per- sonuppgifter, om man direkt eller indirekt kan avgöra vilken individ som upptagningen avser.

Definitionen omfattar bara uppgifter om personer som är i livet. Uppgifter om juridiska personer omfattas inte av definitionen.

274

SOU 2018:63

Författningskommentar

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Uttrycket behandlas i avsnitt 6.2.9.

Personuppgiftsansvarig är enligt definitionen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Att bestämma ändamålen med behandlingen innebär i princip att bestämma att en behandling ska utföras och varför.

Att bestämma medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen, dvs. hur behandlingen ska gå till. Det kan handla om vilka personuppgifter som ska behand- las, vilka som ska få ta del av dem och hur länge personuppgifterna får behandlas.

Den personuppgiftsansvarige styr dock inte alltid själv över alla medel för behandlingen. Vid direktåtkomst bestämmer den som medger åtkomsten hur tillgången tekniskt ska lösas och vilka per- sonuppgifter som ska tillgängliggöras. Den som ges direktåtkomst är personuppgiftsansvarig för behandlingen av de personuppgifter som direktåtkomsten avser.

Personuppgiftsbiträde

Den som, med stöd av ett skriftligt avtal eller annan skriftlig överens- kommelse, behandlar personuppgifter för den personuppgiftsansvariges räkning.

Uttrycket behandlas i avsnitt 6.2.9.

Ett personuppgiftsbiträde är en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räk- ning med stöd av ett skriftligt avtal eller en annan skriftlig överens- kommelse. Kravet på att det ska finnas ett avtal eller en överens- kommelse framgår av 4 kap. 8 §.

Ett personuppgiftsbiträde behandlar personuppgifter endast enligt instruktioner från den personuppgiftsansvarige och har inte rätt att själv bestämma över personuppgiftsbehandlingen. Ett personuppgifts- biträde finns alltid utanför den egna organisationen En anställd eller

275

Författningskommentar

SOU 2018:63

någon annan som behandlar personuppgifter under den personupp- giftsansvariges direkta ansvar kan inte vara personuppgiftsbiträde.

Tredje part

Någon annan än den som personuppgiften rör, personuppgiftsansvarige, dataskyddsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har rätt att behandla personuppgifter.

Uttrycket behandlas i avsnitt 6.2.9.

Uppgiftssamling

En samling med uppgifter som med hjälp av automatiserad behandling är gemensamt tillgängliga.

Uppgiftssamlingar behandlas i avsnitt 6.5.

Avgörande för när automatiserat behandlade uppgifter ska anses ingå i en uppgiftssamling är att uppgifterna är gemensamt tillgängliga i en viss verksamhet för de ändamål som ska styra behandlingen av uppgifter inom verksamheten.

2 kap. Behandling av personuppgifter

Rättsliga grunder

Försvar och säkerhet

1 §

Försvarsmakten får behandla personuppgifter om det är nödvändigt för att planera, förbereda och genomföra verksamhet som rör

1.Sveriges försvar och säkerhet, eller

2.internationellt försvars- och säkerhetssamarbete. Försvarsmaktens uppgift att bedriva verksamhet som anges i första

stycket ska följa av lag, förordning eller ett särskilt beslut i vilket reger- ingen uppdragit åt myndigheten att utföra uppgiften.

276

SOU 2018:63

Författningskommentar

Paragrafen anger Sveriges försvar och säkerhet som en rättslig grund för Försvarsmaktens personuppgiftsbehandling. Ämnet behandlas i avsnitt 6.3.1.

Personuppgifter får enligt första stycket behandlas av Försvars- makten om det är nödvändigt för att planera, förbereda och genom- föra viss verksamhet. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten.

Enligt första stycket punkten 1 får personuppgifter behandlas om det är nödvändigt för att planera, förbereda och genomföra verk- samhet som rör Sveriges försvar och säkerhet. Försvarsmaktens upp- gift att bedriva sådan verksamhet ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Exempel på sådana uppgifter anges i avsnitt 6.3.1.

Som framgår av avsnitt 6.3.1 är beskrivningen av verksamheterna är inte fullständig. Det kan finnas andra uppgifter för Försvars- makten som rör Sveriges försvar och säkerhet och nya uppgifter kan tillkomma.

I avsnitt 6.3.1 ges exempel på författningsenliga uppgifter som faller utanför bestämmelsen.

Enligt första stycket punkten 2 får personuppgifter behandlas om det är nödvändigt för att planera, förbereda och genomföra verk- samhet som rör internationellt försvars- och säkerhetssamarbete.

Enligt andra stycket ska Försvarsmaktens uppgifter att bedriva verksamhet enligt första stycket framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Exempel på sådana uppgifter redovisas i avsnitt 6.3.1.

En närmare beskrivning av Försvarsmaktens internationella sam- arbeten finns i avsnitt 3.1. Myndighetens deltagande i sådana sam- arbeten sker med stöd av regeringens beslut.

Särskilt om försvarsunderrättelseverksamhet

2 §

Personuppgifter får behandlas i Försvarsmaktens försvarsunderrättelse- verksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet.

277

Författningskommentar

SOU 2018:63

Paragrafen behandlas i avsnitt 6.3.2. och anger de ändamål för vilka personuppgifter får användas i försvarsunderrättelseverksamheten genom en hänvisning till lagen (2000:130) om försvarsunderrättelse- verksamhet.

Försvarsunderrättelseverksamheten är ett led i Försvarsmaktens uppgifter att i fred, under beredskap och i krig ge underlag för Försvarsmaktens beredskap, operativa verksamhet och förbands- produktion samt för krigsorganisationens utveckling och materiella förnyelse. Försvarsunderrättelseverksamhet består av inhämtning, bearbetning och analys samt delgivning av information. Härigenom utarbetas underrättelser som delges Regeringskansliet och andra berörda myndigheter. Det är regeringen som bestämmer inriktningen av försvarsunderrättelseverksamheten.

Försvarsunderrättelseverksamheten ska identifiera och redovisa eller ge förvarning om sådana förändringar i omvärldsläget att detta kan ligga till grund för politiska beslut om totalförsvarets anpassning på kort eller lång sikt.

I underrättelseverksamhetens natur ligger att det inte går att på förhand göra tydliga avgränsningar av vilka uppgifter som måste inhämtas för att nå det slutliga målet att åstadkomma de under- rättelser som uppdragsgivarna efterfrågar. Inhämtad information kan motivera inhämtning av annan information som man från början inte kände till. Det kan också uppkomma behov av att värdera trovärdigheten hos källor, som man heller inte kände till från början. Verksamheten kan också gå ut på att leta efter företeelser och hot som är okända men som antas existera.

3 §

De personuppgifter som Försvarsmakten har fått tillgång till i myndig- hetens försvarsunderrättelseverksamhet får fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.

Vad som sägs i första stycket gäller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslutning till lagen.

Paragrafen behandlas i avsnitt 6.3.2 och innebär en komplettering av ändamålsbeskrivningen i 2 § på så sätt att de personuppgifter som

278

SOU 2018:63

Författningskommentar

Försvarsmakten har fått tillgång till i sin försvarsunderrättelseverk- samhet även fortsättningsvis får behandlas i den verksamheten, om det behövs för att fullgöra den.

En förutsättning för behandlingen enligt bestämmelsen är att den inte strider mot någon annan bestämmelse i lagen eller tillhörande förordning. Detta tydliggörs i andra stycket.

Särskilt om militär säkerhetstjänst

4 §

Personuppgifter får behandlas i Försvarsmaktens militära säkerhets- tjänst för att upptäcka, förebygga och avvärja säkerhetshotande verk- samhet som riktas mot Försvarsmakten och dess säkerhetsintressen, om det är nödvändigt för att

1.klarlägga verksamhet som innefattar hot mot Sveriges säkerhet,

eller

2.vidta åtgärder som hindrar eller försvårar säkerhetshotande verk- samhet.

Paragrafen, som behandlas i avsnitt 6.3.3, anger de ändamål för vilka uppgifter får behandlas i den militära säkerhetstjänsten.

Ändamålet med behandlingen av personuppgifter inom den militära säkerhetstjänsten är att tjänsten ska kunna fullgöra de uppgifter som följer av säkerhetsskyddslagen (1996:627), säkerhetsskyddsförord- ningen (1996:633) och förordningen (2007:1266) med instruktion för Försvarsmakten. Uppgifter får behandlas i Försvarsmaktens mili- tära säkerhetstjänst för att upptäcka, förebygga och avvärja säkerhets- hotande verksamhet som riktas mot Försvarsmakten och dess säker- hetsintressen.

Enligt punkten 1 får uppgifter behandlas för att klarlägga verk- samhet som innefattar hot mot rikets säkerhet. Därvid får under de närmare förutsättningar som anges i 5 § också behandlas uppgifter om personer med anknytning till sådan verksamhet. Med denna punkt avses säkerhetsunderrättelsetjänst. Verksamheten sker i stort under samma arbetsformer och med utnyttjande av samma typ av källor som används i försvarsunderrättelseverksamheten.

279

Författningskommentar

SOU 2018:63

Inom säkerhetsskyddstjänsten, som avses i punkten 2, vidtas olika åtgärder för att förhindra eller försvåra säkerhetshotande verksam- het. Verksamheten består i att förebygga att hemliga uppgifter som rör rikets säkerhet obehörigen röjs, ändras eller förstörs. Verksam- heten syftar också till att skydda Försvarsmaktens personal, materiel och anläggningar.

Punkten 2 omfattar också signalskyddstjänst, som syftar till att minska verkan av signalspaning, falsk signalering och störsändning mot totalförsvarets telekommunikations- och informationssystem. Verksamheten ska förhindra obehörig insyn i och påverkan av total- försvarets telekommunikationer, samt verka för användning av krypto- grafiska funktioner i informationssystemen. Signalkontroll innebär att underlag inhämtas främst genom avlyssning av analog och digital signalering i telekommunikations- och informationssystem. De inhäm- tade underlagen granskas och bearbetas, varefter gjorda iakttagelser delges och rapporteras. Signalkontroll genomförs i totalförsvarets tele- kommunikations- och informationssystem stickprovsvis med hjälp av fasta eller rörliga kontrollorgan. I 7 § finns en särskild bestämmelse om personuppgiftsbehandling i signalkontrollverksamheten.

5 §

Uppgifter om en person får behandlas för det ändamål som anges i 4 § endast om

1.uppgifterna är nödvändiga för att kartlägga verksamhet som inne- fattar brott som kan hota Sveriges säkerhet eller terroristbrott enligt 2 § lagen (2003:148) om straff för terroristbrott eller motsvarande brotts- lighet enligt tidigare lagstiftning,

2.uppgifterna är nödvändiga för att kartlägga underrättelseverk- samhet riktad mot Försvarsmakten och dess säkerhetsintressen,

3.uppgifterna är nödvändiga för att kartlägga annan säkerhetshotande verksamhet än som avses i 1 och som innefattar brott eller åsidosättande av åligganden i anställning hos Försvarsmakten, och det finns särskilda skäl till att uppgiften ska behandlas,

4.personen har lämnat uppgifter om säkerhetshotande verksamhet och personuppgifterna är nödvändiga för att bedöma personens tro- värdighet, eller

280

SOU 2018:63

Författningskommentar

5.uppgifterna avser information som har framkommit i samband med säkerhetsprövning enligt säkerhetsskyddslagen (1996:627) eller i annat fall är nödvändiga för att hantera en uppgift som rör säkerhets- skydd.

I paragrafen preciseras de ändamål för vilka personuppgifter får behandlas inom den militära säkerhetstjänsten med en särskild bestäm- melse om vilka uppgiftskategorier som får behandlas i verksamheten. En närmare beskrivning av de fem punkterna finns i avsnitt 6.3.3.

6 §

Personuppgifter som behandlas enligt 5 § ska förses med upplysning om på vilken av de angivna grunderna uppgiften behandlas. Om behand- lingen av en personuppgift föranleds av något annat än antagande om att personen har utövat eller kommer att utöva brottslig verksamhet ska det särskilt anges att personen inte är misstänkt för brottslig verksamhet, om det inte på annat sätt klart framgår att sådan misstanke inte finns. Uppgifter om en person som inte heller kan antas ha utövat eller komma att utöva annan säkerhetshotande verksamhet ska förses med en särskild upplysning om detta, om det inte på annat sätt klart framgår att sådant antagande inte finns.

Personuppgifter som behandlas enligt 5 § första stycket 1–3 ska i förekommande fall förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Bestämmelsen behandlas i avsnitt 6.3.3.

När uppgifter behandlas i den militära säkerhetstjänsten är det av integritetsskäl viktigt att särskilja olika typer av uppgifter. Särskilt viktigt är att det inte uppstår missuppfattningar om någon kan antas faktiskt utöva eller förbereda säkerhetshotande verksamhet eller inte. I första stycket anges att uppgifter om en person ska förses med upplysning om på vilken av de i första stycket angivna grunderna uppgiften behandlas. Uppgifter om brottsmisstanke är särskilt käns- liga ur integritetssynpunkt och det föreskrivs därför att i de fall behandlingen av en personuppgift inte föranleds av antagande om att personen utövar brottslig verksamhet ska detta särskilt anges, om det inte klart framgår på annat sätt. På motsvarande sätt ska anges

281

Författningskommentar

SOU 2018:63

om det inte heller kan antas att personen bedriver säkerhetshotande verksamhet som inte utgör brott. Utgångspunkten är att särskilda upplysningar inte behövs när det av sammanhanget inte kan uppstå några tvivel om varför uppgifterna i fråga behandlas och det därför inte föreligger risk för att någon av misstag kan uppfattas utöva brottslig eller på annat sätt säkerhetshotande verksamhet.

I andra stycket föreskrivs att uppgifter om att en person som avses

ipunkterna 1–3 ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Detta innebär att en särskild upplysning i förekommande fall ska lämnas om vilken tro- värdighet som tillmäts t.ex. den som lämnat ett tips till säkerhets- tjänsten. Om möjligt ska också anges hur korrekt uppgiften är, t.ex. om det är en obekräftad gissning eller ett belagt faktum.

7 §

Trots vad som sägs i 5 och 6 §§ får personuppgifter som ingår i eller har uppkommit i samband med användning av totalförsvarets tele- kommunikations- och informationssystem behandlas för att förhindra obehörig insyn i och påverkan av dessa system. Det gäller även sådana uppgifter som avses i 15, 16, 18 och 19 §§. Behandling som särskilt syftar till att identifiera en person får dock endast utföras om be- stämmelserna i 5 § första stycket 1, 2 eller 3 tillämpas.

Bestämmelsen, som behandlas i avsnitt 6.3.3, innebär att person- uppgifter som ingår i eller har uppkommit i samband med använd- ning av totalförsvarets telekommunikations- och informations- system – även sådana som omfattas av särskilda restriktioner – får behandlas i syfte att förhindra obehörig insyn i och påverkan av dessa system. Den omständigheten att sådan behandling genom signal- kontroll utförs utan att förekomsten av relevanta personuppgifter på förhand kan avgöras utgör följaktligen inte något hinder för verk- samheten.

När säkerhetshotande företeelser upptäcks och det erfordras särskild behandling för att identifiera en person, t.ex. genom att en viss kommunikationsenhet härleds till en individualiserad användare, gäller dock att behandlingen endast får utföras om det finns grundad

282

SOU 2018:63

Författningskommentar

anledning att anta att det beträffande personen föreligger sådant förhållande som avses i 5 § första stycket 1, 2 eller 3.

Övriga rättsliga grunder

8 §

Personuppgifter som utgör allmänt tillgänglig information får behand- las av Försvarsmakten om det är nödvändigt för de ändamål som anges i 1, 2 och 4 §§.

Bestämmelsen behandlas i avsnitt 6.3.4.

För att kunna bedriva en effektiv försvarsunderrättelseverksam- het behöver Försvarsmakten, utöver den information som den inhämtar genom hemliga metoder, också ha god tillgång till allmänt tillgänglig information. Därigenom kan den på hemligt sätt inhäm- tade informationen på ett bättre sätt än eljest sättas in i sitt rätta sammanhang. Av intresse här är information som utgörs av person- uppgifter som kan påträffas vid sökning på internet eller vid sök- ningar i öppna databaser. Uppgifterna kan vara gratis eller tillgäng- liga på kommersiell grund. Gemensamt för dem är att de är publikt tillgängliga. Det kan röra sig om uppgifter som t.ex. en abonnent på ett eller annat sätt har samtyckt att uppgifterna finns med i elek- troniska telefonkataloger eller förteckningar över ip-adresser i olika länder. I stället för att myndigheten exponerar sig kan databaserna anskaffas och läggas upp som referensdatabaser hos myndigheten där den kan göra sökningar.

Bestämmelsen gör det också möjligt att behandla personupp- gifter på det beskrivna sättet när det gäller planering, förberedelse och genomförande av verksamhet som avser Sveriges försvar och säkerhet eller internationellt försvars- och säkerhetssamarbete lik- som när det gäller verksamhet inom den militära säkerhetstjänsten.

9 §

Personuppgifter får behandlas av Försvarsmakten om det är nödvändigt för diarieföring, arkivering, handläggning av ett ärende eller för att utföra annan liknande uppgift som åligger myndigheten.

283

Författningskommentar

SOU 2018:63

Bestämmelsen behandlas i avsnitt 6.3.5.

Genom bestämmelsen har den behandling av personuppgifter som uppkommer i de i avsnittet beskrivna verksamheterna direkt stöd i lag.

10 §

Försvarsmakten får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.

Bestämmelsen behandlas i avsnitt 6.3.10.

Genom bestämmelsen ges Försvarsmakten möjlighet att behandla personuppgifter för historiska, statistiska eller vetenskapliga ändamål.

11 §

Försvarsmakten får behandla personuppgifter för att kunna tillgodose enskildas behov av information enligt 5 kap. och kunna lämna infor- mation vid tillsyn eller kontroll.

Bestämmelsen behandlas i avsnitt 6.3.11.

Datainspektionen är tillsynsmyndighet för Försvarsmaktens per- sonuppgiftsbehandling. Även Statens inspektion för försvarsunder- rättelseverksamheten (Siun) har till uppgift att kontrollera försvars- underrättelseverksamheten hos de myndigheter som bedriver sådan verksamhet, däribland vilka personuppgifter som behandlas i denna verksamhet. Sökningar i uppgiftssamlingar och sammanställningar av uppgifter som är nödvändig för att Försvarsmakten ska kunna till- mötesgå tillsynsmyndighetens och kontrollmyndighetens behov inne- bär att personuppgifter behandlas. Bestämmelsen utgör rättslig grund för denna personuppgiftsbehandling samt för den personuppgifts- behandling som krävs för att tillmötesgå enskildas rätt till informa- tion enligt 5 kap. Enskildas rättigheter behandlas vidare i avsnitt 6.7.2. Tillsynsmyndighetens verksamhet behandlas i avsnitt 6.8.

Bestämmelsen utgör även den rättsliga grunden för personupp- giftshantering i Försvarsmaktens loggfunktioner för de syften som framgår av denna bestämmelse. Bestämmelser om myndigheternas loggfunktioner behandlas vidare i avsnitt 6.6.2.

284

SOU 2018:63

Författningskommentar

Grundläggande krav

Ändamål

12 §

Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprungligen behandlades.

Bestämmelsen behandlas i avsnitt 6.4.1.

Paragrafen sätter, tillsammans med bestämmelserna i 13 och

14 §§, vissa ramar för Försvarsmaktens personuppgiftsbehandling inom lagens verksamhetsområden.

Bestämmelsen ställer i första stycket krav på att varje personupp- giftsbehandling ska ha koppling till de ändamål som anges i lagen, dvs. vara relevant i de verksamheter som utgör rättsliga grunder för personuppgiftsbehandling och är ägnade att lösa Försvarsmaktens uppgifter enligt lag eller annan författning. Detta innebär att ända- målen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in.

Paragrafens andra stycke ger uttryck för den generella s.k. finali- tetsprincipen, dvs. att fortsatt behandling av personuppgifter inte få ske för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprungligen behandlades. Vad som ska anses vara oförenliga ändamål måste avgöras från fall till fall, men de ändamål som anges i lagen är att betrakta som förenliga för fortsatt behandling. Den innebär att den personuppgiftsansvarige under hela behandlingstiden måste hålla reda på för vilka ändamål varje person- uppgift har samlats in. Se prop. 2006/07:46 s. 56 f.

285

Författningskommentar

SOU 2018:63

Författningsenlig och korrekt behandling

13 §

Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Paragrafen behandlas i avsnitt 6.4.1.

Personuppgifter får enligt bestämmelsen bara behandlas om det är författningsenligt, dvs. enligt lag eller annan författning.

Vad som är ett korrekt sätt för behandling styrs emellertid inte bara av bestämmelser i författning och den praxis som utbildas kring dem. Tillsynsmyndighetens allmänna råd och uttalanden i fråga om personuppgiftsbehandling har också betydelse, liksom myndighe- ternas interna regler.

Personuppgifternas kvalitet

14 §

Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen och, om det är nödvän- digt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Paragrafen behandlas i avsnitt 6.4.1.

Enligt första stycket ska de behandlade uppgifterna vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Detta innebär bl.a. att ovidkommande uppgifter inte får behandlas. En prövning av om en personuppgift är nödvändig för behandlingen ska göras kontinuerligt av den behöriga myndigheten, inte bara när uppgiften registreras eller på annat sätt samlas in. Även vid en senare behandling ska personuppgiften behövas för just den behandlingen, annars är kravet på adekvans och relevans inte uppfyllt. De person- uppgifter som behandlas behöver vara uppdaterade, om det är nödvändigt. Frågan om det är nödvändigt att de är uppdaterade får avgöras med hänsyn till ändamålen med behandlingen.

286

SOU 2018:63

Författningskommentar

Enligt andra stycket ska uppgifter som beskriver en persons ut- seende ska utformas på ett objektivt sätt med respekt för män- niskovärdet. Syftet med bestämmelsen är att förhindra att personers utseende beskrivs i ordalag som kan vara kränkande för individen.

Utformningen av bestämmelsen innebär att myndigheten alltid är oförhindrad att, när den får ett tips från allmänheten eller en sam- arbetspartner om en person som kan misstänkas för verksamhet som exempelvis innebär säkerhetshot mot Försvarsmaktens intressen, göra de anteckningar som är nödvändiga för att underlätta identi- fieringen av personen, t.ex. anteckningar om fysiska kännetecken. Anteckningarna måste dock utformas på ett objektivt sätt. I anslut- ning till dessa anteckningar får även sådana känsliga personuppgifter som avses i 15 § antecknas, om det är absolut nödvändigt för det arbete som tipset bör föranleda.

Enligt tredje stycket får inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Vad som utgör nödvändig behandling får avgöras av den personupp- giftsansvarige vid varje behandling. Att uppgifterna inte får vara fler än nödvändigt understryker kravet på att en fortlöpande bedömning görs.

Sammantaget måste det vid all behandling prövas om det går att utelämna personuppgifter, eller i vart fall att endast använda upp- gifter som indirekt går att hänföra till en viss person. Om fullständig avidentifiering är ett fullgott alternativ till att använda direkta eller indirekta personuppgifter är förutsättningarna för att behandla per- sonuppgifterna inte uppfyllda.

Känsliga personuppgifter

15 §

Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning får inte behandlas.

När uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen.

287

Författningskommentar

SOU 2018:63

Paragrafen reglerar tillsammans med 16 och 17 §§ i vilken utsträck- ning känsliga personuppgifter får behandlas. Att uppgifterna beteck- nas som känsliga personuppgifter framgår av rubriken. Paragrafen behandlas i avsnitt 6.4.2.

Enligt första stycket får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning inte behandlas. Det innebär att det inte är tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda på den grunden att de utifrån etniskt ursprung, politiska åsikter eller något annat i paragrafen angivet förhållande kan hänföras till en viss kate- gori av människor.

En uppgift om utseende är normalt inte en känslig personuppgift och den får alltså behandlas, med den begränsning som följer av 14 § andra stycket. Om en sådan uppgift samtidigt innebär uppgift om etniskt ursprung omfattas den dock av förbudet. Bestämmelsen hindrar inte att uppgifter om en persons nationalitet behandlas, eftersom en sådan uppgift normalt inte ger upplysning om etniskt ursprung (se prop. 2009/10:85 s. 325). Uppgifter om att en viss person kommer från en viss världsdel eller ett visst land faller också som regel utanför förbudet mot behandling av känsliga person- uppgifter. Skulle en sådan personuppgift i det enskilda fallet t.ex. avslöja etniskt ursprung är dock förbudet tillämpligt.

I andra stycket görs undantag från huvudregeln att känsliga per- sonuppgifter inte får behandlas. Uppgifter om en person som behand- las på annan grund får kompletteras med känsliga personuppgifter, om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att om andra uppgifter om en person samlas in får de kom- pletteras med uppgifter om exempelvis religiös övertygelse eller etniskt ursprung om det är av stor betydelse för syftet med behand- lingen. Med hänsyn till den restriktivitet som ligger i uttrycket ”absolut nödvändigt” måste dock behovet av att göra sådana kom- pletteringar prövas noga i det enskilda fallet.

Känsliga personuppgifter kan också förekomma i Försvarsmaktens verksamhet på grund av att någon har lämnat en sådan uppgift i ett tips eller förhör. Det kan vara fråga om helt grundlösa påståenden. Eftersom Försvarsmakten inte kan hindra någon från att yttra sig

288

SOU 2018:63

Författningskommentar

vare sig muntligen eller skriftligen på dessa sätt, kan känsliga per- sonuppgifter komma att behandlas. Behandlingen av den känsliga personuppgiften omfattas i dessa fall av undantaget i andra stycket.

16§

Biometriska uppgifter får behandlas endast om det är absolut nödvändigt för ändamålet för behandlingen. Genetiska uppgifter får inte behandlas.

Paragrafen reglerar i vilken utsträckning biometriska uppgifter får behandlas. Paragrafen behandlas i avsnitt 6.4.2.

Med biometriska uppgifter avses enligt definitionen i 1 kap. 8 § personuppgifter som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken som tagits fram genom särskild tek- nisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga.

Bestämmelsen möjliggör användning av särskild teknisk behand- ling för att bekräfta unik identifiering av en person. Det innebär att t.ex. fingeravtryck, ansiktsgeometri, röstigenkänning eller rörelse- mönster kan användas för att identifiera en person. Behovet av att behandla biometriska uppgifter måste prövas noga i ett enskilt ärende.

Försvarsmakten får inte behandla genetiska uppgifter. Uttrycket definieras i 1 kap. 8 §.

17 §

Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning an- vändas som sökbegrepp om det är absolut nödvändigt för syftet med behandlingen. Detsamma gäller biometriska uppgifter.

Paragrafen reglerar i vilken utsträckning känsliga personuppgifter får användas som sökbegrepp. Paragrafen behandlas i avsnitt 6.4.2.

Paragrafen gäller generellt, dvs. såväl personuppgifter som har gjorts gemensamt tillgängliga som personuppgifter som inte har det.

Bestämmelsen gör det möjligt att utföra sökning i syfte att få fram ett personurval grundat på känsliga personuppgifter, t.ex. i

289

Författningskommentar

SOU 2018:63

syfte att få fram ett urval av personer som t.ex. har viss politisk åskådning eller religiös övertygelse etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen är absolut nödvändig för de syften som utgör rättslig grund för Försvarsmaktens person- uppgiftsbehandlingar. Försvarsmakten kan behöva söka på uppgifter som rör politiska åsikter, religiös övertygelse eller etniskt ursprung, eftersom det ingår i Försvarsmaktens uppdrag att kartlägga sådan verksamhet som kan komma att hota Sveriges försvar och säkerhet. Sådan sökning kan även behöva göras t.ex. för att förebygga, förhindra eller utreda angrepp mot svensk personal vid insatser utomlands. Kravet på att det ska vara absolut nödvändigt att göra sökningen gör att utrymmet för sådana sökningar är begränsat och att rutinmässiga sökningar på känsliga uppgifter inte är tillåtna.

I vilken utsträckning det är tillåtet att behandla någon eller några av personuppgifterna i en sammanställning av sådana uppgifter som sökningen resulterat i får prövas mot huvudregeln om behandling av känsliga personuppgifter i 15 §. Rätten att göra sökning medför således inte en generell rätt att fortsätta att behandla uppgifterna.

Personnummer

18 §

Uppgifter om personnummer eller samordningsnummer får behandlas bara när det är klart motiverat med hänsyn till

1.ändamålet med behandlingen,

2.vikten av en säker identifiering, eller

3.något annat beaktansvärt skäl.

Paragrafen reglerar i vilken omfattning personnummer får behandlas vid Försvarsmakten. Paragrafen behandlas i avsnitt 6.4.3.

290

SOU 2018:63

Författningskommentar

Om den som uppgifterna rör har offentliggjort uppgifterna eller lämnat sitt samtycke

19 §

Utan hinder av vad som föreskrivs i 15, 16 och 18 §§ får person- uppgifter behandlas, om den som personuppgifterna rör har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt har offentliggjort uppgifterna.

Första stycket gäller inte genetiska uppgifter.

Paragrafen behandlas i avsnitt 6.4.4.

Paragrafen ger Försvarsmakten möjlighet att behandla känsliga personuppgifter, om den som personuppgifterna rör har lämnat sitt uttryckliga samtycke eller på ett tydligt sätt har offentliggjort upp- gifterna. Samtyckessituationer kan exempelvis förekomma i Försvars- maktens militära säkerhetstjänst vid säkerhetsprövningar. Paragra- fen ger även Försvarsmakten möjlighet att behandla personuppgifter som tydligt har offentliggjorts genom att de exempelvis tillkänna- getts på internet.

Bestämmelsen gäller inte genetiska uppgifter.

Behandling av personuppgifter i vissa fall

20 §

Hantering av information som innebär behandling av personuppgifter ska inte anses oförenlig med bestämmelserna i 1, 2, 4, 5, 7, 8 och 12–16 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka per- sonuppgifter som informationen innehåller.

Paragrafen behandlas i avsnitt 6.4.5.

Bestämmelsen innebär att hantering av information som innebär behandling av personuppgifter inte ska anses oförenlig med bestäm- melserna om tillåtlighet, ändamål, författningsenlig och korrekt behandling, personuppgifternas kvalitet och känsliga personuppgifter i det skede av behandlingen då det ännu inte har kunnat fastställas vilka personuppgifter som informationen innehåller.

När det står klart att informationen innehåller personuppgifter, samt vilka personuppgifterna är, ska Försvarsmakten behandla per- sonuppgifterna enligt övriga bestämmelser i lagen.

291

Författningskommentar

SOU 2018:63

Längsta tid som personuppgifter får behandlas

21 §

Personuppgifter som behandlas automatiserat får inte behandlas under längre tid än vad som behövs för något eller några av de ändamål som anges i 1–11 §§.

Paragrafen, som behandlas i avsnitt 6.4.6, innehåller en generell bestäm- melse om hur länge Försvarsmakten får behandla personuppgifter.

Enligt första stycket får personuppgifter som behandlas automa- tiserat enligt bestämmelsen inte behandlas under längre tid än vad som behövs för något eller några av de ändamål för vilka Försvars- makten får behandla personuppgifter (1–11 §§). Det som avses är ändamålet i det enskilda fallet. Ibland behandlas personuppgifter för flera olika ändamål. Att det inte längre finns behov av att behandla personuppgiften för ett visst ändamål medför inte att behandlingen av den måste upphöra för alla andra ändamål samtidigt. Å andra sidan innebär det förhållandet att personuppgiften fortfarande behövs för ett visst ändamål inte att den får fortsätta att behandlas för alla ändamål lika länge. Finns det inte längre behov av att behandla upp- gifterna för något av ändamålen får de bara behandlas för arkiv- ändamål. Behovet av att fortsätta att behandla uppgifterna måste därför prövas kontinuerligt. Om det är tillräckligt att behandla avidentifierade uppgifter är det inte längre tillåtet att behandla personuppgifterna.

Bestämmelsen ger även stöd för fortsatt behandling av person- uppgifter i ett avslutat ärende om uppgifterna bedöms ha ett allmänt värde för exempelvis Försvarsmaktens försvarsunderrättelseverk- samhet eller militära säkerhetstjänst. En grundläggande förutsätt- ning för fortsatt behandling är att Försvarsmakten bedömer att upp- gifterna behöver finnas tillgängliga ytterligare en viss tid för något av de ändamål för vilka Försvarsmakten får behandla personupp- gifter. När det gäller ostrukturerad underrättelseinformation kan det vara särskilt svårt att bedöma det fortsatta behovet av behandling. Bedömningen måste innan bearbetningen är genomförd göras på ett

292

SOU 2018:63

Författningskommentar

mer övergripande plan och i större utsträckning utgå från sanno- likheten av att personuppgifterna kan komma att behövas i verksam- heten än en reell bedömning av den enskilda uppgiften.

Bestämmelsen hindrar inte att Försvarsmakten med stöd i annan författning arkiverar och bevarar allmänna handlingar eller att arkiv- material lämnas till en arkivmyndighet.

I andra stycket finns en upplysningsföreskrift om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter eller i ett enskilt fall besluta att personuppgifter får behandlas endast under viss tid eller bevaras för historiska, statistiska eller veten- skapliga ändamål.

Utlämnande av personuppgifter

22 §

Personuppgifter som behandlas med stöd av denna lag får föras över till andra länder eller internationella organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvarsmakten ska kunna fullgöra sina uppgifter inom ramen för internationellt försvars- och säkerhetssamarbete.

Enligt paragrafen, som behandlas i avsnitt 6.4.7, får personuppgifter föras över till andra länder eller internationella organisationer endast om sekretess inte hindrar det och det är nödvändigt för att Försvars- makten ska kunna fullgöra sina uppgifter inom ramen för det interna- tionella försvarsunderrättelse- och säkerhetssamarbetet. Paragrafen är ägnad att uppfylla de krav på nationell lagstiftning som dataskydds- konventionen ställer när det gäller överföring av personuppgifter till andra länder. Huruvida ett utlämnande ska ske eller inte måste i sin helhet avgöras efter en sekretessprövning och försvars- och säker- hetspolitiska överväganden.

Av bestämmelsen framgår vidare att begränsningarna av möjlig- heterna till överföring gäller såvida inte regeringen har meddelat föreskrifter eller beslut i enskilda fall om att överföring får ske även

293

Författningskommentar

SOU 2018:63

i andra fall då det är nödvändigt för verksamheten vid Försvars- makten.

23 §

Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 2–4 §§.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av möjligheten att lämna ut personuppgifter elektroniskt enligt första stycket.

Paragrafen, som behandlas i avsnitt 6.4.7, reglerar elektroniskt ut- lämnande.

Bestämmelsens första stycke innebär att en större mängd person- uppgifter kan lämnas ut elektroniskt, om det inte är olämpligt.

I princip anses allt elektroniskt utlämnande som inte görs genom direktåtkomst utlämnat på medium för automatiserad behandling. Sådant utlämnande kan göras på många olika sätt. Det kan vara fråga om att personuppgifter lämnas t.ex. via e-post eller dvd-skiva eller genom direkt överföring från ett datasystem till ett annat via elek- troniska kommunikationsnät.

Det har betydelse vem mottagaren är för frågan om det är olämpligt att lämna ut uppgifter elektroniskt. Som regel kan det inte anses vara olämpligt att lämna ut uppgifter på det sättet till en myndighet (se prop. 2014/15:148 s. 113, jfr SOU 2015:39 s. 447 f.).

När det gäller utlämnande till andra än svenska myndigheter krävs en mer nyanserad bedömning med hänsyn till bl.a. innehållet i handlingen och vem (t.ex. en organisation) som är mottagare. Bedömer myndigheten att det finns risk för att personuppgifterna kan komma att missbrukas om de lämnas ut elektroniskt kan det var olämpligt att lämna ut dem på detta sätt. Vid prövningen av om personupp- gifter bör lämnas ut elektroniskt bör även informationssäkerheten, dvs. säkerheten hos mottagaren, vägas in.

Andra stycket anger att elektroniskt utlämnande genom direkt- åtkomst endast är tillåtet bara i den utsträckning som särskilt anges i lagen (3 kap. 2–4 §§).

294

SOU 2018:63

Författningskommentar

Tredje stycket upplyser om att regeringen kan meddela före- skrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst.

3 kap. Gemensamt tillgängliga uppgifter

Personuppgifter som får göras gemensamt tillgängliga

1 §

Personuppgifter får göras gemensamt tillgängliga om det behövs för något av de ändamål som anges i 2 kap. Personuppgifter som endast ett fåtal personer har tillgång till anses inte som gemensamt tillgängliga.

I paragrafen anges genom en hänvisning till lagens syften vilka person- uppgifter som får göras gemensamt tillgängliga. Paragrafen behand- las i avsnitt 6.5.1.

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga är att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Upp- gifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga.

Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter eller besluta i enskilda fall vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling.

295

Författningskommentar

SOU 2018:63

Direktåtkomst

Försvarsunderrättelseverksamhet

2 §

Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (2009:400) får Säkerhetspolisen och Försvarets radioanstalt medges direktåtkomst till personuppgifter som utgör bearbetningsunderlag och analysresultat inom försvarsunderrättelseverksamheten och som finns i uppgiftssamlingar.

I paragrafen anges vilka myndigheter som får medges direktåtkomst till uppgifter som har gjorts gemensamt tillgängliga i uppgiftssam- lingar och för vilka syften. Paragrafen behandlas i avsnitt 6.5.2.

Bestämmelserna om sekretess till skydd för enskilda i försvars- underrättelsemyndigheternas verksamhet finns bl.a. i 38 kap. 4 § offentlighets- och sekretesslagen (2009:400). Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men (omvänt skaderekvisit). Bestämmelsen om direktåtkomst innebär att sådana uppgifter som anges i sekretessbestämmelsen får lämnas till Säkerhetspolisen och Försvarets radioanstalt genom direkt- åtkomst.

Bearbetningsunderlag och analysresultat består av information som ännu inte har bearbetats till underrättelserapporter.

3 §

Om det behövs för samarbetet mot terrorism eller vid svenskt del- tagande i annat internationellt underrättelse- och säkerhetssamarbete får, i den utsträckning det följer av lag eller förordning eller om reger- ingen i ett enskilt fall beslutat om det, en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 2 § och som finns i uppgiftssamlingar.

I paragrafen regleras Försvarsmaktens möjlighet att medge utländsk underrättelse- och säkerhetstjänst direktåtkomst till vissa person- uppgifter. Paragrafen behandlas i avsnitt 6.5.2.

296

SOU 2018:63

Författningskommentar

Möjligheten att dela information genom direktåtkomst begränsas till underrättelse- och säkerhetstjänster. Underrättelse- och säker- hetstjänsterna får endast medges direktåtkomst om det behövs för samarbetet mot terrorism eller vid svenskt deltagande i annat inter- nationellt underrättelse- och säkerhetssamarbete. Direktåtkomst får endast medges till personuppgifter som behandlas i Försvarsmaktens försvarsunderrättelseverksamhet och som finns i uppgiftssamlingar.

Innan åtkomst medges till sådana personuppgifter måste Försvars- makten avgöra om det finns sakliga skäl att låta utländska under- rättelse- och säkerhetstjänster få del av uppgifterna, dvs. om det finns behov av att lämna ut uppgifterna för att främja bekämpningen av terrorism eller andra svenska intressen. Innan uppgifterna förs över ska Försvarsmakten dessutom bedöma om det finns rättsliga förutsättningar att lämna ut uppgifterna till utländska mottagare, bl.a. om sekretess hindrar det.

Direktåtkomst enligt paragrafen får bara ske i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutat om det.

Direktåtkomst i andra fall

4 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter eller särskilt beslut om vilka som i andra fall än de som anges i 2 § och 3 § får ha direktåtkomst till gemensamt tillgängliga uppgifter.

Paragrafen, som behandlas i avsnitt 6.5.2, är en upplysningsföre- skrift om att regeringen kan meddela föreskrifter eller i ett enskilt fall besluta att direktåtkomst får medges i andra fall än de som anges i 2 och 3 §§.

297

Författningskommentar

SOU 2018:63

Övriga bestämmelser

5 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten, och

2.föreskrifter om behörighet och säkerhet vid sådan åtkomst.

Paragrafen, som behandlas i avsnitt 6.5.2, är en upplysningsföreskrift om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten, och föreskrifter om behörighet och säkerhet vid sådan åtkomst.

4 kap. Skyldighet som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

1 §

Försvarsmakten ska, genom lämpliga tekniska och organisatoriska åtgärder, säkerställa att behandlingen av personuppgifter är författnings- enlig och skydda rättigheterna för dem som uppgifterna rör.

Paragrafen behandlas i avsnitt 6.6.1. Den reglerar, tillsammans med 2 och 3 §§, de krav som ställs på Försvarsmakten i fråga om tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av personuppgifter är författningsenlig och att rättigheterna för de vars personuppgifter behandlas skyddas.

Tekniska och organisatoriska åtgärder för att skydda personupp- gifterna regleras i 4 §.

Organisatoriska åtgärder som avses i paragrafen är bl.a. att anta interna strategier för dataskydd, att informera och utbilda perso- nalen och att säkerställa en tydlig ansvarsfördelning.

Vilka åtgärder som bör vidtas får avgöras efter en bedömning i enskilda fall. Vid den bedömningen har det betydelse bl.a. vilka per- sonuppgifter som ska behandlas, mängden uppgifter och hur integ- ritetskänsliga de är. Även grunden för behandlingen och riskerna

298

SOU 2018:63

Författningskommentar

med den ska beaktas. Mer långtgående åtgärder kan behövas vid behandling som kan medföra särskilda risker för integritetsintrång eller vid omfattande behandling av en stor mängd personuppgifter.

2 §

Försvarsmakten ska säkerställa att det förs loggar över personuppgifts- behandling av gemensamt tillgängliga uppgifter. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regerings- formen meddela föreskrifter om loggar.

Paragrafen, som behandlas i avsnitt 6.6.2, reglerar Försvarsmaktens skyldighet att säkerställa att det för gemensamt tillgängliga upp- gifter, dvs. främst i automatiserade behandlingssystem, förs loggar över vissa typer av behandlingar.

Paragrafen gäller enligt 11 § även för personuppgiftsbiträden som Försvarsmakten anlitar.

En logg är en behandlingshistorik som sparas under en viss tid. Det är en teknisk funktion i systemet som ska fungera automatiskt och som inte ska gå att ändra eller påverka på annat sätt. En logg bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Syftet med loggning är dels att verka förebyggande, dels att ge den personuppgiftsansvarige möjlighet att kontrollera användningen av systemen och att upptäcka felaktig eller obehörig användning av personuppgifterna. Loggningen bör inte utformas så att den medför onödiga intrång i användarnas integritet.

Krav på loggning vid behandling av personuppgifter följer indirekt av de generella kraven på lämpliga tekniska och organisatoriska åt- gärder i både 1 och 4 §§. Förevarande paragraf utgör därmed ett mer preciserat krav på loggning i vissa typer av system.

Med automatiserade behandlingssystem avses särskilt för verk- samheten utformade eller anpassade behandlingssystem där person- uppgifter behandlas mer eller mindre strukturerat, t.ex. verksam- hetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser. Standardprogram som Word, Outlook och Excel är i detta sammanhang inte att anse som automatiserade behandlingssystem och omfattas därför inte av kravet på loggning i

299

Författningskommentar

SOU 2018:63

paragrafen. Inte heller lagringsytor som t.ex. usb-minnen och anställdas personliga mappar på den egna datorn omfattas.

Paragrafen innebär att den personuppgiftsansvarige ska säker- ställa att de automatiserade behandlingssystem som används möjlig- gör loggning i den utsträckning som krävs och att informationen faktiskt loggas. Av 1 § följer bl.a. krav på logguppföljning. Logg- uppföljning ska göras systematiskt och återkommande och vara såväl förebyggande som reaktiv. Den personuppgiftsansvarige ska se till att det finns rutiner för logguppföljning.

I paragrafen finns en upplysning om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om loggar.

3 §

Tillgången till personuppgifter ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Paragrafen, som behandlas i avsnitt 6.6.3, reglerar den interna till- gången till personuppgifter för dem som arbetar vid Försvars- makten.

Paragrafen innebär att den personuppgiftsansvarige är skyldig att se till att anställda och andra som deltar i arbetet bara ges tillgång till de personuppgifter som krävs för att de ska kunna fullgöra sina arbetsuppgifter. Inom Försvarsmakten behandlas en betydande mängd personuppgifter, ofta av integritetskänsligt slag, vilka inte bör spridas till någon som inte är behörig att ta del av uppgifterna. Kravet på behörighetsbegränsning syftar till att minska den interna expo- neringen av personuppgifterna. Hur det bör göras får bedömas med utgångspunkt i förutsättningarna och myndighetens behov. Faktorer som informationssystemens storlek och personuppgifternas natur ska beaktas.

Paragrafen reglerar inte bara Försvarsmaktens personals tillgång till personuppgifter. Vid direktåtkomst är det den mottagande myn- digheten som ansvarar för att den egna personalen inte ges tillgång till fler personuppgifter i det informationssystem som åtkomsten avser än vad arbetsuppgifterna motiverar.

300

SOU 2018:63

Författningskommentar

Säkerheten för personuppgifter

4 §

Försvarsmakten ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

I paragrafen, som behandlas i avsnitt 6.6.4, regleras Försvarsmaktens skyldighet att genom lämpliga tekniska och organisatoriska åtgärder skydda de personuppgifter som behandlas.

Paragrafen gäller enligt 11 § även för personuppgiftsbiträden som Försvarsmakten anlitar.

Enligt paragrafen ska Försvarsmakten vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Personuppgifterna ska särskilt skyddas mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsikt- lig skada. Uppräkningen illustrerar vad skyddsåtgärderna ska åstad- komma, men den är inte uttömmande.

Skydd mot obehörig eller otillåten behandling innebär att obehö- riga personer ska vägras åtkomst till utrustning som används vid behandling, att obehörig läsning, kopiering, ändring eller radering av datamedier ska förhindras, att obehörig registrering av personupp- gifter och obehörig kännedom om, ändring eller radering av lagrade personuppgifter ska förhindras och att obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med uppgifts- lämnande eller transport av databärare ska förhindras. Åtgärder ska också vidtas i syfte att säkerställa att personer som är behöriga att använda ett informationssystem endast har tillgång till person- uppgifter som omfattas av deras behörighet. Den personuppgifts- ansvarige ska också säkerställa att det kan kontrolleras och fastställas till vilka myndigheter eller andra organ personuppgifter har över- förts och för vilka myndigheter eller andra organ uppgifterna har gjorts tillgängliga och att det i efterhand kan kontrolleras och fast- ställas vilka personuppgifter som förts in i ett informationssystem, när det har gjorts och av vem.

Skydd mot förlust, förstöring eller annan oavsiktlig skada innebär bl.a. att de informationssystem som används ska kunna återställas

301

Författningskommentar

SOU 2018:63

vid störningar, att systemen ska fungera och att funktionsfel rappor- teras och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemen.

Som exempel på organisatoriska skyddsåtgärder kan nämnas fast- ställandet av en säkerhetspolicy, kontroller och uppföljning av säkerheten, utbildning i datasäkerhet och information om vikten av att följa gällande säkerhetsrutiner.

Vilken skyddsnivå som är lämplig får avgöras av Försvarsmakten från fall till fall. Bedömningen är bl.a. beroende av vilka personupp- gifter som behandlas och hur integritetskänsliga de är.

Dataskyddsombud

5 §

Försvarsmakten ska inom myndigheten utse ett eller flera dataskydds- ombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas.

Paragrafen, som behandlas i avsnitt 6.6.5, reglerar Försvarsmaktens skyldighet att utse dataskyddsombud. Dataskyddsombud definieras i 1 kap. 8 §.

I paragrafen föreskrivs att ett eller flera dataskyddsombud ska utses. Dataskyddsombudet ska vara anställd hos Försvarsmakten.

Försvarsmakten ska anmäla till tillsynsmyndigheten när data- skyddsombud utses och entledigas.

6 §

Dataskyddsombudet ska

1.självständigt kontrollera att Försvarsmakten behandlar person- uppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till Försvarsmakten och till dem som behand- lar personuppgifter under myndighetens ledning om deras skyldigheter vid behandling av personuppgifter,

3.samråda med tillsynsmyndigheten, och

302

SOU 2018:63

Författningskommentar

4.föra en förteckning över de kategorier av behandlingar som Försvars- makten ansvarar för och som är helt eller delvis automatiserade.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en för- teckning som avses i första stycket 4 ska innehålla.

Om Försvarsmakten bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och rättelse inte vidtas, ska dataskydds- ombudet anmäla det till tillsynsmyndigheten.

I paragrafen, som behandlas i avsnitt 6.6.5, anges vilka uppgifter data- skyddsombud ska utföra.

I punkten 1 föreskrivs att dataskyddsombud självständigt ska kontrollera att den personuppgiftsansvarige behandlar personupp- gifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter. Det innebär att ombudet måste förvissa sig om att den personuppgiftsansvarige följer de bestämmelser som reglerar behandlingen av personuppgifter. Hur omfattande kontrollen bör vara får avgöras efter omständigheterna.

Dataskyddsombuden bör framför allt granska den faktiska han- teringen av personuppgifter. Därutöver bör ombuden exempelvis granska rutinerna för behandling av personuppgifter, hur tillgången till personuppgifter hanteras och vilka krav på utbildning och andra kvalifikationer som den personuppgiftsansvarige ställer på personal som behandlar personuppgifter. Ombudet bör påpeka eventuella brister för den personuppgiftsansvarige så att denne blir medveten om dem och har möjlighet att vidta lämpliga åtgärder.

Kravet på självständighet innebär att dataskyddsombud ska kunna utföra sina arbetsuppgifter på ett oberoende sätt. Ombudet bör framför allt ha sådan ställning i organisationen att dess syn- punkter och råd tas på allvar. De förutsätts också ha goda kunskaper om regelverket om personuppgiftsbehandling.

I punkten 2 anges att dataskyddsombudet ska informera och ge råd till den personuppgiftsansvarige och de som behandlar person- uppgifter under dennes ledning om deras skyldigheter vid sådan behandling. Det handlar främst om att göra den personuppgifts- ansvarige och medarbetarna medvetna om vad de i olika situationer är skyldiga att göra, t.ex. att ha säkerhetsrutiner och att dokumentera personuppgiftsbehandlingen. Det innebär inte att dataskyddsombuden

303

Författningskommentar

SOU 2018:63

ska tala om för den personuppgiftsansvarige och medarbetarna hur de ska behandla personuppgifter i enskilda fall.

I punkten 3 föreskrivs att dataskyddsombudet ska samråda med tillsynsmyndigheten. Det innebär att ombuden vid tveksamheter av olika slag bör fråga tillsynsmyndigheten om råd.

I punkten 4 föreskrivs att dataskyddsombudet ska föra en för- teckning över de kategorier av behandlingar som Försvarsmakten ansvarar för och som är helt eller delvis automatiserade Vad för- teckningarna ska innehålla föreskrivs av regeringen eller den myndig- het som regeringen bestämmer, vilket framgår av paragrafens andra stycke.

Av tredje stycket framgår att dataskyddsombudet ska anmäla till tillsynsmyndigheten om Försvarsmakten bryter mot de bestämmel- ser som gäller för behandlingen av personuppgifter och rättelse inte vidtas.

Personuppgiftsbiträden

7 §

Försvarsmakten får, om det är lämpligt, anlita personuppgiftsbiträden för behandling av personuppgifter på Försvarsmaktens vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarsmakten försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av personuppgifter ska vara för- fattningsenlig och för att skydda rättigheterna för den som uppgifterna rör.

Av paragrafen framgår att personuppgiftsbiträden får anlitas om det är lämpligt och vad Försvarsmakten måste göra innan ett person- uppgiftsbiträde anlitas. Personuppgiftsbiträde definieras i 1 kap. 8 §. Paragrafen behandlas i avsnitt 6.6.6.

Försvarsmakten får anlita personuppgiftsbiträden under förut- sättning att det är lämpligt. Om det är lämpligt får avgöras med hänsyn bl.a. till vilka personuppgifter som ska behandlas. Paragrafen föreskriver att Försvarsmakten ska försäkra sig om att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att personupp- giftsbehandlingen ska vara författningsenlig och för att skydda registre- rades rättigheter. Kraven omfattar inte bara säkerhetsåtgärder, utan även andra tekniska och organisatoriska åtgärder. Skyldigheten

304

SOU 2018:63

Författningskommentar

innebär att den personuppgiftsansvarige, innan ett personuppgifts- biträde anlitas, bl.a. bör förhöra sig om hur biträdet kommer att behandla uppgifterna tekniskt, hur arbetet är organiserat och vilket skydd personuppgifterna kommer att ha.

Som framgår av 11 § gäller skyldigheten att logga behandling av personuppgifter enligt 2 § även för personuppgiftsbiträden som För- svarsmakten anlitar.

8 §

Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

Paragrafen reglerar förhållandet mellan Försvarsmakten och person- uppgiftsbiträden. Den behandlas i avsnitt 6.6.6.

Det ska finnas ett skriftligt avtal eller en annan skriftlig överens- kommelse med personuppgiftsbiträden som reglerar personuppgifts- biträdets behandling av personuppgifter för Försvarsmaktens räk- ning. Eftersom statliga myndigheter, som är enheter inom samma juridiska person, i rättslig mening inte kan ingå bindande avtal med varandra får de träffa en skriftlig överenskommelse som reglerar behandlingen om en myndighet agerar personuppgiftsbiträde åt en annan.

9 §

Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd av Försvarsmakten.

Av paragrafen, som behandlas i avsnitt 6.6.6, föreskrivs att person- uppgiftsbiträdet inte utan skriftligt tillstånd från Försvarsmakten får anlita ett annat personuppgiftsbiträde, ett s.k. underbiträde. Ett sådant tillstånd kan gälla biträdets rätt att anlita underbiträden generellt eller i en specifik situation. Syftet med bestämmelsen är att Försvars- makten ska känna till vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning.

305

Författningskommentar

SOU 2018:63

10 §

Ett personuppgiftsbiträde eller den eller de personer som arbetar under biträdets eller Försvarsmaktens ledning ska behandla personuppgifter i enlighet med instruktioner från Försvarsmakten.

Om ett personuppgiftsbiträde, i strid med Försvarsmaktens instruk- tioner, bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

Paragrafen, som behandlas i avsnitt 6.6.6, reglerar vad som gäller vid behandling av personuppgifter hos ett personuppgiftsbiträde.

Av första stycket framgår den grundläggande principen att ett personuppgiftsbiträde och den eller de personer som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Instruktionerna till biträdet bör vara så tydliga att det inte finns risk för otillåten behand- ling. Instruktionerna kan exempelvis gälla hur tillgången till per- sonuppgifter hos biträdets anställda ska begränsas, om biträdet ska använda kryptering vid kommunikation och andra åtgärder som krävs för dataskydd. Om det finns avvikande regler i annan lag- stiftning som föreskriver att personuppgiftsbiträdet är skyldig att utföra viss behandling, t.ex. att lämna ut allmänna handlingar, får behandlingen utföras utan särskilda instruktioner.

I andra stycket regleras det fallet där personuppgiftsbiträdet i strid med den personuppgiftsansvariges instruktioner bestämmer ända- målen med och medlen för behandlingen. Personuppgiftsbiträdet är då att anse som personuppgiftsansvarig för den behandlingen.

11 §

Det som sägs om Försvarsmaktens skyldigheter i 2–4 §§ gäller även för personuppgiftsbiträden som Försvarsmakten anlitar.

Paragrafen kopplar Försvarsmaktens skyldigheter i egenskap av per- sonuppgiftsansvarig till att gälla även för personuppgiftsbiträden. Vad som närmare gäller för personuppgiftsbiträdet framgår således av kommentarerna till 2–4 §§.

306

SOU 2018:63

Författningskommentar

Att personuppgiftsbiträden åläggs vissa skyldigheter fråntar inte Försvarsmakten dess ansvar. Försvarsmakten är, som framgår av kommentaren till 1 kap. 6 §, ansvarig för den behandling av person- uppgifter som personuppgiftsbiträdet utför på myndighetens vägnar.

Den omständigheten att personuppgiftsbiträden ges en direkt skyldighet att vidta vissa åtgärder innebär dock att tillsynsmyndig- heten vid brister kan vidta åtgärder mot både personuppgiftsbiträdet och Försvarsmakten.

5 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 §

Försvarsmakten ska göra följande allmänna information tillgänglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.Ändamålen med behandlingen.

4.Rätten enligt 3 § att begära att få information om behandling av personuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 6 §.

I paragrafen, som behandlas i avsnitt 6.7.1, anges vilken allmän infor- mation som Försvarsmakten på eget initiativ ska göra tillgänglig. Informationen, som riktar sig till allmänheten, kan göras tillgänglig t.ex. på myndighetens webbplats.

Enligt punkten 1 ska myndighetens identitet och kontaktupp- gifter göras tillgängliga. Med det avses uppgifter om myndighetens namn, postadress, telefonnummer och e-postadress.

Försvarsmakten är enligt 4 kap. 5 § skyldig att utse dataskydds- ombud. Enligt punkten 2 ska uppgifter om dataskyddsombudet anges. Det behöver inte vara en kontaktuppgift direkt till dataskydds- ombudet, t.ex. hans eller hennes e-postadress, utan det är tillräckligt att ombudet går att nå med hjälp av uppgifterna.

I punkten 3 föreskrivs att ändamålen med behandlingen ska framgå. Det är inte ändamålen med behandlingen av personuppgifter i enskilda

307

Författningskommentar

SOU 2018:63

fall som avses utan för vilka typer av ändamål som myndigheten behandlar personuppgifter. Det kan vara underrättelsearbete och åtgärder inom ett särskilt verksamhetsområde eller åtgärder som vidtas inom ramen för säkerhetsskyddsarbetet, exempelvis säkerhetspröv- ning och registerkontroll.

I punkterna 4 och 5 föreskrivs att Försvarsmakten ska upplysa om de rättigheter som enskilda har enligt 3 och 6 §§. Det gäller rätten att få information om behandlingen av personuppgifter och att få del av dem samt rätten att begära rättelse, radering eller begränsning av behandlingen.

Information som ska lämnas om uppgifterna samlas in från personen själv

2 §

Om uppgifter om en person samlas in från personen själv, ska Försvars- makten när personuppgifterna erhålls, självmant lämna följande informa- tion till den som uppgifterna rör:

1.uppgift om att det är Försvarsmakten som är personuppgifts- ansvarig för behandlingen,

2.uppgift om ändamålen med behandlingen, och

3.all övrig information som behövs för att den som uppgifterna rör ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Paragrafen behandlas i avsnitt 6.7.2.

Den information som Försvarsmakten självmant ska lämna en enskild då personuppgifter samlats in från den enskilde själv ska omfatta uppgifter om att det är Försvarsmakten som är ansvarig för personuppgiftsbehandlingen, ändamålen med behandlingen samt övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Denna informationsskyldighet förutsätter att personuppgifter samlas in från den som uppgifterna rör vid någon form av direktkontakt med denne.

308

SOU 2018:63

Författningskommentar

Information som ska lämnas efter begäran

3 §

Försvarsmakten är skyldig att en gång per kalenderår till den som begär det lämna skriftligt besked om personuppgifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.

1.Vilka personuppgifter om den sökande som behandlas.

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även i annat land eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 6 §.

Utlämnande enligt första stycket behöver inte omfatta personuppgifter som sökanden har tagit del av, om inte han eller hon begär det. Det ska dock framgå av informationen att personuppgifterna i fråga behandlas.

En ansökan enligt första stycket ska göras skriftligen hos Försvars- makten och vara undertecknad av den sökande själv. Information enligt första stycket ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

I paragrafen regleras enskildas rätt att en gång per kalenderår få besked om huruvida deras personuppgifter behandlas, att få del av sådana uppgifter och att få viss information om behandlingen av dem.

Paragrafen behandlas i avsnitt 6.7.2.

I första stycket anges vilken information sökanden kan få del av. I andra stycket undantas sådana personuppgifter som sökanden

har tagit del av från skyldigheten att lämna ut uppgifterna. Sökanden ska dock informeras om att personuppgifterna i fråga behandlas.

I 7 § föreskrivs att informationen ska lämnas till den uppgifterna rör avgiftsfritt en gång per år och att begäran därutöver kan avslås.

Beslut att vägra att lämna information får enligt 7 kap. 2 § över- klagas.

Av tredje stycket framgår kraven på en begäran om information.

309

Författningskommentar

SOU 2018:63

Begränsning av rätten till information

4 §

Informationsskyldigheten i 2 och 3 §§ gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut.

I paragrafen, som behandlas i avsnitt 6.7.4, görs undantag från För- svarsmaktens informationsskyldighet på grund av sekretess.

Många uppgifter som behandlas i Försvarsmaktens olika verk- samheter omfattas av utrikessekretess och försvarssekretess enligt 15 kap. 1 och 2 §§ offentlighets- och sekretesslagen (2009:400). Infor- mationsskyldigheten gäller enligt första stycket inte i den utsträck- ning sekretess hindrar att uppgifterna lämnas ut till den som upp- gifterna rör.

Enligt andra stycket är Försvarsmakten inte heller skyldig att lämna ut skälen för beslut enligt första stycket och beslut i fråga om rättelse, radering eller begränsning av behandlingen om motiver- ingen skulle riskera att skada något av de intressen som sekretessen avser att skydda.

5 §

Informationsskyldigheten i 2 och 3 §§ gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna har lämnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller histo- riska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.

310

SOU 2018:63

Författningskommentar

I paragrafen, som behandlas i avsnitt 6.7.4, föreskrivs i första stycket undantag från informationsskyldigheten i 2 och 3 §§ för person- uppgifter i viss typ av text. Undantaget gäller dock enligt andra stycket inte i vissa fall.

Den personuppgiftsansvariges skyldighet att lämna personrelate- rad information enligt 2 och 3 §§ gäller enligt första stycket inte för personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller text som utgör minnesanteckningar eller liknande. Med löpande text avses information som inte har struk- turerats så att sökning av personuppgifter underlättas. Bild- och ljudupptagningar omfattas inte av undantaget eftersom det bara gäller text. Med text som inte fått sin slutliga utformning avses koncept eller utkast till protokoll, skrivelser, beslut eller liknande. Löpande text som är avsedd att tidvis ändras eller kompletteras och därför aldrig får någon slutlig utformning omfattas inte. Det sist- nämnda kan t.ex. vara diarier, journaler, register eller förteckningar som förs löpande. Med minnesanteckning avses anteckningar som utgör hjälpmedel för handläggningen, t.ex. promemorior och andra anteckningar eller upptagningar som har skapats bara för att för- bereda ett ärende för avgörande och som inte har tillfört ärendet något i sak.

Av andra stycket framgår att undantaget från informationsskyl- digheten inte gäller under vissa förhållanden. Sökanden har då rätt att få del av personuppgifter även i ofärdig löpande text eller som utgör minnesanteckningar och liknande. Undantaget gäller inte om personuppgifterna har lämnats ut till tredje part. Tredje part definie- ras i 1 kap. 8 §. Det är den version av uppgifterna i t.ex. utkastet som lämnades till tredje part som informationsskyldigheten omfattar, även om utkastet därefter har ändrats.

Vidare gäller inte undantaget om personuppgifterna behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse. Om ett ärende har avslutats och utkastet eller minnesanteckningen har arkiverats eller om hand- lingarna endast används vid statistikproduktion eller forskning ska alltså information om behandlingen av personuppgifterna lämnas ut. Undantaget gäller inte heller för löpande text som inte fått sin slut- liga utformning, om personuppgifterna har behandlats under längre tid än ett år.

311

Författningskommentar

SOU 2018:63

Det är tidpunkten för begäran som är avgörande för bedöm- ningen av om något av undantagen gäller. Både ettårsfristen och frågan om uppgifterna har lämnats ut till tredje part eller behandlas för vetenskapliga, statistiska eller historiska ändamål eller arkivända- mål av allmänt intresse ska bedömas i förhållande till när begäran om information gjordes.

Rätten till rättelse, radering och begränsning av behandlingen

6 §

Försvarsmakten ska på begäran av den som personuppgiften rör snarast rätta, radera eller begränsa sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Någon underrättelse behöver dock inte lämnas, om sekretess hindrar det eller detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Paragrafen reglerar enskildas rätt att begära rättelse, radering eller begränsning av personuppgifter som inte har behandlats i enlighet med denna lag. Paragrafen behandlas i avsnitt 6.7.5.

Försvarsmakten ska enligt första stycket på begäran av den som personuppgiften rör snarast rätta, radera eller begränsa sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen. Begäran kan framställas formlöst.

Den personuppgiftsansvarige är såsom framgår av paragrafens andra stycke skyldig att underrätta tredje part om en korrigering, om den uppgiften rör begär det eller det kan antas att en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Gäller det däremot en mera harmlös uppgift bör det som regel krävas någon särskild omständighet för att man ska kunna anta att en underrättelse skulle kunna undvika sådan skada eller

312

SOU 2018:63

Författningskommentar

olägenhet som avses. Det måste vidare kunna antas att underrät- telsen medför att skadan eller olägenheten kan undvikas. Detta är inte fallet när det är känt att aktuella tredje män redan har korrigerat uppgiften.

Enligt tredje stycket behöver inte någon underrättelse lämnas, om sekretess hindrar det eller detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Vad som gäller vid sekretess framgår av 4 §. Vad som är att betrakta som en oproportionerligt stor arbetsinsats får bedömas från fall till fall och vid eventuell granskning eller överprövning.

Beslut i fråga om rättelse eller radering av personuppgifter eller begränsning av behandlingen får enligt 7 kap. 2 § överklagas.

Avgiftsfri information

7 §

Information enligt 1 och 2 §§ ska lämnas utan avgift.

Information och uppgifter enligt 3 § ska lämnas utan avgift en gång per kalenderår. Om någon begär information och uppgifter enligt 3 § oftare än en gång per kalenderår, får Försvarsmakten avslå begäran.

Paragrafen behandlas i avsnitt 6.7.6.

Enligt första stycket ska information enligt 1 och 2 §§ lämnas utan att myndigheten har rätt att ta ut någon avgift.

Försvarsmakten är även enligt 3 § skyldig att till var och som ansöker om det, en gång per kalenderår gratis lämna besked om huruvida personuppgifter som rör den sökande behandlas eller inte.

Enligt andra stycket i förevarande paragraf anges att rätten gäller en begäran per kalenderår och att Försvarsmakten har rätt att avslå ytterligare begäran inom samma kalenderår. Försvarsmaktens pröv- ning i en sådan situation begränsas till att kontrollera huruvida per- sonen har begärt uppgifter tidigare under året och att i sådant fall meddela ett avslagsbeslut.

313

Författningskommentar

SOU 2018:63

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 §

Den myndighet som regeringen bestämmer ska utöva allmän tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge råd och stöd till Försvarsmakten om myndighetens skyldigheter enligt lag eller annan författning eller när det i övrigt är påkallat.

I paragrafen, som behandlas i avsnitt 6.8.1, anges vilka tillsynsupp- gifter som tillsynsmyndigheten har.

Enligt första stycket ska tillsynsmyndigheten utöva allmän tillsyn över Försvarsmaktens behandling av personuppgifter enligt denna lag. Tillsynsmyndigheten avgör om och i vilken utsträckning tillsyn ska utövas och hur den ska genomföras. Myndigheten ska agera helt oberoende vid denna bedömning. Det innebär att ingen kan kräva att myndigheten ska utöva tillsyn. Det finns inte heller några formella krav på hur tillsynen ska utövas, med undantag från vissa bestämmelser i denna lag och i föreskrifter som beslutas i anslutning till den.

Enligt andra stycket ska tillsynsmyndigheten ge råd och stöd till Försvarsmakten. Med råd avses både muntliga och skriftliga råd. Det kan vara fråga om allmänna råd eller rådgivning i ett enskilt fall. Myndigheten ska ge råd och stöd bara när den anser att det är påkallat. Rådgivningen och stödet ska avse personuppgiftsansvarigas och per- sonuppgiftsbiträdens skyldigheter. Paragrafen ger således ingen rätt för personuppgiftsansvariga eller personuppgiftsbiträden att avkräva tillsynsmyndigheten råd i en konkret fråga.

Befogenheter

Utredningsbefogenheter

2 §

Tillsynsmyndigheten har rätt att av Försvarsmakten eller ett person- uppgiftsbiträde på begäran få

1. tillgång till personuppgifter som behandlas,

314

SOU 2018:63

Författningskommentar

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behand- ling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

I paragrafen, som behandlas i avsnitt 6.8.1, regleras tillsynsmyndig- hetens undersökningsbefogenheter.

Enligt punkten 1 har tillsynsmyndigheten rätt att för sin tillsyn från personuppgiftsansvariga och personuppgiftsbiträden få tillgång till alla personuppgifter som behandlas. Det innebär att Försvars- makten eller personuppgiftsbiträdet ska lämna de begärda upp- gifterna även om det kräver viss efterforskning. Att tillsynsmyndig- heten har rätt få del av annan information framgår av punkterna 2 och 4 och rätten att få hjälp med de sökningar i behandlingssystem som myndigheten begär regleras i punkten 4.

Punkten 2 ger tillsynsmyndigheten rätt till upplysningar och dokumentation som rör behandling av personuppgifter och vilka åtgärder som har vidtagits för att säkerställa skyddet för personupp- gifterna och registrerades personliga integritet. Dokumentationen kan avse exempelvis de register eller loggar som Försvarsmakten och personuppgiftsbiträden ska föra. Det kan också vara fråga om upp- lysningar om och dokumentation av vilka organisatoriska och tek- niska åtgärder som vidtogs i samband med att en viss typ av behand- ling påbörjades. Det kan också röra sig om åtgärder för att garantera säkerheten, begränsa den interna tillgången till uppgifter eller för- hindra otillåten behandling och åtgärder för intern kontroll. Infor- mationen kan avse exempelvis ändamålen med behandlingen eller loggar och förteckningar över pågående behandlingar

I punkten 3 regleras tillsynsmyndighetens rätt att få tillträde till lokaler som den personuppgiftsansvarige eller personuppgiftsbiträdet disponerar och tillgång till utrustning och andra medel som används för behandlingen. Rätten till tillträde ger inte myndigheten rätt att bereda sig tillträde med tvång. Om Försvarsmakten eller personupp- giftsbiträdet inte samarbetar kan tillsynsmyndigheten utnyttja sina korrigerande befogenheter enligt 4 §. Tillsynsmyndigheten har också rätt att få tillgång till den utrustning som tillsynsobjektet disponerar

315

Författningskommentar

SOU 2018:63

för att, med hjälp av tillsynsobjektets personal, kunna göra nödvän- diga körningar och kontroller. Punkten ger således inte tillsyns- myndigheten någon rätt att fritt använda tillsynsobjektets utrust- ning och datasystem.

Punkten 4 klargör att tillsynsmyndigheten har rätt att få hjälp med de sökningar och andra åtgärder som den begär och annan nödvändig hjälp för att genomföra tillsynen. Paragrafen ger även tillsynsmyndigheten rätt till information som inte har direkt anknyt- ning till behandlingen av personuppgifter men som myndigheten behöver för tillsynen. Informationen kan avse t.ex. verksamhets- planer som beskriver den verksamhet där behandlingen utförs.

Förebyggande befogenheter

3 §

Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författ- ning, ska myndigheten genom råd, rekommendationer eller påpekan- den försöka förmå Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

Paragrafen reglerar tillsynsmyndighetens befogenheter i det före- byggande arbetet. De åtgärder som regleras i paragrafen är inte av tvingande karaktär. De syftar till att förebygga att framtida behand- ling av personuppgifter står i strid med de bestämmelser som gäller för behandlingen. Paragrafen behandlas i avsnitt 6.8.1.

Av första stycket framgår att tillsynsmyndigheten, om det finns risk för att personuppgifter kan komma att behandlas i strid med lag eller annan författning, ska försöka förmå Försvarsmakten eller personuppgiftsbiträdet att minska risken genom råd, rekommenda- tioner och påpekanden. Rådgivning kan avse såväl formella som infor- mella samråd.

Av 4 § första stycket 1 framgår att de befogenheter som räknas upp i detta stycke även i vissa fall får användas i korrigerande syfte.

316

SOU 2018:63

Författningskommentar

Enligt andra stycket får tillsynsmyndigheten skriftligen varna för att viss behandling riskerar att strida mot meddelade föreskrifter. En varning är en mer ingripande åtgärd än åtgärderna i första stycket. Varning kan användas för att visa hur allvarligt tillsynsmyndigheten ser på den planerade behandlingen. Tillsynsmyndigheten behöver inte ha uttömt andra förebyggande åtgärder innan den utfärdar en varning. En varning ska vara skriftlig. Av den ska framgå varför till- synsmyndigheten bedömt att behandlingen inte kommer att vara författningsenlig. Åtgärden är inte tvingande, men den som får en varning förväntas rätta sig efter den.

Korrigerande befogenheter

4 §

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarsmakten eller ett personuppgiftsbiträde annars inte fullgör sina skyldigheter, får tillsyns- myndigheten

1.genom sådana åtgärder som anges i 3 § första stycket försöka förmå Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldig- heter, eller

2.förelägga Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att fullgöra andra skyldigheter.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomföras och, om det är lämpligt, vilka åtgärder som ska vidtas.

I paragrafen regleras tillsynsmyndighetens korrigerande befogen- heter. Paragrafen, behandlas i avsnitt 6.8.1.

Tillsynsmyndigheten har möjlighet att successivt använda olika medel och därigenom stegra påtryckningarna på den som inte själv- mant rättar sig.

De korrigerande befogenheterna får användas om tillsynsmyn- digheten konstaterar att Försvarsmakten eller ett personuppgifts- biträde behandlar personuppgifter i strid med lag eller annan författ- ning eller annars inte fullgör sina skyldigheter. De skyldigheter som

317

Författningskommentar

SOU 2018:63

avses är framför allt skyldigheterna i 4 kap. Försvarsmakten har emellertid också skyldigheter enligt 2 och 5 kap. och skyldighet att bistå tillsynsmyndigheten enligt 2 §. Även underlåtenhet att fullgöra sådana skyldigheter med anledning av denna lag omfattas.

Enligt första stycket punkten 1 får tillsynsmyndigheten använda de förebyggande befogenheter som regleras i 3 § första stycket för att försöka förmå den Försvarsmakten eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att uppfylla andra skyldigheter.

Enligt punkten 2 får tillsynsmyndigheten förelägga Försvars- makten eller personuppgiftsbiträdet att vidta åtgärder för att viss behandling av personuppgifter ska bli författningsenlig eller för att de ska uppfylla andra skyldigheter.

I andra stycket föreskrivs att det av ett föreläggande alltid ska framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas. Om föreläggandet avser rättelse, radering eller begränsning av behandlingen bör det framgå av före- läggandet vad som ska göras. Tillsynsmyndigheten får emellertid över- låta åt Försvarsmakten eller personuppgiftsbiträdet att avgöra vilka åtgärder som ska vidtas för att behandlingen ska bli författningsenlig eller hur andra skyldigheter ska fullgöras.

7 kap. Skadestånd och överklagande

Skadestånd

1 §

Den personuppgiftsansvarige ska ersätta den som personuppgiften rör för skada och kränkning av den personliga integriteten som orsakats av behandling av personuppgifter i strid med denna lag, eller föreskrifter som har meddelats i anslutning till den.

Ersättningsskyldigheten kan i den utsträckning det är skäligt, jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne.

I paragrafen regleras den registrerades rätt till skadestånd för behand- ling av personuppgifter i strid med regelverket. Paragrafen behandlas i avsnitt 6.9.1.

318

SOU 2018:63

Författningskommentar

Rätt till skadestånd kan uppkomma på grund av behandling i strid med bestämmelser i denna lag eller föreskrifter som meddelats i anslutning till lagen. För att den personuppgiftsansvarige ska bli ersättningsskyldig måste den som personuppgifterna rör bevisa att behandling av dennes personuppgifter stått i strid med reglerna om personuppgiftsbehandling och att den har skadat eller kränkt honom eller henne.

Den registrerades rätt till skadestånd omfattar ersättning för kränkning av den personliga integriteten och för annan skada. Med skada avses personskada, sakskada eller ren förmögenhetsskada.

Det är bara sådan kränkning eller skada som behandlingen av personuppgifter har vållat som ersätts.

Ersättningen för kränkning får uppskattas efter skälighet mot bak- grund av samtliga omständigheter i det enskilda fallet. Sådana fak- torer som att det funnits risk för otillbörlig spridning av känsliga eller felaktiga personuppgifter eller att den som uppgifterna rör genom behandlingen av uppgifterna drabbats av beslut eller åtgärder som kunnat få negativa följder hör till det som bör beaktas.

Överklagande

2 §

Försvarsmaktens beslut om information som ska lämnas enligt 5 kap. 2 och 3 §§ och om rättelse och underrättelse till tredje part enligt 5 kap. 6 § får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

I paragrafen, som behandlas i avsnitt 6.9.2, anges i vilken utsträck- ning beslut som Försvarsmakten har fattat i egenskap av person- uppgiftsansvarig får överklagas.

Vilka typer av beslut som får överklagas räknas upp i första stycket. Uppräkningen är uttömmande.

Besluten ska överklagas till allmän förvaltningsdomstol. Vilken förvaltningsdomstol som är behörig framgår av 14 § förordningen (1977:937) om allmänna förvaltningsdomstolars behörighet m.m. För prövning i kammarrätten krävs det enligt andra stycket prövnings- tillstånd.

319

Författningskommentar

SOU 2018:63

3 §

Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrätt.

Paragrafen upplyser om att beslut i frågor om sekretess överklagas direkt till kammarrätt som första överprövningsinstans.

8.2Förslaget till lag om behandling av personuppgifter vid Försvarets radioanstalt

1 kap. Allmänna bestämmelser

Syftet med lagen

1 §

Syftet med denna lag är att säkerställa att Försvarets radioanstalt kan behandla personuppgifter på ett ändamålsenligt sätt och att skydda fysiska personers grundläggande fri- och rättigheter i samband med sådan behandling.

Bestämmelsen motsvarar 1 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Lagens tillämpningsområde

2 §

Denna lag gäller vid behandling av personuppgifter i Försvarets radio- anstalts försvarsunderrättelse- och utvecklingsverksamhet samt informa- tionssäkerhetsverksamhet.

Paragrafen reglerar, tillsammans med 3 §, lagens tillämpningsområde. Den behandlas i avsnitt 6.2.3.

I paragrafen anges att lagen gäller vid Försvarets radioanstalts för- svarsunderrättelse- och utvecklingsverksamhet samt informations- säkerhetsverksamhet.

320

SOU 2018:63

Författningskommentar

Vad som är en personuppgift och behandling av personuppgifter definieras i 8 §.

Omfattningen av Försvarets radioanstalts uppgifter, som framgår av 1–4 §§ förordningen (2007:937) med instruktion för Försvarets radioanstalt, utvecklas närmare i avsnitt 3.2 och 6.2.3.

3 §

Bestämmelsen motsvarar 1 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

4 §

Vid behandling av personuppgifter enligt denna lag gäller inte lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning.

Paragrafen behandlas i avsnitt 6.2.4. Den upplyser om att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning inte gäller när personuppgifter behandlas enligt lagen om behandling av personuppgifter vid Försvarets radioanstalt.

Förhållandet till annan reglering

5 §

Bestämmelserna i denna lag ska inte tillämpas i den utsträckning det skulle inskränka skyldigheten enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.

321

Författningskommentar

SOU 2018:63

Bestämmelsen motsvarar 1 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Personuppgiftsansvar

6 §

Försvarets radioanstalt är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret omfattar all behandling av personuppgifter som utförs under myndighetens ledning eller på dess vägnar.

Bestämmelsen motsvarar 1 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

7 §

Försvarets radioanstalt får vara gemensamt personuppgiftsansvarig med annan endast i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Bestämmelsen motsvarar 1 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Definitioner

8 §

I paragrafen, som behandlas i avsnitt 6.2.9, definieras vissa uttryck som används i lagen.

Bestämmelsen motsvarar 1 kap. 8 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

322

SOU 2018:63

Författningskommentar

2 kap. Behandling av personuppgifter

Rättsliga grunder

Försvarsunderrättelseverksamhet

1 §

Personuppgifter får behandlas i Försvarets radioanstalts försvarsunder- rättelseverksamhet om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet.

Paragrafen behandlas i avsnitt 6.3.6.

Paragrafen anger de ändamål för vilka personuppgifter får an- vändas i försvarsunderrättelseverksamheten genom en hänvisning till lagen (2000:130) om försvarsunderrättelseverksamhet och lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet.

Enligt 1 § lagen om försvarsunderrättelseverksamhet ska för- svarsunderrättelseverksamhet bedrivas till stöd för svensk utrikes-, säkerhets- och försvarspolitik samt i övrigt för kartläggning av yttre hot mot landet. Det anges vidare att i verksamheten ingår att med- verka i svenskt deltagande i internationellt säkerhetssamarbete och att försvarsunderrättelseverksamheten endast får avse utländska för- hållanden.

Försvarets radioanstalt ska enligt 2 § förordningen (2008:923) om signalspaning i försvarsunderrättelsetjänst bedriva den verksam- het som avses i 1 § lagen om signalspaning i försvarsunderrättelse- verksamhet. Enligt andra stycket i den paragrafen får signalspaning i försvarsunderrättelseverksamhet ske endast i syfte att kartlägga

1.yttre militära hot mot landet,

2.förutsättningar för svenskt deltagande i fredsfrämjande och humanitära insatser eller hot mot säkerheten för svenska intressen vid genomförandet av sådana insatser,

3.strategiska förhållanden avseende internationell terrorism och annan grov gränsöverskridande brottslighet som kan hota väsentliga nationella intressen,

4.utveckling och spridning av massförstörelsevapen, krigsmateriel och produkter som avses i lagen (2000:1064) om kontroll av pro- dukter med dubbla användningsområden och av tekniskt bistånd,

5.allvarliga yttre hot mot samhällets infrastruktur,

323

Författningskommentar

SOU 2018:63

6.konflikter utomlands med konsekvenser för internationell säkerhet,

7.främmande underrättelseverksamhet mot svenska intressen, eller

8.främmande makts agerande eller avsikter av väsentlig betydelse för svensk utrikes-, säkerhets- och försvarspolitik.

Regeringen bestämmer försvarsunderrättelseverksamhetens inrikt- ning.

I underrättelseverksamhetens natur ligger att det inte går att på förhand göra tydliga avgränsningar av vilka uppgifter som måste inhäm- tas för att nå det slutliga målet att åstadkomma de underrättelser som uppdragsgivarna efterfrågar. Inhämtad information kan motivera inhämtning av annan information som man från början inte kände till. Det kan också uppkomma behov av att värdera trovärdigheten hos källor, som man heller inte kände till från början. Verksamheten kan också gå ut på att leta efter företeelser och hot som är okända men som antas existera.

2 §

De personuppgifter som Försvarets radioanstalt har fått tillgång till i myndighetens försvarsunderrättelseverksamhet får fortsatt behandlas i den verksamheten, om det behövs för att fullgöra den.

Vad som sägs i första stycket gäller endast om inget annat följer av denna lag eller förordning som regeringen har meddelat i anslutning till lagen.

Paragrafen behandlas i avsnitt 6.3.6.

Av paragrafens första stycke framgår att de personuppgifter som Försvarets radioanstalt har fått tillgång till i myndighetens försvars- underrättelseverksamhet som huvudregel får fortsatt behandlas i den verksamheten om det behövs för att fullgöra den. Detta möjliggör för Försvarets radioanstalt att i sin försvarsunderrättelseverksamhet behandla äldre information, inklusive personuppgifter, för att förstå

324

SOU 2018:63

Författningskommentar

och bedöma den underrättelsemässiga relevansen av den information som inhämtas.

En förutsättning för behandlingen enligt bestämmelsen är att den inte strider mot någon annan bestämmelse i lagen eller tillhörande förordning. Detta tydliggörs i andra stycket.

3 §

Personuppgifter som behandlas med stöd av 1 och 2 §§ får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos berörda myndigheter som avses i 2 § första stycket lagen (2000:130) om försvarsunderrättelseverksamhet,

2.med anledning av samarbete med andra länder och internatio- nella organisationer enligt lagen (2000:130) om försvarsunderrättelse- verksamhet och lagen (2008:717) om signalspaning i försvarsunder- rättelseverksamhet,

3.i utvecklingsverksamheten för de ändamål som anges i 4 §,

4.i informationssäkerhetsverksamheten för de ändamål som anges i 6 §, eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Paragrafen behandlas i avsnitt 6.3.6.

Paragrafen ger uttryckligt rättsligt stöd för vidarebehandling av inhämtad information på fem särskilt angivna områden. Behandling av personuppgifter på dessa områden har således genom denna bestämmelse uttryckligt rättsligt stöd (preciserad finalitet) utöver vad som framgår av den allmänt formulerade bestämmelsen i 2 kap. 11 § andra stycket (finalitetsprincipen).

Utvecklingsverksamhet

4 §

Om det är nödvändigt för försvarsunderrättelseverksamheten får För- svarets radioanstalt behandla personuppgifter för att

1.följa förändringar i signalmiljön i omvärlden, den tekniska utveck- lingen och signalskyddet, och

325

Författningskommentar

SOU 2018:63

2.fortlöpande utveckla den teknik och metodik som behövs för att bedriva verksamheten.

Paragrafen behandlas i avsnitt 6.3.7.

Paragrafen anger de ändamål för vilka personuppgifter får behandlas hos Försvarets radioanstalt i sådan utvecklingsverksamhet som bedrivs i syfte att skapa förutsättningar för försvarsunderrättelseverksamhe- ten. Motsvarande ändamål finns i 2 § tredje stycket lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet.

5 §

Personuppgifter som behandlas med stöd av 4 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.med anledning av samverkan med annan avseende utvecklings- verksamhet,

2.med anledning av samarbete om utvecklingsverksamhet med andra länder eller internationella organisationer enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet,

3.i försvarsunderrättelseverksamheten för de ändamål som anges i

1och 2 §§,

4.i informationssäkerhetsverksamhet för de ändamål som anges i

6§, eller

5.för att biträda andra myndigheter i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det.

Bestämmelsen behandlas i avsnitt 6.3.7.

På samma sätt som 2 kap. 3 § innebär rättsligt stöd för vidare- behandling av uppgifter inom försvarsunderrättelseverksamheten, innebär denna bestämmelse rättsligt stöd för vidarebehandling av upp- gifter inom utvecklingsverksamheten på fem särskilt angivna områ- den (preciserad finalitet). Paragrafen ger således stöd för behandling utöver den allmänt formulerade bestämmelsen i 2 kap. 11 andra stycket (finalitetsprincipen).

326

SOU 2018:63

Författningskommentar

Informationssäkerhetsverksamhet

6 §

Personuppgifter får behandlas i Försvarets radioanstalts informations- säkerhetsverksamhet om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Uppgiften att lämna stöd till andra verksamheter ska följa av lag eller förordning eller regeringsbeslut i ett enskilt fall.

Paragrafen behandlas i avsnitt 6.3.8.

Paragrafen utgör rättslig grund för behandling av personupp- gifter i Försvarets radioanstalts informationssäkerhetsverksamhet. Behandling får ske om det är nödvändigt för att kunna skydda den egna myndigheten eller för att kunna stödja andra verksamheter som är av betydelse för Sveriges säkerhet. Försvarets radioanstalts upp- drag att vara statens resurs för teknisk informationssäkerhet och stöd för myndigheter och statligt ägda bolag på informationssäker- hetsområdet och ha hög kompetens framgår av 4 § förordningen med instruktion för Försvarets radioanstalt. Verksamheten bedrivs bl.a. med stöd av det tekniska detekterings- och varningssystemet (TDV) som beskrivs i avsnitt 3.3.6.

7 §

Personuppgifter som behandlas med stöd av 6 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs

1.i verksamhet hos den som tar emot uppgifter om informations- säkerhet,

2.med anledning av samverkan med andra som verkar på infor- mationssäkerhetsområdet såväl inom som utom landet i den utsträck- ning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det,

3.i försvarsunderrättelseverksamheten för de ändamål som anges i 1 § andra stycket 5 och 7 lagen (2008:717) om signalspaning i försvars- underrättelseverksamhet, eller

4.i utvecklingsverksamheten för de ändamål som anges i 4 §.

327

Författningskommentar

SOU 2018:63

Paragrafen behandlas i avsnitt 6.3.8.

På samma sätt som 2 kap. 3 § innebär rättsligt stöd för vidare- behandling av uppgifter inom försvarsunderrättelseverksamheten och 2 kap. 5 § inom utvecklingsverksamheten, innebär denna bestäm- melse rättsligt stöd för vidarebehandling av uppgifter inom informa- tionssäkerhetsverksamheten på fyra särskilt angivna områden (precise- rad finalitet). Paragrafen ger således stöd för behandling utöver den allmänt formulerade bestämmelsen i 2 kap. 11 andra stycket (finalitets- principen).

Övriga rättsliga grunder

8 §

Personuppgifter som utgör allmänt tillgänglig information får behand- las av Försvarets radioanstalt om det är nödvändigt för de ändamål som anges i 1, 2, 4 och 6 §§.

Bestämmelsen behandlas i avsnitt 6.3.9.

För att kunna bedriva en effektiv försvarsunderrättelseverksam- het behöver Försvarets radioanstalt, utöver den information som den inhämtar genom signalspaning, också ha god tillgång till allmänt tillgänglig information. Därigenom kan den på hemligt sätt inhäm- tade informationen på ett bättre sätt än annars sättas in i sitt rätta sammanhang. Av intresse här är information som utgörs av person- uppgifter som kan påträffas vid sökning på internet eller vid sök- ningar i öppna databaser. Uppgifterna kan vara gratis eller tillgäng- liga på kommersiell grund. Gemensamt för dem är att de är publikt tillgängliga. Det kan röra sig om uppgifter som t.ex. en abonnent på ett eller annat sätt har samtyckt att uppgifterna finns med i elek- troniska telefonkataloger eller förteckningar över ip-adresser i olika länder. I stället för att myndigheten exponerar sig kan databaserna anskaffas och läggas upp som referensdatabaser hos myndigheten där den kan göra sökningar.

328

SOU 2018:63

Författningskommentar

9 §

Försvarets radioanstalt får behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål inom denna lags tillämpningsområde.

Bestämmelsen behandlas i avsnitt 6.3.10.

Genom bestämmelsen ges Försvarets radioanstalt möjlighet att behandla personuppgifter för historiska, statistiska eller vetenskap- liga ändamål.

10 §

Försvarets radioanstalt får behandla personuppgifter för att kunna till- godose enskildas behov av information enligt 5 kap. och kunna lämna information vid tillsyn eller kontroll.

Bestämmelsen behandlas i avsnitt 6.3.11.

Sökningar i uppgiftssamlingar och sammanställningar av upp- gifter som är nödvändig för att Försvarets radioanstalt ska kunna tillmötesgå tillsynsmyndighetens och kontrollmyndighetens behov innebär att personuppgifter behandlas. Bestämmelsen utgör rättslig grund för denna personuppgiftsbehandling samt för den personupp- giftsbehandling som krävs för att tillmötesgå enskildas rätt till informa- tion enligt 5 kap. Enskildas rättigheter behandlas vidare i avsnitt 6.7.3. Tillsynsmyndighetens verksamhet behandlas i avsnitt 6.8.

Grundläggande krav

Ändamål

11 §

Personuppgifter får bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål.

Personuppgifter får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket personuppgifterna ursprungligen behandlades.

Bestämmelsen behandlas i avsnitt 6.4.1.

329

Författningskommentar

SOU 2018:63

Paragrafen sätter, tillsammans med bestämmelserna i 12 och

13 §§, vissa ramar för Försvarets radioanstalts personuppgiftsbehand- ling inom lagens verksamhetsområden.

Bestämmelsen motsvarar 2 kap. 12 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

Författningsenlig och korrekt behandling

12 §

Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt.

Bestämmelsen motsvarar 2 kap. 13 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

Personuppgifternas kvalitet

13 §

Personuppgifter som behandlas ska vara adekvata och relevanta i för- hållande till ändamålen med behandlingen och, om det är nödvändigt, uppdaterade.

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Bestämmelsen motsvarar 2 kap. 14 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

330

SOU 2018:63

Författningskommentar

Känsliga personuppgifter

14 §

När uppgifter om en person behandlas får de dock kompletteras med sådana uppgifter som avses i första stycket, om det är absolut nödvändigt för syftet med behandlingen.

Bestämmelsen motsvarar 2 kap. 15 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

15§

Biometriska uppgifter får behandlas endast om det är absolut nödvändigt för ändamålet för behandlingen. Genetiska uppgifter får inte behandlas.

Bestämmelsen motsvarar 2 kap. 16 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

16 §

Vid sökning får personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning användas som sökbegrepp om det är absolut nödvändigt för syftet med behandlingen. Detsamma gäller biometriska uppgifter.

Bestämmelsen motsvarar 2 kap. 17 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

331

Författningskommentar

SOU 2018:63

Om den som uppgifterna rör har offentliggjort uppgifterna

17 §

Utan hinder av vad som föreskrivs i 14 och 15 §§ får personuppgifter behandlas, om den som personuppgifterna rör på ett tydligt sätt offent- liggjort uppgifterna.

Första stycket gäller inte genetiska uppgifter.

Bestämmelsen motsvarar 2 kap. 19 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

Behandling av personuppgifter i vissa fall

18 §

Hantering av information som innebär behandling av personuppgifter ska inte anses oförenlig med bestämmelserna i 1, 4, 6, 8 och 11–15 §§ i det skede av behandlingen då det inte har kunnat fastställas vilka per- sonuppgifter som informationen innehåller.

Bestämmelsen motsvarar 2 kap. 20 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

Längsta tid som personuppgifter får behandlas

19 §

Personuppgifter som behandlas automatiserat får inte behandlas under längre tid än vad som behövs för något eller några av de ändamål som anges i 1–10 §§.

332

SOU 2018:63

Författningskommentar

Bestämmelsen motsvarar 2 kap. 21 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Utlämnande av personuppgifter

20 §

Personuppgifter som behandlas med stöd av denna lag får föras över till en utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informationssäkerhetsområdet eller en internationell organisation endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internatio- nellt försvarsunderrättelse- och säkerhetssamarbete.

Enligt paragrafen, som behandlas i avsnitt 6.4.8, får personuppgifter föras över till en utländsk underrättelse- eller säkerhetstjänst, en utländsk organisation inom informationssäkerhetsområdet eller en internationell organisation endast om sekretess inte hindrar det och det är nödvändigt för att Försvarets radioanstalt ska kunna fullgöra sina uppgifter inom ramen för internationellt försvarsunderrättelse- och säkerhetssamarbete.

Paragrafen är ägnad att uppfylla de krav på nationell lagstiftning som dataskyddskonventionen ställer när det gäller överföring av per- sonuppgifter till andra länder. Huruvida ett utlämnande ska ske eller inte måste i sin helhet avgöras efter en sekretessprövning och för- svars- och säkerhetspolitiska överväganden.

333

Författningskommentar

SOU 2018:63

21 §

Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direkt- åtkomst om regeringen har meddelat föreskrifter eller särskilt beslutat om det.

Elektroniskt utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som anges i 3 kap. 2–6 §§.

Paragrafen behandlas i avsnitt 6.4.8.

Enligt första stycket får personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om regeringen har meddelat föreskrifter eller särskilt beslutat om det.

3 kap. Gemensamt tillgängliga uppgifter

Personuppgifter som får göras gemensamt tillgängliga

1 §

Personuppgifter får göras gemensamt tillgängliga och behandlas i upp- giftssamlingar om det behövs för något av de ändamål som anges i 2 kap. 1–10 §§. Personuppgifter som endast ett fåtal personer har till- gång till anses inte som gemensamt tillgängliga.

I paragrafen, behandlas i avsnitt 6.5.1, anges i första stycket genom en hänvisning till lagens syften vilka personuppgifter som får göras gemensamt tillgängliga och behandlas i uppgiftssamlingar. Genom hänvisningen omfattas även informationssäkerhetsverksamheten.

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga är att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Upp- gifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Vad som utgör en uppgiftssam- ling definieras i 1 kap. 8 §.

Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter eller besluta i enskilda

334

SOU 2018:63

Författningskommentar

fall vilka uppgiftssamlingar som får finnas och vilka uppgifter som får behandlas i respektive uppgiftssamling.

I förslaget till förordning finns i 3 kap. 1–7 §§ bestämmelser om uppgiftssamlingar för råmaterial, analyser, underrättelser, informa- tion om signalmiljön, företeelser mot vilka signalspaningen inriktas, information om teknik- och metodutveckling och signalskydd.

Direktåtkomst

Försvarsunderrättelseverksamhet

2 §

Trots sekretess enligt 38 kap. 4 § offentlighets- och sekretesslagen (2009:400) får Säkerhetspolisen och Försvarsmakten medges direktåtkomst till per- sonuppgifter som utgör analysresultat inom försvarsunderrättelseverk- samheten och som finns i uppgiftssamlingar.

Paragrafen, som behandlas i avsnitt 6.5.3, motsvarar 3 kap. 2 § i för- slaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Direktåtkomst enligt bestämmelsen är begränsad till person- uppgifter som utgör analysresultat inom försvarsunderrättelseverk- samheten och som finns i uppgiftssamlingar.

3 §

Om det behövs för samarbetet mot terrorism eller för annat inter- nationellt säkerhetssamarbete får, i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utländsk underrättelse- eller säkerhetstjänst medges direktåtkomst till personuppgifter som behandlas med stöd av 2 kap. 1 § och som finns i uppgiftssamlingar.

Paragrafen motsvarar 3 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

335

Författningskommentar

SOU 2018:63

Informationssäkerhetsverksamhet

4 §

Om det behövs för samarbetet mot it-relaterade hot mot samhällsviktiga system får, i den utsträckning det följer av lag eller förordning eller om regeringen i ett enskilt fall beslutar om det, en utländsk organisation inom informationssäkerhetsområdet medges direktåtkomst till person- uppgifter som behandlas med stöd av 2 kap. 6 § och som finns i upp- giftssamlingar.

Paragrafen behandlas i avsnitt 6.5.3.

Direktåtkomst för de områden som omfattas av bestämmelsen är begränsad till personuppgifter som behandlas inom Försvarets radio- anstalts informationssäkerhetsverksamhet och som finns i uppgifts- samlingar.

Direktåtkomst i andra fall

5 §

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela före- skrifter eller särskilt beslut om vilka som i andra fall än i 2–4 §§ får ha direktåtkomst till uppgiftssamlingar.

Paragrafen, som behandlas i avsnitt 6.5.3, är en upplysningsföre- skrift om att regeringen kan meddela föreskrifter eller i ett enskilt fall besluta att direktåtkomst får medges i andra fall än de som anges i 2–4 §§.

Övriga bestämmelser

6 §

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela

1.ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten, och

2.föreskrifter om behörighet och säkerhet vid sådan åtkomst.

336

SOU 2018:63

Författningskommentar

Paragrafen, som behandlas i avsnitt 6.5.3, är en upplysningsföreskrift om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela ytterligare föreskrifter eller beslut i enskilda fall om omfattningen av direktåtkomsten, och föreskrifter om behörighet och säkerhet vid sådan åtkomst.

4 kap. Skyldighet som personuppgiftsansvarig

Åtgärder för att säkerställa författningsenlig behandling

1 §

Försvarets radioanstalt ska, genom lämpliga tekniska och organisato- riska åtgärder, säkerställa att behandlingen av personuppgifter är för- fattningsenlig och skydda rättigheterna för dem som uppgifterna rör.

Bestämmelsen motsvarar 4 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

2 §

Försvarets radioanstalt ska säkerställa att det i uppgiftsamlingar förs loggar över personuppgiftsbehandling. Regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter om loggar.

Bestämmelsen motsvarar 4 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten, med den skillnaden att bestämmelsen för Försvarets radioanstalt avser uppgiftssamlingar. För en kommentar hänvisas till bestämmelsen i lag om behandling av personuppgifter vid Försvarsmakten.

337

Författningskommentar

SOU 2018:63

3 §

Tillgången till personuppgifter ska alltid begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Bestämmelsen motsvarar 4 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Säkerheten för personuppgifter

4 §

Försvarets radioanstalt ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling eller förstöring och mot förlust eller annan oavsiktlig skada.

Bestämmelsen motsvarar 4 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Dataskyddsombud

5 §

Försvarets radioanstalt ska inom myndigheten utse ett eller flera data- skyddsombud och anmäla dessa till tillsynsmyndigheten när data- skyddsombud utses och entledigas.

Bestämmelsen motsvarar 4 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

338

SOU 2018:63

Författningskommentar

6 §

Dataskyddsombudet ska

1.självständigt kontrollera att Försvarets radioanstalt behandlar personuppgifter författningsenligt och på ett korrekt sätt och i övrigt fullgör sina skyldigheter,

2.informera och ge råd till Försvarets radioanstalt och till dem som behandlar personuppgifter under myndighetens ledning om deras skyl- digheter vid behandling av personuppgifter,

3.samråda med tillsynsmyndigheten, och

4.föra en förteckning över de kategorier av behandlingar som Försva- rets radioanstalt ansvarar för och som är helt eller delvis automatiserade.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vad en för- teckning som avses i första stycket 4 ska innehålla.

Om Försvarets radioanstalt bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och rättelse inte vidtas, ska data- skyddsombudet anmäla det till tillsynsmyndigheten.

Bestämmelsen motsvarar 4 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Personuppgiftsbiträden

7 §

Försvarets radioanstalt får, om det är lämpligt, anlita personuppgifts- biträden för behandling av personuppgifter på Försvarets radioanstalts vägnar. Innan ett personuppgiftsbiträde anlitas, ska Försvarets radio- anstalt försäkra sig om att biträdet kommer att vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att behandlingen av person- uppgifter ska vara författningsenlig och för att skydda rättigheterna för den som uppgifterna rör.

Bestämmelsen motsvarar 4 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

339

Författningskommentar

SOU 2018:63

8 §

Personuppgiftsbiträdets behandling av personuppgifter ska regleras i ett skriftligt avtal eller annan skriftlig överenskommelse.

Bestämmelsen motsvarar 4 kap. 8 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

9 §

Ett personuppgiftsbiträde får inte anlita ett annat personuppgiftsbiträde utan skriftligt tillstånd av Försvarets radioanstalt.

Bestämmelsen motsvarar 4 kap. 9 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

10 §

Ett personuppgiftsbiträde eller den eller de personer som arbetar under biträdets eller Försvarets radioanstalts ledning ska behandla person- uppgifter i enlighet med instruktioner från Försvarets radioanstalt.

Om ett personuppgiftsbiträde, i strid med Försvarets radioanstalts instruktioner, bestämmer ändamålen med och medlen för behandlingen, ska biträdet anses vara personuppgiftsansvarig enligt denna lag för den behandlingen.

Bestämmelsen motsvarar 4 kap. 10 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hän- visas till den bestämmelsen.

340

SOU 2018:63

Författningskommentar

11 §

Det som sägs om Försvarets radioanstalts skyldigheter i 2–4 §§ gäller även för personuppgiftsbiträden som Försvarets radioanstalt anlitar.

Bestämmelsen motsvarar 4 kap. 11 § i förslaget till lag om behand- ling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

5 kap. Enskildas rättigheter

Rätten till information

Allmän information

1 §

Försvarets radioanstalt ska göra följande allmänna information till- gänglig.

1.Myndighetens identitet och kontaktuppgifter.

2.Uppgifter om dataskyddsombudet.

3.Ändamålen med behandlingen.

4.Rätten enligt 2 § att begära att få information om behandling av personuppgifter och att få del av dem.

5.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 5 §.

Bestämmelsen motsvarar 5 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Information som ska lämnas efter begäran

2 §

Försvarets radioanstalt är skyldig att utan onödigt dröjsmål en gång per kalenderår till den som begär det lämna skriftligt besked om personupp- gifter som rör honom eller henne behandlas. Behandlas sådana uppgifter ska sökanden få del av dem och få följande skriftliga information.

1. Vilka personuppgifter om den sökande som behandlas.

341

Författningskommentar

SOU 2018:63

2.Varifrån personuppgifterna kommer.

3.Den rättsliga grunden för behandlingen.

4.Ändamålen med behandlingen.

5.Mottagare eller kategorier av mottagare av personuppgifterna, även

iannat land eller internationella organisationer.

6.Hur länge personuppgifterna får behandlas eller, om det inte är möjligt att ange, kriterierna för att fastställa det.

7.Rätten att begära rättelse, radering eller begränsning av behand- lingen enligt 5 §.

En ansökan enligt första stycket ska göras skriftligen hos Försvarets radioanstalt och vara undertecknad av den sökande själv. Information enligt första stycket ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes.

Bestämmelsen motsvarar 5 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Begränsning av rätten till information

3 §

Informationsskyldigheten i 2 § gäller inte i den utsträckning sekretess hindrar att uppgifterna lämnas ut.

Bestämmelsen motsvarar 5 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

342

SOU 2018:63

Författningskommentar

4 §

Informationsskyldigheten i 2 § gäller inte personuppgifter i löpande text som inte fått sin slutliga utformning när begäran gjordes eller som utgör minnesanteckning eller liknande.

Informationsskyldigheten gäller dock om uppgifterna har lämnats ut till tredje part, behandlas enbart för vetenskapliga, statistiska eller historiska ändamål eller arkivändamål av allmänt intresse eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats längre än ett år.

Bestämmelsen motsvarar 5 kap. 5 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Rätten till rättelse, radering och begränsning av behandlingen

5 §

Försvarets radioanstalt ska på begäran av den som personuppgiften rör snarast rätta, radera eller begränsa sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har meddelats med stöd av lagen.

Försvarets radioanstalt ska också underrätta tredje part till vilken uppgifterna har lämnats ut om åtgärden, om den som personuppgiften rör begär det eller om en mera betydande skada eller olägenhet för denne skulle kunna undvikas genom en underrättelse.

Någon underrättelse behöver dock inte lämnas, om sekretess hindrar det eller detta är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Bestämmelsen motsvarar 5 kap. 6 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

343

Författningskommentar

SOU 2018:63

Avgiftsfri information

6 §

Information enligt 1 § ska lämnas utan avgift.

Bestämmelsen motsvarar 5 kap. 7 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

6 kap. Tillsyn

Tillsyn över personuppgiftsbehandlingen

1 §

Den myndighet som regeringen bestämmer ska utöva allmän tillsyn över Försvarets radioanstalts behandling av personuppgifter enligt denna lag.

Tillsynsmyndigheten ska ge råd och stöd till Försvarets radioanstalt om myndighetens skyldigheter enligt lag eller annan författning eller när det i övrigt är påkallat.

Bestämmelsen motsvarar 6 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

2 §

I lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet finns det särskilda bestämmelser om kontroll som rör Försvarets radio- anstalts behandling av personuppgifter i försvarsunderrättelse- och ut- vecklingsverksamheten.

Paragrafen behandlas i avsnitt 6.8.1 och upplyser om att det i lagen om signalspaning i försvarsunderrättelseverksamhet finns särskilda bestämmelser om kontroll. Enligt 10 § nämnda lag ska kontrollen

344

SOU 2018:63

Författningskommentar

särskilt avse granskning av sökbegrepp, förstöring av uppgifter samt rapportering.

Befogenheter

Utredningsbefogenheter

3 §

Tillsynsmyndigheten har rätt att av Försvarets radioanstalt eller ett personuppgiftsbiträde på begäran få

1.tillgång till personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerhets- och skyddsåtgärder,

3.tillträde till sådana lokaler som har anknytning till behandling av personuppgifter och tillgång till utrustning och andra medel för behand- ling av personuppgifter, och

4.det biträde och annan information som behövs för tillsynen.

Bestämmelsen motsvarar 6 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Förebyggande befogenheter

4 §

Om tillsynsmyndigheten bedömer att det finns risk för att person- uppgifter kan komma att behandlas i strid med lag eller annan författ- ning, ska myndigheten genom råd, rekommendationer eller påpekan- den försöka förmå Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att minska den risken.

Tillsynsmyndigheten får utfärda en skriftlig varning för att planerad behandling av personuppgifter riskerar att stå i strid med lag eller annan författning. Detsamma gäller om pågående behandling riskerar att stå i strid med lag eller annan författning.

345

Författningskommentar

SOU 2018:63

Bestämmelsen motsvarar 6 kap. 3 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Korrigerande befogenheter

5 §

Om tillsynsmyndigheten konstaterar att personuppgifter behandlas i strid med lag eller annan författning, eller att Försvarets radioanstalt eller ett personuppgiftsbiträde annars inte fullgör sina skyldigheter, får tillsynsmyndigheten

2.förelägga Försvarets radioanstalt eller personuppgiftsbiträdet att vidta åtgärder för att behandlingen ska bli författningsenlig eller att full- göra andra skyldigheter.

Om ett föreläggande utfärdas ska det av föreläggandet framgå när åtgärderna senast ska vara genomförda och, om det är lämpligt, vilka åtgärder som ska vidtas.

Bestämmelsen motsvarar 6 kap. 4 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

7 kap. Skadestånd och överklagande

Skadestånd

1 §

Ersättningsskyldigheten kan i den utsträckning det är skäligt, jämkas om den personuppgiftsansvarige visar att felet inte berodde på denne.

346

SOU 2018:63

Författningskommentar

Bestämmelsen motsvarar 7 kap. 1 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

Överklagande

2 §

Försvarets radioanstalts beslut om information som ska lämnas enligt 5 kap. 2 § och om rättelse och underrättelse till tredje part enligt 5 kap. 5 § får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Bestämmelsen motsvarar 7 kap. 2 § i förslaget till lag om behandling av personuppgifter vid Försvarsmakten. För en kommentar hänvisas till den bestämmelsen.

3 §

Av 6 kap. 8 § offentlighets- och sekretesslagen (2009:400) följer att beslut om sekretess överklagas till kammarrätt.

Paragrafen upplyser om att beslut i frågor om sekretess överklagas direkt till kammarrätt som första överprövningsinstans.

347

Författningskommentar

SOU 2018:63

8.3Förslaget till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

1 kap.

3 §

Bestämmelserna i 2 § gäller inte i verksamhet som omfattas av

1.lagen (2019:000) om behandling av personuppgifter vid För- svarsmakten,

2.lagen (2019:000) om behandling av personuppgifter vid Försva- rets radioanstalt, eller

3.6 kap. polisdatalagen (2010:361).

Paragrafen behandlas i avsnitt 6.12.1 och innebär att hänvisningarna till FM-PuL och FRA-PuL ersätts med hänvisningar till lagen om behandling av personuppgifter vid Försvarsmakten respektive lagen om behandling av personuppgifter vid Försvarets radioanstalt.

8.4Förslaget till lag om ändring i brottsdatalagen (2018:1177)

1 kap.

4 §

Lagen gäller inte vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet eller om Polismyndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.

Lagen gäller inte heller i sådan verksamhet som omfattas av lagen (2019:000) om behandling av personuppgifter vid Försvarsmakten.

Paragrafen behandlas i avsnitt 6.12.2 och innebär att hänvisningen till FM-PuL i andra stycket ersätts med en hänvisning till lagen om behandling av personuppgifter vid Försvarsmakten.

348

SOU 2018:63

Författningskommentar

8.5Förslaget till lag om ändring i lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet

2 a §

Inhämtning får inte avse signaler mellan en avsändare och mottagare som båda befinner sig i Sverige. Om sådana signaler inte kan avskiljas redan vid inhämtningen, ska upptagningen eller uppteckningen för- störas så snart det står klart att sådana signaler har inhämtats.

Första stycket tillämpas inte i fråga om signaler som utväxlas autonomt mellan tekniska system i sådana fall där signalerna inte innehåller personuppgifter. Första stycket tillämpas inte heller i fråga om övriga signaler mellan sändare och mottagare på utländska stats- fartyg, statsluftfartyg eller militära fordon.

Paragrafen behandlas i avsnitt 6.12.3. I andra stycket första meningen har införts ett nytt undantag från bestämmelserna i första stycket. Det nya undantaget avser signaler som utväxlas autonomt mellan tekniska system i sådana fall där signalerna inte innehåller person- uppgifter.

12 a §

I lagen (2019:000) om behandling av personuppgifter vid Försvarets radioanstalt finns ytterligare bestämmelser om behandlingen av in- hämtade personuppgifter.

Paragrafen behandlas i avsnitt 6.12.3 och innebär att hänvisningen till FRA-PuL ersätts med en hänvisning till den föreslagna lagen om behandling av personuppgifter vid Försvarets radioanstalt.

349

Bilaga 1

Kommittédirektiv 2017:42

Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

Beslut vid regeringssammanträde den 27 april 2017

Sammanfattning

En särskild utredare ska göra en översyn av den lagstiftning som gäller för personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt. Syftet med uppdraget är att säkerställa att lagstiftningen är anpassad till den tekniska och legala utvecklingen.

Utredaren ska bl.a.

•analysera om rådande lagstiftning är ändamålsenlig för Försvars- maktens och Försvarets radioanstalts verksamheter och om den är tillräcklig i fråga om skyddet för enskildas personliga integritet,

•särskilt utreda hur personuppgifter behandlas i Försvarets radio- anstalt i samband med att myndigheten stödjer andra myndigheter och statligt ägda bolag inom informationssäkerhetsområdet, och

•lämna de författningsförslag som behövs och är lämpliga.

Uppdraget ska redovisas senast den 31 maj 2018.

Grundläggande bestämmelser om skyddet av personuppgifter

En väl avvägd balans är nödvändig mellan å ena sidan skyddet för den personliga integriteten och å andra sidan upprätthållandet av statens säkerhet. Den snabba tekniska utvecklingen skapar möjligheter att på ett effektivt sätt inhämta information som är av betydelse för att

351

Bilaga 1

SOU 2018:63

kunna skydda landet mot yttre hot, men innebär samtidigt utma- ningar för skyddet av den personliga integriteten. Intrång i den personliga integriteten måste alltid stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen av personuppgifterna.

Grundläggande bestämmelser till skydd för den personliga integ- riteten finns i regeringsformen. I 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Enligt

2kap. 6 § andra stycket är var och en skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlags- fästa skyddet kan endast göras genom lag och bara under de förut- sättningar som anges i 2 kap. 20–22 §§ regeringsformen.

Enligt artikel 8 i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. Rättigheten är dock inte absolut. In- skränkningar får göras med stöd av lag och om det är nödvändigt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål, bl.a. statens säkerhet och den allmänna säkerheten. Av 2 kap.

19§ regeringsformen följer att en lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Den europeiska konventionen om skydd för enskilda vid auto- matisk databehandling av personuppgifter, den s.k. dataskyddskon- ventionen, kan ses som en precisering av skyddet för enskilda enligt artikel 8 i Europakonventionen i fråga om behandlingen av person- uppgifter. Konventionen och dess tilläggsprotokoll har ett generellt tillämpningsområde och kompletteras av ett antal rekommendationer som antagits av ministerkommittén och som handlar om hur person- uppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. En översyn av konventionen pågår inom Europarådet.

I Europeiska unionens stadga om de grundläggande rättigheterna bekräftas de rättigheter som har sin grund i medlemsstaternas ge- mensamma författningstraditioner och internationella förpliktelser, Europakonventionen, unionens och Europarådets sociala stadgor samt

352

SOU 2018:63

Bilaga 1

rättspraxis vid Europeiska unionens domstol och Europeiska dom- stolen för de mänskliga rättigheterna. Artikel 7 i stadgan anger att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8 reglerar skydd av person- uppgifter. Enligt artikeln har var och en rätt till skydd av de person- uppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna följs.

EU-regleringen och dess svenska genomförande

EU:s dataskyddsdirektiv

Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Dataskyddsdirektivet gäller inte för behandling av personupp- gifter på områden som faller utanför gemenskapsrätten, t.ex. försvar och statens säkerhet (artikel 3.2). Direktivet har genomförts i svensk rätt genom personuppgiftslagen (1998:204). Sverige valde i samband med att dataskyddsdirektivet genomfördes i svensk rätt att inte begränsa personuppgiftslagens tillämpningsområde, bl.a. med moti- veringen att det är särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet. En annan moti- vering var att den valda lösningen garanterar att behovet av särregler i förhållande till personuppgiftslagen alltid övervägs noga i den ordning som krävs för författningsgivning (se prop. 1997/98:44 s. 40–41).

EU:s dataskyddsförordning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana

353

Bilaga 1

SOU 2018:63

uppgifter och om upphävande av direktiv 95/46/EG (allmän data- skyddsförordning), kallad dataskyddsförordningen. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och kommer att ersätta det nuvarande dataskyddsdirektivet. Förord- ningen ska börja tillämpas den 25 maj 2018.

Dataskyddsförordningen baseras till stor del på dataskyddsdirek- tivets struktur och innehåll, men rymmer även en rad nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen. Dataskyddsför- ordningen är direkt tillämplig i medlemsstaterna, men den både för- utsätter och möjliggör kompletterande nationella bestämmelser av olika slag. Behandling av personuppgifter som utgör ett led i en verk- samhet som inte omfattas av unionsrätten, t.ex. försvar och statens säkerhet, undantas från dataskyddsförordningens tillämpningsområde, på samma sätt som gäller för dataskyddsdirektivet. Förordningen ger också ett visst utrymme för medlemsstaterna att behålla eller införa mer specifika bestämmelser för sådan personuppgiftsbehand- ling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig skyldighet, utföra en arbetsuppgift av allmänt intresse eller behandla uppgifter i samband med myndighetsutövning (förordningens artikel 6.2).

Regeringen tillsatte den 25 februari 2016 en utredning som bl.a. ska undersöka vilka kompletterande nationella föreskrifter som data- skyddsförordningen kräver (Ju 2016:04). I utredningens direktiv anges att personuppgiftslagen och personuppgiftsförordningen (1998:1191) samt Datainspektionens föreskrifter i anslutning till denna reglering kommer att behöva upphävas. Uppdraget ska redovisas senast den 12 maj 2017.

Regeringen har även tillsatt en utredning som ska föreslå hur EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brott- målshantering och straffverkställighet ska genomföras i svensk rätt (Ju 2016:06). Uppdraget ska redovisas senast den 30 september 2017.

354

SOU 2018:63

Bilaga 1

Uppdraget att se över den reglering som gäller vid behandling av personuppgifter inom Försvarsmakten och Försvarets radioanstalt

Myndigheternas verksamhet ska kunna bedrivas effektivt med rationellt datorstöd samtidigt som enskildas integritet värnas

Personuppgiftslagen är subsidiär vilket innebär att lagens bestäm- melser inte ska tillämpas om det finns avvikande bestämmelser i en annan lag eller förordning. Det finns en stor mängd sådana bestäm- melser i s.k. särskilda registerförfattningar.

På Försvarsmaktens verksamhetsområde finns lagen (2007:258) och förordningen (2007:260) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säker- hetstjänst. För stora delar av Försvarets radioanstalts verksamhet gäller lagen (2007:259) och förordningen (2007:261) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse och utvecklingsverksamhet. Lagarna är fristående i förhållande till personuppgiftslagen, men deras strukturer och materiella innehåll är till stor del inspirerade av den lagen.

Försvarsmakten och Försvarets radioanstalt behandlar även person- uppgifter för andra syften än de som anges i nu nämnda lagar, t.ex. inom myndigheternas administrativa verksamhet. För sådan behand- ling av personuppgifter gäller personuppgiftslagen.

De särskilda lagarna om viss personuppgiftsbehandling inom Försvarsmakten och Försvarets radioanstalt tillkom 2007. Person- uppgiftslagen kommer att ersättas av dataskyddsförordningen och nationella kompletterande bestämmelser. Det finns därför anledning att säkerställa att regleringen av all den personuppgiftsbehandling som sker inom Försvarsmakten och Försvarets radioanstalt är ändamålsenlig i förhållande till såväl ny övergripande reglering, den tekniska utvecklingen och myndigheternas verksamheter i övrigt. Utgångspunkten är att myndigheternas verksamheter ska kunna be- drivas effektivt med rationellt datorstöd samtidigt som enskildas personliga integritet värnas.

Utredaren ska därför

•översiktligt beskriva hur personuppgifter behandlas och vilken reglering som gäller för behandlingen inom Försvarsmakten och Försvarets radioanstalt,

355

Bilaga 1

SOU 2018:63

•bedöma om den reglering som gäller vid behandling av personupp- gifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst och i Försvarets radioanstalts försvars- underrättelse- och utvecklingsverksamhet är ändamålsenligt utfor- mad och tillräcklig när det gäller skyddet för enskildas personliga integritet,

•analysera vilket utrymme det finns för nationell reglering av den personuppgiftsbehandling i Försvarsmakten och Försvarets radio- anstalt som i dag regleras i personuppgiftslagen, och utifrån den analysen bedöma om behandlingen helt eller delvis bör regleras särskilt, och

•lämna de författningsförslag som behövs och är lämpliga.

Hur bör personuppgiftsbehandlingen inom Försvarets radioanstalts arbete med informationssäkerhet regleras?

Försvarets radioanstalt ska ha hög teknisk kompetens inom informa- tionssäkerhetsområdet och får, efter begäran, stödja andra statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känslig från sårbarhets-, säkerhets- eller försvarspolitisk synpunkt. Försvarets radioanstalt gör detta bl.a. genom att på begäran av berörd myndighet eller berört bolag testa sårbarheten i myndig- hetens eller bolagets it-system. På grund av utvecklingen när det gäller avancerade it-angrepp har Försvarets radioanstalt på regeringens upp- drag tagit fram ett tekniskt detekterings- och varningssystem för att stärka informationssäkerheten vid de mest skyddsvärda verksamheter- na bland statliga myndigheter och statligt ägda bolag.

Den personuppgiftsbehandling som kan uppkomma inom ramen för Försvarets radioanstalts arbete på informationssäkerhetsområdet, och som myndigheten ansvarar för, regleras av personuppgiftslagen. Som nämnts kommer lagen att upphävas och ersättas av dataskydds- förordningen med kompletterande nationella föreskrifter.

Utredaren ska därför

•närmare utreda hur personuppgifter behandlas inom Försvarets radioanstalt i samband med att myndigheten stödjer andra myn- digheter och statligt ägda bolag inom informationssäkerhets- området,

356

SOU 2018:63

Bilaga 1

•bedöma om regleringen för personuppgiftsbehandlingen i För- svarets radioanstalt är ändamålsenlig med hänsyn till verksam- heten och skyddet för enskildas personliga integritet,

•analysera vilket utrymme det finns för en nationell reglering, och

•lämna lämpliga författningsförslag.

Konsekvensbeskrivningar

Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konse- kvenser för den personliga integriteten och för eventuella verksam- hetsmässiga konsekvenser.

Samråd och redovisning av uppdraget

När utredaren genomför uppdraget ska han eller hon särskilt höra Statens inspektion för försvarsunderrättelseverksamheten. Utredaren ska även, i den utsträckning som bedöms lämplig, ha en dialog med och inhämta upplysningar från övriga myndigheter och andra som kan vara berörda av aktuella frågor.

Utredaren ska hålla sig väl informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och Europarådet. Detta innebär bl.a. att utredaren ska hålla sig informerad om arbetet med en ny säkerhetsskyddslag (SOU 2015:25), liksom det arbete som bedrivs i Integritetskommittén (Ju 2014:09), i Data- skyddsutredningen (Ju 2016:04), i utredningen om 2016 års data- skyddsdirektiv (Ju 2016:06), i utredningen om behandling av person- uppgifter om totalförsvarspliktiga (Fö 2016:01), samt om den översyn som görs av dataskyddskonventionen.

Uppdraget ska redovisas senast den 31 maj 2018.

(Försvarsdepartementet)

357

Statens offentliga utredningar 2018

Kronologisk förteckning

1.Ett reklamlandskap i förändring

–konsumentskydd och tillsyn i en digitaliserad värld. Fi.

2.Stärkt straffrättsligt skydd

för blåljusverksamhet och andra samhällsnyttiga funktioner. Ju.

3.En strategisk agenda

för internationalisering. U.

4.Framtidens biobanker. S.

5.Vissa processuella frågor på socialförsäkringsområdet. S.

6.Grovt upphovsrättsbrott och grovt varumärkesbrott. Ju.

7.Försvarsmaktens långsiktiga materielbehov. Fö.

8.Kunskapsläget på kärnavfallsområdet 2018. Beslut under osäkerhet. M.

9.Ökad trygghet för studerande som blir sjuka. U.

10.Myndighetsgemensam indelning – samverkan på regional nivå. Volym 1. Myndighetsgemensam indelning – författningsändringar till följd av ny landstingsbeteckning. Volym 2. Fi.

11.Vårt gemensamma ansvar

–för unga som varken arbetar eller studerar. U.

12.Uppdrag: Samverkan 2018. Många utmaningar återstår. A.

13.Finansiering av infrastruktur med skatt eller avgift? Fi.

14.Bidragsbrott och underrättelseskyl- dighet vid felaktiga utbetalningar från välfärdssystemen – en utvärdering. Fi.

15.Mindre aktörer i energilandskapet

–genomgång av nuläget. M.

16.Vägen till självkörande fordon – introduktion. Del 1 + 2. N.

17.Med undervisningsskicklighet

icentrum – ett ramverk för lärares och rektorers professionella utveckling. U.

18.Statens stöd till trossamfund i ett mångreligiöst Sverige. Ku.

19.Forska tillsammans – samverkan för lärande och förbättring. U.

20.Gräsrotsfinansiering. Fi.

21.Flexibel rehabilitering. A.

22.Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller återvändande. A.

23.Konstnär – oavsett villkor? Ku.

24.Tid för utveckling. A.

25.Juridik som stöd för förvaltningens digitalisering. Fi.

26.Några frågor i skyddslagstiftningen. Fö.

27.Ekonomiska sanktioner mot terrorism. UD.

28.En nationell alarmeringstjänst

–för snabba, säkra och effektiva hjälpinsatser. Ju.

29.Validering i högskolan – för tillgodoräknande och livslångt lärande. U.

30.Förenklat förfarande vid vissa beslut om hemlig avlyssning. Ju.

31.En lag om operativt militärt stöd mellan Sverige och Finland. Fö.

32.Ju förr desto bättre – vägar till en förebyggande socialtjänst. S.

33.Aggressionsbrottet och ändringar

iRomstadgan. Ju.

34.Vägar till hållbara vattentjänster. M.

35.Ett gemensamt bostadsförsörjningsansvar. N.

36.Rätt att forska. Långsiktig reglering av forskningsdatabaser. U.

37.Att bryta ett våldsamt beteende

–återfallsförebyggande insatser

för män som utsätter närstående för våld. S.

38.Styra och leda med tillit. Forskning och praktik. Fi.

39.God och nära vård.

En primärvårdsreform. S.

40.Vissa fredspliktsfrågor. A.

41.Statliga skolmyndigheter.

–för elever och barn i en bättre skola. U.

42.Tryggad tillgång till kontanter. Fi.

43.Statliga servicekontor

–mer service på fler platser. Fi.

44.Möjligt, tillåtet och tillgängligt

–förslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmål. Fi.

45.Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. A.

46.En utvecklad översiktsplanering. Del 1: Att underlätta efterföljande planering. Del 2: Kommunal reglering av upplåtelseformen. N.

47.Med tillit växer handlingsutrymmet.

–tillitsbaserad styrning och ledning av välfärdssektorn. Fi.

48.En lärande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vård, skola och omsorg. Fi.

49.F-skattesystemet

–några särskilt utpekade frågor. Fi.

50.Ett oberoende public service för alla

–nya möjligheter och ökat ansvar. Ku.

51.Resurseffektiv användning av byggmaterial. N.

52.Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. S.

53.Översyn av maskinell dos, extempore, prövningsläkemedel m.m. S.

54.En effektivare kommunal räddnings- tjänst. Ju.

55.Styrning och vårdkonsumtion ur ett jämlikhetsperspektiv. Kartläggning av socioekonomiska skillnader i vårdutnyttjande och utgångspunkter för bättre styrning. S.

56.Bättre kommunikation för fler investeringar. UD.

57.Barns och ungas läsning

–ett ansvar för hela samhället. Ku.

58.Särskilda persontransporter

–moderniserad lagstiftning för ökad samordning. N.

59.Statens gruvliga risker. M.

60.Tillträde till Rotterdamreglerna. Ju.

61.Rättssäkerhetsgarantier och hemliga tvångsmedel. Ju.

62.Kamerabevakning i brottsbekämp- ningen – ett enklare förfarande. Ju.

63.Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt. Fö.

Statens offentliga utredningar 2018

Systematisk förteckning

Arbetsmarknadsdepartementet

Uppdrag: Samverkan 2018.

Många utmaningar återstår. [12] Flexibel rehabilitering. [21]

Ett ordnat mottagande – gemensamt ansvar för snabb etablering eller återvändande. [22]

Tid för utveckling. [24] Vissa fredspliktsfrågor. [40]

Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap. [45]

Finansdepartementet

Ett reklamlandskap i förändring

–konsumentskydd och tillsyn i en digitaliserad värld. [1]

Myndighetsgemensam indelning – sam- verkan på regional nivå. Volym 1. Myndighetsgemensam indelning – författningsändringar till följd av ny landstingsbeteckning. Volym 2. [10]

Finansiering av infrastruktur med skatt eller avgift? [13]

Bidragsbrott och underrättelseskyldig- het vid felaktiga utbetalningar från välfärdssystemen – en utvärdering. [14]

Gräsrotsfinansiering. [20]

Juridik som stöd för förvaltningens digitalisering. [25]

Styra och leda med tillit. Forskning och praktik. [38]

Tryggad tillgång till kontanter. [42]

Statliga servicekontor

– mer service på fler platser. [43] Möjligt, tillåtet och tillgängligt

–förslag till enklare och flexiblare upphandlingsregler och vissa regler om överprövningsmål. [44]

Med tillit växer handlingsutrymmet.

–tillitsbaserad styrning och ledning av välfärdssektorn. [47]

En lärande tillsyn. Statlig granskning som bidrar till verksamhetsutveckling i vård, skola och omsorg. [48]

F-skattesystemet

– några särskilt utpekade frågor. [49]

Försvarsdepartementet

Försvarsmaktens långsiktiga materielbehov. [7]

Några frågor i skyddslagstiftningen. [26]

En lag om operativt militärt stöd mellan Sverige och Finland. [31]

Behandlingen av personuppgifter vid Försvarsmakten och Försvarets radioanstalt. [63]

Justitiedepartementet

Stärkt straffrättsligt skydd

för blåljusverksamhet och andra samhällsnyttiga funktioner. [2]

Grovt upphovsrättsbrott och grovt varumärkesbrott. [6]

En nationell alarmeringstjänst

–för snabba, säkra och effektiva hjälpinsatser. [28]

Förenklat förfarande vid vissa beslut om hemlig avlyssning. [30]

Aggressionsbrottet och ändringar i Romstadgan. [33]

En effektivare kommunal räddningstjänst. [54]

Tillträde till Rotterdamreglerna. [60]

Rättssäkerhetsgarantier och hemliga tvångsmedel. [61]

Kamerabevakning i brottsbekämpningen

– ett enklare förfarande. [62]

Kulturdepartementet

Statens stöd till trossamfund i ett mångreligiöst Sverige. [18]

Konstnär – oavsett villkor? [23] Ett oberoende public service för alla

–nya möjligheter och ökat ansvar. [50]

Barns och ungas läsning

– ett ansvar för hela samhället. [57]

Miljö- och energidepartementet

Kunskapsläget på kärnavfallsområdet 2018. Beslut under osäkerhet. [8]

Mindre aktörer i energilandskapet

–genomgång av nuläget. [15] Vägar till hållbara vattentjänster. [34] Statens gruvliga risker. [59]

Näringsdepartementet

Vägen till självkörande fordon – introduktion. Del 1 + 2. [16]

Ett gemensamt bostadsförsörjningsansvar. [35]

En utvecklad översiktsplanering.

Del 1: Att underlätta efterföljande

planering. Del 2: Kommunal reglering av upplåtelseformen. [46]

Resurseffektiv användning av byggmaterial. [51]

Särskilda persontransporter

–moderniserad lagstiftning för ökad samordning. [58]

Socialdepartementet

Framtidens biobanker. [4]

Vissa processuella frågor på social- försäkringsområdet. [5]

Ju förr desto bättre – vägar till

en förebyggande socialtjänst. [32] Att bryta ett våldsamt beteende

–återfallsförebyggande insatser för män som utsätter närstående för våld. [37]

God och nära vård. En primärvårdsreform. [39]

Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. [52]

Översyn av maskinell dos, extempore, prövningsläkemedel m.m. [53]

Styrning och vårdkonsumtion ur ett jämlikhetsperspektiv. Kartläggning av socioekonomiska skillnader i vårdutnyttjande och utgångspunkter för bättre styrning. [55]

Utbildningsdepartementet

En strategisk agenda

för internationalisering. [3]

Ökad trygghet för studerande som blir sjuka. [9]

Vårt gemensamma ansvar

–för unga som varken arbetar eller studerar. [11]

Med undervisningsskicklighet

i centrum – ett ramverk för lärares och rektorers professionella utveckling. [17]

Forska tillsammans – samverkan för lärande och förbättring. [19]

Validering i högskolan – för tillgodo- räknande och livslångt lärande. [29]

Rätt att forska. Långsiktig reglering av forskningsdatabaser. [36]

Statliga skolmyndigheter.

–för elever och barn i en bättre skola. [41]

Utrikesdepartementet

Ekonomiska sanktioner mot terrorism. [27]

Bättre kommunikation för fler investeringar. [56]

om signalspaning i försvarsunderrättelseverksamhet .........		349
Bilagor
Bilaga 1	Kommittédirektiv 2017:42 ...........................................	351
Bilaga 2	Kommittédirektiv 2018:28 ...........................................	359

Sammanfattning ................................................................		13
Förkortningar m.m. ............................................................		21
1	Författningsförslag.....................................................	25

1.2 Förslag till lag (2019:000) om behandling
av personuppgifter vid Försvarets radioanstalt .....................	42

kompletterande bestämmelser till EU:s
dataskyddsförordning.............................................................	59

	(1995:1301) om handläggning av skadeståndsanspråk
	mot staten ...............................................................................		84
2	Utredningens uppdrag och arbete ................................		87
2.1	Utredningsuppdraget .............................................................		87
2.2	Genomförande av uppdraget .................................................		87
3	Försvarsmaktens och Försvarets radioanstalts
	uppgifter...................................................................		89
3.1	Försvarsmaktens uppgifter ....................................................		89
3.2	Försvarets radioanstalts uppgifter .........................................		92
3.3	Försvarsunderrättelseverksamhet..........................................		94
	3.3.1	Försvarsmaktens underrättelseverksamhet
		och militära säkerhetstjänst ....................................	96
	3.3.2	Försvarsmaktens
		försvarsunderrättelseverksamhet ...........................	96
	3.3.3	Försvarsmaktens militära säkerhetstjänst..............	97
	3.3.4	Övrig militär underrättelseverksamhet..................	98

		informationssäkerhetsverksamhet	....................... 101
4	Gällande rätt ...........................................................		103
4.1	Internationella överenskommelser ......................................		103
	4.1.1	Förenta nationerna................................................	103
	4.1.2	OECD ...................................................................	104
4.2	Europarätt .............................................................................		104
	4.2.1	Europarådet ...........................................................	104
	4.2.2	Europeiska unionen ..............................................	107

integriteten............................................................................		112
4.3.1	Rätten till personlig integritet ..............................	112

	4.3.2	Regeringsformen ...................................................	112
	4.3.3	Personuppgiftslagen ..............................................	113
	4.3.4	Särskilda registerförfattningar ..............................	116
	4.3.5	Offentlighets- och sekretesslagen ........................	117
5	Regleringen av personuppgiftsbehandling
	vid Försvarsmakten och Försvarets radioanstalt ...........		119
	5.1.1	Allmänt...................................................................	119
	5.1.2	När behandling av personuppgifter är tillåten .....	120
	5.1.3	Känsliga personuppgifter ......................................	123

	de nya lagarna ........................................................	146
6.2.6	Lagarnas förhållande till annan reglering.............	147
6.2.7	Personuppgiftsansvar............................................	148
6.2.8	Gemensamt personuppgiftsansvar .......................	148
6.2.9	Uttryck i lagen ......................................................	150
6.3 Behandlingen av personuppgifter ........................................		156

	Försvarsmakten av personuppgifter som utgör
	allmänt tillgänglig information.............................	171
6.3.5	Övriga rättsliga grunder för behandlingen
	av personuppgifter vid Försvarsmakten...............	172

	grund för behandling av personuppgifter
	vid Försvarets radioanstalt....................................	173
6.3.7	Utvecklingsverksamhet som rättslig
	grund för behandling av personuppgifter
	hos Försvarets radioanstalt ...................................	179

6.3.10 Rättsliga grunder för behandling
för vetenskapliga, statistiska eller
historiska ändamål.................................................	186

	av information vid tillsyn och kontroll ................	187
6.4 Grundläggande krav på behandling av personuppgifter .....		188
6.4.1	Grundläggande krav ..............................................	188
6.4.2	Behandling av känsliga personuppgifter...............	189

	eller lämnat sitt samtycke......................................	192
6.4.5	Behandling av personuppgifter i vissa fall ............	193
6.4.6	Längsta tid som personuppgifter får behandlas...	196

av personuppgifter.................................................	202
6.5 Gemensamt tillgängliga uppgifter........................................	204

hos Försvarets radioanstalt ...................................	220
6.6 Skyldigheter som personuppgiftsansvarig...........................	226

	tekniska och organisatoriska åtgärder ..................	226
6.6.2	Myndigheterna ska föra loggar över
	personuppgiftsbehandling.....................................	227

	till personuppgifter ................................................	228
6.6.4	Säkerheten för personuppgifter ............................	229
6.6.5	Dataskyddsombud.................................................	229
6.6.6	Personuppgiftsbiträden .........................................	231

6.7 Enskildas rättigheter.............................................................		234
6.7.1	Allmän information som ska göras tillgänglig ....	234

	hos Försvarets radioanstalt...................................	240
6.7.4	Begränsning av rätten till information .................	243

begäran ...................................................................	245
6.8 Tillsyn och kontroll..............................................................	246

		personuppgiftsincidenter bör inte införas
		i de nya lagarna ......................................................	249
	6.8.3	Sanktionsavgift bör inte få tas ut .........................	250
6.9	Skadestånd och överklagande ..............................................		252
	6.9.1	Skadestånd .............................................................	252
	6.9.2	Överklagande av en myndighets beslut
		i egenskap av personuppgiftsansvarig ..................	253
6.10	Övriga bestämmelser............................................................		254
	6.10.1	Straff.......................................................................	254
6.11	Övergångsbestämmelser ......................................................		255
6.12 Ändringar i andra författningar till följd
	av utredningens förslag ........................................................		256
	6.12.1	Ändring i lagen (2018:218) med
		kompletterande bestämmelser till
		EU:s dataskyddsförordning .................................	256
	6.12.2	Ändring i brottsdatalagen (2018:1177)................	256
	6.12.3	Ändring i lagen (2008:717) om signalspaning
		i försvarsunderrättelseverksamhet .......................	257

		om handläggning av skadeståndsanspråk
		mot staten ..............................................................	261
7	Konsekvenser..........................................................		263
7.1	Inledning ...............................................................................		263
7.2	Konsekvenser av förslagen ...................................................		264
	7.2.1	Två nya lagar men inga nya uppgifter...................	264
7.3	Ekonomiska konsekvenser ...................................................		264
	7.3.1	Konsekvenser för den personliga integriteten .....	265
	7.3.2	Konsekvenser i övrigt............................................	266
8	Författningskommentar ............................................		267

med kompletterande bestämmelser till EU:s
dataskyddsförordning...........................................................	348